信息系統安全，計算機和網絡安全，還有Internet安全，它們組成一個錯綜復雜的世界。并且這些復雜性會隨著系統設備、數據通信、 攻擊活動的增加而越來越難以控制。因此人們不得不花費很多精力來研究安全對策。

　　安全策略不是一成不變的，隨著現實生活中Internet傳輸速率的加快，公司之間合作模式的出現，維護網絡安全的方法也在不斷的更新。

　　當然，網絡安全維護不僅僅是購買一些安全設備這么簡單，你還需要知道如何進行保護、保護的對象是什么及設備放置的最佳位置等諸多問題。

　　在一般情況下，我們可以把安全管理劃分為三個階段：計劃階段、策略設計階段和設計實施過程。

　　一、 當前網絡系統存在的問題

　　1、當計算機和網絡空間足夠大時，很多人希望網絡能夠支持所有的IP服務。其實人們常用的服務，只是一些基本的終端服務，例如：文件復制、電子郵件和共享資源等。所以你不要把你的系統設備和支持的網絡服務做的大而全，越少的服務意味著越少的攻擊機會。

　　2、越來越多的網絡系統集成了各種各樣的好看但安全性并不好的服務，例如，企業上傳輸聲音文件，文件共享等。

　　3、現在許多企業在推行電子商務，這些企業往往是通過Internet與合作伙伴和顧客交流溝通，通過Internet發展潛在客戶。根據調查Internet上連接了7200多萬個主機，我們知道還有許多的計算機通過各種方式與Internet連接。可以這樣估計，大概有十億的人們是你的網絡鄰居。

　　在這樣的大環境下，潛伏著不計其數的攻擊隱患，黑客們不需要特別的技能和耐心就可發起危害極大的攻擊活動。

　　二、網絡安全的基本原則

　　為了迎接計算機和網絡安全的挑戰，一些基本規則的采用是很有必要的。

　　1、安全性和復雜性成反比

　　在安全策略的實施過程中，你采取的實施方法應該盡可能的簡單。因為實施過程越復雜，被誤解和誤操作的幾率就越大;

　　2、安全性和可用性成反比

　　在目前可用的系統中永遠不存在“絕對的安全”，因此在實施安全策略時應掌握尺度，不要以犧牲系統資源為代價，一味地追求所謂的絕對安全。

　　3、安全問題的解決是個動態過程

　　安全問題的解決沒有最佳方案，即使存在這種“最佳方案”，它也不能保證你的系統固若金湯，能夠瓦解各類各樣的安全攻擊。因為你的系統在不斷升級變化，新技術層出不窮，同時黑客的攻擊方法也在不斷變更。

　　4、對安全要有一個正確的認識

　　搞清楚你的企業在還存在哪些安全上的不足，哪些地方仍然留有漏洞、哪些文檔和處理程序不合適，哪些處理機制需要更新是很關鍵的。不對組織的整體安全情況進行改善或分析的做法是錯誤的。這樣就有可能導致錯誤的出現，災難事故的增加，給你的企業業務開展帶來無盡的麻煩。

　　5.進行詳盡的檢查和評估

　　例如，如果你利用VPNs(虛擬專用網)把家和遠程辦公室與公司總部理想連接，那么就很有必要對你的移動辦公環境中駐留在你的筆記本電腦上的數據進行保護，所有的數據通信都要通過防火墻進行隔離和過濾。

　　6. 網絡威脅要詳加分析

　　假想的威脅、真實的威脅和可能的威脅，還有已知與未知的威脅。我們不但要對已知威脅詳加分析，還要對某些潛在的、未知的威脅加以檢測、判斷與認識。

　　7.安全是投資，不是消費

　　安全投資需要得到企業或組織領導的大力支持。對計算機和網絡進行安全投資，迎接不斷增長的商務需求與風險的挑戰，是在不對企業發生損害的情況下滿足商務需求的重要措施。安全性能較高的服務器可以使公司實現該領域的其他銷售人員和商業伙伴實現信息的共享，而不正確的系統配置卻會導致數據的丟失和系統損害情況的發生。

　　安全有時就象汽車的安全氣囊那樣，盡管在大部分時間里它并不發揮什么作用，但它的存在依然很有必要。安全管理比安全更重要。

　　三、建立安全小組

　　安全策略的創建往往需要一個團隊的協同工作，以保證所制定的策略是全面的、切合實際的、能夠有效實施的、性能優良的。

　　把來自公司不同部門的人組成一個小組或團隊的另一個理由是當團隊中的某些成員意見分歧時，能夠進行充分的討論，以得到一個較好的解決問題的辦法。這樣的效果遠遠好于從營銷、銷售或開發方面得到的信息更完善。

