- Văn bản
- Lịch sử
According to RFC 2196, “Site Securi
According to RFC 2196, “Site Security Handbook:”
A security policy is a formal statement of the rules by which people who are given
access to an organization’s technology and information assets must abide.
A
security policy
informs users, managers, and technical staff of their obligations for pro-
tecting technology and information assets. The policy should specify the mechanisms by
which these obligations can be met. As was the case with the security plan, the security
policy should have buy-in from employees, managers, executives, and technical personnel.
Developing a security policy is the job of senior management, with help from security
and network administrators. The administrators get input from managers, users, network
designers and engineers, and possibly legal counsel. As a network designer, you should
work closely with the security administrators to understand how policies might affect the
network design.
Chapter 8: Developing Network Security Strategies 237
After a security policy has been developed, with the engagement of users, staff, and man-
agement, it should be explained to all by top management. Many enterprises require per-
sonnel to sign a statement indicating that they have read, understood, and agreed to abide
by a policy.
A security policy is a living document. Because organizations constantly change, securi-
ty policies should be regularly updated to reflect new business directions and technologi-
cal shifts. Risks change over time also and affect the security policy.
Components of a Security Policy
In general, a policy should include at least the following items:
■
An
access policy
that defines access rights and privileges. The access policy should
provide guidelines for connecting external networks, connecting devices to a net-
work, and adding new software to systems. An access policy might also address how
data is categorized (for example, confidential, internal, and top secret).
■
An
accountability policy
that defines the responsibilities of users, operations staff,
and management. The accountability policy should specify an audit capability and
provide incident-handling guidelines that specify what to do and whom to contact if
a possible intrusion is detected.
■
An
authentication policy
that establishes trust through an effective password poli-
cy and sets up guidelines for remote-location authentication.
■
A
privacy policy
that defines reasonable expectations of privacy regarding the
monitoring of electronic mail, logging of keystrokes, and access to users’ files.
■
Computer-technology purchasing guidelines
that specify the requirements for ac-
quiring, configuring, and auditing computer systems and networks for compliance
with the policy.
Developing Security Procedures
Security procedures implement security policies. Procedures define configuration, login,
audit, and maintenance processes. Security procedures should be written for end users,
network administrators, and security administrators. Security procedures should specify
how to handle incidents (that is, what to do and who to contact if an intrusion is detect-
ed). Security procedures can be communicated to users and administrators in instructor-
led and self-paced training classes.
Maintaining Security
Security must be maintained by scheduling periodic independent audits, reading audit
logs, responding to incidents, reading current literature and agency alerts, performing
security testing, training security administrators, and updating the security plan and poli-
cy. Network security should be a perpetual process. Risks change over time, and so
should security. Cisco security experts use the term
security wheel
to illustrate that
238 Top-Down Network Design
implementing, monitoring, testing, and improving security is a never-ending process.
Many overworked security engineers might relate to the wheel concept. Continually
A security policy is a formal statement of the rules by which people who are given
access to an organization’s technology and information assets must abide.
A
security policy
informs users, managers, and technical staff of their obligations for pro-
tecting technology and information assets. The policy should specify the mechanisms by
which these obligations can be met. As was the case with the security plan, the security
policy should have buy-in from employees, managers, executives, and technical personnel.
Developing a security policy is the job of senior management, with help from security
and network administrators. The administrators get input from managers, users, network
designers and engineers, and possibly legal counsel. As a network designer, you should
work closely with the security administrators to understand how policies might affect the
network design.
Chapter 8: Developing Network Security Strategies 237
After a security policy has been developed, with the engagement of users, staff, and man-
agement, it should be explained to all by top management. Many enterprises require per-
sonnel to sign a statement indicating that they have read, understood, and agreed to abide
by a policy.
A security policy is a living document. Because organizations constantly change, securi-
ty policies should be regularly updated to reflect new business directions and technologi-
cal shifts. Risks change over time also and affect the security policy.
Components of a Security Policy
In general, a policy should include at least the following items:
■
An
access policy
that defines access rights and privileges. The access policy should
provide guidelines for connecting external networks, connecting devices to a net-
work, and adding new software to systems. An access policy might also address how
data is categorized (for example, confidential, internal, and top secret).
■
An
accountability policy
that defines the responsibilities of users, operations staff,
and management. The accountability policy should specify an audit capability and
provide incident-handling guidelines that specify what to do and whom to contact if
a possible intrusion is detected.
