信息安全策略研究

1、信息安全全策略研研究 The Ressearrch on Infformmatiion Seccuriity Pollicyy 山东科飞飞管理咨咨询公司司 吴吴昌伦 王毅刚刚关键字：信息安安全 信信息管理理 信息息安全管管理 信信息安全全策略摘要：在在当前形形势下对对组织信信息安全全策略的的必要性性、开发发和贯彻彻实施做做了有益益探讨，提供了了一个成成文的Emaail安安全策略略，并并对信息息安全策策略的优优劣评价价考虑的的因素提提供了参参考。 随着社会会信息化化的深入入和竞争争的日益益激烈，信息对对组织的的运作和和发展所所起到的的作用越越来越大大，信息息安全问问题备受受关注。目前关关于信息息

2、安全的的理论研研究、方方法研究究和实践践研究都都取得可可喜的成成就，其其中两个个观点被被本文所所接受，作为本本文所讨讨论问题题的基点点。一个个是信息息安全问问题不仅仅仅是保保密问题题，信息息安全（Infformmatiion seccuriity）是指信信息的保保密性(Connfiddenttiallityy)、完整性性(Innteggritty)和和可用性性(Avvaillabiilitty)的的保持，其终极极目标是是降低组组织的业业务风险险，保持持可持续续发展；另一个个观点是是，信息息安全问问题不单单纯是技技术问题题，它是是涉及很很多方面面（历史史、文化化、道德德、法律律、管理理、技术术等

3、）的的一个综综合性问问题，单单纯从技技术角度度考虑是是不可能能得到很很好解决决的。我们在这这里讨论论的组织织是指在在既定法法律环境境下的盈盈利组织织和非盈盈利组织织，其规规模和性性质不足足以直接接改变所所在国家家或地区区的信息息安全法法律法规规。作为为这样一一个组织织实体，如何确确定自己己的对策策来解决决信息安安全这个个复杂的的课题呢呢？一、 组织应应该有一一个完整整的信息息安全策策略信息安全全策略（Infformmatiion Seccuriity Polliciies）也叫信信息安全全方针，是组织织对信息息和信息息处理设设施进行行管理、保护和和分配的的原则，它告诉诉组织成成员在日日常的工工

4、作中什什么是可可以做的的，什么么是必须须做的，什么是是不能做做的，哪哪里是安安全区，哪里是是敏感区区，就像像交通规规则之于于车辆和和行人，信息安安全策略略是有关关信息安安全的行行为规范范。如果问什什么是一一个好的的安全策策略，不不是很好好回答，但是可可以肯定定的说没没有一个个统一一一致的信信息安全全策略是是最差的的策略。如果组组织中没没有关于于信息安安全问题题的一个个策略，组织的的成员在在使用信信息或者者处理信信息安全全问题时时候缺乏乏正面的的引导，很容易易造成信信息的滥滥用，也也容易被被用心不不良的人人钻空子子，我们们可以通通过下面面一个例例子来理理解这种种情况。某建筑设设计院在在所在城城市

5、小有有名气，共有工工作人员员二十五五人，每每人一台台计算机机，Wiindoows 98对对等网络络通过一一台集线线器连接接起来，公司没没有专门门的ITT管理员员。公司司办公室室都在二二楼，同同一楼房房内还有有多家公公司，在在一楼入入口处赵赵大爷负负责外来来人员的的登记，但是他他经常分分辨不清清楚是不不是外来来人员。设计院院由市内内一家保保洁公司司负责楼楼道和办办公室的的清洁工工作。总总经理陈陈博士是是位老设设计师，他经常常拨号到到Intternnet访访问一些些设计方方面的信信息，他他的计算算机上还还安装了了代理软软件，其其他人员员可以通通过这个个代理软软件访问问Intternnet。如果该该

6、设计院院的信息息安全管管理停留留在一种种放任的的状态，会发生生什么问问题呢？下列情情况都是是有可能能的： 小小偷顺着着一楼的的防护栏栏潜入办办公室偷偷走了 保保洁公司司人员不不小心弄弄脏了准准备发给给客户的的设计方方案；错错把掉在在地上的的合同稿稿当废纸纸收走了了；不小小心碰掉掉了墙角角的电源源插销 某某设计师师张先生生是公司司的骨干干，他嫌嫌公司提提供的设设计软件件版本太太旧，自自己安装装了盗版版的新版版本设计计程序。尽管这这个盗版版程序使使用一段段时间就就会发生生莫名其其妙的错错误导致致程序关关闭，可可是张先先生还是是喜欢新新版本的的设计程程序，并并找到一一些办法法避免错错误发生生时丢失失

