《制定安全计划》PPT课件.ppt

第2章 制定安全计划,内容提要,计划的组成部分 制定机构计划 计划分级 信息安全实施计划 安全系统开发生命周期,2.1 计划的组成部分,为了有效地推行一个计划，机构的领导者必须首先制定文档，清楚地说明机构的道德观念、企业理念和哲学理念。 任务 前景 价值声明 战略,2.1 计划的组成部分,任务（mission） 一个机构的任务声明（ mission statement）就是明确地界定机构的业务及其操作范围。从某种意义上说，它就是机构的身份证。例如： xxx公司为行业用户提供信息化整体解决方案 。 对于信息安全部门而言，它们可以承诺保证信息的机密性、完整性、可用性或者像下面那样，提供一份更加详细的信息安全部门职能的描述。这个任务声明应该出现在机构整体计划的“信息安全角色及其相关责任”这一部分当中。,2.1 计划的组成部分,信息安全部门负责识别、评估和恰当地管理 X 公司的信息和信息系统所面临的风险。 它评价应对风险的各种方案，和全公司的其他部门一起商定解决方案，并采用恰当的方式主动地响应同样的风险。 信息安全部门还负责制定适用于整个机构和外部信息系统（例如外部网）的安全要求，（这些要求包括策略、标准、过程）。 最重要的是，该部门全权负责对 X 公司的信息系统带来潜在威胁的所有事务，包括设法避免、阻止、检测各种威胁或恢复系统。,2.1 计划的组成部分,这些威胁包括（但不局限于）以下几条： 非授权存取信息 非授权使用信息 非授权暴露信息 非授权分割信息 非授权更改信息 非授权破坏信息 非授权复制信息 无效信息,2.1 计划的组成部分,前景 计划的第 2 个组成部分是前景声明（ vision statement）。和任务声明相比，后者解释机构是什么，而前者解释机构希望成为什么。因此，前景声明应该是雄心勃勃的。毕竟，它们代表一个机构的志向，并展现了机构的未来。换句话说，前景声明描述的是公司的美好未来。一些机构往往混淆了前景声明和任务声明之间的区别，xxx 的前景声明如下： 让 xxx 公司成为 xx行业需求用户的首选，让每一个需要 xx解决方案的用户都使用xxx 的产品。 这是非常醒目、且雄心勃勃的前景声明。即使它看起来不太现实，但前景声明并不意味着可行，而仅仅是可能。,2.1 计划的组成部分,价值声明 计划的第 3 个组成部分是价值声明。股东和公众的信任、信心对任何机构来说都是很重要的因素。通过在价值声明中确立一套正式的机构原则、标准、品质以及评估行为的基准，机构就能让员工和公众清楚地把握其经营和业绩状况。 正直、诚实、激情和尊重别人是微软的企业哲学，xxx的价值声明如下： “xxx 重视承诺、向员工强调正直、诚实和具有社会责任感，努力使其服务与公司、社会、法律以及自然环境相协调。” 任务、前景和价值声明三者合一，共同构成了计划的哲学基础，并指导战略计划的制定。,2.1 计划的组成部分,战略 战略或战略计划是机构确定长期发展方向的基础，战略计划一般用于指导机构的活动，并着眼于在复杂多变的环境中根据具体明确的目标来管理资源。 简言之，战略计划是一种有序的活动，它提供基本的决策并采取行动，以长远目光形成和指导一个机构是什么、做什么和为何要做。 战略计划在机构的最高阶层形成，并转换到中间管理层更具体的战略计划之中，然后这些计划又转换成高级管理者的战术性计划，并最终为机构的一般员工执行的可具体实施计划提供方向。这种多层次的方法包含两个关键目标：综合战略计划和总体战略计划。首先，综合战略计划转换到具体战略计划之中；其次，总体战略计划转换成下一级战术性计划和操作 。,2.1 计划的组成部分,2.2 制定机构计划,机构开发出一个综合战略计划之后，必须根据已有的数据制定一个总体战略计划，把综合战略计划转化成各主要部门的具体战略计划。每一级部门再把那些目标转化成更具体的下一级目标。 例如，一个首席执行官可能制定出如下的综合战略： 为企业提供最高档次的医疗保健服务。 