【正文】 作系統(tǒng)而定 。 政府機構和系統(tǒng)安全承包商是 B1級計算機系統(tǒng)的主要擁有者 。 需要什么級別的安全 5) B2級 B2級又叫做結構保護 (Structured Protection)級別 ， 它要求計算機系統(tǒng)中所有的對象都加標簽 ， 而且給設備 (磁盤 ， 磁帶和終端 )分配單個或多個安全級別。 它提出了較高安全級別的對象與另一個較低安全級別的對象通信的第一個級別 。 6) B3級 B3級又稱安全域 (Security Domain)級別 ， 它使用安裝硬件的方式來加強域 。 例如 ， 內存管理硬件用于保護安全域免遭無授權訪問或其他安全域對象的修改。 該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上 。 需要什么級別的安全 7)A級 A級也稱為驗證保護或驗證設計 (Verity Design)級別 ， 是當前的最高級別 ， 它包括一個嚴格的設計 、控制和驗證過程 。 與前面提到的各級別一樣 ， 這一級別包含了較低級別的所有特性 。 設計必須是從數學角度上經過驗證的 ， 而且必須進行秘密通道和可信任分布的分析 。 可信任分布 (Trusted Distribution)的含義是硬件和軟件在物理傳輸過程中已經受到保護 ， 以防止破壞安全系統(tǒng) 。 可信計算機安全評價標準主要考慮的安全問題大體上還局限于信息的保密性 ， 隨著計算機和網絡技術的發(fā)展 ， 對于目前的網絡安全不能完全適用 。 執(zhí)行信息安全策略的過程 ? 確定應用范圍 ? 獲得管理支持 ? 進行安全分析 ? 會見關鍵人員 ? 制訂策略草案 ? 開展策略評估 ? 發(fā)布安全策略 ? 隨需修訂策略 確定應用范圍 ? 在制訂安全策略之前一個必要的步驟是確認該策略所應用的范圍，例如是在整個組織還是在某個部門。如果沒有明確范圍就制訂策略無異于無的放矢。 獲得管理支持 ? 事實上任何項目的推進都無法離開管理層的支持，安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處，可以為后面的工作鋪平道路，還可以了解組織總體上對安全策略的重視程度，而且與管理層的溝通也是將安全工作進一步導向更理想狀態(tài)的一個契機。 進行安全分析 ? 這是一個經常被忽略的工作步驟，同時也是安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的信息資產，及其對組織的絕對和相對價值，在決定保護措施的時候需要參照這一步驟所獲得的信息。進行這項工作時需要考慮的關鍵問題包括需要保護什么，需要防范哪些威脅，受到攻擊的可能性，在攻擊發(fā)生時可能造成的損失，能夠采取什么防范措施，防范措施的成本和效果評估等等。 會見關鍵人員 ? 通常來說至少應該與負責技術部門和負責業(yè)務部門的人員進行一些會議，在這些會議上應該向這些人員灌輸在分析階段所得出的結論并爭取這些人員的認同。如果有其它屬于安全策略應用范圍內的業(yè)務單位，那么也應該讓其加入到這項工作。 制訂策略草案 ? 一旦就應用范圍內的采集的信息達成一致并獲得了組織內部足夠的支持，就可以開始著手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內容，并作為最后的評估和確認工作的基準。 開展策略評估 ? 在之前已經與管理層及與安全策略執(zhí)行相關的主要人員進行了溝通，而該部分工作在之前的基礎上進一步與所有風險承擔者一同對安全策略進行確認，從而最終形成修正后的正式的策略版本。在這個階段會往往會有更多的人員參與進來，應該進一步爭取所有相關人員的支持，至少應該獲得足夠的授權以保障安全策略的實施。 發(fā)布安全策略 ? 當安全策略完成之后還需要在組織內成功的進行發(fā)布，使組織成員仔細閱讀并充分理解策略的內容?？梢酝ㄟ^組織主要的信息發(fā)布渠道對安全策略進行廣泛發(fā)布，例如組織的內部信息系統(tǒng)、例會、培訓活動等等。 隨需修訂策略 ? 隨著應用環(huán)境的變化，信息安全策略也必須隨之變化和發(fā)展才能繼續(xù)發(fā)揮作用。通常組織應該每季度進行一次策略評估，每年至少應該進行一次策略更新。 安全策略的具體內容 信息安全策略的制定者綜合風險評估、信息對業(yè)務的重要性，管理考慮、組織所遵從的安全標準，制定組織的信息安全策略，可能包括下面的內容： ? 加密策略 描述組織對數據加密的安全要求。 ? 使用策略 描述設備使用、計算機服務使用和雇員安全規(guī)定、以保護組織的信息和資源安全。 安全策略的具體內容 ? 線路連接策略 描述諸如傳真發(fā)送和接收、模擬線路與計算機連接、撥號連接等安全要求。 ? 反病毒策略 給出有效減少計算機病毒對組織的威脅的一些指導方針，明確在哪些環(huán)節(jié)必須進行病毒檢測。 ? 應用服務提供策略 定義應用服務提供者必須遵守的安全方針。 安全策略的具體內容 ? 審計策略 描述信息審計要求，包括審計小組的組成、權限、事故調查、安全風險估計、信息安全策略符合程度評價、對用戶和系統(tǒng)活動進行監(jiān)控等活動的要求。 ? 電子郵件使用策略 描述內部和外部電子郵件接收、傳遞的安全要求。 ? 數據庫策略 描述存儲、檢索、更新等管理數據庫數據的安全要求。 安全策略的具體內容 ? 非武裝區(qū)域策略 定義位于“非軍事區(qū)域”（ Demilitarized Zone）的設備和網絡分區(qū)。 ? 第三方的連接策略 定義第三方接入的安全要求。 ? 敏感信息策略 對于組織的機密信息進行分級，按照它們的敏感度描述安全要求。 安全策略的具體內容 ? 內部策略 描述對組織內部的各種活動安全要求，使組織的產品服務和利益受到充分保護。 ? Inter接入策略 定義在組織防火墻之外的設備和操作的安全要求。 ? 口令防護策略 定義創(chuàng)建，保護和改變口令的要求。 ? 遠程訪問策略 定義從外部主機或者網絡連接到組織的網絡進行外部訪問的安全要求。 安全策略的具體內容 ? 路由器安全策略 — 定義組織內部路由器和交換機的最低安全配置。 ? 服務器安全策略 定義組織內部服務器的最低安全配置。 ? VPN安全策略 定義通過 VPN接入的安全要求。 ? 無線通訊策略 定義無線系統(tǒng)接入的安全要求。 謝 謝！