第4章 安全規(guī)劃,信息安全管理,王春東,武漢大學(xué)出版社

1、第4章 安全規(guī)劃學(xué)習(xí)目標(biāo)：管理人員在信息安全政策、標(biāo)準(zhǔn)、實(shí)踐、過程及方針的發(fā)展、維護(hù)和實(shí)施中的作用。英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂的信息安全管理標(biāo)準(zhǔn)（BS 7799）。安全管理策略的制定與實(shí)施以及制定和實(shí)施安全策略時(shí)要注意的問題。機(jī)構(gòu)如何通過教育、培訓(xùn)和意識提升計(jì)劃，使它的政策、標(biāo)準(zhǔn)和實(shí)踐制度化。什么是意外事故計(jì)劃，它與事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)持續(xù)性計(jì)劃有什么關(guān)系。4.1引言 要建立信息安全計(jì)劃，應(yīng)首先建立和檢查機(jī)構(gòu)的信息安全政策和程序，然后，選擇或建立信息安全體系結(jié)構(gòu)，開發(fā)和使用詳細(xì)的信息安全藍(lán)本，為將來的成功制定計(jì)劃。機(jī)構(gòu)的信息安全藍(lán)本只有與信息安全政策相互配合，才能起作用。沒有政策、

2、藍(lán)本和計(jì)劃，機(jī)構(gòu)就不能滿足各個(gè)利益團(tuán)體的信息安全需求。在現(xiàn)代機(jī)構(gòu)中，計(jì)劃的作用無論怎樣強(qiáng)調(diào)都不過分。除了最小的機(jī)構(gòu)之外，其他機(jī)構(gòu)都承擔(dān)著制定計(jì)劃的任務(wù)：管理資源分配的策略計(jì)劃和為商業(yè)環(huán)境的不確定做準(zhǔn)備的意外事故計(jì)劃。4.2信息安全政策與程序4.2.1為什么要制定安全政策與程序在當(dāng)今快速發(fā)展的信息社會(huì)中，由信息技術(shù)支持的業(yè)務(wù)活動(dòng)在技術(shù)、環(huán)境、管理等方面的脆弱性在不斷增加，組織業(yè)務(wù)信息的安全性與業(yè)務(wù)持續(xù)性面臨著各種各樣的威脅，在保障組織正常運(yùn)營的過程中，信息安全充當(dāng)著極其重要的角色。在國內(nèi)，大部分企業(yè)對信息安全的理解還只停留在技術(shù)層面上，以為企業(yè)外部網(wǎng)建立了防火墻能防黑客，內(nèi)部網(wǎng)能殺病毒就達(dá)到安全

3、要求了。最近國內(nèi)的幾次安全事件，如亞信的電信方案被盜版，華為與美國思科及上海滬科的知識產(chǎn)權(quán)訴訟案都生動(dòng)地告訴我們，在信息安全中最活躍的因素是人，人的因素比技術(shù)因素更重要。為更有效地實(shí)施信息安全政策，需要制定詳細(xì)的執(zhí)行程序。例如，防范惡意軟件的安全政策就需要建立一套完整的防范惡意軟件的控制程序。安全程序是保障信息安全政策能有效實(shí)施的、具體化的、過程性的措施，是信息安全政策從抽象到具體，從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。4.2.2什么是信息安全政策與程序1安全政策的內(nèi)容安全政策的內(nèi)容信息安全政策從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目的就是對組

4、織中的成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任，詳細(xì)描述對員工的安全意識與技能要求，列出被組織禁止的行為。建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)信息系統(tǒng)安全對組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營的重要性。（1）安全政策涉及的問題制定政策是規(guī)范各種保護(hù)組織信息資源的安全活動(dòng)的重要一步，安全政策可以由組織中的安全負(fù)責(zé)人、業(yè)務(wù)人員、信息系統(tǒng)專家等制訂，但最終都必須由組織的高級管理人員批準(zhǔn)和發(fā)布。一個(gè)好的安全政策應(yīng)當(dāng)能解決如下所示問題：敏感信息如何被處理?如何正確地維護(hù)用

5、戶身份與口令，以及其他賬號信息?如何對潛在的安全事件、入侵企圖進(jìn)行響應(yīng)?怎樣以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?怎樣正確使用電子郵件系統(tǒng)?（2）信息安全政策的層次信息安全政策可以分為兩個(gè)層次，一個(gè)是信息安全方針，另一個(gè)是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全方針應(yīng)當(dāng)簡明、扼要，便于理解，但至少應(yīng)包括以下內(nèi)容：信息安全的定義，總體目標(biāo)、范圍，安全對信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要

6、性；信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故。具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，為保證控制措施的有效執(zhí)行而制定的明確具體的信息安全實(shí)施規(guī)則。信息安全中一般有3種政策：企業(yè)信息安全政策（Enterprise information security policy,EISP）特定問題安全政策（An issue-specific security policy,ISSP）特定系統(tǒng)政策（System-specific policies,SysSP）下面將具體介紹一下每種政策。企業(yè)信息安全政策（EISP）。企業(yè)信息安全政策（EISP）也稱為一般安全政策、IT安全政

