大多数关于安全的文献都讨论了在开始研究机制和实现之前定义安全策略的重要性。虽然这看起来很合乎逻辑,但目前还不清楚定义安全策略的真正含义。
这里有没有人有定义安全策略的经验,如果有:
1)这样定义的结果是什么?这种策略的形式,比如分布式系统,是包含一系列关于系统安全要求(什么是允许的,什么是不允许的)的声明的文档?
2) 政策是否可以采用机器可读的形式(如果有意义),如果可以,如何使用?
3) 如何维持这样的政策?政策是否作为文档(与所有其他文档一样)保存在系统上?
4) 是否有必要在代码中引用政策文件?
布赖恩
最佳答案
您应该采用标准安全策略之一并从那里开始工作。最常见的一种是 PCI 合规性(支付卡行业)。它经过深思熟虑,除了一些软弱的地方外,总体上还不错。除了 Microsoft Active Directory 定义或一系列 Linux iptables 规则之外,我从未听说过机器可读策略。
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
编辑:
另请查看 SE Linux 政策:
http://en.wikipedia.org/wiki/Security-Enhanced_Linux
关于security - 为系统定义安全策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3334237/