甘清云
摘 要:涉密信息系统安全策略是信息安全保密管理体系的重要组成部分。文章介绍了涉密信息系统安全策略存在的问题、改进的措施。
关键词:涉密信息系统;安全策略
1 引言
涉密信息系统安全策略是涉密网络安全保密技术防护和管理措施实施的规范,既是指导性文件,也是顶层文件,同时也是涉密网络使用和管理人员必须遵循的行为准则。安全策略的质量如何可以在很大程度上反映一个单位涉密信息系统保密管理的水平。本文主要介绍了涉密信息系统安全策略的概况、涉密信息系统安全策略存在的问题、改进的措施。
2 涉密信息系统安全策略
涉密信息系统安全策略是为确保涉密网络安全保密而制定的一系列文档化文件,是涉密网络安全保密技术防护和管理措施实施的规范,是涉密网络管理和使用人员在管理和使用涉密网络时必须遵循的行为准则。
3 涉密信息系统安全策略存在的问题
(1) 安全策略只包含技术策略,没有管理策略。有些单位编制安全策略时只考虑技术策略,没有考虑管理策略、组织策略等内容,内容缺乏完整性。
(2) 安全策略完整性不足,存在缺项。有些单位编制安全策略时,缺少一些重点策略内容,明显存在缺项。比如缺少备份与恢复策略、缺少应急响应策略、缺乏信息交换策略、缺少应用系统策略、缺少操作系统和数据库安全策略等。
(3) 安全策略没有层次结构性。有些单位编制安全策略时,内容基本都涵盖了,但是各个策略是罗列在一起,没有层次结构关系,让人看了云里雾里。
(4) 没有编制配套的安全策略配置操作规程。有些单位编制的安全策略,既有技术策略,也包含管理策略,策略覆盖面也较全面,但存在的问题是只有安全策略,没有编制配套的策略配置操作规程。
(5) 未严格执行安全策略管理流程。有些单位编制完安全策略后没有进行发布,也没有进行培训,也没有根据实际情况对安全策略进行修订。
4 涉密信息系统安全策略改进措施
(1) 安全策略既包含技术策略,也包含管理策略、组织策略等内容。安全策略是技术防护和管理措施实施的规范,所以安全策略既包含技术策略,也应该包括管理策略、组织策略等内容。
(2) 确保安全策略完整性,不存在明显缺项。编制安全策略时,必须认真全面梳理安全策略应该包含的子策略,确保不存在明显缺项。
(3) 按照层次结构编制安全策略。编制安全策略时,可以參照如下层次结构进行编制:基本策略(物理隔离、安全保密产品选择、安全域划分、密级标识),物理安全策略(环境策略、设备及介质策略),运行安全策略,信息安全保密策略(身份鉴别、边界安全防护、密码保护、电磁泄漏发射防护、访问控制、安全性能检测、安全审计、信息完整性与抗抵赖、应用系统与数据库、操作系统安全、信息交换安全策略)。
(4) 编制安全策略配套的策略配置操作规程。安全策略是技术防护和管理措施实施的规范,是顶层的,是面向全员的。而安全策略配套的配置操作规程基本是面向“三员”的,该规程说到底就是“三员”日常工作的手册。配置操作规程的编制要描述结合策略的具体配置过程,尽量做到图文并茂,容易上手。
(5) 严格执行安全策略管理流程。安全策略全生命周期管理流程如图1所示。严格执行安全策略的全生命周期管理流程,认真做好安全策略制定、审批、发布、实施、培训、评估、修订、监督检查等各个环节的工作,尤其做好安全策略的培训、修订等工作。
5 结束语
涉密信息系统安全策略作为涉密信息系统信息安全保密管理体系的重要组成部分,正越来越受到重视。针对涉密信息系统安全策略目前存在的问题,只要我们认真研究,不断改进,涉密信息系统安全策略的质量一定会有大的提升。
参考文献
[1] 张胜.如何制定计算机信息系统安全策略[J].信息安全与通信保密,2002,12,57-58.
[2] 王杰.信息安全策略管理与实施[J].信息网络安全, 2004,10,43-44.
[3] 曾志强.企业信息安全策略体系设计[J].网络安全技术与应用,2006,12,12-14.
[4] 张帆.企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007,05,66-67.endprint