淺析涉密信息系統安全策略

甘清云

摘 要：涉密信息系統安全策略是信息安全保密管理體系的重要組成部分。文章介紹了涉密信息系統安全策略存在的問題、改進的措施。

關鍵詞：涉密信息系統；安全策略

1 引言

涉密信息系統安全策略是涉密網絡安全保密技術防護和管理措施實施的規范，既是指導性文件，也是頂層文件，同時也是涉密網絡使用和管理人員必須遵循的行為準則。安全策略的質量如何可以在很大程度上反映一個單位涉密信息系統保密管理的水平。本文主要介紹了涉密信息系統安全策略的概況、涉密信息系統安全策略存在的問題、改進的措施。

2 涉密信息系統安全策略

涉密信息系統安全策略是為確保涉密網絡安全保密而制定的一系列文檔化文件，是涉密網絡安全保密技術防護和管理措施實施的規范，是涉密網絡管理和使用人員在管理和使用涉密網絡時必須遵循的行為準則。

3 涉密信息系統安全策略存在的問題

（1） 安全策略只包含技術策略，沒有管理策略。有些單位編制安全策略時只考慮技術策略，沒有考慮管理策略、組織策略等內容，內容缺乏完整性。

（2） 安全策略完整性不足，存在缺項。有些單位編制安全策略時，缺少一些重點策略內容，明顯存在缺項。比如缺少備份與恢復策略、缺少應急響應策略、缺乏信息交換策略、缺少應用系統策略、缺少操作系統和數據庫安全策略等。

（3） 安全策略沒有層次結構性。有些單位編制安全策略時，內容基本都涵蓋了，但是各個策略是羅列在一起，沒有層次結構關系，讓人看了云里霧里。

（4） 沒有編制配套的安全策略配置操作規程。有些單位編制的安全策略，既有技術策略，也包含管理策略，策略覆蓋面也較全面，但存在的問題是只有安全策略，沒有編制配套的策略配置操作規程。

（5） 未嚴格執行安全策略管理流程。有些單位編制完安全策略后沒有進行發布，也沒有進行培訓，也沒有根據實際情況對安全策略進行修訂。

4 涉密信息系統安全策略改進措施

（1） 安全策略既包含技術策略，也包含管理策略、組織策略等內容。安全策略是技術防護和管理措施實施的規范，所以安全策略既包含技術策略，也應該包括管理策略、組織策略等內容。

（2） 確保安全策略完整性，不存在明顯缺項。編制安全策略時，必須認真全面梳理安全策略應該包含的子策略，確保不存在明顯缺項。

（3） 按照層次結構編制安全策略。編制安全策略時，可以參照如下層次結構進行編制：基本策略（物理隔離、安全保密產品選擇、安全域劃分、密級標識），物理安全策略（環境策略、設備及介質策略），運行安全策略，信息安全保密策略（身份鑒別、邊界安全防護、密碼保護、電磁泄漏發射防護、訪問控制、安全性能檢測、安全審計、信息完整性與抗抵賴、應用系統與數據庫、操作系統安全、信息交換安全策略）。

（4） 編制安全策略配套的策略配置操作規程。安全策略是技術防護和管理措施實施的規范，是頂層的，是面向全員的。而安全策略配套的配置操作規程基本是面向“三員”的，該規程說到底就是“三員”日常工作的手冊。配置操作規程的編制要描述結合策略的具體配置過程，盡量做到圖文并茂，容易上手。

（5） 嚴格執行安全策略管理流程。安全策略全生命周期管理流程如圖1所示。嚴格執行安全策略的全生命周期管理流程，認真做好安全策略制定、審批、發布、實施、培訓、評估、修訂、監督檢查等各個環節的工作，尤其做好安全策略的培訓、修訂等工作。

5 結束語

涉密信息系統安全策略作為涉密信息系統信息安全保密管理體系的重要組成部分，正越來越受到重視。針對涉密信息系統安全策略目前存在的問題，只要我們認真研究，不斷改進，涉密信息系統安全策略的質量一定會有大的提升。

參考文獻

[1] 張勝.如何制定計算機信息系統安全策略[J].信息安全與通信保密，2002，12，57-58.

[2] 王杰.信息安全策略管理與實施[J].信息網絡安全， 2004，10，43-44.

[3] 曾志強.企業信息安全策略體系設計[J].網絡安全技術與應用，2006，12，12-14.

[4] 張帆.企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007，05，66-67.endprint