《2017年-安全规划 中山大学信息安全管理》由会员分享,可在线阅读,更多相关《2017年-安全规划 中山大学信息安全管理(141页珍藏版)》请在金锄头文库上搜索。
1、第四章 安全规划,田海博,内容纲要,信息安全政策与程序 信息安全管理标准 安全管理策略的制定与实施 安全教育培训和意识提升 持续性策略,学习目标,管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用 英国标准协会制定的信息安全管理标准 组织、机构或部门如何通过教育、培训和意识提升计划,使它的政策、标准和实践制度化 什么事意外事故计划、它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系,4,一、信息安全政策与程序,信息安全政策与程序,要建立信息安全计划 应首先建立和检查组织、机构、或者部门的信息安全政策和程序 然后选择或建立信息安全体系结构 开发和使用详细的信息安全蓝本
2、,为将来的成功制定计划,为什么要制定安全政策与程序,信息安全很重要 信息安全中最活跃的因素是人,人的因素比技术因素更重要 对人的管理包括 法律、法规 政策的约束 安全指南的帮助 安全意识的提高 安全技能的培训 人力资源管理措施 企业文化的熏陶 可对人管理 可促进全体员工参与 可有效降低人为因素所造成的对安全的损害有效实施需要详细的执行程序,7,为什么要制定安全政策与程序,1.组织应该有一个完整的信息安全策略 我们可以通过下面一个例子来理解这种情况。 某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一楼
3、房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:,8,小偷顺着一楼的防护栏潜入办公室偷走了 保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销 某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太
4、旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。,9,后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。 小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。,10,陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来
5、就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。,11,尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找到自己需要的文件。 大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。 ,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策(策略)从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何
6、被保护的一个计划。,制定信息安全策略的目的:,如何使用组织中的信息系统资源; 如何处理敏感信息; 如何采用安全技术产品; 用户在使用信息时应当承担什么责任 描述对员工安全意识与技能的要求 列出员工被禁止的行为,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策是为人定规矩、建标准,防风险,是安全程序的基础。要求: 目的明确 内容清楚 可广泛接受与遵守 可广泛涵盖各种数据、活动和资源 毕竟是对人的管理,希望员工通过信息安全政策了解自己的责任、理解信息安全的重要性,14,安全政策(策略)涉及的问题:,敏感信息如何被处理? 如何正确地维护用户身份与口令,以及其他账 号信息? 如何对潜在的安全
7、事件和入侵企图进行响应? 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统?,什么是信息安全政策与程序,信息安全政策的内容,15,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:信息安全方针是组织、机构或部门的信息安全委员会或管理当局制定的一个高层文件,用于指导如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。 生成:信息安全方针应当阐明管理层的承诺,提出管理信息安全的方法,并由管理层批准,采用适当的方法传达给每一个员工。 内容: 1)信息安全的定义,总体目标、范围,安全对信息共享的重要性 2)管理层意图
8、,支持目标和信息安全原则的阐述 3)信息安全控制的简要说明,以及依从法律、法规要求对对组织的重要性 4)信息安全管理的一般和具体责任定义包括报告安全事故,实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营,16,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,为保证控制措施的有效执行而指定的明确具体的信息安全实施规则 分类: 1)企业信息安全策略(EISP) 2)特定问题的安全策略(ISSP) 3)特定系统策略(SysSP),17,信息安全政策的层次:,什么
