信息安全策略体系结构、组成及具体内容资料

1、信息安全体系结构、安全策略的组成(z chn)及具体内容共七十一页信息安全体系结构、安全策略的组成(z chn)及具体内容信息安全体系结构信息安全策略(cl)的组成信息安全策略的具体内容共七十一页信息安全体系结构信息安全体系结构的意义TCPIP参考模型的安全协议分层P2DR动态(dngti)可适应安全模型PDRR模型WPDRRC模型共七十一页木桶理论：一个桶能装多少水不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。所以安全(nqun)是一个系统工程，涉及到多个方面。某一方面的缺陷会导致严重的安全(nqun)事故。信息安全体系结构的意义(yy)共七十一页信息安全体系结构的意义(yy)无

2、论是OSI参考模型还是TCPIP参考模型，它们在设计之初都没有充分考虑网络通信中存在的安全问题。因此，只要在参考模型的任何一个层面发现安全漏洞，就可以对网络通信实施攻击。在开放式网络环境中，网络通信会遭受两种方式的攻击：主动攻击和被动攻击。主动攻击包括对用户信息的篡改、删除及伪造，对用户身份的冒充和对合法用户访问的阻止(zzh)。被动攻击包括对用户信息的窃取，对信息流量的分析等。因此，需要建立网络安全体系结构，以实现数据加密、身份认证、数据完整性鉴别、数字签名、访问控制等方面的功能。共七十一页TCP/IP参考模型的安全(nqun)服务与安全(nqun)机制应用层传输层网际层网络接口层认证(rn

3、zhng)服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制TCP/IP参考模型安全服务共七十一页TCPIP参考模型的安全(nqun)协议分层协议层针对的实体安全协议主要实现的安全策略应用层应用程序S-HTTP信息加密、数字签名、数据完整性验证SET信息加密、身份认证、数字签名、数据完整性验证PGP信息加密、数字签名、数据完整性验证S/MIME信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH信息加密、身份认证、数据完整性验证传输层端进程SSL/TLS信息加密、身份认证、数据完整性验证SOCKS访问控制、穿透防火

4、墙网际层主机IPSec信息加密、身份认证、数据完整性验证网络接口层端系统PAP身份认证CHAP身份认证PPTP传输隧道L2F传输隧道L2TP传输隧道WEP信息加密、访问控制、数据完整性验证WPA信息加密、身份认证、访问控制、数据完整性验证共七十一页主要安全(nqun)协议网络接口层PAP（Password Authentication Protocol，密码认证协议）CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）PPTP（Point-to-Point Tunneling Protocol，点对点隧道(sudo)协议）L2F（

5、Level 2 Forwarding protocol，第二层转发协议）L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）WEP（Wired Equivalent Privacy，有线等效保密）WPA（Wi-Fi Protected Access，Wi-Fi网络保护访问）共七十一页主要安全(nqun)协议网际层IPSec（IP Security，IP层安全(nqun)协议）传输层SSL（Secure Socket Layer，安全套接字层）TLS（Transport Layer Security，安全传输层）SOCKS（Protocol for sessions

6、traversal across firewall securely，防火墙安全会话转换协议）共七十一页主要安全(nqun)协议应用层SSH（Secure Shell Protocol，安全外壳协议(xiy)）KerberosPGP（Pretty Good Privacy）S/MIME（Secure/Multipurpose Internet Mail Extensions，安全的多功能Internet电子邮件扩充）S-HTTP（Secure Hyper Text Transfer Protocol，安全超文本传输协议）SET（Secure Electronic Transaction，安全电

7、子交易）共七十一页P2DR动态可适应安全(nqun)模型P2DR模型是美国国际互联网安全系统公司ISS最先提出的，即Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）按照P2DR的观点，一个完整的动态安全体系，不仅(bjn)需要恰当的防护（如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（如入侵检测、漏洞扫描等），在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。共七十一页P2DR动态可适应安全(nqun)模型策略(cl)P检测D响应R防护P共七十一页P2DR

