安全策略及安全模型

统一。
安全策略 资源类型
资源使用者
OA系统、财务系统 业务用户 、业务应用系统等 应用管理员
主机系统 数据库系统 网络设备 安全设备 物理环境
3
操作系统管理员 数据库管理员 网络管理员 安全管理员 机房管理员
安全策略与安全模型
标准规则高度统一
组织结构：业务系统建设与安全运维分开，各自建立规则 相互制约
The security policy provides the abstract goals and the security model provides the do’s and don’ts necessary to fulfill the goals
Security Policy
Security Model
网络管理员或者CIO根据组织机构的风险及安 全目标制定的行动策略即为安全策略。
根据确定的保护对象，策略将定义一组管理或 使用的方法，使策略的执行者在面对受保护的 对象时，策略明确规定了什么能做，什么不能 做。
8
安全策略与安全模型
3.1 安全策略概述
信息安全策略是一组规则，它们定义了一个组织 要实信现息的安安全策全略目的标描和述实应现简洁这的些、安非全技目术标性的的和途具径有。
Programming
• Abstract objectives, goals and requirements
• Rules or practice • Framework
• Mathematical relationship and formulas
• Specifications • Data structure
6
安全策略与安全模型
一、 安全策略概述
策略与措施
措施：措施具有目的行动,是针对某一现象作出 的相应的对策。
措施包括了实现策略过程中所采取的管理与技 术手段、方法等。措施应与策略不矛盾。
策略指做什么和不做什么？ 措施指怎么做？
7
安全策略与安全模型
一、 安全策略概述
安全策略：是指在某个安全区域内（一个安全 区域，通常是指属于某个组织的一系列处理和 通信资源），用于所有与安全相关活动的一套 规则。这些规则是由此安全区域中所设立的一 个安全权力机构建立的，并由安全控制机构来 描述、实施或实现的。
事件响应：结合业务重要性进行事件分类，并设计处理流 程
内容审计：结合业务流程和企业文化实现业务人员、IT人 员的统一安全审计
人员绩效：根据业务发展战略，制定业务人员和IT人员的 统一绩效量化指标并明确操作方法。
配置策略合理有序
人和权限的统一
4
安全策略与安全模型
一、安全策略概述 二、安全策略类型 三、安全策略的生成、部署和有效使用
信于息整指如以安个导一这全 组性个样策 织的涉描。及述略 提对 ：是 供敏原全感则局信性性息的指加密和导的不，信涉为息及具安具 体全体 的策略细 安条节 全目， 措可对 施 和规定提任供何类一别个为全机局密性的框信息架，。无论存贮在计算机中
，还是通过公共网络传输时，必须使用本公司信息 安全部门指定的加密硬件或者加密软件予以保护。 这个叙述没有谈及加密算法和密钥长度，所以当旧 的加密算法被替换，新的加密算法被公布的时候， 无须对信息安全策略进行修改。
Provides the framework for the systems’ security architecture.
12
安全策略与安全模型
• Computer code • Product or • GUI – check box • System
11
安全策略与Βιβλιοθήκη Baidu全模型
Security Policy
Outlines the security requirements for an organization.
Is an abstract term that represents the objectives and goals a system must meet and accomplish to be deemed secure and acceptable.（是代表了必须满足和完成被认为是安全和可接受的系
规则和实践。）
Expresses what the security level should be by setting the goals of what the security mechanisms are supposed to accomplish.（表示安全级别中安全机制应该完成的目标。）
第三章 安全策略与安全模型
1
安全策略与安全模型
梳理手上的牌
资产和业务 数 据 中 心
业 务 大 集 中
线 路 中 断
威胁和危害
安
安全全 专 措施 家 2
管 理
方法理念/原则
安全策略与安全模型
安全运维体系的解决方案：
业务层面和支撑层面的人员、权限、策略、系统的 统一。
从安全策略入手，在不同层面实现做到人与权限的
统的目标的一个抽象的术语。）
Is a set of rules and practices that dictates how sensitive information and resources are managed, protected, and distributed.（是一组决定了敏感信息和资源的管理、保护和分发的
5
安全策略与安全模型
一、安全策略概述
策略：“策略”就是为了实现某一个目标，首先 预先根据可能出现的问题制定的若干对应的方案， 并且，在实现目标的过程中，根据形势的发展和 变化来制定出新的方案，或者根据形势的发展和 变化来选择相应的方案，最终实现目标。
1、可以实现目标的方案集合； 2、根据形势发展而制定的行动方针和斗争方法； 3、有斗争艺术，能注意方式方法；
9
安全策略与安全模型
管理是指为提高群体实现目标的效率而采 取的活动和行为。包括制定计划（规划）、 建立机构（组织）、落实措施（部署）、 开展培训（提高能力）、检查效果（评估） 和实施改进（改进）等。
收集信息－评估－组织－部署－ <对象>－
系统B
10
安全策略与安全模型
The Transformation Process