9、是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,EISP: 大多数EISP文档包括以下要素: 1)关于企业安全理念的总体看法 2)机构的信息安全部门结构和实施安全策略人员信息 3)机构所有成员共同的安全责任(员工、承包人、顾问、合伙人和访问者) 4)机构所有成员明确的、特有的安全责任,EISP一般性框架,EISP一般性框架,小例子,小例子,小例子,小例子,小例子,1.信息保护必须与他的敏感性,价值和重要性相称。技术人员。 2.公司的某一信息必须只用于管理层明确授权的业务目标。所有人员。 3.信息是机构的重要资产,所有对公司信息的访问,使用和处理必须遵从策略和标准的规
10、定。所有人员。 4.对于由计算机和通信系统负责处理的信息,如果公司已经为保护它们的机密性、完整性、可用性做出了努力,那么就可以否认对数据或者软件的丢失或损坏负责任。所有人员。,小例子,5.公司的安全策略必须满足现有法律法规所规定的保护条例,或者提出比之更严格的要求。当公司的信息安全策略与现有的法律法规冲突时,必须迅速向信息安全管理部门报告。终端用户。 6.信息安全策略只有在极少的情况下才发生异常。当发生异常时,应当进行风险评估以调查引起一场的原因。数据所有者也应当制定一个标准的风险容许表,并且该表要经过信息安全管理部门和内部审计部门的审批。管理层 7.不能因为没有管理层实施安全策略的要求,就允
11、许异常状况持续下去。终端用户,小例子,8.公司的管理层必须慎重考虑对所有违法行为的起诉活动。管理层 9.公司保留随时可撤销用户对信息技术的使用权。终端用户。 10.公司的信息系统必须采用具体行业信息安全标准。技术人员。 11.公司的所有信息安全文档,包括策略标准和过程,除非是明确用于外部业务过程或者合伙人的文档,其它的都必须归类为“仅供内部使用”。所有人 12.所有信息系统安全控制,在作为标准操作过程的一部分之前,必须是可实施的。管理层和技术人员,27,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,ISSP:在使用特定的技术时所定义的可被
12、接受的行为规则。 通常涉及以下特定技术领域: 1.电子邮件。2.互联网的使用。3.防御病毒时计算机的最低配置。4.禁止攻击或者测试机构的安全控制。5.在家中使用公司的计算机设备。6.在公司网络上使用个人设备。7.电讯技术的使用(传真和电话)。8.影印设备的使用,ISSP,ISSP常见的3类建立方式 独立的ISSP文件,每份文件针对一个特定问题 一个包括所有问题的全面的ISSP文件 一个模块化ISSP文档,它统一了政策(策略)的制定和管理,并考虑了每个特定问题的需求独立文件意味着策略独立,往往效果不理想 一个文件可能导致考虑不周,存在漏洞 模块化允许特定解决问题的人制定和更新策略,并通过管理中心
13、汇总,获得全面的策略,ISSP的一般性框架,1.目标声明(范围和适用性;定义所设计的技术;责任) 2.授权访问和设备的使用(用户访问;公正且负责人的使用;隐私的保护) 3.设备的禁止使用(破坏性的使用或者误用;用于犯罪;冒充或者侵扰的材料;侵权的、未经批准的或者涉及其他侵犯知识产权的;其它限制) 4.系统管理(存储材料的管理;雇主监控;病毒防护;物理安全;加密) 5.策略违规(通报违规的过程;对违规的惩罚) 6.策略检查和修改(安排策略的检查,修改的过程) 7.责任的限制(责任的声明;拒绝对其它行为承担责任),ISSP,目标声明 ISSP应该以一个清晰的目标声明开始,这个目标概括了策略的范围和
14、适用性。它解决一下问题:这个策略服务于什么目标?由谁来负责实施策略?策略文档涉及到那些技术问题? 设备的授权访问和使用 这一部分解释了谁可以使用策略所规定的技术,用于什么目的。机构的信息系统是机构的专有财产,用户没有使用特权。每项技术和过程都是为业务额运转而准备的,任何意图的使用都会导致设备的滥用,ISSP,设备的禁止使用 与授权使用相对,这部分明确了禁止使用的范围。除非明确禁止在某个方面的使用,否则机构不能以滥用为借口惩罚员工。 系统管理 侧重用户和系统管理层的关系。例如发布规则知道员工如何使用电子邮件和电子文档,如何存储电子文档,授权雇主如何监控,以及如何保护电子邮件和其它电子文档的物理和
15、电子安全。这部分需要知名用户和系统管理员的职责,以便双方能够明确知道他们应该负责什么,ISSP,违反策略 规定了对违规行为的惩罚和员工的反馈方式。惩罚应当针对每种违规类型而设计。针对怎样报告已观察到的或可疑的违规行为,这部分也应该提供指南 策略检查和修改 每个策略应当包含定期检查步骤和时间表。这部分应当包括ISSP的具体检查和修改方法,以便保证用户手上总有反映机构当前技术和需求的指导方针 责任限制 对一般“责任声明”或者一些列的“拒绝承担责任声明”做了概要说明。例如员工使用机构的设备从事非法活动,管理者并不希望机构为这种情况负责。,33,信息安全政策的层次:,什么是信息安全政策与程序,信息安全
16、政策的内容,信息安全方针,具体的信息安全策略,SysSP:通常在设备配置和维护系统时起到标准和知道过程的作用。例如一个文档描述了网络防火墙的配置和操作规程。 SysSP可以分成两个部分:管理指南和技术规范。 1.管理指南由管理层制定,指导技术的实现和配置。例如一个机构不希望它的员工利用机构的网络访问互联网。这种情况下,应该按照这种规则来配置防火墙。 2.技术规范用于把管理目标转变为可以实施的方法。一般分为ACL和配置规则,SysSP:技术规范,ACL包括用户、权限、客体,阐述了用户对客体的权限。这里的ACL也包含了用户的特权管理。 配置规则是输入到安全系统的具体配置代码。配置代码支持的逻辑更多,比ACL更细化,Information Security Management,重庆医科大学信息管理系,35,安全程序,安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。 程序是为进行某项活动所规定的途径或方法。 信息安全管理程序包括: 实施控制目标与控制方式的安全控制程序(如信息处置与储存程序); 为覆盖信息安全管理体系的管理与运作的程序(如风险评估与管理程序),
