《安全策略管理》PPT课件

1、第第5章章 信息安全策略管理信息安全策略管理1;.内容提要内容提要信息安全策略的概念信息安全策略的概念信息安全策略的层次信息安全策略的层次 信息安全策略的制定信息安全策略的制定信息安全策略的管理及相关技术信息安全策略的管理及相关技术5.1 信息安全策略的概念信息安全策略的概念n信息安全策略的概念信息安全策略的概念信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。些信息资产如何被保护的一个计划。安全策略将系统的状态分为两个集合安全策略将系统的状态分为两个集合:已授权的和未授权的。已授权的

2、和未授权的。5.1 信息安全策略的概念信息安全策略的概念n制定信息安全策略的目的制定信息安全策略的目的p如何使用组织中的信息系统资源如何使用组织中的信息系统资源p如何处理敏感信息如何处理敏感信息p如何采用安全技术产品如何采用安全技术产品信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中建立一套信息资源保护标准，防止人员的不安全行为引入风险。建立一套信息资源保护标准，防止人员的不安全行为引入风险。安全策略是进一步制定控制规则和安全程序的必要基础。安全策略是进一步制定控制规则和安全程序的必要基础。5.1 信息

3、安全策略的概念信息安全策略的概念n信息安全策略能够解决的问题信息安全策略能够解决的问题p敏感信息如何被处理？敏感信息如何被处理？p如何正确地维护用户身份与口令，以及其他账号信息？如何正确地维护用户身份与口令，以及其他账号信息？p如何对潜在的安全事件和入侵企图进行响应？如何对潜在的安全事件和入侵企图进行响应？p如何以安全的方式实现内部网及互联网的连接如何以安全的方式实现内部网及互联网的连接?p怎样正确使用电子邮件系统？怎样正确使用电子邮件系统？5.2 信息安全策略的层次信息安全策略的层次 n信息安全策略的层次信息安全策略的层次 p信息安全方针信息安全方针p具体的信息安全策略具体的信息安全策略5.

4、2.1 信息安全方针信息安全方针n信息安全方针的概念信息安全方针的概念信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。n信息安全方针应包含的内容信息安全方针应包含的内容p信息安全的定义，总体目标和范围，安全对信息共享的重要性；信息安全的定义，总体目标和范围，安全对信息共享的重要性；p管理层意图、支持目标和信息安全原则的阐述；管理层意图、支持目标和信息安全原则的阐述；

5、p信息安全控制的简要说明，以及依从法律法规要求对组织的重要性；信息安全控制的简要说明，以及依从法律法规要求对组织的重要性；p信息安全管理的一般和具体责任定义，包括报告安全事故等。信息安全管理的一般和具体责任定义，包括报告安全事故等。5.2.2 具体的信息安全策略具体的信息安全策略策略包含一套规则，规定了在机构内可接受和不可接受的行为。策略包含一套规则，规定了在机构内可接受和不可接受的行为。为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描

6、述。规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。在实施过程中，机构应当针对各种违规行为制定一套标准，并列出这些行为的详在实施过程中，机构应当针对各种违规行为制定一套标准，并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。5.2.2 具体的信息安全策略具体的信息安全策略n企业信息安全策略企业信息安全策略n基于问题的安全策略基于问题的安全策略n基于系统的安全策略基于系统的安全策略5.2.2.1 企业信息安全策略企业信息安全策略企业信息安全策略（企业信息安全策略（ EISP）安全项目策略、总安

7、全策略、安全项目策略、总安全策略、IT 安全策略、高安全策略、高级信息安全策略，也就是为整个机构安全工作制定战略方向、范围和策略基调。级信息安全策略，也就是为整个机构安全工作制定战略方向、范围和策略基调。pEISP 为信息安全的各个领域分配责任，包括信息安全策略的维护、策略的实施、最为信息安全的各个领域分配责任，包括信息安全策略的维护、策略的实施、最终用户的责任。终用户的责任。 pEISP 还特别规定了信息安全项目的制定、实施和管理要求还特别规定了信息安全项目的制定、实施和管理要求 。 pEISP 是一个执行级的文档，是由是一个执行级的文档，是由 CISO 与与 CIO 磋商后起草的。通常磋商

