網路安全管理：三分技術加七分管理(轉)

網路安全管理：三分技術加七分管理(轉)[@more@]企業該如何在有限的資金條件下，達到投入與安全的平衡？

　　目前很多網路安全技術還處於探索階段，如果人云亦云地簡單購買安全產品，那麼，這個所謂的“IT黑洞”永遠無法填滿。

　　安全管理是填補“IT黑洞”最經濟有效的方式。

　　防病毒：要求病毒程式碼每週至少升級2~3次；

　　漏洞掃描：要求定期對網路掃描，發現系統的漏洞，指導打補丁；

　　網路入侵檢測系統：隨著網路結構和應用的變化調整重點預警區，不但要求網管員瞭解預警產品的功能及響應，還必須正確配置交換機監聽埠。

　　一、領導高度重視

　　對網路安全而言，領導重視更重要。網路安全管理是一個動態的系統工程，關係到：

　　安全專案規劃

　　應用需求分析

　　網路技術應用

　　安全策略制定

　　人員職責分工

　　安全等級評定

　　網路使用者管理

　　安全審計評價

　　人員安全培訓

　　安全規章制度建立

　　這些是對網路管理者提出的要求，僅靠技術人員的工作職能無法完成。

　　二、隨需求確定安全管理策略

　　隨著網路拓撲結構、網路應用以及網路安全技術的不斷髮展，安全策略的制訂和實施是一個動態的延續過程。當然可以請有經驗的安全專家或購買服務商的專業服務。

　　但是一個單位的網路安全服務建設不可能僅依靠公司提供的安全服務，因為商業行為與企業安全有本質差別，不是所有的網路都需要所有的安全技術，何況有些安全技術本身並不成熟，只有採取適當防護，重點突出的策略，才能有的放矢，不會盲目跟風。

　　不同的網路有不同的安全需求：

　　內部區域網和網際網路接入有不同的要求；

　　涉密計算機的管理與非涉密計算機的管理不同；

　　不需實時線上的小型資料系統並不需要昂貴的NAS產品，活動硬碟即可；

　　應該遵照國家和本部門有關資訊保安的技術標準和管理規範，針對本部門專項應用，對資料管理和系統流程的各個環節進行安全評估，確定使用的安全技術，設定安全應用等級，明確人員職責，制定安全分步實施方案，達到安全和應用的科學平衡。

　　就現階段而言，網路安全最大的威脅不是來自外部，而是內部人員對網路安全知識的缺乏。人是資訊保安目標實現的主體，網路安全需要全體人員共同努力，避免出現“木桶效應”。

　　可以用網上攻擊案例教育大家，使他們充分了解計算機網路存在的安全隱患，認識到網路安全人人有責，提高工作人員的安全保密意識和自我防範能力。

但出於資金考慮，一個單位願意花幾十萬元購買安全產品，而往往不願意讓技術人員參加有償培訓,這是一個極大的誤區。

　　網路安全是一門新興的技術,即便是對計算機專業人員來說也是一個嶄新的領域.如果技術人員對安全產品只有一知半解,就不能對產品正確配置,甚至根本配置錯誤,不但大的安全投入得不到保護,而且帶來虛假的安全。對於安全產品不能買回來一裝了事，應該瞭解安全工具的侷限性和雙刃性以及錯誤的配置帶來的問題。這要求技術人員不但要懂網路、懂安全，還要了解應用需求，瞭解網路協議、網路攻擊手段，認清並處理網路病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、信任關係利用、埠攻擊、未授權訪問等多樣化的攻擊手段。

　　針對技術人員的培訓包括：網路安全理論培訓、安全技術培訓、安全產品培訓以及本部業務培訓。

　　三、建立嚴格制度的文件

　　網路建設方案：網路技術體制、網路拓撲結構、裝置配置、IP地址和域名分配方案等相關技術文件；

　　機房管理制度：包括對網路機房實行分域控制，保護重點網路裝置和伺服器的物理安全；

　　各類人員職責分工：根據職責分離和多人負責的原則，劃分部門和人員職責。包括對領導、網路管理員、安全保密員和網路使用者職責進行分工；

　　安全保密規定：制定頒佈本部門計算機網路安全保密管理規定；

　　網路安全方案：網路安全專案規劃、分步實施方案、安全監控中心建設方案、安全等級劃分等整體安全策略；

　　安全策略文件：建立防火牆、入侵檢測、安全掃描和防病毒系統等安全裝置的安全配置和升級策略以及策略修改登記；

　　口令管理制度：嚴格網路裝置、安全裝置、應用系統以及個人計算機的口令管理制度；

　　系統操作規程：對不同應用系統明確操作規程，規範網路行為；

　　應急響應方案：建立網路資料備份策略和安全應急方案，確保網路的應急響應；

　　使用者授權管理：以最小許可權原則對網路使用者劃分資料庫等應用系統操作許可權，並做記錄；

　　安全防護記錄：記錄重大網路安全事件，對網路裝置和安全系統進行日誌分析，並提出修復意見；

　　定期對系統執行、使用者操作等進行安全評估，提交網路安全報告。

　　其它制度還有資訊釋出審批、裝置安裝維護管理規定、人員培訓和應用系統等，以及全面建立計算機網路各類文件，堵塞安全管理漏洞。