Một chính sách bảo mật là một thông báo rõ ràng các nguyên tắc mà theo nó người được truy nhập tới công nghệ của một tổ chức và các tài sản thông tin phải tuân theo.
Mục đích chính của chính sách bảo mật là dành cho người sử dụng, các nhân viên, và các nhà quản lý với những nhu cầu bắt buộc cần bảo vệ công nghệ và các tài sản thông tin. Chính sách bảo mật chỉ rõ các cơ chế mà qua đó phù hợp với yêu cầu. Một mục đích khác là cung cấp một đường cơ sở từ đó định cấu hình và đánh giá các hệ thống máy tính và các mạng tuân thủ chính sách.
Một chính sách sử dụng thích hợp (AUP) cũng có thể là một phần của chính sách bảo mật. Nó giải thích rõ ràng những gì mà người sử dụng sẽ và không được làm đối với các thành phần khác nhau của hệ thống, bao gồm loại lưu lượng đã cho
Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet
phép trên mạng. AUP phải trình bày đơn giản, rõ ràng tránh sự tối nghĩa hay hiểu lầm.
Đặc trưng của một chính sách bảo mật hiệu quả là:
1. Nó phải được thực hiện qua các thủ tục quản lý hệ thống, công bố sử dụng
2. Các nguyên tắc, hoặc các phương thức phù hợp khác. 3. Nó phải được thi hành với các công cụ bảo mật.
4. Nó phải định nghĩa rõ ràng trách nhiệm người sử dụng, nhà quản trị, và các nhà quản lý.
Các thành phần của một chính sách bảo mật hiệu quả bao gồm :
1. Các nguyên tắc lựa chọn công nghệ máy tính : Chỉ rõ nhu cầu, ưu tiên, các đặc trưng bảo mật. Bổ sung các các chính sách lựa chọn hiện có và các nguyên tắc.
2. Một chính chính sách bảo mật xác định hợp lý những nhu cầu bảo mật như tạo ra cơ chế quản lý thư điện tử, đăng nhập nhấn phím, và truy nhập các tệp tin người sử dụng.
3. Một chính sách truy nhập định nghĩa các quyền truy nhập và các đặc quyền để bảo vệ khỏi mất hoặc bị lộ bằng việc chấp nhận sử dụng các nguyên tắc cho người sử dụng, các nhân viên vận hành và các nhà quản lý. Nó có thể cung cấp các nguyên tắc cho các kết nối bên ngoài, truyền thông số liệu, kết nối các thiết bị tới mạng, bổ xung các phần mềm mới cho hệ thống. Vì vậy, nó phải chỉ rõ mọi thông điệp khai báo. (các thông điệp kết nối phải cung cấp hoặc ủy quyền sử dụng và quản lý tuyến, và không nói đơn giản là “Welcome”).
4. Một chính sách giải trình (Accountability Policy) định nghĩa trách nhiệm của người sử dụng, các nhân viên hoạt động, và các nhà quản lý. Nó chỉ rõ khả năng đánh giá, và cung cấp các nguyên tắc xử lý các việc xảy ra. (phải làm gì và tiếp xúc ai khi việc xâm nhập có thể được phát hiện). 5. Một chính sách nhận thực thiết lập sự tin cậy thông qua một chính sách
mật khẩu có hiệu lực, và bằng việc tạo các nguyên tắc cho nhận thực vị
Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet
trí từ xa và sử dụng các thiết bị nhận thực (các mật khẩu và các thiết bị tạo ra chúng).
6. Một khai báo có hiệu lực sắp xếp các nhu cầu của người sử dụng cho tính sẵn sàng của tài nguyên. Nó nên đánh địa chỉ dư và khôi phục phát hành, cũng như chỉ rõ thời gian hoạt động, khoảng thời gian ngừng hoạt động để bảo dưỡng. Nó cũng bao gồm thông tin tương tác để báo cáo tình trạng xấu của mạng và hệ thống.
7. Một chính sách bảo dưỡng mạng và hệ thống công nghệ thông tin mô tả cách bảo trì cho cả bên trong và bên ngoài cho những người được phép thao tác và truy nhập công nghệ. Một chủ đề quan trọng là đánh địa chỉ ở đây là bảo trì từ xa được cho phép và truy nhập được điều khiển.
8. Chính sách thông báo vi phạm phải chỉ ra loại vi phạm, phải báo cáo và tới người nào.
9. Thông tin hỗ trợ cung cấp cho người sử dụng, nhân viên, và nhà quản lý cùng với thông tin tương tác cho mỗi loại vi phạm chính sách các nguyên tắc dựa trên hướng dẫn thao tác các truy vấn bến ngoàn vể một xâm phạm an ninh.