版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、1信息安全策略及实施方法 2目录信息安全策略概述1信息安全策略的制定2主要的安全策略3信息安全策略的执行与维护43一、信息安全策略概述41.信息安全策略的定义计算机安全研究组织SANS:“为了保护存储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多做什么的定义,以便于执行者确定如何做,并且能够进行度量和评估”。一组规则,这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。信息安全策略是一个组织关于信息安全的基本指导规则。信息安全策略提供:信息保护的内容和目标,信息保护的职责落实,实施信息保护的方法,事故的处理5安全策略的引入 信息安全策略从本质上来说是描述组
2、织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。 安全策略是进一步制定控制规则和安全程序的必要基础。 安全策略本质上是非形式化的,也可以是高度数学化的。 安全策略将系统的状态分为两个集合:已授权的和未授权的。61.1 安全策略的引入制定信息安全策略的目的: 如何使用组织中的信息系统资源;如何处理敏感信息;如何采用安全技术产品。 71.1 安全策略的引入安全策略涉及的问题: 敏感信息如何被处理?如何正确地维护用户身份与口令,以及其他账号信息?如何对潜在的安全事件和入侵企图进行响应?如何以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统?8安全策略保密性策略 可用性策略
3、 完整性策略 安全策略的层次 信息安全方针 具体的信息安全策略 9信息安全方针信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全的定义,总体目标和范围,安全对信息共享的重要性;管理层意图、支持目标和信息安全原则的阐述;信息安全控制的简要说明,以及依从法律法规要求对组织的重要性;信息安全管理的一般和具体责任定义,包括报告安全事故等。10安全程序安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。程序是为进行某项活动所规定的
4、途径或方法。信息安全管理程序包括:实施控制目标与控制方式的安全控制程序;为覆盖信息安全管理体系的管理与运作的程序11程序文件的内容包括:活动的目的与范围(Why)。做什么(What)谁来做(Who)何时(When)何地(Where)如何做(How) 程序文件应遵循的原则:一般不涉及纯技术性的细节 针对影响信息安全的各项活动目标的执行做出的规定 应当简练、明确和易懂 应当采用统一的结构与格式编排 122.信息安全策略的特点指导性原则性可审核性非技术性现实可行性动态性文档化133.信息安全策略的地位必须有相应的措施保证信息安全策略得到强制执行管理层不得允许任何违反信息安全策略的行为存在信息安全策略
5、必须有清晰和完全的文档描述需要根据业务情况的变化不断的修改和补充信息安全策略144.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。15信息安全策略的保护对象硬件与软件 硬件和软件是支持商业运作进行的平台,它们应该受策略所保护。所以,拥有一份完整的系统软、硬件清单是非常重要的,并且包括网络结构图。 数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构,不论从事什么工作,都在收集和使用数据。 人员首先,重点应该放在谁在什么情况下能够访问资源。
6、接下来要考虑的就是强制执行制度和对未授权访问的惩罚制度。16信息安全策略 网络设备安全服务器安全信息分类信息保密用户账户与口令远程访问反病毒防火墙及入侵检测安全事件调查与响应灾难恢复与业务持续性计划风险评估信息系统审计17信息安全策略的设计范围物理安全策略物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。 网络安全策略网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。 数据加密策略数据加密策略包括加密算法、适用范围、密钥交
7、换和管理等。数据备份策略数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。病毒防护策略病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。 18信息安全策略的设计范围系统安全策略系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。 身份认证及授权策略身份认证及授权策略包括认证及授权机制、方式、审计记录等。 灾难恢复策略灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。事故处理、紧急响应策略事故处理、紧急响应策略包括响应小组、联系方式、事故
8、处理计划、控制过程等。 安全教育策略安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识的教育等。 19信息安全策略的设计范围口令管理策略口令管理策略包括口令管理方式、口令设置规则、口令适应规则等。补丁管理策略补丁管理策略包括系统补丁的更新、测试、安装等。系统变更控制策略系统变更控制策略包括设备、软件配置、控制措施、数据变更管理、一致性管理等。 商业伙伴、客户关系策略商业伙伴、客户关系策略包括合同条款安全策略、客户服务安全建议等。复查审计策略复查审计策略包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。20安全策略的格式
9、1.目标2.范围3.策略内容4.角色责任 5.执行纪律6.专业术语 7.版本历史 21安全策略的格式1.目标 建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。 信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。 22安全策略的格式2.范围 信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,
10、还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。 23安全策略的格式3.策略内容 根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。 24安全策略的格式3.策略内容 根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织
