《做安全的一点心得》摘录
2013-02-26 22:17
316 查看
源自http://bbs.cisps.org/viewtopic.php?f=40&t=7865&start=0;
1、做一个项目为什么培训那么多次,一直是个困扰我的问题,今天突然明白了一个简单的道理:安全关键是人的安全,是三分技术,七分的管理,所以要把安全意思贯彻下去才是一个安全项目的成败所在啊!协助有效的把筛选出来的制度根据步骤执行下去:需要执行相关制度的人员进行培训同时进行考核。
2、安全制度和企业的制度结合起来才能生效,否则那只是变成了费力不讨好根源。企业的文化一旦形成,你想动制度,比较难,所以我们现在能做的就是技术管理了。
3、现在的企业全部注视企业效率,企业的盈利,对于安全方面的事情,往往不会提到桌面上进行讨论,甚至懒得提到嘴边进行讨论,这样就造成cio提出的方案根本不可能得到真实的反馈,一般草草了之;
造成了一但安全制度和行为影响了业务部门的业务流程操作,领导就会将这些问题归咎为it部门的过错,进行强制工作,将之安全制度抛之脑后;
但是,一旦企业出现安全漏洞,安全危机影响了企业的经济效益,这时候他们又会跳出来,指责it部门为什么没有之前采取措施,又将it 部门放到讲台上进行炮轰;
4、这里的管理不是你说的那个技术管理,
人员管理:合法和拥有合理权限的人的管理,避免其范认为错误造成损失。避免其到竞争单位去泄密,避免其乱丢机密文件等等造成的损失。
物理管理: 能够被人一手拎走的取款机,怎么说也是不安全的。
操作管理:避免人思维不完善造成误操作或忘记步骤造成的风险。
法律遵循:要保证所作所为要符合法律要求,同时具备可追踪性。
5、人员管理:从计算机技术而言重要的是其操作人员管理,包含口令管理和授权管理等等,在我这里,对口令管理现在使用指纹认证+口令管理,能够很大程度上防范非法人员进行非授权系统,我不是说技术可以解决所有安全问题,而是说技术管理也更需要新的有效的技术手段,至于泄密问题,现在我们采取的措施有几个,一个是将核心数据分离,在专用网段上操作,和普通办公网络进行分离(物理上),一个是对重要数据进行加密存放。这些技术手段采用可以加强系统安全,现在也有一些动态口令卡等技术可以采用了,不过考虑成本问题还没有应用,当然规章制度等配合执行也是必须的。
物理管理:对于请几个保安和使用指纹门禁监控系统,我们采用的是后者,也是技术手段。
操作管理:对于技术人员进库进行数据调整等重要工作,现在已引进了一个数据库集中调整工具,可记录、可审计、报警,由操作人员提出需求,技术人员编写sql脚本,审核后进入调帐系统进行操作,对于多个分散的数据库只需在一个设定的工作台上才能进行,对于其他一些操作,尽量不直接使用操作系统的命令,而是做成菜单进行调用,控制操作步骤,防止误操作。
当然任何手段都不是绝对的,最终是人的因素决定的,管理和技术其实都是无处无时不在,严格分离没有很大意义,管理需要技术手段,技术最终靠人来管理,所以从我的经验来看要并重的,也就是我说的五分技术五分管理。
6、现在在实际操作中,就要将无形的管理有形化,现在ITIL推行流程管理等,也是将无形的管理通过流程管理和配置管理等工具变成有形的、可审计的、可量化的,同时支持IT的量化绩效管理。
7、对于信息安全,当没有这些那些技术的时候,就是管理,忽略技术,我们依然能做信息安全,依然能做管理,可是忽略管理呢?技术能做什么?只是技术人员的游戏了。所以我想这才是他所说“三分技术,七分管理”核心。 技术只是便于管理,况且有些问题向计算机病毒,网络攻击这些问题是IT技术本身不完善带来的,相对来说也增加了管理的负担,所以其言“三分技术,七分管理”。
8、IS部门是服务部门,IS工作者要优先考虑企业的文化、目标、业余、高级管理层对待风险的态度才能够制定符合企业需要的安全策略。若IS工作者仅考虑事故对工作的影响而无法站在企业的角度去考虑问题那么他仅仅是一名合格的Admin而不时ISO
企业体系结构 风险分析 成本效益分析是当前国内安全咨询顾问急需填充的新的知识体系。
