用戶(hù)安全是信息安全體系中最脆弱,也是最難進(jìn)行安全加固的一個(gè)環(huán)節(jié)。試想,你配置了企業(yè)防火墻、加密、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制和防病毒方案,卻不能阻止用戶(hù)進(jìn)行隨便訪(fǎng)問(wèn)網(wǎng)站、下載軟件等有可能威脅到整個(gè)企業(yè)網(wǎng)絡(luò)安全的操作。
怎樣才能讓用戶(hù)按照安全策略上的規(guī)定進(jìn)行操作?怎樣才能確定用戶(hù)理解了你做的安全策略并時(shí)刻遵守它?
參照一些安全專(zhuān)家的建議,并結(jié)合Joker自己平時(shí)的實(shí)踐,Joker試總結(jié)了10個(gè)讓用戶(hù)遵守安全策略的方法:
1、 制定簡(jiǎn)單有效的安全策略
企業(yè)中每個(gè)員工都很忙,每個(gè)員工都有很多事情要忙,沒(méi)人愿意拿出一個(gè)上午的時(shí)間來(lái)仔細(xì)閱讀一份15頁(yè)的安全策略,并根據(jù)這份方案對(duì)自己的機(jī)器及日常工作流程進(jìn)行配置—— 很多時(shí)候,安全策略得不到執(zhí)行,都是因?yàn)樽罱K用戶(hù)沒(méi)有時(shí)間去仔細(xì)閱讀一個(gè)冗長(zhǎng)的安全策略文檔,或者安全策略上的配置方案太長(zhǎng)太瑣碎。在這種情況下,安全策略文檔往往會(huì)像家用電器的說(shuō)明書(shū)一樣—— 沒(méi)人會(huì)去看。
由此可知,一個(gè)簡(jiǎn)單明了,可以短時(shí)間內(nèi)完成配置的安全策略才是最終用戶(hù)可以接受并愿意遵守的,怎么平衡安全與簡(jiǎn)單,就需要在項(xiàng)目中根據(jù)實(shí)際情況進(jìn)行操作。
2、 確定安全策略沒(méi)有和日常工作流程沖突
不少安全策略方案在制定時(shí)并沒(méi)有考慮使用對(duì)象的日常工作流程,只是單純的從安全及技術(shù)角度對(duì)配置和操作進(jìn)行規(guī)定。這種安全策略方案真正實(shí)施起來(lái)常常會(huì)和使用者的工作沖突,使用者往往會(huì)破壞安全策略的規(guī)定而進(jìn)行操作,因此在執(zhí)行一個(gè)制定好的安全策略之前,必須先確定安全策略與用戶(hù)的日常工作流程沒(méi)有沖突。
3、 確定用戶(hù)已經(jīng)閱讀并理解安全策略
安全策略方案制定并分發(fā)下去之后,怎樣確保用戶(hù)已經(jīng)閱讀并理解該方案?這是安全策略在最終用戶(hù)那里得到執(zhí)行的前提。國(guó)外企業(yè)對(duì)這個(gè)問(wèn)題的解決很有參考意義: 在安全策略方案分發(fā)后制定一個(gè)登記表,要求員工閱讀安全策略方案后在表上簽字確認(rèn)。
不過(guò)這種方式有個(gè)缺陷,就是不能對(duì)員工是否真的閱讀過(guò)安全策略文檔進(jìn)行確認(rèn),所以可以對(duì)上述解決方案進(jìn)行補(bǔ)充,在安全策略方案分發(fā)后先對(duì)員工進(jìn)行簡(jiǎn)單的安全策略實(shí)施培訓(xùn),這將對(duì)安全策略的實(shí)施及執(zhí)行效果有顯著的提升。
4、 從高層獲得安全策略的執(zhí)行支持
安全策略制定之后,常常會(huì)遇上一個(gè)問(wèn)題,根據(jù)安全策略,某個(gè)操作或者某個(gè)配置是有問(wèn)題的,但是用戶(hù)卻置若罔聞,而作為外來(lái)者的安全策略制定者,也往往無(wú)法對(duì)用戶(hù)產(chǎn)生足夠的權(quán)威和影響。因此,要解決這樣的問(wèn)題的,只有從客戶(hù)的高層管理機(jī)構(gòu)或者部門(mén)管理機(jī)構(gòu)獲得安全策略的執(zhí)行支持這一途徑。
