《安全策略管理》PPT課件

1、第第5章章 信息安全策略管理信息安全策略管理1;.內(nèi)容提要內(nèi)容提要信息安全策略的概念信息安全策略的概念信息安全策略的層次信息安全策略的層次 信息安全策略的制定信息安全策略的制定信息安全策略的管理及相關(guān)技術(shù)信息安全策略的管理及相關(guān)技術(shù)5.1 信息安全策略的概念信息安全策略的概念n信息安全策略的概念信息安全策略的概念信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃。些信息資產(chǎn)如何被保護的一個計劃。安全策略將系統(tǒng)的狀態(tài)分為兩個集合安全策略將系統(tǒng)的狀態(tài)分為兩個集合:已授權(quán)的和未授權(quán)的。已授權(quán)的

2、和未授權(quán)的。5.1 信息安全策略的概念信息安全策略的概念n制定信息安全策略的目的制定信息安全策略的目的p如何使用組織中的信息系統(tǒng)資源如何使用組織中的信息系統(tǒng)資源p如何處理敏感信息如何處理敏感信息p如何采用安全技術(shù)產(chǎn)品如何采用安全技術(shù)產(chǎn)品信息安全策略通過為每個組織成員提供基本的原則、指南和定義，從而在組織中信息安全策略通過為每個組織成員提供基本的原則、指南和定義，從而在組織中建立一套信息資源保護標準，防止人員的不安全行為引入風險。建立一套信息資源保護標準，防止人員的不安全行為引入風險。安全策略是進一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。安全策略是進一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。5.1 信息

3、安全策略的概念信息安全策略的概念n信息安全策略能夠解決的問題信息安全策略能夠解決的問題p敏感信息如何被處理？敏感信息如何被處理？p如何正確地維護用戶身份與口令，以及其他賬號信息？如何正確地維護用戶身份與口令，以及其他賬號信息？p如何對潛在的安全事件和入侵企圖進行響應(yīng)？如何對潛在的安全事件和入侵企圖進行響應(yīng)？p如何以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接如何以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?p怎樣正確使用電子郵件系統(tǒng)？怎樣正確使用電子郵件系統(tǒng)？5.2 信息安全策略的層次信息安全策略的層次 n信息安全策略的層次信息安全策略的層次 p信息安全方針信息安全方針p具體的信息安全策略具體的信息安全策略5.

4、2.1 信息安全方針信息安全方針n信息安全方針的概念信息安全方針的概念信息安全方針就是組織的信息安全委員會或管理機構(gòu)制定的一個高層文件，是用信息安全方針就是組織的信息安全委員會或管理機構(gòu)制定的一個高層文件，是用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。n信息安全方針應(yīng)包含的內(nèi)容信息安全方針應(yīng)包含的內(nèi)容p信息安全的定義，總體目標和范圍，安全對信息共享的重要性；信息安全的定義，總體目標和范圍，安全對信息共享的重要性；p管理層意圖、支持目標和信息安全原則的闡述；管理層意圖、支持目標和信息安全原則的闡述；

5、p信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；p信息安全管理的一般和具體責任定義，包括報告安全事故等。信息安全管理的一般和具體責任定義，包括報告安全事故等。5.2.2 具體的信息安全策略具體的信息安全策略策略包含一套規(guī)則，規(guī)定了在機構(gòu)內(nèi)可接受和不可接受的行為。策略包含一套規(guī)則，規(guī)定了在機構(gòu)內(nèi)可接受和不可接受的行為。為了執(zhí)行策略，機構(gòu)必須實施一套標準，以準確定義在工作場所哪些行為是違反為了執(zhí)行策略，機構(gòu)必須實施一套標準，以準確定義在工作場所哪些行為是違反規(guī)定的，以及機構(gòu)對該行為的懲罰標準。標準是對策略的行為規(guī)則更詳細的描

6、述。規(guī)定的，以及機構(gòu)對該行為的懲罰標準。標準是對策略的行為規(guī)則更詳細的描述。在實施過程中，機構(gòu)應(yīng)當針對各種違規(guī)行為制定一套標準，并列出這些行為的詳在實施過程中，機構(gòu)應(yīng)當針對各種違規(guī)行為制定一套標準，并列出這些行為的詳細資料。實踐、過程和指導(dǎo)方針解釋了員工應(yīng)當怎樣遵守策略。細資料。實踐、過程和指導(dǎo)方針解釋了員工應(yīng)當怎樣遵守策略。5.2.2 具體的信息安全策略具體的信息安全策略n企業(yè)信息安全策略企業(yè)信息安全策略n基于問題的安全策略基于問題的安全策略n基于系統(tǒng)的安全策略基于系統(tǒng)的安全策略5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略企業(yè)信息安全策略（企業(yè)信息安全策略（ EISP）安全項目策略、總安

7、全策略、安全項目策略、總安全策略、IT 安全策略、高安全策略、高級信息安全策略，也就是為整個機構(gòu)安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)。級信息安全策略，也就是為整個機構(gòu)安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)。pEISP 為信息安全的各個領(lǐng)域分配責任，包括信息安全策略的維護、策略的實施、最為信息安全的各個領(lǐng)域分配責任，包括信息安全策略的維護、策略的實施、最終用戶的責任。終用戶的責任。 pEISP 還特別規(guī)定了信息安全項目的制定、實施和管理要求還特別規(guī)定了信息安全項目的制定、實施和管理要求 。 pEISP 是一個執(zhí)行級的文檔，是由是一個執(zhí)行級的文檔，是由 CISO 與與 CIO 磋商后起草的。通常磋商

8、后起草的。通常 2 耀耀 10 頁長，頁長，它構(gòu)成了它構(gòu)成了 IT 環(huán)境的安全理念。環(huán)境的安全理念。EISP 一般不需要做經(jīng)?；蛉粘５男薷模菣C構(gòu)的一般不需要做經(jīng)?；蛉粘５男薷?，除非機構(gòu)的戰(zhàn)略方向發(fā)生了變化。戰(zhàn)略方向發(fā)生了變化。 5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略n企業(yè)信息安全策略（企業(yè)信息安全策略（ EISP）的組成）的組成盡管各個機構(gòu)的企業(yè)信息安全策略有差別，但大多數(shù)盡管各個機構(gòu)的企業(yè)信息安全策略有差別，但大多數(shù) EISP 文檔應(yīng)該包括以下要文檔應(yīng)該包括以下要素：素： p關(guān)于企業(yè)安全理念的總體看法關(guān)于企業(yè)安全理念的總體看法p機構(gòu)的信息安全部門結(jié)構(gòu)和實施信息安全策略人員信息機

9、構(gòu)的信息安全部門結(jié)構(gòu)和實施信息安全策略人員信息p機構(gòu)所有成員共同的安全責任（員工、承包人、顧問、合伙人和訪問者）機構(gòu)所有成員共同的安全責任（員工、承包人、顧問、合伙人和訪問者）p機構(gòu)所有成員明確的、特有的安全責任機構(gòu)所有成員明確的、特有的安全責任注意：應(yīng)把機構(gòu)的任務(wù)和目標納入注意：應(yīng)把機構(gòu)的任務(wù)和目標納入 EISP 中中例：一個好的例：一個好的 EISP 的組成部分的組成部分 5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略5.2.2.2 基于問題的安全策略基于問題的安全策略基于問題的安全策略（基于問題的安全策略（ ISSP，Issue-Spec

10、ific Security Policy）提供了詳細的、目）提供了詳細的、目標明確的指南，以此來指導(dǎo)所有機構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。標明確的指南，以此來指導(dǎo)所有機構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。一個有效的一個有效的 ISSP 是各方（機構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會以是各方（機構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會以不恰當方式被使用，機構(gòu)已經(jīng)做出了極大的努力。不恰當方式被使用，機構(gòu)已經(jīng)做出了極大的努力。ISSP應(yīng)該讓機構(gòu)成員認識到，策略的目標不是為機構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)應(yīng)該讓機構(gòu)成員認識到，策略的目標不是為機構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)責任人提供法律依

11、據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達成共識。一旦達成了這個責任人提供法律依據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達成共識。一旦達成了這個共識，員工就可以不用尋求領(lǐng)導(dǎo)批準，而任意使用各種類型的技術(shù)。共識，員工就可以不用尋求領(lǐng)導(dǎo)批準，而任意使用各種類型的技術(shù)。 5.2.2.2 基于問題的安全策略基于問題的安全策略n基于問題的安全策略（基于問題的安全策略（ ISSP）應(yīng)完成的目標）應(yīng)完成的目標p明確地指出機構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。明確地指出機構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。p記錄了基于技術(shù)的系統(tǒng)的控制過程，并確定這個控制過程和相關(guān)的負責機構(gòu)。記錄了基于技術(shù)的系統(tǒng)的控制過程，并

12、確定這個控制過程和相關(guān)的負責機構(gòu)。p當機構(gòu)的員工由于使用不當，或者非法操作系統(tǒng)而造成了損失，它可以保護機構(gòu)不當機構(gòu)的員工由于使用不當，或者非法操作系統(tǒng)而造成了損失，它可以保護機構(gòu)不承擔該責任。承擔該責任。nISSP 的特性的特性 p它是針對特定的、基于技術(shù)的系統(tǒng)它是針對特定的、基于技術(shù)的系統(tǒng)p它要求不斷地升級它要求不斷地升級p它包含一個問題陳述，解釋了機構(gòu)對特定問題的態(tài)度它包含一個問題陳述，解釋了機構(gòu)對特定問題的態(tài)度5.2.2.2 基于問題的安全策略基于問題的安全策略n基于問題的安全策略（基于問題的安全策略（ ISSP）的組成）的組成p目標聲明目標聲明p授權(quán)訪問和設(shè)備的使用授權(quán)訪問和設(shè)備的使用

13、p設(shè)備的禁止使用設(shè)備的禁止使用p系統(tǒng)管理系統(tǒng)管理p違反策略違反策略p策略檢查和修改策略檢查和修改p責任的限制責任的限制5.2.2.2.1 ISSP 的組成的組成n目標聲明目標聲明概括策略的范圍和適用性，用于解決以下問題：概括策略的范圍和適用性，用于解決以下問題：p這個策略服務(wù)于什么目標？這個策略服務(wù)于什么目標？p由誰來負責實施策略？由誰來負責實施策略？p策略文檔涉及到哪些技術(shù)問題？策略文檔涉及到哪些技術(shù)問題？n授權(quán)訪問和設(shè)備的使用授權(quán)訪問和設(shè)備的使用 解釋了誰可以使用策略所規(guī)定的技術(shù)，用于什么目的。該部分規(guī)定了以解釋了誰可以使用策略所規(guī)定的技術(shù)，用于什么目的。該部分規(guī)定了以“公正公正和負責任的

14、使用和負責任的使用”方式使用設(shè)備和機構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問題，例方式使用設(shè)備和機構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問題，例如個人信息和隱私的保護。如個人信息和隱私的保護。 注意：機構(gòu)的信息系統(tǒng)是該機構(gòu)的專有財產(chǎn)，用戶并沒有特殊的使用權(quán)。注意：機構(gòu)的信息系統(tǒng)是該機構(gòu)的專有財產(chǎn)，用戶并沒有特殊的使用權(quán)。 5.2.2.2.1 ISSP 的組成的組成n設(shè)備的禁止使用設(shè)備的禁止使用 闡述了設(shè)備禁止使用的范圍，如：私人使用、破壞性使用或者誤用、冒犯或者闡述了設(shè)備禁止使用的范圍，如：私人使用、破壞性使用或者誤用、冒犯或者侵擾的材料，以及侵犯版權(quán)、未經(jīng)批準的東西和其他涉及知識產(chǎn)權(quán)的活動。侵擾的材料，

15、以及侵犯版權(quán)、未經(jīng)批準的東西和其他涉及知識產(chǎn)權(quán)的活動。注意：一個機構(gòu)可以靈活地組合授權(quán)訪問、設(shè)備的使用和設(shè)備的禁止使用，形成注意：一個機構(gòu)可以靈活地組合授權(quán)訪問、設(shè)備的使用和設(shè)備的禁止使用，形成“恰當恰當?shù)氖褂貌呗缘氖褂貌呗浴薄?n系統(tǒng)管理系統(tǒng)管理 指定用戶和系統(tǒng)管理員的責任，以便讓各方都知道他們應(yīng)該負責什么。指定用戶和系統(tǒng)管理員的責任，以便讓各方都知道他們應(yīng)該負責什么。 一家公司可能希望發(fā)布具體的規(guī)則來指導(dǎo)員工如何使用電子郵件和電子文檔、一家公司可能希望發(fā)布具體的規(guī)則來指導(dǎo)員工如何使用電子郵件和電子文檔、如何存儲電子文檔、授權(quán)雇主如何監(jiān)控，以及如何保護電子郵件和其他電子文檔的如何存儲電子文檔

16、、授權(quán)雇主如何監(jiān)控，以及如何保護電子郵件和其他電子文檔的物理和電子安全。物理和電子安全。 5.2.2.2.1 ISSP 的組成的組成n違反策略違反策略 規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對每種違規(guī)類型而設(shè)計；規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對每種違規(guī)類型而設(shè)計；這部分也應(yīng)該提供針對怎樣報告已觀察到的或可疑的違規(guī)行為這部分也應(yīng)該提供針對怎樣報告已觀察到的或可疑的違規(guī)行為 。 n策略檢查和修改策略檢查和修改 明確明確ISSP 的具體檢查和修改方法，以便保證用戶手上總是有反映機構(gòu)當前技的具體檢查和修改方法，以便保證用戶手上總是有反映機構(gòu)當前技術(shù)和需求的指導(dǎo)方針。術(shù)和

17、需求的指導(dǎo)方針。 n責任的限制責任的限制 對一系列的對一系列的“拒絕承擔責任聲明拒絕承擔責任聲明”做了概要說明做了概要說明 ，如果員工使用公司的技術(shù)時，如果員工使用公司的技術(shù)時，違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將不會保護他們，并且不會為他們的行為負責。不會保護他們，并且不會為他們的行為負責。 5.2.2.2.2 ISSP 的制定和管理的制定和管理 制定和管理制定和管理 ISSP 的方法有很多種，常見的有的方法有很多種，常見的有3 種：種：n創(chuàng)建一定數(shù)量獨立的創(chuàng)建一定數(shù)量獨立的 ISSP

18、 文檔，每個策略文檔都對應(yīng)一個具體的問題。文檔，每個策略文檔都對應(yīng)一個具體的問題。n只創(chuàng)建一個綜合的文檔，該文檔旨在覆蓋所有的問題。只創(chuàng)建一個綜合的文檔，該文檔旨在覆蓋所有的問題。n創(chuàng)建一個創(chuàng)建一個 ISSP 文檔的模板，當維護每一個具體問題需求的時，可以按這個模板創(chuàng)建和文檔的模板，當維護每一個具體問題需求的時，可以按這個模板創(chuàng)建和管理統(tǒng)一的策略。管理統(tǒng)一的策略。5.2.2.2.2 ISSP 的制定和管理的制定和管理 3 種方法的優(yōu)點和缺點種方法的優(yōu)點和缺點 ：5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs，System-Specific Policy

19、）是采用技術(shù)或管理措施來）是采用技術(shù)或管理措施來控制設(shè)備的配置，在配置和維護系統(tǒng)時起到標準和過程指導(dǎo)的作用?？刂圃O(shè)備的配置，在配置和維護系統(tǒng)時起到標準和過程指導(dǎo)的作用。例如，例如， SysSPs可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目標聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問控制列表（為每個授權(quán)用戶標聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問控制列表（為每個授權(quán)用戶定義訪問級別）。定義訪問級別）。nSysSPs的組成的組成p管理指南管理指南p技術(shù)規(guī)范技術(shù)規(guī)范5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略

20、n基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs）管理指南）管理指南 SysSPs管理指南由管理層制定，用來指導(dǎo)技術(shù)的實現(xiàn)和配置，該指南還規(guī)定了機管理指南由管理層制定，用來指導(dǎo)技術(shù)的實現(xiàn)和配置，該指南還規(guī)定了機構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。 例如，一個機構(gòu)可能不希望它的員工利用機構(gòu)的網(wǎng)絡(luò)訪問因特網(wǎng)；在這種情況下，例如，一個機構(gòu)可能不希望它的員工利用機構(gòu)的網(wǎng)絡(luò)訪問因特網(wǎng)；在這種情況下，應(yīng)該按照這種規(guī)則配置防火墻。應(yīng)該按照這種規(guī)則配置防火墻?；谙到y(tǒng)的策略可以和基于問題的安全策略（基于系統(tǒng)的策略可以和基于問題的安全策略（ ISSP）同時制定，或者在相關(guān)的）同時制

21、定，或者在相關(guān)的 ISSPs制定之前準備。制定之前準備。 5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略n基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs）技術(shù)規(guī)范）技術(shù)規(guī)范 有兩種方法實現(xiàn)這種技術(shù)控制：訪問控制列表和配置規(guī)則。有兩種方法實現(xiàn)這種技術(shù)控制：訪問控制列表和配置規(guī)則。 p訪問控制列表訪問控制列表訪問控制列表（訪問控制列表（ACLs）包括用戶訪問列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和）包括用戶訪問列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和特權(quán)。特權(quán)。ACLs控制了對文檔存儲系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問?？刂屏藢ξ臋n存儲系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問。一個權(quán)限列表詳細規(guī)

22、定了哪些設(shè)備用戶或組可以訪問。權(quán)限規(guī)定常常采用復(fù)雜矩陣的一個權(quán)限列表詳細規(guī)定了哪些設(shè)備用戶或組可以訪問。權(quán)限規(guī)定常常采用復(fù)雜矩陣的形式，而不是簡單的列表。形式，而不是簡單的列表。NT/2000 把把 ACLs轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個配置單元可以控制系統(tǒng)訪轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個配置單元可以控制系統(tǒng)訪問。問。 5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略p訪問控制列表訪問控制列表訪問控制列表（訪問控制列表（ACLs）使管理員能夠根據(jù)用戶、計算機、訪問時間、甚至特殊的）使管理員能夠根據(jù)用戶、計算機、訪問時間、甚至特殊的文檔來限制對系統(tǒng)的訪問。一般說來，文檔來限制對系統(tǒng)的訪問

23、。一般說來，ACLs規(guī)定以下幾個方面：規(guī)定以下幾個方面： 誰可以使用系統(tǒng)誰可以使用系統(tǒng)授權(quán)用戶可以訪問什么授權(quán)用戶可以訪問什么授權(quán)用戶在何時可以訪問系統(tǒng)授權(quán)用戶在何時可以訪問系統(tǒng)授權(quán)用戶在何地可以訪問系統(tǒng)授權(quán)用戶在何地可以訪問系統(tǒng) 授權(quán)用戶怎樣訪問系統(tǒng)授權(quán)用戶怎樣訪問系統(tǒng)5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略p配置規(guī)則配置規(guī)則配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行。行。 基于規(guī)則的策略比基于規(guī)則的策略比 ACLs規(guī)定得更為詳細，一些安全系統(tǒng)要求特定的配置腳本，這些規(guī)定得更為詳細

24、，一些安全系統(tǒng)要求特定的配置腳本，這些腳本告訴系統(tǒng)他們處理每種信息的時候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。（如：防火墻配置規(guī)腳本告訴系統(tǒng)他們處理每種信息的時候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。（如：防火墻配置規(guī)則、則、IDS配置規(guī)則）配置規(guī)則）p組合組合 SysSPs許多機構(gòu)選擇創(chuàng)建單一的文檔，該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來。如果采許多機構(gòu)選擇創(chuàng)建單一的文檔，該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來。如果采用此方法，就應(yīng)當注意要仔細清楚地表述操作過程所要求的執(zhí)行步驟。用此方法，就應(yīng)當注意要仔細清楚地表述操作過程所要求的執(zhí)行步驟。 5.3 信息安全策略的制定信息安全策略的制定n安全策略的制定原則安全策

25、略的制定原則p起點進入原則：在系統(tǒng)建設(shè)一開始就考慮安全策略問題。起點進入原則：在系統(tǒng)建設(shè)一開始就考慮安全策略問題。p長遠安全預(yù)期原則：對安全需求作總體設(shè)計和長遠打算。長遠安全預(yù)期原則：對安全需求作總體設(shè)計和長遠打算。p最小特權(quán)原則：不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限。最小特權(quán)原則：不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限。p公認原則：參考通用的安全措施，做出自己的決策。公認原則：參考通用的安全措施，做出自己的決策。p適度復(fù)雜與經(jīng)濟原則適度復(fù)雜與經(jīng)濟原則p策略不能與法律相沖突策略不能與法律相沖突 p策略必須被恰當?shù)刂С趾凸芾聿呗员仨毐磺‘數(shù)刂С趾凸芾?.3.1 信息安全策略的制定過程信息安全策

26、略的制定過程n理解組織業(yè)務(wù)特征理解組織業(yè)務(wù)特征充分了解組織業(yè)務(wù)特征是設(shè)計信息安全策略的前提；充分了解組織業(yè)務(wù)特征是設(shè)計信息安全策略的前提； 對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標及其價值進行分析。對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標及其價值進行分析。n得到管理層的明確支持與承諾得到管理層的明確支持與承諾p使制定的信息安全策略與組織的業(yè)務(wù)目標一致；使制定的信息安全策略與組織的業(yè)務(wù)目標一致；p使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；p可以得到有效的資源保證?？梢缘玫接行У馁Y源保證。5.3.

27、1 信息安全策略的制定過程信息安全策略的制定過程n組建安全策略制定小組組建安全策略制定小組小組成員的多少視安全策略的規(guī)模與范圍大小而定，一般有以下人員組成：小組成員的多少視安全策略的規(guī)模與范圍大小而定，一般有以下人員組成：p高級管理人員；高級管理人員；p信息安全管理員；信息安全管理員；p信息安全技術(shù)人員；信息安全技術(shù)人員；p負責安全策略執(zhí)行的管理人員；負責安全策略執(zhí)行的管理人員；p用戶部門人員。用戶部門人員。n確定信息安全整體目標確定信息安全整體目標 通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為業(yè)務(wù)

28、目標的實現(xiàn)提供保障。業(yè)務(wù)目標的實現(xiàn)提供保障。5.3.1 信息安全策略的制定過程信息安全策略的制定過程n起草擬定安全策略起草擬定安全策略安全策略要盡可能地涵蓋所有的風險和控制，沒有涉及的內(nèi)容要說明原因，并闡安全策略要盡可能地涵蓋所有的風險和控制，沒有涉及的內(nèi)容要說明原因，并闡述如何根據(jù)具體的風險和控制來決定制訂什么樣的安全策略。述如何根據(jù)具體的風險和控制來決定制訂什么樣的安全策略。n評估安全策略評估安全策略安全策略制定完成后，要進行充分的評估和測試，評估時可以考慮如下問題：安全策略制定完成后，要進行充分的評估和測試，評估時可以考慮如下問題：p安全策略是否符合法津、法規(guī)、技術(shù)標準及合同的要求安全策

29、略是否符合法津、法規(guī)、技術(shù)標準及合同的要求?p管理層是否已批準了安全策略，并明確承諾支持政策的實施管理層是否已批準了安全策略，并明確承諾支持政策的實施?p安全策略是否損害組織、組織人員及第三方的利益安全策略是否損害組織、組織人員及第三方的利益?p安全策略是否實用、可操作并可以在組織中全面實施安全策略是否實用、可操作并可以在組織中全面實施?p安全策略是否滿足組織在各個方面的安全要求安全策略是否滿足組織在各個方面的安全要求?p安全策略是否已傳達給組織中的人員與相關(guān)利益方，并得到了他們的同意？安全策略是否已傳達給組織中的人員與相關(guān)利益方，并得到了他們的同意？5.3.1 信息安全策略的制定過程信息安全

30、策略的制定過程n實施安全策略實施安全策略把安全方針與具體安全策略編制成組織信息安全策略手冊，然后發(fā)布到組織中的把安全方針與具體安全策略編制成組織信息安全策略手冊，然后發(fā)布到組織中的每個組織人員與相關(guān)利益方。每個組織人員與相關(guān)利益方。p幾乎所有層次的所有人員都會涉及到這些政策；幾乎所有層次的所有人員都會涉及到這些政策；p組織中的主要資源將被這些政策所涵蓋；組織中的主要資源將被這些政策所涵蓋；p將引入許多新的條款、程序和活動來執(zhí)行安全策略。將引入許多新的條款、程序和活動來執(zhí)行安全策略。n政策的持續(xù)改進政策的持續(xù)改進p組織所處的內(nèi)外環(huán)境在不斷變化；組織所處的內(nèi)外環(huán)境在不斷變化；p信息資產(chǎn)所面臨的風險也是一個變數(shù)；信息資產(chǎn)所面臨的風險也是一個變數(shù)；p人的思想和觀念也在不斷的變化。人的思想和觀念也在不斷的變化。5.4 信息安全策略管理及相關(guān)技術(shù)信息安全策略管理及相關(guān)技術(shù)n安全策略管理辦法安全策略管理辦法p集中式管理集中式管理集中式管理就是在整個網(wǎng)絡(luò)系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對集中式管理就是在整個網(wǎng)絡(luò)系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對信息資源和信息系統(tǒng)使用權(quán)限進行計劃和分配。信息資源和信息系統(tǒng)使用權(quán)限進行計劃和分配。p分布式管理分布式管理分布式管理就是將信息系統(tǒng)資源按照不同的類別進行劃分，然后根據(jù)資源類型的分布式管理就是將信息系統(tǒng)