安全基礎薄弱企業搭建安全基礎框架會出現哪些問題

安全基礎薄弱企業搭建安全基礎框架會出現以下問題：

• 安全策略實施自下而上而非自上而下：信息安全管理策略一定要自上而下。管理層不重視，各個部門配合不積極，安全策略實施過程中會遇到巨大的困難。有些企業實施安全策略是為了“面子工程”，例如審查需要、資本要求等等。盡管這樣的企業不肯承認，但實際上它們大多不愿在信息安全上花費金錢與精力，“只要過等級保護就行了”這樣的想法讓很多企業的信息安全形同虛設。我見過太多企業臨近年度審計的時候在瘋狂的作假日志記錄，做假備份的。從投資效益上講，即然已經花錢買了設備了，為什么不用起來呢？即然已經花錢做安全了，為什么不切實得到一些效果呢？而且信息安全管理會帶來很多正向的影響。

• 信息安全管理制度不清晰：導致安全部門缺乏統一的行動方向，達不到預期目標。

• 信息安全管理制度過于嚴苛：過于嚴苛的管理制度在信息安全基礎薄弱的企業會遭遇很強的抵觸情緒，在安全基礎建設的初期階段，管理制度應當集中精力解決關鍵業務上的嚴重風險和容易解決的風險。用有限的資源盡量多辦事。

• 安全責任不明確：安全責任一定要明確，否則會出現互相扯皮的現象——安全人員指責業務不遵守制度；業務指責安全人員沒有盡到監管義務。不可將安全責任全部放在一個部門或者某個人身上，應當分攤到安全部門和業務部門上。即出現安全問題，業務部門如果沒有遵守安全規定，應當承擔主要責任；業務部門如果遵守了安全規定，安全部門應當承擔主要責任，業務部門應當適當承擔次要責任，因為安全部門不可能完全了解業務部門的詳細內容，如果業務中有安全隱患，安全部門由于人力和能力的限制而不能發現安全隱患，共擔責任會迫使業務部門主動提出改進意見交由安全部門評估，避免“甩鍋”的事情。

• 賬號管理混亂：特殊權限賬號一定要進行嚴格控制，嚴禁非生產類賬號（員工賬號，管理員賬號等）共享。對于管理中的例外情況，要定期審計，檢查是否仍需要例外。對賬號權限定期審計，檢查賬號權限是否遵循最小化原則。制定密碼策略，嚴禁弱密碼。

• 缺乏控制訪問或者訪問策略混亂：對辦公網絡環境應當進行區域劃分，避免病毒一次感染大量設備。建設訪客網絡，搭建認證機制。對辦公網絡做上網行為管理和訪問權限的控制。機房進出要嚴格把控，機房內不得存放雜物。

• 缺乏安全基線：安全基線可以由CIS等組織免費獲取，對企業設備實施統一部署，集中管理，AD DC方式或者其他第三方管理工具。對企業設備配置安全基線，配置安全基線時要注意是否符合企業現狀，以CIS上的安全基線為例，L1級是指大多數企業會啟用的配置，L2是指會對用戶有明顯使用上的阻礙的配置。根據企業的資產分類，關鍵資產應當適當嚴格，而對于普通資產應當根據實際情況放寬。以我的經驗，很多公司能把L1級的安全基線啟用70%就很了不起了。

• 員工不愿遵守安全管理制度：一般出現這種情況有兩種原因，一是過于苛刻，影響了業務的發展；二是員工安全意識薄弱，覺得這些安全策略就是找茬。對于第一種情況，應當及時進行調研并進行改進，但要有底線，例如特權賬號隨意使用的情況或者弱密碼的情況，這個是要絕對禁止的。對于第二種，要定期進行安全宣貫。

企業信息安全的管理方法有以下這些：

• 信息安全可以建立、采取有效的技術和管理手段，保護計算機信息系統和網絡內的計算機硬件、軟件、數據及應用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統能夠連續、正常運行。一個安全有效的計算機信息系統可以同時支持機密性、完整性、可控性、可用性這四個核心安全屬性，除了有效的技術支持，企業對于信息安全的管理與防范方面也是尤為重要的，以下分別從四個核心的安全屬性來詳細說明。

• 信息的機密性要求數據不被外泄或被他人利用其特性。原本系統本身很難保證數據在傳輸過程中不被非授權者訪問，所以我們對于一些重要的文件需要進行加密處理。對于企業而言，外部人員要想訪問內部系統時，一定需要領導授權，授權后的訪問權限也要有所限制，即便被不懷好意的人用非法手段獲取了一些文件數據，沒有密鑰也是無濟于事的。其次對于內部員工也要有權限的限制，還要簽訂負法律責任的保密協議。

• 完整性就需要保持數據原有的特性，存儲器中的數據或經網絡傳輸后的數據，必須與傳輸前的數據在內容與形式上保持一致，保證信息系統上的數據沒有受損，使數據不會因為有意或者無意的事件被改變或者被破壞。負責企業信息安全的網絡部門需要制定一些故障應急方案和預防性措施，服務器可結合金笛短信平臺建立報警系統，如有異常可第一時間發現并及時處理。

• 數據的可用性要求非授權訪問者不能占用所有的資源而阻礙授權者的工作，需要時隨時可以取得數據，訪問資源，是網絡設計和安全的基本目標。企業的員工擁有各自的賬號與密碼，在登陸系統時都需要自己的手機短信驗證碼，確保萬一本人密碼遺失，他人無短信驗證碼同樣無法登陸，從而也確保了賬號的安全性。

• 數據的可控性是指可以控制授權范圍內的信息流向以及行為方式。在企業內部，首先針對員工崗位的不同，設定不同的操作權限，訪問不同的系統模塊，這一點就是通過訪問控制和授權來實現的。其次，每個員工都有固定的工號，在員工離職后就會立即收回此工號的所有權限，防止資料外泄。

回答所涉及的環境：聯想天逸510S、Windows 10。