怎樣判斷我的網(wǎng)絡(luò)是否安全

★★★★★【文章導(dǎo)讀】：怎樣判斷我的網(wǎng)絡(luò)是否安全具體內(nèi)容是：與安全建設(shè)相關(guān)的要素，從大體來(lái)說(shuō)，一共是分為四部分。即：建設(shè)安全的方針實(shí)現(xiàn)安全的手段落實(shí)安全的保障執(zhí)行安全的實(shí)體重要的一塊就是方針，有了得當(dāng)?shù)姆结槪缓笫褂孟鄳?yīng)的手段——產(chǎn)品，有了方針和產(chǎn)…

來(lái)源：日期：2013-12-23 23:43:23 人氣：標(biāo)簽：

與安全建設(shè)相關(guān)的要素，從大體來(lái)說(shuō)，一共是分為四部分。即：

建設(shè)安全的方針

實(shí)現(xiàn)安全的手段

落實(shí)安全的保障

執(zhí)行安全的實(shí)體

重要的一塊就是方針，有了得當(dāng)?shù)姆结槪缓笫褂孟鄳?yīng)的手段——產(chǎn)品，有了方針和產(chǎn)品之后，我們需要相應(yīng)的流程去執(zhí)行它，它是落實(shí)安全的保證。就相當(dāng)于我們的國(guó)家一樣，國(guó)有國(guó)法，家有家規(guī)。我們?cè)趺礃尤ヂ鋵?shí)它能夠真正起到效果。應(yīng)該按照一定流程來(lái)做，只有這樣我們才能終影響到底下的基礎(chǔ)，就是人員。因?yàn)樗杏?jì)算機(jī)的安全終由人員在使用過(guò)程中來(lái)體現(xiàn)。

這里面四者的關(guān)系在于我有了相應(yīng)的策略，安全的手段，安全的保障，就能夠解決我需要購(gòu)買什么樣的產(chǎn)品。然后我的策略決定之后，我需要落實(shí)這些產(chǎn)品能夠正常的在網(wǎng)絡(luò)中運(yùn)行非技術(shù)性的手段，就是行政條款以及終端的人員如何去使用這些產(chǎn)品，它有一個(gè)依據(jù)。所以在這一塊，我們還是反復(fù)強(qiáng)調(diào)四者之間關(guān)系的處理非常重要，它處理的好就會(huì)解決一些問(wèn)題，我們可以盡量用少的產(chǎn)品，盡量少的投入來(lái)達(dá)到安全的大化。

在這四個(gè)組成要素中，第一就是對(duì)策略的建立，我們要有一個(gè)很針對(duì)性的流程讓我正確的執(zhí)行策略，以及相應(yīng)的輔上針對(duì)性的產(chǎn)品。了解了我們需要評(píng)估的對(duì)象，我們就開(kāi)始做如何評(píng)估。我們很多企業(yè)或者是我們的很多行業(yè)的服務(wù)提供商，它會(huì)給我們的客戶提供安全評(píng)估，或者是滲透性攻擊。但是它整個(gè)評(píng)估的基礎(chǔ)往往都是依賴于技術(shù)，它就看比方我們模擬一次攻擊，看看防不防不的住，它往往都是技術(shù)得分。可能往往有家企業(yè)在技術(shù)得分非常高，采購(gòu)了非常多的安全產(chǎn)品及那么是不是采購(gòu)了多的安全產(chǎn)品就安全呢？我們說(shuō)不然。除了技術(shù)得分之外，我們還要考慮很多因素。依照組成安全要素來(lái)看我們會(huì)評(píng)估幾塊。

技術(shù)分很關(guān)鍵，但是還要通過(guò)人來(lái)落實(shí)。如何保證人能夠有效的落實(shí)技術(shù)，我們會(huì)通過(guò)策略和流程以及相應(yīng)的配備相當(dāng)多的有組織結(jié)構(gòu)的人員配備。所以我們的整體評(píng)估步驟或者要素會(huì)從幾個(gè)方面去落實(shí)。第我們會(huì)從每一個(gè)大塊中的子項(xiàng)里面得出相應(yīng)的分?jǐn)?shù)。大家可以看一下，我們要做得是按照這樣的流程，安全PDCA（計(jì)劃、執(zhí)行、檢查、調(diào)整）的流程。

