計算機及其處理的信息對于許多公司完成其使命和業(yè)務(wù)功能是至關(guān)重要的。因此高級管理人員通常將計算機安全視為管理問題,他們像保護其它任何有價資產(chǎn)那樣尋求對機構(gòu)計算機資源的保護���。為了有效地進行保護就需要制定廣泛全面的管理措施��。
這里介紹整個機構(gòu)范圍的計算機安全措施并討論其重要的管理功能��。由于機構(gòu)的規(guī)模���、復(fù)雜程度、管理風(fēng)格和文化各不相同����,不可能描述出一種理想的計算機安全項目。但是這里還是描述了一些對于許多機構(gòu)都通用的特性和問題����。其中包括:
計算機安全項目的架構(gòu)
核心級計算機安全項目
有效的核心級計算機安全項目的要素
系統(tǒng)級計算機安全項目
有效的系統(tǒng)級項目的要素
核心級和系統(tǒng)級項目的相互作用
1. 計算機安全項目的架構(gòu)
許多計算機安全項目被分配給整個機構(gòu)中執(zhí)行不同職能的不同部門來完成�����。這種方法有其優(yōu)點���,但是許多機構(gòu)中計算機安全職能的分配是隨意的,通常是基于歷史原因(如機構(gòu)在有工作需要時正好可以使用的人)����。理想的情況是,計算機安全職能的分配應(yīng)該有計劃地按照整體的管理思路進行���。
在多個層次進行計算機安全管理能夠帶來很多好處��。每一個層次都能夠為整體計算機安全項目提供不同的專門技術(shù)�����、權(quán)力和資源�。通常�,級別越高的官員對機構(gòu)整體的了解越全面其權(quán)力也越大。另一方面����,官員的級別越低(在計算機設(shè)施和應(yīng)用級的官員)對具體需求就越熟悉�,其中包括技術(shù)的和規(guī)程的需求�����,也包括系統(tǒng)和用戶的問題��。計算機安全項目管理的各級別應(yīng)該互為補充�,互相幫助會提高效率。
因為許多機構(gòu)至少有兩個計算機安全管理級別���,所以本章將計算機安全管理分為兩級:核心級和系統(tǒng)級(當(dāng)然�����,每個機構(gòu)可以有自己獨特的架構(gòu))�����。核心級計算機安全項目可以被用于處理機構(gòu)整體的或機構(gòu)主要部分的計算機安全管理����。系統(tǒng)級計算機安全項目處理特定系統(tǒng)的計算機安全管理��。
2. 核心級計算機安全項目
核心級計算機安全項目的目的是處理機構(gòu)內(nèi)整體的計算機安全管理�。
與所有的資源管理一樣,可以使用多種手段和具有成本效益的方式來進行核心級計算機安全管理�����。良好管理的重要性是怎么強調(diào)也不過分的���。
對計算機安全項目的核心級管理也具有向下的趨勢�。特別應(yīng)該引起注意的是�,這造成了決策失誤在整個機構(gòu)中廣泛傳遞的巨大風(fēng)險。管理者在努力達成其目標時���,需要考慮建立計算機安全項目的所有可能選擇的全面影響����。
核心計算機安全項目的益處核心安全項目應(yīng)該提供兩種不同類型的益處:
提高整個機構(gòu)中的安全效率和經(jīng)濟性
提供集中式的執(zhí)行和監(jiān)督能力����。
核心計算機安全項目幫助對整個機構(gòu)中安全相關(guān)資源的有效使用進行協(xié)調(diào)和管理?��!?br>
這些資源中最重要的通常是信息和金融資源��。
管理者需要良好和及時的信息以便有效完成其任務(wù)�����。但是���,多數(shù)機構(gòu)難以做到在金字塔式的資源架構(gòu)中收集和有效處理信息并在機構(gòu)中對信息進行分發(fā)��。
計算機安全相關(guān)的信息可以從私營或公共機構(gòu)得到����。這些機構(gòu)經(jīng)常做為公共服務(wù)機構(gòu)提供信息�����,當(dāng)然也有一些私人組織提供付費信息��。但是�����,既使是免費或便宜的信息�,其信息收集人員的相關(guān)費用也可能很高。
