- Văn bản
- Lịch sử
Chapter 11 Security PolicyThe FAA w
Chapter 11 Security Policy
The FAA was very smart in how it went about building the inventory so that securing
and auditing could begin. First, it built the inventory from all the information it did
have and any it could gain from analyzing its network with various tools.
Once the network group felt that it had done the best it could on its own, it was
time to announce the new auditing policy to all the IT organizations within the FAA.
The group’s first thought was to announce that any network connections not on its list
and therefore not secured and audited would result in trouble for the people responsible
for the network connection. However, the group realized that this would simply make
people increase their effort to hide such connections. It would, in fact, encourage people
with unreported connections to go “underground.”
Instead, the group announced an amnesty program. For a certain number of months,
anyone could report unofficial network connections and receive no punishment but
instead help in securing and auditing the connection. However, anyone who didn’t come
forward by a certain deadline: Well, that would be a bad thing.
People confessed in droves, sometimes via email, sometimes by a very scared person
entering the office of the director to confess in person. But the program worked. Many
people came to the group for help; nobody was punished. In fact, even after the amnesty
program ended, one person who came to the director nearly in tears confessed and
received no punishment. The goal was to secure the network, not to get people fired;
being as open and forgiving as possible was the best policy.
At the same time, the network team had many of its own undocumented connections
that required analysis to determine where they connected to. Sometimes, billing records
were consulted to help identify lines. Sometimes, the jack was labeled, and a little research could identify the network carrier, which led to more research that identified the
line. Other times, the team wasn’t as lucky.
In the end, a few connections could not be identified. After all other attempts failed, the
team simply picked a date and time that had the fewest flights in the air and disconnected
them. In some cases, it was months later before the country that was disconnected noticed
and complained. The remaining were never identified and remain disconnected. We’re
not sure which is more disconcerting: the connections that were never identified or the
fact that some countries flew for months without complaint.
11.1.2.1 Get High-Level Management Support
For a security program to succeed, it must have high-level management support. The management of the company must be involved in setting the policies and ground rules for the security program so that the right decisions
are made for the business and so that management understands what decisions were made and why. You will need to be able to clearly explain the
possibilities, risks, and benefits if you are to successfully represent the security group, and you will need to do so in business language, not technical
jargon.
11.1 The Basics 281
In some cases, the security staff may disagree with the decisions that are
made by the management of the company. If you find that you disagree with
those decisions, try to understand why they were made. Remember that you
may not have access to the same information or business expertise as the
management team. Business decisions take into account both technical and
nontechnical needs. If you represent the security group well, you must believe
that the management team is making the decisions that it believes are best
for the company and accept them.2 Security people tend to want to build a
system so secure that it wouldn’t be completed until the business had missed
a market opportunity or would be so secure that it would be unusable. It is
important to seek balance between building the perfect system and keeping
the business running.
Once the corporate direction on security has been agreed on, it must
be documented and approved by the management team and then be made
available and publicized within the company. Ideally, a security officer who
is not a part of the IT division of the company should be at a high level of
the management hierarchy. This person should have both business skills and
experience in the area of information protection. The security officer should
head up a cross-functional information-protection team with representatives
from the legal, human resources, IT, engineering, support, and sales divisions,
or whatever the appropriate divisions may be in the company. The security
officer would be responsible for ensuring that appropriate polices are developed, approved, and enforced in a timely manner and that the security
and information-protection team are taking the appropriate actions for the
company.
No Management Support
When Christine arrived at the computer company described in an earlier anecdote, she
asked about the company’s security policy. Two years earlier, a cross-functional group
had written a policy in the spirit of the company’s informal policy and had submitted
it to management for formal approval. The policy got stalled at various levels within
the IT management hierarchy for months at a time. No one in senior management was
interested in pushing for it. The manager of the security team periodically tried to push
it from below but had limited success.
2. If you think that you didn’t represent the security group well, figure out what you failed to communicate and how best to express it, and then try to get one more chance to discuss it. But it is best to get
it right the first time!
282 Chapter 11 Security Policy
This lack of success was indicative of the company’s overall lack of interest in security. As a result, the company’s security staff had a very high turnover because of the
lack of support, which is why the company now outsourced security to a consulting
company.
If the security team cannot rely on high-level management support, the security program inevitably will fail. There will be large turnover in the security
group, and money spent on security will be wasted. High-level management
support is vital.
Training Your Boss
Having a boss who understands your job can be quite a luxury. Sometimes, however, it
can be useful to be able to train your boss.
In one financial services company, the person responsible for security found himself
reporting to a senior VP with with little or no computer background. Should be a
nightmare, right? No.
They created a partnership. The security person promised to meet the company’s
security goals and keep to the technical aspects as long as the VP got him the resources
(budget) required. The partnership was successful: The VP provided the funding needed
every step of the way; the security person fed the VP talking points before any budget
meetings and otherwise was left alone to build the company’s security system.
Together they were a great success.
11.1.2.2 Centralize Authority
Questions come up. New situations arise. Having one place for these issues
to be resolved keeps the security program united and efficient. There must
be a security policy council, or central authority, for decisions that relate
to security: business decisions, policy making, architecture, implementation,
incident response, and auditing.
It is impossible to implement security standards and have effective incident response without a central authority that implements and audits security.
Some companies have a central authority for each autonomous business unit
and a higher-level central authority to establish common standards. Other
times, we have seen a corporatewide security authority with one rogue division outside of its control, owing to a recent acquistion or merger. If the
company feels that certain autonomous business units should have control
over their own policy making, architecture, and so on, the computer and
11.1 The Basics 283
network resources of these units should be clearly divided from those of the
rest of the company. Interconnects should be treated as connections to a third
party, with each side applying its own policies and architectural standards to
those connections.
Multiple autonomous networks for the same company can be very difficult to manage. If two parts of a company have different monitoring policies,
for example, with no clear division between the two business units’ resources,
one security team could inadvertently end up monitoring traffic from an employee of the other business unit in contravention of that employee’s expectation of privacy. This could lead to a court case and lots of bad publicity, as
well as alienation of staff.
On a technical level, your security is only as good as the weakest link.
If you have open access to your network from another network whose security
you have no control over, you don’t know what your weakest link is, and
you have no control over it. You may also have trouble tracing an intruder
who comes across such an open link.
Case Study: No Central Authority
At a large company, each site effectively decided on its own (unwritten) policies but
had one unified network. Many sites connected third parties to the network without
any security. As a result, a security scare occurred ever y few weeks at one of the offices,
and the security team had to spend a few days tracking down the people responsible
for the site to determine what, if anything, had happened. On a few occasions, the
security team was called in the middle of the night to deal with a security incident but
had no access to the site that was believed to be compromised and was unable to get
a response from the people responsible for that site until the next day. By contrast,
at the site that did have central authority and policies, there were no such scares or
incidents.
11.1.3 Basics for the Technical Staff
As a technical member of the security team, you need to bear
The FAA was very smart in how it went about building the inventory so that securing
and auditing could begin. First, it built the inventory from all the information it did
have and any it could gain from analyzing its network with various tools.