7、文件。 后后来张先先生离开开设计院院，新员员工小李李使用原原来张先先生的计计算机。小李抱抱怨了多多次计算算机不正正常，没没有人理理会，最最后决定定自己重重新安装装操作系系统和应应用程序序。 小小李把自自己感觉觉重要的的文件备备份到陈陈博士的的计算机机上，听听朋友介介绍Wiindoows220000比较稳稳定，他他决定安安装Wiindoows220000，于是是他就重重新给硬硬盘分区区，成功功完成了了安装。 陈陈博士对对张先生生的不辞辞而别没没有思想想准备，甚至还还没来得得及交接接一下张张先生离离开时正正负责的的几个设设计项目目。这几几天他一一闲下来来就整理理张先生生的设计计方案，可是突突然一天

8、天提示登登录原来来张先生生的那台台计算机机需要密密码了。小李并并不熟悉悉Winndowws20000，只是说说自己并并没有设设置密码码。 尽尽管小李李告诉陈陈博士已已经把文文件备份份在陈博博士的计计算机上上，可是是陈博士士没有找找到自己己需要的的文件。 大大家通过过陈博士士的计算算机访问问Intternnet，收集了了很多有有用的资资料。可可是最近近好几台台计算机机在启动动的时候候就自动动连接上上Intternnet，陈博士士收到几几封主题题不同的的电子邮邮件，内内容竟然然包括几几个还没没有提交交的设计计稿，可可是员工工都说没没有发过过这样的的信。这些不是是发生过过并发生生着么？这还没没有提及

9、及蓄谋的的情况，也没有有提及998年洪洪水或者者9111事件这这样的灾灾难情况况下会是是什么样样子。这些现象象的直接接原因并并不复杂杂，所产产生的后后果可小小可大。作为一一个置身身于激烈烈竞争环环境下的的现代组组织，其其所面临临或者将将要面临临的情况况要复杂杂得多，或者其其组织本本身就复复杂得多多，如何何在这种种背景下下解决信信息安全全问题呢呢？笔者认为为组织要要做好信信息安全全工作，首要任任务是要要表明组组织在信信息安全全问题上上的基本本态度，实践证证明信息息安全策策略是表表达这种种态度的的一个好好途径。一个详详尽的专专业化的的信息全全策略可可以避免免上面所所提到的的很多问问题的发发生。二、

10、怎样样才算一一个成功功的信息息安全策策略因为组织织的性质质、规模模、环境境各不相相同，要要彻底的的回答这这个问题题几乎是是不可能能的。但但是我们们也不是是无章可可循的，从理论论上来考考察，一一个好的的策略体体系应该该保障组组织的信信息资产产的机密密性、可可用性、完整性性不被破破坏；从从实践角角度，我我们可以以试着对对信息安安全策略略的组成成部分和和主要内内容进行行一下描描述，并并对策略略整体的的比较总总结出一一些衡量量指标，便于我我们制定定选择更更好的策策略。（一）一一个正式式的信息息安全策策略应该该包括下下列信息息： 适用用范围：包括人人员和时时间上的的范围，例如“平等的的适用于于所有雇雇员

11、，本本规定适适用于工工作时间间和非工工作时间间”，消除除本该受受到约束束的员工工产生自自己是个个例外的的想法，也保证证策略不不至于被被误解为为是针对对某个人人的。 目标标：例如如“为确保保公司的的技术、经营秘秘密不流流失，维维护企业业的经济济利益，根据国国家有关关法规，结合企企业实际际，特制制定本条条例。”明确了了信息安安全保护护对公司司是有重重要意义义的，而而不是毫毫无意义义和不必必要的，是与国国家法律律相一致致的而不不是不受受法律保保护的。主题明明确的策策略可能能有更明明确的目目标，例例如防病病毒策略略的目标标可以是是：“为了正正确执行行对计算算机病毒毒、蠕虫虫、特洛洛伊木马马的预防防、侦

