信息安全策略及实施方法

1信息安全策略及实施方法2目录信息安全策略概述信息安全策略的制定主要的安全策略信息安全策略的执行与维护3一、信息安全策略概述41.信息安全策略的定义•计算机安全研究组织SANS：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。•一组规则，这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。•信息安全策略是一个组织关于信息安全的基本指导规则。•信息安全策略提供：信息保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故的处理5安全策略的引入信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。安全策略是进一步制定控制规则和安全程序的必要基础。安全策略本质上是非形式化的,也可以是高度数学化的。安全策略将系统的状态分为两个集合:已授权的和未授权的。61.1安全策略的引入制定信息安全策略的目的：如何使用组织中的信息系统资源；如何处理敏感信息；如何采用安全技术产品。71.1安全策略的引入安全策略涉及的问题：敏感信息如何被处理？如何正确地维护用户身份与口令，以及其他账号信息？如何对潜在的安全事件和入侵企图进行响应？如何以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统？8安全策略保密性策略可用性策略完整性策略安全策略的层次信息安全方针具体的信息安全策略9信息安全方针•信息安全方针就是组织的信息安全委员会或管理机构•制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。–信息安全的定义，总体目标和范围，安全对信息共享–的重要性；–管理层意图、支持目标和信息安全原则的阐述；–信息安全控制的简要说明，以及依从法律法规要求对–组织的重要性；–信息安全管理的一般和具体责任定义，包括报告安全–事故等。10安全程序•安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施，是信息安全策略从抽象到具体，从宏观管理层落实到具体执行层的重要一环。•程序是为进行某项活动所规定的途径或方法。•信息安全管理程序包括：实施控制目标与控制方式的安全控制程序；为覆盖信息安全管理体系的管理与运作的程序11程序文件的内容包括：活动的目的与范围（Why）。做什么（What）谁来做（Who）何时（When）何地（Where）如何做（How）程序文件应遵循的原则：一般不涉及纯技术性的细节针对影响信息安全的各项活动目标的执行做出的规定应当简练、明确和易懂应当采用统一的结构与格式编排122.信息安全策略的特点•指导性•原则性•可审核性•非技术性•现实可行性•动态性•文档化133.信息安全策略的地位•必须有相应的措施保证信息安全策略得到强制执行•管理层不得允许任何违反信息安全策略的行为存在•信息安全策略必须有清晰和完全的文档描述•需要根据业务情况的变化不断的修改和补充信息安全策略144.功能•信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。15信息安全策略的保护对象硬件与软件硬件和软件是支持商业运作进行的平台，它们应该受策略所保护。所以，拥有一份完整的系统软、硬件清单是非常重要的，并且包括网络结构图。数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构，不论从事什么工作，都在收集和使用数据。人员首先，重点应该放在谁在什么情况下能够访问资源。接下来要考虑的就是强制执行制度和对未授权访问的惩罚制度。16信息安全策略•网络设备安全•服务器安全•信息分类•信息保密•用户账户与口令•远程访问•反病毒•防火墙及入侵检测•安全事件调查与响应•灾难恢复与业务持续性计划•风险评估•信息系统审计17信息安全策略的设计范围物理安全策略物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。网络安全策略网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。数据加密策略数据加密策略包括加密算法、适用范围、密钥交换和管理等。数据备份策略数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。病毒防护策略病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。18信息安全策略的设计范围系统安全策略系统安全策略包括访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。身份认证及授权策略身份认证及授权策略包括认证及授权机制、方式、审计记录等。灾难恢复策略灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。事故处理、紧急响应策略事故处理、紧急响应策略包括响应小组、联系方式、事故处理计划、控制过程等。安全教育策略安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识的教育等。19信息安全策略的设计范围口令管理策略口令管理策略包括口令管理方式、口令设置规则、口令适应规则等。补丁管理策略补丁管理策略包括系统补丁的更新、测试、安装等。系统变更控制策略系统变更控制策略包括设备、软件配置、控制措施、数据变更管理、一致性管理等。商业伙伴、客户关系策略商业伙伴、客户关系策略包括合同条款安全策略、客户服务安全建议等。复查审计策略复查审计策略包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。20安全策略的格式•1.目标•2.范围•3.策略内容•4.角色责任•5.执行纪律•6.专业术语•7.版本历史21安全策略的格式•1.目标•建立信息系统安全的总体目标，定义信息安全的管理结构和提出对组织成员的安全要求。