《信息安全策略及实施方法ppt课件》由会员分享,可在线阅读,更多相关《信息安全策略及实施方法ppt课件(72页珍藏版)》请在金锄头文库上搜索。
1、 1 信息安全策略及实施方法 2 目录 3 一 信息安全策略概述 4 1 信息安全策略的定义 计算机安全研究组织SANS 为了保护存储在计算机中的信息 安全策略要确定必须做什么 一个好的策略有足够多 做什么 的定义 以便于执行者确定 如何做 并且能够进行度量和评估 一组规则 这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径 信息安全策略是一个组织关于信息安全的基本指导规则 信息安全策略提供 信息保护的内容和目标 信息保护的职责落实 实施信息保护的方法 事故的处理 5 安全策略的引入 信息安全策略从本质上来说是描述组织具有哪些重要信息资产 并说明这些信息资产如何被保护的一个
2、计划 安全策略是进一步制定控制规则和安全程序的必要基础 安全策略本质上是非形式化的 也可以是高度数学化的 安全策略将系统的状态分为两个集合 已授权的和未授权的 6 1 1安全策略的引入 制定信息安全策略的目的 如何使用组织中的信息系统资源 如何处理敏感信息 如何采用安全技术产品 7 1 1安全策略的引入 安全策略涉及的问题 敏感信息如何被处理 如何正确地维护用户身份与口令 以及其他账号信息 如何对潜在的安全事件和入侵企图进行响应 如何以安全的方式实现内部网及互联网的连接 怎样正确使用电子邮件系统 8 安全策略 保密性策略 可用性策略 完整性策略 安全策略的层次 信息安全方针 具体的信息安全策略
3、 9 信息安全方针 信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件 是用于指导组织如何对资产 包括敏感性信息进行管理 保护和分配的规则和指示 信息安全的定义 总体目标和范围 安全对信息共享的重要性 管理层意图 支持目标和信息安全原则的阐述 信息安全控制的简要说明 以及依从法律法规要求对组织的重要性 信息安全管理的一般和具体责任定义 包括报告安全事故等 10 安全程序 安全程序是保障信息安全策略有效实施的 具体化的 过程性的措施 是信息安全策略从抽象到具体 从宏观管理层落实到具体执行层的重要一环 程序是为进行某项活动所规定的途径或方法 信息安全管理程序包括 实施控制目标与控制方
4、式的安全控制程序 为覆盖信息安全管理体系的管理与运作的程序 11 程序文件的内容包括 活动的目的与范围 Why 做什么 What 谁来做 Who 何时 When 何地 Where 如何做 How 程序文件应遵循的原则 一般不涉及纯技术性的细节针对影响信息安全的各项活动目标的执行做出的规定应当简练 明确和易懂应当采用统一的结构与格式编排 12 2 信息安全策略的特点 指导性原则性可审核性非技术性现实可行性动态性文档化 13 3 信息安全策略的地位 必须有相应的措施保证信息安全策略得到强制执行管理层不得允许任何违反信息安全策略的行为存在信息安全策略必须有清晰和完全的文档描述需要根据业务情况的变化不
5、断的修改和补充信息安全策略 14 4 功能 信息安全策略的主要功能就是要建立一套安全需求 控制措施及执行程序 定义安全角色赋予管理职责 陈述组织的安全目标 为安全措施在组织的强制执行建立相关舆论与规则的基础 15 信息安全策略的保护对象 16 信息安全策略 网络设备安全服务器安全信息分类信息保密用户账户与口令远程访问 反病毒防火墙及入侵检测安全事件调查与响应灾难恢复与业务持续性计划风险评估信息系统审计 17 信息安全策略的设计范围 18 信息安全策略的设计范围 19 信息安全策略的设计范围 20 安全策略的格式 1 目标2 范围3 策略内容4 角色责任5 执行纪律6 专业术语7 版本历史 21
