計(jì)算機(jī)及其處理的信息對(duì)于許多公司完成其使命和業(yè)務(wù)功能是至關(guān)重要的。因此高級(jí)管理人員通常將計(jì)算機(jī)安全視為管理問(wèn)題,他們像保護(hù)其它任何有價(jià)資產(chǎn)那樣尋求對(duì)機(jī)構(gòu)計(jì)算機(jī)資源的保護(hù)。為了有效地進(jìn)行保護(hù)就需要制定廣泛全面的管理措施。
這里介紹整個(gè)機(jī)構(gòu)范圍的計(jì)算機(jī)安全措施并討論其重要的管理功能。由于機(jī)構(gòu)的規(guī)模、復(fù)雜程度、管理風(fēng)格和文化各不相同,不可能描述出一種理想的計(jì)算機(jī)安全項(xiàng)目。但是這里還是描述了一些對(duì)于許多機(jī)構(gòu)都通用的特性和問(wèn)題。其中包括:
計(jì)算機(jī)安全項(xiàng)目的架構(gòu)
核心級(jí)計(jì)算機(jī)安全項(xiàng)目
有效的核心級(jí)計(jì)算機(jī)安全項(xiàng)目的要素
系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目
有效的系統(tǒng)級(jí)項(xiàng)目的要素
核心級(jí)和系統(tǒng)級(jí)項(xiàng)目的相互作用
1. 計(jì)算機(jī)安全項(xiàng)目的架構(gòu)
許多計(jì)算機(jī)安全項(xiàng)目被分配給整個(gè)機(jī)構(gòu)中執(zhí)行不同職能的不同部門(mén)來(lái)完成。這種方法有其優(yōu)點(diǎn),但是許多機(jī)構(gòu)中計(jì)算機(jī)安全職能的分配是隨意的,通常是基于歷史原因(如機(jī)構(gòu)在有工作需要時(shí)正好可以使用的人)。理想的情況是,計(jì)算機(jī)安全職能的分配應(yīng)該有計(jì)劃地按照整體的管理思路進(jìn)行。
在多個(gè)層次進(jìn)行計(jì)算機(jī)安全管理能夠帶來(lái)很多好處。每一個(gè)層次都能夠?yàn)檎w計(jì)算機(jī)安全項(xiàng)目提供不同的專(zhuān)門(mén)技術(shù)、權(quán)力和資源。通常,級(jí)別越高的官員對(duì)機(jī)構(gòu)整體的了解越全面其權(quán)力也越大。另一方面,官員的級(jí)別越低(在計(jì)算機(jī)設(shè)施和應(yīng)用級(jí)的官員)對(duì)具體需求就越熟悉,其中包括技術(shù)的和規(guī)程的需求,也包括系統(tǒng)和用戶(hù)的問(wèn)題。計(jì)算機(jī)安全項(xiàng)目管理的各級(jí)別應(yīng)該互為補(bǔ)充,互相幫助會(huì)提高效率。
因?yàn)樵S多機(jī)構(gòu)至少有兩個(gè)計(jì)算機(jī)安全管理級(jí)別,所以本章將計(jì)算機(jī)安全管理分為兩級(jí):核心級(jí)和系統(tǒng)級(jí)(當(dāng)然,每個(gè)機(jī)構(gòu)可以有自己獨(dú)特的架構(gòu))。核心級(jí)計(jì)算機(jī)安全項(xiàng)目可以被用于處理機(jī)構(gòu)整體的或機(jī)構(gòu)主要部分的計(jì)算機(jī)安全管理。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目處理特定系統(tǒng)的計(jì)算機(jī)安全管理。
2. 核心級(jí)計(jì)算機(jī)安全項(xiàng)目
核心級(jí)計(jì)算機(jī)安全項(xiàng)目的目的是處理機(jī)構(gòu)內(nèi)整體的計(jì)算機(jī)安全管理。
與所有的資源管理一樣,可以使用多種手段和具有成本效益的方式來(lái)進(jìn)行核心級(jí)計(jì)算機(jī)安全管理。良好管理的重要性是怎么強(qiáng)調(diào)也不過(guò)分的。
對(duì)計(jì)算機(jī)安全項(xiàng)目的核心級(jí)管理也具有向下的趨勢(shì)。特別應(yīng)該引起注意的是,這造成了決策失誤在整個(gè)機(jī)構(gòu)中廣泛傳遞的巨大風(fēng)險(xiǎn)。管理者在努力達(dá)成其目標(biāo)時(shí),需要考慮建立計(jì)算機(jī)安全項(xiàng)目的所有可能選擇的全面影響。
