网络安全管理政策制定步骤

会员服务 ·

网络安全管理政策制定步骤

2018 年 10 月 12 日 计算机与网络安全

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

微信公众号：计算机与网络安全

ID：Computer-network

除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，网络安全管理政策也是其中重要的一环。从以往的经验来看，诸多的不安全因素往往来自于缺乏必要的安全管理政策上面，“人”的因素是计算机网络安全所必须考虑的重要问题，因此缜密的安全管理政策的制定应引起各计算机网络应用部门的高度重视。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是：

（1）根据工作的重要程度，确定该系统的安全等级。

（2）根据确定的安全等级，确定安全管理的范围。

（3）制订相应的机房出入管理制度。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。

（4）制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

（5）制订完备的系统维护制度。对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

（6）制订应急措施。要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。

从根本上来说，所有网络安全系统的组成部分，都是网络安全管理政策中的一个环节。因此，建立有效的网络安全管理政策，往往就成了各个组织机构所面临的最重要的问题。目前越来越多的国家已经开始注意到了这一点，并针对如何建立有效的网络安全管理政策及其评估，实施了各种标准。

值得注意的是，网络安全管理政策是网络安全管理的一个组成部分。网络安全管理政策是通过保证维护信息的机密性、完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。由于互联网的日益迅速的发展，网络安全管理政策正在成为其中的一个重要组成部分。另外，本文所提到的网络安全管理政策，也与网络管理中的安全管理有所不同：网络的安全管理是管理政策的一个组成部分，但网络安全管理政策不只限于这些，网络安全管理政策还涵盖了像认证与访问控制政策、入侵检测和紧急响应政策等多个方面。网络安全管理政策更侧重于就网络总体本身需求来定义组织范围内的总体策略方针。

一个组织机构的公司IT安全政策可能包括关于对机密性、完整性、可用性、认可、责任性、真实性和可靠性等需求的论述，以及对直接涉及网络连接的威胁类型和防护要求的看法。例如，此类政策可能规定某些类型的信息或服务的可能性是主要关注的问题；不允许通过拨号连接；所有接入到互联网的连接必须经过安全网关；必须使用特定类型的安全网关；在没有数字签名的情况下，支付指令无效。

在确定安全风险类型和鉴定网络连接所需的潜在防护领域方面时，必须考虑到适用于整个组织机构的此类陈述、看法和要求。如果存在着任何此类安全要求，那么就可以在文件草案中拟定潜在防护领域清单，并且有必要在安全架构选项中反映出这一点。在此之后，还需要对下面内容的鉴定：将使用网络连接的类型；所涉及的联网特点和相关的信任关系；安全风险的类型；以及潜在防护领域清单的制定。这些应当在已经存在的或计划实施的网络架构和应用这一大前提下来进行。因此，值得一提的是，在进行这些认定之前，应当了解并审核相关网络架构和应用的详细情况，从而为后续步骤提供必要的理解并掌握问题的来龙去脉。

通过在早期阶段澄清这些内容，确定相关安全要求的鉴定标准、鉴定潜在的防护领域并精简安全架构的过程将变得更加有效，并可能导致更可行的解决方法的出台。同时，在早期阶段对网络和应用架构方面的内容加以研究，将使得这些架构在实际工作中无法在当前的架构中实现可接受的安全解决方案的情况下得到审核，乃至修改。在网络架构和应用中需要加以考虑的不同领域包括：

（1）网络类型：根据网络所覆盖的领域，网络可以被划分成：局域网（LAN），用于连接本地的系统；城域网（MAN），用于连接大城市范围内的系统；广域网（WAN），用于连接比大城市局域网的范围更大的系统，最大范围可以覆盖整个世界。

（2）网络协议：不同的协议具有不同的特点，并且需要进行专门的研究。例如，共享的媒体协议主要用于局域网（有时也用于城域网）并提供控制所连接系统之间共享媒体的使用的机制。由于使用了共享媒体，网络中的所有信息可以被连网的系统得到。

