《安全策略管理》PPT课件.ppt

第5章 信息安全策略管理,内容提要,信息安全策略的概念 信息安全策略的层次 信息安全策略的制定 信息安全策略的管理及相关技术,5.1 信息安全策略的概念,信息安全策略的概念 信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。 安全策略将系统的状态分为两个集合: 已授权的和未授权的。,5.1 信息安全策略的概念,制定信息安全策略的目的 如何使用组织中的信息系统资源 如何处理敏感信息 如何采用安全技术产品 信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中建立一套信息资源保护标准，防止人员的不安全行为引入风险。 安全策略是进一步制定控制规则和安全程序的必要基础。,5.1 信息安全策略的概念,信息安全策略能够解决的问题 敏感信息如何被处理？ 如何正确地维护用户身份与口令，以及其他账号信息？ 如何对潜在的安全事件和入侵企图进行响应？ 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统？,5.2 信息安全策略的层次,信息安全策略的层次 信息安全方针 具体的信息安全策略,5.2.1 信息安全方针,信息安全方针的概念 信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。 信息安全方针应包含的内容 信息安全的定义，总体目标和范围，安全对信息共享的重要性； 管理层意图、支持目标和信息安全原则的阐述； 信息安全控制的简要说明，以及依从法律法规要求对组织的重要性； 信息安全管理的一般和具体责任定义，包括报告安全事故等。,5.2.2 具体的信息安全策略,策略包含一套规则，规定了在机构内可接受和不可接受的行为。 为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。 在实施过程中，机构应当针对各种违规行为制定一套标准，并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。,5.2.2 具体的信息安全策略,企业信息安全策略 基于问题的安全策略 基于系统的安全策略,5.2.2.1 企业信息安全策略,企业信息安全策略（ EISP）安全项目策略、总安全策略、IT 安全策略、高级信息安全策略，也就是为整个机构安全工作制定战略方向、范围和策略基调。 EISP 为信息安全的各个领域分配责任，包括信息安全策略的维护、策略的实施、最终用户的责任。 EISP 还特别规定了信息安全项目的制定、实施和管理要求 。 EISP 是一个执行级的文档，是由 CISO 与 CIO 磋商后起草的。通常 2 耀 10 页长，它构成了 IT 环境的安全理念。EISP 一般不需要做经常或日常的修改，除非机构的战略方向发生了变化。,5.2.2.1 企业信息安全策略,企业信息安全策略（ EISP）的组成 尽管各个机构的企业信息安全策略有差别，但大多数 EISP 文档应该包括以下要素： 关于企业安全理念的总体看法 机构的信息安全部门结构和实施信息安全策略人员信息 机构所有成员共同的安全责任（员工、承包人、顾问、合伙人和访问者） 机构所有成员明确的、特有的安全责任 注意：应把机构的任务和目标纳入 EISP 中 例：一个好的 EISP 的组成部分,5.2.2.1 企业信息安全策略,5.2.2.1 企业信息安全策略,5.2.2.2 基于问题的安全策略,基于问题的安全策略（ ISSP，Issue-Specific Security Policy）提供了详细的、目标明确的指南，以此来指导所有机构成员如何使用基于技术的系统。 一个有效的 ISSP 是各方（机构和成员）之间的协议，并且显示，为了保障技术不会以不恰当方式被使用，机构已经做出了极大的努力。 ISSP应该让机构成员认识到，策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据，而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识，员工就可以不用寻求领导批准，而任意使用各种类型的技术。,5.2.2.2 基于问题的安全策略,基于问题的安全策略（ ISSP）应完成的目标 明确地指出机构期望其员工如何使用基于技术的系统。 记录了基于技术的系统的控制过程，并确定这个控制过程和相关的负责机构。 当机构的员工由于使用不当，或者非法操作系统而造成了损失，它可以保护机构不承担该责任。 ISSP 的特性 它是针对特定的、基于技术的系统 它要求不断地升级 它包含一个问题陈述，解释了机构对特定问题的态度,5.2.2.2 基于问题的安全策略,基于问题的安全策略（ ISSP）的组成 目标声明 授权访问和设备的使用 设备的禁止使用 系统管理 违反策略 策略检查和修改 责任的限制,5.2.2.2.1 ISSP 的组成,目标声明 概括策略的范围和适用性，用于解决以下问题： 这个策略服务于什么目标？ 由谁来负责实施策略？ 策略文档涉及到哪些技术问题？ 授权访问和设备的使用 解释了谁可以使用策略所规定的技术，用于什么目的。该部分规定了以“公正和负责任的使用”方式使用设备和机构的其他资产，并且阐述了关键法律问题，例如个人信息和隐私的保护。 注意：机构的信息系统是该机构的专有财产，用户并没有特殊的使用权。,5.2.2.2.1 ISSP 的组成,设备的禁止使用 阐述了设备禁止使用的范围，如：私人使用、破坏性使用或者误用、冒犯或者侵扰的材料，以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。 注意：一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用，形成“恰当的使用策略”。 系统管理 指定用户和系统管理员的责任，以便让各方都知道他们应该负责什么。 一家公司可能希望发布具体的规则来指导员工如何使用电子邮件和电子文档、如何存储电子文档、授权雇主如何监控，以及如何保护电子邮件和其他电子文档的物理和电子安全。,5.2.2.2.1 ISSP 的组成,违反策略 规定了对违规行为的惩罚和员工的反馈方式，惩罚应该针对每种违规类型而设计；这部分也应该提供针对怎样报告已观察到的或可疑的违规行为 。 策略检查和修改 明确ISSP 的具体检查和修改方法，以便保证用户手上总是有反映机构当前技术和需求的指导方针。 责任的限制 对一系列的“拒绝承担责任声明”做了概要说明 ，如果员工使用公司的技术时，违反了公司的策略或法律，假设管理者不知道或不同意这种违规行为，那么公司将不会保护他们，并且不会为他们的行为负责。,5.2.2.2.2 ISSP 的制定和管理,制定和管理 ISSP 的方法有很多种，常见的有3 种： 创建一定数量独立的 ISSP 文档，每个策略文档都对应一个具体的问题。 只创建一个综合的文档，该文档旨在覆盖所有的问题。 创建一个 ISSP 文档的模板，当维护每一个具体问题需求的时，可以按这个模板创建和管理统一的策略。,5.2.2.2.2 ISSP 的制定和管理,3 种方法的优点和缺点 ：,5.2.2.3 基于系统的策略,基于系统的策略（SysSPs，System-Specific Policy）是采用技术或管理措施来控制设备的配置，在配置和维护系统时起到标准和过程指导的作用。 例如， SysSPs可能描述了网络防火墙的配置和操作规程。该文档可能包括管理目标声明；网络工程师选择、配置和操作防火墙的指南；访问控制列表（为每个授权用户定义访问级别）。 SysSPs的组成 管理指南 技术规范,5.2.2.3 基于系统的策略,基于系统的策略（SysSPs）管理指南 SysSPs管理指南由管理层制定，用来指导技术的实现和配置，该指南还规定了机构内部员工支持信息安全的行为规则。 例如，一个机构可能不希望它的员工利用机构的网络访问因特网；在这种情况下，应该按照这种规则配置防火墙。 基于系统的策略可以和基于问题的安全策略（ ISSP）同时制定，或者在相关的 ISSPs制定之前准备。,5.2.2.3 基于系统的策略,基于系统的策略（SysSPs）技术规范 有两种方法实现这种技术控制：访问控制列表和配置规则。 访问控制列表 访问控制列表（ACLs）包括用户访问列表、矩阵和权限列表，它控制了用户的权限和特权。 ACLs控制了对文档存储系统、中间设备或其他网络通信设备的访问。 一个权限列表详细规定了哪些设备用户或组可以访问。权限规定常常采用复杂矩阵的形式，而不是简单的列表。 