安全管理实践(二):安全策略与安全教育
2008-09-10 13:23:06 来源:WEB开发网核心提示: +--+表3 - 安全策略、安全标准、安全方针、安全措施之间的层次现在举例说明一下各个方面之间的关系,企业的安全策略描述了敏感信息应当采取适当的方法进行保护,安全管理实践(二):安全策略与安全教育(2),可以看出安全策略是宏观上的说明,安全标准描述了数据库中的客户信息应当采用DES算法进行
+--------------+
表3 - 安全策略、安全标准、安全方针、安全措施之间的层次
现在举例说明一下各个方面之间的关系。企业的安全策略描述了敏感信息应当采取适当的方法进行保护。可以看出安全策略是宏观上的说明。安全标准描述了数据库中的客户信息应当采用DES算法进行加密,在数据传输中使用IPSec加密技术。安全方针描述了当数据被偶然解密、损坏时应当如何处理。安全措施详细描述了如何实施DES加密算法、如何实施IPSec技术。
企业安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与企业的规模有关。不过,有些策略文件是多数企业都应该制定并执行的。
物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。
网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。
数据加密策略:包括加密算法、适用范围、密钥交换和管理等。
数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。
病毒防护策略:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。
系统安全策略:包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。
身份认证及授权策略:包括认证及授权机制、方式、审计记录等。
灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等。
事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
更多精彩
赞助商链接