路由协议用于确定经过不同节点的路由，信息是在城域网和广域网中通过节点传输的。信息物理上可以被所有路由经过的系统得到，同时路由可能会被无意或有意地修改。

协议可以用于不同的网络布局，例如，总线拓扑结构、环形和星形拓扑结构。无论是通过有线技术还是通过无线技术来实施的，这些拓扑结构都可能对安全产生进一步的影响。

（3）网络应用：网络中所使用的应用程序的类型需要在安全前提下加以研究。这些类型可以包括：基于终端仿真的应用程序；基于存储和转寄或假脱机的应用程序；以及客户服务器应用程序。

当审核网络结构和应用程序时，同样还应当考虑组织机构内现有网络的连接以及同所建议的网络进行的连网。例如，组织机构现有的连接可能由于协议或契约而限制或阻止新的连接。连接到组织机构的网络或建议组织机构所进行的连接，可能会带来额外的漏洞和更高的风险，同时需要批准采取更强大的和/或额外的防护措施。下面我们将就建立网络安全管理政策的一般步骤进行简要的论述。

一、鉴定网络连接的类型

存在着许多一般性的网络连接的类型，这些类型可能是某一组织机构所希望采用的。这些连接类型中的一些类型可以通过私营网络来实现（其访问被限制在已知的群体），而另一些类型可能通过公共网络来实现（任何组织机构或个人均可以对其进行潜在的访问）。再则，这些网络连接类型可以用于各种服务，例如，电子邮件或电子数据交换（EDI），并且可能涉及互联网、企业内部互联网或外部互联网设备的使用，每一种类型所需进行的安全考虑均千差万别。每一种连接类型可能拥有不同的漏洞和由此产生的相关安全风险，因此就需要各不相同的一整套防护措施。

表1展示了把一般性网络连接的类型加以分类的一个途径，而这些网络连接可能是从事业务所需要的。每一种类型均提供了描述性范例。

考虑到相关的网络架构和应用程序，应当选择表1中所列出的适用于正在考虑的一个或多个网络连接类型。

应当注意的是，本文所描述的一般性网络连接是从商业角度而非技术角度来进行组织和分类的。这就意味着两个不同的网络连接类型有时可能是通过相似的技术手段来加以实施的，并且也意味着防护措施在某些情况下可能是相似的，但在另外的情况下则是完全不同的。

表1 网络连接的类型

二、审核网络特点和相关的信任关系

1、网络特点

应当审核现有的或建议建立的网络的特点。尤其重要的是确定该网络是哪种：

公共网络——任何人均可接入的网络。

私营网络——由自己的或租用的线路组成的网络，通常被认为是比公共网络更安全。

同样重要的是了解网络中所传输数据的类型，例如：

（1）数据网络——主要是传输数据并使用数据协议的网络。

（2）声音网络——用于电话但同样也可以用于数据的网络。

（3）同时用于数据和声音的网络。

其他信息，例如网络是信息包网络还是交换网络，同样也是密切相关而需要了解的。

再则，同样还应当确认，连接是永久性建立的，还是根据需要建立的。

2、信任关系

一旦现有的或计划建立的网络的特点得到确认，并且至少已确认了该网络是公共的还是私营的，那么就应当确定相关的信任关系。

首先，应当使用表2中所列出的简单矩阵来确定与网络连接相关的可适用的信任环境。

表2 信任环境的描述

其次，相关的信任环境（低、中、高）应当涉及适用的网络特点（公共的和私营的）以及网络连接类型，以建立信任关系。使用表3可以做到这一点。

表3 信任关系的识别

3、信任环境

从表3中可以确定每一个相关信任关系的参照类别。表4描述了所有可能存在的类别。

表4 信任关系的参照对比

这些参照将被用于确认安全风险的类型并确定潜在的防护领域。网络结构和应用程序中的可用信息可以用来协助完成此项任务。

三、确定安全风险的类型

如前所述，大多数组织机构当今均依赖于IT系统和网络的使用，以支持其商业运作。而且，许多情况下，在使用网络连接方面存在着明确的商业要求，无论组织机构中一个办公地点的IT系统连接到其内部还是外部的其他办公地点。当连接到其他网络时，应当特别注意的是确保所连网的组织机构不遭受额外风险的威胁。这些风险，例如，可能是由连网本身或者是由与其他网络终端连接所造成的。