为了执行这个大的战略并将具体细节付诸实施，执行组（有时称机构的 C 层）必须首先确定个人的责任，而责任的分配必须保持总体战略的完整性。例如：,2.2 制定机构计划,首席操作官（COO）可能得出一个不同的战略目标，更多的着眼于他或她的具体责任 ： 提供最高品质的医药服务。 首席信息官可能将前面的概述转化成更具体的细节： 提供高级的医疗保健信息服务以支持企业最高品质的健康服务 。 对于首席信息安全官来说，他的职责包括： 确保安全地提供医疗健康信息服务，并符合美国各州和联邦的信息处理流程、信息安全、隐私权法令，特别是遵从1996 健康保险便携性和责 任 法 案（HIPPA）。,2.2 制定机构计划,从战略层到它的下一级的目标转化更富有艺术性而不是科学性，这有赖于执行官对整个机构的战略目标的了解和理解能力，有赖于他对机构内每个部门的战略和战术的了解和领会能力，以及和同级、上级、下级的磋商能力。 。,2.3 计划分级,一旦机构的总体战略计划转化成各个主要部门的战略目标（ 比如信息安全组），下一步就是把这些战略转化成具体的、可评估的、可达到的以及时间明确的任务。然后，战略计划就开始从综合的、全面的陈述朝着更具体的应用目标转化。战略计划用以制定战术计划，而战术计划用以开发操作计划。,2.3 计划分级,与战略计划相比，战术计划着眼于更短的时期（通常 1 3 年），它把每一个应用性的战略目标细分成一系列递增目标，每一目标必须是具体的并且最好在一年内有一个交代。 预算、资源分配和人力是战术性计划的关键部分，战术计划经常包括项目计划和资源获取计划文档（如产品说明书）、项目预算、项目复审、月度和年度报告。 操作计划源于战术性计划,管理者和雇员运用它们来管理日常的事务。一个操作计划包括跨部门的协调活动、需求交流、每周会议、总结、进度报告和合作任务。 例如，信息安全操作计划的目标包括防火墙的选择、配置和应用，或者包括SETA（安全的教育、培训和提升安全意识）项目的设计和实施。每项任务（项目）都需要一个有效的、贯穿整个任务开发过程的战术性计划。,2.4 信息安全实施计划,在总体战略计划转化成战术计划和操作计划的过程中，CIO 和 CISO（ 首席信息安全官）起着重要作用。 CIO 负责对 CISO 和其他的 IT 部门主管制定和实施的计划进行管理，这些计划支持机构的整体战略并与其保持一致。 CIO 也必须确保机构各个 IT 职能部门能对计划提供广泛的支持，而且没有一个部门被遗漏。 同 CIO 相 比，CISO 在 详 细 计 划 制 定 中 将 起 到 更 积 极 的 作 用。,2.4 信息安全实施计划,通常，信息安全部门主管的工作： 为 X 公司未来的信息安全前景制定一份信息安全战略计划（利用不断改进的信息安全技术，该计划能满足一系列的目标，例如管理信用和法律责任、消费者对安全的现代商业活动的期望，以及有竞争力的市场需求）。 理解 X 公司的基本商业行为，基于这种理解，提出合理的信息安全解决方案以保护好这些行为。 制定行动计划、进度表、预算、状态报告，以及其他的高层管理交流活动以提高信息安全在 X 公司的地位。,2.4 信息安全实施计划,一旦 CIO 将机构的整体战略计划转化成 IT 和信息安全部门的目标，并进一步由 CISO 转化成战术性和可操作性的计划，信息安全计划的实施就可以开始了。 信息安全计划的实施可以通过自下而上和自上而下两种途径来实现 ：,2.4 信息安全实施计划,自下而上方法 指系统管理员试图从系统的底层来增强系统的安全。 这种方法的主要优势在于它可以利用单个系统管理员的专业技术，这些管理员每天都在从事信息系统工作。系统和网络管理员所具备的高度的专业知识能在很大程度上改善一个机构的信息安全状况。这些专业人员懂得并理解他们系统可能受到的威胁以及成功保护系统所必须采用的机制。 遗憾的是，因为缺乏大量的关键信息和资源，诸如来自上层管理的调整计划、部门间的协调和充足的资源，这种方法很少能起到真正的作用。,2.4 信息安全实施计划,自上而下方法 高层管理者提供资源和指导，发布政策、措施以及处理步骤，指定项目的目标和预期效益，每个步骤都必须有专人负责。 