社区
安全技术/病毒
帖子详情
求救!!谁有写过安全策略方案,给个模板呀?
hydhyd
2003-09-12 05:57:55
公司前一阵子对一些单位的信息安全进行过漏洞扫描以及现场访谈有关信息安全的问题,对这些一手的材料,下一步准备编写安全策略,不知从何入手,CSDN的朋友给个安全策略文件结构或类似的文档参照。谢谢!回答均有分。
...全文
107
4
打赏
收藏
求救!!谁有写过安全策略方案,给个模板呀?
公司前一阵子对一些单位的信息安全进行过漏洞扫描以及现场访谈有关信息安全的问题,对这些一手的材料,下一步准备编写安全策略,不知从何入手,CSDN的朋友给个安全策略文件结构或类似的文档参照。谢谢!回答均有分。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
wina
2003-09-13
打赏
举报
回复
http://www.20cn.net/ns/wz/net/data/20030523210658.htm
网络安全策略的构成
虽然网络安全策略是主观的,而且对不同的组织是迥异的,但是还是有其常备成份。
物理安全
因为网络 '机器' 的大小或形状或实体能跨越(由于网络互联和信赖关系)建筑物,校园,国家或世界 ,所以网络安全与物理安全互相影响. 没有物理安全其它问题(如:保密性、可靠性、完整性)会受极大的危险. 物理安全部分陈述应如何保护设备和硬件. 该部分也将确定哪种职员应该被允许到限制区(例如服务器室和布线室.)
网络安全
网络安全部分讲述在网络上被储存的资产将会如何被保护. 这个部分可能包括访问限制,防火墙,网络审核,远程访问,目录服务,英特网服务与文件系统目录结构.
访问限制
访问限制决定谁有权访问什么.需有适当的程序来确保只有授权者才能使用数据或服务. 好的访问限制包括管理远程访问和促成系统管理员高效工作。它需操作简单,不易出错
验证
验证是使用者告诉网络他们是谁的方式.验证类型随验证地点不同而改变。由于伴随着物理安全.从他们的桌面,一个简单使用者的身份证和密码可能已足够;当连接英特网时,一个更安全的双元验证 (以表征为基础的证明) 成为必需的.
密码技术
密码技术能确保数据完整或保护关键数据在非安全区传送. 该保护对于远程访问重要资源或做为使用内网时的一个额外保护是至关重要的。
密码管理
密码是用于对数据进行加密和解密的.密码技术的一个严重争议是密码管理.
适当的措施需被建立以控制以下问题(它们会影响密码技术的效力)
1) 密码长度
2) 密码变化频率
3) 密码附加条件
4) 密码生成(谁,如何)
5) 密码分配
顺应性
顺应性部分解释如何执行网络安全策略.它也可能陈述调查策略破绽的方法以及处罚措施
审计和检查
安全策略一经执行,必需确保所有的成份和职员服从. 没有充分的审计,对于可能的安全破绽,组织缺乏合法的依赖. 审计也可防范于未然。安全策略也应被有规律地检查以确定他们仍然有关.
安全意识
'愚笨的使用者'广泛地被认为是网络安全威胁之最. 如果职员不了解权力和网络的正确使用,他们无心遵守安全策略. 特别地,职员必需适当管理密码而且意识到 '社会工程' 攻击.
事件响应与灾祸应急计划
发现入侵与面临灾祸时,组织是最脆弱的. 在随后的几分钟和小时中发生的事件能决定数十亿元的知识财产能否被恢复。
灾祸应急计划解释一个组织在遭受天然的灾祸或攻击(包括来自黑客或雇员)后如何恢复。例如,它可能包含用来支持服务器的安全措施(详细描述备份频率与其如何非现场存储。)灾祸应急计划也可能列出紧急响应成员。此外,计划
可能包括引导培训的措施以确保所有使用者和紧急响应队知道当灾祸或攻击发生时该做什么
接受使用策略
接受使用策略部分陈述使用者将会如何被允许使用网络资源.例如,它可能描述能被包含电子邮件中的数据类型并解释何时电子邮件中的数据被加密。它也可能就一些问题进行演讲:如使用者能否玩电脑游戏或使用诸如电子邮件与访问英特网等资源
软件安全
软件安全部分解释组织如何在服务器、工作站、网络上使用商业和非商业的软件。它也能识别谁被授权购买并安装与安全检测从网上下载的软件
1.5网络安全策略的制定步骤
目标
首先应有清楚的目标以防策略偏移。目标定义了达成网络安全的途径. 一个典型的目标可能是:数据是一个重要的资产,而且组织将会利用安全措施加以保护。
范围
范围限定将会被网络安全策略保护的资产. 网络安全是一个涉及面很广的部题(从物理安全到人员安全到程序安全).范围可能限定策略只行针对网络安全或包括其他安全。范围也明确了遵守安全策略的人员。(仅包括职员不是扩展到联接到公司网络的承包商,客户和厂商?)
