本文同时发表在中计报和中计在线网站。 [url]http://cio.ciw.com.cn/Print.asp?ArticleID=65336[/url]
 
   为了更好地保护资产免受信息安全风险的威胁,企业需要一个结合了完善的信息安全策略和最新技术的安全项目。作为项目核心的安全策略体系先被制定出来后,才开始考虑技术和产品的选择。
     安全策略相当于企业安全项目的灵魂,只有在企业管理层全力支持安全策略的制定和实施,且安全策略规定的保护目标明确可行的前提下,安全项目才有可能被成功实施。
为了更好地保护企业的信息安全, 我们需要在现有的企业安全策略体系中,增加如何对安全项目实施监控和效能度量的书面文档,并制定相应的安全项目度量标准。这可以分四步来完成。
 
第一步 定义监控
    在安全策略中定义如何对安全项目进行监控,是对监控行为进行授权,使其能够保持安全项目的良好运行的先决条件。
    我们经常可以看到一些企业的安全手册上规定“没有经过授权的移动设备不能连接到公司的内部网络”,却没有规定到底由谁来负责检查,以及如何对违反该条令的人员进行处罚;或者规定“公司的每个网络设备的流量都应受到监控”,却没有规定什么类型的网络流量应该受到监控。这显然是毫无用处的,但是类似的条令却充斥在许多企业的安全手册里。
     因此,我们首先要在安全策略里对监控进行合理定义,内容包括:1)安全项目中什么指标需要进行监控;2)谁来执行该项监控。
    在许多场合,尤其在出现严重违反安全策略事件的情况下,负责监控安全项目指标的人员常常需要直接向管理层汇报事件的发展情况.。这时,监控人员需要按照一定格式给管理层提交监控报告。为了方便管理监控报告,我们在制定安全策略的监控标准时,应该规定例行的安全项目监控报告的书写格式。
    监控报告应该包括以下一些元素:执行安全监控的日期;监控行为的执行人;执行监控行为的地点,如企业的某个部门、设施或办公室;安全监控的主题;涉及的人员名字;监控结果和风险区域。
     出于对隐私保护法律的遵守和对企业员工隐私的尊重,我们在制定监控策略时,还应该在安全策略中事先向企业员工声明什么样的行为会被监控和记录,以及实施监控的原因。被监控的原因主要有:保证业务处理或业务交易有据可查,为达到法律法规的要求,防止企业系统的未授权操作,为符合培训或服务标准的要求,防止犯罪行为等。
我们在制定安全策略时,为了节约成本和方便管理,应该对监控范围进行限制。限制监控范围的指定有以下几个原则:
      第一,监控敏感数据,而不是网络通信流量,除非是使用网络过滤技术防止信息资产的流失;
     第二,对系统配置等这样不经常变化的监控对象,可以用定时检查代替持续检查;
     第三,重点关注企业的高风险区域。
     最后,我们还需要在安全策略中对监控作一个标准的定义。比如说,监控可以定义为对网络通信流量的过滤,系统和配置文件的校验,数据的日志、记录和复审等。
    监控的定义还可以以安全策略中的一段文字或者单独的文档形式出现。比如说,有些企业是这样定义的:“由于企业必须遵守法律、法规和隐私策略,而且企业有保护私有资产的需求,ABC 部门将对本部门的所有网络通信流量进行监控和记录,以满足法律法规的要求,同时有利于发现犯罪行为和未授权的使用及访问行为,并保护企业私有资产的合理使用。本部门所进行的监控将根据法律法规和业务的要求进行书面记录。注意监控的行为必须经过管理层的书面授权,没有经过授权的监控行为都属于违法行为。”
 
第二步 制定安全基线
     我们在安全策略中增加定义和授权监控的条款后,接下来要做的是制定实施监控时的安全基线。我们知道,基线是用于比较事物的一个标准,在安全策略中定义安全基线可以为企业的资产保护行为提供一个有效的度量标准。在确定安全基线之前,我们需要先考虑下面的问题:
·    我们需要收集什么样的信息和数据?为什么?
·    企业业务运作对所收集数据的需求有哪些?
·    数据应该在什么时候通过什么方式收集?
    ·数据的收集是否允许使用第三方或自开发的工具?这些工具需要满足什么样的要求?
    ·谁负责数据的收集和对所收集数据的销毁工作?
·    收集到的数据需要向谁提交?采取什么样的格式?
    ·如何保证提交的数据简单明了?
 
第三部 安排监控计划
     在制定好安全策略监控所需的安全基线之后,我们必须合理安排安全项目的监控活动时间,还应该做好关于如何进行安全监控的工作说明。这样,企业的IT人员才能以标准化的流程执行企业安全项目中的监控活动,管理层也可以掌握企业资产保护的情况。
企业定期安全监控所产生的监控结果,可以作为现有安全项目是否需要新增其他安全产品和人员的依据,也可以作为企业安全培训效果的反馈。最重要的是,企业还可以借助对安全项目进行定期监控的结果,了解现有安全项目对企业业务产生的影响,从而进行灵活的调整以适应不断变化的外部环境和业务需求。
      监控计划的安排根据企业的情况不同而不同,我们可以根据企业当前的IT环境和人员情况来确定,并将其写入安全策略中。
 
第四步 确定报告制度
     安全策略对企业资产保护和安全项目效能的监控及度量结果,最终都会在提交给企业管理层的报告中得到体现。因此,一个完整的报告制度也应该通过安全策略确定下来。按照所提交的对象和进行报告的目的不同,安全监控和度量报告可以分成操作性和业务性报告两种。
    操作性报告的内容主要包含:按照风险类型划分的安全策略违反事件次数,违反企业安全配置要求的设备数量,废弃的账户数量,来自外界针对企业的不同类型的***数量,病毒、蠕虫和特洛伊***被拦截的数量,等等。
     业务性报告主要用于在企业业务层次上对安全项目进行评估,主要的内容应该包括:由于失误或错误配置导致的宕机时间和经济损失、安全项目的超支情况、显著的或接受的风险列表等。
     大多数安全监控和度量报告结合了操作性的和业务性的报告元素。根据企业文化的不同,他们可以通过表格、会议演示或白板等不同的格式来展现。我们在编写安全策略和进行安全项目的时候,也应该根据安全监控和度量报告受众的不同,预先定义好报告的格式和所要呈现的信息,并将其写入安全策略中,从而保证安全监控和度量报告的统一性和有效性。