22.1.1信息系统安全策略的概念与内容
知识点1.安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
知识点2.按照系统安全策略“七定”要求,系统安全策略首先要解决定方案,其次就是定岗。

22.1.2建立安全策略需要处理好的关系
知识点3.《计算机信息系统安全保护等级划分准则》(GB 17859—1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,它将计算机信息系统分为以下5个安全保护等级。
第一级 用户自主保护级。该级适用于普通内联网用户。
第二级 系统审计保护级。该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位
第三级 安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
第四级 结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
第五级 访问验证保护级。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

知识点4.信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度

知识点5,根据《信息系统安全等级保护定级指南GB/T22240-2008》,五个等级的定义
第一级:会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成 严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。

知识点6.定级要素与信息系统安全保护等级的关系,如表22-1所示。
image.png
知识点7.我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及其组成,如图22-3 所示。

image.png
X轴是“安全机制”。
Y轴是“OSI网络参考模型”。
Z轴是“安全服务”。
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。随着网络逐层扩展,这个空间不仅范围逐步加大,安全的内涵也就更丰富,达到具有认证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。

22.2.2信息安全系统

知识点1.安全服务
1)对等实体认证服务
2)数据保密服务
3)数据完整性服务
4)数据源点认证服务
5)禁止否认服务
6)犯罪证据提供服务