《安全策略管理》PPT課件.ppt
《《安全策略管理》PPT課件.ppt》由會員分享,可在線閱讀,更多相關(guān)《《安全策略管理》PPT課件.ppt(35頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
第5章信息安全策略管理 內(nèi)容提要 信息安全策略的概念 信息安全策略的層次 信息安全策略的制定 信息安全策略的管理及相關(guān)技術(shù) 5 1信息安全策略的概念 信息安全策略的概念信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn) 并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃 安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合 已授權(quán)的和未授權(quán)的 5 1信息安全策略的概念 制定信息安全策略的目的如何使用組織中的信息系統(tǒng)資源如何處理敏感信息如何采用安全技術(shù)產(chǎn)品信息安全策略通過為每個(gè)組織成員提供基本的原則 指南和定義 從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn) 防止人員的不安全行為引入風(fēng)險(xiǎn) 安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ) 信息安全策略能夠解決的問題敏感信息如何被處理 如何正確地維護(hù)用戶身份與口令 以及其他賬號信息 如何對潛在的安全事件和入侵企圖進(jìn)行響應(yīng) 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接 怎樣正確使用電子郵件系統(tǒng) 5 2信息安全策略的層次 信息安全策略的層次信息安全方針具體的信息安全策略 5 2 1信息安全方針 信息安全方針的概念信息安全方針就是組織的信息安全委員會或管理機(jī)構(gòu)制定的一個(gè)高層文件 是用于指導(dǎo)組織如何對資產(chǎn) 包括敏感性信息進(jìn)行管理 保護(hù)和分配的規(guī)則和指示 信息安全方針應(yīng)包含的內(nèi)容信息安全的定義 總體目標(biāo)和范圍 安全對信息共享的重要性 管理層意圖 支持目標(biāo)和信息安全原則的闡述 信息安全控制的簡要說明 以及依從法律法規(guī)要求對組織的重要性 信息安全管理的一般和具體責(zé)任定義 包括報(bào)告安全事故等 5 2 2具體的信息安全策略 策略包含一套規(guī)則 規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為 為了執(zhí)行策略 機(jī)構(gòu)必須實(shí)施一套標(biāo)準(zhǔn) 以準(zhǔn)確定義在工作場所哪些行為是違反規(guī)定的 以及機(jī)構(gòu)對該行為的懲罰標(biāo)準(zhǔn) 標(biāo)準(zhǔn)是對策略的行為規(guī)則更詳細(xì)的描述 在實(shí)施過程中 機(jī)構(gòu)應(yīng)當(dāng)針對各種違規(guī)行為制定一套標(biāo)準(zhǔn) 并列出這些行為的詳細(xì)資料 實(shí)踐 過程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略 5 2 2具體的信息安全策略 企業(yè)信息安全策略基于問題的安全策略基于系統(tǒng)的安全策略 5 2 2 1企業(yè)信息安全策略 企業(yè)信息安全策略 EISP 安全項(xiàng)目策略 總安全策略 IT安全策略 高級信息安全策略 也就是為整個(gè)機(jī)構(gòu)安全工作制定戰(zhàn)略方向 范圍和策略基調(diào) EISP為信息安全的各個(gè)領(lǐng)域分配責(zé)任 包括信息安全策略的維護(hù) 策略的實(shí)施 最終用戶的責(zé)任 EISP還特別規(guī)定了信息安全項(xiàng)目的制定 實(shí)施和管理要求 EISP是一個(gè)執(zhí)行級的文檔 是由CISO與CIO磋商后起草的 通常2耀10頁長 它構(gòu)成了IT環(huán)境的安全理念 EISP一般不需要做經(jīng)常或日常的修改 除非機(jī)構(gòu)的戰(zhàn)略方向發(fā)生了變化 5 2 2 1企業(yè)信息安全策略 企業(yè)信息安全策略 EISP 的組成盡管各個(gè)機(jī)構(gòu)的企業(yè)信息安全策略有差別 但大多數(shù)EISP文檔應(yīng)該包括以下要素 關(guān)于企業(yè)安全理念的總體看法機(jī)構(gòu)的信息安全部門結(jié)構(gòu)和實(shí)施信息安全策略人員信息機(jī)構(gòu)所有成員共同的安全責(zé)任 員工 承包人 顧問 合伙人和訪問者 機(jī)構(gòu)所有成員明確的 特有的安全責(zé)任注意 應(yīng)把機(jī)構(gòu)的任務(wù)和目標(biāo)納入EISP中例 一個(gè)好的EISP的組成部分 5 2 2 1企業(yè)信息安全策略 5 2 2 1企業(yè)信息安全策略 