第9章-信息安全策略課件

第9章信息安全策略9.1概述9.2安全策略的重要性9.3安全策略的內(nèi)容9.4安全策略的制定過(guò)程9.5安全策略的制定原則9.6策略管理的自動(dòng)化工具9.7關(guān)于安全策略的若干偏見(jiàn)本章小結(jié)

信息安全策略ISP(InformationSecurityPolicy)是一個(gè)有效的信息安全項(xiàng)目的管理基礎(chǔ)。信息安全策略規(guī)定了所允許的訪問(wèn)控制、協(xié)議以及如何面對(duì)與安全有關(guān)的事件。從信息安全領(lǐng)域中發(fā)生的事件來(lái)看，信息安全策略的核心地位正變得越來(lái)越明顯，也正如此，信息安全策略成為PPDR(或P2DR)模型的核心。9.1概述

PPDR模型是美國(guó)ISS(InternetSecuritySystems)公司提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。PPDR模型與PDRR模型都是重要的動(dòng)態(tài)防御模型，強(qiáng)調(diào)的是網(wǎng)絡(luò)信息系統(tǒng)在受到攻擊的情況下，網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行能力。

PPDR模型包括四個(gè)主要部分：安全策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response)。圖9-1

PPDR安全模型

PPDR模型描述如下：

(1)策略：策略是模型的核心，所有的防護(hù)、檢測(cè)和響應(yīng)都是根據(jù)安全策略實(shí)施的。網(wǎng)絡(luò)信息安全策略一般包括總體安全策略(或企業(yè)信息安全策略)、問(wèn)題安全策略和功能安全策略三種類(lèi)型。

(2)防護(hù)：防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問(wèn)題而采取的預(yù)防措施，這些措施通過(guò)傳統(tǒng)的靜態(tài)安全技術(shù)實(shí)現(xiàn)，例如數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專(zhuān)用網(wǎng)(VPN)、防火墻、安全掃描和數(shù)據(jù)備份等。

(3)檢測(cè)：當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測(cè)功能就發(fā)揮作用，它與防護(hù)系統(tǒng)形成互補(bǔ)。檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)。

(4)響應(yīng)：系統(tǒng)一旦檢測(cè)到入侵，響應(yīng)系統(tǒng)就開(kāi)始工作，進(jìn)行事件處理。響應(yīng)包括應(yīng)急響應(yīng)和災(zāi)難恢復(fù)，災(zāi)難恢復(fù)又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

PPDR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(例如防火墻、身份認(rèn)證、加密等)的同時(shí)，利用檢測(cè)工具(例如脆弱性掃描、入侵檢測(cè)等)了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全，如圖9-1所示。

PPDR模型以基于時(shí)間的安全理論(TimeBasedSecurity)為理論基礎(chǔ)，即認(rèn)為，信息安全相關(guān)的所有活動(dòng)，不管是攻擊行為、防護(hù)行為、檢測(cè)行為和響應(yīng)行為等等都要消耗時(shí)間。因此可以用時(shí)間來(lái)衡量一個(gè)體系的安全性和安全能力，并且認(rèn)為，“及時(shí)的檢測(cè)和響應(yīng)就是安全”、“及時(shí)的檢測(cè)和恢復(fù)就是安全”，所以這也為解決安全問(wèn)題提出了明確的方向：提高系統(tǒng)的防護(hù)時(shí)間、降低檢測(cè)時(shí)間和響應(yīng)時(shí)間。

根據(jù)PPDR模型，安全策略是整個(gè)網(wǎng)絡(luò)信息安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的安全策略，在制定安全策略以前，需要全面考慮如何實(shí)現(xiàn)局域網(wǎng)上的網(wǎng)絡(luò)層安全性、如何控制遠(yuǎn)程用戶(hù)訪問(wèn)的安全性、如何保證廣域網(wǎng)上的數(shù)據(jù)傳輸?shù)陌踩院陀脩?hù)的認(rèn)證等問(wèn)題。對(duì)這些問(wèn)題作出詳細(xì)回答，并確定相應(yīng)的防護(hù)手段和實(shí)施辦法，就是針對(duì)企業(yè)網(wǎng)絡(luò)的一份完整的安全策略。

在網(wǎng)絡(luò)信息安全中人是最活躍的因素。人的因素比技術(shù)因素更為重要。對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源的管理、企業(yè)文化的影響等，這些功能的實(shí)現(xiàn)都以完備的安全策略的制定作為前提。安全策略作為安全管理的核心和指導(dǎo)，本身具有重要的意義。9.2安全策略的重要性

(1)安全策略是制定一個(gè)有效的信息安全項(xiàng)目的必要基礎(chǔ)。

從信息安全領(lǐng)域中實(shí)際發(fā)生的各種事件來(lái)看，信息安全策略的核心地位越來(lái)越明顯，對(duì)于保證組織信息安全的途徑具有很強(qiáng)烈的指導(dǎo)作用。例如，除非有一套條款清晰的信息安全策略，否則系統(tǒng)管理員將不能安全地安裝防火墻、入侵檢測(cè)設(shè)備等。這些策略規(guī)定了所允許的信息傳輸?shù)姆?wù)類(lèi)型、如何阻止某些連接、如何偵測(cè)和處理系統(tǒng)的異常事件等。如果沒(méi)有制定信息安全策略，就不能有效地開(kāi)展信息安全技能培訓(xùn)和安全意識(shí)提升等工作，因?yàn)榘踩呗砸蔡峁┝思寄芎鸵庾R(shí)培訓(xùn)中所使用的基本內(nèi)容。

(2)任何一個(gè)信息安全項(xiàng)目的成功在于其安全策略的制定和實(shí)施。

對(duì)信息資產(chǎn)保護(hù)的成功依賴(lài)于所采用的安全策略，也依賴(lài)于管理層對(duì)系統(tǒng)中信息的保護(hù)態(tài)度。作為策略的制定者，應(yīng)當(dāng)明確信息保護(hù)的基調(diào)，強(qiáng)調(diào)信息安全在組織中發(fā)揮的重要作用。安全策略制定者的主要責(zé)任就是為組織制定信息資產(chǎn)安全策略達(dá)到減少風(fēng)險(xiǎn)、遵從法律法規(guī)、確保組織業(yè)務(wù)的持續(xù)性、信息的保密性和完整性等目標(biāo)。正確地制定和貫徹實(shí)施安全策略，不但能促進(jìn)全體員工參與到保障信息安全的活動(dòng)中來(lái)，而且還能有效地降低由于人為因素造成的對(duì)信息安全項(xiàng)目的損害。