网络连接对于商业运作是极为重要的，与此同时也必须承认，使用这些连接可能带来额外的风险——某些风险可能涉及对法律的遵守情况。这里所阐述的风险类型涉及有关未经授权的访问信息、未经授权的发送信息、恶意代码的传入、拒绝接收或数据源以及拒绝服务连接等方面的问题。因此，一个组织机构可能面临的安全风险类型涉及下列特性的丧失：

信息的机密性；

信息的完整性；

信息和服务的可用性；

承诺的履行；

交易的责任性；

信息的真实性；

信息的可靠性。

并非所有的安全风险类型均适用于每一个场合或每一个组织机构。然而，需要对安全风险的相关类型加以鉴定，这样才能确定潜在的防护领域（并最终能够选择、设计、实施和维护防护措施）。

应当搜集有关对商业运作造成潜在影响的信息，这些信息涉及上述的安全风险类型（而上述内容则是安全风险分析与管理审核所取得的成果），并认真研究所涉及价值或信息的敏感性（也可以称之为潜在的负面商业影响）和相关的潜在威胁和漏洞。

需要强调的是，在完成这一任务方面，应当利用安全风险分析与管理审核中有关网络互联内容的成果。无论实施这一审核的具体程度如何，这些成果均将使我们能够把重点放在与上面所列的安全风险类型相关的潜在的负面商业影响，以及威胁类型、漏洞和所关注的风险方面。通常，越是信任一个用户，就越需要采取更严格的控制措施。

四、确定适当的潜在防护领域并建立防护措施

利用所确定的基本参数和需求，可以用来鉴定潜在的防护领域并建立恰当的防护措施。我们将这些防护措施分成如下几个方面进行探讨：安全服务管理、鉴定与验证、审计跟踪、入侵检测、恶意代码防护、网络安全管理、安全网关，数据的保密性、完整性和可信性，虚拟专用网以及灾难恢复等。我们的这些论述，主要是依据ISO 13335的第五部分来组织的。一般说来，一个安全解决方案可能会包含这些所有的潜在防护领域。在建立具体的安全防护措施时，可以在相关网络架构和应用程序的背景下审核防护领域的这份清单，然后把这一清单作为一个基础，为今后所要从事的选择、设计、落实和维护工作做准备。

1、安全服务管理

任何网络的主要安全要求是得到安全服务管理行动的支持，这些行动将启动并监控安全措施的实施和操作。这些行动应当确保一个组织机构的IT各个方面的安全。在网络连接方面，管理行动应当包括：

明确所有与网络连接的安全相关的责任，任命一个负责总体安全事务的安全管理员；

以文件形式制定的系统安全政策以及与之相配套的技术安全架构；

以文件形式制定的安全操作程序（SecOPs）；

安全达标性检查的执行，以确保安全状况维持在所要求的级别上；

在批准进行网络连接之前，以文件形式为将要进行的连接制定的安全前提条件；

以文件形式为网络用户制定的前提条件；

安全性突发事件处理方案；

以文件形式制定的并经过测试的商业连续性/灾难恢复计划。

以下我们将就这些内容进行简单的介绍。

（1）安全操作程序：在支持系统安全政策方面，应当制定并维护安全操作程序（SecOPs）文件。这些文件的内容应当包括日常操作程序中与安全有关的细节问题，以及由谁负责程序的使用与管理。

（2）安全达标性检查：对于网络连接来说，应当依照由防护措施组成的完整清单来进行安全达标性检查，下面列出了这些防护措施：

“系统”安全政策；

相关的安全操作程序；

技术安全架构；

安全网关服务使用（安全）政策；

商业连续性计划；

在某些情况下连网的安全性前提条件。

在任何网络连接投入实际运行之前，以及在使用新版本（与商业方面的重大改动或网络方面的改动有关）之前，均应当进行安全达标性检查。而在其他情况下，这一检查应当每年进行一次。