9、其实领导们都只是关心管理,他们不会关心技术的。这就是信息中心的作用了。领导们在关心企业盈利“之余”,如果还有精力关心信息安全的话,那么他也只会关心效果。
他们会把信息中心主任叫到办公室来,并对他说:
“我们要做到如下一二三四五点,技术上能不能做到?如果能,需要多少钱和多少时间?如果不能,那么保证一二三点,可以吗?需要多少钱和多少时间?至于第四、第五,不能完全做到,那能够做到什么效果?能不能采用变通的办法做到?这个变通的办法,需要多少时间多少钱?至于变通会带来多少不方便?这些不方便,如果可以忍受,我们就颁布新的管理制度,要求大家严格遵守,至少让他们不敢公开的在会上跳起来骂你们部门。”
这就是技术和管理在领导的头脑中的关系。
10、安全管理工作中要始终坚持“安全第一,预防为主”的指导方针。并且每个人的责任一定要明确到位。
11、安全所说的三分技术,七分管理并不是在区分技术与管理孰轻孰重,在实际工作经验中,应该是五五并存的,技术花钱就可买到,管理却不行。信息安全管理的底层的是靠ITIL来支撑的,所谓P.P.T,人员、技术、流程三者密不可分,大多数人太过重关注技术,一有问题就会考虑从技术层面进行解决,其实如果将人和流程管理好了,技术反而是次要的了。
12、三分技术七分管理的思想我是接受的,但如果把客户的安全意识建立在这个基础之上是很难的.
人都是喜欢亡羊补牢的----虽然很多人连补都不愿补!
只有真正出现了安全事件,人的安全意识才能够提高.
所以杀毒软件公司制造病毒,安全公司进行漏洞测试等都是一个道理,就是把事件制造出来,人的意识才能够提高上去.不吓唬吓唬,怎么能够把产品卖出去呢。
13、一般来说,知识越密集的企业,安全工作越好作,因为它的影响很大。可是国内的情况是,拼人力成本,大部分企业都是劳动密集型的。
14、技术是形式,安全管理是内容,形式是为内容服务的。
15、信息安全是一个动态的、预防为主的、多层面的、整体的、全员参与的持续过程。
16、一个安全服务项目,重要不是要你多做,而是要你多说.
怎么说呢?
不是乱说,而是用你的公司或个人理念灌输到用户脑子去,从而另一个方面提高用户的安全意识.
只要达到这一点,你的项目也就是基本到初验阶段了.
17、在做项目的时候,经常会遇到一些管理方面做的很到位的大客户,但是经过高强度的渗透测试也还是能发现很多重大的业务安全问题。
18、做安全就个人来说一定要有敏感性,对技术动向的把握和领悟,对企业来说,管理和标准化才是安全做大做强的保障,可能你的团队在技术方面已经领先于其他企业,但是如果管理和标准化跟不上,带来的弊病是相当严重的,高端人才的培养,核心骨干的挽留,安全服务的标准化,企业整个流程都应当是相当清晰和规范的。同时,企业更要注重一个知识库的积累,包括技术方面,经验方面和管理方面等等,绝对不能因为人才的出走或其他原因而导致某些方面一撅不振,人才的知识和经验在企业内部的扩散是很有必要的。
19、和所有的网络攻击一样,最难预防的是,一切的操作隐藏于正常行为之中,以前的多篇blog中也有描述,这是网络攻击的最高境界,也是最难防御的。而一般的杀毒、IDS、ips、防火墙一类的安全设备,都是通过特征匹配的,所以,只要攻击行为换套马甲,安全设备就需要升级特征码,如果攻击行为更有创意,更有思路,安全设备几乎就全部废了。 这就是咱们的安全现状,这就是我们最担心的地方。
20、看一下诺兰模型,看你所处的位置,预测下可能面临的问题,然后退可结网。
21、信息安全的执行力,源自于有效的安全管理机制,安全管理机制的落地源自组织的执行力和决策层的重视程度。一环套一环,否则堆多少产品也白搭,就等着落灰占机房的地儿。
22、其实IT部门目前在企业的地位挺尴尬的(包括在政府部门也是一样),一方面关键业务实现信息化,领导要IT部门做好IT支持工作,尤其是要保证信息安全, 防止泄密,一方面IT部门在企业内部是弱势部门(与业务部门相比),这本身就是一个矛盾。在一个单位,由IT部门发起和制定安全策略,并希望在全企业贯彻 下去,几乎是不可能的,很多业务部门的领导都比It部门的领导级别高,怎么可能听你的!
