計(jì)算機(jī)及其處理的信息對(duì)于許多公司完成其使命和業(yè)務(wù)功能是至關(guān)重要的。因此高級(jí)管理人員通常將計(jì)算機(jī)安全視為管理問題��,他們像保護(hù)其它任何有價(jià)資產(chǎn)那樣尋求對(duì)機(jī)構(gòu)計(jì)算機(jī)資源的保護(hù)���。為了有效地進(jìn)行保護(hù)就需要制定廣泛全面的管理措施。
這里介紹整個(gè)機(jī)構(gòu)范圍的計(jì)算機(jī)安全措施并討論其重要的管理功能。由于機(jī)構(gòu)的規(guī)模����、復(fù)雜程度、管理風(fēng)格和文化各不相同�����,不可能描述出一種理想的計(jì)算機(jī)安全項(xiàng)目����。但是這里還是描述了一些對(duì)于許多機(jī)構(gòu)都通用的特性和問題。其中包括:
計(jì)算機(jī)安全項(xiàng)目的架構(gòu)
核心級(jí)計(jì)算機(jī)安全項(xiàng)目
有效的核心級(jí)計(jì)算機(jī)安全項(xiàng)目的要素
系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目
有效的系統(tǒng)級(jí)項(xiàng)目的要素
核心級(jí)和系統(tǒng)級(jí)項(xiàng)目的相互作用
1. 計(jì)算機(jī)安全項(xiàng)目的架構(gòu)
許多計(jì)算機(jī)安全項(xiàng)目被分配給整個(gè)機(jī)構(gòu)中執(zhí)行不同職能的不同部門來完成�。這種方法有其優(yōu)點(diǎn),但是許多機(jī)構(gòu)中計(jì)算機(jī)安全職能的分配是隨意的��,通常是基于歷史原因(如機(jī)構(gòu)在有工作需要時(shí)正好可以使用的人)��。理想的情況是���,計(jì)算機(jī)安全職能的分配應(yīng)該有計(jì)劃地按照整體的管理思路進(jìn)行���。
在多個(gè)層次進(jìn)行計(jì)算機(jī)安全管理能夠帶來很多好處。每一個(gè)層次都能夠?yàn)檎w計(jì)算機(jī)安全項(xiàng)目提供不同的專門技術(shù)�����、權(quán)力和資源。通常�����,級(jí)別越高的官員對(duì)機(jī)構(gòu)整體的了解越全面其權(quán)力也越大��。另一方面�,官員的級(jí)別越低(在計(jì)算機(jī)設(shè)施和應(yīng)用級(jí)的官員)對(duì)具體需求就越熟悉,其中包括技術(shù)的和規(guī)程的需求���,也包括系統(tǒng)和用戶的問題�。計(jì)算機(jī)安全項(xiàng)目管理的各級(jí)別應(yīng)該互為補(bǔ)充���,互相幫助會(huì)提高效率���。
因?yàn)樵S多機(jī)構(gòu)至少有兩個(gè)計(jì)算機(jī)安全管理級(jí)別,所以本章將計(jì)算機(jī)安全管理分為兩級(jí):核心級(jí)和系統(tǒng)級(jí)(當(dāng)然����,每個(gè)機(jī)構(gòu)可以有自己獨(dú)特的架構(gòu))。核心級(jí)計(jì)算機(jī)安全項(xiàng)目可以被用于處理機(jī)構(gòu)整體的或機(jī)構(gòu)主要部分的計(jì)算機(jī)安全管理�����。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目處理特定系統(tǒng)的計(jì)算機(jī)安全管理��。
2. 核心級(jí)計(jì)算機(jī)安全項(xiàng)目
核心級(jí)計(jì)算機(jī)安全項(xiàng)目的目的是處理機(jī)構(gòu)內(nèi)整體的計(jì)算機(jī)安全管理�����。
與所有的資源管理一樣���,可以使用多種手段和具有成本效益的方式來進(jìn)行核心級(jí)計(jì)算機(jī)安全管理�。良好管理的重要性是怎么強(qiáng)調(diào)也不過分的�����。
對(duì)計(jì)算機(jī)安全項(xiàng)目的核心級(jí)管理也具有向下的趨勢(shì)�。特別應(yīng)該引起注意的是,這造成了決策失誤在整個(gè)機(jī)構(gòu)中廣泛傳遞的巨大風(fēng)險(xiǎn)���。管理者在努力達(dá)成其目標(biāo)時(shí)�����,需要考慮建立計(jì)算機(jī)安全項(xiàng)目的所有可能選擇的全面影響�����。
