第一篇：網(wǎng)絡(luò)安全策略十大原則

網(wǎng)絡(luò)安全策略的十大原則

1.木桶原則：是指要對企業(yè)網(wǎng)絡(luò)安全進行均衡全面的保護。因為任何一方面的缺失或不完全都有可能影響到其他方面的保護效果。

2.整體性原則：這一原則要求我們在進行安全策略設(shè)計時充分考慮各種安全配套措施的整體一致性，不要顧此失彼。既要重視對攻擊的防御，又要考慮在網(wǎng)絡(luò)遭受攻擊、破壞后，快速回復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。

3.均衡性原則：對于任何網(wǎng)絡(luò)而言，絕對安全難以達到，也不一定是必要的，所以需要建立合理的使用安全性與用戶需求評價和平衡體系。

4.可行性原則：任何一個企業(yè)在網(wǎng)絡(luò)安全需求方面都有它獨特性，對于網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力。我們不能一味的花高代價來部署安全性的防護系統(tǒng)，而應(yīng)結(jié)合企業(yè)的實際安全需求進行綜合評價。

5.等級性原則：等級是指安全層次和安全級別。良好的安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。

6.一致性原則：安全防護系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準，只有這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全的互聯(lián)互通、信息共享。

7.易操作性原則：首先，安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

8.技術(shù)與管理相結(jié)合原則：安全防護體系是一個復(fù)雜的系統(tǒng)工程，涉及人力、技術(shù)、操作和管理等方面的因素，單靠技術(shù)或單靠管理都不可能實現(xiàn)，因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)結(jié)合起來全盤考慮。9.統(tǒng)籌規(guī)劃，分布實施原則：在部署安全防護策略是可考慮現(xiàn)在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實際需要建立基本的安全體系，保證基本的、必需的安全性，然后隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度變化，調(diào)整或曾倩安全防護力度，保證整個網(wǎng)絡(luò)最根本的安全需求。

10.動態(tài)發(fā)展原則：在制定策略時要明確要根據(jù)網(wǎng)絡(luò)的發(fā)展變化和企業(yè)自身實力的不斷增強，對安全系統(tǒng)進行不斷的調(diào)整，以適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。

第二篇：工業(yè)網(wǎng)絡(luò)安全策略

工業(yè)網(wǎng)絡(luò)安全策略

隨著新一年的到來，發(fā)電廠和大型電力企業(yè)對網(wǎng)絡(luò)安全的重視程度也邁上了一個新的臺階。NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護）條例的生效意味著電力供應(yīng)和輸配電部門必須采取明確的安全防范措施，以確保持續(xù)供電。一旦有人違反了條例中的要求，就會被處以巨額罰款。

而許多行業(yè)外人士也正在密切關(guān)注電力行業(yè)的動態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)，而且是越早越好。在過去的一、兩年中，工業(yè)網(wǎng)絡(luò)安全經(jīng)歷了迅猛的發(fā)展。大約一年前，美國中央情報局（CIA）的一份報告中記錄了這樣一起事件：一項勒索行動中，一部放置在海外的設(shè)備被網(wǎng)絡(luò)黑客成功破壞。嚴重黑客攻擊（如圖所示）的性質(zhì)，已經(jīng)從單純的娛樂，擴展到了犯罪、恐怖主義、甚至國家贊助的間諜活動。我們必須采取適當(dāng)而有力的防御措施來應(yīng)對黑客攻擊行為的不斷升級。

NERC CIP條例自2002年頒布以來，經(jīng)常有人將其執(zhí)行效果與那部在執(zhí)行上充滿混亂的Sarbanes-Oxley(SOX)法案相比較。艾默生電力和水力部門的SCADA及安全業(yè)務(wù)發(fā)展經(jīng)理Eric Casteel承認，兩者在執(zhí)行效果上有相似之處。他說：“SOX法案頒布之后，相關(guān)的指導(dǎo)很少而且對該法案的理解差異很大。NERC CIP標(biāo)準頒布之后，情況也是如此。有些客戶正在走高質(zhì)量線路，并希望采取最佳做法，以求在審查中獲得‘A’。而有些客戶則只想拿一個‘C’了事。更有些工廠的相關(guān)人員還會以‘我們不屬于關(guān)鍵資產(chǎn)’為理由進行搪塞。如果他們的工廠沒有停電啟動設(shè)施，同時也不是重要的兆瓦級發(fā)電站，那么他們就可能以此作為理由。但是從整體來看，一組電網(wǎng)的整體安全性僅等同于其中最薄弱部分的安全性。在這種情況下，標(biāo)準條例監(jiān)管機構(gòu)會對這些企業(yè)下達強制命令：每個發(fā)電、傳輸和配送部門，不論是否屬于關(guān)鍵資產(chǎn)部門，都必須履行這些條例?！?/p>