核心計(jì)算機(jī)安全項(xiàng)目的益處核心安全項(xiàng)目應(yīng)該提供兩種不同類(lèi)型的益處:
提高整個(gè)機(jī)構(gòu)中的安全效率和經(jīng)濟(jì)性
提供集中式的執(zhí)行和監(jiān)督能力。
核心計(jì)算機(jī)安全項(xiàng)目幫助對(duì)整個(gè)機(jī)構(gòu)中安全相關(guān)資源的有效使用進(jìn)行協(xié)調(diào)和管理?!?br>
這些資源中最重要的通常是信息和金融資源。
管理者需要良好和及時(shí)的信息以便有效完成其任務(wù)。但是,多數(shù)機(jī)構(gòu)難以做到在金字塔式的資源架構(gòu)中收集和有效處理信息并在機(jī)構(gòu)中對(duì)信息進(jìn)行分發(fā)。
計(jì)算機(jī)安全相關(guān)的信息可以從私營(yíng)或公共機(jī)構(gòu)得到。這些機(jī)構(gòu)經(jīng)常做為公共服務(wù)機(jī)構(gòu)提供信息,當(dāng)然也有一些私人組織提供付費(fèi)信息。但是,既使是免費(fèi)或便宜的信息,其信息收集人員的相關(guān)費(fèi)用也可能很高。
內(nèi)部的安全相關(guān)信息,如哪些規(guī)程是有效的、病毒的感染、安全問(wèn)題和解決方案需要在機(jī)構(gòu)中分享。通常,這些信息是針對(duì)機(jī)構(gòu)的運(yùn)行環(huán)境和企業(yè)文化的。
在機(jī)構(gòu)級(jí)別進(jìn)行管理的計(jì)算機(jī)安全項(xiàng)目為在整個(gè)機(jī)構(gòu)范圍內(nèi)收集內(nèi)部安全相關(guān)信息和根據(jù)需要對(duì)其進(jìn)行分配提供了一種途徑。有時(shí)機(jī)構(gòu)也可以與外部組織分享這些信息。
有效導(dǎo)入信息的另一種方法是增強(qiáng)核心計(jì)算機(jī)安全項(xiàng)目影響外部和內(nèi)部決策的能力。如果核心計(jì)算機(jī)安全項(xiàng)目人員能夠體現(xiàn)整個(gè)機(jī)構(gòu)的利益,那么其建議就更能夠引起上層管理人員和外部機(jī)構(gòu)的關(guān)注。但是,要有效地做到這一點(diǎn),系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目和機(jī)構(gòu)級(jí)計(jì)算機(jī)安全項(xiàng)目之間就應(yīng)該有很好的溝通。例如,如果一個(gè)機(jī)構(gòu)考慮將其大型機(jī)整合到一個(gè)站點(diǎn)(或考慮將現(xiàn)在一個(gè)站點(diǎn)中的處理分布出去),核心項(xiàng)目的人員就可以對(duì)其所牽涉到的安全問(wèn)題提出初步意見(jiàn)。但是,要想使其意見(jiàn)更具權(quán)威性,核心項(xiàng)目人員就要實(shí)際了解將要進(jìn)行的系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目預(yù)計(jì)進(jìn)行的信息更改將會(huì)帶來(lái)的安全影響。
除了能夠幫助機(jī)構(gòu)更經(jīng)濟(jì)有效地使用信息,計(jì)算機(jī)安全項(xiàng)目還能夠幫助機(jī)構(gòu)更好地使用本來(lái)就不多的安全經(jīng)費(fèi)。機(jī)構(gòu)可以開(kāi)發(fā)專(zhuān)門(mén)技術(shù)然后進(jìn)行分享以減少重復(fù)為同一服務(wù)簽訂合同的需要。核心計(jì)算機(jī)安全項(xiàng)目可以協(xié)助進(jìn)行信息分享。
位于核心計(jì)算機(jī)安全項(xiàng)目層次上的人員也可以開(kāi)發(fā)他們自己領(lǐng)域的專(zhuān)門(mén)技術(shù)。例如,他們可以加強(qiáng)自己在應(yīng)急計(jì)劃和風(fēng)險(xiǎn)分析方面的技巧以協(xié)助整個(gè)機(jī)構(gòu)完成其重要的安全任務(wù)。
