淺析涉密信息系統(tǒng)安全策略

2017-12-21 21:19:09甘清云

網(wǎng)絡空間安全 2017年10期

甘清云

摘要：涉密信息系統(tǒng)安全策略是信息安全保密管理體系的重要組成部分。文章介紹了涉密信息系統(tǒng)安全策略存在的問題、改進的措施。

關(guān)鍵詞：涉密信息系統(tǒng)；安全策略

1 引言

涉密信息系統(tǒng)安全策略是涉密網(wǎng)絡安全保密技術(shù)防護和管理措施實施的規(guī)范，既是指導性文件，也是頂層文件，同時也是涉密網(wǎng)絡使用和管理人員必須遵循的行為準則。安全策略的質(zhì)量如何可以在很大程度上反映一個單位涉密信息系統(tǒng)保密管理的水平。本文主要介紹了涉密信息系統(tǒng)安全策略的概況、涉密信息系統(tǒng)安全策略存在的問題、改進的措施。

2 涉密信息系統(tǒng)安全策略

涉密信息系統(tǒng)安全策略是為確保涉密網(wǎng)絡安全保密而制定的一系列文檔化文件，是涉密網(wǎng)絡安全保密技術(shù)防護和管理措施實施的規(guī)范，是涉密網(wǎng)絡管理和使用人員在管理和使用涉密網(wǎng)絡時必須遵循的行為準則。

3 涉密信息系統(tǒng)安全策略存在的問題

（1）安全策略只包含技術(shù)策略，沒有管理策略。有些單位編制安全策略時只考慮技術(shù)策略，沒有考慮管理策略、組織策略等內(nèi)容，內(nèi)容缺乏完整性。

（2）安全策略完整性不足，存在缺項。有些單位編制安全策略時，缺少一些重點策略內(nèi)容，明顯存在缺項。比如缺少備份與恢復策略、缺少應急響應策略、缺乏信息交換策略、缺少應用系統(tǒng)策略、缺少操作系統(tǒng)和數(shù)據(jù)庫安全策略等。

（3）安全策略沒有層次結(jié)構(gòu)性。有些單位編制安全策略時，內(nèi)容基本都涵蓋了，但是各個策略是羅列在一起，沒有層次結(jié)構(gòu)關(guān)系，讓人看了云里霧里。

（4）沒有編制配套的安全策略配置操作規(guī)程。有些單位編制的安全策略，既有技術(shù)策略，也包含管理策略，策略覆蓋面也較全面，但存在的問題是只有安全策略，沒有編制配套的策略配置操作規(guī)程。

（5）未嚴格執(zhí)行安全策略管理流程。有些單位編制完安全策略后沒有進行發(fā)布，也沒有進行培訓，也沒有根據(jù)實際情況對安全策略進行修訂。

4 涉密信息系統(tǒng)安全策略改進措施

（1）安全策略既包含技術(shù)策略，也包含管理策略、組織策略等內(nèi)容。安全策略是技術(shù)防護和管理措施實施的規(guī)范，所以安全策略既包含技術(shù)策略，也應該包括管理策略、組織策略等內(nèi)容。

（2）確保安全策略完整性，不存在明顯缺項。編制安全策略時，必須認真全面梳理安全策略應該包含的子策略，確保不存在明顯缺項。

（3）按照層次結(jié)構(gòu)編制安全策略。編制安全策略時，可以參照如下層次結(jié)構(gòu)進行編制：基本策略（物理隔離、安全保密產(chǎn)品選擇、安全域劃分、密級標識），物理安全策略（環(huán)境策略、設備及介質(zhì)策略），運行安全策略，信息安全保密策略（身份鑒別、邊界安全防護、密碼保護、電磁泄漏發(fā)射防護、訪問控制、安全性能檢測、安全審計、信息完整性與抗抵賴、應用系統(tǒng)與數(shù)據(jù)庫、操作系統(tǒng)安全、信息交換安全策略）。

（4）編制安全策略配套的策略配置操作規(guī)程。安全策略是技術(shù)防護和管理措施實施的規(guī)范，是頂層的，是面向全員的。而安全策略配套的配置操作規(guī)程基本是面向“三員”的，該規(guī)程說到底就是“三員”日常工作的手冊。配置操作規(guī)程的編制要描述結(jié)合策略的具體配置過程，盡量做到圖文并茂，容易上手。

（5）嚴格執(zhí)行安全策略管理流程。安全策略全生命周期管理流程如圖1所示。嚴格執(zhí)行安全策略的全生命周期管理流程，認真做好安全策略制定、審批、發(fā)布、實施、培訓、評估、修訂、監(jiān)督檢查等各個環(huán)節(jié)的工作，尤其做好安全策略的培訓、修訂等工作。

5 結(jié)束語

涉密信息系統(tǒng)安全策略作為涉密信息系統(tǒng)信息安全保密管理體系的重要組成部分，正越來越受到重視。針對涉密信息系統(tǒng)安全策略目前存在的問題，只要我們認真研究，不斷改進，涉密信息系統(tǒng)安全策略的質(zhì)量一定會有大的提升。

參考文獻

[1] 張勝.如何制定計算機信息系統(tǒng)安全策略[J].信息安全與通信保密，2002，12，57-58.

[2] 王杰.信息安全策略管理與實施[J].信息網(wǎng)絡安全， 2004，10，43-44.

[3] 曾志強.企業(yè)信息安全策略體系設計[J].網(wǎng)絡安全技術(shù)與應用，2006，12，12-14.

[4] 張帆.企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡安全技術(shù)與應用，2007，05，66-67.endprint