NT/2000 把 ACLs转变成一种配置单元，系统管理员用这个配置单元可以控制系统访问。,5.2.2.3 基于系统的策略,访问控制列表 访问控制列表（ACLs）使管理员能够根据用户、计算机、访问时间、甚至特殊的文档来限制对系统的访问。一般说来，ACLs规定以下几个方面： 谁可以使用系统 授权用户可以访问什么 授权用户在何时可以访问系统 授权用户在何地可以访问系统 授权用户怎样访问系统,5.2.2.3 基于系统的策略,配置规则 配置规则是输入到安全系统的具体配置代码，在信息流经它时，该规则指导系统的执行。 基于规则的策略比 ACLs规定得更为详细，一些安全系统要求特定的配置脚本，这些脚本告诉系统他们处理每种信息的时候，系统需要执行哪种相应操作。（如：防火墙配置规则、IDS配置规则） 组合 SysSPs 许多机构选择创建单一的文档，该文档把管理指南和技术规范二者结合起来。如果采用此方法，就应当注意要仔细清楚地表述操作过程所要求的执行步骤。,5.3 信息安全策略的制定,安全策略的制定原则 起点进入原则：在系统建设一开始就考虑安全策略问题。 长远安全预期原则：对安全需求作总体设计和长远打算。 最小特权原则：不给用户超出执行任务所需权利以外的期限。 公认原则：参考通用的安全措施，做出自己的决策。 适度复杂与经济原则 策略不能与法律相冲突 策略必须被恰当地支持和管理,5.3.1 信息安全策略的制定过程,理解组织业务特征 充分了解组织业务特征是设计信息安全策略的前提； 对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析。 得到管理层的明确支持与承诺 使制定的信息安全策略与组织的业务目标一致； 使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻； 可以得到有效的资源保证。,5.3.1 信息安全策略的制定过程,组建安全策略制定小组 小组成员的多少视安全策略的规模与范围大小而定，一般有以下人员组成： 高级管理人员； 信息安全管理员； 信息安全技术人员； 负责安全策略执行的管理人员； 用户部门人员。 确定信息安全整体目标 通过防止和最小化安全事故的影响，保证业务持续性，使业务损失最小化，并为业务目标的实现提供保障。,5.3.1 信息安全策略的制定过程,起草拟定安全策略 安全策略要尽可能地涵盖所有的风险和控制，没有涉及的内容要说明原因，并阐述如何根据具体的风险和控制来决定制订什么样的安全策略。 评估安全策略 安全策略制定完成后，要进行充分的评估和测试，评估时可以考虑如下问题： 安全策略是否符合法津、法规、技术标准及合同的要求? 管理层是否已批准了安全策略，并明确承诺支持政策的实施? 安全策略是否损害组织、组织人员及第三方的利益? 安全策略是否实用、可操作并可以在组织中全面实施? 安全策略是否满足组织在各个方面的安全要求? 安全策略是否已传达给组织中的人员与相关利益方，并得到了他们的同意？,5.3.1 信息安全策略的制定过程,实施安全策略 把安全方针与具体安全策略编制成组织信息安全策略手册，然后发布到组织中的每个组织人员与相关利益方。 几乎所有层次的所有人员都会涉及到这些政策； 组织中的主要资源将被这些政策所涵盖； 将引入许多新的条款、程序和活动来执行安全策略。 政策的持续改进 组织所处的内外环境在不断变化； 信息资产所面临的风险也是一个变数； 人的思想和观念也在不断的变化。,5.4 信息安全策略管理及相关技术,安全策略管理办法 集中式管理 集中式管理就是在整个网络系统中，由统一、专门的安全策略管理部门和人员对信息资源和信息系统使用权限进行计划和分配。 分布式管理 分布式管理就是将信息系统资源按照不同的类别进行划分，然后根据资源类型的不同，由负责此类资源管理的部门或人员负责安全策略的制定和实施。,5.4.1 信息安全策略管理相关技术,安全策略统一描述技术 安全策略描述是实现策略管理的基础。 策略描述语言：PDL、Ponder。 安全策略自动翻译技术 安全策略翻译是指将统一描述的安全策略翻译成不同设备对应的配置命令、配置脚本或策略结构的过程。 安全策略一致性检验技术 策略之间的冲突很难避免。策略一致性验证主要包括策略的语法、语义检查和策略冲突检测两个方面。,5.4.1 信息安全策略管理相关技术,安全策略发布与分发技术 “推”模式 “拉”模式 对内网设