【正文】 信息安全策略應(yīng)當(dāng)遵循： – 1) 綜合平衡 (綜合考慮需求、風(fēng)險(xiǎn)、代價(jià)等諸多因素 ) 。 第 9章 信息安全管理與災(zāi)難恢復(fù) ?備份技術(shù)是將整個(gè)系統(tǒng)的數(shù)據(jù)或狀態(tài)保存下來，但它并不保證系統(tǒng)的實(shí)時(shí)可用性。 信息安全管理策略 ?信息安全策略應(yīng)該簡單明了、通俗易懂，并形成書面文件，發(fā)給組織內(nèi)的所有成員；對所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)；對信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正落實(shí)到實(shí)際工作中。 – 4) 經(jīng)濟(jì)性。 信息安全管理策略 ?(2) 策略的主要內(nèi)容 ?理論上，一個(gè)完整的信息安全策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。 – 也可以劃分為如賬號管理策略、口令管理策略、防病毒策略、 Email使用策略，因特網(wǎng)訪問控制策略等。 – 6) 策略簽署。 – 10) 策略解釋。 信息安全機(jī)構(gòu)和隊(duì)伍 ?信息安全管理一般分 3個(gè)層次，每一層級都應(yīng)有明確的責(zé)任制。 – 3) 處理問題公正嚴(yán)明，不拘私情。信息安全人員必須簽訂保密協(xié)議書，要求承擔(dān)保密義務(wù)。 信息安全機(jī)構(gòu)和隊(duì)伍 – 6) 權(quán)力分散。各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)安全需求，制定安全策略。確保把安全管理落到實(shí)處。根據(jù)資源價(jià)值和風(fēng)險(xiǎn)評估結(jié)果，采用適度的保護(hù)措施。該標(biāo)準(zhǔn)綜合了信息安全管理方面優(yōu)秀的控制措施，為組織在信息安全方面提供建議性指南。 信息安全工程的設(shè)計(jì)原則 ?根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照 SSECMM (系統(tǒng)安全工程能力成熟模型 ) 和ISO17799 (信息安全管理標(biāo)準(zhǔn) ) 等國際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等多個(gè)方面，信息安全工程在整體設(shè)計(jì)過程中應(yīng)遵循以下 9項(xiàng)原則。 信息安全工程的設(shè)計(jì)原則 – (3) 安全性評價(jià)與平衡原則。安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等各方面要素，單靠技術(shù)或管理都不可能實(shí)現(xiàn)。包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級 (安全子網(wǎng)和安全區(qū)域 ) ，對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級 (應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等 ) ，針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。 信息安全工程的設(shè)計(jì)步驟 ?風(fēng)險(xiǎn)分析與評估通過一系列的管理和技術(shù)手段來檢測當(dāng)前運(yùn)行的信息系統(tǒng)所處的安全級別、安全問題、安全漏洞，以及當(dāng)前安全策略和實(shí)際安全級別的差別，評估運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)，根據(jù)審計(jì)報(bào)告，可制定適合具體情況的安全策略及其管理和實(shí)施規(guī)范，為安全體系的設(shè)計(jì)提供參考。信息安全是一個(gè)管理和技術(shù)結(jié)合的問題。這里主要是指操作系統(tǒng)。 ?隨著系統(tǒng)環(huán)境的發(fā)展以及外部形勢的改變，安全需求也會改變。應(yīng)該根據(jù)具體情況，對不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，禁止不良信息的傳播。應(yīng)該規(guī)定實(shí)現(xiàn)身份認(rèn)證與權(quán)限檢查的方式、方法以及對這些用戶的管理要求。為了防御這些破壞或攻擊。不存在絕對安全的安全防護(hù)體系。 – (2) 通過學(xué)習(xí)某金融單位的“計(jì)算機(jī)安全管理規(guī)定”，加深理解信息安全管理工作的方法，提高對企業(yè)信息安全管理工作的認(rèn)識。但是，數(shù)據(jù)備份技術(shù)并不保證系統(tǒng)的實(shí)時(shí)可用性。它可以是人工或自動系統(tǒng)，目的是使一個(gè)組織及其信息系統(tǒng)在災(zāi)難事件發(fā)生時(shí)仍可以繼續(xù)運(yùn)作。 數(shù)據(jù)容災(zāi)概述 ?由于 COOP強(qiáng)調(diào)機(jī)構(gòu)在備用站點(diǎn)恢復(fù)運(yùn)行中的能力，所以該計(jì)劃通常不包括 IT運(yùn)行方面的內(nèi)容。 數(shù)據(jù)容災(zāi)概述 ?(6) 危機(jī)通信計(jì)劃 (crisis nunication plan，CCP) 。通常， DRP指用于緊急事件后在備用站點(diǎn)恢復(fù)目標(biāo)系統(tǒng)、應(yīng)用或計(jì)算機(jī)設(shè)施運(yùn)行的 IT計(jì)劃。真正的數(shù)據(jù)容災(zāi)就是要避免傳統(tǒng)冷備份具有先天不足，它能在災(zāi)難發(fā)生時(shí)，全面、及時(shí)地恢復(fù)整個(gè)系統(tǒng)。 ?(3) 容災(zāi)是一個(gè)工程。