8、后起草的。通常 2 耀耀 10 页长，页长，它构成了它构成了 IT 环境的安全理念。环境的安全理念。EISP 一般不需要做经常或日常的修改，除非机构的一般不需要做经常或日常的修改，除非机构的战略方向发生了变化。战略方向发生了变化。 5.2.2.1 企业信息安全策略企业信息安全策略n企业信息安全策略（企业信息安全策略（ EISP）的组成）的组成尽管各个机构的企业信息安全策略有差别，但大多数尽管各个机构的企业信息安全策略有差别，但大多数 EISP 文档应该包括以下要文档应该包括以下要素：素： p关于企业安全理念的总体看法关于企业安全理念的总体看法p机构的信息安全部门结构和实施信息安全策略人员信息机

9、构的信息安全部门结构和实施信息安全策略人员信息p机构所有成员共同的安全责任（员工、承包人、顾问、合伙人和访问者）机构所有成员共同的安全责任（员工、承包人、顾问、合伙人和访问者）p机构所有成员明确的、特有的安全责任机构所有成员明确的、特有的安全责任注意：应把机构的任务和目标纳入注意：应把机构的任务和目标纳入 EISP 中中例：一个好的例：一个好的 EISP 的组成部分的组成部分 5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.2 基于问题的安全策略基于问题的安全策略基于问题的安全策略（基于问题的安全策略（ ISSP，Issue-Spec

10、ific Security Policy）提供了详细的、目）提供了详细的、目标明确的指南，以此来指导所有机构成员如何使用基于技术的系统。标明确的指南，以此来指导所有机构成员如何使用基于技术的系统。一个有效的一个有效的 ISSP 是各方（机构和成员）之间的协议，并且显示，为了保障技术不会以是各方（机构和成员）之间的协议，并且显示，为了保障技术不会以不恰当方式被使用，机构已经做出了极大的努力。不恰当方式被使用，机构已经做出了极大的努力。ISSP应该让机构成员认识到，策略的目标不是为机构的信息系统遭受破坏后起诉有关应该让机构成员认识到，策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依

11、据，而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个责任人提供法律依据，而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识，员工就可以不用寻求领导批准，而任意使用各种类型的技术。共识，员工就可以不用寻求领导批准，而任意使用各种类型的技术。 5.2.2.2 基于问题的安全策略基于问题的安全策略n基于问题的安全策略（基于问题的安全策略（ ISSP）应完成的目标）应完成的目标p明确地指出机构期望其员工如何使用基于技术的系统。明确地指出机构期望其员工如何使用基于技术的系统。p记录了基于技术的系统的控制过程，并确定这个控制过程和相关的负责机构。记录了基于技术的系统的控制过程，并

12、确定这个控制过程和相关的负责机构。p当机构的员工由于使用不当，或者非法操作系统而造成了损失，它可以保护机构不当机构的员工由于使用不当，或者非法操作系统而造成了损失，它可以保护机构不承担该责任。承担该责任。nISSP 的特性的特性 p它是针对特定的、基于技术的系统它是针对特定的、基于技术的系统p它要求不断地升级它要求不断地升级p它包含一个问题陈述，解释了机构对特定问题的态度它包含一个问题陈述，解释了机构对特定问题的态度5.2.2.2 基于问题的安全策略基于问题的安全策略n基于问题的安全策略（基于问题的安全策略（ ISSP）的组成）的组成p目标声明目标声明p授权访问和设备的使用授权访问和设备的使用

13、p设备的禁止使用设备的禁止使用p系统管理系统管理p违反策略违反策略p策略检查和修改策略检查和修改p责任的限制责任的限制5.2.2.2.1 ISSP 的组成的组成n目标声明目标声明概括策略的范围和适用性，用于解决以下问题：概括策略的范围和适用性，用于解决以下问题：p这个策略服务于什么目标？这个策略服务于什么目标？p由谁来负责实施策略？由谁来负责实施策略？p策略文档涉及到哪些技术问题？策略文档涉及到哪些技术问题？n授权访问和设备的使用授权访问和设备的使用 解释了谁可以使用策略所规定的技术，用于什么目的。该部分规定了以解释了谁可以使用策略所规定的技术，用于什么目的。该部分规定了以“公正公正和负责任的

