如何堅持你的IT安全計劃

如果一個管理者需要選擇一個windows server環境管理的主要目标，那麼保障伺服器的安全和彈性可能是最高的目标了。盡管口頭上很容易說it安全計劃是需要優先考慮的事情，但是做起來确是另外一回事。

你可以如何讓資訊系統保證達到最進階别？考慮到網絡的複雜程度以及運作有效的資訊安全計劃的細微差别和障礙，我不确信要在安全上達到這個級别是可能的。但是，你還是能通過一些方法讓資訊安全計劃比現在的情況好一倍。

如果沒有清晰定義的計劃，你也隻是走走過場，等待你的windows server環境遭遇不可避免的破壞。除非你可以将具體的目标文檔化——以及記錄執行的步驟和可負責的截止日期，那麼你的目标變成現實才會有可能。目标設定的方法已經存在很多個世紀了，但是很多人還是覺得這樣很困難。有很多比較小的，但是很重要的步驟需要執行來扭轉局勢，超過平均水準，以保護windows server的環境。

說明要明确

首先，決定你要完成什麼目标。大部分人會說他們想要“安全”的網絡，不過這意味什麼呢？對于某些人來說，這意味着安全評估和審計的結果報告一切正常。對于其他一些人來說，這意味着系統有合理的線上時長或零資料丢失。在設定你的it安全目标的時候，讓計劃越詳細越好是很重要的。在一些關于windows server 2012和windows server 2016系統安全相關的計劃中，有一些例子會包含以下這些項目：

域相關的政策和标準，例如弱密碼以及其他你知道有一天會讓你陷入困境的東西。

iis/web相關的漏洞，例如sql注入，跨站腳本和廣泛流傳并給很多企業帶來問題的ssl/tls相關弱點。

将伺服器強化到一定的标準，例如disa stigs标準或者center for internet security benchmarks。

将新的功能內建到windows server 2016中，比方說擁有強認證的microsoft passport，限制管理權限的just enough administration，以及在iis版本10中自帶的對拒絕服務攻擊的保護。

需要具體的步驟

在定義了特定的需求之後，将他們以完成式寫下來，例如“it強化了windows伺服器，使其達到了center for internet security’s windows server 2012 benchmark version 1.0.0的标準”。

下一個步是概括需要哪些步驟來達成it安全計劃的目标，每一個特定的目标都需要哪些步驟。用同一個例子來說明一下，我們需要現有系統的清單，定義哪些系統是易受攻擊的，以及了解封鎖windows server系統的特殊規定，政策和合同性的需求。有一些步驟一定要以某些順序來執行。舉個例子，在不了解目前的情況和需求是什麼的情況下，你不能記錄政策和标準。你需要定義優先級，聯系涉及的相關人員，例如你的同僚，下屬和管理層。

為目标定一個日期

對于it安全計劃的任何目标，最重要的是設定一個截止日期并且自己為其負責。你想什麼時候将任務完成？可能是在下一次安全評定或審計之前完成，又或者有一個很大的交易需要取決于這個目标的完成。不管是什麼，去了解這些細節，這樣你和你的團隊才能保持專注。接着馬上開始你的工作，同時定期地，堅實地回顧這些工作——理想化是每一天都回顧——但最少不要超過每周一次。

很多企業一直覺得實行it安全目标很困難，因為企業中很少人知道如何堅持完成目标的整個過程。達成目标可以簡單到決定需要的是什麼并且堅持完成他們。不要當做新年願景來設定，這樣你是完成不了的。他們的不同之處在于目标是需要嚴格執行的——需要對你這一部分工作和其他相關工作的日複一日的負責。

籃球教練bobby knight曾經說過“赢的決心還不如為赢而準備的決心重要”。熟能生巧，量變才能引起質變。

本文轉自d1net（轉載）