记得多年前，当我祖父下班回家，他会先把自己的黑色饭盒放在柜子上，然后接一杯热水，穿上拖鞋，看看报纸或John Wayne的老电影，到时间了就去喂喂狗，接着就是上床睡觉了。然后这样的日子已经一去不复返了。

　　在数字时代，个人与私有，工作与娱乐的界线变得越来越模糊——这也将永远影响着网络安全。从前我们连续工作数小时，可是现在我们工作一会儿就去虚拟农场收菜，在虚拟社团中和其他玩家交易，或者是努力地去追随我们的孩子在Facebook或Twitter上所做的事情。我们有笔记本电脑，台式电脑，平板电脑以及PDA，而且我们还想在企业网络中把这些设备统统使用起来。

　　当数字化为我们提供便利的同时，黑客也在利用他们的方式进行着攻击。早在80年代，就存在着代码自我复制、密码推测以及密码破解。如果想要搞破坏，你就必须得知道这些技术。这也让我想起了我最喜欢的电影之一——《Hackers》。在影片中，每个人都有一个很酷的黑客名，并且如果有人想去搞破坏，都被认为是合法的。当今，有一大堆的工具可以让你轻而易举地访问到他人的数据包，破坏最复杂的安全设施。事实是，当攻击来临时，我们无法准确判断攻击的步骤，但我们可以推断，并且实时地做出相应的对策。

　　其实大多数攻击都是可被减缓，发挥作用的不单单是安全设备或配置，而是对人员的培训，告诉他们在做企业安全策略中的注意事项，什么该做，什么不该做。

　　现在我们来分析一下安全策略的结构。安全策略有很多。首先，你需要确认哪些是受保护的。计算出你的资产，以及可能存在的安全威胁，之后列出你可以实施的保护措施。

　　一旦上述的过程结束，你就可以设计一个可调节的策略，并告知你企业中的受众——包括用户，管理人员，甚至是一些企业外部的人员。关于策略，要告知他们包括规则，预期以及该策略所运行的操作行为。这对实施的结果将非常重要——比如对违反策略的用户做监测、侦查以及研究等，将会意义重大。

　　可调节的策略能够一揽全局。把它当做是一个较高水平的策略，而具体的策略规范可在其他更集中的策略中。我们需要了解的策略有以下几种分类：

　　技术策略：该策略定义了安全部门员工的职责。包括各种形式的电子通信、远程访问、网络策略以及电话规范。

　　终端用户策略：该策略的内容必须浅显明了。我们不能一概认为普通的用户也懂专业术语，他们通常不会在乎。

　　综合型：采用好的安全策略可实现各种标准、准则以及规程。在以后的文章中，我将详细介绍安全策略的各个领域，以及如何判断并规划各个方面，最大程度提高网络性能。

关于作者：Brandon Carroll，CCIE # 23837，Ascolta全职技术指导师，专注于网络安全与业务发展。