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP Issue SpecificSecurityPolicy 提供了詳細(xì)的 目標(biāo)明確的指南 以此來指導(dǎo)所有機(jī)構(gòu)成員如何使用基于技術(shù)的系統(tǒng) 一個(gè)有效的ISSP是各方 機(jī)構(gòu)和成員 之間的協(xié)議 并且顯示 為了保障技術(shù)不會以不恰當(dāng)方式被使用 機(jī)構(gòu)已經(jīng)做出了極大的努力 ISSP應(yīng)該讓機(jī)構(gòu)成員認(rèn)識到 策略的目標(biāo)不是為機(jī)構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)責(zé)任人提供法律依據(jù) 而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達(dá)成共識 一旦達(dá)成了這個(gè)共識 員工就可以不用尋求領(lǐng)導(dǎo)批準(zhǔn) 而任意使用各種類型的技術(shù) 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP 應(yīng)完成的目標(biāo)明確地指出機(jī)構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng) 記錄了基于技術(shù)的系統(tǒng)的控制過程 并確定這個(gè)控制過程和相關(guān)的負(fù)責(zé)機(jī)構(gòu) 當(dāng)機(jī)構(gòu)的員工由于使用不當(dāng) 或者非法操作系統(tǒng)而造成了損失 它可以保護(hù)機(jī)構(gòu)不承擔(dān)該責(zé)任 ISSP的特性它是針對特定的 基于技術(shù)的系統(tǒng)它要求不斷地升級它包含一個(gè)問題陳述 解釋了機(jī)構(gòu)對特定問題的態(tài)度 5 2 2 2基于問題的安全策略 基于問題的安全策略 ISSP 的組成目標(biāo)聲明授權(quán)訪問和設(shè)備的使用設(shè)備的禁止使用系統(tǒng)管理違反策略策略檢查和修改責(zé)任的限制 5 2 2 2 1ISSP的組成 目標(biāo)聲明概括策略的范圍和適用性 用于解決以下問題 這個(gè)策略服務(wù)于什么目標(biāo) 由誰來負(fù)責(zé)實(shí)施策略 策略文檔涉及到哪些技術(shù)問題 授權(quán)訪問和設(shè)備的使用解釋了誰可以使用策略所規(guī)定的技術(shù) 用于什么目的 該部分規(guī)定了以 公正和負(fù)責(zé)任的使用 方式使用設(shè)備和機(jī)構(gòu)的其他資產(chǎn) 并且闡述了關(guān)鍵法律問題 例如個(gè)人信息和隱私的保護(hù) 注意 機(jī)構(gòu)的信息系統(tǒng)是該機(jī)構(gòu)的專有財(cái)產(chǎn) 用戶并沒有特殊的使用權(quán) 5 2 2 2 1ISSP的組成 設(shè)備的禁止使用闡述了設(shè)備禁止使用的范圍 如 私人使用 破壞性使用或者誤用 冒犯或者侵?jǐn)_的材料 以及侵犯版權(quán) 未經(jīng)批準(zhǔn)的東西和其他涉及知識產(chǎn)權(quán)的活動(dòng) 注意 一個(gè)機(jī)構(gòu)可以靈活地組合授權(quán)訪問 設(shè)備的使用和設(shè)備的禁止使用 形成 恰當(dāng)?shù)氖褂貌呗?系統(tǒng)管理指定用戶和系統(tǒng)管理員的責(zé)任 以便讓各方都知道他們應(yīng)該負(fù)責(zé)什么 一家公司可能希望發(fā)布具體的規(guī)則來指導(dǎo)員工如何使用電子郵件和電子文檔 如何存儲電子文檔 授權(quán)雇主如何監(jiān)控 以及如何保護(hù)電子郵件和其他電子文檔的物理和電子安全 5 2 2 2 1ISSP的組成 違反策略規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式 懲罰應(yīng)該針對每種違規(guī)類型而設(shè)計(jì) 這部分也應(yīng)該提供針對怎樣報(bào)告已觀察到的或可疑的違規(guī)行為 策略檢查和修改明確ISSP的具體檢查和修改方法 以便保證用戶手上總是有反映機(jī)構(gòu)當(dāng)前技術(shù)和需求的指導(dǎo)方針 責(zé)任的限制對一系列的 拒絕承擔(dān)責(zé)任聲明 做了概要說明 如果員工使用公司的技術(shù)時(shí) 違反了公司的策略或法律 假設(shè)管理者不知道或不同意這種違規(guī)行為 那么公司將不會保護(hù)他們 并且不會為他們的行為負(fù)責(zé) 5 2 2 2 2ISSP的制定和管理 制定和管理ISSP的方法有很多種 常見的有3種 創(chuàng)建一定數(shù)量獨(dú)立的ISSP文檔 每個(gè)策略文檔都對應(yīng)一個(gè)具體的問題 只創(chuàng)建一個(gè)綜合的文檔 該文檔旨在覆蓋所有的問題 創(chuàng)建一個(gè)ISSP文檔的模板 當(dāng)維護(hù)每一個(gè)具體問題需求的時(shí) 