14、使用和负责任的使用”方式使用设备和机构的其他资产，并且阐述了关键法律问题，例方式使用设备和机构的其他资产，并且阐述了关键法律问题，例如个人信息和隐私的保护。如个人信息和隐私的保护。 注意：机构的信息系统是该机构的专有财产，用户并没有特殊的使用权。注意：机构的信息系统是该机构的专有财产，用户并没有特殊的使用权。 5.2.2.2.1 ISSP 的组成的组成n设备的禁止使用设备的禁止使用 阐述了设备禁止使用的范围，如：私人使用、破坏性使用或者误用、冒犯或者阐述了设备禁止使用的范围，如：私人使用、破坏性使用或者误用、冒犯或者侵扰的材料，以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。侵扰的材料，

15、以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。注意：一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用，形成注意：一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用，形成“恰当恰当的使用策略的使用策略”。 n系统管理系统管理 指定用户和系统管理员的责任，以便让各方都知道他们应该负责什么。指定用户和系统管理员的责任，以便让各方都知道他们应该负责什么。 一家公司可能希望发布具体的规则来指导员工如何使用电子邮件和电子文档、一家公司可能希望发布具体的规则来指导员工如何使用电子邮件和电子文档、如何存储电子文档、授权雇主如何监控，以及如何保护电子邮件和其他电子文档的如何存储电子文档

16、、授权雇主如何监控，以及如何保护电子邮件和其他电子文档的物理和电子安全。物理和电子安全。 5.2.2.2.1 ISSP 的组成的组成n违反策略违反策略 规定了对违规行为的惩罚和员工的反馈方式，惩罚应该针对每种违规类型而设计；规定了对违规行为的惩罚和员工的反馈方式，惩罚应该针对每种违规类型而设计；这部分也应该提供针对怎样报告已观察到的或可疑的违规行为这部分也应该提供针对怎样报告已观察到的或可疑的违规行为 。 n策略检查和修改策略检查和修改 明确明确ISSP 的具体检查和修改方法，以便保证用户手上总是有反映机构当前技的具体检查和修改方法，以便保证用户手上总是有反映机构当前技术和需求的指导方针。术和

17、需求的指导方针。 n责任的限制责任的限制 对一系列的对一系列的“拒绝承担责任声明拒绝承担责任声明”做了概要说明做了概要说明 ，如果员工使用公司的技术时，如果员工使用公司的技术时，违反了公司的策略或法律，假设管理者不知道或不同意这种违规行为，那么公司将违反了公司的策略或法律，假设管理者不知道或不同意这种违规行为，那么公司将不会保护他们，并且不会为他们的行为负责。不会保护他们，并且不会为他们的行为负责。 5.2.2.2.2 ISSP 的制定和管理的制定和管理 制定和管理制定和管理 ISSP 的方法有很多种，常见的有的方法有很多种，常见的有3 种：种：n创建一定数量独立的创建一定数量独立的 ISSP

18、 文档，每个策略文档都对应一个具体的问题。文档，每个策略文档都对应一个具体的问题。n只创建一个综合的文档，该文档旨在覆盖所有的问题。只创建一个综合的文档，该文档旨在覆盖所有的问题。n创建一个创建一个 ISSP 文档的模板，当维护每一个具体问题需求的时，可以按这个模板创建和文档的模板，当维护每一个具体问题需求的时，可以按这个模板创建和管理统一的策略。管理统一的策略。5.2.2.2.2 ISSP 的制定和管理的制定和管理 3 种方法的优点和缺点种方法的优点和缺点 ：5.2.2.3 基于系统的策略基于系统的策略基于系统的策略（基于系统的策略（SysSPs，System-Specific Policy

19、）是采用技术或管理措施来）是采用技术或管理措施来控制设备的配置，在配置和维护系统时起到标准和过程指导的作用。控制设备的配置，在配置和维护系统时起到标准和过程指导的作用。例如，例如， SysSPs可能描述了网络防火墙的配置和操作规程。该文档可能包括管理目可能描述了网络防火墙的配置和操作规程。该文档可能包括管理目标声明；网络工程师选择、配置和操作防火墙的指南；访问控制列表（为每个授权用户标声明；网络工程师选择、配置和操作防火墙的指南；访问控制列表（为每个授权用户定义访问级别）。定义访问级别）。nSysSPs的组成的组成p管理指南管理指南p技术规范技术规范5.2.2.3 基于系统的策略基于系统的策略