Once the network group felt that it had done the best it could on its own, it was
time to announce the new auditing policy to all the IT organizations within the FAA.
The group’s first thought was to announce that any network connections not on its list
and therefore not secured and audited would result in trouble for the people responsible
for the network connection. However, the group realized that this would simply make
people increase their effort to hide such connections. It would, in fact, encourage people
with unreported connections to go “underground.”
Instead, the group announced an amnesty program. For a certain number of months,
anyone could report unofficial network connections and receive no punishment but
instead help in securing and auditing the connection. However, anyone who didn’t come
forward by a certain deadline: Well, that would be a bad thing.
People confessed in droves, sometimes via email, sometimes by a very scared person
entering the office of the director to confess in person. But the program worked. Many
people came to the group for help; nobody was punished. In fact, even after the amnesty
program ended, one person who came to the director nearly in tears confessed and
received no punishment. The goal was to secure the network, not to get people fired;
being as open and forgiving as possible was the best policy.
At the same time, the network team had many of its own undocumented connections
that required analysis to determine where they connected to. Sometimes, billing records
were consulted to help identify lines. Sometimes, the jack was labeled, and a little research could identify the network carrier, which led to more research that identified the
line. Other times, the team wasn’t as lucky.
In the end, a few connections could not be identified. After all other attempts failed, the
team simply picked a date and time that had the fewest flights in the air and disconnected
them. In some cases, it was months later before the country that was disconnected noticed
and complained. The remaining were never identified and remain disconnected. We’re
not sure which is more disconcerting: the connections that were never identified or the
fact that some countries flew for months without complaint.
11.1.2.1 Get High-Level Management Support
For a security program to succeed, it must have high-level management support. The management of the company must be involved in setting the policies and ground rules for the security program so that the right decisions
are made for the business and so that management understands what decisions were made and why. You will need to be able to clearly explain the
possibilities, risks, and benefits if you are to successfully represent the security group, and you will need to do so in business language, not technical
jargon.
11.1 The Basics 281
In some cases, the security staff may disagree with the decisions that are
made by the management of the company. If you find that you disagree with
those decisions, try to understand why they were made. Remember that you
may not have access to the same information or business expertise as the
management team. Business decisions take into account both technical and
nontechnical needs. If you represent the security group well, you must believe
that the management team is making the decisions that it believes are best
for the company and accept them.2 Security people tend to want to build a
system so secure that it wouldn’t be completed until the business had missed
a market opportunity or would be so secure that it would be unusable. It is
important to seek balance between building the perfect system and keeping
the business running.
Once the corporate direction on security has been agreed on, it must
be documented and approved by the management team and then be made
available and publicized within the company. Ideally, a security officer who
is not a part of the IT division of the company should be at a high level of
the management hierarchy. This person should have both business skills and
experience in the area of information protection. The security officer should
head up a cross-functional information-protection team with representatives
from the legal, human resources, IT, engineering, support, and sales divisions,
or whatever the appropriate divisions may be in the company. The security
officer would be responsible for ensuring that appropriate polices are developed, approved, and enforced in a timely manner and that the security
and information-protection team are taking the appropriate actions for the
company.
No Management Support
When Christine arrived at the computer company described in an earlier anecdote, she
asked about the company’s security policy. Two years earlier, a cross-functional group
had written a policy in the spirit of the company’s informal policy and had submitted
it to management for formal approval. The policy got stalled at various levels within
the IT management hierarchy for months at a time. No one in senior management was
interested in pushing for it. The manager of the security team periodically tried to push
it from below but had limited success.
2. If you think that you didn’t represent the security group well, figure out what you failed to communicate and how best to express it, and then try to get one more chance to discuss it. But it is best to get
it right the first time!
282 Chapter 11 Security Policy
This lack of success was indicative of the company’s overall lack of interest in security. As a result, the company’s security staff had a very high turnover because of the
lack of support, which is why the company now outsourced security to a consulting
company.
If the security team cannot rely on high-level management support, the security program inevitably will fail. There will be large turnover in the security
group, and money spent on security will be wasted. High-level management
support is vital.
Training Your Boss
Having a boss who understands your job can be quite a luxury. Sometimes, however, it
can be useful to be able to train your boss.
In one financial services company, the person responsible for security found himself
reporting to a senior VP with with little or no computer background. Should be a
nightmare, right? No.
They created a partnership. The security person promised to meet the company’s
security goals and keep to the technical aspects as long as the VP got him the resources
(budget) required. The partnership was successful: The VP provided the funding needed
every step of the way; the security person fed the VP talking points before any budget
meetings and otherwise was left alone to build the company’s security system.
Together they were a great success.
11.1.2.2 Centralize Authority
Questions come up. New situations arise. Having one place for these issues
to be resolved keeps the security program united and efficient. There must
be a security policy council, or central authority, for decisions that relate
to security: business decisions, policy making, architecture, implementation,
incident response, and auditing.
It is impossible to implement security standards and have effective incident response without a central authority that implements and audits security.
Some companies have a central authority for each autonomous business unit
and a higher-level central authority to establish common standards. Other
times, we have seen a corporatewide security authority with one rogue division outside of its control, owing to a recent acquistion or merger. If the
company feels that certain autonomous business units should have control
over their own policy making, architecture, and so on, the computer and
11.1 The Basics 283
network resources of these units should be clearly divided from those of the
rest of the company. Interconnects should be treated as connections to a third
party, with each side applying its own policies and architectural standards to
those connections.
Multiple autonomous networks for the same company can be very difficult to manage. If two parts of a company have different monitoring policies,
for example, with no clear division between the two business units’ resources,
one security team could inadvertently end up monitoring traffic from an employee of the other business unit in contravention of that employee’s expectation of privacy. This could lead to a court case and lots of bad publicity, as
well as alienation of staff.
On a technical level, your security is only as good as the weakest link.
If you have open access to your network from another network whose security
you have no control over, you don’t know what your weakest link is, and
you have no control over it. You may also have trouble tracing an intruder
who comes across such an open link.
Case Study: No Central Authority
At a large company, each site effectively decided on its own (unwritten) policies but
had one unified network. Many sites connected third parties to the network without
any security. As a result, a security scare occurred ever y few weeks at one of the offices,
and the security team had to spend a few days tracking down the people responsible
for the site to determine what, if anything, had happened. On a few occasions, the
security team was called in the middle of the night to deal with a security incident but
had no access to the site that was believed to be compromised and was unable to get
a response from the people responsible for that site until the next day. By contrast,
at the site that did have central authority and policies, there were no such scares or
incidents.