12、测测和清除除过程，特制定定本策略略”。 策略略主体，详细内内容见（二）。 策略略签署。信息安安全策略略是强制制性的、惩罚性性的，策策略的执执行需要要来自管管理层的的支持，通常是是信息安安全主管管或者执执行总裁裁，也可可能是部部门的主主管，但但是签署署人的管管理地位位不能太太低，否否则会有有执行的的难度，如果遭遭到某高高层主管管抵制常常会导致致策略流流产。高高层主管管的签署署也表明明信息安安全不仅仅是信息息安全部部门的事事情，而而是和整整个组织织所有成成员都密密切相关关的事情情。 策略略的生效效时间和和有效期期（或者者重新评评审时间间）。旧旧策略的的更新和和过时策策略的废废除是很很重要的的，应该

13、该保持生生效的策策略中包包含新的的安全要要求。 重新新评审策策略的时时机。策策略除了了常规的的评审时时机，在在下列情情况下也也需要重重新评审审： 管管理体系系发生很很大变化化 相相关法律律法规发发生了变变化 信信息系统统或者信信息技术术发生大大的变化化 组组织发生生了重大大的安全全事故 与其其他相关关策略的的引用关关系。因因为多种种策略可可能相互互关联，引用关关系可以以描述策策略的层层次结构构，而且且在策略略修改的的时候经经常涉及及到相关关策略的的修改，清楚的的引用关关系也可可以节省省查找时时间。 策略略解释、疑问响响应的人人员或者者部门。经验表表明由于于工作环环境不同同、知识识背景不不同、措

14、措辞等原原因可能能导致误误解、歧歧义，应应该有一一个权威威的解释释人员或或者解释释结构。 一些些例外情情况的处处理途径径。策略略如果不不允许例例外情况况可能会会变得很很死板，策略中中应该说说明特殊殊情况的的安全通通道。 违反反规定的的后果和和维护信信息安全全的奖励励：例如如规定“将将给予开开除处分分”，简明明扼要，一句话话就表明明了违反反该规定定的人会会受到什什么惩罚罚。策略的格格式可以以根据组组织的惯惯例自行行选择，所列举举的项目目也可以以做适当当的增删删，例如如还可以以在策略略的开头头部分加加上一个个关于策策略的简简短说明明；策略略评审的的时机和和例外情情况的处处理等内内容不一一定每个个策

15、略都都有，整整个组织织可以对对这些内内容只做做一个总总括性的的说明（例如作作为信信息安全全策略手手册的的通用说说明出现现是个好好的做法法）。下下图是某某公司的的Emaail安安全策略略的部分分内容，供大家家参考。某公司电子邮件策略 发布部门 科技信息部 生效时间 年 月 日 批准人 编号 XISMS-P-55 介绍 制定这个策略是为了让每位员知晓在Email的过程中好的操作方法，明确Email使用过程中的责任。 目标 为了建立某公司的Email使用规则，保证Email的合理发送、收取和存储。 适用范围 该Email策略平等的适用于某公司能够通过Email发送、收取和存储信息的所有职员。 术语定

16、义 略 电子邮件策略 下列行为是策略所禁止的 发送或者转发与工作业务无关的个人信息； 发送或者转发虚假、黄色、反动信息； 发送或者转发宣扬个人政治倾向或者宗教信仰； 发送或者转发发送垃圾信息； 发送或者转发能够引起连锁发送的恐吓、祝贺等信息； Email大小超过限制； 发送口令、密钥、信用卡等的敏感信息； 用个人信息处理设备收发公司内部Email； 用公司外部账号发送、转发、收取公司敏感信息； 在非授权情况下以公司的名义发表个人意见； 发送或者转发可能有计算机病毒的信息； 使用非授权的电子邮件收发软件； 下列行为是策略所要求的 每位员工都有一个Email账号，账号密码必须符合XISMS-P-5

17、6口令策略； 用Email经过外部网络发送机密信息必须经过加密，加密必须符合XISMS-P-34加密策略； 发送Email必须有清楚的主题； Email在的处理和存储必须符合XISMS-P-02信息的分类、标识和存储策略； 管理授权 公司有权对职员的Email进行监视和记录； 公司有权对Email的内容进行存储备份以用于法律目的； Email附件的加密及加密方法应该获得公司的批准，密码需要在公司备案； 惩罚 违背这个策略，根据情节轻重处以罚款、降级、开除等处罚，违背法律法规的诉诸法律程序追究法律责任。 引用标准 XISMS-P-02信息的分类、标识和存储策略 XISMS-P-21口令策略 XI

