您现在的位置:首页 > 企业新闻 > 信息安全策略制定简化方法之关键系统设计的决定

信息安全策略制定简化方法之关键系统设计的决定

2018-02-28 16:22:49 | 来源:中培企业IT培训网

关键系统设计的决定

在策略文档的最终版本公布以前,管理层需要决定大量与安全有关的系统设计。以下例举了这些决定的几个例子:

*允许几组用户访问因特网。

*他们需要的访问频率,不管是持续的、有规律的还是偶尔的。

*他们需要的访问类型,不管是电子邮件、网页冲浪、文档传输、远程登录还是聊天室。

*访问控制类型,不管是动态密码、固定密码还是智能卡。

*被监视的用户活动类型,不管是文档传输、Web网站访问或者是一天几小时的使用。

*辨识以上几项和其他的系统设计决定方案通常是间接进行的。一般说来,需要准备一个合并了大量建议项的粗略策略文档。不幸的是,为了加快策略制定过程,所以没有强调另外的可选解决方案。结果,管理层也许会同意一个包含涉及面很广的策略文档,而其中的许多内容在当时是不被认同的。这就造成信息安全设计的成本花费过高,因为策略文档中描述的最初方法不久就需要被替换或修改。这也许意味着,策略文档被修改的时间可能会提前。

如果项目的时间进度和资源允许,应当强调基本的系统设计方案。如果策略的草案会被通传评议,那么可以通过使用脚注和尾注的方法来完成这一工作,这些脚注和尾注描述了正反两方面意见。那些反映不同设计方案的描述可以并人策略文档中,如果粗略策略被放在内部网服务器上,并且该服务器允许限制访问在选定的相关各方,那么一些意见就可被强调,并被联接起来阐明观点和支持选择该方案的理由。

在那些一直关心信息安全的机构中,管理层已经周密地考虑过所有必要的基础系统设计选项。在这种情况下,策略制定工作只是记录已经完成的决定方案, 并为这些决定在策略表中选择适当的表示方法。这种情况下,就不需要对上面所述的关键系统设计进行分别评审。相反,应当关注原有设计方案相对于新信息系统(如外部网)和新技术(如新的程序设计语言)的扩展部分。

标签: 关键系统设计

预约领优惠