【正文】 ? Inter接入策略 定義在組織防火墻之外的設(shè)備和操作的安全要求。 發(fā)布安全策略 ? 當(dāng)安全策略完成之后還需要在組織內(nèi)成功的進(jìn)行發(fā)布，使組織成員仔細(xì)閱讀并充分理解策略的內(nèi)容。 設(shè)計(jì)必須是從數(shù)學(xué)角度上經(jīng)過驗(yàn)證的 ， 而且必須進(jìn)行秘密通道和可信任分布的分析 。 例如 ， 當(dāng)用戶無權(quán)瀏覽進(jìn)程表時(shí) ， 它若執(zhí)行命令就只能看到它們自己的進(jìn)程 。 D級(jí)系統(tǒng)最普通的形式是本地操作系統(tǒng) ， 或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò) 。只有了解了對(duì)網(wǎng)絡(luò)資源安全構(gòu)成威脅的來源與類型，才能針對(duì)這些問題提出保護(hù)方法。這符合于規(guī)定用戶在網(wǎng)絡(luò)訪問的 最小權(quán)限 的原則，即給予用戶能完成他的任務(wù)所 必要 的訪問權(quán)限與可以使用的服務(wù)類型，這樣將會(huì)便于網(wǎng)絡(luò)的管理。 信息安全策略的基本組成 安全策略是指在一個(gè)特定的環(huán)境里 ， 為保證提供一定級(jí)別的安全保 護(hù)所必須遵守的規(guī)則 ， 它包括三個(gè)重要的組成部分 。 在一個(gè)小型組織內(nèi)部，信息安全策略的制定者一般應(yīng)該是該組織的技術(shù)管理者，在一個(gè)大的組織內(nèi)部，信息安全策略的制定者可能是由一個(gè)多方人員組成的小組。 在 P2DR模型中，恢復(fù)（ Recovery）環(huán)節(jié)是包含在響應(yīng)（ Response）環(huán)節(jié)中的，作為事件響應(yīng)之后的一項(xiàng)處理措施，不過，隨著人們對(duì)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)愈加重視，尤其是 911恐怖事件發(fā)生之后，人們對(duì) P2DR模型的認(rèn)識(shí)也就有了新的內(nèi)容，于是， PDRR模型就應(yīng)運(yùn)而生了。某一方面的缺陷會(huì)導(dǎo)致嚴(yán)重的安全事故。 及時(shí)恢復(fù)系統(tǒng)，使其盡快正常對(duì)外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑 對(duì)危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對(duì)信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低 檢測(cè)本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊 PDRR模型 PDRR也是基于時(shí)間的動(dòng)態(tài)模型，其中，恢復(fù)環(huán)節(jié)對(duì)于信息系統(tǒng)和業(yè)務(wù)活動(dòng)的生存起著至關(guān)重要的作用，組織只有建立并采用完善的恢復(fù)計(jì)劃和機(jī)制，其信息系統(tǒng)才能在重大災(zāi)難事件中盡快恢復(fù)并延續(xù)業(yè)務(wù)。問題策略描述了一個(gè)組織所關(guān)心的安全領(lǐng)域和對(duì)這些領(lǐng)域內(nèi)安全問題的基本態(tài)度。 (3) 嚴(yán)格的管理： 各網(wǎng)絡(luò)使用機(jī)構(gòu) 、 企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法 ， 加強(qiáng)內(nèi)部管理 ， 建立審計(jì)和跟蹤體系 ， 提高整體信息安全意識(shí) 。 ? 網(wǎng)絡(luò)性能 。 必須防范什么威脅 威脅類型 示 例 自然和物理的 火災(zāi)、水災(zāi)、風(fēng)暴、地震、停電 無 意 的 不知情的員工、不知情的顧客 故 意 的 攻擊者、恐怖分子、工業(yè)間諜、政府、惡意代碼 對(duì)計(jì)算機(jī)環(huán)境的威脅 網(wǎng)絡(luò)中基本上存在者兩種威脅 偶然的威脅 有意圖的威脅 被動(dòng)的威脅 主動(dòng)的威脅 必須防范什么威脅 安全漏洞： 安全漏洞是資源容易遭受攻擊的位置。 另外 ， 作為 C1級(jí)保護(hù)的一部分 ， 允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限等 。 