网络安全管理的策略应用
2008-04-09 04:11:40来源:互联网 阅读 ()
信息系统安全,计算机和网络安全,还有Internet安全,它们组成一个错综复杂的世界。并且这些复杂性会随着系统设备、数据通信、 攻击活动的增加而越来越难以控制。因此人们不得不花费很多精力来研究安全对策。
安全策略不是一成不变的,随着现实生活中Internet传输速率的加快,公司之间合作模式的出现,维护网络安全的方法也在不断的更新。
当然,网络安全维护不仅仅是购买一些安全设备这么简单,你还需要知道如何进行保护、保护的对象是什么及设备放置的最佳位置等诸多问题。
在一般情况下,我们可以把安全管理划分为三个阶段:计划阶段、策略设计阶段和设计实施过程。
一、 当前网络系统存在的问题
1、当计算机和网络空间足够大时,很多人希望网络能够支持所有的IP服务。其实人们常用的服务,只是一些基本的终端服务,例如:文件复制、电子邮件和共享资源等。所以你不要把你的系统设备和支持的网络服务做的大而全,越少的服务意味着越少的攻击机会。
2、越来越多的网络系统集成了各种各样的好看但安全性并不好的服务,例如,企业网络上传输声音文件,文件共享等。
3、现在许多企业在推行电子商务,这些企业往往是通过Internet与合作伙伴和顾客交流沟通,通过Internet发展潜在客户。根据调查Internet上连接了7200多万个主机,我们知道还有许多的计算机通过各种方式与Internet连接。可以这样估计,大概有十亿的人们是你的网络邻居。
在这样的大环境下,潜伏着不计其数的攻击隐患,黑客们不需要特别的技能和耐心就可发起危害极大的攻击活动。
二、网络安全的基本原则
为了迎接计算机和网络安全的挑战,一些基本规则的采用是很有必要的。
1、安全性和复杂性成反比
在安全策略的实施过程中,你采取的实施方法应该尽可能的简单。因为实施过程越复杂,被误解和误操作的几率就越大;
2、安全性和可用性成反比
在目前可用的系统中永远不存在“绝对的安全”,因此在实施安全策略时应掌握尺度,不要以牺牲系统资源为代价,一味地追求所谓的绝对安全。
3、安全问题的解决是个动态过程
安全问题的解决没有最佳方案,即使存在这种“最佳方案”,它也不能保证你的系统固若金汤,能够瓦解各类各样的安全攻击。因为你的系统在不断升级变化,新技术层出不穷,同时黑客的攻击方法也在不断变更。
4、对安全要有一个正确的认识
搞清楚你的企业在还存在哪些安全上的不足,哪些地方仍然留有漏洞、哪些文档和处理程序不合适,哪些处理机制需要更新是很关键的。不对组织的整体安全情况进行改善或分析的做法是错误的。这样就有可能导致错误的出现,灾难事故的增加,给你的企业业务开展带来无尽的麻烦。
5.进行详尽的检查和评估
例如,如果你利用VPNs(虚拟专用网)把家和远程办公室与公司总部理想连接,那么就很有必要对你的移动办公环境中驻留在你的笔记本电脑上的数据进行保护,所有的数据通信都要通过防火墙进行隔离和过滤。
6. 网络威胁要详加分析
假想的威胁、真实的威胁和可能的威胁,还有已知与未知的威胁。我们不但要对已知威胁详加分析,还要对某些潜在的、未知的威胁加以检测、判断与认识。
7.安全是投资,不是消费
安全投资需要得到企业或组织领导的大力支持。对计算机和网络进行安全投资,迎接不断增长的商务需求与风险的挑战,是在不对企业发生损害的情况下满足商务需求的重要措施。安全性能较高的服务器可以使公司实现该领域的其他销售人员和商业伙伴实现信息的共享,而不正确的系统配置却会导致数据的丢失和系统损害情况的发生。
安全有时就象汽车的安全气囊那样,尽管在大部分时间里它并不发挥什么作用,但它的存在依然很有必要。安全管理比安全更重要。
三、建立安全小组
安全策略的创建往往需要一个团队的协同工作,以保证所制定的策略是全面的、切合实际的、能够有效实施的、性能优良的。
把来自公司不同部门的人组成一个小组或团队的另一个理由是当团队中的某些成员意见分歧时,能够进行充分的讨论,以得到一个较好的解决问题的办法。这样的效果远远好于从营销、销售或开发方面得到的信息更完善。
安全计划小组应该包含那些来自企业不同部门不同专业的人们,IT 小组成员,系统和计算机管理员,都应出现在团队当中。从不同部门来的有责任心有代表性的人之间应该保持联系方面和协商渠道的通畅。
商业需求决定一切。安全小组和其成员的观点,决定了计算机和网络服务的商业需求。安全小组建立起来之后,第一步就是要对商业需求进行分析。哪些服务是企业需要的,这些需求在多大程度上能满足安全上的需要?多少员工依赖于Internet访问,e-mail的使用和intranet的有效性如何?他们是否依赖于远程和内部网的访问?有和WEB进行连接的需求吗?客户是否要通过Internet 来进行商业支持数据的访问?
四、威胁、易损性与风险分析
安全策略计划阶段包括易损性分析、风险分析和威胁评估。尽管这些词汇和其定义有些不同,但最终的结果是一样的。本阶段包括资产的鉴定与评估,威胁的假定与分析,易损性评估,现有措施的评价,分析的费用及收益,信息的如何使用与管理,安全措施间的相关性如何等等。资产(包括信息)和威胁一样可以都可以按照商业需求进行分类。
下面的一堆问题你需要认真考虑一下:
需要对哪些方面进行保护?企业形象?未来产品计划?招聘的员工人信息?客户信息?计算机资源?所有可能的方面都是需要保护的。
哪些攻击是可能的?哪些是潜在的?
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:论附加码的安全
下一篇:防止入侵--安全设置企业拨号网络
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