(3)應(yīng)用安全策略的主要優(yōu)勢(shì)在于改善了信息安全管理的可擴(kuò)展性和靈活性。

信息安全管理的復(fù)雜性取決于信息資產(chǎn)的數(shù)量和種類(lèi)。傳統(tǒng)的管理模式一般是應(yīng)對(duì)式、以技術(shù)為中心的信息安全對(duì)策，是靜態(tài)的、局部的、突擊和事后糾正式的方法。為了應(yīng)對(duì)不同的威脅和不斷變化的環(huán)境，這種過(guò)程大多盲目、效率低、難以控制。作為分布式系統(tǒng)安全管理領(lǐng)域新的方向，基于策略的信息安全管理從以設(shè)備為中心的管理解放出來(lái)，通過(guò)定義高層次的安全規(guī)則來(lái)控制和調(diào)整低層次的系統(tǒng)行為，將系統(tǒng)中的安全管理和執(zhí)行職能分開(kāi)，擴(kuò)充和調(diào)整過(guò)程靈活，能實(shí)現(xiàn)自動(dòng)化、分布式以及動(dòng)態(tài)自適應(yīng)的安全管理。

9.3.1總體安全策略

1.總體安全策略的要求

總體安全策略是為整個(gè)組織機(jī)構(gòu)的安全工作制定戰(zhàn)略方向、范圍和策略基調(diào)，具體來(lái)說(shuō)，它為信息安全的各個(gè)領(lǐng)域分配責(zé)任，包括信息安全策略的維護(hù)、策略的實(shí)施、最終用戶(hù)的責(zé)任等，另外，總體安全策略還規(guī)定了信息安全項(xiàng)目的制定、實(shí)施和管理的安全控制要求。9.3安全策略的內(nèi)容總體安全策略應(yīng)當(dāng)支持組織的預(yù)定目標(biāo)和任務(wù)聲明，而不能相互抵觸。假如一個(gè)組織的任務(wù)聲明能促進(jìn)學(xué)術(shù)自由、獨(dú)立研究和相對(duì)不受限制的知識(shí)探索，那么該組織的總體安全策略除了應(yīng)該允許使用組織技術(shù)，應(yīng)該保護(hù)知識(shí)產(chǎn)權(quán)，也應(yīng)當(dāng)反映對(duì)深?yuàn)W研究領(lǐng)域的理解程度和探索知識(shí)的自由性，例如，不應(yīng)當(dāng)限制訪問(wèn)網(wǎng)站，否則這樣的總體安全策略就沒(méi)有可實(shí)施性。

2.總體安全策略的組成要素

不同組織的總體安全策略一般是有差別的，但大多數(shù)的總體安全策略包含以下要素：

(1)關(guān)于組織安全理念的總體看法。

(2)組織的信息安全部門(mén)結(jié)構(gòu)和實(shí)施信息安全策略人員的信息。

(3)組織所有成員共同的安全責(zé)任。

(4)組織所有成員明確的、特有的安全責(zé)任。

表9-1總體安全策略的組成框架參考CharlesCressonWood在《InformationSecurityPoliciesMadeEasy》一書(shū)中介紹的企業(yè)總體安全策略的樣例，并結(jié)合表9-1的總體安全策略框架，表9-2給出了總體安全策略具體的組成要素，也提供了組織制定總體安全策略的參考指南。

表9-2總體安全策略的組成要素總體安全策略方案建立了組織的整體信息安全環(huán)境。對(duì)于具體的安全問(wèn)題需要更具體的安全策略，這需要由問(wèn)題安全策略來(lái)陳述這些要求。9.3.2問(wèn)題安全策略

1.問(wèn)題安全策略的要求

問(wèn)題安全策略為組織成員如何使用基于技術(shù)的信息系統(tǒng)提供了詳細(xì)的、目標(biāo)明確的指南。問(wèn)題安全策略表明了組織的基本技術(shù)理念，是技術(shù)選擇的方向、范圍和性能上的指導(dǎo)，允許員工在一定范圍內(nèi)任意選擇各種類(lèi)型的技術(shù)，從而明確工作目標(biāo)，提高工作效率。所以，問(wèn)題安全策略應(yīng)當(dāng)完成以下目標(biāo)：

(1)明確指出組織期望員工如何使用基于技術(shù)的信息系統(tǒng)。

(2)確定并記錄基于技術(shù)的信息系統(tǒng)的控制過(guò)程。

(3)對(duì)由于員工的使用不當(dāng)或非法操作而造成的損失，組織不為其承擔(dān)責(zé)任。

2.問(wèn)題安全策略的組成要素

表9-3給出了問(wèn)題安全策略的組成要素。

表9-3問(wèn)題安全策略的組成要素9.3.3功能安全策略

功能安全策略是在配置和維護(hù)系統(tǒng)的時(shí)候起到標(biāo)準(zhǔn)和過(guò)程指導(dǎo)的作用，例如針對(duì)網(wǎng)絡(luò)防火墻的功能配置和技術(shù)操作規(guī)程的策略。一般來(lái)說(shuō)，功能安全策略可以分為管理指南和技術(shù)規(guī)范兩部分。

1.管理指南

用于指導(dǎo)技術(shù)和操作實(shí)現(xiàn)的管理指南由管理層制定，它規(guī)定了組織內(nèi)部人員支持信息安全的行為準(zhǔn)則。例如，應(yīng)當(dāng)按照管理者事先制定的信息安全方針來(lái)進(jìn)行防火墻的構(gòu)建和實(shí)現(xiàn)，假如信息安全方針里不允許員工在工作時(shí)間利用公司網(wǎng)絡(luò)訪問(wèn)某些網(wǎng)站，此時(shí)應(yīng)該按照這種要求來(lái)配置防火墻。

