企业网络的安全问题,自始至终都是一个比较棘手的事情,它既有硬件的问题,也有软件的问题,但最终还是人的问题。在对企业网络的安全策略的规划、设计、实施与维护过程中,你必须对保护数据信息所需的安全级别有一个较透彻的理解。所以你应该对信息的敏感性加以研究与评估,从而制定出一个能够提供所需保护级别的安全策略。
同时,当一个企业中的每一个商业单元都需要来自某单一点的有效管理时,要求你在统一的安全策略中找到各单元之间的相关性。这样在制定安全策略时,可以在用户之间自动地进行复制,大大减少所需时间,还可以保证系统的统一安全。当系统实施策略发生改变时,全面的策略特性可以除去手工改变每个策略的麻烦。
从整体情况来看,一个标准企业的安全策略应该能够随着客户基础的增长,管理系统可以进行相应地进行有效升级。这其中包括有各种各样的策略描述。
一、什么是安全策略?
安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做。
安全策略应该简明,在生产效率和安全之间应该有一个好的平衡点,易于实现、易于理解。安全策略必须遵循三个基本概念:确定性、完整性和有效性。
另外,安全策略还可能包含一些表面上和上述三个安全概念风牛马不相及的地方。因为组织的整体安全是十分重要的,不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、Internet等的可接受的使用策略。
二、安全策略的设计与开发
安全策略的设计与开发是提高企业网络安全状态的第一步。一旦一个全面的安全策略定义好之后,你就可以通过一套机制去认真加以执行。
通过下面四个不同的步骤你可以完成一个企业范围内的安全策略,它们分别是:基本系统结构信息的收集、现有策略/流程的检查、对保护要求进行评估、文档设计。
1、基本系统结构信息的收集
基本系统结构的收集是指系统物理与逻辑结构检查的过程。
在检查过程中,你应该主要搜集系统硬件平台、操作系统、数据库管理系统、应用程序、网络类型/结构、连通性等数据信息。通过这些参数你可以对系统结构有一个较完全的了解,可以得到一份完全的功能级的系统图表和对所有主要硬件、软件资源功能的详尽描述。这些信息对开发安全策略是十分重要的。
2、现有策略/流程的检查
检查的主要目标对象为任何现存的与安全有关的策略、过程和对理解当前需求有帮助的指导纲要。可以这样说,现存的文档可以作为你的企业范围内安全策略的起点。
3、保护需求评估
为了实现保护需求的评估,你可以使用自动的风险评估工具来收集有关物理的、行政管理的和技术安全方面的信息。这些信息可以用来划分数据类型、存储位置,并且可以满足需求。在大多数情况下,用户并不知道什么数据需要被保护,也不想知道它们为什么需要被保护。这个过程需要进行广泛的调查和分析,从而决定数据如何存储,哪些数据允许哪些人访问。
4、文档设计
文档的设计必须要考虑你所已经搜集和分析的数据,在设计文档时也要听取用户的意见。设计过程就象一个迭代过程,你通常要生成一个草稿让用户来检查。第一次的草稿难免有些局限性,在和用户的交流中你可以对草稿做进一步的完善。虽然只是一个文档,但是它里面可能蕴涵了重要的安全机制,可以对你整个企业的安全起到防范作用。
一个好的安全策略文档在设计时应该把设计目的、相关文档的引用、企业背景、问题覆盖的范围及其应用的对象、职责划分、实施时间表、策略陈述等方面包含进去。
