1 信息安全策略 2 目錄 3 一 信息安全策略概述 4 1 信息安全策略的定義 計算機安全研究組織SANS 為了保護存儲在計算機中的信息 安全策略要確定必須做什么 一個好的策略有足夠多 做什么 的定義 以便于執(zhí)行者確定 如何做 并且能夠進行度量和評估 一組規(guī)則 這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標和實現(xiàn)這些信息安全目標的途徑 信息安全策略是一個組織關(guān)于信息安全的基本指導(dǎo)規(guī)則 信息安全策略提供 信息保護的內(nèi)容和目標 信息保護的職責落實 實施信息保護的方法 事故的處理 5 安全策略的引入 信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn) 并說明這些信息資產(chǎn)如何被保護的一個計劃 安全策略是進一步制定控制規(guī)則和安全程序的必要基礎(chǔ) 安全策略本質(zhì)上是非形式化的 也可以是高度數(shù)學(xué)化的 安全策略將系統(tǒng)的狀態(tài)分為兩個集合 已授權(quán)的和未授權(quán)的 6 1 1安全策略的引入 制定信息安全策略的目的 如何使用組織中的信息系統(tǒng)資源 如何處理敏感信息 如何采用安全技術(shù)產(chǎn)品 7 1 1安全策略的引入 安全策略涉及的問題 敏感信息如何被處理 如何正確地維護用戶身份與口令 以及其他賬號信息 如何對潛在的安全事件和入侵企圖進行響應(yīng) 如何以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接 怎樣正確使用電子郵件系統(tǒng) 8 安全策略 保密性策略 可用性策略 完整性策略 安全策略的層次 信息安全方針 具體的信息安全策略 9 信息安全方針 信息安全方針就是組織的信息安全委員會或管理機構(gòu)制定的一個高層文件 是用于指導(dǎo)組織如何對資產(chǎn) 包括敏感性信息進行管理 保護和分配的規(guī)則和指示 信息安全的定義 總體目標和范圍 安全對信息共享的重要性 管理層意圖 支持目標和信息安全原則的闡述 信息安全控制的簡要說明 以及依從法律法規(guī)要求對組織的重要性 信息安全管理的一般和具體責任定義 包括報告安全事故等 10 安全程序 安全程序是保障信息安全策略有效實施的 具體化的 過程性的措施 是信息安全策略從抽象到具體 從宏觀管理層落實到具體執(zhí)行層的重要一環(huán) 程序是為進行某項活動所規(guī)定的途徑或方法 信息安全管理程序包括 實施控制目標與控制方式的安全控制程序 為覆蓋信息安全管理體系的管理與運作的程序 11 程序文件的內(nèi)容包括 活動的目的與范圍 Why 做什么 What 誰來做 Who 何時 When 何地 Where 如何做 How 程序文件應(yīng)遵循的原則 一般不涉及純技術(shù)性的細節(jié)針對影響信息安全的各項活動目標的執(zhí)行做出的規(guī)定應(yīng)當簡練 明確和易懂應(yīng)當采用統(tǒng)一的結(jié)構(gòu)與格式編排 12 2 信息安全策略的特點 指導(dǎo)性原則性可審核性非技術(shù)性現(xiàn)實可行性動態(tài)性文檔化 13 3 信息安全策略的地位 必須有相應(yīng)的措施保證信息安全策略得到強制執(zhí)行管理層不得允許任何違反信息安全策略的行為存在信息安全策略必須有清晰和完全的文檔描述需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補充信息安全策略 14 4 功能 信息安全策略的主要功能就是要建立一套安全需求 控制措施及執(zhí)行程序 定義安全角色賦予管理職責 陳述組織的安全目標 為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ) 15 信息安全策略的保護對象 16 信息安全策略 網(wǎng)絡(luò)設(shè)備安全服務(wù)器安全信息分類信息保密用戶賬戶與口令遠程訪問 