信息安全策略及實施方法1學(xué)習(xí)課件信息安全策略及實施方法1學(xué)習(xí)課件目錄信息安全策略概述1信息安全策略的制定2主要的安全策略3信息安全策略的執(zhí)行與維護(hù)42學(xué)習(xí)課件目錄信息安全策略概述1信息安全策略的制定2主要的安全策略3信一、信息安全策略概述3學(xué)習(xí)課件一、信息安全策略概述3學(xué)習(xí)課件1.信息安全策略的定義計算機(jī)安全研究組織SANS：“為了保護(hù)存儲在計算機(jī)中的信息，安全策略要確定必須做什么，一個好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進(jìn)行度量和評估”。一組規(guī)則，這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標(biāo)和實現(xiàn)這些信息安全目標(biāo)的途徑。信息安全策略是一個組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。信息安全策略提供：信息保護(hù)的內(nèi)容和目標(biāo)，信息保護(hù)的職責(zé)落實，實施信息保護(hù)的方法，事故的處理4學(xué)習(xí)課件1.信息安全策略的定義計算機(jī)安全研究組織SANS：“為了保護(hù)安全策略的引入信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個計劃。安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。安全策略本質(zhì)上是非形式化的,也可以是高度數(shù)學(xué)化的。安全策略將系統(tǒng)的狀態(tài)分為兩個集合:已授權(quán)的和未授權(quán)的。5安全策略的引入信息安全策略從本質(zhì)上來說是描述組織1.1安全策略的引入制定信息安全策略的目的：如何使用組織中的信息系統(tǒng)資源；如何處理敏感信息；如何采用安全技術(shù)產(chǎn)品。61.1安全策略的引入制定信息安全策略的目的：如何使用組織1.1安全策略的引入安全策略涉及的問題：敏感信息如何被處理？如何正確地維護(hù)用戶身份與口令，以及其他賬號信息？如何對潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？如何以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?怎樣正確使用電子郵件系統(tǒng)？71.1安全策略的引入安全策略涉及的問題：敏感信息如何被處安全策略保密性策略可用性策略完整性策略安全策略的層次信息安全方針具體的信息安全策略8安全策略保密性策略可用性策略完整性策略安全策略的層次信息安全方針信息安全方針就是組織的信息安全委員會或管理機(jī)構(gòu)制定的一個高層文件，是用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全的定義，總體目標(biāo)和范圍，安全對信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；信息安全管理的一般和具體責(zé)任定義，包括報告安全事故等。9學(xué)習(xí)課件信息安全方針信息安全方針就是組織的信息安全委員會或管理機(jī)構(gòu)9安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)。程序是為進(jìn)行某項活動所規(guī)定的途徑或方法。信息安全管理程序包括：實施控制目標(biāo)與控制方式的安全控制程序；為覆蓋信息安全管理體系的管理與運(yùn)作的程序10學(xué)習(xí)課件安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程程序文件的內(nèi)容包括：活動的目的與范圍（Why）。做什么（What）誰來做（Who）何時（When）何地（Where）如何做（How）程序文件應(yīng)遵循的原則：一般不涉及純技術(shù)性的細(xì)節(jié)針對影響信息安全的各項活動目標(biāo)的執(zhí)行做出的規(guī)定應(yīng)當(dāng)簡練、明確和易懂應(yīng)當(dāng)采用統(tǒng)一的結(jié)構(gòu)與格式編排11程序文件的內(nèi)容包括：程序文件應(yīng)遵循的原則：112.信息安全策略的特點指導(dǎo)性原則性可審核性非技術(shù)性現(xiàn)實可行性動態(tài)性文檔化12學(xué)習(xí)課件2.信息安全策略的特點指導(dǎo)性12學(xué)習(xí)課件3.信息安全策略的地位必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行管理層不得允許任何違反信息安全策略的行為存在信息安全策略必須有清晰和完全的文檔描述需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補(bǔ)充信息安全策略13學(xué)習(xí)課件3.信息安全策略的地位必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)4.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。14學(xué)習(xí)課件4.