安全策略讲义课件(ppt 61页).ppt

1、第3章 安全策略,3.1 安全策略的功能 3.2 安全策略的类型 3.3 安全策略的使用 小结 习题,安全策略对一个组织来说是十分重要的，是一个组织的信息安全部门能做的最重要的工作之一。它只涉及很少的技术知识，因而很多有专业技能的人似乎对其并不太重视，事实上，安全策略对他们也是非常重要的。 安全策略提供一系列规则，管理和控制系统如何配置，组织的员工应如何在正常的环境下行动，而当发生环境不正常时，应如何反应。安全策略执行两个主要任务。,3.1 安全策略的功能,1. 确定安全的实施 安全策略确定实施什么样的安全，具体内容如下： （1） 安全策略确定恰当的计算机系统和网络的配置及物理安全的措施，以及

2、确定所使用的合理机制以保护信息和系统。 （2） 安全策略不仅确定安全的技术方面，还规定员工应该执行某些和安全相关的责任（例如用户管理），以及员工在使用计算机系统时所要求的行为。 （3） 安全策略还规定当非期望的事情发生时，组织应如何反应。当一个安全事故发生，或系统出故障时，组织的安全策略和安全程序规定其应做的事，以及在事故发生时，该组织的行动目标。,2. 使员工的行动一致 对一个组织来说，确定实施什么样的安全是重要的，然而使每个工作人员行动一致以维护组织的安全也是同样重要的。安全策略为一个组织的员工规定一起工作的框架。组织的安全策略和安全过程规定了安全程序的目标和对象。将这些目标和对象告诉员工

3、，就为安全工作组提供了基础。安全策略的类型一个组织内的安全策略和安全程序有很多种，本节将概述常用的、有效的安全策略和安全程序。在安全策略中，一般包含3个方面：,（1） 目的 一个安全策略和安全程序应该有一个很好定义的目的，其文本应明确说明为什么要制定该策略和程序，及其对该组织有什么好处。 （2） 范围 一个安全策略和安全程序应该有一个适用的范围。例如，一个安全策略可适用于所有计算机和网络系统，一个信息策略可适用于所有员工。 （3） 责任 责任规定谁负责该文本的实施。不管谁负有责任，都必须经过很好的培训，明白文本的各项要求。,信息策略定义一个组织内的敏感信息以及如何保护敏感信息。策略覆盖该组织内

4、的全部敏感信息。每个员工有责任保护所有接触的敏感信息。 识别敏感信息 根据该组织的业务，考虑哪些是敏感信息。敏感信息有可能包括经营业务记录、产品设计、专利信息、公司电话簿等。,3.2 安全策略的类型 3.2.1 信息策略,某些信息对所有组织都是敏感信息，包括工资信息、员工家庭住址和电话号码、医疗保险信息、任何在公开以前的财务信息等。 值得指出的是，对一个组织来说，不是所有信息在所有时间都是敏感的。必须根据安全策略和安全程序很小心地确定什么是敏感信息。 2.信息分类 对大部分组织而言，通常将信息分成二或三级已足够了，具体如下： （1） 最低级别的信息应该是公开的，也就是说，这些信息已为人所知，或

5、能公开发表。,（2） 再上一级的信息是不公开发表的，这些信息称为“私有”、“公司敏感”或“公司秘密”。这类信息对本组织员工是公开的，对某些组织外的人员需签不扩散协议才能得到。如果这些信息被公开或被竞争者得到，就有损于该组织。 （3） 第三类信息称为“限制”或“保护”。这类信息被严格限制在一个组织内的很有限的员工范围内，不能向组织内的全体员工发布，更不能被组织外的人得到。 3.敏感信息标记 对于非公开信息，安全策略应将各类敏感信息清楚地加上标记。如果以纸张的形式出现，应在每页的顶部和底部加标记，用字处理的页首、页脚来实现。通常用醒目的大写或斜体字标记。,4.敏感信息存储 安全策略对存储在纸上或计

6、算机系统中的敏感信息都应有相应的规定。 当信息存储在计算机系统中，安全策略规定相应的保护级别。可以是文件的访问控制，或对某些类型文件用合适的口令保护。极端情况需要加密措施。应该记住，系统管理员能看到计算机系统中的所有文本。如果该敏感信息不应被系统员知道，只有采取加密措施。,5.敏感信息传输 信息策略必须确定如何传输敏感信息。可以用不同方法传输信息，如电子邮件、通过邮局邮寄、传真等。信息策略应对每种传输方法确定保护方法。 对通过电子邮件传送的敏感信息，安全策略应规定对用附件方式的文件或报文头进行加密。对硬拷贝信息的传送，需要签收收据的方式。对传真方式的传送，发送者需要用电话事先通知接收者等候在传

