《信息安全策略体系结构、组成及具体内容》-(课件).ppt

发布安全策略 当安全策略完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。 随需修订策略 随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。 安全策略的具体内容 信息安全策略的制定者综合风险评估、信息对业务的重要性，管理考虑、组织所遵从的安全标准，制定组织的信息安全策略，可能包括下面的内容： 加密策略----描述组织对数据加密的安全要求。 使用策略 ---描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。 安全策略的具体内容 线路连接策略---描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。 反病毒策略---给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测。 应用服务提供策略---定义应用服务提供者必须遵守的安全方针。 安全策略的具体内容 审计策略---描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。 电子邮件使用策略---描述内部和外部电子邮件接收、传递的安全要求。 数据库策略-----描述存储、检索、更新等管理数据库数据的安全要求。 安全策略的具体内容 非武装区域策略----定义位于“非军事区域”（Demilitarized Zone）的设备和网络分区。 第三方的连接策略---定义第三方接入的安全要求。 敏感信息策略---对于组织的机密信息进行分级，按照它们的敏感度描述安全要求。 安全策略的具体内容 内部策略---描述对组织内部的各种活动安全要求，使组织的产品服务和利益受到充分保护。 Internet接入策略---定义在组织防火墙之外的设备和操作的安全要求。 口令防护策略----定义创建，保护和改变口令的要求。 远程访问策略----定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。 安全策略的具体内容 路由器安全策略—定义组织内部路由器和交换机的最低安全配置。 服务器安全策略---定义组织内部服务器的最低安全配置。 VPN安全策略----定义通过VPN接入的安全要求。 无线通讯策略----定义无线系统接入的安全要求。 谢 谢！ * 补漏是关键！！！ 信息安全策略的层次 安全策略是指某个安全区域内用于所有与安全有关的活动的规则，分三级： 安全策略目标 机构安全策略 系统安全策略 安全策略的制定 制定安全策略的内容 制定安全策略的原则 制定安全策略的思想方法 安全策略的设计依据 需要保护什么资源 必须防范什么威胁 需要什么级别的安全 制定安全策略的内容 制定安全策略的目的是保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容包括： 进行安全需求分析 对网络系统资源进行评估 对可能存在的风险进行分析 确定内部信息对外开放的种类及发布方式和访问方式 明确网络系统管理人员的责任和义务 确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则 制定安全策略的原则 适应性原则：在一种情况下实施的安全策略到另一环境下就未必适合 动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快 简单性原则：安全的网络是相对简单的网络 系统性原则：应全面考虑网络上各类用户、各种设备、各种情况，有计划有准备地采取相应的策略 最小特权原则：每个用户并不需要使用所有的服务；不是所有用户都需要去修改系统中的每一个文件；每一个用户并不需要都知道系统的根口令，每个系统管理见也没有必要都知道系统的根口令等 制定安全策略的思想方法 在制定网络安全策略时有以下两种思想方法： 凡是没有明确表示允许的就要被禁止。 凡是没有明确表示禁止的就要被允许。 按照第一种方法，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是禁止的。 按照第二种方法，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是允许的。 制定安全策略的思想方法 这两种思想方法所导致的结果是不相同的。采用第一种思想方法所表示的策略只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种新的网络应用出现时，对于第一种方法，如允许用户使用，就将明确地在安全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着允许