信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。 所以，一个单位的安全策略一定是定制的，都是针对本单位的“安全风险（威胁）”来进行防护的。安全策略的归宿点（立脚点）就是单位的资产得到充分的保护。

安全策略的核心内容就是"七定"，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 "七定"的结果就是确定了该单位组织的计算机业务应用信息系统的安全如何具体地实现和保证。安全策略一定要具有科学性、严肃性、非二义性和可操作性。 按照“七定”要求，系统安全策略首先要解决定方案，其次是定岗。

1.安全与应用的依存关系 安全与应用是矛盾统一的。没有应用，就不会产生相应的安全需求。发生安全问题，就不能更好地开展应用。安全是有代价的，不但会增加系统的开销，也会增加系统建设和运行的费用，同时还会规定对使用的限制，从而给应用带来不便，应用需要安全、安全为了应用。过分强调安全或者应用，都是有失偏颇的，都不是正确的态度。

2.风险度的观点 系统安全是一个动态的过程，今天看来是安全的系统明天可能就不再安全。因为发现了新的漏洞，或者黑客研究出了新的攻击技术，病毒制造者设计了新的病毒程序，甚至仅仅是由于我们对系统进行了重新配置等。 因此把信息系统的安全目标定位于"系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密"，是错误的、是不现实的、也是不可能的。系统安全是相对的，是一个风险大小的问题。我们不能一厢情愿地求所谓的绝对安全，而是要将安全风险控制在合理程度或允许的范围内。这就是风险度的观点。

3.适度安全的观点 怎样才是适度安全，需要运用风险评估的方法才能得出结论。风险评估围绕威胁、资产、脆弱性、安全措施展开分析。在评估时不仅要考虑现有环境，还要考虑近期和远期发展变化趋势。同时，还要评估控制风险所需的安全代价。在此基础上对风险和代价进行均衡，才能确定相应的安全策。安全风险和安全代价两者之间的关系。 

4. 木桶效应的观点 木桶效应的观点是将整个信息系统比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的。同时，保护信息系统的各个安全要素是同等重要的，各方面要素不容忽视。但是要强调的是，安全管理在所有要素中具有极其重要的地位。有人将安全管理的漏洞比作存在于木桶桶底的漏洞。如果安全管理有漏洞，其他安全措施即使投入再大也无济于事。

5.信息系统安全等级保护的概念 第一级用户自主保护级。通过隔离用户与数据，使用户具备自主安全保护的能力。它为用户提供可行的手段，保护用户和用户信息，避免其他用户对数据的非法读写与破坏，该级适用于普通内联网用户。 第二级系统审计保护级。实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源使用户对自己的行为负责。该级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。 第三级安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。 第四级结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部月、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。 第五级访问验证保护级。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

5.信息系统安全等级保护的概念 信息系统的安全保护等级由两个定级要素决定∶等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。对客体的侵害程度由客观方面的不同外在表现综合决定。 

8个总原则 ①主要领导人负责原则 ②规范定级原则 ③依法行政原则 ④以人为本原则 ⑤注重效费比原则 ⑥全面防范、突出重点原则 ⑦系统、动态原则 ⑧特殊的安全管理原则

10个特殊原则 ①分权制衡原则 ②最小特权原则 ③标准化原则 ④用成熟的先进技术原则 ⑤失效保护原则 ⑥普遍参与原则 ⑦职责分离原则 ⑧审计独立原则 ⑨控制社会影响原则 ⑩保护资源和效率原则

与信息系统安全方案有关的系统组成因素 ①主要硬件设备的选型。 ②操作系统和数据库的选型。 ③网络拓扑结构的选型。 ④数据存储方案和存储设备的选型。 ⑤安全设备的选型。 ⑥应用软件开发平台的选型。 ⑦应用软件的系统结构的确定。 ⑧供货商和集成商的选择等。 ⑨业务运营与安全管理的职责（岗位）划分。 ⑩应急处理方案的确定及人员的落实。

确定信息系统安全方案，确定信息系统安全方案主要包括以下内容∶ ①首先确定采用MIS+S、S-MIS或S2-MIS体系架构，不同体系架构差别很大，对后续工作和目标影响很大。 ②确定业务和数据存储的方案。业务和数据存储的方案对整个信息系统组成和信息安全方案的确定，影响很大。 ③网络拓扑结构。信息安全的主要威胁都是来自网络，因此网络的拓扑结构对信息安全方案的确定，影响也是很大。 ④基础安全设施和主要安全设备的选型。这部分是信息安全保障系统的核心，有没有这些设施，选用什么样的安全设备，对信息安全方案的确定起到关键的作用。 ⑤业务应用信息系统的安全级别的确定。根据国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》，单位可以根据使用的目的要求，确定本单位的计算机业务应用信息系统要确定为哪-等级，一旦你确定了某个安全级别，也就确定了安全的大体方案。 ⑥系统资金和人员投入。这条决定了前几条的选定，因为没有钱，一切设想、计划只能成为幻想。有了钱，没有人也是不可想象的。

1.信息安全系统三维空间。 我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及组成，如图 22-2 所示。其中，X 轴是“安全机制”，Y 轴是“OSI 网络参考模型”，Z 轴是“安全服务”。 由 X、Y、Z 三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。 

2.信息安全系统划分为三种架构体系：MIS+S 系统、S-MIS 系统和 S2-MIS 系统。

安全审计（Security Audit）是记录、审查主体对客体进行访问和使用的情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计产品主要包括主机类、网络类、数据库类和业务 应用系统级的审计产品。

安全审计系统采用数据挖掘和数据仓库技术，对历史数据进行分析、处理和追踪，实现在不同 网络环境下终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施。因此安全审计系统被比喻为“黑匣子”。

安全审计的主要作用有：

建立安全审计系统的主体方案主要有以下三种。

（1）基于入侵监测预警系统的网络与主机信息监测审计。 入侵监测是指对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。对数据的分析是入侵检测系统的核心。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。 网络安全入侵监测系统负责监视网络上的通信数据流和网络服务器系统中的审核信息，捕获可疑的网络和服务器系统活动，发现其中存在的安全问题。当网络和主机被非法使用或破坏时，进行实时响应和报警，产生通告信息和日志，系统审计管理人员根据这些通告信息、日志和分析结果， 调整和更新已有的安全管理策略或进行跟踪追查等事后处理措施。在这个层次上的入侵监测和安全审计是一对因果关系，前者获取的记录结构是后者审核分析资料的来源，任何一方都不能脱离另一方单独工作。

（2）重要应用系统运行情况审计。

（3）基于网络旁路监控审计方式的优点有： 第一，可以选择性记录任何通过网络对应用系统进行的操作，并对其进行实时与事后分析和处理； 第二，可以记录完整的信息； 第三，不对应用系统本身的正常运行产生任何影响； 第四，可以对审计数据进行安全的保存，保证记录不被非法删除和篡改。

分布式审计系统由审计中心、审计控制台和审计 Agent 组成。

审计 Agent 主要可以分为网络监听型 Agent、系统嵌入型 Agent、主动信息获取型 Agent 等。

【补充知识点】