反病毒防火墻及入侵檢測安全事件調(diào)查與響應(yīng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃風險評估信息系統(tǒng)審計 17 信息安全策略的設(shè)計范圍 18 信息安全策略的設(shè)計范圍 19 信息安全策略的設(shè)計范圍 20 安全策略的格式 1 目標2 范圍3 策略內(nèi)容4 角色責任5 執(zhí)行紀律6 專業(yè)術(shù)語7 版本歷史 21 安全策略的格式 1 目標建立信息系統(tǒng)安全的總體目標 定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求 信息安全策略必須有一定的透明度并得到高層管理層的支持 這種透明度和高層支持必須在安全策略中有明確和積極的反映 信息安全策略要對所有員工強調(diào) 信息安全 人人有責 的原則 使員工了解自己的安全責任與義務(wù) 22 安全策略的格式 2 范圍信息安全策略應(yīng)當有足夠的范圍廣度 包括組織的所有信息資源 設(shè)施 硬件 軟件 信息 人員 在某些場合下 安全可以定義特殊的資產(chǎn) 比如 組織的主站點 各種重要裝置和大型系統(tǒng) 此外 還應(yīng)包括組織所有信息資源類型的綜述 例如 工作站 局域網(wǎng) 單機等 23 安全策略的格式 3 策略內(nèi)容根據(jù)ISO17799中定義 對信息安全策略的描述應(yīng)該集中在三個方面 機密性 完整性和可用性 這三種特性是組織建立信息安全策略的出發(fā)點 機密性是指信息只能由授權(quán)用戶訪問 其他非授權(quán)用戶 或非授權(quán)方式不能訪問 完整性就是保證信息必須是完整無缺的 信息不能被丟失 損壞 只能在授權(quán)方式下修改 可用性是指授權(quán)用戶在任何時候都可以訪問其需要的信息 信息系統(tǒng)在各種意外事故 有意破壞的安全事件中能保持正常運行 24 安全策略的格式 3 策略內(nèi)容根據(jù)給定的環(huán)境 應(yīng)當給員工明確描述與這些特性相關(guān)的信息安全要求 組織的信息安全策略應(yīng)當以員工熟悉的活動 信息 術(shù)語等方式來反映特定環(huán)境下的安全目標 例如 組織在維護大型但機密性要求并不高的數(shù)據(jù)庫時 其安全目標主要是減少錯誤 數(shù)據(jù)丟失或數(shù)據(jù)破壞 如果組織對數(shù)據(jù)的機密性要求高時 安全目標的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露 25 安全策略的格式 4 角色責任信息安全策略除了要建立安全程序及程序管理職責外 還需要在組織中定義各種角色并分配責任 明確要求 比如 部分業(yè)務(wù)管理人員 應(yīng)用系統(tǒng)所有者 數(shù)據(jù)用戶 計算機系統(tǒng)安全小組等 在某些情況下 信息安全策略中要理順組織中的各種個體與團體的關(guān)系 以避免在履行各自的責任與義務(wù)時發(fā)生沖突 26 安全策略的格式 5 執(zhí)行紀律沒有一個正式的 文件化的安全策略 管理層不可能制定出懲戒執(zhí)行標準與機制 信息安全策略是組織制定和執(zhí)行紀律措施的基礎(chǔ) 信息安全策略中應(yīng)當描述與安全策略損害行為的類型與程度相對應(yīng)的懲戒辦法 還要考慮到有時員工違反安全策略并非是有意的 有時也可能是對安全策略缺乏必要的了解造成的 對于這種情況 信息安全策略要預(yù)先采取措施 在合理的期限內(nèi) 進行相關(guān)安全策略介紹和安全意識教育培訓(xùn) 27 安全策略的格式 6 專業(yè)術(shù)語對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述 使組織成員對策略的了解不會產(chǎn)生歧義 7 版本歷史對策略版本在各個階段的修訂情況作出說明 28 二 信息安全策略的制定 29 1 制定信息安全策略的原則 