电大一网一《信息安全工程与管理》实训二.docVIP

课程实训报告 学生姓名： 学号： 项目名称 具体信息系统网络安全多级策略文件体系的制定 实训目的 提高学生对网络安全策略概念的认识和理解，初步掌握基于信息系统的业务使命以及网络安全等级保护标准要求的网络安全策略的制定，并细化为多级策略文件体系。 实训内容 1）掌握具体信息系统的业务使命的分析和描述方法，熟悉我国现行网络安全法律、法规以及标准规定的网络等级保护标准对信息系统策略制定的约束与指导。 l? 掌握具体的信息系统的业务使命的分析、描述方法，包括其功能、性能要求，了解业务使用部门、信息技术部门和管理机构对该信息系统的不同管理权限和安全要求。 l? 熟悉我国现行网络安全法律（主要是《网络安全法》、《密码法》）、法规（主要是《网络安全等级保护制度》）以及标准规范（《网络安全等级保护》系列国家标准），及其对信息安全保护的具体要求。 （2）针对具体的信息系统，结合识别上一步识别出来的业务功能使命、组织结构对其安全提出的要求，遵循我国网络安全等级保护制度的具体规定和要求，制定该信息系统的安全策略文件体系 l? 针对具体的信息系统，分析并明确其业务功能使命、组织结构对其安全提出的要求，识别该信息系统在机密性、完整性和可用性等方面的具体需求，给出安全需求列表或清单。 l? 遵循我国网络安全等级保护制度的具体规定和要求，对该信息系统进行定级（具体实训中可确定为具有代表性的等保三级），并按照确定的级别给出具体的安全需求列表或清单。 l? 根据上述安全需求列表或清单，进行该信息系统安全策略文件体系的制定，具体分为四级（方针/策略级、规范/流程/制度级、指南/手册/细则级、记录/表单级）。 实训要求 提交实训报告 实 训 过 程 步骤简述： 除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，网络安全管理政策也是其中重要的一环。从以往的经验来看，诸多的不安全因素往往来自于缺乏必要的安全管理政策上面，“人”的因素是计算机网络安全所必须考虑的重要问题，因此缜密的安全管理政策的制定应引起各计算机网络应用部门的高度重视。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是： （1）根据工作的重要程度，确定该系统的安全等级。 （2）根据确定的安全等级，确定安全管理的范围。 （3）制订相应的机房出入管理制度。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 （4）制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。 （5）制订完备的系统维护制度。对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。 （6）制订应急措施。要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。 从根本上来说，所有网络安全系统的组成部分，都是网络安全管理政策中的一个环节。因此，建立有效的网络安全管理政策，往往就成了各个组织机构所面临的最重要的问题。目前越来越多的国家已经开始注意到了这一点，并针对如何建立有效的网络安全管理政策及其评估，实施了各种标准。 值得注意的是，网络安全管理政策是网络安全管理的一个组成部分。网络安全管理政策是通过保证维护信息的机密性、完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。由于互联网的日益迅速的发展，网络安全管理政策正在成为其中的一个重要组成部分。另外，本文所提到的网络安全管理政策，也与网络管理中的安全管理有所不同：网络的安全管理是管理政策的一个组成部分，但网络安全管理政策不只限于这些，网络安全管理政策还涵盖了像认证与访问控制政策、入侵检测和紧急响应政策等多个方面。网络安全管理政策更侧重于就网络总体本身需求来定义组织范围内的总体策略方针。 一个组织机构的公司IT安全政策可能包括关于对机密性、完整性、可用性、认可、责任性、真实性和可靠性等需求的论述，以及对直接涉及网络连接的威胁类型和防护要求的看法。例如，此类政策可能规定某些类型的信息或服务的可能性是主要关注的问题；不允许通过拨号连接；所有接入到互联网的连接必须经过安全网关；必须使用特定类型的安全网关；在没有数字签名的情况下，支付指令无效。 在确定安全风险类型和鉴定网络连接所需的潜在防护领域方面时，必须考虑到适用于整个组织机构的此类陈述、看法和要求。如果存在着任何此类安全要求，那么就可以在文件草案中拟定潜在防护