信息安全策略体系结构、组成及具体内容
信息安全策略体系结构组成及具体内容
信息安全策略体系结构组成及具体内容信息安全策略体系是一个组织或企业用来保护其信息资产免受损害的具体计划和框架。
它是信息安全管理的基础,可以帮助组织建立安全的信息系统和保护信息资产,以应对日益增长的威胁和风险。
下面将详细介绍信息安全策略体系的结构、组成以及具体内容。
一、信息安全策略体系的结构1.信息安全目标:明确组织对信息安全的期望和目标,如保护机密性、完整性和可用性。
2.组织结构与职责:确定信息安全管理的组织结构和职责,包括指定信息安全负责人、安全团队以及各个部门的安全职责。
3.风险评估和管理:识别和评估信息系统和信息资产的风险,并采取相应措施来管理和减轻这些风险。
4.安全控制:定义并实施符合组织需求的安全控制措施,以保护信息系统和信息资产。
这包括技术控制、物理控制、组织和人员控制等。
5.安全培训与意识:提供信息安全培训和教育计划,增强员工的信息安全意识和能力。
6.合规性要求:确保组织符合相关的法律、法规和监管要求,以及行业标准和最佳做法。
7.事件响应和恢复:建立适当的响应机制和应急计划,以及恢复系统和信息资产的能力,以应对安全事件和事故。
8.性能评估与改进:定期评估信息安全策略的有效性和组织的安全性能,并制定改进措施。
二、信息安全策略体系的组成1.政策与规程:明确组织对信息安全的要求和政策,并制定相应的信息安全规程和操作指南,以指导员工在日常工作中的行为规范和操作规范。
2.安全控制措施:部署和实施各类安全控制措施,包括访问控制、身份验证、防火墙、加密以及网络安全监控和审计等。
3.审计与监测:建立日志记录和监测系统,对系统的使用情况和安全事件进行跟踪和审计,以及采取相应措施,保护和保留相关日志。
4.信息分类与标识:根据信息的重要性和敏感性将信息进行分类,并采取相应的措施进行标识和保护,以确保信息的机密性和可用性。
5.培训与意识提升:为员工提供信息安全培训和意识提升计划,增强他们对信息安全的认识和重要性,并教育他们如何正确处理信息。
信息化安全体系结构方案
信息化安全体系结构初步方案公司的信息化水平在不断的提升;信息化系统对公司业务的支撑作用越发明显;因此保障公司信息安全至关重要。
信息化设施建设走以“软件为主,基础设施为辅”的方式;企业信息安全防护方案和策略主要由以下各部分组成:●Internet安全接入;●防火墙访问控制;●用户认证系统;●入侵检测系统;●网络防病毒系统;●VPN加密系统;●网络设备及服务器加固;●桌面电脑安全管理系统;●SCADA系统防护方案;●数据备份系统;●网络安全制度建设及人员安全意识教育。
公司安全现况:一、防入侵、防攻击:目前连接Internet没有任何的安全防护措施,外网的连接只是简单地通过代理服务器进行管理,主要利用WINDOW系统的ISA软件进行管理,含上网权限、上网代理、VPN连接等;问题:无法有效检测、拒绝外部的非法入侵、攻击,若受到恶意入侵、攻击可能导致网络、ERP系统瘫痪、商业数据被窃取;无法防止内网对外部的不安全访问。
二、防病毒:目前公司的多数电脑都装有破解版的诺顿防病毒软件,但都已过期,无法升级,对新的病毒无法查杀;由于公司没有购买杀毒软件,因而新采购的电脑,只能安装360免费杀毒软件问题:没有安装有效的杀毒软件若染上恶性病毒可能导至网络、系统的瘫痪,数据文件损坏,丢失;重要商业数据被窃取;三、防泄密:目前除了公司邮件服务器外发的邮件若有必要可监控外,其它的均无法防止或监控;如上网用外部邮箱向外发送机密文件;用U盘、移动硬盘、MP3等移动存储介质拷贝机密文件等均无法防止或监控。
问题:可能至使公司机密文件外泄;四、服务器、数据安全(系统冗灾、冗错):目前数据安全保证通过三种方式实现:1、服务器作RADI磁盘陈列,保证数据安全;2、数据库服务器用代理功能定期(一般一天1~2次)自动备份在本机;3、将本机的备份文件通过拷贝的方式进行异机备份;问题:目前无法实现实时数据备份,数据量不断增大用常规的拷贝方式工作量大,且没有安全保障;此外大数据量拷贝会影响服务器的性能、占用网络资源。
信息安全保障体系架构
信息安全保障体系架构
1.信息安全保障体系架构简介
随着信息化水平的不断提高,信息安全成为了一个备受关注的话题。
为了保障信息的安全性,企业需要构建一套信息安全保障体系。
信息安全保障体系架构是该系统的核心部分,在保障信息安全方面起到至关重要的作用。
