二、 安全策略

        安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，确保企业的网络系统运行在一种合理的安全状态下，同时，也不妨碍企业员工和用户从事他们正常的工作。安全策略对于企业的网络安全建设，起着举足轻重的作用，所有安全建设的后续工作都是围绕安全策略展开的。安全策略的制定是比较繁琐和复杂的工作，根据企业的具体需求，可能会包含不同的内容。

        安全策略从宏观的角度反映企业整体的安全思想和观念，作为制定具体策略规划的基础，为所有其他安全策略标明应该遵循的指导方针。具体的策略可以通过安全标准、安全方针、安全措施来实现。安全策略是基础，安全标准、安全方针、安全措施是安全框架，在安全框架中使用必要的安全组件、安全机制等提供全面的安全规划和安全架构。

        安全标准是强制性执行的，指出了硬件、软件产品应当如何使用。它提供了一种手段来保证企业中应用程序、特定技术等以规定的方式执行。安全方针指出了当安全标准中未对不可预料的情形定义时的补充规定。安全措施指出了在操作环境中安全策略、安全标准、安全方针的具体一步步实现步骤。安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新。表3表示了它们之间的关系。

    +==============+
    |   安全策略   |   安全策略建立战略计划
    +======+=======+
           |
    +------v-------+
    |强制的安全标准|
    +------+-------+
           |
    +------v-------+
    |建议的安全方针|
    +------+-------+
           |
    +------v-------+
    |具体的安全措施|   安全标准、安全方针、安全措施提供战术支持
    +--------------+
表3 - 安全策略、安全标准、安全方针、安全措施之间的层次

        现在举例说明一下各个方面之间的关系。企业的安全策略描述了敏感信息应当采取适当的方法进行保护。可以看出安全策略是宏观上的说明。安全标准描述了数据库中的客户信息应当采用DES算法进行加密，在数据传输中使用IPSec加密技术。安全方针描述了当数据被偶然解密、损坏时应当如何处理。安全措施详细描述了如何实施DES加密算法、如何实施IPSec技术。

        企业安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与企业的规模有关。不过，有些策略文件是多数企业都应该制定并执行的。

1. 物理安全策略：包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。
2. 网络安全策略：包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。
3. 数据加密策略：包括加密算法、适用范围、密钥交换和管理等。
4. 数据备份策略：包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。
5. 病毒防护策略：包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。
6. 系统安全策略：包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。
7. 身份认证及授权策略：包括认证及授权机制、方式、审计记录等。
8. 灾难恢复策略：包括负责人员、恢复机制、方式、归档管理、硬件、软件等。
9. 事故处理、紧急响应策略：包括响应小组、联系方式、事故处理计划、控制过程等。
10. 安全教育策略：包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。
11. 口令管理策略：包括口令管理方式、口令设置规则、口令适应规则等。
12. 补丁管理策略：包括系统补丁的更新、测试、安装等。
13. 系统变更控制策略：包括设备、软件配置、控制措施、数据变更管理、一致性管理等。
14. 商业伙伴、客户关系策略：包括合同条款安全策略、客户服务安全建议等。
15. 复查审计策略：包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。

        企业制定的安全策略应当遵守相关的法律条令，有时安全策略的内容和员工的个人隐私相关联，在考虑对信息资产保护的同时，也应该对这方面的内容有一个明确的说明。

        三、 安全教育
        安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。

        在安全教育具体实施过程中应该有一定的层次性：

1. 主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
2. 负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。
3. 用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

        当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。

        小结：

        解决信息安全问题不能仅仅只从技术上考虑，但也不是说不考虑技术，技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

        要进行有效的安全管理，必须建立起一套系统全面的信息安全管理体系，这可以参照国际上通行的一些标准来实现，如：BS7799、ISO17799、ISO15408、RFC1296、SSE-CMM、ISO11131、ISO13569等。

关于作者：王红阳: 从事网络（安全）方面的安全评估、安全服务工作或研发工作。在《信息安全与通信保密》杂志（2001年第11期）发表文章《防火墙技术概述》；在 AKA Security Salon 做《防火墙设计与实现》报告。；作为 CISSP_BJ 小组核心成员做《CISSP domain1 - Access Control Systems & Methodology》报告。您可访问 http://Sec.COMisMy.COM 获得以上报告。