信息系统安全策略综述

合集下载

信息安全研究热点综述

信息安全研究热点综述信息安全研究热点综述摘要：本文详细介绍了信息安全的应用背景，说明了信息安全的至关重要性, 并分析了信息安全需求，针对需求结合当前现实对信息安全研究热点进行综述, 并查阅相关资料得到了最新的信息安全发展的预测内容。

论文关键词：信息安全, 需求，研究热点信息安全的发展不能离开网络的快速成长，其实信息安全的含义就包含网络安全和信息安全。

随着全球信息化水平的不断提高，信息安全的重要性日趋增强。

当前信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面的关键产业。

信息安全可能会影响个人的工作、生活，甚至会影响国家经济发展、社会稳定、国防安全。

因此，信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。

尽管如此，当前信息安全的现状却不容乐观。

我国新华社曾报道，中国近60%的单位曾发生过信息安全事件，其中包括国防部等政府部门。

中国公安部进行的一项调查显示，在被调查的7072家单位中，有58%曾在2021年遭到过攻击。

这些单位包括金融机构和国防、商贸、能源和电信等政府部门。

归结到个人信息即使一张小小的手机卡，如果丢失同样可能会带来不可挽回的损失。

2021年曾经在高校流行的信息诈骗，就是有人窃取高校数据库信息，造成学生信息外流而导致的短信诈骗、电话诈骗和邮件诈骗事件。

只有努力才会不断成功，《2021年第四季度反垃圾邮件状况调查》结果，自2021年第二季度以来，中国网民平均每周收到垃圾邮件的数量，保持着下降趋势。

从18. 35封下降到第三季度的17. 86封，再从17. 86 封减少到笫四季度的17. 55封，这是一年中连续两次减少，垃圾邮件治理工作成效显著。

2021年美国东海岸连锁超市(EastCoast)的母公司HannafordBros.称，该超市的用户数据库系统遭到黑客入侵，造成400多万个银行卡帐户信息泄露，因此导致了1800起与银行卡有关的欺诈事件。