當(dāng)然，防火墻并不是功能安全策略唯一考慮的領(lǐng)域，任何影響信息安全的技術(shù)，都必須經(jīng)過(guò)管理層的評(píng)估和確認(rèn)，在指導(dǎo)配置和技術(shù)維護(hù)的時(shí)候應(yīng)尋求安全性和業(yè)務(wù)發(fā)展的平衡。管理指南主要是用來(lái)表明功能安全策略的技術(shù)要求，而技術(shù)規(guī)范則指出了具體的安全策略的技術(shù)實(shí)現(xiàn)方法。

2.技術(shù)規(guī)范

可能需要制定不同的技術(shù)策略來(lái)實(shí)現(xiàn)管理指南的安全要求，表現(xiàn)為各種不同的設(shè)備都具有獨(dú)自的技術(shù)規(guī)范，用于實(shí)現(xiàn)將管理目標(biāo)變?yōu)榭梢詫?shí)施的技術(shù)方法。例如，管理指南可能要求用戶(hù)的密碼必須符合復(fù)雜性要求，在長(zhǎng)度、有效期等上有相關(guān)的要求，那么系統(tǒng)管理員就可以在一個(gè)具體應(yīng)用中實(shí)施技術(shù)控制來(lái)執(zhí)行這個(gè)策略。例如WindowsXP中的本地安全策略中密碼策略的設(shè)置，如圖9-2所示。

圖9-2

WindowsXP密碼策略

一般來(lái)說(shuō)，用以實(shí)現(xiàn)管理指南的技術(shù)控制有兩種方法：訪問(wèn)控制列表和配置規(guī)則。

(1)訪問(wèn)控制列表。

訪問(wèn)控制列表(ACLs，AccessControlLists)包括用戶(hù)訪問(wèn)列表、矩陣和權(quán)限列表等，它們控制了用戶(hù)的權(quán)限和特權(quán)，也控制著對(duì)系統(tǒng)功能、文檔存儲(chǔ)系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)設(shè)備的訪問(wèn)。一個(gè)權(quán)限控制列表詳細(xì)規(guī)定了哪些設(shè)備、功能操作可以讓哪些用戶(hù)訪問(wèn)或執(zhí)行等方面的內(nèi)容，例如：①授權(quán)誰(shuí)可以使用系統(tǒng)。

②授權(quán)用戶(hù)在何時(shí)何地可以訪問(wèn)什么。

③授權(quán)用戶(hù)怎樣訪問(wèn)系統(tǒng)，包括讀、寫(xiě)、創(chuàng)建、修改、刪除、拷貝等。

在Windows中，利用訪問(wèn)控制列表可以很好地控制用戶(hù)的能力和使用類(lèi)似文件和文件夾等資源的過(guò)程。實(shí)際上，管理ACLs是一個(gè)比較有挑戰(zhàn)且有趣的工作。歷史悠久的cacls.exe命令行工具在Windows中已更新為Icacls.exe，它們可以顯示或修改ACLs，并能執(zhí)行所有的標(biāo)準(zhǔn)授權(quán)/拒絕/刪除等操作。當(dāng)然，Windows中也提供了訪問(wèn)控制列表操作的用戶(hù)界面(ACLUI)，如圖所示9-3所示，它顯示了Windows是如何實(shí)現(xiàn)不同用戶(hù)對(duì)文件夾“File”的ACL安全模型的。

圖9-3

WindowsACL在一般的應(yīng)用系統(tǒng)中，也常利用訪問(wèn)控制列表進(jìn)行權(quán)限的管理控制。權(quán)限列表反映了不同用戶(hù)角色對(duì)各種系統(tǒng)設(shè)備或功能的訪問(wèn)能力，如圖9-4顯示了安全審計(jì)員角色對(duì)系統(tǒng)功能的操作權(quán)限是否允許的情況。

圖9-4權(quán)限控制列表

(2)配置規(guī)則。

配置規(guī)則是輸入到安全系統(tǒng)中指定的系統(tǒng)或設(shè)備的配置腳本或代碼，這些代碼在具體的系統(tǒng)或設(shè)備上執(zhí)行，用來(lái)實(shí)現(xiàn)特定的安全功能，即告訴它們?cè)谔幚硇畔⒌臅r(shí)候執(zhí)行哪種相應(yīng)的操作。

配置腳本以代碼形式存在，為方便用戶(hù)操作，一般以用戶(hù)界面方式接受管理員的配置規(guī)則要求，在系統(tǒng)底層轉(zhuǎn)換為系統(tǒng)或設(shè)備可以接受并執(zhí)行的代碼。如圖9-5和圖9-6分別給出了防火墻和掃描器的配置規(guī)則用戶(hù)界面。

圖9-5防火墻配置規(guī)則

圖9-6掃描器配置規(guī)則

通常，將安全策略的制定以系統(tǒng)工程建設(shè)來(lái)對(duì)待是很有用的。系統(tǒng)開(kāi)發(fā)的生命周期是實(shí)現(xiàn)這個(gè)目標(biāo)的一種途徑。

當(dāng)進(jìn)行一項(xiàng)安全策略的制定工程時(shí)，可以用SDLC過(guò)程對(duì)其進(jìn)行指導(dǎo)。9.4安全策略的制定過(guò)程9.4.1調(diào)查與分析階段

1.組建安全策略制定小組

首先要組建好安全策略制定小組，明確權(quán)限和落實(shí)責(zé)任，如策略的起草、檢查、測(cè)試、發(fā)布、實(shí)施與管理等。安全策略制定小組應(yīng)由以下人員組成：

·高級(jí)管理人員。

·信息安全管理人員。

·負(fù)責(zé)信息安全策略執(zhí)行的管理人員。

·熟悉相關(guān)法律事務(wù)的相關(guān)人員。

·用戶(hù)部門(mén)的相關(guān)負(fù)責(zé)人。

·工程監(jiān)理人員。

2.理解組織的企業(yè)文化和業(yè)務(wù)特征

對(duì)于任何一個(gè)組織來(lái)說(shuō)，由于都有自己特殊的環(huán)境條件和歷史傳統(tǒng)，從而也形成了自己獨(dú)特的哲學(xué)信仰、意識(shí)形態(tài)、價(jià)值取向和行為方式，于是每個(gè)組織也都有自己特定的企業(yè)文化。對(duì)企業(yè)文化及員工狀況的了解有助于了解員工的安全意識(shí)、心理狀況和行為狀況，并有利于制定合理的信息安全策略。