说到底,在中国这个“一把手”大环境下,必须由主要领导亲自抓信息安全,而且下定决心做信息安全,并在规章制定、奖罚、人员任职评审上真正有所行动,才能在一个单位内部实施安全策略,关键是要从一把手就要真正地价钱安全意识才行!
不过,令人欣喜的是,小生目前已经在一些行业、政府看到这一变化,信息安全正慢慢地被重视起来,包括资金投入力度等,而且,随着将来业务信息化程度越来越高,信息安全和业务运行相关性越来越大,有理由相信,会有越来越多的一把手真正践行信息安全策略!
1、做一个项目为什么培训那么多次,一直是个困扰我的问题,今天突然明白了一个简单的道理:安全关键是人的安全,是三分技术,七分的管理,所以要把安全意思贯彻下去才是一个安全项目的成败所在啊!协助有效的把筛选出来的制度根据步骤执行下去:需要执行相关制度的人员进行培训同时进行考核。
2、安全制度和企业的制度结合起来才能生效,否则那只是变成了费力不讨好根源。企业的文化一旦形成,你想动制度,比较难,所以我们现在能做的就是技术管理了。
3、现在的企业全部注视企业效率,企业的盈利,对于安全方面的事情,往往不会提到桌面上进行讨论,甚至懒得提到嘴边进行讨论,这样就造成cio提出的方案根本不可能得到真实的反馈,一般草草了之;
造成了一但安全制度和行为影响了业务部门的业务流程操作,领导就会将这些问题归咎为it部门的过错,进行强制工作,将之安全制度抛之脑后;
但是,一旦企业出现安全漏洞,安全危机影响了企业的经济效益,这时候他们又会跳出来,指责it部门为什么没有之前采取措施,又将it 部门放到讲台上进行炮轰;
4、这里的管理不是你说的那个技术管理,
人员管理:合法和拥有合理权限的人的管理,避免其范认为错误造成损失。避免其到竞争单位去泄密,避免其乱丢机密文件等等造成的损失。
物理管理: 能够被人一手拎走的取款机,怎么说也是不安全的。
操作管理:避免人思维不完善造成误操作或忘记步骤造成的风险。
法律遵循:要保证所作所为要符合法律要求,同时具备可追踪性。
5、人员管理:从计算机技术而言重要的是其操作人员管理,包含口令管理和授权管理等等,在我这里,对口令管理现在使用指纹认证+口令管理,能够很大程度上防范非法人员进行非授权系统,我不是说技术可以解决所有安全问题,而是说技术管理也更需要新的有效的技术手段,至于泄密问题,现在我们采取的措施有几个,一个是将核心数据分离,在专用网段上操作,和普通办公网络进行分离(物理上),一个是对重要数据进行加密存放。这些技术手段采用可以加强系统安全,现在也有一些动态口令卡等技术可以采用了,不过考虑成本问题还没有应用,当然规章制度等配合执行也是必须的。
物理管理:对于请几个保安和使用指纹门禁监控系统,我们采用的是后者,也是技术手段。
操作管理:对于技术人员进库进行数据调整等重要工作,现在已引进了一个数据库集中调整工具,可记录、可审计、报警,由操作人员提出需求,技术人员编写sql脚本,审核后进入调帐系统进行操作,对于多个分散的数据库只需在一个设定的工作台上才能进行,对于其他一些操作,尽量不直接使用操作系统的命令,而是做成菜单进行调用,控制操作步骤,防止误操作。
