《安全策略管理》PPT課件

1、第第5章章 信息安全策略管理信息安全策略管理1;.內(nèi)容提要內(nèi)容提要信息安全策略的概念信息安全策略的概念信息安全策略的層次信息安全策略的層次 信息安全策略的制定信息安全策略的制定信息安全策略的管理及相關(guān)技術(shù)信息安全策略的管理及相關(guān)技術(shù)5.1 信息安全策略的概念信息安全策略的概念n信息安全策略的概念信息安全策略的概念信息安全策略從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn)，并說(shuō)明這信息安全策略從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃。些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃。安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合:已授權(quán)的和未授權(quán)的。已授權(quán)的

2、和未授權(quán)的。5.1 信息安全策略的概念信息安全策略的概念n制定信息安全策略的目的制定信息安全策略的目的p如何使用組織中的信息系統(tǒng)資源如何使用組織中的信息系統(tǒng)資源p如何處理敏感信息如何處理敏感信息p如何采用安全技術(shù)產(chǎn)品如何采用安全技術(shù)產(chǎn)品信息安全策略通過(guò)為每個(gè)組織成員提供基本的原則、指南和定義，從而在組織中信息安全策略通過(guò)為每個(gè)組織成員提供基本的原則、指南和定義，從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止人員的不安全行為引入風(fēng)險(xiǎn)。建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止人員的不安全行為引入風(fēng)險(xiǎn)。安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。5.1 信息

3、安全策略的概念信息安全策略的概念n信息安全策略能夠解決的問(wèn)題信息安全策略能夠解決的問(wèn)題p敏感信息如何被處理？敏感信息如何被處理？p如何正確地維護(hù)用戶身份與口令，以及其他賬號(hào)信息？如何正確地維護(hù)用戶身份與口令，以及其他賬號(hào)信息？p如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？p如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?p怎樣正確使用電子郵件系統(tǒng)？怎樣正確使用電子郵件系統(tǒng)？5.2 信息安全策略的層次信息安全策略的層次 n信息安全策略的層次信息安全策略的層次 p信息安全方針信息安全方針p具體的信息安全策略具體的信息安全策略5.

4、2.1 信息安全方針信息安全方針n信息安全方針的概念信息安全方針的概念信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件，是用信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件，是用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。n信息安全方針應(yīng)包含的內(nèi)容信息安全方針應(yīng)包含的內(nèi)容p信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享的重要性；信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享的重要性；p管理層意圖、支持目標(biāo)和信息安全原則的闡述；管理層意圖、支持目標(biāo)和信息安全原則的闡述；

5、p信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì)組織的重要性；信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì)組織的重要性；p信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故等。信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故等。5.2.2 具體的信息安全策略具體的信息安全策略策略包含一套規(guī)則，規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為。策略包含一套規(guī)則，規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為。為了執(zhí)行策略，機(jī)構(gòu)必須實(shí)施一套標(biāo)準(zhǔn)，以準(zhǔn)確定義在工作場(chǎng)所哪些行為是違反為了執(zhí)行策略，機(jī)構(gòu)必須實(shí)施一套標(biāo)準(zhǔn)，以準(zhǔn)確定義在工作場(chǎng)所哪些行為是違反規(guī)定的，以及機(jī)構(gòu)對(duì)該行為的懲罰標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是對(duì)策略的行為規(guī)則更詳細(xì)的描

6、述。規(guī)定的，以及機(jī)構(gòu)對(duì)該行為的懲罰標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是對(duì)策略的行為規(guī)則更詳細(xì)的描述。在實(shí)施過(guò)程中，機(jī)構(gòu)應(yīng)當(dāng)針對(duì)各種違規(guī)行為制定一套標(biāo)準(zhǔn)，并列出這些行為的詳在實(shí)施過(guò)程中，機(jī)構(gòu)應(yīng)當(dāng)針對(duì)各種違規(guī)行為制定一套標(biāo)準(zhǔn)，并列出這些行為的詳細(xì)資料。實(shí)踐、過(guò)程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略。細(xì)資料。實(shí)踐、過(guò)程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略。5.2.2 具體的信息安全策略具體的信息安全策略n企業(yè)信息安全策略企業(yè)信息安全策略n基于問(wèn)題的安全策略基于問(wèn)題的安全策略n基于系統(tǒng)的安全策略基于系統(tǒng)的安全策略5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略企業(yè)信息安全策略（企業(yè)信息安全策略（ EISP）安全項(xiàng)目策略、總安