先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 嚴格的安全管理是確保信息安全策略落實的基礎(chǔ) 嚴格的法律 法規(guī)是網(wǎng)絡(luò)安全保障的堅強后盾具體原則起點進入原則長遠安全預(yù)期原則最小特權(quán)原則公認原則適度復(fù)雜與經(jīng)濟原則 30 2 策略的制定需要達成的目標 減少風險 遵從法律和規(guī)則 確保組織運作的連續(xù)性 信息完整性和機密性 31 3 信息安全策略的依據(jù) 國家法律 法規(guī) 政策 行業(yè)規(guī)范 相關(guān)機構(gòu)的約束 機構(gòu)自身的安全需求 32 制定流程 具體的制定過程如下 確定信息安全策略的范圍 風險評估 分析或者審計 信息安全策略的審查 批準和實施具體如下 33 制定流程 理解組織業(yè)務(wù)特征 充分了解組織業(yè)務(wù)特征是設(shè)計信息安全策略的前提 對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容 性質(zhì) 目標及其價值進行分析 得到管理層的明確支持與承諾 使制定的信息安全策略與組織的業(yè)務(wù)目標一致 使制定的安全方針 政策和控制措施可以在組織的上上下下得到有效的貫徹 可以得到有效的資源保證 34 制定流程 組建安全策略制定小組 高級管理人員 信息安全管理員 信息安全技術(shù)人員 負責安全策略執(zhí)行的管理人員 用戶部門人員 確定信息安全整體目標 通過防止和最小化安全事故的影響 保證業(yè)務(wù)持續(xù)性 使業(yè)務(wù)損失最小化 并為業(yè)務(wù)目標的實現(xiàn)提供保障 35 制定流程 確定安全策略范圍 組織需要根據(jù)自己的實際情況確定信息安全策略要涉及的范圍 可以在整個組織范圍內(nèi) 或者在個別部門或領(lǐng)域制定信息安全策略 風險評估與選擇安全控制 風險評估的結(jié)果是選擇適合組織的控制目標與控制方式的基礎(chǔ) 組織選擇出了適合自己安全需求的控制目標與控制方式后 安全策略的制定才有了最直接的依據(jù) 起草擬定安全策略 安全策略要盡可能地涵蓋所有的風險和控制 沒有涉及的內(nèi)容要說明原因 并闡述如何根據(jù)具體的風險和控制來決定制訂什么樣的安全策略 36 制定流程 評估安全策略 安全策略是否符合法津 法規(guī) 技術(shù)標準及合同的要求 管理層是否已批準了安全策略 并明確承諾支持政策的實施 安全策略是否損害組織 組織人員及第三方的利益 安全策略是否實用 可操作并可以在組織中全面實施 安全策略是否滿足組織在各個方面的安全要求 安全策略是否已傳達給組織中的人員與相關(guān)利益方 并得到了他們的同意 37 制定流程 實施安全策略 把安全方針與具體安全策略編制成組織信息安全策略手冊 然后發(fā)布到組織中的每個組織人員與相關(guān)利益方 幾乎所有層次的所有人員都會涉及到這些政策 組織中的主要資源將被這些政策所涵蓋 將引入許多新的條款 程序和活動來執(zhí)行安全策略 組織所處的內(nèi)外環(huán)境在不斷變化 信息資產(chǎn)所面臨的風險也是一個變數(shù) 人的思想和觀念也在不斷的變化 政策的持續(xù)改進 38 制定流程 信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定 在制定一整套信息安全策略時 應(yīng)當參考一份近期的風險評估或信息審計 以便清楚了解組織當前的信息安全需求 對曾出現(xiàn)的安全事件的總結(jié) 也是一份有價值的資料 為了確定哪些部分需要進一步注意 應(yīng)收集組織當前所有相關(guān)的策略文件 也可以參考國際標準 行業(yè)標準來獲得指導(dǎo) 資料收集階段的工作非常重要 很多時候因為工作量和實施難度被簡化操作 39 制定流程 在制定策略之前 對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu) 信息安全策略應(yīng)當與已有的信息系統(tǒng)結(jié)構(gòu)相一致 并對其完全支持 