組織的業(yè)務(wù)特征包括業(yè)務(wù)的內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值等。只有了解這些業(yè)務(wù)特征，才能發(fā)現(xiàn)和分析組織業(yè)務(wù)的風(fēng)險(xiǎn)環(huán)境，從而提出合理的、與業(yè)務(wù)目標(biāo)一致的、有效的信息安全保障策略。在信息安全中，業(yè)務(wù)一般表現(xiàn)為資產(chǎn)的形式。風(fēng)險(xiǎn)管理理論認(rèn)為，對(duì)業(yè)務(wù)資產(chǎn)的適當(dāng)保護(hù)對(duì)業(yè)務(wù)的成功至關(guān)重要。而對(duì)資產(chǎn)進(jìn)行有效地保護(hù)，必須要先對(duì)資產(chǎn)有清晰的了解。

3.獲得管理層的支持與承諾

一項(xiàng)好的具體的安全策略，只有得到高層管理人員的支持，才能引起中層管理人員對(duì)策略實(shí)施的重視，以及用戶(hù)對(duì)策略執(zhí)行的遵守。獲得策略層的支持和承諾，能促使制定的安全策略與組織的業(yè)務(wù)目標(biāo)保持一致，能讓安全策略得到有效地貫徹實(shí)施，并能保證安全策略在制定和實(shí)施過(guò)程中所需的必要的資金和人力資源等得到支持。

4.確定信息安全策略的目標(biāo)和范圍

組織應(yīng)該根據(jù)自己的實(shí)際安全需求和業(yè)務(wù)需要，明確闡述信息安全策略的預(yù)期目標(biāo)和要涉及的范圍。結(jié)合組織的ISMS范圍情況，安全策略可以是面向整個(gè)組織范圍內(nèi)，也可是在某些部門(mén)或領(lǐng)域內(nèi)。

5.相關(guān)資料的收集與分析

·收集與現(xiàn)有安全策略相關(guān)的信息資料，包括需要增加或修改的策略、所面臨的威脅和存在的脆弱性等情況資料等。這些安全策略資料一般存在于人力資源部門(mén)、財(cái)務(wù)部門(mén)或組織的安全部門(mén)等地方。

·進(jìn)行組織的信息安全管理狀況調(diào)查、風(fēng)險(xiǎn)評(píng)估和信息安全審計(jì)等工作。這些工作的成果資料是制定信息安全策略的基礎(chǔ)與關(guān)鍵。

·根據(jù)風(fēng)險(xiǎn)評(píng)估或?qū)徲?jì)結(jié)果，選擇合適的控制目標(biāo)和控制措施，這些是制定信息安全策略的直接依據(jù)。9.4.2設(shè)計(jì)階段

1.起草擬定安全策略

根據(jù)風(fēng)險(xiǎn)評(píng)估和所選擇的控制目標(biāo)和控制措施等情況，起草擬定安全策略，包括總體安全策略、問(wèn)題安全策略和功能安全策略。這些安全策略應(yīng)當(dāng)覆蓋所有的風(fēng)險(xiǎn)與控制，對(duì)于沒(méi)有涉及的方面，則應(yīng)該說(shuō)明原因。

2.測(cè)試與評(píng)審安全策略

初步制定出安全策略后，需要進(jìn)行充分的用戶(hù)測(cè)試與專(zhuān)家評(píng)估，以評(píng)審安全策略的完備性、正確性、易用性等，并確定安全策略是否能達(dá)到信息安全方針規(guī)定的信息安全目標(biāo)，可以提出以下問(wèn)題來(lái)幫助評(píng)審安全策略：

·安全策略是否符合相關(guān)的法律、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求？

·安全策略是否得到了管理層的批準(zhǔn)和支持承諾？

·安全策略是否損害了組織、員工及第三方的利益？

·安全策略是否覆蓋全面，滿(mǎn)足各方面的安全要求？

·安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施？

·安全策略是否已傳達(dá)給相關(guān)各方，并得到了他們的同意？

在安全策略的設(shè)計(jì)過(guò)程中，容易忽視的是應(yīng)當(dāng)確保策略的可實(shí)施性和可讀性。比如如果規(guī)定禁止員工之間討論私人事務(wù)，這實(shí)際上是不可行的、是無(wú)效的策略，而如果策略的描述使用了太多的專(zhuān)業(yè)技術(shù)和管理術(shù)語(yǔ)，其可讀性就會(huì)變得很差，容易造成理解困難或出現(xiàn)模棱兩可的策略理解，這些顯然都是不合適的安全策略。

在安全策略的評(píng)審過(guò)程中，或許會(huì)對(duì)策略帶來(lái)許多修改，通常這么做也是必要的。我們應(yīng)該將這看成是模塊化的過(guò)程，而不應(yīng)當(dāng)認(rèn)為是個(gè)人行為。如果使用的是多重評(píng)審的機(jī)制，那么這只會(huì)讓安全策略變得更加清晰、簡(jiǎn)潔并能對(duì)主流形勢(shì)作出反映，所以評(píng)審的結(jié)果或觀點(diǎn)會(huì)讓策略受到更大程度地接受。9.4.3實(shí)施階段

安全策略通過(guò)測(cè)試與評(píng)審之后，需要由管理層正式批準(zhǔn)實(shí)施。在實(shí)施階段，應(yīng)當(dāng)確保安全策略能順利地發(fā)布到每個(gè)員工與相關(guān)利益方，并得到正確的理解，使員工明確各自的安全責(zé)任與義務(wù)。

安全策略的發(fā)布工作，并非是想象中進(jìn)行公告那樣簡(jiǎn)單。這需要在組織中開(kāi)展各種各樣的宣傳、安全意識(shí)教育，并形成一個(gè)良好的企業(yè)安全文化氛圍。安全策略在最終用戶(hù)獲知之前，不能強(qiáng)制執(zhí)行。與刑法和民法不同的是，對(duì)策略的忽視，在其宣傳不力時(shí)，是可以接受的。所以，在某些情況下，為了保證安全策略的順利地、正確地實(shí)施，必須極力宣傳安全策略，或用其他多種語(yǔ)言和形式向廣大員工和相關(guān)利益方提供安全策略知識(shí)。

