安全管理

今天是：

设为首页

	返首页 \| 电脑技巧 \| 推荐软件 \| 下载软件 \| 音乐欣赏 \| 最新电影 \| 汽车频道 \| 最炫手机 \| 明星美女 \| 热门游戏 \|
	如何做 \| 养生知识 \| 文学小说 \| 自动控制 \| 共享软件 \| 基金股票 \| 国外名站 \| 幽默笑话 \| 两性秘密 \| 旅游休闲 \|
	聊天QQ \| 彩票博彩 \| 星相命理 \| 硬件资讯 \| 电视电台 \| 黑客安全 \| 房产家居 \| 法律律师 \| 饮食医疗 \| 行业网址 \|
	学英语 \| 媒体报刊 \| 歌手歌友 \| 软件编程 \| 网页制作 \| 病毒防治 \| 宠物世界 \| 天文地理 \| 教育教学 \| 政府部门 \|

　　返回---->>>

载入中...

安全管理实践

载入中...

通过以上数据，企业可以根据每个风险的严重程度、发生的可能性、实际发生时造成的损失作出明智的决定。
理论上讲，通过定量分析可以对安全风险进行准确的分级，但实际上，定量分析所依靠的数据往往都是不可靠的，这就给分析带来了很大的困难。
2) 定性分析：
定性分析是被广泛采用的方法。通过列出各种威胁的清单，并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验。可能由于直觉、经验的偏差而造成分析结果不准确。
风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。
2.4 保护机制
现在，我们知道了我们处于风险之中，也知道了风险发生的可能性，下一步的工作就是识别当前的安全机制并评估它们的有效性。由于企业面临的威胁不仅仅是病毒和攻击，对于每一种威胁类型要分别对待。在采取防护措施的时候要如下一些方面：
1.产品费用
2.设计/计划费用
3.实施费用
4.环境的改变
5.与其他防护措施的兼容性
6.维护需求
7.测试需求
8.修复、替换、更新费用
9.操作/支持费用

举例说明。企业为了保护信息资源和网络流量决定采用入侵检测系统，此时软件费用并不是总共的费用。软件应该首先在测试机上使用来发现是不是工作正常，然后在生产机上部署。路由器需要重新配置。防止非授权用户接触控制台。配置数据库用来存放攻击特征等等。这些费用的和才是总共的费用。软件费用只是其中的一小部分。
在进行风险评估时，企业需要决定要保护的资产及要保护的程度。风险评估中主要的三个步骤是：
1.资产和信息价值的评估
2.风险分析评估，根据需求采取定量分析或定性分析或两者的组合
3.选择及部署防护措施

二、安全策略
安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，确保企业的网络系统运行在一种合理的安全状态下，同时，也不妨碍企业员工和用户从事他们正常的工作。安全策略对于企业的网络安全建设，起着举足轻重的作用，所有安全建设的后续工作都是围绕安全策略展开的。安全策略的制定是比较繁琐和复杂的工作，根据企业的具体需求，可能会包含不同的内容。
安全策略从宏观的角度反映企业整体的安全思想和观念，作为制定具体策略规划的基础，为所有其他安全策略标明应该遵循的指导方针。具体的策略可以通过安全标准、安全方针、安全措施来实现。安全策略是基础，安全标准、安全方针、安全措施是安全框架，在安全框架中使用必要的安全组件、安全机制等提供全面的安全规划和安全架构。
安全标准是强制性执行的，指出了硬件、软件产品应当如何使用。它提供了一种手段来保证企业中应用程序、特定技术等以规定的方式执行。安全方针指出了当安全标准中未对不可预料的情形定义时的补充规定。安全措施指出了在操作环境中安全策略、安全标准、安全方针的具体一步步实现步骤。安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新。表3表示了它们之间的关系。
+==============+
| 安全策略 | 安全策略建立战略计划
+======+=======+
|
+------v-------+
|强制的安全标准|
+------+-------+
|
+------v-------+
|建议的安全方针|
+------+-------+
|
+------v-------+
|具体的安全措施| 安全标准、安全方针、安全措施提供战术支持
+--------------+

表3 - 安全策略、安全标准、安全方针、安全措施之间的层次

现在举例说明一下各个方面之间的关系。企业的安全策略描述了敏感信息应当采取适当的方法进行保护。可以看出安全策略是宏观上的说明。安全标准描述了数据库中的客户信息应当采用DES算法进行加密，在数据传输中使用IPSec加密技术。安全方针描述了当数据被偶然解密、损坏时应当如何处理。安全措施详细描述了如何实施DES加密算法、如何实施IPSec技术。
企业安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与企业的规模有关。不过，有些策略文件是多数企业都应该制定并执行的。
1.物理安全策略
包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。
2.网络安全策略
包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。
3.数据加密策略
包括加密算法、适用范围、密钥交换和管理等。
4.数据备份策略
包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。
5.病毒防护策略
包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。
6.系统安全策略
包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。
7.身份认证及授权策略
包括认证及授权机制、方式、审计记录等。
8.灾难恢复策略
包括负责人员、恢复机制、方式、归档管理、硬件、软件等。
9.事故处理、紧急响应策略
包括响应小组、联系方式、事故处理计划、控制过程等。
10.安全教育策略
包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。
11.口令管理策略
包括口令管理方式、口令设置规则、口令适应规则等。
12.补丁管理策略
包括系统补丁的更新、测试、安装等。
13.系统变更控制策略
包括设备、软件配置、控制措施、数据变更管理、一致性管理等。
14.商业伙伴、客户关系策略
包括合同条款安全策略、客户服务安全建议等。
15.复查审计策略
包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。

企业制定的安全策略应当遵守相关的法律条令，有时安全策略的内容和员工的个人隐私相关联，在考虑对信息资产保护的同时，也应该对这方面的内容有一个明确的说明。
三、安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。
在安全教育具体实施过程中应该有一定的层次性：
1.主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
2.负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。
3.用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。
小结：
解决信息安全问题不能仅仅只从技术上考虑，但也不是说不考虑技术，技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。
要进行有效的安全管理，必须建立起一套系统全面的信息安全管理体系，这可以参照国际上通行的一些标准来实现，如：BS7799、ISO17799、ISO15408、RFC1296、SSE-CMM、ISO11131、ISO13569等。