1.4.2　保障信息安全的主要防御策略

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效地保护网络信息的安全。信息系统的安全策略是为了保障在规定级别下的系统安全而制定和必须遵守的一系列准则和规定，它考虑到入侵者可能发起的任何攻击，以及为使系统免遭入侵和破坏而必然采取的措施。实现信息安全，不但要靠先进的技术，而且要靠严格的安全管理、法律约束和安全教育。

信息系统的安全策略主要包括：物理安全策略、运行管理策略、信息安全策略、备份与恢复策略、应急计划和相应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略。

1.物理安全策略

计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。

2.运行管理策略

为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应加强计算机信息系统运行管理，提高系统安全性、可靠性，减少恶意攻击、各类故障带来的负面效应，全体相关人员都应该了解计算机及系统的网络与信息安全需求，建立行之有效的系统运行维护机制和相关制度。比如，建立健全中心机房管理制度、信息设备操作使用规程、信息系统维护制度、网络通信管理制度、应急响应制度等。

3.信息安全策略

为保护计算机中数据信息的安全性、完整性、可用性，保护系统中的信息免受恶意的或偶然的篡改、伪造和窃取，有效控制内部泄密的途径和防范来自外部的破坏，可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防范水平。

在设计信息系统时，选用相对成熟、稳定和安全的系统软件并保持与其提供商的密切接触，通过其官方网站或合法渠道，密切关注其漏洞及补丁发布情况，争取“第一时间”下载补丁软件，弥补不足。

4.计算机病毒与恶意代码防护策略

病毒防范包括预防和检查病毒（包括实时扫描、过滤和定期检查），主要内容包括：控制病毒入侵途径，安装可靠的防病毒软件，对系统进行实时检测和过滤，定期杀毒，及时更新病毒库，详细记录，防病毒软件的安装和使用由信息安全管理员执行。

5.身份鉴别和访问控制策略

为了保护计算机系统中信息不被非授权的访问、操作或被破坏、必须对信息系统实行控制访问。采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则。保障用户登录和口令的安全；用户选择和使用密码时应参考良好的安全惯例，严格设置对重要服务器、网络设备的访问权限。

6.安全审计策略

计算机及信息系统的信息安全审计活动和风险评估应当定期执行。

特别是系统建设前或系统进行重大变更之前，必须进行风险评估工作。

定期进行信息安全审计和信息安全风险评估，并形成文档化的信息安全审计报告和风险评估报告。