2.架构组成部分
信息安全保障体系架构是由多个组成部分构成的,其中最关键的是安全机制和管理机制。
安全机制是保障信息安全的技术手段,包括防火墙、入侵检测系统、防病毒软件等。
管理机制是对信息安全的管理机制,对信息的访问、存储、传输等方面进行监控和控制,确保信息不被非法获取、篡改或者泄露。
3.构建方法
构建信息安全保障体系架构需要多方面的技术技能和人员合作。
首先是安全评估,通过对企业的现有安全系统及网络漏洞的调查,评估企业信息安全的现状和漏洞,为后续的安全构建提供基础分析。
然后是方案设计,根据安全评估结果设计出相应的信息安全保障方案。
最后是实施和测试,将相应的安全技术依据安全方案进行实施,同时收集信息安全事故的日志,为企业业务增长等时刻保持着对信息安全保障体系的监控。
4.实践意义
构建信息安全保障体系架构是保障企业信息安全的基础。
企业需要对信息安全保障体系的状况进行季度甚至月度的监控和评估,并随时进行必要的调整和升级。
只有保障信息安全,才能保障企业的稳定和可持续发展。
信息安全体系结构与信息安全策略课件
安全机制
OSI安全体系
OSI安全体系结构
五类安全服务 安全机制 安全服务和安全机制的关系 OSI层中的服务配置 安全体系的安全管理
OSI安全体系框架
▪ 技术体系 ▪ 组织机构体系 ▪ 管理体系
❖
9、要学生做的事,教职员躬亲共做; 要学生 学的知 识,教 职员躬 亲共学 ;要学 生守的 规则, 教职员 躬亲共 守。21.7.421.7.4Sun day, July 04, 2021
Username chenaf liweiy guli
Feature 1234 8990 8668
Permission R
RW RE
⑤ 鉴别交换机制(3)
(1)基于连接的数据完整性
• 这种服务为连接上的所有用户数据提供完整性,可 以检测整个SDU序列中的数据遭到的任何篡改、插 人、删除或重放。同时根据是否提供恢复成完整数 据的功能,区分为有恢复的完整性服务和无恢复的 完整性服务。
OSI安全体系
数据完整性
(2)基于数据单元的数据完整性
• 这种服务当由(N)层提供时,对发出请求的(N+1)实体 提供数据完整性保证。 它是对无连接数据单元逐个进 行完整性保护。另外,在一定程度上也能提供对重放 数据的单元检测。
▪ 为系统提供经济、有效的安全服务,保障系统安全运 行
信息安全体系建立的流程
系统资源
评估
安全风险
再进行 导出
对抗
安全体系
指导
安全需求
OSI安全体系
OSI参考模型
7
6
5 4
3 2 1
鉴别服务 访问控制 数据完整性 数据保密性 抗抵赖
应用层 表示层 会话层 传输层 网络层 链路层 物理层
信息安全体系结构概述(PPT 48张)
定义了5种安全目标,10多种安全机制。
5种安全目标是: 机密性、完整性 身份识别、访问控制、防抵赖
应用平台安全体系
目前,通过国际标准化组织的努力,提出若干体系结构方面的 标准。比较有影响的是国际标准化组织( ISO )的开放系统互连 ( OSI )安全体系结构( ISO 7498-2 )、高层安全模型( ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构 IPSec、传输 层安全TLS等。
使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。
物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法 接入,抗摧毁,报警,恢复,应急响应等多种安全机制。
计算机系统平台安全体系
硬件上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标。
1. 存储器安全机制 2. 运行安全机制
安全机制
信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机 制、检测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进 行说明。
加密
加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的 实现起主导作用或辅助作用。
(1)传统密码:DES、AES
(2)公然破坏。
