第一篇：網(wǎng)絡(luò)安全策略十大原則

網(wǎng)絡(luò)安全策略的十大原則

1.木桶原則：是指要對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行均衡全面的保護(hù)。因?yàn)槿魏我环矫娴娜笔Щ虿煌耆加锌赡苡绊懙狡渌矫娴谋Ｗo(hù)效果。

2.整體性原則：這一原則要求我們?cè)谶M(jìn)行安全策略設(shè)計(jì)時(shí)充分考慮各種安全配套措施的整體一致性，不要顧此失彼。既要重視對(duì)攻擊的防御，又要考慮在網(wǎng)絡(luò)遭受攻擊、破壞后，快速回復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。

3.均衡性原則：對(duì)于任何網(wǎng)絡(luò)而言，絕對(duì)安全難以達(dá)到，也不一定是必要的，所以需要建立合理的使用安全性與用戶需求評(píng)價(jià)和平衡體系。

4.可行性原則：任何一個(gè)企業(yè)在網(wǎng)絡(luò)安全需求方面都有它獨(dú)特性，對(duì)于網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力。我們不能一味的花高代價(jià)來(lái)部署安全性的防護(hù)系統(tǒng)，而應(yīng)結(jié)合企業(yè)的實(shí)際安全需求進(jìn)行綜合評(píng)價(jià)。

5.等級(jí)性原則：等級(jí)是指安全層次和安全級(jí)別。良好的安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度分級(jí)，對(duì)用戶操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

6.一致性原則：安全防護(hù)系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，只有這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全的互聯(lián)互通、信息共享。

7.易操作性原則：首先，安全措施需要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

8.技術(shù)與管理相結(jié)合原則：安全防護(hù)體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人力、技術(shù)、操作和管理等方面的因素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)，因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)結(jié)合起來(lái)全盤考慮。9.統(tǒng)籌規(guī)劃，分布實(shí)施原則：在部署安全防護(hù)策略是可考慮現(xiàn)在一個(gè)比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要建立基本的安全體系，保證基本的、必需的安全性，然后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度變化，調(diào)整或曾倩安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。

10.動(dòng)態(tài)發(fā)展原則：在制定策略時(shí)要明確要根據(jù)網(wǎng)絡(luò)的發(fā)展變化和企業(yè)自身實(shí)力的不斷增強(qiáng)，對(duì)安全系統(tǒng)進(jìn)行不斷的調(diào)整，以適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。

第二篇：工業(yè)網(wǎng)絡(luò)安全策略

工業(yè)網(wǎng)絡(luò)安全策略

隨著新一年的到來(lái)，發(fā)電廠和大型電力企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度也邁上了一個(gè)新的臺(tái)階。NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例的生效意味著電力供應(yīng)和輸配電部門必須采取明確的安全防范措施，以確保持續(xù)供電。一旦有人違反了條例中的要求，就會(huì)被處以巨額罰款。

而許多行業(yè)外人士也正在密切關(guān)注電力行業(yè)的動(dòng)態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)，而且是越早越好。在過(guò)去的一、兩年中，工業(yè)網(wǎng)絡(luò)安全經(jīng)歷了迅猛的發(fā)展。大約一年前，美國(guó)中央情報(bào)局（CIA）的一份報(bào)告中記錄了這樣一起事件：一項(xiàng)勒索行動(dòng)中，一部放置在海外的設(shè)備被網(wǎng)絡(luò)黑客成功破壞。嚴(yán)重黑客攻擊（如圖所示）的性質(zhì)，已經(jīng)從單純的娛樂，擴(kuò)展到了犯罪、恐怖主義、甚至國(guó)家贊助的間諜活動(dòng)。我們必須采取適當(dāng)而有力的防御措施來(lái)應(yīng)對(duì)黑客攻擊行為的不斷升級(jí)。

NERC CIP條例自2002年頒布以來(lái)，經(jīng)常有人將其執(zhí)行效果與那部在執(zhí)行上充滿混亂的Sarbanes-Oxley(SOX)法案相比較。艾默生電力和水力部門的SCADA及安全業(yè)務(wù)發(fā)展經(jīng)理Eric Casteel承認(rèn)，兩者在執(zhí)行效果上有相似之處。他說(shuō)：“SOX法案頒布之后，相關(guān)的指導(dǎo)很少而且對(duì)該法案的理解差異很大。NERC CIP標(biāo)準(zhǔn)頒布之后，情況也是如此。有些客戶正在走高質(zhì)量線路，并希望采取最佳做法，以求在審查中獲得‘A’。而有些客戶則只想拿一個(gè)‘C’了事。更有些工廠的相關(guān)人員還會(huì)以‘我們不屬于關(guān)鍵資產(chǎn)’為理由進(jìn)行搪塞。如果他們的工廠沒有停電啟動(dòng)設(shè)施，同時(shí)也不是重要的兆瓦級(jí)發(fā)電站，那么他們就可能以此作為理由。但是從整體來(lái)看，一組電網(wǎng)的整體安全性僅等同于其中最薄弱部分的安全性。在這種情況下，標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)會(huì)對(duì)這些企業(yè)下達(dá)強(qiáng)制命令：每個(gè)發(fā)電、傳輸和配送部門，不論是否屬于關(guān)鍵資產(chǎn)部門，都必須履行這些條例?！?/p>

黑客能夠以各種手段和動(dòng)機(jī)闖入你的系統(tǒng)。他們的特征具有普遍性，但也有特別之處。

要抵御業(yè)余愛好者的入侵并不困難，但是若想抵御訓(xùn)練有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。

從何入手？

如果你是從事電力或其他行業(yè)工作的，那么你應(yīng)該如何在你的DCS（集散控制系統(tǒng)）、SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）、或其它工業(yè)控制網(wǎng)絡(luò)中實(shí)施基本的網(wǎng)絡(luò)安全措施呢？通常在一個(gè)項(xiàng)目開始之前，應(yīng)該首先對(duì)當(dāng)前的情況進(jìn)行一次評(píng)估，尤其要對(duì)網(wǎng)絡(luò)中的所有設(shè)備做一次清查。你需要弄清楚設(shè)備是怎樣連接的，以及設(shè)備上運(yùn)行著何種軟件。如果你希望找出黑客從外部進(jìn)入系統(tǒng)的方式并建立起適當(dāng)?shù)钠琳?，那么這就是你要做的第一件事。

“用戶對(duì)他們系統(tǒng)的實(shí)際架構(gòu)和連接方式的認(rèn)識(shí)往往非常膚淺，”西門子能源與自動(dòng)化集團(tuán)過(guò)程自動(dòng)化系統(tǒng)市場(chǎng)營(yíng)銷經(jīng)理Todd Stauffer說(shuō)道，“很多設(shè)備通過(guò)直接或間接的方式連接到控制網(wǎng)絡(luò)中，而生產(chǎn)過(guò)程負(fù)責(zé)人幾乎無(wú)法控制它們。因此，相關(guān)人員首先要做的事情之一，就是確認(rèn)系統(tǒng)的實(shí)際架構(gòu)。應(yīng)該說(shuō)，實(shí)際架構(gòu)很可能與他們想象中的大相徑庭?？梢钥隙ǖ氖?，相關(guān)人員在確認(rèn)系統(tǒng)架構(gòu)的過(guò)程中幾乎總會(huì)發(fā)現(xiàn)意想不到的連接?！?/p>

艾默生過(guò)程管理的數(shù)據(jù)管理解決方案高級(jí)顧問David Rehbein，在Microsoft任職期間，從事了很多年網(wǎng)絡(luò)評(píng)估工作。他也認(rèn)為進(jìn)行評(píng)估是關(guān)鍵的第一步?！霸谙到y(tǒng)清查過(guò)程中，你可以發(fā)覺網(wǎng)絡(luò)上的每個(gè)IP地址，一些IP地址往往是在無(wú)人知曉的情況下悄然出現(xiàn)的。有些人連進(jìn)網(wǎng)絡(luò)、在上面放了點(diǎn)東西，卻忘了告訴管理員(IT)。于是，你的系統(tǒng)上就有了一個(gè)非法客戶端或服務(wù)器。如果你對(duì)它的存在一無(wú)所知，那么你就無(wú)法知道它是否打了正確的安全補(bǔ)丁。你更無(wú)法知道它是否安全，有沒有運(yùn)行查毒軟件。

了解你的連接

獨(dú)立的控制系統(tǒng)很容易保護(hù)，但這樣的系統(tǒng)已經(jīng)很少存在了。如果管理員要了解工廠當(dāng)前的情況，那么他獲取信息的最簡(jiǎn)單方法就是查看控制系統(tǒng)。這樣的話，控制系統(tǒng)就要連接到公司的網(wǎng)絡(luò)中，而公司網(wǎng)絡(luò)毫無(wú)疑問是連接互聯(lián)網(wǎng)的。如果這類連接沒有得到很好的保護(hù)，那么就可能成為了一個(gè)主要的突破口?？刂葡到y(tǒng)與公司網(wǎng)絡(luò)結(jié)合得越全面，潛在的突破口就越多。這就是所謂的攻擊面積。

Rehbein回顧了一個(gè)他在微軟工作時(shí)參與的項(xiàng)目：“我們一天就完成了第一次評(píng)估，因?yàn)槟鞘且粋€(gè)非常簡(jiǎn)單的連接。他們沒有把工廠網(wǎng)絡(luò)連接到其他地方，能夠進(jìn)入該網(wǎng)絡(luò)的唯一方式是進(jìn)到建筑內(nèi)部。與這種情況形成鮮明對(duì)比的是：有些人希望和客戶或是位于瑞士的公司IT部門分享項(xiàng)目清單或者目前的生產(chǎn)水平。這就需要直接的互聯(lián)網(wǎng)連接，這也為其他任何人進(jìn)入你的系統(tǒng)打開了方便之門。

出于商業(yè)目的的連接會(huì)可能會(huì)招來(lái)更多潛在的攻擊，這給操作人員和控制系統(tǒng)帶來(lái)了更多的壓力。霍尼韋爾過(guò)程解決方案開放系統(tǒng)服務(wù)的全球項(xiàng)目經(jīng)理Shawn Gold擔(dān)心各企業(yè)正在失去自行處理問題的能力。日益依賴外部支持就意味著增加突破口?！叭魏闻c外部世界的連接都是有風(fēng)險(xiǎn)的，”他警告說(shuō)，“但是為了獲得有幫助的服務(wù)和資源，你又必須連接到外部，這在當(dāng)今的經(jīng)濟(jì)環(huán)境下更是如此。你可能已經(jīng)記錄了所有的連接，這是一件好事。但也會(huì)有潛在的未被記錄的連接，或?yàn)閼?yīng)對(duì)緊急情況而特設(shè)的連接，可能造成安全風(fēng)險(xiǎn)。因此你必須知道在緊急情況下該做些什么，以及在遇到困難時(shí)，如何保護(hù)自己?！?/p>

監(jiān)控軟件

除了連接之外，你還需要知道網(wǎng)絡(luò)上有什么軟件。這一點(diǎn)至關(guān)重要的，主要的原因有兩個(gè)：一些軟件存在可以被黑客利用的漏洞；編寫不良的程序可能會(huì)引起內(nèi)部問題。

“每次增加軟件的同時(shí)，你也增加了被攻擊范圍?！?霍尼韋爾過(guò)程解決方案的全球安全架構(gòu)師Kevin Staggs建議道，“你安裝的一些不必要的軟件可能會(huì)與其他一些必要的控制軟件形成沖突，導(dǎo)致系統(tǒng)失靈。有些故障甚至是你無(wú)法看到的。有時(shí)候，軟件在編寫時(shí)的錯(cuò)誤會(huì)造成內(nèi)存溢出。我們發(fā)現(xiàn)一個(gè)反病毒系統(tǒng)補(bǔ)丁里有內(nèi)存溢出，而運(yùn)行該程序的控制系統(tǒng)在出現(xiàn)內(nèi)存不足前大約能運(yùn)行35天。到那時(shí)候，系統(tǒng)就會(huì)出現(xiàn)嚴(yán)重的減速或者顯示警告，而操作人員會(huì)不知所措?！?/p>

Staggs補(bǔ)充說(shuō)，這些有問題的程序可以產(chǎn)生和黑客引入的惡意軟件同樣的后果。如果軟件沒有被你的控制系統(tǒng)供應(yīng)商完全核實(shí)，那么就可能導(dǎo)致隱性沖突。他建議：“你應(yīng)該遵循一個(gè)非常良好的變化執(zhí)行過(guò)程。在你執(zhí)行一個(gè)變化之前，務(wù)必先檢查其基本的性能；在執(zhí)行

變化之后，立刻再檢查一次，并觀察一段時(shí)間。如果你嚴(yán)謹(jǐn)?shù)竭@種程度，應(yīng)該就能夠偵測(cè)到任何可能發(fā)生的問題?！?/p>

當(dāng)你了解了自己網(wǎng)絡(luò)的情況之后，如果出現(xiàn)了問題，你就會(huì)知道是否需要處理它了。西門子的Stauffer提到，白帽（white hat）組織發(fā)布了他們?cè)诠密浖脚_(tái)上發(fā)現(xiàn)的漏洞，敦促供應(yīng)商修正它們，并警告說(shuō)：“他們沒有意識(shí)到，他們的這一舉動(dòng)是在為系統(tǒng)添亂，當(dāng)傳統(tǒng)系統(tǒng)的漏洞被公布在互聯(lián)網(wǎng)上供所有人瀏覽的時(shí)候，相關(guān)人員不得不去做那些他們?cè)炔粶?zhǔn)備做的事情。這足以告訴黑客，對(duì)于一個(gè)給定的系統(tǒng)應(yīng)該從何著手實(shí)施攻擊。你還打算通過(guò)隱藏漏洞以保證安全嗎？忘了它吧。你的系統(tǒng)弱點(diǎn)早已經(jīng)被公布在網(wǎng)上了?！?/p>

咨詢你的供應(yīng)商

你可以采取的一個(gè)最簡(jiǎn)單方法，就是向最初為你打造系統(tǒng)的供應(yīng)商進(jìn)行咨詢。大多數(shù)公司會(huì)提供指導(dǎo)、案例研究、最佳做法以及根據(jù)積累的經(jīng)驗(yàn)得出的其他意見。

網(wǎng)絡(luò)安全還包含了許多方面，但在此處討論并不合適。人事政策，外部管理收購(gòu)，實(shí)體安全，縱深防御等等，都會(huì)對(duì)網(wǎng)絡(luò)安全策略產(chǎn)生影響。許多組織和公司為工業(yè)系統(tǒng)提供了網(wǎng)絡(luò)安全資源。如果你希望對(duì)此作深入研究，那么最好看一下這篇文章的邊欄。你應(yīng)該始終牢記，沒有解決一切的答案，也沒有絕對(duì)的安全。你能夠指望的最好情況是你的保護(hù)等級(jí)強(qiáng)于攻擊者的攻擊力度。

你的網(wǎng)絡(luò)安全實(shí)施資源

我們需要利用多種資源，或者說(shuō)通過(guò)適當(dāng)?shù)目v深防御控制來(lái)“保障”過(guò)程控制系統(tǒng)的安全。譬如獲取管理支持，進(jìn)行評(píng)估，確定風(fēng)險(xiǎn)因素，選擇修復(fù)方案，在獲取管理支持后對(duì)適當(dāng)?shù)募夹g(shù)、程序和安全意識(shí)作高效整合并開展培訓(xùn)計(jì)劃?？傊?，請(qǐng)千萬(wàn)記得獲取管理支持。

網(wǎng)絡(luò)安全的學(xué)習(xí)方式是多種多樣的，要根據(jù)具體的過(guò)程而定。但是，最佳出發(fā)點(diǎn)無(wú)疑是先回顧并深入理解以下內(nèi)容：

1.NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例：這套重要的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)大型電力系統(tǒng)組織有著深遠(yuǎn)的影響。它還牽扯到其他涉及過(guò)程控制的領(lǐng)域，如航空、鐵路、廢水處理、天然氣、煉油、化工和制造業(yè)。因?yàn)檫@些領(lǐng)域在國(guó)際上也被公認(rèn)是關(guān)鍵的基礎(chǔ)設(shè)施。NERC CIP是第一部具有制裁力的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn)，可能被處以高達(dá)每天100萬(wàn)美元的罰款。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，其他用到SCADA和DCS的領(lǐng)域也正在對(duì)它進(jìn)行審核。NERC CIP標(biāo)準(zhǔn)可在獲得。該標(biāo)準(zhǔn)需要結(jié)合具體的情況解釋執(zhí)行，遵守標(biāo)準(zhǔn)的方式不止一種。

2.美國(guó)愛達(dá)荷國(guó)家實(shí)驗(yàn)室的國(guó)家SCADA系統(tǒng)試驗(yàn)平臺(tái)和DHS控制系統(tǒng)安全計(jì)劃：這項(xiàng)計(jì)劃提供了許多關(guān)于安全意識(shí)、安全評(píng)估和安全架構(gòu)方面的細(xì)節(jié)。它涉及的范圍非常廣泛，其中，我們特別推薦的一項(xiàng)是控制系統(tǒng)的網(wǎng)絡(luò)安全獲取語(yǔ)言，相應(yīng)鏈接為：www.tmdps.cn/isasp99。

5.傳統(tǒng)的IT解決方案，譬如信息及相關(guān)技術(shù)的控制目標(biāo)(CObIT)，ISO 27005和ISO 17799標(biāo)準(zhǔn)：許多現(xiàn)有的IT控制和安全框架能夠在工業(yè)控制系統(tǒng)環(huán)境內(nèi)提供基本的操作。傳統(tǒng)IT業(yè)務(wù)系統(tǒng)和過(guò)程控制系統(tǒng)的連接往往要考慮到效率和成本控制。因此，最好的做法是對(duì)特定的IT和過(guò)程控制系統(tǒng)進(jìn)行優(yōu)勢(shì)互補(bǔ)。關(guān)鍵問題是如何劃定連接系統(tǒng)與獨(dú)立操作系統(tǒng)之間的界限？尋找這一答案對(duì)相關(guān)組織和行業(yè)來(lái)說(shuō)無(wú)疑是個(gè)挑戰(zhàn)，卻有著特別的意義。www.tmdps.cn；www.tmdps.cn。

許多組織為SCADA系統(tǒng)特別制定了標(biāo)準(zhǔn)，包括：ISA，ISO，IEC，API，AGA，ChemITC，DHS CSSP，PCSF，CIGRE，NSTB，IEEE，EPRI，I3P，NERC和NIST。Control Engineering將繼續(xù)通過(guò)其網(wǎng)絡(luò)安全博客，以實(shí)踐和應(yīng)用的方式解讀這些標(biāo)準(zhǔn)，從而為解決所有基礎(chǔ)設(shè)施普遍面臨的安全挑戰(zhàn)助一臂之力。

縱深防御的一個(gè)關(guān)鍵參考

由David Kuipers和Mark Fabro撰寫的 《控制系統(tǒng)的網(wǎng)絡(luò)安全：縱深防御策略》（2006年5月）一文被看作是工業(yè)網(wǎng)絡(luò)安全方面的經(jīng)典之作。Fabro是Lofty Perch總裁兼首席安全科學(xué)家，并曾經(jīng)與美國(guó)DHS和INL（愛達(dá)荷國(guó)家實(shí)驗(yàn)室）開展過(guò)廣泛的合作。關(guān)于撰寫這篇報(bào)告，他這樣說(shuō)道：

“隨著DHS的控制系統(tǒng)安全計(jì)劃(CSSP)在私營(yíng)部門密切開展，其中一個(gè)主要的想法是探討如何在以前獨(dú)立的大型系統(tǒng)內(nèi)建立有效的網(wǎng)絡(luò)安全。考慮到其中一些‘專用’技術(shù)的‘年齡’和操作上的差別，我們無(wú)法用當(dāng)代的網(wǎng)絡(luò)安全解決方案對(duì)它們進(jìn)行合并。這些資產(chǎn)所有者和經(jīng)營(yíng)者已經(jīng)告訴我們，諸如IDS(入侵檢測(cè)系統(tǒng))和防火墻之類的措施在起到積極效果的同時(shí)，又不會(huì)對(duì)操作造成任何影響。資產(chǎn)所有者需要一種平衡的安全策略，既不會(huì)打亂他們的系統(tǒng)，又能夠減少網(wǎng)絡(luò)風(fēng)險(xiǎn)?！?/p>

“縱深防御模型工作的理念是：針對(duì)控制架構(gòu)中不同層次采用與其相適的安全水平等級(jí)，并將各層次的安全元素結(jié)合在一起構(gòu)成一個(gè)全面的安全防御態(tài)勢(shì)。編寫這本實(shí)踐指南主要是為了指導(dǎo)讀者一些在控制系統(tǒng)環(huán)境中處理較常見的漏洞，以及如何部署適當(dāng)?shù)陌踩鉀Q方案以幫助彌補(bǔ)這些漏洞。該計(jì)劃的目標(biāo)是綜合CSSP收集的來(lái)自利益相關(guān)者的反饋，深入研究如何滿足他們的需求，并建立指導(dǎo)以備相關(guān)部門進(jìn)行評(píng)估。最終的指導(dǎo)經(jīng)過(guò)尋求它的利益相關(guān)者核實(shí)和審查，必定能夠產(chǎn)生非常積極的影響。目前，我們推薦的做法是對(duì)那些經(jīng)過(guò)論證確實(shí)能對(duì)控制系統(tǒng)架構(gòu)起到保護(hù)作用的方法作深入分析，盡量在提升安全性的同時(shí)不降低原有性能?！?/p>

第三篇：企業(yè)網(wǎng)絡(luò)信息安全策略

企業(yè)網(wǎng)絡(luò)信息安全策略

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)管理也越來(lái)越受到人們的重視，企業(yè)的發(fā)展更離不開網(wǎng)絡(luò)，但是網(wǎng)絡(luò)的質(zhì)量又直接影響著企業(yè)的信息安全管理，因此，企業(yè)需要制定一種網(wǎng)絡(luò)和數(shù)據(jù)安全策略，提高網(wǎng)絡(luò)管理員的信息掌控能力，為了把企業(yè)網(wǎng)絡(luò)管理做到安全合理，翔羚科技給廣大企業(yè)做出以下幾點(diǎn)建議。

評(píng)估企業(yè)網(wǎng)絡(luò)完整性

評(píng)估網(wǎng)絡(luò)的完整性?！傲私庾约?IT 基礎(chǔ)架構(gòu)的起點(diǎn)和終點(diǎn)，但仍有為數(shù)眾多的企業(yè)不清楚其網(wǎng)絡(luò)的整體性。還要了解自己的?正常狀態(tài)?是什么，這樣能夠便于你快速確定問題并作出響應(yīng)?！敝匦略u(píng)估您的可接受使用策略和商業(yè)行為準(zhǔn)則?！皰仐壞欠N冗長(zhǎng)的安全政策清單的做法，只將焦點(diǎn)放在那些您知道自己必須實(shí)施且能夠?qū)嵤┑恼呱??！?/p>