7、策和信息安全政策。EISP基于機(jī)構(gòu)的任務(wù)、構(gòu)想和方向，并直接支持它們。EISP為所有的安全工作制定戰(zhàn)略方向、范圍以及基調(diào)。它是一個(gè)行政級別的文件，通常由機(jī)構(gòu)的首席信息官來起草，并由首席信息官協(xié)調(diào)。EISP指導(dǎo)安全計(jì)劃的發(fā)展、實(shí)施和管理。EISP一般遵循以下兩個(gè)范圍：確保滿足建立計(jì)劃的要求，并給機(jī)構(gòu)的各個(gè)部門分配職責(zé)；使用特定的處罰以及采取處罰性措施。特定問題安全政策（ISSP）：在使用特定的技術(shù)時(shí)（如電子郵件、因特網(wǎng)）所定義的可被接受的行為規(guī)則。一般而言，特定問題安全政策涉及下面的特定技術(shù)領(lǐng)域：電子郵件因特網(wǎng)的使用防御蠕蟲和病毒時(shí)計(jì)算機(jī)的最低配置禁止攻擊或者測試機(jī)構(gòu)的安全控制在家中使用公司的計(jì)

8、算機(jī)設(shè)備在公司網(wǎng)絡(luò)上使用個(gè)人設(shè)備電訊技術(shù)的使用（傳真和電話）影印設(shè)備的使用在機(jī)構(gòu)內(nèi)部制定和管理ISSP時(shí)，可以采用許多方法。最常見的是建立下列3種ISSP文件：獨(dú)立的ISSP文件，每份文件針對一個(gè)特定問題。一個(gè)包括所有問題的全面的ISSP文件。一個(gè)模塊化ISSP文檔，它統(tǒng)一了政策的制定和管理，并考慮了每個(gè)特定問題的需求。圖4-1 一個(gè)ISSP例子提綱有效電訊使用政策的思考 1政策綜述范圍和適用性使用技術(shù)的定義責(zé)任 2設(shè)備的授權(quán)訪問和使用用戶訪問合理并負(fù)責(zé)的使用隱私的保護(hù) 3設(shè)備的禁止使用破壞性的使用或者濫用與犯罪有關(guān)的使用攻擊性和擾亂性材料版權(quán)、許可，或者其他知識產(chǎn)權(quán) 4系統(tǒng)管理（1）存儲(chǔ)資料

9、的管理（2）雇主監(jiān)視（3）病毒防護(hù)（4）加密 5政策的違反（1）報(bào)告違反行為的過程（2）違反行為的懲罰 6政策檢查及修改（1）政策預(yù)定的檢查以及修改的步驟 7責(zé)任限制（1）責(zé)任或者拒絕的聲明 特定系統(tǒng)政策（SysSP）：它實(shí)際上是采用技術(shù)或管理措施來控制設(shè)備的配置。例如，訪問控制列表就是這種政策，它定義了對某個(gè)特殊設(shè)備的訪問權(quán)限。特定系統(tǒng)政策可以分成兩個(gè)普通的類別：訪問控制列表（ACL）。配置規(guī)則。配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行?；谝?guī)則的策略比ACL規(guī)定得更為詳細(xì)，并且他們可以和用戶直接交涉，也可以不和用戶直接交涉。一些安全系統(tǒng)要求特定的配置腳本

10、，這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。例如，防火墻、入侵監(jiān)測系統(tǒng)（IDSs）和代理服務(wù)器。 2安全程序的內(nèi)容安全程序的內(nèi)容程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法。程序可以形成文件，也可以不形成文件，為確保信息安全管理活動(dòng)的有效性，信息安全管理體系程序通常要求形成文件。（1）安全程序的組成信息安全管理程序包括兩部分：一是實(shí)施控制目標(biāo)與控制方式的安全控制程序（例如信息處置與儲(chǔ)存程序），另一部分是為覆蓋信息安全管理體系的管理與運(yùn)作的程序（例如：風(fēng)險(xiǎn)評估與管理程序。（2）安全程序涉及的問題程序文件的內(nèi)容通常包括：活動(dòng)的目的與范圍（Why）、做什么（What）、誰來做（Wh

11、o）、何時(shí)（When）、何地（Where）、如何做（How），應(yīng)使用什么樣的材料、設(shè)備和文件，如何對活動(dòng)進(jìn)行控制和記錄，即人們常說的“5W1H”。在編寫程序文件時(shí)，應(yīng)遵循下列原則：程序文件一般不涉及純技術(shù)性的細(xì)節(jié)，細(xì)節(jié)通常在工作指令或作業(yè)指導(dǎo)書中規(guī)定。程序文件應(yīng)簡練、明確和易懂，使其具有可操作性和可檢查性。程序文件應(yīng)具有統(tǒng)一的結(jié)構(gòu)與格式編排，便于文件的理解與使用。4.2.3安全政策與程序的格式1安全方針的格式安全方針的格式安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。例如：一個(gè)通用的方針格式，如表4-1所示。 2安全策略的格式安全策略的格式信息安全策略的