除了允許機(jī)構(gòu)分享專(zhuān)門(mén)技術(shù)以節(jié)約金錢(qián)以外,核心計(jì)算機(jī)安全項(xiàng)目可以利用其所處的地位整合需求以便機(jī)構(gòu)可以基于對(duì)安全硬件和軟件的批量采購(gòu)來(lái)協(xié)商優(yōu)惠折扣率。它還可以協(xié)助諸如戰(zhàn)略計(jì)劃、整個(gè)機(jī)構(gòu)范圍的事件處理和安全趨勢(shì)分析等活動(dòng)。
除了協(xié)助機(jī)構(gòu)提高計(jì)算機(jī)安全項(xiàng)目的經(jīng)濟(jì)效益和其效率,核心項(xiàng)目還可以包含獨(dú)立的評(píng)估或執(zhí)行職能以確保機(jī)構(gòu)的分支單位更經(jīng)濟(jì)有效地保護(hù)資源和遵循既定策略。有多種理由需要在常規(guī)的管理管道中設(shè)立監(jiān)督職能。首先,計(jì)算機(jī)安全是機(jī)構(gòu)資源管理的重要部分。這是一項(xiàng)無(wú)法轉(zhuǎn)嫁或放棄的責(zé)任。其次,進(jìn)行有效的監(jiān)督可以使機(jī)構(gòu)在避免導(dǎo)致尷尬處境的前提下發(fā)現(xiàn)和解決問(wèn)題。第三,機(jī)構(gòu)可能發(fā)現(xiàn)外部機(jī)構(gòu)無(wú)法發(fā)現(xiàn)的問(wèn)題。機(jī)構(gòu)比外部機(jī)構(gòu)更了解其資產(chǎn)、威脅、系統(tǒng)和規(guī)程;人們與內(nèi)部人員合作時(shí)更坦白。
3. 有效的核心級(jí)計(jì)算機(jī)安全項(xiàng)目的要素
為了使核心計(jì)算機(jī)安全項(xiàng)目發(fā)揮效用,應(yīng)該將其做為機(jī)構(gòu)管理的一部分。如果系統(tǒng)管理者和應(yīng)用擁有者不需要與安全項(xiàng)目始終如一地相結(jié)合,那么它就會(huì)變成上層管理者“許諾安全”的華而不實(shí)的裝飾。
穩(wěn)定的項(xiàng)目管理職能 制定良好的項(xiàng)目都有一個(gè)做為核心級(jí)計(jì)算機(jī)安全項(xiàng)目經(jīng)理的整個(gè)機(jī)構(gòu)公認(rèn)的項(xiàng)目管理人。項(xiàng)目應(yīng)該擁有稱(chēng)職的人員,并且應(yīng)該在項(xiàng)目管理職能與機(jī)構(gòu)其它部門(mén)的計(jì)算機(jī)安全人員之間建立聯(lián)系。計(jì)算機(jī)安全項(xiàng)目是一項(xiàng)復(fù)雜的職能,需要一個(gè)穩(wěn)定的基礎(chǔ)以便指揮對(duì)信息和經(jīng)費(fèi)等安全資源的管理。如果計(jì)算機(jī)安全項(xiàng)目在機(jī)構(gòu)中沒(méi)有給與適當(dāng)?shù)膶?zhuān)家和授權(quán)支持,監(jiān)督職能的優(yōu)勢(shì)就不能有效地發(fā)揮。
穩(wěn)定的資源基礎(chǔ) 制定良好的項(xiàng)目都有穩(wěn)定的人員、經(jīng)費(fèi)和其它支持的資源基礎(chǔ)。沒(méi)有穩(wěn)定的資源基礎(chǔ),就沒(méi)有可能有效的制定和執(zhí)行計(jì)劃和項(xiàng)目。
策略的存在 策略為核心級(jí)計(jì)算機(jī)安全項(xiàng)目提供了基礎(chǔ),是記錄和發(fā)布重要的計(jì)算機(jī)安全決策的手段。核心級(jí)計(jì)算機(jī)安全項(xiàng)目還應(yīng)該公布協(xié)助策略執(zhí)行和擴(kuò)展策略的標(biāo)準(zhǔn)、規(guī)章和指導(dǎo)方針。
所發(fā)布的使命和職能描述 所公布的使命描述為核心計(jì)算機(jī)安全項(xiàng)目融入機(jī)構(gòu)具體的運(yùn)行環(huán)境提供了基礎(chǔ)。這些描述明確地確定了計(jì)算機(jī)安全項(xiàng)目的職能并且定義了計(jì)算機(jī)安全項(xiàng)目以及其它相關(guān)項(xiàng)目和實(shí)體的責(zé)任。沒(méi)有這些描述,就無(wú)法制定評(píng)估項(xiàng)目有效性的標(biāo)準(zhǔn)。