6、 安全策略的格式 1 目标建立信息系统安全的总体目标 定义信息安全的管理结构和提出对组织成员的安全要求 信息安全策略必须有一定的透明度并得到高层管理层的支持 这种透明度和高层支持必须在安全策略中有明确和积极的反映 信息安全策略要对所有员工强调 信息安全 人人有责 的原则 使员工了解自己的安全责任与义务 22 安全策略的格式 2 范围信息安全策略应当有足够的范围广度 包括组织的所有信息资源 设施 硬件 软件 信息 人员 在某些场合下 安全可以定义特殊的资产 比如 组织的主站点 各种重要装置和大型系统 此外 还应包括组织所有信息资源类型的综述 例如 工作站 局域网 单机等 23 安全策略的格式 3
7、 策略内容根据ISO17799中定义 对信息安全策略的描述应该集中在三个方面 机密性 完整性和可用性 这三种特性是组织建立信息安全策略的出发点 机密性是指信息只能由授权用户访问 其他非授权用户 或非授权方式不能访问 完整性就是保证信息必须是完整无缺的 信息不能被丢失 损坏 只能在授权方式下修改 可用性是指授权用户在任何时候都可以访问其需要的信息 信息系统在各种意外事故 有意破坏的安全事件中能保持正常运行 24 安全策略的格式 3 策略内容根据给定的环境 应当给员工明确描述与这些特性相关的信息安全要求 组织的信息安全策略应当以员工熟悉的活动 信息 术语等方式来反映特定环境下的安全目标 例如 组织
8、在维护大型但机密性要求并不高的数据库时 其安全目标主要是减少错误 数据丢失或数据破坏 如果组织对数据的机密性要求高时 安全目标的重点就会转移到防止数据的非授权泄露 25 安全策略的格式 4 角色责任信息安全策略除了要建立安全程序及程序管理职责外 还需要在组织中定义各种角色并分配责任 明确要求 比如 部分业务管理人员 应用系统所有者 数据用户 计算机系统安全小组等 在某些情况下 信息安全策略中要理顺组织中的各种个体与团体的关系 以避免在履行各自的责任与义务时发生冲突 26 安全策略的格式 5 执行纪律没有一个正式的 文件化的安全策略 管理层不可能制定出惩戒执行标准与机制 信息安全策略是组织制定和
9、执行纪律措施的基础 信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法 还要考虑到有时员工违反安全策略并非是有意的 有时也可能是对安全策略缺乏必要的了解造成的 对于这种情况 信息安全策略要预先采取措施 在合理的期限内 进行相关安全策略介绍和安全意识教育培训 27 安全策略的格式 6 专业术语对于信息安全策略中涉及的专业术语作必要的描述 使组织成员对策略的了解不会产生歧义 7 版本历史对策略版本在各个阶段的修订情况作出说明 28 二 信息安全策略的制定 29 1 制定信息安全策略的原则 先进的网络安全技术是网络安全的根本保证 严格的安全管理是确保信息安全策略落实的基础 严格的法
10、律 法规是网络安全保障的坚强后盾具体原则起点进入原则长远安全预期原则最小特权原则公认原则适度复杂与经济原则 30 2 策略的制定需要达成的目标 减少风险 遵从法律和规则 确保组织运作的连续性 信息完整性和机密性 31 3 信息安全策略的依据 国家法律 法规 政策 行业规范 相关机构的约束 机构自身的安全需求 32 制定流程 具体的制定过程如下 确定信息安全策略的范围 风险评估 分析或者审计 信息安全策略的审查 批准和实施具体如下 33 制定流程 理解组织业务特征 充分了解组织业务特征是设计信息安全策略的前提 对组织业务的了解包括对其业务内容 性质 目标及其价值进行分析 得到管理层的明确支持与承
11、诺 使制定的信息安全策略与组织的业务目标一致 使制定的安全方针 政策和控制措施可以在组织的上上下下得到有效的贯彻 可以得到有效的资源保证 34 制定流程 组建安全策略制定小组 高级管理人员 信息安全管理员 信息安全技术人员 负责安全策略执行的管理人员 用户部门人员 确定信息安全整体目标 通过防止和最小化安全事故的影响 保证业务持续性 使业务损失最小化 并为业务目标的实现提供保障 35 制定流程 确定安全策略范围 组织需要根据自己的实际情况确定信息安全策略要涉及的范围 可以在整个组织范围内 或者在个别部门或领域制定信息安全策略 风险评估与选择安全控制 风险评估的结果是选择适合组织的控制目标与控制