12、主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)，安全策略的格式如表4-2所示。 3程序文件的內(nèi)容與格式程序文件的內(nèi)容與格式格式示例見表4-3。4.3信息安全管理標(biāo)準(zhǔn)信息安全管理正在逐步受到安全界的重視，加強(qiáng)信息安全管理被普遍認(rèn)為是解決信息安全問題的重要途徑。但由于管理的復(fù)雜性與多樣性，信息安全管理制度的制定和實(shí)施往往與決策者的個(gè)人思路有很大關(guān)系，隨意性較強(qiáng)。信息安全管理也同樣需要一定的標(biāo)準(zhǔn)來指導(dǎo)。這就是英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂并于1999年修訂的信息安全管理標(biāo)準(zhǔn)（BS 7799）受到空前重視

13、的原因。如今BS7799的一部分已經(jīng)在2000末被采納為國際標(biāo)準(zhǔn)，以標(biāo)準(zhǔn)號ISO/IEC17799發(fā)布，全名為信息安全管理實(shí)施細(xì)則。我國很多行業(yè)已經(jīng)在參照BS7799或ISO/IEC17799制定自己的行業(yè)信息安全管理法規(guī)。1信息安全標(biāo)準(zhǔn)簡介信息安全標(biāo)準(zhǔn)簡介BS 7799主要提供了有效地實(shí)施IT安全管理的建議，介紹了安全管理的方法和程序。用戶可以參照這個(gè)完整的標(biāo)準(zhǔn)制訂出自己的安全管理計(jì)劃和實(shí)施步驟，為公司發(fā)展、實(shí)施和估量有效的安全管理實(shí)踐提供參考依據(jù)。該標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，是目前英國最暢銷的標(biāo)準(zhǔn)。BS 7799標(biāo)準(zhǔn)包括如下兩部分：BS 7799-1：1999信息安全管理實(shí)施細(xì)則

14、BS 7799-2：1999信息安全管理體系規(guī)范其中BS7799-1：1999于2000年12月通過國際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國際標(biāo)準(zhǔn)，即ISOIEC17799：2000信息技術(shù)信息安全管理實(shí)施細(xì)則。2標(biāo)準(zhǔn)的適用范圍標(biāo)準(zhǔn)的適用范圍BS 7799-1-1 在該標(biāo)準(zhǔn)中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。信息安全的涵義主要體現(xiàn)在以下三個(gè)方面： 安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護(hù)

15、信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。 雖然，實(shí)施細(xì)則中的指南內(nèi)容盡可能趨于全面，并提供一套國際現(xiàn)行的最佳慣例的安全控制，但是實(shí)施細(xì)則中的控制方法并非適合于每一種情況，也不能將當(dāng)?shù)鼗蚣夹g(shù)方面的限制考慮在內(nèi)，因此它還需指南文件加以補(bǔ)充。BS 7799-2：1999信息安全管理體系規(guī)范規(guī)定了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)組織的需要應(yīng)實(shí)施安全控制的要求。即本標(biāo)準(zhǔn)適用以下情況：組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展。作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。BS 7799-

16、2：1999明確提出安全控制要求，BS 7799-1：1999對應(yīng)給出了通用的控制方法（措施），因此可以說，BS 7799-1：1999為BS 7799-2：1999的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，一個(gè)組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。3標(biāo)準(zhǔn)的主要內(nèi)容標(biāo)準(zhǔn)的主要內(nèi)容下面主要以BS 7799：1999為例介紹標(biāo)準(zhǔn)的主要內(nèi)容。該標(biāo)準(zhǔn)主要由兩大部分組成：BS 7799-1：1999，以及BS 7799-2：1999。 （1）第一部分（BS 7799-1）簡介 信息安全管理實(shí)施細(xì)則，是作為國際信息安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC 17799基礎(chǔ)的指

17、導(dǎo)性文件，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。這一部分包括十大管理要項(xiàng)，三十六個(gè)執(zhí)行目標(biāo)，一百二十七種控制方法，如圖4-2所示。其詳細(xì)內(nèi)容如表4-4所示。 （2）第二部分（BS 7799-2）簡介信息安全管理體系規(guī)范，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤１静糠痔岢隽藨?yīng)該如何建立信息安全管理體系的步驟，如圖4-3所示： 定義信息安全策略信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模

18、較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門、員工；而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。定義ISMS的范圍ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域構(gòu)架ISMS。進(jìn)行信息安全風(fēng)險(xiǎn)評估信息安全風(fēng)險(xiǎn)評估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評估措施應(yīng)該與組織對信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)

19、；避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過采用不同的技術(shù)、更改操作流程、采用簡單的技術(shù)措施等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營，就必然存在并必須接受的風(fēng)險(xiǎn)。 然而，BS 7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個(gè)組織單位自身的實(shí)際情況相結(jié)合，構(gòu)架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS 7799在標(biāo)準(zhǔn)里描述的所有控制方式并非都適合于每種情況，它不可能將當(dāng)

