信息安全管理簡要概述

第六章信息安全治理第一節(jié)信息安全治理概述一、信息安全治理的內(nèi)容1、什么信息安全治理？通過打算、組織、領(lǐng)導、操縱等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達到組織信息安全目標的活動。2、信息安全治理的要緊活動制定信息安全目標和查找實現(xiàn)目標的途徑；建設(shè)信息安全組織機構(gòu)，設(shè)置崗位、配置人員并分配職責；實施信息安全風險評估和治理；制定并實施信息安全策略；為實現(xiàn)信息安全目標提供資源并實施治理；信息安全的教育與培訓；信息安全事故治理；信息安全的持續(xù)改進。3、信息安全治理的差不多任務(wù)（1）組織機構(gòu)建設(shè)（2）風險評估（3）信息安全策略的制定和實施（4）信息安全工程項目治理（5）資源治理◆（1）組織機構(gòu)建設(shè)★組織應(yīng)建立專門信息安全組織機構(gòu)，負責：①確定信息安全要求和目標；②制定實現(xiàn)信息安全目標的時刻表和預(yù)算③建立各級信息安全組織機構(gòu)和設(shè)置相應(yīng)崗位④分配相應(yīng)職責和建立獎懲制度⑤提出信息安全年度預(yù)算，并監(jiān)督預(yù)算的執(zhí)行⑥組織實施信息安全風險評估并監(jiān)督檢查⑦組織制定和實施信息安全策略，并對其有效性和效果進行監(jiān)督檢查⑧組織實施信息安全工程項目⑨信息安全事件的調(diào)查和處理⑩組織實施信息安全教育培訓⑾組織信息安全審核和持續(xù)改進工作★組織應(yīng)設(shè)立信息安全總負責人崗位，負責：①向組織最高治理者負責并報告工作②執(zhí)行信息安全組織機構(gòu)的決定③提出信息安全年度工作打算④總協(xié)調(diào)、聯(lián)絡(luò)◆（2）風險評估★信息系統(tǒng)的安全風險信息系統(tǒng)的安全風險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的阻礙。★信息安全風險評估是指依據(jù)國家有關(guān)信息技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面阻礙，并依照安全事件發(fā)生的可能性和負面阻礙的程度來識不信息系統(tǒng)的安全風險?！镄畔⑾到y(tǒng)安全風險評估的總體目標是：服務(wù)于國家信息化進展，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全愛護能力?！镄畔⑾到y(tǒng)安全風險評估的目的是：認清信息安全環(huán)境、信息安全狀況；有助于達成共識，明確責任；采取或完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性?！镄畔踩L險評估的差不多要素使命：一個單位通過信息化實現(xiàn)的工作任務(wù)。依靠度：一個單位的使命對信息系統(tǒng)和信息的依靠程度。資產(chǎn)：通過信息化建設(shè)積存起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽等。價值：資產(chǎn)的重要程度和敏感程度。威脅：一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和后果。脆弱性：信息資產(chǎn)及其防護措施在安全方面的不足和弱點。脆弱性也常常被稱為漏洞。風險：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的阻礙。它由安全事件發(fā)生的可能性及其造成的阻礙這兩種指標來衡量。殘余風險：采取了安全防護措施，提高了防護能力后，仍然可能存在的風險。安全需求：為保證單位的使命能夠正常行使，在信息安全防護措施方面提出的要求。安全防護措施：應(yīng)付威脅，減少脆弱性，愛護資產(chǎn)，限制意外事件的阻礙，檢測、響應(yīng)意外事件，促進災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱?！镄畔踩L險評估的標準制定工作2004年全國信息安全標準化技術(shù)委員會將《信息安全風險評估指南》列入2005年度國家信息安全標準制定工作打算中,將《信息安全風險治理指南》列入國家信息安全標準研究工作規(guī)劃中。

