信息安全生命周期指南.doc

信息安全生命周期指南目录1介绍信息安全挑战什么是信息安全生命周期?信息安全生命周期模型如何工作？2安全策略、标准、过程和度量7信息安全生命周期安全策略、标准和过程方案信息安全生命周期度量方案3风险评估1信息安全生命周期风险评估 方案4设计安全计划蓝图信息安全生命周期计划蓝图5选择与实施解决方案如何选择正确的信息安全产品信息安全生命周期配置管理方案6开展培训信息安全生命周期教育和培训方案7安全控制生命周期管理安全服务8实施事件响应和恢复生命周期事件响应和恢复方案9总结1 介绍欢迎使用赛门铁克信息安全生命周期指南。这里概要介绍了我们为您的企业建立并维护综合有效的信息安全方案所使用的方法。随着企业的不断成长、网络环境的日益复杂化以及信息安全人员工作的日益繁重，企业面临的信息安全问题让人心虚害怕。信息安全挑战企业越来越依赖信息技术来支持他们在全球市场中的迅速成长和扩大。Internet、互联网和局域网等技术使公司以未曾想象过的方式与人和市场建立联系。 但是伴随着这些技术所带来的好处，脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。随着技术变得更为复杂、先进，那些有可能到您的信息系统进行肆虐的人也变得越来越狡猾不仅仅包括黑客和窃贼，还包括那些合法使用者，他们有可能在偶然之中将重要文件删除，或者无意中进入无权访问的业务区。很多公司非常关注态度不满的员工、未经过培训的职工、非法用户及利用并危害信息系统和网络的行业间谍。这些引起人们高度重视的威胁使很多公司忙于求助信息安全提供商，但却沦为他们的牺牲品，因为这些信息安全提供商只提供一维的解决方案。这种方法局限性很大，很多公司转而购买时髦、华而不实的技术解决方案（如防火墙），希望彻底解决安全问题。但是，此类技术只是解决方案的一部分，而安全必须从企业全局角度进行设计、实施和无缝管理（包括员工培训和安全服务方案），这样才能保证公司业务运行能够不断取得成功。今天，很多公司机构变化过快，无法对自己网络中存在的安全风险进行评估或采取措施减轻或消除风险。要确定您的信息安全风险性大小，请考虑以下几个问题：1. 是否已制定有效的安全策略、标准和过程描述公司系统及网络的授权使用以及违反这些策略和过程将遭受的惩罚？2. 您知道哪些系统、应用程序和网络（如财务、人力资源、研发和Internet服务）对于持续的业务运营非常关键？ 3. 哪些人可以访问您的信息系统、出于什么目的？4. 这些网络和信息系统有多少个入口？5. 您对这些系统网络安全控制（如：密码安全、入侵检测、配置管理等）的有效性有信心吗？6. 您关心Internet 及远程访问连接（如外露的服务器,Web、邮件、新闻和DNS）可能导致的潜在威胁吗？7. 您对安全控制（包括密码安全、防火墙、入侵检测、配置管理等）的有效性进行过评估吗？8. 您是否定期对环境进行重新评估以发现变化、检验改进效果？1. 您的员工能否检测、处理并恢复系统或网络所受到的攻击或非法使用？9. 1. 10. 您的系统配置是否得到有效安全的管理？1. 您如何为自己的环境和风险预测确定最佳防护措施？1. 11. 12. 您应该采取什么措施来纠正安全脆弱性？ 1. 您是否有（或您是否想有）13. 一个明确的安全体系结构图和计划蓝图来实施信息安全方案？全世界各个行业，商业和政府企业的管理人员及安全经理们经常面临这些及其他一些问题。对于多数公司机构来说，最大的问题就是缺乏能够提供符合不同信息系统和网络安全等级需要的综合性企业安全策略和计划。如果没有这样的计划，尽管经理不断地评估和购买最新最时髦的安全技术，这种方式在目前不断出现的信息安全问题面前仍然显得不充足。