第一塊要找出我們方針的策略目的，就是客戶希望達(dá)到什么樣的安全等級(jí)。首先我們要知道客戶主觀的安全期望，就是我希望能夠做到什么樣子。隨后，調(diào)查客戶的網(wǎng)絡(luò)客觀現(xiàn)狀。在你現(xiàn)在的情況下，我們現(xiàn)有的人員，現(xiàn)有的安全采購(gòu)預(yù)案，以及現(xiàn)有的設(shè)備、防病毒解決方案，是不是能夠達(dá)到你的期望，找到他們之間的差距。我們往往會(huì)發(fā)現(xiàn)，我們的期望和現(xiàn)狀存在不小的差距。這個(gè)差距會(huì)帶來(lái)一個(gè)問(wèn)號(hào)，如何去彌補(bǔ)。這個(gè)才是一個(gè)評(píng)估的關(guān)鍵。我們要告訴他，怎么樣去彌補(bǔ)這個(gè)差距，這才是評(píng)估結(jié)果所具有意義的地方。而不是說(shuō)你需要采購(gòu)某個(gè)解決方案，這個(gè)根本不能解決客戶的實(shí)際問(wèn)題。我們希望通過(guò)找到差距、差異來(lái)告訴客戶，我們?cè)谠u(píng)估之后，應(yīng)該怎么做。

而且，由于我剛才說(shuō)過(guò)的這種差距以及解決方案的實(shí)效性，它在一個(gè)固定的時(shí)間段可以解決很多問(wèn)題，但是它可能在一個(gè)時(shí)間段之后沒(méi)法應(yīng)對(duì)新的威脅。所以這樣一個(gè)評(píng)估會(huì)通過(guò)定期的更新。我們可以看到這張圖標(biāo)不是一個(gè)直線性進(jìn)行的，而是通過(guò)一個(gè)圓循環(huán)，不斷去溝通、發(fā)現(xiàn)。只有這樣我們才會(huì)發(fā)現(xiàn)這個(gè)評(píng)估是有效的，實(shí)時(shí)的。否則很多客戶買的評(píng)估是一年評(píng)估一次，往往在一個(gè)財(cái)年結(jié)束后做資產(chǎn)評(píng)估，后來(lái)發(fā)現(xiàn)現(xiàn)有的問(wèn)題沒(méi)有得到結(jié)果，新的問(wèn)題又出現(xiàn)了。按照現(xiàn)有的方式再過(guò)一年又評(píng)估，這個(gè)間隔非常長(zhǎng)，導(dǎo)致我們?cè)u(píng)估之后要做得事情非常多，后變得人力資源不夠，問(wèn)題解決不了。往往后只能通過(guò)非常瘋狂的購(gòu)買相應(yīng)的解決方案來(lái)做。所以，與以往的評(píng)估弱點(diǎn)在于間隔時(shí)間長(zhǎng)、實(shí)效性比較差，以及解決方案有相應(yīng)的落差。

企業(yè)應(yīng)該如何評(píng)估

趨勢(shì)科技這一塊提出的評(píng)估方式，第一個(gè)首先客戶需要做到什么樣的安全級(jí)別要非常明確。現(xiàn)有的狀況能不能做到，如果不能做到我告訴你如何彌補(bǔ)。而且這個(gè)間隔我們通常會(huì)以一個(gè)季度，或者半年來(lái)做。通過(guò)這種定期更新的方式，實(shí)時(shí)地去發(fā)現(xiàn)網(wǎng)絡(luò)中有什么樣的漏洞，及時(shí)去彌補(bǔ)。通過(guò)這樣的方式不斷維護(hù)網(wǎng)絡(luò)客戶安全評(píng)估來(lái)維持安全的現(xiàn)狀。

說(shuō)到評(píng)估就是對(duì)網(wǎng)絡(luò)中的安全的四個(gè)組成要素進(jìn)行評(píng)估：策略、產(chǎn)品、流程以及相應(yīng)人員的漏洞。

一、評(píng)估防病毒框架的技術(shù)和產(chǎn)品

評(píng)估的內(nèi)容包括防病毒軟件安裝率、部署率，相應(yīng)的計(jì)算機(jī)操作補(bǔ)丁的安全率，以及對(duì)于整個(gè)防病毒體系監(jiān)控的效能和結(jié)果。有一點(diǎn)非常重要，如果我們監(jiān)控到一臺(tái)機(jī)器有問(wèn)題，這臺(tái)機(jī)器是不是能夠被及時(shí)、準(zhǔn)確的定位，這是非常重要的。這個(gè)決定我們快速定位，以及快速定位問(wèn)題的處理。