第4章 安全規(guī)劃,信息安全管理,王春東,武漢大學出版社

1、第4章 安全規(guī)劃學習目標：管理人員在信息安全政策、標準、實踐、過程及方針的發(fā)展、維護和實施中的作用。英國標準協(xié)會（BSI）制訂的信息安全管理標準（BS 7799）。安全管理策略的制定與實施以及制定和實施安全策略時要注意的問題。機構(gòu)如何通過教育、培訓和意識提升計劃，使它的政策、標準和實踐制度化。什么是意外事故計劃，它與事件響應計劃、災難恢復計劃和業(yè)務持續(xù)性計劃有什么關(guān)系。4.1引言 要建立信息安全計劃，應首先建立和檢查機構(gòu)的信息安全政策和程序，然后，選擇或建立信息安全體系結(jié)構(gòu)，開發(fā)和使用詳細的信息安全藍本，為將來的成功制定計劃。機構(gòu)的信息安全藍本只有與信息安全政策相互配合，才能起作用。沒有政策、

2、藍本和計劃，機構(gòu)就不能滿足各個利益團體的信息安全需求。在現(xiàn)代機構(gòu)中，計劃的作用無論怎樣強調(diào)都不過分。除了最小的機構(gòu)之外，其他機構(gòu)都承擔著制定計劃的任務：管理資源分配的策略計劃和為商業(yè)環(huán)境的不確定做準備的意外事故計劃。4.2信息安全政策與程序4.2.1為什么要制定安全政策與程序在當今快速發(fā)展的信息社會中，由信息技術(shù)支持的業(yè)務活動在技術(shù)、環(huán)境、管理等方面的脆弱性在不斷增加，組織業(yè)務信息的安全性與業(yè)務持續(xù)性面臨著各種各樣的威脅，在保障組織正常運營的過程中，信息安全充當著極其重要的角色。在國內(nèi)，大部分企業(yè)對信息安全的理解還只停留在技術(shù)層面上，以為企業(yè)外部網(wǎng)建立了防火墻能防黑客，內(nèi)部網(wǎng)能殺病毒就達到安全

3、要求了。最近國內(nèi)的幾次安全事件，如亞信的電信方案被盜版，華為與美國思科及上海滬科的知識產(chǎn)權(quán)訴訟案都生動地告訴我們，在信息安全中最活躍的因素是人，人的因素比技術(shù)因素更重要。為更有效地實施信息安全政策，需要制定詳細的執(zhí)行程序。例如，防范惡意軟件的安全政策就需要建立一套完整的防范惡意軟件的控制程序。安全程序是保障信息安全政策能有效實施的、具體化的、過程性的措施，是信息安全政策從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)。4.2.2什么是信息安全政策與程序1安全政策的內(nèi)容安全政策的內(nèi)容信息安全政策從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃，其目的就是對組

4、織中的成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時應當承擔什么樣的責任，詳細描述對員工的安全意識與技能要求，列出被組織禁止的行為。建立了信息安全政策，就設置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護責任，強調(diào)信息系統(tǒng)安全對組織業(yè)務目標的實現(xiàn)、業(yè)務活動持續(xù)運營的重要性。（1）安全政策涉及的問題制定政策是規(guī)范各種保護組織信息資源的安全活動的重要一步，安全政策可以由組織中的安全負責人、業(yè)務人員、信息系統(tǒng)專家等制訂，但最終都必須由組織的高級管理人員批準和發(fā)布。一個好的安全政策應當能解決如下所示問題：敏感信息如何被處理?如何正確地維護用

5、戶身份與口令，以及其他賬號信息?如何對潛在的安全事件、入侵企圖進行響應?怎樣以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接?怎樣正確使用電子郵件系統(tǒng)?（2）信息安全政策的層次信息安全政策可以分為兩個層次，一個是信息安全方針，另一個是具體的信息安全策略。所謂信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全方針應當簡明、扼要，便于理解，但至少應包括以下內(nèi)容：信息安全的定義，總體目標、范圍，安全對信息共享的重要性；管理層意圖、支持目標和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要

6、性；信息安全管理的一般和具體責任定義，包括報告安全事故。具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風險評估的結(jié)果，為保證控制措施的有效執(zhí)行而制定的明確具體的信息安全實施規(guī)則。信息安全中一般有3種政策：企業(yè)信息安全政策（Enterprise information security policy,EISP）特定問題安全政策（An issue-specific security policy,ISSP）特定系統(tǒng)政策（System-specific policies,SysSP）下面將具體介紹一下每種政策。企業(yè)信息安全政策（EISP）。企業(yè)信息安全政策（EISP）也稱為一般安全政策、IT安全政