8、动态可适应安全(nqun)模型P2DR模型是建立在基于时间(shjin)的安全理论基础之上的：Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间 Rt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间 Et：系统暴露时间，即系统处于不安全状况的时间（Et = Dt + Rt - Pt） Pt：攻击成功所需时间被称作安全体系能够提供的防护时间要实现安全，必须让防护时间大于检测时间加上响应时间，即：Pt Dt + Rt共七十一页P2DR动态(dngti)可适应安全模型P2DR模型基本上体现了比较完整的信息安全体系的思想，勾画出信息安全体系建立之后一个良好的表现形

9、态。近十年来，该模型被普遍使用。不过，P2DR也有不够完善或者说不够明确的地方，那就是对系统恢复的环节没有足够重视。在P2DR模型中，恢复（Recovery）环节是包含在响应（Response）环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其(yuq)是911恐怖事件发生之后，人们对P2DR模型的认识也就有了新的内容，于是，PDRR模型就应运而生了。共七十一页PDRR模型(mxng)PDRR模型，或者叫PPDRR（或者P2DR2），与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中，安全策略、防护、检测、响应

10、和恢复共同构成了完整的安全体系。保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面(fngmin)进行综合考虑，只有将技术、管理、策略、工程过程等方面(fngmin)紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。共七十一页PDRR模型(mxng)保护检测恢复响应(xingyng)信息保障采用一切手段（主要指静态防护手段）保护信息系统的五大特性。及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低检测本地网络的安全漏洞和存在的非法信息流，从而

11、有效阻止网络攻击共七十一页PDRR模型(mxng)PDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存(shngcn)起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。共七十一页WPDRRC模型(mxng)人员(rnyun)策略技术响应R恢复R保护P预警W检测D反击C共七十一页WPDRRC安全(nqun)体系模型我国863信息安全专家组博采众长推出该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映(fnyng)了各个安全组件之间的内在联系。人核心政策（包括法律、法规、制度、管理）桥梁技术落实在WPD

12、RRC六个环节的各个方面，在各个环节中起作用共七十一页WPDRRC模型(mxng)Warning：采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。Protect：采用一系列的手段(识别(shbi)、认证、授权、访问控制、数据加密)保障数据的保密性，完整性、可用性、可控性和不可否认性等。Detect：利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。即检测系统脆弱性检测；入侵检测，病毒检测。共七十一页WPDRRC模型(mxng)Respond：对危及安全的事件、行为、过程及

13、时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。包括审计跟踪；事件报警；事件处理Restore：一旦系统遭到破坏，将采取的一系列的措施如文件的备份、数据库的自动恢复等，尽快恢复系统功能，提供正常服务。Counterattack：利用高技术工具，取得证据(zhngj)，作为犯罪分子犯罪的线索、犯罪依据，依法侦查处置犯罪分子。共七十一页信息安全策略(cl)的组成信息安全策略的基本概念安全策略的制定执行(zhxng)信息安全策略的过程共七十一页信息安全策略(cl)的基本概念信息安全策略的目的(md)什么是信息安全策略信息安全策略的基本组成信息安全策略的层次共七十一页信息安全策略(

14、cl)的目的制定安全策略的目的是保证网络安全、保护(boh)工作的整体性、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可用性受到全面、可靠的保护(boh)。共七十一页什么(shn me)是信息安全策略？信息安全策略的意义信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题最重要的部分。 在一个小型组织内部，信息安全策略的制定者一般应该是该组织的技术管理者，在一个大的组织内部，信息安全策略的制定者可能是由一个多方人员组成的小组。 一个组织的信息安全策略反映(fnyng)出一个组织对于现实和未来安全风险的认

