Chinadu`s Blog

近两年网络安全风险评估渐渐为人们所重视，不少大型企业尤其是运营商、金 融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价，并试图阐述作者所理解的，可裁剪、易操作的风险评估方式。由于内容与商 业公司有关，因此不可避免会涉及部份商业利益，在文中作者尽量隐去可能产生直接利害关系的文字，并声明所有评价纯属个人观点，如果你有不同意见，欢迎来函 探讨。

1. 什么是风险评估

说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组 合。比如风险，用ISO/IEC TR 13335-1:1996中的定义可以解释为： 特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。

为了帮助理解，我们举一个下里巴人的例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。

用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：

风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡

回到阳春白雪来，假设这么个案例：某证券公司的数据库服务器因为存在RPC DCOM的漏洞，遭到入侵者攻击，被迫中断3天。

让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来：

风险		RPC DCOM漏洞
资产		服务器遭到入侵
影响		数据库服务器
威胁		入侵者
弱点		中断三天

如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。

阅读全文...

出处:比特网

刚开始看到这个题目可能可能很多人都会产生不解，究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
　　做信息安全的人都知道风险评估，而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题，只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估，而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法，也不谈什么方法好，什么方法不好，因为风险评估工作各家有各家的做法，各人有个人的理解，不同的项目、不同的客户也存在不同的情况，所以针对具体情况选择合适的风险评估方法，化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

1、风险评估的第一的误区

　　同一套方法，这在很多人看来是没什么奇怪的，我们在项目中做风险评估最关注的几个问题是，一方面，要尽量有效全面的评估出风险，并根据风险制定有效的控制，这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度，常做评估的人都知道风险评估在资产识别阶段不能做的太细，避免做成CMDB，就是为了控制项目的进度。

　　每家公司或每个人可能都会有一套做信息资产风险评估的最佳放法论，这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的，而通常去给客户做风险的评估的时候也都是拿着这套所谓的最佳实践去做的(尤其是新手居多)。但这就忽略了一个问题，每个客户的实际情况是不同的，项目范围也是不同的，其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到，客户原本的资产管理就很混乱，缺少集中或统一了解和管理资产的人，人员对资产的熟悉情况太分散，评估的结果是否要与等保和安全域结合，客户是否有充分的人员和时间配合你工作等等情况。

　　因此如果不能够很好的根据客户选择评估的方法有时是会影响项目实施的。所以我们需要根据客户的具体情况适当调整我们评估的方法和实施方式，比如，我们是选择按部门划分评估，还是按资产分类评估，还是按系统分组来评估，资产分类的粒度要到什么程度。也就是说我们可能同时要掌握不只一套风险评估的操作方法，或者说同样的方法不能一成不变的应用到每个项目。当然如果大家不接受我的这个观点恐怕看接下来的内容也意义不大了。

2、前期沟通的重要性

　　这个问题关系到项目售前和项目经理之间的交流，以及最初项目计划的制定工作阶段。

　　我们都知道做风险评估的首要工作就是要明确风险评估的范围，即不能做小了(不全面，反应不了整体情况)，也不能做大了(做了不该做的，影响实施进度)。因此在项目洽谈的初期涉及到制定项目计划的时候就要考虑到这个问题了。首先应当与客户沟通清楚究竟哪些人员、部门或哪些公司要做评估，同时要更详细的了解或预估出在这个范围内可能个会涉及到多少的信息资产，大约需要多大的工作量和多少工时，然后再制定实施计划。千万不能只是初略的约定了哪个哪个部门或哪个哪个公司，就根据自己以往的经验制定计划了，不同客户的人员数量和资产范围那都是不一样的，切戒范经验主义错误。如果等到人员进场之后再去和客户确定这个问题，这时候一旦实际情况超出预计，你的实施计划已经制定好了，再去修改改就比较麻烦了。

　　所以前期的沟通交流一定要做的细致，千万不能马虎，售前与项目经理之间也要做好沟通和交流，尽量不要一味的为了打单子而忽略的后期实施过程中的风险。当然这个问题不单针对风险评估，所有与项目实施相关的工作在前期都应做好工作量的预估。

3、注意与其他标准的结合

　　有的时候在某些项目中我们做完信息资产的风险评估之后可能还要做等级保护实施、信息安全规划或安全域划分等工作，这时候在选择或制定风险评估方法就要注意与这些工作的对应或关联。以结合等级保护或安全域为例，通常这种情况我们使用以资产类别进行划分资产，按照一类资产进行风险评估的方法就不是很适用，因问它不能很好的反映出系统层面的重要性。这时我们可以考虑使用按系统进行资产分组，对系统资产组进行风险评估的方法，这样的操作也能为我们后期进行等级保护或安全域的划分提供帮助。

