2.2 安全策略

2.2.1 安全策略简介

安全策略是指在一个特定的环境里，建立在授权的基础上，为保证提供一定级别的安全保护所必须遵守的规则：未经适当授权的实体，信息不可以给予、不可以访问、不允许引用，任何资源也不得使用。安全策略实施原则包括最小特权原则、最小泄露原则和多级安全策略原则。

信息安全策略是组织机构中解决信息安全问题最重要的部分，它定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略的内容与具体的技术方案是不同的，它是描述系统中保证信息安全途径的指导性文件，指出需要完成的目标，为具体的安全措施和规定提供一个全局性框架，并不涉及具体的实施细节。根据ISO 17799中的定义，对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性。这三个特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户或非授权方式不能访问。完整性是指保证信息必须是完整无缺的，信息不能丢失、被损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。因此，根据制定信息安全策略达到的目标要求，信息安全策略应具有指导性、原则性、可审核性、非技术性、现实可行性、动态性和文档性等特点。