15、识水平，对于组织内部业务人员和技术人员安全风险的假定与处理。信息安全策略的制定，同时还需要参考相关的标准文本和类似组织的安全管理经验。共七十一页什么(shn me)是信息安全策略？什么是信息安全策略 信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个(lin )部分，问题策略（issue policy）和功能策略（ functional policy）。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略

16、必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证制定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略。共七十一页什么(shn me)是信息安全策略？信息安全策略与技术方案的区别信息安全策略的内容应该有别于技术方案， 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件(wnjin)，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局

17、性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价。 共七十一页什么(shn me)是信息安全策略？信息安全策略的描述方式信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：条目1 “任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件(yn jin)或者加密软件予以保护。” 这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候

18、，无须对信息安全策略进行修改。 共七十一页信息安全策略(cl)的基本组成安全策略是指在一个特定的环境里，为保证提供(tgng)一定级别的安全保护所必须遵守的规则，它包括三个重要的组成部分。(1) 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。(2) 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。(3) 严格的管理：各网络使用机构 、企业和单位应建立相宜的信息安全管理办法，加强内部管

19、理，建立审计和跟踪体系，提高整体信息安全意识。共七十一页信息安全策略(cl)的层次安全策略是指某个安全区域内用于所有与安全有关(yugun)的活动的规则，分三级：安全策略目标机构安全策略系统安全策略 共七十一页安全策略的制定(zhdng)制定安全策略的内容制定安全策略的原则制定安全策略的思想方法安全策略的设计依据需要保护什么资源 必须(bx)防范什么威胁 需要什么级别的安全 共七十一页制定(zhdng)安全策略的内容制定安全策略的目的是保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容包括：进行安

20、全需求分析 对网络系统资源进行评估对可能存在的风险进行分析确定内部信息对外开放的种类及发布方式和访问方式明确网络系统管理人员的责任和义务 确定针对潜在风险采取的安全保护措施的主要构成(guchng)方面，制定安全存取、访问规则 共七十一页制定(zhdng)安全策略的原则适应性原则：在一种情况下实施的安全策略到另一环境(hunjng)下就未必适合动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快简单性原则：安全的网络是相对简单的网络系统性原则：应全面考虑网络上各类用户、各种设备、各种情况，有计划有准备地采取相应的策略最小特权原则：每个用户并不需要使用所有的服务；不是所有

21、用户都需要去修改系统中的每一个文件；每一个用户并不需要都知道系统的根口令，每个系统管理见也没有必要都知道系统的根口令等共七十一页制定(zhdng)安全策略的思想方法在制定网络安全策略时有以下两种思想方法：凡是没有明确表示允许的就要被禁止。凡是没有明确表示禁止的就要被允许。按照(nzho)第一种方法，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是禁止的。按照第二种方法，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是允许的。共七十一页制定(zhdng)安全策略的思想方法这两种思想方法所导致的结果是不相同的。

22、采用第一种(y zhn)思想方法所表示的策略只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种(y zhn)新的网络应用出现时，对于第一种(y zhn)方法，如允许用户使用，就将明确地在安全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着允许用户使用。需要注意的是：在网络安全策略上，一般采用第一种方法，即明确地限定用户在网络中访问的权限与能够使用的服务。这符合于规定用户在网络访问的最小权限的原则，即给予用户能完成他的任务所必要的访问权限与可以使用的服务类型，这样将会便于网络的管理。共七十一页安

23、全策略设计(shj)依据 制订安全策略时应考虑如下因素：对于内部用户和外部用户分别提供(tgng)哪些服务程序。初始投资额和后续投资额（新的硬件、软件及工作人员）。方便程度和服务效率的平衡。复杂程度和安全等级的平衡。网络性能。共七十一页需要(xyo)保护什么资源 在完成网络安全策略制定的过程中，首先要对所有(suyu)网络资源从安全性的角度去定义它所存在的风险。RFC 1044 列出了以下需要定义的网络资源：(1) 硬件 处理器、主板、键盘、终端、工作站、个人计算机、打印机、磁盘、通信数据、终端服务器与路由器。(2) 软件操作系统、通信程序、诊断程序、应用程序与网管软件。共七十一页需要保护(b

