1.4 计算机网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。通常,计算机网络安全策略模型包括建立安全环境的三个重要组成部分。
(1)严格的法规。安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法,即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
(2)先进的技术。先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成全方位的安全系统。
(3)有效的管理。各网络使用机构、企事业单位应建立相应的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
网络安全策略是指在一个网络中对安全问题采取的原则,包括对安全使用的要求,以及如何保护网络的安全运行。制定网络安全策略首先要确定网络安全要保护什么,在这一问题上一般有两种截然不同的描述原则:一种是“一切没有明确表述为允许的都被认为是禁止的”;另一种是“一切没有明确表述为禁止的都被认为是允许的”。对于网络安全策略,一般采用第一种原则来加强对网络安全的限制。对于少数公开的试验性网络可能会采用第二种较宽松的原则,在这种情况下一般不把安全问题作为网络的一个重要问题来处理。
在确定了描述原则后,网络安全策略所要做的是确定网络资源的职责划分。网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置;更进一步要明确,授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用,并确定对每一设备或资源,谁拥有管理权,即可以为其他人授权,使其他人能够正常使用该设备或资源,并制定授权程序。
关于用户的权利与责任,在网络安全策略里中需要指明用户必须明确了解他们所用的计算机网络的使用规则。其中包括是否允许用户将账号转借给他人,用户应当将他们自己的口令保密到什么程度;用户应在多长时间内更改他们的口令,对其选择有什么限制;希望由用户自身提供备份还是由网络服务提供者提供备份。在关于用户的权利与责任中还会涉及电子邮件的保密性和有关讨论组的限制。在电子邮件组织(E1ectronic Mail Association)发表的白皮书中指出,Internet中每个计算机网络都要有策略来保护职员与用户的隐私。事实上,网络安全策略中所能达到的一定只是用户希望达到绝对稳私与网络管理人员为诊断、处理问题而收集用户信息的一个折中。安全策略中必须明确在什么情况下网络管理员可以读用户的文件,在什么情况下网络管理员有权检查网络上传送的信息。
另外,网络安全策略还应说明网络使用的类型限制。定义可接受的网络应用和不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制,但一般的网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略,破坏系统安全的行为都是被禁止的。在大型网络的安全管理中,还要确定是否要为特殊情况制定安全策略,例如是否允许某些组织(如CERT安全组)来试图寻找系统的安全弱点。对于此问题,对来自网络本身之外的请求,一般的回答是否定的。
在网络安全策略中,在确定对每个资源管理授权者的同时,还要确定他们可以对用户授予什么级别的权限。如果没有资源管理授权者的信息,就无法掌握哪些人在使用网络。对于主干网络中的关键通信资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全。同时,还要制定对用户授权过程的设计,以防止对授权职责的滥用。网络安全策略中可以明确每个资源的系统级管理员,但在网络的使用中,难免会遇到用户需要特殊权限的时候。其中一种最好的处理办法是尽量只分配给用户能够完成任务所需的最小权限。另外,网络安全策略中还要包含对特殊权限进行监测统计的部分,如果对授予用户的特殊权限不可统计,就难以保证整个网络不被破坏。
在明确网络用户、系统管理员的安全责任,正确利用网络资源要求的同时,还要准备检测到安全问题或系统遭受破坏时所采取的策略。对于发生在本网络内部的安全问题,要从主干网向地区网逐级过滤、隔离。地区网要与主干网形成配合,防止破坏蔓延。对于来自整个网络以外的安全干扰,除了必要的隔离与保护外,还要与对方所在网络进行联系,以进一步确定消除安全隐患。每一个网络安全问题都要有文档记录,包括对它的处理过程,并将其送至全网各有关部门,以便预防和留作今后进一步完善网络安全策略的资料。
网络安全策略还要包括本网络对其他相连网络的职责,如出现某个网络告知有威胁来自我方网络。在这种情况下,一般不会给予对方权利,让其到我方网络中进行调查,而是在验证对方身份的同时,自己对本方网络进行调查、监控,做好相互配合。最后,网络安全策略最终一定要送到每一个网络使用者手中。对付安全问题最有效的手段是教育,提高每个使用者的安全意识,从而提高整体网络的安全免疫力。网络安全策略作为向所有使用者发放的手册,应注明其解释权归属何方,以免出现不必要的争端。