信息安全策略研究.doc

信息安全策略研究 The Research on Information Security Policy 山東科飛管理咨詢公司 吳昌倫 王毅剛關鍵字：信息安全 信息管理 信息安全管理 信息安全策略摘要：在當前形勢下對組織信息安全策略的必要性、開發(fā)和貫徹實施做了有益探討，提供了一個成文的Email安全策略，并對信息安全策略的優(yōu)劣評價考慮的因素提供了參考。 隨著社會信息化的深入和競爭的日益激烈，信息對組織的運作和發(fā)展所起到的作用越來越大，信息安全問題備受關注。目前關于信息安全的理論研究、方法研究和實踐研究都取得可喜的成就，其中兩個觀點被本文所接受，作為本文所討論問題的基點。一個是信息安全問題不僅僅是保密問題，信息安全（Information security）是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持，其終極目標是降低組織的業(yè)務風險，保持可持續(xù)發(fā)展；另一個觀點是，信息安全問題不單純是技術(shù)問題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術(shù)等）的一個綜合性問題，單純從技術(shù)角度考慮是不可能得到很好解決的。我們在這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。作為這樣一個組織實體，如何確定自己的對策來解決信息安全這個復雜的課題呢？一、 組織應該有一個完整的信息安全策略信息安全策略（Information Security Policies）也叫信息安全方針，是組織對信息和信息處理設施進行管理、保護和分配的原則，它告訴組織成員在日常的工作中什么是可以做的，什么是必須做的，什么是不能做的，哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關信息安全的行為規(guī)范。如果問什么是一個好的安全策略，不是很好回答，但是可以肯定的說沒有一個統(tǒng)一一致的信息安全策略是最差的策略。如果組織中沒有關于信息安全問題的一個策略，組織的成員在使用信息或者處理信息安全問題時候缺乏正面的引導，很容易造成信息的濫用，也容易被用心不良的人鉆空子，我們可以通過下面一個例子來理解這種情況。某建筑設計院在所在城市小有名氣，共有工作人員二十五人，每人一臺計算機，Windows 98對等網(wǎng)絡通過一臺集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房內(nèi)還有多家公司，在一樓入口處趙大爺負責外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設計院由市內(nèi)一家保潔公司負責樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設計師，他經(jīng)常撥號到Internet訪問一些設計方面的信息，他的計算機上還安裝了代理軟件，其他人員可以通過這個代理軟件訪問Internet。如果該設計院的信息安全管理停留在一種放任的狀態(tài)，會發(fā)生什么問題呢？下列情況都是有可能的：l 小偷順著一樓的防護欄潛入辦公室偷走了l 保潔公司人員不小心弄臟了準備發(fā)給客戶的設計方案；錯把掉在地上的合同稿當廢紙收走了；不小心碰掉了墻角的電源插銷l 某設計師張先生是公司的骨干，他嫌公司提供的設計軟件版本太舊，自己安裝了盜版的新版本設計程序。盡管這個盜版程序使用一段時間就會發(fā)生莫名其妙的錯誤導致程序關閉，可是張先生還是喜歡新版本的設計程序，并找到一些辦法避免錯誤發(fā)生時丟失文件。l 后來張先生離開設計院，新員工小李使用原來張先生的計算機。小李抱怨了多次計算機不正常，沒有人理會，最后決定自己重新安裝操作系統(tǒng)和應用程序。l 小李把自己感覺重要的文件備份到陳博士的計算機上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。l 陳博士對張先生的不辭而別沒有思想準備，甚至還沒來得及交接一下張先生離開時正負責的幾個設計項目。這幾天他一閑下來就整理張先生的設計方案，可是突然一天提示登錄原來張先生的那臺計算機需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設置密碼。l 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機上，可是陳博士沒有找到自己需要的文件。l 大家通過陳博士的計算機訪問Internet，收集了很多有用的資料?？墒亲罱脦着_計算機在啟動的時候就自動連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個還沒有提交的設計稿，可是員工都說沒有發(fā)過這樣的信。