手动方式 有两种方式可以用来制定一个策略管理方案:手动或自动。如果采用前者,使用手动干预的办法来追踪策略执行情况,如果采用后者,软件工具可以用来检查策略执行情况。 制定一个手动策略管理解决方案的第一步是创建一套可以反映你的策略目标的流程;流程和指导方针将为日常操作提供必要的细节。 一些典型的流程包括防病毒、密码过期和日志。每个流程和指导方针都是对策略具体章节的解释,而且用作实施和配置具体软件解决方案的标准。 使用我们的示例流程,通过制定防病毒解决方案在企业内部使用,防病毒策略设定了一个基调。防病毒流程将准确地概括出这个策略是如何执行的,如何解决更新和紧急事件响应这样的问题。正常情况下,它是通过一个中央控制台来管理的,防病毒规则被发送到工作站和服务器上。 一个可被接受并使用的策略可以被理解为几个流程,它们被用来解决电子邮件使用、数据存储和互联网使用等问题。一个WEB使用流程概括了雇员允许访问的网站,执行对访问的所采取的技术,比如WEB内容过滤,以及检查设备日志的频率。 另一个例子是微软的Windows操作系统中的密码过期设置。如果策略要求复杂密码,那么指导方针里就会密码的最长生命期,在活动目录中将被设置成使用密码的最大生命期。 了解信息安全策略是如何用来创建实用而且可执行的控制的,这一点很容易。但是,这个过程相当费力,有些人必须进行以便使位于不同控制点的数据相关联,包括防病毒程序、入侵检测系统、防火墙和认证系统(比如活动目录)。手动监测策略的执行情况常繁琐的,潜在的问题包括以下内容: 防病毒管理控制台偶尔可能丢失一些服务器或工作站的连接,这样就会在公司网络上造成暴,检测这个策略偏离和对它进行纠正可能相当费时。 对于内容管理提供商来说,将网站错误地进行分类并不是前所未闻的事。举例来说,巧克力制造商Hershey公司的网站曾经就被错误地划分为网站。这样的错误可以导致误报,而且,如果某个站点根本没有被分类,就有可能给用户一个绕过系统的方式。这样的情况是相当费时而且令人沮丧的。另外,管理用户异常――这些用户可以绕过过滤系统进行研究――使事情变得更复杂,因为需要这些异常行为,来写合规报告。 尽管象活动目录这样的系统可以用户必须使用复杂密码,但用户也有可能绕过这样的控制使用一个弱密码。由此,对于安全管理员来说,不定期地使用密码破解工具来审计用户的密码常重要的。 自动化来 在进行手动策略管理时需要花费大量的时间和精力,从这点上看,自动化工具是一个相当有吸引力的选择,特别是对大企业来说。 在最近几年里,一些厂商推出了它们的策略管理解决方案,包括ElementalSecurity、Solsoft和BindView(今年早些时候被Symantec收购)。大部分厂商的产品将管理软件和策略的创建连接起来,基本上管理者只需要创建策略,软件会执行它们并检查策略遵守情况。 ElementalSecurity公司的策略管理是以主机为中心的,通过网络将策略实施到服务器和工作站。Solsoft采用以网络为中心的办法,通过网络将策略分到各种网络设备中。BindView也使用以主机为中心的架构,但也提供了一个附加组件可以辅助撰写策略,把策略下发到用户,以及追踪用户的接受和异常情况。 自动化工具的工作是将你的安全策略和流程下发,然后在各控制点进行实施。如上所述,一些工具通过控制网络设备来进行操作,它们将策略转换成网络设备(如由器)的配置条件。通过基于主机的工具,策略被转换成配置命令。 策略管理产品特别有用的地方是,它们可以为不同的标准提供模板,比如ISO17799和CobiT,而且可以使用相关的规章来交叉关联它们。你可以根据提供的模板来为你的机构选择必要的策略。 策略管理产品的另一个功能是,它可以整合到整个企业中,从不同的数据源得到数据,包括备份、防病毒、内容过滤解决方案、防火墙、操作系统和由器。这些数据的自动获取减少了用户必须筛选的数据总量。一些自动化工具还可以和漏洞管理系统相结合,系统更新以及解决突发和零日。 策略管理工具自动关联大量不同数据的能力还有利于法规遵守和报告,因为它允许用户获取具体法规的遵守情况数据。安全专业人员的主要抱怨是外部、内部审计方和监管部门对相同审计相关信息的重复请求。这些工具允许你为不同组织生成定制的报告,而不必为解决类似问题去完成几次不同的审计。 自动化策略管理工具还能违反策略和追踪异常情况。一个关键的益处是所有的报告集中在一个管理控制台上,这样就更容易追踪它们(与手动方式相比)。但是它们毕竟不是真正的主动产品――它们不会像火灾警报那样自动工作。但是,Symantec计划将BindView的产品整合到管理事件技术中;其它工具被设计用来与安全事件管理产品整合。 没有一个产品是即插即用的――所有产品都需要花时间进行实施;有些甚至要求公司来将他们的策略转换成一种具体的格式。实施的时间会根据产品以及组织策略状态的变化而变化。 软件费用和实施时间是使用自动化工具的两个主要考虑因素。举例来说,ElementalSecurityPlatform2.0大约需要花费3万5千美,每台服务器需要花费大约600美元,每台工作站或笔记本电脑需要花费大约60美元。 哪种方式更好? 无论是手动还是自动化方式,都可以把工作做好,但是它们也有自身的。在大型企业里,自动化策略管理工具可以提供极大的帮助,但是对于比较小的企业来说,自动化策略管理工具可能就不太适合了。 怎么给路由器设置密码自动化工具可能存在的另一个问题是,它不能为企业制定特制的策略,用户可以修改公司来适应这些策略。如今,很多自动化产品只能在市场上占用很少份额――无论是基于网络的还是基于主机的产品。要做到真正有效,一个策略管理解决方案即要用到手动方式还要自动方式。Symantec公司正计划在它的产品中加入基于网络的组件来向这个方向迈进。 在日常工作中,策略制定和策略管理是一系列复杂的工作,但是公司必须面对这样的挑战,当我们的IT基础架构变得越来越复杂,越来越多,我们会越来越多地依赖于手动和自动化工具来执行策略和报告执行情况。随着策略管理产品日渐成熟,我们将看到自动化工具被更好的装备,从而能全面地处理问题,而且它的价格也会下降至各种公司可以承受的范围。 可以肯定的是,有效的策略管理在未来会变得更加重要。 在如今这个信息爆炸的时代里,每天都会有数不清的新闻通过各种渠道涌到我们面前,而真正有价值的应该进入我们心里的,却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》,就是要告诉您过去的七天都发生了哪些新闻,更希望和您一起,站在七天的高度来看待过去一周的新闻。 领IT群雄秀企业风采。创刊于2008年2月,定位于行业(企业)信息化规划、建设、管理的中高层人士,通过精心的内容筛选,将每月发生的重点事件进行回顾,为高端人群提供深度阅读,与比特网内容的速度特性形成互补。主要栏目有:比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。 业内首个只为报道数据中心资讯内容的专业频道,是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心,贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则,以成为用户最信赖的行业专家为目标,打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报,为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。 就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐,为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。 |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2024-11-1 13:41 , Processed in 0.028745 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.