這一點不是針對信息安全體系結(jié)構(gòu) 而是針對信息系統(tǒng)體系結(jié)構(gòu) 信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定 以保障信息安全體系實施 運行 40 制定流程 收集完上面所提到的材料后 開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿 并尋找直接相關(guān)人員對其進行小范圍的評審 對反饋意見進行修改后 逐漸的擴大評審的范圍 當所有的支持部門做出修改后 交由信息安全管理委員會評審 信息安全策略的制定過程有很高的政策性和個性 反復(fù)的評審過程能夠讓策略更加清晰 簡潔 更容易落地 為此在評審的過程中需要調(diào)動參與積極性 而不是抵觸 41 制定流程 評審過程的最后一步一般由總經(jīng)理 總裁 首席執(zhí)行官簽名 在人員合同中應(yīng)當表明能予遵守并且這是繼續(xù)雇傭的條件 也應(yīng)當發(fā)放到內(nèi)部服務(wù)器 網(wǎng)頁以及一些宣傳版面上的顯眼位置 并附有高層管理者的簽名 以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強有力的支持 經(jīng)驗表明 高層的支持對策略的實施落地是非常重要的 42 制定流程 一般來說 在信息安全策略文件評審過程中 會得到組織內(nèi)部各方多次評審和修訂 其中最為重要的是信息安全管理委員會 信息安全委員會一般由信息部門人員組成 參與者一般包括以下部門的成員 信息安全 內(nèi)部審計 物理安全 信息系統(tǒng) 人力資源 法律 財政和會計部 這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作 負責篩選提煉已提交的策略 以便在整個組織內(nèi)更好的實施落地 43 組織的安全策略 信息對組織的運作和發(fā)展所起到的作用越來越大 信息安全問題備受關(guān)注 信息安全是指信息的保密性 完整性和可用性的保持 其終極目標是降低組織的業(yè)務(wù)風險 保持可持續(xù)發(fā)展 另外 信息安全問題不單純是技術(shù)問題 它是涉及很多方面 歷史 文化 道德 法律 管理 技術(shù)等 的一個綜合性問題 單純從技術(shù)角度考慮是不可能得到很好解決的 我們在這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織 其規(guī)模和性質(zhì)不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī) 44 組織的安全策略 1 組織應(yīng)該有一個完整的信息安全策略我們可以通過下面一個例子來理解這種情況 某設(shè)計院有工作人員25人 每人一臺計算機 Windows98對等網(wǎng)絡(luò)通過一臺集線器連接起來 公司沒有專門的IT管理員 公司辦公室都在二樓 同一樓房內(nèi)還有多家公司 在一樓入口處趙大爺負責外來人員的登記 但是他經(jīng)常分辨不清楚是不是外來人員 設(shè)計院由市內(nèi)一家保潔公司負責樓道和辦公室的清潔工作 總經(jīng)理陳博士是位老設(shè)計師 他經(jīng)常撥號到Internet訪問一些設(shè)計方面的信息 他的計算機上還安裝了代理軟件 其他人員可以通過這個代理軟件訪問Internet 如果該設(shè)計院的信息安全管理停留在一種放任的狀態(tài) 會發(fā)生什么問題呢 下列情況都是有可能的 45 小偷順著一樓的防護欄潛入辦公室偷走了 保潔公司人員不小心弄臟了準備發(fā)給客戶的設(shè)計方案 錯把掉在地上的合同稿當廢紙收走了 不小心碰掉了墻角的電源插銷 某設(shè)計師張先生是公司的骨干 他嫌公司提供的設(shè)計軟件版本太舊 自己安裝了盜版的新版本設(shè)計程序 盡管這個盜版程序使用一段時間就會發(fā)生莫名其妙的錯誤導(dǎo)致程序關(guān)閉 可是張先生還是喜歡新版本的設(shè)計程序 