信息系統(tǒng)安全策略綜述.doc

信息系統(tǒng)安全策略綜述摘要本文通過(guò)對(duì)信息安全系統(tǒng)策略相關(guān)問(wèn)題的討論，借鑒引入兩種制定策略的思考規(guī)范并通過(guò)基于網(wǎng)絡(luò)信息系統(tǒng)安全策略制定實(shí)例指導(dǎo)讀者在具體實(shí)踐中體會(huì)多種策略結(jié)合的好處，同時(shí)更好的幫助讀者建立起對(duì)信息安全系統(tǒng)策略的總體映像，方便進(jìn)一步學(xué)習(xí)。1 引言在信息技術(shù)高速發(fā)展的今天，解決信息安全問(wèn)題，不僅要靠良好的信息安全管理體系，更應(yīng)對(duì)信息安全的要求落實(shí)到具體的信息系統(tǒng)管理中。而制定并實(shí)施信息系統(tǒng)的安全策略就是落實(shí)信息安全要求的必要技術(shù)措施。本文將根據(jù)個(gè)人對(duì)信息安全技術(shù)標(biāo)準(zhǔn)、管理規(guī)范的膚淺理解，結(jié)合相關(guān)專業(yè)人士研究成果，對(duì)信息系統(tǒng)安全策略的提出背景，定義與內(nèi)容，然后結(jié)合基于網(wǎng)絡(luò)信息系統(tǒng)安全策略制定實(shí)例對(duì)信息系統(tǒng)安全策略進(jìn)行初步探討。2 引入背景-計(jì)算機(jī)信息系統(tǒng)面臨的威脅據(jù)美國(guó)聯(lián)邦航空局向外界透露，該局一個(gè)航班排序中心的電腦系統(tǒng)當(dāng)天下午因故障而癱瘓，導(dǎo)致全國(guó)20多個(gè)機(jī)場(chǎng)出現(xiàn)航班延誤。此前，黑客攻陷美國(guó)國(guó)家安全部門信息系統(tǒng)，造成損失的報(bào)道屢見報(bào)端。類似事件在我國(guó)也有發(fā)生。某銀行的信息終端出現(xiàn)問(wèn)題，客戶非法提現(xiàn)，最終招致一場(chǎng)轟動(dòng)全國(guó)的訴訟案件。層出不窮的這類事件和事故，都在向我們昭示，信息系統(tǒng)風(fēng)險(xiǎn)無(wú)時(shí)無(wú)處不在，加強(qiáng)安全防范，構(gòu)筑安全堤壩已經(jīng)是刻不容緩。 按一般信息處理過(guò)程來(lái)看，計(jì)算機(jī)信息系統(tǒng)所面對(duì)的威脅可以歸結(jié)為三大類，一是對(duì)信息系統(tǒng)設(shè)備的威脅，二是對(duì)業(yè)務(wù)處理過(guò)程的威脅，三是對(duì)數(shù)據(jù)的威脅。因?yàn)樾畔⑾到y(tǒng)與人們的現(xiàn)實(shí)經(jīng)濟(jì)生活關(guān)系日益密切，這些威脅，或早或晚、或大或小，都會(huì)轉(zhuǎn)化為對(duì)人們現(xiàn)實(shí)經(jīng)濟(jì)生活的威脅。3 信息系統(tǒng)安全策略定義與內(nèi)容為了保證信息系統(tǒng)安全保護(hù)工作的整體、計(jì)劃性及規(guī)范性，保證各項(xiàng)措施和管理手段的正確實(shí)施，使信息系統(tǒng)信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到全面、可靠的保護(hù)，我們往往需要制定信息系統(tǒng)安全策略。3.1信息安全策略定義參照相關(guān)論文，我們可以得出以下幾種定義：信息安全策略是單位內(nèi)指導(dǎo)本單位及其信息系統(tǒng)如何管理、保護(hù)積分發(fā)，包括敏感信息在內(nèi)的資產(chǎn)的規(guī)則、指南和慣例。信息安全策略(Information Security Policies)也叫信息安全方針，是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理，保護(hù)和分配的原則，它告訴組織成員在日常的工作中什么是可以做的，什么是必須做的，什么是不能做的，哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全的行為規(guī)范。3.2信息安全策略分類按照它們的關(guān)鍵思想把這些策略分為了4類：第一類，通過(guò)改進(jìn)信息系統(tǒng)開發(fā)過(guò)程中的系統(tǒng)安全部分，達(dá)到解決信息系統(tǒng)安全目的。第二類，通過(guò)仔細(xì)觀察組織中各項(xiàng)工作的職責(zé)后發(fā)現(xiàn)安全需求，以解決信息系統(tǒng)安全問(wèn)題。第三類，通過(guò)改進(jìn)業(yè)務(wù)處理過(guò)程，嘗試構(gòu)建一個(gè)模型來(lái)描述業(yè)務(wù)過(guò)程模型中的安全約束以解決信息系統(tǒng)安全。第四類，從數(shù)據(jù)模型的安全方面入手，通過(guò)擴(kuò)展數(shù)據(jù)庫(kù)安全領(lǐng)域的現(xiàn)有研究結(jié)果，達(dá)到解決信息系統(tǒng)安全目的。