（3）连网的安全条件：除非已提出了连网所需的安全性前提条件并且以签订合同的方式同意了这些条件，否则一个组织机构实际上就接受了与连网相关的风险。

举例来说，组织机构A可能会提出，在组织机构B通过网络互联连接到其系统之前，B必须维护并证明其参与这一连网的系统的特定安全水平。这样，A才会相信B正在以可以接受的方式管理其风险。在这种情况下，A应当在连网文件中提出安全性前提条件，详细列出B方终端中需要实施的防护措施。应当由组织机构B来实施这些防护措施，之后由该组织机构签署一项与实施工作相关的具有约束力的声明，并且使安全状况得到维护。组织机构A将保留试车的权利或对B进行达标性检查。

还可能出现的情况是，两个组织机构相互同意记录各方所担负的义务和责任，包括检查对方的达标性在内的“连网的安全性前提条件”文件。

（4）以文件证明的网络服务用户的安全条件：应当向得到远程办公授权的用户颁发“网络服务用户的安全性前提条件”文件。该文件应当描述用户在与网络及其安全相关的硬件、软件和数据方面所担负的责任。

（5）突发事件的处理：在进行连网的情况下（与没有进行连接的情况相比），恶性事故更容易发生，并且会导致更为严重的负面商业性影响。再则，特别是在同其他组织机构进行网络互联的情况下，可能会出现与突发事件相关的法律纠纷。

进行网络连接的组织机构需要精心制定并实施突发事件处理方案，并建立相关的基础设施，使之能够在确认突发事件发生时做出迅速反应，把负面影响降低到最小限度，接受教训，力争防止事件的再次发生。

2、鉴定与验证

鉴定与验证的主要作用是确保网络服务及相关信息的安全通过，并通过只允许合法用户访问网络（无论是组织机构内部的还是外部的）来进行保护。

（1）远程登录：无论是远离组织机构办公的经授权人员、远程维护工程师还是来自其他组织机构的人员，要么是通过拨号、互联网连接和其他组织的专线，要么是通过共享互联网的访问权限来进行远程登录的。这些连接是根据内部系统或合作伙伴的需求，通过使用公共网络来建立起来的。每一种类型的远程登录均要求采取适合于连接类型的额外防护措施。防护措施的例子有：

不允许用于远程访问的账号直接访问系统和网络软件，除非已经提供了额外的验证，或进行了终端对终端加密。

防止非法访问与电子邮件软件相关的信息和存放在供某一组织机构的官员在其办公室以外使用的个人电脑和便携式电脑中的目录数据。

（2）验证的加强：用户身份号/保密字的配套使用是验证用户的一个简单途径，但它们可以被盗用或被猜测到。存在着其他一些更加安全的途径来验证用户，特别是验证远程用户。未经授权人员可能获取访问受保护的重要系统的权限，当这种可能性较大时，就需要加强验证。例如，因为可以通过使用公共网络来进行访问，或者访问的系统处在组织机构的直接监控之外（例如便携式电脑），所以就可能出现上述情况。

在要求加强网络连接的验证操作（例如，通过签署合同）或者因为风险而有理由这样做的情况下，组织机构应当考虑通过实施相关的防护措施来加强人员验证操作。举例如下：

使用其他的识别手段来支持用户的验证，例如经远程核实的令牌、智能卡、磁条卡（即通过个人电脑上附带的读卡器）、手持式一次性密钥生成装置、回拨调制解调器和基于生物技术的设备。