20、地系統(tǒng)、環(huán)境和技術(shù)限制考慮在內(nèi)，也不可能適合一個(gè)組織中的每個(gè)潛在的用戶，因此，這個(gè)標(biāo)準(zhǔn)還需結(jié)合實(shí)際情況進(jìn)一步加以補(bǔ)充。此外，信息安全管理建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上，而風(fēng)險(xiǎn)評估本身是一個(gè)復(fù)雜的過程，不同組織面臨不同程度和不同類型的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的測度需要有效的方法支持，因此按照該標(biāo)準(zhǔn)衡量一個(gè)系統(tǒng)還需要一些相關(guān)技術(shù)的配合。4.4安全管理策略的制定與實(shí)施4.4.1安全管理策略的制定1理解組織業(yè)務(wù)特征和企業(yè)文化理解組織業(yè)務(wù)特征和企業(yè)文化充分了解組織業(yè)務(wù)特征是設(shè)計(jì)安全管理策略的前提，只有了解組織業(yè)務(wù)特征，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出合理的、與組織業(yè)務(wù)目標(biāo)相一致的安全保障措施，定義出技術(shù)

21、與管理相結(jié)合的控制方法，從而制定有效的的安全管理策略和程序。對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中，業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來，它包括信息數(shù)據(jù)、軟硬件、無形資產(chǎn)、人員及其能力等。安全風(fēng)險(xiǎn)管理理論認(rèn)為，對業(yè)務(wù)資產(chǎn)的適度保護(hù)對業(yè)務(wù)的成功至關(guān)重要。要實(shí)現(xiàn)對業(yè)務(wù)資產(chǎn)的有效保護(hù)，必須要對資產(chǎn)有很清晰的了解。對組織文化及員工狀況的了解有助于知道組織中員工的安全意識、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。2得到管理層的明確支持與承諾得到管理層的明確支持與承諾要制定一套好的安全管理策略，必須與決策層進(jìn)行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個(gè)作用，一

22、是制定的安全管理策略與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全策略時(shí)必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動(dòng)。3組建一個(gè)安全策略制定小組組建一個(gè)安全策略制定小組安全策略制定小組應(yīng)當(dāng)由以下人員組成：高級管理人員；信息安全管理人員；負(fù)責(zé)安全政策執(zhí)行的管理人員；熟悉法律事務(wù)的人員；用戶部門的人員。4確定信息安全整體目標(biāo)確定信息安全整體目標(biāo)描述信息安全宏觀需求和預(yù)期達(dá)到的目標(biāo)。一個(gè)典型的目標(biāo)是；通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè)的實(shí)現(xiàn)業(yè)務(wù)目

23、標(biāo)提供保障。5確定范圍確定范圍確定安全管理策略要涉及的范圍，組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域制定安全管理策略，這需要與組織的實(shí)施的信息安全管理體系范圍結(jié)合起來考慮。6風(fēng)險(xiǎn)評估與選擇安全控制風(fēng)險(xiǎn)評估與選擇安全控制組織信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評估工作是建立安全管理策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個(gè)過程中，風(fēng)險(xiǎn)評估工作占了很大的比例，風(fēng)險(xiǎn)評估的工作質(zhì)量直接影響安全控制的合理選擇和安全政策的完備制定；根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，在BS 7799-2附錄A中選擇適合組織的控制目標(biāo)與控制方式。組織選擇出適合自己安全需求的控制目標(biāo)與控制方式后，安全策略的制定才有了最直接的

24、依據(jù)。7起草擬訂安全策略起草擬訂安全策略根據(jù)前面風(fēng)險(xiǎn)評估與選擇安全控制的結(jié)果，起草擬訂安全策略，安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒有涉及的內(nèi)容要說明原因，根據(jù)具體的風(fēng)險(xiǎn)和控制來決定制訂什么樣的策略，表4-5給出了一些常用信息安全策略的示例。 8評估安全策略評估安全策略安全策略被制訂出來后，要進(jìn)行充分的專家評估和用戶測試，以評審安全策略的完備性、易用性，確定安全策略能否達(dá)到組織所需的安全目標(biāo)?？梢蕴岢鋈缦滤镜膯栴}：安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求？管理層是否己批準(zhǔn)了安全策略，并明確承諾支持策略的實(shí)施？安全策略是否損害了組織、員工及第三方的利益？安全策略是否實(shí)用、可操作并

25、可以在組織中全面實(shí)施？安全策略是否滿足組織在各個(gè)方面的安全要求？安全策略是否已傳達(dá)給組織中的員工與相關(guān)利益方，并得到了他們的同意？ 4.4.2安全管理策略的實(shí)施1安全策略的實(shí)施安全策略的實(shí)施安全策略通過測試評估后，需要由管理層正式批準(zhǔn)實(shí)施。可以把安全方針與具體安全策略編制成組織信息安全策略手冊，然后發(fā)布到組織中的每個(gè)員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。2策略的持續(xù)改進(jìn)策略的持續(xù)改進(jìn)安全策略制定實(shí)施后，并不能“高枕無憂”，組織要定期評審安全策略，并進(jìn)行持續(xù)改進(jìn)，因?yàn)榻M織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)，組織中的人的思想、觀念也在不斷的變化，組織要想把風(fēng)險(xiǎn)控制在