3.3信息安全策略內(nèi)容3.3.1物理安全策略旨在保護(hù)計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯、系統(tǒng)終端、網(wǎng)絡(luò)交換等硬件設(shè)備免受自然災(zāi)害、人為破壞，確保其安全可用。制定物理安全策略，要重點(diǎn)關(guān)注存放計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯設(shè)備、核心網(wǎng)絡(luò)交換設(shè)備的機(jī)房的安全防范。其選址與規(guī)劃建設(shè)要遵循GB 9361 計(jì)算機(jī)場(chǎng)地安全要求和GB2887 計(jì)算機(jī)場(chǎng)地技術(shù)條件，保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報(bào)警裝置，提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源。3.3.2 網(wǎng)絡(luò)安全策略旨在防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊，保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，保護(hù)網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。訪問(wèn)控制是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，是網(wǎng)絡(luò)安全核心策略之一。訪問(wèn)控制包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)授權(quán)控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制以及防火墻控制。安全檢查（身份認(rèn)證）、內(nèi)容檢查也是保護(hù)網(wǎng)絡(luò)安全的有效措施。 網(wǎng)絡(luò)加密手段包括鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密，鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路數(shù)據(jù)安全，端到端加密是對(duì)從源端用戶到目的端用戶之間傳輸?shù)臄?shù)據(jù)提供保護(hù)，節(jié)點(diǎn)加密是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。另外，數(shù)字認(rèn)證在一定程度上保證了網(wǎng)上交易信息的安全。3.3.3 數(shù)據(jù)安全策略旨在防止數(shù)據(jù)被偶然的或故意的非法泄露、變更、破壞，或是被非法識(shí)別和控制，以確保數(shù)據(jù)完整、保密、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲(chǔ)安全和傳輸安全兩個(gè)方面。數(shù)據(jù)的存儲(chǔ)安全系指數(shù)據(jù)存放狀態(tài)下的安全，包括是否會(huì)被非法調(diào)用等，可借助數(shù)據(jù)異地容災(zāi)備份、密文存儲(chǔ)、設(shè)置訪問(wèn)權(quán)限、身份識(shí)別、局部隔離等策略提高安全防范水平。3.3.4 軟件安全策略旨在防止由于軟件質(zhì)量缺陷或安全漏洞使信息系統(tǒng)被非法控制，或使之性能下降、拒絕服務(wù)、停機(jī)。軟件安全策略分為系統(tǒng)軟件安全策略和應(yīng)用軟件安全策略兩類。對(duì)通用的應(yīng)用軟件，可參照前款作法，通過(guò)加強(qiáng)與軟件提供商的溝通，及時(shí)發(fā)現(xiàn)、堵塞安全漏洞。對(duì)量身定做的應(yīng)用軟件，可考慮優(yōu)選通過(guò)質(zhì)量控制體系認(rèn)證、富有行業(yè)軟件開發(fā)和市場(chǎng)推廣經(jīng)驗(yàn)的軟件公司，加強(qiáng)軟件開發(fā)質(zhì)量控制，加強(qiáng)容錯(cuò)設(shè)計(jì)，安排較長(zhǎng)時(shí)間的試運(yùn)行等策略，以規(guī)避風(fēng)險(xiǎn)，提高安全防范水平。 3.3.5 系統(tǒng)管理策略旨在加強(qiáng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運(yùn)行，減少惡意攻擊、各類故障帶來(lái)的負(fù)面效應(yīng)，有必要建立行之有效的系統(tǒng)運(yùn)行維護(hù)機(jī)制和相關(guān)制度。