7、策和信息安全政策。EISP基于機構(gòu)的任務、構(gòu)想和方向，并直接支持它們。EISP為所有的安全工作制定戰(zhàn)略方向、范圍以及基調(diào)。它是一個行政級別的文件，通常由機構(gòu)的首席信息官來起草，并由首席信息官協(xié)調(diào)。EISP指導安全計劃的發(fā)展、實施和管理。EISP一般遵循以下兩個范圍：確保滿足建立計劃的要求，并給機構(gòu)的各個部門分配職責；使用特定的處罰以及采取處罰性措施。特定問題安全政策（ISSP）：在使用特定的技術(shù)時（如電子郵件、因特網(wǎng)）所定義的可被接受的行為規(guī)則。一般而言，特定問題安全政策涉及下面的特定技術(shù)領(lǐng)域：電子郵件因特網(wǎng)的使用防御蠕蟲和病毒時計算機的最低配置禁止攻擊或者測試機構(gòu)的安全控制在家中使用公司的計

8、算機設備在公司網(wǎng)絡上使用個人設備電訊技術(shù)的使用（傳真和電話）影印設備的使用在機構(gòu)內(nèi)部制定和管理ISSP時，可以采用許多方法。最常見的是建立下列3種ISSP文件：獨立的ISSP文件，每份文件針對一個特定問題。一個包括所有問題的全面的ISSP文件。一個模塊化ISSP文檔，它統(tǒng)一了政策的制定和管理，并考慮了每個特定問題的需求。圖4-1 一個ISSP例子提綱有效電訊使用政策的思考 1政策綜述范圍和適用性使用技術(shù)的定義責任 2設備的授權(quán)訪問和使用用戶訪問合理并負責的使用隱私的保護 3設備的禁止使用破壞性的使用或者濫用與犯罪有關(guān)的使用攻擊性和擾亂性材料版權(quán)、許可，或者其他知識產(chǎn)權(quán) 4系統(tǒng)管理（1）存儲資料

9、的管理（2）雇主監(jiān)視（3）病毒防護（4）加密 5政策的違反（1）報告違反行為的過程（2）違反行為的懲罰 6政策檢查及修改（1）政策預定的檢查以及修改的步驟 7責任限制（1）責任或者拒絕的聲明 特定系統(tǒng)政策（SysSP）：它實際上是采用技術(shù)或管理措施來控制設備的配置。例如，訪問控制列表就是這種政策，它定義了對某個特殊設備的訪問權(quán)限。特定系統(tǒng)政策可以分成兩個普通的類別：訪問控制列表（ACL）。配置規(guī)則。配置規(guī)則是輸入到安全系統(tǒng)的具體配置代碼，在信息流經(jīng)它時，該規(guī)則指導系統(tǒng)的執(zhí)行。基于規(guī)則的策略比ACL規(guī)定得更為詳細，并且他們可以和用戶直接交涉，也可以不和用戶直接交涉。一些安全系統(tǒng)要求特定的配置腳本

10、，這些腳本告訴系統(tǒng)他們處理每種信息的時候，系統(tǒng)需要執(zhí)行哪種相應操作。例如，防火墻、入侵監(jiān)測系統(tǒng)（IDSs）和代理服務器。 2安全程序的內(nèi)容安全程序的內(nèi)容程序是為進行某項活動所規(guī)定的途徑或方法。程序可以形成文件，也可以不形成文件，為確保信息安全管理活動的有效性，信息安全管理體系程序通常要求形成文件。（1）安全程序的組成信息安全管理程序包括兩部分：一是實施控制目標與控制方式的安全控制程序（例如信息處置與儲存程序），另一部分是為覆蓋信息安全管理體系的管理與運作的程序（例如：風險評估與管理程序。（2）安全程序涉及的問題程序文件的內(nèi)容通常包括：活動的目的與范圍（Why）、做什么（What）、誰來做（Wh