信息安全关键技术综述

信息安全关键技术综述信息的安全一直是一个重要的问题，随着信息化程度的加深，我们的信息也会变得越来越容易被泄露。

信息安全关键技术是保护我们信息不受攻击、泄露和篡改的重要方法。

本文将对信息安全关键技术进行综述。

1. 加密技术加密技术是信息安全的基础技术之一，它可以将明文信息通过一定的加密算法转化为密文，从而防止信息被未经授权的第三方获取。

加密技术主要分为对称加密和非对称加密两种方式。

对称加密使用同一个密钥进行加密和解密，而非对称加密则需用不同的密钥进行加解密。

2. 数字签名技术数字签名技术是一种特殊的加密技术，它用于确定某个数字信息（如电子邮件、文档、软件代码等）的发送者。

数字签名使用私钥将信息加密，并使用公钥将信息公开，接收者可以通过验证签名来确定发送方的身份和信息是否被篡改。

3. 认证和授权技术认证和授权技术是保障信息系统安全的重要手段。

认证技术指的是确定用户是谁的过程，授权技术指的是确定用户可以做什么的过程。

通过认证和授权技术，系统可以保证只有授权的用户才能访问特定的系统资源。

4. 防火墙技术防火墙是一种由硬件、软件和策略组成的安全保护系统，可帮助组织保护内部网络免受恶意攻击。

防火墙可以限制外部网络对内部网络的访问，并监视传入和传出的网络流量以及阻止不合法的网络连接请求。

5. 病毒检测和清除技术病毒是指一种可以传播并破坏系统安全的恶意程序。

病毒检测和清除技术通过检测和清除系统中的恶意程序来保护系统安全。

常用的检测方法包括签名扫描、行为监控和启发式分析。

6. 安全审计技术安全审计技术指的是通过对系统日志和监控数据的收集和分析，对系统中存在的安全漏洞和安全事件进行检测和记录。

安全审计技术可以帮助管理员及时发现异常活动和入侵行为，并采取相应的安全措施。

总之，信息安全关键技术是保障信息安全不可或缺的手段，需要在系统设计和维护过程中充分考虑到。

基于以上关键技术，我们可以采取多重安全措施来保障我们的信息安全。

电子商务企业信息安全综述

电子商务企业信息安全综述一、引言随着互联网的普及与电子商务行业的持续发展，电子商务企业所涉及的信息安全问题日渐复杂。

如何保障企业信息，确保数据的安全、稳定是电子商务企业必须关注的问题。

本文将从电子商务企业信息安全的现状、面临的威胁及应对措施这三个方面进行探讨。

二、电子商务企业信息安全现状电子商务企业的信息安全面临许多难题。

首先是数据隐私问题，它涉及着消费者的个人隐私，一旦被泄露将带来严重后果。

其次，数据的保护难度也是电子商务面临的障碍之一，不时会被网络攻击、盗窃等现象危及系统安全。

最后，由于普及程度和网络状况的不同，电子商务企业面临的安全问题也千差万别。

目前，国内的电子商务企业在保障数据安全方面已经采取了一些措施，例如建立安全数据中心，采用数据加密技术，采取安全控制策略等，同时全面的数据备份和容错处理也越来越普遍。

这些措施在一定程度上缓解了电子商务企业的信息安全问题，但并不能从根本上解决这个问题。

三、电子商务企业信息安全面临的威胁1、黑客攻击：黑客是针对电子商务企业进行的一种攻击方式，黑客可以通过攻击入侵企业的系统，进而窃取企业数据信息或者破坏系统，产生严重后果。

企业需要采取一些技术手段来防止黑客攻击。

2、病毒和木马：病毒和木马是目前最为常见的电子商务企业数据安全问题，它们能够通过互联网传播并侵入企业系统，进而破坏数据的完整性。

企业需要在数据传输和存储时采用病毒检测和文件扫描技术，杀毒软件的安装也是必不可少的。

3、网络钓鱼：网络钓鱼是通过虚拟界面诈骗的一种手段，通过跟真实网页极其相似的虚假网页骗取用户信息，成为最近电子商务企业信息安全的新威胁。

企业需要利用信息加密技术来防止网络钓鱼攻击。

4、拒绝服务攻击：拒绝服务攻击是一种通过大量的虚假请求占用网络资源的安全攻击方法，目的是使其网络服务系统无法正常工作。

企业可以通过限制某些IP的访问来减轻这种攻击对网络服务的影响。

四、电子商务企业信息安全的解决措施1、物理措施：1.1保障物理安全：一些敏感的商务服务器需要放置在物理安全控制的环境下，比如需要从办公区域分离出来，安置在专门的机房里，由摄像设备监控等方式进行控制。

第1章网络信息安全综述

加密算法可以是可逆的, 也可以是不可逆的。
2 数字签名机制数字签名是附加在数据单元上的一些数据，或是对数据进行的密码变换，以达到不可否认或完整性的目的。这种机制有两个过程: (1) 对数据单元签名; (2) 验证签过名的数据单元。
17
Network and Information Security
•
•
• •
这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定安全机制、五种普遍性安全机制。
它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置，还确定了OSI安全体系的安全管理。国际标准化组织在网络安全体系的设计标准（ISO 7498-2）中，定义了5大安全服务功能：身份认证服务、数据保密服务、数据完整性服务、不可否认服务和访问控制服务。
2
Network and Information Security
第1章网络信息安全综述
1.2 网络安全威胁 1.2.1 网络安全威胁的类型
（1）窃听：
（2）假冒（3）重放
（4）流量分析
（5）破坏完整性（6）拒绝服务
（7）资源的非授权使用
（8）特洛伊木马（9）病毒
（10）诽谤
3
Network and Information Security
●B3级——安全域保护(Security Domain)。要求：系统有自己的执行域，不受外界干扰或篡改。
增加以下
系统进程运行在不同的地址空间从而实现隔离。具有高度的抗入侵能力，可防篡改，进行安全审计事件的监视，具备故障恢复能力。 ●A1级——可验证设计(Verified Design)。要求：增加以下

信息安全综述

国家安全、社会稳定的重要部门将实施强制监管，他们使用的操作系统必须有
三级以上的信息安全保护。２００３年９月，中办发［０３２２０１７号文《于加强信息安全保障工作的意见，关提出建立国家信息安全的十大任务；２００４
年１月，中央召开全国信息安全保障会议，明确了今后一段时间我国信息安全保障工作的主要内容和工作重点；２００４年８２月８日，届人大第十一次会议通过十了中华人民共和国电子签名法，并于２０年４月１日起实施，标志我国信息０５安全建设的法制化进程向前迈出了重要一
出版。
漏洞。信息安全正成为当今社会的一个焦点。因此，研究信息安全问题是大家所关心和探讨的一个重要课题。
一
国内外有关信息安全管理规
定的情况
世界经济合作与发展组织（ＣＯＥＤ）１９年发表了《９２信息系统安全指
南》其意图就是旨在帮助成员和非成员的，政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。国、Ｃ美ＯＥＤ的其他２个成员，３以及几个非ＯＥＤ成卜Ｃ员都批准了这一指南。《信息系统安全指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公共和私有部门问的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家问和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育／