比如，建立健全中心機(jī)房管理制度，信息設(shè)備操作使用規(guī)程，信息系統(tǒng)維護(hù)制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度，等等。要根據(jù)分工，落實(shí)系統(tǒng)使用與運(yùn)行維護(hù)工作責(zé)任制。加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)和安全教育，減少因?yàn)檎`操作給系統(tǒng)安全帶來(lái)的沖擊。要妥善保存系統(tǒng)運(yùn)行、維護(hù)資料，做好相關(guān)記錄，要定期組織應(yīng)急演練，以備不時(shí)之需。 3.3.6 災(zāi)難恢復(fù)策略旨在趁著系統(tǒng)還在運(yùn)行的時(shí)候，制定一個(gè)災(zāi)難恢復(fù)計(jì)劃，將災(zāi)難帶來(lái)的損失降低到最小，使系統(tǒng)安全得到保障的策略。主要需根據(jù)本單位及信息系統(tǒng)的實(shí)際情況，研究系統(tǒng)遇到災(zāi)害后對(duì)業(yè)務(wù)的影響，設(shè)計(jì)災(zāi)后業(yè)務(wù)切換辦法，如定期備份數(shù)據(jù)，根據(jù)災(zāi)難類型，制訂災(zāi)難恢復(fù)流程，建立災(zāi)難預(yù)警、觸發(fā)、響應(yīng)機(jī)制，組織相關(guān)培訓(xùn)和練習(xí)，適時(shí)升級(jí)和維護(hù)災(zāi)難恢復(fù)計(jì)劃等等。4 信息安全策略制定框架4.1 信息系統(tǒng)安全策略制定原則在建立和制定信息系統(tǒng)安全策略時(shí)，應(yīng)遵循下列原則：目的性：信息系統(tǒng)安全策略是針對(duì)某一具體信息系統(tǒng)，為落實(shí)本單位的信息安全策略而制定的，應(yīng)保證與本單位信息安全策略的符合性；完整性：信息系統(tǒng)安全策略應(yīng)考慮該系統(tǒng)運(yùn)行各環(huán)節(jié)的安全保護(hù)的完整性；適用性：信息系統(tǒng)安全策略應(yīng)適應(yīng)本單位的應(yīng)用環(huán)境和應(yīng)用水平，應(yīng)根據(jù)單位業(yè)務(wù)的安全需求來(lái)確定策略的簡(jiǎn)繁；可行性：信息系統(tǒng)安全策略應(yīng)切實(shí)可用，其目標(biāo)應(yīng)可以實(shí)現(xiàn)、策略的執(zhí)行情況可檢查和可審核；一致性：信息系統(tǒng)安全策略應(yīng)與國(guó)家主管部門發(fā)布的信息安全政策要求、標(biāo)準(zhǔn)規(guī)范保持一致，與本單位的信息安全策略保持一致等。4.2 信息系統(tǒng)安全策略制定規(guī)范為規(guī)范信息系統(tǒng)安全策略的制定，我們需要考慮設(shè)計(jì)信息系統(tǒng)安全策略時(shí)相關(guān)問(wèn)題。一般推薦以下兩種制定規(guī)范。第一種通過(guò)著重考慮解決下列問(wèn)題：定義信息系統(tǒng)及其業(yè)務(wù)目標(biāo)和安全目標(biāo)；日常工作和重要業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度；信息系統(tǒng)相關(guān)資產(chǎn)對(duì)象，如：硬件、軟件、信息、環(huán)境、人員及活動(dòng)；需要保護(hù)的資產(chǎn)對(duì)象及其保密性、完整性、可用性需求； 對(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)產(chǎn)生負(fù)面影響的因素及其來(lái)源(如：服務(wù)或資產(chǎn)不可用或受到破壞、信息或軟件受到未授權(quán)訪問(wèn))、可能造成的損失、產(chǎn)生的危害等；信息系統(tǒng)潛在的威脅、自身的脆弱點(diǎn)；用于消除負(fù)面影響、降低風(fēng)險(xiǎn)、減少脆弱點(diǎn)的安全防護(hù)措施選擇；外部技術(shù)支持的選擇；信息安全的成本等。第二種通過(guò)以下系統(tǒng)化方法規(guī)范制定過(guò)程：進(jìn)行安全需求分析 對(duì)信息系統(tǒng)資源進(jìn)行評(píng)估對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行分析確定內(nèi)部信息對(duì)外開放的種類及發(fā)布方式和訪問(wèn)方式明確信息系統(tǒng)管理人員的責(zé)任和義務(wù) 確定針對(duì)潛在風(fēng)險(xiǎn)采取的安全保護(hù)措施的主要構(gòu)成方面，制定安全存取、訪問(wèn)規(guī)則4.3 基于網(wǎng)絡(luò)信息系統(tǒng)安全策略制定實(shí)例4.3.1 引入背景根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)所提出的開放系統(tǒng)互連(OSI)七層協(xié)議參考模型，我們從以下幾個(gè)方面來(lái)考慮網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題：物理安全、鏈路安全、網(wǎng)絡(luò)安全、應(yīng)用層安全。