7、全策略、安全項(xiàng)目策略、總安全策略、IT 安全策略、高安全策略、高級(jí)信息安全策略，也就是為整個(gè)機(jī)構(gòu)安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)。級(jí)信息安全策略，也就是為整個(gè)機(jī)構(gòu)安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)。pEISP 為信息安全的各個(gè)領(lǐng)域分配責(zé)任，包括信息安全策略的維護(hù)、策略的實(shí)施、最為信息安全的各個(gè)領(lǐng)域分配責(zé)任，包括信息安全策略的維護(hù)、策略的實(shí)施、最終用戶的責(zé)任。終用戶的責(zé)任。 pEISP 還特別規(guī)定了信息安全項(xiàng)目的制定、實(shí)施和管理要求還特別規(guī)定了信息安全項(xiàng)目的制定、實(shí)施和管理要求 。 pEISP 是一個(gè)執(zhí)行級(jí)的文檔，是由是一個(gè)執(zhí)行級(jí)的文檔，是由 CISO 與與 CIO 磋商后起草的。通常磋商

8、后起草的。通常 2 耀耀 10 頁(yè)長(zhǎng)，頁(yè)長(zhǎng)，它構(gòu)成了它構(gòu)成了 IT 環(huán)境的安全理念。環(huán)境的安全理念。EISP 一般不需要做經(jīng)常或日常的修改，除非機(jī)構(gòu)的一般不需要做經(jīng)?；蛉粘５男薷?，除非機(jī)構(gòu)的戰(zhàn)略方向發(fā)生了變化。戰(zhàn)略方向發(fā)生了變化。 5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略n企業(yè)信息安全策略（企業(yè)信息安全策略（ EISP）的組成）的組成盡管各個(gè)機(jī)構(gòu)的企業(yè)信息安全策略有差別，但大多數(shù)盡管各個(gè)機(jī)構(gòu)的企業(yè)信息安全策略有差別，但大多數(shù) EISP 文檔應(yīng)該包括以下要文檔應(yīng)該包括以下要素：素： p關(guān)于企業(yè)安全理念的總體看法關(guān)于企業(yè)安全理念的總體看法p機(jī)構(gòu)的信息安全部門結(jié)構(gòu)和實(shí)施信息安全策略人員信息機(jī)

9、構(gòu)的信息安全部門結(jié)構(gòu)和實(shí)施信息安全策略人員信息p機(jī)構(gòu)所有成員共同的安全責(zé)任（員工、承包人、顧問(wèn)、合伙人和訪問(wèn)者）機(jī)構(gòu)所有成員共同的安全責(zé)任（員工、承包人、顧問(wèn)、合伙人和訪問(wèn)者）p機(jī)構(gòu)所有成員明確的、特有的安全責(zé)任機(jī)構(gòu)所有成員明確的、特有的安全責(zé)任注意：應(yīng)把機(jī)構(gòu)的任務(wù)和目標(biāo)納入注意：應(yīng)把機(jī)構(gòu)的任務(wù)和目標(biāo)納入 EISP 中中例：一個(gè)好的例：一個(gè)好的 EISP 的組成部分的組成部分 5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略5.2.2.1 企業(yè)信息安全策略企業(yè)信息安全策略5.2.2.2 基于問(wèn)題的安全策略基于問(wèn)題的安全策略基于問(wèn)題的安全策略（基于問(wèn)題的安全策略（ ISSP，Issue-Spec

10、ific Security Policy）提供了詳細(xì)的、目）提供了詳細(xì)的、目標(biāo)明確的指南，以此來(lái)指導(dǎo)所有機(jī)構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。標(biāo)明確的指南，以此來(lái)指導(dǎo)所有機(jī)構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。一個(gè)有效的一個(gè)有效的 ISSP 是各方（機(jī)構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會(huì)以是各方（機(jī)構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會(huì)以不恰當(dāng)方式被使用，機(jī)構(gòu)已經(jīng)做出了極大的努力。不恰當(dāng)方式被使用，機(jī)構(gòu)已經(jīng)做出了極大的努力。ISSP應(yīng)該讓機(jī)構(gòu)成員認(rèn)識(shí)到，策略的目標(biāo)不是為機(jī)構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)應(yīng)該讓機(jī)構(gòu)成員認(rèn)識(shí)到，策略的目標(biāo)不是為機(jī)構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)責(zé)任人提供法律依

