第4章安全规划,信息安全管理,王春东,武汉大学

第4章安全规划学习目标：管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用。英国标准协会（BSI）制订的《信息安全管理标准》（BS7799）。安全管理策略的制定与实施以及制定和实施安全策略时要注意的问题。机构如何通过教育、培训和意识提升计划，使它的政策、标准和实践制度化。什么是意外事故计划，它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系。4.1引言要建立信息安全计划，应首先建立和检查机构的信息安全政策和程序，然后，选择或建立信息安全体系结构，开发和使用详细的信息安全蓝本，为将来的成功制定计划。机构的信息安全蓝本只有与信息安全政策相互配合，才能起作用。没有政策、蓝本和计划，机构就不能满足各个利益团体的信息安全需求。在现代机构中，计划的作用无论怎样强调都不过分。除了最小的机构之外，其他机构都承担着制定计划的任务：管理资源分配的策略计划和为商业环境的不确定做准备的意外事故计划。4.2信息安全政策与程序4.2.1为什么要制定安全政策与程序在当今快速发展的信息社会中，由信息技术支持的业务活动在技术、环境、管理等方面的脆弱性在不断增加，组织业务信息的安全性与业务持续性面临着各种各样的威胁，在保障组织正常运营的过程中，信息安全充当着极其重要的角色。在国内，大部分企业对信息安全的理解还只停留在技术层面上，以为企业外部网建立了防火墙能防黑客，内部网能杀病毒就达到安全要求了。最近国内的几次安全事件，如亚信的电信方案被盗版，华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们，在信息安全中最活跃的因素是人，人的因素比技术因素更重要。为更有效地实施信息安全政策，需要制定详细的执行程序。例如，防范恶意软件的安全政策就需要建立一套完整的防范恶意软件的控制程序。安全程序是保障信息安全政策能有效实施的、具体化的、过程性的措施，是信息安全政策从抽象到具体，从宏观管理层落实到具体执行层的重要一环。4.2.2什么是信息安全政策与程序1．安全政策的内容信息安全政策从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对组织中的成员阐明如何使用组织中的信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。建立了信息安全政策，就设置了组织的信息安全基础，可以使员工了解与自己相关的信息安全保护责任，强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。（1）安全政策涉及的问题制定政策是规范各种保护组织信息资源的安全活动的重要一步，安全政策可以由组织中的安全负责人、业务人员、信息系统专家等制订，但最终都必须由组织的高级管理人员批准和发布。一个好的安全政策应当能解决如下所示问题：敏感信息如何被处理?如何正确地维护用户身份与口令，以及其他账号信息?如何对潜在的安全事件、入侵企图进行响应?怎样以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统?（2）信息安全政策的层次信息安全政策可以分为两个层次，一个是信息安全方针，另一个是具体的信息安全策略。所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当简明、扼要，便于理解，但至少应包括以下内容：信息安全的定义，总体目标、范围，安全对信息共享的重要性；管理层意图、支持目标和信息安全原则的阐述；信息安全控制的简要说明，以及依从法律、法规要求对组织的重要性；信息安全管理的一般和具体责任定义，包括报告安全事故。具体的信息安全策略是在信息安全方针的框架内，根据风险评估的结果，为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。信息安全中一般有3种政策：企业信息安全政策（Enterpriseinformationsecuritypolicy,EISP）特定问题安全政策（Anissue-specificsecuritypolicy,ISSP）特定系统政策（System-specificpolicies,SysSP）下面将具体介绍一下每种政策。企业信息安全政策（EISP）。企业信息安全政策（EISP）也称为一般安全政策、IT安全政策和信息安全政策。EISP基于机构的任务、构想和方向，并直接支持它们。EISP为所有的安全工作制定战略方向、范围以及基调。它是一个行政级别的文件，通常由机构的首席信息官来起草，并由首席信息官协调。EISP指导安全计划的发展、实施和管理。EISP一般遵循以下两个范围：确保满足建立计划的要求，并给机构的各个部门分配职责；使用特定的处罚以及采取处罚性措施。特定问题安全政策（ISSP）：在使用特定的技术时（如电子邮件、因特网）所定义的可被接受的行为规则。一般而言，特定问题安全政策涉及下面的特定技术领域：电子邮件因特网的使用防御蠕虫和病毒时计算机的最低配置禁止攻击或者测试机构的安全控制在家中使用公司的计算机设备在公司网络上使用个人设备电讯技术的使用（传真和电话）影印设备的使用在机构内部制定和管理ISSP时，可以采用许多方法。最常见的是建立下列3种ISSP文件：独立的ISSP文件，每份文件针对一个特定问题。一个包括所有问题的全面的ISSP文件。一个模块化ISSP文档，它统一了政策的制定和管理，并考虑了每个特定问题的需求。图4-1一个ISSP例子提纲有效电讯使用政策的思考1．政策综述范围和适用性使用技术的定义责任2．设备的授权访问和使用用户访问合理并负责的使用隐私的保护3．设备的禁止使用破坏性的使用或者滥用与犯罪有关的使用攻击性和扰乱性材料版权、许可，或者其他知识产权4．系统管理（1）存储资料的管理（2）雇主监视（3）病毒防护（4）加密5．政策的违反（1）报告违反行为的过程（2）违反行为的惩罚6．政策检查及修改（1）政策预定的检查以及修改的步骤7．责任限制（1）责任或者拒绝的声明特定系统政策（SysSP）：它实际上是采用技术或管理措施来控制设备的配置。