在為眾多組織提供信息安全服務(wù)的18年職業(yè)生涯期間，我見過(guò)許多在信息安全方面做得不錯(cuò)的組織——他們通過(guò)正確識(shí)別風(fēng)險(xiǎn)以及優(yōu)先級(jí)排序，妥當(dāng)保護(hù)關(guān)鍵數(shù)據(jù)，及時(shí)緩解安全風(fēng)險(xiǎn)，當(dāng)然也有許多做得不好的。

[[124630]]

那些具有良好安全習(xí)慣的組織(“安全的組織”)具有某些共同的特質(zhì)，而這往往正是那些信息安全工作做得不到位的組織(“不安全的組織”)所缺乏的。

在本文中，我們會(huì)審視“安全的組織”所具備的十大特質(zhì)。

“安全的組織”所具備的十大良好安全習(xí)慣

1. 在安全的組織中，信息安全工作得到高層管理的支持。高層支持包括制定信息安全的可用資源和預(yù)算，以及明確聲明信息安全是該組織的優(yōu)先事項(xiàng)。既然由高層管理者為組織確定優(yōu)先級(jí)并定下基調(diào)，那么沒(méi)有他們明確和持續(xù)的支持、想要成為一家安全的組織將極為困難。近期接連發(fā)生倍受矚目的安全事件，這促使多數(shù)高層管理者現(xiàn)在理解到信息安全工作的重要性，并將支持信息安全工作的投入。

2. 安全的組織會(huì)定期識(shí)別并記錄客戶和/或公司自有的敏感數(shù)據(jù)如何流入、經(jīng)過(guò)和流出組織。這使得組織能夠集中時(shí)間、精力和金錢在敏感數(shù)據(jù)保護(hù)上。相反，一個(gè)組織難以去保護(hù)它并不了解的目標(biāo)，而且如果組織不執(zhí)行這項(xiàng)工作的話，他們也難以做出努力去保護(hù)他們的數(shù)據(jù)。

3. 安全的組織會(huì)為所有處理、傳輸或存儲(chǔ)敏感數(shù)據(jù)的系統(tǒng)創(chuàng)建和維護(hù)一份正式的記錄清單—包括操作系統(tǒng)，物理的或是虛擬化的，以及已經(jīng)安裝了哪些主要應(yīng)用程序。沒(méi)有這樣一份清單，組織不能充分理解它所必須保護(hù)的系統(tǒng)。而具備這樣一份清單，組織得以快速確定特定的安全漏洞是否會(huì)影響該組織的相關(guān)系統(tǒng)。

4. 安全的組織會(huì)對(duì)敏感系統(tǒng)與非敏感系統(tǒng)進(jìn)行分區(qū)隔離，具體通過(guò)跳板模式配置、防火墻規(guī)則、路由器訪問(wèn)控制列表(ACL)或交換機(jī)VLAN劃分。這樣能使得組織內(nèi)敏感系統(tǒng)的攻擊面最小化，并允許嚴(yán)格控制和有日志記錄的系統(tǒng)訪問(wèn)。

5. 安全的組織具備強(qiáng)變更控制流程，并被嚴(yán)格執(zhí)行。包括緊急變更在內(nèi)的各項(xiàng)變更都會(huì)被完整記錄，然后進(jìn)行正式審核并被批準(zhǔn)。未經(jīng)批準(zhǔn)的變更會(huì)導(dǎo)致無(wú)人知曉的安全漏洞，直至安全事件的發(fā)生。

6. 安全的組織具備強(qiáng)配置管理流程。通過(guò)一種自動(dòng)化配置流程或諸如Puppet或Chef這類配置管理軟件工具，對(duì)敏感系統(tǒng)進(jìn)行加固和必要功能的構(gòu)建。初始構(gòu)建以后，使用配置軟件工具周期性檢查系統(tǒng)配置、確保系統(tǒng)保持加固狀態(tài)，或者采用強(qiáng)變更控制以維護(hù)系統(tǒng)配置并防止服務(wù)器蠕變。

7. 安全的組織存儲(chǔ)盡可能少的敏感信息在它們的系統(tǒng)上。對(duì)于那些出于商業(yè)或法律原因必須保存的敏感信息，遵循每一個(gè)正式記錄的數(shù)據(jù)保留策略、存儲(chǔ)在盡可能少的系統(tǒng)上，當(dāng)不再需要時(shí)則予以安全地刪除。所有存儲(chǔ)的敏感信息會(huì)被定期審查并應(yīng)證明是正當(dāng)存儲(chǔ)。

8. 安全的組織都采用強(qiáng)加密存儲(chǔ)和傳輸敏感數(shù)據(jù)，并具備強(qiáng)健的加密密鑰管理步驟和流程。如果進(jìn)行正確實(shí)施和管理，強(qiáng)加密的數(shù)據(jù)本質(zhì)上是“無(wú)法破解的”且對(duì)攻擊者不可用。

9. 安全的組織持續(xù)收集和檢查敏感系統(tǒng)產(chǎn)生的日志。使用腳本或自動(dòng)化流程按照預(yù)定義事件進(jìn)行日志檢索，例如添加新帳號(hào)一類事件。當(dāng)檢測(cè)到這樣的事件，會(huì)發(fā)送告警給具體負(fù)責(zé)的員工，后續(xù)由他負(fù)責(zé)事件調(diào)查。

10. 安全的組織通過(guò)脆弱性掃描或滲透測(cè)試，定期測(cè)試敏感系統(tǒng)的脆弱性。正確、定期完成這樣的測(cè)試，能對(duì)組織安全控制的有效性提供“真實(shí)世界”的確認(rèn)。如果一個(gè)組織未在測(cè)試它的防御能力，那么黑客很可能會(huì)做這項(xiàng)測(cè)試—當(dāng)然他們并不會(huì)報(bào)告最終結(jié)果。

結(jié)論

上述這十項(xiàng)良好的安全習(xí)慣可以使組織安全并保持它的安全性。通過(guò)細(xì)致的規(guī)劃和設(shè)計(jì)，這些特質(zhì)可能成為組織的一部分，即使組織未采購(gòu)或?qū)嵤?fù)雜且昂貴的技術(shù)方案。