7、真机旁。,6.敏感信息销毁 留在纸上的敏感信息必须有相应的销毁方法。存储在计算机系统中的敏感信息，如果删除得不合适，仍有可能恢复。某些商业程序已有更安全的方法，将敏感信息从介质中擦去。,安全策略规定计算机系统和网络设备安全的技术要求，规定系统或网络管理员应如何配置与安全相关的系统。这个配置也会影响用户。系统和网络管理员应对安全策略的实施负主要责任。 安全策略应定义每个系统实施时的要求，然而它不应规定对不同操作系统的专门配置，这属于专门配置的过程。,3.2.2 系统和网络安全策略,1.用户身份及身份鉴别 安全策略应确定如何识别用户。通常安全策略应规定用于用户ID的标准或定义标准的系统管理过程。

8、更为重要的是，安全策略应确定对系统用户或管理员的基本的鉴别机制。如果机制是口令，则安全策略还应规定最小的口令字长、最长和最短的口令生存期以及口令内容的要求。 当开发安全策略时，每个组织还应决定是对管理员采用相同的机制，还是更强的机制。如果需要更强的机制，安全策略应确定相应的安全要求。更强的机制对诸如VPN或拨号访问这些远程访问也是适用的。,2.访问控制 安全策略应确定对电子文件的访问控制的标准要求，具体如下： （1） 在确定机制时，对计算机上的每个文件，用户定义的访问控制的某些方式应是可用的。这个机制应和身份鉴别机制一起工作，以确保只有授权用户能访问文件。该机制至少应能确定什么样的用户有读、写

9、、执行文件的许可。 （2） 对新文件的默认配置应说明当新文件生成时应如何建立许可。这部分安全策略应对给出的系统中的文件确定读、写、执行的许可。,3.审计 安全策略的审计部分应确定所有系统上需要审计的事件类型。通常安全策略需对下列事件进行审计：成功或失败的登录、退出系统、对文件或系统的访问失败、成功或失败的远程访问、特权操作（由管理员操作，成功或失败）、系统事件（关机或重启）。 对每个事件应捕获下列信息：用户ID、日期和时间、进程ID、执行的动作、事件的成功或失败。 安全策略应说明审计记录应保存多久以及如何存放。如有可能，安全策略还应确定如何检查审计记录以及检查的时间间隔。,4.网络连接 对每一

10、种接到组织网络的连接形式，安全策略应说明连接的规则以及保护机制。 对拨号连接，应说明对这类连接技术的鉴别要求。该要求应指回到策略的身份鉴别这一部分。也可能描述一个比通常使用的更强的身份鉴别。 此外，安全策略应确定开始得到拨号访问的身份鉴别要求。对一个组织来说，应严格控制允许多少个拨号访问点，因此应公平地限制身份鉴别的要求。,一个组织的固定网络连接是由某些类型的固定通信线路接入的。安全策略应确定用于这些连接的安全设备类型。通常防火墙是合适的设备。仅仅说明设备类型并不意味着说明了相应的保护级别。安全策略应定义一个设备的基本网络访问控制策略以及请求和得到访问的过程。这些在标准的配置中是没有的。 对内

11、部系统的远程访问是组织允许员工在外出时从外部访问内部系统。安全策略应说明这类访问所采用的机制。对这类访问，所有的通信应加密保护，并在加密部分说明密码类型。因为访问来自外部，应确定一个强的身份鉴别机制。 安全策略还应对允许员工得到这类访问的授权建立一个正确的过程。,5.恶意代码 安全策略应确定搜索恶意代码（如病毒、特洛伊木马）的安全程序的存放位置。合适的位置包括文件服务器、桌面系统以及电子邮件服务器等。 安全策略应说明这些安全程序的要求，包括检查专门的文件系统的安全程序要求以及当这些文件打开时检查这些文件。策略还应要求对安全程序周期地更新签名。,6.加密 安全策略应确定使用在组织内的可接受的加密

12、算法，在信息策略中指出保护敏感信息的相应算法。安全策略不限制仅仅选择一种算法。安全策略还应说明密钥管理需要的过程。,计算机用户策略规定了谁可以使用计算机系统以及使用计算机系统的规则。 1.计算机所有权 策略应清楚地说明所有计算机属于本组织，并且提供给员工在组织内用于工作相一致的用途。策略也可能禁止使用非组织的计算机用于组织的经营业务。例如，员工希望在家里做某些工作，组织将为其提供计算机，但只有组织提供的计算机可通过远程访问系统接到组织内部的计算机系统。,3.2.3 计算机用户策略,2.信息所有权 策略应规定所有存储并用于组织内的计算机的信息属于组织所有。某些员工可能使用组织的计算机存储个人信息

13、，如果策略没有特殊说明，则个人信息可分开存在私人目录下，并且非公开的。 3.计算机的使用许可 大部分组织期望员工只使用组织提供的计算机，用于和工作有关的目的。但这不总是一个很好的假定。因此在策略中要明确说明。 有时，组织允许员工为了其他目的使用组织的计算机。如果是这样，应在策略中清楚说明。 使用组织提供的计算机还影响到什么软件加载到系统。规定非授权软件不允许装入系统。策略应规定谁可以装载授权软件以及怎样成为合法软件。,4.没有私隐的要求 计算机用户策略中最重要的部分或许是规定在任何组织的计算机存储、读出、接收的信息都没有隐私。这对员工是十分重要的，他们应了解任何信息有可能被管理员检查，包括电子