功能信息安全策略的主要功能就是要建立一套安全需求、控制措信息安全策略的保護(hù)對象硬件與軟件 硬件和軟件是支持商業(yè)運(yùn)作進(jìn)行的平臺，它們應(yīng)該受策略所保護(hù)。所以，擁有一份完整的系統(tǒng)軟、硬件清單是非常重要的，并且包括網(wǎng)絡(luò)結(jié)構(gòu)圖。數(shù)據(jù)計算機(jī)和網(wǎng)絡(luò)所做的每一件事情都造成了數(shù)據(jù)的流動和使用。所以有的企業(yè)、組織和政府機(jī)構(gòu)，不論從事什么工作，都在收集和使用數(shù)據(jù)。人員 首先，重點應(yīng)該放在誰在什么情況下能夠訪問資源。接下來要考慮的就是強(qiáng)制執(zhí)行制度和對未授權(quán)訪問的懲罰制度。15學(xué)習(xí)課件信息安全策略的保護(hù)對象硬件與軟件 硬件和軟件是支持商業(yè)信息安全策略網(wǎng)絡(luò)設(shè)備安全服務(wù)器安全信息分類信息保密用戶賬戶與口令遠(yuǎn)程訪問反病毒防火墻及入侵檢測安全事件調(diào)查與響應(yīng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃風(fēng)險評估信息系統(tǒng)審計16信息安全策略網(wǎng)絡(luò)設(shè)備安全反病毒16信息安全策略的設(shè)計范圍物理安全策略物理安全策略包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認(rèn)證機(jī)制等。數(shù)據(jù)加密策略數(shù)據(jù)加密策略包括加密算法、適用范圍、密鑰交換和管理等。數(shù)據(jù)備份策略數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負(fù)責(zé)人等。病毒防護(hù)策略病毒防護(hù)策略包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定等。17學(xué)習(xí)課件信息安全策略的設(shè)計范圍物理安全策略物理安全策略包括環(huán)境安全、信息安全策略的設(shè)計范圍系統(tǒng)安全策略系統(tǒng)安全策略包括WWW訪問策略、數(shù)據(jù)庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。身份認(rèn)證及授權(quán)策略身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制、方式、審計記錄等。災(zāi)難恢復(fù)策略災(zāi)難恢復(fù)策略包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。事故處理、緊急響應(yīng)策略事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計劃、控制過程等。安全教育策略安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識的教育等。18學(xué)習(xí)課件信息安全策略的設(shè)計范圍系統(tǒng)安全策略系統(tǒng)安全策略包括WWW訪問信息安全策略的設(shè)計范圍口令管理策略口令管理策略包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。補(bǔ)丁管理策略補(bǔ)丁管理策略包括系統(tǒng)補(bǔ)丁的更新、測試、安裝等。系統(tǒng)變更控制策略 系統(tǒng)變更控制策略包括設(shè)備、軟件配置、控制措施、數(shù)據(jù)變更管理、一致性管理等。商業(yè)伙伴、客戶關(guān)系策略 商業(yè)伙伴、客戶關(guān)系策略包括合同條款安全策略、客戶服務(wù)安全建議等。復(fù)查審計策略 復(fù)查審計策略包括對安全策略的定期復(fù)查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)發(fā)展的跟蹤等。19學(xué)習(xí)課件信息安全策略的設(shè)計范圍口令管理策略口令管理策略包括口令管理方安全策略的格式1.目標(biāo)2.范圍3.策略內(nèi)容4.角色責(zé)任5.執(zhí)行紀(jì)律6.專業(yè)術(shù)語7.版本歷史20學(xué)習(xí)課件安全策略的格式1.目標(biāo)20學(xué)習(xí)課件安全策略的格式1.目標(biāo)建立信息系統(tǒng)安全的總體目標(biāo)，定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求。信息安全策略必須有一定的透明度并得到高層管理層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。信息安全策略要對所有員工強(qiáng)調(diào)“信息安全，人人有責(zé)”的原則，使員工了解自己的安全責(zé)任與義務(wù)。21學(xué)習(xí)課件安全策略的格式1.目標(biāo)21學(xué)習(xí)課件安全策略的格式2.范圍信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。此外，還應(yīng)包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機(jī)等。22學(xué)習(xí)課件安全策略的格式2.范圍22學(xué)習(xí)課件安全策略的格式3.策略內(nèi)容根據(jù)ISO17799中定義，對信息安全策略的描述應(yīng)該集中在三個方面：機(jī)密性、完整性和可用性，這三種特性是組織建立信息安全策略的出發(fā)點。機(jī)密性是指信息只能由授權(quán)用戶訪問，其他非授權(quán)用戶、或非授權(quán)方式不能訪問。完整性就是保證信息必須是完整無缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改?？捎眯允侵甘跈?quán)用戶在任何時候都可以訪問其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運(yùn)行。23學(xué)習(xí)課件安全策略的格式3.策略內(nèi)容23學(xué)習(xí)課件安全策略的格式3.策略內(nèi)容根據(jù)給定的環(huán)境，應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求，組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動、信息、術(shù)語等方式來反映特定環(huán)境下的安全目標(biāo)，例如，組織在維護(hù)大型但機(jī)密性要求并不高的數(shù)據(jù)庫時，其安全目標(biāo)主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對數(shù)據(jù)的機(jī)密性要求高時，安全目標(biāo)的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。24學(xué)習(xí)課件安全策略的格式3.策略內(nèi)容24學(xué)習(xí)課件安全策略的格式4.角色責(zé)任信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計算機(jī)系統(tǒng)安全小組等。在某些情況下，信息安全策略中要理順組織中的各種個體與團(tuán)體的關(guān)系，以避免在履行各自的責(zé)任與義務(wù)時發(fā)生沖突。25學(xué)習(xí)課件安全策略的格式4.角色責(zé)任25學(xué)習(xí)課件安全策略的格式5.執(zhí)行紀(jì)律沒有一個正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對應(yīng)的懲戒辦法。還要考慮到有時員工違反安全策略并非是有意的，有時也可能是對安全策略缺乏必要的了解造成的。對于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進(jìn)行相關(guān)安全策略介紹和安全意識教育培訓(xùn)。26學(xué)習(xí)課件安全策略的格式5.執(zhí)行紀(jì)律26學(xué)習(xí)課件安全策略的格式6.專業(yè)術(shù)語對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。7.版本歷史對策略版本在各個階段的修訂情況作出說明27學(xué)習(xí)課件安全策略的格式6.專業(yè)術(shù)語27學(xué)習(xí)課件二、信息安全策略的制定28學(xué)習(xí)課件二、信息安全策略的制定28學(xué)習(xí)課件1.制定信息安全策略的原則①先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證②嚴(yán)格的安全管理是確保信息安全策略落實的基礎(chǔ)③嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅強(qiáng)后盾具體原則起點進(jìn)入原則長遠(yuǎn)安全預(yù)期原則最小特權(quán)原則公認(rèn)原則適度復(fù)雜與經(jīng)濟(jì)原則29學(xué)習(xí)課件1.制定信息安全策略的原則①先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根2.策略的制定需要達(dá)成的目標(biāo)減少風(fēng)險，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。30學(xué)習(xí)課件2.策略的制定需要達(dá)成的目標(biāo)減少風(fēng)險，遵從法律和規(guī)則，確保組3.信息安全策略的依據(jù)①國家法律、法規(guī)、政策②行業(yè)規(guī)范③相關(guān)機(jī)構(gòu)的約束④機(jī)構(gòu)自身的安全需求31學(xué)習(xí)課件3.信息安全策略的依據(jù)①國家法律、法規(guī)、政策31學(xué)習(xí)課件制定流程具體的制定過程如下：①確定信息安全策略的范圍②風(fēng)險評估/分析或者審計③信息安全策略的審查、批準(zhǔn)和實施具體如下32學(xué)習(xí)課件制定流程具體的制定過程如下：32學(xué)習(xí)課件制定流程理解組織業(yè)務(wù)特征充分了解組織業(yè)務(wù)特征是設(shè)計信息安全策略的前提；對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價值進(jìn)行分析。得到管理層的明確支持與承諾

使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致；使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；可以得到有效的資源保證。33學(xué)習(xí)課件制定流程理解組織業(yè)務(wù)特征充分了解組織業(yè)務(wù)特征是設(shè)計信息安全制定流程組建安全策略制定小組

高級管理人員；信息安全管理員；信息安全技術(shù)人員；負(fù)責(zé)安全策略執(zhí)行的管理人員；用戶部門人員。確定信息安全整體目標(biāo)

通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為業(yè)務(wù)目標(biāo)的實現(xiàn)提供保障。34學(xué)習(xí)課件制定流程組建安全策略制定小組高級管理人員；確定信息安全整體制定流程確定安全策略范圍

組織需要根據(jù)自己的實際情況確定信息安全策略要涉及的范圍，可以在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域制定信息安全策略。風(fēng)險評估與選擇安全控制

風(fēng)險評估的結(jié)果是選擇適合組織的控制目標(biāo)與控制方式的基礎(chǔ)，組織選擇出了適合自己安全需求的控制目標(biāo)與控制方式后，安全策略的制定才有了最直接的依據(jù)。起草擬定安全策略

安全策略要盡可能地涵蓋所有的風(fēng)險和控制，沒有涉及的內(nèi)容要說明原因，并闡述如何根據(jù)具體的風(fēng)險和控制來決定制訂什么樣的安全策略。35學(xué)習(xí)課件制定流程確定安全策略范圍組織需要根據(jù)自己的制定流程評估安全策略

安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求?管理層是否已批準(zhǔn)了安全策略，并明確承諾支持政策的實施?安全策略是否損害組織、組織人員及第三方的利益?安全策略是否實用、可操作并可以在組織中全面實施?安全策略是否滿足組織在各個方面的安全要求?安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方，并得到了他們的同意？36學(xué)習(xí)課件制定流程評估安全策略安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及制定流程實施安全策略

把安全方針與具體安全策略編制成組織信息安全策略手冊，然后發(fā)布到組織中的每個組織人員與相關(guān)利益方。幾乎所有層次的所有人員都會涉及到這些政策；組織中的主要資源將被這些政策所涵蓋；將引入許多新的條款、程序和活動來執(zhí)行安全策略。組織所處的內(nèi)外環(huán)境在不斷變化；信息資產(chǎn)所面臨的風(fēng)險也是一個變數(shù)；人的思想和觀念也在不斷的變化。政策的持續(xù)改進(jìn)37學(xué)習(xí)課件制定流程實施安全策略把安全方針與具體安全策略編制定流程信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。在制定一整套信息安全策略時，應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計，以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件。也可以參考國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。38學(xué)習(xí)課件制定流程信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定流程在制定策略之前，對現(xiàn)狀進(jìn)行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運(yùn)行。39學(xué)習(xí)課件制定流程在制定策略之前，對現(xiàn)狀進(jìn)行徹底調(diào)研的另一個作用是要弄制定流程收集完上面所提到的材料后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿，并尋找直接相關(guān)人員對其進(jìn)行小范圍的評審。對反饋意見進(jìn)行修改后，逐漸的擴(kuò)大評審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會評審。信息安全策略的制定過程有很高的政策性和個性，反復(fù)的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。40學(xué)習(xí)課件制定流程收集完上面所提到的材料后，開始根據(jù)前期的調(diào)研資料制定制定流程評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。41學(xué)習(xí)課件制定流程評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名制定流程一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。42學(xué)習(xí)課件制定流程一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)組織的安全策略信息對組織的運(yùn)作和發(fā)展所起到的作用越來越大，信息安全問題備受關(guān)注。信息安全是指信息的保密性、完整性和可用性的保持，其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險，保持可持續(xù)發(fā)展；另外，信息安全問題不單純是技術(shù)問題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術(shù)等）的一個綜合性問題，單純從技術(shù)角度考慮是不可能得到很好解決的。我們在這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。43學(xué)習(xí)課件組織的安全策略信息對組織的運(yùn)作和發(fā)展所起到的作用越來越大，信組織的安全策略1.組織應(yīng)該有一個完整的信息安全策略我們可以通過下面一個例子來理解這種情況。某設(shè)計院有工作人員25人，每人一臺計算機(jī)，Windows98對等網(wǎng)絡(luò)通過一臺集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房內(nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設(shè)計院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設(shè)計師，他經(jīng)常撥號到Internet訪問一些設(shè)計方面的信息，他的計算機(jī)上還安裝了代理軟件，其他人員可以通過這個代理軟件訪問Internet。如果該設(shè)計院的信息安全管理停留在一種放任的狀態(tài)，會發(fā)生什么問題呢？下列情況都是有可能的：44學(xué)習(xí)課件組織的安全策略1.組織應(yīng)該有一個完整的信息安全策略44學(xué)習(xí)課小偷順著一樓的防護(hù)欄潛入辦公室偷走了……保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計方案；錯把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷……某設(shè)計師張先生是公司的骨干，他嫌公司提供的設(shè)計軟件版本太舊，自己安裝了盜版的新版本設(shè)計程序。盡管這個盜版程序使用一段時間就會發(fā)生莫名其妙的錯誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計程序，并找到一些辦法避免錯誤發(fā)生時丟失文件。45學(xué)習(xí)課件小偷順著一樓的防護(hù)欄潛入辦公室偷走了……45學(xué)習(xí)課件后來張先生離開設(shè)計院，新員工小李使用原來張先生的計算機(jī)。小李抱怨了多次計算機(jī)不正常，沒有人理會，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。小李把自己感覺重要的文件備份到陳博士的計算機(jī)上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。46學(xué)習(xí)課件后來張先生離開設(shè)計院，新員工小李使用原來張先生的計算機(jī)。小李陳博士對張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來得及交接一下張先生離開時正負(fù)責(zé)的幾個設(shè)計項目。這幾天他一閑下來就整理張先生的設(shè)計方案，可是突然一天提示登錄原來張先生的那臺計算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設(shè)置密碼。47學(xué)習(xí)課件陳博士對張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來得及交接一下盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機(jī)上，可是陳博士沒有找到自己需要的文件。大家通過陳博士的計算機(jī)訪問Internet，收集了很多有用的資料。可是最近好幾臺計算機(jī)在啟動的時候就自動連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個還沒有提交的設(shè)計稿，可是員工都說沒有發(fā)過這樣的信?！?8學(xué)習(xí)課件盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機(jī)上，可是陳博組織的安全策略一個正式的信息安全策略應(yīng)該包括下列信息適用范圍：包括人員和時間上的范圍。目標(biāo).例如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對計算機(jī)病毒、蠕蟲、特洛伊木馬的預(yù)防、偵測和清除過程，特制定本策略”。策略主體。策略簽署。策略的生效時間和有效期（或者重新評審時間）。49學(xué)習(xí)課件組織的安全策略一個正式的信息安全策略應(yīng)該包括下列信息49學(xué)習(xí)組織的安全策略一個正式的信息安全策略應(yīng)該包括下列信息重新評審策略的時機(jī)。策略除了常規(guī)的評審時機(jī)，在下列情況下也需要重新評審：管理體系發(fā)生很大變化、相關(guān)法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化、組織發(fā)生了重大的安全事故。與其他相關(guān)策略的引用關(guān)系。策略解釋、疑問響應(yīng)的人員或者部門。策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項目也可以做適當(dāng)?shù)脑鰟h。例50學(xué)習(xí)課件組織的安全策略一個正式的信息安全策略應(yīng)該包括下列信息50學(xué)習(xí)組織的安全策略信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔，根據(jù)組織的復(fù)雜程度還可能分成幾個層次，其主題內(nèi)容各不相同。但是每個主題的策略都應(yīng)該簡潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關(guān)人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的，是適用于哪些信息資產(chǎn)和處理過程的。51學(xué)習(xí)課件組織的安全策略信息安全策略的主體內(nèi)容51學(xué)習(xí)課件組織的安全策略信息安全策略的主體內(nèi)容通常一個組織可能會考慮開發(fā)下列主題的信息安全策略：1.

