一、信息系统安全策略
1、“七定”安全策略:
(1)定方案、定岗、定位、定员、定目标、定制度、定工作流程。
(2)按照系统安全策略"七定”要求,系统安全策略首先要解决定方案,其次就是定岗。
2、信息系统安全保护等级的概念
(1)第一级用户自主保护级。适用于普通内联网用户
(2)第二级系统审计保护级。适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
(3)第三级安全标记保护级。适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
(4)第四级结构化保护级。适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
(5)第五级访问验证保护级。适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
3、信息安全保护等级的决定要素:
(1)受侵害的客体。等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
(2)对客体的侵害程度。对客体造成侵害的程度分为造成一般损害;造成严重损害;造成特别严重损害。
4、基于角色的访问控制
访问授权方案主要有四种
(1)自主访问式(DAC):对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
(2)访问控制列表方式(ACL):目标资源拥有访问权限列表,指明允许哪些用户访问。
(3)强制访问控制式(MAC):在军事和安全部门应用最多。访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
(4)基于角色的访问控制方式(RBAC):该模型首先定乂—个组织内的角色,再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职务分配一个或多个角色。RBAC中的角色由应用系统的管理员定义。
5、安全审计功能
CC(即 Common critoria iso/IEC17859)标准将安全审计功能分为6个部分,分别是安全审计自动响应功能,安全审计自动生成功能,安全审计分析功能,安全审计浏览功能,安全审计事件选择功能,安全审计事件存储功能。
(1)安全审计自动响应功能定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。
(2)安全审计自动生成功能要求记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。
(3)安全审计分析功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。
(4)安全审计浏览功能要求审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
(5)安全审计事件选择功能要求系统管理员能够维护、检査或修改审计事件的集合,能够选择对哪些安全属性进行审计。
(6)安全审计事件存储要求审计系统提供控制措施,以防止由于资源的不可用丟失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。