可以按這個(gè)模板創(chuàng)建和管理統(tǒng)一的策略 5 2 2 2 2ISSP的制定和管理 3種方法的優(yōu)點(diǎn)和缺點(diǎn) 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs System SpecificPolicy 是采用技術(shù)或管理措施來控制設(shè)備的配置 在配置和維護(hù)系統(tǒng)時(shí)起到標(biāo)準(zhǔn)和過程指導(dǎo)的作用 例如 SysSPs可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程 該文檔可能包括管理目標(biāo)聲明 網(wǎng)絡(luò)工程師選擇 配置和操作防火墻的指南 訪問控制列表 為每個(gè)授權(quán)用戶定義訪問級別 SysSPs的組成管理指南技術(shù)規(guī)范 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs 管理指南SysSPs管理指南由管理層制定 用來指導(dǎo)技術(shù)的實(shí)現(xiàn)和配置 該指南還規(guī)定了機(jī)構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則 例如 一個(gè)機(jī)構(gòu)可能不希望它的員工利用機(jī)構(gòu)的網(wǎng)絡(luò)訪問因特網(wǎng) 在這種情況下 應(yīng)該按照這種規(guī)則配置防火墻 基于系統(tǒng)的策略可以和基于問題的安全策略 ISSP 同時(shí)制定 或者在相關(guān)的ISSPs制定之前準(zhǔn)備 5 2 2 3基于系統(tǒng)的策略 基于系統(tǒng)的策略 SysSPs 技術(shù)規(guī)范有兩種方法實(shí)現(xiàn)這種技術(shù)控制 訪問控制列表和配置規(guī)則 訪問控制列表訪問控制列表 ACLs 包括用戶訪問列表 矩陣和權(quán)限列表 它控制了用戶的權(quán)限和特權(quán) ACLs控制了對文檔存儲系統(tǒng) 中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問 一個(gè)權(quán)限列表詳細(xì)規(guī)定了哪些設(shè)備用戶或組可以訪問 權(quán)限規(guī)定常常采用復(fù)雜矩陣的形式 而不是簡單的列表 NT 2000把ACLs轉(zhuǎn)變成一種配置單元 系統(tǒng)管理員用這個(gè)配置單元可以控制系統(tǒng)訪問 5 2 2 3基于系統(tǒng)的策略 訪問控制列表訪問控制列表 ACLs 使管理員能夠根據(jù)用戶 計(jì)算機(jī) 訪問時(shí)間 甚至特殊的文檔來限制對系統(tǒng)的訪問 一般說來 ACLs規(guī)定以下幾個(gè)方面 誰可以使用系統(tǒng)授權(quán)用戶可以訪問什么授權(quán)用戶在何時(shí)可以訪問系統(tǒng)授權(quán)用戶在何地可以訪問系統(tǒng)授權(quán)用戶怎樣訪問系統(tǒng) 5 2 2 3基于系統(tǒng)的策略 配置規(guī)則配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼 在信息流經(jīng)它時(shí) 該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行 基于規(guī)則的策略比ACLs規(guī)定得更為詳細(xì) 一些安全系統(tǒng)要求特定的配置腳本 這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候 系統(tǒng)需要執(zhí)行哪種相應(yīng)操作 如 防火墻配置規(guī)則 IDS配置規(guī)則 組合SysSPs許多機(jī)構(gòu)選擇創(chuàng)建單一的文檔 該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來 如果采用此方法 就應(yīng)當(dāng)注意要仔細(xì)清楚地表述操作過程所要求的執(zhí)行步驟 5 3信息安全策略的制定 安全策略的制定原則起點(diǎn)進(jìn)入原則 在系統(tǒng)建設(shè)一開始就考慮安全策略問題 長遠(yuǎn)安全預(yù)期原則 對安全需求作總體設(shè)計(jì)和長遠(yuǎn)打算 最小特權(quán)原則 不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限 公認(rèn)原則 參考通用的安全措施 做出自己的決策 適度復(fù)雜與經(jīng)濟(jì)原則策略不能與法律相沖突策略必須被恰當(dāng)?shù)刂С趾凸芾?5 3 1信息安全策略的制定過程 理解組織業(yè)務(wù)特征充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提 對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容 性質(zhì) 目標(biāo)及其價(jià)值進(jìn)行分析 