這些不是發(fā)生過并發(fā)生著么？這還沒有提及蓄謀的情況，也沒有提及98年洪水或者911事件這樣的災難情況下會是什么樣子。這些現(xiàn)象的直接原因并不復雜，所產(chǎn)生的后果可小可大。作為一個置身于激烈競爭環(huán)境下的現(xiàn)代組織，其所面臨或者將要面臨的情況要復雜得多，或者其組織本身就復雜得多，如何在這種背景下解決信息安全問題呢？筆者認為組織要做好信息安全工作，首要任務是要表明組織在信息安全問題上的基本態(tài)度，實踐證明信息安全策略是表達這種態(tài)度的一個好途徑。一個詳盡的專業(yè)化的信息全策略可以避免上面所提到的很多問題的發(fā)生。二、怎樣才算一個成功的信息安全策略因為組織的性質(zhì)、規(guī)模、環(huán)境各不相同，要徹底的回答這個問題幾乎是不可能的。但是我們也不是無章可循的，從理論上來考察，一個好的策略體系應該保障組織的信息資產(chǎn)的機密性、可用性、完整性不被破壞；從實踐角度，我們可以試著對信息安全策略的組成部分和主要內(nèi)容進行一下描述，并對策略整體的比較總結(jié)出一些衡量指標，便于我們制定選擇更好的策略。（一）一個正式的信息安全策略應該包括下列信息： 適用范圍：包括人員和時間上的范圍，例如“平等的適用于所有雇員，本規(guī)定適用于工作時間和非工作時間”，消除本該受到約束的員工產(chǎn)生自己是個例外的想法，也保證策略不至于被誤解為是針對某個人的。 目標：例如“為確保公司的技術(shù)、經(jīng)營秘密不流失，維護企業(yè)的經(jīng)濟利益，根據(jù)國家有關法規(guī)，結(jié)合企業(yè)實際，特制定本條例?！泵鞔_了信息安全保護對公司是有重要意義的，而不是毫無意義和不必要的，是與國家法律相一致的而不是不受法律保護的。主題明確的策略可能有更明確的目標，例如防病毒策略的目標可以是：“為了正確執(zhí)行對計算機病毒、蠕蟲、特洛伊木馬的預防、偵測和清除過程，特制定本策略”。 策略主體，詳細內(nèi)容見（二）。 策略簽署。信息安全策略是強制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或者執(zhí)行總裁，也可能是部門的主管，但是簽署人的管理地位不能太低，否則會有執(zhí)行的難度，如果遭到某高層主管抵制常會導致策略流產(chǎn)。高層主管的簽署也表明信息安全不僅是信息安全部門的事情，而是和整個組織所有成員都密切相關的事情。 策略的生效時間和有效期（或者重新評審時間）。舊策略的更新和過時策略的廢除是很重要的，應該保持生效的策略中包含新的安全要求。 重新評審策略的時機。策略除了常規(guī)的評審時機，在下列情況下也需要重新評審：n 管理體系發(fā)生很大變化n 相關法律法規(guī)發(fā)生了變化n 信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化n 組織發(fā)生了重大的安全事故 與其他相關策略的引用關系。因為多種策略可能相互關聯(lián)，引用關系可以描述策略的層次結(jié)構(gòu)，而且在策略修改的時候經(jīng)常涉及到相關策略的修改，清楚的引用關系也可以節(jié)省查找時間。 策略解釋、疑問響應的人員或者部門。經(jīng)驗表明由于工作環(huán)境不同、知識背景不同、措辭等原因可能導致誤解、歧義，應該有一個權(quán)威的解釋人員或者解釋結(jié)構(gòu)。 一些例外情況的處理途徑。策略如果不允許例外情況可能會變得很死板，策略中應該說明特殊情況的安全通道。 違反規(guī)定的后果和維護信息安全的獎勵：例如規(guī)定“將給予開除處分”，簡明扼要，一句話就表明了違反該規(guī)定的人會受到什么懲罰。策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項目也可以做適當?shù)脑鰟h，例如還可以在策略的開頭部分加上一個關于策略的簡短說明；策略評審的時機和例外情況的處理等內(nèi)容不一定每個策略都有，整個組織可以對這些內(nèi)容只做一個總括性的說明（例如作為信息安全策略手冊的通用說明出現(xiàn)是個好的做法）。下圖是某公司的Email安全策略的部分內(nèi)容，供大家參考。某公司電子郵件策略 發(fā)布部門 科技信息部 生效時間 年 月 日 批準人 編號 XISMS-P-55 介紹 制定這個策略是為了讓每位員知曉在Email的過程中好的操作方法，明確Email使用過程中的責任。 目標 為了建立某公司的Email使用規(guī)則，保證Email的合理發(fā)送、收取和存儲。 適用范圍 該Email策略平等的適用于某公司能夠通過Email發(fā)送、收取和存儲信息的所有職員。 