如何把网络安全落实到企业日常工作流程中

ZDNET网络频道 04月14日 综合消息：三月中旬，我参加了CeBIT大会的安全和身份认证讨论小组，谈论如何有效地保护防火墙和信息所有权。最后，主持人问了我一个深刻的话题：“作为美国人，您如何看待美国国家安全局（NSA）背叛全球的行为？”

在那个短暂的瞬间，我的头脑里充满着我对NSA的个人感受。我想到了NSA曾带给我的种种感受：他们在RSA大会展馆的出色表现、我的新的无线射频识别 （RFID）护照、在酒店使用我的虚拟专用网（VPN），以及使用远程和移动设备在任何地方连接到互联网。当他问这个问题的时候，观众们都将视线从其手机 转移到他身上，我花了一些时间来考虑如何回答他：“这当然是一种背叛，但谷歌和Facebook知道更多个人信息，并且，NSA没有利润动机。”最后我以 手机数据拦截要求退税的笑话结束了我的回答。观众们都笑了，我也避免让自己沦为NSA的辩护者。

在Wozniak登台前（这立即转移了观众的注意力），我没有来得及说的是，安全问题大于NSA事件，也大于防火墙、移动设备、网络钓鱼攻击、政府行为或 者心怀不满的员工。安全涉及分段网络、安全分层、怀疑态度、保持警惕和请求预算以满足需求。最重要的是，强大网络安全实践应该被嵌入到日常流程和系统中。

自动化安全

如果你曾经到过哥本哈根美丽的机场，你会发现可以说明人类和安全政策分离的一个很好的非IT例子。在一般的机场，你需要向佩戴手电筒的类似海关的工作人员 出示由象形文字、刻度线和圆圈组成的登机牌，而在哥本哈根机场，你会享受到自动化的乐趣。该机场设有登机牌自助扫描系统，你只需要通过具有条形码扫描仪的 不锈钢欧式转门，就可以自助通过检查，并且，具有非常低的延迟性。这是由服务查询来决定是否让你通过，而不是工作人员。

当然，如果你兴奋地跃入旋转门，附近的保安人员肯定会冲出来阻止你，这种系统的特点在于，它只能一次做一件事情；它只能验证你是否拥有有效登机牌，而你需 要有护照才能得到登机牌。作为管理员，你肯定希望能够从管理界面停止不明智的安全请求，而不是让凭直觉的决策或权限升级占领系统？你可以问一问 Target的工作人员的经验。你如何嵌入安全性，让你可以涵盖基础任务（例如执行政策）以及明确变更管理，而无论是否有高管的“协助”？

斯诺登和NSA

几个月的CNN和BBC安全报道让首席信息官们开始比以往任何时候都更重视安全问题。但安全问题的责任仍然在于我们这些每天面对电脑屏幕和防火墙管理仪表 的普通工作人员。高官们会施加压力要求生成报告提供给政策团队以提高安全意识，但这并不会奇迹般地让我们的日常安全操作变得更安全。

然而，IT管理人员有办法消除高管的焦虑，同时以有效的方式提高安全性。机智的管理工具应该嵌入到IT的底部，而不是放在顶部的笨重解决方案中。如果IT管理人员选择的技术能够将安全无缝地整合到日常网络管理工作中，这将会帮助减少安全错误。

在正常工作日内，我们会做出几十、几百甚至上千个配置变更。如果我们的工具能够“盯紧”政策，为初级管理员提供可跟踪的有限的控制，不断重新计算动态警报阈值，并自动进行变更追踪，我们将变得更加高效且更安全。试想一下，四个月后，毫不费力地部署一次性防火墙政策。

与高管沟通

在与来自很多国家的管理人员交谈后，我认为，在所有IT运营中，安全是受高管影响最大的领域。我们只有两种类型的IT高管：“老派”IT高管，使用命令控制强制执行他们所知道的最好的方法，以及比较开明的“新派”IT高管，这种高管会与我们合作。

开明的高管会敢于承认，他们早已远离这个领域多年，我们比他们更了解正在发生的事情，或者说，至少更了解当前的技术和方案。他们非常想知道我们对如何保护 网络的想法以及我们对业务的看法。他们知道IT安全并不没有发生在高管范围，而是在我们每天作出的数百个决策的工作人员中。

高管们最终会感到害怕，他们也应该感到害怕，这个时候，他们会设法通过增加预算来降低风险。我并不是建议IT管理人员向高管煽动恐慌情绪。新的硬件和更大 规模的团队永远不会从天上掉下来，但我们可以让高管参与到关于安全报道的有意义的对话。我们可以利用这个机会获得新资源，以解决安全评估中已经发现的各种 问题。

现在，你应该去告诉高官们，你感觉到了他们的痛苦，并尝试使用他们习惯的说法，这能够帮助你打破僵局。