网络安全综述(全文)

网络安全综述(全文)网络安全综述网络安全已成为当今社会亟待解决的问题之一。

随着信息技术的迅猛发展，互联网已经渗透到我们生活的方方面面，为我们的工作、学习和娱乐提供了便利，但与此同时也带来了各种安全隐患。

本文将对网络安全的概念、现状和挑战进行综述，以期增强公众对网络安全的认识，并提供相应的解决方案。

一、网络安全概述网络安全是维护网络系统的完整性、机密性和可用性，保护网络用户免受网络威胁和攻击的一系列措施。

网络安全需求源于信息传输和处理的需求，同时也是信息社会中的重要组成部分。

网络安全的重要性不言而喻。

在当今社会，互联网已经成为政府、企业、个人交流和信息传递的重要平台，泄漏、篡改或破坏数据将对社会、经济和国家安全造成严重影响。

因此，确保网络的安全性和稳定性是非常重要的。

二、网络安全现状1. 威胁日益增长：随着互联网的快速发展，网络威胁也不断增加。

黑客、病毒、恶意软件等网络攻击手段层出不穷，对个人信息、财产安全构成了巨大威胁。

2. 数据泄露风险：大规模数据泄露事件时有发生，用户个人信息被盗用的案例频频曝光，引发了社会的广泛担忧。

个人隐私泄漏、金融欺诈等问题成为了网络安全的焦点。

3. 网络攻击手段升级：网络攻击手段不断升级，从传统的病毒、木马到勒索软件、僵尸网络，攻击手段日趋复杂。

恶意软件的新变种不断涌现，给网络安全带来了更大的挑战。

4. 社交网络安全性堪忧：社交网络已成为人们交流和分享的主要平台，然而，社交网络中存在大量的虚假信息和网络欺诈行为。

网络骗局层出不穷，对用户的财产和个人安全造成了严重威胁。

三、网络安全挑战1. 技术挑战：网络安全技术在不断进步，但对抗新型安全威胁的能力还需进一步提高。

面对不断变化的攻击手段，网络安全专家需要不断研发创新的解决方案。

2. 法律法规问题：网络安全涉及到复杂的法律和道德问题。

目前，国内外相关的法律法规还不够完善，对网络攻击者的打击力度不够大。

建立健全的法律法规体系对保障网络安全至关重要。

计算机系统安全综述

计算机系统安全综述摘要：当前的计算机信息技术已经进入了一个该素发展的时代，同时，相关的安全性问题严重性也正在逐渐的突显出来。

文章将针对这一方面的内容展开论述，详细的分析了计算机系统的安全性主要问题，并且对计算机系统的安全性重要意义进行了阐述，对具体的加强和改进的措施方案，进行了研究，力求全面的解决存在的问题和不足之处，更好的推动计算机系统的安全性。

关键词：计算机系统；安全性能；安全问题；研究中图分类号：tp391文献标识码：a文章编号：1007-9599 (2013) 06-0000-021引言计算机的硬件和软件，不断的发展和进步，使得相关的计算机系统编程了一个生活当中十分普遍并且有着重要应用的工具。

在生活和生产的各个角落当中，都可以看见计算机的身影，而计算机网络技术的发展和进步，则使得整个社会的信息资源都可以很好的贡献，同时也是的社会工作的分工成为了一种历史发展的必然趋势，大量的信息和数据等，通过网络在不同的计算机系统之间进行传输，使人们更加迫切的系统针对计算机系统的安全性进行合理的提升，进而保护自己的数据安全。

而面对现今越来越严重的计算机网络安全性的问题，需要直面安全性的重点和难点，针对主要的威胁进行有效的改进，同时，针对安全性问题产生的主要原因等，进行深入的探究，进而提出合理化的改进方案措施，从实际的角度出发进行有效的解决。

