浅析虚拟化环境中应用IT安全策略

确保对环境进行日常检查和维护更加重要。常规的周期性补丁和安全检查比陈旧的安全策略能够更好地保护环境安全。

组织是否需要书面的IT安全策略?应该如何来设计这种策略?

Howarth:互联网上有很多网站都可以帮助和指导公司来制定安全策略。如果你想要了解如何制定安全策略，可以网上进行搜索，你将会发现很多相关的内容。而我所关注的是另外一个重要问题：为什么要创建安全策略?

公司是否需要书面的安全策略是一个有趣的问题。如果使用的人认为书面规定会对他们造成麻烦，他们就几乎肯定会绕过或者忽略这些策略。拿密码策略来说，一个简单的字符串或者令人印象深刻的词相比于一个最少需要8个字母的策略(必须包含数字、大写字母和其他符号)更加安全。而一个明显的事实是复杂的密码会导致用户将这些密码记在纸上。如果拥有密码重置策略，需要每隔一段时间就更换新的密码，那么情况会变得更加复杂。

这样的问题会引起安全策略需求方面的问题。所以应该怎样准备地发现制定安全策略过程中的问题呢?首先，需要设定原则，而不是边界。引导比强制要求更加容易。

需要记住任何安全策略中最为薄弱的一环就是人。在保证环境更加安全的前提下制定安全策略，但是不要让他们引起问题或者麻烦，不要让员工在使用过程中感觉困难。

需要记住得到键盘下面的写着密码的纸条，要比暴力破解容易的多。

为公司进行一次风险评估。不要只关注于逻辑保护;你同样需要物理安全。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友