5.6 安全教育策略
安全教育是指对所有人员进行安全培训,培训内容包括所有其他技术安全策略所涉及的操作规范与技术知识。通过适当的安全培训,会使包括信息系统的管理人员与所有的系统最终用户都能充分理解到信息系统安全的重要性,并且对于日常的安全规范操作也会逐渐形成自定的模式。
1.安全教育
安全意识和相关各类安全技能的教育是安全管理中重要的内容,其实施力度将直接关系到安全策略被理解的程度和被执行的效果。
在安全教育具体实施过程中应该有一定的层次性且安全教育应该定期的、持续的进行。
①主管信息安全工作的各级管理人员,其培训重点是了解掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门团队的建立和管理制度的制定等。
②负责信息安全运行管理及维护的技术人员,其培训重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
③普通用户,其培训重点是学习各种安全操作流程,了解和掌握与其相关的安全策略知识,包括自身应该承担的安全职责等。
2.安全教育策略的机制
通常来讲,安全问题经常来源于系统最终用户和系统管理员的工作疏忽。疏忽有可能带来系统被病毒侵犯或遭到攻击。
管理阶层往往通过创建并执行一套全面的IT安全策略来规范用户的行为,这样就可以减少甚至消除一些错误带来的风险。然后通过对最终用户进行教育,使他们知道怎样消除安全隐患。运用这些安全策略,在一定程度上就会防止出现安全漏洞。
一套好的安全策略应该包括最终用户和系统管理员两个方面。在最终用户方面,策略应该清楚地规定用户可以利用计算机设备和应用软件做什么,并且要在安全教育策略中说明。在策略中应该包括以下内容:
(1)数据和应用所有权
帮助用户们理解他们能够使用哪些应用和数据,而哪些应用和数据是他们可以和其他人共享的。
(2)硬件的使用
加强企业内正在执行的指导方针,规定对于工作站,笔记本电脑和手持式设备的正确操作。
(3)互联网的使用
明确互联网、用户组、即时信息和电子邮件的正确使用方式。
从系统管理员的角度,应该使用包括以下内容的基于策略的规则来加固最终用户策略:
(1)账号管理
规定可以被接受的密码配置,以及规定在需要的时候,系统管理员如何切断某个特定用户的使用权限。
(2)补丁管理
规定对发布补丁消息的正确反应,以及规定了如何进行补丁监控和定期的维护。
(3)事件报告制度
不是所有的紧急事件都是同样的重要,所以策略里必须包括一个计划,规定每个紧急事件应该通报哪些人。
策略制定完成之后,还必须随着网络、操作系统、软件配置以及用户的增加和减少而时时更新。对于安全教育策略,应该随时因整体策略的调整而调整。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