在本地將關(guān)鍵數(shù)據(jù)備份，然后送到異地保存，如交由銀行保管。 數(shù)據(jù)容災(zāi)等級 – 第 3級：活動互援備份。按主從鏡像存儲系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡像。遠(yuǎn)程的數(shù)據(jù)復(fù)制是以后臺同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離長 (可達(dá) l000km以上 ) ，對網(wǎng)絡(luò)帶寬要求小。其“備份窗口”接近于零，可大大增加系統(tǒng)業(yè)務(wù)的連續(xù)性，為實(shí)現(xiàn)系統(tǒng)真正的 7 24運(yùn)轉(zhuǎn)提供了保證。 容災(zāi)技術(shù) ?這種基于 IP的 SAN的遠(yuǎn)程容災(zāi)備份，可以跨越LAN、 MAN和 WAN，成本低、可擴(kuò)展性好，具有廣闊的發(fā)展前景。事實(shí)上，存儲卷的容量可以在線隨意增加或減少。公司將不再需要在每個(gè)分部的服務(wù)器上都連接一臺磁帶設(shè)備。 :13:2923:13:29March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :13:2923:13Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 13分 29秒 23:13:298 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 13分 29秒 23:13:298 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。安裝系統(tǒng)時(shí)，只需為每個(gè)邏輯卷分配最小的容量，并在磁盤上留出剩余的空間。它將幾個(gè) IDE或 SCSI驅(qū)動器等不同的存儲設(shè)備串聯(lián)為一個(gè)存儲池。這種遠(yuǎn)程容災(zāi)備份方式存在一些缺陷，如實(shí)現(xiàn)成本高、設(shè)備的互操作性差、跨越的地理距離短 (10km)等，這些因素阻礙了它的進(jìn)一步推廣和應(yīng)用。 容災(zāi)技術(shù) ?快照是通過軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)據(jù)的快照邏輯單元號LUN和快照 cache，在快速掃描時(shí)，把備份過程中即將要修改的數(shù)據(jù)塊同時(shí)快速拷貝到快照 cache中。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。通常在這兩個(gè)系統(tǒng)中的光纖設(shè)備連接中還提供冗余通道，以備工作通道出現(xiàn)故障時(shí)及時(shí)接替工作，采取這種容災(zāi)方式的主要是資金實(shí)力較雄厚的大型企業(yè)和電信級企業(yè)。在異地建立一個(gè)熱備份點(diǎn)，通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份。 – 第 0級：本地備份、本地保存的冷備份。但光有備份是不夠的，容災(zāi)也必不可少。數(shù)據(jù)備份是數(shù)據(jù)高可用的最后一道防線，其目的是為了系統(tǒng)數(shù)據(jù)崩潰時(shí)能夠快速恢復(fù)數(shù)據(jù)。通信計(jì)劃通常指定特定的人員作為在災(zāi)難反應(yīng)中回答公眾問題的唯一發(fā)言人。這些規(guī)程用來協(xié)助安全人員對有害的計(jì)算機(jī)事件進(jìn)行識別、消減并進(jìn)行恢復(fù)。 數(shù)據(jù)容災(zāi)概述 ?(3) 操作連續(xù)性計(jì)劃 (continuity of operations plan，COOP) 。對數(shù)據(jù)而言，集群和容災(zāi)技術(shù)是保護(hù)系統(tǒng)的在線狀態(tài)，保證數(shù)據(jù)可以隨時(shí)被訪問。 信息災(zāi)難恢復(fù)規(guī)劃 ?高可用集群系統(tǒng)：集群技術(shù)是將多臺服務(wù)器聯(lián)在一起，組成一個(gè)透明的系統(tǒng)，這些服務(wù)器之間互相共享資源，如 IP、數(shù)據(jù)或應(yīng)用軟件等。因此，需要制定科學(xué)的管理制度，成立相應(yīng)的管理機(jī)構(gòu)。所以需要對各個(gè)用戶提出使用桌面系統(tǒng)的安全要求，進(jìn)行必要的安全保護(hù)。保護(hù)數(shù)據(jù)庫的安全一直是一個(gè)核心問題。根據(jù)具體的安全需求，應(yīng)該規(guī)定所要采用的操作系統(tǒng)類型、安全級別以及使用要求。這可以通過安全風(fēng)險(xiǎn)評估技術(shù)來實(shí)現(xiàn)；對于可能發(fā)現(xiàn)的漏洞、風(fēng)險(xiǎn)，規(guī)定相應(yīng)的補(bǔ)救方法，或者取消一些相應(yīng)的服務(wù)。現(xiàn)在經(jīng)常采取的安全防護(hù)措施主要是在網(wǎng)絡(luò)的邊界上，通過使用防火墻的 IP過濾和應(yīng)用代理等功能來實(shí)現(xiàn)安全連接。具體來講，就是成立什么樣的管理機(jī)構(gòu)或部門？負(fù)責(zé)什么任務(wù)？完成什么功能？遵循什么原則？達(dá)到什么要求？ 信息安全工程的設(shè)計(jì)步驟 – 2) 物理層。 信息安全工程的設(shè)計(jì)步驟 ?(3) 需求分析 ?安全需求是企業(yè)為保護(hù)其信息系統(tǒng)的安全對必須要做的工作的全面描述，是一個(gè)詳細(xì)、全面和系統(tǒng)的工作規(guī)劃，是需要經(jīng)過仔細(xì)的研究和分析才能得出的一份技術(shù)成果。首先，安全措施需要人為地去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行?？稍谝粋€(gè)比較全面的安全規(guī)劃