现在有一种方式非常有效，这就是信息安全生命周期。什么是信息安全生命周期?公司机构从他们的网络不断地添加、改变和去掉信息系统及用户。对于这些不断出现的变化，需要使用结构化的方式管理安全风险和安全控制以保护这些动态环境。赛门铁克研究出的信息安全生命周期模型所提供的结构化方式，使公司机构能够评估、设计、实施和维护综合有效的全公司信息安全方案。信息安全生命周期模型可以帮助公司机构完成以下任务：* 识别最关键、最敏感的信息系统和网络。* 确定并评估与这些系统和网络相关的风险。* 澄清他们的安全目标。* 制定一个信息安全计划蓝图以帮助实施计划。* 实施针对整个企业的安全方案。 信息安全生命周期模型如何工作？信息安全生命周期模型有7个构成部分：* 安全策略、标准、过程、度量这些要素为公司机构的信息安全方案提供了框架和衡量标准。* 风险评估风险评估是建立和维护有效企业安全管理的起点。这一评估使公司能够识别信息系统和软件种类，根据关键性和敏感性将这些系统排序，评估威胁，识别可以控制的易攻击点。* 设计安全计划蓝图制定安全计划蓝图时可以参考风险评估的结果 。一份良好的计划蓝图可以帮助公司机构决定预算、资源、设备供应商、产品选择和实施策略的优先顺序，为实施安全提供结构化的解决之道。* 选择并实施解决方案结构合理的解决方案选择和实施方案可以减少购置的产品变成“架子上的装饰物”的可能性并确保选购恰当的产品、服务和培训，以实现企业的安全计划和目标。 * 开展培训 安全意识和技术培训极大地提高了成功的可能性。它们可以提供实施和维护安全计算环境所必须的知识。* 安全控制保证信息安全方案的有效性。监控检测公司机构主机或网络环境中的异常或入侵情况。* 实现事件响应和恢复有效的事件响应和恢复方案保证公司机构有效地对事件进行监测、响应、控制并恢复。信息安全生命周期模型的关键就是：它可以通过定期的评估和方案改进而不断完善。本指南接下来将详细讨论信息安全生命周期模型中各个组成部分，为您提供建议和服务以帮助您实施有效的信息安全方案。2 安全策略、标准、过程和度量 信息安全生命周期安全策略、标准和过程方案企业安全关键基础之一就是构成企业总体信息安全方案的综合策略。安全策略、过程和标准讲述对企业员工的要求和违法规定导致的结果。如果没有安全策略，企业面对安全事件、法律诉讼、关键及敏感数据的丢失时就显得毫无防备且束手无策。* * * 赛门铁克的“信息安全生命周期安全策略、标准和过程方案”可以帮助您制定详细的安全策略和标准以及必要的具体措施以保护企业信息技术不会丢失、被窃取、损害或破坏。综合、连贯一致的企业安全方案有很多好处：* 向雇员和外部股东等人宣传企业整体信息安全理念和策略。* 加强管理层和用户层的信息安全意识。* 定义每个员工的信息安全责任。* 为安全适当地使用公司的技术提供指导。* 以整体形式而不是通过分散的解决方案来管理* 企业的安全措施。* 通过消除重复或相互抵触的控制来达到节约资金的目的。* 证明您的企业能够承担应负的责任，有信用，纪律严明。* 为强制服从提供一个可依赖的机制。* * 提高在信息安全审查中的总体成绩。“信息安全生命周期安全策略、标准和过程方案”定义了信息安全的目的, 企业内可接受的安全级别以及如何实施和维护安全。这一方案旨在制定现实可行、能够反映企业文化及其独一无二的业务目标的指导原则。企业制定现实的安全策略、标准和过程方案，首先要鉴别自己的关键资产，确定可以接受的风险等级。公司股东应该为方案的制定提供帮助，方便公司高层管理机构传达观点、进行指导，使方案得到公司各层员工的全力支持。赛门铁克的“信息安全生命周期安全策略、标准和过程方案”包括三个部分：1. 信息安全策略：解释信息安全在企业内为什么很必要。