術(shù)語定義 略 電子郵件策略 下列行為是策略所禁止的 發(fā)送或者轉(zhuǎn)發(fā)與工作業(yè)務無關的個人信息； 發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動信息； 發(fā)送或者轉(zhuǎn)發(fā)宣揚個人政治傾向或者宗教信仰； 發(fā)送或者轉(zhuǎn)發(fā)發(fā)送垃圾信息； 發(fā)送或者轉(zhuǎn)發(fā)能夠引起連鎖發(fā)送的恐嚇、祝賀等信息； Email大小超過限制； 發(fā)送口令、密鑰、信用卡等的敏感信息； 用個人信息處理設備收發(fā)公司內(nèi)部Email； 用公司外部賬號發(fā)送、轉(zhuǎn)發(fā)、收取公司敏感信息； 在非授權(quán)情況下以公司的名義發(fā)表個人意見； 發(fā)送或者轉(zhuǎn)發(fā)可能有計算機病毒的信息； 使用非授權(quán)的電子郵件收發(fā)軟件； 下列行為是策略所要求的 每位員工都有一個Email賬號，賬號密碼必須符合XISMS-P-56口令策略； 用Email經(jīng)過外部網(wǎng)絡發(fā)送機密信息必須經(jīng)過加密，加密必須符合XISMS-P-34加密策略； 發(fā)送Email必須有清楚的主題； Email在的處理和存儲必須符合XISMS-P-02信息的分類、標識和存儲策略； 管理授權(quán) 公司有權(quán)對職員的Email進行監(jiān)視和記錄； 公司有權(quán)對Email的內(nèi)容進行存儲備份以用于法律目的； Email附件的加密及加密方法應該獲得公司的批準，密碼需要在公司備案； 懲罰 違背這個策略，根據(jù)情節(jié)輕重處以罰款、降級、開除等處罰，違背法律法規(guī)的訴諸法律程序追究法律責任。 引用標準 XISMS-P-02信息的分類、標識和存儲策略 XISMS-P-21口令策略 XISMS-P-34加密策略 發(fā)布時間： 年 月 日 第 頁， 共 頁 （二）信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔，根據(jù)組織的復雜程度還可能分成幾個層次，其主題內(nèi)容各不相同。但是每個主題的策略都應該簡潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關的，是適用于哪些信息資產(chǎn)和處理過程的。例如“絕密級的技術(shù)、經(jīng)營戰(zhàn)略，只限于主管部門總經(jīng)理或副總經(jīng)理批準的直接需要的科室和人員使用，使用科室和人員必須做好使用過程的保密工作，而且必須辦理登記手續(xù)?！笔姑恳晃宦殕T都明確組織對他授予了什么權(quán)利，以及對信息資源所負的責任。通常一個組織可能會考慮開發(fā)下列主題的信息安全策略：1. 環(huán)境和設備的安全2. 信息資產(chǎn)的分級和人員責任3. 安全事故的報告與響應4. 第三方訪問的安全性5. 委外處理系統(tǒng)的安全6. 人員的任用、培訓和職責7. 系統(tǒng)策劃、驗收、使用和維護的安全要求8. 信息與軟件交換的安全9. 計算級和網(wǎng)絡的訪問控制和審核10. 遠程工作的安全11. 加密技術(shù)控制12. 備份、災難恢復和可持續(xù)發(fā)展的要求13. 符合法律法規(guī)和技術(shù)指標的要求也可以劃分更細一些，例如賬號管理策略、便攜式計算機使用策略、口令管理策略、防病毒策略、軟件控制策略、Email使用策略、Internet訪問控制策略等。每一種主題可以借鑒相關的標準和慣例，例如環(huán)境和設備安全可以參考的國家標準有：GB50174-93電子計算機機房設計規(guī)范、GB2887-89計算站場地技術(shù)條件、GB9361-88計算站場地安全要求等(當然這些標準制定的時間比較早，組織需要根據(jù)自己的情況判斷吸收，一些信息安全要求比較高的組織可能在很多方面要超過這些標準的要求，對于大型組織也可以參考這些項目自己開發(fā)相應的標準)。（三）要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括：l 目的性：策略是為組織完成自己的使命而制定的，策略應該反映組織的整體利益和可持續(xù)發(fā)展的要求；l 適用性：策略應該反映組織的真實環(huán)境，反映但前信息安全的發(fā)展水平；l 可行性：策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂；l 經(jīng)濟性：策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。