在无连接模式的数据传输中(如UDP),与时间戳机制的结合可以起到防重放 的作用。
身份识别
身份识别在OSI中称为鉴别交换 各种系统通常为用户设定一个用户名或标识符的索引值。身份识别就是后续交 互中当前用户对其标识符一致性的一个证明过程,通常是用交互式协议实现的。 常用的身份识别技术有: (1) 口令(password) 验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别。 (2) 密码身份识别协议 使用密码技术,可以构造出多种身份识别协议。如挑战—应答协议、 零知识证明、数字签名识别协议等。 (3)使用证明者的特征或拥有物的身份识别协议 如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议。 当然这些特征或拥有物至少应当以很大的概率是独一无二的。
网络信息安全的体系架构与应用
网络信息安全的体系架构与应用网络信息技术的不断发展和普及,方便了我们的生活和工作,但同时也带来了越来越多的安全风险。
从个人信息到商业机密,一旦被黑客攻击或泄露,就会对相应的个人或组织带来不可挽回的损失。
因此,网络信息安全问题已经逐渐成为互联网领域中不可忽视的重要问题,亟需建立完善的体系结构和技术手段进行防范和保护。
一、网络信息安全的体系结构网络信息安全体系结构是保证网络信息安全所必须的基础。
它包括三个层次,分别是物理层、网络层和应用层。
其中,多层安全防护技术的应用是保证网络信息安全的关键。
1.物理层安全防护技术物理层安全防护技术主要是针对网络设备和数据中心的。
保证网络设备和数据中心的物理安全性是构建网络信息安全体系结构的首要任务。
实施物理层安全防护技术可以减少因人为因素造成的信息泄漏和黑客攻击。
2.网络层安全防护技术网络层安全防护技术主要针对网络通信,防范网络攻击和网络病毒。
网络层安全防护技术可以加密和验证网络通信数据,使得网络通信变得更加安全可靠。
3.应用层安全防护技术应用层安全防护技术主要针对网络服务和网络应用,如电子商务、网上银行等等。
应用层安全防护技术可以保证网络服务和网络应用的安全性,杜绝黑客攻击和病毒攻击。
二、网络信息安全的应用网络信息安全技术的应用是保证网络信息安全的重要保障。
下面列出网络信息安全技术的应用,包括不限于应用。
1.防火墙技术防火墙技术是普及和应用比较广泛的网络信息安全技术。
通过防火墙技术的应用可以筛选出不安全的网络流量,在外部网络与内部网络之间建立一个安全的防护屏障,实现网络的安全性。
2.加密技术加密技术是网络信息安全领域最基础的技术之一。
加密技术可以对通信数据进行保护和加密,在传输过程中不容易被黑客截获或篡改。
3.身份认证技术身份认证技术可以识别和验证网络用户的身份信息,防止黑客攻击和网络诈骗。
4.入侵检测技术入侵检测技术可以对网络中的流量进行实时监测,并发现违规和攻击行为,减少网络信息泄露和侵害。
信息安全体系结构概述
信息安全体系结构概述信息安全体系结构通常包括以下几个关键组成部分:1. 策略和规程:包括制定和执行信息安全政策、安全规程、控制措施和程序,以确保组织内部对信息安全的重视和执行。
2. 风险管理:包括风险评估、威胁分析和安全漏洞管理,以识别和减轻潜在的安全风险。
3. 身份和访问管理:包括身份认证、授权和审计,确保只有授权的用户才能访问和操作组织的信息系统。
4. 安全基础设施:包括网络安全、终端安全、数据加密和恶意软件防护,以提供全方位的信息安全保护。
5. 安全监控和响应:包括实时监控、安全事件管理和安全事件响应,以保持对信息安全事件的感知和及时响应。
信息安全体系结构的设计和实施需要根据组织的特定需求和风险状况进行定制,以确保信息安全控制措施的有效性和适用性。
同时,信息安全体系结构也需要不断地进行评估和改进,以适应不断变化的安全威胁和技术环境。
通过建立健全的信息安全体系结构,组织可以有效地保护其信息资产,确保业务的连续性和稳定性。
信息安全体系结构是一个综合性的框架,涵盖了组织内部的信息安全管理、技术实施和持续改进,以保护组织的信息资产不受到未经授权的访问、使用、泄露、干扰或破坏。
下面我们将深入探讨信息安全体系结构的各个关键组成部分。
首先是策略和规程。
信息安全体系结构的基础是明确的信息安全政策和安全规程。
