网络安全(三)
本章要点:
安全策略的功能;与网络安全有关的策略类型及其功能;与网络安全有关的各种管理程序功能;安全策略的生成、展开和有效管理
第三章 安全策略
安全策略的功能
提要
- 安全策略是一个组织的信息安全部门能做的最重要的工作之一
- 提供一系列规则,管理和控制系统如何配置,组织的员工应如何在正常的环境下行动,而当发生环境不正常时,应如何反应
任务
-
确定安全的实施
-
确定恰当的计算机系统和网络的配置及物理安全的措施,确定所使用的合理机制以保护信息和系统
- 确定安全的技术方面,还规定员工应该执行某些和安全相关的责任(例如用户管理),以及员工在使用计算机系统时所要求的行为
- 规定当非期望的事情发生时,组织应如何反应。当一个安全事故发生,或系统出故障时,组织的安全策略和安全程序规定其应做的事,以及在事故发生时,该组织的行动目标
-
使员工的行动一致
安全策略的类型
3个方面
- 目的
- 范围
- 责任
信息策略
-
概述
- 定义一个组织内的敏感信息以及如何保护敏感信息
-
具体功能
- 识别敏感信息
- 信息分类
- 敏感信息标记
- 敏感信息存储
- 敏感信息传输
- 敏感信息销毁
系统和网络安全策略
-
概述
- 规定计算机系统和网络设备安全的技术要求,规定系统或网络管理员应如何配置和安全相关的系统。
-
具体功能
- 用户身份及身份鉴别
- 访问控制
- 审计
- 网络连接
- 恶意代码
- 加密
计算机用户策略
-
概述
- 规定谁可以使用计算机系统以及使用计算机系统的规则
-
具体功能
- 计算机所有权
- 信息所有权
- 计算机的使用许可
- 没有隐私的要求
Internet使用策略
-
概述
- 规定如何合理地使用Internet,确定哪些是非正当使用
邮件策略
-
有些组织为电子邮件的使用开发了专门的策略。
-
需考虑的问题
- 内部邮件问题
- 外部邮件问题
用户管理策略
-
保护系统不被非授权者使用的安全机制是一件很好的事情,但是如果计算机系统的使用没有合适的管理也将使其完全无用。
-
需要设计的程序
- 新员工程序
- 工作调动的员工程序
- 离职员工的程序
系统管理策略
-
概述
- 确定各种和安全相关的系统管理如何完成
-
具体包含
- 软件更新
- 漏洞扫描
- 策略检查
- 登录检查
- 常规监控
事故响应策略
-
概述
- 当计算机事故发生时,事故响应程序确定该组织将如何做出反应
-
具体包含
- 事故处理目标
- 事件识别
- 信息控制
- 响应
- 授权
- 文档
- 程序的测试
配置管理程序
-
概述
- 规定修改组织的计算机系统状态的步骤
-
目的
- 确定合适的变化不会对安全事故的识别产生不好的影响
-
具体包含
- 系统的初始状态
- 变更的控制程序
设计方法
-
对生成新系统或能力的项目应有一个设计方法,以提供该组织生成新的系统的步骤
-
步骤
- 需求定义
- 设计
- 测试
- 实施
灾难恢复计划
-
每个组织都应有一个灾难恢复计划
-
一个恰当的灾难恢复计划应考虑各种故障的级别
- 单个系统
- 数据中心
- 整个系统
-
具体
- 单个系统或设备故障
- 数据中心事件
- 场地破坏事件
- 灾难恢复计划的测试
安全策略的生成、部署和有效使用
安全策略的生成
-
步骤
- 确定重要的策略
- 确定可接受的行为
- 征求建议
- 策略的开发
安全策略的部署
- 需全体人员介入
- 贯彻
- 培训教育
- 执行
安全策略的有效使用
- 新的系统及项目
- 已有的系统及项目
- 审计
- 安全策略的审查