四、信息安全策略框架
信息安全策略的制定者综合风险评估、信息对业务的重要性,管理考虑、组织所遵从的安全标准,制定组织的信息安全策略,可能包括下面的内容:
加密策略----描述组织对数据加密的安全要求。
线路连接策略---描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。
反病毒策略---给出有效减少计算机病毒对组织的威胁的一些指导方针,明确在哪些环节必须进行病毒检测。
应用服务提供策略---定义应用服务提供者必须遵守的安全方针。
审计策略---描述信息审计要求,包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。
电子邮件使用策略---描述内部和外部电子邮件接收、传递的安全要求。
数据库策略-----描述存储、检索、更新等管理数据库数据的安全要求。
非武装区域策略----定义位于“非军事区域”(Demilitarized Zone)的设备和网络分区。
第三方的连接策略---定义第三方接入的安全要求。
敏感信息策略---对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
内部策略---描述对组织内部的各种活动安全要求,使组织的产品服务和利益受到充分保护。
Internet接入策略---定义在组织防火墙之外的设备和操作的安全要求。
口令防护策略----定义创建,保护和改变口令的要求。
远程访问策略----定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。
路由器安全策略—定义组织内部路由器和交换机的最低安全配置。
服务器安全策略---定义组织内部服务器的最低安全配置
VPN安全策略----定义通过VPN接入的安全要求。
无线通讯策略----定义无线系统接入的安全要求。
五、信息安全策略的配套标准
一个组织制定出信息安全策略之后,还需要制定一系列的配套标准来规定人员和部门如何遵守信息安全策略,比如针对条目1的规定,可以为财务部门的计算机数据加密规定如下的标准:
1)所有安装Windows 2000的财务部门计算机应该利用内置加密文件系统EFS将所有文件夹和子文件夹配置成自动加密文档方式。
2)所有人员必须将公司的文件和信息存放在加密的硬盘分区上。
3)计算机技术部负责保管EFS恢复密钥,此密钥只能由计算机技术部经理和内部审计经理访问。
类似地,对于掌上电脑中信息的加密,对于电子邮件消息的加密,仍然需要规定其他的标准。这样,条目1所规定的加密策略才能保证得到执行。在这些标准里,要明确说明使用什么产品对什么类型的信息进行加密。这样做带来的好处是:
1)策略描述了总体的安全目标和方向,不会因为技术产品的升级而过时,一个信息安全策略应该能够使用几年甚至十几年的时间。
2)充分考虑不同部门的业务差异。各个部门的安全要求可能很不相同,各个部门通过制定不同的部门标准可以获得一定的自主空间。
3)详细的标准便于雇员查找、了解和学习安全规定。
信息安全策略是具有明确的时效性的,在一个组织机构内设立的信息安全策略必须向它的职员和各个部门明确这些策略和标准的有效期,避免因为对时间理解错误造成的混乱。
六、信息安全策略的推行
建立对信息安全策略的支持和服从是一个艰难的过程,使用“这将造成严重后果”这样的威胁性语句对于雇员的影响是有限度的,过于频繁的安全警告最终会降低大家的注意力。
采用以业务为中心的对话,提醒员工所面对的信息有极大的价值和需要给予特别的保护倒是行之有效的措施,同时信息安全策略制定者也应该掌握安全和业务需要之间的平衡,争取尽早得到最高管理层的理解和支持。
信息安全策略的推进手段
无论信息安全策略考虑得有多好,制定得有多详尽,但是如果人们不知道这些策略,仍然毫无用处。一个信息安全策略如果是由最高管理者颁布的,则是一个好的开始。 除此之外,还有一些好的手段:
1)印刷日历,强调每个月不同的策略,将它们张贴在办公室中。
2)利用幽默和简单的语言表述信息安全策略,分发给每个雇员。
3)设立一些几十分钟的内部培训课程。
4)进行信息安全策略知识竞赛。
5)将信息安全策略和标准发布在内部系统的网站上。
6)向公司员工发送宣传信息安全策略的邮件。
7)建立内部安全热线,回答雇员关于信息安全策略的问题。
制定和执行信息安全策略需要付出大量的努力,也是一个持续性的工作,需要起草和更新标准,需要对雇员进行培训,需要测量策略符合程度, 但是,建立和执行组织机构的信息安全策略之后,安全问题就成为机构日常业务工作的一部分,安全工作就走向制度化。
八、工具支持
与信息安全策略管理有关的活动很多,象配置管理,规则设置管理,口令管理,缺陷管理,补丁管理,用户管理等等。为了减少信息安全策略维护中的劳动,可以使用一些信息安全策略管理工具。
信息安全策略管理工具可以帮助存储信息安全策略,提供不同的模板帮助用户撰写信息安全策略,帮助建立内部的信息安全策略网站,将高层的信息安全策略目标或者已有的行业规定转换成相符合的低层可操作的策略、监视配置改变。
这方面工具有PWC ESAS,PoliVec、PentaSafe、Symantec等。 这些工具在支持信息安全策略管理方面也各有自己的特点,比如PoliVec 使用四个D来描述策略自动化过程定义(Define)、探测( Detect), 展开(Deploy )和文档( Document)。而PentaSafe是一个集成的信息安全策略管理工具,具有支持策略开发与发布、雇员训练、策略符合度评估等内容。
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