目前《信息安全風險評估指南》已完成評審,報國家標準治理委員會頒布國信辦已以國信【2006】9號文的形式發(fā)各部委和省市★《信息安全風險評估指南》要緊內(nèi)容規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容、評估方法和風險推斷準則；介紹了風險評估的定義、風險評估的模型以及風險評估的實施過程；詳細描述了對資產(chǎn)、威脅和脆弱性的識不方法；描述了風險評估在信息系統(tǒng)生命周期中的作用；描述了風險評估的不同形式；在附件中介紹了信息安全風險評估的方法、工具和實施案例◆（3）信息安全策略的制定和實施策略：解決某一方面問題的目的、范圍、流程、準則的集合信息安全策略文件就每一個策略建立實施打算，落實所需資源策略公布后，實施培訓策略的評審和修訂◆（4）信息安全工程項目治理需求分析；規(guī)劃立項；實施；驗收；工程監(jiān)理◆（5）資源治理信息安全預(yù)算；人力資源；基礎(chǔ)設(shè)施；信息安全教育培訓二、信息安全治理體系1、什么是治理體系★ISO9000-2000中的相關(guān)定義體系system——相互關(guān)聯(lián)和相互作用的一組要素治理體系managementsystem——建立方針和目標并實現(xiàn)這些目標的體系★目前流行的治理體系質(zhì)量治理體系QMS——ISO/IEC9000，9001，9004等；環(huán)境治理體系EMS——ISO/IEC14000；職業(yè)安全衛(wèi)生治理體系——OHMSAS18000；信息安全治理體系ISMS——ISO/IE17799&ISO27001；2、信息安全治理體系★ISMS：

