在為眾多組織提供信息安全服務的18年職業(yè)生涯期間，我見過許多在信息安全方面做得不錯的組織——他們通過正確識別風險以及優(yōu)先級排序，妥當保護關(guān)鍵數(shù)據(jù)，及時緩解安全風險，當然也有許多做得不好的。

[[124630]]

那些具有良好安全習慣的組織(“安全的組織”)具有某些共同的特質(zhì)，而這往往正是那些信息安全工作做得不到位的組織(“不安全的組織”)所缺乏的。

在本文中，我們會審視“安全的組織”所具備的十大特質(zhì)。

“安全的組織”所具備的十大良好安全習慣

1. 在安全的組織中，信息安全工作得到高層管理的支持。高層支持包括制定信息安全的可用資源和預算，以及明確聲明信息安全是該組織的優(yōu)先事項。既然由高層管理者為組織確定優(yōu)先級并定下基調(diào)，那么沒有他們明確和持續(xù)的支持、想要成為一家安全的組織將極為困難。近期接連發(fā)生倍受矚目的安全事件，這促使多數(shù)高層管理者現(xiàn)在理解到信息安全工作的重要性，并將支持信息安全工作的投入。

2. 安全的組織會定期識別并記錄客戶和/或公司自有的敏感數(shù)據(jù)如何流入、經(jīng)過和流出組織。這使得組織能夠集中時間、精力和金錢在敏感數(shù)據(jù)保護上。相反，一個組織難以去保護它并不了解的目標，而且如果組織不執(zhí)行這項工作的話，他們也難以做出努力去保護他們的數(shù)據(jù)。

3. 安全的組織會為所有處理、傳輸或存儲敏感數(shù)據(jù)的系統(tǒng)創(chuàng)建和維護一份正式的記錄清單—包括操作系統(tǒng)，物理的或是虛擬化的，以及已經(jīng)安裝了哪些主要應用程序。沒有這樣一份清單，組織不能充分理解它所必須保護的系統(tǒng)。而具備這樣一份清單，組織得以快速確定特定的安全漏洞是否會影響該組織的相關(guān)系統(tǒng)。

4. 安全的組織會對敏感系統(tǒng)與非敏感系統(tǒng)進行分區(qū)隔離，具體通過跳板模式配置、防火墻規(guī)則、路由器訪問控制列表(ACL)或交換機VLAN劃分。這樣能使得組織內(nèi)敏感系統(tǒng)的攻擊面最小化，并允許嚴格控制和有日志記錄的系統(tǒng)訪問。

5. 安全的組織具備強變更控制流程，并被嚴格執(zhí)行。包括緊急變更在內(nèi)的各項變更都會被完整記錄，然后進行正式審核并被批準。未經(jīng)批準的變更會導致無人知曉的安全漏洞，直至安全事件的發(fā)生。

6. 安全的組織具備強配置管理流程。通過一種自動化配置流程或諸如Puppet或Chef這類配置管理軟件工具，對敏感系統(tǒng)進行加固和必要功能的構(gòu)建。初始構(gòu)建以后，使用配置軟件工具周期性檢查系統(tǒng)配置、確保系統(tǒng)保持加固狀態(tài)，或者采用強變更控制以維護系統(tǒng)配置并防止服務器蠕變。

7. 安全的組織存儲盡可能少的敏感信息在它們的系統(tǒng)上。對于那些出于商業(yè)或法律原因必須保存的敏感信息，遵循每一個正式記錄的數(shù)據(jù)保留策略、存儲在盡可能少的系統(tǒng)上，當不再需要時則予以安全地刪除。所有存儲的敏感信息會被定期審查并應證明是正當存儲。

8. 安全的組織都采用強加密存儲和傳輸敏感數(shù)據(jù)，并具備強健的加密密鑰管理步驟和流程。如果進行正確實施和管理，強加密的數(shù)據(jù)本質(zhì)上是“無法破解的”且對攻擊者不可用。

9. 安全的組織持續(xù)收集和檢查敏感系統(tǒng)產(chǎn)生的日志。使用腳本或自動化流程按照預定義事件進行日志檢索，例如添加新帳號一類事件。當檢測到這樣的事件，會發(fā)送告警給具體負責的員工，后續(xù)由他負責事件調(diào)查。

10. 安全的組織通過脆弱性掃描或滲透測試，定期測試敏感系統(tǒng)的脆弱性。正確、定期完成這樣的測試，能對組織安全控制的有效性提供“真實世界”的確認。如果一個組織未在測試它的防御能力，那么黑客很可能會做這項測試—當然他們并不會報告最終結(jié)果。

結(jié)論

上述這十項良好的安全習慣可以使組織安全并保持它的安全性。通過細致的規(guī)劃和設計，這些特質(zhì)可能成為組織的一部分，即使組織未采購或?qū)嵤碗s且昂貴的技術(shù)方案。