确保令牌和各类卡只能在同经授权用户的验证账号（最好是同该用户的个人电脑和办公地点/访问地点），以及任何相关的个人身份号码（PIN）或生物特征一起使用才能生效。

使用呼叫者通信线路的认证。

使用通过调制解调器的连接，该连接在不使用时则会断开，并且只有在呼叫者的身份得到确认后才能连接。

（3）远程系统鉴定：正如以上所述，应当根据情况通过对外部访问的系统（及其所在位置/访问入口）进行确认来加强验证。应当认识到的一点是，不同的网络架构可以提供不同的识别能力。因此，组织机构可以通过选择适当的网络架构来使识别操作得到加强。应当对所选择网络架构的所有安全防护能力加以研究。

（4）安全的单一签名：在涉及网络连接的情况下，用户可能会遇到多重识别与验证检查。在这种环境下，用户可能受到诱惑，采用了诸如把保密字写在纸上或重复使用相同的验证数据之类的不安全做法。安全的单一签名可以减少这类做法所带来的风险，因为单一签名可以减少用户必须牢记的保密字的数量。提高用户的工作效率并减少与保密字重设相关的工作，也可以降低风险。

然而，应当注意的是，由于不止一个系统和应用程序可能处在风险之中并且对安全危害（有时也被称作“王国的钥匙”风险）呈开放状态，因此安全的单一签名系统的失败后果可能是极为严重的。

所以，比正常的识别和验证机制更为健壮的机制是必须的，它可能希望把对高级权限（系统级）功能的识别和验证操作排除在安全的单一签名机制之外。

3、审计跟踪

对安全性突发事件的检测、调查和报告来确保网络安全的有效性是十分重要的一个环节。应当记录下足够多的错误环境和正当事件的审计跟踪信息，这样才能通过审核来发现受到怀疑的和实际已发生的突发事件。不过，由于海量的审计信息使分析工作难以管理并影响到运行状况，最好时刻观注实际工作中所记录的信息。

可以利用13335号技术报告第4部分的内容来确定与网络连接和相应IT系统相关的大多数审计防护措施。对于网络连接来说，对下列类型的事件进行审计是十分重要的：

远程登录已失败的尝试及其日期和时间；

已失败的重新验证（或令牌使用）事件；

安全网关通信受到破坏；

访问审计跟踪记录的远程尝试；

产生安全影响的系统管理报警（例如，IP地址的复用、载荷线路的中断）。

审计跟踪将包含着那些希望通过网络连接对系统发起攻击的人士所需的敏感信息或使用信息。再则，掌握审计跟踪可以在出现争议的情况下提供网络传输情况证明，因此在确保完整性和认可性的情况下特别重要。因此，应当对所有的审计跟踪进行适当的保护。

4、入侵检测

随着网络连接的增加，入侵者将更容易找到多种方式侵入到某一组织机构的IT系统和网络中，或者伪装成系统或网络的访问入口，并通过网络访问内部IT系统并把之列为攻击目标。

再则，入侵者会变得更加富有经验，并且可以很容易地在互联网上或开放的图书馆中找到更为先进的攻击方法和工具软件。事实上，许多此类工具软件是自动运行的，极为有效并且很容易使用，即使是经验有限的人也可以使用。

对于大多数组织机构来说，花费很多经费来防止所有潜在的攻击是根本不可能做到的事情。因此，一些侵入事件很可能会发生。可以通过实施良好的识别和验证、逻辑访问控制以及会计和审计防护措施，并同时加强侵入检测能力，来应对与大多数侵入事件相关的风险。此类检测能力提供的手段可以预报、实时识别入侵事件并发出适当的警报。它还同样能够在本地搜集入侵信息，合并这些信息并对之进行分析，并对组织机构中正常的IT行为模式/使用情况进行分析。

在许多情况下可以看出发生了未经授权的或恶意的事件，它可以是出于未知原因而出现的服务性能轻微降低，或者是访问的次数超出预料，亦或是特定服务的拒绝。在大多数情况下，重要的一点是尽早了解侵入的原因、严重程度和范围。

