1.6 安全策略的制定与实施

安全策略：安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。安全策略模型包括建立安全环境的三个重要组成部分：威严的法律、先进的技术、严格的管理。

威严的法律用于震慑非法分子；先进的技术是信息安全的根本保障；建立相宜的信息安全管理办法，加强内部管理，提高整体信息安全意识。

安全策略制定参考与原则

安全策略参考 安全策略的制定原则

网络规划安全策略
网络管理员安全策略
访问服务网络安全策略
远程访问服务安全策略
系统用户安全策略
上网用户安全策略
远程访问用户安全策略
直接风险控制安全策略
自适应网络安全策略
智能网络系统安全策略

适应性原则
动态性原则
简单性原则
系统性原则
最小授权原则

＃＃＃

安全策略的实施

1.重要的信息备份应存储在受保护、限制访问且距离远离原地的地方；

2.给网络外围设备打上最新的补丁；

3.安装入侵检测系统并实施监视；

4.日志

＃＃＃

安全服务、机制与技术

安全服务、机制和技术三者之间的关系可以这样来描述：安全服务的实现需要一定的安全机制予以支撑和规范，而安全机制离不开具体的安全技术，安全技术的应用可以实现安全服务。

安全服务：服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务

安全机制：访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由监控机制

安全技术：防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术

同一安全机制有时可以实现不同的安全服务。

＃＃＃

安全工作目的

安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成以下任务。

1.使用访问控制机制，阻止非授权用户进入网络，从而保证网络系统的可用性；

2.使用授权机制，实现对用户的权限控制，同时结合内容审计机制，实现对网络资源及信息的可控性；

3.使用加密机制，确保信息不暴露给未授权的实体或进程，从而实信息的保密性；

4.使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，确保信息的完整性；

5.使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全安问题提供调查依据和手段，实现信息安全的可审查性。

＃＃＃＃＃

总结：

信息安全的概念、信息和网络安全的现状、信息安全的标准化以及信息安全的管理、信息与网络安全组件和安全策略