　　但在采用这种按系统评估的方法时需要注意一些问题。1、系统资产组价值与等保系统级别之间的对应关系，比如我们资产价值打分从1-5或1-3，那么如何对应到等级保护的1-4级别，可能就需要做一些映射关系。2、由于按系统评估评估的方法中对资产的识别粒度相对较细，因此切忌不要陷入CMDB的风险中，只要把系统相关的每个资产需要参与评估的信息识别出来就可以了，千万不要搞的太细了，把什么IP地址或系统间访问关系都搞出来了。(当然不是说这些东西没有用，如果后期做安全域划分还是有用的)但一定牢记根据项目的要求调整评估的方法，否则将影响项目进度。

4、分值与精确度的设计

　　对于分值和精确度的选择我想有经验的顾问都有自己的看法，我这里的建议主要希望为刚接触风险评估的人提供一些帮助。

　　现在主流的风险评估方法都会不同程度的使用数字打分的方式，有1-3的，也有1-5的，不管怎么打分其目的都是为了区分出资产价值的重要程度，明确资产风险的重要性，所以只要你的方法论合理，1-3还是1-5都没有什么区别，我认为都可以，只是1-3分级较粗可能更适合资产少、规模较小的客户，而1-5 分级较细，适合资产多、规模较大的客户。

　　当我们做完资产CIA打分和风险影响、概率打分之后通常都会使用公式计算出资产的价值或风险值，这里我要说明一点的就是对于这个计算出来的分值我们应当尽量保留1位小数(个人感觉保留2位用处不是很大)，由于资产数量众多时，保留整数的分值可能会出现许多同分的情况，为了便于我们后期的分析和整理工作，建议最好先保留1位小数这样重复的概率会降低很多，有利于我们对于资产和风险排序，也让结果变得更加精细。

5、客户规模与评估方法的选择

　　我们公司现在常用的风险评估方法主要有2种，一种是根据不同的部门，按资产分类进行识别，在资产类别层面进行风险评估;另一种是按系统或资产分组的方式划分，对资产组(或系统)进行分类识别，然后针对资产组(或系统)层面进行风险评估。这2种方法可以说是各有利弊。

　　通过在多个项目中分别使用这2种不同的评估方法，我个人感觉第一种方法操作起来相对简单，实施过程较快，而且客户易于掌握和理解，花费时间较短，但最后评估出来的结果实用性较差，需要进行更加细致的风险汇总、归纳和风险分析。第二种方法操作相对复杂，对顾

漏洞评估可以帮助你在攻击者利用前，找到并修复WLAN漏洞。但是从哪里开始呢？应该查找什么呢？如何涵盖所有的位置呢？在这份清单中，TechTarget中国的特约专家将帮助你回答这些问题。

1．发现临近的无线设备

　　如果你知道有什么设备，就不能评估WLAN漏洞。从搜索办公室内外的无线设备开始，创建后续步骤的基础。
*那一个通道拥有2.4 GHz带宽的活跃流量？
*那一个通道拥有2.4 GHz带宽的活跃流量？
*在这些频段中，有没有非—802.11界面的资源呢？

　　对每一个已知的802.11访问端点，记录：
*媒体访问控制（MAC）地址
*扩展服务集标识符（ESSID）
*通道
*平均/最高信噪比(SNR)

　　对每一个一发现的802.11工作站，记录：
*MAC地址
*关联ESSID
*关联接入点或者同等的工作站
*平均/最高SNR
*如果可见，802.1X身份
*大约位置和可能的持有人

2．调查欺骗性攻击设备
　　对于非-802.11的干扰资源（例如，微波炉、蓝牙和无线电话），光谱分析器可以帮助采集资源痕迹。对于802.11设备，把调查结果和你已有的详细目录作对比，分离出需要深入调查的未知设备。注意在带宽和通道中查找通常不使用的活动可以帮助你发现试图逃避检测的设备。为了更多地了解如何调查这些“欺骗”设备和他们对你的WLAN产生的风险，请阅读相关的技巧《捕获欺骗性威胁的秘诀》。

