企业必备的Top 10安全列表 你做了吗？

　　请你按照优先级为企业建立一份安全列表，它可以把每个人都集中在解决重要的问题上。

　　从SANS Institute开始发布Top 10漏洞列表起，我就一直是它的忠实拥护者，并且随着它演变为Top 20漏洞列表。SANS还发布着许多其他有用的清单，比如Top 20编程错误和Top 20最关键的安全控件，另外OWASP的Top 10网络应用安全漏洞也同样非常有用。从这些列表中可以得出一个事实，即大多数列表中的项目在过去的十多年中并没有怎么改变过，这很能说明问题。这些类型的列表对企业的意义重大，能够帮助他们搞清楚最大的问题是什么，尽快达成共识，并且使他们能够集中力量处理重大的问题。记得最早在一个网络公司里上班的时候，领导是要求我们把每个月最重要的10件事情写出来贴墙上，这样可以让自己随时看到。现在想起来，这个和安全漏洞Top 10还真是很像。把威胁列出来，以后就能有个心理准备，也可以防患于未然。

　　现在我有个问题问你，你的企业是否也有一个Top 10计算机安全问题列表呢?如果你有的话，这个列表是否是众所周知的，是否所有的IT管理成员、计算机安全工作人员、程序员和底层架构的支持员工都能够知道?如果你还没有我所说的列表——或者没有其他人知道它——那么你拿什么来确保IT部门的工作重点，怎样确保正确的资源放在了正确的问题上?

　　我经常碰到企业不能充分处理高风险问题的案例，一般情况是，他们把太多的精力用于解决中低档的次要问题，把自己搞得焦头烂额。例如，一个企业的最大问题可能是最终用户被安装了特洛伊木马，但同时它却把大把的资金和人力投入到阻止远程缓冲区溢出，或者努力实现百分百遵守补丁这些地方上，而这些吃力不讨好的解决方案只能解决这家企业整体计算机安全问题中的很小一部分。

　　请为你的企业建立起Top 10计算机安全列表，先从识别威胁开始，把它们按照严重性排列，使用你可以用到的最好的指标，然后让开发团队和管理层审批，最后确定列表。这能迫使每个人都参与进来，并把目光放在最重要的问题上。

　　一旦你建立起Top 10列表，要确保把它通知到每个人，使用最普通的计算机安全方法(如电子邮件、海报、newsletter等等)，以确保所有相关的团队都可以用他们自己的独特方式来尽力解决你的十大安全问题。

　　举例来说，假设JavaScript漏洞是企业目前最大的问题，那么工作站配置团队可以集中精力锁定浏览器防止恶意的JavaScript程序;编程/开发团队可以编写自己的代码尽力阻止XSS(跨站点脚本)攻击;负责购置新软件的团队也可以在寻找基于JavaScript的应用时和潜在的供应商就JavaScript攻击问题进行沟通。如果你不把大家集中到重要问题上，他们仍然可能在各自的范围迷恋于解决自己的问题。Top 10列表能够帮助每个人在管好自己的树苗的同时，看到一大片健康成长的森林。

　　跟踪进展也是成功的关键。应该有人来负责对列表中的每个项目进行指标测量，并每年向上一级审查团队提供进度报告。这时，审查团队应审查安全列表，确定是否有些问题可以去掉，或者是否有新的安全问题应该补充进来。如果某一特定项目的指标变得糟糕，审查团队将需要制定新的攻击计划，建立更有效的战略来对付这一问题。

　　一旦建立后，你的Top 10计算机安全列表就绝不应该消失，列表中的项目可能会演化或变为其他更为紧迫的问题。然而，这种想法提供给企业一种应对风险的良好方式，把重点放在最重要的地方，在沙滩上划出一条警戒线，每年进行衡量。