18、SMS-P-34加密策略 发布时间： 年 月 日 第 页， 共 页 （二）信信息安全全策略的的主体内内容信息安全全策略通通常不是是一篇文文档，根根据组织织的复杂杂程度还还可能分分成几个个层次，其主题题内容各各不相同同。但是是每个主主题的策策略都应应该简洁洁、清晰晰的阐明明什么行行为是组组织所望望的，提提供足够够的信息息，保证证相关人人员仅通通过策略略自身就就可以判判断哪些些策略内内容是和和自己的的工作环环境相关关的，是是适用于于哪些信信息资产产和处理理过程的的。例如如“绝密级级的技术术、经营营战略，只限于于主管部部门总经经理或副副总经理理批准的的直接需需要的科科室和人人员使用用，使用用科室和和

19、人员必必须做好好使用过过程的保保密工作作，而且且必须办办理登记记手续。”使每一一位职员员都明确确组织对对他授予予了什么么权利，以及对对信息资资源所负负的责任任。通常一个个组织可可能会考考虑开发发下列主主题的信信息安全全策略：1. 环境境和设备备的安全全2. 信息息资产的的分级和和人员责责任3. 安全全事故的的报告与与响应4. 第三三方访问问的安全全性5. 委外外处理系系统的安安全6. 人员员的任用用、培训训和职责责7. 系统统策划、验收、使用和和维护的的安全要要求8. 信息息与软件件交换的的安全9. 计算算级和网网络的访访问控制制和审核核10. 远程程工作的的安全11. 加密密技术控控制12.

20、 备份份、灾难难恢复和和可持续续发展的的要求13. 符合合法律法法规和技技术指标标的要求求也可以划划分更细细一些，例如账账号管理理策略、便携式式计算机机使用策策略、口口令管理理策略、防病毒毒策略、软件控控制策略略、Emmaill使用策策略、IInteerneet访问问控制策策略等。每一种种主题可可以借鉴鉴相关的的标准和和惯例，例如环环境和设设备安全全可以参参考的国国家标准准有：GGB5001744-933电子子计算机机机房设设计规范范、GGB28887-89计算站站场地技技术条件件、GGB93361-88计算站站场地安安全要求求等(当然这这些标准准制定的的时间比比较早，组织需需要根据据自己的的

21、情况判判断吸收收，一些些信息安安全要求求比较高高的组织织可能在在很多方方面要超超过这些些标准的的要求，对于大大型组织织也可以以参考这这些项目目自己开开发相应应的标准准)。（三）要要衡量一一个信息息安全策策略整体体优劣可可以考虑虑的因素素包括： 目目的性：策略是是为组织织完成自自己的使使命而制制定的，策略应应该反映映组织的的整体利利益和可可持续发发展的要要求； 适适用性：策略应应该反映映组织的的真实环环境，反反映但前前信息安安全的发发展水平平； 可可行性：策略应应该具有有切实可可行性，其目标标应该可可以实现现，并容容易测量量和审核核。没有有可行性性的策略略不仅浪浪费时间间还会引引起政策策混乱；

22、经经济性：策略应应该经济济合理，过分复复杂和草草率都是是不可取取的。 完完整性：能够反反映组织织的所有有业务流流程安全全需要； 一一致性：策略的的一致性性包括下下面三个个层次： 和国国家、地地方的法法律法规规保持一一致 和组组织已有有的策略略（方针针）保持持一致 整体体安全策策略保持持一致，要反映映企业对对信息安安全一般般看法，保证用用户不把把该策略略看成是是不合理理的，甚甚至是针针对某个个人的。 弹弹性：策策略不仅仅要满足足当前的的组织要要求，还还要满足足组织和和环境在在未来一一段时间间内发展展的要求求。当然要开开发一系系列好的的信息安安全策略略还必须须措辞恰恰当，良良好的措措辞可以以造就优

23、优秀的策策略，而而很差的的用词则则会起到到完全相相反的结结果，所所选用的的版式和和媒体对对策略的的效果也也会有些些影响。三、信息息安全策策略是怎怎么形成成的组织要制制定一个个科学系系统的信信息安全全策略首首先必须须回答下下面的问问题：1. 组织织有那些些重要信信息资产产（信息息和信息息处理设设施）？2. 这些些资产面面临着什什么样的的威胁？3. 组织织的业务务在多大大程度上上依赖于于这些资资产？这这些资产产一旦失失效、失失控或者者泄密会会给组织织带来多多大的损损失？4. 资产产失效、失控或或者泄密密的可能能性有多多大？要回答这这些问题题，组织织必须进进行风险险评估，识别出出重要信信息资产产和相