例如，访问控制列表就是这种政策，它定义了对某个特殊设备的访问权限。特定系统政策可以分成两个普通的类别：访问控制列表（ACL）。配置规则。配置规则是输入到安全系统的具体配置代码，在信息流经它时，该规则指导系统的执行。基于规则的策略比ACL规定得更为详细，并且他们可以和用户直接交涉，也可以不和用户直接交涉。一些安全系统要求特定的配置脚本，这些脚本告诉系统他们处理每种信息的时候，系统需要执行哪种相应操作。例如，防火墙、入侵监测系统（IDSs）和代理服务器。2．安全程序的内容程序是为进行某项活动所规定的途径或方法。程序可以形成文件，也可以不形成文件，为确保信息安全管理活动的有效性，信息安全管理体系程序通常要求形成文件。（1）安全程序的组成信息安全管理程序包括两部分：一是实施控制目标与控制方式的安全控制程序（例如信息处置与储存程序），另一部分是为覆盖信息安全管理体系的管理与运作的程序（例如：风险评估与管理程序。（2）安全程序涉及的问题程序文件的内容通常包括：活动的目的与范围（Why）、做什么（What）、谁来做（Who）、何时（When）、何地（Where）、如何做（How），应使用什么样的材料、设备和文件，如何对活动进行控制和记录，即人们常说的“5W1H”。在编写程序文件时，应遵循下列原则：程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定。程序文件应简练、明确和易懂，使其具有可操作性和可检查性。程序文件应具有统一的结构与格式编排，便于文件的理解与使用。4.2.3安全政策与程序的格式1．安全方针的格式安全方针属于高层管理文件，简要陈述信息安全宏观需求及管理承诺，应该篇幅短小，内容明确。例如：一个通用的方针格式，如表4-1所示。2．安全策略的格式信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础，安全策略的格式如表4-2所示。3．程序文件的内容与格式格式示例见表4-3。4.3信息安全管理标准信息安全管理正在逐步受到安全界的重视，加强信息安全管理被普遍认为是解决信息安全问题的重要途径。但由于管理的复杂性与多样性，信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系，随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会（BSI）制订并于1999年修订的《信息安全管理标准》（BS7799）受到空前重视的原因。如今BS7799的一部分已经在2000末被采纳为国际标准，以标准号ISO/IEC17799发布，全名为《信息安全管理实施细则》。我国很多行业已经在参照BS7799或ISO/IEC17799制定自己的行业信息安全管理法规。1．信息安全标准简介BS7799主要提供了有效地实施IT安全管理的建议，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤，为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准是由英国标准协会（BSI）制定，是目前英国最畅销的标准。BS7799标准包括如下两部分：BS7799-1：1999《信息安全管理实施细则》BS7799-2：1999《信息安全管理体系规范》其中BS7799-1：1999于2000年12月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO／IEC17799：2000信息技术信息安全管理实施细则。2．标准的适用范围BS7799-1-1在该标准中，信息安全已不只是人们传统意义上的安全，即添加防火墙或路由器等简单的设备就可保证安全，而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面：安全性：确保信息仅可让授权获取的人士访问；完整性：保护信息和处理方法的准确和完善；可用性：确保授权人需要时可以获取信息和相应的资产。虽然，实施细则中的指南内容尽可能趋于全面，并提供一套国际现行的最佳惯例的安全控制，但是实施细则中的控制方法并非适合于每一种情况，也不能将当地或技术方面的限制考虑在内，因此它还需指南文件加以补充。BS7799-2：1999《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据组织的需要应实施安全控制的要求。即本标准适用以下情况：组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展。作为寻求信息安全管理体系第三方认证的标准。BS7799-2：1999明确提出安全控制要求，BS7799-1：1999对应给出了通用的控制方法（措施），因此可以说，BS7799-1：1999为BS7799-2：1999的具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理的全部，一个组织可以根据需要考虑另外的控制目标和控制方式。3．标准的主要内容下面主要以BS7799：1999为例介绍标准的主要内容。该标准主要由两大部分组成：BS7799-1：1999，以及BS7799-2：1999。（1）第一部分（BS7799-1）简介信息安全管理实施细则，是作为国际信息安全指导标准ISO/IEC17799基础的指导性文件，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项，三十六个执行目标，一百二十七种控制方法，如图4-2所示。其详细内容如表4-4所示。（2）第二部分（BS7799-2）简介信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理系统（ISMS）的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤，如图4-3所示：定义信息安全策略信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际