11、的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标, 例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。 25安全策略的格式4.角色责任 信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。 在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。26安全策略的格式5.执行纪律 没有
12、一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。还要考虑到有时员工违反安全策略并非是有意的,有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。27安全策略的格式6.专业术语 对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。 7.版本历史 对策略版本在各个阶段的修订情况作出说明28二、信息安全策略的制定291.制定信息安全策略的原则先进的网
13、络安全技术是网络安全的根本保证严格的安全管理是确保信息安全策略落实的基础严格的法律、法规是网络安全保障的坚强后盾具体原则起点进入原则 长远安全预期原则最小特权原则公认原则适度复杂与经济原则 302.策略的制定需要达成的目标减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。313.信息安全策略的依据国家法律、法规、政策行业规范相关机构的约束机构自身的安全需求32制定流程具体的制定过程如下:确定信息安全策略的范围风险评估/分析或者审计信息安全策略的审查、批准和实施具体如下 33制定流程理解组织业务特征 充分了解组织业务特征是设计信息安全策略的前提; 对组织业务的了解包括对其业务内
14、容、性质、目标及其价值进行分析。得到管理层的明确支持与承诺 使制定的信息安全策略与组织的业务目标一致;使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效的贯彻;可以得到有效的资源保证。34制定流程组建安全策略制定小组 高级管理人员;信息安全管理员;信息安全技术人员;负责安全策略执行的管理人员;用户部门人员。 确定信息安全整体目标 通过防止和最小化安全事故的影响,保证业务持续性,使业务损失最小化,并为业务目标的实现提供保障。 35制定流程确定安全策略范围 组织需要根据自己的实际情况确定信息安全策略要涉及的范围,可以在整个组织范围内、或者在个别部门或领域制定信息安全策略 。风险评估与选择
15、安全控制 风险评估的结果是选择适合组织的控制目标与控制方式的基础,组织选择出了适合自己安全需求的控制目标与控制方式后,安全策略的制定才有了最直接的依据。 起草拟定安全策略 安全策略要尽可能地涵盖所有的风险和控制,没有涉及的内容要说明原因,并阐述如何根据具体的风险和控制来决定制订什么样的安全策略。 36制定流程评估安全策略 安全策略是否符合法津、法规、技术标准及合同的要求?管理层是否已批准了安全策略,并明确承诺支持政策的实施?安全策略是否损害组织、组织人员及第三方的利益?安全策略是否实用、可操作并可以在组织中全面实施?安全策略是否满足组织在各个方面的安全要求?安全策略是否已传达给组织中的人员与相
16、关利益方,并得到了他们的同意?37制定流程实施安全策略 把安全方针与具体安全策略编制成组织信息安全策略手册,然后发布到组织中的每个组织人员与相关利益方。 几乎所有层次的所有人员都会涉及到这些政策;组织中的主要资源将被这些政策所涵盖;将引入许多新的条款、程序和活动来执行安全策略。组织所处的内外环境在不断变化;信息资产所面临的风险也是一个变数;人的思想和观念也在不断的变化。政策的持续改进38制定流程信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。 在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值
17、的资料。为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件。也可以参考国际标准、行业标准来获得指导。 资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。39制定流程在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。40制定流程收集完上面所提到的材料后,开始根据前期的调研资料制定信息安全策略文档初稿,并寻找直接相关人员对其进行小范围的评审。对反
18、馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。 信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。41制定流程评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档得到高层领导强有力的支持。经验表明,高层的支持对策略的实施落地是非常重要的。42制定流程一般来说,在信息安全策略文件评审过程中,会得到
19、组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。43组织的安全策略信息对组织的运作和发展所起到的作用越来越大,信息安全问题备受关注。信息安全是指信息的保密性、完整性和可用性的保持,其终极目标是降低组织的业务风险,保持可持续发展;另外,信息安全问题不单纯是技术问题,它是涉及很多方面(历史、文化、道德、法律、管理、技术等)的一个综合性问题,单纯
20、从技术角度考虑是不可能得到很好解决的。我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。44组织的安全策略1.组织应该有一个完整的信息安全策略我们可以通过下面一个例子来理解这种情况。某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet
21、访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:45小偷顺着一楼的防护栏潜入办公室偷走了保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。46后来张先生离开设计院,新员
22、工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。47陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。48尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找