该策略反映公司机构的战略方向，阐述需要保护的常规领域以及公司信息安全的整体观念，概述了员工使用计算资源的行为规范及违反该策略的后果。策略必须具有现实性和可执行性，支持公司机构的业务目标和目的。公司机构所有的信息安全活动都要符合这些策略。2. 信息安全标准：阐述策略中每个局部区域所能接受的安全级别。这些标准根据公司环境中具体的技术、实施或机制确定合适的安全级别。标准还定义了信息技术的授权使用并罗列了要遵守的规定。3. 信息安全过程：阐述如何实施并监控信息安全所要达到的、如标准中所述的级别。过程直接根据标准制定，详细说明具体的执行步骤。信息安全生命周期度量方案现在很多公司机构无法将他们对安全控制和资源投资的收益量化。而安全管理员需要证明所安装的安全控制的有效性并识别保险中的漏洞。信息安全生命周期度量方案为帮助信息安全预算申请、优先分配资源、验证安全控制的有效性、识别缺点提供参考数据。精心制定的度量可以衡量企业机构信息安全方案的整体效果并跟踪信息安全改进举措。“信息安全生命周期度量方案”有很多优势：* 提供从您的安全方案中演化出的度量数据库，用于分析趋势和漏洞。* 衡量信息安全生命周期方案的效果，将企业机构所进行的安全改进量化。* 确定能满足您独特的业务需求、最有成效的安全解决方案。* 帮助您有效地对预算和资源进行优先选择排序，以达到公司机构的信息安全目标。* 为细化扩大的预算和资源需求提供有价值的信息，以符合企业机构的业务计划。赛门铁克的“信息安全生命周期度量方案”为安全管理员和经理提供必要的信息，帮助他们在建立和维护安全计算环境时做出完善的业务决策。3 风险评估 大多数组织机构面临的最大问题就是在响应信息安全挑战时不知道该从何做起。具体地讲，很多企业都关注以下问题： * 信息系统的类型和地点。* 确认关键和敏感的信息系统。* 外部和内部连接及对系统和网络的访问。* 系统和网络面临的威胁。* 系统和网络的脆弱性及被别人利用的潜在可能。* 现有安全控制的有效性。* 进行风险评估可帮助您从头开始，确定您目前所处的境地（从信息安全的角度）及以后的发展方向。评估将确定具体的问题区域，为纠正与维护您理想的风险预测提供建议，帮助您有效地投资安全预算。根据掌握的知识而不是凭直觉做决定。信息安全生命周期风险评估方案赛门铁克的“信息安全生命周期风险评估方案”为经理提供必要的信息以确定并评估企业机构的信息安全风险、鉴定目前实施的任一安全方案的有效性，证明增加信息安全措施所需要的资源。信息安全生命周期风险评估方案：* 确认并记录所有的系统和网络，特别是关键和敏感的系统和网络 （根据业务影响）。* 确认企业机构目前正在使用的信息安全控制和方案。* 评估这些安全控制和方案的效力。* 确认信息系统和网络的脆弱点。* 识别可能会利用这些脆弱点的威胁。* 识别安全漏洞，将公司机构应该具备的信息安全控制进行优先排序。* 确定关键和敏感信息系统和网络的总体风险。* 提供基准的安全风险预测，用于衡量企业在安全举措、控制和方案上的改进提高。什么时候应该考虑进行* * * * * 信息安全风险评估?* 对系统或网络进行升级或更改之前或之后。* 转向采用新技术之前或之后（转换网络、TCP/IP、UNIX/NT等）。* 连接到新的网络 (如：收购、合并或合伙等)之前或之后。* 连接到 Internet、内联网或外联网之前或之后。* 在业务操作中实施重要变革的时候（如：新的记帐系统、 企业管理系统的实施、电子商务举措、外部采购IT 支持等）。* 定期检测安全控制的效力，发现漏洞。安全投资必备条件必须根据公司机构的业务目标、目的而定。您的公司或机构必须确保定期购买那些对于业务生存和成功至关重要的系统和网络。