黑客能夠以各種手段和動機闖入你的系統(tǒng)。他們的特征具有普遍性，但也有特別之處。

要抵御業(yè)余愛好者的入侵并不困難，但是若想抵御訓(xùn)練有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。

從何入手？

如果你是從事電力或其他行業(yè)工作的，那么你應(yīng)該如何在你的DCS（集散控制系統(tǒng)）、SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）、或其它工業(yè)控制網(wǎng)絡(luò)中實施基本的網(wǎng)絡(luò)安全措施呢？通常在一個項目開始之前，應(yīng)該首先對當(dāng)前的情況進行一次評估，尤其要對網(wǎng)絡(luò)中的所有設(shè)備做一次清查。你需要弄清楚設(shè)備是怎樣連接的，以及設(shè)備上運行著何種軟件。如果你希望找出黑客從外部進入系統(tǒng)的方式并建立起適當(dāng)?shù)钠琳?，那么這就是你要做的第一件事。

“用戶對他們系統(tǒng)的實際架構(gòu)和連接方式的認識往往非常膚淺，”西門子能源與自動化集團過程自動化系統(tǒng)市場營銷經(jīng)理Todd Stauffer說道，“很多設(shè)備通過直接或間接的方式連接到控制網(wǎng)絡(luò)中，而生產(chǎn)過程負責(zé)人幾乎無法控制它們。因此，相關(guān)人員首先要做的事情之一，就是確認系統(tǒng)的實際架構(gòu)。應(yīng)該說，實際架構(gòu)很可能與他們想象中的大相徑庭?？梢钥隙ǖ氖?，相關(guān)人員在確認系統(tǒng)架構(gòu)的過程中幾乎總會發(fā)現(xiàn)意想不到的連接?！?/p>

艾默生過程管理的數(shù)據(jù)管理解決方案高級顧問David Rehbein，在Microsoft任職期間，從事了很多年網(wǎng)絡(luò)評估工作。他也認為進行評估是關(guān)鍵的第一步?！霸谙到y(tǒng)清查過程中，你可以發(fā)覺網(wǎng)絡(luò)上的每個IP地址，一些IP地址往往是在無人知曉的情況下悄然出現(xiàn)的。有些人連進網(wǎng)絡(luò)、在上面放了點東西，卻忘了告訴管理員(IT)。于是，你的系統(tǒng)上就有了一個非法客戶端或服務(wù)器。如果你對它的存在一無所知，那么你就無法知道它是否打了正確的安全補丁。你更無法知道它是否安全，有沒有運行查毒軟件。

了解你的連接

獨立的控制系統(tǒng)很容易保護，但這樣的系統(tǒng)已經(jīng)很少存在了。如果管理員要了解工廠當(dāng)前的情況，那么他獲取信息的最簡單方法就是查看控制系統(tǒng)。這樣的話，控制系統(tǒng)就要連接到公司的網(wǎng)絡(luò)中，而公司網(wǎng)絡(luò)毫無疑問是連接互聯(lián)網(wǎng)的。如果這類連接沒有得到很好的保護，那么就可能成為了一個主要的突破口?？刂葡到y(tǒng)與公司網(wǎng)絡(luò)結(jié)合得越全面，潛在的突破口就越多。這就是所謂的攻擊面積。