長(zhǎng)期的計(jì)算機(jī)安全戰(zhàn)略 建立適當(dāng)?shù)捻?xiàng)目以便對(duì)長(zhǎng)期戰(zhàn)略進(jìn)行探索和研究有助于將計(jì)算機(jī)安全綜合到下一代信息技術(shù)中去。由于計(jì)算機(jī)和電信領(lǐng)域發(fā)展迅猛,所以對(duì)未來(lái)的運(yùn)行環(huán)境作出規(guī)劃是非常重要的。
遵守法規(guī)的計(jì)劃 核心級(jí)計(jì)算機(jī)安全項(xiàng)目需要涉及到對(duì)國(guó)家政策和需求以及機(jī)構(gòu)特定的需求的遵循。
機(jī)構(gòu)內(nèi)部的聯(lián)系 機(jī)構(gòu)中的許多人員能夠影響到計(jì)算機(jī)安全。信息資源管理機(jī)構(gòu)和物理安全人員是兩個(gè)明顯的例子。但是,計(jì)算機(jī)安全的職能經(jīng)常與這些人員重疊,如人員安全、可靠性和質(zhì)量保證、內(nèi)部控制。有效的項(xiàng)目應(yīng)該與這些團(tuán)體建立關(guān)系以便將計(jì)算機(jī)安全整合到機(jī)構(gòu)的管理中。這些關(guān)系不僅包括分享信息,而且包括人員之間的相互影響。
與外部團(tuán)體的聯(lián)系 所建立的項(xiàng)目應(yīng)該對(duì)外部信息源有所了解并且善加利用。它還可以是信息的提供者。
4. 系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目
核心級(jí)項(xiàng)目涉及到整個(gè)機(jī)構(gòu)范圍內(nèi)的計(jì)算機(jī)安全,而系統(tǒng)級(jí)項(xiàng)目是確保每個(gè)系統(tǒng)具有適當(dāng)和具有成本效益的安全性。這包括對(duì)實(shí)施何種控制、采購(gòu)和安裝技術(shù)性控制、日常計(jì)算機(jī)安全管理、評(píng)估系統(tǒng)缺陷和對(duì)安全問(wèn)題的響應(yīng)等具有影響力的決策。
系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目人員是計(jì)算機(jī)安全的本地?fù)碜o(hù)者。系統(tǒng)安全經(jīng)理/官員與管轄相關(guān)系統(tǒng)的管理人一起提出安全問(wèn)題并協(xié)助制定安全問(wèn)題的解決方案。例如,應(yīng)用擁有者是否明確定義了系統(tǒng)的安全需求?新的功能的使用是否會(huì)影響安全,如果會(huì),那么是怎樣影響的?系統(tǒng)是否容易受到黑客和病毒的攻擊?應(yīng)急計(jì)劃是否通過(guò)了測(cè)試?提出這些問(wèn)題將迫使系統(tǒng)管理人和應(yīng)用擁有者確定和解決其安全需求。
5. 有效的系統(tǒng)級(jí)項(xiàng)目的要素
正如核心級(jí)計(jì)算機(jī)安全項(xiàng)目一樣,許多因素也影響著系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目的成功與否。這些因素大多與核心項(xiàng)目的類(lèi)似。這里涉及到一些額外的考慮。
安全計(jì)劃 一些法律法規(guī)要求相關(guān)機(jī)構(gòu)制定敏感系統(tǒng)的計(jì)算機(jī)安全和隱私計(jì)劃。這些計(jì)劃確保相關(guān)系統(tǒng)具有適當(dāng)?shù)暮陀谐杀拘б娴陌踩?。系統(tǒng)級(jí)安全人員應(yīng)該能夠制定和實(shí)施安全計(jì)劃。
系統(tǒng)特定的安全策略 許多計(jì)算機(jī)安全策略需要涉及到特定系統(tǒng)的問(wèn)題。不同的系統(tǒng)有不同的問(wèn)題,但是訪問(wèn)控制和指定負(fù)責(zé)安全的人員大概對(duì)于每一個(gè)系統(tǒng)都是需要的??梢允褂糜砂踩繕?biāo)導(dǎo)出安全規(guī)則的過(guò)程來(lái)制定始終如一和廣泛全面的安全策略。
生存周期管理 在系統(tǒng)的整個(gè)生命周期中都必須進(jìn)行安全管理。這特別包括在對(duì)系統(tǒng)的更改時(shí)確保其對(duì)安全的影響得到了關(guān)注并且完成了適當(dāng)?shù)膶徟掷m(xù)。
