1.1.3 安全策略

在进行技术实施的时候，人们经常会提到“安全策略”。技术实施中的安全策略，多指实施某些特定的技术或者设备特性。但本书介绍的安全策略是指企业的安全策略。

企业安全策略是对一家组织机构中，所有技术与信息资产的合法使用者所必须遵守的操作准则所定义的正式条款。在网络设计之初，就应该根据需求定义好对应的安全策略，并且在之后严格地执行，因为安全策略可以：

• 指导用户、员工和管理层的操作行为；
• 制定安全机制；
• 设定操作基线；
• 对人员和信息形成有效的保护；
• 设定合法的操作行为；
• 授权专业人士对网络进行监测；
• 定义哪些行为违反（violate）了安全策略，以及针对这些行为的处理方式。

安全策略的构成如图1-5所示。

图1-5　安全策略的构成

如图1-5所示，安全策略中至少应该包括标准、基线、指导方针和流程4部分。其中标准和基线是概括性设计（High-Level Design），而流程属于细节性设计（Low-Level Design）。概括性设计中的标准用来指定在这个网络环境中应该使用哪些技术；基线指定了安全需求的最低限度应该满足什么要求；指导方针定义了如何实现标准中定义的技术；流程则应该明确写明技术人员在按照指导方针实施或者执行标准时，具体应该如何进行操作。

在对网络安全及与网络安全有关的概念进行了一些解释和澄清后，接下来看一下网络长期面临的一系列安全威胁。