我的《信息保卫战》读书笔记：信息安全策略管理

企业信息安全策略管理能保证企业信息化安全，保护工作的整体性、计划 性及规范性，以及各项措施和管理手段的正确实施，使网络系统信息数据的机 密性、完整性及可用性受到全面、可靠的保护。

一、信息安全策略管理的挑战和需求分析

在企业信息安全管理体系的建设过程中，基于企业的实践经验和教训，企 业管理层逐步认识到信息安全策略的建立和执行是安全管理体系建设中的关键 环节，是企业合规管理和管理体系执行效率的集中体现。企业信息安全策略在 整个信息安全管理体系中是执行部分，是企业信息安全管理体系建设的实体。 如果没有信息安全策略的制定与执行，企业信息安全方针、目标、制度就是一 纸空文，信息安全技术与设备就是摆设。

二、信息安全策略概述

信息安全策略是企业管理层解决信息安全问题最重要的部分。具体讲是一 组规则，它们定义了企业要实现的安全目标和实现这些安全目标的途径。信息 安全策略可以划分为两个部分：问题策略和功能策略。问题策略描述了一个组 织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何 解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及 员工行为策略。信息安全策略必须有清晰和完全的文档描述，必须有相应的措 施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证制定的 信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略 的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息安 全策略。

在企业组织内部，信息安全策略的制定者一般应该是该组织的技术管理 者，可能是由一个多方人员组成的小组。信息安全策略反映出企业对现实和未 来安全风险的认识水平，对组织内部业务人员和技术人员安全风险的假定与处 理，同时还需要参考相关的标准文本和类似组织的安全管理经验。

信息安全策略的内容应该有别于技术方案，信息安全策略只是描述企业保 证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题（操作 规程问题），只需指出要完成的目标。信息安全策略是原则性的，不涉及具体 细节，对整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性 框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。 信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息 安全策略的遵守程度给出评价。

信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比 如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：

条目1 “任何类别为机密的信息，无论存储在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以 保护。”

这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新 的加密算法被公布的时候，无须对信息安全策略进行修改。

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必 须遵守的规则，它包括以下三个重要的组成部分。①依据：企业信息安全的基 石是社会法律、法规与手段、制度。通过建立一套安全管理标准和方法，可以 使非法者慑于法律，不敢轻举妄动。②技术：先进的安全技术是信息安全的根 本保障。企业通过对自身面临的威胁进行风险评估，决定其需要的安全服务种 类，选择相应的安全机制，然后集成先进的安全技术。③管理：各网络使用机 构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和 跟踪体系，提高整体信息安全意识。

安全策略是指某个安全区域内用于所有与安全有关的活动的规则，分三 级：安全策略目标、机构安全策略、系统安全策略。

三、信息安全策略工作

企业信息安全策略工作主要从两方面进行，一是企业信息安全策略的制定， 二是企业信息安全策略的贯彻、执行。

1. 企业信息安全策略制定的内容

1) 制定安全策略的原则

(1) 适应性原则：在一种情况下实施的安全策略到另一环境下就未必适合。

(2) 动态性原则：用户在不断增加，网络规模在不断扩大，网络技术本身 的发展变化也很快。

(3) 简单性原则：安全的网络是相对简单的网络。

(4) 系统性原则：应全面考虑网络上各类用户、各种设备、各种情况，有 计划有准备地采取相应的策略。

(5) 最小特权原则：每个用户并不需要使用所有的服务；不是所有用户都 需要去修改系统中的每个文件；每个用户并不需要都知道系统的根口令，每个 系统管理员也没有必要都知道系统的根口令等。

2) 制定安全策略的思想方法

(1) 凡是没有明确表示允许的就要被禁止。

例如，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了 匿名FTP服务之外的所有服务都是禁止的。

(2) 凡是没有明确表示禁止的就要被允许。

例如，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了 匿名FTP服务之外的所有服务都是允许的。

这两种思想方法所导致的结果是不相同的。第一种思想方法所表示的策略 只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能 做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种新 的网络应用出现时，对于第一种思想方法，如允许用户使用，就将明确地在安 全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着 允许用户使用。

需要注意的是.•在信息安全策略上，一般采用第一种思想方法，即明确地 限定用户在网络屮访问的权限与能够使用的服务。这符合于规定用户在网络访 问的“最小权限”的原则，即给予用户能完成他的任务所“必要”的访问权限 与可以使用的服务类型，这样将会便于网络的管理。