自上而下方法要取得成功，通常有强大的上层支持、坚定的拥护者、稳定的投资、清晰的计划和实施步骤，还有影响一个机构理念的能力 。这样的方法需要有一个理想的领导，即一个有足够影响力的执行者来推动项目前进，确保管理正确，并力求使这些方法为整个机构所接受。颇具代表性的是，首席信息安全官员或者其他高级管理者，比如信息技术副总经理可以作为一个长远的信息安全项目的倡导者。 终端用户的参与和支持也是该项工作成功的关键。因为自上而下工作的实施和结果直接影响着这些终端用户，所以他们必须被包括在信息安全计划之中。,2.5 安全系统开发生命周期,系统开发生命周期（SDLC）是一个机构设计并实施其信息系统的常用技术路线，是一种基于结构化过程的解决问题的方法。所谓 SecSDLC（安全系统开发生命周期）是该方法的一种变形，用于建立整体的安全状态。 传统的瀑布模型 SDLC 的 6 个阶段。瀑布模型这个术语表明每一阶段的终点都将作为下一阶段的起点。 这些威胁包括（但不局限于）以下几条： 调查阶段 分析阶段 逻辑设计阶段 物理设计阶段 实施阶段 维护阶段,2.5 安全系统开发生命周期,传统系统开发生命周期方法也适合支持一个安全系统项目，并演变成安全系统开发生命周期（ SecSDLC）方法。安全系统开发生命周期的过程包括识别具体的威胁和风险，然后设计和实施特定的控制来解除这些威胁，同时，辅以风险管理手段。如此，把信息安全变为一套连贯的策略计划，而不只是对单个威胁和攻击进行反应。,2.5 安全系统开发生命周期,调查阶段 安全系统开发生命周期的调查阶段以高层管理层的指示开始，指主要明确该项目的过程、结果、项目最终目标以及项目的预算成本和其他约束条件。通常，该阶段首先确定或者设计安全策略，机构的安全计划方案将以此为基础。相关的管理人员、员工、顾问共同分析各种问题，定义所涉及的范围，明确阶段目标和最终目标，找出企业安全策略中未顾及的附加约束条件。 最后，可行性分析将决定机构是否有资源和责任来进行成功的安全分析和设计。,2.5 安全系统开发生命周期,分析阶段 分析阶段将对调查阶段的文档进行研究。在调查阶段，开发小组对现存的系统安全策略或安全计划方案进行初步的分析，并记录了当前的威胁和相关的控制。该阶段也对有关的法规进行了分析，这些法规将影响安全解决方案的设计。 风险管理也在该阶段开始。风险管理过程主要是识别、评定、估计机构所面临的风险等级，特别是对机构安全和他所存储加工的信息的威胁。 为了更好地理解安全系统开发生命周期（ SecSDLC）的分析阶段，应当了解相互联系的信息技术领域内机构所面对的各种威胁。在这种环境下，威胁可以是一个对象、一个人或其他的实体，它们都带给资产持续的危险。,2.5 安全系统开发生命周期,2.5 安全系统开发生命周期,以上列表中的威胁可能会表现为针对一个机构信息系统及其信息资产的攻击，包括技术攻击和非技术攻击。 技术攻击可能包括利用漏洞来达到危害一个系统的目的；反之，非技术攻击可能包括自发事件或不那么复杂的方法。 一些技术攻击的类型： 恶意代码（maliciouscode）：病毒、蠕虫、特洛伊木马的破坏以及企图破坏或窃取信息的活动网页脚本。 恶作剧（hoaxes）：一种对时间和资源的浪费，或是掩盖在看似合法信息面具下的攻击。 后门（back doors）：由系统设计者留下，或由恶意代码安装。,2.5 安全系统开发生命周期,口令破解（password crack）：试图反向计算或猜测口令。口令攻击包括词典攻击、暴力破解以及中间人攻击（见下方）。 暴力破解（brute force）：运用各种计算能力及网络资源，通过尝试每一种可能的字符组合来破解口令。 词典攻击（dictionary）：以特定账号为目标，使用一系列其常用的密码（ 词典）来猜测而不是随机组合，这样就缩小了可能的密码值的范围。 拒绝服务（DoS，denial-of-service）和分布式拒绝服务（ DDoS，distributed denial-of-service）：发送大量连接或信息请求给目标，以堵塞其他合法通路。