网络安全策略主要包括网络安全防护对象和网络安全防护规则。网络安全防护对象既可以是硬件(如服务器),又可以是软件(如办公系统);既可以是单独的实物个体(如计算机终端),又可以是多个实体集成的综合实体(如计算机网络)。
根据网络安全防护对象的不同性质,网络安全策略可分为物理安全策略、系统安全策略和信息安全策略等。
①物理安全策略。防护计算机、网络设备等实体的物理安全,为防止自然灾害或人为因素的物理破坏而制定的各种规则。如针对设备运行环境的供电、温度、湿度、静电防护、物理隔离等方面的规则。
②系统安全策略。用户对网络系统或网络中设备进行访问时,为防止用户有意或无意地非授权系统访问而制定的各种规则。例如,设备入网规则防止任意设备非授权接入网络系统中;用户登录规则防止任意用户非授权访问网络系统中的主机或设备;用户权限规则防止合法用户非授权操作设备或访问系统资源等。
③信息安全策略。用户对网络系统中的信息进行访问时,为防止用户有意或无意地非授权信息访问而制定的各种规则。例如,电磁泄漏防护规则防止非法用户通过传导发射或电磁辐射还原信息;制定用户及信息分级规则结合信息读写规则,防止用户非法访问秘密信息(见BLP模型)或修改信息(见BIBA模型);制定用户利益冲突隔离规则,防止用户访问有利益冲突的第三方信息(见中国墙模型)。
根据网络安全防护规则的实施效果上看,网络安全策略又可分为禁止类网络安全策略、允许类网络安全策略和约束类网络安全策略等。
①禁止类网络安全策略。如果不符合网络安全防护规则的要求,则和规则相关的所有操作行为被禁止,如黑名单策略等。
②允许类网络安全策略。如果符合网络安全防护规则的要求,则和规则相关的所有操作行为被允许,如白名单策略等。
③约束类网络安全策略。如果网络安全防护规则描述相关操作对象、操作行为及之间的约束关系,则称其为约束类网络安全策略,如最小特权策略、分权策略等。
网络安全不单是技术问题,更是管理问题,除了技术类的网络安全策略外,还包括管理方面的网络安全策略。国际标准《ISO/IEC27001 2013 Information technology- Security techniques- Information security management systems- Requirements》及国家标准《GB/T 22080—2016/ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系 要求》在网络系统的建立、实现、维护和持续改进等方面制定了详细的规定。
联系客服