11、o）、何時（When）、何地（Where）、如何做（How），應使用什么樣的材料、設備和文件，如何對活動進行控制和記錄，即人們常說的“5W1H”。在編寫程序文件時，應遵循下列原則：程序文件一般不涉及純技術(shù)性的細節(jié)，細節(jié)通常在工作指令或作業(yè)指導書中規(guī)定。程序文件應簡練、明確和易懂，使其具有可操作性和可檢查性。程序文件應具有統(tǒng)一的結(jié)構(gòu)與格式編排，便于文件的理解與使用。4.2.3安全政策與程序的格式1安全方針的格式安全方針的格式安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內(nèi)容明確。例如：一個通用的方針格式，如表4-1所示。 2安全策略的格式安全策略的格式信息安全策略的

12、主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)，安全策略的格式如表4-2所示。 3程序文件的內(nèi)容與格式程序文件的內(nèi)容與格式格式示例見表4-3。4.3信息安全管理標準信息安全管理正在逐步受到安全界的重視，加強信息安全管理被普遍認為是解決信息安全問題的重要途徑。但由于管理的復雜性與多樣性，信息安全管理制度的制定和實施往往與決策者的個人思路有很大關(guān)系，隨意性較強。信息安全管理也同樣需要一定的標準來指導。這就是英國標準協(xié)會（BSI）制訂并于1999年修訂的信息安全管理標準（BS 7799）受到空前重視

13、的原因。如今BS7799的一部分已經(jīng)在2000末被采納為國際標準，以標準號ISO/IEC17799發(fā)布，全名為信息安全管理實施細則。我國很多行業(yè)已經(jīng)在參照BS7799或ISO/IEC17799制定自己的行業(yè)信息安全管理法規(guī)。1信息安全標準簡介信息安全標準簡介BS 7799主要提供了有效地實施IT安全管理的建議，介紹了安全管理的方法和程序。用戶可以參照這個完整的標準制訂出自己的安全管理計劃和實施步驟，為公司發(fā)展、實施和估量有效的安全管理實踐提供參考依據(jù)。該標準是由英國標準協(xié)會（BSI）制定，是目前英國最暢銷的標準。BS 7799標準包括如下兩部分：BS 7799-1：1999信息安全管理實施細則

14、BS 7799-2：1999信息安全管理體系規(guī)范其中BS7799-1：1999于2000年12月通過國際標準化組織（ISO）認可，正式成為國際標準，即ISOIEC17799：2000信息技術(shù)信息安全管理實施細則。2標準的適用范圍標準的適用范圍BS 7799-1-1 在該標準中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務的連續(xù)性，最大限度地減少業(yè)務的損失，從而最大限度地獲取投資和商務的回報。信息安全的涵義主要體現(xiàn)在以下三個方面： 安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護

15、信息和處理方法的準確和完善；可用性：確保授權(quán)人需要時可以獲取信息和相應的資產(chǎn)。 雖然，實施細則中的指南內(nèi)容盡可能趨于全面，并提供一套國際現(xiàn)行的最佳慣例的安全控制，但是實施細則中的控制方法并非適合于每一種情況，也不能將當?shù)鼗蚣夹g(shù)方面的限制考慮在內(nèi)，因此它還需指南文件加以補充。BS 7799-2：1999信息安全管理體系規(guī)范規(guī)定了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)組織的需要應實施安全控制的要求。即本標準適用以下情況：組織按照本標準要求建立并實施信息安全管理體系，進行有效的信息安全風險管理，確保商務可持續(xù)性發(fā)展。作為尋求信息安全管理體系第三方認證的標準。BS 7799-

16、2：1999明確提出安全控制要求，BS 7799-1：1999對應給出了通用的控制方法（措施），因此可以說，BS 7799-1：1999為BS 7799-2：1999的具體實施提供了指南。但標準中的控制目標、控制方式的要求并非信息安全管理的全部，一個組織可以根據(jù)需要考慮另外的控制目標和控制方式。3標準的主要內(nèi)容標準的主要內(nèi)容下面主要以BS 7799：1999為例介紹標準的主要內(nèi)容。該標準主要由兩大部分組成：BS 7799-1：1999，以及BS 7799-2：1999。 （1）第一部分（BS 7799-1）簡介 信息安全管理實施細則，是作為國際信息安全指導標準ISO/IEC 17799基礎(chǔ)的指

17、導性文件，主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和維護信息安全。這一部分包括十大管理要項，三十六個執(zhí)行目標，一百二十七種控制方法，如圖4-2所示。其詳細內(nèi)容如表4-4所示。 （2）第二部分（BS 7799-2）簡介信息安全管理體系規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)（ISMS）的要求，指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂啤１静糠痔岢隽藨撊绾谓⑿畔踩芾眢w系的步驟，如圖4-3所示： 定義信息安全策略信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制訂不同的信息安全策略。例如，規(guī)模

