1、谁先谁后
如果问CIO这个问题,十个有八个都会说先防毒。在CIO&IT经理精英汇微信群中,大多数CIO也是选择了首先做防毒。还给出了具体步骤:先防毒,然后规范上网行为,接着文档加密。
标准步骤就是如此,但现实操作中并不一定能完美执行。例如,一位老板就不肯批防毒的预算:都装上360就行了嘛,还是免费的。
如果你读到这里会心一笑,就说明这种情况绝不是个例。对于很多企业来说,现金流无比金贵,每一分钱都要花在刀尖尖上,先做防毒和行为规范,在老板看来就是“劳民伤财”,预算就别想啦。
此时,如果先上文件加密和介质管理,再做上网行为规范,就能达到立竿见影的效果,何乐而不为呢?
安全治理厚黑学第1条:
先做老板关心的;先做容易出成效的。
2、上网行为规范
上网行为规范是非常重要的环节,也是让CIO头痛不已的环节。近几年大火的勒索病毒,很多都是由于不规范的上网行为引起的。
员工是人,人是非常复杂的个体,不会像程序一样,你怎么设置他就怎么执行。并不是做了培训、列出上网规范条例他们就会照做的。
相反,有些人还会想尽一切办法拿你的办公电脑的admin权限,还经常关杀毒软件,轻信各种邮件等。
一位制造企业的IT总监就遭遇了一件啼笑皆非的事故。
公司以前有个HR 我们公司域名的邮箱用户,但一直没使用过。然后不知道怎么回事,密码泄露了。
有一个人就拿这个HR邮箱用户给我们公司所有人发了个邮件,说因为IT要核查邮箱,所以要公司所有人上报邮箱的用户名跟密码做为备案,再附上一个备案地址。。。点开地址就是一个外网的链接,要填邮箱用户跟密码。。。
因为是周五下班后7点多发出的邮件,我们IT没来的及发现,也没人觉得不对反馈给我们,直到当天晚上9点多我们IT的人才知道。。。然后马上进行处理,最后统计下来,居然有40多个人老老实实的提交了信息。。。
所以CIO不要指望培训和上网行为条例能起多大作用,该用上技术手段的就不要省;也不要指望他们的警惕心,再简单的骗局,也要及时发现和通知。
安全治理厚黑学第2条:
把使用者当菜鸟;把员工当小白。
3、Windows还是Linux
有CIO提出,不要用杀毒软件,服务器绝对不要用Windows。
这又回到了Windows还是Linux这个老生常谈的话题。
如果单从安全角度考虑,Linux肯定是第一选择。所以不少企业把系统都换成Linux。
一位除了ad,清一色换成Linux的IT总监说:
实话实说,LDAP还是微软的好,至少兼容性好,市场上主流第三方软件默认支持AD,你要搞OpenLDAP多少都有点额外工作量。
Linux优势在安全和稳定性方面,Windows的优势在易用性和支持方面。
如果在选型时,可以按自己需求随便选择哪个系统。如果是为了安全治理想要更换就要慎重考虑了,因为可能得了此失了彼,吃力不讨好。
安全治理厚黑学第3条:
系统能不换就不换;多一事不如少一事。
话说回来,这三条都有适用范围,请充分考虑现状后酌情使用。另外,千万不要在老板和同事面前讲。