物理安全即保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、火災(zāi)等自然災(zāi)禍以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。例如環(huán)境安全的威脅：地震、水災(zāi)、火災(zāi)等自然災(zāi)禍會(huì)造成整個(gè)系統(tǒng)的毀滅。設(shè)備安全的威脅：電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失，設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏，電磁輻射也可能造成數(shù)據(jù)信息被竊取或偷閱。操作者的疏忽或者惡意破壞導(dǎo)致系統(tǒng)失靈。鏈路安全主要解決網(wǎng)絡(luò)系統(tǒng)中鏈路級(jí)點(diǎn)對(duì)點(diǎn)公用信道的安全，即保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。入侵者在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性：以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。網(wǎng)絡(luò)安全應(yīng)該從兩個(gè)方面來(lái)考慮：一是從信息網(wǎng)(內(nèi)域網(wǎng))內(nèi)部本身的安全威脅來(lái)考慮：二是從信息網(wǎng)接入Internet網(wǎng)后的安全威脅來(lái)考慮。來(lái)自內(nèi)域網(wǎng)的威脅，比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)，安全管理員有意透露其用廣名及口令，內(nèi)部不懷好意的員工編寫破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很大的威脅。內(nèi)域網(wǎng)與外部網(wǎng)互聯(lián)的安全威脅，比如入侵者通過(guò)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，并通過(guò)相應(yīng)的攻擊程序?qū)?nèi)部網(wǎng)進(jìn)行攻擊，通過(guò)網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，然后假冒內(nèi)部合法身份非法登陸，竊取重要信息，發(fā)送大量的PIN6包對(duì)內(nèi)域網(wǎng)服務(wù)器進(jìn)行攻擊，使服務(wù)器超負(fù)荷工作以至系統(tǒng)癱瘓。應(yīng)用層安全主要涉及網(wǎng)絡(luò)操作系統(tǒng)的安全、應(yīng)用系統(tǒng)的安全、數(shù)據(jù)庫(kù)安全等幾個(gè)方面。操作系統(tǒng)漏洞：目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIx操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其backdoor。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，入侵者可以輕易得手。4.3.2 一般策略制定營(yíng)造安全的物理環(huán)境環(huán)境安全保障：計(jì)算機(jī)機(jī)房或設(shè)備存放處要有供電、供水系統(tǒng)的保障、要防火、防盜、防震等設(shè)施。電磁輻射安全：計(jì)算機(jī)房一定要有屏蔽裝置，或者對(duì)設(shè)備加金屬屏蔽、抗電磁輻射干擾等技術(shù)。磁介質(zhì)安全：重視設(shè)備的維護(hù)維修和報(bào)廢的安全，并對(duì)磁介質(zhì)進(jìn)行分類，對(duì)重要磁介質(zhì)備份，定期循環(huán)拷貝，文檔文件要嚴(yán)格管理，不得重復(fù)使用記錄有絕密信息的磁介質(zhì)。維護(hù)好網(wǎng)絡(luò)與鏈路安全隔離和訪問(wèn)控制技術(shù)：隔離和訪問(wèn)控制技術(shù)指確定合法用戶對(duì)計(jì)算機(jī)資源所享有的權(quán)限，實(shí)施訪問(wèn)控制是維護(hù)計(jì)算機(jī)安全運(yùn)行、保護(hù)系統(tǒng)信息的重要技術(shù)手段，包括網(wǎng)絡(luò)的訪問(wèn)控制技術(shù)、主機(jī)的訪問(wèn)控制技術(shù)、微型機(jī)的訪問(wèn)控制技術(shù)和文件的訪問(wèn)控制技術(shù)。