创建实施公司网络安全策略

申请免费试用、咨询电话：400-8352-114

控制网络安全的最重要部分是要精确实施公司的网络安全策略。我们必须能对该策略进行分析，并想出具体办法在实际的网络中应用它。但什么是网络安全策略呢？我们为什么要创建它？网络安全策略应该包含哪些内容？
 
一、创建网络安全策略的原因 

安全策略能提供很多好处，确实值得花费时间努力来开发它们。网络安全策略是网络安全的蓝图或体系结构规范，所以它必须是精确的和完善的。下面是开发网络安全策略的一些原因。
 
·提供一种程序来审计现有的网络安全；
·为实施网络安全提供一个全面的安全架构；
·定义哪些行为被允许，哪些行为不被允许；
·经常能帮助该机构确定需要哪些工具和步骤；
·帮助表达关键决策人员之间的一致意见，并定义用户和管理员的责任；
·为处理网络安全事件定义一个流程；
·实现全局性的安全实施并执行，计算机安全现在已经是一个涉及整个企业范围的问题，各计算站点都应该遵守网络安全策略；
·如果需要的话，为采取法律行为奠定一个基础

二、网络安全策略应包含哪些内容

每个企业都应该结合自己的具体应用和网络环境制定一个网络安全策略。下面是一些建议的关键性策略组件。

·权威性和规范
 这一部分规定谁负责安全策略，以及安全策略覆盖什么区域；
·允许的使用策略
 这一部分规定公司对于其信息基础设施将允许什么和不允许什么；
·身份认证策略
 这一部分规定公司将使用什么技术，设备或技术与设备的组合来确保只有被授权的个人才能访问公司数据；
·Internet访问策略
 这一部分规定公司认为哪些行为是对公司的Internet访问能力的合乎道德的和正当的使用；
·园区网访问策略
 这一部分规定园区网内的用户应该如何使用公司的数据基础结构；
·远程访问策略
 这一部分规定远程用户应该如何访问公司的数据基础结构；
·事件处理流程
 这一部分规定公司应该如何组建一支安全事件响应队伍，以及制定事件发生时和发生后将使用的流程。
 
三、安全策略的三个不同级别：
 
1、开放的安全策略
 公司在安全实施问题上倾向于网络和系统的开放性。他们希望在连通性，性能和易用性方面为用户提供更大的灵活性和自由度。
 
开放安全策略的认证和访问控制

认证
·PAP（用于远程客户和分支机构办事处）
·口令（园区网和拨号用户）

访问控制
·广域网路由器和网关路由器中的访问控制列表
·没有独立的防火墙
·不加密
 
2、有限的安全策略
 公司采用了一种在网络连通性，性能和易用性方面的用户灵活性和安全实施级别之间谋求平衡。

有限制的安全策略的认证和访问控制
 认证
 ·一次性口令（拨号和Internet）
 ·口令（园区网）

访问控制
·在广域网路由器和网关路由器中的访问列表
·在Internet和企业网之间的防火墙 
·路由认证（分支机构办事处和园区网之间）
·在分支办事处链路上进行加密
 
3、严密的安全策略
 公司在网络安全实施上倾向于使用更严格的安全控制。他们喜欢使用一种安全性较高的缺省策略，尽管这会限制用户的连通性并导致性能和易用性下降。这些公司被归类为一个具有严密的安全策略。
 
严密安全策略的认证和访问控制
 
认证
·数字证书（拨号，分支办事处和园区网）

访问控制
·在广域网路由器和网关路由器中的访问控制列表
·在Internet和企业网之间的防火墙
·路由认证（分支机构办事处和园区网之间）
·加密（拨号，分支办事处和一些园区网）

（IT安全世界）