3．测试你自己的访问端点

　　下一步，把你的注意力转移到你自己的WLAN资源，从向用户发送无线服务的接入点开始。这些接入点位于包含受信合不受信的设备的网络上。同样的，他们也应该通过对面向互联网的边界防火墙和访问路由器的渗透测试。关于每个接入点，你应该回答如下问题：
*接入点运行的是最新的固件和安全补丁吗？
*出厂默认ESSID已经更改了吗？
*默认管理员登录/密码已经更改了吗？
*管理员密码是不是容易被破解？
*有没有强大的认证选择（例如，隐私密钥）？
*有没有开放不必要的端口（例如，Telnet、HTTP、SNMP、TFTP）
*这些开放端口容易受到攻击吗？
*有没有加密管理界面（例如，SSH、HTTPS）？
*是否激活了安全警告和日之（例如，系统日志（sylogs）、traps）？
*有没有使用过滤器阻止通过接入点传播到有线网络中的未认证的协议（例如ARP、RIP、SNMP、NetBIOS）？
*有没有（使用）过滤器阻止用户到用户的无线？
*接入点使用合适的ESSID和通道了吗？
*安全参数和拒绝策略一致吗？
*如果接入点使用WEP，破解密钥需要多长时间？
*接入点发布已知的漏洞初始化厂商（IV）了吗？
*如果接入点使用预共享密钥（PSK），容易破解吗？
*如果接入点没有使用WPA2，可以获得WPA2更新吗？
*接入点可以抵挡模拟802.11拒绝服务攻击吗（例如，认证洪流）？

4.测试你自己的工作站

　　有些工作站在你调查时可能没有活动，所以确保你的资产详细目录上的每一个802.11-功能设备都检查了，包括笔记本电脑、桌面电脑、PDA、VoIP 手机、打印机、扫描器和耳机或听筒。你可能想要“ping扫描”无线子网，来确定逃过早期检查的秘密设备的位置。然后，回答关于你的每一个无线工作站的下列问题：
*工作站是否运行了最新的操作系统和应用安全补丁？
*是否使用了引导程序或者操作系统认证阻止丢失/被窃/无意使用？
*目前的杀毒程序和反间谍软件程序运行了吗？
*无线界面有没有被个人防火墙保护？
*有没有开放不需要的端口（例如netbios-ns/ssn、 microsoft-ds、 ssdp）？
*有没有通往无线的不必要的协议（例如文件/打印机共享）？
*有没有把可能的无线入侵（例如，以阻止的会话）计入日志？
*无线客户是否和ANY网络相关联？ANY特别吗？
*用户自动使用家庭或者热点SSID再聚焦了吗？
*磁盘上保留了无线用户的信任状（例如，密码）了吗？
*工作站扫描了合适的带宽并使用了合适的ESSID了吗？
*安全参数和定义的策略一致吗？
*工作站发布已知的漏洞IV了吗？
*如果工作站使用802.1X，它的认证可见吗？
*如果使用802.1X，检查服务器的证书了吗？
*如果不使用WPA2，可以获得WPA2更新吗？
*如果在无线上使用VPN客户端，配置合适吗？

5．测试你的WLAM架构

　　最后，评估无线子网中的所有网络架构设备的安全性，包括无线交换机、防火墙、VPN网关、DNS服务器、DHCP服务器、RADIUS服务器、运行被俘入口登录页的Web服务器和管理以太网的交换机。

　　和接入点一样，所有的这些设备应该通过相同的通常运行面向互联网的服务器的渗透测试。例如，被俘入口应该通过通常运行DMZ Web服务器的测试。包括按照设计评估对需要补丁的已知漏洞的程序/版本的测试。

　　大部分的架构测试都不是为无线特定的，但是附加的测试可能适合802.1X架构。例如，你可能希望测试RADIUS服务器的功能来温和的拒绝错误格式的EAP信息，包括有害EAP长度和深度。

6．采用测试结果

　　很不幸，没有可以帮助你进行最后的一步的清单。现在应该回顾一下测试结果，并评估你可能没发现的漏洞。排除可能的漏洞，并降低可能利用其他漏洞的机会。例如，如果你在接入点上发现了远程登录，决定是否停止服务，以及如何停止。你可以使用SSH代替远程登录来管理接入点吗？你可以把SSH限制到以太网上使无线收发邮件的后台程序不被检测到吗？

　　一旦你使用了修复，重复测试来验证结果是你现在想要的。理想的是，漏洞评估应该定期进行，来检测和评估新的无线设备和配置的更改。还有，寻找可以使测试自动化的机会，让它们更快，更一致、更严格。

一、项目启动
1．双方召开项目启动会议，确定各自接口负责人。
==工作输出
1．《业务安全评估相关成员列表》（包括双方人员）
2．《报告蓝图》
==备注
1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

