网络安全与用户认证全解析
网络安全资源与策略制定
在网络安全领域,有许多可利用的资源。SANS 研究所提供每周通过电子邮件发送的信息丰富的安全时事通讯,还有一个实用的在线阅读室,相关资源可从其网站 http://www.sans.org 获取。另外,像 http://www.insecure.org 这样的漏洞利用网站,不仅提供攻击脚本,还会讨论可能影响系统的当前安全漏洞。
制定网络安全策略至关重要,因为安全很大程度上是“人的问题”。人负责实施安全程序,安全被破坏时人也要承担责任。一份完善的网络安全政策应涵盖以下几个方面:
1.网络用户的安全责任:要求用户定期更改密码,使用符合特定准则的密码,或检查账户是否被他人访问。
2.系统管理员的安全责任:要求每台主机使用特定的安全措施、登录横幅消息,或执行监控和计费程序,还可能列出网络上任何主机不应运行的应用程序。
3.网络资源的正确使用:明确谁可以使用网络资源、可以做什么以及不应该做什么。如果组织对电子邮件、文件和计算机活动历史进行安全监控,应清楚告知用户。
4.检测到安全问题时的行动:制定检测到安全问题时的详细步骤,明确应通知的人员。例如,告知用户“不要触碰任何东西,并联系网络安全官员”,这些简单的行动也应写入书面政策。
RFC 1281《互联网安全操作指南》为用户和网络管理员提供了安全、负责地使用互联网的指导,阅读它有助于完善安全政策。而 RFC 2196 则是制定安全计划的优秀指南。
