用户安全是信息安全体系中最脆弱,也是最难进行安全加固的一个环节。试想,你配置了企业防火墙、加密、网络访问控制和防病毒方案,却不能阻止用户进行随便访问网站、下载软件等有可能威胁到整个企业网络安全的操作。
怎样才能让用户按照安全策略上的规定进行操作?怎样才能确定用户理解了你做的安全策略并时刻遵守它?
参照一些安全专家的建议,并结合Joker自己平时的实践,Joker试总结了10个让用户遵守安全策略的方法:
1、 制定简单有效的安全策略
企业中每个员工都很忙,每个员工都有很多事情要忙,没人愿意拿出一个上午的时间来仔细阅读一份15页的安全策略,并根据这份方案对自己的机器及日常工作流程进行配置—— 很多时候,安全策略得不到执行,都是因为最终用户没有时间去仔细阅读一个冗长的安全策略文档,或者安全策略上的配置方案太长太琐碎。在这种情况下,安全策略文档往往会像家用电器的说明书一样—— 没人会去看。
由此可知,一个简单明了,可以短时间内完成配置的安全策略才是最终用户可以接受并愿意遵守的,怎么平衡安全与简单,就需要在项目中根据实际情况进行操作。
2、 确定安全策略没有和日常工作流程冲突
不少安全策略方案在制定时并没有考虑使用对象的日常工作流程,只是单纯的从安全及技术角度对配置和操作进行规定。这种安全策略方案真正实施起来常常会和使用者的工作冲突,使用者往往会破坏安全策略的规定而进行操作,因此在执行一个制定好的安全策略之前,必须先确定安全策略与用户的日常工作流程没有冲突。
3、 确定用户已经阅读并理解安全策略
安全策略方案制定并分发下去之后,怎样确保用户已经阅读并理解该方案?这是安全策略在最终用户那里得到执行的前提。国外企业对这个问题的解决很有参考意义: 在安全策略方案分发后制定一个登记表,要求员工阅读安全策略方案后在表上签字确认。
不过这种方式有个缺陷,就是不能对员工是否真的阅读过安全策略文档进行确认,所以可以对上述解决方案进行补充,在安全策略方案分发后先对员工进行简单的安全策略实施培训,这将对安全策略的实施及执行效果有显著的提升。
4、 从高层获得安全策略的执行支持
安全策略制定之后,常常会遇上一个问题,根据安全策略,某个操作或者某个配置是有问题的,但是用户却置若罔闻,而作为外来者的安全策略制定者,也往往无法对用户产生足够的权威和影响。因此,要解决这样的问题的,只有从客户的高层管理机构或者部门管理机构获得安全策略的执行支持这一途径。
5、 让最终用户了解不遵守安全策略可能造成的后果
很多最终用户不把安全策略当一回事往往是因为他们从来没有经历过信息安全事故,也从来没有因此各种信息安全威胁而导致工作流程的瘫痪。就像学车的时候驾校的教练常常带学员看交通事故的资料及展览,伴随安全策略方案一块提供的信息安全事故案例可以从很大程度上使最终用户了解不安全策略进行配置的后果的严重性。
6、 加强最终用户培训
安全策略制定的一个常见错误是制定者把最终用户的技术培训当做一次性的活动,在安全策略实施后只进行一次安全技术的培训就万事大吉。其实,正确的方法是不定期对最终用户进行安全策略及安全技术的简单培训,尤其是安全策略进行修改或面临新的安全威胁、部署新的安全解决方案之后,更要对用户进行二次培训,以加强安全策略的有效程度。
7、 建立最终用户和技术部门的沟通渠道
最终用户里面有很大一部分并不是计算机专业人士,或者连计算机操作都不怎么熟练。他们常常不清楚他们对自己的机器能做什么、不能做什么、为什么要这样那样做。但是他们常常又羞于去问别人,害怕别人认为他们知识缺乏、不够专业。由此导致安全策略在这些用户这里得不到完全实施甚至无效。
对这种问题的解决只能靠加强最终用户和企业技术部门的交流,并建立有效的信息沟通渠道,定期不定期的小组讨论或者定点问题解答都是不错的方案。
8、 对用户及安全策略的实施进行安全测试
在安全策略方案分发之后,建议其有效性的最好方法是什么? 答案是: 使用实际环境的条件对其进行检测。技术部门或者安全策略制定者可以根据面临的安全威胁,并结合技术手段,对使用安全策略配置后的工作环境进行模拟攻击和渗透,对安全策略方案本身的有效性和实施的程度进行检测,并使用检测的结果对安全策略及其部署进行进一步的完善。
9、 监控最终用户的上网行为
不少企业部署安全策略方案,却缺乏方案部署后对最终用户使用网络及信息资源的监控手段,即使最终用户违反了安全策略方案使用信息资源也没有很好的处理手段。目前市场上有不少日志分析和实时监控等功能的工具,使用这类工具对最终用户的上网行为进行监控,能对安全策略的实施进行很好的补充及加强。
10、保持安全策略的更新
信息安全技术日新月异,企业所面临的信息安全威胁也随着时间的推移不断而不断改变。一个过期的安全策略不能对企业的信息安全起到足够的保护作用。安全策略也需要根据企业的安全需求和技术发展进行不断的修改更新,才能保证企业的信息安全不受新的信息安全威胁的影响。