18、較小的組織單位可能只有一個信息安全策略，并適用于組織內(nèi)所有部門、員工；而規(guī)模大的集團組織則需要制訂一個信息安全策略文件，分別適用于不同的子公司或各分支機構(gòu)。定義ISMS的范圍ISMS的范圍確定需要重點進行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實際情況，在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域構(gòu)架ISMS。進行信息安全風險評估信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應該與組織對信息資產(chǎn)風險的保護需求相一致。信息安全風險管理根據(jù)風險評估的結(jié)果進行相應的風險管理。信息安全風險管理主要包括以下幾種措施：降低風險：在考慮轉(zhuǎn)嫁風險前，應首先考慮采取措施降低風險

19、；避免風險：有些風險很容易避免，例如通過采用不同的技術(shù)、更改操作流程、采用簡單的技術(shù)措施等；轉(zhuǎn)嫁風險：通常只有當風險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險。接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。 然而，BS 7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個組織單位自身的實際情況相結(jié)合，構(gòu)架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS 7799在標準里描述的所有控制方式并非都適合于每種情況，它不可能將當

20、地系統(tǒng)、環(huán)境和技術(shù)限制考慮在內(nèi)，也不可能適合一個組織中的每個潛在的用戶，因此，這個標準還需結(jié)合實際情況進一步加以補充。此外，信息安全管理建立在風險評估的基礎(chǔ)上，而風險評估本身是一個復雜的過程，不同組織面臨不同程度和不同類型的風險，風險的測度需要有效的方法支持，因此按照該標準衡量一個系統(tǒng)還需要一些相關(guān)技術(shù)的配合。4.4安全管理策略的制定與實施4.4.1安全管理策略的制定1理解組織業(yè)務特征和企業(yè)文化理解組織業(yè)務特征和企業(yè)文化充分了解組織業(yè)務特征是設計安全管理策略的前提，只有了解組織業(yè)務特征，才能發(fā)現(xiàn)并分析組織業(yè)務所處的風險環(huán)境，并在此基礎(chǔ)上提出合理的、與組織業(yè)務目標相一致的安全保障措施，定義出技術(shù)

21、與管理相結(jié)合的控制方法，從而制定有效的的安全管理策略和程序。對組織業(yè)務的了解包括對其業(yè)務內(nèi)容、性質(zhì)、目標及其價值進行分析，在信息安全中，業(yè)務一般是以資產(chǎn)形式表現(xiàn)出來，它包括信息數(shù)據(jù)、軟硬件、無形資產(chǎn)、人員及其能力等。安全風險管理理論認為，對業(yè)務資產(chǎn)的適度保護對業(yè)務的成功至關(guān)重要。要實現(xiàn)對業(yè)務資產(chǎn)的有效保護，必須要對資產(chǎn)有很清晰的了解。對組織文化及員工狀況的了解有助于知道組織中員工的安全意識、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。2得到管理層的明確支持與承諾得到管理層的明確支持與承諾要制定一套好的安全管理策略，必須與決策層進行有效溝通，并得到組織高層領(lǐng)導的支持與承諾，這有三個作用，一

22、是制定的安全管理策略與組織的業(yè)務目標一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全策略時必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。3組建一個安全策略制定小組組建一個安全策略制定小組安全策略制定小組應當由以下人員組成：高級管理人員；信息安全管理人員；負責安全政策執(zhí)行的管理人員；熟悉法律事務的人員；用戶部門的人員。4確定信息安全整體目標確定信息安全整體目標描述信息安全宏觀需求和預期達到的目標。一個典型的目標是；通過防止和最小化安全事故的影響，保證業(yè)務持續(xù)性，并最小化業(yè)務損失，為企業(yè)的實現(xiàn)業(yè)務目

23、標提供保障。5確定范圍確定范圍確定安全管理策略要涉及的范圍，組織需要根據(jù)自己的實際情況，可以在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域制定安全管理策略，這需要與組織的實施的信息安全管理體系范圍結(jié)合起來考慮。6風險評估與選擇安全控制風險評估與選擇安全控制組織信息安全管理現(xiàn)狀調(diào)查與風險評估工作是建立安全管理策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個過程中，風險評估工作占了很大的比例，風險評估的工作質(zhì)量直接影響安全控制的合理選擇和安全政策的完備制定；根據(jù)風險評估的結(jié)果，在BS 7799-2附錄A中選擇適合組織的控制目標與控制方式。組織選擇出適合自己安全需求的控制目標與控制方式后，安全策略的制定才有了最直接的