InformationSecurityManagementSystem信息安全治理體系

指在信息安全方面指揮和操縱組織的以實現(xiàn)信息安全目標的相互關(guān)聯(lián)和相互作用的一組要素。

信息安全目標應(yīng)是可度量的★信息安全治理體系要素包括

信息安全方針、策略；

信息安全組織結(jié)構(gòu)；

各種活動、過程；

信息安全操縱措施；

人力、物力等資源；

其他……信息安全治理體系方法圖解：三、信息安全治理標準★安全標準能夠分成以下幾大類：安全體系結(jié)構(gòu)和框架標準；分層安全協(xié)議標準；安全技術(shù)標準；具體應(yīng)用安全標準；安全治理標準當前信息安全面臨著“道高一尺，魔高一丈”的尷尬處境，在信息安全技術(shù)進步的同時，信息安全問題卻越來越嚴峻，人們逐漸深刻地認識到，信息安全不只是個技術(shù)問題，而更多地是商業(yè)、治理和法律的問題。實現(xiàn)信息安全不僅僅需要采納技術(shù)措施，還需要更多地借助于技術(shù)以外的其它手段，如規(guī)范安全標準和進行信息安全治理，這一觀點被越來越多的人們所同意。單純的技術(shù)不能提供信息全面的安全愛護，僅靠安全產(chǎn)品并不能完全解決信息的安全問題已逐漸成為共識。在全社會普遍關(guān)注信息安全的情況下，各個企業(yè)或機構(gòu)又都面臨遵循保密標準與安全法規(guī)的要求，越來越多的經(jīng)理人和董事會或領(lǐng)導層也逐漸認識到自己在信息安全治理中所必須擔負的責任和義務(wù)。同時，有關(guān)信息安全標準、法律和法規(guī)的數(shù)量正在迅速增加，許多機構(gòu)都面臨遵守各種安全標準和法規(guī)的要求。隨著越來越多的標準、法律和法規(guī)的出臺，統(tǒng)一安全標準的需求自然成為一個專門現(xiàn)實的問題?！镄畔踩卫韲H標準的進展過程1992年，世界經(jīng)濟合作與進展組織（oecd）發(fā)表了《信息系統(tǒng)安全指南》，旨在關(guān)心成員和非成員的政府和企業(yè)組織增強信息系統(tǒng)的風險意識，提供一般性的安全知識框架。美國、oecd的其他23個成員，以及十幾個非oecd成員都批準了這一指南。該指南旨在提高信息系統(tǒng)風險意識和安全措施，提供一個一般性的框架以輔助針對信息系統(tǒng)安全的有效的度量方法、實踐和程序的制定和實施，鼓舞關(guān)懷信息系統(tǒng)安全的公共和私有部門間的合作。促進人們對信息系統(tǒng)的信心，促進人們應(yīng)用和使用信息系統(tǒng)，方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護。那個框架包括法律、行動準則、技術(shù)評估、治理和用戶實踐，及公眾教育/宣傳活動。該指南的最終目的是作為政府、公眾和私有部門的信息安全治理的基準，相關(guān)機構(gòu)能通過此基準來衡量本身在信息安全治理方面的進展。1998年，國際會計師聯(lián)合會發(fā)表了一個有關(guān)《信息安全治理》的文件，認為信息系統(tǒng)安全的目標有三個：可用性，即確保信息系統(tǒng)在需要的時候可用；保密性，即對數(shù)據(jù)信息的訪問操縱設(shè)計完備的策略；完整性，即保證數(shù)據(jù)信息不受未經(jīng)授權(quán)的修改。1993年1月，英國標準協(xié)會（britishstandardsinstitution,簡稱bsi）成立了信息安全的行業(yè)工作小組。1993年9月，信息安全治理體系實施要則出版。1995年2月，英國標準協(xié)會制定的信息安全治理體系標準bs7799-1出版。1998年2月，bs7799-2出版。bs7799對信息安全的操縱范圍、安全準則、安全治理等要素做出了規(guī)范性的表述。2002年9月：bs7799-2:2002出版。目前，在信息安全治理體系方面，ISO27001（原BS7799標準）差不多成為世界上應(yīng)用最廣泛與典型的信息安全治理標準。該標準于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS7799-1：1995《信息安全治理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需操縱范圍的參考基準，同時適用于大、中、小組織。1998年英國公布標準的第二部分BS7799-2《信息安全治理體系規(guī)范》，它規(guī)定信息安全治理體系要求與信息安全操縱要求，是一個組織的全面或部分信息安全治理體系評估的基礎(chǔ)，能夠作為一個正式認證方案的依照。BS7799-1與BS7799-2通過修訂于1999年重新予以公布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期進展，同時還特不強調(diào)了商務(wù)涉及的信息安全及信息安全的責任。2000年12月，BS7799-1：1999《信息安全治理實施細則》通過了ISO的認可，正式成為國際標準――ISO/IEC17799-1：2000《信息技術(shù)-信息安全治理實施細則》。2002年9月5日，BS7799-2:2002草案通過廣泛的討論之后，終于公布成為正式標準――ISO27001，同時BS7799-2:1999被廢止。