本章要点:
安全策略的功能;与网络安全有关的策略类型及其功能;与网络安全有关的各种管理程序功能;安全策略的生成、展开和有效管理

第三章安全策略 思维导图

第三章 安全策略

安全策略的功能

提要

  • 安全策略是一个组织的信息安全部门能做的最重要的工作之一
  • 提供一系列规则,管理和控制系统如何配置,组织的员工应如何在正常的环境下行动,而当发生环境不正常时,应如何反应

任务

  • 确定安全的实施

  • 确定恰当的计算机系统和网络的配置及物理安全的措施,确定所使用的合理机制以保护信息和系统

    • 确定安全的技术方面,还规定员工应该执行某些和安全相关的责任(例如用户管理),以及员工在使用计算机系统时所要求的行为
    • 规定当非期望的事情发生时,组织应如何反应。当一个安全事故发生,或系统出故障时,组织的安全策略和安全程序规定其应做的事,以及在事故发生时,该组织的行动目标

  • 使员工的行动一致

安全策略的类型

3个方面

  • 目的
  • 范围
  • 责任

信息策略

  • 概述

    • 定义一个组织内的敏感信息以及如何保护敏感信息

  • 具体功能

    • 识别敏感信息
    • 信息分类
    • 敏感信息标记
    • 敏感信息存储
    • 敏感信息传输
    • 敏感信息销毁

系统和网络安全策略

  • 概述

    • 规定计算机系统和网络设备安全的技术要求,规定系统或网络管理员应如何配置和安全相关的系统。

  • 具体功能

    • 用户身份及身份鉴别
    • 访问控制
    • 审计
    • 网络连接
    • 恶意代码
    • 加密

计算机用户策略

  • 概述

    • 规定谁可以使用计算机系统以及使用计算机系统的规则

  • 具体功能

    • 计算机所有权
    • 信息所有权
    • 计算机的使用许可
    • 没有隐私的要求

Internet使用策略

  • 概述

    • 规定如何合理地使用Internet,确定哪些是非正当使用

邮件策略

  • 有些组织为电子邮件的使用开发了专门的策略。

  • 需考虑的问题

    • 内部邮件问题
    • 外部邮件问题

用户管理策略

  • 保护系统不被非授权者使用的安全机制是一件很好的事情,但是如果计算机系统的使用没有合适的管理也将使其完全无用。

  • 需要设计的程序

    • 新员工程序
    • 工作调动的员工程序
    • 离职员工的程序

系统管理策略

  • 概述

    • 确定各种和安全相关的系统管理如何完成

  • 具体包含

    • 软件更新
    • 漏洞扫描
    • 策略检查
    • 登录检查
    • 常规监控

事故响应策略

  • 概述

    • 计算机事故发生时,事故响应程序确定该组织将如何做出反应

  • 具体包含

    • 事故处理目标
    • 事件识别
    • 信息控制
    • 响应
    • 授权
    • 文档
    • 程序的测试

配置管理程序

  • 概述

    • 规定修改组织的计算机系统状态的步骤

  • 目的

    • 确定合适的变化不会对安全事故的识别产生不好的影响

  • 具体包含

    • 系统的初始状态
    • 变更的控制程序

设计方法

  • 生成新系统或能力的项目应有一个设计方法,以提供该组织生成新的系统的步骤

  • 步骤

    • 需求定义
    • 设计
    • 测试
    • 实施

灾难恢复计划

  • 每个组织都应有一个灾难恢复计划

  • 一个恰当的灾难恢复计划应考虑各种故障的级别

    • 单个系统
    • 数据中心
    • 整个系统

  • 具体

    • 单个系统或设备故障
    • 数据中心事件
    • 场地破坏事件
    • 灾难恢复计划的测试

安全策略的生成、部署和有效使用

安全策略的生成

  • 步骤

    • 确定重要的策略
    • 确定可接受的行为
    • 征求建议
    • 策略的开发

安全策略的部署

  • 需全体人员介入
  • 贯彻
  • 培训教育
  • 执行

安全策略的有效使用

  • 新的系统及项目
  • 已有的系统及项目
  • 审计
  • 安全策略的审查