內(nèi)部的安全相關(guān)信息���,如哪些規(guī)程是有效的����、病毒的感染�����、安全問題和解決方案需要在機構(gòu)中分享���。通常����,這些信息是針對機構(gòu)的運行環(huán)境和企業(yè)文化的�。
在機構(gòu)級別進行管理的計算機安全項目為在整個機構(gòu)范圍內(nèi)收集內(nèi)部安全相關(guān)信息和根據(jù)需要對其進行分配提供了一種途徑。有時機構(gòu)也可以與外部組織分享這些信息�。
有效導(dǎo)入信息的另一種方法是增強核心計算機安全項目影響外部和內(nèi)部決策的能力。如果核心計算機安全項目人員能夠體現(xiàn)整個機構(gòu)的利益���,那么其建議就更能夠引起上層管理人員和外部機構(gòu)的關(guān)注�����。但是�,要有效地做到這一點,系統(tǒng)級計算機安全項目和機構(gòu)級計算機安全項目之間就應(yīng)該有很好的溝通�����。例如��,如果一個機構(gòu)考慮將其大型機整合到一個站點(或考慮將現(xiàn)在一個站點中的處理分布出去)�����,核心項目的人員就可以對其所牽涉到的安全問題提出初步意見����。但是,要想使其意見更具權(quán)威性���,核心項目人員就要實際了解將要進行的系統(tǒng)級計算機安全項目預(yù)計進行的信息更改將會帶來的安全影響���。
除了能夠幫助機構(gòu)更經(jīng)濟有效地使用信息,計算機安全項目還能夠幫助機構(gòu)更好地使用本來就不多的安全經(jīng)費�����。機構(gòu)可以開發(fā)專門技術(shù)然后進行分享以減少重復(fù)為同一服務(wù)簽訂合同的需要。核心計算機安全項目可以協(xié)助進行信息分享���。
位于核心計算機安全項目層次上的人員也可以開發(fā)他們自己領(lǐng)域的專門技術(shù)���。例如��,他們可以加強自己在應(yīng)急計劃和風(fēng)險分析方面的技巧以協(xié)助整個機構(gòu)完成其重要的安全任務(wù)�����。
除了允許機構(gòu)分享專門技術(shù)以節(jié)約金錢以外���,核心計算機安全項目可以利用其所處的地位整合需求以便機構(gòu)可以基于對安全硬件和軟件的批量采購來協(xié)商優(yōu)惠折扣率�。它還可以協(xié)助諸如戰(zhàn)略計劃�����、整個機構(gòu)范圍的事件處理和安全趨勢分析等活動�。
除了協(xié)助機構(gòu)提高計算機安全項目的經(jīng)濟效益和其效率,核心項目還可以包含獨立的評估或執(zhí)行職能以確保機構(gòu)的分支單位更經(jīng)濟有效地保護資源和遵循既定策略�。有多種理由需要在常規(guī)的管理管道中設(shè)立監(jiān)督職能。首先�,計算機安全是機構(gòu)資源管理的重要部分。這是一項無法轉(zhuǎn)嫁或放棄的責(zé)任。其次���,進行有效的監(jiān)督可以使機構(gòu)在避免導(dǎo)致尷尬處境的前提下發(fā)現(xiàn)和解決問題����。第三���,機構(gòu)可能發(fā)現(xiàn)外部機構(gòu)無法發(fā)現(xiàn)的問題���。機構(gòu)比外部機構(gòu)更了解其資產(chǎn)、威脅��、系統(tǒng)和規(guī)程���;人們與內(nèi)部人員合作時更坦白�����。
3. 有效的核心級計算機安全項目的要素
為了使核心計算機安全項目發(fā)揮效用�,應(yīng)該將其做為機構(gòu)管理的一部分���。如果系統(tǒng)管理者和應(yīng)用擁有者不需要與安全項目始終如一地相結(jié)合�����,那么它就會變成上層管理者“許諾安全”的華而不實的裝飾���。