•信息安全策略必须有一定的透明度并得到高层管理层的支持，这种透明度和高层支持必须在安全策略中有明确和积极的反映。•信息安全策略要对所有员工强调“信息安全，人人有责”的原则，使员工了解自己的安全责任与义务。22安全策略的格式•2.范围•信息安全策略应当有足够的范围广度，包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下，安全可以定义特殊的资产，比如：组织的主站点、各种重要装置和大型系统。此外，还应包括组织所有信息资源类型的综述，例如，工作站、局域网、单机等。23安全策略的格式•3.策略内容•根据ISO17799中定义，对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性，这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的，信息不能被丢失、损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。24安全策略的格式•3.策略内容•根据给定的环境，应当给员工明确描述与这些特性相关的信息安全要求，组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标，•例如，组织在维护大型但机密性要求并不高的数据库时，其安全目标主要是减少错误、数据丢失或数据破坏；如果组织对数据的机密性要求高时，安全目标的重点就会转移到防止数据的非授权泄露。25安全策略的格式•4.角色责任•信息安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义各种角色并分配责任，明确要求，比如：部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。•在某些情况下，信息安全策略中要理顺组织中的各种个体与团体的关系，以避免在履行各自的责任与义务时发生冲突。26安全策略的格式•5.执行纪律•没有一个正式的、文件化的安全策略，管理层不可能制定出惩戒执行标准与机制，信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。•还要考虑到有时员工违反安全策略并非是有意的，有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况，信息安全策略要预先采取措施，在合理的期限内，进行相关安全策略介绍和安全意识教育培训。27安全策略的格式•6.专业术语•对于信息安全策略中涉及的专业术语作必要的描述，使组织成员对策略的了解不会产生歧义。•7.版本历史•对策略版本在各个阶段的修订情况作出说明28二、信息安全策略的制定291.制定信息安全策略的原则•①先进的网络安全技术是网络安全的根本保证•②严格的安全管理是确保信息安全策略落实的基础•③严格的法律、法规是网络安全保障的坚强后盾•具体原则•起点进入原则•长远安全预期原则•最小特权原则•公认原则•适度复杂与经济原则302.策略的制定需要达成的目标•减少风险，遵从法律和规则，确保组织运作的连续性、信息完整性和机密性。313.信息安全策略的依据•①国家法律、法规、政策•②行业规范•③相关机构的约束•④机构自身的安全需求32制定流程•具体的制定过程如下：•①确定信息安全策略的范围•②风险评估/分析或者审计•③信息安全策略的审查、批准和实施•具体如下33制定流程理解组织业务特征充分了解组织业务特征是设计信息安全策略的前提；对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析。得到管理层的明确支持与承诺•使制定的信息安全策略与组织的业务目标一致；•使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻；•可以得到有效的资源保证。34制定流程组建安全策略制定小组高级管理人员；信息安全管理员；信息安全技术人员；负责安全策略执行的管理人员；用户部门人员。确定信息安全整体目标通过防止和最小化安全事故的影响，保证业务持续性，使业务损失最小化，并为业务目标的实现提供保障。35制定流程确定安全策略范围组织需要根据自己的实际情况确定信息安全策略要涉及的范围，可以在整个组织范围内、或者在个别部门或领域制定信息安全策略。风险评估与选择安全控制风险评估的结果是选择适合组织的控制目标与控制方式的基础，组织选择出了适合自己安全需求的控制目标与控制方式后，安全策略的制定才有了最直接的依据。起草拟定安全策略安全策略要尽可能地涵盖所有的风险和控制，没有涉及的内容要说明原因，并阐述如何根据具体的风险和控制来决定制订什么样的安全策略。36制定流程评估安全策略安全策略是否符合法津、法规、技术标准及合同的要求?管理层是否已批准了安全策略，并明确承诺支持政策的实施?安全策略是否损害组织、组织人员及第三方的利益?安全策略是否实用、可操作并可以在组织中全面实施?安全策略是否满足组织在各个方面的安全要求?安全策略是否已传达给组织中的人员与相关利益方，并得到了他们的同意？37制定流程实施安全策略把安全方针与具体安全策略编制成组织信息安全策略手册，然后发布到组织中的每个组织人员与相关利益方。几乎所有层次的所有人员都会涉及到这些政策；组织中的主要资源将被这些政策所涵盖；将引入许多新的条款、程序和活动来执行安全策略。组织所处的内外环境在不断变化；信息资产所面临的风险也是一个变数；人的思想和观念也在不断的变化。政策的持续改进38制定流程•信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。•在制定一整套信息安全策略时，应当参考一份近期的风险评估或信息审计，以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结，也是一份有价值的资料。•为了确定哪些部分需要进一步注意，应收集组织当前所有相关的策略文件。也可以参考国际标准、行业标准来获得指导。资料收集阶段的工作非常重要，很多时候因为工作量和实施难度被简化操作。39制定流程•在制定策略之前，对现状进行彻底调研的另一个作用是