11.1.3 Basics for the Technical Staff
As a technical member of the security team, you need to bear
0/5000
Chương 11 an ninh chính sáchFAA là rất thông minh trong cách nó đã đi về xây dựng hàng tồn kho để bảo vệvà kiểm toán có thể bắt đầu. Đầu tiên, nó xây dựng hàng tồn kho từ tất cả các thông tin mà nó đã làmcó và có nó có thể đạt được từ phân tích mạng lưới của mình với nhiều công cụ.Một khi nhóm mạng cảm thấy rằng nó đã làm tốt nhất mà nó có thể ngày của riêng mình, đó làthời gian để thông báo chính sách kiểm định mới cho tất cả các tổ chức CNTT trong FAA.Suy nghĩ đầu tiên của nhóm đã thông báo rằng bất kỳ mạng kết nối không phải trên danh sách của mìnhvà do đó không đảm bảo và kiểm tra nào dẫn đến rắc rối cho những người chịu trách nhiệmkết nối mạng. Tuy nhiên, nhóm nhận ra rằng điều này chỉ đơn giản là sẽ làmngười tăng nỗ lực của họ để ẩn kết nối như vậy. Nó sẽ, trong thực tế, khuyến khích ngườivới các kết nối không được báo cáo để đi "ngầm."Thay vào đó, nhóm đã thông báo một chương trình ân xá. Đối với một số tháng,bất cứ ai có thể báo cáo kết nối mạng không chính thức và nhận được không có hình phạt nhưngthay vào đó giúp bảo vệ và kiểm toán kết nối. Tuy nhiên, bất cứ ai không đếnchuyển tiếp theo một thời hạn nhất định: Vâng, đó sẽ là một điều xấu.Người thú nhận trong droves, đôi khi qua email, đôi khi bởi một người rất sợbước vào văn phòng của giám đốc để thú nhận ở người. Tuy nhiên, chương trình làm việc. Nhiềumọi người đến nhóm để được giúp đỡ; không ai bị trừng phạt. Trong thực tế, ngay cả sau khi tổ chức Ân xáchương trình kết thúc, một người đã đến giám đốc gần nước mắt thú nhận vànhận được không có hình phạt. Mục đích là để bảo mật mạng, không phải để có được người sa thải;như mở và khoan dung như có thể là chính sách tốt nhất.Cùng lúc đó, đội tuyển mạng có nhiều người trong số các kết nối không có giấy tờ riêng của mìnhmà yêu cầu phân tích để xác định nơi họ kết nối đến. Đôi khi, thanh toán hồ sơđược tư vấn để giúp xác định dòng. Đôi khi, jack đã được dán nhãn, và một ít nghiên cứu có thể xác định chiếc tàu sân bay mạng, dẫn tới nhiều nghiên cứu xác định cácdòng. Lần khác, các đội đã không may mắn.Cuối cùng, một vài kết nối không thể được xác định. Sau khi tất cả các nỗ lực không thành công, cácđội chỉ đơn giản là chọn một ngày và thời gian đó có ít nhất các chuyến bay trong không khí và ngắt kết nốihọ. Trong một số trường hợp, nó đã vài tháng sau đó trước khi đất nước bị ngắt nhận thấyvà phàn nàn. Số còn lại đã không bao giờ được xác định và vẫn còn bị ngắt kết nối. Chúng tôi đangkhông chắc chắn đó là hơn disconcerting: các kết nối đã không bao giờ được xác định hoặc cácthực tế là một số quốc gia đã bay trong nhiều tháng mà không có khiếu nại.11.1.2.1 nhận được hỗ trợ cao cấp quản lýMột chương trình bảo mật để thành công, nó phải có hỗ trợ quản lý cấp cao. Quản lý của công ty phải được tham gia trong việc thiết lập các chính sách và đất lệnh cho chương trình an ninh như vậy rằng quyết định đúng đắnđược thực hiện cho các doanh nghiệp và do đó quản lý hiểu được quyết định những gì đã được thực hiện và tại sao. Bạn sẽ cần để có thể giải thích rõ ràng cáckhả năng, rủi ro và lợi ích nếu bạn muốn thành công đại diện cho nhóm bảo mật, và bạn sẽ cần phải làm như vậy trong ngôn ngữ kinh doanh, kỹ thuật khôngbiệt ngữ.11.1 phần khái niệm cơ bản 281Trong một số trường hợp, các nhân viên an ninh có thể không đồng ý với quyết địnhđược thực hiện bởi quản lý của công ty. Nếu bạn thấy rằng bạn không đồng ý vớiCác quyết định đó, cố gắng để hiểu tại sao họ đã được thực hiện. Hãy nhớ rằng bạncó thể không có quyền truy cập vào cùng thông tin hoặc doanh nghiệp chuyên môn như là cácđội ngũ quản lý. Quyết định kinh doanh đưa vào tài khoản cả hai kỹ thuật vànhu cầu nontechnical. Nếu bạn đại diện cho nhóm bảo mật tốt, bạn phải tinđội ngũ quản lý là làm cho các quyết định mà họ tin rằng là tốt nhấtcho công ty và chấp nhận them.2 an ninh người có xu hướng muốn xây dựng mộtHệ thống an toàn vì vậy nó sẽ không được hoàn thành cho đến khi các doanh nghiệp đã bỏ lỡmột cơ hội thị trường hoặc sẽ an toàn vì vậy nó sẽ không sử dụng được. Nó làquan trọng để tìm kiếm sự cân bằng giữa xây dựng hệ thống hoàn hảo và giữCác hoạt động kinh doanh.Một khi doanh nghiệp hướng về an ninh đã được đồng ý về, nó phảiđược ghi lại và được chấp thuận bởi đội ngũ quản lý và sau đó được thực hiệncó sẵn và công bố công khai trong công ty. Lý tưởng nhất, một sĩ quan an ninh ngườikhông phải là một phần của bộ phận CNTT của công ty nên ở một mức độ caoHệ thống phân cấp quản lý. Người này cần phải có cả hai kỹ năng kinh doanh vàkinh nghiệm trong lĩnh vực bảo vệ thông tin. Sĩ quan an ninh nênđầu lên một chéo chức năng bảo vệ thông tin đội với đại diệntừ quy phạm pháp luật, nguồn nhân lực, nó, kỹ thuật, hỗ trợ, và bộ phận bán hàng,hoặc bất cứ điều gì các đơn vị thích hợp có thể trong công ty. An ninhviên chức nào có trách nhiệm đảm bảo rằng thích hợp chính sách được phát triển, được chấp thuận và thi hành một cách kịp thời và bảo mậtvà bảo vệ thông tin đội đang dùng những hành động thích hợp cáccông ty.Không có hỗ trợ quản lýKhi Christine đến công ty máy tính được mô tả trong một giai thoại trước đó, côyêu cầu về chính sách bảo mật của công ty. Hai năm trước đó, một nhóm chức năng chéođã viết một chính sách trong tinh thần của chính sách chính thức của công ty và đã gửinó quản lý chính thức phê duyệt. Các chính sách đã bị ngừng