■
An
authentication policy
that establishes trust through an effective password poli-
cy and sets up guidelines for remote-location authentication.
■
A
privacy policy
that defines reasonable expectations of privacy regarding the
monitoring of electronic mail, logging of keystrokes, and access to users’ files.
■
Computer-technology purchasing guidelines
that specify the requirements for ac-
quiring, configuring, and auditing computer systems and networks for compliance
with the policy.
Developing Security Procedures
Security procedures implement security policies. Procedures define configuration, login,
audit, and maintenance processes. Security procedures should be written for end users,
network administrators, and security administrators. Security procedures should specify
how to handle incidents (that is, what to do and who to contact if an intrusion is detect-
ed). Security procedures can be communicated to users and administrators in instructor-
led and self-paced training classes.
Maintaining Security
Security must be maintained by scheduling periodic independent audits, reading audit
logs, responding to incidents, reading current literature and agency alerts, performing
security testing, training security administrators, and updating the security plan and poli-
cy. Network security should be a perpetual process. Risks change over time, and so
should security. Cisco security experts use the term
security wheel
to illustrate that
238 Top-Down Network Design
implementing, monitoring, testing, and improving security is a never-ending process.
Many overworked security engineers might relate to the wheel concept. Continually
0/5000
Theo RFC 2196, "trang web bảo mật sổ tay:"Một chính sách bảo mật là một tuyên bố chính thức của các quy tắc của mà mọi người đã được đưa ratruy cập vào một tổ chức công nghệ và thông tin tài sản phải tuân thủ.Achính sách bảo mậtthông báo cho người dùng, quản lý, và các cán bộ kỹ thuật của các nghĩa vụ cho pro-tecting công nghệ và thông tin tài sản. Chính sách nên xác định các cơ chế bởimà các nghĩa vụ này có thể được đáp ứng. Như là trường hợp với kế hoạch an ninh, an ninhchính sách phải mua-in từ nhân viên, nhà quản lý, giám đốc điều hành và nhân viên kỹ thuật.Phát triển một chính sách bảo mật là công việc của quản lý cấp cao, với sự giúp đỡ từ an ninhvà người quản trị mạng. Các quản trị viên nhận được đầu vào từ người quản lý, người sử dụng, mạngnhà thiết kế và kỹ sư, và tư vấn pháp lý có thể. Là một nhà thiết kế mạng, bạn nênlàm việc chặt chẽ với các quản trị viên an ninh để hiểu cách chính sách có thể ảnh hưởng đến cácthiết kế mạng.Chương 8: Phát triển chiến lược an ninh mạng 237Sau khi một bảo mật chính sách đã được phát triển, với sự tham gia của người dùng, nhân viên, và người đàn ông-agement, nó nên được giải thích cho tất cả bởi quản lý hàng đầu. Nhiều doanh nghiệp yêu cầu một-sonnel đăng một thông báo nói rằng họ đã đọc, hiểu và đồng ý tuân thủbởi một chính sách.Một chính sách bảo mật là một tài liệu sống. Bởi vì tổ chức liên tục thay đổi, securi -ty chính sách phải được thường xuyên cập nhật để phản ánh hướng kinh doanh mới và technologi-Cal thay đổi. Rủi ro thay đổi theo thời gian cũng và ảnh hưởng đến chính sách bảo mật.Thành phần của một chính sách bảo mậtNói chung, một chính sách nên bao gồm tối thiểu các mục sau đây:■Một chính sách truy nhậpđó xác định quyền truy cập và đặc quyền. Chính sách truy nhập nêncung cấp hướng dẫn cho kết nối mạng bên ngoài, kết nối thiết bị với một net-công việc, và thêm các phần mềm mới cho hệ thống. Một chính sách truy cập cũng có thể giải quyết như thế nàodữ liệu được phân loại (cho ví dụ, bí mật, nội bộ, và đầu trang bí mật).■Một chính sách trách nhiệmmà xác định trách nhiệm của người sử dụng, hoạt động nhân viên,và quản lý. Chính sách trách nhiệm nên chỉ định một khả năng kiểm tra vàcung cấp hướng dẫn xử lý sự cố chỉ định những việc cần làm và người mà để liên lạc với nếumột sự xâm nhập có thể được phát hiện.