9,505
社区成员
发帖
与我相关
我的任务
分享求救!!谁有写过安全策略方案,给个模板呀?
公司前一阵子对一些单位的信息安全进行过漏洞扫描以及现场访谈有关信息安全的问题,对这些一手的材料,下一步准备编写安全策略,不知从何入手,CSDN的朋友给个安全策略文件结构或类似的文档参照。谢谢!回答均有分。
...全文
请发表友善的回复…
发表回复
wina 2003-09-13
- 打赏
- 举报
http://www.20cn.net/ns/wz/net/data/20030523210658.htm
网络安全策略的构成
虽然网络安全策略是主观的,而且对不同的组织是迥异的,但是还是有其常备成份。
物理安全
因为网络 '机器' 的大小或形状或实体能跨越(由于网络互联和信赖关系)建筑物,校园,国家或世界 ,所以网络安全与物理安全互相影响. 没有物理安全其它问题(如:保密性、可靠性、完整性)会受极大的危险. 物理安全部分陈述应如何保护设备和硬件. 该部分也将确定哪种职员应该被允许到限制区(例如服务器室和布线室.)
网络安全
网络安全部分讲述在网络上被储存的资产将会如何被保护. 这个部分可能包括访问限制,防火墙,网络审核,远程访问,目录服务,英特网服务与文件系统目录结构.
访问限制
访问限制决定谁有权访问什么.需有适当的程序来确保只有授权者才能使用数据或服务. 好的访问限制包括管理远程访问和促成系统管理员高效工作。它需操作简单,不易出错
验证
验证是使用者告诉网络他们是谁的方式.验证类型随验证地点不同而改变。由于伴随着物理安全.从他们的桌面,一个简单使用者的身份证和密码可能已足够;当连接英特网时,一个更安全的双元验证 (以表征为基础的证明) 成为必需的.
密码技术
密码技术能确保数据完整或保护关键数据在非安全区传送. 该保护对于远程访问重要资源或做为使用内网时的一个额外保护是至关重要的。
密码管理
密码是用于对数据进行加密和解密的.密码技术的一个严重争议是密码管理.
适当的措施需被建立以控制以下问题(它们会影响密码技术的效力)
1) 密码长度
2) 密码变化频率
3) 密码附加条件
4) 密码生成(谁,如何)
5) 密码分配
顺应性
顺应性部分解释如何执行网络安全策略.它也可能陈述调查策略破绽的方法以及处罚措施
审计和检查
安全策略一经执行,必需确保所有的成份和职员服从. 没有充分的审计,对于可能的安全破绽,组织缺乏合法的依赖. 审计也可防范于未然。安全策略也应被有规律地检查以确定他们仍然有关.
安全意识
'愚笨的使用者'广泛地被认为是网络安全威胁之最. 如果职员不了解权力和网络的正确使用,他们无心遵守安全策略. 特别地,职员必需适当管理密码而且意识到 '社会工程' 攻击.
事件响应与灾祸应急计划
发现入侵与面临灾祸时,组织是最脆弱的. 在随后的几分钟和小时中发生的事件能决定数十亿元的知识财产能否被恢复。
灾祸应急计划解释一个组织在遭受天然的灾祸或攻击(包括来自黑客或雇员)后如何恢复。例如,它可能包含用来支持服务器的安全措施(详细描述备份频率与其如何非现场存储。)灾祸应急计划也可能列出紧急响应成员。此外,计划
可能包括引导培训的措施以确保所有使用者和紧急响应队知道当灾祸或攻击发生时该做什么
接受使用策略
接受使用策略部分陈述使用者将会如何被允许使用网络资源.例如,它可能描述能被包含电子邮件中的数据类型并解释何时电子邮件中的数据被加密。它也可能就一些问题进行演讲:如使用者能否玩电脑游戏或使用诸如电子邮件与访问英特网等资源
软件安全
软件安全部分解释组织如何在服务器、工作站、网络上使用商业和非商业的软件。它也能识别谁被授权购买并安装与安全检测从网上下载的软件
1.5网络安全策略的制定步骤
目标
首先应有清楚的目标以防策略偏移。目标定义了达成网络安全的途径. 一个典型的目标可能是:数据是一个重要的资产,而且组织将会利用安全措施加以保护。
范围
范围限定将会被网络安全策略保护的资产. 网络安全是一个涉及面很广的部题(从物理安全到人员安全到程序安全).范围可能限定策略只行针对网络安全或包括其他安全。范围也明确了遵守安全策略的人员。(仅包括职员不是扩展到联接到公司网络的承包商,客户和厂商?)
来自高层管理的支持
在定义范围和目标后.在制定安全策略前,应从高层获取支持,否则很难保证遵守安全策略。如果可能,安全委员会也应该包括一些高层管理人员
其他策略叁考
为了获得一种(网络安全策略应看起来像什么)的感觉,应叁考其他策略。
这将有助于重新定义策略的范围和目的。
危险评估
彻底的危险评估需在策略的实际制定之前。危险评估将会决定针对的问题. 危险评估报告将会是网络安全策略中有价值的工具.
制定策略与成份决定
安全策略成份的确定依赖危险评估报告. 不是所有的成份一定被包括在内. 这起决于网络结构,组织的位置和结构. 策略应旨在控制在危险评估报告中所陈述的危险。失控危险应被注明。
评估
在策略制定后,应评估策略是否能达到目标。讨论应包括以下问题:
1、策略符合法律和对第三者的责任?
2、 策略符合职员,组织或第三者的利益?
3、 策略的实际可操作性?
