安全策略旨在提供三大作用：一是保护数据、客户、员工和技术系统；二是定义公司在安全方面的立场；三是尽量减小公司内外的风险，并且万一出现泄密后，尽量减小给公众留下的不利影响。制订及发布安全策略不仅仅是个好主意，美国的有关法律还规定公司必须这么做，这些法规包括支付卡行业数据安全标准（PCI）、《健康保险可携性及责任性法案》（HIPAA）以及《联邦信息安全管理法案》（FISMA）等。
   
    但企业在编写及实施安全策略时，通常会犯以下五个基本错误。尽管其中一些错误听上去很可笑，但它们还是会频频发生，这会给许多企业带来重大影响。

    错误一:没有制订安全策略

    这是一个最大的基本错误。实际情况是，很多企业根本没有任何安全策略，有的只是制订了“含蓄策略”——所谓的“含蓄策略”指虽然经过管理班子的正式讨论，但是没有正式成文，也没有发布给任何人。

    这种粗心大意的做法不但留下了安全弱点，企业还有可能违反了法律要求，因为有些法规明确要求公司合理编写及发布安全策略。

    当然，一旦策略正式制订完毕，企业常常会发现自己的系统在很多地方都违反了策略。这没有什么好奇怪的，这表明安全策略并不是完全围绕当前的IT运营标准来制订的。这就意味着，除了安全策略外，公司还必须把当前系统存在的缺陷记入文档，并且评估改正这些缺陷以便让系统符合新策略要求所需的成本。

    错误二:没有更新安全策略

    假设你没有犯前面第一个错误，就要留意这个关键的第二点了：单单拥有精心编写的安全策略还不足以改善安全状况。

    公司网络和业务流程将来会出现一些变动，这是不可避免的。安全风险和法规遵从要求也会发生变化。所以，随着安全威胁和企业环境不断变化，安全策略也要随之变化。

    更新安全策略的理由有：部署了新技术（或者处置过期的软件或硬件）；出现新的法规要求或者法规要求内容有所更新；公司不断发展；企业合并或重组给系统带来了新的数据和用户；出现了新的业务系列或者商业惯例……实际上，只要公司安全策略保护的各环节出现了任何变化，都要更新安全策略。

    如果出现诸如此类的变化后，公司却没有定期评估及更新安全策略，它们的威胁状况就有可能出现门户大开的情况，成了安全方面容易遭到攻击的对象；就算拥有“全新”的安全策略文档，也是如此。
 
    错误三:没有跟踪执行情况

    如果你已经落实了安全策略，并且定期更新了策略，这表明你已往理想的安全策略迈出了重要的两步。但你还是会犯其他错误！

    如果公司没有跟踪安全策略是否得到了执行，甚至没有跟踪员工是不是意识到策略规定的条文，那么安全策略实际上是没有用的，有时甚至从法律上来说是没有用的。首先，为了能执行安全策略，企业必须确保安全策略发布给了所有员工，并且定期进行安全意识培训，特别是在策略加以更新的时候。另外为了确保策略的实用性，日常的监控活动必不可少。
   
    通过日志恐怕是跟踪安全策略执行情况最有效的方法。搜集和分析日志数据将有助于了解IT环境中出现的情况。如果一名员工把与工作有关的电子邮件发送到个人账户，或者试图访问不在权限范围之内的数据，或者企业外面的黑客屡次企图登录企业服务器，但都未得逞……这些事件都会一一被记录到日志中。通过日志跟踪用户和系统的活动，并将这些数据与安全策略规定的条文进行对比，这才是客观地评估日常安全策略执行情况的最佳方法。

    错误四:只考虑了技术方面

    假设你避开了上面所述的前三个陷阱，另一个常见错误涉及安全策略的重点。

    如果某项安全策略仅仅包括技术安全（如密码的复杂性、防火墙规则、IPS警报和反病毒软件更新等），而忽视了人员及其活动方面，公司就很容易遭到“软”威胁的攻击。软威胁包括：内部人员滥用权限、个人擅自使用企业的计算资源等。虽然描述技术保护措施，并确保这些技术措施以安全策略为准绳，而不是临时仓促部署很重要，但安全策略必须同时包括“人员、流程和技术”这三个方面。

    另外，日志数据对于这三者之间的平衡关系很重要，因为系统活动（如系统重启动、自动更新及阻止攻击）和用户活动（如日常IT任务和物理安全）都记录在日志当中，可以拿来与安全策略做对照，也可以拿来证明违反还是遵从了安全策略。

    错误五:内容冗长难操作
   
    简而言之，编写的安全策略要让必须遵守该策略的那些人容易理解。

    如果编写的安全策略满眼是深奥难解的法律术语，而且长达上百页，大多数员工甚至不想了解策略规定的内容，那么，违反策略的情况肯定会随时发生。同样，要是编写的策略过于严格，禁止大多数员工完成日常工作所要做的事情，大多数员工就有可能不遵从这项策略。落实策略之前，需要进行教育工作。因而，一开始就制订内容明确、容易理解的策略，这对将来提高遵从策略的水平有很大的帮助。

    总的来说，安全策略要能够达到预期目的，就必须编写清楚，而且根据需要加以更新。安全策略必须包括技术和非技术方面。最后，还应当监控安全策略的执行情况。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: