科 信J息J科J学 评估网络安全策略 刘长虹 (吉林广播电视大学,吉林长春130022) 摘要:介绍了识剐网络安全策略的目的、组件,着重从“安全保护一监测一测试一改进”四方面来阐述评估企业网络安全策略的过程,考虑保 护网络安全的经济性,并指出:必须在所要求的网络安全级别和为用户获得最佳网络安全性的使用方便性之间谋求平衡。 关键词:网络安全策略;拒绝服务攻击;安全入侵;策略组件;管理信息系统 网络正在迅速改变人们的工作、生活、学习 ^、才能访问企业数据; 力,就会将企业暴露给不必要的风险。 事件处理流程:规定企业应如何组建一支 可以通过以下途径提高系统的安全性: 及娱乐的质量。越来越多的^、认识到网络对企业 通过跟踪安全新闻组和相关Web站点,与新 在21世纪生存和竞争中所扮演的重要角色。客户 安全事件响应队伍,以及制定事件发生时和发生 希望用安全的方法进行通信和做电子商务。但不 后将使用的流程; 型网络攻击和脆弱性的不断被发现保持同步,经 幸的是,因为网络是基于开放式标准和为通信方 £园区访问策略:规定园区内的用户应该如何 常参加安全业界的活动,坚持阅读安全业界的出 版物;跟踪开发商的Web网站,了解关于补丁、维 便考虑的,在最初的没计中就缺少安全组件,如对 使用企业的数据基础结构; 辱远程访问策略:规定远程用户应该如何访 护布告和新版本的通知,测试并安装安全补丁和 Telnet控制、信息的保密性及^、为的拒绝服务攻 击(DoS denial of service)等的防范。 问企业的数据基础结构。 漏洞修补软件;更新企业安全策略和流程以便跟 目前,企业面临着令人畏惧的安全问题:如 企业应该使用一个安全策略来定义它认为 匕这个不断变化的动态领域;实施新的安全技术 何实施及经常更新具体防护措施,减少黑客攻击 重要的资产,明确应将这些重要资产保护到什么 以维护—个端到端的安全状态;对攻击原型经常 协作、报 所造成的业务漏洞。网络安全威胁至少有三个主 程度,以及为实施该安全策略中所含的批示应分 进行定期分析及提供对安全事件的调查、要因素: 配哪些责任。 告和跟踪等。 技术弱点:任何一种网络及计算机技术都有 网络安全策略也指用于监视网络安全状况 参考文献 l 登国.计算机通信网络安全嗍.北京:清华大学 其固有的安全问题; 的技术和流程。监视技术对于检测正在发生的安 【 配置弱点:即使是最安全的技术也可能被管 全威胁,并及时做出反应是必需的。监视网络行为 出版础0oo1.理员错误配置或使用不得当,暴露出安全隐患; 有助于检测系统是否被损害,并能帮助分析对系 [2]btatt Blaze.2002 September 15(Preprint,re— vised 2003 March On Cryptology and Physical 策略弱点:不当的实施或管理策略也会导致 统的攻击。监视还有 最好的安全和网络漏洞百出。 略。监视网络安全可以包括对防火墙、边界路由器 Security:Rig}lts Amplification in Master-Keyed cal Locks.IEEE Security and Privacy 因为保护企业网络安全的任务是复杂而反 或访问控制系统所输出的系统LOG消息进行分 Mechani复的,若想保护企业网络免受最新安全威胁,“安 析。监视可用^侵检测系统IDS来实现,它能自动 (March/April 2003). 全保护一监测_÷澳4试—改进”过程就绝不能停止, 实现网络入侵检测,对合法的数据流和网络使用 [3]Intemet Security Systems.2002 November 18 该过程被称为安全状况评估(SPA security pos— 是透明的。Cisco Secure包括传感器和指挥器两 (Revised).X-Force?Vulnerability Disclosure ines. ture assessment)。 个组件。