24、oh)什么资源 (3) 数据在线存储的数据、离线文档、执行过程中的数据、在网络中传输的数据、备份数据、数据库、用户登录。(4) 用户普通网络用户、网络操作员、网络管理员。(5) 演示程序应用软件的演示程序、网络操作系统的演示程序、计算机硬件与网络硬件的演示程序与网络软件的演示程序。(6) 支持设备磁带机与磁带、软盘、光驱(un q)与光盘。共七十一页需要保护什么(shn me)资源 在设计网络安全策略时，第一步要分析在所要管理的网络中有哪些资源，其中哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及如何保护这些资源。设计网络安全策略的第一步工作是研究这些问题，并将研究结

25、果用网络资源调查表的形式记录下来。要求被保护的网络资源被定义之后，就需要对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏的潜在因素，确定威胁的类型。只有了解了对网络资源安全构成威胁的来源与类型，才能针对这些问题提出(t ch)保护方法。共七十一页必须防范什么(shn me)威胁 为了保护计算机系统和网络必须对潜在的安全威胁提高警惕。如果理解了安全的确切定义，就能很敏感地对计算机系统和网络进行风险(fngxin)评估。要进行有效的安全评估，就必须明确安全威胁、漏洞的产生，以及威胁、安全漏洞和风险三者之间的关系。安全威胁：威胁是有可能访问资源并造成破坏的某个人、某个地方或某个事物

26、。共七十一页必须防范什么(shn me)威胁 威胁类型示 例自然和物理的火灾、水灾、风暴、地震、停电无 意 的不知情的员工、不知情的顾客故 意 的攻击者、恐怖分子、工业间谍、政府、恶意代码对计算机环境(hunjng)的威胁网络中基本上存在者两种威胁偶然的威胁有意图的威胁被动的威胁主动的威胁共七十一页必须(bx)防范什么威胁 安全漏洞：安全漏洞是资源容易遭受攻击的位置。它可以(ky)被视为是一个弱点。安全漏洞类型示 例物 理 的未锁门窗自 然 的灭火系统失灵硬件和软件防病毒软件过期媒 介电干扰通 信未加密协议人 为不可靠的技术支持对计算机环境中的漏洞共七十一页必须防范什么(shn me)威胁 主

27、 要 威 胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常(zhngchng)通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)共七十一页必须防范什么威胁信息与网络安全的攻击(gngj)手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造(wizo)攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击计算机病毒蠕虫后门攻击欺骗攻

28、击拒绝服务攻击特洛伊木马共七十一页需要什么级别(jbi)的安全 网络信息安全等级与标准 1TCSEC标准 2欧洲ITSEC标准 3加拿大CTCPEC评价(pngji)标准 4美国联邦准则FC 5联合公共准则CC标准 6BS7799标准 7我国有关网络信息安全的相关标准 共七十一页 橘皮书(Trusted Computer System Evaluation CriteriaTCSEC)是计算机系统安全评估的第一个正式标准，具有划时代的意义(yy)。它于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的

29、安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。 D级和A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。需要什么(shn me)级别的安全 共七十一页 1)D级D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。 拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，

30、没有系统访问限制和数据限制，任何人不需要任何账户就可以进入(jnr)系统，不受任何限制就可以访问他人的数据文件。属于这个级别的操作系统有DOS、Windows 9x、Apple公司的Macintosh System 7.1。 需要什么(shn me)级别的安全 共七十一页需要什么(shn me)级别的安全 2) C1级 C1级又称有选择地安全保护或称酌情安全保护(Discretionny Security Protection)系统，它要求系统硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)，用户在使用前必须登记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数

