制定一個安全策略管理方案對于企業(yè)安全管理來說是十分有效的一種方式，但是我們在部署安全策略管理方案是將面臨著兩種選擇：手動方式或者自動化工具。實際上這兩種管理方式都各有利弊，下邊的文章中我們就分開講解一下。

安全策略管理之手動方式

制定一個手動策略管理解決方案的第一步是創(chuàng)建一套可以反映你的策略目標(biāo)的流程;流程和指導(dǎo)方針將為日常操作提供必要的細(xì)節(jié)。

一些典型的流程包括防病毒、密碼過期和日志監(jiān)視。每個流程和指導(dǎo)方針都是對策略具體章節(jié)的解釋，而且用作實施和配置具體軟件解決方案的標(biāo)準(zhǔn)。

使用我們的示例流程，通過制定防病毒解決方案在企業(yè)內(nèi)部使用，防病毒策略設(shè)定了一個基調(diào)。防病毒流程將準(zhǔn)確地概括出這個策略是如何執(zhí)行的，如何解決更新和緊急事件響應(yīng)這樣的問題。正常情況下，它是通過一個中央控制臺來管理的，防病毒規(guī)則被發(fā)送到工作站和服務(wù)器上。

一個可被接受并使用的策略可以被理解為幾個流程，它們被用來解決電子郵件使用、數(shù)據(jù)存儲和互聯(lián)網(wǎng)使用等問題。一個WEB使用流程概括了雇員允許訪問的網(wǎng)站，執(zhí)行對訪問的限制所采取的技術(shù)，比如WEB內(nèi)容過濾，以及檢查設(shè)備日志的頻率。

另一個例子是微軟的Windows操作系統(tǒng)中的密碼過期設(shè)置。如果策略要求復(fù)雜密碼，那么指導(dǎo)方針里就會規(guī)定密碼的最長生命期，在活動目錄中將被設(shè)置成使用密碼的最大生命期。

了解信息安全策略是如何用來創(chuàng)建實用而且可執(zhí)行的控制的，這一點很容易。但是，這個過程相當(dāng)費(fèi)力，有些人必須進(jìn)行干涉以便使位于不同控制點的數(shù)據(jù)相關(guān)聯(lián)，包括防病毒程序、入侵檢測系統(tǒng)、防火墻和認(rèn)證系統(tǒng)(比如活動目錄)。手動監(jiān)測策略的執(zhí)行情況是非常繁瑣的，潛在的問題包括以下內(nèi)容：

防病毒管理控制臺偶爾可能丟失一些服務(wù)器或工作站的連接，這樣就會在公司網(wǎng)絡(luò)上造成暴露點，檢測這個策略偏離和對它進(jìn)行糾正可能相當(dāng)費(fèi)時。

對于內(nèi)容管理提供商來說，將網(wǎng)站錯誤地進(jìn)行分類并不是前所未聞的事。舉例來說，巧克力制造商Hershey公司的網(wǎng)站曾經(jīng)就被錯誤地劃分為色情網(wǎng)站。這樣的錯誤可以導(dǎo)致誤報，而且，如果某個站點根本沒有被分類，就有可能給用戶一個繞過系統(tǒng)的方式。監(jiān)視這樣的情況是相當(dāng)費(fèi)時而且令人沮喪的。另外，管理用戶異常——這些用戶可以繞過過濾系統(tǒng)進(jìn)行研究——使事情變得更復(fù)雜，因為需要跟蹤這些異常行為，來寫合規(guī)報告。

盡管象活動目錄這樣的系統(tǒng)可以規(guī)定用戶必須使用復(fù)雜密碼，但用戶也有可能繞過這樣的控制使用一個弱密碼。由此，對于安全管理員來說，不定期地使用密碼破解工具來審計用戶的密碼是非常重要的。

安全策略管理之自動化來拯救

在進(jìn)行手動策略管理時需要花費(fèi)大量的時間和精力，從這點上看，自動化工具是一個相當(dāng)有吸引力的選擇，特別是對大企業(yè)來說。

在最近幾年里，一些廠商推出了它們的策略管理解決方案，包括Elemental Security、Solsoft和BindView(今年早些時候被Symantec收購)。大部分廠商的產(chǎn)品將管理軟件和策略的創(chuàng)建連接起來，基本上管理者只需要創(chuàng)建策略，軟件會執(zhí)行它們并檢查策略遵守情況。

Elemental Security公司的策略管理是以主機(jī)為中心的，通過網(wǎng)絡(luò)將策略實施到服務(wù)器和工作站。Solsoft采用以網(wǎng)絡(luò)為中心的辦法，通過網(wǎng)絡(luò)將策略分到各種網(wǎng)絡(luò)設(shè)備中。BindView也使用以主機(jī)為中心的架構(gòu)，但也提供了一個附加組件可以輔助撰寫策略，把策略下發(fā)到用戶，以及追蹤用戶的接受和異常情況。

