1、第 3章 安全策略3.1 安全策略的功能3.2 安全策略的 类型3.3 安全策略的使用小结习题安全策略对一个组织来说是十分重要的,是一个组织的信息安全部门能做的最重要的工作之一。它只涉及很少的技术知识,因而很多有专业技能的人似乎对其并不太重视,事实上,安全策略对他们也是非常重要的。安全策略提供一系列规则,管理和控制系统如何配置,组织的员工应如何在正常的环境下行动,而当发生环境不正常时,应如何反应。安全策略执行两个主要任务。3.1 安全策略的功能1. 确定安全的实施安全策略确定实施什么样的安全,具体内容如下:( 1) 安全策略确定恰当的计算机系统和网络的配置及物理安全的措施,以及确定所使用的合理
2、机制以保护信息和系统。( 2) 安全策略不仅确定安全的技术方面,还规定员工应该执行某些和安全相关的责任(例如用户管理),以及员工在使用计算机系统时所要求的行为。( 3) 安全策略还规定当非期望的事情发生时,组织应如何反应。当一个安全事故发生,或系统出故障时,组织的安全策略和安全程序规定其应做的事,以及在事故发生时,该组织的行动目标。2. 使员工的行动一致对一个组织来说,确定实施什么样的安全是重要的,然而使每个工作人员行动一致以维护组织的安全也是同样重要的。安全策略为一个组织的员工规定一起工作的框架。组织的安全策略和安全过程规定了安全程序的目标和对象。将这些目标和对象告诉员工,就为安全工作组提供
3、了基础。安全策略的类型一个组织内的安全策略和安全程序有很多种,本节将概述常用的、有效的安全策略和安全程序。在安全策略中,一般包含 3个方面:( 1) 目的一个安全策略和安全程序应该有一个很好定义的目的,其文本应明确说明为什么要制定该策略和程序,及其对该组织有什么好处。( 2) 范围一个安全策略和安全程序应该有一个适用的范围。例如,一个安全策略可适用于所有计算机和网络系统,一个信息策略可适用于所有员工。( 3) 责任责任规定谁负责该文本的实施。不管谁负有责任,都必须经过很好的培训,明白文本的各项要求。信息策略定义一个组织内的敏感信息以及如何保护敏感信息。策略覆盖该组织内的全部敏感信息。每个员工有
4、责任保护所有接触的敏感信息。 识别敏感信息根据该组织的业务,考虑哪些是敏感信息。敏感信息有可能包括经营业务记录、产品设计、专利信息、公司电话簿等。3.2 安全策略的类型3.2.1 信息策略某些信息对所有组织都是敏感信息,包括工资信息、员工家庭住址和电话号码、医疗保险信息、任何在公开以前的财务信息等。值得指出的是,对一个组织来说,不是所有信息在所有时间都是敏感的。必须根据安全策略和安全程序很小心地确定什么是敏感信息。2.信息分类对大部分组织而言,通常将信息分成二或三级已足够了,具体如下:( 1) 最低级别的信息应该是公开的,也就是说,这些信息已为人所知,或能公开发表。( 2) 再上一级的信息是不
5、公开发表的,这些信息称为 “私有 ”、 “公司敏感 ”或 “公司秘密 ”。这类信息对本组织员工是公开的,对某些组织外的人员需签不扩散协议才能得到。如果这些信息被公开或被竞争者得到,就有损于该组织。( 3) 第三类信息称为 “限制 ”或 “保护 ”。这类信息被严格限制在一个组织内的很有限的员工范围内,不能向组织内的全体员工发布,更不能被组织外的人得到。3.敏感信息标记对于非公开信息,安全策略应将各类敏感信息清楚地加上标记。如果以纸张的形式出现,应在每页的顶部和底部加标记,用字处理的页首、页脚来实现。通常用醒目的大写或斜体字标记。4.敏感信息存储安全策略对存储在纸上或计算机系统中的敏感信息都应有相应的规定。当信息存储在计算机系统中,安全策略规定相应的保护级别。可以是文件的访问控制,或对某些类型文件用合适的口令保护。极端情况需要加密措施。应该记住,系统管理员能看到计算机系统中的所有文本。如果该敏感信息不应被系统员知道,只有采取加密措施。5.敏感信息传输信息策略必须确定如何传输敏感信息。可以用不同方法传输信息,如电子邮件、通过邮局邮寄、传真等。信息策略应对每种传输方法确定保护方法。对通过电子邮件传送的敏感信息,安全策略应规定对用附件方式的文件或报文头进行加密。对硬拷贝信息的传送,需要签收收据的方式。对传真方式的传送,发送者需要用电话事先通知接收者等候在传真机旁。