得到管理層的明確支持與承諾使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致 使制定的安全方針 政策和控制措施可以在組織的上上下下得到有效的貫徹 可以得到有效的資源保證 5 3 1信息安全策略的制定過程 組建安全策略制定小組小組成員的多少視安全策略的規(guī)模與范圍大小而定 一般有以下人員組成 高級管理人員 信息安全管理員 信息安全技術(shù)人員 負(fù)責(zé)安全策略執(zhí)行的管理人員 用戶部門人員 確定信息安全整體目標(biāo)通過防止和最小化安全事故的影響 保證業(yè)務(wù)持續(xù)性 使業(yè)務(wù)損失最小化 并為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障 5 3 1信息安全策略的制定過程 起草擬定安全策略安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制 沒有涉及的內(nèi)容要說明原因 并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和控制來決定制訂什么樣的安全策略 評估安全策略安全策略制定完成后 要進(jìn)行充分的評估和測試 評估時(shí)可以考慮如下問題 安全策略是否符合法津 法規(guī) 技術(shù)標(biāo)準(zhǔn)及合同的要求 管理層是否已批準(zhǔn)了安全策略 并明確承諾支持政策的實(shí)施 安全策略是否損害組織 組織人員及第三方的利益 安全策略是否實(shí)用 可操作并可以在組織中全面實(shí)施 安全策略是否滿足組織在各個(gè)方面的安全要求 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方 并得到了他們的同意 5 3 1信息安全策略的制定過程 實(shí)施安全策略把安全方針與具體安全策略編制成組織信息安全策略手冊 然后發(fā)布到組織中的每個(gè)組織人員與相關(guān)利益方 幾乎所有層次的所有人員都會涉及到這些政策 組織中的主要資源將被這些政策所涵蓋 將引入許多新的條款 程序和活動(dòng)來執(zhí)行安全策略 政策的持續(xù)改進(jìn)組織所處的內(nèi)外環(huán)境在不斷變化 信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù) 人的思想和觀念也在不斷的變化 5 4信息安全策略管理及相關(guān)技術(shù) 安全策略管理辦法集中式管理集中式管理就是在整個(gè)網(wǎng)絡(luò)系統(tǒng)中 由統(tǒng)一 專門的安全策略管理部門和人員對信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配 分布式管理分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分 然后根據(jù)資源類型的不同 由負(fù)責(zé)此類資源管理的部門或人員負(fù)責(zé)安全策略的制定和實(shí)施 5 4 1信息安全策略管理相關(guān)技術(shù) 安全策略統(tǒng)一描述技術(shù)安全策略描述是實(shí)現(xiàn)策略管理的基礎(chǔ) 策略描述語言 PDL Ponder 安全策略自動(dòng)翻譯技術(shù)安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不同設(shè)備對應(yīng)的配置命令 配置腳本或策略結(jié)構(gòu)的過程 安全策略一致性檢驗(yàn)技術(shù)策略之間的沖突很難避免 策略一致性驗(yàn)證主要包括策略的語法 語義檢查和策略沖突檢測兩個(gè)方面 5 4 1信息安全策略管理相關(guān)技術(shù) 安全策略發(fā)布與分發(fā)技術(shù) 推 模式 拉 模式對內(nèi)網(wǎng)設(shè)備而言 在 推 模式下 策略服務(wù)器解析從策略庫中提取的策略 將策略發(fā)送到相應(yīng)的策略執(zhí)行體 在 拉 模式下 策略服務(wù)器接受設(shè)備的請求 查詢策略庫 決定分發(fā)的策略 并將其發(fā)送給請求的設(shè)備 對外網(wǎng)設(shè)備而言 策略發(fā)布服務(wù)器作為設(shè)備和服務(wù)器之間分發(fā)策略的代理 推 拉 策略時(shí)都由策略發(fā)布服務(wù)器和策略服務(wù)器通信 并將最終的策略決策轉(zhuǎn)交給外網(wǎng)設(shè)備 5 4 1信息安全策略管理相關(guān)技術(shù) 安全策略狀態(tài)監(jiān)控技術(shù)安全策略狀態(tài)監(jiān)控技術(shù)用于支持安全策略生命周期中各種狀態(tài)的監(jiān)測 并控制狀態(tài)之間的轉(zhuǎn)換 策略的生命周期狀態(tài)包括 休眠態(tài) 待激活態(tài) 激活態(tài) 掛起態(tài)- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 安全策略管理 安全策略 管理 PPT 課件
鏈接地址:http://www.szxfmmzy.com/p-8001969.html