自動化工具的工作是將你的安全策略和流程下發(fā)，然后在各控制點進(jìn)行實施。如上所述，一些工具通過控制網(wǎng)絡(luò)設(shè)備來進(jìn)行操作，它們將策略轉(zhuǎn)換成網(wǎng)絡(luò)設(shè)備(如路由器)的配置條件。通過基于主機(jī)的工具，策略被轉(zhuǎn)換成配置命令。

策略管理產(chǎn)品特別有用的地方是，它們可以為不同的標(biāo)準(zhǔn)提供模板，比如ISO 17799和CobiT，而且可以使用相關(guān)的規(guī)章來交叉關(guān)聯(lián)它們。你可以根據(jù)提供的模板來為你的機(jī)構(gòu)選擇必要的策略。

策略管理產(chǎn)品的另一個功能是，它可以整合到整個企業(yè)中，從不同的數(shù)據(jù)源得到數(shù)據(jù)，包括備份、防病毒、內(nèi)容過濾解決方案、防火墻、操作系統(tǒng)和路由器。這些數(shù)據(jù)的自動獲取減少了用戶必須篩選的數(shù)據(jù)總量。一些自動化工具還可以和漏洞管理系統(tǒng)相結(jié)合，保證系統(tǒng)更新以及解決突發(fā)威脅和零日攻擊。

策略管理工具自動關(guān)聯(lián)大量不同數(shù)據(jù)的能力還有利于法規(guī)遵守和報告，因為它允許用戶獲取具體法規(guī)的遵守情況數(shù)據(jù)。安全專業(yè)人員的主要抱怨是外部、內(nèi)部審計方和政府監(jiān)管部門對相同審計相關(guān)信息的重復(fù)請求。這些工具允許你為不同組織生成定制的報告，而不必為解決類似問題去完成幾次不同的審計。

自動化策略管理工具還能監(jiān)視違反策略和追蹤異常情況。一個關(guān)鍵的益處是所有的報告集中在一個管理控制臺上，這樣就更容易追蹤它們(與手動方式相比)。但是它們畢竟不是真正的主動監(jiān)視產(chǎn)品——它們不會像火災(zāi)警報那樣自動工作。但是，Symantec計劃將BindView的產(chǎn)品整合到管理事件技術(shù)中;其它工具被設(shè)計用來與安全事件管理產(chǎn)品整合。

沒有一個產(chǎn)品是即插即用的——所有產(chǎn)品都需要花時間進(jìn)行實施;有些甚至要求公司來將他們的策略轉(zhuǎn)換成一種具體的格式。實施的時間會根據(jù)產(chǎn)品以及組織策略狀態(tài)的變化而變化。

軟件費(fèi)用和實施時間是使用自動化工具的兩個主要考慮因素。舉例來說，Elemental Security Platform 2.0大約需要花費(fèi)3萬5千美，每臺服務(wù)器需要花費(fèi)大約600美元，每臺工作站或筆記本電腦需要花費(fèi)大約60美元。

安全策略管理究竟哪種方式更好?

無論是手動還是自動化方式，都可以把工作做好，但是它們也有自身的限制。在大型企業(yè)里，自動化策略管理工具可以提供極大的幫助，但是對于比較小的企業(yè)來說，自動化策略管理工具可能就不太適合了 。

自動化工具可能存在的另一個問題是，它不能為企業(yè)制定特制的策略，用戶可以修改公司來適應(yīng)這些策略。如今，很多自動化產(chǎn)品只能在市場上占用很少份額——無論是基于網(wǎng)絡(luò)的還是基于主機(jī)的產(chǎn)品。要做到真正有效，一個策略管理解決方案即要用到手動方式還要自動方式。Symantec公司正計劃在它的產(chǎn)品中加入基于網(wǎng)絡(luò)的組件來向這個方向邁進(jìn)。

在日常工作中，策略制定和策略管理是一系列復(fù)雜的工作，但是公司必須面對這樣的挑戰(zhàn)，當(dāng)我們的IT基礎(chǔ)架構(gòu)變得越來越復(fù)雜，威脅越來越多，我們會越來越多地依賴于手動和自動化工具來執(zhí)行策略和報告執(zhí)行情況。隨著策略管理產(chǎn)品日漸成熟，我們將看到自動化工具被更好的裝備，從而能全面地處理問題，而且它的價格也會下降至各種公司可以承受的范圍。

可以肯定的是，有效的策略管理在未來會變得更加重要。
 

【編輯推薦】

1. 密碼破解原因竟是密碼過簡
2. 網(wǎng)絡(luò)安全的四大誤區(qū)
3. 數(shù)據(jù)泄漏 避免“點炮”
4. 企業(yè)數(shù)據(jù)安全 MP3成為威脅
5. 面對社交網(wǎng)站 走鋼絲一般的數(shù)據(jù)保護(hù)