24、应应的风险险。风险险评估至至少需要要考虑的的因素包包括法律律法规的的要求、合作伙伙伴的要要求和组组织自身身业务发发展的要要求等。专业的的风险评评估应该该对风险险进行量量化，分分类级级排序，以作为为策略优优先等级级的依据据。一般组织织没有能能力总结结信息安安全的所所有要素素，ISSO 1177999提供供了相应应的材料料，组织织可以根根据自己己业务性性质和环环境从中中选择安安全要素素。相关关的术语语和方法法也可以以从类似似的标准准中引用用，例如如： ISSO/IIEC TR 133335 信息息技术安安全管理理指南 (IInfoormaatioon ttechhnollogyy-Seecurri

25、tyy teechnniquues -Guuideelinnes forr thhe mmanaagemmentt off ITT seecurrityy(GMMITSS) ISSO/IIEC 154408信息技技术安全全的评估估准则(Innforrmattionn teechnnoloogy - SSecuuritty ttechhniqquess-Evvaluuatiion criiterria forr ITT seecurrityy) GBB 1778599-19999计计算机信信息系统统安全保保护等级级划分准准则 GAA 166319997计算算机信息息系统安安全专用用产品分分类原则

26、则信息安全全标准还还有很多多，识别别这些信信息安全全标准并并符合或或者超过过这些标标准通常常要比组组织自己己开发标标准事半半功倍。组织信息息安全策策略的开开发也可可以委托托专业的的信息安安全服务务公司进进行，这这些服务务公司根根据其已已有的策策略模板板和相关关经验，能够迅迅速根据据组织自自身情况况制定出出合适的的策略。四、如何何使信息息安全策策略得到到贯彻得不到贯贯彻的策策略是一一纸空文文，执行行不正确确或者力力度不够够其效果果也会大大打折扣扣。信息息安全策策略的实实施看起起来简单单做起来来难，其其关键是是如何把把策略准准确传达达给每一一位相关关人员。要把策略略落实到到每个人人的日常常工作中中

27、，需要要很多方方法的配配合使用用。比方方说策略略的分发发有一定定的技巧巧，把策策略直接接送交读读者，并并收回旧旧版本的的做法可可以保证证读者总总是能够够得到最最新的版版本；而而要求读读者在策策略生效效之前签签署一个个文本，说明已已经收到到该版本本的策略略，已经经详细阅阅读且理理解了其其中的条条款并且且愿意遵遵守这些些策略，这样可可以引起起其足够够重视。组织或者者部门根根据信息息安全策策略开发发或者修修改信息息操作程程序文件件也是一一个好办办法，即即建立一一个文件件化的信信息安全全管理体体系，在在组织的的相应程程序文件件中体现现策略的的有关要要求。一一个程序序可能一一次或者者多次涉涉及到多多条安

28、全全策略，如果组组织的程程序文件件覆盖组组织的全全部过程程，那么么程序文文件也应应该覆盖盖组织的的所有安安全策略略，这样样程序文文件和信信息安全全策略就就组成一一个纵横横交错的的安全网网络，保保证策略略切实得得到实施施，将安安全风险险降低到到可接受受的水平平。BSS77999-22:20002信息安安全管理理体系规规范是是目前国国际上应应用最广广泛、最最典型的的信息安安全管理理体系符符合性标标准，如如果要建建立文件件化的信信息安全全管理体体系可以以参考之之。能力和意意识的培培训也是是把策略略传达下下去的一一种好方方法，在在组织缺缺乏程序序文件的的时候作作用更是是不可忽忽略。这这就像一一个驾驶驶员，没没有驾驶驶的程序序文件，通过培培训就能能够把交交通规则则自觉应应用到驾驾驶过程程中的道道理是一一样的。而且有有针对性性的培训训可以让让相关人人员很快快对策略略形成整整体的认认识和比比较深刻刻的印象象，这是是公文方方式往往往很难达达到的效效果。审核是策策略得以以实施的的保障，组织必必须有成成文的审审核办法法，详细细规定审审核的周周期和技技术手段段，及时时发现问问题及时时解决。总结这里从组组织的角角度来考考虑信息息安全策策略问题题。笔者者认为国国家信息息安全主主管部门门和标准准委员会会应该为为组织制制定信息息安全策策略提供供标准支支持，