■Một xác thực chính sáchmà thiết lập sự tin tưởng thông qua một mật khẩu hiệu quả poli-cy và thiết lập các hướng dẫn cho vị trí từ xa xác thực.■A chính sách bảo mậtđó xác định các kỳ vọng hợp lý của bảo mật liên quan đến cácGiám sát các thư điện tử, khai thác gỗ của tổ hợp phím, và truy cập vào tập tin của người dùng.■Hướng dẫn mua công nghệ máy tínhđó xác định các yêu cầu cho ac-Quiring, cấu hình, và kiểm toán hệ thống máy tính và mạng cho phù hợpvới chính sách.Phát triển các thủ tục bảo mậtThủ tục bảo mật thực hiện chính sách bảo mật. Quy trình xác định cấu hình, đăng nhập,kiểm toán, và quy trình bảo dưỡng. Thủ tục bảo mật nên được viết cho người dùng cuối,quản trị mạng, và quản trị viên an ninh. Thủ tục bảo mật nên chỉ địnhlàm thế nào để xử lý sự cố (có nghĩa là, phải làm gì và những người liên hệ nếu một sự xâm nhập phát hiện-Ed). Thủ tục bảo mật có thể được truyền đạt đến người sử dụng và quản trị viên trong hướng dẫn-Các lớp đào tạo chì và tự phục tốc độ.Duy trì an ninhBảo mật phải được duy trì bởi lập kế hoạch định kỳ kiểm toán độc lập, đọc kiểm toánbản ghi, đáp ứng với sự cố, đọc các cảnh báo hiện tại của văn học và cơ quan thực hiệnkiểm tra an ninh, đào tạo quản trị viên an ninh và cập nhật các kế hoạch an ninh và poli-cy. An ninh mạng phải là một quá trình vĩnh viễn. Rủi ro thay đổi theo thời gian, và như vậynên bảo mật. Chuyên gia bảo mật Cisco sử dụng thuật ngữ bánh xe an ninhđể minh họa mà238 trên xuống mạng thiết kếthực hiện, giám sát, kiểm tra, và cải thiện an ninh là một quá trình never-ending.Nhiều an ninh overworked kỹ sư có thể liên quan đến khái niệm bánh xe. Liên tục
đang được dịch, vui lòng đợi..
Theo RFC 2196, "Sổ tay an Site:"
Một chính sách an ninh là một tuyên bố chính thức của các quy tắc mà những người đang được
tiếp cận công nghệ và thông tin tài sản của một tổ chức phải tuân thủ.
Một
chính sách an ninh
thông báo người dùng, các nhà quản lý và nhân viên kỹ thuật của nghĩa vụ của mình cho trình
công nghệ tecting và thông tin tài sản. Chính sách này nên xác định các cơ chế
mà các nghĩa vụ có thể được đáp ứng. Như trường hợp với các kế hoạch an ninh, an ninh
chính sách cần phải mua vào từ các nhân viên, nhà quản lý, giám đốc điều hành và nhân viên kỹ thuật.
Xây dựng một chính sách an ninh là công việc của quản lý cấp cao, với sự giúp đỡ từ an ninh
quản trị và mạng lưới. Các quản trị viên có được đầu vào từ các nhà quản lý, người sử dụng, mạng lưới
các nhà thiết kế và kỹ sư, và tư vấn pháp lý có thể. Là một nhà thiết kế mạng, bạn nên
làm việc chặt chẽ với các nhà quản trị bảo mật để hiểu làm thế nào các chính sách có thể ảnh hưởng đến các
thiết kế mạng.
Chương 8: Phát triển chiến lược an ninh mạng 237
Sau một chính sách an ninh đã được phát triển, với sự tham gia của người sử dụng, nhân viên, và lý
quản, cần được giải thích cho tất cả các quản lý cao nhất. Nhiều doanh nghiệp yêu cầu trọng
sonnel ký một tuyên bố cho biết họ đã đọc, hiểu và đồng ý tuân
theo một chính sách.
Một chính sách an ninh là một tài liệu sống. Bởi vì các tổ chức liên tục thay đổi, securi-
chính sách ty nên được cập nhật thường xuyên để phản ánh các hướng kinh doanh mới và technologi-
ca cal. . Rủi ro thay đổi theo thời gian cũng có ảnh hưởng tới chính sách an ninh
Các thành phần của một chính sách an ninh
chung, một chính sách phải bao gồm ít nhất các mục sau đây:
■
Một
chính sách truy cập
xác định quyền truy cập và đặc quyền. Các chính sách truy cập nên
cung cấp hướng dẫn cho việc kết nối mạng bên ngoài, kết nối các thiết bị với một mạng lưới
làm việc, và thêm phần mềm mới cho hệ thống. Một chính sách truy cập cũng có thể giải quyết như thế nào
dữ liệu được phân vào đâu (ví dụ, bảo mật, nội bộ, và bí mật hàng đầu).
