2015-6-9
• 成功安全策略的特征
–(1)能够得到最高领导的支持； –(2) 能够涉及到组织的整个角落和每一个人员，能够明确每 个角色在安全系统中应负的责任； –(3) 在建立初期，对系统中要保护的内容与保护的原因都有 一个清晰的认识； –(4) 对于要保护的内容，能够区别优先级； –(5) 通过安全策略，能够使组织中的每一个人员明白要保护 哪些内容的安全，为什么要保护和怎样保护等问题； –(6) 设置一个底线，使用户明白对于系统中的资源，哪些行 为是允许的，哪些是不允许的； –(7) 由可信的第三方监控执行； –(8) 有良好的可扩展性，当有新的规则时能够进行有效地更 改； –(9) 能够持续有效地运行。
2015-6-9
201表格对各种共享资源、网络资源进行分类梳理 ； –(2)对列举出来的资源，分析其所存在的威胁。 –(3)对所要保护的资源，确定保护的程度； –(4)创建策略小组，其中包括高级管理层，法制部门， IT部门和文档编辑部门的人员，每个部门至少有一个 工作人员出任小组成员，由策略小组负责起草安全策 略； –(5)确定需要被审计的内容。一般来说审计的安全事件 一般是发生在服务器、防火墙或网络主机上。所以审 计的对象一般为服务器、防火墙或网络主机的日志文 件，资源存取记录等。
11.1 系统安全策略
• 定义
– 安全策略是一系列用于规定与限制系统资源使用和 所有用户安全责任级别的策略和进程。
• 影响的方面
– 防火墙的设置：在对一个防火墙进行具体设置的时 候，规则库的设置必须参考系统安全策略。 – 用户的使用准则：在组织中，所有与互联网联接的 用户在通过防火墙时都必须遵循安全策略。