评估网络安全策略.docx

评估网络安全策略摘要 本文介绍了识别网络安全策略的目的、组件,着重从安全保护、监测、测试、改进四方面来阐述评估企业网络安全策略的过程,考虑保护网络安全的经济性,并指出:必须在所要求的网络安全级别和为用户获得最佳网络安全性的使用方便性之间谋求平衡。关键词 网络安全策略;拒绝服务攻击;安全入侵;策略组件中图分类号 TP393 文献标识码 A 文章编号1674-6708(2010)23-0221-02 网络正在迅速改变人们的工作、生活、学习及娱乐的质量。越来越多的人认识到网络对企业在 21 世纪生存和竞争中所扮演的重要角色。客户希望用安全的方法进行通信和做电子商务。但不幸的是,因为网络是基于开放式标准和为通信方便考虑的,在最初的设计中就缺少安全组件,如对  控制、信息的保密性及人为的拒绝服务攻击 DoS 等的防范。目前,企业面临着令人畏惧的安全问题:如何实施及经常更新具体防护措施,减少黑客攻击所造成的业务漏洞。网络在今天的商务环境中广泛应用,但会带来相应的安全风险和问题。网络的安全问题,自始至终都是一个比较棘手的事情,它既有硬件的问题,也有软件的问题,但最终还是人的问题。在对网络的安全策略的规划、设计、实施与维护过程中,必须对保护数据信息所需的安全级别有一个较透彻的理解。所以应该对信息的敏感性加以研究与评估,从而制定出一个能够提供所需保护级别的安全策略。为了防范可能的网络安全入侵和减少由此造成的损失而实施安全措施,必须在易用性和资源方面权衡安全实施成本,包括人力和资金。并应该确保在网络安全上的投资能够获得较好的回报。网络安全威胁至少有 3 个主要因素: 技术弱点:任何一种网络及计算机技术都有其固有的安全问题; 配置弱点:即使是最安全的技术也可能被管理员错误配置或使用不得当,暴露出安全隐患; 策略弱点:不当的实施或管理策略也会导致最好的安全和网络漏洞百出。因为保护企业网络安全的任务是复杂而反复的,若想保护企业网络免受最新安全威胁,“安全保护→监测→测试→改进”过程就绝不能停止,该过程被称为安全状况评估(SPAsecurity posture assessment)。那么,什么是安全策略呢? 安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做。安全策略应该简明,在生产效率和安全之间应该有一个好的平衡点,易于实现、易于理解。安全策略必须遵循 3 个基本概念:确定性、完整性和有效性。每个企业都应该结合自己的具体应用和网络环境定制一个网络安全策略,应包括如下关键性策略组件: 1)权威性和范围:规定谁负责安全策略,以及安全策略覆盖什么区域; 2) 访问策略: 访问能力的合乎道德的和正当的使用; 3)允许使用策略:规定企业对于其信息基础设施将允许什么和不允许什么; 4)身份认证策略:规定企业将使用什么技术、设备或技术与设备的组合来确保只有被授权的个人才能访问企业数据; 5)事件处理流程:规定企业应如何组建一支安全事件响应队伍,以及制定事件发生时和发生后将使用的流程; 6)园区访问策略:规定园区内的用户应该如何使用企业的数据基础结构; 7)远程访问策略:规定远程用户应该如何访问企业的数据基础结构。网络安全策略也指用于监视网络安全状况的技术和流程。监视技术对于检测正在发生的安全威胁,并及时做出反应是必