【51CTO.com快譯自8月11日外電頭條】請(qǐng)你按照優(yōu)先級(jí)為企業(yè)建立一份安全列表，它可以把每個(gè)人都集中在解決重要的問題上。

從SANS Institute開始發(fā)布Top 10漏洞列表起，我就一直是它的忠實(shí)擁護(hù)者，并且隨著它演變?yōu)門op 20漏洞列表。SANS還發(fā)布著許多其他有用的清單，比如Top 20編程錯(cuò)誤和Top 20最關(guān)鍵的安全控件，另外OWASP的Top 10網(wǎng)絡(luò)應(yīng)用安全漏洞也同樣非常有用。從這些列表中可以得出一個(gè)事實(shí)，即大多數(shù)列表中的項(xiàng)目在過去的十多年中并沒有怎么改變過，這很能說明問題。這些類型的列表對(duì)企業(yè)的意義重大，能夠幫助他們搞清楚最大的問題是什么，盡快達(dá)成共識(shí)，并且使他們能夠集中力量處理重大的問題。51CTO編者按：記得最早在一個(gè)網(wǎng)絡(luò)公司里上班的時(shí)候，領(lǐng)導(dǎo)是要求我們把每個(gè)月最重要的10件事情寫出來貼墻上，這樣可以讓自己隨時(shí)看到。現(xiàn)在想起來，這個(gè)和安全漏洞Top 10還真是很像。把威脅列出來，以后就能有個(gè)心理準(zhǔn)備，也可以防患于未然。

現(xiàn)在我有個(gè)問題問你，你的企業(yè)是否也有一個(gè)Top 10計(jì)算機(jī)安全問題列表呢？如果你有的話，這個(gè)列表是否是眾所周知的，是否所有的IT管理成員、計(jì)算機(jī)安全工作人員、程序員和底層架構(gòu)的支持員工都能夠知道？如果你還沒有我所說的列表——或者沒有其他人知道它——那么你拿什么來確保IT部門的工作重點(diǎn)，怎樣確保正確的資源放在了正確的問題上？

我經(jīng)常碰到企業(yè)不能充分處理高風(fēng)險(xiǎn)問題的案例，一般情況是，他們把太多的精力用于解決中低檔的次要問題，把自己搞得焦頭爛額。例如，一個(gè)企業(yè)的最大問題可能是最終用戶被安裝了特洛伊木馬，但同時(shí)它卻把大把的資金和人力投入到阻止遠(yuǎn)程緩沖區(qū)溢出，或者努力實(shí)現(xiàn)百分百遵守補(bǔ)丁這些地方上，而這些吃力不討好的解決方案只能解決這家企業(yè)整體計(jì)算機(jī)安全問題中的很小一部分。

請(qǐng)為你的企業(yè)建立起Top 10計(jì)算機(jī)安全列表，先從識(shí)別威脅開始，把它們按照嚴(yán)重性排列，使用你可以用到的最好的指標(biāo)，然后讓開發(fā)團(tuán)隊(duì)和管理層審批，最后確定列表。這能迫使每個(gè)人都參與進(jìn)來，并把目光放在最重要的問題上。

一旦你建立起Top 10列表，要確保把它通知到每個(gè)人，使用最普通的計(jì)算機(jī)安全方法（如電子郵件、海報(bào)、newsletter等等），以確保所有相關(guān)的團(tuán)隊(duì)都可以用他們自己的獨(dú)特方式來盡力解決你的十大安全問題。

舉例來說，假設(shè)JavaScript漏洞是企業(yè)目前最大的問題，那么工作站配置團(tuán)隊(duì)可以集中精力鎖定瀏覽器防止惡意的JavaScript程序；編程/開發(fā)團(tuán)隊(duì)可以編寫自己的代碼盡力阻止XSS（跨站點(diǎn)腳本）攻擊；負(fù)責(zé)購置新軟件的團(tuán)隊(duì)也可以在尋找基于JavaScript的應(yīng)用時(shí)和潛在的供應(yīng)商就JavaScript攻擊問題進(jìn)行溝通。如果你不把大家集中到重要問題上，他們?nèi)匀豢赡茉诟髯缘姆秶詰儆诮鉀Q自己的問題。Top 10列表能夠幫助每個(gè)人在管好自己的樹苗的同時(shí)，看到一大片健康成長的森林。

跟蹤進(jìn)展也是成功的關(guān)鍵。應(yīng)該有人來負(fù)責(zé)對(duì)列表中的每個(gè)項(xiàng)目進(jìn)行指標(biāo)測(cè)量，并每年向上一級(jí)審查團(tuán)隊(duì)提供進(jìn)度報(bào)告。這時(shí)，審查團(tuán)隊(duì)?wèi)?yīng)審查安全列表，確定是否有些問題可以去掉，或者是否有新的安全問題應(yīng)該補(bǔ)充進(jìn)來。如果某一特定項(xiàng)目的指標(biāo)變得糟糕，審查團(tuán)隊(duì)將需要制定新的攻擊計(jì)劃，建立更有效的戰(zhàn)略來對(duì)付這一問題。

一旦建立后，你的Top 10計(jì)算機(jī)安全列表就絕不應(yīng)該消失，列表中的項(xiàng)目可能會(huì)演化或變?yōu)槠渌鼮榫o迫的問題。然而，這種想法提供給企業(yè)一種應(yīng)對(duì)風(fēng)險(xiǎn)的良好方式，把重點(diǎn)放在最重要的地方，在沙灘上劃出一條警戒線，每年進(jìn)行衡量。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：What's on your top 10 security list?     作者： Roger Grimes

【編輯推薦】

• SQL Server數(shù)據(jù)庫安全列表
• Windows SQL Server 安全檢查列表
• UNIX 操作系統(tǒng)安全檢查列表