Rehbein回顧了一個他在微軟工作時參與的項目：“我們一天就完成了第一次評估，因為那是一個非常簡單的連接。他們沒有把工廠網(wǎng)絡(luò)連接到其他地方，能夠進入該網(wǎng)絡(luò)的唯一方式是進到建筑內(nèi)部。與這種情況形成鮮明對比的是：有些人希望和客戶或是位于瑞士的公司IT部門分享項目清單或者目前的生產(chǎn)水平。這就需要直接的互聯(lián)網(wǎng)連接，這也為其他任何人進入你的系統(tǒng)打開了方便之門。

出于商業(yè)目的的連接會可能會招來更多潛在的攻擊，這給操作人員和控制系統(tǒng)帶來了更多的壓力?；裟犴f爾過程解決方案開放系統(tǒng)服務(wù)的全球項目經(jīng)理Shawn Gold擔(dān)心各企業(yè)正在失去自行處理問題的能力。日益依賴外部支持就意味著增加突破口?！叭魏闻c外部世界的連接都是有風(fēng)險的，”他警告說，“但是為了獲得有幫助的服務(wù)和資源，你又必須連接到外部，這在當(dāng)今的經(jīng)濟環(huán)境下更是如此。你可能已經(jīng)記錄了所有的連接，這是一件好事。但也會有潛在的未被記錄的連接，或為應(yīng)對緊急情況而特設(shè)的連接，可能造成安全風(fēng)險。因此你必須知道在緊急情況下該做些什么，以及在遇到困難時，如何保護自己?！?/p>

監(jiān)控軟件

除了連接之外，你還需要知道網(wǎng)絡(luò)上有什么軟件。這一點至關(guān)重要的，主要的原因有兩個：一些軟件存在可以被黑客利用的漏洞；編寫不良的程序可能會引起內(nèi)部問題。

“每次增加軟件的同時，你也增加了被攻擊范圍?！?霍尼韋爾過程解決方案的全球安全架構(gòu)師Kevin Staggs建議道，“你安裝的一些不必要的軟件可能會與其他一些必要的控制軟件形成沖突，導(dǎo)致系統(tǒng)失靈。有些故障甚至是你無法看到的。有時候，軟件在編寫時的錯誤會造成內(nèi)存溢出。我們發(fā)現(xiàn)一個反病毒系統(tǒng)補丁里有內(nèi)存溢出，而運行該程序的控制系統(tǒng)在出現(xiàn)內(nèi)存不足前大約能運行35天。到那時候，系統(tǒng)就會出現(xiàn)嚴重的減速或者顯示警告，而操作人員會不知所措?！?/p>

Staggs補充說，這些有問題的程序可以產(chǎn)生和黑客引入的惡意軟件同樣的后果。如果軟件沒有被你的控制系統(tǒng)供應(yīng)商完全核實，那么就可能導(dǎo)致隱性沖突。他建議：“你應(yīng)該遵循一個非常良好的變化執(zhí)行過程。在你執(zhí)行一個變化之前，務(wù)必先檢查其基本的性能；在執(zhí)行

變化之后，立刻再檢查一次，并觀察一段時間。如果你嚴謹?shù)竭@種程度，應(yīng)該就能夠偵測到任何可能發(fā)生的問題。”

當(dāng)你了解了自己網(wǎng)絡(luò)的情況之后，如果出現(xiàn)了問題，你就會知道是否需要處理它了。西門子的Stauffer提到，白帽（white hat）組織發(fā)布了他們在公用軟件平臺上發(fā)現(xiàn)的漏洞，敦促供應(yīng)商修正它們，并警告說：“他們沒有意識到，他們的這一舉動是在為系統(tǒng)添亂，當(dāng)傳統(tǒng)系統(tǒng)的漏洞被公布在互聯(lián)網(wǎng)上供所有人瀏覽的時候，相關(guān)人員不得不去做那些他們原先不準備做的事情。這足以告訴黑客，對于一個給定的系統(tǒng)應(yīng)該從何著手實施攻擊。你還打算通過隱藏漏洞以保證安全嗎？忘了它吧。你的系統(tǒng)弱點早已經(jīng)被公布在網(wǎng)上了?！?/p>

咨詢你的供應(yīng)商

你可以采取的一個最簡單方法，就是向最初為你打造系統(tǒng)的供應(yīng)商進行咨詢。大多數(shù)公司會提供指導(dǎo)、案例研究、最佳做法以及根據(jù)積累的經(jīng)驗得出的其他意見。

