國華盛頓郵報公司安全團隊開發出利用賽門鐵克數據庫安全與審計(SDSA)設備監視數據庫的一系列客戶化的政策。他們是如何在已有安全策略基礎上做優化的呢?又是如何保證策略的實施呢?

雖然賽門鐵克的這種設備配置了一些現成的安全政策，但是，這家公司不斷地優化這些政策以便減少誤報，以便使安全團隊把注意力集中在真正的安全問題上。華盛頓郵報信息安全和隱私部門經理Stacey Halota總結并提出了在策略優化過程中遇到的一些經驗。

1.你要了解你要得到什么。在執行政策的時候，重要的是不要制定泛泛的安全政策。你要特別認真，你要知道你的要求不太過分，因為你不需要大量的沒有真正意義的信息。監視應用程序的ID就是一個例子。有些應用程序在執行各種功能的時候反復調用這個應用程序的ID。最終用戶看不到這個ID，但是，這個ID一直在與數據庫進行互動。因此，如果你查看它更新的東西，那可能有100萬個東西。

要把重點放在異常情況方面。我們關心的是這個應用程序ID是否來自于意想不到的地方。因此，我們知道這個應用程序ID總是來自于應用服務器的某個地址。我們不是在應用程序ID每一次更新某些東西的時候都進行檢查，我們重點檢查來它的更新是否來自自某些地址以外的其它地方。你在兩分鐘之內就可以創建一個這樣的政策。

2.注意漏報。即使你認真設置了政策，這些設備仍可能出現錯誤。例如，賽門鐵克數據庫安全和審計設備向Halota的團隊發出了這個數據庫的某些區域存在風險的警報。這個設備認為我們的數據的一個字段是一個信用卡號碼，實際上卻不是。當我們第一次看到這種警報的時候，我們認為所有這些財務記錄都應該從數據庫中取出來。但是，這些數據實際上不是財務數據。

3.不斷改進設置。Halota認為制定政策是一個反復的過程。總的來說，我們制定安全政策用了一個月的時間。我們當時有一些現成的政策，但是，其它一些政策需要更長的時間。你在先制定一些安全政策，然后下個月再制定一些安全政策，之后在執行的過程中對這些安全政策不斷地進行調整。這是你一直要做的事情。