【TechTarget中国原创】持续流动的用户因素是一种重要的网络因素。根据人力资源部门的记录定期检查网络账户和他们的权限非常重要,这能够保证不再使用的账户已经被终结使用,从而可以对人员进行正确的权限分配。你可以把这个和其他雇员相关的检查结合起来,比如保证责任和遵从跟密码策略(比如过期和复杂性)分离开来。
虽然,并不是每个网络安全控制都需要以同样的频率进行检查,但是所有的安全控制都应该是定期进行的,这包括一些最基本的检查,比如:物理安全、文档备份以及损毁、补丁系统等。正在执行的备份符合政策和遵从要求吗?数据报废符合数据的分类吗?为了保证备份和存储能够正常工作,这些过程最近被测试过吗?自动补丁程序功能正确吗,它们在合适的时间框架内进行了更新吗?
如果你负责网络安全,并把执行这些检查作为正常工作周期的一部分,那么当需要执行较大规模网络审计的时候,所需要做的工作会变得更简单。你可以为大型审计做准备,而且内部审计只需要对一些常规检查以外的内容进行核查就可以了。
这些措施包括:评估补丁过程、验证每个政策的备份性能、评估物理安全控制的有效性,以及确保对相关监管标准要求的遵守。
对于许多公司来说,并不总是可以选择审计方式。如果你的系统需要遵守特定的标准——比如PCI数据安全标准——那么必须邀请外部审计人员来对公司进行审计。就算没有这些要求,外部网络安全审计也会是一个更好的选择;如果你怀疑内部有威胁的话,这可能也是唯一的选择。比如出现一些情况:你怀疑公司内部有不坏好意的网络管理员,或者企业有太多的远程办公室,内部人员忙不过来,不能保证在所有的地点都执行了公司政策等。
最后,再说一点对安全审计老生常谈的话题。不管是内部的、外部的或者和遵从标准有关的审计,没有任何的审计能够保证一个网络是安全的。就算是一个网络已经被审计过了,也并不意味着它将一直保持这样的安全性。执行审计的真正好处是通过审计获悉怎样提高安全控制,怎样处理任何报告的问题,以及怎样把信息安全需求、风险减少跟业务目标更紧密的联系起来。而所有这些都使得网络安全审计成为一项很有意义的工作。