20、n基于系统的策略（基于系统的策略（SysSPs）管理指南）管理指南 SysSPs管理指南由管理层制定，用来指导技术的实现和配置，该指南还规定了机管理指南由管理层制定，用来指导技术的实现和配置，该指南还规定了机构内部员工支持信息安全的行为规则。构内部员工支持信息安全的行为规则。 例如，一个机构可能不希望它的员工利用机构的网络访问因特网；在这种情况下，例如，一个机构可能不希望它的员工利用机构的网络访问因特网；在这种情况下，应该按照这种规则配置防火墙。应该按照这种规则配置防火墙。基于系统的策略可以和基于问题的安全策略（基于系统的策略可以和基于问题的安全策略（ ISSP）同时制定，或者在相关的）同时制

21、定，或者在相关的 ISSPs制定之前准备。制定之前准备。 5.2.2.3 基于系统的策略基于系统的策略n基于系统的策略（基于系统的策略（SysSPs）技术规范）技术规范 有两种方法实现这种技术控制：访问控制列表和配置规则。有两种方法实现这种技术控制：访问控制列表和配置规则。 p访问控制列表访问控制列表访问控制列表（访问控制列表（ACLs）包括用户访问列表、矩阵和权限列表，它控制了用户的权限和）包括用户访问列表、矩阵和权限列表，它控制了用户的权限和特权。特权。ACLs控制了对文档存储系统、中间设备或其他网络通信设备的访问。控制了对文档存储系统、中间设备或其他网络通信设备的访问。一个权限列表详细规

22、定了哪些设备用户或组可以访问。权限规定常常采用复杂矩阵的一个权限列表详细规定了哪些设备用户或组可以访问。权限规定常常采用复杂矩阵的形式，而不是简单的列表。形式，而不是简单的列表。NT/2000 把把 ACLs转变成一种配置单元，系统管理员用这个配置单元可以控制系统访转变成一种配置单元，系统管理员用这个配置单元可以控制系统访问。问。 5.2.2.3 基于系统的策略基于系统的策略p访问控制列表访问控制列表访问控制列表（访问控制列表（ACLs）使管理员能够根据用户、计算机、访问时间、甚至特殊的）使管理员能够根据用户、计算机、访问时间、甚至特殊的文档来限制对系统的访问。一般说来，文档来限制对系统的访问

23、。一般说来，ACLs规定以下几个方面：规定以下几个方面： 谁可以使用系统谁可以使用系统授权用户可以访问什么授权用户可以访问什么授权用户在何时可以访问系统授权用户在何时可以访问系统授权用户在何地可以访问系统授权用户在何地可以访问系统 授权用户怎样访问系统授权用户怎样访问系统5.2.2.3 基于系统的策略基于系统的策略p配置规则配置规则配置规则是输入到安全系统的具体配置代码，在信息流经它时，该规则指导系统的执配置规则是输入到安全系统的具体配置代码，在信息流经它时，该规则指导系统的执行。行。 基于规则的策略比基于规则的策略比 ACLs规定得更为详细，一些安全系统要求特定的配置脚本，这些规定得更为详细

24、，一些安全系统要求特定的配置脚本，这些脚本告诉系统他们处理每种信息的时候，系统需要执行哪种相应操作。（如：防火墙配置规脚本告诉系统他们处理每种信息的时候，系统需要执行哪种相应操作。（如：防火墙配置规则、则、IDS配置规则）配置规则）p组合组合 SysSPs许多机构选择创建单一的文档，该文档把管理指南和技术规范二者结合起来。如果采许多机构选择创建单一的文档，该文档把管理指南和技术规范二者结合起来。如果采用此方法，就应当注意要仔细清楚地表述操作过程所要求的执行步骤。用此方法，就应当注意要仔细清楚地表述操作过程所要求的执行步骤。 5.3 信息安全策略的制定信息安全策略的制定n安全策略的制定原则安全策

25、略的制定原则p起点进入原则：在系统建设一开始就考虑安全策略问题。起点进入原则：在系统建设一开始就考虑安全策略问题。p长远安全预期原则：对安全需求作总体设计和长远打算。长远安全预期原则：对安全需求作总体设计和长远打算。p最小特权原则：不给用户超出执行任务所需权利以外的期限。最小特权原则：不给用户超出执行任务所需权利以外的期限。p公认原则：参考通用的安全措施，做出自己的决策。公认原则：参考通用的安全措施，做出自己的决策。p适度复杂与经济原则适度复杂与经济原则p策略不能与法律相冲突策略不能与法律相冲突 p策略必须被恰当地支持和管理策略必须被恰当地支持和管理5.3.1 信息安全策略的制定过程信息安全策

26、略的制定过程n理解组织业务特征理解组织业务特征充分了解组织业务特征是设计信息安全策略的前提；充分了解组织业务特征是设计信息安全策略的前提； 对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析。对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析。n得到管理层的明确支持与承诺得到管理层的明确支持与承诺p使制定的信息安全策略与组织的业务目标一致；使制定的信息安全策略与组织的业务目标一致；p使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻；使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻；p可以得到有效的资源保证。可以得到有效的资源保证。5.3.

27、1 信息安全策略的制定过程信息安全策略的制定过程n组建安全策略制定小组组建安全策略制定小组小组成员的多少视安全策略的规模与范围大小而定，一般有以下人员组成：小组成员的多少视安全策略的规模与范围大小而定，一般有以下人员组成：p高级管理人员；高级管理人员；p信息安全管理员；信息安全管理员；p信息安全技术人员；信息安全技术人员；p负责安全策略执行的管理人员；负责安全策略执行的管理人员；p用户部门人员。用户部门人员。n确定信息安全整体目标确定信息安全整体目标 通过防止和最小化安全事故的影响，保证业务持续性，使业务损失最小化，并为通过防止和最小化安全事故的影响，保证业务持续性，使业务损失最小化，并为业务

28、目标的实现提供保障。业务目标的实现提供保障。5.3.1 信息安全策略的制定过程信息安全策略的制定过程n起草拟定安全策略起草拟定安全策略安全策略要尽可能地涵盖所有的风险和控制，没有涉及的内容要说明原因，并阐安全策略要尽可能地涵盖所有的风险和控制，没有涉及的内容要说明原因，并阐述如何根据具体的风险和控制来决定制订什么样的安全策略。述如何根据具体的风险和控制来决定制订什么样的安全策略。n评估安全策略评估安全策略安全策略制定完成后，要进行充分的评估和测试，评估时可以考虑如下问题：安全策略制定完成后，要进行充分的评估和测试，评估时可以考虑如下问题：p安全策略是否符合法津、法规、技术标准及合同的要求安全策

29、略是否符合法津、法规、技术标准及合同的要求?p管理层是否已批准了安全策略，并明确承诺支持政策的实施管理层是否已批准了安全策略，并明确承诺支持政策的实施?p安全策略是否损害组织、组织人员及第三方的利益安全策略是否损害组织、组织人员及第三方的利益?p安全策略是否实用、可操作并可以在组织中全面实施安全策略是否实用、可操作并可以在组织中全面实施?p安全策略是否满足组织在各个方面的安全要求安全策略是否满足组织在各个方面的安全要求?p安全策略是否已传达给组织中的人员与相关利益方，并得到了他们的同意？安全策略是否已传达给组织中的人员与相关利益方，并得到了他们的同意？5.3.1 信息安全策略的制定过程信息安全

30、策略的制定过程n实施安全策略实施安全策略把安全方针与具体安全策略编制成组织信息安全策略手册，然后发布到组织中的把安全方针与具体安全策略编制成组织信息安全策略手册，然后发布到组织中的每个组织人员与相关利益方。每个组织人员与相关利益方。p几乎所有层次的所有人员都会涉及到这些政策；几乎所有层次的所有人员都会涉及到这些政策；p组织中的主要资源将被这些政策所涵盖；组织中的主要资源将被这些政策所涵盖；p将引入许多新的条款、程序和活动来执行安全策略。将引入许多新的条款、程序和活动来执行安全策略。n政策的持续改进政策的持续改进p组织所处的内外环境在不断变化；组织所处的内外环境在不断变化；p信息资产所面临的风险也是一个变数；信息资产所面临的风险也是一个变数；p人的思想和观念也在不断的变化。人的思想和观念也在不断的变化。5.4 信息安全策略管理及相关技术信息安全策略管理及相关技术n安全策略管理办法安全策略管理办法p集中式管理集中式管理集中式管理就是在整个网络系统中，由统一、专门的安全策略管理部门和人员对集中式管理就是在整个网络系统中，由统一、专门的安全策略管理部门和人员对信息资源和信息系统使用权限进行计划和分配。信息资源和信息系统使用权限进行计划和分配。p分布式管理分布式管理分布式管理就是将信息系统资源按照不同的类别进行划分，然后根据资源类型的分布式管理就是将信息系统