核心計(jì)算機(jī)安全項(xiàng)目的益處核心安全項(xiàng)目應(yīng)該提供兩種不同類型的益處:
提高整個(gè)機(jī)構(gòu)中的安全效率和經(jīng)濟(jì)性
提供集中式的執(zhí)行和監(jiān)督能力���。
核心計(jì)算機(jī)安全項(xiàng)目幫助對(duì)整個(gè)機(jī)構(gòu)中安全相關(guān)資源的有效使用進(jìn)行協(xié)調(diào)和管理�?�!?br>
這些資源中最重要的通常是信息和金融資源��。
管理者需要良好和及時(shí)的信息以便有效完成其任務(wù)�����。但是���,多數(shù)機(jī)構(gòu)難以做到在金字塔式的資源架構(gòu)中收集和有效處理信息并在機(jī)構(gòu)中對(duì)信息進(jìn)行分發(fā)����。
計(jì)算機(jī)安全相關(guān)的信息可以從私營或公共機(jī)構(gòu)得到���。這些機(jī)構(gòu)經(jīng)常做為公共服務(wù)機(jī)構(gòu)提供信息��,當(dāng)然也有一些私人組織提供付費(fèi)信息���。但是�,既使是免費(fèi)或便宜的信息����,其信息收集人員的相關(guān)費(fèi)用也可能很高。
內(nèi)部的安全相關(guān)信息�����,如哪些規(guī)程是有效的�����、病毒的感染����、安全問題和解決方案需要在機(jī)構(gòu)中分享��。通常����,這些信息是針對(duì)機(jī)構(gòu)的運(yùn)行環(huán)境和企業(yè)文化的。
在機(jī)構(gòu)級(jí)別進(jìn)行管理的計(jì)算機(jī)安全項(xiàng)目為在整個(gè)機(jī)構(gòu)范圍內(nèi)收集內(nèi)部安全相關(guān)信息和根據(jù)需要對(duì)其進(jìn)行分配提供了一種途徑����。有時(shí)機(jī)構(gòu)也可以與外部組織分享這些信息��。
有效導(dǎo)入信息的另一種方法是增強(qiáng)核心計(jì)算機(jī)安全項(xiàng)目影響外部和內(nèi)部決策的能力���。如果核心計(jì)算機(jī)安全項(xiàng)目人員能夠體現(xiàn)整個(gè)機(jī)構(gòu)的利益,那么其建議就更能夠引起上層管理人員和外部機(jī)構(gòu)的關(guān)注����。但是,要有效地做到這一點(diǎn)�����,系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目和機(jī)構(gòu)級(jí)計(jì)算機(jī)安全項(xiàng)目之間就應(yīng)該有很好的溝通����。例如,如果一個(gè)機(jī)構(gòu)考慮將其大型機(jī)整合到一個(gè)站點(diǎn)(或考慮將現(xiàn)在一個(gè)站點(diǎn)中的處理分布出去)���,核心項(xiàng)目的人員就可以對(duì)其所牽涉到的安全問題提出初步意見�����。但是�,要想使其意見更具權(quán)威性,核心項(xiàng)目人員就要實(shí)際了解將要進(jìn)行的系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目預(yù)計(jì)進(jìn)行的信息更改將會(huì)帶來的安全影響�。
除了能夠幫助機(jī)構(gòu)更經(jīng)濟(jì)有效地使用信息,計(jì)算機(jī)安全項(xiàng)目還能夠幫助機(jī)構(gòu)更好地使用本來就不多的安全經(jīng)費(fèi)��。機(jī)構(gòu)可以開發(fā)專門技術(shù)然后進(jìn)行分享以減少重復(fù)為同一服務(wù)簽訂合同的需要�。核心計(jì)算機(jī)安全項(xiàng)目可以協(xié)助進(jìn)行信息分享。
位于核心計(jì)算機(jī)安全項(xiàng)目層次上的人員也可以開發(fā)他們自己領(lǐng)域的專門技術(shù)��。例如����,他們可以加強(qiáng)自己在應(yīng)急計(jì)劃和風(fēng)險(xiǎn)分析方面的技巧以協(xié)助整個(gè)機(jī)構(gòu)完成其重要的安全任務(wù)�����。