ở các cấp độ trong vòngCác hệ thống quản lý CNTT cho vài tháng tại một thời điểm. Không có ai trong quản lý cấp cao đãquan tâm đến đẩy cho nó. Người quản lý của nhóm bảo mật định kỳ đã cố gắng để đẩynó từ dưới đây nhưng có giới hạn thành công.2. nếu bạn nghĩ rằng bạn không đại diện cho nhóm bảo mật tốt, tìm ra những gì bạn không thể giao tiếp và cách tốt nhất để thể hiện nó, và sau đó cố gắng để có được thêm một cơ hội để thảo luận về nó. Nhưng nó là tốt nhất để có đượcnó phải là lần đầu tiên!282 chương 11 an ninh chính sáchĐiều này thiếu sự thành công là chỉ của thiếu quan tâm đến an ninh tổng thể của công ty. Do đó, nhân viên bảo vệ của công ty có một doanh thu rất cao vì cácthiếu sự hỗ trợ, đó là lý do tại sao công ty bây giờ thuê ngoài các an ninh cho một tư vấncông ty.Nếu nhóm bảo mật không thể dựa vào hỗ trợ cao cấp quản lý, chương trình an ninh chắc chắn sẽ thất bại. Sẽ có doanh thu lớn trong an ninhNhóm, và tiền chi cho bảo mật sẽ bị lãng phí. Quản lý cấp caohỗ trợ là rất quan trọng.Đào tạo ông chủ của bạnCó một ông chủ người hiểu được công việc của bạn có thể là khá xa xỉ. Đôi khi, Tuy nhiên, nócó thể hữu ích để có thể đào tạo ông chủ của bạn.Trong một công ty dịch vụ tài chính, người chịu trách nhiệm về an ninh thấy mìnhbáo cáo đến một VP cao cấp với với ít hoặc không có nền tảng máy tính. Nên mộtcơn ác mộng, đúng không? Không.Họ tạo ra một quan hệ đối tác. Bảo mật người đã hứa để đáp ứng của công tymục tiêu bảo mật và giữ cho các khía cạnh kỹ thuật miễn là các VP ông đã nhận các nguồn tài nguyên(ngân sách) yêu cầu. Quan hệ đối tác đã thành công: The VP cung cấp các nguồn tài trợ cần thiếtmỗi bước của quá trình; bảo mật người ăn VP nói điểm trước khi bất kỳ ngân sáchcuộc họp và nếu không được để lại một mình để xây dựng hệ thống an ninh của công ty.Cùng nhau, họ đã là một thành công lớn.11.1.2.2 tập trung quyền lựcCâu hỏi đi lên. Mới tình huống phát sinh. Có một nơi dành cho những vấn đề nàyđể được giải quyết tiếp tục chương trình bảo mật hoa và hiệu quả. Có phảilà một hội đồng chính sách an ninh, hoặc cơ quan Trung ương, để quyết định có liên quanđể bảo mật: quyết định kinh doanh, thực hiện chính sách, kiến trúc, thực hiện,phản ứng sự cố, và kiểm toán.Nó là không thể thực hiện các tiêu chuẩn bảo mật và có hiệu quả khi gặp sự cố phản ứng mà không có một cơ quan Trung ương mà thực hiện và audits bảo mật.Một số công ty có một cơ quan Trung ương cho mỗi đơn vị tự trị kinh doanhvà một cơ quan Trung ương cao cấp để thiết lập tiêu chuẩn phổ biến. Khácthời gian, chúng tôi đã nhìn thấy một cơ quan an ninh corporatewide với một rogue bộ phận bên ngoài kiểm soát của nó, do một tại acquistion hoặc sáp nhập. Nếu cáccông ty cảm thấy rằng một số đơn vị kinh doanh tự trị nên có quyền kiểm soáttrong chính sách làm, kiến trúc và vv., máy tính riêng của họ và11.1 phần khái niệm cơ bản 283tài nguyên mạng của các đơn vị này nên được rõ ràng chia từ những người của cácphần còn lại của công ty. Liên kết nối phải được coi là kết nối đến một phần babên, với mỗi bên áp dụng chính sách riêng của mình và các tiêu chuẩn kiến trúc đểnhững kết nối.Nhiều tự trị mạng cho cùng một công ty có thể rất khó để quản lý. Nếu hai phần của một công ty có chính sách giám sát khác,Ví dụ, với không có phân chia rõ ràng giữa các đơn vị kinh doanh hai nguồn lực,một nhóm bảo mật có thể vô tình sẽ giám sát lưu lượng truy cập từ một nhân viên của đơn vị kinh doanh khác trong trái với kỳ vọng rằng nhân viên của bảo mật. Điều này có thể dẫn đến một trường hợp tòa án và rất nhiều công khai xấu, nhưcũng như chuyển nhượng của nhân viên.Trên một mức độ kỹ thuật, an ninh của bạn chỉ là tốt như liên kết yếu nhất.Nếu bạn có quyền truy cập mở vào mạng của bạn từ một mạng có bảo mậtbạn đã không kiểm soát hơn, bạn không biết những gì liên kết yếu nhất của bạn là, vàbạn đã không kiểm soát nó. Bạn cũng có thể gặp khó khăn khi truy tìm kẻ đột nhậpnhững người đi qua một liên kết mở.Trường hợp nghiên cứu: Không có cơ quan Trung ươngTại một công ty lớn, mỗi trang web có hiệu quả quyết định về chính sách riêng của mình (unwritten) nhưngcó một mạng lưới thống nhất. Nhiều trang web bên thứ ba kết nối vào mạng mà không cầnan ninh bất kỳ. Kết quả là, một đe dọa an ninh xảy ra bao giờ y vài tuần tại một trong các văn phòng,và đội bảo vệ đã phải chi tiêu một vài ngày theo dõi xuống những người chịu trách nhiệmcho các trang web để xác định những gì, nếu bất cứ điều gì, đã xảy ra. Trên một vài dịp, cácNhóm bảo mật được gọi là ở giữa đêm để đối phó với một bảo mật nhưng khi gặp sự cốđã không truy cập vào các trang web được cho là bị tổn hại và không thể để có đượcmột phản ứng từ những người chịu trách nhiệm cho các trang web đó cho đến ngày hôm sau. Ngược lại,tại trang web đã có cơ quan Trung ương và chính sách, đã có không có như vậy scares hoặcsự cố.11.1.3 khái niệm cơ bản cho các nhân viên kỹ thuậtLà một kỹ thuật viên của đội bảo vệ, bạn cần phải chịu
đang được dịch, vui lòng đợi..
Chương 11 Security Policy
FAA đã rất thông minh trong cách nó đã đi về xây dựng tồn kho để đảm bảo
và kiểm toán có thể bắt đầu. Đầu tiên, nó được xây dựng tồn kho từ tất cả các thông tin mà nó đã
có và bất kỳ nó có thể đạt được từ việc phân tích mạng lưới của mình với các công cụ khác nhau.
Một khi các nhóm mạng cảm thấy rằng nó đã làm tốt nhất có thể trên riêng của mình, đó là
thời gian để thông báo mới chính sách kiểm toán cho tất cả các tổ chức CNTT trong FAA.