網(wǎng)絡(luò)安全還包含了許多方面，但在此處討論并不合適。人事政策，外部管理收購，實體安全，縱深防御等等，都會對網(wǎng)絡(luò)安全策略產(chǎn)生影響。許多組織和公司為工業(yè)系統(tǒng)提供了網(wǎng)絡(luò)安全資源。如果你希望對此作深入研究，那么最好看一下這篇文章的邊欄。你應(yīng)該始終牢記，沒有解決一切的答案，也沒有絕對的安全。你能夠指望的最好情況是你的保護等級強于攻擊者的攻擊力度。

你的網(wǎng)絡(luò)安全實施資源

我們需要利用多種資源，或者說通過適當(dāng)?shù)目v深防御控制來“保障”過程控制系統(tǒng)的安全。譬如獲取管理支持，進行評估，確定風(fēng)險因素，選擇修復(fù)方案，在獲取管理支持后對適當(dāng)?shù)募夹g(shù)、程序和安全意識作高效整合并開展培訓(xùn)計劃?？傊?，請千萬記得獲取管理支持。

網(wǎng)絡(luò)安全的學(xué)習(xí)方式是多種多樣的，要根據(jù)具體的過程而定。但是，最佳出發(fā)點無疑是先回顧并深入理解以下內(nèi)容：

1.NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護）條例：這套重要的網(wǎng)絡(luò)安全標(biāo)準對大型電力系統(tǒng)組織有著深遠的影響。它還牽扯到其他涉及過程控制的領(lǐng)域，如航空、鐵路、廢水處理、天然氣、煉油、化工和制造業(yè)。因為這些領(lǐng)域在國際上也被公認是關(guān)鍵的基礎(chǔ)設(shè)施。NERC CIP是第一部具有制裁力的網(wǎng)絡(luò)安全標(biāo)準。不符合該標(biāo)準的情況一經(jīng)發(fā)現(xiàn)，可能被處以高達每天100萬美元的罰款。由于該標(biāo)準被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護標(biāo)準，其他用到SCADA和DCS的領(lǐng)域也正在對它進行審核。NERC CIP標(biāo)準可在獲得。該標(biāo)準需要結(jié)合具體的情況解釋執(zhí)行，遵守標(biāo)準的方式不止一種。

2.美國愛達荷國家實驗室的國家SCADA系統(tǒng)試驗平臺和DHS控制系統(tǒng)安全計劃：這項計劃提供了許多關(guān)于安全意識、安全評估和安全架構(gòu)方面的細節(jié)。它涉及的范圍非常廣泛，其中，我們特別推薦的一項是控制系統(tǒng)的網(wǎng)絡(luò)安全獲取語言，相應(yīng)鏈接為：004km.cn/isasp99。

5.傳統(tǒng)的IT解決方案，譬如信息及相關(guān)技術(shù)的控制目標(biāo)(CObIT)，ISO 27005和ISO 17799標(biāo)準：許多現(xiàn)有的IT控制和安全框架能夠在工業(yè)控制系統(tǒng)環(huán)境內(nèi)提供基本的操作。傳統(tǒng)IT業(yè)務(wù)系統(tǒng)和過程控制系統(tǒng)的連接往往要考慮到效率和成本控制。因此，最好的做法是對特定的IT和過程控制系統(tǒng)進行優(yōu)勢互補。關(guān)鍵問題是如何劃定連接系統(tǒng)與獨立操作系統(tǒng)之間的界限？尋找這一答案對相關(guān)組織和行業(yè)來說無疑是個挑戰(zhàn)，卻有著特別的意義。004km.cn；004km.cn。

許多組織為SCADA系統(tǒng)特別制定了標(biāo)準，包括：ISA，ISO，IEC，API，AGA，ChemITC，DHS CSSP，PCSF，CIGRE，NSTB，IEEE，EPRI，I3P，NERC和NIST。Control Engineering將繼續(xù)通過其網(wǎng)絡(luò)安全博客，以實踐和應(yīng)用的方式解讀這些標(biāo)準，從而為解決所有基礎(chǔ)設(shè)施普遍面臨的安全挑戰(zhàn)助一臂之力。