除了允許機(jī)構(gòu)分享專門技術(shù)以節(jié)約金錢以外��,核心計(jì)算機(jī)安全項(xiàng)目可以利用其所處的地位整合需求以便機(jī)構(gòu)可以基于對(duì)安全硬件和軟件的批量采購來協(xié)商優(yōu)惠折扣率�。它還可以協(xié)助諸如戰(zhàn)略計(jì)劃、整個(gè)機(jī)構(gòu)范圍的事件處理和安全趨勢(shì)分析等活動(dòng)����。
除了協(xié)助機(jī)構(gòu)提高計(jì)算機(jī)安全項(xiàng)目的經(jīng)濟(jì)效益和其效率,核心項(xiàng)目還可以包含獨(dú)立的評(píng)估或執(zhí)行職能以確保機(jī)構(gòu)的分支單位更經(jīng)濟(jì)有效地保護(hù)資源和遵循既定策略����。有多種理由需要在常規(guī)的管理管道中設(shè)立監(jiān)督職能���。首先,計(jì)算機(jī)安全是機(jī)構(gòu)資源管理的重要部分�。這是一項(xiàng)無法轉(zhuǎn)嫁或放棄的責(zé)任。其次�����,進(jìn)行有效的監(jiān)督可以使機(jī)構(gòu)在避免導(dǎo)致尷尬處境的前提下發(fā)現(xiàn)和解決問題�。第三,機(jī)構(gòu)可能發(fā)現(xiàn)外部機(jī)構(gòu)無法發(fā)現(xiàn)的問題�。機(jī)構(gòu)比外部機(jī)構(gòu)更了解其資產(chǎn)、威脅�����、系統(tǒng)和規(guī)程��;人們與內(nèi)部人員合作時(shí)更坦白��。
3. 有效的核心級(jí)計(jì)算機(jī)安全項(xiàng)目的要素
為了使核心計(jì)算機(jī)安全項(xiàng)目發(fā)揮效用�,應(yīng)該將其做為機(jī)構(gòu)管理的一部分。如果系統(tǒng)管理者和應(yīng)用擁有者不需要與安全項(xiàng)目始終如一地相結(jié)合,那么它就會(huì)變成上層管理者“許諾安全”的華而不實(shí)的裝飾��。
穩(wěn)定的項(xiàng)目管理職能 制定良好的項(xiàng)目都有一個(gè)做為核心級(jí)計(jì)算機(jī)安全項(xiàng)目經(jīng)理的整個(gè)機(jī)構(gòu)公認(rèn)的項(xiàng)目管理人����。項(xiàng)目應(yīng)該擁有稱職的人員,并且應(yīng)該在項(xiàng)目管理職能與機(jī)構(gòu)其它部門的計(jì)算機(jī)安全人員之間建立聯(lián)系��。計(jì)算機(jī)安全項(xiàng)目是一項(xiàng)復(fù)雜的職能���,需要一個(gè)穩(wěn)定的基礎(chǔ)以便指揮對(duì)信息和經(jīng)費(fèi)等安全資源的管理�����。如果計(jì)算機(jī)安全項(xiàng)目在機(jī)構(gòu)中沒有給與適當(dāng)?shù)膶<液褪跈?quán)支持�,監(jiān)督職能的優(yōu)勢(shì)就不能有效地發(fā)揮����。
穩(wěn)定的資源基礎(chǔ) 制定良好的項(xiàng)目都有穩(wěn)定的人員����、經(jīng)費(fèi)和其它支持的資源基礎(chǔ)。沒有穩(wěn)定的資源基礎(chǔ)����,就沒有可能有效的制定和執(zhí)行計(jì)劃和項(xiàng)目�����。
策略的存在 策略為核心級(jí)計(jì)算機(jī)安全項(xiàng)目提供了基礎(chǔ)�����,是記錄和發(fā)布重要的計(jì)算機(jī)安全決策的手段�����。核心級(jí)計(jì)算機(jī)安全項(xiàng)目還應(yīng)該公布協(xié)助策略執(zhí)行和擴(kuò)展策略的標(biāo)準(zhǔn)���、規(guī)章和指導(dǎo)方針。
所發(fā)布的使命和職能描述 所公布的使命描述為核心計(jì)算機(jī)安全項(xiàng)目融入機(jī)構(gòu)具體的運(yùn)行環(huán)境提供了基礎(chǔ)�。這些描述明確地確定了計(jì)算機(jī)安全項(xiàng)目的職能并且定義了計(jì)算機(jī)安全項(xiàng)目以及其它相關(guān)項(xiàng)目和實(shí)體的責(zé)任。沒有這些描述�,就無法制定評(píng)估項(xiàng)目有效性的標(biāo)準(zhǔn)。