做好企業(yè)內(nèi)部人員數(shù)據(jù)管理

確定必須保護(hù)哪些數(shù)據(jù)?！叭绻恢辣仨毐Ｗo(hù)企業(yè)內(nèi)部的哪些信息，您就無(wú)法構(gòu)建有效的 DLP 計(jì)劃。您還必須確定企業(yè)內(nèi)部哪些人有權(quán)訪問這些信息，以及必須采用什么方式?！绷私鈹?shù)據(jù)所在位置，目前采用什么方式進(jìn)行保護(hù)(以及是否正進(jìn)行保護(hù))?！按_定哪些第三方有權(quán)存儲(chǔ)您公司的數(shù)據(jù)(從云服務(wù)提供商到電郵營(yíng)銷企業(yè))，確保您的信息正得到適當(dāng)?shù)谋Ｗo(hù)。合規(guī)要求，以及當(dāng)前網(wǎng)絡(luò)犯罪領(lǐng)域?牽一發(fā)而動(dòng)全身?的發(fā)展趨勢(shì)都表明，企業(yè)絕對(duì)不能假設(shè)自己的數(shù)據(jù)是安全的，即便是這些我要走了，今天就早！你給我的工資太高了我受不起啊，我每天都遲到自己感到十分的內(nèi)疚，不過(guò)每天都是我來(lái)最早的！合同我已經(jīng)撕了，你的那份我也幫你偷偷的撕了。我不會(huì)怪你的老板，要怪就怪那個(gè)寶寶，她怎么就在貴州了呢？我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里?！?/p>

合理采用監(jiān)控

采用出口監(jiān)控?！斑@是一項(xiàng)基本要求，但是很多企業(yè)都不夠重視，出口監(jiān)控是一種監(jiān)控重心的轉(zhuǎn)變，而不是僅側(cè)重于阻止?壞人?進(jìn)來(lái)。您應(yīng)該監(jiān)控那些由內(nèi)向外發(fā)送的內(nèi)容，包括發(fā)送者是誰(shuí)、發(fā)往何處，并攔截那些不允許外泄的內(nèi)容?！睖?zhǔn)備迎接必然到來(lái)的 BYOD?！捌髽I(yè)不要再去想何時(shí)轉(zhuǎn)變到 BYOD 模式，而是要開始思考如何轉(zhuǎn)變?！?/p>

做好企業(yè)應(yīng)變決策

制定事件響應(yīng)計(jì)劃?！癐T 方面的風(fēng)險(xiǎn)應(yīng)該像任何其他業(yè)務(wù)風(fēng)險(xiǎn)一樣對(duì)待。這意味著企業(yè)需要預(yù)先制定明確的計(jì)劃，以便對(duì)任何類型的安全事件迅速作出適當(dāng)?shù)姆磻?yīng)，無(wú)論這些事件屬于有針對(duì)性攻擊所造成的數(shù)據(jù)泄露、員工疏忽導(dǎo)致的違規(guī)還是黑客行動(dòng)主義事件?！睂?shí)施安全措施幫助彌補(bǔ)對(duì)社交網(wǎng)絡(luò)控制的不足。“不要低估技術(shù)控制的強(qiáng)大力量，比如用于抵御網(wǎng)絡(luò)威脅的入侵防御系統(tǒng)。聲譽(yù)過(guò)濾系統(tǒng)也是一種用于檢測(cè)可疑活動(dòng)和內(nèi)容的基本工具?！北O(jiān)控風(fēng)險(xiǎn)形勢(shì)的動(dòng)態(tài)變化，及時(shí)向用戶通報(bào)。“企業(yè)及其安全團(tuán)隊(duì)需要對(duì)范圍更廣的風(fēng)險(xiǎn)來(lái)源保持警惕，包括移動(dòng)設(shè)備、云和社交網(wǎng)絡(luò)，以及未來(lái)新技術(shù)可能伴隨的任何威脅。他們應(yīng)該采用雙管齊下的方法：對(duì)安全漏洞泄露作出反應(yīng)，同時(shí)主動(dòng)教育員工如何保護(hù)自身和企業(yè)抵御持久、嚴(yán)重的網(wǎng)絡(luò)威脅。”

第四篇：網(wǎng)絡(luò)安全策略研究論文

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息服務(wù)靈活性的同時(shí)，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，造成重大經(jīng)濟(jì)損失，而且會(huì)威脅到國(guó)家安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問題。近年來(lái)，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國(guó)共同關(guān)注的焦點(diǎn)。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點(diǎn)策略。