■
một
chính sách trách nhiệm
xác định trách nhiệm của người sử dụng, nhân viên hoạt động,
và quản lý. Các chính sách trách nhiệm nên xác định một khả năng kiểm toán và
cung cấp các hướng dẫn xử lý sự cố mà chỉ định phải làm gì và ai để liên hệ nếu
có sự xâm có thể được phát hiện.
■
Một
chính sách xác thực
mà thiết lập lòng tin thông qua một mật khẩu poli-
cy và thiết lập các hướng dẫn từ xa -Địa xác thực.
■
Một
chính sách bảo mật
định nghĩa mong đợi hợp lý của sự riêng tư liên quan đến việc
giám sát các thư điện tử, khai thác gỗ của các tổ hợp phím, và truy cập vào các tập tin của người dùng.
■
Hướng dẫn mua máy tính công nghệ
mà xác định các yêu cầu cho ac-
quiring, cấu hình, và hệ thống máy tính và mạng lưới kiểm toán cho phù hợp
với chính sách này.
Phát triển các thủ tục an ninh
Thủ tục bảo đảm thực hiện các chính sách an ninh. Thủ tục xác định cấu hình, đăng nhập,
kiểm toán và các quy trình bảo trì. Thủ tục an ninh cần phải được viết cho người dùng cuối,
quản trị mạng, quản trị và an ninh. Thủ tục an ninh cần phải xác định
làm thế nào để xử lý sự cố (có nghĩa là, phải làm gì và liên lạc với ai nếu một sự xâm nhập là detect-
ed). Thủ tục an ninh có thể được thông báo cho người sử dụng và quản trị viên trong instructor-
dẫn và đào tạo các lớp học tự paced.
Duy trì an ninh
bảo mật phải được duy trì bằng cách lên lịch các cuộc kiểm toán độc lập định kỳ, kiểm toán đọc
các bản ghi, ứng phó sự cố, đọc báo văn học và cơ quan hiện tại, thực hiện
kiểm tra an ninh , đào tạo quản trị an ninh, và cập nhật các kế hoạch an ninh và poli-
cy. An ninh mạng phải là một quá trình không ngừng. Rủi ro thay đổi theo thời gian, và vì vậy
nên an ninh. Các chuyên gia bảo mật của Cisco sử dụng thuật ngữ
bánh xe an ninh
để minh họa rằng
238 Top-Down Thiết kế mạng
thực hiện, giám sát, kiểm tra, và cải thiện an ninh là một quá trình không bao giờ kết thúc.
Nhiều kỹ sư an ninh làm việc quá sức có thể liên quan đến khái niệm bánh xe. Liên tục
Một chính sách an ninh là một tuyên bố chính thức của các quy tắc mà những người đang được
tiếp cận công nghệ và thông tin tài sản của một tổ chức phải tuân thủ.
Một
chính sách an ninh
thông báo người dùng, các nhà quản lý và nhân viên kỹ thuật của nghĩa vụ của mình cho trình
công nghệ tecting và thông tin tài sản. Chính sách này nên xác định các cơ chế
mà các nghĩa vụ có thể được đáp ứng. Như trường hợp với các kế hoạch an ninh, an ninh
chính sách cần phải mua vào từ các nhân viên, nhà quản lý, giám đốc điều hành và nhân viên kỹ thuật.
Xây dựng một chính sách an ninh là công việc của quản lý cấp cao, với sự giúp đỡ từ an ninh
quản trị và mạng lưới. Các quản trị viên có được đầu vào từ các nhà quản lý, người sử dụng, mạng lưới
các nhà thiết kế và kỹ sư, và tư vấn pháp lý có thể. Là một nhà thiết kế mạng, bạn nên
làm việc chặt chẽ với các nhà quản trị bảo mật để hiểu làm thế nào các chính sách có thể ảnh hưởng đến các
thiết kế mạng.
Chương 8: Phát triển chiến lược an ninh mạng 237
Sau một chính sách an ninh đã được phát triển, với sự tham gia của người sử dụng, nhân viên, và lý
quản, cần được giải thích cho tất cả các quản lý cao nhất. Nhiều doanh nghiệp yêu cầu trọng
sonnel ký một tuyên bố cho biết họ đã đọc, hiểu và đồng ý tuân
theo một chính sách.
