預(yù)算、時間以及人員限制要求公司有選擇性地進行信息安全人力物力的投入。你如何確定哪些地方需要重點進行安全改進呢？具有成熟安全項目的企業(yè)可能有一套正式的風(fēng)險管理過程，來協(xié)助完成這項工作。而另一方面，中型企業(yè)，他們的決定則更需要有策略性。

下面是評估安全狀態(tài)的五個步驟，它們已經(jīng)協(xié)助許多中型企業(yè)進行了評估工作：

1、確定關(guān)鍵數(shù)據(jù)流：對于企業(yè)來說，了解哪些數(shù)據(jù)是敏感數(shù)據(jù)并不容易。然而，解決這一挑戰(zhàn)有助于你更好地理解企業(yè)的業(yè)務(wù)過程和優(yōu)先事項。同時你也可以會見關(guān)鍵人物并聽取他們的意見；他們?nèi)蘸笠矔С帜愕陌踩倪M工作。在與他們交談時，要向他們了解數(shù)據(jù)從哪來，到哪去，哪個基礎(chǔ)設(shè)施組件將會處理這些數(shù)據(jù)。此外，也要了解需要公司進行數(shù)據(jù)保護的所有規(guī)則遵從要求或者合同要求。

2、了解用戶的交互：在上一個步驟中你確定的人群是怎樣使用數(shù)據(jù)的？同時還要注意個人的訪問權(quán)限，我們需要完成以下工作：哪些人只讀取數(shù)據(jù)，哪些人需要有改變數(shù)據(jù)的權(quán)限？這將影響到執(zhí)行訪問控制的授權(quán)工作。此外，弄清人們在公司內(nèi)部，以及與合作伙伴和客戶之間是如何分享數(shù)據(jù)的——脆弱的數(shù)據(jù)共享實踐已經(jīng)導(dǎo)致了許多數(shù)據(jù)泄漏事件。在這個階段，還要評估存在哪些變化控制，以防止人們對基礎(chǔ)設(shè)施以及其上的數(shù)據(jù)進行未授權(quán)的修改。

3、檢查網(wǎng)絡(luò)周邊：當(dāng)你對數(shù)據(jù)流和用戶的交互有了清楚的了解之后，還需要研究網(wǎng)絡(luò)的出口路徑和入口路徑。哪些地方抵抗攻擊的能力最差？用來監(jiān)測和阻止未授權(quán)訪問的機制有哪些？如果一個外圍組件（譬如說防火墻）未能阻止攻擊，你的整個系統(tǒng)環(huán)境會不會門戶大開呢？檢查你的互聯(lián)網(wǎng)連接和那些連向合作伙伴和客戶的直接鏈接。在這個階段的評估過程中，有線和無線網(wǎng)絡(luò)都要檢查。

4、評估服務(wù)器和工作站：在了解了你的網(wǎng)絡(luò)周邊的強弱點之后，請查看一下網(wǎng)絡(luò)周邊的內(nèi)部系統(tǒng)。你需要查找可以被攻擊者用來破解主機、盜竊數(shù)據(jù)的缺失補丁或者配置錯誤。從外部組件可以訪問的服務(wù)器開始。然后再檢查你的內(nèi)部服務(wù)器。不要忘記評估你的臺式電腦和筆記本電腦的安全狀態(tài)，因為以客戶端軟件（比如瀏覽器和其插件）為目標(biāo)的攻擊很容易成功。

5、查看應(yīng)用程序：最后，考慮一下第三方以及內(nèi)部用戶可訪問的自定義應(yīng)用程序中可能存在的漏洞?？梢宰尮粽咂平鈶?yīng)用程序的安全機制，從而進行未授權(quán)訪問的漏洞有哪些？要特別注意基于網(wǎng)絡(luò)的應(yīng)用程序，近年來它們一直是攻擊者喜歡的目標(biāo)。解決應(yīng)用程序級別問題并不簡單，這也是我們不從這一步開始的原因。然而，重要的是要認識到與易受攻擊的應(yīng)用程序相關(guān)的風(fēng)險，以便對自己的安全狀態(tài)有一個完整的評估。

你不必在完成上面列出的所有的步驟之后才開始解決你發(fā)現(xiàn)的弱點。只要你確定了關(guān)鍵的風(fēng)險，請盡可能好的解決它們，然后再繼續(xù)評估。人們很容易在第一個階段卡殼，因為他們試圖用完美的方式解決所有的問題?？梢钥紤]那些對當(dāng)前而言足夠好的狀態(tài)，然后繼續(xù)你的評估，以確定其他需要立即關(guān)注的關(guān)鍵地方。

業(yè)界有一句老話：安全是一個過程。你完成了所有的評估步驟并確定了適當(dāng)?shù)娘L(fēng)險之后，請再次重復(fù)這個過程。重復(fù)的次數(shù)越多，你會感到你所遇到的風(fēng)險越容易管理。

【編輯推薦】

1. 完全解密企業(yè)信息安全風(fēng)險評估
2. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險