Одни виды политики сетевой безопасности являются процедурными, например требование наличия межсетевого экрана для защиты внутренних систем. Назначение других видов — обеспечить воплощение всей модели сетевой безопасности, гарантировать качество реализации и предоставить описание процедур по обнаружению уязвимостей. Мы можем рассматривать политику гарантии качества сетевой безопасности как руководство по обеспечению Общей надежности вашего сайта.
Требование о наличии межсетевого экрана фактически является средством выполнения политики сетевой безопасности. Политика уточняет допустимые протоколы связи, механизмы передачи данных, потоки трафика, а сам экран обеспечивает выполнение политики. Таким же образом политика предъявляет требования к идентификации и поведению пользователей, которым разрешен удаленный доступ в сеть, а выполнение этих требований обеспечивается средствами управления, помещенными на сервер удаленного доступа. Администраторы часто игнорируют процесс управления обновлениями, который, безусловно, является частью политики обеспечения качества безопасности. Ваша политика сетевой безопасности должна требовать наличия механизма управления изменениями, который обеспечивает проверку и контроль системы как во время эксплуатации, так и на стадии разработки. Это легче сказать, чем сделать, тем более что здесь требуются совместные усилия со стороны многих, если не всех, отделов вашего предприятия. Изменения в системе должны быть Заблаговременно одобрены или, по крайней мере, признаны всеми заинтересованными сторонами. Изменения должны проверяться. Без должного контроля над конфигурационными изменениями администратор может непреднамеренно упростить задачу хакеру, что рано или поздно приведет к компрометации или простою в работе. Управляя конфигурацией, вы уменьшаете саму возможность возникновения ошибки. Например, ваша политика может декларировать что-то вроде: «обновления операционной системы должны быть протестированы в среде, имитирующей сайт, еще до их внедрения». Кроме того, политика может требовать наличия супервизора, следящего за действиями администраторов. Также хорошей практикой является добавление обязательного правила, регламентирующего сохранение администратором копий измененных или перемещенных файлов.