当然任何手段都不是绝对的,最终是人的因素决定的,管理和技术其实都是无处无时不在,严格分离没有很大意义,管理需要技术手段,技术最终靠人来管理,所以从我的经验来看要并重的,也就是我说的五分技术五分管理。
6、现在在实际操作中,就要将无形的管理有形化,现在ITIL推行流程管理等,也是将无形的管理通过流程管理和配置管理等工具变成有形的、可审计的、可量化的,同时支持IT的量化绩效管理。
7、对于信息安全,当没有这些那些技术的时候,就是管理,忽略技术,我们依然能做信息安全,依然能做管理,可是忽略管理呢?技术能做什么?只是技术人员的游戏了。所以我想这才是他所说“三分技术,七分管理”核心。 技术只是便于管理,况且有些问题向计算机病毒,网络攻击这些问题是IT技术本身不完善带来的,相对来说也增加了管理的负担,所以其言“三分技术,七分管理”。
8、IS部门是服务部门,IS工作者要优先考虑企业的文化、目标、业余、高级管理层对待风险的态度才能够制定符合企业需要的安全策略。若IS工作者仅考虑事故对工作的影响而无法站在企业的角度去考虑问题那么他仅仅是一名合格的Admin而不时ISO
企业体系结构 风险分析 成本效益分析是当前国内安全咨询顾问急需填充的新的知识体系。
9、其实领导们都只是关心管理,他们不会关心技术的。这就是信息中心的作用了。领导们在关心企业盈利“之余”,如果还有精力关心信息安全的话,那么他也只会关心效果。
他们会把信息中心主任叫到办公室来,并对他说:
“我们要做到如下一二三四五点,技术上能不能做到?如果能,需要多少钱和多少时间?如果不能,那么保证一二三点,可以吗?需要多少钱和多少时间?至于第四、第五,不能完全做到,那能够做到什么效果?能不能采用变通的办法做到?这个变通的办法,需要多少时间多少钱?至于变通会带来多少不方便?这些不方便,如果可以忍受,我们就颁布新的管理制度,要求大家严格遵守,至少让他们不敢公开的在会上跳起来骂你们部门。”
这就是技术和管理在领导的头脑中的关系。
10、安全管理工作中要始终坚持“安全第一,预防为主”的指导方针。并且每个人的责任一定要明确到位。
11、安全所说的三分技术,七分管理并不是在区分技术与管理孰轻孰重,在实际工作经验中,应该是五五并存的,技术花钱就可买到,管理却不行。信息安全管理的底层的是靠ITIL来支撑的,所谓P.P.T,人员、技术、流程三者密不可分,大多数人太过重关注技术,一有问题就会考虑从技术层面进行解决,其实如果将人和流程管理好了,技术反而是次要的了。
12、三分技术七分管理的思想我是接受的,但如果把客户的安全意识建立在这个基础之上是很难的.
人都是喜欢亡羊补牢的----虽然很多人连补都不愿补!
只有真正出现了安全事件,人的安全意识才能够提高.
所以杀毒软件公司制造病毒,安全公司进行漏洞测试等都是一个道理,就是把事件制造出来,人的意识才能够提高上去.不吓唬吓唬,怎么能够把产品卖出去呢。
13、一般来说,知识越密集的企业,安全工作越好作,因为它的影响很大。可是国内的情况是,拼人力成本,大部分企业都是劳动密集型的。
14、技术是形式,安全管理是内容,形式是为内容服务的。
15、信息安全是一个动态的、预防为主的、多层面的、整体的、全员参与的持续过程。
16、一个安全服务项目,重要不是要你多做,而是要你多说.
