实施安全管理可能面临哪些挑战?
发布时间:2010年06月01日点击数: 作者:ITGOV中国IT治理研究中心 来源:ITGOV中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
实施安全管理可能面临的挑战

下列挑战对于成功实施安全管理是至关重要的:

承诺-安全措施一般很少被立即接受,抵制比接受要更为常见。用户对由于安全措施的实施导致他们失去某些特权感到愤恨,尽管这些设施可能对他们的工作无关紧要。这仅仅是因为这些特权给他们造成了某种特定的状态。因此需要作出特别的努力来激励用户,并确保管理层也遵循这些安全措施。尤其是在安全管理方面,管理层必须作出一个榜样(“言传身教”和“以身作则”)。如果没有发生过安全事故,管理层将倾向于降低安全管理的预算。

态度-信息系统不安全不仅仅是因为技术上的弱点,也更是由于不能合理地使用技术。这通常员工的态度和行为有关。这意味着安全程序必须融入日常的例行操作中去。

意识-意识或者说沟通是一个非常关键的概念。有时候,沟通和安全之间似乎存在冲突――说到沟通似乎意味着“一路放行”,而谈到安全则又好像是在设置障碍。这意味着实施安全措施需要运用所有的沟通方式来确保用户遵循安全管理人员期望的行为。

检验-安全性应该可以进行检查和验证。这不仅是指所采用的措施,还包括采取这些措施的原因。在某种特定的情形下所作出的正确的决策也应该可以进行检验。例如,决策者的权限也应当是可核实的。

变更管理-在评估变更时经常检验对基本安全级别的持续符合是否随时间在消退。

决心-当一个组织决定立即做某件事时,通常会犯各种错误。在引入安全管理后,技术措施的实施就远没有组织措施重要了。对组织进行变更需要一种循序渐进的方法因而需要很长一段时间。

缺乏检测系统-新的系统,如互联网,一般都没有安全和非法入侵检测方面的设计。这是因为开发一个安全的系统比开发一个不安全的系统耗费更多的时间,并且面临着低开发成本和尽快上市的业务需求的冲突。

过度依赖于关键/要害控制法-越来越多的安全威胁来自预料之外的地方。考虑“I Love You”和“Nimda”病毒的首次攻击,以及“拒绝服务(DOS”式攻击的首次出现均是这样。虽然运用传统的关键/要害控制法保护信息资产的安全非常重要,但同样重要的是确保关键/要害控制法在碰到安全事故市具有足够的快速应变对能力。这有点类似于“慢速抽动”和“快速抽动”的肌肉对于人体来说都是需要的。组织需要具备在故障可能失控之前将资源迅速调配到故障产生处的能力。

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved