第5章 信息安全策略管理,內(nèi)容提要,信息安全策略的概念 信息安全策略的層次 信息安全策略的制定 信息安全策略的管理及相關(guān)技術(shù),5.1 信息安全策略的概念,信息安全策略的概念 信息安全策略從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃。 安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合: 已授權(quán)的和未授權(quán)的。,5.1 信息安全策略的概念,制定信息安全策略的目的 如何使用組織中的信息系統(tǒng)資源 如何處理敏感信息 如何采用安全技術(shù)產(chǎn)品 信息安全策略通過(guò)為每個(gè)組織成員提供基本的原則、指南和定義，從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止人員的不安全行為引入風(fēng)險(xiǎn)。 安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。,5.1 信息安全策略的概念,信息安全策略能夠解決的問(wèn)題 敏感信息如何被處理？ 如何正確地維護(hù)用戶身份與口令，以及其他賬號(hào)信息？ 如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？ 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接? 怎樣正確使用電子郵件系統(tǒng)？,5.2 信息安全策略的層次,信息安全策略的層次 信息安全方針 具體的信息安全策略,5.2.1 信息安全方針,信息安全方針的概念 信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件，是用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。 信息安全方針應(yīng)包含的內(nèi)容 信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享的重要性； 管理層意圖、支持目標(biāo)和信息安全原則的闡述； 信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì)組織的重要性； 信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故等。,5.2.2 具體的信息安全策略,策略包含一套規(guī)則，規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為。 為了執(zhí)行策略，機(jī)構(gòu)必須實(shí)施一套標(biāo)準(zhǔn)，以準(zhǔn)確定義在工作場(chǎng)所哪些行為是違反規(guī)定的，以及機(jī)構(gòu)對(duì)該行為的懲罰標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是對(duì)策略的行為規(guī)則更詳細(xì)的描述。 在實(shí)施過(guò)程中，機(jī)構(gòu)應(yīng)當(dāng)針對(duì)各種違規(guī)行為制定一套標(biāo)準(zhǔn)，并列出這些行為的詳細(xì)資料。實(shí)踐、過(guò)程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略。,5.2.2 具體的信息安全策略,企業(yè)信息安全策略 基于問(wèn)題的安全策略 基于系統(tǒng)的安全策略,5.2.2.1 企業(yè)信息安全策略,企業(yè)信息安全策略（ EISP）安全項(xiàng)目策略、總安全策略、IT 安全策略、高級(jí)信息安全策略，也就是為整個(gè)機(jī)構(gòu)安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)。 EISP 為信息安全的各個(gè)領(lǐng)域分配責(zé)任，包括信息安全策略的維護(hù)、策略的實(shí)施、最終用戶的責(zé)任。 EISP 還特別規(guī)定了信息安全項(xiàng)目的制定、實(shí)施和管理要求 。 EISP 是一個(gè)執(zhí)行級(jí)的文檔，是由 CISO 與 CIO 磋商后起草的。通常 2 耀 10 頁(yè)長(zhǎng)，它構(gòu)成了 IT 環(huán)境的安全理念。EISP 一般不需要做經(jīng)?；蛉粘５男薷?，除非機(jī)構(gòu)的戰(zhàn)略方向發(fā)生了變化。,5.2.2.1 企業(yè)信息安全策略,企業(yè)信息安全策略（ EISP）的組成 盡管各個(gè)機(jī)構(gòu)的企業(yè)信息安全策略有差別，但大多數(shù) EISP 文檔應(yīng)該包括以下要素： 關(guān)于企業(yè)安全理念的總體看法 機(jī)構(gòu)的信息安全部門結(jié)構(gòu)和實(shí)施信息安全策略人員信息 機(jī)構(gòu)所有成員共同的安全責(zé)任（員工、承包人、顧問(wèn)、合伙人和訪問(wèn)者） 機(jī)構(gòu)所有成員明確的、特有的安全責(zé)任 注意：應(yīng)把機(jī)構(gòu)的任務(wù)和目標(biāo)納入 EISP 中 例：一個(gè)好的 EISP 的組成部分,5.2.2.1 企業(yè)信息安全策略,5.2.2.1 企業(yè)信息安全策略,5.2.2.2 基于問(wèn)題的安全策略,基于問(wèn)題的安全策略（ ISSP，Issue-Specific Security Policy）提供了詳細(xì)的、目標(biāo)明確的指南，以此來(lái)指導(dǎo)所有機(jī)構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。 一個(gè)有效的 ISSP 是各方（機(jī)構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會(huì)以不恰當(dāng)方式被使用，機(jī)構(gòu)已經(jīng)做出了極大的努力。 ISSP應(yīng)該讓機(jī)構(gòu)成員認(rèn)識(shí)到，策略的目標(biāo)不是為機(jī)構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)責(zé)任人提供法律依據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達(dá)成共識(shí)。一旦達(dá)成了這個(gè)共識(shí)，員工就可以不用尋求領(lǐng)導(dǎo)批準(zhǔn)，而任意使用各種類型的技術(shù)。,5.2.2.2 基于問(wèn)題的安全策略,基于問(wèn)題的安全策略（ ISSP）應(yīng)完成的目標(biāo) 明確地指出機(jī)構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。 記錄了基于技術(shù)的系統(tǒng)的控制過(guò)程，并確定這個(gè)控制過(guò)程和相關(guān)的負(fù)責(zé)機(jī)構(gòu)。 當(dāng)機(jī)構(gòu)的員工由于使用不當(dāng)，或者非法操作系統(tǒng)而造成了損失，它可以保護(hù)機(jī)構(gòu)不承擔(dān)該責(zé)任。 ISSP 的特性 它是針對(duì)特定的、基于技術(shù)的系統(tǒng) 它要求不斷地升級(jí) 它包含一個(gè)問(wèn)題陳述，解釋了機(jī)構(gòu)對(duì)特定問(wèn)題的態(tài)度,5.2.2.2 基于問(wèn)題的安全策略,基于問(wèn)題的安全策略（ ISSP）的組成 目標(biāo)聲明 授權(quán)訪問(wèn)和設(shè)備的使用 設(shè)備的禁止使用 系統(tǒng)管理 違反策略 策略檢查和修改 責(zé)任的限制,5.2.2.2.1 ISSP 的組成,目標(biāo)聲明 概括策略的范圍和適用性，用于解決以下問(wèn)題： 這個(gè)策略服務(wù)于什么目標(biāo)？ 由誰(shuí)來(lái)負(fù)責(zé)實(shí)施策略？ 策略文檔涉及到哪些技術(shù)問(wèn)題？ 授權(quán)訪問(wèn)和設(shè)備的使用 解釋了誰(shuí)可以使用策略所規(guī)定的技術(shù)，用于什么目的。該部分規(guī)定了以“公正和負(fù)責(zé)任的使用”方式使用設(shè)備和機(jī)構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問(wèn)題，例如個(gè)人信息和隱私的保護(hù)。 注意：機(jī)構(gòu)的信息系統(tǒng)是該機(jī)構(gòu)的專有財(cái)產(chǎn)，用戶并沒(méi)有特殊的使用權(quán)。,5.2.2.2.1 ISSP 的組成,設(shè)備的禁止使用 闡述了設(shè)備禁止使用的范圍，如：私人使用、破壞性使用或者誤用、冒犯或者侵?jǐn)_的材料，以及侵犯版權(quán)、未經(jīng)批準(zhǔn)的東西和其他涉及知識(shí)產(chǎn)權(quán)的活動(dòng)。 注意：一個(gè)機(jī)構(gòu)可以靈活地組合授權(quán)訪問(wèn)、設(shè)備的使用和設(shè)備的禁止使用，形成“恰當(dāng)?shù)氖褂貌呗浴薄?系統(tǒng)管理 指定用戶和系統(tǒng)管理員的責(zé)任，以便讓各方都知道他們應(yīng)該負(fù)責(zé)什么。 一家公司可能希望發(fā)布具體的規(guī)則來(lái)指導(dǎo)員工如何使用電子郵件和電子文檔、如何存儲(chǔ)電子文檔、授權(quán)雇主如何監(jiān)控，以及如何保護(hù)電子郵件和其他電子文檔的物理和電子安全。,5.2.2.2.1 ISSP 的組成,違反策略 規(guī)定了對(duì)違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對(duì)每種違規(guī)類型而設(shè)計(jì)；這部分也應(yīng)該提供針對(duì)怎樣報(bào)告已觀察到的或可疑的違規(guī)行為 。 策略檢查和修改 明確ISSP 的具體檢查和修改方法，以便保證用戶手上總是有反映機(jī)構(gòu)當(dāng)前技術(shù)和需求的指導(dǎo)方針。 責(zé)任的限制 對(duì)一系列的“拒絕承擔(dān)責(zé)任聲明”做了概要說(shuō)明 ，如果員工使用公司的技術(shù)時(shí)，違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將不會(huì)保護(hù)他們，并且不會(huì)為他們的行為負(fù)責(zé)。,5.2.2.2.2 ISSP 的制定和管理,制定和管理 ISSP 的方法有很多種，常見(jiàn)的有3 種： 創(chuàng)建一定數(shù)量獨(dú)立的 ISSP 文檔，每個(gè)策略文檔都對(duì)應(yīng)一個(gè)具體的問(wèn)題。 只創(chuàng)建一個(gè)綜合的文檔，該文檔旨在覆蓋所有的問(wèn)題。 創(chuàng)建一個(gè) ISSP 文檔的模板，當(dāng)維護(hù)每一個(gè)具體問(wèn)題需求的時(shí)，可以按這個(gè)模板創(chuàng)建和管理統(tǒng)一的策略。,5.2.2.2.2 ISSP 的制定和管理,3 種方法的優(yōu)點(diǎn)和缺點(diǎn) ：,5.2.2.3 基于系統(tǒng)的策略,基于系統(tǒng)的策略（SysSPs，System-Specific Policy）是采用技術(shù)或管理措施來(lái)控制設(shè)備的配置，在配置和維護(hù)系統(tǒng)時(shí)起到標(biāo)準(zhǔn)和過(guò)程指導(dǎo)的作用。 例如， SysSPs可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目標(biāo)聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問(wèn)控制列表（為每個(gè)授權(quán)用戶定義訪問(wèn)級(jí)別）。 SysSPs的組成 管理指南 技術(shù)規(guī)范,5.2.2.3 基于系統(tǒng)的策略,基于系統(tǒng)的策略（SysSPs）管理指南 SysSPs管理指南由管理層制定，用來(lái)指導(dǎo)技術(shù)的實(shí)現(xiàn)和配置，該指南還規(guī)定了機(jī)構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。 例如，一個(gè)機(jī)構(gòu)可能不希望它的員工利用機(jī)構(gòu)的網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)；在這種情況下，應(yīng)該按照這種規(guī)則配置防火墻。 基于系統(tǒng)的策略可以和基于問(wèn)題的安全策略（ ISSP）同時(shí)制定，或者在相關(guān)的 ISSPs制定之前準(zhǔn)備。,5.2.2.3 基于系統(tǒng)的策略,基于系統(tǒng)的策略（SysSPs）技術(shù)規(guī)范 有兩種方法實(shí)現(xiàn)這種技術(shù)控制：訪問(wèn)控制列表和配置規(guī)則。 訪問(wèn)控制列表 訪問(wèn)控制列表（ACLs）包括用戶訪問(wèn)列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和特權(quán)。 ACLs控制了對(duì)文檔存儲(chǔ)系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問(wèn)。 一個(gè)權(quán)限列表詳細(xì)規(guī)定了哪些設(shè)備用戶或組可以訪問(wèn)。權(quán)限規(guī)定常常采用復(fù)雜矩陣的形式，而不是簡(jiǎn)單的列表。 NT/2000 把 ACLs轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個(gè)配置單元可以控制系統(tǒng)訪問(wèn)。,5.2.2.3 基于系統(tǒng)的策略,訪問(wèn)控制列表 訪問(wèn)控制列表（ACLs）使管理員能夠根據(jù)用戶、計(jì)算機(jī)、訪問(wèn)時(shí)間、甚至特殊的文檔來(lái)限制對(duì)系統(tǒng)的訪問(wèn)。一般說(shuō)來(lái)，ACLs規(guī)定以下幾個(gè)方面： 誰(shuí)可以使用系統(tǒng) 授權(quán)用戶可以訪問(wèn)什么 授權(quán)用戶在何時(shí)可以訪問(wèn)系統(tǒng) 授權(quán)用戶在何地可以訪問(wèn)系統(tǒng) 授權(quán)用戶怎樣訪問(wèn)系統(tǒng),5.2.2.3 基于系統(tǒng)的策略,配置規(guī)則 配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行。 基于規(guī)則的策略比 ACLs規(guī)定得更為詳細(xì)，一些安全系統(tǒng)要求特定的配置腳本，這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。（如：防火墻配置規(guī)則、IDS配置規(guī)則） 組合 SysSPs 許多機(jī)構(gòu)選擇創(chuàng)建單一的文檔，該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來(lái)。如果采用此方法，就應(yīng)當(dāng)注意要仔細(xì)清楚地表述操作過(guò)程所要求的執(zhí)行步驟。