一、常見的幾種網(wǎng)絡(luò)入侵方法

由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無(wú)邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無(wú)法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過(guò)程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過(guò)偽裝發(fā)動(dòng)攻擊

利用軟件偽造Ip包，把自己偽裝成被信任主機(jī)的地址，與目標(biāo)主機(jī)進(jìn)行會(huì)話，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過(guò)偽造Ip地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求，從而造成緩沖區(qū)阻塞或死機(jī)；或者，通過(guò)將局域網(wǎng)中的某臺(tái)機(jī)器Ip地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開放端口漏洞發(fā)動(dòng)攻擊

利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過(guò)木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過(guò)被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶名、口令等重要信息，它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，作為實(shí)施下一步攻擊的前奏。

為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的發(fā)展過(guò)程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VpN、防毒墻、入侵檢測(cè)、入侵防御、漏洞掃描。其中防病毒、防火墻和VpN屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防

御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過(guò)網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過(guò)；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來(lái)連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.VpN

VpN（Virtual private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VpN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VpN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過(guò)Socks客戶端的1080端口透過(guò)防火墻發(fā)起連接，建立到Socks服務(wù)器的VpN隧道；在網(wǎng)絡(luò)層有IpSec協(xié)議，它是一種由IETF設(shè)計(jì)的端到端的確保Ip層通信安全的機(jī)制，對(duì)Ip包進(jìn)行的IpSec處理有AH（Authentication Header）和ESp（Encapsulating Security payload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過(guò)濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對(duì)從允許連接的電腦上發(fā)送過(guò)來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的，因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外，管理人員能夠定義分組的安全策略，以過(guò)濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的Ip/MAC地址，以及TCp/UDp端口和協(xié)議。

三、網(wǎng)絡(luò)檢測(cè)技術(shù)分析

人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無(wú)法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：

1.入侵檢測(cè)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System,IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（Intrusion prevention System,IpS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IpS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IpS的檢測(cè)功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IpS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為IpS就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō)IpS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCp/Ip協(xié)議的過(guò)濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、VpN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。通過(guò)對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來(lái)發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語(yǔ)

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個(gè)巨大、開放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫(kù)，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問通信進(jìn)行過(guò)濾，而入侵檢測(cè)系統(tǒng)只能被用來(lái)識(shí)別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻(xiàn):

[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號(hào)良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊, 2008,(3):74～75

[3]劉愛國(guó)李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場(chǎng)現(xiàn)代化,2007,(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3): 199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營(yíng)科技,2008,(3):193

第五篇：信息安全策略

信息安全策略

是一個(gè)有效的信息安全項(xiàng)目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來(lái)看，信息安全策略的核心地位變得越來(lái)越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價(jià)的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時(shí)間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時(shí)間和精力。即使是雇傭外部顧問來(lái)輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。組織為高層主管、董事會(huì)成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對(duì)信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對(duì)信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。也需要召開相關(guān)人員會(huì)議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計(jì)主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計(jì)算機(jī)操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。資料收集不全，調(diào)研不夠充分會(huì)導(dǎo)致新建的信息安全策略無(wú)法與組織的真正需求一致。也無(wú)法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會(huì)評(píng)審。

信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸。

評(píng)審過(guò)程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級(jí)的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。

一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒有信息安全管理委員會(huì)，在制定信息安全策略的時(shí)候正是建立管理委員會(huì)的好時(shí)機(jī)，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個(gè)適當(dāng)?shù)膶?shí)施過(guò)程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因?yàn)檫@樣會(huì)教會(huì)員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個(gè)欠考慮的想法。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對(duì)他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲?jì)部門內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會(huì)遇到多樣化的問題?？梢酝ㄟ^(guò)績(jī)效評(píng)估和相應(yīng)獎(jiǎng)懲制度來(lái)保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識(shí)提升是無(wú)效的。在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評(píng)估調(diào)查表—在新的策略實(shí)施時(shí)，制定評(píng)估表，填寫實(shí)施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個(gè)反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過(guò)考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過(guò)錄像或培訓(xùn)軟件存檔。不同策略對(duì)象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。