企業(yè)必備的Top10安全列表

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

請(qǐng)你按照優(yōu)先級(jí)為企業(yè)建立一份安全列表，它可以把每個(gè)人都集中在解決重要的問(wèn)題上。從SANS Institute開(kāi)始發(fā)布Top 10漏洞列表起，我就一直是它的忠實(shí)擁護(hù)者，并且隨著它演變?yōu)門(mén)op 20漏洞列表。SANS還發(fā)布著許多其他有用的清單，比如Top 20編程錯(cuò)誤和Top 20最關(guān)鍵的安全控件，另外OWASP的Top 10網(wǎng)絡(luò)應(yīng)用安全漏洞也同樣非常有用。從這些列表中可以得出一個(gè)事實(shí)，即大多數(shù)列表中的項(xiàng)目在過(guò)去的十多年中并沒(méi)有怎么改變過(guò)，這很能說(shuō)明問(wèn)題。這些類(lèi)型的列表對(duì)企業(yè)的意義重大，能夠幫助他們搞清楚最大的問(wèn)題是什么，盡快達(dá)成共識(shí)，并且使他們能夠集中力量處理重大的問(wèn)題。51CTO編者按：記得最早在一個(gè)網(wǎng)絡(luò)公司里上班的時(shí)候，領(lǐng)導(dǎo)是要求我們把每個(gè)月最重要的10件事情寫(xiě)出來(lái)貼墻上，這樣可以讓自己隨時(shí)看到?，F(xiàn)在想起來(lái)，這個(gè)和安全漏洞Top 10還真是很像。把威脅列出來(lái)，以后就能有個(gè)心理準(zhǔn)備，也可以防患于未然。

現(xiàn)在我有個(gè)問(wèn)題問(wèn)你，你的企業(yè)是否也有一個(gè)Top 10計(jì)算機(jī)安全問(wèn)題列表呢？如果你有的話，這個(gè)列表是否是眾所周知的，是否所有的IT管理成員、計(jì)算機(jī)安全工作人員、程序員和底層架構(gòu)的支持員工都能夠知道？如果你還沒(méi)有我所說(shuō)的列表——或者沒(méi)有其他人知道它——那么你拿什么來(lái)確保IT部門(mén)的工作重點(diǎn)，怎樣確保正確的資源放在了正確的問(wèn)題上？

我經(jīng)常碰到企業(yè)不能充分處理高風(fēng)險(xiǎn)問(wèn)題的案例，一般情況是，他們把太多的精力用于解決中低檔的次要問(wèn)題，把自己搞得焦頭爛額。例如，一個(gè)企業(yè)的最大問(wèn)題可能是最終用戶被安裝了特洛伊木馬，但同時(shí)它卻把大把的資金和人力投入到阻止遠(yuǎn)程緩沖區(qū)溢出，或者努力實(shí)現(xiàn)百分百遵守補(bǔ)丁這些地方上，而這些吃力不討好的解決方案只能解決這家企業(yè)整體計(jì)算機(jī)安全問(wèn)題中的很小一部分。

請(qǐng)為你的企業(yè)建立起Top 10計(jì)算機(jī)安全列表，先從識(shí)別威脅開(kāi)始，把它們按照嚴(yán)重性排列，使用你可以用到的最好的指標(biāo)，然后讓開(kāi)發(fā)團(tuán)隊(duì)和管理層審批，最后確定列表。這能迫使每個(gè)人都參與進(jìn)來(lái)，并把目光放在最重要的問(wèn)題上。

一旦你建立起Top 10列表，要確保把它通知到每個(gè)人，使用最普通的計(jì)算機(jī)安全方法（如電子郵件、海報(bào)、newsletter等等），以確保所有相關(guān)的團(tuán)隊(duì)都可以用他們自己的獨(dú)特方式來(lái)盡力解決你的十大安全問(wèn)題。

舉例來(lái)說(shuō)，假設(shè)JavaScript漏洞是企業(yè)目前最大的問(wèn)題，那么工作站配置團(tuán)隊(duì)可以集中精力鎖定瀏覽器防止惡意的JavaScript程序；編程/開(kāi)發(fā)團(tuán)隊(duì)可以編寫(xiě)自己的代碼盡力阻止XSS（跨站點(diǎn)腳本）攻擊；負(fù)責(zé)購(gòu)置新軟件的團(tuán)隊(duì)也可以在尋找基于JavaScript的應(yīng)用時(shí)和潛在的供應(yīng)商就JavaScript攻擊問(wèn)題進(jìn)行溝通。如果你不把大家集中到重要問(wèn)題上，他們?nèi)匀豢赡茉诟髯缘姆秶詰儆诮鉀Q自己的問(wèn)題。Top 10列表能夠幫助每個(gè)人在管好自己的樹(shù)苗的同時(shí)，看到一大片健康成長(zhǎng)的森林。

跟蹤進(jìn)展也是成功的關(guān)鍵。應(yīng)該有人來(lái)負(fù)責(zé)對(duì)列表中的每個(gè)項(xiàng)目進(jìn)行指標(biāo)測(cè)量，并每年向上一級(jí)審查團(tuán)隊(duì)提供進(jìn)度報(bào)告。這時(shí)，審查團(tuán)隊(duì)?wèi)?yīng)審查安全列表，確定是否有些問(wèn)題可以去掉，或者是否有新的安全問(wèn)題應(yīng)該補(bǔ)充進(jìn)來(lái)。如果某一特定項(xiàng)目的指標(biāo)變得糟糕，審查團(tuán)隊(duì)將需要制定新的攻擊計(jì)劃，建立更有效的戰(zhàn)略來(lái)對(duì)付這一問(wèn)題。

一旦建立后，你的Top 10計(jì)算機(jī)安全列表就絕不應(yīng)該消失，列表中的項(xiàng)目可能會(huì)演化或變?yōu)槠渌鼮榫o迫的問(wèn)題。然而，這種想法提供給企業(yè)一種應(yīng)對(duì)風(fēng)險(xiǎn)的良好方式，把重點(diǎn)放在最重要的地方，在沙灘上劃出一條警戒線，每年進(jìn)行衡量。