摘 要：涉密信息系統(tǒng)安全策略是信息安全保密管理體系的重要組成部分。文章介紹了涉密信息系統(tǒng)安全策略存在的問題、改進(jìn)的措施。

關(guān)鍵詞：涉密信息系統(tǒng)；安全策略

Analysis of the Classified Information System Security Policy

Gan Qing-Yun

(China Helicopter Research and Development Institute Tianjin 300300)Abstract Security policy of classified information system is an important component of informationsecurity management system. The paper introduces the existing problems and improvement measures ofthe security policy of classified information system.

Key words the classified information system; security policy

1 引言

涉密信息系統(tǒng)安全策略是涉密網(wǎng)絡(luò)安全保密技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，既是指導(dǎo)性文件，也是頂層文件，同時也是涉密網(wǎng)絡(luò)使用和管理人員必須遵循的行為準(zhǔn)則。安全策略的質(zhì)量如何可以在很大程度上反映一個單位涉密信息系統(tǒng)保密管理的水平。本文主要介紹了涉密信息系統(tǒng)安全策略的概況、涉密信息系統(tǒng)安全策略存在的問題、改進(jìn)的措施。

2 涉密信息系統(tǒng)安全策略

涉密信息系統(tǒng)安全策略是為確保涉密網(wǎng)絡(luò)安全保密而制定的一系列文檔化文件，是涉密網(wǎng)絡(luò)安全保密技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，是涉密網(wǎng)絡(luò)管理和使用人員在管理和使用涉密網(wǎng)絡(luò)時必須遵循的行為準(zhǔn)則。

3 涉密信息系統(tǒng)安全策略存在的問題

（1）安全策略只包含技術(shù)策略，沒有管理策略。有些單位編制安全策略時只考慮技術(shù)策略，沒有考慮管理策略、組織策略等內(nèi)容，內(nèi)容缺乏完整性。

（2）安全策略完整性不足，存在缺項(xiàng)。有些單位編制安全策略時，缺少一些重點(diǎn)策略內(nèi)容，明顯存在缺項(xiàng)。比如缺少備份與恢復(fù)策略、缺少應(yīng)急響應(yīng)策略、缺乏信息交換策略、缺少應(yīng)用系統(tǒng)策略、缺少操作系統(tǒng)和數(shù)據(jù)庫安全策略等。

（3）安全策略沒有層次結(jié)構(gòu)性。有些單位編制安全策略時，內(nèi)容基本都涵蓋了，但是各個策略是羅列在一起，沒有層次結(jié)構(gòu)關(guān)系，讓人看了云里霧里。

（4）沒有編制配套的安全策略配置操作規(guī)程。有些單位編制的安全策略，既有技術(shù)策略，也包含管理策略，策略覆蓋面也較全面，但存在的問題是只有安全策略，沒有編制配套的策略配置操作規(guī)程。

（5）未嚴(yán)格執(zhí)行安全策略管理流程。有些單位編制完安全策略后沒有進(jìn)行發(fā)布，也沒有進(jìn)行培訓(xùn)，也沒有根據(jù)實(shí)際情況對安全策略進(jìn)行修訂。

4 涉密信息系統(tǒng)安全策略改進(jìn)措施

（1）安全策略既包含技術(shù)策略，也包含管理策略、組織策略等內(nèi)容。安全策略是技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，所以安全策略既包含技術(shù)策略，也應(yīng)該包括管理策略、組織策略等內(nèi)容。

（2）確保安全策略完整性，不存在明顯缺項(xiàng)。編制安全策略時，必須認(rèn)真全面梳理安全策略應(yīng)該包含的子策略，確保不存在明顯缺項(xiàng)。

（3）按照層次結(jié)構(gòu)編制安全策略。編制安全策略時，可以參照如下層次結(jié)構(gòu)進(jìn)行編制：基本策略（物理隔離、安全保密產(chǎn)品選擇、安全域劃分、密級標(biāo)識），物理安全策略（環(huán)境策略、設(shè)備及介質(zhì)策略），運(yùn)行安全策略，信息安全保密策略（身份鑒別、邊界安全防護(hù)、密碼保護(hù)、電磁泄漏發(fā)射防護(hù)、訪問控制、安全性能檢測、安全審計(jì)、信息完整性與抗抵賴、應(yīng)用系統(tǒng)與數(shù)據(jù)庫、操作系統(tǒng)安全、信息交換安全策略）。

（4）編制安全策略配套的策略配置操作規(guī)程。安全策略是技術(shù)防護(hù)和管理措施實(shí)施的規(guī)范，是頂層的，是面向全員的。而安全策略配套的配置操作規(guī)程基本是面向“三員”的，該規(guī)程說到底就是“三員”日常工作的手冊。配置操作規(guī)程的編制要描述結(jié)合策略的具體配置過程，盡量做到圖文并茂，容易上手。

（5）嚴(yán)格執(zhí)行安全策略管理流程。安全策略全生命周期管理流程如圖1所示。嚴(yán)格執(zhí)行安全策略的全生命周期管理流程，認(rèn)真做好安全策略制定、審批、發(fā)布、實(shí)施、培訓(xùn)、評估、修訂、監(jiān)督檢查等各個環(huán)節(jié)的工作，尤其做好安全策略的培訓(xùn)、修訂等工作。

5 結(jié)束語

涉密信息系統(tǒng)安全策略作為涉密信息系統(tǒng)信息安全保密管理體系的重要組成部分，正越來越受到重視。針對涉密信息系統(tǒng)安全策略目前存在的問題，只要我們認(rèn)真研究，不斷改進(jìn)，涉密信息系統(tǒng)安全策略的質(zhì)量一定會有大的提升。

參考文獻(xiàn)

[1] 張勝.如何制定計(jì)算機(jī)信息系統(tǒng)安全策略[J].信息安全與通信保密,2002,12,57-58.

[2] 王 杰 . 信 息 安 全 策 略 管 理 與 實(shí) 施 [ J ] . 信 息 網(wǎng) 絡(luò) 安 全 ,2004,10,43-44.

[3] 曾志強(qiáng).企業(yè)信息安全策略體系設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,12,12-14.

[4] 張帆.企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,05,66-67.

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……