2006年5針對ISO27001標準的受認可的認證，是對組織信息安全治理體系（ISMS）符合BS7799-2要求的一種認證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認證的組織實施了信息安全治理體系，同時符合BS7799-2標準的要求。通過認證的組織，將會被注冊登記，同時與認證委員會、DTI以及ISMSIUG的國際網(wǎng)絡(luò)相聯(lián)系。目前，已有20多個國家引用BS7799-2作為國標，BS7799(ISO/IEC17799)也是賣出拷貝最多的治理標準，其在歐洲的證書發(fā)放量差不多超過ISO9001。并有41個國家和地區(qū)開展了此項業(yè)務(wù)，我國的臺灣和香港地區(qū)也差不多采納并推廣了BS7799標準。在臺灣，BS7799-1:1999被引用為CNS17799，而BS7799-2:2002則被引用為CNS17800。在中國大陸，BS7799標準全面解析（ISMG-005）的國標化一直是個熱點議題，而相關(guān)的ISMS認證工作正在逐步運行。BS7799標準從正式公布到現(xiàn)在的十年時刻里，全球同意同時按照BS7799最佳實踐來實施ISMS的組織達到了近10萬家，其中專門多差不多上國際上知名的企業(yè)，例如富士通、KPMG、Insight、三星電子、東芝、索尼、Symantec等。依照ISO/IEC17799（BS7799）國際使用者協(xié)會的最新統(tǒng)計，到2005年4月，全球通過信息安全治理體系BS7799-2認證的組織差不多超過1200家。證書要緊集中在日本、英國、印度、臺灣。證書的行業(yè)分布要緊在政府、金融、通信、電子、物流等行業(yè)?！锿ㄟ^ISO27001認證好處①愛護企業(yè)的知識產(chǎn)權(quán)、商標、競爭優(yōu)勢；②維護企業(yè)的聲譽、品牌和客戶信任；③減少可能潛在的風險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失；④強化職員的信息安全意識，規(guī)范組織信息安全行為；⑤在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度★ISO27001的要緊內(nèi)容目前ISO27001要緊由3部分組成。分不是：《信息安全治理實施細則》、《信息安全治理體系規(guī)范》、《信息安全風險治理指南》。ISO17799:2005的新架構(gòu)包括11個操縱域、39個操縱措施，133個操縱點。(其中11個操縱域分不是安全策略、信息安全組織、資產(chǎn)治理、人力資源安全、物理和環(huán)境安全、通信和操作安全、信息系統(tǒng)獲得，開發(fā)和維護、訪問操縱、信息安全事件治理、業(yè)務(wù)連續(xù)性治理、合規(guī)性)。作為一套治理標準，ISO27001指導相關(guān)人員如何樣去應(yīng)用ISO/IEC17799，其最終目的，還在于建立適合組織需要的信息安全治理體系。第二節(jié)信息安全策略一、信息安全策略概述1、什么是信息安全策略信息安全策略（InformationSecurityPolicy）是一組規(guī)則，它們定義了一個組織要實現(xiàn)的安全目標和實現(xiàn)這些安全目標的途徑。計算機安全研究組織SANS關(guān)于計算機安全策略的定義是：“為了愛護存儲在計算機中的信息，安全策略要確定必須做什么，一個好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，同時能夠進行度量和評估”。2、信息安全策略的內(nèi)容信息安全策略能夠劃分為兩個部分，問題策略（issuepolicy）和功能策略（functionalpolicy）。差不多策略描述了一個組織所關(guān)懷的安全領(lǐng)域和對這些領(lǐng)域內(nèi)安全問題的差不多態(tài)度。功能策略描述如何解決所關(guān)懷的問題，包括制定具體的硬件和軟件配置規(guī)格講明、使用策略以及雇員行為策略。信息安全策略必須有清晰和完全的文檔描述，必須有相應(yīng)的措施保證信息安全策略得到強制執(zhí)行。在組織內(nèi)部，必須有行政措施保證即定的信息安全策略被不打折扣地執(zhí)行，治理層不能同意任何違反組織信息安全策略的行為存在，另一方面，也需要依照業(yè)務(wù)情況的變化不斷地修改和補充信息安全策略。3、信息安全策略的特性信息安全策略的內(nèi)容應(yīng)該有不于技術(shù)方案，信息安全策略只是描述一個組織保證信息安全的途徑的指導性文件，它不涉及具體做什么和如何做的問題，只需指出要完成的目標。信息安全策略是原則性的和不涉及具體細節(jié)，關(guān)于整個組織提供全局性指導，為具體的安全措施和規(guī)定提供一個全局性框架。在信息安全策略中不規(guī)定使用什么具體技術(shù)，也不描述技術(shù)配置參數(shù)。信息安全策略的另外一個特性確實是能夠被審核，即能夠?qū)M織內(nèi)各個部門信息安全策略的遵守程度給出評價二、信息安全策略愛護對象硬件與軟件硬件和軟件是支持商業(yè)運作進行的平臺，它們應(yīng)該受策略所愛護。因此，擁有一份完整的系統(tǒng)軟、硬件清單是特不重要的，同時包括網(wǎng)絡(luò)結(jié)構(gòu)圖。

