第5章信息安全策略管理 內容提要 信息安全策略的概念 信息安全策略的層次 信息安全策略的制定 信息安全策略的管理及相關技術 5 1信息安全策略的概念 信息安全策略的概念信息安全策略從本質上來說是描述組織具有哪些重要信息資產 并說明這些信息資產如何被保護的一個計劃 安全策略將系統(tǒng)的狀態(tài)分為兩個集合 已授權的和未授權的 5 1信息安全策略的概念 制定信息安全策略的目的如何使用組織中的信息系統(tǒng)資源如何處理敏感信息如何采用安全技術產品信息安全策略通過為每個組織成員提供基本的原則 指南和定義 從而在組織中建立一套信息資源保護標準 防止人員的不安全行為引入風險 安全策略是進一步制定控制規(guī)則和安全程序的必要基礎 信息安全策略能夠解決的問題敏感信息如何被處理 如何正確地維護用戶身份與口令 以及其他賬號信息 如何對潛在的安全事件和入侵企圖進行響應 如何以安全的方式實現(xiàn)內部網及互聯(lián)網的連接 怎樣正確使用電子郵件系統(tǒng) 5 2信息安全策略的層次 信息安全策略的層次信息安全方針具體的信息安全策略 5 2 1信息安全方針 信息安全方針的概念信息安全方針就是組織的信息安全委員會或管理機構制定的一個高層文件 是用于指導組織如何對資產 包括敏感性信息進行管理 保護和分配的規(guī)則和指示 信息安全方針應包含的內容信息安全的定義 總體目標和范圍 安全對信息共享的重要性 管理層意圖 支持目標和信息安全原則的闡述 信息安全控制的簡要說明 以及依從法律法規(guī)要求對組織的重要性 信息安全管理的一般和具體責任定義 包括報告安全事故等 5 2 2具體的信息安全策略 策略包含一套規(guī)則 規(guī)定了在機構內可接受和不可接受的行為 為了執(zhí)行策略 機構必須實施一套標準 以準確定義在工作場所哪些行為是違反規(guī)定的 以及機構對該行為的懲罰標準 標準是對策略的行為規(guī)則更詳細的描述 在實施過程中 機構應當針對各種違規(guī)行為制定一套標準 并列出這些行為的詳細資料 實踐 過程和指導方針解釋了員工應當怎樣遵守策略 5 2 2具體的信息安全策略 企業(yè)信息安全策略基于問題的安全策略基于系統(tǒng)的安全策略 5 2 2 1企業(yè)信息安全策略 企業(yè)信息安全策略 EISP 安全項目策略 總安全策略 IT安全策略 高級信息安全策略 也就是為整個機構安全工作制定戰(zhàn)略方向 范圍和策略基調 EISP為信息安全的各個領域分配責任 包括信息安全策略的維護 策略的實施 最終用戶的責任 EISP還特別規(guī)定了信息安全項目的制定 實施和管理要求 EISP是一個執(zhí)行級的文檔 是由CISO與CIO磋商后起草的 通常2耀10頁長 它構成了IT環(huán)境的安全理念 EISP一般不需要做經?；蛉粘５男薷?除非機構的戰(zhàn)略方向發(fā)生了變化 5 2 2 1企業(yè)信息安全策略 企業(yè)信息安全策略 EISP 的組成盡管各個機構的企業(yè)信息安全策略有差別 但大多數(shù)EISP文檔應該包括以下要素 關于企業(yè)安全理念的總體看法機構的信息安全部門結構和實施信息安全策略人員信息機構所有成員共同的安全責任 員工 承包人 顧問 合伙人和訪問者 機構所有成員明確的 特有的安全責任注意 應把機構的任務和目標納入EISP中例 一個好的EISP的組成部分 5 2 2 1企業(yè)信息安全策略 5 2 2 1企業(yè)信息安全策略 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP Issue SpecificSecurityPolicy 提供了詳細的 目標明確的指南 以此來指導所有機構成員如何使用基于技術的系統(tǒng) 一個有效的ISSP是各方 機構和成員 之間的協(xié)議 并且顯示 為了保障技術不會以不恰當方式被使用 機構已經做出了極大的努力 ISSP應該讓機構成員認識到 策略的目標不是為機構的信息系統(tǒng)遭受破壞后起訴有關責任人提供法律依據(jù) 而是為了就哪些技術能否應用到系統(tǒng)中而達成共識 一旦達成了這個共識 員工就可以不用尋求領導批準 而任意使用各種類型的技術 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP 應完成的目標明確地指出機構期望其員工如何使用基于技術的系統(tǒng) 記錄了基于技術的系統(tǒng)的控制過程 并確定這個控制過程和相關的負責機構 當機構的員工由于使用不當 或者非法操作系統(tǒng)而造成了損失 它可以保護機構不承擔該責任 ISSP的特性它是針對特定的 基于技術的系統(tǒng)它要求不斷地升級它包含一個問題陳述 解釋了機構對特定問題的態(tài)度 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP 的組成目標聲明授權訪問和設備的使用設備的禁止使用系統(tǒng)管理違反策略策略檢查和修改責任的限制 5 2 2 2 1ISSP的組成 目標聲明概括策略的范圍和適用性 用于解決以下問題 這個策略服務于什么目標 由誰來負責實施策略 策略文檔涉及到哪些技術問題 授權訪問和設備的使用解釋了誰可以使用策略所規(guī)定的技術 用于什么目的 該部分規(guī)定了以 公正和負責任的使用 方式使用設備和機構的其他資產 并且闡述了關鍵法律問題 例如個人信息和隱私的保護 注意 機構的信息系統(tǒng)是該機構的專有財產 用戶并沒有特殊的使用權 5 2 2 2 1ISSP的組成 設備的禁止使用闡述了設備禁止使用的范圍 如 私人使用 破壞性使用或者誤用 冒犯或者侵擾的材料 以及侵犯版權 未經批準的東西和其他涉及知識產權的活動 注意 一個機構可以靈活地組合授權訪問 設備的使用和設備的禁止使用 形成 恰當?shù)氖褂貌呗?系統(tǒng)管理指定用戶和系統(tǒng)管理員的責任 以便讓各方都知道他們應該負責什么 一家公司可能希望發(fā)布具體的規(guī)則來指導員工如何使用電子郵件和電子文檔 如何存儲電子文檔 授權雇主如何監(jiān)控 以及如何保護電子郵件和其他電子文檔的物理和電子安全 5 2 2 2 1ISSP的組成 違反策略規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式 懲罰應該針對每種違規(guī)類型而設計 這部分也應該提供針對怎樣報告已觀察到的或可疑的違規(guī)行為 策略檢查和修改明確ISSP的具體檢查和修改方法 以便保證用戶手上總是有反映機構當前技術和需求的指導方針 責任的限制對一系列的 拒絕承擔責任聲明 做了概要說明 如果員工使用公司的技術時 違反了公司的策略或法律 假設管理者不知道或不同意這種違規(guī)行為 那么公司將不會保護他們 并且不會為他們的行為負責 5 2 2 2 2ISSP的制定和管理 制定和管理ISSP的方法有很多種 常見的有3種 創(chuàng)建一定數(shù)量獨立的ISSP文檔 每個策略文檔都對應一個具體的問題 只創(chuàng)建一個綜合的文檔 該文檔旨在覆蓋所有的問題 創(chuàng)建一個ISSP文檔的模板 當維護每一個具體問題需求的時 可以按這個模板創(chuàng)建和管理統(tǒng)一的策略 5 2 2 2 2ISSP的制定和管理 3種方法的優(yōu)點和缺點 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs System SpecificPolicy 是采用技術或管理措施來控制設備的配置 在配置和維護系統(tǒng)時起到標準和過程指導的作用 例如 SysSPs可能描述了網絡防火墻的配置和操作規(guī)程 該文檔可能包括管理目標聲明 網絡工程師選擇 配置和操作防火墻的指南 訪問控制列表 為每個授權用戶定義訪問級別 SysSPs的組成管理指南技術規(guī)范 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs 管理指南SysSPs管理指南由管理層制定 用來指導技術的實現(xiàn)和配置 該指南還規(guī)定了機構內部員工支持信息安全的行為規(guī)則 例如 一個機構可能不希望它的員工利用機構的網絡訪問因特網 在這種情況下 應該按照這種規(guī)則配置防火墻 基于系統(tǒng)的策略可以和基于問題的安全策略 ISSP 同時制定 或者在相關的ISSPs制定之前準備 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs 技術規(guī)范有兩種方法實現(xiàn)這種技術控制 訪問控制列表和配置規(guī)則 訪問控制列表訪問控制列表 ACLs 包括用戶訪問列表 矩陣和權限列表 它控制了用戶的權限和特權 ACLs控制了對文檔存儲系統(tǒng) 中間設備或其他網絡通信設備的訪問 一個權限列表詳細規(guī)定了哪些設備用戶或組可以訪問 權限規(guī)定常常采用復雜矩陣的形式 而不是簡單的列表 NT 2000把ACLs轉變成一種配置單元 系統(tǒng)管理員用這個配置單元可以控制系統(tǒng)訪問 5 2 2 3基于系統(tǒng)的策略 訪問控制列表訪問控制列表 ACLs 使管理員能夠根據(jù)用戶 計算機 訪問時間 甚至特殊的文檔來限制對系統(tǒng)的訪問 一般說來 ACLs規(guī)定以下幾個方面 誰可以使用系統(tǒng)授權用戶可以訪問什么授權用戶在何時可以訪問系統(tǒng)授權用戶在何地可以訪問系統(tǒng)授權用戶怎樣訪問系統(tǒng) 5 2 2 3基于系統(tǒng)的策略 配置規(guī)則配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼 在信息流經它時 該規(guī)則指導系統(tǒng)的執(zhí)行 基于規(guī)則的策略比ACLs規(guī)定得更為詳細 一些安全系統(tǒng)要求特定的配置腳本 這些腳本告訴系統(tǒng)他們處理每種信息的時候 系統(tǒng)需要執(zhí)行哪種相應操作 如 防火墻配置規(guī)則 IDS配置規(guī)則 組合SysSPs許多機構選擇創(chuàng)建單一的文檔 該文檔把管理指南和技術規(guī)范二者結合起來 如果采用此方法 就應當注意要仔細清楚地表述操作過程所要求的執(zhí)行步驟 5 3信息安全策略的制定 安全策略的制定原則起點進入原則 在系統(tǒng)建設一開始就考慮安全策略問題 長遠安全預期原則 對安全需求作總體設計和長遠打算 最小特權原則 不給用戶超出執(zhí)行任務所需權利以外的期限 公認原則 參考通用的安全措施 做出自己的決策 適度復雜與經濟原則策略不能與法律相沖突策略必須被恰當?shù)刂С趾凸芾?5 3 1信息安全策略的制定過程 理解組織業(yè)務特征充分了解組織業(yè)務特征是設計信息安全策略的前提 對組織業(yè)務的了解包括對其業(yè)務內容 性質 目標及其價值進行分析 得到管理層的明確支持與承諾使制定的信息安全策略與組織的業(yè)務目標一致 使制定的安全方針 政策和控制措施可以在組織的上上下下得到有效的貫徹 可以得到有效的資源保證 5 3 1信息安全策略的制定過程 組建安全策略制定小組小組成員的多少視安全策略的規(guī)模與范圍大小而定 一般有以下人員組成 高級管理人員 信息安全管理員 信息安全技術人員 負責安全策略執(zhí)行的管理人員 用戶部門人員 確定信息安全整體目標通過防止和最小化安全事故的影響 保證業(yè)務持續(xù)性 使業(yè)務損失最小化 并為業(yè)務目標的實現(xiàn)提供保障 5 3 1信息安全策略的制定過程 起草擬定安全策略安全策略要盡可能地涵蓋所有的風險和控制 沒有涉及的內容要說明原因 并闡述如何根據(jù)具體的風險和控制來決定制訂什么樣的安全策略 評估安全策略安全策略制定完成后 要進行充分的評估和測試 評估時可以考慮如下問題 安全策略是否符合法津 法規(guī) 技術標準及合同的要求 管理層是否已批準了安全策略 并明確承諾支持政策的實施 安全策略是否損害組織 組織人員及第三方的利益 安全策略是否實用 可操作并可以在組織中全面實施 安全策略是否滿足組織在各個方面的安全要求 安全策略是否已傳達給組織中的人員與相關利益方 并得到了他們的同意 5 3 1信息安全策略的制定過程 實施安全策略把安全方針與具體安全策略編制成組織信息安全策略手冊 然后發(fā)布到組織中的每個組織人員與相關利益方 幾乎所有層次的所有人員都會涉及到這些政策 組織中的主要資源將被這些政策所涵蓋 將引入許多新的條款 程序和活動來執(zhí)行安全策略 政策的持續(xù)改進組織所處的內外環(huán)境在不斷變化 信息資產所面臨的風險也是一個變數(shù) 人的思想和觀念也在不斷的變化 5 4信息安全策略管理及相關技術 安全策略管理辦法集中式管理集中式管理就是在整個網絡系統(tǒng)中 由統(tǒng)一 專門的安全策略管理部門和人員對信息資源和信息系統(tǒng)使用權限進行計劃和分配 分布式管理分布式管理就是將信息系統(tǒng)資源按照不同的類別進行劃分 然后根據(jù)資源類型的不同 由負責此類資源管理的部門或人員負責安全策略的制定和實施 5 4 1信息安全策略管理相關技術 安全策略統(tǒng)一描述技術安全策略描述是實現(xiàn)策略管理的基礎 策略描述語言 PDL Ponder 安全策略自動翻譯技術安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不同設備對應的配置命令 配置腳本或策略結構的過程 安全策略一致性檢驗技術策略之間的沖突很難避免 策略一致性驗證主要包括策略的語法 語義檢查和策略沖突檢測兩個方面 5 4 1信息安全策略管理相關技術 安全策略發(fā)布與分發(fā)技術 推 模式 拉 模式對內網設備而言 在 推 模式下 策略服務器解析從策略庫中提取的策略 將策略發(fā)送到相應的策略執(zhí)行體 在 拉 模式下 策略服務器接受設備的請求 查詢策略庫 決定分發(fā)的策略 并將其發(fā)送給請求的設備 對外網設備而言 策略發(fā)布服務器作為設備和服務器之間分發(fā)策略的代理 推 拉 策略時都由策略發(fā)布服務器和策略服務器通信 并將最終的策略決策轉交給外網設備 5 4 1信息安全策略管理相關技術 安全策略狀態(tài)監(jiān)控技術安全策略狀態(tài)監(jiān)控技術用于支持安全策略生命周期中各種狀態(tài)的監(jiān)測 并控制狀態(tài)之間的轉換 策略的生命周期狀態(tài)包括 休眠態(tài) 待激活態(tài) 激活態(tài) 掛起態(tài)