31、据设立访问许可权限等。它描述了一种典型的用在UNIX系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法(hf)，并决定用户对信息拥有什么样的访问权。 共七十一页这种访问权是指对文件和目标的访问权。文件的拥有者和根用户(Root)可以改动文件中的访问属性，从而对不同的用户给与不同的访问权。例如，让文件拥有者有读、写和执行的权力；给同组用户读和执行的权力；而给其他用户以读的权力。 C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别(jbi)，所以用户可以将

32、系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。需要什么级别(jbi)的安全 共七十一页需要什么(shn me)级别的安全 3）C2级使用附加身份认证就可以(ky)让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份认证和应用于程序的用户ID许可(SUID)设置和同组用户ID许可(SGID)设置相混淆，身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表。例如，当用户无权浏览进程表时，它若执行命令就只能看到它们自己的进程。 授权分级指系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录的权限。共七十

33、一页需要(xyo)什么级别的安全 另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。 能够达到C2级的常见的操作系统(co zu x tn)有UNIX系统、XENIX、Novell 3.x或更高版本、Windows NT和Windows 2000 。 共七十一页需要什么级别(jbi)的安全 4) B1级 B级中有三个级别，B1级即标号安全保护(Labeled Security Protection)，是支持多级安全(如秘密和绝密)的第一个级别，这个(zh ge)级别说明一个处于强制性访问控制之下的对象

34、，系统不允许文件的拥有者改变其许可权限。即在这一级别上，对象(如盘区和文件服务器目录)必须在访问控制之下，不允许拥有者更改它们的权限。 B1级安全措施的计算机系统，随着操作系统而定。政府机构和系统安全承包商是B1级计算机系统的主要拥有者。共七十一页需要什么(shn me)级别的安全 5) B2级B2级又叫做结构保护(Structured Protection)级别，它要求计算机系统中所有的对象都加标签，而且给设备(磁盘，磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。 6) B3级B3级又称安全域(Security Domain)级别，

35、它使用(shyng)安装硬件的方式来加强域。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。共七十一页需要(xyo)什么级别的安全 7)A级 A级也称为验证保护或验证设计(Verity Design)级别，是当前的最高级别，它包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过(jnggu)验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布(Trusted Distribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。

36、可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性，随着计算机和网络技术的发展，对于目前的网络安全不能完全适用。共七十一页执行信息安全策略(cl)的过程确定应用范围获得管理支持进行安全分析会见(hujin)关键人员制订策略草案开展策略评估发布安全策略随需修订策略 共七十一页确定应用(yngyng)范围在制订(zhdng)安全策略之前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织还是在某个部门。如果没有明确范围就制订(zhdng)策略无异于无的放矢。共七十一页获得(hud)管理支持事实上任何项目(xingm)的推进都无法离开管理层的支持，安全策略的实施也是如此。先从管理

37、层获得足够的承诺有很多好处，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机。共七十一页进行安全(nqun)分析这是一个(y )经常被忽略的工作步骤，同时也是安全策略制订工作中的一个(y )重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。进行这项工作时需要考虑的关键问题包括需要保护什么，需要防范哪些威胁，受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等等。共七十一页会见关键(gun

38、jin)人员通常来说至少应该与负责技术部门和负责业务部门的人员进行(jnxng)一些会议，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。如果有其它属于安全策略应用范围内的业务单位，那么也应该让其加入到这项工作。共七十一页制订(zhdng)策略草案一旦就应用范围内的采集的信息达成一致并获得了组织内部足够的支持，就可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要内容，并作为最后的评估和确认工作(gngzu)的基准。共七十一页开展(kizhn)策略评估在之前已经与管理层及与安全策略执行相关的主要人员进行了沟通，而该部分工作在之前的基础上进一步与所有(suyu)风险承担者一同对安全策略进行确认，从而最终形成修正后的正式的策略版本。在这个阶段会往往会有更多的人员参与进来，应该进一步争取所有(suyu)相关人员的支持，至少应该获得足够的授权以保障安全策略的实施。共七十一页发布(fb)安全策略当安全策略完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策