23、到自己需要的文件。大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。49组织的安全策略一个正式的信息安全策略应该包括下列信息适用范围:包括人员和时间上的范围。目标.例如防病毒策略的目标可以是:“为了正确执行对计算机病毒、蠕虫、特洛伊木马的预防、侦测和清除过程,特制定本策略”。策略主体。策略签署。策略的生效时间和有效期(或者重新评审时间)。50组织的安全策略一个正式的信息安全策略应该包括下列信息重新评审策略的时机。策略除
24、了常规的评审时机,在下列情况下也需要重新评审:管理体系发生很大变化、相关法律法规发生了变化、信息系统或者信息技术发生大的变化、组织发生了重大的安全事故。与其他相关策略的引用关系。策略解释、疑问响应的人员或者部门。策略的格式可以根据组织的惯例自行选择,所列举的项目也可以做适当的增删。例51组织的安全策略信息安全策略的主体内容信息安全策略通常不是一篇文档,根据组织的复杂程度还可能分成几个层次,其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的,提供足够的信息,保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的,是适用于哪些信息资产和处理过程的。5
25、2组织的安全策略信息安全策略的主体内容通常一个组织可能会考虑开发下列主题的信息安全策略:1.环境和设备的安全2.信息资产的分级和人员责任3.安全事故的报告与响应4.第三方访问的安全性5.委外处理系统的安全6.人员的任用、培训和职责7.系统策划、验收、使用和维护的安全要求53组织的安全策略信息安全策略的主体内容8.信息与软件交换的安全9.计算级和网络的访问控制和审核10.远程工作的安全11.加密技术控制12.备份、灾难恢复和可持续发展的要求13.符合法律法规和技术指标的要求54组织的安全策略要衡量一个信息安全策略整体优劣可以考虑的因素包括:目的性:策略是为组织完成自己的使命而制定的,策略应该反映
26、组织的整体利益和可持续发展的要求;适用性:策略应该反映组织的真实环境,反映但前信息安全的发展水平;可行性:策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱;经济性:策略应该经济合理,过分复杂和草率都是不可取的。完整性:能够反映组织的所有业务流程安全需要;55组织的安全策略要衡量一个信息安全策略整体优劣可以考虑的因素包括:一致性:策略的一致性包括下面三个层次: 和国家、地方的法律法规保持一致 和组织已有的策略(方针)保持一致 整体安全策略保持一致,要反映企业对信息安全一般看法,保证用户不把该策略看成是不合理的,甚至是针对某个人的。弹性:策
27、略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。56组织的安全策略如何使信息安全策略得到贯彻信息安全策略的实施关键是如何把策略准确传达给每一位相关人员。根据信息安全策略开发或者修改信息操作程序文件,即建立一个文件化的信息安全管理体系,在组织的相应程序文件中体现策略的有关要求。能力和意识的培训是一种好方法,在组织缺乏程序文件的时候作用更是不可忽略。审核是策略得以实施的保障,组织必须有成文的审核办法,详细规定审核的周期和技术手段,及时发现问题及时解决。57三、主要的安全策略58网络服务器口令的管理(1)服务器的口令,由部门负责人和系统管理员商议确定,必须两人同时在场设定。
28、(2)服务器的口令需部门负责人在场时,由系统管理员记录封存。(3)口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新口令记录封存。(4)如发现口令有泄密迹象,系统管理员要立刻报告部门负责人,有关部门负责人报告安全部门,同时,要尽量保护好现场并记录,须接到上一级主管部门批示后再更换口令。59用户口令的管理(1)对于要求设定口令的用户,由用户方指定负责人与系统管理员商定口令,由系统管理员登记并请用户负责人确认(签字或电话通知)之后系统管理员设定口令,并保存用户档案。 (2)在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下,需向网络服务管理部门提交申请单,由部门负
29、责人或系统管理员核实后,对用户档案做更新记载。(3)如果网络提供用户自我更新口令的功能,用户应自己定期更换口令,并设专人负责保密和维护工作。60防病毒策略(1)拒绝访问能力:来历不明的入侵软件不得进入系统。(2)病毒检测能力:系统中应设置检测病毒的机制。检测已知类病毒和未知病毒。(3)控制病毒传播的能力:系统一定要有控制病毒传播的能力。 (4)清除能力:(5)恢复能力:提供高效的方法来恢复这些数据。(6)替代操作:系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作。61安全教育与培训策略 (1)主管信息安全工作的高级负责人或各级管理人员:重点是了解、掌握企业信息安全的整体策略及目标、信
30、息安全体系的构成、安全管理部门的建立和管理制度的制定等。(2)负责信息安全运行管理及维护的技术人员:重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。(3)用户:重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。 62可接受使用策略可接受使用策略(Acceptable Use Policy,AUP)是指这些网络能够被谁使用的约束策略。AUPs的执行是随网络变化的。许多公共网络服务有一个AUP。这个AUP是一个正式的或非正式的文件,其定义了网络的应用意图、不接受的使用和不服从的结果。一个人注册一个基于网络的服务或工作在一个社团内部网时经常会遇到一个AUP。一个好的AUP 将包括网络礼节的规定,限制网络资源的使用和明确指出网络应该尊敬的
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 变更合同模板转让协议2024年
- 山西餐饮业劳动合同格式
- 正规采购合同协议书
- 2024年租田协议书文本示例
- 建筑项目勘察合同样本:文本修订建议
- 无锡市房地产抵押(按揭)合同格式
- 娱乐场所室内装饰设计合同范本
- 农业旅游项目投资合同参考格式
- 产品营销合同案例
- 二手机械设备买卖协议
- 220KV变电所管理制度
- Meeting Minutes(会议记录模板)参考模板
- 商检、法检、三检的区别
- tsg z6002-2010特种设备焊接操作人员考核细则
- .运维服务目录
- 公路工程工地试验室标准化试验检测项目、参数检验频率一览表
- 高填方,深挖路堑边坡和软基监测方案
- 投标文件质量保证措施
- 应用地球化学元素特征判别沉积环境
- 培训师授课评分表
- 田麦久《运动训练学》(第2版)配套题库(含考研真题)
评论
0/150
提交评论