本节书摘来自异步社区《网络安全原理与实践》一书中的第1章,第1.6节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.6 网络安全策略的要素
网络安全原理与实践
为了透彻了解什么是网络安全策略,我们可以对网络安全策略最重要的元素进行分析以帮助理解。RFC 2196列出以下内容作为一个安全策略的要素。
1.计算机技术购买准则,指明了需要的或者涉及的安全特性。这些特性应该是对现有的企业IT产品采购计划的补充。
2.保密策略,定义例如监控电子邮件、记录键盘输入和访问用户文件等与保密相关的合理的期望的行为。
3.访问策略,用于定义访问权限,指定最终用户、运营部门的员工和管理者可接受的使用准则,以便保护网络资产不会丢失或者泄密。它应该为外部连接、数据通信、向网络中连接设备和向系统中添加新的软件提供指导准则。它还应该包括所有的提示信息(例如,访问设备的提示信息应提供关于授权使用的警告信息和在线监控信息,而不是只简单地说“欢迎”)。
4.职责策略,用于定义最终用户、运营部门和管理者的职责。它应该规定审计能力并且提供事故处理准则(例如,如果检测到一个可能的入侵的话,应该做什么以及和联系谁)。
5.认证策略,通过一个有效的密码策略建立信任机制,以及为认证远程用户和设备使用提供准则(例如一次性密码和产生一次性密码的设备)。
6.可用性声明,用来定义用户对资源可用性的期望值。它应该包含地址冗余和故障恢复等问题,也指明操作时间和维护停机时间。它还应包括报告系统和网络故障的联系人等信息。
7.信息技术系统和网络维护策略,描述为允许内部和外部维护人员处理和访问网络资源时所使用的技术。这里提出的一个重要议题,是否允许远程维护以及怎样控制这样的访问。需要考虑的另一个领域是外包以及怎样管理它。
8.违规行为报告策略,用以指明哪种类型的违规是必须汇报的(例如,保密和安全,内部的和外部的),以及报告生成后向谁汇报。在不具威胁性并且允许匿名报告的前提下,侦测到某种违规行为并且进行汇报的概率会增加。
9.支持信息,它针对每种违反策略的行为而提供给用户、员工和管理者相关的联系信息;当遇到一个安全事故时如何处理来自外部的咨询,或者哪些信息应被当成保密或是私有的;以及安全程序的交叉引用和所有与其相关的信息,比如公司策略和政府的法律和法规。
