安全策略的制定。因为网络安全是相对的,所以使得安全的定义更加复杂。例如,一家公
司为了保护有价值的商业信息,拒绝外部人员访问其计算机;拥有可用信息网站的组织可以将
网络安全定义为任意访问数据,但禁止外部人员修改数据;也有一些组织关注通信的保密性,
需要将安全网络定义为除了发送者或真实接收者之外,不能拦截和读取消息的网络。因此,为
了实现安全的网络系统,必须制定网络安全策略。所谓安全策略,并没有规定如何实现保护,
而是明确无误地明确了每一个需要保护的项目。
制定网络安全策略是一项非常复杂的任务,因为它涉及到网络设施、计算机和人类行为等多
种因素。比如在单位大楼外接收无线网络信号,将移动存储(比如u盘)带出单位访客,或者员
工在家办公等。同时,单位要正确认识自身信息的价值,因为在很多情况下,信息的价值是
难以评估的。比如一个包含员工档案、工作时间、工资等级的数据库系统,如果竞争对手得
到了这些数据,可能会引诱员工跳槽或者做一些意想不到的事情。因此,在制定网络安全策
略时,需要明确考虑保护的要点,权衡安全性和易用性。一般来说,在制定网络安全策略时
,应该考虑以下几个方面:数据完整性——防止数据被篡改,即到达接收者的数据是否与发出
的数据完全相同。数据可用性-防止服务被破坏,即数据的可访问性是否能被合法使用。数据
保密性-防止未经授权的数据访问(如窃听、数据拦截、密钥破解等)。),也就是数据能否防止
未经授权的访问。
种因素。比如在单位大楼外接收无线网络信号,将移动存储(比如u盘)带出单位访客,或者员
工在家办公等。同时,单位要正确认识自身信息的价值,因为在很多情况下,信息的价值是
难以评估的。比如一个包含员工档案、工作时间、工资等级的数据库系统,如果竞争对手得
到了这些数据,可能会引诱员工跳槽或者做一些意想不到的事情。因此,在制定网络安全策
略时,需要明确考虑保护的要点,权衡安全性和易用性。一般来说,在制定网络安全策略时
,应该考虑以下几个方面:数据完整性——防止数据被篡改,即到达接收者的数据是否与发出
的数据完全相同。数据可用性-防止服务被破坏,即数据的可访问性是否能被合法使用。数据
保密性-防止未经授权的数据访问(如窃听、数据拦截、密钥破解等)。),也就是数据能否防止
未经授权的访问。
数据隐私——发送者保持匿名身份的能力,即发送者的身份是否会被泄露。安全责任和控制。
为了实现安全的网络,组织还必须考虑如何正确地规定、分配或控制数据信息的安全责任。
信息安全的责任通常包括以下两个方面:审计责任-如何保持审计跟踪,即哪个部门负责哪些数
据,以及如何保持每个部门对数据的访问和修改记录。授权指的是对每个信息项的责任以及
如何将这种责任委托给其他人,即谁负责决定将信息存储在哪里,以及负责人如何批准访问
和修改权限。审计责任和授权的关键是控制。一个单位必须控制信息服务,控制的关键是认
证,也就是如何确定身份。举个例子,假设一个公司制定了一套授权策略,赋予员工比普通
访客更高的权限,那么除非公司有一套认证机制来区分公司和普通访客,否则其授权策略是
没有意义的。除了人,认证对象也要扩展到计算机、设备、应用软件。
为了实现安全的网络,组织还必须考虑如何正确地规定、分配或控制数据信息的安全责任。
信息安全的责任通常包括以下两个方面:审计责任-如何保持审计跟踪,即哪个部门负责哪些数
据,以及如何保持每个部门对数据的访问和修改记录。授权指的是对每个信息项的责任以及
如何将这种责任委托给其他人,即谁负责决定将信息存储在哪里,以及负责人如何批准访问
和修改权限。审计责任和授权的关键是控制。一个单位必须控制信息服务,控制的关键是认
证,也就是如何确定身份。举个例子,假设一个公司制定了一套授权策略,赋予员工比普通
访客更高的权限,那么除非公司有一套认证机制来区分公司和普通访客,否则其授权策略是
没有意义的。除了人,认证对象也要扩展到计算机、设备、应用软件。