4、 策略针对(保管在你的组织里面的)不同形式的信息和记录?
5、 策略是否被各方面接受与正确陈述?
网络安全策略的构成
虽然网络安全策略是主观的,而且对不同的组织是迥异的,但是还是有其常备成份。
物理安全
因为网络 '机器' 的大小或形状或实体能跨越(由于网络互联和信赖关系)建筑物,校园,国家或世界 ,所以网络安全与物理安全互相影响. 没有物理安全其它问题(如:保密性、可靠性、完整性)会受极大的危险. 物理安全部分陈述应如何保护设备和硬件. 该部分也将确定哪种职员应该被允许到限制区(例如服务器室和布线室.)
网络安全
网络安全部分讲述在网络上被储存的资产将会如何被保护. 这个部分可能包括访问限制,防火墙,网络审核,远程访问,目录服务,英特网服务与文件系统目录结构.
访问限制
访问限制决定谁有权访问什么.需有适当的程序来确保只有授权者才能使用数据或服务. 好的访问限制包括管理远程访问和促成系统管理员高效工作。它需操作简单,不易出错
验证
验证是使用者告诉网络他们是谁的方式.验证类型随验证地点不同而改变。由于伴随着物理安全.从他们的桌面,一个简单使用者的身份证和密码可能已足够;当连接英特网时,一个更安全的双元验证 (以表征为基础的证明) 成为必需的.
密码技术
密码技术能确保数据完整或保护关键数据在非安全区传送. 该保护对于远程访问重要资源或做为使用内网时的一个额外保护是至关重要的。
密码管理
密码是用于对数据进行加密和解密的.密码技术的一个严重争议是密码管理.
适当的措施需被建立以控制以下问题(它们会影响密码技术的效力)
1) 密码长度
2) 密码变化频率
3) 密码附加条件
4) 密码生成(谁,如何)
5) 密码分配
顺应性
顺应性部分解释如何执行网络安全策略.它也可能陈述调查策略破绽的方法以及处罚措施
审计和检查
安全策略一经执行,必需确保所有的成份和职员服从. 没有充分的审计,对于可能的安全破绽,组织缺乏合法的依赖. 审计也可防范于未然。安全策略也应被有规律地检查以确定他们仍然有关.
安全意识
'愚笨的使用者'广泛地被认为是网络安全威胁之最. 如果职员不了解权力和网络的正确使用,他们无心遵守安全策略. 特别地,职员必需适当管理密码而且意识到 '社会工程' 攻击.
事件响应与灾祸应急计划
发现入侵与面临灾祸时,组织是最脆弱的. 在随后的几分钟和小时中发生的事件能决定数十亿元的知识财产能否被恢复。
灾祸应急计划解释一个组织在遭受天然的灾祸或攻击(包括来自黑客或雇员)后如何恢复。例如,它可能包含用来支持服务器的安全措施(详细描述备份频率与其如何非现场存储。)灾祸应急计划也可能列出紧急响应成员。此外,计划
可能包括引导培训的措施以确保所有使用者和紧急响应队知道当灾祸或攻击发生时该做什么
接受使用策略
接受使用策略部分陈述使用者将会如何被允许使用网络资源.例如,它可能描述能被包含电子邮件中的数据类型并解释何时电子邮件中的数据被加密。它也可能就一些问题进行演讲:如使用者能否玩电脑游戏或使用诸如电子邮件与访问英特网等资源
软件安全
软件安全部分解释组织如何在服务器、工作站、网络上使用商业和非商业的软件。它也能识别谁被授权购买并安装与安全检测从网上下载的软件
1.5网络安全策略的制定步骤
目标
首先应有清楚的目标以防策略偏移。目标定义了达成网络安全的途径. 一个典型的目标可能是:数据是一个重要的资产,而且组织将会利用安全措施加以保护。
范围
范围限定将会被网络安全策略保护的资产. 网络安全是一个涉及面很广的部题(从物理安全到人员安全到程序安全).范围可能限定策略只行针对网络安全或包括其他安全。范围也明确了遵守安全策略的人员。(仅包括职员不是扩展到联接到公司网络的承包商,客户和厂商?)
来自高层管理的支持
在定义范围和目标后.在制定安全策略前,应从高层获取支持,否则很难保证遵守安全策略。如果可能,安全委员会也应该包括一些高层管理人员
其他策略叁考
为了获得一种(网络安全策略应看起来像什么)的感觉,应叁考其他策略。
这将有助于重新定义策略的范围和目的。
危险评估
彻底的危险评估需在策略的实际制定之前。危险评估将会决定针对的问题. 危险评估报告将会是网络安全策略中有价值的工具.
制定策略与成份决定
安全策略成份的确定依赖危险评估报告. 不是所有的成份一定被包括在内. 这起决于网络结构,组织的位置和结构. 策略应旨在控制在危险评估报告中所陈述的危险。失控危险应被注明。
评估
在策略制定后,应评估策略是否能达到目标。讨论应包括以下问题:
1、策略符合法律和对第三者的责任?
2、 策略符合职员,组织或第三者的利益?
3、 策略的实际可操作性?
4、 策略针对(保管在你的组织里面的)不同形式的信息和记录?
5、 策略是否被各方面接受与正确陈述?
shanliu 2003-09-13
- 打赏
- 举报
http://www.baselinesoft.com
http://www.information-security-policies-and-standards.com
http://www.information-security-policies-and-standards.com
Qlike 2003-09-12
- 打赏
- 举报
http://china.sygate.com/solutions/sms_ov.htm
klbt 2003-09-12
- 打赏
- 举报
学习。
