信息安全策略的内容

[CISSP信息安全培训课程的具体内容是什么]CISSP培训课程大纲 CISSP认证概述 安全管理实务 应用程序与系统开发 安全体系和模型 密码学 访问控制 通信和网络安全 运作安全 物理安全 业务连续性计划 法律、调查及道德...+阅读

信息安全策略的内容

去文库，查看完整内容>

内容来自用户：BEVE

信息安全策略的内容

信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。

1.物理安全策略

物理安全策略的目的是保护计算杌系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。

2.系统管理策略

系统管理策略负责制定系统升级、监控、备份、审计等工作的指导方针和预期目标。系统管理人员和维护人员依据这些策略安排自己的具体工作。这些策略应该明确规定什么时间多少时间去升级系统，什么时候应该如何进行系统监控，什么时候进行日志审查和系统备份等。策略必须足够详细，以帮助系统管理人员能确切知道对系统和网络需要做哪些工作。

3.访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非授权访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到6

计算机信息安全技术的基本策略有哪些

二、计算机网络系统安全策略：

计算机网络系统的安全管理主要是配合行政手段，制定有关网络安全管理的规章制度，在技术上实现网络系统的安全管理，确保网络系统的安全、可靠地运行，主要涉及以下四个方面：

（一）网络物理安全策略：

计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机网络系统有一个良好的工作环境；建立完备的安全管理制度，防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。

（二）网络访问控制策略：

访问控制策略是计算机网络系统安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用，所以网络访问控制策略是保证网络安全最重要的核心策略之一。

1. 入网访问控制：

入网访问控制是为网络访问提供第一层访问控制。它能控制网络用户合法登录到网络服务器并获取网络资源，控制准许网络用户入网的时间和方式。网络用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道防线中只要任何一道未通过，该用户就不能进入该网络。

2. 网络的权限控制：

网络的权限控制是针对网络非法操作提出来的一种保护措施。网络用户和用户组被赋予一定的权限。指定网络用户和用户组可以访问哪些目录、子目录、文件和其他网络资源。可以控制网络用户对这些目录、文件和网络资源能够执行哪些操作。可以根据访问权限将网络用户分为以下三种：

(1)特殊用户：网络系统管理员；

(2)一般用户：系统管理员根据他们的实际需要为他们分配操作权限；

(3)审计用户：负责网络的安全控制与资源使用情况的审计。

3.目录级安全控制：

计算机网络系统应允许控制用户对目录、文件和其他网络资源的访问。网络用户在目录一级指定的权限对所有文件和子目录都有效，用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：

(1) 系统管理员权限（Supervisor）;

(2) 读权限（Read）;

(3) 写权限（Write）;

(4) 创建权限（Create）;

(5) 删除权限（Erase）;

(6) 修改权限（Modify）;

(7) 文件查找权限（File Scan）;

(8) 存取控制权限（Access Control）;

计算机网络系统管理员应为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。这八种访问权限的有效组合可以使用户有效地完成工作，而又能有效地控制用户对服务器资源的访问，这样就加强了网络系统和服务器的安全性。

如何制定信息安全策略

信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标，以及企业为保障信息安全而制定的管理策略。因此，为了实施信息安全策略的后续措施，管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段，其结果就是导致信息安全项目“发育不良”。这意味着，为了编制信息安全策略文档，企业必须拥有明确定义的安全目标，以及为保障信息安全而编制的管理策略。安全与管理不能分家市场上集成了安全策略的产品中，很少有哪种方案能够同时让安全专家和管理人员都满意。试图教育管理人员如何思考安全问题并非恰当的方法。相反，构建安全策略的首要一步是明确管理部门如何看待安全。因为，所谓的安全策略就是关于信息安全的一套管理要求，这些要求向安全专业人员提供了规范指南。另一方面，安全专业人员向管理人员提供规范指南，容易忽略管理需求。安全专业人员应当吸取管理人员的观点，不妨向其“讨教”下面这些与信息安全有关的问题：