11、據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達(dá)成共識(shí)。一旦達(dá)成了這個(gè)責(zé)任人提供法律依據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達(dá)成共識(shí)。一旦達(dá)成了這個(gè)共識(shí)，員工就可以不用尋求領(lǐng)導(dǎo)批準(zhǔn)，而任意使用各種類型的技術(shù)。共識(shí)，員工就可以不用尋求領(lǐng)導(dǎo)批準(zhǔn)，而任意使用各種類型的技術(shù)。 5.2.2.2 基于問(wèn)題的安全策略基于問(wèn)題的安全策略n基于問(wèn)題的安全策略（基于問(wèn)題的安全策略（ ISSP）應(yīng)完成的目標(biāo)）應(yīng)完成的目標(biāo)p明確地指出機(jī)構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。明確地指出機(jī)構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。p記錄了基于技術(shù)的系統(tǒng)的控制過(guò)程，并確定這個(gè)控制過(guò)程和相關(guān)的負(fù)責(zé)機(jī)構(gòu)。記錄了基于技術(shù)的系統(tǒng)的控制過(guò)程，并

12、確定這個(gè)控制過(guò)程和相關(guān)的負(fù)責(zé)機(jī)構(gòu)。p當(dāng)機(jī)構(gòu)的員工由于使用不當(dāng)，或者非法操作系統(tǒng)而造成了損失，它可以保護(hù)機(jī)構(gòu)不當(dāng)機(jī)構(gòu)的員工由于使用不當(dāng)，或者非法操作系統(tǒng)而造成了損失，它可以保護(hù)機(jī)構(gòu)不承擔(dān)該責(zé)任。承擔(dān)該責(zé)任。nISSP 的特性的特性 p它是針對(duì)特定的、基于技術(shù)的系統(tǒng)它是針對(duì)特定的、基于技術(shù)的系統(tǒng)p它要求不斷地升級(jí)它要求不斷地升級(jí)p它包含一個(gè)問(wèn)題陳述，解釋了機(jī)構(gòu)對(duì)特定問(wèn)題的態(tài)度它包含一個(gè)問(wèn)題陳述，解釋了機(jī)構(gòu)對(duì)特定問(wèn)題的態(tài)度5.2.2.2 基于問(wèn)題的安全策略基于問(wèn)題的安全策略n基于問(wèn)題的安全策略（基于問(wèn)題的安全策略（ ISSP）的組成）的組成p目標(biāo)聲明目標(biāo)聲明p授權(quán)訪問(wèn)和設(shè)備的使用授權(quán)訪問(wèn)和設(shè)備的使用

13、p設(shè)備的禁止使用設(shè)備的禁止使用p系統(tǒng)管理系統(tǒng)管理p違反策略違反策略p策略檢查和修改策略檢查和修改p責(zé)任的限制責(zé)任的限制5.2.2.2.1 ISSP 的組成的組成n目標(biāo)聲明目標(biāo)聲明概括策略的范圍和適用性，用于解決以下問(wèn)題：概括策略的范圍和適用性，用于解決以下問(wèn)題：p這個(gè)策略服務(wù)于什么目標(biāo)？這個(gè)策略服務(wù)于什么目標(biāo)？p由誰(shuí)來(lái)負(fù)責(zé)實(shí)施策略？由誰(shuí)來(lái)負(fù)責(zé)實(shí)施策略？p策略文檔涉及到哪些技術(shù)問(wèn)題？策略文檔涉及到哪些技術(shù)問(wèn)題？n授權(quán)訪問(wèn)和設(shè)備的使用授權(quán)訪問(wèn)和設(shè)備的使用 解釋了誰(shuí)可以使用策略所規(guī)定的技術(shù)，用于什么目的。該部分規(guī)定了以解釋了誰(shuí)可以使用策略所規(guī)定的技術(shù)，用于什么目的。該部分規(guī)定了以“公正公正和負(fù)責(zé)任的

14、使用和負(fù)責(zé)任的使用”方式使用設(shè)備和機(jī)構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問(wèn)題，例方式使用設(shè)備和機(jī)構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問(wèn)題，例如個(gè)人信息和隱私的保護(hù)。如個(gè)人信息和隱私的保護(hù)。 注意：機(jī)構(gòu)的信息系統(tǒng)是該機(jī)構(gòu)的專有財(cái)產(chǎn)，用戶并沒(méi)有特殊的使用權(quán)。注意：機(jī)構(gòu)的信息系統(tǒng)是該機(jī)構(gòu)的專有財(cái)產(chǎn)，用戶并沒(méi)有特殊的使用權(quán)。 5.2.2.2.1 ISSP 的組成的組成n設(shè)備的禁止使用設(shè)備的禁止使用 闡述了設(shè)備禁止使用的范圍，如：私人使用、破壞性使用或者誤用、冒犯或者闡述了設(shè)備禁止使用的范圍，如：私人使用、破壞性使用或者誤用、冒犯或者侵?jǐn)_的材料，以及侵犯版權(quán)、未經(jīng)批準(zhǔn)的東西和其他涉及知識(shí)產(chǎn)權(quán)的活動(dòng)。侵?jǐn)_的材料，

15、以及侵犯版權(quán)、未經(jīng)批準(zhǔn)的東西和其他涉及知識(shí)產(chǎn)權(quán)的活動(dòng)。注意：一個(gè)機(jī)構(gòu)可以靈活地組合授權(quán)訪問(wèn)、設(shè)備的使用和設(shè)備的禁止使用，形成注意：一個(gè)機(jī)構(gòu)可以靈活地組合授權(quán)訪問(wèn)、設(shè)備的使用和設(shè)備的禁止使用，形成“恰當(dāng)恰當(dāng)?shù)氖褂貌呗缘氖褂貌呗浴薄?n系統(tǒng)管理系統(tǒng)管理 指定用戶和系統(tǒng)管理員的責(zé)任，以便讓各方都知道他們應(yīng)該負(fù)責(zé)什么。指定用戶和系統(tǒng)管理員的責(zé)任，以便讓各方都知道他們應(yīng)該負(fù)責(zé)什么。 一家公司可能希望發(fā)布具體的規(guī)則來(lái)指導(dǎo)員工如何使用電子郵件和電子文檔、一家公司可能希望發(fā)布具體的規(guī)則來(lái)指導(dǎo)員工如何使用電子郵件和電子文檔、如何存儲(chǔ)電子文檔、授權(quán)雇主如何監(jiān)控，以及如何保護(hù)電子郵件和其他電子文檔的如何存儲(chǔ)電子文檔

16、、授權(quán)雇主如何監(jiān)控，以及如何保護(hù)電子郵件和其他電子文檔的物理和電子安全。物理和電子安全。 5.2.2.2.1 ISSP 的組成的組成n違反策略違反策略 規(guī)定了對(duì)違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對(duì)每種違規(guī)類型而設(shè)計(jì)；規(guī)定了對(duì)違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對(duì)每種違規(guī)類型而設(shè)計(jì)；這部分也應(yīng)該提供針對(duì)怎樣報(bào)告已觀察到的或可疑的違規(guī)行為這部分也應(yīng)該提供針對(duì)怎樣報(bào)告已觀察到的或可疑的違規(guī)行為 。 n策略檢查和修改策略檢查和修改 明確明確ISSP 的具體檢查和修改方法，以便保證用戶手上總是有反映機(jī)構(gòu)當(dāng)前技的具體檢查和修改方法，以便保證用戶手上總是有反映機(jī)構(gòu)當(dāng)前技術(shù)和需求的指導(dǎo)方針。術(shù)和

17、需求的指導(dǎo)方針。 n責(zé)任的限制責(zé)任的限制 對(duì)一系列的對(duì)一系列的“拒絕承擔(dān)責(zé)任聲明拒絕承擔(dān)責(zé)任聲明”做了概要說(shuō)明做了概要說(shuō)明 ，如果員工使用公司的技術(shù)時(shí)，如果員工使用公司的技術(shù)時(shí)，違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將不會(huì)保護(hù)他們，并且不會(huì)為他們的行為負(fù)責(zé)。不會(huì)保護(hù)他們，并且不會(huì)為他們的行為負(fù)責(zé)。 5.2.2.2.2 ISSP 的制定和管理的制定和管理 制定和管理制定和管理 ISSP 的方法有很多種，常見(jiàn)的有的方法有很多種，常見(jiàn)的有3 種：種：n創(chuàng)建一定數(shù)量獨(dú)立的創(chuàng)建一定數(shù)量獨(dú)立的 ISSP

