你如何决定允许用户控制什么?对于给定的特性或功能(例如,在文件夹上设置共享、在电子邮件中附加某些文件类型、安装 USB 设备)是否有最佳实践规则可以帮助权衡风险与回报?
其次,您是否默认锁定某些内容直到被要求/要求,或者在出现问题之前允许某些内容?如果不是全部,那么是什么指导您决定设置哪个默认值?
你如何决定允许用户控制什么?
根据我的经验,这需要一个委员会。即使组织中有一个单独的信息安全办公室,这种事情在归结为实施细节之前需要很多人的认同。无论您最终使用什么锁定系统,都需要足够灵活,以轻松应对总是突然出现的特殊雪花。使用过于生硬的锁定系统(在我看来,AD GPO 被认为是“过于生硬”),您最终会为大范围提供例外,以满足少数真正的需求。
也就是说,在参加该系列会议之前,您如何建立要限制的事项列表?首先需要设定目标。通过锁定事物来弄清楚你想要完成什么样的事情。要锁定的事项清单“防止恶意软件感染”不同于“防止商业机密信息泄露”,后者不同于“防止未经授权的软件安装”。
有了目标列表后,开始检查锁定产品的设置并弄清楚它可以做什么。大学计算机实验室使用了一些最严格的软件包,以保持它们的清洁,并且在该环境中通常有效。此类软件包在企业环境中很少使用,因为它们对于一般用途来说过于生硬。其他产品与 GPO 机制挂钩,以允许相同类型的限制,但基于组,这允许比原生 AD 更精细的方法。还有一些人使用他们自己的锁定方式。因此,了解您的产品可以做什么。
既然您已经列出了您想要完成的任务以及您实际可以完成的任务,那么是时候开始搞清楚哪些将被关闭的繁重工作了。如果可能,从有效地说明“每个用户每天早上将获得一个新映像的工作站,并且无法对其进行任何更改”的策略开始,然后从那里扩展。一些用户需要持续安装软件。或 USB 连接的多功能设备。或用于工作相关目标的多个网络浏览器。弄清楚需要允许哪些事情才能拥有您的企业功能需要一些时间,因此也要在此过程中测试数字。
您询问了最佳实践指南。不幸的是,这些往往是特定于应用程序的。我见过的最佳实践指南更笼统、抽象,比如“防止未经授权的软件安装以最大限度地减少服务台浪费的时间”,而不是“禁用运行提示”。因此,有很多针对 AD GPO 之类的最佳实践指南,而针对 Novell ZenWorks 之类的则没有那么多。
小智 2
回想一下 TRON 的教训。系统应该被设计为服务用户。您的总体目标应该是创建不妨碍员工生产力的可用系统。请记住,在 IT 领域,我们促进业务发展,而不是控制业务。最好的指导是保持业务平稳运行,并为最终用户提供完成工作所需的工具,使最终用户高效且快乐。
为了实现这一目标,您需要充分了解用户将做什么。如果用户的日常工作需要比其他人更多或更少的功能,您甚至可能需要将用户分组。根据这些群体和工作职能制定政策。与从事这项工作的人员交谈并了解他们的流程,以便确保您的系统协助他们正常的日常运营。
接下来仔细考虑您的安全。一个不安全的系统很快就会变成一个充满缺陷的恶意软件的野兽。完全安全的系统是一种永远不会开启且完全无法使用的系统。您需要的不是中间立场,而是用户在组织中所需的平衡,并让他们轻松使用、安心无忧。
安全性应尽可能透明,并在激活时向用户提供清晰的反馈。一个很好的例子是运行透明代理的网关/防火墙设备。配置该代理以扫描病毒、阻止恶意软件并阻止垃圾邮件。当代理阻止内容时,您应该向最终用户清楚地表明发生了什么以及原因。不要提供所有的技术细节,而是给出一个措辞简单的解释。有了这种安全性,用户应用程序的设置不需要特殊的工作,用户不需要过多考虑安全性,但您已经为网关增加了价值和安全性。
当您最终了解正在完成的工作以及需要做什么才能安全地促进工作时,您可以开始根据您所学到的知识创建策略。确保每个人都知道策略是什么,并获得尽可能多的反馈,以便不断完善您的安全策略和 IT 实践。请注意,不要将安全策略视为一成不变的。它们必须足够灵活,以便您的企业能够根据需要改变方向并保持竞争力,同时保持核心安全原则不变。
最后的想法。首先,在安全性遭到破坏之前,任何流程、服务器、设备或事物都不应处于不安全状态。如果你在这种模式下工作,那么你已经输掉了这场战斗。- 祝你好运