24、依據(jù)。7起草擬訂安全策略起草擬訂安全策略根據(jù)前面風險評估與選擇安全控制的結(jié)果，起草擬訂安全策略，安全策略要盡可能地涵蓋所有的風險和控制，沒有涉及的內(nèi)容要說明原因，根據(jù)具體的風險和控制來決定制訂什么樣的策略，表4-5給出了一些常用信息安全策略的示例。 8評估安全策略評估安全策略安全策略被制訂出來后，要進行充分的專家評估和用戶測試，以評審安全策略的完備性、易用性，確定安全策略能否達到組織所需的安全目標?？梢蕴岢鋈缦滤镜膯栴}：安全策略是否符合法津、法規(guī)、技術(shù)標準及合同的要求？管理層是否己批準了安全策略，并明確承諾支持策略的實施？安全策略是否損害了組織、員工及第三方的利益？安全策略是否實用、可操作并

25、可以在組織中全面實施？安全策略是否滿足組織在各個方面的安全要求？安全策略是否已傳達給組織中的員工與相關(guān)利益方，并得到了他們的同意？ 4.4.2安全管理策略的實施1安全策略的實施安全策略的實施安全策略通過測試評估后，需要由管理層正式批準實施。可以把安全方針與具體安全策略編制成組織信息安全策略手冊，然后發(fā)布到組織中的每個員工與相關(guān)利益方，明確安全責任與義務。2策略的持續(xù)改進策略的持續(xù)改進安全策略制定實施后，并不能“高枕無憂”，組織要定期評審安全策略，并進行持續(xù)改進，因為組織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風險也是一個變數(shù)，組織中的人的思想、觀念也在不斷的變化，組織要想把風險控制在

26、一個可以接受的范圍內(nèi)，使之在理論上、標準上及方法上與時俱進。4.4.3制定和實施安全策略時要注意的問題1控制成本控制成本制定與實施信息安全策略會有一定的潛在成本，這些成本是由于在起草、評審、發(fā)布、宣傳過程中舉辦大量行政與管理活動形成的；2在安全可靠性與業(yè)務靈活性之間進行平衡在安全可靠性與業(yè)務靈活性之間進行平衡實施安全控制在大多數(shù)情況下是對員工安全行為進行約束，對員工活動進行限制，但安全策略的執(zhí)行不能影響的業(yè)務的正常運行。因為過于嚴格的策略或要求，只會阻礙安全策略的執(zhí)行，最后大家只好敷衍了事，在安全可靠性與業(yè)務靈活性之間取得平衡。3制定合適的人力資源政策制定合適的人力資源政策通過人力資源政策，加

27、強對員工的安全管理，這是執(zhí)行安全策略的有效控制手段。4注重企業(yè)安全文化的建設注重企業(yè)安全文化的建設企業(yè)實施安全策略目的主要是用管理的強制手段約束被管理者的個性行為，使其符合管理者的需要。企業(yè)信息安全管理是通過制定法律、規(guī)范、制度、標準等，約束員工的不安全行為，同時通過宣傳教育等手段，使員工學會安全的行為，以保證組織信息資產(chǎn)目標的實現(xiàn)。在企業(yè)中開展信息安全文化建設，不應該把信息安全文化看作特立獨行的事務，。在企業(yè)中也許看不見聽不到“安全文化”的詞語，但在各項工作中處處、事事體現(xiàn)安全文化，這才是安全文化建設的實質(zhì)。4.5安全教育、培訓和意識提升來自人員的信息安全威脅，通常是由于安全意識淡薄、對信息

