中小企業資訊保安解決篇

在該連載的上篇中，我們探討了中小企業資訊保安的現狀，並集中闡述了中小企業在安全意識、投入能力、技術儲備等方面所面臨的問題。讀罷該文，可能給大家一種在中小企業中實施資訊保安步履維艱之感，但事實是否如此呢？可以說答案是否定的，因為在現實中，每個企業的客觀情況都不同，我們所談到的問題只是中小企業相對於較大規模企業的一些弱勢，而由於中小企業固有的靈活性和可控性，只要在實施資訊保安的過程中對這些問題多加註意，成功地完成資訊保安工作還是相當樂觀的。下面我們結合中小企業的情況，提供一些適合中小企業使用的安全工作框架和流程。

在我們實施資訊保安工程之前，需要制訂一套完善的資訊保安策略，該套策略是企業資訊保安的基礎，本文中所講的資訊保安策略不僅指最高階的要求、描述和方向，也囊括了最細化的解決方案。

簡單來說，企業的資訊保安規劃主要需要解決兩個問題：要保護什麼以及如何保護。從使用資訊的裝置到儲存資訊的位置，從Internet連結到公司僱員，資訊保安工作面向的保護物件其實是相當廣泛的，從保護措施來看，也不僅僅是人們慣常所想的許可權控制、加密等等，根據資訊保安策略的覆蓋範圍，資料室門鎖的配備要求、效能指標、技術型別等也可能成為安全策略的重要內容。首先我們需要了解哪些資訊資產屬於需要保護的範疇，識別被保護物件這個任務可以通過資訊分級、風險評估等技術完成。企業可以建立一套資訊分級系統，將企業的所有資訊資產劃分到不同的級別當中，這樣就可以相對容易的知道哪些是必須得到保護的（如專利技術和戰略規劃等），哪些是應該得到保護的（如客戶資訊和生產成本資料），以及哪些是不需要進行保護的（如產品宣傳資料）。在進行資訊分級工作的同時，還應該評估所有資訊資產所面臨的安全風險。資訊分級體現了資訊資產受到威脅時所造成的影響程度，而風險評估能夠使我們瞭解到資訊資產受到威脅的可能性。完成上述工作之後，我們會對被保護物件的情況有一個整體而清晰的認識，在這個基礎上，我們就可以針對不同的物件設計出相應的安全措施。在設計安全措施時我們需要遵循一些基本原則：資訊系統所面臨的風險應小於其創造的價值以及在安全上的投入應低於所保護物件的價值；舉例來說，企業的客戶資料庫中儲存了所有客戶的聯絡方式及信用卡資訊，如果我們不對該資料庫進行有效的安全管理，很可能有人通過盜用這些資訊進行詐騙，這種風險通常就超過了我們利用這些資料庫進行工作所帶來的便利，而如果這些資料的綜合價值在十萬元左右，我們就不應該為保護這些資料購買一套價值二十萬元的防火牆，這個投入額度顯然遠遠超過了這些資料的價值，而且單純的部署防火牆裝置只能在一定程度上防止對資料庫的惡意攻擊而不能阻止員工對資料庫的濫用。

在安全實施過程中，主要的工作是進行設施的選擇、部署、培訓以及開展安全策略教育。安全設施的範疇很廣，既有防病毒軟體、防火牆、入侵檢測系統這樣常見的硬體裝置，也有AAA、PKI這樣的應用解決方案，還包括了授權規劃、訪問控制這樣的的安全規程。我們需要根據安全策略中所設計的要求和內容，有效的完成實施工作，為企業的資訊保安體系提供穩定的平臺。對於資訊保安實施及相關工作的幾點建議是：一定不要在策略完備之前進行實施，這就好像在沒有藍圖的情況下進行建築施工一樣，是極端危險並且毫無成功保障的；實施的成功有賴於決策層的支援，如果企業的管理者不能始終如一的支援該專案，那安全工作無異於一紙空談；安全策略必須在企業中進行充分的宣傳，這也是提高企業整體安全意識的重要步驟之一，只有所有的員工都深刻認識到安全工作的重要性，資訊保安體系才能夠正常的運作；在自身技術資源不足的時候，多徵詢當地專業資訊保安機構的意見，這些機構通常樂意免費提供自己的知識儲備和諮詢力量，並且本地的機構通常能提供較好的應急響應。

我們在該連載的上篇提到過，安全設施的建立並不是安全工作的終結，在完成了資訊保安體系的實施工作之後，相關的管理和維護工作將面臨著更大的考驗，因為設計和實施工作通常有著較為明確的要求，並且具有較為固定的工作期限，而管理和維護工作則是一個不存在終點的程式，特別是由於中小企業安全意識薄弱和技術儲備不足等問題的作用，隨著時間的推移，安全系統的控制能力會不斷的降低，這需要企業認真的施行安全管理，以保障安全系統的效用。

資訊保安管理規程為應用環境變更和安全事故的響應提供了可參考的架構。任何企業都必須面對應用環境的變化，既使只增加了一個應用程式，或者一個職員的崗位發生變化，都可能對整個安全體系造成深刻的影響，所以變更管理在資訊保安工作中起著相當關鍵的作用，變更管理工作的內容包括及時的識別變更並詳細記錄相關資訊，對變更進行足夠的評估，以確定其產生的影響是否會破壞原有的安全策略，如果該變更是可以接受的，我們才能夠實現它，並且在實現之前要做好計劃，在完成變更的同時，我們需要更新相應的安全策略並完成新策略的培訓工作。響應安全事故也是資訊保安工作中的主要組成部分，安全事故通常是指違反安全策略的行為，可能是資訊基礎設施被入侵，也可能是某個員工修改了不允許他訪問的文件，管理安全事故需要企業的全體員工都清楚的理解和貫徹安全策略，因為對於安全事故來說，時間是非常非常重要的，儘早的識別安全事故的發生能夠從很大程度上降低企業的損失，而且全員的良好參與能夠有效的減少安全事故的發生機率。為了有效的對安全事故做出響應，應該事先針對安全策略建立起應急響應計劃，即使沒有足夠的技術力量建立自己的應急響應小組，至少也應該在管理規程中標註出發生各種安全事故時，應該採取的步驟和需要聯絡的人員（包括其聯絡方式），而且對於重要的資訊資產，還應該建立災難恢復計劃，以保證在經歷了嚴重的安全事故後，能儘快的恢復到正常狀態，保障企業的業務執行。

    除了以上的三個主要步驟之外，資訊保安事務中還有一項容易被忽略的工作，那就是安全評估。在很多時候，系統管理員僅僅是定期用自己的掃描器對所有的節點進行掃描，事實證明這樣的措施是遠遠不夠的，除了有針對性的進行漏洞掃描之外，所有安全策略中包含的設施都應該被定期檢查，而且應該對照當前的安全策略，以合適的頻率進行補丁升級，按照系統清單跟蹤系統漏洞及其它風險，定期審查安全系統所產生的日誌。評估工作的最主要目的就是：儘可能早的發現潛在的問題。

    在短短的篇幅裡我們無法表述資訊保安實施中的太多細節，而只能結合中小企業的資訊保安要求，概略的對資訊保安工作的框架和流程進行一番探討，並希望這些精煉的資訊能幫助中小企業的資訊保安工作人員更好的規劃自己的工作，不斷的提升您系統的資訊保安水平。

本文轉自 離子翼 51CTO部落格，原文連結：http://blog.51cto.com/ionwing/57297，如需轉載請自行聯絡原作者