Suy nghĩ đầu tiên của nhóm đã thông báo rằng bất kỳ kết nối mạng không phải trên danh sách của mình
và do đó không được bảo đảm và kiểm toán sẽ dẫn đến rắc rối cho những người chịu trách nhiệm
cho các kết nối mạng. Tuy nhiên, nhóm nhận ra rằng điều này sẽ chỉ đơn giản là làm cho
người dân tăng nỗ lực của họ để che giấu các kết nối như vậy. Nó sẽ, trên thực tế, khuyến khích người dân
với các kết nối không được báo cáo để đi "ngầm".
Thay vào đó, nhóm đã công bố một chương trình ân xá. Đối với một số lượng nhất định của tháng,
bất cứ ai có thể báo cáo các kết nối mạng không chính thức và không nhận được sự trừng phạt nhưng
thay vì giúp đỡ trong việc đảm bảo và kiểm toán các kết nối. Tuy nhiên, những ai không đi
về phía trước bởi một thời hạn nhất định: Vâng, đó sẽ là một điều xấu.
Mọi người lũ lượt thú nhận, đôi khi thông qua email, đôi khi do một người rất sợ hãi
bước vào văn phòng của giám đốc để thú nhận trong người. Nhưng chương trình làm việc. Nhiều
người đã đến các nhóm giúp đỡ; không ai bị trừng phạt. Trong thực tế, ngay cả sau khi xá
chương trình kết thúc, một người đến giám đốc gần như trong nước mắt thú nhận và
không nhận được sự trừng phạt. Mục đích là để đảm bảo mạng, không để mọi người bị sa
thải;. Là cởi mở và tha thứ nhất có thể được chính sách tốt nhất
Đồng thời, nhóm nghiên cứu mạng đã có nhiều kết nối cung cấp tài liệu riêng của mình
rằng cần phân tích để xác định nơi họ kết nối với . Đôi khi, hồ sơ thanh toán
được tham vấn để giúp xác định dòng. Đôi khi, các jack được dán nhãn, và một ít nghiên cứu có thể xác định các nhà cung cấp dịch mạng, dẫn đến nhiều nghiên cứu đã xác định rằng các
dòng. Những lần khác, nhóm nghiên cứu đã không may mắn như vậy.
Cuối cùng, một vài kết nối có thể không được xác định. Sau tất cả những nỗ lực khác không thành công, các
đội chỉ đơn giản là chọn một ngày và thời gian đó đã có những chuyến bay ít nhất trong không khí và bị ngắt kết nối
chúng. Trong một số trường hợp, nó là tháng sau trước khi đất nước đã được ngắt kết nối được chú ý
và phàn nàn. Số còn lại được bao giờ xác định và vẫn bị ngắt kết nối. Chúng tôi
không chắc chắn đó là bối rối hơn: các kết nối mà không bao giờ được xác định
hoặc. Thực tế rằng một số quốc gia đã bay trong nhiều tháng mà không có khiếu nại
11.1.2.1 Hỗ trợ Quản lý cấp cao
Đối với một chương trình bảo mật để thành công, nó phải có trình độ cao hỗ trợ quản lý. Việc quản lý của công ty phải được tham gia vào việc thiết lập các chính sách và nguyên tắc cơ bản cho các chương trình bảo mật để các quyết định đúng đắn
được thực hiện cho các doanh nghiệp và do đó quản lý mà hiểu những gì các quyết định đã được thực hiện và tại sao. Bạn sẽ cần để có thể giải thích rõ các
khả năng, rủi ro và lợi ích nếu bạn là đại diện cho thành công của nhóm bảo mật, và bạn sẽ cần phải làm như vậy trong ngôn ngữ kinh doanh, không phải kỹ thuật
ngữ khó hiểu.
11.1 Khái niệm cơ bản 281
Trong một số trường hợp, Nhân viên an ninh có thể không đồng ý với quyết định đó được
thực hiện bởi các quản lý của công ty. Nếu bạn thấy rằng bạn không đồng ý với
quyết định đó, cố gắng tìm hiểu lý do tại sao họ đã được thực hiện. Hãy nhớ rằng bạn
có thể không có quyền truy cập vào các thông tin tương tự hoặc chuyên môn kinh doanh như
đội ngũ quản lý. Quyết định kinh doanh đưa vào tài khoản cả hai kỹ thuật và
nhu cầu không kỹ thuật. Nếu bạn đại diện cho các nhóm bảo mật tốt, bạn phải tin
rằng đội ngũ quản lý là làm cho các quyết định mà nó tin là tốt nhất
cho công ty và chấp nhận them.2 người an có xu hướng muốn xây dựng một
hệ thống an toàn như vậy mà nó sẽ không được hoàn thành đến khi doanh nghiệp đã bỏ lỡ
một cơ hội thị trường hoặc sẽ rất an toàn mà nó sẽ không sử dụng được. Nó là
quan trọng để tìm kiếm sự cân bằng giữa việc xây dựng các hệ thống hoàn hảo và giữ
các doanh nghiệp hoạt động.
Một khi hướng của công ty về bảo mật đã được thống nhất, nó phải
được ghi chép và sự chấp thuận của đội ngũ quản lý và sau đó được làm
sẵn và công bố công khai trong công ty. Lý tưởng nhất, một nhân viên an ninh đã
không phải là một phần của bộ phận IT của công ty nên có một mức độ cao của
hệ thống phân cấp quản lý. Người này phải có cả hai kỹ năng kinh doanh và
kinh nghiệm trong lĩnh vực bảo vệ thông tin. Các nhân viên an ninh phải
đi lên một đội thông tin bảo vệ đa chức năng với các đại diện
từ, nguồn nhân lực pháp lý, IT, kỹ thuật, hỗ trợ, và các bộ phận bán hàng,
hoặc bất cứ bộ phận phù hợp có thể là trong công ty. An ninh
viên sẽ chịu trách nhiệm đảm bảo rằng chính sách phù hợp được phát triển, đã được phê duyệt, và được thực thi một cách kịp thời và rằng sự an toàn
đội và thông tin bảo vệ đang dùng các hành động thích hợp cho các
công ty.
Không hỗ trợ quản lý
Khi Christine đến các công ty máy tính được mô tả trong một giai thoại trước đó, cô
hỏi về chính sách bảo mật của công ty. Hai năm trước đó, một nhóm liên chức năng
đã có văn bản chính sách theo tinh thần của chính sách chính thức của công ty và đã đệ trình
nó để quản lý chính thức. Chính sách này đã bị đình trệ ở các cấp độ khác nhau trong
hệ thống phân cấp quản lý CNTT trong nhiều tháng tại một thời điểm. Không một ai trong quản lý cấp cao là
quan tâm đến việc đẩy mạnh cho nó. Người quản lý của đội ngũ an ninh định kỳ cố gắng để đẩy
nó từ dưới đây, nhưng đã hạn chế thành công.