来自高层管理的支持
在定义范围和目标后.在制定安全策略前,应从高层获取支持,否则很难保证遵守安全策略。如果可能,安全委员会也应该包括一些高层管理人员
其他策略叁考
为了获得一种(网络安全策略应看起来像什么)的感觉,应叁考其他策略。
这将有助于重新定义策略的范围和目的。
危险评估
彻底的危险评估需在策略的实际制定之前。危险评估将会决定针对的问题. 危险评估报告将会是网络安全策略中有价值的工具.
制定策略与成份决定
安全策略成份的确定依赖危险评估报告. 不是所有的成份一定被包括在内. 这起决于网络结构,组织的位置和结构. 策略应旨在控制在危险评估报告中所陈述的危险。失控危险应被注明。
评估
在策略制定后,应评估策略是否能达到目标。讨论应包括以下问题:
1、策略符合法律和对第三者的责任?
2、 策略符合职员,组织或第三者的利益?
3、 策略的实际可操作性?
4、 策略针对(保管在你的组织里面的)不同形式的信息和记录?
5、 策略是否被各方面接受与正确陈述?
shanliu
2003-09-13
打赏
举报
回复
http://www.baselinesoft.com
http://www.information-security-policies-and-standards.com
Qlike
2003-09-12
打赏
举报
回复
http://china.sygate.com/solutions/sms_ov.htm
klbt
2003-09-12
打赏
举报
回复
学习。
C++笔试题汇总(6)
1.引言本文的
写
作目的并不在于提供C/C++程序员求职面试指导,而旨在从技术上分 析面试题的内涵。文中的大多数面试题来自各大论坛,部分试题解答也参考了网友的意见。 许多面试题看似简单,却需要深厚的基本功才能给出完美的解答。企业要求面试者
写
一个最 简单的strcpy 函数都可看出面试者在技术上究竟达到了怎样的程度,我们能真正
写
好一个 strcpy 函数吗?我们都觉得自己能,可是我们
写
出的strcpy 很可能只能拿到10 分中的2 分。 读者可从本文看到strcpy 函数从2 分到1
儿童智能手环
方案
/案列/APP/小程序/网站
宝宝会走路后,真是让人欢喜让人忧。喜的是宝宝茁壮成长,终于不用抱在手里啦;愁的是,哎,熊孩子会到处跑了,一转眼的工夫就不知去哪儿了。为了防止儿童走丢,很多家长给孩子买了儿童安全儿童智能手环。儿童智能手环可以戴在儿童手上,其拥有GPS定位,安全区域预警,远程监护等多种功能。最近流行的儿童智能手环已经成为家长及儿童的新宠,而且越来越受大家的关注。儿童智能手环是一种集定位与通话功能于一身的儿童智能手环,...
C语言面试题汇编
1.局部变量能否和全局变量重名? 答:能,局部会屏蔽全局。要用全局变量,需要使用"::" ;局部变量可以与全局变量同名,在函数内引用这个变量时,会用到同名的局部变量,而不会用到全局变量。对于有些编译器而言,在同一个函数内可以定义多个同名的局部变量,比如在两个循环体内都定义一个同名的局部变量,而那个局部变量的作用域就在那个循环体内。 2.如何引用一个已经定义过的全局变量?
discuz_result
命名 discuz_result 3856604,答题注册插件用不了,3140844 3852724,最新版墨镜风格
模板
发布了,有需要的朋友可以进来看看,2759280 3856589,官方手机
模板
在哪安装,3140684 3856347,手机触摸屏被劫持跳转其它网站,3112842 3856562,终于知道DZ官网为什么没落了,3112900 3856535,主题自带的二级导航怎么修改啊,2578089 3856505,以前有农场这些插件能安装,现在没了吗?,1515035 3856513,请问这个网站
5.20爬虫结——Mu
3852724,最新版墨镜风格
模板
发布了,有需要的朋友可以进来看看,2759280 3856589,官方手机
模板
在哪安装,3140684 3856347,手机触摸屏被劫持跳转其它网站,3112842 3856562,终于知道DZ官网为什么没落了,3112900 3856535,主题自带的二级导航怎么修改啊,2578089 3856505,以前有农场这些插件能安装,现在没了吗?,1515035 3856513,请问这个网站用的是什么应用程序,3140310 3856515,萌新想问一下,能否可以实现现在主流素
安全技术/病毒
9,505
社区成员
28,983
社区内容
发帖
与我相关
我的任务
安全技术/病毒
Windows专区 安全技术/病毒
复制链接
扫一扫
分享
社区描述
Windows专区 安全技术/病毒
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章