《信息安全策略》課件

1、信息安全策略,1,信息安全策略,信息安全策略,2,目錄,信息安全策略,3,一、信息安全策略概述,信息安全策略,4,1.信息安全策略的定義,計(jì)算機(jī)安全研究組織SANS：“為了保護(hù)存儲(chǔ)在計(jì)算機(jī)中的信息，安全策略要確定必須做什么，一個(gè)好的策略有足夠多做什么的定義，以便于執(zhí)行者確定如何做，并且能夠進(jìn)行度量和評(píng)估”。 一組規(guī)則，這組規(guī)則描述了一個(gè)組織要實(shí)現(xiàn)的信息安全目標(biāo)和實(shí)現(xiàn)這些信息安全目標(biāo)的途徑。 信息安全策略是一個(gè)組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。 信息安全策略提供：信息保護(hù)的內(nèi)容和目標(biāo)，信息保護(hù)的職責(zé)落實(shí)，實(shí)施信息保護(hù)的方法，事故的處理,信息安全策略,5,安全策略的引入,信息安全策略從本質(zhì)上來(lái)說(shuō)是描

2、述組織具有哪些重要 信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃,安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ),安全策略本質(zhì)上是非形式化的,也可以是高度數(shù)學(xué)化的,安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合: 已授權(quán)的和未授權(quán)的,信息安全策略,6,1.1 安全策略的引入,制定信息安全策略的目的,如何使用組織中的信息系統(tǒng)資源； 如何處理敏感信息； 如何采用安全技術(shù)產(chǎn)品,信息安全策略,7,1.1 安全策略的引入,安全策略涉及的問(wèn)題,敏感信息如何被處理？ 如何正確地維護(hù)用戶身份與口令，以及其他賬 號(hào)信息？ 如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？ 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接? 怎樣正確使用

3、電子郵件系統(tǒng),信息安全策略,8,安全策略,保密性策略,可用性策略,完整性策略,安全策略的層次,信息安全方針,具體的信息安全策略,信息安全策略,9,信息安全方針,信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu) 制定的一個(gè)高層文件，是用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。 信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享 的重要性； 管理層意圖、支持目標(biāo)和信息安全原則的闡述； 信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì) 組織的重要性； 信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全 事故等,信息安全策略,10,安全程序,安全程序是保障信息安全策略有效實(shí)施的、具體

4、化的、過(guò)程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。 程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法。 信息安全管理程序包括： 實(shí)施控制目標(biāo)與控制方式的安全控制程序； 為覆蓋信息安全管理體系的管理與運(yùn)作的程序,信息安全策略,11,程序文件的內(nèi)容包括： 活動(dòng)的目的與范圍（Why）。做什么（What） 誰(shuí)來(lái)做（Who）何時(shí)（When）何地（Where） 如何做（How,程序文件應(yīng)遵循的原則： 一般不涉及純技術(shù)性的細(xì)節(jié) 針對(duì)影響信息安全的各項(xiàng)活動(dòng)目標(biāo)的執(zhí)行做出的規(guī)定 應(yīng)當(dāng)簡(jiǎn)練、明確和易懂 應(yīng)當(dāng)采用統(tǒng)一的結(jié)構(gòu)與格式編排,信息安全策略,12,2.信息安全策略的特點(diǎn),指導(dǎo)性 原

5、則性 可審核性 非技術(shù)性 現(xiàn)實(shí)可行性 動(dòng)態(tài)性 文檔化,信息安全策略,13,3.信息安全策略的地位,必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行 管理層不得允許任何違反信息安全策略的行為存在 信息安全策略必須有清晰和完全的文檔描述 需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補(bǔ)充信息安全策略,信息安全策略,14,4.功能,信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ),信息安全策略,15,信息安全策略的保護(hù)對(duì)象,信息安全策略,16,信息安全策略,網(wǎng)絡(luò)設(shè)備安全 服務(wù)器安全 信息分類 信息保密

