当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:审计结果(2)

安全基础
正常关机后光电鼠标仍发光怎么解决
金山安全反病毒专家教你认识和安装系统补丁
微软IE团队成员揭秘中国网银不兼容非IE浏览器的原因
防火墙端口扫描和路径追踪设置防黑客入侵
压缩包里的压缩文件加上缩略图的方法
拒绝修改exe文件关联随EXE程序启动的木马
保护硬盘隐私数据防止黑客窃取的操作小方法
开机按F1故障怎么解决(新手学电脑)
实用技巧:自定义软件安装的默认路径
快速打开控制面板中的某一项目
避免网购被骗 揭秘网络钓鱼的9种骗术
删不掉文件的原因和辅助删除的软件工具
隐藏的系统克隆帐户全了解
剖析DDOS攻击的原理 提供解决方法
360安全卫士完美帮你系统打补丁
桌面多出几个IE图标有的不能删除怎么办
加载*dll出错,系统找不到指定的模块
如何揪出并根除Windows系统启动项
菜鸟防止黑客攻击的10个系统设置方法
新手学电脑:宽带拨号的设置方法

安全基础 中的 网络安全讲座之:审计结果(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 37 ::
收藏到网摘: n/a

增强一致性

  你不仅需要指出问题所在,还要排除问题。下面列出作为审计人员你应提出哪些建议。这些步骤总结了你在本课程中学到的安全规则。

  持续审计和加强安全的步骤

  下列是你对所有希望继续进行有效审计的公司建议采取的步骤。

   定义安全策略。
   建立对特定任务负责的内部组织。
   对网络资源进行分类。
   为雇员建立安全指导。
   确保个人和网络系统的物理安全。
   保障网络主机的服务和操作系统安全。
   加强访问控制机制。
   建立和维护系统。
   确保网络满足商业目标。
   保持安全策略的一致性。
   重复的过程。

  以上都是保证安全的基本步骤。许多国际性的公司要求符合这些需求。无论你提出了哪些方面的建议,你至少应该遵循某一种国际性的安全标准。

  安全审计和安全标准

  至少有三个国际安全标准可以供你在书写报告时进行参考。每种标准都可以帮助你使用正确的语言进行表达,更重要的是使你关注客户的商业需求。许多网络工作者认为这些标准没有必要,在处理更多的实际问题时很难将这些抽象的概念铭记在心。最后,将概念转变为实践是困难的。

  然而,因为许多公司要求遵循这些标准,所以它们也变得越来越重要。例如,许多政府在同公司进行商业合作时要求符合BS7799标准。

  ISO 7498-2

  国际标准组织(ISO)建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。文件的标题是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》,它是第一篇论述如何系统地达到网络安全的文章。

  英国标准7799(BS 7799)

  BS 7799文档的标题是《A Code of Practice For Information Security Management》,论述了如何确保网络系统安全。1999年的版本有两个部分。BS 7799-1讨论了确保网络安全所采取的步骤。BS 7799-2讨论了在实施信息安全管理系统(ISMS)时应采取的步骤。虽然BS 7799是英国的标准,但由于它可以帮助网络专家设计实施计划并提交结果,所以很多非英国的公司也接受这一标准。BS 7799系列与ISO 9000系列的文档有关。这些标准保证了公司之间安全的协作。

  实施信息安全管理系统(ISMS)的目的是确保公司使用的信息尽可能的安全。因此,需要考虑能够帮助在你的公司中建立、管理和传送信息的每个要素。这些要素包括电话联系,文件系统(文本和电子格式),网络传输等。所以,定义ISMS的任务变得很艰巨,你需要记录和分类建立信息的任何组成部分,包括铅笔、邮票、邮件等等。所幸的是,你可以定义一个范围,它可以使你只关注哪些对你的网络影响最大的内容。

  在完善ISMS是,应遵循以下步骤:

   定义安全策略。
   为你的信息安全管理系统(ISMS)定义范围。
   风险评估。
   对已知的风险进行排序和管理。

  你已经在本课中学习了每个步骤,当然,你需要将学到的技能与BS 7799和ISO 7498-2标准结合起来。这些标准会使你作为一名审计人员更具有可信度。

  在BS 7799和ISO 7498-2文档中讨论的许多步骤可以帮助你实施在前面提到的目标。这些标准建议你采取如下步骤:

   发布安全策略。
   公布负责人名单。
   培训公司人员的信息安全意识。
   定义汇报事件的程序。
   建立有效的反病毒保护措施。
   确保实施的策略与公司商业目标的一致性。
   制定规范以确保雇员不会为了完成任务而破坏软件许可规则。
   物理上确保对网络操作记录的安全。
   建立系统来保护公司数据的安全。
   实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程。

  Common Criteria(CC)

  Common Criteria提供了有助于你选择和发展网络安全解决方案的全球统一标准。ISO为了统一区域和国家间的安全标准指定了Common Criteria,因此,CC与ISO9000系列相似都是用来提供可以证明的过程。虽然CC的目的是统一ITSEC和TCSEC,但它们还是用来取代“Orange Book”标准。在编写本书时,Common Criteria被称为