數(shù)據(jù)計算機和網(wǎng)絡(luò)所做的每一件情況都造成了數(shù)據(jù)的流淌和使用。因此有的企業(yè)、組織和政府機構(gòu)，不論從事什么工作，都在收集和使用數(shù)據(jù)。

人員首先，重點應(yīng)該放在誰在什么情況下能夠訪問資源。接下來要考慮的確實是強制執(zhí)行制度和對未授權(quán)訪問的懲處制度。

三、要緊信息安全策略◆1、口令策略所有系統(tǒng)都需要口令，以擁有易于實現(xiàn)的第一級不的訪問安全性。為確保網(wǎng)絡(luò)安全運行，愛護所擁有的權(quán)益不受侵害，能夠制定如下治理策略：

（1）網(wǎng)絡(luò)服務(wù)器口令的治理：服務(wù)器的口令，由部門負責人和系統(tǒng)治理員商量確定，必須兩人同時在場設(shè)定。服務(wù)器的口令需部門負責人在場時，由系統(tǒng)治理員記錄封存?？诹钜ㄆ诟鼡Q（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)治理員要銷毀原記錄，將新口令記錄封存。如發(fā)覺口令有泄密跡象，系統(tǒng)治理員要趕忙報告部門負責人，有關(guān)部門負責人報告安全部門，同時，要盡量愛護好現(xiàn)場并記錄，須接到上一級主管部門批示后再更換口令。（2）用戶口令的治理：關(guān)于要求設(shè)定口令的用戶，由用戶方指定負責人與系統(tǒng)治理員商定口令，由系統(tǒng)治理員登記并請用戶負責人確認（簽字或電話通知）之后系統(tǒng)治理員設(shè)定口令，并保存用戶檔案。在用戶由于責任人更換或不記得口令時要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)治理部門提交申請單，由部門負責人或系統(tǒng)治理員核實后，對用戶檔案做更新記載。假如網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負責保密和維護工作。◆2、計算機病毒和惡意代碼防治策略病毒防護策略必須具備下列準則：（1）拒絕訪問能力：來歷不明的入侵軟件（尤其是通過網(wǎng)絡(luò)傳過來的）不得進入系統(tǒng)。（2）病毒檢測能力：病毒總是有可能進入系統(tǒng)的，系統(tǒng)中應(yīng)設(shè)置檢測病毒的機制。除了檢測已知類病毒外，能否檢測未知病毒是一個重要的指標。（3）操縱病毒傳播的能力：沒有一種方法能檢測出所有的病毒，一旦病毒進入了系統(tǒng)，應(yīng)不讓病毒在系統(tǒng)中到處傳播。系統(tǒng)一定要有操縱病毒傳播的能力。（4）清除能力：假如病毒突破了系統(tǒng)的防護，即使它的傳播受到了操縱，也要有相應(yīng)的措施將它清除掉。關(guān)于已知類病毒，能夠使用專用殺毒軟件；關(guān)于未知類病毒，在發(fā)覺后使用軟件工具對它進行分析，盡快編寫出消毒軟件。因此，假如有后備文件，也可使用它直接覆蓋受感染文件，但一定要查清晰病毒的來源。（5）恢復(fù)能力：有可能在清除病毒往常，病毒就破壞了系統(tǒng)中的數(shù)據(jù)，系統(tǒng)應(yīng)提供一種高效的方法來恢復(fù)這些數(shù)據(jù)。（6）替代操作：可能會遇到這種情況，問題發(fā)生時，手頭沒有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時可用替代系統(tǒng)工作，等問題解決以后再換回來。這一準則關(guān)于戰(zhàn)時的軍事系統(tǒng)是必須的?！?、安全教育與培訓策略在安全教育策略具體實施過程中應(yīng)該有一定的層次性：（1）主管信息安全工作的高級負責人或各級治理人員：重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全治理部門的建立和治理制度的制定等。（2）負責信息安全運行治理及維護的技術(shù)人員：重點是充分理解信息安全治理策略，掌握安全評估的差不多方法，對安全操作和維護技術(shù)的合理運用等。（3）用戶：重點是學習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔的安全職責等。◆4、可同意使用策略AUP可同意使用策略（AcceptableUsePolicy）是指由官方公布的使用網(wǎng)絡(luò)或計算機系統(tǒng)的有關(guān)事項講明，其中規(guī)定了對網(wǎng)上業(yè)務(wù)活動的某些限制。