怎么说呢?
不是乱说,而是用你的公司或个人理念灌输到用户脑子去,从而另一个方面提高用户的安全意识.
只要达到这一点,你的项目也就是基本到初验阶段了.
17、在做项目的时候,经常会遇到一些管理方面做的很到位的大客户,但是经过高强度的渗透测试也还是能发现很多重大的业务安全问题。
18、做安全就个人来说一定要有敏感性,对技术动向的把握和领悟,对企业来说,管理和标准化才是安全做大做强的保障,可能你的团队在技术方面已经领先于其他企业,但是如果管理和标准化跟不上,带来的弊病是相当严重的,高端人才的培养,核心骨干的挽留,安全服务的标准化,企业整个流程都应当是相当清晰和规范的。同时,企业更要注重一个知识库的积累,包括技术方面,经验方面和管理方面等等,绝对不能因为人才的出走或其他原因而导致某些方面一撅不振,人才的知识和经验在企业内部的扩散是很有必要的。
19、和所有的网络攻击一样,最难预防的是,一切的操作隐藏于正常行为之中,以前的多篇blog中也有描述,这是网络攻击的最高境界,也是最难防御的。而一般的杀毒、IDS、ips、防火墙一类的安全设备,都是通过特征匹配的,所以,只要攻击行为换套马甲,安全设备就需要升级特征码,如果攻击行为更有创意,更有思路,安全设备几乎就全部废了。 这就是咱们的安全现状,这就是我们最担心的地方。
20、看一下诺兰模型,看你所处的位置,预测下可能面临的问题,然后退可结网。
21、信息安全的执行力,源自于有效的安全管理机制,安全管理机制的落地源自组织的执行力和决策层的重视程度。一环套一环,否则堆多少产品也白搭,就等着落灰占机房的地儿。
22、其实IT部门目前在企业的地位挺尴尬的(包括在政府部门也是一样),一方面关键业务实现信息化,领导要IT部门做好IT支持工作,尤其是要保证信息安全, 防止泄密,一方面IT部门在企业内部是弱势部门(与业务部门相比),这本身就是一个矛盾。在一个单位,由IT部门发起和制定安全策略,并希望在全企业贯彻 下去,几乎是不可能的,很多业务部门的领导都比It部门的领导级别高,怎么可能听你的!
说到底,在中国这个“一把手”大环境下,必须由主要领导亲自抓信息安全,而且下定决心做信息安全,并在规章制定、奖罚、人员任职评审上真正有所行动,才能在一个单位内部实施安全策略,关键是要从一把手就要真正地价钱安全意识才行!
不过,令人欣喜的是,小生目前已经在一些行业、政府看到这一变化,信息安全正慢慢地被重视起来,包括资金投入力度等,而且,随着将来业务信息化程度越来越高,信息安全和业务运行相关性越来越大,有理由相信,会有越来越多的一把手真正践行信息安全策略!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- (zt)关于Flash Socket通信的安全策略问题的一点心得
- MYSQL安全问题(匿名用户)的一点心得
- MySQL安全问题(匿名用户)的一点心得
- MySQL安全问题(匿名用户)的一点心得
- MySQL安全问题的一点心得
- 关于安全测试的一点心得
- MySQL安全问题(匿名用户)的一点心得
- mysql安全问题(匿名用户)的一点心得
- [转]FlashSocket通信安全策略一点心得
- MySQL安全问题(匿名用户)的一点心得
- 摘录的一点信息~(2d3d引擎参考)
- Html的一点心得
- [转载]关于文件系统和磁盘驱动的一点学习心得
- BufferedReader类的一点心得
- 下载外文文献的一点心得(知网免费账号,亲测可用)
- C# socket 局域网聊天程序的一点心得
- 关于WEB交互式设计,JavaScript以及AJAX的一点心得
- 软件测试管理的一点小心得
- JMS(Jboss Messaging)的一点使用心得(十三)拔网线后的重连----JMS Connection原理浅析及应用
- 近期关于web服务器安全问题的心得