信息安全策略的研究信息安全策略的研究.docx

信息安全策略的研究随着信息技术的不断发展，信息日益成为一种重要的战略资源。信息技术的应用几乎涉及到了各个领域，信息技术正逐渐改变着人们的日常生活和工作方式。信息产业已经成为新的经济高速增长点，信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分。可以说，信息安全事关国家安全、社会稳定，信息安全的重要性由此而知。?21世纪既是信息的时代，也是我们的时代。作为国家社会主义事业的建设者和接班人，必须了解信息安全的研究领域，必须学习一定的保障信息安全的基本知识。本文主要是讲北京联华中安信息技术专家对信息安全策略的一些探讨。信息安全策略的基本概念信息安全策略是单位内指导本单位及其信息系统如何管理、保护积分发，包括敏感信息在内的资产的规则、指南和惯例。信息安全策略（Information?Security?Policies）也叫信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的原则，它告诉组织成员在日常的工作中什么是可以做的，什么是必须做的，什么是不能做的，哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。信息安全策略的分类联华中安信息技术专家按照它们的关键思想把这些策略分为了4类：?第一类，通过改进信息系统开发过程中的系统安全部分，达到解决信息系统安全目的。?第二类，通过仔细观察组织中各项工作的职责后发现安全需求，以解决信息系统安全问题。?第三类，通过改进业务处理过程，尝试构建一个模型来描述业务过程模型中的安全约束以解决信息系统安全。?第四类，从数据模型的安全方面入手，通过扩展数据库安全领域的现有研究结果，达到解决信息系统安全目的。信息安全策略主题内容信息安全策略通常不是一篇文档，根据组织的复杂程度还可能分成几个层次，其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的，提供足够的信息，保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的，是适用于哪些信息资产和处理过程的。例如“绝密级的技术、经营战略，只限于主管部门总经理或副总经理批准的直接需要的科室和人员使用，使用科室和人员必须做好使用过程的保密工作，而且必须办理登记手续。”使每一位职员都明确组织对他授予了什么权利，以及对信息资源所负的责任。?通常一个组织可能会考虑开发下列主题的信息安全策略：?1、环境和设备的安全?2、信息资产的分级和人员责任?3、安全事故的报告与响应?4、第三方访问的安全性5、委外处理系统的安全?6、人员的任用、培训和职责?7、系统策划、验收、使用和维护的安全要求?8、信息与软件交换的安全?9、计算级和网络的访问控制和审核?10、远程工作的安全?11、加密技术控制?12、备份、灾难恢复和可持续发展的要求13、符合法律法规和技术指标的要求?也可以划分更细一些，例如账号管理策略、便携式计算机使用策略、口令管理策略、防病毒策略、软件控制策略、Email使用策略、Internet访问控制策略等。每一种主题可以借鉴相关的标准和惯例，例如环境和设备安全可以参考的国家标准有：GB50174-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》等(当然这些标准制定的时间比较早，组织需要根据自己的情况判断吸收，一些信息安全要求比较高的组织可能在很多方面要超过这些标准的要求，对于大型组织也可以参考这些项目自己开发相应的标准)。信息安全策略制定框架在建立和制定信息系统安全策略时，应遵循下列原则：?目的性：信息系统安全策略是针对某一具体信息系统，为落实本单位的信息安全策略而制定的，应保证与本单位信息安全策略的符合性；?完整性：信息系统安全策略应考虑该系统运行各环节的安全保护的完整性；?适用性：信息系统安全策略应适应本单位的应用环境和应用水平，应根据单位业务的安全需求来确定策略的简繁；?可行性：信息系统安全策略应切实可用，其目标应可以实现、策略的执行情况可检查和可审核；?一致性：信息系统安全策略应与国家主管部门发布的信息安全政策要求、标准规范保持一致，与本单位的信息安全策略保持一致等。2?信息系统安全策略制定规范?为规范信息系统安全策略的制定，我们需要考虑设计信息系统安全策略时相关问题。联华中安信息专家推荐以下两种制定规范。?第一种通过着重考虑解决下列问题：?定义信息系统及其业务目标和安全目标；?日常工作和重要业务对信息系统的依赖程度；?信息系统相关资产对象，如：硬件、软件、信息、环境、人员及活动；?需要保护的资产对象及其保密性、完整性、可用性需求；?．?对实现业务目标产生负面影响的因素及其来源(如：服务或资产不可用或?受到破坏、信息或软件受到未授权访问)、可能造成的损失、产生的危害等；?信息系统潜在的威胁、自身的脆弱