2. Nếu bạn nghĩ rằng bạn đã không đại diện cho các nhóm bảo mật tốt, tìm ra những gì bạn thất bại trong việc giao tiếp và cách tốt nhất để thể hiện nó, và sau đó cố gắng để có được cơ hội thêm một thảo luận về nó. Nhưng nó là tốt nhất để có được
nó ngay lần đầu tiên!
282 Chương 11 chính sách bảo mật
này thiếu sự thành công là biểu hiện của sự thiếu chung của công ty quan tâm trong an ninh. Kết quả là, các nhân viên an ninh của công ty có doanh thu rất cao vì
thiếu sự hỗ trợ, đó là lý do tại sao các công ty hiện nay bên ngoài bảo mật cho một tư vấn
công ty.
Nếu đội ngũ an ninh không thể dựa vào sự hỗ trợ quản lý cấp cao, các chương trình bảo mật chắc chắn sẽ thất bại. Sẽ có doanh thu lớn trong bảo mật
nhóm, và tiền chi cho an ninh sẽ bị lãng phí. Quản lý cao cấp
hỗ trợ là rất quan trọng.
Đào tạo Boss của bạn
Có một ông chủ người hiểu công việc của bạn có thể được khá sang trọng. Đôi khi, tuy nhiên, nó
có thể hữu ích để có thể đào tạo ông chủ của bạn.
Trong một dịch vụ tài chính công ty, người chịu trách nhiệm về an ninh tìm thấy chính mình
báo cáo với một VP cao cấp với rất ít hoặc không có nền tảng máy tính. Phải là một
cơn ác mộng, phải không? Số
Họ đã tạo ra một quan hệ đối tác. Người bảo mật hứa sẽ đáp ứng của công ty
mục tiêu an ninh và giữ cho đến các khía cạnh kỹ thuật miễn là VP đã nhận anh ta các nguồn lực
(ngân sách) yêu cầu. Sự hợp tác này đã thành công: Các VP cung cấp kinh phí cần thiết
mỗi bước của con đường; người bảo ăn VP nói điểm trước khi bất kỳ ngân sách
các cuộc họp và nếu không còn lại một mình để xây dựng hệ thống bảo mật của công ty.
Họ cùng nhau là một thành công lớn.
11.1.2.2 Tập trung Authority
Câu hỏi đưa ra. Tình huống mới phát sinh. Có một nơi cho những vấn đề này
được giải quyết giữ chương trình bảo mật thống nhất và hiệu quả. Có phải
là một hội đồng an ninh chính sách, hoặc cơ quan trung ương, các quyết định liên quan
đến an ninh: các quyết định kinh doanh, hoạch định chính sách, kiến trúc, thực
hiện,. Ứng phó sự cố, và kiểm toán
là không thể thực hiện các tiêu chuẩn an ninh và có phản ứng sự cố hiệu quả mà không có một trung tâm cơ quan đó thực hiện kiểm toán và bảo mật.
Một số công ty có một cơ quan trung ương cho từng đơn vị kinh doanh độc lập
và các cơ quan trung ương cấp cao hơn để thiết lập các tiêu chuẩn chung. Khác
lần, chúng tôi đã nhìn thấy một cơ quan an ninh corporatewide với một bộ phận bất hảo ngoài sự kiểm soát của mình do một Acquistion gần đây, sáp nhập. Nếu các
công ty cảm thấy rằng một số đơn vị kinh doanh độc lập nên có thể kiểm soát
hơn trong việc ra chính sách, kiến trúc riêng của họ, và như vậy, các máy tính và
11.1 Khái niệm cơ bản 283
tài nguyên mạng của các đơn vị này phải được phân chia rõ ràng từ những người của các
phần còn lại của công ty. Liên kết nối cần được đối xử như các kết nối đến một phần ba
bên, mỗi bên áp dụng các chính sách riêng của mình và tiêu chuẩn kiến trúc cho
những kết nối.
Nhiều mạng tự trị cho cùng một công ty có thể rất khó quản lý. Nếu hai phần của một công ty có chính sách giám sát khác nhau,
ví dụ, không có sự phân chia rõ ràng giữa các nguồn lực của hai đơn vị kinh doanh,
một đội ngũ an ninh vô tình có thể kết thúc giao thông giám sát từ một nhân viên của các đơn vị kinh doanh khác trái với kỳ vọng của nhân viên bảo mật. Điều này có thể dẫn đến một vụ án và rất nhiều tiếng xấu, như
cũng như sự xa lánh của nhân viên.
Trên một mức độ kỹ thuật, bảo mật của bạn là chỉ tốt như liên kết yếu nhất.
Nếu bạn có quyền truy cập mở cho mạng của bạn từ một mạng khác có an ninh
bạn không kiểm soát được, bạn không biết những gì liên kết yếu nhất của bạn là gì, và
bạn không thể kiểm soát nó. Bạn cũng có thể gặp khó khăn khi truy tìm một kẻ xâm nhập
đã đi qua như một liên kết mở.
Trường hợp nghiên cứu: Không Cơ quan Trung ương
tại một công ty lớn, mỗi trang web có hiệu quả quyết định (bất thành văn) chính sách riêng của mình nhưng
đã có một mạng lưới thống nhất. Nhiều trang web kết nối các bên thứ ba vào mạng mà không cần
bất kỳ bảo mật. Kết quả là, một scare an ninh xảy ra vài tuần bao giờ y tại một trong các văn phòng,
và đội ngũ an ninh đã phải chi tiêu một vài ngày theo dõi xuống những người chịu trách nhiệm
cho các trang web để xác định những gì, nếu bất cứ điều gì, đã xảy ra. Trong một vài trường hợp, các
đội an ninh đã được gọi vào giữa đêm để đối phó với một sự cố an ninh, nhưng
không có quyền truy cập vào các trang web được cho là bị tổn thương và không thể có được
một phản ứng từ những người chịu trách nhiệm cho trang web đó cho đến khi ngày tiếp theo. Ngược lại,
tại các trang web đó đã có quyền lực và chính sách trung ương, không có sợ hãi hay như
sự cố.
11.1.3 Khái niệm cơ bản cho các cán bộ kỹ thuật
Là một thành viên kỹ thuật của đội ngũ an ninh, bạn cần phải chịu
FAA đã rất thông minh trong cách nó đã đi về xây dựng tồn kho để đảm bảo
và kiểm toán có thể bắt đầu. Đầu tiên, nó được xây dựng tồn kho từ tất cả các thông tin mà nó đã
có và bất kỳ nó có thể đạt được từ việc phân tích mạng lưới của mình với các công cụ khác nhau.
Một khi các nhóm mạng cảm thấy rằng nó đã làm tốt nhất có thể trên riêng của mình, đó là
thời gian để thông báo mới chính sách kiểm toán cho tất cả các tổ chức CNTT trong FAA.