具体来说,信息安全政策应当包括对信息安全意识的要求、信息安全的目标和范围、信息安全管理的组织结构和沟通机制、信息安全责任和权限的分配、信息安全培训和监督制度,以及信息安全政策的制定、执行、检查、改进和审查的一系列管理程序。
涉及敏感信息资产的操作程序和应急响应机制,应当被明确规定。
其次是风险管理。
风险是信息系统安全的关键问题之一。
风险管理主要包括风险评估、威胁分析和安全漏洞管理。
通过对信息系统进行风险评估和威胁分析,可以评估信息系统的脆弱性,找出哪些方面具有较大的风险,并将重点放在这些方面,进行防护措施。
信息安全体系主要内容
信息安全体系主要内容随着信息技术的不断发展,信息安全问题也日益突出。
信息安全体系是指企业或组织为保护其信息系统和信息资产而建立的一套完整的安全管理体系。
信息安全体系主要包括以下内容:1. 安全策略安全策略是信息安全体系的核心,它是企业或组织制定的一系列规则和措施,用于保护其信息系统和信息资产。
安全策略应该包括安全目标、安全政策、安全标准、安全程序和安全控制措施等内容。
2. 风险评估风险评估是指对企业或组织的信息系统和信息资产进行全面的风险分析和评估,以确定其安全威胁和风险等级。
通过风险评估,企业或组织可以制定相应的安全措施,提高信息安全保障水平。
3. 安全管理安全管理是指企业或组织对其信息系统和信息资产进行全面的管理和监控,以确保其安全性和完整性。
安全管理应该包括安全组织、安全培训、安全审计、安全监控和安全事件响应等方面。
4. 安全技术安全技术是指企业或组织采用的各种安全技术手段和工具,用于保护其信息系统和信息资产。
安全技术包括网络安全、数据安全、应用安全、物理安全等方面,如防火墙、入侵检测系统、加密技术、访问控制等。
5. 安全评估安全评估是指对企业或组织的信息系统和信息资产进行全面的安全检测和评估,以发现潜在的安全漏洞和风险。
安全评估可以帮助企业或组织及时发现和解决安全问题,提高信息安全保障水平。
信息安全体系是企业或组织保护其信息系统和信息资产的重要手段,其主要内容包括安全策略、风险评估、安全管理、安全技术和安全评估等方面。
企业或组织应该根据自身的实际情况,制定相应的信息安全体系,加强信息安全保障,确保信息系统和信息资产的安全性和完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
P2DR动态可适应安全模型
P2DR模型是美国国际互联网安全系统公司ISS最 先提出的,即Policy(策略)、Protection(防 护)、Detection(检测)和Response(响应) 按照P2DR的观点,一个完整的动态安全体系,不 仅需要恰当的防护(如操作系统访问控制、防火 墙、加密等),而且需要动态的检测机制(如入 侵检测、漏洞扫描等),在发现问题时还需要及 时响应,这样的体系需要在统一的、一致的安全 策略指导下实施,形成一个完备的、闭环的动态 自适应安全体系。
我国863信息安全专家组博采众长推出 该模型全面涵盖了各个安全因素,突出了人、策略、 管理的重要性,反映了各个安全组件之间的内在联系 。 人——核心 政策(包括法律、法规、制度、管理)——桥梁 技术——落实在WPDRRC六个环节的各个方面,在各 个环节中起作用
WPDRRC模型
Warning:采用多检测点数据收集和智能化的数据分析 方法检测是否存在某种恶意的攻击行为,并评测攻击 的威胁程度、攻击的本质、范围和起源,同时预测敌 方可能的行动。 Protect:采用一系列的手段(识别、认证、授权、访 问控制、数据加密)保障数据的保密性,完整性、可用 性、可控性和不可否认性等。 Detect:利用高级术提供的工具检查系统存在的可能 提供黑客攻击、白领犯罪、病毒泛滥脆弱性。即检测 系统脆弱性检测;入侵检测,病毒检测。
P2DR动态可适应安全模型
P2DR模型基本上体现了比较完整的信息安全体系的思 想,勾画出信息安全体系建立之后一个良好的表现形 态。近十年来,该模型被普遍使用。不过,P2DR也有 不够完善或者说不够明确的地方,那就是对系统恢复 的环节没有足够重视。 在P2DR模型中,恢复(Recovery)环节是包含在响应 (Response)环节中的,作为事件响应之后的一项处 理措施,不过,随着人们对业务连续性和灾难恢复愈 加重视,尤其是911恐怖事件发生之后,人们对P2DR模 型的认识也就有了新的内容,于是,PDRR模型就应运 而生了。
什么是信息安全策略?