管理層常常會(huì)以為廣大員工的行為當(dāng)然會(huì)以組織的最佳利益為重，實(shí)際上這是欠考慮的危險(xiǎn)假設(shè)。所以在宣傳策略的實(shí)施過(guò)程中，管理層應(yīng)當(dāng)善于引導(dǎo)員工接受并實(shí)施策略，認(rèn)識(shí)到這些安全策略的實(shí)施能提供工作與個(gè)人發(fā)展的機(jī)會(huì)，并認(rèn)識(shí)他們的利益與組織的利益是一致的，只有建立這樣適當(dāng)而有效的服從機(jī)制，安全策略才會(huì)被認(rèn)真貫徹實(shí)施。9.4.4維護(hù)階段

在維護(hù)階段，組織應(yīng)當(dāng)實(shí)時(shí)監(jiān)控、定期評(píng)審、調(diào)整和持續(xù)改進(jìn)安全策略，以確保其始終是對(duì)付威脅變化的有效工具。因?yàn)榻M織所處的內(nèi)外環(huán)境在不斷變化，信息資產(chǎn)所面臨的威脅和風(fēng)險(xiǎn)也不是固定的，組織中人的思想和觀念也是不斷變化的，在這個(gè)不斷變化的世界中，要想將風(fēng)險(xiǎn)控制在一個(gè)可接受的范圍內(nèi)，就必須對(duì)安全策略和相應(yīng)的安全控制措施進(jìn)行持續(xù)的改進(jìn)，使之在理論上、標(biāo)準(zhǔn)上和方法上與時(shí)俱進(jìn)。

不同組織開(kāi)發(fā)的信息系統(tǒng)在結(jié)構(gòu)、功能和目標(biāo)等方面會(huì)有較大的差距。因此，對(duì)于不同的信息系統(tǒng)采取的是不同的安全策略，同時(shí)要考慮到安全策略的控制成本、策略自身的安全保障，以及策略的可靠性與業(yè)務(wù)的靈活性等方面的平衡。一般而言，在制定信息安全策略時(shí)，應(yīng)當(dāng)遵循如下原則：9.5安全策略的制定原則

(1)需求、威脅、風(fēng)險(xiǎn)與代價(jià)的平衡原則。

制定信息安全策略，應(yīng)當(dāng)根據(jù)系統(tǒng)的實(shí)際情況(包括系統(tǒng)的結(jié)構(gòu)、任務(wù)、功能和工作狀況等)、需求、威脅、風(fēng)險(xiǎn)與代價(jià)進(jìn)行定性和定量相結(jié)合地分析，找出脆弱點(diǎn)，制定相應(yīng)的策略規(guī)范。安全策略的具體內(nèi)容往往是以上因素相互影響、相互平衡和折中的結(jié)果。

(2)安全可靠性與業(yè)務(wù)靈活性的平衡原則。

實(shí)施安全策略來(lái)進(jìn)行的安全控制在大多數(shù)情況下是對(duì)員工安全行為的約束或限制，但這不能影響業(yè)務(wù)的正常運(yùn)行。因?yàn)檫^(guò)于嚴(yán)格的安全控制，很可能會(huì)阻礙安全策略的執(zhí)行，最后大家只好敷衍了事，結(jié)果適得其反，策略無(wú)法執(zhí)行，并可能產(chǎn)生更多的安全問(wèn)題。因此，應(yīng)當(dāng)掌握好安全控制的強(qiáng)度，在安全可靠性與業(yè)務(wù)靈活性之間取得平衡。

(3)完整性原則。

一套安全策略系統(tǒng)代表了系統(tǒng)安全的總體目標(biāo)，包括組織安全、人員安全、資產(chǎn)安全、物理與環(huán)境安全等內(nèi)容，并貫穿于整個(gè)安全管理的始終。完整的安全策略系統(tǒng)符合建設(shè)完備的信息安全保障體系的要求，通過(guò)多層次機(jī)制相互提供必要的冗余和備份，并通過(guò)使用不同類(lèi)型的系統(tǒng)、不同等級(jí)的系統(tǒng)獲得多樣化的防御。

(4)易操作性原則。

信息系統(tǒng)的許多安全策略的控制措施都需要人工去完成。如果操作過(guò)于復(fù)雜，以至于對(duì)完成工作的人在素質(zhì)、技能、熟練性等方面要求很高，要么操作容易失誤，要么會(huì)產(chǎn)生抵觸心理而不去執(zhí)行，這樣都將降低安全性。例如，過(guò)于復(fù)雜的密鑰管理，會(huì)產(chǎn)生許多問(wèn)題。

(5)可評(píng)估性原則。

安全策略應(yīng)該能被評(píng)估，并且應(yīng)當(dāng)有相應(yīng)的評(píng)價(jià)規(guī)范和準(zhǔn)則。這種評(píng)估過(guò)程是對(duì)安全策略的檢驗(yàn)，并作為策略進(jìn)行調(diào)整的依據(jù)之一。

(6)堅(jiān)持動(dòng)態(tài)性。

信息安全本身就是動(dòng)態(tài)的。動(dòng)態(tài)安全觀是信息安全領(lǐng)域人員必須具備的安全理念，反映了信息安全在時(shí)間和空間上的動(dòng)態(tài)發(fā)展性，所以信息安全策略也應(yīng)該是動(dòng)態(tài)的，隨著技術(shù)的發(fā)展和組織內(nèi)外環(huán)境的變化而變化。因此，制定安全策略將會(huì)是一個(gè)不斷的策略制定、策略評(píng)估和策略調(diào)整的發(fā)展過(guò)程。

9.6.1策略管理框架

在DMTF工作組(DistributedManagementTaskForce)提出的CIM(CommonInformationModel，公共信息模型)模型基礎(chǔ)上，IETF工作組(InternetEngineeringTaskForce)提出了策略核心信息模型PCIM(PolicyCoreInformationModel)，并因此制定了策略管理框架基本模型，該模型與它的具體實(shí)現(xiàn)技術(shù)無(wú)關(guān)，是一個(gè)可擴(kuò)展的通用模型，主要包括四個(gè)組件：9.6策略管理的自動(dòng)化工具圖9-7

