實現(xiàn)自我安全檢查機制之十步走戰(zhàn)略

過去10年網(wǎng)絡應用的爆炸式發(fā)展使得大到世界500強企業(yè)小致幾人的企業(yè)都擁有了某種程度上的IT因素。
    每一家企業(yè)都有自己寶貴的IT資產(chǎn)，諸如計算機，網(wǎng)絡和數(shù)據(jù)。要實現(xiàn)對這些資產(chǎn)的保護需要大小企業(yè)都擁有自己獨立的安全審查機制，這樣就可以及時發(fā)現(xiàn)企業(yè)面臨的安全問題以及如何應對風險。
    以下10條建議將告訴你如何實現(xiàn)最基本的IT檢查。雖然這些建議沒有專業(yè)人士所做的那樣廣泛，但是讓你在保護安全之路上起步了。
    1. 構(gòu)建安全審查的范圍：列舉資產(chǎn)清單和安全范圍
    安全審查的第一步就是列出計算機資產(chǎn)清單，然后我們才知道那些需要保護。列舉有形資產(chǎn)的清單很簡單，譬如計算機，服務器，文件夾。但是無形資產(chǎn)的清單就不是那么容易的事情了。為了保證列舉的無形資產(chǎn)清單的連續(xù)性，安全審查范圍是很有用的。
    什么是安全審查范圍
    安全審查范圍既是一個實體上的和概念上的界限，安全審查關注的只是界限之內(nèi)的東西，界限之外的事情與安全審查無關。當然決定最終安全審查范圍的是你自己，但是一般來說，安全范圍應該是最小的界限，只是包含那些控制你企業(yè)安全必須的資產(chǎn)。
    需要考慮的資產(chǎn)
    一旦你決定了安全范圍，接下來就要完善資產(chǎn)清單。我們要考慮所有潛在的資產(chǎn)并且決定那些資產(chǎn)是否應該包含在安全范圍之內(nèi)。一般來說，以下資產(chǎn)是必須列入清單的：
    1. 臺式機和筆記本
    2. 路由器和網(wǎng)絡工具
    3. 打印機
    4. 視頻，不管是數(shù)碼的或是類似的東西，還有含有公司敏感數(shù)據(jù)的照片
    5. 銷售數(shù)據(jù)，顧客信息數(shù)據(jù)，還有員工信息數(shù)據(jù)
    6. 公司智能電話和掌上電腦
    7. VoIP電話，IP PBX(private branch (telephone) exchange 專用分組交換機)以及相關的服務器
    8. VoIP或是普通電話的通話記錄
    9. 電子郵件
    10. 員工日常工作安排和活動的日志
    11. 網(wǎng)頁，特別是那些對用戶信息請求的信息還有由網(wǎng)絡腳本支持的對數(shù)據(jù)庫訪問的請求
    12. 網(wǎng)絡服務器
    13. 監(jiān)控視頻
    14. 員工出入證
    15. 訪問點(譬如門禁系統(tǒng)的掃描儀)
    這一清單沒有窮舉所有的資產(chǎn)，你還要再三思考以下那些數(shù)據(jù)還沒有包含進去。列舉的資產(chǎn)清單越詳細越好，這樣將有助于你更加準確認識到那臺計算機面臨風險。