1、你如何描述自己所接触的信息类型？

2、你依赖哪类信息做出决策？

3、有没有哪些信息比其它信息更加需要保密？根据这些问题，就可以制定信息分类系统（例如，形成客户信息、财务信息、销售信息等），每种信息系统的正确处理过程都可在业务处理层次上描述。当然，老练的安全专家还可提供独到的建议，从而影响管理人员关于组织策略的管理观点。一旦安全专家完全理解了管理部门的观点，就有可能说明一个与管理部门一致的安全框架。该框架将会成为企业信息安全项目的基石，为构建信息安全策略提供指南。通常，安全业的标准文档被用作基准框架。这种方法很合理，因为它既有助于确保公司管理层充分地接受策略，也有利于外部审核者和参与企业信息安全项目的其它人接受。然而，这些文档从其本质上说并不具体，并不描述特定的安全管理目标。所以它们必须与管理部门的信息相结合，才能产生策略指南。此外，为了保持与标准文档的一致性，期望管理部门改变其管理方式也不合理。但是，信息安全专业人员可以从这些文档中获取良好的安全管理方法，并可以看出是否可以将其整合到企业当前的结构中。保证安全策略的可行性安全策略应当反映真正的实践。否则，策略发布之时，即企业违规之时。要保持策略的简易可行，信息安全项目要能够强化策略，同时又可以解决存在争论的问题。保持策略简易的另外一个原因是，人们都清楚策略并不存在例外情况，因而他们会更愿意预先保持策略的可行性，其目的是为了保证自己能够遵循策略。如果你的策略中出现了这样的语句，“经由主管经理同意，可以不受该策略的约束”，那么，策略文档就毫无价值了。策略文档就不再代表管理部门对信息安全项目的许诺，而是代表策略将无法实施。在遵循信息安全策略时，必须能够与遵循企业内部的其它策略一样处于同等水平。策略的言辞必须能够确保得到主管人员的完全同意。例如，假设在是否准许用户访问可移动媒体（如USB存储设备）的问题上存在着争论。安全专业人员相信绝对不应当准许这种访问，而技术经理可能会认为负责数据操作的技术实施部门必须可以将数据移动或复制到任何介质上。在策略水平上，受到多数人意见的推动，将会出现这样的表述，“对移动介质设备的所有访问要得到主管经理的认可。”技术主管经理认可过程的细节可以进一步讨论和协商。而一般性的策略表述仍要阻止任何人在没有得到主管经理同意的情况下使用移动存储介质。在大型企业中，策略遵循的细节可能大相径庭。在这种情况下，根据人员（员工）来区分策略就比较恰当。整个企业范围内的策略将成为一种全局策略，它包括信息安全方面最常见的范围和规范。不同的分支机构需要发布自己的策略。如果子策略文档的人员在公司范围内有着确切的定义，这种分布式策略就极为有效。在这种情况下，为了更新这些文档，不必谋求同层管理部门的许可。例如，信息技术的操作策略应当仅需要信息技术部门的领导许可，当然，它要与全局的安全策略保持一致，并仅将管理部门的许可增加到全局的安全策略中。策略应当包含这种表述，如“仅有授权的管理员能够对操作系统作出更改”。还有，“仅能在获得授权的变更控制过程中才能访问普通ID的口令”。信息安全策略应当包含哪些方面？那么，信息安全策略中应当至少包含哪些信息呢？这种策略应当至少足以传达关于安全方面的管理目标和方向，因而它应当包含：

1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户，绝无例外。

2、信息分类。策略应当提供特定内容的定义而不是一般化的“机密”或“限制”。

3、在每种信息分类中安全信息处理的管理目标。例如，法律、法规、安全方面的合同义务等，这些都可以整合，并表述为通用的目标，如“客户的私密信息不应当以明文形式授权给除客户代表之外的任何人，并且仅能用于与客户交流的目的。”

4、其它管理要求和补充文档的策略布置（例如，它要由所有主管阶层的同意，所有的其它信息处理文档必须与其保持一致。）

5、用...

数据库的安全策略有哪些

计算机安全是当前信息社会非常关注的问题，而数据库系统更是担负着存储和管理数据信息的任务，因而如何保证和加强其安全性，更是迫切需要解决的热门课题。下面将讨论数据库的安全策略，并简单说明各种策略的实现方案。