假如沒有為組織機構(gòu)中的電腦和網(wǎng)絡(luò)制定可同意使用策略（AUP），那么企業(yè)或組織確實是對安全缺口、可能出現(xiàn)的法規(guī)罰款和訴訟放開了大門，這些隱患可能來自職員、用戶行為造成的阻礙，也可能來自職員、用戶對網(wǎng)絡(luò)不正當?shù)氖褂谩H僅告訴職員不要將網(wǎng)絡(luò)設(shè)備用于非工作活動是不夠的，還需要建立和發(fā)放書面策略，并要求使用者在收到并閱讀后簽署策略。其關(guān)鍵在于要設(shè)計出有效、公平，而且持續(xù)穩(wěn)定的策略。策略的內(nèi)容——可同意使用策略中一般包括以下內(nèi)容：（1）針對網(wǎng)絡(luò)用戶的個人隱私策略:應(yīng)該聲明所有保存公司計算機及網(wǎng)絡(luò)中，或者從公司計算機及網(wǎng)絡(luò)上發(fā)送或者接收到的信息都會同意安全監(jiān)控。（2）企業(yè)信息策略：密碼與帳戶信息共享的策略:禁止用戶登錄任何不屬于自己的帳戶，禁止用戶托付他人使用自己的信任狀進行登錄，禁止在登錄以后同意他人使用系統(tǒng)。離開工位時需要關(guān)閉工作站的安全策略；針對電子郵件附件的策略；禁止用戶取消計算機和網(wǎng)絡(luò)上的安全性能與機制的策略；禁止非法安裝軟件；禁止非法在可移動介質(zhì)上復(fù)制公司信息，或者向網(wǎng)絡(luò)外部發(fā)送企業(yè)信息。等等。（3）關(guān)于加密的使用策略：關(guān)于在新聞組和討論區(qū)發(fā)表意見的策略，需要免責聲明來表示發(fā)送者的意見為個人行為，不代表公司行為。關(guān)于個人所有的膝上電腦、手持電腦、智能電話接入公司網(wǎng)絡(luò)的策略。禁止將任何未經(jīng)授權(quán)的調(diào)制解調(diào)器、無線接入點以及其他設(shè)備接入公司網(wǎng)絡(luò)。明確規(guī)定不正當?shù)男袨?，如色情文字，侵犯版?quán)、非法的文件共享；發(fā)送騷擾或恐嚇信息；發(fā)送垃圾郵件；參與網(wǎng)絡(luò)釣魚或者其他一些欺詐性行為；在網(wǎng)絡(luò)內(nèi)部或外部侵入他人系統(tǒng)；發(fā)送惡意代碼；未經(jīng)同意訪問網(wǎng)絡(luò)數(shù)據(jù)；攔截發(fā)送給他人的數(shù)據(jù)（使用sniffers或者其他工具）；使用欺騙技術(shù)來偽裝電子郵件地址或者其他網(wǎng)絡(luò)行為。四、信息安全策略的制定、執(zhí)行和維護1、制定信息安全策略（1）制定信息安全策略的原則：

先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的全然保證；嚴格的安全治理是確保信息安全策略落實的基礎(chǔ)；

嚴格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅強后盾（2）信息安全策略的設(shè)計范圍：物理安全策略物理安全策略包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問操縱、審計記錄、異常情況的追查等。

網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的治理、網(wǎng)絡(luò)安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠程訪問、不同級不網(wǎng)絡(luò)的訪問操縱方式、識不/認證機制等。

數(shù)據(jù)加密策略數(shù)據(jù)加密策略包括加密算法、適用范圍、密鑰交換和治理等。數(shù)據(jù)備份策略數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負責人等。

病毒防護策略病毒防護策略包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定等。

系統(tǒng)安全策略系統(tǒng)安全策略包括WWW訪問策略、數(shù)據(jù)庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。身份認證及授權(quán)策略身份認證及授權(quán)策略包括認證及授權(quán)機制、方式、審計記錄等。

災(zāi)難恢復(fù)策略災(zāi)難恢復(fù)策略包括負責人員、恢復(fù)機制、方式、歸檔治理、硬件、軟件等。事故處理、緊急響應(yīng)策略事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理打算、操縱過程等。

安全教育策略安全教育策略包括安全策略的公布宣傳、執(zhí)行效果的監(jiān)督、