如果乙個管理員需要選擇乙個windows server環境管理的主要目標,那麼保障伺服器的安全和彈性可能是最高的目標了。儘管口頭上很容易說it安全計畫是需要優先考慮的事情,但是做起來確是另外一回事。
你可以如何讓資訊系統保證達到最高端別?考慮到網路的複雜程度以及執行有效的資訊保安計畫的細微差別和障礙,我不確信要在安全上達到這個級別是可能的。但是,你還是能通過一些方法讓資訊保安計畫比現在的情況好一倍。
如果沒有清晰定義的計畫,你也只是走走過場,等待你的windows server環境遭遇不可避免的破壞。除非你可以將具體的目標文件化——以及記錄執行的步驟和可負責的截止日期,那麼你的目標變成現實才會有可能。目標設定的方法已經存在很多個世紀了,但是很多人還是覺得這樣很困難。有很多比較小的,但是很重要的步驟需要執行來扭轉局勢,超過平均水平,以保護windows server的環境。
域相關的策略和標準,例如弱密碼以及其他你知道有一天會讓你陷入困境的東西。
iis/web相關的漏洞,例如sql注入,跨站指令碼和廣泛流傳並給很多企業帶來問題的ssl/tls相關弱點。
將伺服器強化到一定的標準,例如disa stigs標準或者center for internet security benchmarks。
將新的功能整合到windows server 2016中,比方說擁有強認證的microsoft passport,限制管理許可權的just enough administration,以及在iis版本10中自帶的對拒絕服務攻擊的保護。
需要具體的步驟
在定義了特定的需求之後,將他們以完成式寫下來,例如「it強化了windows伺服器,使其達到了center for internet security』s windows server 2012 benchmark version 1.0.0的標準」。
下乙個步是概括需要哪些步驟來達成it安全計畫的目標,每乙個特定的目標都需要哪些步驟。用同乙個例子來說明一下,我們需要現有系統的清單,定義哪些系統是易受攻擊的,以及了解封鎖windows server系統的特殊規定,策略和合同性的需求。有一些步驟一定要以某些順序來執行。舉個例子,在不了解目前的情況和需求是什麼的情況下,你不能記錄策略和標準。你需要定義優先順序,聯絡涉及的相關人員,例如你的同事,下屬和管理層。
為目標定乙個日期
對於it安全計畫的任何目標,最重要的是設定乙個截止日期並且自己為其負責。你想什麼時候將任務完成?可能是在下一次安全評定或審計之前完成,又或者有乙個很大的交易需要取決於這個目標的完成。不管是什麼,去了解這些細節,這樣你和你的團隊才能保持專注。接著馬上開始你的工作,同時定期地,堅實地回顧這些工作——理想化是每一天都回顧——但最少不要超過每週一次。
很多企業一直覺得實行it安全目標很困難,因為企業中很少人知道如何堅持完成目標的整個過程。達成目標可以簡單到決定需要的是什麼並且堅持完成他們。不要當做新年願景來設定,這樣你是完成不了的。他們的不同之處在於目標是需要嚴格執行的——需要對你這一部分工作和其他相關工作的日復一日的負責。
籃球教練bobby knight曾經說過「贏的決心還不如為贏而準備的決心重要」。熟能生巧,量變才能引起質變。
堅持你所不能堅持的
許多時候往往看不清一些事情,就如你所看不懂的事情。也許你在人生的道路上遇到許多你不能接受的事情,你往往會選擇逃避它或者選擇退出。如果是這樣的話你有沒有想過別人是怎麼做到的為什麼他們能夠堅持下去,你可能會覺得這樣的生活不是你想要的。但請你回頭再仔細打量一下你自己你到底想要什麼生活?也許說到這裡你現在還...
堅持你選擇的路
1.當你決定去做一件事情的時候,可能很多事關乎自己的利益,你最終選者了一條對於你自己的一條路,在噹噹時候,是你覺得對的一條路。因為,在進行決定的時候,只要你自己知道自己要的是啥,只有你自己知道,你的感受和你面臨的處境。誰也不清楚你要的路是啥,誰也不清楚你選擇後會是如何的情況。往往只有自己明白,目前的...
如何精簡你的安全投資
ciso和安全管理員在精簡安全投資方面達成了一致,然而如何做仍是個問題。關於這一點,你有什麼建議?企業主管或管理員可採取怎樣的措施?mike o.villegas 由isaca和rsa牽頭的2015年網路安全狀況的調查表明,在845名受訪者中,56 的人表示安全預算在2015年有所增加。不過事實上,...