知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

企业安全扯淡之意识与策略

发布时间:2014-08-13 15:58:30作者:知识屋

 
by 云舒
2008-04-07

这是扯淡企业安全的第二篇,希望还有下一篇。因为这次要扯的意识和策略是个很麻烦的事情,可能写完这个就写不下去了。是策略,还是意识?这个问题经常被人争论,我的思路很直接,策略优先,意识第二。理由很简单,下面随便扯扯看。

首先,不是有较高的安全意识,就不会出问题。安全意识是很主观的一个东西,这就像在战场上,不是不想死的人就不会死。因为有那个意识,不一定有足够的手段能够维持这个意识的目的一定能够达到。简单的说,有一个普通员工,很有安全意识,不认识的人发的邮件不去看,附件不去点,网上乱七八糟的网站也从不浏览,只看CCTV这样和谐的页面。但是某天用工作笔记本在家上网,被人利用防火墙本身的,或者软件的漏洞,或者是foxmail的漏洞,或者arp插入到cctv页面的利用某些IEl漏洞给攻击了,一些资料马上被人拿走了。

其次,安全意识有人的情绪在里面,情绪是会波动的,因此安全意识是不稳定的。可能一个一向很有安全意识的人,一天被女朋友甩了情绪低落,去看点XXX网站消遣下,中招了。甚至可能是现在这样春天的中午,吃完午饭回来昏昏欲睡,看到个有意思的URL就去点了一下。

最后,安全意识的培养,相比策略的部署而言,是个更加困难的问题。不是朝夕之间,就可以让一个不懂安全的人,接受告诉他需要注意的条条框框。而在传统企业中,比如我接触过的机械行业,这个问题更困难。即使是在IT行业,给高管讲安全意识也不是一件容易的事情。

鉴于这些,我的思路是策略优于意识的。因为策略弥补了上面的两个问题,策略是稳定而且客观的,只要跟着时间的变化更改策略即可。当然,并不是策略先行就表示可以放弃意识,意识也是非常重要的一环,因为最终用电脑的还是人。再厉害的策略都不可能绝对的安全,再厉害的杀毒软件,也难以对付员工自己点击运行的精心制作的有针对性的木马攻击。

做安全方面的规划,我会从我可以做哪些技术手段开始。安全的目标是在用户不具备极高的安全意识的时候,仍然能够尽可能的维护信息的安全。做一个项目之前,请先想想策略方面哪里有没有周到的地方,而不是马上就说需要提高用户的意识。提高意识,是在策略已经很完善了,普通的攻击无效的情况下才需要考虑的问题。这个时候也就说明,安全已经做到一定程度了。

 

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