Một chính sách an ninh là một tài liệu sống. Bởi vì các tổ chức liên tục thay đổi, securi-
chính sách ty nên được cập nhật thường xuyên để phản ánh các hướng kinh doanh mới và technologi-
ca cal. . Rủi ro thay đổi theo thời gian cũng có ảnh hưởng tới chính sách an ninh
Các thành phần của một chính sách an ninh
chung, một chính sách phải bao gồm ít nhất các mục sau đây:
■
Một
chính sách truy cập
xác định quyền truy cập và đặc quyền. Các chính sách truy cập nên
cung cấp hướng dẫn cho việc kết nối mạng bên ngoài, kết nối các thiết bị với một mạng lưới
làm việc, và thêm phần mềm mới cho hệ thống. Một chính sách truy cập cũng có thể giải quyết như thế nào
dữ liệu được phân vào đâu (ví dụ, bảo mật, nội bộ, và bí mật hàng đầu).
■
một
chính sách trách nhiệm
xác định trách nhiệm của người sử dụng, nhân viên hoạt động,
và quản lý. Các chính sách trách nhiệm nên xác định một khả năng kiểm toán và
cung cấp các hướng dẫn xử lý sự cố mà chỉ định phải làm gì và ai để liên hệ nếu
có sự xâm có thể được phát hiện.
■
Một
chính sách xác thực
mà thiết lập lòng tin thông qua một mật khẩu poli-
cy và thiết lập các hướng dẫn từ xa -Địa xác thực.
■
Một
chính sách bảo mật
định nghĩa mong đợi hợp lý của sự riêng tư liên quan đến việc
giám sát các thư điện tử, khai thác gỗ của các tổ hợp phím, và truy cập vào các tập tin của người dùng.
■
Hướng dẫn mua máy tính công nghệ
mà xác định các yêu cầu cho ac-
quiring, cấu hình, và hệ thống máy tính và mạng lưới kiểm toán cho phù hợp
với chính sách này.
Phát triển các thủ tục an ninh
Thủ tục bảo đảm thực hiện các chính sách an ninh. Thủ tục xác định cấu hình, đăng nhập,
kiểm toán và các quy trình bảo trì. Thủ tục an ninh cần phải được viết cho người dùng cuối,
quản trị mạng, quản trị và an ninh. Thủ tục an ninh cần phải xác định
làm thế nào để xử lý sự cố (có nghĩa là, phải làm gì và liên lạc với ai nếu một sự xâm nhập là detect-
ed). Thủ tục an ninh có thể được thông báo cho người sử dụng và quản trị viên trong instructor-
dẫn và đào tạo các lớp học tự paced.
Duy trì an ninh
bảo mật phải được duy trì bằng cách lên lịch các cuộc kiểm toán độc lập định kỳ, kiểm toán đọc
các bản ghi, ứng phó sự cố, đọc báo văn học và cơ quan hiện tại, thực hiện
kiểm tra an ninh , đào tạo quản trị an ninh, và cập nhật các kế hoạch an ninh và poli-
cy. An ninh mạng phải là một quá trình không ngừng. Rủi ro thay đổi theo thời gian, và vì vậy
nên an ninh. Các chuyên gia bảo mật của Cisco sử dụng thuật ngữ
bánh xe an ninh
để minh họa rằng
238 Top-Down Thiết kế mạng
thực hiện, giám sát, kiểm tra, và cải thiện an ninh là một quá trình không bao giờ kết thúc.
Nhiều kỹ sư an ninh làm việc quá sức có thể liên quan đến khái niệm bánh xe. Liên tục
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- The whole PPO therefore has the followin
- fade
- The process data within the PCD part act
- That is why there has been a resurgence
- Cấp nước đô thị
- That is why there has been a resurgence
- Cấp nước đô thị
- after a while
- narrator
- With well-defined property right in fish
- 배고파서 지금 먹고있어
- geschwach
- Figure 6 shows the two buttons for proce
- Enter your age to continue
- In this report you get an overview of th
- Although banks are ahead of schedule in
- Ngủ một mình trên phản
- .Consider installing a louvre window abo
- Name.Age.Nationality.Address Mobile phon
- The main purpose of the club is to help
- discuss its importance or significance t
- This level shows key performance indicat
- Name.Age.Nationality.Address Mobile phon
- 무인도 탈출해야 하는데 이 정도는 준비해야 하는 것 아닙니까?
