如果一个管理员需要选择一个Windows Server环境管理的主要目标,那么保障服务器的安全和弹性可能是最高的目标了。尽管口头上很容易说IT安全计划是需要优先考虑的事情,但是做起来确是另外一回事。
你可以如何让信息系统保证达到最高级别?考虑到网络的复杂程度以及运行有效的信息安全计划的细微差别和障碍,我不确信在这种级别上实现安全性是可行的。但是,你还是能通过一些方法让信息安全计划比现在的情况好一倍。
如果没有清晰定义的计划,你也只是走走过场,等待你的Windows Server环境遭遇不可避免的破坏。除非你可以将具体的目标文档化——以及记录执行的步骤和可负责的截止日期,那么你的目标变成现实才会有可能。目标设定的方法已经存在很多个世纪了,但是很多人还是觉得这样很困难。有很多比较小的,但是很重要的步骤需要执行来扭转局势,超过平均水平,以保护Windows Server的环境。
说明要明确
首先,决定你要完成什么目标。大部分人会说他们想要“安全”的网络,不过这意味什么呢?对于某些人来说,这意味着安全评估和审计的结果报告一切正常。对于其他一些人来说,这意味着系统有合理的在线时长或零数据丢失。在设置你的IT安全目标的时候,让计划越详细越好是很重要的。在一些关于Windows Server 2012和Windows Server 2016系统安全相关的计划中,有一些例子会包含以下这些项目:
- 域相关的策略和标准,例如弱密码以及其他你知道有一天会让你陷入困境的东西。
- IIS/Web相关的漏洞,例如SQL注入,跨站脚本和广泛流传并给很多企业带来问题的SSL/TLS相关弱点。
- 将服务器强化到一定的标准,例如DISA STIGs标准或者Center for Internet Security Benchmarks。
- 将新的功能集成到Windows Server 2016中,比方说拥有强认证的Microsoft Passport,限制管理权限的Just Enough Administration,以及在IIS版本10中自带的对拒绝服务攻击的保护。
需要具体的步骤
在定义了特定的需求之后,将它们以完成式写下来,例如“IT强化了Windows服务器,使其达到了Center for Internet Security Windows Server 2012 Benchmark version 1.0.0的标准”。
下一个步是概括需要哪些步骤来达成IT安全计划的目标,每一个特定的目标都需要哪些步骤。用同一个例子来说明一下,我们需要现有系统的清单,定义哪些系统是易受攻击的,以及了解封锁Windows Server系统的特殊规定,策略和合同性的需求。有一些步骤一定要以某些顺序来执行。举个例子,在不了解目前的情况和需求是什么的情况下,你不能记录策略和标准。你需要定义优先级,联系涉及的相关人员,例如你的同事,下属和管理层。
为目标定一个日期
对于IT安全计划的任何目标,最重要的是设定一个截止日期并且自己为其负责。你想什么时候将任务完成?可能是在下一次安全评定或审计之前完成,又或者有一个很大的交易需要取决于这个目标的完成。不管是什么,去了解这些细节,这样你和你的团队才能保持专注。接着马上开始你的工作,同时定期地,坚实地回顾这些工作——理想化是每一天都回顾——但最少不要超过每周一次。
很多企业一直觉得实行IT安全目标很困难,因为企业中很少人知道如何坚持完成目标的整个过程。达成目标可以简单到决定需要的是什么并且坚持完成。不要当做新年愿景来设定,这样你是完成不了的。他们的不同之处在于目标是需要严格执行的——需要对你这一部分工作和其他相关工作的日复一日的负责。
篮球教练Bobby Knight曾经说过“想赢的意志一点也不如准备要赢的意志般重要。”熟能生巧,量变才能引起质变。