4 设计安全计划蓝图 很多公司或机构没有对需要保护的东西进行评估和优先排序就购买实施了安全控制。实施有效的安全方案的最佳方法就是根据对公司机构风险的评估得出的意见，设计一份安全计划蓝图。这张安全计划蓝图将帮助您合理地、有组织地保护您信息系统和企业网络的安全。具体地说，安全计划蓝图将帮助您：* 对解决方案进行优先排序。* 设计并修改资源和预算需求。* 确定哪些产品对于保护您的信息系统环境非常必要。* 制定实施策略和时间表。* 将您的解决方案与实际的义务安全问题相结合。* 研究制定可以不断解决安全问题的安全方案。信息安全生命周期计划蓝图在我们以往的经历中曾发现，有些公司机构之所以没有取得理想的风险预测，是因为缺少一个精心构思、经过优先排序的计划来支持他们的业务安全目标和目的。赛门铁克能够帮助您设计一份安全计划蓝图，让您的公司机构迈上有效的企业安全之路。在帮助您制定信息安全计划蓝图时，我们将确保您：* 不会在过短时间内接纳过多。* 首先解决与最关键的系统和网络相关联的风险，然后再处理下一个级别的系统和网络。* 避免点解决方案形式，确保您能够将安全控制升级到整个企业层面。* 管理期望并解释您要达到的目标以及这一成果将如何使您的企业受益。* 分配足够的时间和资源。* 通过展示方案的好处使关键性经理同意购买决定。* 在企业各个层面及合作伙伴中宣传方案目标、目的和成功经验。* 利用资深的安全专家提高内部安全技术。精心设计的安全计划蓝图是获得管理支持、对资源进行优先排序及安排成功实施的关键。5 选择并实施解决方案公司每天都要面对几百家安全产品供应商，他们都声称拥有全效产品，能够解决他们的信息安全问题。面对如此多的产品和供应商，几乎不可能有时间逐一挑选再选出最适于企业需求的产品。“性能最佳”这个词可能经常在耳边出现，但这究竟意味着什么？简单地说，性能最佳的产品应该能完全集成在您的环境中、顺利发挥作用，解决您的安全忧虑，而且可以由自己的员工进行维护，使投资获得最佳回报。其他需要考虑的因素包括：供应商是否* 对产品提供支持（产品要在一个企业内大批量推出需要很长一段时间）。* 经济状况稳定（这家公司在产品生命周期内经济运行状况良好吗？）。* 接受您对未来产品方向和需求所提出的建议。* 容易合作（文化上有冲突吗？）。选择正确的安全软件和硬件供应商和解决方案、并将产品无缝安装到您的网络和信息系统，这才是获得有效的企业安全的根本所在。如何选择正确的信息安全产品请确认：* 确认您要保护的对象。* 根据风险预测结果确定保护等级。* 使用安全计划蓝图将解决方案进行优先排序。* 将供应商产品功能与您的重点需要的解决方案进行匹配。* 制定并实施选择标准。* 进行先期实验，检测互操作性，验证实际产品的性能。* 确认所选的供应商在产品生命周期内提供产品支持（如：安装、维护、培训、用户组等）。* 从其他客户那里寻求可比较的参考。注意：一定要坚持让供应商对产品提供安装和咨询服务。供应商必须能够展示如何让产品在您的环境中工作、与员工配合。这个过程可以提高配置质量和员工的专业技术。这个方法还可以提高您成功实施的可能性、减少“架子上装饰品”的潜势即未用或使用不充分的安全解决方案。信息安全生命周期配置管理方案公司必须决定如何配置系统、应用程序和网络来支持他们的运营及用户，同时保持一定的有效的安全等级。系统和网络在安装时很少事先为安全考虑，而是基于用户和业务的需要而安装的。随着信息系统和网络的内部和外部威胁的增加，公司迫切需要实施安全控制来保护系统和网络的完整性和可用性。即使系统和网络当初安装正确，并进行了安全配置，工作正常，但也必须进行维护。赛门铁克的“信息安全生命周期配置管理方案”可以帮助维护公司保续稳定有效。赛门铁克的“信息安全生命周期配置管理方案”有两个主要组成部分：1) 对计划配置的基本定义。2) 对配置变化的监测和控制过程。基本配置通常是在风险评估基础上确定的，风险评估使我们对易受攻击的系统配置有了清楚的了解并为纠正、建立、维护安全配置提供了建议。这个安全配置指导提供了比较详细的、达到特定的信息安全目标和运行目的所必需的技术配置（如文件许可、防火墙规则等）。安全配置必须能够帮助用户实现运行目标和目的，同时维持安全控制的理想水平。这就是为什么对企业和用户进行全面分析如此重要。企业需要确认他们的系统配置只支持合法用户和合法操作。系统自身的功能和服务都处于激活状态，所以把这些系统添加到您的计算环境上之前必须关闭掉这些系统。任何不能直接支持您的需求的服务或配置都应该被禁用，以确保关闭任何可能被非法用户盗用的突破口。赛门铁克的“信息安全生命周期配置管理方案”将帮助您确保您的配置变化是在内部由授权人员完成。这个方案将确立（包括很多事宜）谁有权决定配置变更以及这些变更如何实施、记录和维护。成功的信息安全生命周期配置管理关键在于：* 为所有的操作系统建立基准的安全配置。* 根据合法用户或业务要求确定期望目标。* 配置的系统符合您的授权安全配置和策略。* 使用自动的审核工具提高员工的专业技术水平、监控规则遵守情况、迅速纠正配置缺陷。* 安装入侵检测工具，帮助监控和检测关键系统和网络上的非法活动（如改变配置的企图）。* 根据成型的配置管理规范纠正配置缺陷。实施赛门铁克的“信息安全生命周期配置管理方案”将为您管理系统安全提供一个坚实的基础安全。6 开展培训 很多企业机构在安全措施方面存在的最大缺陷就是没有为员工和管理人员提供综合的信息安全培训，而这样的培训有助于提高对企业机构面临的安全威胁和潜在冲击的意识和理解。黑客和非法用户经常通过各种方法盗用企业机构的信息系统，从相对简单的攻击（如密码猜测）到极为复杂的技术（如社会工程或多层结构攻击）。而实际上，只要企业机构有综合的安全意识和安全技术培训，很多攻击是能够预防或控制的。信息安全生命周期教育和培训方案通过制定和实施包括安全意识培训和技术培训在内的“信息安全生命周期教育和培训方案”，企业机构可以消除或减轻很多安全风险。赛门铁克的“信息安全生命周期教育和培训方案”中的安全意识和行为构成包括：* 提供提示和指导，帮助经理、技术人员和最终用户识别和处理与企业相关的信息安全威胁及易攻击点。* 不仅教人们识别攻击意图和攻击行动，而且教他们及时采取恰当措施告知相应人员（如事件响应小组、安全管理员、管理层等）。* 强调那些对企业机构的信息系统和网络产生不利影响的员工（和承包商）行为。赛门铁克“信息安全生命周期教育和培训方案”的技术安全培训机构提供以下指导：* 评估潜在的安全脆弱点，采取补救性措施提高企业机构的整体安全态度（如：识别个人安全习惯、纠正配置缺陷、消除效力微弱的密码、修补操作系统的易攻击点）。* 对信息安全事件进行检测、评估和响应。* 将新技术引入网络，在安全地配置和维护这项技术的同时保证其运行。培训可能是获得和保持信息安全生命周期的最关键环节。在所有可用的信息安全控制中，培训的投资回报率最大。7 安全控制为什么要安全控制？简而言之事态变了。例如，防火墙管理员定期改变防火墙设置以支持当前的业务需求之后，他们也许忘记或没有时间回过头来关掉这些由于改变配置而打开的口（易攻击点）。防火墙只有在持续不断的维护基础之上才会有效。必须确认您所有的安全配置（在主机、服务器和防火墙上）都得到了理想的维护。或者，也许企业机构中某些关键或敏感系统（如财务、研发、人事、运营等）需要更强的保护，阻止黑客和其他非法入侵者的恶行。任何危及这些关键系统和网络安全的事物都会对企业机构及其业务产生灾难性的影响。所以，这些系统应该得到最高级别的保护。