6、用戶賬戶與口令 遠(yuǎn)程訪問(wèn),反病毒 防火墻及入侵檢測(cè) 安全事件調(diào)查與響應(yīng) 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃 風(fēng)險(xiǎn)評(píng)估 信息系統(tǒng)審計(jì),信息安全策略,17,信息安全策略的設(shè)計(jì)范圍,信息安全策略,18,信息安全策略的設(shè)計(jì)范圍,信息安全策略,19,信息安全策略的設(shè)計(jì)范圍,信息安全策略,20,安全策略的格式,1.目標(biāo) 2.范圍 3.策略內(nèi)容 4.角色責(zé)任 5.執(zhí)行紀(jì)律 6.專業(yè)術(shù)語(yǔ) 7.版本歷史,信息安全策略,21,安全策略的格式,1.目標(biāo) 建立信息系統(tǒng)安全的總體目標(biāo)，定義信息安全的管理結(jié)構(gòu)和提出對(duì)組織成員的安全要求 。 信息安全策略必須有一定的透明度并得到高層管理層的支持，這種透明度和高層支持必須在安全策略中有

7、明確和積極的反映。 信息安全策略要對(duì)所有員工強(qiáng)調(diào)“信息安全，人人有責(zé)”的原則，使員工了解自己的安全責(zé)任與義務(wù),信息安全策略,22,安全策略的格式,2.范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。在某些場(chǎng)合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點(diǎn)、各種重要裝置和大型系統(tǒng)。此外，還應(yīng)包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機(jī)等,信息安全策略,23,安全策略的格式,3.策略內(nèi)容 根據(jù)ISO17799中定義，對(duì)信息安全策略的描述應(yīng)該集中在三個(gè)方面：機(jī)密性、完整性和可用性，這三種特性是組織建立信息安全策略的出發(fā)點(diǎn)。機(jī)密性是指信息只能

8、由授權(quán)用戶訪問(wèn)，其他非授權(quán)用戶、或非授權(quán)方式不能訪問(wèn)。完整性就是保證信息必須是完整無(wú)缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改。可用性是指授權(quán)用戶在任何時(shí)候都可以訪問(wèn)其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運(yùn)行,信息安全策略,24,安全策略的格式,3.策略內(nèi)容 根據(jù)給定的環(huán)境，應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求，組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動(dòng)、信息、術(shù)語(yǔ)等方式來(lái)反映特定環(huán)境下的安全目標(biāo)， 例如，組織在維護(hù)大型但機(jī)密性要求并不高的數(shù)據(jù)庫(kù)時(shí)，其安全目標(biāo)主要是減少錯(cuò)誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對(duì)數(shù)據(jù)的機(jī)密性要求高時(shí)，安全目標(biāo)的重點(diǎn)就會(huì)轉(zhuǎn)移到防

9、止數(shù)據(jù)的非授權(quán)泄露,信息安全策略,25,安全策略的格式,4.角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計(jì)算機(jī)系統(tǒng)安全小組等。 在某些情況下，信息安全策略中要理順組織中的各種個(gè)體與團(tuán)體的關(guān)系，以避免在履行各自的責(zé)任與義務(wù)時(shí)發(fā)生沖突,信息安全策略,26,安全策略的格式,5.執(zhí)行紀(jì)律 沒(méi)有一個(gè)正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對(duì)應(yīng)的懲戒辦法。 還要考慮到有時(shí)員工

10、違反安全策略并非是有意的，有時(shí)也可能是對(duì)安全策略缺乏必要的了解造成的。對(duì)于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進(jìn)行相關(guān)安全策略介紹和安全意識(shí)教育培訓(xùn),信息安全策略,27,安全策略的格式,6.專業(yè)術(shù)語(yǔ) 對(duì)于信息安全策略中涉及的專業(yè)術(shù)語(yǔ)作必要的描述，使組織成員對(duì)策略的了解不會(huì)產(chǎn)生歧義。 7.版本歷史 對(duì)策略版本在各個(gè)階段的修訂情況作出說(shuō)明,信息安全策略,28,二、信息安全策略的制定,信息安全策略,29,1.制定信息安全策略的原則,先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ) 嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾 具體原則 起點(diǎn)進(jìn)入原則 長(zhǎng)

11、遠(yuǎn)安全預(yù)期原則 最小特權(quán)原則 公認(rèn)原則 適度復(fù)雜與經(jīng)濟(jì)原則,信息安全策略,30,2.策略的制定需要達(dá)成的目標(biāo),減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性,信息安全策略,31,3.信息安全策略的依據(jù),國(guó)家法律、法規(guī)、政策 行業(yè)規(guī)范 相關(guān)機(jī)構(gòu)的約束 機(jī)構(gòu)自身的安全需求,信息安全策略,32,制定流程,具體的制定過(guò)程如下： 確定信息安全策略的范圍 風(fēng)險(xiǎn)評(píng)估/分析或者審計(jì) 信息安全策略的審查、批準(zhǔn)和實(shí)施 具體如下,信息安全策略,33,制定流程,理解組織業(yè)務(wù)特征,充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提,對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo) 及其價(jià)值進(jìn)行分析,得到管理層

12、的明確支持與承諾,使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致； 使制定的安全方針、政策和控制措施可以在組 織的上上下下得到有效的貫徹； 可以得到有效的資源保證,信息安全策略,34,制定流程,組建安全策略制定小組,高級(jí)管理人員； 信息安全管理員； 信息安全技術(shù)人員； 負(fù)責(zé)安全策略執(zhí)行的管理人員； 用戶部門人員,確定信息安全整體目標(biāo),通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù) 性，使業(yè)務(wù)損失最小化，并為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障,信息安全策略,35,制定流程,確定安全策略范圍,組織需要根據(jù)自己的實(shí)際情況確定信息安全策略要 涉及的范圍，可以在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門 或領(lǐng)域制定信息安全策略,風(fēng)險(xiǎn)評(píng)

13、估與選擇安全控制,風(fēng)險(xiǎn)評(píng)估的結(jié)果是選擇適合組織的控制目標(biāo)與控制 方式的基礎(chǔ)，組織選擇出了適合自己安全需求的控制目 標(biāo)與控制方式后，安全策略的制定才有了最直接的依據(jù),起草擬定安全策略,安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有 涉及的內(nèi)容要說(shuō)明原因，并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和 控制來(lái)決定制訂什么樣的安全策略,信息安全策略,36,制定流程,評(píng)估安全策略,安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求? 管理層是否已批準(zhǔn)了安全策略，并明確承諾支持政策的實(shí)施? 安全策略是否損害組織、組織人員及第三方的利益? 安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施? 安全策略是否滿足組織在各個(gè)方面的安全要求

14、? 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方，并得到了 他們的同意,信息安全策略,37,制定流程,實(shí)施安全策略,把安全方針與具體安全策略編制成組織信息安全策略 手冊(cè)，然后發(fā)布到組織中的每個(gè)組織人員與相關(guān)利益方,幾乎所有層次的所有人員都會(huì)涉及到這些政策； 組織中的主要資源將被這些政策所涵蓋； 將引入許多新的條款、程序和活動(dòng)來(lái)執(zhí)行安全策略,組織所處的內(nèi)外環(huán)境在不斷變化； 信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)； 人的思想和觀念也在不斷的變化,政策的持續(xù)改進(jìn),信息安全策略,38,制定流程,信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。 在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估

15、或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。 為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。 資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作,信息安全策略,39,制定流程,在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行,信息安全策略,40,制

16、定流程,收集完上面所提到的材料后，開(kāi)始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿，并尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見(jiàn)進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會(huì)評(píng)審。 信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸,信息安全策略,41,制定流程,評(píng)審過(guò)程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安

17、全策略文檔得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的,信息安全策略,42,制定流程,一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地,信息安全策略,43,組織的安全策略,信息對(duì)組織的運(yùn)作和發(fā)展所起到的作用越來(lái)越大，信息安全問(wèn)題備受關(guān)注。信息安全是指信息的保密性、完整

18、性和可用性的保持，其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn)，保持可持續(xù)發(fā)展；另外，信息安全問(wèn)題不單純是技術(shù)問(wèn)題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術(shù)等）的一個(gè)綜合性問(wèn)題，單純從技術(shù)角度考慮是不可能得到很好解決的。 我們?cè)谶@里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī),信息安全策略,44,組織的安全策略,1.組織應(yīng)該有一個(gè)完整的信息安全策略 我們可以通過(guò)下面一個(gè)例子來(lái)理解這種情況。 某設(shè)計(jì)院有工作人員25人，每人一臺(tái)計(jì)算機(jī)，Windows 98對(duì)等網(wǎng)絡(luò)通過(guò)一臺(tái)集線器連接起來(lái)，公司沒(méi)有專門的IT管理員。公司辦公室都在二樓，

19、同一樓房?jī)?nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來(lái)人員的登記，但是他經(jīng)常分辨不清楚是不是外來(lái)人員。設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設(shè)計(jì)師，他經(jīng)常撥號(hào)到Internet訪問(wèn)一些設(shè)計(jì)方面的信息，他的計(jì)算機(jī)上還安裝了代理軟件，其他人員可以通過(guò)這個(gè)代理軟件訪問(wèn)Internet。如果該設(shè)計(jì)院的信息安全管理停留在一種放任的狀態(tài)，會(huì)發(fā)生什么問(wèn)題呢？下列情況都是有可能的,信息安全策略,45,小偷順著一樓的防護(hù)欄潛入辦公室偷走了 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計(jì)方案；錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷 某設(shè)計(jì)師張先生是公司的骨干，他嫌公司

20、提供的設(shè)計(jì)軟件版本太舊，自己安裝了盜版的新版本設(shè)計(jì)程序。盡管這個(gè)盜版程序使用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計(jì)程序，并找到一些辦法避免錯(cuò)誤發(fā)生時(shí)丟失文件,信息安全策略,46,后來(lái)張先生離開(kāi)設(shè)計(jì)院，新員工小李使用原來(lái)張先生的計(jì)算機(jī)。小李抱怨了多次計(jì)算機(jī)不正常，沒(méi)有人理會(huì)，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。 小李把自己感覺(jué)重要的文件備份到陳博士的計(jì)算機(jī)上，聽(tīng)朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝,信息安全策略,47,陳博士對(duì)張先生的不辭而別沒(méi)有思想準(zhǔn)備，甚至還沒(méi)來(lái)得及交接一下張先

21、生離開(kāi)時(shí)正負(fù)責(zé)的幾個(gè)設(shè)計(jì)項(xiàng)目。這幾天他一閑下來(lái)就整理張先生的設(shè)計(jì)方案，可是突然一天提示登錄原來(lái)張先生的那臺(tái)計(jì)算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說(shuō)自己并沒(méi)有設(shè)置密碼,信息安全策略,48,盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計(jì)算機(jī)上，可是陳博士沒(méi)有找到自己需要的文件。 大家通過(guò)陳博士的計(jì)算機(jī)訪問(wèn)Internet，收集了很多有用的資料?？墒亲罱脦着_(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒(méi)有提交的設(shè)計(jì)稿，可是員工都說(shuō)沒(méi)有發(fā)過(guò)這樣的信。,信息安全策略,49,組織的安全策略,一個(gè)正式的信息安全策略應(yīng)該包括下列信息

22、適用范圍：包括人員和時(shí)間上的范圍。 目標(biāo).例如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒、蠕蟲(chóng)、特洛伊木馬的預(yù)防、偵測(cè)和清除過(guò)程，特制定本策略”。 策略主體。 策略簽署。 策略的生效時(shí)間和有效期（或者重新評(píng)審時(shí)間,信息安全策略,50,組織的安全策略,一個(gè)正式的信息安全策略應(yīng)該包括下列信息 重新評(píng)審策略的時(shí)機(jī)。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：管理體系發(fā)生很大變化、相關(guān)法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化、組織發(fā)生了重大的安全事故。 與其他相關(guān)策略的引用關(guān)系。 策略解釋、疑問(wèn)響應(yīng)的人員或者部門。 策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項(xiàng)目也可以做

23、適當(dāng)?shù)脑鰟h。例,信息安全策略,51,組織的安全策略,信息安全策略的主體內(nèi)容 信息安全策略通常不是一篇文檔，根據(jù)組織的復(fù)雜程度還可能分成幾個(gè)層次，其主題內(nèi)容各不相同。但是每個(gè)主題的策略都應(yīng)該簡(jiǎn)潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關(guān)人員僅通過(guò)策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的，是適用于哪些信息資產(chǎn)和處理過(guò)程的,信息安全策略,52,組織的安全策略,信息安全策略的主體內(nèi)容 通常一個(gè)組織可能會(huì)考慮開(kāi)發(fā)下列主題的信息安全策略： 1.環(huán)境和設(shè)備的安全 2.信息資產(chǎn)的分級(jí)和人員責(zé)任 3.安全事故的報(bào)告與響應(yīng) 4.第三方訪問(wèn)的安全性 5.委外處理系統(tǒng)的安全 6.人員的任

24、用、培訓(xùn)和職責(zé) 7.系統(tǒng)策劃、驗(yàn)收、使用和維護(hù)的安全要求,信息安全策略,53,組織的安全策略,信息安全策略的主體內(nèi)容 8.信息與軟件交換的安全 9.計(jì)算級(jí)和網(wǎng)絡(luò)的訪問(wèn)控制和審核 10.遠(yuǎn)程工作的安全 11.加密技術(shù)控制 12.備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求 13.符合法律法規(guī)和技術(shù)指標(biāo)的要求,信息安全策略,54,組織的安全策略,要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括： 目的性：策略是為組織完成自己的使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求； 適用性：策略應(yīng)該反映組織的真實(shí)環(huán)境，反映但前信息安全的發(fā)展水平； 可行性：策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易

25、測(cè)量和審核。沒(méi)有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂； 經(jīng)濟(jì)性：策略應(yīng)該經(jīng)濟(jì)合理，過(guò)分復(fù)雜和草率都是不可取的。 完整性：能夠反映組織的所有業(yè)務(wù)流程安全需要,信息安全策略,55,組織的安全策略,要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括： 一致性：策略的一致性包括下面三個(gè)層次： 和國(guó)家、地方的法律法規(guī)保持一致 和組織已有的策略（方針）保持一致 整體安全策略保持一致，要反映企業(yè)對(duì)信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對(duì)某個(gè)人的。 彈性：策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求,信息安全策略,56,組織的安全策略,如何使信息安全策略得

26、到貫徹 信息安全策略的實(shí)施關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員。 根據(jù)信息安全策略開(kāi)發(fā)或者修改信息操作程序文件，即建立一個(gè)文件化的信息安全管理體系，在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求。 能力和意識(shí)的培訓(xùn)是一種好方法，在組織缺乏程序文件的時(shí)候作用更是不可忽略。 審核是策略得以實(shí)施的保障，組織必須有成文的審核辦法，詳細(xì)規(guī)定審核的周期和技術(shù)手段，及時(shí)發(fā)現(xiàn)問(wèn)題及時(shí)解決,信息安全策略,57,三、主要的安全策略,信息安全策略,58,網(wǎng)絡(luò)服務(wù)器口令的管理,1）服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場(chǎng)設(shè)定。 （2）服務(wù)器的口令需部門負(fù)責(zé)人在場(chǎng)時(shí)，由系統(tǒng)管理員記錄封存。 （3）

27、口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。 （4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報(bào)告部門負(fù)責(zé)人，有關(guān)部門負(fù)責(zé)人報(bào)告安全部門，同時(shí)，要盡量保護(hù)好現(xiàn)場(chǎng)并記錄，須接到上一級(jí)主管部門批示后再更換口令,信息安全策略,59,用戶口令的管理,1）對(duì)于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案。 （2）在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)管理部門提交申請(qǐng)單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對(duì)用戶檔案做更新記載。

28、（3）如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作,信息安全策略,60,防病毒策略,1）拒絕訪問(wèn)能力：來(lái)歷不明的入侵軟件不得進(jìn)入系統(tǒng)。 （2）病毒檢測(cè)能力：系統(tǒng)中應(yīng)設(shè)置檢測(cè)病毒的機(jī)制。檢測(cè)已知類病毒和未知病毒。 （3）控制病毒傳播的能力：系統(tǒng)一定要有控制病毒傳播的能力。 （4）清除能力： （5）恢復(fù)能力：提供高效的方法來(lái)恢復(fù)這些數(shù)據(jù)。 （6）替代操作：系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作,信息安全策略,61,安全教育與培訓(xùn)策略,1）主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員：重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體

29、系的構(gòu)成、安全管理部門的建立和管理制度的制定等。 （2）負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員：重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。 （3）用戶：重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等,信息安全策略,62,可接受使用策略,可接受使用策略（Acceptable Use Policy，AUP）是指這些網(wǎng)絡(luò)能夠被誰(shuí)使用的約束策略。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。許多公共網(wǎng)絡(luò)服務(wù)有一個(gè)AUP。這個(gè)AUP是一個(gè)正式的或非正式的文件，其定義了網(wǎng)絡(luò)的應(yīng)用意圖、不接受的使用和不服從的結(jié)果。一個(gè)人注冊(cè)一個(gè)基于網(wǎng)絡(luò)的服務(wù)或工作在一個(gè)社團(tuán)內(nèi)部網(wǎng)時(shí)經(jīng)常會(huì)遇到一個(gè)AUP。一個(gè)好的AUP 將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定，限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私，最好的AUPs使“what if”關(guān)一體化，其舉例說(shuō)明這個(gè)策略在現(xiàn)實(shí)世界協(xié)商中的作用,信息安全策略,63,四、信息安全策略的執(zhí)行與維護(hù),信息安全策略,64,信息安全策略的推進(jìn)手段,1）印刷日歷，強(qiáng)調(diào)每個(gè)月不同的策略，將它