사람들은 "보안 정책"에 대해 이야기 할 때 두 가지 유형의 보안 정책을 언급 할 수 있습니다.
그 중 하나는 일반적으로 관리로 정의되는 상위 수준의 수준입니다. 이 보안 정책의 주요 독자는 사람입니다. 경영 목표에 대한 목표, 상황, 기대치 및 보안 요구 사항을 정의하는 문서입니다.이 정책에서 사용되는 언어는 모호 할 수 있지만 적용하는 맥락에서 보안의 기본 "법칙"입니다. 관련된 모든 사람이 그러한 방침을 따라야합니다.
1) 정책의 결과는 관리자가 명확하게 정의한 보안 요구 사항입니다. 이 정책을 통해 관련된 모든 사람이 경영진의 기대를 이해하고 필요할 때 보안 관련 판단을 내릴 수 있습니다.
2) 이러한 보안 정책의 주요 독자는 사람이며 일반적으로 매우 일반적이므로 컴퓨터에서 읽을 수있는 형식이 아닐 수 있습니다. 그러나 보안 지침, 절차 및 설명서라는 정책에 대한 기본 문서가 두 개있을 수 있습니다. 그것들은 보안이 실제로 어떻게 구현되어야하는지에 대한 상세한 단계의 순서에 있습니다. 예를 들어, 보안 정책에 정의 된 요구 사항은 다른 OS에 대한 강화 된 매뉴얼로 구현되어 관리자와 엔지니어가 관리자의 생각을 너무 많이 해석하지 않고도 효율적으로 강화 작업을 수행 할 수 있습니다. 그런 다음 강화 작업 설명서는 강화 작업을 자동화하는 일련의 기계 판독 가능 구성 (예 : 최소 암호 길이, 계정 잠금 전 최대 실패 로그인 횟수 등)으로 바뀔 수 있습니다.
3) 문서는 관련자 모두가 이용할 수 있도록 만들어야하며 관리가 정기적으로 검토해야합니다.
4) 실제로 그러한 참조를하기가 어려울 수 있습니다. 보안 정책은 수시로 업데이트 될 수 있으며, 정책 변경이 일부 매개 변수에만 영향을 줄 경우 프로그램을 다시 컴파일하지 않으려 고합니다. 그러나 디자인 sepc와 같은 개발 문서의 정책을 참조하는 것이 좋습니다.
"보안 정책"의 또 다른 유형은 보안 프로그램 인 매개 변수 집합을 나타낼 수 있습니다. 일부 보안 프로그램은 실제로 "정책"이라는 단어를 사용하여 구성을보다 체계적으로 구성하고 구조화하는 것을 선호합니다. 그러나 어쨌든, 이러한 "보안 정책"은 실제로 보안 프로그램에 대한 가치 및/또는 지침입니다. 예를 들어 Windows에는 감사 로깅, 사용자 권한 등을 구성 할 수있는 자체 "보안 정책"집합이 있습니다.이 유형의 "보안 정책"(프로그램 매개 변수)은 실제로 "보안 정책"의 첫 번째 유형을 기반으로 정의됩니다. (경영진의 요구 사항).
나는 이것에 너무 많이 쓰고 있습니다. 희망이 도움이됩니다.
프로그래밍에 관한 것 같지 않습니다. 서버 오류로 마이그레이션하기 위해 투표하는 기업 수준의 보안에 관한 것 같습니다. –
@ David : 나는 강력하게 동의하지 않습니다. 보안 함의가있는 시스템을 설계 할 때 구현되는 메커니즘은 잠재적 인 정책 범위를 지원해야합니다. – Novelocrat
@Novelocrat : 확실히, 메커니즘을 프로그래밍하는 것은 여기에 주제에 관한 것입니다. 그러나 이것은 여러 가지 방법으로 구현되는 일종의 규칙을 수립하는 것과 관련이 있습니다. 프로그래밍 관련 문제가있을 수 있으며 SO에 대한 주제가 아닙니다. –