作为网络安全管理政策组成部分的入侵检测，不仅仅是一个系统，更是指一种经验、措施或者是制度保证。

5、恶意代码的防护

用户需要意识到，恶意代码可以通过网络连接侵入到其工作环境中。在没有造成损害之前，可能没有检测到恶意代码，除非采取了适当的防护措施。恶意代码可以导致安全防护措施受到危害（例如，保密字的捕俘和泄露）、信息的无意泄露、信息的无意修改、信息的销毁，以及/或者未经授权地使用系统资源。

一些形式的恶意代码可以被专用的扫描软件检测到并被清除掉。扫描程序使用于防火墙、文件服务器、邮件服务器以及工作站，用以检测某些类型的恶意代码。再则，为检测出新的恶意代码，重要的一点是，安全管理政策应当确保扫描程序随时得到升级，至少每周进行一次升级。然而，用户和管理员应当认识到，无法依靠扫描程序来检测出所有的恶意代码（甚至是特定类型的所有恶意代码），因为恶意代码的新变种会不断出现。在典型情况下，需要采用其他形式的防护措施来加强扫描程序（在安装了这些程序的情况下）所提供的保护。

连网系统的用户和管理员应当意识到，当处理外部链接用户的事务时，会遇到比与恶意代码相关的普通风险更多的风险。应当制定用户和管理员指导方针，重点强调程序与实际操作，从而把引入恶意代码的可能性减少到最低限度。

用户和管理员在对与网络连接相关的系统和应用程序进行配置时应当特别注意，禁用操作环境中不需要的功能（例如，在配置个人电脑时，可以通过缺省设置来禁用宏，或者要执行宏之前要求用户进行确认）。

6、网络安全管理

任何一个网络的管理工作都应当以安全的方式来进行，并真正为网络安全的管理提供支持。应当通过认真研究所使用的不同的网络协议和相关的安全服务来完成这项工作。

此外，一个组织机构应当对大量的防护措施进行研究，另外，远程监测端口无论是虚拟的还是物理性的，均应当受到保护，防止未经授权访问的侵害。

7、安全网关

根据用文件证明的安全网关服务访问政策，适当的安全网关装置将保护组织机构的内部系统并安全管理和控制通过网关的通信流量。

安全网关应当把各逻辑网络分隔开，提供用于限制和分析在两个逻辑网络之间传输的信息的功能，供组织机构作为控制对组织机构的网络进行的访问或从组织机构的网络发出的访问的手段来加以使用，提供可加以控制和管理的进入网络的单一入口，加强组织机构有关网络连接方面的安全政策，提供单一的登录入口。

对于每一个安全网关来说，应当为每一个连接制定和实施单独的服务访问（安全）政策，以确保只有获得授权的通信才能在该连接上传输。必须能够根据通信协议和其他详细规定来分别确定获得许可的各个连接。为确保只有有效的用户和通信能够获得访问通信联系的访问权限，这一政策应当确定并详细记录适用于进入每个网关的和从每个网关输出的通信量的限制与规定，以及通信管理与配置方面的参数。

应当充分利用可用的识别和验证、逻辑访问控制和审计设备，从而保证网关的安全。另外，应当定期检查这些网关，看一下是否使用了未经授权的软件和/或数据，如果发现此类情况，应当根据组织机构的安全性突发事件分析与处理方案，撰写突发事件报告。

