|
|
|
|
|
安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
|
|
|
|
安全策略的核心内容就是“七定”:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
|
|
|
|
|
|
|
|
|
|
安全与应用既矛盾,又相互依存。没有应用,就不会产生相应的安全需求等问题;不妥善地解决安全问题,就不能更好地开展应用。另外,安全是有代价的,会增加系统建设和运行的费用,会规定对使用的限制,给应用带来一些不便。
|
|
|
|
|
|
安全是相对的,是一个风险大小的问题。它是一个动态过程,我们不能一厢情愿地追求所谓绝对安全,而是要将安全风险控制在合理程度或允许的范围内。
|
|
|
|
|
|
安全风险与安全代价相对应,需要经过风险评估后对风险和代价进行均衡,有效控制两者的平衡点,既能保证安全风险的有效控制,又使安全的代价可以接受。
|
|
|
|
|
|
|
|
|
|
国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
|
|
|
|
|
|
.系统审计保护级:适用于通过内联网或国际网进行商业活动,需要保密的非重要单位。
|
|
|
|
.安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
|
|
|
|
.结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
|
|
|
|
.访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
|
|
|
|
|
|
建立安全策略的设计原则是在决策之前需要清理头绪,抓住“关键环节”。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
全局性的系统方案直接影响到信息系统安全实施与效果。因此,从信息安全考虑,确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.首先确定采用MIS+S、S-MIS或S2-MIS体系架构。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