二、确定工作范围
1．请局方按合同范围提供《资产表》，也即扫描评估范围。
2．请局方指定需进行人工评估的资产，确定人工评估范围。
3．请局方给所有资产赋值（双方确认资产赋值）
4．请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。
==工作输出
1．《会议备忘》（要求签字确认）
2．《资产表》（包括人工评估标记和资产值）
==备注
1．资产数量正负不超过15%；给资产编排序号，以方便事后检查。
2．给人工评估资产做标记，以方便事后检查。
3．资产值是评估报告的重要数据。

三、制定整体实施计划
1．按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。
2．与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。
==工作输出
1．《总体项目进度甘特图》
2．《评估阶段工作计划表》
==备注
1．扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；《工作计划表》交项目经理参考，以便配合。
2．确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟点）对加固阶段详细计划的确定更重要。

四、管理评估阶段
1．提供现有的安全管理规范和管理制度。
2．提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。
3．对应业务的管理、员工、安全主管进行访谈。
4．对现有安全管理制度的实行情况进行审计。
5．对评估中需要的其他策略文档进行收集。
==工作输出
1．《资料接收单》
2．《安全访谈记录单》
==备注
1．对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写《资料接收单》并签字。
2．访谈记录单内容需要与被访谈人进行确认及签字。
3．对于发现的重要情况，均须与对应配合人员进行确认，重大内容需要双方签字。

五、技术评估阶段
1．提出扫描申请
2．每日制定第二天的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。
3．进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。
4．进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。
6．双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。
7．在整个项目技术部分基本结束时，双方协商进行渗透测试。
8．每日进行记录和总结。
9．逢周末进行周工作总结。
==工作输出
1．《扫描申请报告》/《原始弱点报告》
2．《日工作计划》
3．《工作确认单》
4．评估数据
5．《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》
6．《渗透测试申请报告》/《渗透测试报告》
7．《日工作记录》
8．《周工作总结》
==备注
1．签字确认。
2．清晰明确的日工作计划才能使当日工作有条不紊。
3．工作确认单是你工作完成的凭证。
4．收集好评估数据，并妥善保存。
5．签字，注意端口镜像原则上必须由客户进行配置。
6．签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。
7．每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。

六、数据整理
1．工作整理。
2．撰写评估报告。
3．撰写加固方案和安全建议。
==工作输出
1．《评估阶段工作总结》
2．《网络安全风险评估报告》
3．《网络安全建议报告》