28、安全方針不理解或?qū)I(yè)技能不足等原因。為確保人員意識到信息安全的威脅和隱患，并在他們正常工作時遵守組織的信息安全方針，需要組織提供必要的信息安全教育與培訓。這種教育和培訓有時候要擴大到有關(guān)的第三方用戶。 4.5.1 安全教育信息安全部的一些員工可能預先并沒有信息安全的相關(guān)背景或經(jīng)驗，當環(huán)境允許并根據(jù)需要，可以鼓勵他們參加脫產(chǎn)的正式培訓。信息安全培訓項目必須包括：所有安全專業(yè)人員的信息安全教育需求所有信息技術(shù)專業(yè)人員的必備知識教育大量的高等教育機構(gòu)提供了信息安全的正式學習課程。不幸的是，最近一次對這些機構(gòu)的調(diào)研發(fā)現(xiàn)，大多數(shù)授予學位（博士或碩士）的高等院校中，計算機科學或信息系統(tǒng)專業(yè)實際上只包括了少

29、量信息安全方面的課程。雖然一些學位確實提供了深入和廣泛的信息安全教育，但是，將來有志于從事信息安全工作的學生必須仔細審核這些高校所提供的課程數(shù)量和課程內(nèi)容。4.5.2 安全培訓1.培訓范圍培訓范圍應定期對從事操作和維護信息系統(tǒng)的工作人員進行培訓，包括信息系統(tǒng)安全培訓、政策法規(guī)的培訓等。人員培訓一般可分3個層次：領(lǐng)導層的計算機應用管理培訓，軟件、硬件技術(shù)人員和應用系統(tǒng)管理人員的技術(shù)培訓，計算機操作員的上崗培訓。2.培訓內(nèi)容培訓內(nèi)容（1）法律、制度和道德培訓 （2）規(guī)章制度的培訓 3.培訓技術(shù)培訓技術(shù)對于一個成功的培訓項目而言，良好的培訓方法與培訓內(nèi)容同等重要。 （1）傳授方式培訓過程中傳授方式的

30、選擇并不總是以最好的培訓效果為唯一標準。通常應首先考慮其他因素最常見的預算、進度表以及組織的需要，表4-6列出了最常見的傳授方式。 （2）挑選培訓人員機構(gòu)為員工提供培訓時，可以利用當?shù)氐呐嘤栱椖?、繼續(xù)教育部門或者另外的對外培訓機構(gòu)。教授有5個或更多學生的班級與給同事們提供友好忠告完全不同，前者需要雇傭有培訓經(jīng)驗的專家。 （3）實施培訓根據(jù)上面討論的技術(shù)來開發(fā)自身戰(zhàn)略時，普遍采用以下7步論：第1步：確定項目的范圍、目的和目標；第2步：確定培訓；第3步：確定培訓對象；第4步：激發(fā)管理層和員工；第5步：管理項目；第6步：維護項目；第7步：評估項目；確定項目范圍、目的和目標。培訓項目的范圍應該是所有與

31、計算機系統(tǒng)相關(guān)的人員；除了內(nèi)容廣泛的培訓項目外，還應制定有針對性的培訓項目；安全培訓的目標是通過提高員工的保護意識、執(zhí)行能力，增強對計算機的安全責任感來加強對計算機資源的保護。4.5.3 安全意識 安全意識指通過改變組織的觀點，讓他們意識到安全的重要性和沒有保證安全所帶來的不利后果，并提醒后繼者。當開展一個新的意識提升項目時，有一些重要的觀念要記?。喝思饶苤圃靻栴}又能解決問題；盡量少使用技術(shù)術(shù)語，講用戶理解的語言；至少確定一個關(guān)鍵學習目標，清楚地說明它，提供充分的細節(jié)和報道來加強學習；盡量使事情簡單，不要喋喋不休地向員工進行宣傳；不要用海量信息淹沒用戶；幫助用戶明白他們在信息安全中的任務和破壞

32、安全將如何影響他們的工作；利用內(nèi)部通訊介質(zhì)來傳送消息；使意識提升項目正規(guī)化，策劃和記錄全部活動；盡快提供好的信息。好的安全意識提升項目應該是管理者以身作則，簡單易懂并且為之付出持續(xù)努力。（1）員工的行為和意識 安全意識培訓可以糾正員工所有危害機構(gòu)信息安全的行為。通過教導員工怎樣正確地處理信息、應用信息，能夠降低偶然損害或者信息破壞的風險性；懲罰性策略主要是想達到以下效果：員工害怕懲罰；員工認為他們可能被抓??；員工認為如果被抓住，他們將被懲罰。如果管理者不樹立一個好榜樣，安全意識培訓活動可能被破壞。管理者特別是上層管理者沒有遵循組織的策略將很快被所有員工的行為和活動反映出來。舉個例子，假設一個策

