信息安全策略体系结构、组成及具体内容.pptVIP

什么是信息安全策略？ 信息安全策略与技术方案的区别 信息安全策略的内容应该有别于技术方案， 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价。 第二十七页，共七十一页。 什么是信息安全策略？ 信息安全策略的描述方式 信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：条目1 “任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。”? ?这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。 第二十八页，共七十一页。 信息安全策略的基本组成 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保 护所必须遵守的规则，它包括三个重要的组成部分。 (1) 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。 (2) 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 (3) 严格的管理：各网络使用机构 、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 第二十九页，共七十一页。 信息安全策略的层次 安全策略是指某个安全区域内用于所有与安全有关的活动的规则，分三级： 安全策略目标 机构安全策略 系统安全策略 第三十页，共七十一页。 安全策略的制定 制定安全策略的内容 制定安全策略的原则 制定安全策略的思想方法 安全策略的设计依据 需要保护什么资源 必须防范什么威胁 需要什么级别的安全 第三十一页，共七十一页。 制定安全策略的内容 制定安全策略的目的是保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容包括： 进行安全需求分析 对网络系统资源进行评估 对可能存在的风险进行分析 确定内部信息对外开放的种类及发布方式和访问方式 明确网络系统管理人员的责任和义务 确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则 第三十二页，共七十一页。 制定安全策略的原则 适应性原则：在一种情况下实施的安全策略到另一环境下就未必适合 动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快 简单性原则：安全的网络是相对简单的网络 系统性原则：应全面考虑网络上各类用户、各种设备、各种情况，有计划有准备地采取相应的策略 最小特权原则：每个用户并不需要使用所有的服务；不是所有用户都需要去修改系统中的每一个文件；每一个用户并不需要都知道系统的根口令，每个系统管理见也没有必要都知道系统的根口令等 第三十三页，共七十一页。 制定安全策略的思想方法 在制定网络安全策略时有以下两种思想方法： 凡是没有明确表示允许的就要被禁止。 凡是没有明确表示禁止的就要被允许。 按照第一种方法，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是禁止的。 按照第二种方法，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是允许的。 第三十四页，共七十一页。 制定安全策略的思想方法 这两种思想方法所导致的结果是不相同的。采用第一种思想方法所表示的策略只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种新的网络应用出现时，对于第一种方法，如允许用户使用，就将明确地在安全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着允许用户使用。 需要注意的是：在网络安全策略上，一般采用第一种方法，即明确地限定用户在网络中访问的权限与能够使用的服务。这符合于规定用户在网络访问的最小权限的原则，即给予用户能完成他的任务所必要的访问权限与可以使用的服务类型，这样将会便于网络的管理。 第三十五页，共七十一页。 安全策略设计依据 制订安全策略时应考虑如下因素： 对于内部用户和外部用户分