7、网络安全的组织应对策略

网络安全的组织应对策略

1. 系统退役与数据清理

系统都有其生命周期，到了生命周期的尽头就会进入退役阶段。在这个阶段，数据可能会被销毁或保留，网络设备和系统也可能会被停用并转售。但关键问题是要确保设备被彻底清理，防止信息被不当恢复。这些信息包括用户名、密码、配置文件以及敏感的用户数据等。

很多逻辑清理技术，像删除文件或格式化硬盘，实际上并不能从物理层面移除或删除数据。在这种情况下，可能需要物理销毁硬盘，或者使用诸如磁消磁器等工具。具体采用哪种处理方式，取决于数据的敏感程度以及使用这些技术清除数据的成本。近年来，有许多新闻报道指出，一些公司因二手系统上出现其私密数据而陷入尴尬境地，这些二手系统是从拍卖网站购买的。此外，如果公司在出售系统前未确保清除客户数据，还可能违反隐私法规。

2. 系统认证

系统认证是管理层正式接受网络安全策略所涵盖系统的残余风险的过程。要使系统获得认证，风险必须在实际操作中降低到可接受的水平，而不仅仅停留在理论层面。认证通常包括以下几个方面：
- 检查运营实践，确保政策、程序、标准和指南等按计划执行。
- 明确测试安全计划的技术方面，使用现有技术确定其是否按预期工作。
- 识别网络安全策略未覆盖的威胁或领域。
- 评估网络安全策略实施后的残余风险。

正式认证后，还应有一个正式的审查流程，重新审视网络安全策略背后的解决方案和假设，以确保其在应对外部渗透或内部威胁时仍然有效。认证和保证与系统工程中的验证和确认概念密切相关。验证旨在回答“特定组件是否能按规定运行”，而确认则关注是否以正确的方式解决了问题。可以这样理解：保证是“我是否正确回答了问题”，而认证是“我最初是否问对了问题”。