制定安全规划.pdfVIP

下载 第2章 制定安全规划 好的安全管理开始于合理的规划。本章覆盖了制定安全规划的基本步骤，帮助用户确定需 要保护的信息和系统资产，估计它们所面临的威胁，进行开销与收益分析，并制定应用安全 措施之前所需的安全策略。为了向规划提供一些额外内容，作者给出了一个多层防御的 U N I X 安全模型。本章还涉及到一些有关人员的论题，如用户的培训和系统管理员的道德问题等。 安全是一个从规划开始的过程。 U N I X系统安全管理也许可以不要规划，但这样迟早会导 致灾难发生。好的安全规划形成一个防御策略，这反过来成为安全策略的基础。一个安全规 划和相随的安全策略是其他安全措施的根基。 一个安全规划可以在一份正式文件中声明，由委员会起草，或者是基于安全策略表达成 一组简单的方式。如果用户为一家大机构工作，那么肯定存在已经形成的规划。如果第一次 为一个突然出现或与I n t e r n e t相连接的机构工作，则需要临时开发一个安全规划和策略。 开发一个安全策略和规划的第一步是通过分析站点面临的危险来产生一个安全评价。一 个安全评价应包含一个危险评估，能回答像下面这样的问题：哪些系统和信息资源需要保 护？系统中有多少数据且有多大价值？系统面临哪些危险？它们发生的可能性有多大？保护 系统所需的时