長期的計(jì)算機(jī)安全戰(zhàn)略 建立適當(dāng)?shù)捻?xiàng)目以便對(duì)長期戰(zhàn)略進(jìn)行探索和研究有助于將計(jì)算機(jī)安全綜合到下一代信息技術(shù)中去��。由于計(jì)算機(jī)和電信領(lǐng)域發(fā)展迅猛���,所以對(duì)未來的運(yùn)行環(huán)境作出規(guī)劃是非常重要的�����。
遵守法規(guī)的計(jì)劃 核心級(jí)計(jì)算機(jī)安全項(xiàng)目需要涉及到對(duì)國家政策和需求以及機(jī)構(gòu)特定的需求的遵循���。
機(jī)構(gòu)內(nèi)部的聯(lián)系 機(jī)構(gòu)中的許多人員能夠影響到計(jì)算機(jī)安全����。信息資源管理機(jī)構(gòu)和物理安全人員是兩個(gè)明顯的例子�。但是,計(jì)算機(jī)安全的職能經(jīng)常與這些人員重疊����,如人員安全、可靠性和質(zhì)量保證����、內(nèi)部控制。有效的項(xiàng)目應(yīng)該與這些團(tuán)體建立關(guān)系以便將計(jì)算機(jī)安全整合到機(jī)構(gòu)的管理中�����。這些關(guān)系不僅包括分享信息��,而且包括人員之間的相互影響�。
與外部團(tuán)體的聯(lián)系 所建立的項(xiàng)目應(yīng)該對(duì)外部信息源有所了解并且善加利用。它還可以是信息的提供者��。
4. 系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目
核心級(jí)項(xiàng)目涉及到整個(gè)機(jī)構(gòu)范圍內(nèi)的計(jì)算機(jī)安全�,而系統(tǒng)級(jí)項(xiàng)目是確保每個(gè)系統(tǒng)具有適當(dāng)和具有成本效益的安全性。這包括對(duì)實(shí)施何種控制����、采購和安裝技術(shù)性控制、日常計(jì)算機(jī)安全管理��、評(píng)估系統(tǒng)缺陷和對(duì)安全問題的響應(yīng)等具有影響力的決策�。
系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目人員是計(jì)算機(jī)安全的本地?fù)碜o(hù)者。系統(tǒng)安全經(jīng)理/官員與管轄相關(guān)系統(tǒng)的管理人一起提出安全問題并協(xié)助制定安全問題的解決方案�。例如,應(yīng)用擁有者是否明確定義了系統(tǒng)的安全需求�?新的功能的使用是否會(huì)影響安全,如果會(huì)��,那么是怎樣影響的�?系統(tǒng)是否容易受到黑客和病毒的攻擊?應(yīng)急計(jì)劃是否通過了測(cè)試�����?提出這些問題將迫使系統(tǒng)管理人和應(yīng)用擁有者確定和解決其安全需求��。
5. 有效的系統(tǒng)級(jí)項(xiàng)目的要素
正如核心級(jí)計(jì)算機(jī)安全項(xiàng)目一樣,許多因素也影響著系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目的成功與否��。這些因素大多與核心項(xiàng)目的類似�����。這里涉及到一些額外的考慮�。
安全計(jì)劃 一些法律法規(guī)要求相關(guān)機(jī)構(gòu)制定敏感系統(tǒng)的計(jì)算機(jī)安全和隱私計(jì)劃。這些計(jì)劃確保相關(guān)系統(tǒng)具有適當(dāng)?shù)暮陀谐杀拘б娴陌踩?�。系統(tǒng)級(jí)安全人員應(yīng)該能夠制定和實(shí)施安全計(jì)劃���。
系統(tǒng)特定的安全策略 許多計(jì)算機(jī)安全策略需要涉及到特定系統(tǒng)的問題�。不同的系統(tǒng)有不同的問題�,但是訪問控制和指定負(fù)責(zé)安全的人員大概對(duì)于每一個(gè)系統(tǒng)都是需要的?�?梢允褂糜砂踩繕?biāo)導(dǎo)出安全規(guī)則的過程來制定始終如一和廣泛全面的安全策略�����。
生存周期管理 在系統(tǒng)的整個(gè)生命周期中都必須進(jìn)行安全管理����。這特別包括在對(duì)系統(tǒng)的更改時(shí)確保其對(duì)安全的影響得到了關(guān)注并且完成了適當(dāng)?shù)膶徟掷m(xù)。
