淺析涉密信息系統(tǒng)安全策略

2017-12-21 21:19:09甘清云

網(wǎng)絡(luò)空間安全 2017年10期

甘清云

摘要：涉密信息系統(tǒng)安全策略是信息安全保密管理體系的重要組成部分。文章介紹了涉密信息系統(tǒng)安全策略存在的問題、改進(jìn)的措施。

關(guān)鍵詞：涉密信息系統(tǒng)；安全策略

1 引言

涉密信息系統(tǒng)安全策略是涉密網(wǎng)絡(luò)安全保密技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，既是指導(dǎo)性文件，也是頂層文件，同時(shí)也是涉密網(wǎng)絡(luò)使用和管理人員必須遵循的行為準(zhǔn)則。安全策略的質(zhì)量如何可以在很大程度上反映一個(gè)單位涉密信息系統(tǒng)保密管理的水平。本文主要介紹了涉密信息系統(tǒng)安全策略的概況、涉密信息系統(tǒng)安全策略存在的問題、改進(jìn)的措施。

2 涉密信息系統(tǒng)安全策略

涉密信息系統(tǒng)安全策略是為確保涉密網(wǎng)絡(luò)安全保密而制定的一系列文檔化文件，是涉密網(wǎng)絡(luò)安全保密技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，是涉密網(wǎng)絡(luò)管理和使用人員在管理和使用涉密網(wǎng)絡(luò)時(shí)必須遵循的行為準(zhǔn)則。

3 涉密信息系統(tǒng)安全策略存在的問題

（1）安全策略只包含技術(shù)策略，沒有管理策略。有些單位編制安全策略時(shí)只考慮技術(shù)策略，沒有考慮管理策略、組織策略等內(nèi)容，內(nèi)容缺乏完整性。

（2）安全策略完整性不足，存在缺項(xiàng)。有些單位編制安全策略時(shí)，缺少一些重點(diǎn)策略內(nèi)容，明顯存在缺項(xiàng)。比如缺少備份與恢復(fù)策略、缺少應(yīng)急響應(yīng)策略、缺乏信息交換策略、缺少應(yīng)用系統(tǒng)策略、缺少操作系統(tǒng)和數(shù)據(jù)庫(kù)安全策略等。

（3）安全策略沒有層次結(jié)構(gòu)性。有些單位編制安全策略時(shí)，內(nèi)容基本都涵蓋了，但是各個(gè)策略是羅列在一起，沒有層次結(jié)構(gòu)關(guān)系，讓人看了云里霧里。

（4）沒有編制配套的安全策略配置操作規(guī)程。有些單位編制的安全策略，既有技術(shù)策略，也包含管理策略，策略覆蓋面也較全面，但存在的問題是只有安全策略，沒有編制配套的策略配置操作規(guī)程。

（5）未嚴(yán)格執(zhí)行安全策略管理流程。有些單位編制完安全策略后沒有進(jìn)行發(fā)布，也沒有進(jìn)行培訓(xùn)，也沒有根據(jù)實(shí)際情況對(duì)安全策略進(jìn)行修訂。

4 涉密信息系統(tǒng)安全策略改進(jìn)措施

（1）安全策略既包含技術(shù)策略，也包含管理策略、組織策略等內(nèi)容。安全策略是技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，所以安全策略既包含技術(shù)策略，也應(yīng)該包括管理策略、組織策略等內(nèi)容。

（2）確保安全策略完整性，不存在明顯缺項(xiàng)。編制安全策略時(shí)，必須認(rèn)真全面梳理安全策略應(yīng)該包含的子策略，確保不存在明顯缺項(xiàng)。

（3）按照層次結(jié)構(gòu)編制安全策略。編制安全策略時(shí)，可以參照如下層次結(jié)構(gòu)進(jìn)行編制：基本策略（物理隔離、安全保密產(chǎn)品選擇、安全域劃分、密級(jí)標(biāo)識(shí)），物理安全策略（環(huán)境策略、設(shè)備及介質(zhì)策略），運(yùn)行安全策略，信息安全保密策略（身份鑒別、邊界安全防護(hù)、密碼保護(hù)、電磁泄漏發(fā)射防護(hù)、訪問控制、安全性能檢測(cè)、安全審計(jì)、信息完整性與抗抵賴、應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)、操作系統(tǒng)安全、信息交換安全策略）。

（4）編制安全策略配套的策略配置操作規(guī)程。安全策略是技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，是頂層的，是面向全員的。而安全策略配套的配置操作規(guī)程基本是面向“三員”的，該規(guī)程說到底就是“三員”日常工作的手冊(cè)。配置操作規(guī)程的編制要描述結(jié)合策略的具體配置過程，盡量做到圖文并茂，容易上手。

（5）嚴(yán)格執(zhí)行安全策略管理流程。安全策略全生命周期管理流程如圖1所示。嚴(yán)格執(zhí)行安全策略的全生命周期管理流程，認(rèn)真做好安全策略制定、審批、發(fā)布、實(shí)施、培訓(xùn)、評(píng)估、修訂、監(jiān)督檢查等各個(gè)環(huán)節(jié)的工作，尤其做好安全策略的培訓(xùn)、修訂等工作。

5 結(jié)束語(yǔ)

涉密信息系統(tǒng)安全策略作為涉密信息系統(tǒng)信息安全保密管理體系的重要組成部分，正越來越受到重視。針對(duì)涉密信息系統(tǒng)安全策略目前存在的問題，只要我們認(rèn)真研究，不斷改進(jìn)，涉密信息系統(tǒng)安全策略的質(zhì)量一定會(huì)有大的提升。

參考文獻(xiàn)

[1] 張勝.如何制定計(jì)算機(jī)信息系統(tǒng)安全策略[J].信息安全與通信保密，2002，12，57-58.

[2] 王杰.信息安全策略管理與實(shí)施[J].信息網(wǎng)絡(luò)安全， 2004，10，43-44.

[3] 曾志強(qiáng).企業(yè)信息安全策略體系設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，12，12-14.

[4] 張帆.企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，05，66-67.endprint