3) 安全策略的设计依据

制定信息安全策略应考虑以下因素：

(1) 对内部用户和外部用户分别提供哪些服务程序；

(2) 初始投资额和后续投资额（新的硬件、软件及工作人员）；

(3) 方便程度和服务效率的平衡；

(4) 复杂程度和安全等级的平衡；

(5) 网络性能。

4) 安全策略的对象范围

安全策略制定的过程中，首先要对所有信息化资源从安全性的角度去定义 它所存在的风险。第一步要分析在所要管理的网络中有哪些资源，其中哪些资 源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及 如何保护这些资源。设计网络安全策略的第一步工作是研究这些问题，并将研 究结果用网络资源调查表的形式记录下来。要求被保护的网络资源被定义之后， 就需要对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和 破坏的潜在因素，确定威胁的类型。只有了解了对网络资源安全构成威胁的来 源与类型，才能针对这些问题提出保护方法。

RFC文档1044列出了以下需要定义的网络资源：

(1) 硬件：处理器、主板、键盘、终端、工作站、个人计算机、打印机、 磁盘、通信数据、终端服务器与路由器。

(2) 软件：操作系统、通信程序、诊断程序、应用程序与网管软件。

(3) 数据：在线存储的数据、离线文档、执行过程中的数据、在网络中传 输的数据、备份数据、数据库、用户登录。

(4) 用户：普通网络用户、网络操作员、网络管理员。

(5) 演示程序：应用软件的演示程序、网络操作系统的演示程序、计算机 硬件与网络硬件的演示程序与网络软件的演示程序。

(6) 支持（外部）设备：磁带机与磁带、软盘、光驱与光盘。

5) 安全威胁与风险分析

为了保护计算机系统和网络必须对潜在的安全威胁提高警惕。如果理解了

安全的确切定义，就能很敏感地对计算机系统和网络进行风险评估。要进行有 效的安全评估，就必须明确安全威胁、漏洞的产生，以及威胁、安全漏洞和风 险三者之间的关系。安全威胁：威胁是有可能访问资源并造成破坏的某个人、 某个地方或某个事物。目前有以下安全威胁：

(1) 内部窃密和破坏；

(2) 窃听和截收；

(3) 非法访问（以未经授权的方式使用网络资源）；

(4) 破坏信息的完整性（通过篡改、删除和插入等方式破坏信息的完整性）；

(5) 冒充（攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通信 或欺骗合法主机和合法用户

(6) 流量分析攻击（分析通信双方通信流量的大小，以期获得相关信息）；

(7) 其他威胁（病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失 误等）。

6) 安全等级的确定

目前企业可釆用的信息安全等级与标准一般是由国家相关部门制定的适合 我国企业发展和国家安全的标准。我国目前执行的等级标准有等级保护的相关 标准和涉密信息系统分级保护的相关标准。企业根据合规要求、市场要求或企 业自身需求，明确企业需要遵从的安全等级。

7) 制定安全策略的内容

制定安全策略的目的是保证网络安全，保护工作的整体、计划性及规范性， 保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性 及可使用性受到全面、可靠的保护。其包括以下内容：

(1) 进行安全需求分析；

(2) 对网络系统资源进行评估；

(3) 对可能存在的风险进行分析；

(4) 确定内部信息对外幵放的种类及发布方式和访问方式；

(5) 明确网络系统管理人员的责任和义务；

(6) 确定针对潜在风险采取的安全保护措施的主要构成方面，制定安全存 取、访问规则。

2. 执行信息安全策略的过程

1) 确定应用范围

在制订安全策略之前一个必要的步骤是确认该策略所应用的范围，如是在 整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢。

2) 获得管理支持

事实上任何项目的推进都无法离开管理层的支持，安全策略的实施也是如 此。先从管理层获得足够的承诺有很多好处，可以为后面的工作铺平道路，还 可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全

工作进一步导向更理想状态的一个契机。

3) 进行安全分析

安全分析是一个经常被忽略的工作步骤，同时也是安全策略制订工作中的 一个重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产，及其对 组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信 息。进行这项工作时需要考虑的关键问题包括需要保护什么，需要防范哪些威 胁，受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措 施，防范措施的成本和效果评估等等。

4) 会见关键人员

通常来说至少应该与负责技术部门和负责业务部门的人员进行一些会议， 在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的 认同。如果有其他属于安全策略应用范围内的业务单位，那么也应该让其加入 到这项工作。

5) 制定策略草案

一旦就应用范围内采集的信息达成一致并获得了组织内部足够的支持，就 可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要 内容，并作为最后评估和确认工作的基准。

6) 开展策略评估

在之前己经与管理层及安全策略执行相关的主要人员进行了沟通，而该部 分工作在之前的基础上进一步与所有风险承担者一同对安全策略进行确认，从 而最终形成修正后的正式的策略版本。在这个阶段往往会有更多的人员参与进 来，应该进一步争取所有相关人员的支持，至少应该获得足够的授权以保障安 全策略的实施。

7) 发布安全策略

当安全策略完成之后还需要在组织内成功地进行发布，使组织成员仔细阅 读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行 广泛发布，如组织的内部信息系统、例会、培训活动等。

8) 修订策略

随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥 作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略 更新。