用戶安全是信息安全體系中最脆弱,也是最難進行安全加固的一個環(huán)節(jié)。試想,你配置了企業(yè)防火墻、加密、網(wǎng)絡訪問控制和防病毒方案,卻不能阻止用戶進行隨便訪問網(wǎng)站、下載軟件等有可能威脅到整個企業(yè)網(wǎng)絡安全的操作。
怎樣才能讓用戶按照安全策略上的規(guī)定進行操作?怎樣才能確定用戶理解了你做的安全策略并時刻遵守它?
參照一些安全專家的建議,并結合Joker自己平時的實踐,Joker試總結了10個讓用戶遵守安全策略的方法:
1、 制定簡單有效的安全策略
企業(yè)中每個員工都很忙,每個員工都有很多事情要忙,沒人愿意拿出一個上午的時間來仔細閱讀一份15頁的安全策略,并根據(jù)這份方案對自己的機器及日常工作流程進行配置—— 很多時候,安全策略得不到執(zhí)行,都是因為最終用戶沒有時間去仔細閱讀一個冗長的安全策略文檔,或者安全策略上的配置方案太長太瑣碎。在這種情況下,安全策略文檔往往會像家用電器的說明書一樣—— 沒人會去看。
由此可知,一個簡單明了,可以短時間內完成配置的安全策略才是最終用戶可以接受并愿意遵守的,怎么平衡安全與簡單,就需要在項目中根據(jù)實際情況進行操作。
2、 確定安全策略沒有和日常工作流程沖突
不少安全策略方案在制定時并沒有考慮使用對象的日常工作流程,只是單純的從安全及技術角度對配置和操作進行規(guī)定。這種安全策略方案真正實施起來常常會和使用者的工作沖突,使用者往往會破壞安全策略的規(guī)定而進行操作,因此在執(zhí)行一個制定好的安全策略之前,必須先確定安全策略與用戶的日常工作流程沒有沖突。
3、 確定用戶已經(jīng)閱讀并理解安全策略
安全策略方案制定并分發(fā)下去之后,怎樣確保用戶已經(jīng)閱讀并理解該方案?這是安全策略在最終用戶那里得到執(zhí)行的前提。國外企業(yè)對這個問題的解決很有參考意義: 在安全策略方案分發(fā)后制定一個登記表,要求員工閱讀安全策略方案后在表上簽字確認。
不過這種方式有個缺陷,就是不能對員工是否真的閱讀過安全策略文檔進行確認,所以可以對上述解決方案進行補充,在安全策略方案分發(fā)后先對員工進行簡單的安全策略實施培訓,這將對安全策略的實施及執(zhí)行效果有顯著的提升。
4、 從高層獲得安全策略的執(zhí)行支持
安全策略制定之后,常常會遇上一個問題,根據(jù)安全策略,某個操作或者某個配置是有問題的,但是用戶卻置若罔聞,而作為外來者的安全策略制定者,也往往無法對用戶產(chǎn)生足夠的權威和影響。因此,要解決這樣的問題的,只有從客戶的高層管理機構或者部門管理機構獲得安全策略的執(zhí)行支持這一途徑。
5、 讓最終用戶了解不遵守安全策略可能造成的后果
很多最終用戶不把安全策略當一回事往往是因為他們從來沒有經(jīng)歷過信息安全事故,也從來沒有因此各種信息安全威脅而導致工作流程的癱瘓。就像學車的時候駕校的教練常常帶學員看交通事故的資料及展覽,伴隨安全策略方案一塊提供的信息安全事故案例可以從很大程度上使最終用戶了解不安全策略進行配置的后果的嚴重性。
6、 加強最終用戶培訓
安全策略制定的一個常見錯誤是制定者把最終用戶的技術培訓當做一次性的活動,在安全策略實施后只進行一次安全技術的培訓就萬事大吉。其實,正確的方法是不定期對最終用戶進行安全策略及安全技術的簡單培訓,尤其是安全策略進行修改或面臨新的安全威脅、部署新的安全解決方案之后,更要對用戶進行二次培訓,以加強安全策略的有效程度。
7、 建立最終用戶和技術部門的溝通渠道
最終用戶里面有很大一部分并不是計算機專業(yè)人士,或者連計算機操作都不怎么熟練。他們常常不清楚他們對自己的機器能做什么、不能做什么、為什么要這樣那樣做。但是他們常常又羞于去問別人,害怕別人認為他們知識缺乏、不夠專業(yè)。由此導致安全策略在這些用戶這里得不到完全實施甚至無效。
對這種問題的解決只能靠加強最終用戶和企業(yè)技術部門的交流,并建立有效的信息溝通渠道,定期不定期的小組討論或者定點問題解答都是不錯的方案。
8、 對用戶及安全策略的實施進行安全測試
在安全策略方案分發(fā)之后,建議其有效性的最好方法是什么? 答案是:使用實際環(huán)境的條件對其進行檢測。技術部門或者安全策略制定者可以根據(jù)面臨的安全威脅,并結合技術手段,對使用安全策略配置后的工作環(huán)境進行模擬攻擊和滲透,對安全策略方案本身的有效性和實施的程度進行檢測,并使用檢測的結果對安全策略及其部署進行進一步的完善。
9、 監(jiān)控最終用戶的上網(wǎng)行為
不少企業(yè)部署安全策略方案,卻缺乏方案部署后對最終用戶使用網(wǎng)絡及信息資源的監(jiān)控手段,即使最終用戶違反了安全策略方案使用信息資源也沒有很好的處理手段。目前市場上有不少日志分析和實時監(jiān)控等功能的工具,使用這類工具對最終用戶的上網(wǎng)行為進行監(jiān)控,能對安全策略的實施進行很好的補充及加強。
10、保持安全策略的更新
信息安全技術日新月異,企業(yè)所面臨的信息安全威脅也隨著時間的推移不斷而不斷改變。一個過期的安全策略不能對企業(yè)的信息安全起到足夠的保護作用。安全策略也需要根據(jù)企業(yè)的安全需求和技術發(fā)展進行不斷的修改更新,才能保證企業(yè)的信息安全不受新的信息安全威脅的影響。