七、项目验收
1．提交项目成果。
2．报告解读
3．培训

　　随着Internet 网的发展，企业上网在我国也成了一种趋势，虽然企业上网的原因各种各样，有的是政府行为，有的是企业自发的行为，但是不可否认的是几年来企业上网的层次也有所变化。在 Internet发展的初期阶段，企业上网的含义指的是企业有自己的主页，但很快人们发现这种层次对企业深层次的环节如生产、销售、营销并没有什么太大的促进作用，于是企业慢慢地过渡到比较高的层次，建立自己的网站与局域网，并且与 Internet连接，使企业的上下游伙伴及驻地机构、办事处都能实时了解企业的信息，即过渡到了电子商务的初级阶段。企业内部网也打开了通往 Internet的一个窗口，企业在享受 Internet带来的好处的同时，也面临着一定程序的风险，因为 Internet上存在很多的危险。
　　互联网上的危险
　　互联网上存在着各种各样的危险，这种危险要能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来，比较典型的危险主要包括如下几个方面：
　　1、 软硬件设计故障导致网络瘫痪。
　　如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；
　　2、 黑客入侵。
　　一些不坏好意的人强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；
　　3、 敏感信息泄露。
　　企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；
　　4、 信息删除。
　　有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。
　　也就说互联网上的危险不仅来自于外面，而且有时也来自于内部。虽然在互联网上存在不同程度的危险，但为了企业的业务发展，很多企业不得不把企业的内部网联入互联网，向雇员提供互联网的访问。
　　美国可以说是比较注重网络安全的国家之一，但是根据 IDG 公司的调查报告表明，在所有被调查的公司中，进行常规性安全检查的公司还不到一半，只有 30% 的公司具有跟踪用户访问的能力， 1/3 的公司使用加密技术，其中有60 家左右的公司在三个月内遭受到142 次入侵。美国尚且如此，我们国家的企业网安全现状如何呢？笔者今年年初在北京参加一次安全会议时，有一安全专家对我国企业网的安全状况用“确实应该引起我们警觉”来概括。
　　危险产生的原因
　　互联网之所以存在危险的因素，这主要因为互联网本身存在安全漏洞。互联网在设计之初，根本就没想到会发展到今天这个地步，当时认为互联网只是在比较小的范围内使用，在设计互联网 TCP/IP 协议时，主要考虑的是数据的共享，把数据安全忽略掉了。这就如盖一座楼房地基都没有打好，自然而然危险在当初就种下了，对于危险产生的原因主要有下面几条：
　　1、 不同厂商不同标准的产品集成在网络中引起配置的复杂性。具体说来就是网络安全控制由于各种各样的硬件产品与软件产品的加入使安全配置变得异常复杂， 很容易出现配置错误或失误，以致会导致未经授权的访问；
　　2、 缺乏相应的总体考虑。有些网络在进行系统配置时，无意识地扩大了互联网的访问范围，没有意识到某些互联网服务会被滥用，许多企业网所允许的访问服务类型过多，不能对一些可能会对入侵者有所帮助的网络信息加以访问限制；
　　3、 TCP/IP 协议本身固有的缺陷。如前所述， TCP/IP 本身具有一些缺陷，在设计之初就不是太安全，一些有经验的黑客很容易利用 TCP/IP 的缺陷攻击企业网；
　　4、 大部分的数据没有加密。企业数据在传递的过程中很少有加密的，现在有很多现成的软件都能对此进行半路拦截。
　　上面的四条是主要的四个原因，当然还有其它的原因。知道了不安全的原因，那么我们在考虑企业网安全方案时就有了一个目标，有意识地针对产生危险的原因来设计企业网安全方案。
　　当然在设计企业网安全方案时，不能只从纯技术的角度去考虑，也要考虑到现实情况。今年 8 月份全国召开了一个全融行业网络安全会议，一位曾到德国访问的国内某省行行长讲了这样一件事：他到德国某家银行访问考察他们的网络安全时，发现了有一个漏洞，这个漏洞不是容易发现，他就问这个德国银行的行长为什么不想办法堵住这个漏洞，这个德国银行行长说的话让我们深思不已：这只是一个小小的漏洞，即使别人利用这个漏洞，银行损失也不过几百马克，但是要堵住这个漏洞我们可能要化几百万马克，我有必要堵住这个漏洞吗？所以在考虑设计企业网络安全方案时，要以实际情况而定，不能形而上学。 设计企业网安全方案时要考虑到的问题
　　在设计企业网安全方案之前，需要制定一套完整有效的安全策略。一般情况下，制订安全策略从以下两个方面考虑：网络服务访问策略、防火墙设计策略。
　　所谓网络服务访问策略，就是根据企业的具体业务，明确确定哪些互联网服务要被禁止，哪些互联网服务可以开放。
　　在考虑网络服务访问策略时，要考虑非常细致，否则的话稍不注意，就会留下后患。如我们不想让某个企业网用户使用 Telnet 服务访问互联网，虽然在防火墙上进行了设置，但是有些用户还是可以采用拨号连接获得这项服务。
　　网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用，从文件安全到病毒扫描程序，从远程访问到移动存储介质的跟踪等都要考虑到，也就是说网络服务策略一定要具有现实性与完整性，现实性保证在降低网络风险和为用户提供合理的网络资源之间做出一个大家都能接收的平衡，否则的话可能会遭到企业内部用户的抵制，这样以来可能会导致达不到应有的效果。
　　对于防火墙设计策略的制订，在制订之前要充分知道上面的列出的一些危险以及产生危险的原因。从当前来看防火墙的安全策略有以下两种极端情况：
　　1、 除非明确禁止，否则允许。这是一种比较宽松的防火墙安全策略；
　　2、 除非明确允许，否则禁止。这是一种极其严格的防火墙安全策略；
　　当前现实中的防火墙安全策略都以此作为两个极限点，作了不同程度的折衷。至于依据什么进行折衷，下面风险评估会对此有一个详细的说明。总而言之，防火墙是否满足企业网的安全需要，取决于网络安全设计人员能否恰如其分地把握好这个平衡。
　　如何评估风险
　　在制订企业网的安全策略之前，要对企业的实际风险做一个尽可能准确的评估，否则的话就会出现或者本来企业网需要的安全级别高，结果为了省钱，选了一个安全性能不是很高的防火墙；或者本来企业网需要的安全级别不是很高，结果花了相当多的钱买了一个安全性能极高的防火墙，浪费了投资，所以一定要