用戶安全是信息安全體系中最脆弱，也是最難進(jìn)行安全加固的一個環(huán)節(jié)。試想，你配置了企業(yè)防火墻、加密、網(wǎng)絡(luò)訪問控制和防病毒方案，卻不能阻止用戶進(jìn)行隨便訪問網(wǎng)站、下載軟件等有可能威脅到整個企業(yè)網(wǎng)絡(luò)安全的操作。

怎樣才能讓用戶按照安全策略上的規(guī)定進(jìn)行操作？怎樣才能確定用戶理解了你做的安全策略并時刻遵守它？

參照一些安全專家的建議，并結(jié)合Joker自己平時的實踐，Joker試總結(jié)了10個讓用戶遵守安全策略的方法：

1、 制定簡單有效的安全策略

企業(yè)中每個員工都很忙，每個員工都有很多事情要忙，沒人愿意拿出一個上午的時間來仔細(xì)閱讀一份15頁的安全策略，并根據(jù)這份方案對自己的機(jī)器及日常工作流程進(jìn)行配置—— 很多時候，安全策略得不到執(zhí)行，都是因為最終用戶沒有時間去仔細(xì)閱讀一個冗長的安全策略文檔，或者安全策略上的配置方案太長太瑣碎。在這種情況下，安全策略文檔往往會像家用電器的說明書一樣—— 沒人會去看。
由此可知，一個簡單明了，可以短時間內(nèi)完成配置的安全策略才是最終用戶可以接受并愿意遵守的，怎么平衡安全與簡單，就需要在項目中根據(jù)實際情況進(jìn)行操作。

2、 確定安全策略沒有和日常工作流程沖突

不少安全策略方案在制定時并沒有考慮使用對象的日常工作流程，只是單純的從安全及技術(shù)角度對配置和操作進(jìn)行規(guī)定。這種安全策略方案真正實施起來常常會和使用者的工作沖突，使用者往往會破壞安全策略的規(guī)定而進(jìn)行操作，因此在執(zhí)行一個制定好的安全策略之前，必須先確定安全策略與用戶的日常工作流程沒有沖突。

3、 確定用戶已經(jīng)閱讀并理解安全策略

安全策略方案制定并分發(fā)下去之后，怎樣確保用戶已經(jīng)閱讀并理解該方案？這是安全策略在最終用戶那里得到執(zhí)行的前提。國外企業(yè)對這個問題的解決很有參考意義： 在安全策略方案分發(fā)后制定一個登記表，要求員工閱讀安全策略方案后在表上簽字確認(rèn)。

不過這種方式有個缺陷，就是不能對員工是否真的閱讀過安全策略文檔進(jìn)行確認(rèn)，所以可以對上述解決方案進(jìn)行補(bǔ)充，在安全策略方案分發(fā)后先對員工進(jìn)行簡單的安全策略實施培訓(xùn)，這將對安全策略的實施及執(zhí)行效果有顯著的提升。

4、 從高層獲得安全策略的執(zhí)行支持

安全策略制定之后，常常會遇上一個問題，根據(jù)安全策略，某個操作或者某個配置是有問題的，但是用戶卻置若罔聞，而作為外來者的安全策略制定者，也往往無法對用戶產(chǎn)生足夠的權(quán)威和影響。因此，要解決這樣的問題的，只有從客戶的高層管理機(jī)構(gòu)或者部門管理機(jī)構(gòu)獲得安全策略的執(zhí)行支持這一途徑。

5、 讓最終用戶了解不遵守安全策略可能造成的后果

很多最終用戶不把安全策略當(dāng)一回事往往是因為他們從來沒有經(jīng)歷過信息安全事故，也從來沒有因此各種信息安全威脅而導(dǎo)致工作流程的癱瘓。就像學(xué)車的時候駕校的教練常常帶學(xué)員看交通事故的資料及展覽，伴隨安全策略方案一塊提供的信息安全事故案例可以從很大程度上使最終用戶了解不安全策略進(jìn)行配置的后果的嚴(yán)重性。

6、 加強(qiáng)最終用戶培訓(xùn)

安全策略制定的一個常見錯誤是制定者把最終用戶的技術(shù)培訓(xùn)當(dāng)做一次性的活動，在安全策略實施后只進(jìn)行一次安全技術(shù)的培訓(xùn)就萬事大吉。其實，正確的方法是不定期對最終用戶進(jìn)行安全策略及安全技術(shù)的簡單培訓(xùn)，尤其是安全策略進(jìn)行修改或面臨新的安全威脅、部署新的安全解決方案之后，更要對用戶進(jìn)行二次培訓(xùn)，以加強(qiáng)安全策略的有效程度。

7、 建立最終用戶和技術(shù)部門的溝通渠道

最終用戶里面有很大一部分并不是計算機(jī)專業(yè)人士，或者連計算機(jī)操作都不怎么熟練。他們常常不清楚他們對自己的機(jī)器能做什么、不能做什么、為什么要這樣那樣做。但是他們常常又羞于去問別人，害怕別人認(rèn)為他們知識缺乏、不夠?qū)I(yè)。由此導(dǎo)致安全策略在這些用戶這里得不到完全實施甚至無效。

對這種問題的解決只能靠加強(qiáng)最終用戶和企業(yè)技術(shù)部門的交流，并建立有效的信息溝通渠道，定期不定期的小組討論或者定點問題解答都是不錯的方案。

8、 對用戶及安全策略的實施進(jìn)行安全測試

在安全策略方案分發(fā)之后，建議其有效性的最好方法是什么？ 答案是：使用實際環(huán)境的條件對其進(jìn)行檢測。技術(shù)部門或者安全策略制定者可以根據(jù)面臨的安全威脅，并結(jié)合技術(shù)手段，對使用安全策略配置后的工作環(huán)境進(jìn)行模擬攻擊和滲透，對安全策略方案本身的有效性和實施的程度進(jìn)行檢測，并使用檢測的結(jié)果對安全策略及其部署進(jìn)行進(jìn)一步的完善。

9、 監(jiān)控最終用戶的上網(wǎng)行為

不少企業(yè)部署安全策略方案，卻缺乏方案部署后對最終用戶使用網(wǎng)絡(luò)及信息資源的監(jiān)控手段，即使最終用戶違反了安全策略方案使用信息資源也沒有很好的處理手段。目前市場上有不少日志分析和實時監(jiān)控等功能的工具，使用這類工具對最終用戶的上網(wǎng)行為進(jìn)行監(jiān)控，能對安全策略的實施進(jìn)行很好的補(bǔ)充及加強(qiáng)。

10、保持安全策略的更新

信息安全技術(shù)日新月異，企業(yè)所面臨的信息安全威脅也隨著時間的推移不斷而不斷改變。一個過期的安全策略不能對企業(yè)的信息安全起到足夠的保護(hù)作用。安全策略也需要根據(jù)企業(yè)的安全需求和技術(shù)發(fā)展進(jìn)行不斷的修改更新，才能保證企業(yè)的信息安全不受新的信息安全威脅的影響。