集成到系統(tǒng)運(yùn)行中 系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目應(yīng)該包括了解系統(tǒng)、系統(tǒng)的使命、技術(shù)和運(yùn)行環(huán)境的人。有效的安全管理通常需要集成到系統(tǒng)管理中去。有效的集成將確保系統(tǒng)管理人和應(yīng)用擁有者在計(jì)劃和運(yùn)行系統(tǒng)時(shí)將安全問(wèn)題考慮進(jìn)去。系統(tǒng)安全管理人/官員應(yīng)該能夠參與到選擇和實(shí)施適當(dāng)?shù)募夹g(shù)性控制和安全規(guī)程的過(guò)程中并且了解系統(tǒng)的弱點(diǎn)。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目還應(yīng)該具有對(duì)安全問(wèn)題進(jìn)行及時(shí)響應(yīng)的能力。
對(duì)于大型系統(tǒng),如大型機(jī)數(shù)據(jù)中心,安全項(xiàng)目經(jīng)常包括如訪問(wèn)控制、用戶(hù)管理和應(yīng)急與災(zāi)難計(jì)劃的管理人和職員。對(duì)于小系統(tǒng),如辦公室范圍的局域網(wǎng)(LAN),這個(gè)LAN的管理員可能會(huì)兼有安全責(zé)任。
與運(yùn)行相分離 計(jì)算機(jī)安全和運(yùn)行部門(mén)之間經(jīng)常存在固有的緊張關(guān)系。在許多場(chǎng)合中,運(yùn)行部門(mén)要變得越來(lái)越大也就越來(lái)越有影響力,就通過(guò)將計(jì)算機(jī)安全項(xiàng)目并入計(jì)算機(jī)運(yùn)行部門(mén)來(lái)尋求解決這種緊張關(guān)系。這種機(jī)構(gòu)戰(zhàn)略的典型結(jié)果就是計(jì)算機(jī)安全項(xiàng)目缺乏獨(dú)立性、缺乏權(quán)威、很少引起管理層的注意并且缺少資源。
這種做為系統(tǒng)管理一部分的需求與獨(dú)立性的需求之間的沖突可以有多種解決方案。許多解決方案的基礎(chǔ)是在計(jì)算機(jī)安全項(xiàng)目和上層管理之間的聯(lián)系,這種聯(lián)系經(jīng)常是通過(guò)核心級(jí)計(jì)算機(jī)安全項(xiàng)目建立起來(lái)的。建立這種聯(lián)系的關(guān)鍵是要確立一個(gè)不包含系統(tǒng)管理的匯報(bào)體系。另一種可能是計(jì)算機(jī)安全項(xiàng)目完全獨(dú)立于系統(tǒng)管理并直接向高層管理匯報(bào)。還有很多混合以及不同的方式,如計(jì)算機(jī)安全和系統(tǒng)管理人員在一起工作但是將其匯報(bào)(和監(jiān)管)體系分開(kāi)。
6. 核心級(jí)和系統(tǒng)級(jí)項(xiàng)目的相互作用
系統(tǒng)級(jí)項(xiàng)目要是不集成到機(jī)構(gòu)級(jí)項(xiàng)目中就難以對(duì)機(jī)構(gòu)重要領(lǐng)域的安全性產(chǎn)生影響。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目執(zhí)行核心級(jí)計(jì)算機(jī)安全項(xiàng)目的策略、指導(dǎo)方針和規(guī)定。系統(tǒng)級(jí)的人員也通過(guò)核心項(xiàng)目發(fā)布的信息進(jìn)行學(xué)習(xí)并利用整個(gè)機(jī)構(gòu)的經(jīng)驗(yàn)和專(zhuān)用資源。如果需要,系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目進(jìn)一步向系統(tǒng)管理提供信息。
但是,交流不能是單向的。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目將其需求、問(wèn)題、事件和方案通知核心人員。對(duì)這些信息的分析可以使核心級(jí)計(jì)算機(jī)安全項(xiàng)目體現(xiàn)機(jī)構(gòu)管理和外部機(jī)構(gòu)的各種系統(tǒng)并且使項(xiàng)目和策略更有利于所有系統(tǒng)的安全。
【?發(fā)表評(píng)論?0條?】