2计算机系统安全性的主要问题详细的分析目前计算机系统当中存在的安全性问题，主要存在于以下几个方面当中。

2.1系统的硬件难以得到完全的安全保障。

这一类威胁以及安全性攻击，主要是针对计算机本身以及相关的外部环境等受到的影响，而造成计算机系统的非正常运行。

例如地震、火灾等一系列不可以预测的，同时还有电磁信号的干扰，来自于系统硬件的电磁干扰，电磁波、静电、漏电等等，都有可能会对计算机系统的运行造成一定的问题。

此外，计算机硬件的设备老化和陈旧等，也有可能会导致计算机的硬件处于不安全的环境当中，进而引发相关的安全性问题。

信息系统的安全策略

• 4. 风险分析 • 该公司的的物理环境、计算机网络设施、信息资源构建、电子交易、数据存取、访问及组织人事等方面都存在安全风险，需要加以保护。 • 5. 审批与发布 • 方案经各部门讨论、研究制定后将向各主管部门申报审批。批准后，将由人事组织部门组织全体人员学习并实施。同时由人事组织部门向有关方面通报、沟通。
10．2．4信息系统安全策略的文档格式
• 安全策略形成的文件是一个高层的计划方案, 是对安全策略的全面说明与部署，信息系统安全策略的文档格式如下： • 1. 企业电子商务系统概况。 • 2. 企业网络架构、设备、信息资产现状，运行实践与风险分析。 • 3. 提供信息安全管理系统（ISMS ）“资源与现状”的“需求 ”； • 提出ISMS对各项管理的“目标与原则”的“要求”。 • 4. ISMS所要求的保存在各种介质中的记录。 • 5. 文档发布、沟通与保管的流程安排。 • 6. 申报审批等有关说明与补充。
10．1．3安全策略的基本流程
• 安全策略的基本流程是“计划-实施-检查-改进”（PDCA）： • 1. 计划（建立ISMS计划）：权衡组织的需求、目标、风险与效益，构建ISMS计划。确定受保护的信息资源的性质并按照国家标准进行安全分级。既要按照安全策略的要求做到“八定”，又要明确执行者、受益者、用户和所有者在责、权、利方面的原则及其优先级，以求达到策略预期的效果。 • 2. 实施（实施和运作ISMS）：落实计划中的各项规定与流程，实施和运作ISMS的策略、控制措施与程序。
10．1．4 安全策略的特征
• 网络的安全问题不是单纯的技术问题，安全管理在整个网络安全保护工作中的地位十分重要。任何先进的网络安全技术都必须在有效、正确的管理控制下才能得到较好的实施。 • 安全策略具有下列一些基本特征： • 1. 全面性：安全策略的全面性是指它能够适用于系统的所有情况，具有不用修改就可以适用于出现的新情况。 • 2. 持久性：安全策略的持久性是指它能够较长时间地适用于系统不断发展变化的情况。为了保持持久性，在制定安全策略时可将可能发生变化的部分单列，允许有权限的人员在将来系统变化时修改。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息系统安全策略综述摘要本文通过对信息安全系统策略相关问题的讨论，借鉴引入两种制定策略的思考规范并通过基于网络信息系统安全策略制定实例指导读者在具体实践中体会多种策略结合的好处，同时更好的帮助读者建立起对信息安全系统策略的总体映像，方便进一步学习。

1 引言在信息技术高速发展的今天，解决信息安全问题，不仅要靠良好的信息安全管理体系，更应对信息安全的要求落实到具体的信息系统管理中。

而制定并实施信息系统的安全策略就是落实信息安全要求的必要技术措施。

本文将根据个人对信息安全技术标准、管理规范的肤浅理解，结合相关专业人士研究成果，对信息系统安全策略的提出背景，定义与内容，然后结合基于网络信息系统安全策略制定实例对信息系统安全策略进行初步探讨。

2 引入背景--------计算机信息系统面临的威胁据美国联邦航空局向外界透露，该局一个航班排序中心的电脑系统当天下午因故障而瘫痪，导致全国20多个机场出现航班延误。

此前，黑客攻陷美国国家安全部门信息系统，造成损失的报道屡见报端。

类似事件在我国也有发生。

某银行的信息终端出现问题，客户非法提现，最终招致一场轰动全国的诉讼案件。

层出不穷的这类事件和事故，都在向我们昭示，信息系统风险无时无处不在，加强安全防范，构筑安全堤坝已经是刻不容缓。

按一般信息处理过程来看，计算机信息系统所面对的威胁可以归结为三大类，一是对信息系统设备的威胁，二是对业务处理过程的威胁，三是对数据的威胁。

因为信息系统与人们的现实经济生活关系日益密切，这些威胁，或早或晚、或大或小，都会转化为对人们现实经济生活的威胁。

3 信息系统安全策略定义与内容为了保证信息系统安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使信息系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护，我们往往需要制定信息系统安全策略。