信息安全策略与技术方案的区别 信息安全策略的内容应该有别于技术方案, 信息安全策略 只是描述一个组织保证信息安全的途径的指导性文件, 它不涉及具体做什么和如何做的问题,只需指出要完成 的目标。信息安全策略是原则性的和不涉及具体细节, 对于整个组织提供全局性指导,为具体的安全措施和规 定提供一个全局性框架。在信息安全策略中不规定使用 什么具体技术,也不描述技术配置参数。信息安全策略 的另外一个特性就是可以被审核,即能够对组织内各个 部门信息安全策略的遵守程度给出评价。
协议层 针对的实体 安全协议 S-HTTP SET PGP 应用层 应用程序 S/MIME Kerberos SSH 传输层 网际层 端进程 主机 SSL/TLS SOCKS IPSec PAP CHAP 主要实现的安全策略 信息加密、数字签名、数据完整性验证 信息加密、身份认证、数字签名、数据完整性验证 信息加密、数字签名、数据完整性验证 信息加密、数字签名、数据完整性验证 信息加密、身份认证 信息加密、身份认证、数据完整性验证 信息加密、身份认证、数据完整性验证 访问控制、穿透防火墙 信息加密、身份认证、数据完整性验证 身份认证 身份认证
PPTP
网络接口层 端系统 L2F L2TP WEP WPA
传输隧道
传输隧道 传输隧道 信息加密、访问控制、数据完整性验证 信息加密、身份认证、访问控制、数据完整性验证
主要安全协议
网络接口层 PAP(Password Authentication Protocol,密码认证协议) CHAP(Challenge Handshake Authentication Protocol,挑 战握手认证协议) PPTP(Point-to-Point Tunneling Protocol,点对点隧道协 议) L2F(Level 2 Forwarding protocol,第二层转发协议) L2TP(Layer 2 Tunneling Protocol,第二层隧道协议) WEP(Wired Equivalent Privacy,有线等效保密) WPA(Wi-Fi Protected Access,Wi-Fi网络保护访问)
信息安全体系结构、安 全策略的组成及具体内 容
信息安全体系结构、安全策略 的组成及具体内容
信息安全体系结构 信息安全策略的组成 信息安全策略的具体内容
信息安全体系结构
信息安全体系结构的意义 TCP/IP参考模型的安全协议分层 P2DR动态可适应安全模型 PDRR模型 WPDRRC模型
信息安全体系结构的意义
P2DR动态可适应安全模型
策略P
P2DR动态可适应安全模型
P2DR模型是建立在基于时间的安全理论基础之上的:
Dt:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来 需要的时间 Rt:检测到攻击之后,系统会做出应有的响应动作,所需时间被称 作响应时间 Et:系统暴露时间,即系统处于不安全状况的时间(Et = Dt + Rt - Pt) Pt:攻击成功所需时间被称作安全体系能够提供的防护时间 要实现安全,必须让防护时间大于检测时间加上响应时间,即:Pt > Dt + Rt
主要安全协议
网际层 IPSec(IP Security,IP层安全协议)
传输层 SSL(Secure Socket Layer,安全套接字层) TLS(Transport Layer Security,安全传输层) SOCKS(Protocol for sessions traversal across firewall securely,防火墙安全会话转换协议)
信息安全策略的基本组成
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保
护所必须遵守的规则,它包括三个重要的组成部分。 (1) 威严的法律:安全的基石是社会法律、法规与手段。通过建立一套 安全管理标准和方法,即通过建立与信息安全相关的法律和法规,可 以使非法者慑于法律,不敢轻举妄动。 (2) 先进的技术:先进的安全技术是信息安全的根本保障。用户通过对 自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相 应的安全机制,然后集成先进的安全技术。 (3) 严格的管理:各网络使用机构 、企业和单位应建立相宜的信息安全 管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全 意识。
什么是信息安全策略?