12、方式的基础 组织选择出了适合自己安全需求的控制目标与控制方式后 安全策略的制定才有了最直接的依据 起草拟定安全策略 安全策略要尽可能地涵盖所有的风险和控制 没有涉及的内容要说明原因 并阐述如何根据具体的风险和控制来决定制订什么样的安全策略 36 制定流程 评估安全策略 安全策略是否符合法津 法规 技术标准及合同的要求 管理层是否已批准了安全策略 并明确承诺支持政策的实施 安全策略是否损害组织 组织人员及第三方的利益 安全策略是否实用 可操作并可以在组织中全面实施 安全策略是否满足组织在各个方面的安全要求 安全策略是否已传达给组织中的人员与相关利益方 并得到了他们的同意 37 制定流程 实施安全
13、策略 把安全方针与具体安全策略编制成组织信息安全策略手册 然后发布到组织中的每个组织人员与相关利益方 几乎所有层次的所有人员都会涉及到这些政策 组织中的主要资源将被这些政策所涵盖 将引入许多新的条款 程序和活动来执行安全策略 组织所处的内外环境在不断变化 信息资产所面临的风险也是一个变数 人的思想和观念也在不断的变化 政策的持续改进 38 制定流程 信息安全策略应主要依靠组织所处理和使用的信息特性推动制定 在制定一整套信息安全策略时 应当参考一份近期的风险评估或信息审计 以便清楚了解组织当前的信息安全需求 对曾出现的安全事件的总结 也是一份有价值的资料 为了确定哪些部分需要进一步注意 应收集组
14、织当前所有相关的策略文件 也可以参考国际标准 行业标准来获得指导 资料收集阶段的工作非常重要 很多时候因为工作量和实施难度被简化操作 39 制定流程 在制定策略之前 对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构 信息安全策略应当与已有的信息系统结构相一致 并对其完全支持 这一点不是针对信息安全体系结构 而是针对信息系统体系结构 信息安全策略一般在信息系统体系结构确立以后制定 以保障信息安全体系实施 运行 40 制定流程 收集完上面所提到的材料后 开始根据前期的调研资料制定信息安全策略文档初稿 并寻找直接相关人员对其进行小范围的评审 对反馈意见进行修改后 逐渐的扩大评审的范围 当
15、所有的支持部门做出修改后 交由信息安全管理委员会评审 信息安全策略的制定过程有很高的政策性和个性 反复的评审过程能够让策略更加清晰 简洁 更容易落地 为此在评审的过程中需要调动参与积极性 而不是抵触 41 制定流程 评审过程的最后一步一般由总经理 总裁 首席执行官签名 在人员合同中应当表明能予遵守并且这是继续雇佣的条件 也应当发放到内部服务器 网页以及一些宣传版面上的显眼位置 并附有高层管理者的签名 以表明信息安全策略文档得到高层领导强有力的支持 经验表明 高层的支持对策略的实施落地是非常重要的 42 制定流程 一般来说 在信息安全策略文件评审过程中 会得到组织内部各方多次评审和修订 其中最为
16、重要的是信息安全管理委员会 信息安全委员会一般由信息部门人员组成 参与者一般包括以下部门的成员 信息安全 内部审计 物理安全 信息系统 人力资源 法律 财政和会计部 这样一个委员会本质上是监督信息安全部门的工作 负责筛选提炼已提交的策略 以便在整个组织内更好的实施落地 43 组织的安全策略 信息对组织的运作和发展所起到的作用越来越大 信息安全问题备受关注 信息安全是指信息的保密性 完整性和可用性的保持 其终极目标是降低组织的业务风险 保持可持续发展 另外 信息安全问题不单纯是技术问题 它是涉及很多方面 历史 文化 道德 法律 管理 技术等 的一个综合性问题 单纯从技术角度考虑是不可能得到很好解决的 我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织 其规模和性质不足以直接改变所在国家或地区的信息安全法律法规 44 组织的安全策略 1 组织应该有一个完整的信息安全策略我们可以通过下面一个例子来理解这种情况 某设计院有工作人员25人 每人一台计算机 Windows98对等网络通过一台集线器连接起来 公司没有专门的IT管理员 公司办公室都在二楼 同一楼房内还有多家公司 在一楼入口