3.1信息安全策略定义参照相关论文，我们可以得出以下几种定义：信息安全策略是单位内指导本单位及其信息系统如何管理、保护积分发，包括敏感信息在内的资产的规则、指南和惯例。

信息安全策略(Information Security Policies)也叫信息安全方针，是组织对信息和信息处理设施进行管理，保护和分配的原则，它告诉组织成员在日常的工作中什么是可以做的，什么是必须做的，什么是不能做的，哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。

3.2信息安全策略分类按照它们的关键思想把这些策略分为了4类：第一类，通过改进信息系统开发过程中的系统安全部分，达到解决信息系统安全目的。

第二类，通过仔细观察组织中各项工作的职责后发现安全需求，以解决信息系统安全问题。

第三类，通过改进业务处理过程，尝试构建一个模型来描述业务过程模型中的安全约束以解决信息系统安全。

第四类，从数据模型的安全方面入手，通过扩展数据库安全领域的现有研究结果，达到解决信息系统安全目的。

3.3信息安全策略内容3.3.1物理安全策略旨在保护计算机服务器、数据存贮、系统终端、网络交换等硬件设备免受自然灾害、人为破坏，确保其安全可用。

制定物理安全策略，要重点关注存放计算机服务器、数据存贮设备、核心网络交换设备的机房的安全防范。

其选址与规划建设要遵循GB 9361 计算机场地安全要求和GB2887 计算机场地技术条件，保证恒温、恒湿，防雷、防水、防火、防鼠、防磁、防静电，加装防盗报警装置，提供良好的接地和供电环境，要为核心设备配置与其功耗相匹配的稳压及UPS不间断电源。

3.3.2 网络安全策略旨在防范和抵御网络资源可能受到的攻击，保证网络资源不被非法使用和访问，保护网内流转的数据安全。

访问控制是维护网络安全、保护网络资源的重要手段，是网络安全核心策略之一。

访问控制包括入网访问控制、网络授权控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制以及防火墙控制。

安全检查（身份认证）、内容检查也是保护网络安全的有效措施。

网络加密手段包括链路加密、端点加密和节点加密，链路加密是保护网络节点之间的链路数据安全，端到端加密是对从源端用户到目的端用户之间传输的数据提供保护，节点加密是对源节点到目的节点之间的传输链路提供保护。

另外，数字认证在一定程度上保证了网上交易信息的安全。

3.3.3 数据安全策略旨在防止数据被偶然的或故意的非法泄露、变更、破坏，或是被非法识别和控制，以确保数据完整、保密、可用。

数据安全包括数据的存储安全和传输安全两个方面。

数据的存储安全系指数据存放状态下的安全，包括是否会被非法调用等，可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防范水平。

3.3.4 软件安全策略旨在防止由于软件质量缺陷或安全漏洞使信息系统被非法控制，或使之性能下降、拒绝服务、停机。

软件安全策略分为系统软件安全策略和应用软件安全策略两类。

对通用的应用软件，可参照前款作法，通过加强与软件提供商的沟通，及时发现、堵塞安全漏洞。

对量身定做的应用软件，可考虑优选通过质量控制体系认证、富有行业软件开发和市场推广经验的软件公司，加强软件开发质量控制，加强容错设计，安排较长时间的试运行等策略，以规避风险，提高安全防范水平。

3.3.5 系统管理策略旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。

要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有必要建立行之有效的系统运行维护机制和相关制度。

比如，建立健全中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网络通讯管理制度，应急响应制度，等等。

要根据分工，落实系统使用与运行维护工作责任制。

加强对相关人员的培训和安全教育，减少因为误操作给系统安全带来的冲击。

要妥善保存系统运行、维护资料，做好相关记录，要定期组织应急演练，以备不时之需。

3.3.6 灾难恢复策略旨在趁着系统还在运行的时候，制定一个灾难恢复计划，将灾难带来的损失降低到最小，使系统安全得到保障的策略。

主要需根据本单位及信息系统的实际情况，研究系统遇到灾害后对业务的影响，设计灾后业务切换办法，如定期备份数据，根据灾难类型，制订灾难恢复流程，建立灾难预警、触发、响应机制，组织相关培训和练习，适时升级和维护灾难恢复计划等等。