信息安全策略的描述方式 信息安全策略的描述语言应该是简洁的、非技术性的和 具有指导性的。比如一个涉及对敏感信息加密的信息 安全策略条目可以这样描述: 条目1 “任何类别为机密的信息,无论存贮在计算机中 ,还是通过公共网络传输时,必须使用本公司信息安 全部门指定的加密硬件或者加密软件予以保护。” 这个叙述没有谈及加密算法和密钥长度,所以当旧 的加密算法被替换,新的加密算法被公布的时候,无 须对信息安全策略进行修改。
PDRR模型
PDRR模型,或者叫PPDRR(或者P2DR2),与P2DR 唯一的区别就是把恢复环节提到了和防护、检测 、响应等环节同等的高度。在PDRR模型中,安全 策略、防护、检测、响应和恢复共同构成了完整 的安全体系。 保护、检测、恢复、响应这几个阶段并不是孤立 的,构建信息安全保障体系必须从安全的各个方 面进行综合考虑,只有将技术、管理、策略、工 程过程等方面紧密结合,安全保障体系才能真正 成为指导安全方案设计和建设的有力依据。
WPDRRC模型
Respond:对危及安全的事件、行为、过程及 时作出响应处理,杜绝危害的进一步蔓延扩大 ,力求系统尚能提供正常服务。包括审计跟踪 ;事件报警;事件处理 Restore:一旦系统遭到破坏,将采取的一系 列的措施如文件的备份、数据库的自动恢复等 ,尽快恢复系统功能,提供正常服务。 Counterattack:利用高技术工具,取得证据 ,作为犯罪分子犯罪的线索、犯罪依据,依法 侦查处臵犯罪分子。
木桶理论:
一个桶能装多少水不取决于桶 有多高,而取决于组成该桶 的最短的那块木条的高度。 所以安全是一个系统工程,涉 及到多个方面。某一方面的 缺陷会导致严重的安全事故。
信息安全体系结构的意义
无论是OSI参考模型还是TCP/IP参考模型,它们在设 计之初都没有充分考虑网络通信中存在的安全问题。 因此,只要在参考模型的任何一个层面发现安全漏洞 ,就可以对网络通信实施攻击。 在开放式网络环境中,网络通信会遭受两种方式的攻 击:主动攻击和被动攻击。主动攻击包括对用户信息 的篡改、删除及伪造,对用户身份的冒充和对合法用 户访问的阻止。被动攻击包括对用户信息的窃取,对 信息流量的分析等。因此,需要建立网络安全体系结 构,以实现数据加密、身份认证、数据完整性鉴别、 数字签名、访问控制等方面的功能。
什么是信息安全策略?
什么是信息安全策略 信息安全策略是一组规则,它们定义了一个组织要实现的安全 目标和实现这些安全目标的途径。信息安全策略可以划分为两个 部分,问题策略(issue policy)和功能策略( functional policy) 。问题策略描述了一个组织所关心的安全领域和对这些领域内安 全问题的基本态度。 功能策略描述如何解决所关心的问题,包括 制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策 略。信息安全策略必须有清晰和完全的文档描述,必须有相应的 措施保证信息安全策略得到强制执行。在组织内部,必须有行政 措施保证制定的信息安全策略被不打折扣地执行,管理层不能允 许任何违反组织信息安全策略的行为存在,另一方面,也需要根 据业务情况的变化不断地修改和补充信息安全策略。
信息安全策略的组成
信息安全策略的基本概念 安全策略的制定 执行信息安全策略的过程
信息安全策略的基本概念
信息安全策略的目的 什么是信息安全策略 信息安全策略的基本组成 信息安全策略的层次
信息安全策略的目的