,5.3 信息安全策略的制定,安全策略的制定原則 起點(diǎn)進(jìn)入原則：在系統(tǒng)建設(shè)一開(kāi)始就考慮安全策略問(wèn)題。 長(zhǎng)遠(yuǎn)安全預(yù)期原則：對(duì)安全需求作總體設(shè)計(jì)和長(zhǎng)遠(yuǎn)打算。 最小特權(quán)原則：不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限。 公認(rèn)原則：參考通用的安全措施，做出自己的決策。 適度復(fù)雜與經(jīng)濟(jì)原則 策略不能與法律相沖突 策略必須被恰當(dāng)?shù)刂С趾凸芾?5.3.1 信息安全策略的制定過(guò)程,理解組織業(yè)務(wù)特征 充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提； 對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析。 得到管理層的明確支持與承諾 使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致； 使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹； 可以得到有效的資源保證。,5.3.1 信息安全策略的制定過(guò)程,組建安全策略制定小組 小組成員的多少視安全策略的規(guī)模與范圍大小而定，一般有以下人員組成： 高級(jí)管理人員； 信息安全管理員； 信息安全技術(shù)人員； 負(fù)責(zé)安全策略執(zhí)行的管理人員； 用戶部門人員。 確定信息安全整體目標(biāo) 通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障。,5.3.1 信息安全策略的制定過(guò)程,起草擬定安全策略 安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有涉及的內(nèi)容要說(shuō)明原因，并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的安全策略。 評(píng)估安全策略 安全策略制定完成后，要進(jìn)行充分的評(píng)估和測(cè)試，評(píng)估時(shí)可以考慮如下問(wèn)題： 安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求? 管理層是否已批準(zhǔn)了安全策略，并明確承諾支持政策的實(shí)施? 安全策略是否損害組織、組織人員及第三方的利益? 安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施? 安全策略是否滿足組織在各個(gè)方面的安全要求? 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方，并得到了他們的同意？,5.3.1 信息安全策略的制定過(guò)程,實(shí)施安全策略 把安全方針與具體安全策略編制成組織信息安全策略手冊(cè)，然后發(fā)布到組織中的每個(gè)組織人員與相關(guān)利益方。 幾乎所有層次的所有人員都會(huì)涉及到這些政策； 組織中的主要資源將被這些政策所涵蓋； 將引入許多新的條款、程序和活動(dòng)來(lái)執(zhí)行安全策略。 政策的持續(xù)改進(jìn) 組織所處的內(nèi)外環(huán)境在不斷變化； 信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)； 人的思想和觀念也在不斷的變化。,5.4 信息安全策略管理及相關(guān)技術(shù),安全策略管理辦法 集中式管理 集中式管理就是在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對(duì)信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配。 分布式管理 分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分，然后根據(jù)資源類型的不同，由負(fù)責(zé)此類資源管理的部門或人員負(fù)責(zé)安全策略的制定和實(shí)施。,5.4.1 信息安全策略管理相關(guān)技術(shù),安全策略統(tǒng)一描述技術(shù) 安全策略描述是實(shí)現(xiàn)策略管理的基礎(chǔ)。 策略描述語(yǔ)言：PDL、Ponder。 安全策略自動(dòng)翻譯技術(shù) 安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不同設(shè)備對(duì)應(yīng)的配置命令、配置腳本或策略結(jié)構(gòu)的過(guò)程。 安全策略一致性檢驗(yàn)技術(shù) 策略之間的沖突很難避免。策略一致性驗(yàn)證主要包括策略的語(yǔ)法、語(yǔ)義檢查和策略沖突檢測(cè)兩個(gè)方面。,5.4.1 信息安全策略管理相關(guān)技術(shù),安全策略發(fā)布與分發(fā)技術(shù) “推”模式 “拉”模式 對(duì)內(nèi)網(wǎng)設(shè)