信息安全演绎"进化论"
来源:中国计算机报 更新时间:2012-04-13

 每一个公司都希望在IT应用的操作简易性和整体系统的安全性之间寻求一种折衷的平衡,如果有一套为企业量身定制的安全需求等级制度,也许很多企业都愿意“对号入座”。

整个网络中的计算机都未注册, 没有病毒扫描, 没有补丁, 甚至没有防火墙。这是上周笔者参观完一家律师事务所后,对其网络的整体印象。

显然,这样的网络灾难随时可能蔓延。尽管笔者一再指出,只有通过用户权限管理,或是安装防火墙,才能保护公司内部的数据资源,但是公司主管并未慎重对之。

这样,如果执行一套安全等级制度,也许存在上述类似网络问题的公司会重新考虑安全问题。就像马斯洛需求理论那样,对我们的网络进行不同阶段的测试,便能清楚网络的需求以及未来该如何发展。

第一阶段:蒙昧状态

在第一阶段,根本没有人考虑电脑的安全性。没有安装防火墙,仅有的杀毒软件也是买新机器时事先装配的,任何程序都不需要密码也不需验证用户,电脑被病毒感染或处于感染的威胁中是很平常的,多数职员继续使用他们,既使他们知道电脑有问题。

最终的结果是电子邮件蠕虫病毒接连爆发,机器经常死机或速度减慢。 某一天,一个巨大的安全事件发生, 客户或管理系统瘫痪, 这样,IT管理者才意识到问题存在。

第二阶段:安全诉求

在第二阶段, 信息管理部门对计算机安全显得谨慎。购买电子邮件服务器的杀毒软件,并安装在用户桌面。 安装网络防火墙,增加密码长度。 信息中心的某个人员可能会兼任电脑安全保护工作,他们的主要工作是多重系统密码的分配和清除。管理部门以为这样的安全措施便是一劳永逸。 但不时涌现的蠕虫或病毒却在某个角落偷笑……

第三阶段:环境意识

这时,公司开始考虑一个真正的安全运行环境。公司所有职员需签署保密文件,增加密码长度,并要求至少每半年更改一次密码。 杀毒软件被安装在所有的桌面上,并从指定的服务器自动更新, 运用管理软件装补丁,并且安装附加的扫描程序以洞察恶意软件。

但好景不长, 当发现某员工在肆意破坏系统,而一名信息技术人员在阅读管理部门人员的电子邮件时,内部威胁成为一个真正的问题。

第四阶段:内控需求

管理部门让 IT部门继续研究安全策略, 并处罚不遵循安全方针的员工。 密码设置变得更为复杂,甚至安全顾问常常成为管理者的座上宾。

所有的IT团队成员都必须将安全视为头等大事,在所有相关重要决策中,管理部门给予IT经理和安全负责人完全的支持。审计队在履行内部审计和为外部估价作准备时,信息安全措施与之随行。

尽管如此, 一些安全事件仍然发生。无论您怎样培训、指导,总有员工在没有任何安全防范措施的情况下随意打开邮件附件。 最终, 可能导致一个机密数据库从外部被破坏, 并且威胁某一内部员工的计算机。 而造成这一结果的原因可能只是某个员工从网上安装了最新的并且很酷的软件。

第五阶段:内外协同

安全团队和管理部门最终允许默认设置,并否认例外的策略不能发挥作用,并且制定严格的安全方案, 锁定终端用户桌面,在各处进行否认缺省设置。公司的计算机图像是唯一在网络上允许的。

对于各系统漏洞的完全测试补丁,公司将根据危险系数进行统一安装。在向软件厂商购买产品之前,公司会告诉他们自己的应用和安全需求。并且,公用的笔记本和掌上电脑都必须设有密码,并且资料都需加密。

最终, 内部和外部危机被减到最小或不存在。 而最新的计算机威胁仅仅是阅读资料带来的。最重要的是,公司的系统安全处于成熟的水平。 系统安全性都从最初上升到更为严密的阶段, 意味着更多控制和更少自由。那么在一系列内部和外部影响驱动的过程中,您的公司处于何种位置?