18、 文檔，每個(gè)策略文檔都對(duì)應(yīng)一個(gè)具體的問(wèn)題。文檔，每個(gè)策略文檔都對(duì)應(yīng)一個(gè)具體的問(wèn)題。n只創(chuàng)建一個(gè)綜合的文檔，該文檔旨在覆蓋所有的問(wèn)題。只創(chuàng)建一個(gè)綜合的文檔，該文檔旨在覆蓋所有的問(wèn)題。n創(chuàng)建一個(gè)創(chuàng)建一個(gè) ISSP 文檔的模板，當(dāng)維護(hù)每一個(gè)具體問(wèn)題需求的時(shí)，可以按這個(gè)模板創(chuàng)建和文檔的模板，當(dāng)維護(hù)每一個(gè)具體問(wèn)題需求的時(shí)，可以按這個(gè)模板創(chuàng)建和管理統(tǒng)一的策略。管理統(tǒng)一的策略。5.2.2.2.2 ISSP 的制定和管理的制定和管理 3 種方法的優(yōu)點(diǎn)和缺點(diǎn)種方法的優(yōu)點(diǎn)和缺點(diǎn) ：5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs，System-Specific Policy

19、）是采用技術(shù)或管理措施來(lái)）是采用技術(shù)或管理措施來(lái)控制設(shè)備的配置，在配置和維護(hù)系統(tǒng)時(shí)起到標(biāo)準(zhǔn)和過(guò)程指導(dǎo)的作用?？刂圃O(shè)備的配置，在配置和維護(hù)系統(tǒng)時(shí)起到標(biāo)準(zhǔn)和過(guò)程指導(dǎo)的作用。例如，例如， SysSPs可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目標(biāo)聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問(wèn)控制列表（為每個(gè)授權(quán)用戶標(biāo)聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問(wèn)控制列表（為每個(gè)授權(quán)用戶定義訪問(wèn)級(jí)別）。定義訪問(wèn)級(jí)別）。nSysSPs的組成的組成p管理指南管理指南p技術(shù)規(guī)范技術(shù)規(guī)范5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略

20、n基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs）管理指南）管理指南 SysSPs管理指南由管理層制定，用來(lái)指導(dǎo)技術(shù)的實(shí)現(xiàn)和配置，該指南還規(guī)定了機(jī)管理指南由管理層制定，用來(lái)指導(dǎo)技術(shù)的實(shí)現(xiàn)和配置，該指南還規(guī)定了機(jī)構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。 例如，一個(gè)機(jī)構(gòu)可能不希望它的員工利用機(jī)構(gòu)的網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)；在這種情況下，例如，一個(gè)機(jī)構(gòu)可能不希望它的員工利用機(jī)構(gòu)的網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)；在這種情況下，應(yīng)該按照這種規(guī)則配置防火墻。應(yīng)該按照這種規(guī)則配置防火墻。基于系統(tǒng)的策略可以和基于問(wèn)題的安全策略（基于系統(tǒng)的策略可以和基于問(wèn)題的安全策略（ ISSP）同時(shí)制定，或者在相關(guān)的）同時(shí)制

21、定，或者在相關(guān)的 ISSPs制定之前準(zhǔn)備。制定之前準(zhǔn)備。 5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略n基于系統(tǒng)的策略（基于系統(tǒng)的策略（SysSPs）技術(shù)規(guī)范）技術(shù)規(guī)范 有兩種方法實(shí)現(xiàn)這種技術(shù)控制：訪問(wèn)控制列表和配置規(guī)則。有兩種方法實(shí)現(xiàn)這種技術(shù)控制：訪問(wèn)控制列表和配置規(guī)則。 p訪問(wèn)控制列表訪問(wèn)控制列表訪問(wèn)控制列表（訪問(wèn)控制列表（ACLs）包括用戶訪問(wèn)列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和）包括用戶訪問(wèn)列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和特權(quán)。特權(quán)。ACLs控制了對(duì)文檔存儲(chǔ)系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問(wèn)。控制了對(duì)文檔存儲(chǔ)系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問(wèn)。一個(gè)權(quán)限列表詳細(xì)規(guī)

