业务导向甲方网络安全策略设计#2信息限制及停机管理
在上一篇:
我们基于业务导向思维就数据管理简要描述了应该如何设计网络安全策略,给出了若干关键原则。接下来考虑的是信息限制和停机管理两大部分。
笔者:国际认证信息系统审计师、软考系统分析师
信息限制指的是在企业组织内部,按层次结构制定信息访问的限制策略。考虑到现实情况下,企业组织内部经常有各种兼职兼岗跨部门跨层次的人员安排,此时层次结构就很容易被打破或扰乱,所以,良好的信息限制策略是并不容易实现的。也因为这样,信息限制就应该制定为网络安全策略,从而避免随意性和临时性。
首要的要求是,信息的层次结构应该与企业组织的主要内部层次结构一致。从最顶层到最底层,每一层都有自己可以访问或不可以(不需要)访问的信息。
尽量避免某个角色能访问到全部的信息。如果客观条件下不能避免,比如需要网络安全经理具备全部信息访问权时,也应限制其不能从企业组织的外部去访问信息。同时,还应该限制从企业组织外部直接联系到此类人员,以减少此类人员被社交攻击的可能性。对于外聘的安全专家也应按同样的要求看待。
当信息的层次得到正确的划分,并实现了相应的控制措施后,对工作人员的相关培训可以相应地大幅度减少。工作人员能简单且明确地知道信息能从何处获取,以及可以向何处透露。
理想情况下,企业应只为工作人员提供其能正确完成工作所需的信息。与此同时,BI软件的应用,基于实际数据生成抽象的汇总报告,可以大幅度减少具体信息的被访问、被接触的频次和程度。BI软件可以大幅度减少人和数据之间的直接依赖关系。
无论什么企业组织都有两种类型的停机时间:计划内停机和计划外停机。两种情况都需要企业的IT管理者做好准备。
据最新统计,在美国,发生勒索软件攻击后的企业,平均停机时间已上升到22天。这种停顿时间所造成的损失对于很多公司来说已经可以直接关门大吉。但如果已经制定了良好的网络安全策略,企业就能在发生意外时具备一套可预期的、在短时间内恢复业务运行的计划。
需要清晰的是,任何攻击行为都不能完美地预先计划如何应对。因此,最关键的做法是创建一个能按计划停机的系统,但在停机时,使用者会认为该系统并没有离线,能继续正常使用。
网站或在线服务,应实现前后端分离,并保持前端可以独立运行。如果有些应用程序需要后端信息,那就要把这些应用程序放在和网站前端不同的地方,比如独立的云服务上。此举的目的是使得网站轻量化,容易被复制和在不同的地方镜像运行。
对于本地部署的服务器,通常需要设置双机热备。再不行都应该有后备设备,并区分主设备和后备(测试)设备。最低限度地,如果能实现手工切换设备,用户就可以对停机时间相对透明。
计划外停机的可能性是包罗万有的,但大多数常见情况是以下三种:
-
电源问题
-
安全问题
-
系统回滚
这三种情况的解决方案关键都是冗余性。
对于电源问题的冗余,需要使用UPS或发电机,以及服务器上配置使用冗余电源模块。整套组合的目的是当电网出现故障时,后备电源能够迅速切入。在平时正常运行时,冗余电源模块能应对意外的单侧电力线路故障。
对于安全问题和系统回滚,冗余服务器非常重要。从设计上,可以考虑在主服务器上设置断线开关,当攻击发生时,此开关能禁止所有外部访问,并使备份服务器自动或手工接管服务。
任何系统更新操作都应该保留最后一次的稳定版本。如果更新中出错,只需激活该稳定版本备份就能继续工作,直到出错问题被修复。
意外总是会来,而且通常会祸不单行。也没有什么防护措施是铜墙铁壁。确保员工懂得没有什么是牢不可破的,在出现问题时应如何行动,应对及时的情况下,客户甚至永远不会知道曾经发生过停机。
信息限制方面,尽可能确保每个人都只拥有完成他们的工作所需的信息。新手不需要接触到大部分信息,但同样地首席执行官也不需要全部的信息。同时,要确保每个人都知道为什么这个要求很重要。
停机管理方面,冗余使得服务器并不真的是永远在线,只需要客户或使用人这样认为就足够了。
必要时,可以使用隐私策略来声明企业的服务器由于安全原因而停机。作为IT人员可以解释技术和策略,但涉及法律问题时,解释空间和发言权就要留给专业人士。
本页网址二维码: