开发者社区> 异步社区> 正文

《网络安全原理与实践》一1.5 构建网络安全策略

简介:
+关注继续查看

本节书摘来自异步社区《网络安全原理与实践》一书中的第1章,第1.5节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.5 构建网络安全策略

网络安全原理与实践
网络安全策略定义了一个框架,它基于风险评估分析以保护连接在网络上的资产。网络安全策略对访问连接在网络上的不同资产定义了访问限制和访问规则。它还是用户和管理员在建立、使用和审计网络时的信息来源。

网络安全策略在范围上应该是全面和广泛的。这也就意味着当我们要基于这个策略做安全方案的时候,它应该提供一些摘要性的原则,而不是这个策略的实现的具体细节等内容。这些细节可能一晚上就变了,但是这些细节所反映的一般性原则是保持不变的。

S.Garfinkel和G.Spafford在Practical Unix and Internet Secwrity一书中,定义了一个策略应该完成的3个任务:

阐明保护什么和为什么保护它;
规定谁负责提供这种保护;
为解释和解决任何以后可能出现的冲突打下基础。
第一点是前面讨论的关于资产确定和风险评估的一个分支。风险评估在本质上就是一个阐明为什么网络上的资产需要得到保护的客观的方法。第二点阐述了由谁来确保网络上的安全需求都得到了满足,可以是下面的一个或多个:

网络的用户;
网络管理员和主管;
审计网络使用的审计员;
拥有网络和相关资源全部所有权的管理人员。
重要的是第三点,因为对于策略中不包括的问题,它把职责指定到某些特定个人,而不是让他们任意解释。

为了使安全策略落到实处,它必须是通过现有的技术可以实现的策略。如果构建了一个非常全面的策略但在技术上却无法实现,那也毫无用处。

就用户对网络资源使用的易用性而言,有两种类型的安全策略。

许可性的(Permissive)——任何没有明确禁止的都是允许的。
限制性的(Restrictive)——任何没有明确允许的都是禁止的。
从安全的角度来说一个比较好的办法是,首先部署一个限制性的策略然后基于日后的实际使用再对合法的用户进行允许操作。无论计划的多么周密,许可性的策略总还是会有漏洞存在的。

安全策略需要平衡易用性、网络性能以及在规则中定义的安全问题。这一点是重要的,因为与那些不太严格但不会耗费太多网络性能的安全策略相比,限制性过高的安全策略会导致成本增加1。当然,风险分析所确定的最小安全需求在部署安全策略时必须得到满足。

1译者注:这里的成本指代的通常是网络设备的资源,例如CPU利用率等。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
iOS-底层原理 15:dyld发展史
iOS-底层原理 15:dyld发展史
6 0
SwiftUI—如何使视图充满整个屏幕
SwiftUI—如何使视图充满整个屏幕
6 0
Travis CI 自动化构建 Hexo 博客
前提条件: • 必须使用一个public的项目, 然后登陆https://travis-ci.org/ 进行关联. • 已存在一个hexo的可以跑起来的项目 在你的hexo源码项目, 取出master分支中 添加配置文件.travis.yml,并推送到acc8226.github.io项目中.
7 0
+关注
异步社区
异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
12049
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载