22、定了哪些設(shè)備用戶或組可以訪問(wèn)。權(quán)限規(guī)定常常采用復(fù)雜矩陣的一個(gè)權(quán)限列表詳細(xì)規(guī)定了哪些設(shè)備用戶或組可以訪問(wèn)。權(quán)限規(guī)定常常采用復(fù)雜矩陣的形式，而不是簡(jiǎn)單的列表。形式，而不是簡(jiǎn)單的列表。NT/2000 把把 ACLs轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個(gè)配置單元可以控制系統(tǒng)訪轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個(gè)配置單元可以控制系統(tǒng)訪問(wèn)。問(wèn)。 5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略p訪問(wèn)控制列表訪問(wèn)控制列表訪問(wèn)控制列表（訪問(wèn)控制列表（ACLs）使管理員能夠根據(jù)用戶、計(jì)算機(jī)、訪問(wèn)時(shí)間、甚至特殊的）使管理員能夠根據(jù)用戶、計(jì)算機(jī)、訪問(wèn)時(shí)間、甚至特殊的文檔來(lái)限制對(duì)系統(tǒng)的訪問(wèn)。一般說(shuō)來(lái)，文檔來(lái)限制對(duì)系統(tǒng)的訪問(wèn)

23、。一般說(shuō)來(lái)，ACLs規(guī)定以下幾個(gè)方面：規(guī)定以下幾個(gè)方面： 誰(shuí)可以使用系統(tǒng)誰(shuí)可以使用系統(tǒng)授權(quán)用戶可以訪問(wèn)什么授權(quán)用戶可以訪問(wèn)什么授權(quán)用戶在何時(shí)可以訪問(wèn)系統(tǒng)授權(quán)用戶在何時(shí)可以訪問(wèn)系統(tǒng)授權(quán)用戶在何地可以訪問(wèn)系統(tǒng)授權(quán)用戶在何地可以訪問(wèn)系統(tǒng) 授權(quán)用戶怎樣訪問(wèn)系統(tǒng)授權(quán)用戶怎樣訪問(wèn)系統(tǒng)5.2.2.3 基于系統(tǒng)的策略基于系統(tǒng)的策略p配置規(guī)則配置規(guī)則配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時(shí)，該規(guī)則指導(dǎo)系統(tǒng)的執(zhí)行。行。 基于規(guī)則的策略比基于規(guī)則的策略比 ACLs規(guī)定得更為詳細(xì)，一些安全系統(tǒng)要求特定的配置腳本，這些規(guī)定得更為詳細(xì)

24、，一些安全系統(tǒng)要求特定的配置腳本，這些腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。（如：防火墻配置規(guī)腳本告訴系統(tǒng)他們處理每種信息的時(shí)候，系統(tǒng)需要執(zhí)行哪種相應(yīng)操作。（如：防火墻配置規(guī)則、則、IDS配置規(guī)則）配置規(guī)則）p組合組合 SysSPs許多機(jī)構(gòu)選擇創(chuàng)建單一的文檔，該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來(lái)。如果采許多機(jī)構(gòu)選擇創(chuàng)建單一的文檔，該文檔把管理指南和技術(shù)規(guī)范二者結(jié)合起來(lái)。如果采用此方法，就應(yīng)當(dāng)注意要仔細(xì)清楚地表述操作過(guò)程所要求的執(zhí)行步驟。用此方法，就應(yīng)當(dāng)注意要仔細(xì)清楚地表述操作過(guò)程所要求的執(zhí)行步驟。 5.3 信息安全策略的制定信息安全策略的制定n安全策略的制定原則安全策

25、略的制定原則p起點(diǎn)進(jìn)入原則：在系統(tǒng)建設(shè)一開(kāi)始就考慮安全策略問(wèn)題。起點(diǎn)進(jìn)入原則：在系統(tǒng)建設(shè)一開(kāi)始就考慮安全策略問(wèn)題。p長(zhǎng)遠(yuǎn)安全預(yù)期原則：對(duì)安全需求作總體設(shè)計(jì)和長(zhǎng)遠(yuǎn)打算。長(zhǎng)遠(yuǎn)安全預(yù)期原則：對(duì)安全需求作總體設(shè)計(jì)和長(zhǎng)遠(yuǎn)打算。p最小特權(quán)原則：不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限。最小特權(quán)原則：不給用戶超出執(zhí)行任務(wù)所需權(quán)利以外的期限。p公認(rèn)原則：參考通用的安全措施，做出自己的決策。公認(rèn)原則：參考通用的安全措施，做出自己的決策。p適度復(fù)雜與經(jīng)濟(jì)原則適度復(fù)雜與經(jīng)濟(jì)原則p策略不能與法律相沖突策略不能與法律相沖突 p策略必須被恰當(dāng)?shù)刂С趾凸芾聿呗员仨毐磺‘?dāng)?shù)刂С趾凸芾?.3.1 信息安全策略的制定過(guò)程信息安全策

26、略的制定過(guò)程n理解組織業(yè)務(wù)特征理解組織業(yè)務(wù)特征充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提；充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提； 對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析。對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析。n得到管理層的明確支持與承諾得到管理層的明確支持與承諾p使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致；使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致；p使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；p可以得到有效的資源保證?？梢缘玫接行У馁Y源保證。5.3.

27、1 信息安全策略的制定過(guò)程信息安全策略的制定過(guò)程n組建安全策略制定小組組建安全策略制定小組小組成員的多少視安全策略的規(guī)模與范圍大小而定，一般有以下人員組成：小組成員的多少視安全策略的規(guī)模與范圍大小而定，一般有以下人員組成：p高級(jí)管理人員；高級(jí)管理人員；p信息安全管理員；信息安全管理員；p信息安全技術(shù)人員；信息安全技術(shù)人員；p負(fù)責(zé)安全策略執(zhí)行的管理人員；負(fù)責(zé)安全策略執(zhí)行的管理人員；p用戶部門人員。用戶部門人員。n確定信息安全整體目標(biāo)確定信息安全整體目標(biāo) 通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為通過(guò)防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，使業(yè)務(wù)損失最小化，并為業(yè)務(wù)

28、目標(biāo)的實(shí)現(xiàn)提供保障。業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障。5.3.1 信息安全策略的制定過(guò)程信息安全策略的制定過(guò)程n起草擬定安全策略起草擬定安全策略安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有涉及的內(nèi)容要說(shuō)明原因，并闡安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制，沒(méi)有涉及的內(nèi)容要說(shuō)明原因，并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的安全策略。述如何根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的安全策略。n評(píng)估安全策略評(píng)估安全策略安全策略制定完成后，要進(jìn)行充分的評(píng)估和測(cè)試，評(píng)估時(shí)可以考慮如下問(wèn)題：安全策略制定完成后，要進(jìn)行充分的評(píng)估和測(cè)試，評(píng)估時(shí)可以考慮如下問(wèn)題：p安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求安全策

29、略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求?p管理層是否已批準(zhǔn)了安全策略，并明確承諾支持政策的實(shí)施管理層是否已批準(zhǔn)了安全策略，并明確承諾支持政策的實(shí)施?p安全策略是否損害組織、組織人員及第三方的利益安全策略是否損害組織、組織人員及第三方的利益?p安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施?p安全策略是否滿足組織在各個(gè)方面的安全要求安全策略是否滿足組織在各個(gè)方面的安全要求?p安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方，并得到了他們的同意？安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方，并得到了他們的同意？5.3.1 信息安全策略的制定過(guò)程信息安全

30、策略的制定過(guò)程n實(shí)施安全策略實(shí)施安全策略把安全方針與具體安全策略編制成組織信息安全策略手冊(cè)，然后發(fā)布到組織中的把安全方針與具體安全策略編制成組織信息安全策略手冊(cè)，然后發(fā)布到組織中的每個(gè)組織人員與相關(guān)利益方。每個(gè)組織人員與相關(guān)利益方。p幾乎所有層次的所有人員都會(huì)涉及到這些政策；幾乎所有層次的所有人員都會(huì)涉及到這些政策；p組織中的主要資源將被這些政策所涵蓋；組織中的主要資源將被這些政策所涵蓋；p將引入許多新的條款、程序和活動(dòng)來(lái)執(zhí)行安全策略。將引入許多新的條款、程序和活動(dòng)來(lái)執(zhí)行安全策略。n政策的持續(xù)改進(jìn)政策的持續(xù)改進(jìn)p組織所處的內(nèi)外環(huán)境在不斷變化；組織所處的內(nèi)外環(huán)境在不斷變化；p信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)；信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù)；p人的思想和觀念也在不斷的變化。人的思想和觀念也在不斷的變化。5.4 信息安全策略管理及相關(guān)技術(shù)信息安全策略管理及相關(guān)技術(shù)n安全策略管理辦法安全策略管理辦法p集中式管理集中式管理集中式管理就是在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對(duì)集中式管理就是在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對(duì)信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配。信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配。p分布式管理分布式管理分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分，然后根據(jù)資源類型的分布式管理就是將信息系統(tǒng)