安全管理实践（二）：安全策略与安全教育

核心提示： +--+表3 - 安全策略、安全标准、安全方针、安全措施之间的层次现在举例说明一下各个方面之间的关系，企业的安全策略描述了敏感信息应当采取适当的方法进行保护，安全管理实践（二）：安全策略与安全教育(2)，可以看出安全策略是宏观上的说明，安全标准描述了数据库中的客户信息应当采用DES算法进行

+--------------+

表3 - 安全策略、安全标准、安全方针、安全措施之间的层次

现在举例说明一下各个方面之间的关系。企业的安全策略描述了敏感信息应当采取适当的方法进行保护。可以看出安全策略是宏观上的说明。安全标准描述了数据库中的客户信息应当采用DES算法进行加密，在数据传输中使用IPSec加密技术。安全方针描述了当数据被偶然解密、损坏时应当如何处理。安全措施详细描述了如何实施DES加密算法、如何实施IPSec技术。

企业安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与企业的规模有关。不过，有些策略文件是多数企业都应该制定并执行的。

物理安全策略：包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。

网络安全策略：包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

数据加密策略：包括加密算法、适用范围、密钥交换和管理等。

数据备份策略：包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

病毒防护策略：包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。

系统安全策略：包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。

身份认证及授权策略：包括认证及授权机制、方式、审计记录等。

灾难恢复策略：包括负责人员、恢复机制、方式、归档管理、硬件、软件等。

事故处理、紧急响应策略：包括响应小组、联系方式、事故处理计划、控制过程等。