33、略就是所有員工任何時間在顯眼的位置佩帶統(tǒng)一的徽章。如果一段時候后員工發(fā)現(xiàn)高級主管沒有佩戴徽章，那么逐漸就沒有人佩戴徽章，而懲罰沒有佩戴徽章員工的事也會不了了之。上層管理者對策略的破壞總是被認為缺乏對策略的支持，因此，如果管理者期望整個組織都遵循策略，他們就必須做好榜樣。（2）員工的責任有效的意識培訓使得員工能為他們的行為負責。在法庭上，“不知者不罪”的辯護對觸犯法律的人沒有什么幫助。全面而適當?shù)膫鞑ゲ呗阅軌蚴箚T工順從。適當?shù)囊庾R培訓可使策略的傳播和實施變得更容易。明確地警告員工信息資源的處理不當、濫用和誤用將不能被容忍，一個機構(gòu)不會保護這樣的員工從而對薄公堂時使機構(gòu)能防止被犯法的員工反咬一口。

34、（3）安全意識策略安全意識策略的本質(zhì)是：安全意識針對不同的對象能夠呈現(xiàn)出不同的形式。管理者適當?shù)陌踩庾R能夠在建立組織安全觀念時起到關(guān)鍵的作用。（4）提高安全意識的方式許多安全意識用較低的成本就可以獲得，除了時間和精力之外，并不花費資金，安全意識表現(xiàn)手法包括以下項目：通訊廣告畫和旗幟演講和會議基于電腦的培訓錄像小冊子和飛行物小飾物（咖啡杯、鋼筆、鉛筆、T恤衫）布告牌 4.6持續(xù)性策略管理者的一個重要任務是計劃。IT和信息安全團體的管理者通常需要提供策略計劃，以確保信息系統(tǒng)的持續(xù)可用。但對于管理者來說，發(fā)生某種形式的攻擊的可能性非常高，無論是來自內(nèi)部還是外部，蓄意還是無意，人為還是非人為，令人討

35、厭還是造成災難。因此，機構(gòu)內(nèi)每個利益團體的管理者都必須準備好在發(fā)生成功的攻擊時采取行動。對此類事件有許多不同的計劃：業(yè)務持續(xù)性計劃（BCP）、災難恢復計劃（DRP）、事故響應計劃（IRP）和應急計劃（CP）。在某些機構(gòu)里，這些計劃也可看做一個計劃。在大型、復雜的機構(gòu)里，這些計劃表示獨立但相關(guān)的計劃功能，在范圍、應用性和設計上不同。 應急計劃項目小組所執(zhí)行的主要項目工作模塊如圖4-4所示。下面將對每一部分具體闡述。威脅和攻擊的識別業(yè)務單元分析成功攻擊的場景從屬計劃分類潛在破壞的評估事故計劃事故檢測事故反應事故恢復災難恢復計劃危機管理恢復操作建立持續(xù)性策略操作的持續(xù)性計劃持續(xù)性管理 圖4-4 應急

36、計劃的主要步驟4.6.1 業(yè)務影響分析應急計劃過程開發(fā)的第一階段是業(yè)務影響分析（BIA）。BIA研究和評估各種攻擊對機構(gòu)產(chǎn)生的影響。BIA在風險評估過程停止時開始。它是最初計劃階段的重要組成部分，因為它提供了每個攻擊可能對機構(gòu)產(chǎn)生的潛在影響的詳細結(jié)果，可設計機構(gòu)為響應攻擊而必須采取的措施，使攻擊所造成的損失達到最小，并從攻擊結(jié)果中恢復，返回到正常的操作。應急計劃小組在下列階段進行BIA，這些階段如圖4-4所示：威脅攻擊的識別和分級業(yè)務單元分析攻擊成功場景的開發(fā)潛在損壞的評估從屬計劃分類4.6.2 事故響應計劃事故響應計劃（IRP）是對事故的識別、分類和響應。事故響應計劃由識別事故后進行的一系列

37、活動組成。在制定這樣一個計劃前，應理解什么是事故。如前所述，事故是對信息資產(chǎn)的一個攻擊，它明顯威脅著信息資源的機密性、完整性和可用性。如果發(fā)生了威脅信息的行為并且已完成，則該行為就界定為一個事故。為討論方便，具有下列特征的攻擊才界定為事故： 直接面向信息資產(chǎn)具有成功的現(xiàn)實可能性可威脅信息資源的機密性、完整性或可用性因此，事故響應（IR）是為計劃、檢測和改正事故對信息資產(chǎn)的影響而采取的一系列行動。防御措施是有意忽略的，因為這些措施是信息安全的功能，而不是事故響應的措施。換言之，事故響應主要是事后響應，而不是提前防御，除非是為事故響應小組準備響應事故而制定的計劃。事故響應由4個階段組成，這些階段如

