信息安全策略设计

五、信息安全策略设计

信息安全策略是信息安全建设的核心，它描述了在信息安全建设过程中，需要对哪些重要的信息进行保护，以及如何进行保护。按照要保障的对象的不同，总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。随着技术的发展以及系统的升级、调整，安全策略应进行重新评估和制定，随时保持策略与安全目标的一致性。

（1）物理安全策略，包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。

（2）网络安全策略，包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

（3）数据加密策略，包括加密算法、适用范围、密钥交换和管理等。

（4）数据备份策略，包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

（5）病毒防护策略，包括防病毒软件的安装、配置、对软盘及移动存储设备使用、网络下载等作出的规定等。

（6）系统安全策略，包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。

（7）身份认证及授权策略，包括认证及授权机制、方式、审计记录等。

（8）灾难恢复策略，包括负责人员、恢复机制、方式、归档管理、硬件、软件等。

（9）事故处理、紧急响应策略，包括响应小组、联系方式、事故处理计划、控制过程等。

（10）安全教育策略，包括安全策略的发布宣传、执行效果监督、安全技能培训、安全意识教育等。

（11）口令管理策略，包括口令管理方式、口令设置规则、口令适应规则等。

（12）补丁管理策略，包括系统补丁的更新、测试、安装等。

（13）系统变更控制策略，包括设备、软件配置、控制措施、数据变更管理、一致性管理等。

（14）商业伙伴、客户关系策略，包括合同条款安全策略、客户服务安全建议等。

（15）复查审计策略，包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。

安全策略应当遵守相关的法律条令，有时安全策略的内容和员工的个人隐私相关联，在考虑对信息安全保护的同时，也应该对这方面的内容有一个明确的说明。