縱深防御的一個關(guān)鍵參考

由David Kuipers和Mark Fabro撰寫的 《控制系統(tǒng)的網(wǎng)絡(luò)安全：縱深防御策略》（2006年5月）一文被看作是工業(yè)網(wǎng)絡(luò)安全方面的經(jīng)典之作。Fabro是Lofty Perch總裁兼首席安全科學(xué)家，并曾經(jīng)與美國DHS和INL（愛達荷國家實驗室）開展過廣泛的合作。關(guān)于撰寫這篇報告，他這樣說道：

“隨著DHS的控制系統(tǒng)安全計劃(CSSP)在私營部門密切開展，其中一個主要的想法是探討如何在以前獨立的大型系統(tǒng)內(nèi)建立有效的網(wǎng)絡(luò)安全?？紤]到其中一些‘專用’技術(shù)的‘年齡’和操作上的差別，我們無法用當(dāng)代的網(wǎng)絡(luò)安全解決方案對它們進行合并。這些資產(chǎn)所有者和經(jīng)營者已經(jīng)告訴我們，諸如IDS(入侵檢測系統(tǒng))和防火墻之類的措施在起到積極效果的同時，又不會對操作造成任何影響。資產(chǎn)所有者需要一種平衡的安全策略，既不會打亂他們的系統(tǒng)，又能夠減少網(wǎng)絡(luò)風(fēng)險?！?/p>

“縱深防御模型工作的理念是：針對控制架構(gòu)中不同層次采用與其相適的安全水平等級，并將各層次的安全元素結(jié)合在一起構(gòu)成一個全面的安全防御態(tài)勢。編寫這本實踐指南主要是為了指導(dǎo)讀者一些在控制系統(tǒng)環(huán)境中處理較常見的漏洞，以及如何部署適當(dāng)?shù)陌踩鉀Q方案以幫助彌補這些漏洞。該計劃的目標(biāo)是綜合CSSP收集的來自利益相關(guān)者的反饋，深入研究如何滿足他們的需求，并建立指導(dǎo)以備相關(guān)部門進行評估。最終的指導(dǎo)經(jīng)過尋求它的利益相關(guān)者核實和審查，必定能夠產(chǎn)生非常積極的影響。目前，我們推薦的做法是對那些經(jīng)過論證確實能對控制系統(tǒng)架構(gòu)起到保護作用的方法作深入分析，盡量在提升安全性的同時不降低原有性能。”

第三篇：企業(yè)網(wǎng)絡(luò)信息安全策略

企業(yè)網(wǎng)絡(luò)信息安全策略

隨著計算機技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)管理也越來越受到人們的重視，企業(yè)的發(fā)展更離不開網(wǎng)絡(luò)，但是網(wǎng)絡(luò)的質(zhì)量又直接影響著企業(yè)的信息安全管理，因此，企業(yè)需要制定一種網(wǎng)絡(luò)和數(shù)據(jù)安全策略，提高網(wǎng)絡(luò)管理員的信息掌控能力，為了把企業(yè)網(wǎng)絡(luò)管理做到安全合理，翔羚科技給廣大企業(yè)做出以下幾點建議。

評估企業(yè)網(wǎng)絡(luò)完整性

評估網(wǎng)絡(luò)的完整性。“了解自己 IT 基礎(chǔ)架構(gòu)的起點和終點，但仍有為數(shù)眾多的企業(yè)不清楚其網(wǎng)絡(luò)的整體性。還要了解自己的?正常狀態(tài)?是什么，這樣能夠便于你快速確定問題并作出響應(yīng)。”重新評估您的可接受使用策略和商業(yè)行為準則?！皰仐壞欠N冗長的安全政策清單的做法，只將焦點放在那些您知道自己必須實施且能夠?qū)嵤┑恼呱??！?/p>