IETF策略管理框架策略管理工具、策略知識(shí)庫(kù)、策略決策點(diǎn)(PDP，PolicyDecisionPoint)和策略執(zhí)行點(diǎn)(PEP，PolicyEnfoecementPoint)，如圖9-7所示，該框架最根本的優(yōu)點(diǎn)是符合分布式管理的單一控制點(diǎn)要求，允許從一個(gè)控制點(diǎn)來(lái)管理眾多的網(wǎng)絡(luò)資源。

(1)策略管理工具：是操作策略管理系統(tǒng)的接口，除了允許通過(guò)該接口創(chuàng)建、配置和存儲(chǔ)策略外，應(yīng)該可以監(jiān)控應(yīng)用策略的網(wǎng)絡(luò)系統(tǒng)狀態(tài)，從而建立安全設(shè)備之間的關(guān)聯(lián)，并能夠提供一定的驗(yàn)證機(jī)制來(lái)檢測(cè)和消除可能存在的策略冗余、沖突等異常情況。

(2)策略知識(shí)庫(kù)：是策略管理框架中的核心和基礎(chǔ)，用于存放和檢索策略及相關(guān)信息。

(3)策略決策點(diǎn)：接受PEP提出的策略請(qǐng)求，存取策略知識(shí)庫(kù)中的策略，并根據(jù)策略知識(shí)作出決策，返回給PEP。實(shí)際上對(duì)于同時(shí)獲取的多種策略知識(shí)，應(yīng)該要求PDP有一定的策略變化檢測(cè)和策略選擇的能力。

(4)策略執(zhí)行點(diǎn)：是接受并執(zhí)行PDP發(fā)送來(lái)的策略決策的網(wǎng)絡(luò)設(shè)備，例如交換機(jī)、路由器、掃描器、防火墻等，并能反饋執(zhí)行的結(jié)果和網(wǎng)絡(luò)設(shè)備狀態(tài)信息。

(5)在四個(gè)組件之間，IETF定義了兩個(gè)關(guān)鍵協(xié)議：LDAP(LightweightDirectoryAccessProtocol)和COPS(CommonOpenPolicyService)協(xié)議：

LDAP協(xié)議基于X.500標(biāo)準(zhǔn)，不但簡(jiǎn)單而且可以根據(jù)需要定制，它是一個(gè)特殊的數(shù)據(jù)庫(kù)，為讀、瀏覽和搜索進(jìn)行了優(yōu)化，與X.500不同的是，LDAP支持TCP/IP，這對(duì)于訪問(wèn)Internet是必須的。在策略管理框架中，用樹(shù)型結(jié)構(gòu)將策略知識(shí)的各種對(duì)象屬性值作為條目(Entry)存儲(chǔ)在LDAP數(shù)據(jù)庫(kù)中，通過(guò)LDAP協(xié)議實(shí)現(xiàn)對(duì)策略知識(shí)庫(kù)的操作，支持了復(fù)雜的策略知識(shí)過(guò)濾搜索能力。LDAP協(xié)議的模式規(guī)定了數(shù)據(jù)庫(kù)的結(jié)構(gòu)，而條目是模式的實(shí)現(xiàn)。模式有兩個(gè)重要的元素：屬性類(lèi)型和對(duì)象類(lèi)(ObjectClass)。

COPS協(xié)議用于在PDP和PEP之間交換策略請(qǐng)求和策略決策，具有PDP、PEP和LPDP(本地策略決策點(diǎn))三個(gè)邏輯實(shí)體，其中LPDP備份PDP決策，當(dāng)PEP與PDP連接中斷時(shí)，LPDP可代替PDP作出決策，但PDP有最終的裁決權(quán)。作為專(zhuān)用的策略傳輸協(xié)議，COPS在可靠的傳輸和同步機(jī)制、擴(kuò)展性、消息的安全保證等方面具有優(yōu)良的性能。當(dāng)然，在組件之間還有其他開(kāi)放方法可以實(shí)施協(xié)議，這些方法建立在簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)、超文本傳輸協(xié)議(HTTP)、傳輸控制協(xié)議(FTP)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)等基礎(chǔ)上，但是，對(duì)于策略管理工具與策略決策點(diǎn)之間，以及多個(gè)策略執(zhí)行點(diǎn)之間的策略傳輸協(xié)議沒(méi)有明確。9.6.2自適應(yīng)策略管理及發(fā)布模型

自適應(yīng)策略管理及發(fā)布模型基于IETF策略管理框架，主要由策略管理中心、策略知識(shí)庫(kù)、策略服務(wù)器、事件監(jiān)控器及策略執(zhí)行代理組成，如圖9-8所示。

圖9-8自適應(yīng)策略管理及發(fā)布模型

(1)策略管理中心：為策略管理員提供安全設(shè)備注冊(cè)、策略編輯、查找等一系列工具，包括策略知識(shí)庫(kù)管理，是一個(gè)圖形化的應(yīng)用操作環(huán)境。每一個(gè)系統(tǒng)功能模塊都對(duì)應(yīng)一個(gè)或多個(gè)管理組件，能根據(jù)需要通過(guò)管理組件對(duì)配置文件進(jìn)行加載，滿(mǎn)足可擴(kuò)展性要求。

(2)策略知識(shí)庫(kù)(PR，PolicyRepository)：保存了策略規(guī)則知識(shí)及策略實(shí)例等信息，是策略管理模型的基礎(chǔ)。策略知識(shí)庫(kù)可以按照管理域或網(wǎng)絡(luò)規(guī)模情況建立多個(gè)，相互之間通過(guò)LDAP協(xié)議保持同步，組成內(nèi)容分布式系統(tǒng)，這樣當(dāng)策略知識(shí)庫(kù)發(fā)生改變時(shí)，可以在所有的知識(shí)庫(kù)中反映出來(lái)，并保持一致性，一旦某個(gè)策略知識(shí)庫(kù)發(fā)生故障時(shí)，其他的知識(shí)庫(kù)可作為備用庫(kù)提供策略服務(wù)。