并找到一些辦法避免錯誤發(fā)生時丟失文件 46 后來張先生離開設(shè)計院 新員工小李使用原來張先生的計算機 小李抱怨了多次計算機不正常 沒有人理會 最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序 小李把自己感覺重要的文件備份到陳博士的計算機上 聽朋友介紹Windows2000比較穩(wěn)定 他決定安裝Windows2000 于是他就重新給硬盤分區(qū) 成功完成了安裝 47 陳博士對張先生的不辭而別沒有思想準備 甚至還沒來得及交接一下張先生離開時正負責的幾個設(shè)計項目 這幾天他一閑下來就整理張先生的設(shè)計方案 可是突然一天提示登錄原來張先生的那臺計算機需要密碼了 小李并不熟悉Windows2000 只是說自己并沒有設(shè)置密碼 48 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機上 可是陳博士沒有找到自己需要的文件 大家通過陳博士的計算機訪問Internet 收集了很多有用的資料 可是最近好幾臺計算機在啟動的時候就自動連接上Internet 陳博士收到幾封主題不同的電子郵件 內(nèi)容竟然包括幾個還沒有提交的設(shè)計稿 可是員工都說沒有發(fā)過這樣的信 49 組織的安全策略 一個正式的信息安全策略應(yīng)該包括下列信息適用范圍 包括人員和時間上的范圍 目標 例如防病毒策略的目標可以是 為了正確執(zhí)行對計算機病毒 蠕蟲 特洛伊木馬的預(yù)防 偵測和清除過程 特制定本策略 策略主體 策略簽署 策略的生效時間和有效期 或者重新評審時間 50 組織的安全策略 一個正式的信息安全策略應(yīng)該包括下列信息重新評審策略的時機 策略除了常規(guī)的評審時機 在下列情況下也需要重新評審 管理體系發(fā)生很大變化 相關(guān)法律法規(guī)發(fā)生了變化 信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化 組織發(fā)生了重大的安全事故 與其他相關(guān)策略的引用關(guān)系 策略解釋 疑問響應(yīng)的人員或者部門 策略的格式可以根據(jù)組織的慣例自行選擇 所列舉的項目也可以做適當?shù)脑鰟h 例 51 組織的安全策略 信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔 根據(jù)組織的復(fù)雜程度還可能分成幾個層次 其主題內(nèi)容各不相同 但是每個主題的策略都應(yīng)該簡潔 清晰的闡明什么行為是組織所望的 提供足夠的信息 保證相關(guān)人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的 是適用于哪些信息資產(chǎn)和處理過程的 52 組織的安全策略 信息安全策略的主體內(nèi)容通常一個組織可能會考慮開發(fā)下列主題的信息安全策略 1 環(huán)境和設(shè)備的安全2 信息資產(chǎn)的分級和人員責任3 安全事故的報告與響應(yīng)4 第三方訪問的安全性5 委外處理系統(tǒng)的安全6 人員的任用 培訓(xùn)和職責7 系統(tǒng)策劃 驗收 使用和維護的安全要求 53 組織的安全策略 信息安全策略的主體內(nèi)容8 信息與軟件交換的安全9 計算級和網(wǎng)絡(luò)的訪問控制和審核10 遠程工作的安全11 加密技術(shù)控制12 備份 災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求13 符合法律法規(guī)和技術(shù)指標的要求 54 組織的安全策略 要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括 目的性 策略是為組織完成自己的使命而制定的 策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求 適用性 策略應(yīng)該反映組織的真實環(huán)境 反映但前信息安全的發(fā)展水平 可行性 