安全策略框架

　　在懂得如何进行风险管理后，就应该开始考虑为企业网络基础设施制定安全策略的其他方面问题。需要更严格安全性的特殊区域是最容易受到攻击的地方，例如网络之间的连接、拨号接入点和关键网络基础设施设备及服务器。

　　把企业网络划分成几个可以分别寻址的单独部分是很有帮助的。此外还应该设计考虑了安全结构所有因素的安全策略框架。为保证整个企业环境拥有一致的安全性步骤，企业的所有地方都应该遵守此安全策略框架。

　　在网络环境主要包括集中式、点对点结构，而且信息通道可以预先确定的时代，实现安全性是相当简单的。在保护连接的同时也保证了完整性、访问和信息的机密性。

　　现代的企业内部网通过提高整体效益为企业保持竞争有时提供了大量机会。这些机会同时也需要成本。当今的开放网络技术对企业的整体安全构成了威胁。开放意味着企业很少有能力控制哪些人可以访问它的信息资源，也不能完全控制信息流的路径。基于点对点、非分组传输的传统安全系统不会把发展中WAN和LAN技术作为当今企业网的核心，在当今的企业网中，数据通常在公共网络上传输。

　　在制定安全策略时，必须综合考虑信息的易于访问性和识别授权用户、确保数据完整性及机密的机制。安全策略必须在技术和企业上都可实施。重要的是有一个能够考虑安全结构中所有因素的整体企业安全构架。这样，单个策略就可以与整体的站点安全结构保持一致。总体安全策略框架必须包括身份、完整性、机密性、可用性和审计几个安全体系结构要素。在确定企业策略时，所有这些要素都必须予以充分考虑。