做好企業(yè)內(nèi)部人員數(shù)據(jù)管理

確定必須保護哪些數(shù)據(jù)?！叭绻恢辣仨毐Ｗo企業(yè)內(nèi)部的哪些信息，您就無法構(gòu)建有效的 DLP 計劃。您還必須確定企業(yè)內(nèi)部哪些人有權(quán)訪問這些信息，以及必須采用什么方式。”了解數(shù)據(jù)所在位置，目前采用什么方式進行保護(以及是否正進行保護)?！按_定哪些第三方有權(quán)存儲您公司的數(shù)據(jù)(從云服務(wù)提供商到電郵營銷企業(yè))，確保您的信息正得到適當(dāng)?shù)谋Ｗo。合規(guī)要求，以及當(dāng)前網(wǎng)絡(luò)犯罪領(lǐng)域?牽一發(fā)而動全身?的發(fā)展趨勢都表明，企業(yè)絕對不能假設(shè)自己的數(shù)據(jù)是安全的，即便是這些我要走了，今天就早！你給我的工資太高了我受不起啊，我每天都遲到自己感到十分的內(nèi)疚，不過每天都是我來最早的！合同我已經(jīng)撕了，你的那份我也幫你偷偷的撕了。我不會怪你的老板，要怪就怪那個寶寶，她怎么就在貴州了呢？我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里?！?/p>

合理采用監(jiān)控

采用出口監(jiān)控。“這是一項基本要求，但是很多企業(yè)都不夠重視，出口監(jiān)控是一種監(jiān)控重心的轉(zhuǎn)變，而不是僅側(cè)重于阻止?壞人?進來。您應(yīng)該監(jiān)控那些由內(nèi)向外發(fā)送的內(nèi)容，包括發(fā)送者是誰、發(fā)往何處，并攔截那些不允許外泄的內(nèi)容?！睖蕚溆颖厝坏絹淼?BYOD?！捌髽I(yè)不要再去想何時轉(zhuǎn)變到 BYOD 模式，而是要開始思考如何轉(zhuǎn)變?！?/p>

做好企業(yè)應(yīng)變決策

制定事件響應(yīng)計劃?！癐T 方面的風(fēng)險應(yīng)該像任何其他業(yè)務(wù)風(fēng)險一樣對待。這意味著企業(yè)需要預(yù)先制定明確的計劃，以便對任何類型的安全事件迅速作出適當(dāng)?shù)姆磻?yīng)，無論這些事件屬于有針對性攻擊所造成的數(shù)據(jù)泄露、員工疏忽導(dǎo)致的違規(guī)還是黑客行動主義事件?！睂嵤┌踩胧椭鷱浹a對社交網(wǎng)絡(luò)控制的不足?！安灰凸兰夹g(shù)控制的強大力量，比如用于抵御網(wǎng)絡(luò)威脅的入侵防御系統(tǒng)。聲譽過濾系統(tǒng)也是一種用于檢測可疑活動和內(nèi)容的基本工具?！北O(jiān)控風(fēng)險形勢的動態(tài)變化，及時向用戶通報。“企業(yè)及其安全團隊需要對范圍更廣的風(fēng)險來源保持警惕，包括移動設(shè)備、云和社交網(wǎng)絡(luò)，以及未來新技術(shù)可能伴隨的任何威脅。他們應(yīng)該采用雙管齊下的方法：對安全漏洞泄露作出反應(yīng)，同時主動教育員工如何保護自身和企業(yè)抵御持久、嚴重的網(wǎng)絡(luò)威脅?！?/p>

第四篇：網(wǎng)絡(luò)安全策略研究論文

計算機網(wǎng)絡(luò)是一個開放和自由的網(wǎng)絡(luò)，它在大大增強了網(wǎng)絡(luò)信息服務(wù)靈活性的同時，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴大了其傳播范圍，而且各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進的計算機網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成重大經(jīng)濟損失，而且會威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。近年來，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國共同關(guān)注的焦點。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點策略。

一、常見的幾種網(wǎng)絡(luò)入侵方法

由于計算機網(wǎng)絡(luò)的設(shè)計初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時，計算機網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性：無法有效識別網(wǎng)絡(luò)用戶的真實身份；由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過偽裝發(fā)動攻擊

利用軟件偽造Ip包，把自己偽裝成被信任主機的地址，與目標(biāo)主機進行會話，一旦攻擊者冒充成功，就可以在目標(biāo)主機并不知曉的情況下成功實施欺騙或入侵；或者，通過偽造Ip地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求，從而造成緩沖區(qū)阻塞或死機；或者，通過將局域網(wǎng)中的某臺機器Ip地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開放端口漏洞發(fā)動攻擊