26、一個(gè)可以接受的范圍內(nèi)，使之在理論上、標(biāo)準(zhǔn)上及方法上與時(shí)俱進(jìn)。4.4.3制定和實(shí)施安全策略時(shí)要注意的問題1控制成本控制成本制定與實(shí)施信息安全策略會(huì)有一定的潛在成本，這些成本是由于在起草、評審、發(fā)布、宣傳過程中舉辦大量行政與管理活動(dòng)形成的；2在安全可靠性與業(yè)務(wù)靈活性之間進(jìn)行平衡在安全可靠性與業(yè)務(wù)靈活性之間進(jìn)行平衡實(shí)施安全控制在大多數(shù)情況下是對員工安全行為進(jìn)行約束，對員工活動(dòng)進(jìn)行限制，但安全策略的執(zhí)行不能影響的業(yè)務(wù)的正常運(yùn)行。因?yàn)檫^于嚴(yán)格的策略或要求，只會(huì)阻礙安全策略的執(zhí)行，最后大家只好敷衍了事，在安全可靠性與業(yè)務(wù)靈活性之間取得平衡。3制定合適的人力資源政策制定合適的人力資源政策通過人力資源政策，加

27、強(qiáng)對員工的安全管理，這是執(zhí)行安全策略的有效控制手段。4注重企業(yè)安全文化的建設(shè)注重企業(yè)安全文化的建設(shè)企業(yè)實(shí)施安全策略目的主要是用管理的強(qiáng)制手段約束被管理者的個(gè)性行為，使其符合管理者的需要。企業(yè)信息安全管理是通過制定法律、規(guī)范、制度、標(biāo)準(zhǔn)等，約束員工的不安全行為，同時(shí)通過宣傳教育等手段，使員工學(xué)會(huì)安全的行為，以保證組織信息資產(chǎn)目標(biāo)的實(shí)現(xiàn)。在企業(yè)中開展信息安全文化建設(shè)，不應(yīng)該把信息安全文化看作特立獨(dú)行的事務(wù)，。在企業(yè)中也許看不見聽不到“安全文化”的詞語，但在各項(xiàng)工作中處處、事事體現(xiàn)安全文化，這才是安全文化建設(shè)的實(shí)質(zhì)。4.5安全教育、培訓(xùn)和意識提升來自人員的信息安全威脅，通常是由于安全意識淡薄、對信息

28、安全方針不理解或?qū)I(yè)技能不足等原因。為確保人員意識到信息安全的威脅和隱患，并在他們正常工作時(shí)遵守組織的信息安全方針，需要組織提供必要的信息安全教育與培訓(xùn)。這種教育和培訓(xùn)有時(shí)候要擴(kuò)大到有關(guān)的第三方用戶。 4.5.1 安全教育信息安全部的一些員工可能預(yù)先并沒有信息安全的相關(guān)背景或經(jīng)驗(yàn)，當(dāng)環(huán)境允許并根據(jù)需要，可以鼓勵(lì)他們參加脫產(chǎn)的正式培訓(xùn)。信息安全培訓(xùn)項(xiàng)目必須包括：所有安全專業(yè)人員的信息安全教育需求所有信息技術(shù)專業(yè)人員的必備知識教育大量的高等教育機(jī)構(gòu)提供了信息安全的正式學(xué)習(xí)課程。不幸的是，最近一次對這些機(jī)構(gòu)的調(diào)研發(fā)現(xiàn)，大多數(shù)授予學(xué)位（博士或碩士）的高等院校中，計(jì)算機(jī)科學(xué)或信息系統(tǒng)專業(yè)實(shí)際上只包括了少

29、量信息安全方面的課程。雖然一些學(xué)位確實(shí)提供了深入和廣泛的信息安全教育，但是，將來有志于從事信息安全工作的學(xué)生必須仔細(xì)審核這些高校所提供的課程數(shù)量和課程內(nèi)容。4.5.2 安全培訓(xùn)1.培訓(xùn)范圍培訓(xùn)范圍應(yīng)定期對從事操作和維護(hù)信息系統(tǒng)的工作人員進(jìn)行培訓(xùn)，包括信息系統(tǒng)安全培訓(xùn)、政策法規(guī)的培訓(xùn)等。人員培訓(xùn)一般可分3個(gè)層次：領(lǐng)導(dǎo)層的計(jì)算機(jī)應(yīng)用管理培訓(xùn)，軟件、硬件技術(shù)人員和應(yīng)用系統(tǒng)管理人員的技術(shù)培訓(xùn)，計(jì)算機(jī)操作員的上崗培訓(xùn)。2.培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容（1）法律、制度和道德培訓(xùn) （2）規(guī)章制度的培訓(xùn) 3.培訓(xùn)技術(shù)培訓(xùn)技術(shù)對于一個(gè)成功的培訓(xùn)項(xiàng)目而言，良好的培訓(xùn)方法與培訓(xùn)內(nèi)容同等重要。 （1）傳授方式培訓(xùn)過程中傳授方式的

30、選擇并不總是以最好的培訓(xùn)效果為唯一標(biāo)準(zhǔn)。通常應(yīng)首先考慮其他因素最常見的預(yù)算、進(jìn)度表以及組織的需要，表4-6列出了最常見的傳授方式。 （2）挑選培訓(xùn)人員機(jī)構(gòu)為員工提供培訓(xùn)時(shí)，可以利用當(dāng)?shù)氐呐嘤?xùn)項(xiàng)目、繼續(xù)教育部門或者另外的對外培訓(xùn)機(jī)構(gòu)。教授有5個(gè)或更多學(xué)生的班級與給同事們提供友好忠告完全不同，前者需要雇傭有培訓(xùn)經(jīng)驗(yàn)的專家。 （3）實(shí)施培訓(xùn)根據(jù)上面討論的技術(shù)來開發(fā)自身戰(zhàn)略時(shí)，普遍采用以下7步論：第1步：確定項(xiàng)目的范圍、目的和目標(biāo)；第2步：確定培訓(xùn)；第3步：確定培訓(xùn)對象；第4步：激發(fā)管理層和員工；第5步：管理項(xiàng)目；第6步：維護(hù)項(xiàng)目；第7步：評估項(xiàng)目；確定項(xiàng)目范圍、目的和目標(biāo)。培訓(xùn)項(xiàng)目的范圍應(yīng)該是所有與

31、計(jì)算機(jī)系統(tǒng)相關(guān)的人員；除了內(nèi)容廣泛的培訓(xùn)項(xiàng)目外，還應(yīng)制定有針對性的培訓(xùn)項(xiàng)目；安全培訓(xùn)的目標(biāo)是通過提高員工的保護(hù)意識、執(zhí)行能力，增強(qiáng)對計(jì)算機(jī)的安全責(zé)任感來加強(qiáng)對計(jì)算機(jī)資源的保護(hù)。4.5.3 安全意識 安全意識指通過改變組織的觀點(diǎn)，讓他們意識到安全的重要性和沒有保證安全所帶來的不利后果，并提醒后繼者。當(dāng)開展一個(gè)新的意識提升項(xiàng)目時(shí)，有一些重要的觀念要記?。喝思饶苤圃靻栴}又能解決問題；盡量少使用技術(shù)術(shù)語，講用戶理解的語言；至少確定一個(gè)關(guān)鍵學(xué)習(xí)目標(biāo)，清楚地說明它，提供充分的細(xì)節(jié)和報(bào)道來加強(qiáng)學(xué)習(xí)；盡量使事情簡單，不要喋喋不休地向員工進(jìn)行宣傳；不要用海量信息淹沒用戶；幫助用戶明白他們在信息安全中的任務(wù)和破壞

32、安全將如何影響他們的工作；利用內(nèi)部通訊介質(zhì)來傳送消息；使意識提升項(xiàng)目正規(guī)化，策劃和記錄全部活動(dòng)；盡快提供好的信息。好的安全意識提升項(xiàng)目應(yīng)該是管理者以身作則，簡單易懂并且為之付出持續(xù)努力。（1）員工的行為和意識 安全意識培訓(xùn)可以糾正員工所有危害機(jī)構(gòu)信息安全的行為。通過教導(dǎo)員工怎樣正確地處理信息、應(yīng)用信息，能夠降低偶然損害或者信息破壞的風(fēng)險(xiǎn)性；懲罰性策略主要是想達(dá)到以下效果：員工害怕懲罰；員工認(rèn)為他們可能被抓?。粏T工認(rèn)為如果被抓住，他們將被懲罰。如果管理者不樹立一個(gè)好榜樣，安全意識培訓(xùn)活動(dòng)可能被破壞。管理者特別是上層管理者沒有遵循組織的策略將很快被所有員工的行為和活動(dòng)反映出來。舉個(gè)例子，假設(shè)一個(gè)策

33、略就是所有員工任何時(shí)間在顯眼的位置佩帶統(tǒng)一的徽章。如果一段時(shí)候后員工發(fā)現(xiàn)高級主管沒有佩戴徽章，那么逐漸就沒有人佩戴徽章，而懲罰沒有佩戴徽章員工的事也會(huì)不了了之。上層管理者對策略的破壞總是被認(rèn)為缺乏對策略的支持，因此，如果管理者期望整個(gè)組織都遵循策略，他們就必須做好榜樣。（2）員工的責(zé)任有效的意識培訓(xùn)使得員工能為他們的行為負(fù)責(zé)。在法庭上，“不知者不罪”的辯護(hù)對觸犯法律的人沒有什么幫助。全面而適當(dāng)?shù)膫鞑ゲ呗阅軌蚴箚T工順從。適當(dāng)?shù)囊庾R培訓(xùn)可使策略的傳播和實(shí)施變得更容易。明確地警告員工信息資源的處理不當(dāng)、濫用和誤用將不能被容忍，一個(gè)機(jī)構(gòu)不會(huì)保護(hù)這樣的員工從而對薄公堂時(shí)使機(jī)構(gòu)能防止被犯法的員工反咬一口。

34、（3）安全意識策略安全意識策略的本質(zhì)是：安全意識針對不同的對象能夠呈現(xiàn)出不同的形式。管理者適當(dāng)?shù)陌踩庾R能夠在建立組織安全觀念時(shí)起到關(guān)鍵的作用。（4）提高安全意識的方式許多安全意識用較低的成本就可以獲得，除了時(shí)間和精力之外，并不花費(fèi)資金，安全意識表現(xiàn)手法包括以下項(xiàng)目：通訊廣告畫和旗幟演講和會(huì)議基于電腦的培訓(xùn)錄像小冊子和飛行物小飾物（咖啡杯、鋼筆、鉛筆、T恤衫）布告牌 4.6持續(xù)性策略管理者的一個(gè)重要任務(wù)是計(jì)劃。IT和信息安全團(tuán)體的管理者通常需要提供策略計(jì)劃，以確保信息系統(tǒng)的持續(xù)可用。但對于管理者來說，發(fā)生某種形式的攻擊的可能性非常高，無論是來自內(nèi)部還是外部，蓄意還是無意，人為還是非人為，令人討

35、厭還是造成災(zāi)難。因此，機(jī)構(gòu)內(nèi)每個(gè)利益團(tuán)體的管理者都必須準(zhǔn)備好在發(fā)生成功的攻擊時(shí)采取行動(dòng)。對此類事件有許多不同的計(jì)劃：業(yè)務(wù)持續(xù)性計(jì)劃（BCP）、災(zāi)難恢復(fù)計(jì)劃（DRP）、事故響應(yīng)計(jì)劃（IRP）和應(yīng)急計(jì)劃（CP）。在某些機(jī)構(gòu)里，這些計(jì)劃也可看做一個(gè)計(jì)劃。在大型、復(fù)雜的機(jī)構(gòu)里，這些計(jì)劃表示獨(dú)立但相關(guān)的計(jì)劃功能，在范圍、應(yīng)用性和設(shè)計(jì)上不同。 應(yīng)急計(jì)劃項(xiàng)目小組所執(zhí)行的主要項(xiàng)目工作模塊如圖4-4所示。下面將對每一部分具體闡述。威脅和攻擊的識別業(yè)務(wù)單元分析成功攻擊的場景從屬計(jì)劃分類潛在破壞的評估事故計(jì)劃事故檢測事故反應(yīng)事故恢復(fù)災(zāi)難恢復(fù)計(jì)劃危機(jī)管理恢復(fù)操作建立持續(xù)性策略操作的持續(xù)性計(jì)劃持續(xù)性管理 圖4-4 應(yīng)急

36、計(jì)劃的主要步驟4.6.1 業(yè)務(wù)影響分析應(yīng)急計(jì)劃過程開發(fā)的第一階段是業(yè)務(wù)影響分析（BIA）。BIA研究和評估各種攻擊對機(jī)構(gòu)產(chǎn)生的影響。BIA在風(fēng)險(xiǎn)評估過程停止時(shí)開始。它是最初計(jì)劃階段的重要組成部分，因?yàn)樗峁┝嗣總€(gè)攻擊可能對機(jī)構(gòu)產(chǎn)生的潛在影響的詳細(xì)結(jié)果，可設(shè)計(jì)機(jī)構(gòu)為響應(yīng)攻擊而必須采取的措施，使攻擊所造成的損失達(dá)到最小，并從攻擊結(jié)果中恢復(fù)，返回到正常的操作。應(yīng)急計(jì)劃小組在下列階段進(jìn)行BIA，這些階段如圖4-4所示：威脅攻擊的識別和分級業(yè)務(wù)單元分析攻擊成功場景的開發(fā)潛在損壞的評估從屬計(jì)劃分類4.6.2 事故響應(yīng)計(jì)劃事故響應(yīng)計(jì)劃（IRP）是對事故的識別、分類和響應(yīng)。事故響應(yīng)計(jì)劃由識別事故后進(jìn)行的一系列

37、活動(dòng)組成。在制定這樣一個(gè)計(jì)劃前，應(yīng)理解什么是事故。如前所述，事故是對信息資產(chǎn)的一個(gè)攻擊，它明顯威脅著信息資源的機(jī)密性、完整性和可用性。如果發(fā)生了威脅信息的行為并且已完成，則該行為就界定為一個(gè)事故。為討論方便，具有下列特征的攻擊才界定為事故： 直接面向信息資產(chǎn)具有成功的現(xiàn)實(shí)可能性可威脅信息資源的機(jī)密性、完整性或可用性因此，事故響應(yīng)（IR）是為計(jì)劃、檢測和改正事故對信息資產(chǎn)的影響而采取的一系列行動(dòng)。防御措施是有意忽略的，因?yàn)檫@些措施是信息安全的功能，而不是事故響應(yīng)的措施。換言之，事故響應(yīng)主要是事后響應(yīng)，而不是提前防御，除非是為事故響應(yīng)小組準(zhǔn)備響應(yīng)事故而制定的計(jì)劃。事故響應(yīng)由4個(gè)階段組成，這些階段如

