有两种方法可以用来制定一个策略管理计划:手动或主动。如果采用前者,应用手动干涉的措施来追踪策略履行情况,如果采用后者,软件工具可以用来检查策略履行情况。
制定一个手动策略管懂得决计划的第一步是创立一套可以反应你的策略目标的流程;流程和领导方针将为日常操作供给必要的细节。
一些典范的流程包含防病毒、密码过期和日志监督。每个流程和领导方针都是对策略具体章节的说明,而且用作实行和配置具体软件解决计划的标准。
应用我们的示例流程,通过制定防病毒解决计划在企业内部应用,防病毒策略设定了一个基调。防病毒流程将正确地概括出这个策略是如何履行的,如何解决更新和紧急事件响应这样的问题。正常情况下,它是通过一个中央把持台来管理的,防病毒规矩被发送到工作站和服务器上。
一个可被接收并应用的策略可以被懂得为几个流程,它们被用来解决电子邮件应用、数据存储和互联网应用等问题。一个WEB应用流程概括了雇员容许访问的网站,履行对访问的限制所采用的技巧,比如WEB内容过滤,以及检查设备日志的频率。
另一个例子是微软的Windows操作系统中的密码过期设置。如果策略请求复杂密码,那么领导方针里就会规定密码的最长生命期,在运动目录中将被设置成应用密码的最大生命期。
懂得信息安全策略是如何用来创立实用而且可履行的把持的,这一点很容易。但是,这个过程相当费力,有些人必须进行干涉以便使位于不同把持点的数据相干联,包含防病毒程序、入侵检测系统、防火墙和认证系统(比如运动目录)。手动监测策略的履行情况是非常繁琐的,潜在的问题包含以下内容:
◆防病毒管理把持台偶尔可能丧失一些服务器或工作站的连接,这样就会在公司网络上造成裸露点,检测这个策略偏离和对它进行改正可能相当费时。
◆对于内容管理供给商来说,将网站错误地进行分类并不是前所未闻的事。举例来说,巧克力制作商Hershey公司的网站曾经就被错误地划分为色情网站。这样的错误可以导致误报,而且,如果某个站点基本没有被分类,就有可能给用户一个绕过系统的方法。监督这样的情况是相当费时而且令人沮丧的。另外,管理用户异常——这些用户可以绕过过滤系统进行研究——使事情变得更复杂,因为需要跟踪这些异常行动,来写合规报告。
◆尽管象运动目录这样的系统可以规定用户必须应用复杂密码,但用户也有可能绕过这样的把持应用一个弱密码。由此,对于安全管理员来说,不定期地应用密码破解工具来审计用户的密码是非常重要的。
主动化来拯救
在进行手动策略管理时需要花费大批的时间和精力,从这点上看,主动化工具是一个相当有吸引力的选择,特别是对大企业来说。
在最近几年里,一些厂商推出了它们的策略管懂得决计划,包含Elemental Security、Solsoft和BindView(今年早些时候被Symantec收购)。大部分厂商的产品将管理软件和策略的创立连接起来,基础上管理者只需要创立策略,软件会履行它们并检查策略遵照情况。
Elemental Security公司的策略管理是以主机为中心的,通过网络将策略实行到服务器和工作站。Solsoft采用以网络为中心的措施,通过网络将策略分到各种网络设备中。BindView也应用以主机为中心的架构,但也供给了一个附加组件可以帮助撰写策略,把策略下发到用户,以及追踪用户的接收和异常情况。
主动化工具的工作是将你的安全策略和流程下发,然后在各把持点进行实行。如上所述,一些工具通过把持网络设备来进行操作,它们将策略转换成网络设备(如路由器)的配置条件。通过基于主机的工具,策略被转换成配置命令。
策略管理产品特别有用的处所是,它们可认为不同的标准供给模板,比如ISO 17799和CobiT,而且可以应用相干的规章来交叉关联它们。你可以根据供给的模板来为你的机构选择必要的策略。
相关阅读