信息安全策略及实施方法

安全策略的层次 ✓信息安全方针 ✓具体的信息安全策略
8
信息安全方针
• 信息安全方针就是组织的信息安全委员会或管理机构 • 制定的一个高层文件，是用于指导组织如何对资产，包括
敏感性信息进行管理、保护和分配的规则和指示。 – 信息安全的定义，总体目标和范围，安全对信息共享 – 的重要性； – 管理层意图、支持目标和信息安全原则的阐述； – 信息安全控制的简要说明，以及依从法律法规要求对 – 组织的重要性； – 信息安全管理的一般和具体责任定义，包括报告安全 – 事故等。
信息资产，并说明这些信息资产如何被保护的一个计划。 安全策略是进一步制定控制规则和安全程序的必要基础。
安全策略本质上是非形式化的,也可以是高度数学 化的。 安全策略将系统的状态分为两个集合: 已授权的和未授权的。
5
1.1 安全策略的引入 制定信息安全策略的目的： ✓如何使用组织中的信息系统资源； ✓如何处理敏感信息； ✓如何采用安全技术产品。
口令管理策略
口令管理策略包括口令管理方式、口令设 置规则、口令适应规则等。
补丁管理策略
补丁管理策略包括系统补丁的更新、测试、 安装等。
系统变更控制策 系统变更控制策略包括设备、软件配置、
略
控制措施、数据变更管理、一致性管理等。
商业伙伴、客户 商业伙伴、客户关系策略包括合同条款安
关系策略
全策略、客户服务安全建议等。
身份认证及授权策略包括认证及授权机制、 方式、审计记录等。
灾难恢复策略包括负责人员、恢复机制、 方式、归档管理、硬件、软件等。
事故处理、紧急响应策略包括响应小组、 联系方式、事故处理计划、控制过程等。
安全教育策略包括安全策略的发布宣传、
执行效果的监督、安全技能的培训、安全
意识的教育等。
18
信息安全策略的设计范围
安全策略
13
4.功能
• 信息安全策略的主要功能就是要建立一套安全需 求、控制措施及执行程序，定义安全角色赋予管 理职责，陈述组织的安全目标，为安全措施在组 织的强制执行建立相关舆论与规则的基础。
14
硬件与软件 数据 人员
信息安全策略的保护对象
硬件和软件是支持商业运作进行的平台， 它们应该受策略所保护。所以，拥有一 份完整的系统软、硬件清单是非常重要 的，并且包括网络结构图。
计算机和网络所做的每一件事情都造成 了数据的流动和使用。所以有的企业、 组织和政府机构，不论从事什么工作， 都在收集和使用数据。
首先，重点应该放在谁在什么情况下能 够访问资源。 接下来要考虑的就是强 制执行制度和对未授权访问的惩罚制度。
15
✓信息安全策略
•网络设备安全 •服务器安全 •信息分类 •信息保密 •用户账户与口令 •远程访问
10
程序文件的内容包括： ✓活动的目的与范围（Why）。做什么（What） ✓谁来做（Who） 何时（When） 何地（Where） ✓如何做（How）
程序文件应遵循的原则： ✓一般不涉及纯技术性的细节 ✓针对影响信息安全的各项活动目标的执行做出的规定 ✓应当简练、明确和易懂 ✓应当采用统一的结构与格式编排
策略
理、网络安全访问措施（防火墙、入侵检测系统、
VPN等）、安全扫描、远程访问、不同级别网络的
访问控制方式、识别/认证机制等。
数据加密 数据加密策略包括加密算法、适用范围、密钥交
策略
换和管理等。
数据备份 数据备份策略包括适用范围、备份方式、备份数
策略
据的安全存储、备份周期、负责人等。
病毒防护 病毒防护策略包括防病毒软件的安装、配置、对
6
1.1 安全策略的引入 安全策略涉及的问题： ✓敏感信息如何被处理？ ✓如何正确地维护用户身份与口令，以及其他账 号信息？ ✓如何对潜在的安全事件和入侵企图进行响应？ ✓如何以安全的方式实现内部网及互联网的连接? ✓怎样正确使用电子邮件系统？
7
安全策略 ✓保密性策略 ✓可用性策略 ✓完整性策略
信息安全策略及实施方法
1
信息安全策略概述 信息安全策略的制定 主要的安全策略 信息安全策略的执行与维护
目录
2
一、信息安全策略概述
3
1.信息安全策略的定义
• 计算机安全研究组织SANS：“为了保护存储在 计算机中的信息，安全策略要确定必须做什么， 一个好的策略有足够多‘做什么’的定义，以便 于执行者确定‘如何做’，并且能够进行度量和 评估wenku.baidu.com。
策略
软盘使用、网络下载等作出的规定等。
17
信息安全策略的设计范围
系统安全策略
身份认证及授 权策略 灾难恢复策略
事故处理、紧 急响应策略 安全教育策略
系统安全策略包括WWW访问策略、数据库 系统安全策略、邮件系统安全策略、应用 服务器系统安全策略、个人桌面系统安全 策略、其他业务相关系统安全策略等。
11
• 指导性 • 原则性 • 可审核性 • 非技术性 • 现实可行性 • 动态性 • 文档化
2.信息安全策略的特点
12
3.信息安全策略的地位
• 必须有相应的措施保证信息安全策略得到强制执 行
• 管理层不得允许任何违反信息安全策略的行为存 在
• 信息安全策略必须有清晰和完全的文档描述 • 需要根据业务情况的变化不断的修改和补充信息
9
安全程序
• 安全程序是保障信息安全策略有效实施的、具体化 的、过程性的措施，是信息安全策略从抽象到具体， 从宏观管理层落实到具体执行层的重要一环。
• 程序是为进行某项活动所规定的途径或方法。 • 信息安全管理程序包括： ✓ 实施控制目标与控制方式的安全控制程序； ✓ 为覆盖信息安全管理体系的管理与运作的程序
• 一组规则，这组规则描述了一个组织要实现的信 息安全目标和实现这些信息安全目标的途径。
• 信息安全策略是一个组织关于信息安全的基本指 导规则。
• 信息安全策略提供：信息保护的内容和目标，信
息保护的职责落实，实施信息保护的方法，事故
的处理
4
安全策略的引入 信息安全策略从本质上来说是描述组织具有哪些重要
•反病毒 •防火墙及入侵检测 •安全事件调查与响应 •灾难恢复与业务持续性计划 •风险评估 •信息系统审计
16
信息安全策略的设计范围
物理安全 物理安全策略包括环境安全、设备安全、媒体安
策略
全、信息资产的物理分布、人员的访问控制、审
计记录、异常情况的追查等。
网络安全 网络安全策略包括网络拓扑结构、网络设备的管