38、圖4-4所示：計(jì)劃檢測反應(yīng)恢復(fù)4.6.3災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃（DRP）是為災(zāi)難（自然或人為）做準(zhǔn)備和從災(zāi)難中恢復(fù)的計(jì)劃。應(yīng)急計(jì)劃小組必須區(qū)分災(zāi)難和事故，但在攻擊發(fā)生前，這是不可能區(qū)分出來的。一個(gè)事件最初歸類為事故，但后來常常判定為一個(gè)災(zāi)難。此時(shí)，機(jī)構(gòu)可以改變事故的響應(yīng)方式，采取行動(dòng)，確保價(jià)值最高的資產(chǎn)的安全，即使在短期內(nèi)被破壞的風(fēng)險(xiǎn)較大，但仍在較長時(shí)間內(nèi)保有價(jià)值。另外，災(zāi)難恢復(fù)計(jì)劃的關(guān)鍵一點(diǎn)是恢復(fù)主站點(diǎn)上的操作，使機(jī)構(gòu)運(yùn)轉(zhuǎn)起來。目標(biāo)是恢復(fù)到災(zāi)難前的狀態(tài)。1災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃類似于事故響應(yīng)計(jì)劃的結(jié)構(gòu)，對災(zāi)難事件提供詳細(xì)的指導(dǎo)。它按災(zāi)難的類型或特性進(jìn)行組織，指定了災(zāi)難期間和之后的恢復(fù)規(guī)程

39、。它也提供參與災(zāi)難恢復(fù)工作的各類人員的具體工作和責(zé)任，指出必須通知的人員和部門。災(zāi)難恢復(fù)計(jì)劃和事故響應(yīng)計(jì)劃一樣必須進(jìn)行測試，測試的機(jī)制也相同。 事故響應(yīng)中的許多措施也可應(yīng)用于災(zāi)難的恢復(fù)：必須建立清晰的優(yōu)先次序。必須清晰地指派工作和責(zé)任。必須有人啟動(dòng)警告人員過程，通知重要人員。要必須有人對災(zāi)難進(jìn)行歸檔。盡可能減輕災(zāi)難對機(jī)構(gòu)運(yùn)轉(zhuǎn)的影響。如果每個(gè)人都安全，也通知了所有需要通知的人，就應(yīng)開始保護(hù)物理資產(chǎn)。一些人負(fù)責(zé)確保所有的系統(tǒng)都安全地切斷，以免數(shù)據(jù)進(jìn)一步受損。2危機(jī)管理 災(zāi)難當(dāng)然比事故的規(guī)模更大，更難以處理，但它們的計(jì)劃過程是一樣的，在許多情況下，計(jì)劃的實(shí)施方式也類似。響應(yīng)小組應(yīng)把事故和災(zāi)難區(qū)分開。

40、事故響應(yīng)小組一般是從辦公室或家里趕到事故現(xiàn)場，第一步是實(shí)施事故響應(yīng)計(jì)劃，準(zhǔn)備做出反應(yīng)。而災(zāi)難恢復(fù)小組不必翻看標(biāo)記段，就知道他們必須要做的工作。災(zāi)難恢復(fù)人員必須在沒有任何文檔支持的情況下知道自己應(yīng)做出什么響應(yīng)。這是準(zhǔn)備、培訓(xùn)和預(yù)演才能產(chǎn)生的功效。因此，災(zāi)難恢復(fù)計(jì)劃預(yù)演現(xiàn)在和過去一樣重要。 災(zāi)難期間和之后采取的行動(dòng)稱為危機(jī)管理。危機(jī)管理與事故響應(yīng)差別很大。因?yàn)樗紫汝P(guān)注的是所涉及的人，之后才是商務(wù)。災(zāi)難恢復(fù)小組和危機(jī)管理小組必須密切合作。3恢復(fù)操作人們對災(zāi)難的反應(yīng)可能互不相同，所以不可能準(zhǔn)確描述該過程。因此，每個(gè)機(jī)構(gòu)必須在制定應(yīng)急計(jì)劃之前，研究各種方案，確定如何響應(yīng)。如果災(zāi)難之后物理設(shè)施未受到損害，災(zāi)難恢復(fù)小組就應(yīng)開始恢復(fù)系統(tǒng)和數(shù)據(jù)，重建全部操作功能。如果機(jī)構(gòu)的設(shè)備被損壞，必須采取替代措施，直到購置了新的設(shè)備為止。當(dāng)災(zāi)難威脅到機(jī)構(gòu)的正常運(yùn)轉(zhuǎn)時(shí)，災(zāi)難恢復(fù)過程就轉(zhuǎn)化成業(yè)務(wù)持續(xù)性計(jì)劃過程。4.6.4業(yè)務(wù)持續(xù)性計(jì)劃當(dāng)災(zāi)難影響到機(jī)構(gòu)的正常運(yùn)轉(zhuǎn)時(shí)，業(yè)務(wù)持續(xù)性計(jì)劃可以重建重要的業(yè)務(wù)功能。如果災(zāi)難致使業(yè)務(wù)在當(dāng)前情況下不能繼續(xù)運(yùn)轉(zhuǎn)，則必須有一個(gè)使業(yè)務(wù)繼續(xù)運(yùn)轉(zhuǎn)的計(jì)劃。不是每項(xiàng)業(yè)務(wù)都需要這樣的計(jì)劃或設(shè)備。一些公司或財(cái)政健全的機(jī)構(gòu)只是停止運(yùn)轉(zhuǎn)，直到恢復(fù)物理設(shè)備為止。但生產(chǎn)和零售等機(jī)構(gòu)不能這樣，因?yàn)樗麄円蕾囉诰唧w的商品，沒有它們就不能重新運(yùn)轉(zhuǎn)。1開發(fā)持續(xù)性程序（BCP）一旦事故響應(yīng)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