top
Loading...
Asp的安全管理(5)
ASP 的安全策略
ASP 為什么需要安全策略?

在 ASP 的安全管理過程中,必須有一個通道來及時地傳遞任何一個給定點的現有狀態。安全策略充當了這一角色。它們是對 ASP 一貫使用的當前安全要求和指導方針以及步驟的書面表示。一致的策略將使 ASP 內部清楚在安全方面必須做什么。如果 ASP 要看到在安全狀態上的迅速改進,則建立安全策略是評估之后的邏輯步驟,并且應當啟動而作為安全規劃的一個輔助因素。

當安全管理的規劃展開時,環境中的特定因素將會改變。出現變化時,策略將被檢查并修改,以確保它們傳遞的是保護 ASP 環境的當前規劃。在六到十二個月之間必須至少對安全策略檢查一次,當然每當由于各種原因需要對策略進行更改時也要如此。因此,安全策略是一項持續進行的工作。

開發 ASP 安全策略的步驟

下列步驟是定義安全策略中的基本步驟。

了解安全策略由什么組成。

安全策略定義 ASP 如何管理、保護和分配敏感的信息和資源
在連接到 Internet 之前,任何 ASP 都應當開發出一個策略,其中要明確地指定將使用的解決方案以及如何使用這些解決方案
該策略應當明確、簡潔并易于理解,同時有更改策略的內置機制(靈活性)
默認策略:除非明確允許,否則不使用它
理解安全策略必須要遵守什么要求。

在“服務級別協議”中定義的外部客戶要求
涉及安全性的外部法律要求
外部供應商安全策略
內部 ASP 安全策略
在 ASP 和客戶環境的集成情況下,內部/外部的安全策略
理解應如何考慮安全策略;確定要保護什么。

計算機資源
關鍵系統
敏感系統
客戶和公司數據
關鍵數據
敏感數據
公用數據
確定安全策略指導方針。

開發一個雙級別的策略

高級別策略
從客戶的角度編寫

保持簡單

避免技術術語并包含對它的解釋

低級別策略
為實施者而編寫

有關如何執行的詳細技術說明

包括篩選規則等

安全策略必須以 ASP 客戶的實際條件為基礎;它應當明確、一致、簡潔和易于理解。
提供定期檢查和檢驗
ASP 服務的管理
客戶關系管理
客戶關系管理的內容是發展及培養客戶和 ASP 之間良好的職業工作關系。客戶關系管理人員必須介入 MOF 的所有其它層面。例如,客戶關系管理人員在 SLA 協商期間促進 ASP 與客戶之間的互動,并參與解決客戶對所提供服務的不滿。如果客戶關系管理人員提供給客戶的解決方案確實安全,那么這對客戶關系管理人員而言就是一個賣點。

與客戶的溝通是 CRM 進行安全管理的的主要方面。

服務管理
在安全管理過程中采取的所有操作都取決于“服務級別協議”中協商一致的服務級別。“服務等級管理”確保指定并實現有關提供給客戶的服務方面的協議。目的是創建最優的 IT 服務,使得客戶對 IT 服務的期望和要求都能得到滿足,并且能為 ASP 和客戶雙方調整相關的成本。

因此 SLA 還必須包括一段內容,規定有關要采取的安全措施的協議(參見附錄中有關安全部分的框架)。從安全的角度來看,對于“服務等級管理”,需要檢查某些活動。

對客戶的安全要求和期望的認定。
對客戶的這些安全要求和期望的可行性驗證。
對建議和 IT 服務所需安全級別記錄的協商。
確定、起草和建立 IT 服務的安全標準。
監視這些安全標準。
報告所提供服務在安全方面的有效性和狀態。
獲得安全方面的反饋和評估。
有關 CRM 和“服務管理”之間關系方面的詳細信息,請參見 ITIL Library: http://www.itil.co.uk/

更改管理
管理更改是維護系統正常運行和完整性的重要方面。更改控制過程提供了批準更改并對請求的更改進行全面考慮的機會。這種分析可實現安全風險的評估。

已定義的更改和目的

對于所要進行的工作或要實現的更改,應當完成其成文的定義。這應包括更改的目的、更改將產生的結果以及預計對其它系統產生的影響。安全過程將通過該定義來確定安全的效果。

風險評估

對于將要進行的更改,需要完成有關的風險評估。此安全風險評估的范圍可以從無風險到高風險。作為風險評估的一部分,安全風險也需要進行評估,并需確定其對 ASP 業務的影響。

批準過程

安全管理員負責批準更改的安全考慮事項。沒有他的批準,更改將被拒絕(除非定義了可以滿足應急條件的附加安全對策)。

驗證更改的步驟

需要用有關步驟的信息來驗證進行的更改是否具有所需的安全性。實施更改后,應當執行該步驟,并根據預先定義的結果采取措施。

安全事件管理
“安全事件管理”是常規“事件管理”的一個特殊部分。最重要的是 ASP 有一個安全事件的主要聯系位置。這意味著必須要有一個位置,所有的安全事件都在該位置注冊,而且所有的 ASP 雇員和客戶(在必要情況下)都必須知道此位置,這樣他們可在該位置處理安全事件。必須要有一個針對安全事件的步驟,使人明白當宣稱出現安全事件出現時究竟發生了什么情況。

事件控制員必須有一個任務報告腳本,其中描述安全事件問題。依照此任務報告腳本,事件控制員將得出結論:這是安全事件、不是安全事件或者他不能斷定該事件。在肯定或不能斷定安全事件的情況下,必須執行安全事件進程和步驟。涉及安全事件時,不要冒險。對安全事件進程和步驟的說明需要安全管理和事件管理的共同努力。

發現事件后需要采取的步驟為:

注冊;需要對基本的事件細節進行注冊,并根據需要向專家組發出警報。
分類和初始支持;有必要獲得來自最新的“配置管理數據庫”(CMDB) 的信息,以確定正在發生的是何種類型的安全事件。還將執行對上次事件信息的檢查。
調查和診斷;如果較早的檢查沒有提供所需的信息,則開始對更新后的安全事件細節和配置細節進行更嚴格的調查,以確定這是什么類型的安全事件。開始診斷,并且必須制定出明確的解決方案。
解決和恢復;此時必須要有一個解決方案。當解決安全事件需要進行任何更改時,“更改過程”必須對更改請求作出緊急響應。
事件結束;此時初始事件已經得到解決。有關該事件的信息已經正確地記錄下來,以備在該安全事件可能再次出現時使用。
此“安全事件管理過程”中涉及的人員(突發事件管理員、安全管理員、事件控制員、支持人員)必須都明白出現安全事件時需要如何去做。他們還必須意識到可用于解決安全事件的時限。在 ASP 和客戶規定的 SLA 中有這些時限(服務級別)的說明。

應急規劃
“應急規劃”過程負責制定災難恢復計劃。但是從安全的角度來看,ASP 希望確保出現災難時采取準確的行動。因此,需要定義一些內容,如應急規劃的安全方面、ASP 或客戶組織中有可能被災難摧毀的部分、組織中不允許被災難摧毀的部分(因為這將意味著該組織不再存在)。SLA 對此有何規定?

該過程中關鍵是對應急過程中所涉及的所有員工進行培訓。危機當中,幾乎沒有時間作出決定,因此大家必須如熟悉日常工作一樣熟悉應急過程。

有關 ASP 應急規劃的白皮書更深入地介紹了如何管理應急過程。

北斗有巢氏 有巢氏北斗