不能简单地认为它们正常安全您必须经常进行检查确认。生命周期管理安全服务赛门铁克 的“生命周期管理安全服务” 确保您的企业机构能够对任何针对内部系统和网络的非法活动进行检测、评估和响应。赛门铁克“生命周期管理安全服务”：* 提供自动化工具和技术来检测可疑的异常现象从配置变化到恶意攻击的证据。* 提醒企业机构注意它们的信息系统中的非法篡改。* 证实组织机构中的信息安全控制的持续有效性。赛门铁克“生命周期管理安全服务” 包括基于主机及基于网络的监控，可以使任何与认定的基准相左的配置迅速被识别并得到改正。同样，这个方案也包括对恶意行动进行检测、报告响应的方式（如入侵检测软件），特别针对有可能危及关键信息系统的恶意行动。赛门铁克“生命周期管理安全服务”与其他信息安全生命周期方案一起提供了“真实世界”的反馈，对信息安全继续提高非常必要。赛门铁克“生命周期管理安全服务”可以验证具体的信息安全方案的效果，并辨别哪些地方应该做进一步改善。赛门铁克“生命周期管理安全服务”包括：管理防火墙服务赛门铁克的防火墙管理可以使企业机构对他们的信息资产的安全放心。客户可以选择多种防火墙管理服务来减少他们信息的风险。这些服务范围包括单一的防火墙管理到企业在全球范围内的防火墙配置管理。管理入侵检测和响应服务入侵检测和响应管理通过监控客户的安全环境，发现可疑的网络活动并检测攻击，提供入侵检测、响应和恢复功能。管理安全策略遵守服务“安全策略遵守管理”使用赛门铁克获奖的ESM（Enterprise Security Manager），依照规定的安全配置，定期检查客户现在的安全策略。这项服务可以帮助企业机构确保他们复杂的计算环境中不出现易攻击点。从而大大降低他们关键的和敏感的信息系统遭受非法活动侵扰的可能性，使他们的电子商务不至于受威胁。管理 Internet 风险评估服务赛门铁克的Internet 风险评估服务是基于订购的服务。它可以定期检测客户向Internet开放的关键系统的安全，如：防火墙、Web服务器、邮件服务器、电子商务服务器、DNS服务器等。这可以确保客户数据的安全，预防非法访问、篡改或盗用。管理企业管理赛门铁克的企业管理服务提供了综合的管理安全服务，专门为企业机构独特的安全需求定制。8 实现事件响应和恢复 关键业务操作，如电子商务、商品服务的生产和递交、人事管理和薪酬管理都依赖于信息技术。对于大多数企业机构来说，生存依赖于信息技术的可用性和完整性。如果由于故障、自然灾害、非法使用或攻击造成这项信息技术不可用，大多数企业机构的利润会迅速受到损失，而且会失去公众的信心。企业机构必须有构思完整的计划对信息安全事件进行响应、控制和恢复。您有计划吗？您培训员工响应了吗？没有计划响应和响应小组，结果会是灾难性的。每天我们都会看到一些新闻说某某公司又成了网站滥用（如胡乱涂写）、网络间谍、黑客攻击、不满者发泄及以前员工攻击等等的牺牲品。事件响应和恢复方案将为您提供有效的方式，检测和恢复这一类安全事件。生命周期事件响应和恢复方案“生命周期事件响应和恢复方案”提供的策略可确保您的企业机构能够对事件或自然灾害进行响应和恢复。尽管很多企业机构都有完备的灾害响应计划，但安全事件发生后，网络和系统业务延续性的集成却经常被忽略。公司经常会出现信息系统配置文档不全、系统备份能力不足的情况，因此，在重大的安全事件发生时，他们的系统恢复十分困难。如果您还不知道您的基准配置应该是什么样，事件评估和恢复过程就非常复杂。或者有些企业机构在他们的系统和网络中安装了入侵检测工具帮助检测和反击威胁，但是他们没有计划或经过培训的指定人员对检测出的入侵进行响应。对这样的事件进行有效响应的能力对于完善的业务发展方案至关重要。赛门铁克的“生命周期事件响应和恢复方案”确保您企业机构