穩(wěn)定的項目管理職能 制定良好的項目都有一個做為核心級計算機安全項目經(jīng)理的整個機構(gòu)公認的項目管理人�����。項目應(yīng)該擁有稱職的人員�����,并且應(yīng)該在項目管理職能與機構(gòu)其它部門的計算機安全人員之間建立聯(lián)系。計算機安全項目是一項復(fù)雜的職能��,需要一個穩(wěn)定的基礎(chǔ)以便指揮對信息和經(jīng)費等安全資源的管理�����。如果計算機安全項目在機構(gòu)中沒有給與適當(dāng)?shù)膶<液褪跈?quán)支持����,監(jiān)督職能的優(yōu)勢就不能有效地發(fā)揮。
穩(wěn)定的資源基礎(chǔ) 制定良好的項目都有穩(wěn)定的人員����、經(jīng)費和其它支持的資源基礎(chǔ)���。沒有穩(wěn)定的資源基礎(chǔ),就沒有可能有效的制定和執(zhí)行計劃和項目���。
策略的存在 策略為核心級計算機安全項目提供了基礎(chǔ)�����,是記錄和發(fā)布重要的計算機安全決策的手段��。核心級計算機安全項目還應(yīng)該公布協(xié)助策略執(zhí)行和擴展策略的標準����、規(guī)章和指導(dǎo)方針����。
所發(fā)布的使命和職能描述 所公布的使命描述為核心計算機安全項目融入機構(gòu)具體的運行環(huán)境提供了基礎(chǔ)。這些描述明確地確定了計算機安全項目的職能并且定義了計算機安全項目以及其它相關(guān)項目和實體的責(zé)任�����。沒有這些描述����,就無法制定評估項目有效性的標準���。
長期的計算機安全戰(zhàn)略 建立適當(dāng)?shù)捻椖恳员銓﹂L期戰(zhàn)略進行探索和研究有助于將計算機安全綜合到下一代信息技術(shù)中去。由于計算機和電信領(lǐng)域發(fā)展迅猛����,所以對未來的運行環(huán)境作出規(guī)劃是非常重要的。
遵守法規(guī)的計劃 核心級計算機安全項目需要涉及到對國家政策和需求以及機構(gòu)特定的需求的遵循�����。
機構(gòu)內(nèi)部的聯(lián)系 機構(gòu)中的許多人員能夠影響到計算機安全����。信息資源管理機構(gòu)和物理安全人員是兩個明顯的例子����。但是,計算機安全的職能經(jīng)常與這些人員重疊�����,如人員安全�����、可靠性和質(zhì)量保證、內(nèi)部控制����。有效的項目應(yīng)該與這些團體建立關(guān)系以便將計算機安全整合到機構(gòu)的管理中。這些關(guān)系不僅包括分享信息���,而且包括人員之間的相互影響�����。
與外部團體的聯(lián)系 所建立的項目應(yīng)該對外部信息源有所了解并且善加利用����。它還可以是信息的提供者�����。
4. 系統(tǒng)級計算機安全項目
核心級項目涉及到整個機構(gòu)范圍內(nèi)的計算機安全���,而系統(tǒng)級項目是確保每個系統(tǒng)具有適當(dāng)和具有成本效益的安全性�����。這包括對實施何種控制���、采購和安裝技術(shù)性控制��、日常計算機安全管理���、評估系統(tǒng)缺陷和對安全問題的響應(yīng)等具有影響力的決策。
系統(tǒng)級計算機安全項目人員是計算機安全的本地擁護者��。系統(tǒng)安全經(jīng)理/官員與管轄相關(guān)系統(tǒng)的管理人一起提出安全問題并協(xié)助制定安全問題的解決方案����。例如,應(yīng)用擁有者是否明確定義了系統(tǒng)的安全需求�?新的功能的使用是否會影響安全,如果會���,那么是怎樣影響的?系統(tǒng)是否容易受到黑客和病毒的攻擊�����?應(yīng)急計劃是否通過了測試���?提出這些問題將迫使系統(tǒng)管理人和應(yīng)用擁有者確定和解決其安全需求����。
5. 有效的系統(tǒng)級項目的要素
正如核心級計算機安全項目一樣,許多因素也影響著系統(tǒng)級計算機安全項目的成功與否�。這些因素大多與核心項目的類似。這里涉及到一些額外的考慮���。