利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計不當(dāng)或缺乏限制，因而造成地址空間錯誤的一種漏洞。利用軟件系統(tǒng)中對某種特定類型的報文或請求沒有處理，導(dǎo)致軟件遇到這種類型的報文時運行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過木馬程序進行入侵或發(fā)動攻擊

木馬是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點，一旦被成功植入到目標(biāo)主機中，計算機就成為黑客控制的傀儡主機，黑客成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、賬號、密碼等。此外，黑客可以遠程控制傀儡主機對別的主機發(fā)動攻擊，如DDoS攻擊就是大量傀儡主機接到攻擊命令后，同時向被攻擊目標(biāo)發(fā)送大量的服務(wù)請求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息，它對網(wǎng)絡(luò)安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對系統(tǒng)漏洞，對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機的有用信息，作為實施下一步攻擊的前奏。

為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VpN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VpN屬早期的被動防護技術(shù)，入侵檢測、入侵防

御和漏洞掃描屬主動檢測技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護技術(shù)的出發(fā)點是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。

2.VpN

VpN（Virtual private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VpN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VpN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對等的身份認證和應(yīng)用數(shù)據(jù)的加密；在會話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接，建立到Socks服務(wù)器的VpN隧道；在網(wǎng)絡(luò)層有IpSec協(xié)議，它是一種由IETF設(shè)計的端到端的確保Ip層通信安全的機制，對Ip包進行的IpSec處理有AH（Authentication Header）和ESp（Encapsulating Security payload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對網(wǎng)絡(luò)傳輸中的病毒進行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進行分析，但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因為它無法識別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的Ip/MAC地址，以及TCp/UDp端口和協(xié)議。

三、網(wǎng)絡(luò)檢測技術(shù)分析

人們意識到僅僅依靠防護技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運而生。這類技術(shù)的基本思想是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有：

1.入侵檢測

入侵檢測系統(tǒng)（Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（Intrusion prevention System,IpS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IpS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IpS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IpS部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J為IpS就是防火墻加上入侵檢測系統(tǒng)，但并不是說IpS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCp/Ip協(xié)議的過濾方面表現(xiàn)出色，同時具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計、VpN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得知目標(biāo)主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個巨大、開放、動態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計算機病毒，防火墻只能對非法訪問通信進行過濾，而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設(shè)施中，安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻:

[1]周碧英:淺析計算機網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊, 2008,(3):74～75

[3]劉愛國李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場現(xiàn)代化,2007,(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3): 199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技,2008,(3):193

第五篇：信息安全策略

信息安全策略

是一個有效的信息安全項目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價的實施控制方式，但它們也是最難實施的。策略花費的僅僅是創(chuàng)建、批準、交流所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費也是較小的。策略的制定需要達成下述目標(biāo)：減少風(fēng)險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時，應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計，以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。也需要召開相關(guān)人員會議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計主管和人力資源主管等。

為了確定哪些部分需要進一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計算機操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國際標(biāo)準、行業(yè)標(biāo)準來獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。資料收集不全，調(diào)研不夠充分會導(dǎo)致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復(fù)的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施，但經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。

一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負責(zé)篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。如果組織內(nèi)還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個適當(dāng)?shù)膶嵤┻^程，如果這些策略不能得到實施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認為信息安全為題已經(jīng)處理雖然現(xiàn)實是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲嫴块T內(nèi)討論如果具體實施。新策略的執(zhí)行可能會遇到多樣化的問題?？梢酝ㄟ^績效評估和相應(yīng)獎懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識提升是無效的。在此情形下，需要尋找更有效的方式實施，或修改策略，以便更好的反映組織文化。

另有一些策略實施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評估調(diào)查表—在新的策略實施時，制定評估表，填寫實施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過錄像或培訓(xùn)軟件存檔。不同策略對象可能要不同的培訓(xùn)課程。

分配策略落實負責(zé)人——按部門或?qū)嶋H情況分配負責(zé)人，落實責(zé)任。