(3)策略服務(wù)器(PSs)：主要包括自適應(yīng)策略管理(SAPM，Self-AdaptivePolicyManagement)和策略發(fā)布(SAPP，Self-AdaptivePolicyPublish)模塊。SAPM模塊主要負(fù)責(zé)管理、執(zhí)行自適應(yīng)管理策略(SAP，Self-AdaptivePolicy)，通過(guò)對(duì)系統(tǒng)事件進(jìn)行分析，觸發(fā)相應(yīng)的SAP，從而實(shí)現(xiàn)根據(jù)不同的環(huán)境動(dòng)態(tài)地調(diào)整系統(tǒng)自身或修改其他策略，此外，該模塊也能完成一般的對(duì)普通策略(CP，CommonPolicy)的PDP決策功能；SAPP模塊實(shí)現(xiàn)策略決策的發(fā)布功能，能根據(jù)發(fā)布的歷史情況和策略發(fā)布影響因素確定適當(dāng)?shù)牟呗园l(fā)布方式，并對(duì)發(fā)布的數(shù)據(jù)進(jìn)行加密。策略服務(wù)器可以有多個(gè)，用來(lái)平衡系統(tǒng)中的策略數(shù)據(jù)流量，通過(guò)一定的協(xié)議來(lái)同步策略執(zhí)行代理中的策略。

(4)事件監(jiān)視管理器：負(fù)責(zé)監(jiān)視策略管理中心、策略知識(shí)庫(kù)、策略服務(wù)器等發(fā)生的各種事件或狀態(tài)變化，能夠?qū)κ录M(jìn)行序列化或復(fù)合處理，并將其轉(zhuǎn)交給注冊(cè)過(guò)的自適應(yīng)策略管理模塊，用來(lái)觸發(fā)自適應(yīng)管理策略。

(5)策略執(zhí)行代理(PEA)：負(fù)責(zé)轉(zhuǎn)發(fā)安全設(shè)備的策略請(qǐng)求，并接收來(lái)自策略服務(wù)器的策略決策，按照與策略發(fā)布模塊一致的格式對(duì)策略決策進(jìn)行解碼，轉(zhuǎn)化為本地命令在安全設(shè)備上執(zhí)行。PEA管理的可以是防火墻、IDS、掃描器、VPN網(wǎng)關(guān)等安全設(shè)備。為了方便管理、增加系統(tǒng)的靈活性和可擴(kuò)展性，按照安全域(SDs)建立不同的PEA，因?yàn)槎鄠€(gè)PEA的存在，并不明顯影響系統(tǒng)的性能。9.6.3策略管理的應(yīng)用工具

在很多組織內(nèi)，信息系統(tǒng)的復(fù)雜性使很多員工很難管理這些系統(tǒng)。為了處理這些復(fù)雜性，出現(xiàn)了一些新的專(zhuān)業(yè)的策略管理工具。在這些應(yīng)用工具上的研究，形成了基于策略的網(wǎng)絡(luò)管理(PBNM，Policy-basedNetworkManagement)技術(shù)。國(guó)內(nèi)外已有不少公司開(kāi)始研究開(kāi)發(fā)基于策略的網(wǎng)絡(luò)管理方案，推出了一些策略應(yīng)用的產(chǎn)品。這些產(chǎn)品較多的是基于IETF策略管理框架對(duì)網(wǎng)絡(luò)配置和QoS服務(wù)質(zhì)量的管理，比較典型的有：

Cisco的QosPolicyManager(QPM)從1.0發(fā)展到現(xiàn)在的3.2版本，一直作為公司的CiscoAssure基于策略的網(wǎng)絡(luò)管理創(chuàng)新的研究目標(biāo)。QPM能夠保證企業(yè)網(wǎng)絡(luò)的端到端的服務(wù)質(zhì)量，通過(guò)集中的QoS監(jiān)測(cè)，實(shí)現(xiàn)策略控制和轉(zhuǎn)換過(guò)程的自動(dòng)化，通過(guò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，支持DiffServ，自動(dòng)化的QoS配置和部署，確保商業(yè)網(wǎng)絡(luò)語(yǔ)音、圖像傳輸和企業(yè)應(yīng)用的可靠性能，降低經(jīng)營(yíng)成本。

3Com的Transcend系統(tǒng)軟件增強(qiáng)了一個(gè)虛擬局域網(wǎng)策略服務(wù)(VLANPolicyServices)的功能，利用Transcend軟件和VLANPolicyServices，管理人員可以集中設(shè)置VLAN策略，強(qiáng)制各個(gè)網(wǎng)絡(luò)交換機(jī)執(zhí)行VLAN策略，監(jiān)督和報(bào)告VLAN性能，簡(jiǎn)單化了網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性和最終用戶(hù)的工作效率。虛擬局域網(wǎng)策略服務(wù)是由常駐于幾種產(chǎn)品中的軟件共同完成的，包括VLAN管理工具、VLAN策略設(shè)定軟件、用于保存全局VLAN圖數(shù)據(jù)庫(kù)的一個(gè)或多個(gè)VLANServer，以及負(fù)責(zé)執(zhí)行VLAN策略的SmartAgent軟件，過(guò)程較復(fù)雜。

BayNetworks公司的Optivity系列網(wǎng)絡(luò)管理產(chǎn)品OptivityNetworkManagementSystem和OptivityPolicyServices，提供由單一的平臺(tái)控制的可升級(jí)的基于策略的網(wǎng)絡(luò)管理方案，管理人員可以根據(jù)實(shí)際情況，通過(guò)策略管理器制定規(guī)則，動(dòng)態(tài)地給用戶(hù)和應(yīng)用分配資源，并通過(guò)BayNetworks公司的全線產(chǎn)品為其提供Qos服務(wù)和安全服務(wù)。

也有一些策略管理產(chǎn)品支持安全管理，包括對(duì)防火墻、路由器、VPN、掃描器、反病毒、數(shù)據(jù)庫(kù)以及Web服務(wù)器訪問(wèn)控制的管理，典型的有：凱創(chuàng)公司的NetSightAtlas策略管理器是基于角色的企業(yè)系統(tǒng)管理，為整個(gè)企業(yè)提供圖形化管理工具，與NetSightAtlas路由服務(wù)管理器的結(jié)合，可以配置、監(jiān)控、管理凱創(chuàng)網(wǎng)絡(luò)所有的防火墻，與多個(gè)設(shè)備捆綁在一起，這樣只需一步操作就可以配置整個(gè)網(wǎng)絡(luò)系統(tǒng)。