集成到系統(tǒng)運(yùn)行中 系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目應(yīng)該包括了解系統(tǒng)��、系統(tǒng)的使命���、技術(shù)和運(yùn)行環(huán)境的人���。有效的安全管理通常需要集成到系統(tǒng)管理中去。有效的集成將確保系統(tǒng)管理人和應(yīng)用擁有者在計(jì)劃和運(yùn)行系統(tǒng)時(shí)將安全問題考慮進(jìn)去�����。系統(tǒng)安全管理人/官員應(yīng)該能夠參與到選擇和實(shí)施適當(dāng)?shù)募夹g(shù)性控制和安全規(guī)程的過程中并且了解系統(tǒng)的弱點(diǎn)����。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目還應(yīng)該具有對(duì)安全問題進(jìn)行及時(shí)響應(yīng)的能力。
對(duì)于大型系統(tǒng)��,如大型機(jī)數(shù)據(jù)中心��,安全項(xiàng)目經(jīng)常包括如訪問控制����、用戶管理和應(yīng)急與災(zāi)難計(jì)劃的管理人和職員。對(duì)于小系統(tǒng)�,如辦公室范圍的局域網(wǎng)(LAN)�����,這個(gè)LAN的管理員可能會(huì)兼有安全責(zé)任���。
與運(yùn)行相分離 計(jì)算機(jī)安全和運(yùn)行部門之間經(jīng)常存在固有的緊張關(guān)系。在許多場(chǎng)合中����,運(yùn)行部門要變得越來越大也就越來越有影響力,就通過將計(jì)算機(jī)安全項(xiàng)目并入計(jì)算機(jī)運(yùn)行部門來尋求解決這種緊張關(guān)系����。這種機(jī)構(gòu)戰(zhàn)略的典型結(jié)果就是計(jì)算機(jī)安全項(xiàng)目缺乏獨(dú)立性、缺乏權(quán)威�����、很少引起管理層的注意并且缺少資源����。
這種做為系統(tǒng)管理一部分的需求與獨(dú)立性的需求之間的沖突可以有多種解決方案。許多解決方案的基礎(chǔ)是在計(jì)算機(jī)安全項(xiàng)目和上層管理之間的聯(lián)系�����,這種聯(lián)系經(jīng)常是通過核心級(jí)計(jì)算機(jī)安全項(xiàng)目建立起來的。建立這種聯(lián)系的關(guān)鍵是要確立一個(gè)不包含系統(tǒng)管理的匯報(bào)體系����。另一種可能是計(jì)算機(jī)安全項(xiàng)目完全獨(dú)立于系統(tǒng)管理并直接向高層管理匯報(bào)����。還有很多混合以及不同的方式,如計(jì)算機(jī)安全和系統(tǒng)管理人員在一起工作但是將其匯報(bào)(和監(jiān)管)體系分開���。
6. 核心級(jí)和系統(tǒng)級(jí)項(xiàng)目的相互作用
系統(tǒng)級(jí)項(xiàng)目要是不集成到機(jī)構(gòu)級(jí)項(xiàng)目中就難以對(duì)機(jī)構(gòu)重要領(lǐng)域的安全性產(chǎn)生影響�����。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目執(zhí)行核心級(jí)計(jì)算機(jī)安全項(xiàng)目的策略�、指導(dǎo)方針和規(guī)定�����。系統(tǒng)級(jí)的人員也通過核心項(xiàng)目發(fā)布的信息進(jìn)行學(xué)習(xí)并利用整個(gè)機(jī)構(gòu)的經(jīng)驗(yàn)和專用資源�����。如果需要����,系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目進(jìn)一步向系統(tǒng)管理提供信息����。
但是��,交流不能是單向的��。系統(tǒng)級(jí)計(jì)算機(jī)安全項(xiàng)目將其需求���、問題��、事件和方案通知核心人員���。對(duì)這些信息的分析可以使核心級(jí)計(jì)算機(jī)安全項(xiàng)目體現(xiàn)機(jī)構(gòu)管理和外部機(jī)構(gòu)的各種系統(tǒng)并且使項(xiàng)目和策略更有利于所有系統(tǒng)的安全。
【?發(fā)表評(píng)論?0條?】