　　安全計劃小組應該包含那些來自企業不同部門不同專業的人們，IT 小組成員，系統和計算機管理員，都應出現在團隊當中。從不同部門來的有責任心有代表性的人之間應該保持聯系方面和協商渠道的通暢。

　　商業需求決定一切。安全小組和其成員的觀點，決定了計算機和網絡服務的商業需求。安全小組建立起來之后，第一步就是要對商業需求進行分析。哪些服務是企業需要的，這些需求在多大程度上能滿足安全上的需要?多少員工依賴于Internet訪問，e-mail的使用和intranet的有效性如何?他們是否依賴于遠程和內部網的訪問?有和WEB進行連接的需求嗎?客戶是否要通過Internet 來進行商業支持數據的訪問?

　　四、威脅、易損性與風險分析

　　安全策略計劃階段包括易損性分析、風險分析和威脅評估。盡管這些詞匯和其定義有些不同，但最終的結果是一樣的。本階段包括資產的鑒定與評估，威脅的假定與分析，易損性評估，現有措施的評價，分析的費用及收益，信息的如何使用與管理，安全措施間的相關性如何等等。資產(包括信息)和威脅一樣可以都可以按照商業需求進行分類。

　　下面的一堆問題你需要認真考慮一下：

　　需要對哪些方面進行保護?企業形象?未來產品計劃?招聘的員工人信息?客戶信息?計算機資源?所有可能的方面都是需要保護的。

　　哪些攻擊是可能的?哪些是潛在的?

　　哪些地方存在脆弱性?哪些地方易遭攻擊?接聽電話的員工，可進行企業數據信息訪問的商業伙伴，訪問支持數據庫的客戶都存在潛在的威脅。

　　什么是我們一直關注的?我們最擔心什么內容的損失?安全方面的投資花費有多少(包括有形的與無形的)?

　　對一個攻擊者(也可能是競爭對手)的追蹤有多大價值?公司數據丟失、 名譽損失或競爭對手獲取我們的哪些數據? 攻擊者一次攻擊花費是多少?

　　什么樣的安全措施是合適的?安全措施正在發揮作用嗎?安全措施之間有多大相關性? 通過上面所述問題的回答，你就可以對安全威脅和風險進行分類，對易損性進行評估。

　　五、啟動安全策略

　　隨著安全計劃工作的完成，你應該去啟動“安全策略”。在這里風險評估和商業需求走向聯合，差異性得以處理。安全策略描述了一個組織如何進行信息處理，誰可以訪問及如何進行。它也指明了允許和禁止的行為。

　　安全策略“自頂向下”的設計步驟使得指導方針的貫徹、過程的處理、工作的有效性成為可能。

　　啟動安全策略主要包括下面幾個方面：啟動安全策略、安全架構指導、事件反映過程、可接受的應用策略、系統管理過程、其他管理過程

　　啟動安全策略　解釋了策略文檔的設計目的，組織性和過程狀態描述;

　　安全架構指導　指在風險評估過程中對發現的威脅所采取的對策。例如，防火墻的放置位置，什么時間使用加密， WEB服務器的放置位置和怎樣與商業伙伴、客戶進行通訊聯系。安全架構指導確保了安全計劃設計的合理性、審核與有效控制。該部分需要專門的技術，需要接受外部的咨詢機構的服務或內部培訓，包括基于WEB資源、書本、技術文件與會議討論等形式。

　　事件響應過程　在出現緊急情況時，人們通�？紤]的呼叫對象包括公司管理人員、銷售部經理、系統和網絡管理小組、警察等。按照什么樣的順序進行呼叫是事件反應過程處理的一部分。盡管這些處理過程不需要任何特別的專業技術，但需要你的深思熟慮。在收到易損性的評估之后，高級管理人員需要小心地查看這些文檔。

　　可接受的應用策略　計算機和網絡安全策略的啟動將指向各種各樣的應用策略。策略的數量與類型依賴于你的商務需求分析、風險的評估與企業文化。他們指出了什么樣的行為是允許的，哪些行為是禁止的。

　　系統管理過程　管理過程說明了信息如何標記與處理，人們怎樣去訪問這些信息，如何建立了一個“以需定知”的原則來匹配需要的訪問。對商業需求和風險、某些地方的安全架構指導有適當了解，你的組織就可以制定出專有的平臺策略和相關的處理過程。

　　隨著Internet的發展，有關計算機和網絡入侵和病毒傳染的報道隨之而來，計算機和網絡安全策略、過程與機制被人們認識與接受，是一個漸進的過程。同時，策略提供了需求與風險變化的重新評價、的方式、可用性和安全性。