Astaro公司的配置管理器(ACM，AstaroConfigurationManager)是一個(gè)可視化的集中策略管理平臺(tái)，可以對(duì)多個(gè)Astaro的防火墻以及VPN設(shè)備的安全策略進(jìn)行圖形化設(shè)計(jì)并實(shí)施，而且能夠自動(dòng)收集并上載相應(yīng)的配置。管理員可以在ACM中直接創(chuàng)建遠(yuǎn)程設(shè)備的所有安全策略，基于角色的權(quán)限管理功能和中央策略庫(kù)允許多個(gè)系統(tǒng)管理員共同管理大范圍網(wǎng)絡(luò)，只不過(guò)用戶(hù)定義的是全局的安全策略，而不是單獨(dú)設(shè)備的安全策略。

國(guó)內(nèi)對(duì)策略管理系統(tǒng)的研究剛剛起步，較成熟的產(chǎn)品有：

北京理工大學(xué)“金海豚”網(wǎng)絡(luò)安全綜合監(jiān)控平臺(tái)NSMP(NetworkSecurityMonitoringPlatform)以網(wǎng)絡(luò)安全需求為核心，以安全產(chǎn)品為工具，以安全策略為手段，來(lái)保障企業(yè)信息安全，具有支持多廠商網(wǎng)絡(luò)安全設(shè)備，提供實(shí)時(shí)的網(wǎng)絡(luò)安全監(jiān)控功能，具備安全事件的及時(shí)獲取、綜合審計(jì)、數(shù)據(jù)關(guān)聯(lián)分析功能和較完善的動(dòng)態(tài)安全策略管理等機(jī)制，并支持多級(jí)分布式控制中心的安全策略定制、下發(fā)和執(zhí)行能力。

天融信公司網(wǎng)絡(luò)安全管理系統(tǒng)TSM(TopsesManager)，可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中策略管理，由TSM對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行集中統(tǒng)一的管理，監(jiān)控網(wǎng)絡(luò)狀態(tài)，收集、過(guò)濾、分析各種安全產(chǎn)品的事件信息，并根據(jù)安全風(fēng)險(xiǎn)調(diào)整網(wǎng)絡(luò)安全策略，作出快速的響應(yīng)。綠盟科技企業(yè)安全計(jì)劃ESP(EnterpriseSecurityPlanning)的核心思想是實(shí)現(xiàn)對(duì)整個(gè)企業(yè)信息安全鏈的有效管理，通過(guò)事先計(jì)劃和事中控制，保障安全計(jì)劃、安全實(shí)施、安全策略等功能在信息安全鏈的處理流程中實(shí)現(xiàn)，強(qiáng)調(diào)人與人之間的合作精神。

啟明星辰泰合信息安全運(yùn)營(yíng)中心(Security

Operation

Center)的安全策略配置管理，為全網(wǎng)安全運(yùn)行管理人員提供統(tǒng)一的安全策略，為各項(xiàng)安全工作的開(kāi)展提供指導(dǎo)，有效解決因缺乏口令、認(rèn)證、訪問(wèn)控制等方面策略而帶來(lái)的安全風(fēng)險(xiǎn)問(wèn)題。

(1)信息安全是個(gè)技術(shù)問(wèn)題。

如果加密方案是“所有的數(shù)據(jù)都必須用WhizBang4.3和128位密鑰加密”，那就應(yīng)該重新審視一下加密策略。應(yīng)該認(rèn)識(shí)到，安全策略不是技術(shù)手冊(cè)。9.7關(guān)于安全策略的若干偏見(jiàn)信息安全策略能夠反映貴公司維護(hù)信息安全的手段，是公司管理層對(duì)下級(jí)的指示。當(dāng)然，安全策略是不會(huì)具體描述如何去完成某項(xiàng)任務(wù)的，尤其對(duì)于總體安全策略和問(wèn)題安全策略而言，它們只是大概地指出所要完成的目標(biāo)是什么。例如，加密敏感信息的安全策略可能只有一句話：“機(jī)密或者高度機(jī)密的信息在公共網(wǎng)絡(luò)的計(jì)算機(jī)上保存和傳輸時(shí)，必須使用公司信息安全部門(mén)認(rèn)可的硬件或者軟件對(duì)信息進(jìn)行加密”。從這段描述可以看出：①安全策略的描述很簡(jiǎn)潔，而且不是技術(shù)性的，是類(lèi)似于行政命令式的安全要求和指導(dǎo)性原則。

②申明了要達(dá)到的目標(biāo)和為達(dá)到該目標(biāo)公司高層的因素。

③沒(méi)有具體指出使用何種技術(shù)，如何配置它。

④安全策略是可以評(píng)估的。當(dāng)檢查的時(shí)候，可以對(duì)各個(gè)部門(mén)執(zhí)行的表現(xiàn)和成績(jī)打分。⑤不會(huì)因?yàn)槟撤N新的加密算法已經(jīng)發(fā)布(或舊的被廢除)，或者加密算法提供商破產(chǎn)而需要修改策略。

(2)信息安全工作的首要任務(wù)是建立信息安全策略。

信息安全策略的建立至少應(yīng)該放在風(fēng)險(xiǎn)評(píng)估的后面進(jìn)行。應(yīng)當(dāng)先開(kāi)發(fā)出一種能對(duì)組織信息安全風(fēng)險(xiǎn)進(jìn)行正確評(píng)估和量化的方法。應(yīng)該非常明確需要保護(hù)的是什么，以及保護(hù)的費(fèi)用相對(duì)它本身的價(jià)值而言是否值得。這就需要能夠先對(duì)所保護(hù)的信息系統(tǒng)和數(shù)據(jù)的價(jià)值及保密費(fèi)用作出正確的比較和評(píng)估，進(jìn)而直接影響是否需要制定安全策略。

(3)為支持信息安全策略，需要多層次的文檔支持。

不要因?yàn)樵谥贫ㄟ@些策略上投入了大量的時(shí)間和精力，就會(huì)認(rèn)