建立完善的安全策略管理流程

安全策略管理流程是信息安全策略（Information Security Policy）的组成部分。它并不是具体的技术指导，而是保证技术为业务服务的管理方法。开始的时候，每一台防火墙的安全策略都比较简单。然而，新的服务，新的设备，都可能需要新的安全策略。安全策略列表日益庞大，变更和管理的复杂度都大幅提升。组织需要建立一个审核和测试所有策略申请的流程，并严格执行。策略管理流程可以根据业务需要来微调，通常应该考虑以下内容，以确保新增和修改是合理的、有据可查的。

1. 业务方申请人发起新增安全策略请求，说明需要添加什么样的安全策略。业务主管评估安全策略的必要性以后，提交给安全团队。通常，业务方需要提供如下信息：

   网络变动也需要提前通知到安全团队，以提前评估影响，同步制定安全策略调整方案。

   • 访问哪些服务、端口或应用
   • 从哪里访问（通常是指某个子网，如果是从服务器侧发起访问，需要指定具体IP地址）
   • 新增安全策略的用途和目的是什么
   • 安全策略的有效期（未注明则为长期策略）
2. 安全团队评估业务请求的风险，确定具体的安全策略实施方案。必要时，请跟业务方沟通。跟业务主管或申请人就新增安全策略申请进行沟通，可以帮助你确认新的安全策略满足了业务需求，也让业务方了解安全策略的复杂性和风险。
3. 部署和验证，确认安全策略达到了预期的效果。应邀请业务方和数据所有者（被访问的目的服务或应用）等关键角色参与验证，以确认配置正确，没有引入错误的安全策略。通过充分的验证，可以及时发现问题，避免长时间累积后难以处理。
4. 所有的安全策略都应该记录在案。某些行业规范要求记录所有的申请和审批文档（例如PCI DSS），并要求定期审计安全策略。虽然从执行上略显繁琐，但是长远来看，这种做法是合理且高效的。安全团队中的任何人都可以通过查看记录来了解每条安全策略的意图，并建立起安全策略与申请流程之间的关联。这对于审计和问题定位都大有裨益。建议安全策略记录至少要包含以下内容。
   • 业务方提供的安全策略申请的内容
   • 业务方申请人和审批人
   • 添加的日期和时间
   • 安全团队的具体操作人

如果组织具有完善的IT系统，则上述内容通常会记录在业务请求流程中，可以大大简化安全策略记录的工作。IT流程与防火墙的具体配置相结合，可以让策略管理工作更简单。例如，在安全策略的描述字段中记录创建时间、操作人或IT流程的编号，可以建立起安全策略和申请流程之间的联系，便于追溯和审计。