安全文化(圖片來自網(wǎng)絡)

二、教育、測試、重復。單位和終端用戶必須共同承擔責任。在最近召開的RSA大會上，曾為著名黑客的 Kevin Mitnick反復強調(diào)，社會工程仍是最容易讓安全意識滲透一家公司的手段。實際上，許多高級持久威脅(APT)都涉及使用Spear Phishing網(wǎng)絡釣魚方式，捕獲安全意識缺乏的員工，來損害網(wǎng)絡。因此，不要停止對員工進行教育。必須定期在員工最沒有想到的時候對員工進行測試(并讓他們意識到缺失)，加強正確行為方式的建立。

三、建立易于理解的BYOD規(guī)定。不要依靠用戶破譯“安全語言”。例如“要確保你的設備安裝有我們公司強制安裝的軟件。你可按如此步驟從這個地點下載并安裝。”

四、執(zhí)行訪問控制策略。應依靠身份、背景和規(guī)定對資源進行保護。如果系統(tǒng)不能確定用戶的身份，如果不符合合規(guī)標準(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必備軟件(如防病毒軟件)，就不允許設備訪問資源。根據(jù)所處地點和連接是否加密等因素通過對訪問進行限制來應用背景。

常見的全局訪問控制政策

五、使補救過程自動化。通過將大多數(shù)補救過程自動化盡可能簡單地使用戶能確保設備合規(guī)。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟件。這可利用身份分配和配置管理技術來實現(xiàn)。

六、利用安全信息和事件管理工具進行監(jiān)控。利用可提供身份綁定的審計和控告智能的安全信息和事件管理(SIEM)解決方案對所有在公司網(wǎng)絡上訪問資源的設備進行監(jiān)控。在一個充滿部分可信、潛在受損設備的環(huán)境下，具備洞察力是首要的，而事件響應時間則是關鍵性的。

安全信息和事件管理工具結構圖

七、使用具有擔保層級的身份聯(lián)盟。通過跨分區(qū)將用戶身份進行聯(lián)盟并依靠信任級別執(zhí)行訪問控制，在具有許多身份來源的環(huán)境中以一種安全的、基于標準的方式降低操作成本。作為一個例子，我們來考慮員工內(nèi)部身份和他們的在線身份之間有重疊的問題。使用自己設備的用戶通常已經(jīng)登錄到他們的在線帳戶中(如微博)，為保證易于使用和透明的一次登錄，安全策略可以實施為支持多個擔保層級。如果某員工已經(jīng)登錄到微博，內(nèi)部應用可利用那個身份，但給他較低的信任級別。這樣，員工就可使用其微博資格訪問內(nèi)聯(lián)網(wǎng)非敏感部分。但如果想訪問公司的電子郵件，他就需要提供員工資格從而執(zhí)行更高一級的擔保，即該員工是他所聲稱的這個人。

八、提供安全設備。為員工提供他們所選擇的設備并確保這些設備裝載了要求的軟件和控制。這為單位和個人提供了一個雙贏局面。員工使用自己選擇的設備無需付錢，并可以安全和合規(guī)的方式訪問公司環(huán)境。

九、控制從設備的訪問。當通過非標準設備進行檢索時要確保對敏感數(shù)據(jù)的訪問得到控制。例如，可通過提供遠程會話允許員工利用該信息，但永遠不物理地將數(shù)據(jù)存儲到非標準設備上。

十、對敏感數(shù)據(jù)加密。對任何放在被認為是公司財產(chǎn)的非標準設備上的數(shù)據(jù)進行加密處理。這可包括員工的公司電子郵件。

對敏感數(shù)據(jù)進行加密

zhouxiaoli