4 信息安全策略制定框架4.1 信息系统安全策略制定原则在建立和制定信息系统安全策略时，应遵循下列原则：·目的性：信息系统安全策略是针对某一具体信息系统，为落实本单位的信息安全策略而制定的，应保证与本单位信息安全策略的符合性；·完整性：信息系统安全策略应考虑该系统运行各环节的安全保护的完整性；·适用性：信息系统安全策略应适应本单位的应用环境和应用水平，应根据单位业务的安全需求来确定策略的简繁；·可行性：信息系统安全策略应切实可用，其目标应可以实现、策略的执行情况可检查和可审核；·一致性：信息系统安全策略应与国家主管部门发布的信息安全政策要求、标准规范保持一致，与本单位的信息安全策略保持一致等。

4.2 信息系统安全策略制定规范为规范信息系统安全策略的制定，我们需要考虑设计信息系统安全策略时相关问题。

一般推荐以下两种制定规范。

第一种通过着重考虑解决下列问题：·定义信息系统及其业务目标和安全目标；·日常工作和重要业务对信息系统的依赖程度；·信息系统相关资产对象，如：硬件、软件、信息、环境、人员及活动；·需要保护的资产对象及其保密性、完整性、可用性需求；．·对实现业务目标产生负面影响的因素及其来源(如：服务或资产不可用或受到破坏、信息或软件受到未授权访问)、可能造成的损失、产生的危害等；·信息系统潜在的威胁、自身的脆弱点；·用于消除负面影响、降低风险、减少脆弱点的安全防护措施选择；·外部技术支持的选择；·信息安全的成本等。

第二种通过以下系统化方法规范制定过程：·进行安全需求分析·对信息系统资源进行评估·对可能存在的风险进行分析·确定内部信息对外开放的种类及发布方式和访问方式·明确信息系统管理人员的责任和义务·确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存取、访问规则4.3 基于网络信息系统安全策略制定实例4.3.1 引入背景根据国际标准化组织(ISO)所提出的开放系统互连(OSI)七层协议参考模型，我们从以下几个方面来考虑网络信息系统的安全问题：物理安全、链路安全、网络安全、应用层安全。

物理安全即保护计算机网络设备、设施以及其它媒体免遭地震、火灾等自然灾祸以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

例如环境安全的威胁：地震、水灾、火灾等自然灾祸会造成整个系统的毁灭。

设备安全的威胁：电源故障造成设备断电以至操作系统引导失败或数据库信息丢失，设备被盗、被毁造成数据丢失或信息泄漏，电磁辐射也可能造成数据信息被窃取或偷阅。

操作者的疏忽或者恶意破坏导致系统失灵。

链路安全主要解决网络系统中链路级点对点公用信道的安全，即保证通过网络链路传送的数据不被窃听。

入侵者在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性：以上种种不安全因素都对网络构成严重的安全威胁。

网络安全应该从两个方面来考虑：一是从信息网(内域网)内部本身的安全威胁来考虑：二是从信息网接入Internet网后的安全威胁来考虑。

来自内域网的威胁，比如内部人员故意泄漏内部网络的网络结构，安全管理员有意透露其用广名及口令，内部不怀好意的员工编写破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。

种种因素都将网络安全构成很大的威胁。

内域网与外部网互联的安全威胁，比如入侵者通过探测扫描网络及操作系统存在的安全漏洞，并通过相应的攻击程序对内部网进行攻击，通过网络监听等先进手段获得内部网用户的用户名、口令等信息，然后假冒内部合法身份非法登陆，窃取重要信息，发送大量的PIN6包对内域网服务器进行攻击，使服务器超负荷工作以至系统瘫痪。

应用层安全主要涉及网络操作系统的安全、应用系统的安全、数据库安全等几个方面。

操作系统漏洞：目前的操作系统或应用系统无论是Windows还是其它任何商用UNIx 操作系统以及其它厂商开发的应用系统，其开发厂商必然有其backdoor。

而且系统本身必定存在安全漏洞。

这些“后门”或安全漏洞都将存在重大安全隐患。

操作系统如果没有采用相应的安全配置，则其是漏洞百出，入侵者可以轻易得手。

4.3.2 一般策略制定营造安全的物理环境环境安全保障：计算机机房或设备存放处要有供电、供水系统的保障、要防火、防盗、防震等设施。