一、数据库的安全策略数据库安全策略是涉及信息安全的高级指导方针，这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。数据库系统的基本安全性策略主要是一些基本性安全的问题，如访问控制、伪装数据的排除、用户的认证、可靠性，这些问题是整个安全性问题的基本问题。数据库的安全策略主要包含以下几个方面： 1.保证数据库存在安全数据库是建立在主机硬件、操作系统和网络上的系统，因此要保证数据库安全，首先应该确保数据库存在安全。预防因主机掉电或其他原因引起死机、操作系统内存泄漏和网络遭受攻击等不安全因素是保证数据库安全不受威胁的基础。 2.保证数据库使用安全数据库使用安全是指数据库的完整性、保密性和可用性。其中，完整性既适用于数据库的个别元素也适用于整个数据库，所以在数据库管理系统的设计中完整性是主要的关心对象。保密性由于攻击的存在而变成数据库的一大问题，用户可以间接访问敏感数据库。最后，因为共享访问的需要是开发数据库的基础，所以可用性是重要的，但是可用性与保密性是相互冲突的。

二、数据库的安全实现 1.数据库存在安全的实现正确理解系统的硬件配置、操作系统和网络配置及功能对于数据库存在安全十分重要。比如对于硬件配置情况，就必须熟悉系统的可用硬盘数量，每个硬盘的可用空间数量，可用的CPU数量，每个CPU的Cache有多大，可用的内存数量，以及是否有冗余电源等问题；对于操作系统，则应该周期性的检查内存是否有泄漏，根文件系统是否需要清理，重要的日志是否已经察看；对于网络就应该随时确保网络没有过载，网络畅通、网络安全是否得到保证等等。因为这一部分不是本文的重点，所以不再一一细述，总之，这三方面的安全运行是和维护数据库存在安全不可分割的。 2.数据库完整性的实现数据库的完整性包括库的完整性和元素的完整性。数据库的完整性是DBMS（数据库管理系统）、操作系统和系统管理者的责任。数据库管理系统必须确保只有经批准的个人才能进行更新，还意味着数据须有访问控制，另外数据库系统还必须防范非人为的外力灾难。从操作系统和计算系统管理者的观点来看，数据库和DBMS分别是文件和程序。因此整个数据库的一种形式的保护是对系统中所有文件做周期性备份。数据库的周期性备份可以控制由灾祸造成的损失。数据库元素的完整性是指它们的正确性和准确性。由于用户在搜集数据、计算结果、输入数值时可能会出现错误，所以DBMS必须帮助用户在输入时能发现错误，并在插入错误数据后能纠正它们。DBMS用三种方式维护数据库中每个元素的完整性：通过字段检查在一个位置上的适当的值，防止输入数据时可能出现的简单错误；通过访问控制来维护数据库的完整性和一致性；通过维护数据库的更改日志，记录数据库每次改变的情况，包括原来的值和修改后的值，数据库管理员可以根据日志撤消任何错误的修改。 3.数据库保密性的实现数据库的保密性可以通过用户身份鉴定和访问控制来实现。 DBMS要求严格的用户身份鉴定。一个DBMS可能要求用户传递指定的通行字和时间日期检查，这一认证是在操作系统完成的认证之外另加的。DBMS在操作系统之外作为一个应用程序被运行，这意味着它没有到操作系统的可信赖路径，因此必须怀疑它所收的任何数据，包括用户认证。因此DBMS最好有自己的认证机制。访问控制是指根据用户访问特权逻辑地控制访问范围和操作权限。如一般用户只能访问一般数据、市场部可以得到销售数据、以及人事部可以得到工资数据等。DBMS必须实施访问控制政策，批准对所有指定的数据的访问或者禁止访问。DBMS批准一个用户或者程序可能有权读、改变、删除或附加一个值，可能增加或删除整个字段或记录，或者重新组织完全的数据库。 4.数据库可用性的实现数据库的可用性包括数据库的可获性、访问的可接受性和用户认证的时间性三个因素。下面解释这三个因素。

（1）数据的可获性首先，要访问的元素可能是不可访问的。例如，一个用户在更新几个字段，其他用户对这些字段的访问便必须被暂时阻止。这样可以保证用户不会收到不准确的信息。当进行更新时，用户可能不得不阻止对几个字段或几个记录的访问通道，以便保证数据与其他部分的一致性。不过有一点要注意，如果正在更新的用户在更新进行期间退出，其他用户有可能会被永远阻止访问该记录。这种后遗症也是一个安全性问题，会出现拒绝服务。

（2）访问的可接受性记录的一个或多个值可能是敏感的而不能被用户访问。DBMS不应该将敏感数据泄露给未经批准的个人。但是判断什么是敏感的并不是那么简单，因为可能是间接请求该字段。一个用户也许请求某些包含敏感数据的记录，这可能只是由非敏感的特殊字段推出需要的值。即使没有明确地给出敏感的值，数据...