Suy nghĩ đầu tiên của nhóm đã thông báo rằng bất kỳ kết nối mạng không phải trên danh sách của mình
và do đó không được bảo đảm và kiểm toán sẽ dẫn đến rắc rối cho những người chịu trách nhiệm
cho các kết nối mạng. Tuy nhiên, nhóm nhận ra rằng điều này sẽ chỉ đơn giản là làm cho
người dân tăng nỗ lực của họ để che giấu các kết nối như vậy. Nó sẽ, trên thực tế, khuyến khích người dân
với các kết nối không được báo cáo để đi "ngầm".
Thay vào đó, nhóm đã công bố một chương trình ân xá. Đối với một số lượng nhất định của tháng,
bất cứ ai có thể báo cáo các kết nối mạng không chính thức và không nhận được sự trừng phạt nhưng
thay vì giúp đỡ trong việc đảm bảo và kiểm toán các kết nối. Tuy nhiên, những ai không đi
về phía trước bởi một thời hạn nhất định: Vâng, đó sẽ là một điều xấu.
Mọi người lũ lượt thú nhận, đôi khi thông qua email, đôi khi do một người rất sợ hãi
bước vào văn phòng của giám đốc để thú nhận trong người. Nhưng chương trình làm việc. Nhiều
người đã đến các nhóm giúp đỡ; không ai bị trừng phạt. Trong thực tế, ngay cả sau khi xá
chương trình kết thúc, một người đến giám đốc gần như trong nước mắt thú nhận và
không nhận được sự trừng phạt. Mục đích là để đảm bảo mạng, không để mọi người bị sa
thải;. Là cởi mở và tha thứ nhất có thể được chính sách tốt nhất
Đồng thời, nhóm nghiên cứu mạng đã có nhiều kết nối cung cấp tài liệu riêng của mình
rằng cần phân tích để xác định nơi họ kết nối với . Đôi khi, hồ sơ thanh toán
được tham vấn để giúp xác định dòng. Đôi khi, các jack được dán nhãn, và một ít nghiên cứu có thể xác định các nhà cung cấp dịch mạng, dẫn đến nhiều nghiên cứu đã xác định rằng các
dòng. Những lần khác, nhóm nghiên cứu đã không may mắn như vậy.
Cuối cùng, một vài kết nối có thể không được xác định. Sau tất cả những nỗ lực khác không thành công, các
đội chỉ đơn giản là chọn một ngày và thời gian đó đã có những chuyến bay ít nhất trong không khí và bị ngắt kết nối
chúng. Trong một số trường hợp, nó là tháng sau trước khi đất nước đã được ngắt kết nối được chú ý
và phàn nàn. Số còn lại được bao giờ xác định và vẫn bị ngắt kết nối. Chúng tôi
không chắc chắn đó là bối rối hơn: các kết nối mà không bao giờ được xác định
hoặc. Thực tế rằng một số quốc gia đã bay trong nhiều tháng mà không có khiếu nại
11.1.2.1 Hỗ trợ Quản lý cấp cao
Đối với một chương trình bảo mật để thành công, nó phải có trình độ cao hỗ trợ quản lý. Việc quản lý của công ty phải được tham gia vào việc thiết lập các chính sách và nguyên tắc cơ bản cho các chương trình bảo mật để các quyết định đúng đắn
được thực hiện cho các doanh nghiệp và do đó quản lý mà hiểu những gì các quyết định đã được thực hiện và tại sao. Bạn sẽ cần để có thể giải thích rõ các
khả năng, rủi ro và lợi ích nếu bạn là đại diện cho thành công của nhóm bảo mật, và bạn sẽ cần phải làm như vậy trong ngôn ngữ kinh doanh, không phải kỹ thuật
ngữ khó hiểu.
11.1 Khái niệm cơ bản 281
Trong một số trường hợp, Nhân viên an ninh có thể không đồng ý với quyết định đó được
thực hiện bởi các quản lý của công ty. Nếu bạn thấy rằng bạn không đồng ý với
quyết định đó, cố gắng tìm hiểu lý do tại sao họ đã được thực hiện. Hãy nhớ rằng bạn
có thể không có quyền truy cập vào các thông tin tương tự hoặc chuyên môn kinh doanh như
đội ngũ quản lý. Quyết định kinh doanh đưa vào tài khoản cả hai kỹ thuật và
nhu cầu không kỹ thuật. Nếu bạn đại diện cho các nhóm bảo mật tốt, bạn phải tin
rằng đội ngũ quản lý là làm cho các quyết định mà nó tin là tốt nhất
cho công ty và chấp nhận them.2 người an có xu hướng muốn xây dựng một
hệ thống an toàn như vậy mà nó sẽ không được hoàn thành đến khi doanh nghiệp đã bỏ lỡ
một cơ hội thị trường hoặc sẽ rất an toàn mà nó sẽ không sử dụng được. Nó là
quan trọng để tìm kiếm sự cân bằng giữa việc xây dựng các hệ thống hoàn hảo và giữ
các doanh nghiệp hoạt động.
Một khi hướng của công ty về bảo mật đã được thống nhất, nó phải
được ghi chép và sự chấp thuận của đội ngũ quản lý và sau đó được làm
sẵn và công bố công khai trong công ty. Lý tưởng nhất, một nhân viên an ninh đã
không phải là một phần của bộ phận IT của công ty nên có một mức độ cao của
hệ thống phân cấp quản lý. Người này phải có cả hai kỹ năng kinh doanh và
kinh nghiệm trong lĩnh vực bảo vệ thông tin. Các nhân viên an ninh phải
đi lên một đội thông tin bảo vệ đa chức năng với các đại diện
từ, nguồn nhân lực pháp lý, IT, kỹ thuật, hỗ trợ, và các bộ phận bán hàng,
hoặc bất cứ bộ phận phù hợp có thể là trong công ty. An ninh
viên sẽ chịu trách nhiệm đảm bảo rằng chính sách phù hợp được phát triển, đã được phê duyệt, và được thực thi một cách kịp thời và rằng sự an toàn
đội và thông tin bảo vệ đang dùng các hành động thích hợp cho các
công ty.
Không hỗ trợ quản lý
Khi Christine đến các công ty máy tính được mô tả trong một giai thoại trước đó, cô
hỏi về chính sách bảo mật của công ty. Hai năm trước đó, một nhóm liên chức năng
đã có văn bản chính sách theo tinh thần của chính sách chính thức của công ty và đã đệ trình
nó để quản lý chính thức. Chính sách này đã bị đình trệ ở các cấp độ khác nhau trong
hệ thống phân cấp quản lý CNTT trong nhiều tháng tại một thời điểm. Không một ai trong quản lý cấp cao là
quan tâm đến việc đẩy mạnh cho nó. Người quản lý của đội ngũ an ninh định kỳ cố gắng để đẩy
nó từ dưới đây, nhưng đã hạn chế thành công.
2. Nếu bạn nghĩ rằng bạn đã không đại diện cho các nhóm bảo mật tốt, tìm ra những gì bạn thất bại trong việc giao tiếp và cách tốt nhất để thể hiện nó, và sau đó cố gắng để có được cơ hội thêm một thảo luận về nó. Nhưng nó là tốt nhất để có được
nó ngay lần đầu tiên!