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問(wèn)控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問(wèn)控制。通信保密技術(shù)：數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過(guò)配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢圆捎面溌穼蛹用芎途W(wǎng)絡(luò)層加密的方法。入侵檢測(cè)技術(shù)：防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若rT關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。因此入侵檢測(cè)被稱為是防火墻之后的第二道安全閘門。病毒防治技術(shù)：計(jì)算機(jī)病毒的防治也是網(wǎng)絡(luò)系統(tǒng)安全的重要部分。從技術(shù)上來(lái)講，對(duì)計(jì)算機(jī)病毒的防治可以通過(guò)如下途徑：一是在服務(wù)器上裝載防病毒模塊，二是軟件防治，定期或不定期地用防毒軟件檢測(cè)計(jì)算機(jī)，三是在計(jì)算機(jī)上插防病毒卡，四是在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。軟件防治可以不斷提高防治能力，但需要人為地經(jīng)常去啟動(dòng)軟盤防毒軟件，而且往往在病毒發(fā)作以后才能檢測(cè)到。做好應(yīng)用層防護(hù)系統(tǒng)安全系統(tǒng)安全策略主要包括操作系統(tǒng)安全措施、應(yīng)用系統(tǒng)的安全措施。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略，如及時(shí)給系統(tǒng)打補(bǔ)丁，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口，通過(guò)配備操作系統(tǒng)安全掃描系統(tǒng)對(duì)操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對(duì)性地進(jìn)行對(duì)網(wǎng)絡(luò)設(shè)備重新配置或升級(jí)。應(yīng)用系統(tǒng)安全在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上女lJHTTP、FTP等服務(wù)。還有就是加強(qiáng)登錄身份認(rèn)證。確保用戶使用的合法性：并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系績(jī)本身的日志功能，對(duì)用戶所訪問(wèn)的信息做記錄，為事后審查提供依據(jù)。4.3.3 涉及人的策略制定首先，要加強(qiáng)職業(yè)道德教育，我們對(duì)從事計(jì)算機(jī)、通訊等專業(yè)人員要進(jìn)行職業(yè)道德教育，增強(qiáng)其系統(tǒng)安全意識(shí)，特別要加強(qiáng)青少年法制教育和網(wǎng)絡(luò)安全知識(shí)等素質(zhì)教育。因?yàn)閷?duì)于一個(gè)具體的信息系統(tǒng)人員和有關(guān)用戶，他們的安全意識(shí)和職業(yè)道德的好壞、安全責(zé)任心的強(qiáng)弱、安全管理水平的高低，直接影響到系統(tǒng)安全程度。其次，切實(shí)貫徹網(wǎng)絡(luò)安全保密法律法規(guī)制度，提高遵紀(jì)守法意識(shí)和道德修養(yǎng)，規(guī)范上網(wǎng)用戶的網(wǎng)上行為，堅(jiān)決打擊網(wǎng)上的違法犯罪活動(dòng)等等，對(duì)于網(wǎng)絡(luò)的正常安全運(yùn)轉(zhuǎn)十分必要。第三，要建立和健全嚴(yán)格的管理制度。對(duì)于各類管理人員、操作員、安全人員必須進(jìn)行分工并明確其操作權(quán)限和安全責(zé)任，這樣才能做到違法必究。5 結(jié)束語(yǔ)通過(guò)對(duì)相關(guān)問(wèn)題的研究我們發(fā)現(xiàn)任何一種安全策略都不可能永遠(yuǎn)最先進(jìn)有效,它只能在一定程度上一定范圍內(nèi)對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)到一定的時(shí)期后就可能在某些安全方面顯得力不從心。因而信息系統(tǒng)的安全保護(hù)不能僅僅靠這些技術(shù)措施，還必須重視安全法規(guī)教育，法制建設(shè)，完善系統(tǒng)的安全管理，還需要多種策略結(jié)合實(shí)施，只有認(rèn)真執(zhí)行各項(xiàng)管理措施對(duì)系統(tǒng)定期進(jìn)