策略應(yīng)該具有切實可行性 其目標應(yīng)該可以實現(xiàn) 并容易測量和審核 沒有可行性的策略不僅浪費時間還會引起政策混亂 經(jīng)濟性 策略應(yīng)該經(jīng)濟合理 過分復(fù)雜和草率都是不可取的 完整性 能夠反映組織的所有業(yè)務(wù)流程安全需要 55 組織的安全策略 要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括 一致性 策略的一致性包括下面三個層次 和國家 地方的法律法規(guī)保持一致 和組織已有的策略 方針 保持一致 整體安全策略保持一致 要反映企業(yè)對信息安全一般看法 保證用戶不把該策略看成是不合理的 甚至是針對某個人的 彈性 策略不僅要滿足當前的組織要求 還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求 56 組織的安全策略 如何使信息安全策略得到貫徹信息安全策略的實施關(guān)鍵是如何把策略準確傳達給每一位相關(guān)人員 根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件 即建立一個文件化的信息安全管理體系 在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求 能力和意識的培訓(xùn)是一種好方法 在組織缺乏程序文件的時候作用更是不可忽略 審核是策略得以實施的保障 組織必須有成文的審核辦法 詳細規(guī)定審核的周期和技術(shù)手段 及時發(fā)現(xiàn)問題及時解決 57 三 主要的安全策略 58 網(wǎng)絡(luò)服務(wù)器口令的管理 1 服務(wù)器的口令 由部門負責人和系統(tǒng)管理員商議確定 必須兩人同時在場設(shè)定 2 服務(wù)器的口令需部門負責人在場時 由系統(tǒng)管理員記錄封存 3 口令要定期更換 視網(wǎng)絡(luò)具體情況 更換后系統(tǒng)管理員要銷毀原記錄 將新口令記錄封存 4 如發(fā)現(xiàn)口令有泄密跡象 系統(tǒng)管理員要立刻報告部門負責人 有關(guān)部門負責人報告安全部門 同時 要盡量保護好現(xiàn)場并記錄 須接到上一級主管部門批示后再更換口令 59 用戶口令的管理 1 對于要求設(shè)定口令的用戶 由用戶方指定負責人與系統(tǒng)管理員商定口令 由系統(tǒng)管理員登記并請用戶負責人確認 簽字或電話通知 之后系統(tǒng)管理員設(shè)定口令 并保存用戶檔案 2 在用戶由于責任人更換或忘記口令時要求查詢口令或要求更換口令的情況下 需向網(wǎng)絡(luò)服務(wù)管理部門提交申請單 由部門負責人或系統(tǒng)管理員核實后 對用戶檔案做更新記載 3 如果網(wǎng)絡(luò)提供用戶自我更新口令的功能 用戶應(yīng)自己定期更換口令 并設(shè)專人負責保密和維護工作 60 防病毒策略 1 拒絕訪問能力 來歷不明的入侵軟件不得進入系統(tǒng) 2 病毒檢測能力 系統(tǒng)中應(yīng)設(shè)置檢測病毒的機制 檢測已知類病毒和未知病毒 3 控制病毒傳播的能力 系統(tǒng)一定要有控制病毒傳播的能力 4 清除能力 5 恢復(fù)能力 提供高效的方法來恢復(fù)這些數(shù)據(jù) 6 替代操作 系統(tǒng)應(yīng)該提供一種替代操作方案 在恢復(fù)系統(tǒng)時可用替代系統(tǒng)工作 61 安全教育與培訓(xùn)策略 1 主管信息安全工作的高級負責人或各級管理人員 重點是了解 掌握企業(yè)信息安全的整體策略及目標 信息安全體系的構(gòu)成 安全管理部門的建立和管理制度的制定等 2 負責信息安全運行管理及維護的技術(shù)人員 重點是充分理解信息安全管理策略 掌握安全評估的基本方法 對安全操作和維護技術(shù)的合理運用等 3 用戶 重點是學(xué)習各種安全操作流程 了解和掌握與其相關(guān)的安全策略 包括自身應(yīng)該承擔的安全職責等 62 可接受使用策略 可接受使用策略 