安全計劃 一些法律法規(guī)要求相關(guān)機構(gòu)制定敏感系統(tǒng)的計算機安全和隱私計劃��。這些計劃確保相關(guān)系統(tǒng)具有適當(dāng)?shù)暮陀谐杀拘б娴陌踩?��。系統(tǒng)級安全人員應(yīng)該能夠制定和實施安全計劃。
系統(tǒng)特定的安全策略 許多計算機安全策略需要涉及到特定系統(tǒng)的問題�。不同的系統(tǒng)有不同的問題,但是訪問控制和指定負責(zé)安全的人員大概對于每一個系統(tǒng)都是需要的��?��?梢允褂糜砂踩繕藢?dǎo)出安全規(guī)則的過程來制定始終如一和廣泛全面的安全策略�����。
生存周期管理 在系統(tǒng)的整個生命周期中都必須進行安全管理����。這特別包括在對系統(tǒng)的更改時確保其對安全的影響得到了關(guān)注并且完成了適當(dāng)?shù)膶徟掷m(xù)。
集成到系統(tǒng)運行中 系統(tǒng)級計算機安全項目應(yīng)該包括了解系統(tǒng)���、系統(tǒng)的使命�����、技術(shù)和運行環(huán)境的人���。有效的安全管理通常需要集成到系統(tǒng)管理中去。有效的集成將確保系統(tǒng)管理人和應(yīng)用擁有者在計劃和運行系統(tǒng)時將安全問題考慮進去��。系統(tǒng)安全管理人/官員應(yīng)該能夠參與到選擇和實施適當(dāng)?shù)募夹g(shù)性控制和安全規(guī)程的過程中并且了解系統(tǒng)的弱點���。系統(tǒng)級計算機安全項目還應(yīng)該具有對安全問題進行及時響應(yīng)的能力����。
對于大型系統(tǒng)�,如大型機數(shù)據(jù)中心,安全項目經(jīng)常包括如訪問控制�����、用戶管理和應(yīng)急與災(zāi)難計劃的管理人和職員�����。對于小系統(tǒng)��,如辦公室范圍的局域網(wǎng)(LAN)���,這個LAN的管理員可能會兼有安全責(zé)任�����。
與運行相分離 計算機安全和運行部門之間經(jīng)常存在固有的緊張關(guān)系��。在許多場合中�,運行部門要變得越來越大也就越來越有影響力�����,就通過將計算機安全項目并入計算機運行部門來尋求解決這種緊張關(guān)系�����。這種機構(gòu)戰(zhàn)略的典型結(jié)果就是計算機安全項目缺乏獨立性、缺乏權(quán)威��、很少引起管理層的注意并且缺少資源����。
這種做為系統(tǒng)管理一部分的需求與獨立性的需求之間的沖突可以有多種解決方案。許多解決方案的基礎(chǔ)是在計算機安全項目和上層管理之間的聯(lián)系���,這種聯(lián)系經(jīng)常是通過核心級計算機安全項目建立起來的�����。建立這種聯(lián)系的關(guān)鍵是要確立一個不包含系統(tǒng)管理的匯報體系�。另一種可能是計算機安全項目完全獨立于系統(tǒng)管理并直接向高層管理匯報���。還有很多混合以及不同的方式��,如計算機安全和系統(tǒng)管理人員在一起工作但是將其匯報(和監(jiān)管)體系分開�����。
6. 核心級和系統(tǒng)級項目的相互作用
系統(tǒng)級項目要是不集成到機構(gòu)級項目中就難以對機構(gòu)重要領(lǐng)域的安全性產(chǎn)生影響����。系統(tǒng)級計算機安全項目執(zhí)行核心級計算機安全項目的策略、指導(dǎo)方針和規(guī)定�。系統(tǒng)級的人員也通過核心項目發(fā)布的信息進行學(xué)習(xí)并利用整個機構(gòu)的經(jīng)驗和專用資源。如果需要�����,系統(tǒng)級計算機安全項目進一步向系統(tǒng)管理提供信息��。
但是�����,交流不能是單向的����。系統(tǒng)級計算機安全項目將其需求�����、問題�、事件和方案通知核心人員。對這些信息的分析可以使核心級計算機安全項目體現(xiàn)機構(gòu)管理和外部機構(gòu)的各種系統(tǒng)并且使項目和策略更有利于所有系統(tǒng)的安全���。
【?發(fā)表評論?0條?】