l 完整性：能夠反映組織的所有業(yè)務流程安全需要；l 一致性：策略的一致性包括下面三個層次： 和國家、地方的法律法規(guī)保持一致 和組織已有的策略（方針）保持一致 整體安全策略保持一致，要反映企業(yè)對信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對某個人的。l 彈性：策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。當然要開發(fā)一系列好的信息安全策略還必須措辭恰當，良好的措辭可以造就優(yōu)秀的策略，而很差的用詞則會起到完全相反的結(jié)果，所選用的版式和媒體對策略的效果也會有些影響。三、信息安全策略是怎么形成的組織要制定一個科學系統(tǒng)的信息安全策略首先必須回答下面的問題：1. 組織有那些重要信息資產(chǎn)（信息和信息處理設施）？2. 這些資產(chǎn)面臨著什么樣的威脅？3. 組織的業(yè)務在多大程度上依賴于這些資產(chǎn)？這些資產(chǎn)一旦失效、失控或者泄密會給組織帶來多大的損失？4. 資產(chǎn)失效、失控或者泄密的可能性有多大？要回答這些問題，組織必須進行風險評估，識別出重要信息資產(chǎn)和相應的風險。風險評估至少需要考慮的因素包括法律法規(guī)的要求、合作伙伴的要求和組織自身業(yè)務發(fā)展的要求等。專業(yè)的風險評估應該對風險進行量化，分類級排序，以作為策略優(yōu)先等級的依據(jù)。一般組織沒有能力總結(jié)信息安全的所有要素，ISO 17799提供了相應的材料，組織可以根據(jù)自己業(yè)務性質(zhì)和環(huán)境從中選擇安全要素。相關的術(shù)語和方法也可以從類似的標準中引用，例如： ISO/IEC TR 13335 信息技術(shù)安全管理指南 (Information technology-Security techniques -Guidelines for the management of IT security(GMITS) ISO/IEC 15408信息技術(shù)安全的評估準則(Information technology - Security techniques-Evaluation criteria for IT security) GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則 GA 1631997計算機信息系統(tǒng)安全專用產(chǎn)品分類原則信息安全標準還有很多，識別這些信息安全標準并符合或者超過這些標準通常要比組織自己開發(fā)標準事半功倍。組織信息安全策略的開發(fā)也可以委托專業(yè)的信息安全服務公司進行，這些服務公司根據(jù)其已有的策略模板和相關經(jīng)驗，能夠迅速根據(jù)組織自身情況制定出合適的策略。四、如何使信息安全策略得到貫徹得不到貫徹的策略是一紙空文，執(zhí)行不正確或者力度不夠其效果也會大打折扣。信息安全策略的實施看起來簡單做起來難，其關鍵是如何把策略準確傳達給每一位相關人員。要把策略落實到每個人的日常工作中，需要很多方法的配合使用。比方說策略的分發(fā)有一定的技巧，把策略直接送交讀者，并收回舊版本的做法可以保證讀者總是能夠得到最新的版本；而要求讀者在策略生效之前簽署一個文本，說明已經(jīng)收到該版本的策略，已經(jīng)詳細閱讀且理解了其中的條款并且愿意遵守這些策略，這樣可以引起其足夠重視。組織或者部門根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件也是一個好辦法，即建立一個文件化的信息安全管理體系，在組織的相應程序文件中體現(xiàn)策略的有關要求。一個程序可能一次或者多次涉及到多條安全策略，如果組織的程序文件覆蓋組織的全部過程，那么程序文件也應該覆蓋組織的所有安全策略，這樣程序文件和信息安全策略就組成一個縱橫交錯的安全網(wǎng)絡，保證策略切實得到實施，將安全風險降低到可接受的水平。BS7799-2:2002信息安全管理體系規(guī)范是目前國際上應用最廣泛、最典型的信息安全管理體系符合性標準，如果要建立文件化的信息安全管理體系可以參考之。能力和意識的培訓也是把策略傳達下去的一種好方法，在組織缺乏程序文件的時候作用更是不可忽略。這就像一個駕駛員，沒有駕駛的程序文件，通過培訓就能夠把交通規(guī)則自覺應用到駕駛過程中的道理是一樣的。而且有針對性的培訓可以讓相關人員很快對策略形成整體的認識和比較深刻的印象，這是公文方式往往很難達到的效果。審核是策略得以實施的保障，組織必須有成文的審核辦法，詳細規(guī)定審核的周期和技術(shù)手段，及時發(fā)現(xiàn)問題及時解決?？偨Y(jié)這里從組織的角度來考慮信息安全策略問題。筆者認為國家信息安全主管部門和標準委員會應該為組織制定信息安全策略提供標準支持，保證組織能夠以很低的費用制定出專業(yè)化的信息