【正文】 行相關(guān)的主要人員進(jìn)行了溝通，而該部分工作在之前的基礎(chǔ)上進(jìn)一步與所有風(fēng)險承擔(dān)者一同對安全策略進(jìn)行確認(rèn)，從而最終形成修正后的正式的策略版本。 安全策略的具體內(nèi)容 ? 線路連接策略 描述諸如傳真發(fā)送和接收、模擬線路與計算機(jī)連接、撥號連接等安全要求。 ? 敏感信息策略 對于組織的機(jī)密信息進(jìn)行分級，按照它們的敏感度描述安全要求。 ? 無線通訊策略 定義無線系統(tǒng)接入的安全要求。 ? 遠(yuǎn)程訪問策略 定義從外部主機(jī)或者網(wǎng)絡(luò)連接到組織的網(wǎng)絡(luò)進(jìn)行外部訪問的安全要求。 ? 電子郵件使用策略 描述內(nèi)部和外部電子郵件接收、傳遞的安全要求。 隨需修訂策略 ? 隨著應(yīng)用環(huán)境的變化，信息安全策略也必須隨之變化和發(fā)展才能繼續(xù)發(fā)揮作用。 會見關(guān)鍵人員 ? 通常來說至少應(yīng)該與負(fù)責(zé)技術(shù)部門和負(fù)責(zé)業(yè)務(wù)部門的人員進(jìn)行一些會議，在這些會議上應(yīng)該向這些人員灌輸在分析階段所得出的結(jié)論并爭取這些人員的認(rèn)同。 可信計算機(jī)安全評價標(biāo)準(zhǔn)主要考慮的安全問題大體上還局限于信息的保密性 ， 隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展 ， 對于目前的網(wǎng)絡(luò)安全不能完全適用 。 它提出了較高安全級別的對象與另一個較低安全級別的對象通信的第一個級別 。 需要什么級別的安全 另一方面 ， 用戶權(quán)限可以以個人為單位授權(quán)用戶對某一程序所在目錄進(jìn)行訪問 。 文件的擁有者和根用戶 (Root)可以改動文件中的訪問屬性 ， 從而對不同的用戶給與不同的訪問權(quán) 。 對于硬件來說 ， 是沒有任何保護(hù)措施的 ， 操作系統(tǒng)容易受到損害， 沒有系統(tǒng)訪問限制和數(shù)據(jù)限制 ， 任何人不需要任何賬戶就可以進(jìn)入系統(tǒng) ， 不受任何限制就可以訪問他人的數(shù)據(jù)文件 。 它于 1970年由美國國防科學(xué)委員會提出 ， 并于 1985年 12月由美國國防部公布。如果理解了安全的確切定義，就能很敏感地對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行風(fēng)險評估。 ? (4) 用戶 普通網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)操作員、網(wǎng)絡(luò)管理員。 ? 初始投資額和后續(xù)投資額 （ 新的硬件 、 軟件及工作人員 ） 。 按照第二種方法，如果決定某一臺機(jī)器禁止提供匿名 FTP服務(wù)，那么可以理解為除了匿名 FTP服務(wù)之外的所有服務(wù)都是允許的。 通過建立一套安全管理標(biāo)準(zhǔn)和方法 ， 即通過建立與信息安全相關(guān)的法律和法規(guī) ， 可以使非法者懾于法律 ， 不敢輕舉妄動 。信息安全策略是原則性的和不涉及具體細(xì)節(jié)，對于整個組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個全局性框架。信息安全策略的制定，同時還需要參考相關(guān)的標(biāo)準(zhǔn)文本和類似組織的安全管理經(jīng)驗(yàn)。即檢測系統(tǒng)脆弱性檢測；入侵檢測，病毒檢測。在 PDRR模型中，安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成了完整的安全體系。被動攻擊包括對用戶信息的竊取，對信息流量的分析等。信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容 信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容 ? 信息安全體系結(jié)構(gòu) ? 