检测企业站点安全策略注意要点

　　要制定一个可以接受的安全策略，就必须考虑许多成本因素，以确保该策略是可执行的。因为加密和解密都需要消耗时间和处理能力，所以需要考虑性能成本。如果仓促地决定把所有通信数据加密，就会导致严重的性能降低，这样的策略需要重新评估。此外还需要考虑机会成本。如果由于通信阻塞和执行安全策略(更不提安全审计了)所需的系统开销增大，使企业的反应比竞争对手迟缓，那么丧失的机会又是什么呢?

　　实施和管理安全程序的费用必须根据潜在的好处进行衡量。需要清楚的是，安全措施并不能保护未授权用户一定不能访问系统信息，也不能保护未授权用户一定不能对网络计算机系统执行未授权任务，安全措施只是使未授权的访问更加困难而已。最简单的例子是包过滤。即使企业对包进行了简单过滤，使只有来自外部的特定网络的数据信息流能够进入企业系统，但入侵者依然可以通过一些途径进入网络。他们首先找出能被接受的IP网络地址，然后通过假冒这些地址来访问内部网络。也许对包进行过滤并不困难，但它仍然能够阻止一些无聊的入侵者们在闲暇时间进行的一些攻击事件。

　　更复杂的例子是试图破坏加密的信息流。即便只是一种很简单的算法和一个很短的密钥，也能阻止一些攻击者截获有用信息。更健壮的算法和更长的密钥则具备更完备的加密机制，要解密也需要花更长的时间。此方法的要点是使攻击变慢，而且使攻击的成本增加，直到成本高得使入侵者认为不值得去攻击。

　　安全策略框架

　　在懂得如何进行风险管理后，就应该开始考虑为企业网络基础设施制定安全策略的其他方面问题。需要更严格安全性的特殊区域是最容易受到攻击的地方，例如网络之间的连接、拨号接入点和关键网络基础设施设备及服务器。

　　把企业网络划分成几个可以分别寻址的单独部分是很有帮助的。此外还应该设计考虑了安全结构所有因素的安全策略框架。为保证整个企业环境拥有一致的安全性步骤，企业的所有地方都应该遵守此安全策略框架。

　　在网络环境主要包括集中式、点对点结构，而且信息通道可以预先确定的时代，实现安全性是相当简单的。在保护连接的同时也保证了完整性、访问和信息的机密性。

　　现代的企业内部网通过提高整体效益为企业保持竞争有时提供了大量机会。这些机会同时也需要成本。当今的开放网络技术对企业的整体安全构成了威胁。开放意味着企业很少有能力控制哪些人可以访问它的信息资源，也不能完全控制信息流的路径。基于点对点、非分组传输的传统安全系统不会把发展中WAN和LAN技术作为当今企业网的核心，在当今的企业网中，数据通常在公共网络上传输。

　　在制定安全策略时，必须综合考虑信息的易于访问性和识别授权用户、确保数据完整性及机密的机制。安全策略必须在技术和企业上都可实施。重要的是有一个能够考虑安全结构中所有因素的整体企业安全构架。这样，单个策略就可以与整体的站点安全结构保持一致。总体安全策略框架必须包括身份、完整性、机密性、可用性和审计几个安全体系结构要素。在确定企业策略时，所有这些要素都必须予以充分考虑。

　　总结

　　安全策略也应该考虑个人安全的问题。个人安全问题包括确认身份的过程和步骤，访问某些信息所需的特权、正常使用以及确保被访问系统安全性的责任、还有适当的培训，以确保员工能够了解并履行其安全职责。确定企业安全策略，首先是确保整体的企业安全应当考虑的事项;其实是需要找到关键的资源，并且评估这些关键资源被毁坏的可能性以及由此造成的代价;最后是确定企业能够接受的风险等级。一旦确定了对指定弱点的风险承担能力，就可以为企业制定包括身份、完整性、机密性、可用性和审计服务的安全策略。