网络安全基本策略解析

对于完备的计算机网络来说，其安全策略所涉及范围很广，通常有这样几方面的策略用于网络的安全服务和管理。

1.网络规划安全策略

网络安全始于规划，而非始于设计。网络的安全性必须在网络规划阶段给予全面深入地分析，并在网络规划中加以考虑，制定相应的安全策略。在网络规划中，有关网络规划安全的策略有以下几方面要求。

1）明确网络安全的责任人和安全策略的实施者。

2）对网络上所有的服务器和网络设备，设置物理上的安全措施（防火、防盗）和环境上的安全措施（供电、温度）。

3）网络规划应考虑容错和备份。

4）如果资金允许，最好在网络和Internet之间安装防火墙。

5）通过使用网络代理服务器，加强网络的安全性。

2.网络信息安全策略

信息安全策略定义了一个组织内的敏感信息以及如何保护敏感信息。信息安全策略覆盖了一个组织内的全部敏感信息，本组织内的每个人都有责任保护所有接触的敏感信息。这就是信息安全策略的内涵。

3.计算机网络安全策略

计算机网络安全策略规定了计算机网络访问与应用安全的技术要求。该策略规定网络管理员不仅要制定网络安全的服务策略和管理策略，还必须制定计算机系统针对网络访问与应用的安全服务策略和管理策略，并与网络安全服务与管理策略互补，它们将共同影响着计算机网络用户在网络中的行为和应用实现的过程。可见，计算机系统用户和网络管理员都对网络安全策略的实施负有责任。常用的计算机网络安全策略有：用户身份及身份鉴别策略、访问控制策略、审计策略、网络连接策略、恶意代码处置策略和加密策略。

4.计算机系统安全策略

计算机及用户是网络中最基本的元素，计算机系统自身的安全直接影响着网络的安全。计算机系统安全策略规定了哪些用户可以使用计算机系统以及使用计算机系统的规则。计算机系统安全的常用策略有计算机所有权策略、计算机上信息所有权策略和计算机的使用许可策略。

5.电子邮件安全策略

电子邮件已经是一个组织计算机网络系统必须的网络服务，且电子邮件也已经成为网络系统中非常重要的信息。电子邮件的安全成为网络安全中的一个突出的安全技术问题，并同时配置一个组织电子邮件的安全策略。当规定并定义一个网络系统的电子邮件安全策略时，应考虑到网络内外电子邮件的安全策略问题。

内部邮件安全策略：对于一个内部网络内部的电子邮件系统，其电子邮件策略不应和其他的人力资源策略相冲突。例如，电子邮件策略应规定禁止利用电子邮件进行性骚扰；或规定在电子邮件中不用非正式用语与同伴通信。如果组织要对电子邮件的某些关键字或附件进行监控，则内部电子邮件策略应说明这类监控可能发生。相应策略还应对员工说明不能期望在电子邮件中有自己的隐私。

外部邮件安全策略：电子邮件可能包含一些敏感信息，因此外部邮件策略应明确在什么条件下是可以接收电子邮件的，并且在相关的安全策略中指出该类信息应如何保护。外部电子邮件策略特别注意识别进入内部网络的电子邮件。例如，对将要进入内部网络系统的电子邮件进行常规测试，以检查电子邮件的附件中是否有病毒。

6.共享访问Internet安全策略

让局域网中的用户能够访问Internet是一个组织及其网络系统最基本的访问策略和安全策略。Internet的接入可以提高员工的工作效率，但Internet也给员工提供了一个滥用计算机资源的机会，并使系统受到攻击的机会大大增加。有关计算机访问Internet的策略包含在通用计算机使用策略中。然而，由于Internet的特殊性，访问Internet的策略常作为单独的策略。

Internet使用策略规定了用户如何合理地使用Internet，诸如和业务有关的研究、采购，或使用电子邮件通信等；同时确定哪些是非正当访问Internet，诸如访问与业务无关的Web站点、下载有版权的软件、音乐文件的交易、发送连锁邮件等。假如共享访问Internet的策略是从计算机用户策略分离出来的，则说明员工对Internet的访问有可能受到了监视，当员工使用Internet时，就存在隐私方面的问题。

7.网络管理员安全策略(www.xing528.com)

网络管理员是网络的实际最高长官，网络的方方面面与网络管理员有密切的关系，网络管理员为了网络的安全需要对网络负有多种责任，这些责任具体地体现在网络的相关安全策略之中。对于小型网络来说，网络管理员一般同时承担着安全管理员的角色。网络管理员采取的安全策略，其重点是要保证网络服务器的安全，并切实配置好网络中各类用户的权限，还要负责对网络普通用户进行网络安全培训等。

网络管理员在制定安全策略时，必须了解整个网络中的重要公共数据（限制写）和机密数据（限制读）分别是哪些，放在何处，哪些人使用，属于哪些人，丢失或泄密会造成怎样的损失等。为此，这些重要数据应集中于中心机房的服务器上，并处于有安全经验的专人管理之下。

此外，应修改默认的管理员“Administrator”用户名，加上“强口令”（多于10个字符且必须包括数字和符号），最好再创建一个具有“强口令”的管理员特权的账号，使网络管理员账号不易被攻破。管理员账号仅用于网络管理，不要在任何客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重。同时，网络管理员要能够至少对用户“登录和注销网络”“重新启动、关机及系统”“安全规则更改”活动进行审计。不过，过多的审计将影响网络系统性能，所以进行设置网络审计策略与功能时应该格外谨慎。

8.远程访问服务安全策略

远程访问服务（RAS）是一个成熟的网络必需的网络服务之一。远程访问服务的安全策略主要有以下内容。

●不允许除了网络的RAS以外的机器应答远程访问请求。通常的做法是，搭建专门的远程访问服务器，并将该服务器置于中心机房。

●对于偶尔使用远程访问的网络，可以采用人工控制RAS服务的启动和停止。

●对固定的用户最好采取回叫的方式实现远程连接。

●通过RAS服务器的IP地址分配，限制远程用户的IP地址，进而利用防火墙控制和隔离远程访问客户。

●对于远程访问的口令采取某种加密鉴别，以保证用户口令在远程线路上安全传送。以上所有的策略无非两条，保护服务器不被非法访问和保护用户的口令。

9.网络用户账号安全策略

计算机网络的一个重要特征，就是每个网络用户必须在网络中有自己的账号。一个用户的账号就是一个“数字人”，它直接代表了用户在网络中的地位和利益。因此，网络的安全不仅仅是网络管理员的事，网络中的每一个用户都有责任。

对于网络用户账号配置，常用到的一些具体安全策略如下。

●用户应当设置一个长且难猜的口令，不要将自己的口令告诉任何人。

●用户应当清楚自己私有数据存储的位置，知道如何备份和恢复自己的数据。

●定期参加网络知识和网络安全的培训，了解网络安全知识，养成注意安全的工作习惯。

●尽量不要在本地硬盘上共享文件，因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上，既安全又方便了他人随时使用文件。

●设置有显示的（即非黑屏，防止误认为关机）屏幕保护，并且加上口令保护。

●当用户较长时间离开计算机时一定要退出网络。

●安装启动时病毒扫描软件。虽然绝大多数病毒对网络服务器构不成威胁，但会通过网络在客户端很快传播。