282 Chương 11 chính sách bảo mật
này thiếu sự thành công là biểu hiện của sự thiếu chung của công ty quan tâm trong an ninh. Kết quả là, các nhân viên an ninh của công ty có doanh thu rất cao vì
thiếu sự hỗ trợ, đó là lý do tại sao các công ty hiện nay bên ngoài bảo mật cho một tư vấn
công ty.
Nếu đội ngũ an ninh không thể dựa vào sự hỗ trợ quản lý cấp cao, các chương trình bảo mật chắc chắn sẽ thất bại. Sẽ có doanh thu lớn trong bảo mật
nhóm, và tiền chi cho an ninh sẽ bị lãng phí. Quản lý cao cấp
hỗ trợ là rất quan trọng.
Đào tạo Boss của bạn
Có một ông chủ người hiểu công việc của bạn có thể được khá sang trọng. Đôi khi, tuy nhiên, nó
có thể hữu ích để có thể đào tạo ông chủ của bạn.
Trong một dịch vụ tài chính công ty, người chịu trách nhiệm về an ninh tìm thấy chính mình
báo cáo với một VP cao cấp với rất ít hoặc không có nền tảng máy tính. Phải là một
cơn ác mộng, phải không? Số
Họ đã tạo ra một quan hệ đối tác. Người bảo mật hứa sẽ đáp ứng của công ty
mục tiêu an ninh và giữ cho đến các khía cạnh kỹ thuật miễn là VP đã nhận anh ta các nguồn lực
(ngân sách) yêu cầu. Sự hợp tác này đã thành công: Các VP cung cấp kinh phí cần thiết
mỗi bước của con đường; người bảo ăn VP nói điểm trước khi bất kỳ ngân sách
các cuộc họp và nếu không còn lại một mình để xây dựng hệ thống bảo mật của công ty.
Họ cùng nhau là một thành công lớn.
11.1.2.2 Tập trung Authority
Câu hỏi đưa ra. Tình huống mới phát sinh. Có một nơi cho những vấn đề này
được giải quyết giữ chương trình bảo mật thống nhất và hiệu quả. Có phải
là một hội đồng an ninh chính sách, hoặc cơ quan trung ương, các quyết định liên quan
đến an ninh: các quyết định kinh doanh, hoạch định chính sách, kiến trúc, thực
hiện,. Ứng phó sự cố, và kiểm toán
là không thể thực hiện các tiêu chuẩn an ninh và có phản ứng sự cố hiệu quả mà không có một trung tâm cơ quan đó thực hiện kiểm toán và bảo mật.
Một số công ty có một cơ quan trung ương cho từng đơn vị kinh doanh độc lập
và các cơ quan trung ương cấp cao hơn để thiết lập các tiêu chuẩn chung. Khác
lần, chúng tôi đã nhìn thấy một cơ quan an ninh corporatewide với một bộ phận bất hảo ngoài sự kiểm soát của mình do một Acquistion gần đây, sáp nhập. Nếu các
công ty cảm thấy rằng một số đơn vị kinh doanh độc lập nên có thể kiểm soát
hơn trong việc ra chính sách, kiến trúc riêng của họ, và như vậy, các máy tính và
11.1 Khái niệm cơ bản 283
tài nguyên mạng của các đơn vị này phải được phân chia rõ ràng từ những người của các
phần còn lại của công ty. Liên kết nối cần được đối xử như các kết nối đến một phần ba
bên, mỗi bên áp dụng các chính sách riêng của mình và tiêu chuẩn kiến trúc cho
những kết nối.
Nhiều mạng tự trị cho cùng một công ty có thể rất khó quản lý. Nếu hai phần của một công ty có chính sách giám sát khác nhau,
ví dụ, không có sự phân chia rõ ràng giữa các nguồn lực của hai đơn vị kinh doanh,
một đội ngũ an ninh vô tình có thể kết thúc giao thông giám sát từ một nhân viên của các đơn vị kinh doanh khác trái với kỳ vọng của nhân viên bảo mật. Điều này có thể dẫn đến một vụ án và rất nhiều tiếng xấu, như
cũng như sự xa lánh của nhân viên.
Trên một mức độ kỹ thuật, bảo mật của bạn là chỉ tốt như liên kết yếu nhất.
Nếu bạn có quyền truy cập mở cho mạng của bạn từ một mạng khác có an ninh
bạn không kiểm soát được, bạn không biết những gì liên kết yếu nhất của bạn là gì, và
bạn không thể kiểm soát nó. Bạn cũng có thể gặp khó khăn khi truy tìm một kẻ xâm nhập
đã đi qua như một liên kết mở.
Trường hợp nghiên cứu: Không Cơ quan Trung ương
tại một công ty lớn, mỗi trang web có hiệu quả quyết định (bất thành văn) chính sách riêng của mình nhưng
đã có một mạng lưới thống nhất. Nhiều trang web kết nối các bên thứ ba vào mạng mà không cần
bất kỳ bảo mật. Kết quả là, một scare an ninh xảy ra vài tuần bao giờ y tại một trong các văn phòng,
và đội ngũ an ninh đã phải chi tiêu một vài ngày theo dõi xuống những người chịu trách nhiệm
cho các trang web để xác định những gì, nếu bất cứ điều gì, đã xảy ra. Trong một vài trường hợp, các
đội an ninh đã được gọi vào giữa đêm để đối phó với một sự cố an ninh, nhưng
không có quyền truy cập vào các trang web được cho là bị tổn thương và không thể có được
một phản ứng từ những người chịu trách nhiệm cho trang web đó cho đến khi ngày tiếp theo. Ngược lại,
tại các trang web đó đã có quyền lực và chính sách trung ương, không có sợ hãi hay như
sự cố.
11.1.3 Khái niệm cơ bản cho các cán bộ kỹ thuật
Là một thành viên kỹ thuật của đội ngũ an ninh, bạn cần phải chịu
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- 精米につきまして
- bao gồm
- Morethan 2,000 plant species are grown i
- Tôi trường
- Thanks for the email, now i am intereste
- ở đây, mọi người đã lo xong đám tang cho
- Thanks for the email, now i am intereste
- facebook cũng đem lại nhiều tác hại như
- I am trying hard to solve question this
- Tran hung dao ở đâu
- How are y'all
- choose the word that has the underlined
- 给你1000心脏
- người phụ nữ đứng cạnh chồng của cô ấy v
- Công việc của bạn thật thú vị. bạ
- bạn là giào viên tiếng anh của tôi và tô
- Faraday was born into a poor family. He
- nói với em là anh vẫn ở đây
- có rất nhiều món ăn đặc sản như chả cá,n
- Got complete conversation what do you
- I am trying hard question to solve this
- 就去爱
- có rất nhiều món ăn đặc sản như chả cá,n
- xin chào các anh chị. Cảm ơn đã cho tôi