需要什么級(jí)別的安全 4) ?B1級(jí) B級(jí)中有三個(gè)級(jí)別 ， B1級(jí)即標(biāo)號(hào)安全保護(hù)(Labeled Security Protection)， 是支持多級(jí)安全(如秘密和絕密 )的第一個(gè)級(jí)別 ， 這個(gè)級(jí)別說明一個(gè)處于強(qiáng)制性訪問控制之下的對(duì)象 ， 系統(tǒng)不允許文件的擁有者改變其許可權(quán)限 。 獲得管理支持 ? 事實(shí)上任何項(xiàng)目的推進(jìn)都無法離開管理層的支持，安全策略的實(shí)施也是如此。 ? 使用策略 描述設(shè)備使用、計(jì)算機(jī)服務(wù)使用和雇員安全規(guī)定、以保護(hù)組織的信息和資源安全。 ? VPN安全策略 定義通過 VPN接入的安全要求。 ? 數(shù)據(jù)庫(kù)策略 描述存儲(chǔ)、檢索、更新等管理數(shù)據(jù)庫(kù)數(shù)據(jù)的安全要求。如果有其它屬于安全策略應(yīng)用范圍內(nèi)的業(yè)務(wù)單位，那么也應(yīng)該讓其加入到這項(xiàng)工作。 6) B3級(jí) B3級(jí)又稱安全域 (Security Domain)級(jí)別 ， 它使用安裝硬件的方式來加強(qiáng)域 。 例如 ， 讓文件擁有者有讀 、 寫和執(zhí)行的權(quán)力；給同組用戶讀和執(zhí)行的權(quán)力；而給其他用戶以讀的權(quán)力 。 TCSEC最初只是軍用標(biāo)準(zhǔn) ， 后來延至民用領(lǐng)域 。 ? (5) 演示程序 應(yīng)用軟件的演示程序、網(wǎng)絡(luò)操作系統(tǒng)的演示程序、計(jì)算機(jī)硬件與網(wǎng)絡(luò)硬件的演示程序與網(wǎng)絡(luò)軟件的演示程序。 制定安全策略的思想方法 這兩種思想方法所導(dǎo)致的結(jié)果是不相同的。在信息安全策略中不規(guī)定使用什么具體技術(shù)，也不描述技術(shù)配置參數(shù)。 WPDRRC模型 Respond： 對(duì)危及安全的事件、行為、過程及時(shí)作出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)尚能提供正常服務(wù)。因此，需要建立網(wǎng)絡(luò)安全體系結(jié)構(gòu)，以實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整性鑒別、數(shù)字簽名、訪問控制等方面的功能。被動(dòng)攻擊包括對(duì)用戶信息的竊取，對(duì)信息流量的分析等。即檢測(cè)系統(tǒng)脆弱性檢測(cè)；入侵檢測(cè)，病毒檢測(cè)。信息安全策略是原則性的和不涉及具體細(xì)節(jié)，對(duì)于整個(gè)組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個(gè)全局性框架。 按照第二種方法，如果決定某一臺(tái)機(jī)器禁止提供匿名 FTP服務(wù)，那么可以理解為除了匿名 FTP服務(wù)之外的所有服務(wù)都是允許的。 ? (4) 用戶 普通網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)操作員、網(wǎng)絡(luò)管理員。 它于 1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出 ， 并于 1985年 12月由美國(guó)國(guó)防部公布。 文件的擁有者和根用戶 (Root)可以改動(dòng)文件中的訪問屬性 ， 從而對(duì)不同的用戶給與不同的訪問權(quán) 。 它提出了較高安全級(jí)別的對(duì)象與另一個(gè)較低安全級(jí)別的對(duì)象通信的第一個(gè)級(jí)別 。 會(huì)見關(guān)鍵人員 ? 通常來說至少應(yīng)該與負(fù)責(zé)技術(shù)部門和負(fù)責(zé)業(yè)務(wù)部門的人員進(jìn)行一些會(huì)議，在這些會(huì)議上應(yīng)該向這些人員灌輸在分析階段所得出的結(jié)論并爭(zhēng)取這些人員的認(rèn)同。 ? 電子郵件使用策略 描述內(nèi)部和外部電子郵件接收、傳遞的安全要求。 ? 無線通訊策略 定義無線系統(tǒng)接入的安全要求。 安全策略的具體內(nèi)容 ? 線路連接策略 描述諸如傳真發(fā)送和接收、模擬線路與計(jì)算機(jī)連接、撥號(hào)連接等安全要求。先從管理層獲得足夠的承諾有很多好處，可以為后面的工作鋪平道路，還可以了解組織總體上對(duì)安全策略的重視程度，而且與管理層的溝通也是將安全工作進(jìn)一步導(dǎo)向更理想狀態(tài)的一個(gè)契機(jī)。 即在這一級(jí)別上 ， 對(duì)象 (如盤區(qū)和文件服務(wù)器目錄 )必須在訪