AcceptableUsePolicy AUP 是指這些網(wǎng)絡(luò)能夠被誰使用的約束策略 AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的 許多公共網(wǎng)絡(luò)服務(wù)有一個AUP 這個AUP是一個正式的或非正式的文件 其定義了網(wǎng)絡(luò)的應(yīng)用意圖 不接受的使用和不服從的結(jié)果 一個人注冊一個基于網(wǎng)絡(luò)的服務(wù)或工作在一個社團內(nèi)部網(wǎng)時經(jīng)常會遇到一個AUP 一個好的AUP將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定 限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私 最好的AUPs使 whatif 關(guān)一體化 其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用 63 四 信息安全策略的執(zhí)行與維護 64 信息安全策略的推進手段 1 印刷日歷 強調(diào)每個月不同的策略 將它們張貼在辦公室中 2 利用幽默和簡單的語言表述信息安全策略 分發(fā)給每個雇員 3 設(shè)立一些幾十分鐘的內(nèi)部培訓(xùn)課程 4 進行信息安全策略知識競賽 5 將信息安全策略和標準發(fā)布在內(nèi)部的網(wǎng)站上 6 向公司員工發(fā)送宣傳信息安全策略的郵件 7 建立內(nèi)部安全熱線 回答雇員關(guān)于信息安全策略的問題 65 工具支持 與信息安全策略管理有關(guān)的活動很多 象配置管理 規(guī)則設(shè)置管理 口令管理 缺陷管理 補丁管理 用戶管理等等 為了減少信息安全策略維護中的勞動 可以使用一些信息安全策略管理工具 這方面工具有PWCESAS PoliVec PentaSafe Symantec等 66 策略實施的建議 在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略 制定自我評估調(diào)查表 制定遵守信息安全策略的員工協(xié)議表 建立考察機制檢查員工是否理解策略 基礎(chǔ)信息安全培訓(xùn)課程 分配策略落實負責人 通過標準保證策略的執(zhí)行 67 安全策略管理辦法 集中式管理 分布式管理 分布式管理就是將信息系統(tǒng)資源按照不同的類別進行劃分 然后根據(jù)資源類型的不同 由負責此類資源管理的部門或人員負責安全策略的制定和實施 集中式管理就是在整個網(wǎng)絡(luò)系統(tǒng)中 由統(tǒng)一 專門的安全策略管理部門和人員對信息資源和信息系統(tǒng)使用權(quán)限進行計劃和分配 68 安全策略管理相關(guān)技術(shù) 安全策略描述是實現(xiàn)策略管理的基礎(chǔ) 策略描述語言 PDL Ponder 安全策略統(tǒng)一描述技術(shù) 安全策略自動翻譯技術(shù) 安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不同設(shè)備對應(yīng)的配置命令 配置腳本或策略結(jié)構(gòu)的過程 69 安全策略管理相關(guān)技術(shù) 安全策略一致性檢驗技術(shù) 策略之間的沖突很難避免 策略一致性驗證主要包括策略的語法 語義檢查和策略沖突檢測兩個方面 安全策略發(fā)布與分發(fā)技術(shù) 推 模式 拉 模式 策略的生命周期狀態(tài)包括 休眠態(tài) 待激活態(tài) 激活態(tài) 掛起態(tài) 安全策略狀態(tài)監(jiān)控技術(shù) 70 信息安全策略的制定過程是怎樣的 信息安全策略管理有哪些相關(guān)技術(shù) 這些技術(shù)的功能和作用分別是什么 習題 第七章運行與操作安全管理 71 思考 第七章運行與操作安全管理 信息安全策略在實際網(wǎng)絡(luò)管理中有哪些體現(xiàn) 72 Theend thankyou