第二十七章 網絡安全管理的策略應用

信息係統安全，計算機和網絡安全，還有Internet安全，它們組成一個錯綜複雜的世界。並且這些複雜性會隨著係統設備、數據通信、攻擊活動的增加而越來越難以控製。因此人們不得不花費很多精力來研究安全對策。

安全策略不是一成不變的，隨著現實生活中Internet傳輸速率的加快，公司之間合作模式的出現，維護網絡安全的方法也在不斷的更新。

當然，網絡安全維護不僅僅是購買一些安全設備這麼簡單，你還需要知道如何進行保護、保護的對象是什麼及設備放置的最佳位置等諸多問題。

在一般情況下，我們可以把安全管理劃分為三個階段：計劃階段、策略設計階段和設計實施過程。

一、當前網絡係統存在的問題

1、當計算機和網絡空間足夠大時，很多人希望網絡能夠支持所有的IP服務。其實人們常用的服務，隻是一些基本的終端服務，例如：文件複製、電子郵件和共享資源等。所以你不要把你的係統設備和支持的網絡服務做的大而全，越少的服務意味著越少的攻擊機會。

2、越來越多的網絡係統集成了各種各樣的好看但安全性並不好的服務，例如，企業網絡上傳輸聲音文件，文件共享等。

3、現在許多企業在推行電子商務，這些企業往往是通過Internet與合作夥伴和顧客交流溝通，通過Internet發展潛在客戶。根據調查Internet上連接了7200多萬個主機，我們知道還有許多的計算機通過各種方式與Internet連接。可以這樣估計，大概有十億的人們是你的網絡鄰居。

在這樣的大環境下，潛伏著不計其數的攻擊隱患，黑客們不需要特別的技能和耐心就可發起危害極大的攻擊活動。

二、網絡安全的基本原則

為了迎接計算機和網絡安全的挑戰，一些基本規則的采用是很有必要的。

1、安全性和複雜性成反比

在安全策略的實施過程中，你采取的實施方法應該盡可能的簡單。因為實施過程越複雜，被誤解和誤操作的幾率就越大；

2、安全性和可用性成反比

在目前可用的係統中永遠不存在"絕對的安全"，因此在實施安全策略時應掌握尺度，不要以犧牲係統資源為代價，一味地追求所謂的絕對安全。

3、安全問題的解決是個動態過程

安全問題的解決沒有最佳方案，即使存在這種"最佳方案"，它也不能保證你的係統固若金湯，能夠瓦解各類各樣的安全攻擊。因為你的係統在不斷升級變化，新技術層出不窮，同時黑客的攻擊方法也在不斷變更。

4、對安全要有一個正確的認識

搞清楚你的企業在還存在哪些安全上的不足，哪些地方仍然留有漏洞、哪些文檔和處理程序不合適，哪些處理機製需要更新是很關鍵的。不對組織的整體安全情況進行改善或分析的做法是錯誤的。這樣就有可能導致錯誤的出現，災難事故的增加，給你的企業業務開展帶來無盡的麻煩。

5.進行詳盡的檢查和評估

例如，如果你利用VPNs（虛擬專用網）把家和遠程辦公室與公司總部理想連接，那麼就很有必要對你的移動辦公環境中駐留在你的筆記本電腦上的數據進行保護，所有的數據通信都要通過防火牆進行隔離和過濾。

6.網絡威脅要詳加分析

假想的威脅、真實的威脅和可能的威脅，還有已知與未知的威脅。我們不但要對已知威脅詳加分析，還要對某些潛在的、未知的威脅加以檢測、判斷與認識。

7.安全是投資，不是消費

安全投資需要得到企業或組織領導的大力支持。對計算機和網絡進行安全投資，迎接不斷增長的商務需求與風險的挑戰，是在不對企業發生損害的情況下滿足商務需求的重要措施。安全性能較高的服務器可以使公司實現該領域的其他銷售人員和商業夥伴實現信息的共享，而不正確的係統配置卻會導致數據的丟失和係統損害情況的發生。

安全有時就象汽車的安全氣囊那樣，盡管在大部分時間裏它並不發揮什麼作用，但它的存在依然很有必要。安全管理比安全更重要。

三、建立安全小組

安全策略的創建往往需要一個團隊的協同工作，以保證所製定的策略是全麵的、切合實際的、能夠有效實施的、性能優良的。

把來自公司不同部門的人組成一個小組或團隊的另一個理由是當團隊中的某些成員意見分歧時，能夠進行充分的討論，以得到一個較好的解決問題的辦法。這樣的效果遠遠好於從營銷、銷售或開發方麵得到的信息更完善。