38、圖4-4所示：計劃檢測反應恢復4.6.3災難恢復計劃災難恢復計劃（DRP）是為災難（自然或人為）做準備和從災難中恢復的計劃。應急計劃小組必須區(qū)分災難和事故，但在攻擊發(fā)生前，這是不可能區(qū)分出來的。一個事件最初歸類為事故，但后來常常判定為一個災難。此時，機構(gòu)可以改變事故的響應方式，采取行動，確保價值最高的資產(chǎn)的安全，即使在短期內(nèi)被破壞的風險較大，但仍在較長時間內(nèi)保有價值。另外，災難恢復計劃的關(guān)鍵一點是恢復主站點上的操作，使機構(gòu)運轉(zhuǎn)起來。目標是恢復到災難前的狀態(tài)。1災難恢復計劃災難恢復計劃類似于事故響應計劃的結(jié)構(gòu)，對災難事件提供詳細的指導。它按災難的類型或特性進行組織，指定了災難期間和之后的恢復規(guī)程

39、。它也提供參與災難恢復工作的各類人員的具體工作和責任，指出必須通知的人員和部門。災難恢復計劃和事故響應計劃一樣必須進行測試，測試的機制也相同。 事故響應中的許多措施也可應用于災難的恢復：必須建立清晰的優(yōu)先次序。必須清晰地指派工作和責任。必須有人啟動警告人員過程，通知重要人員。要必須有人對災難進行歸檔。盡可能減輕災難對機構(gòu)運轉(zhuǎn)的影響。如果每個人都安全，也通知了所有需要通知的人，就應開始保護物理資產(chǎn)。一些人負責確保所有的系統(tǒng)都安全地切斷，以免數(shù)據(jù)進一步受損。2危機管理 災難當然比事故的規(guī)模更大，更難以處理，但它們的計劃過程是一樣的，在許多情況下，計劃的實施方式也類似。響應小組應把事故和災難區(qū)分開。

40、事故響應小組一般是從辦公室或家里趕到事故現(xiàn)場，第一步是實施事故響應計劃，準備做出反應。而災難恢復小組不必翻看標記段，就知道他們必須要做的工作。災難恢復人員必須在沒有任何文檔支持的情況下知道自己應做出什么響應。這是準備、培訓和預演才能產(chǎn)生的功效。因此，災難恢復計劃預演現(xiàn)在和過去一樣重要。 災難期間和之后采取的行動稱為危機管理。危機管理與事故響應差別很大。因為它首先關(guān)注的是所涉及的人，之后才是商務。災難恢復小組和危機管理小組必須密切合作。3恢復操作人們對災難的反應可能互不相同，所以不可能準確描述該過程。因此，每個機構(gòu)必須在制定應急計劃之前，研究各種方案，確定如何響應。如果災難之后物理設施未受到損害，災難恢復小組就應開始恢復系統(tǒng)和數(shù)據(jù)，重建全部操作功能。如果機構(gòu)的設備被損壞，必須采取替代措施，直到購置了新的設備為止。當災難威脅到機構(gòu)的正常運轉(zhuǎn)時，災難恢復過程就轉(zhuǎn)化成業(yè)務持續(xù)性計劃過程。4.6.4業(yè)務持續(xù)性計劃當災難影響到機構(gòu)的正常運轉(zhuǎn)時，業(yè)務持續(xù)性計劃可以重建重要的業(yè)務功能。如果災難致使業(yè)務在當前情況下不能繼續(xù)運轉(zhuǎn)，則必須有一個使業(yè)務繼續(xù)運轉(zhuǎn)的計劃。不是每項業(yè)務都需要這樣的計劃或設備。一些公司或財政健全的機構(gòu)只是停止運轉(zhuǎn)，直到恢復物理設備為止。但生產(chǎn)和零售等機構(gòu)不能這樣，因為他們依賴于具體的商品，沒有它們就不能重新運轉(zhuǎn)。1開發(fā)持續(xù)性程序（BCP）一旦事故響應計劃和災難恢復計劃