传感器是—种高速网络没备,它分析各个 Guidel4】邓吉,张奎亭,罗诗尧.网络安全攻防实战嗍.北 那么,什么是安全策略呢?安全策略是一种 数据包的内容和上下文以确定数据流是否是一种 f处理安全问题的管理策略的描述。策略要能对某 威胁或入侵。若某个网络数据流表现出可疑行为, 京:电子工业出版社,2008.5. 个安全主题进行描绘,探讨典 性和重要性,解 其传感器能实时检测出有违反规则的情况发生, 嘲俞承杭计算机网络构建与安全技术 北京:机 释清楚什么该做什么不该做。安全策略应该简明, 将警告信息发送到指挥器管理控制台,并将攻击 械工业出版社,2008,1. 在生产效率和安全之间应该有一个好的平衡点, 者屏蔽在网络之外,以避免受到进—步攻击。 作者简介:刘长虹(1973~),女,吉林长春人, 易于实现、易于理解。安全策略必须遵循三个基本 网络安全策略还应该指定用于审计、测试和 吉林广播电视大学教务处。 概念:确定性、完整性和有效性。 维护网络安全的流程。审计和测试网络活动有助 网络安全策略本质上是—个文档,它汇总了 于确定网络组件和计算机系统的整体健康情况。 企业如何使用和保护其计算机和网络资源的方法 它们还能被用来测试对安全策略和规定的遵守情 (上接178页)防观念的形成。和原则。创建网络安全策略的原因是:它可以提供 况。 从调查中我们看出,全防观念的强弱对 种程序来审计现有的网络安全,为实施网络安 审计和测试网络活动情况是验证一个安全 于大学生国防观念的形成具有重要的社会影响。 全提供—个全面的安全架构,定义哪些行为被允 基础设施的有效性的最佳途径。应当每隔—段时 因此在加强学校国防教育的同时,我们还要正确 许哪些行为不被允许,帮助表达关键决策人员间 间就进行一次安全审计,包括以下内容: 认识国防是全社会的责任,应该大力加强在全社 的—致意见,并定义用户和管理员职责。为处理网 &对特殊文件(如passwd)和LOG文件每夜 会开展国防法规和国防教育宣传,组织协调整合 络安全事件定义—个流程,实现全局性的安全实 进行审计检查; 各种宣传资源,将国防教育贯穿常年;将社情、军 施并执行,若需要的话,还可以为采取当法律行动 h随机对系统进行审计,检查它们是否符合 情、民情、国防隋有机融合,引导人们正确认识经 奠定— 拙。 安全策略; 济与国防、局部与全局、个人与国家的关系;协调 每个企业都应该结合自己的具体应用和网 可以使用某种自动程序定期检查系统; 新闻出版、文化宣传部门,利用广播电视、报刊网 络 应包括如下关键 d确保对网络设备 络宣传资源,展开多角度、全方位、立体式、渗透式 性策略组件: 对帐号活动进行审计检查; 的宣传教育,实现全防观念基础整体提高的 &权威性和范围:规定谁负责安全策略,以及 e每当有新系统被安装到网络时应立即对它 目的。为提高大学生国防观念打下坚实的基 安全策略覆盖什么区域; 进行审计。 础,为建i殳和谐稳定的新做出应有的贡献。 b.1ntemet访问策略:规定企业认为哪些行为 随着业务的不断发展、不断进入新的市场又 参考文献 是对企业的Interact访问能力的合乎道德的和正 不断离开它决定不再继续参与的市场,风险管理 【1】叶卫平等扁等院校军事理论概论[M】.北京:中国 当的使用; 策略也必须随之变化。当风险模型发生变化后,安 人民大学出版祛 允许使用策略:规定企业对于其信息基础 全状况也必须随之调整。对安全是‘设置好之后就 f21宋责元.浅析提高高校军事理论课教学效果的途 设施将允许什么和不允许什么; 不必再管它”的观念是完全错误的。为企业业务的 径IJl成功教育,2007,8. d身份认证策略:规定企业将使用什么技术、 各个领域维护恰当的安全级别是一项长期的、持 [3】艾跃进普通高校军事理论课的目标化教学及方 设备或技术与设备的组合来确保只有被授权的个 续的努力。如果不能在正确的时间扩展必须的努 法『Jl_高校理论战线,2004,10. 责任编辑:王兴红 一,一9O一
