选择最佳实践
选择实施哪一个推荐实践可能会对某些机构提出挑战。在由政府机构控制的行业里,政府的指导方针通常是必须满足的需求。但是对于其他的机构,政府的指导方针仅仅被作为一个不错的信息来源,可以说明要求其他机构采取的用来控制信息安全风险的步骤,并且可以知道他们所选择的最佳实践。
当为机构选择最佳实践时,考虑以下问题:
*机构和使用该最佳实践的目标机构是否有相似之处?
*你们和该目标是否位于相似的行业中?一个非常适合制造业机构中的策略可能在非营利机构中却不是很实用。
*机构和目标机构是否面对相似的难题?如果你的机构缺少一个能正常工作的信息安全计划,拥有一个可以引入该计划的最佳实践目标就很有价值。
*机构和目标机构是否有相似的结构?一个给小规模办公室的最佳实践不适用于跨国公司。
*你能够提供的资源是否和最佳实践所要求的资源相似?如果你的计划必须处理预算限制问题,那么那些要求无限资金的最佳实践建议其价值是有限的。
你的机构和采取相同最佳实践的机构是否处在相似的威胁环境之中?只进行了几个月或者几周时间的最佳实践可能不适用于当前的威胁环境。为了看清最佳实践多快就会作废,想想现代机构所需的关于网络连接性的最佳实践就可以了,同5年前相比,21世纪初的最佳实践发生了多大的变化!
另外还有一个关于最佳实践的资料来源,即卡耐基一梅隆大学计算机应急响应小组( CERT)所经营的站点(www.cert. ort/security-improvement/),它以HTML和PDF格式提供了大量的安全改进模块和实践经验。同样,微软也在它的站点( www.microsoft.com/privacy/safeinternet/security/best_practices/default. html)中也发布了一组安全最佳实践。
微软把重点放在7个关键策略上:
*使用反病毒软件
*使用强力密码
*检查你的软件安全设置
*升级产品的安全功能
*构建个人防火墙
*及早并经常备份
*防治电涌(指电力突变)与断电
这些资料来源只是众多支持最佳安全实践的公共和私人机构中的一小部分。 花上几个小时在网上搜索,你就会发现有很多其他提供补充信息的地方。实际上,寻找关于安全设计的信息是一件相对容易的事情;从收集到的大量信息、文档、出版物中做出选择,却可能需要投入大量时间和人力资源。这样做的目的是要获得一个明确的方法,以创建一个框架,该框架会引导我们开发安全系统的蓝图,而该蓝图则提供了关于在策略、教育以及培训计划和技术领域内实施必须组件的细节问题。