|
进行专门的课程培训,让这些培训在轻松的环境下进行。结合实际情况介绍一些安全常识。比如,向他们介绍在使用即时通信工具的时候应该注意些什么。或者当你在做邮件日志记录的时候往往需要按照一定的规范进行,这时候告诉员工们你都做了些什么样的工作,以及为什么要这样做。通过一些现实的例子来告诉他们在紧急情况下应该怎么办。让员工们理解为什么要求定期更换自己的密码,为什么不能把自己的密码写在便笺纸上。
整理出一套常见的问题解答,同时采取其他一些奖励措施,让员工们时刻保持对信息安全的兴趣,长此以往,能让员工们在日常的工作中养成良好的遵守安全政策的习惯。这是我们的真正目标。
目前有很多进行专门安全意识培训的公司,他们往往可以提供一些免费的资料,介绍了他们可以提供的培训的内容。另外还有一些安全手册一类的海报或者小卡片,可以随意贴在办公桌前,营造一个能时刻提醒员工信息安全重要性的环境。
3) 经常开展信息安全自我评估
你最近一次检查防火墙和入侵防御系统(IPS)的补丁和更新是否完成是在什么时候?
大多数的入侵防御系统都可以自动更新,但是至少你要检查系统地这项功能是被激活的。你是否检查了是否存在入侵网络的无线设备?每天有多少笔记本电脑会进出于公司?这些移动设备是否都使用了防火墙是否更新了病毒库?等等。
MITRE 是由美国国土安全部资助的一个项目,用来继续发展CVE系统(the Common Vulnerabilities and Exposures)。这个系统已经有八年历史了,它已经被接受为跟踪计算机和网络设备缺陷的国际标准。可以以CVE的条款为依据,看看在你的所有机器中有多少至少包含一条CVE?有关CVE的详细信息可以在美国国家标准与技术研究院(NIST)的网站上找到。NIST拥有一系列实用的指导系统安装配置的条款,这些条款叫做STIGs,它们都被美国很多联邦政府大量采用。
我们可以好好利用已有的这些资源。美国国防信息系统局(DISA)提供了面向公众的直接对STIGs的访问,在DISA的网站上可以注册加入“STIG-News”邮件列表,这样随时能得到有关STIGs的最新信息。
你现在就可以开始研究一下STIG中有关windows服务器中的内容,检查一下是否能够对你的服务器提供一些原来你没有考虑到的配置建议。当然,类似的服务器设置指导或者条款还有很多,事实上他们中间的任何一个都能够给你足够的帮助。
使用上面说到的这些条款来对自己的系统进行一下安全评估,你可以多少找到一些目前系统中存在的安全漏洞。记录下这些漏洞,并且制定一个可行的计划和步骤来弥补这些漏洞,增强网络的安全性。网络安全是一个过程而不是一个产品。因此需要不断地通过自我评估发现问题,在不断地解决问题的过程中实现网络的安全。
4) 进行有规律的公司自我评估
现在公司中的各级主管,CEO,CFO和CIO们都承受着巨大的压力。一方面因为他们需要管理越来越多的员工,需要保护系统的安全和信息的安全。同时他们还需要负责进行IT规章(IT compliance)中要求的各方面记录,以应付审核。现在很多公司针对这一问题请专门的顾问公司来协助解决。但是这些专门的顾问公司也不会承诺他们的工作一定可以通过审核。在这个问题上倒是没有必要浪费额外的花销去请顾问公司。
无论公司是否正在进行某个IT规章的审核,这些公司都应该先自己进行一下自我评估,熟悉那些影响公司日常组织工作的规范。这些规范包括银行界使用的GLBA,健康和保险业使用的HIPAA,还有电子商务上使用的PCI等等。美国不同的州可能有自己不同的规范。比如在加利福尼亚州,如果某个系统被黑客攻破,那么被攻击的公司必须把这些信息发布到他们的网站上。同时还规定,如果某些用户的数据信息被身份不明的人访问了,那么这些数据的管理者必须将此事通知数据信息的持有人,比如说用户的姓名,账号,驾照号码,账户信息等。如果是美国联邦政府所属的机构,则必须遵守13231号总统令(Executive Order 13231)。该规范要求这些机构保证信息系统畅通,包括应急通信能力以及相关物理设备配置等。
保证你的公司符合一定规范的第一步是记录下为了保护数据所做的所有工作。这样才能够证明你已经遵循了必要的规范,使用了适当的工具,采取了正确的措施来对数据安全性进行了有效的保护。在经过一段时间对照各种规范进行有规律的自我检查和评估之后,你就能发现暴露出的可以产生恶意攻击的问题已经很少了。如果在这样的情况下,你的网络还是被黑客入侵导致数据丢失,至少这时你已经做了所有可以做的事情,并且已经把数据丢失可能造成的损失降低了最小的程度了。
共3页: 上一页 [1] 2 [3] 下一页
|