信息安全策略的組成 ? 信息安全策略的具體內(nèi)容 信息安全體系結(jié)構(gòu) 信息安全體系結(jié)構(gòu)的意義 TCP／ IP參考模型的安全協(xié)議 分層 P2DR動態(tài)可適應(yīng)安全模型 PDRR模型 WPDRRC模型 木桶理論： 一個桶能裝多少水不取決于桶有多高，而取決于組成該桶的最短的那塊木條的高度 。因此，需要建立網(wǎng)絡(luò)安全體系結(jié)構(gòu)，以實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整性鑒別、數(shù)字簽名、訪問控制等方面的功能。 保護(hù)、檢測、恢復(fù)、響應(yīng)這幾個階段并不是孤立的，構(gòu)建信息安全保障體系必須從安全的各個方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計和建設(shè)的有力依據(jù)。 WPDRRC模型 Respond： 對危及安全的事件、行為、過程及時作出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)尚能提供正常服務(wù)。 什么是信息安全策略？ ? 什么是信息安全策略 信息安全策略是一組規(guī)則，它們定義了一個組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑。在信息安全策略中不規(guī)定使用什么具體技術(shù)，也不描述技術(shù)配置參數(shù)。 (2) 先進(jìn)的技術(shù)： 先進(jìn)的安全技術(shù)是信息安全的根本保障 。 制定安全策略的思想方法 這兩種思想方法所導(dǎo)致的結(jié)果是不相同的。 ? 方便程度和服務(wù)效率的平衡 。 ? (5) 演示程序 應(yīng)用軟件的演示程序、網(wǎng)絡(luò)操作系統(tǒng)的演示程序、計算機(jī)硬件與網(wǎng)絡(luò)硬件的演示程序與網(wǎng)絡(luò)軟件的演示程序。要進(jìn)行有效的安全評估，就必須明確 安全威脅 、 漏洞的產(chǎn)生 ，以及 威脅 、 安全漏洞 和 風(fēng)險 三者之間的關(guān)系。 TCSEC最初只是軍用標(biāo)準(zhǔn) ， 后來延至民用領(lǐng)域 。 屬于這個級別的操作系統(tǒng)有 DOS、 Windows 9x、Apple公司的 Macintosh System 。 例如 ， 讓文件擁有者有讀 、 寫和執(zhí)行的權(quán)力；給同組用戶讀和執(zhí)行的權(quán)力；而給其他用戶以讀的權(quán)力 。 如果其他程序和數(shù)據(jù)也在同一目錄下 ， 那么用戶也將自動得到訪問這些信息的權(quán)限 。 6) B3級 B3級又稱安全域 (Security Domain)級別 ， 它使用安裝硬件的方式來加強(qiáng)域 。 執(zhí)行信息安全策略的過程 ? 確定應(yīng)用范圍 ? 獲得管理支持 ? 進(jìn)行安全分析 ? 會見關(guān)鍵人員 ? 制訂策略草案 ? 開展策略評估 ? 發(fā)布安全策略 ? 隨需修訂策略 確定應(yīng)用范圍 ? 在制訂安全策略之前一個必要的步驟是確認(rèn)該策略所應(yīng)用的范圍，例如是在整個組織還是在某個部門。如果有其它屬于安全策略應(yīng)用范圍內(nèi)的業(yè)務(wù)單位，那么也應(yīng)該讓其加入到這項(xiàng)工作。通常組織應(yīng)該每季度進(jìn)行一次策略評估，每年至少應(yīng)該進(jìn)行一次策略更新。 ? 數(shù)據(jù)庫策略 描述存儲、檢索、更新等管理數(shù)據(jù)庫數(shù)據(jù)的安全要求。 安全策略的具體內(nèi)容 ? 路由器安全策略 — 定義組織內(nèi)部路由器和交換機(jī)的最低安全配置。 ? VPN安全策略 定義通過 VPN接入的安全要求。 ? 第三方的連接策略 定義第三方接入的安全要求。 ? 使用策略 描述設(shè)備使用、計算機(jī)服務(wù)使用和雇員安全規(guī)定、以保護(hù)組織的信息和資源安全。這個策略版本會形成最終策略的框架和主要內(nèi)容，并作為最