環(huán)境和設(shè)備的安全2.

信息資產(chǎn)的分級和人員責(zé)任3.

安全事故的報告與響應(yīng)4.

第三方訪問的安全性5.

委外處理系統(tǒng)的安全6.

人員的任用、培訓(xùn)和職責(zé)7.

系統(tǒng)策劃、驗收、使用和維護(hù)的安全要求52學(xué)習(xí)課件組織的安全策略信息安全策略的主體內(nèi)容52學(xué)習(xí)課件組織的安全策略信息安全策略的主體內(nèi)容8.

信息與軟件交換的安全9.

計算級和網(wǎng)絡(luò)的訪問控制和審核10.遠(yuǎn)程工作的安全11.加密技術(shù)控制12.備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求13.符合法律法規(guī)和技術(shù)指標(biāo)的要求53學(xué)習(xí)課件組織的安全策略信息安全策略的主體內(nèi)容53學(xué)習(xí)課件組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括：目的性：策略是為組織完成自己的使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求；適用性：策略應(yīng)該反映組織的真實環(huán)境，反映但前信息安全的發(fā)展水平；可行性：策略應(yīng)該具有切實可行性，其目標(biāo)應(yīng)該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費(fèi)時間還會引起政策混亂；經(jīng)濟(jì)性：策略應(yīng)該經(jīng)濟(jì)合理，過分復(fù)雜和草率都是不可取的。完整性：能夠反映組織的所有業(yè)務(wù)流程安全需要；54學(xué)習(xí)課件組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括：一致性：策略的一致性包括下面三個層次：

和國家、地方的法律法規(guī)保持一致

和組織已有的策略（方針）保持一致

整體安全策略保持一致，要反映企業(yè)對信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對某個人的。彈性：策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。55學(xué)習(xí)課件組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包組織的安全策略如何使信息安全策略得到貫徹信息安全策略的實施關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員。根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件，即建立一個文件化的信息安全管理體系，在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求。能力和意識的培訓(xùn)是一種好方法，在組織缺乏程序文件的時候作用更是不可忽略。審核是策略得以實施的保障，組織必須有成文的審核辦法，詳細(xì)規(guī)定審核的周期和技術(shù)手段，及時發(fā)現(xiàn)問題及時解決。56學(xué)習(xí)課件組織的安全策略如何使信息安全策略得到貫徹56學(xué)習(xí)課件三、主要的安全策略57學(xué)習(xí)課件三、主要的安全策略57學(xué)習(xí)課件網(wǎng)絡(luò)服務(wù)器口令的管理（1）服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時在場設(shè)定。（2）服務(wù)器的口令需部門負(fù)責(zé)人在場時，由系統(tǒng)管理員記錄封存。（3）口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。（4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報告部門負(fù)責(zé)人，有關(guān)部門負(fù)責(zé)人報告安全部門，同時，要盡量保護(hù)好現(xiàn)場并記錄，須接到上一級主管部門批示后再更換口令。58學(xué)習(xí)課件網(wǎng)絡(luò)服務(wù)器口令的管理（1）服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管用戶口令的管理（1）對于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案。（2）在用戶由于責(zé)任人更換或忘記口令時要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)管理部門提交申請單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實后，對用戶檔案做更新記載。（3）如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。59學(xué)習(xí)課件用戶口令的管理（1）對于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)防病毒策略（1）拒絕訪問能力：來歷不明的入侵軟件不得進(jìn)入系統(tǒng)。（2）病毒檢測能力：系統(tǒng)中應(yīng)設(shè)置檢測病毒的機(jī)制。檢測已知類病毒和未知病毒。（3）控制病毒傳播的能力：系統(tǒng)一定要有控制病毒傳播的能力。（4）清除能力：（5）恢復(fù)能力：提供高效的方法來恢復(fù)這些數(shù)據(jù)。（6）替代操作：系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時可用替代系統(tǒng)工作。60學(xué)習(xí)課件防病毒策略（1）拒絕訪問能力：來歷不明的入侵軟件不得進(jìn)入系統(tǒng)安全教育與培訓(xùn)策略（1）主管信息安全工作的高級負(fù)責(zé)人或各級管理人員：重點是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。（2）負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員：重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。（3）用戶：重點是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。61學(xué)習(xí)課件安全教育與培訓(xùn)策略（1）主管信息安全工作的高級負(fù)責(zé)人或各級可接受使用策略可接受使用策略（AcceptableUsePolicy，AUP）是指這些網(wǎng)絡(luò)能夠被誰使用的約束策略。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。許多公共網(wǎng)絡(luò)服務(wù)有一個AUP。這個AUP是一個正式的或非正式的文件，其定義了網(wǎng)絡(luò)的應(yīng)用意圖、不接受的使用和不服從的結(jié)果。一個人注冊一個基于網(wǎng)絡(luò)的服務(wù)或工作在一個社團(tuán)內(nèi)部網(wǎng)時經(jīng)常會遇到一個AUP。一個好的AUP將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定，限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私，最好的AUPs使“whatif”關(guān)一體化，其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用。62學(xué)習(xí)課件可接受使用策略可接受使用策略（AcceptableUse四、信息安全策略的執(zhí)行與維護(hù)63學(xué)習(xí)課件四、信息安全策略的執(zhí)行與維護(hù)63學(xué)習(xí)課件信息安全策略的推進(jìn)手段1）印刷日歷，強(qiáng)調(diào)每個月不同的策略，將它們張貼在辦公室中。2）利用幽默和簡單的語言表述信息安全策略，分發(fā)給每個