需要强调的是，只有在核对了所选择的安全网关满足组织机构的要求，并且在核对了连网所带来的所有风险均能够被安全应对之后，才能进行连网。应当确保安全网关无法被绕过。

8、网络中的数据机密性

在机密性的保护工作十分重要的情况下，应当研究加密防护措施，从而对在网络中传输的信息进行加密。使用加密防护措施的决定应当考虑下列内容：

相关的政府法律法规（特别是在网络连接涉及几个国家或几个部门权限的情况下）；

密钥管理的要求和需加以克服的困难，以确保在不产生新的重大漏洞的情况下真正改善安全状况，以及供所涉及的网络连接类型使用的加密机制的适用性和所要求达到的保护等级。

9、网络中的数据完整性

在完整性的保护工作十分重要的情况下，应当研究数字签名和/或消息完整性防护措施，以保护在网络上传输的信息。

在防止信息的无意或有意修改、添加或删除是首要需求的情况下，消息完整性防护措施（例如，使用消息验证代码）是适用的。

数字签名防护措施可以提供与消息验证防护措施相类似的保护，但还具有允许验证防护措施激活认可程序的特性。使用数字签名或消息完整性防护措施的决定应当考虑到下列内容：相关的政府法律法规（特别是在网络连接涉及几个国家或几个部门权限的情况下）；相关的公开密钥构造；密钥管理的要求和需加以克服的困难，以确保在不产生新的重大漏洞的情况下真正改善安全状况，供所涉及连网类型使用的基本机制的适用性和所要求达到的保护等级，以及与在数字签名协议中所使用的密钥有关的用户或实体进行可靠与可信的注册登记（在必要情况下应加以核实）。

10、可信性

在需要保证提供真实的证据，以证明信息是通过网络传输的情况下，应当考虑诸如下列的防护措施：

提供提交认可的通信协议；

要求提供发信人地址或标识符并检查该信息是否存在的应用协议，检查发送人和收信人地址格式的语法有效性和与相关文件目录中信息的一致性的网关，表明已收到网络传输文件的协议，以及包括允许确定信息序列的机制在内的协议。

在信息传输或接收可以被证明这一点是极为重要的情况下，如果在这一点上存在着争议，那么就应当通过使用标准的数字签名方法来提供进一步的确认。在需要证明信息来源的情况下，信息的发送人应当使用数字签名把信息密封起来。在需要证明已收到的情况下，发信人应当要求收到用数字签名密封的回应。为实现这种确认等级，应当考虑下列内容：

使用得到诸如证明机构之类的可信的第三方支持的认可机制（数字签名、时间戳等），以及相关的公共密钥构造；

使用日志文件机制的日志消息，防止机密和/或私人（签名）密钥被非法使用的机制，和获取解决争议所必须的证明或密钥，以确保其在需要使用时的可用性和完整性（使用时间可能超过了相关密钥材料的使用期限）。

11、虚拟专用网

虚拟专用网（VPN）是一个使用现有的网络基础设施构建的安全专用网络。从用户的角度来看，虚拟专用网很像是一个私营网络，可以提供类似的功能与服务。

在虚拟专用网中，加密技术用于发挥安全功能并提供服务，特别是在构建虚拟专用网的网络是一个公用网络的情况下。在大多种情况下，网络参与者之间的通信链接是经过加密的，这样可以确保机密性，而验证协议用于确认连接到虚拟专用网上的系统的身份。典型的情况是，加密信息通过连接到某一组织机构网关上的安全“通道”进行传输，其机密性和完整得以保持。该网络随后识别远程用户，并只允许用户访问那些授权其接收的信息。

对于所有VPN来说，重要的一点是，在连接到虚拟网络的所有系统中采取相应的安全措施，以确保只有经过授权的链接能够连接到其他网络。

虚拟专用网可以用于各类情况，例如：

移动办公的雇员或不在现场的雇员远程访问某一组织机构；

把某一组织机构的各个不同的办公地点链接在一起，包括冗余的链接在内，以构建备用的基础设施；

为其他的组织机构/商业活动建立起连接到某一组织机构网络的链接。

12、灾难恢复计划

采取防护措施，以确保正在执行的商业功能在发生灾难的情况下提供恢复能力，在适当的时间段内恢复中断的部分商业活动。从网络连接的角度来看，必须涉及的方面是，连接的维护、拥有足够能力的备用连接的建立以及恶性事件后连接的恢复。这些方面和需求应当基于商业运作所需连网的重要性以及商业中断情况下所造成的负面影响。在出现中断的情况下，在利用创造性处理方法的灵活性和能力方面，网络互联可以给某一组织机构提供许多便利，但与此同时，这些便利同样也可以意味着漏洞和“单个的故障点”，后者可能给该组织机构造成重大的破坏性影响。