当多个系统被同步调动起来进行攻击时，就称为分布式拒绝服务。 欺骗（spoofing）：一种在未经授权的情况下访问计算机的技术。入侵者使用一台受到信任的主机的 IP 地址向目标发送网络消息。,2.5 安全系统开发生命周期,中间人（Man-in-the-middle）：又被称为 TCP 劫持攻击。攻击者强行占用一个网络连接对话，然后可以读取甚至可能修改该网络对话传送的数据。 垃圾邮件（spam）：未经请求的广告邮件，等同于电子垃圾邮件。 邮件炸弹（mailbombing）：向目标发送大量电子邮件。 嗅探器（sniffer）：一种可以监视网络上数据传输的程序或设备。 社会工程（socialengineering）：利用社交技能来说服人们，使之泄漏访问证件或其他有价值的信息。 缓冲区溢出（bufferoverflow）：一种应用程序错误，在送入到缓冲区的数据超出其处理能力时就会发生缓冲区溢出。 时间（timing）：使攻击者能通过观察系统对不同请求的响应时间，来获取安全系统中保存的秘密。,2.5 安全系统开发生命周期,为了对风险进行管理，必须鉴定和评估拥有的信息资产的价值，包 括 对 该 机 构 系 统 中 所 有 组 成 部 分 的 分 类（ classification）和 归 类（categorization）：人员、过程、数据、信息、软件、硬件以及其他网络元素。以提出一些特定的问题来帮助制定一个衡量标准，该标准能对信息资产及其影响做出一个评估。 什么信息资产对一个机构的成功来说是最关键的？ 什么信息资产创造出最多的税收？ 什么信息资产有最高的收益？ 什么信息资产的替换是最昂贵的？ 什么信息资产的保护是最昂贵的？ 如果发生泄密事件，什么信息资产造成的损失是最令人尴尬的或是最大的？,2.5 安全系统开发生命周期,设计阶段 逻辑设计阶段：团队成员创建和开发出安全蓝图，同时还检查那些会影响以后决定的关键策略。对事件响应的关键应急计划就在这个阶段被开发出来。然后，一个可行性研究决定了是应该在内部继续该项目还是把它外包出去。 物理设计阶段：团队成员会评估支持安全蓝图所需的技术，制定可选方案。在物理设计完成后，安全蓝图应该可以修改，以适应必要的变化。在这个阶段要有一套评估标准来确认一个安全方案是否是成功的。在这个阶段的最后，应该进行一个可行性研究来确定该机构是否对这个计划项目做好了准备。然后，应将设计方案呈递给监督者和用户，使得有关部门能够在开始实施该项目之前进行审核。,2.5 安全系统开发生命周期,在逻辑和物理设计阶段，安全管理者应使用已建立的安全模型来指导设计过程。机构可以改编或直接采用一个已有的框架来满足他们自己的信息安全要求。 一个机构的信息安全策略是策划信息安全项目要考虑的一个因素 。 信息安全项目的另一个组成部分是安全教育、培训以及意识提升（ SETA，security education、training and awareness）项目。,2.5 安全系统开发生命周期,实施阶段 SecSDLC 的实施阶段和传统 SDLC 很相似。获取（制造或购买）安全方案、测试、实施、再测试。评估员工资料，执行特殊培训和教育项目，最后，整个被测试好的方案呈递到上层管理层等待批准。 信息安全系统软件或应用程序系统的选择过程与普通的 IT 需求之间有很大的不同之处。买主应该拿到详细的说明书，并且应该不断获得关于产品和成本的详细信息。在一个 IT 项目的执行过程中，创建清楚的说明书以及严格的测试计划是最基本的，这可以确保高质量的执行。,2.5 安全系统开发生命周期,维护与改善 当今的信息安全系统需要不断的监控、测试、改善、更新和修复。传统的应用程序系统是在软件开发生命周期框架内开发的，并非用来预测在正常操作进程中面临的恶意攻击。在安全方面，建立稳定和可靠的的系统实际是一场防御战。由于新的威胁不断产生，原有的威胁不断演化，机构的信息安全框架就需要不断地适应这样的变化，以预防各种