5、 讓最終用戶(hù)了解不遵守安全策略可能造成的后果
很多最終用戶(hù)不把安全策略當(dāng)一回事往往是因?yàn)樗麄儚膩?lái)沒(méi)有經(jīng)歷過(guò)信息安全事故,也從來(lái)沒(méi)有因此各種信息安全威脅而導(dǎo)致工作流程的癱瘓。就像學(xué)車(chē)的時(shí)候駕校的教練常常帶學(xué)員看交通事故的資料及展覽,伴隨安全策略方案一塊提供的信息安全事故案例可以從很大程度上使最終用戶(hù)了解不安全策略進(jìn)行配置的后果的嚴(yán)重性。
6、 加強(qiáng)最終用戶(hù)培訓(xùn)
安全策略制定的一個(gè)常見(jiàn)錯(cuò)誤是制定者把最終用戶(hù)的技術(shù)培訓(xùn)當(dāng)做一次性的活動(dòng),在安全策略實(shí)施后只進(jìn)行一次安全技術(shù)的培訓(xùn)就萬(wàn)事大吉。其實(shí),正確的方法是不定期對(duì)最終用戶(hù)進(jìn)行安全策略及安全技術(shù)的簡(jiǎn)單培訓(xùn),尤其是安全策略進(jìn)行修改或面臨新的安全威脅、部署新的安全解決方案之后,更要對(duì)用戶(hù)進(jìn)行二次培訓(xùn),以加強(qiáng)安全策略的有效程度。
7、 建立最終用戶(hù)和技術(shù)部門(mén)的溝通渠道
最終用戶(hù)里面有很大一部分并不是計(jì)算機(jī)專(zhuān)業(yè)人士,或者連計(jì)算機(jī)操作都不怎么熟練。他們常常不清楚他們對(duì)自己的機(jī)器能做什么、不能做什么、為什么要這樣那樣做。但是他們常常又羞于去問(wèn)別人,害怕別人認(rèn)為他們知識(shí)缺乏、不夠?qū)I(yè)。由此導(dǎo)致安全策略在這些用戶(hù)這里得不到完全實(shí)施甚至無(wú)效。
對(duì)這種問(wèn)題的解決只能靠加強(qiáng)最終用戶(hù)和企業(yè)技術(shù)部門(mén)的交流,并建立有效的信息溝通渠道,定期不定期的小組討論或者定點(diǎn)問(wèn)題解答都是不錯(cuò)的方案。
8、 對(duì)用戶(hù)及安全策略的實(shí)施進(jìn)行安全測(cè)試
在安全策略方案分發(fā)之后,建議其有效性的最好方法是什么? 答案是:使用實(shí)際環(huán)境的條件對(duì)其進(jìn)行檢測(cè)。技術(shù)部門(mén)或者安全策略制定者可以根據(jù)面臨的安全威脅,并結(jié)合技術(shù)手段,對(duì)使用安全策略配置后的工作環(huán)境進(jìn)行模擬攻擊和滲透,對(duì)安全策略方案本身的有效性和實(shí)施的程度進(jìn)行檢測(cè),并使用檢測(cè)的結(jié)果對(duì)安全策略及其部署進(jìn)行進(jìn)一步的完善。
9、 監(jiān)控最終用戶(hù)的上網(wǎng)行為
不少企業(yè)部署安全策略方案,卻缺乏方案部署后對(duì)最終用戶(hù)使用網(wǎng)絡(luò)及信息資源的監(jiān)控手段,即使最終用戶(hù)違反了安全策略方案使用信息資源也沒(méi)有很好的處理手段。目前市場(chǎng)上有不少日志分析和實(shí)時(shí)監(jiān)控等功能的工具,使用這類(lèi)工具對(duì)最終用戶(hù)的上網(wǎng)行為進(jìn)行監(jiān)控,能對(duì)安全策略的實(shí)施進(jìn)行很好的補(bǔ)充及加強(qiáng)。
10、保持安全策略的更新
信息安全技術(shù)日新月異,企業(yè)所面臨的信息安全威脅也隨著時(shí)間的推移不斷而不斷改變。一個(gè)過(guò)期的安全策略不能對(duì)企業(yè)的信息安全起到足夠的保護(hù)作用。安全策略也需要根據(jù)企業(yè)的安全需求和技術(shù)發(fā)展進(jìn)行不斷的修改更新,才能保證企業(yè)的信息安全不受新的信息安全威脅的影響。