14、邮件。也就是说，使员工了解管理员或安全职员可能监视所有和计算机相关的动作，包括监视Web站点。,Internet使用策略经常包括在通用计算机使用策略中。然而，由于Internet的特殊性，有时将它作为单独的策略。Internet的接入可以提高员工的工作效率。但Internet也给员工提供了一个滥用计算机资源的机会。 Internet使用策略规定了如何合理地使用Internet，诸如和业务有关的研究、采购，或使用电子邮件通信等；确定哪些是非正当使用，诸如访问和业务无关的Web站点、下载有版权的软件、音乐文件的交易、发送连锁邮件等。,3.2.4 Internet使用策略,假如该策略是从计算机用户策

15、略分离出来的，它应说明组织有可能监视员工对Internet的使用，当员工使用Internet时，没有隐私的问题。,有些组织为电子邮件的使用开发了专门的策略。电子邮件正越来越多地用于组织的业务处理。电子邮件是使组织的敏感信息毫无价值的另一种方法。当一个组织选择定义电子邮件策略时，应考虑到内外两方面的问题。,3.2.5 邮件策略,1.内部邮件问题 电子邮件策略不应和其他的人力资源策略相冲突。例如，电子邮件策略应规定禁止利用电子邮件进行性骚扰；又如，规定在电子邮件中不用非正式用语和同伴通信。 如果组织要对电子邮件的某些关键字或附件进行监控，则策略应说明这类监控可能发生。策略还应对员工说明不能期望在电

16、子邮件中有隐私。,2.外部邮件问题 电子邮件可能包含一些敏感信息。邮件策略说明在什么条件下是可以接受的，并且在信息策略中指出该类信息应如何保护。也可能在外部邮件的底部指出相应的信息必须保护。 邮件策略还应识别进入的电子邮件问题。例如，很多组织测试进入的文件附件是否有病毒。该策略应指向组织的安全策略关于相应的病毒配置问题。,用户管理程序是最容易被组织忽视的安全程序，因而提供了最大风险的可能。保护系统不被非授权者使用的安全机制是一个很好的事情，但是如计算机系统的使用没有合适的管理也将使其完全无用。 1.新员工程序 应为新员工提供一个正确访问计算机资源的程序。应该由人力资源部门和系统管理员协同工作。

17、理想的状况是新员工请求使用计算机资源，该新员工的管理者签发批准，然后系统管理员将为该新员工提供合适的系统和文件的访问。这个程序也应用于新的顾问和临时员工，并标明相应的有效期。,3.2.6 用户管理程序,2.工作调动的员工程序 对工作调动的员工也应开发一个专门的程序。这个程序的开发由人力资源和系统管理部门协助。员工原来的管理和新管理者应确定换到新岗位上的员工已经不需要原来的访问或者需要新的访问。相应的系统管理员依此进行变更。 3.离职员工的程序 最重要的用户管理程序是将离职的员工从系统中除去。该程序也需人力资源和系统管理部门协助。当人力资源部认定一个员工离职，将提前通知相应的系统管理员，这样当该

18、员工在职的最后一天就可将其账户停止。,系统管理程序是确定安全和系统管理如何配合工作以使组织的系统安全。系统管理程序应确定各种和安全相关的系统管理如何完成。当谈及系统管理员监控网络的能力时，该程序应由计算机用户策略确定，并反映组织期望系统如何管理。 1.软件更新 该程序应确定一个系统管理员多长时间检查新的补丁或从厂家升级。希望这些新的补丁不是当出现时刚刚安装，这样在补丁安装之前就规定测试。 最后，当这样的升级发生时（通常在维护窗口）该程序应做文档，当升级失败时放弃程序。,3.2.7 系统管理程序,2.漏洞扫描 每个组织应开发一个识别计算机系统漏洞的程序。通常由安全方面扫描漏洞，由系统管理做补丁。

19、已有一些商业的和免费使用的扫描工具。 程序应确定多长间隔需进行扫描。扫描的结果应传给系统管理来纠错和执行。 3.策略检查 组织的安全策略确定每个系统的安全要求。定期的外部或内部审计用来检查是否和策略一致。在审计时，安全应和系统管理一起工作以检查系统的一致。可以用自动的工具，也可以用手动进行。,4.登录检查 来自各种系统的登录应定期检查。可以和安全员一起以自动方式检查这些登录。 如采用自动工具，程序应规定工具的配置以及希望它如何处理。如采用手动方式，程序应规定多长间隔检查登录文件以及事件类型等。 5.常规监控 一个组织应该有一个程序归档说明何时网络通信监控发生。有些组织可能选择连续执行这种类型的

20、监控，有些则选择随机监控。无论如何，总应进行监控，且归档。,当计算机事故发生时，事故响应程序确定该组织将如何作出反应。根据事故的不同，事故响应程序应确定谁有权处理，以及应该做什么，但无须说明如何做。后者将留给处理事故的人决定。 1.事故处理目标 当处理事故时，事故响应程序应确定该组织的目标，包括保护组织的系统、保护组织的信息、恢复运行、起诉肇事者、减少坏的宣传等。 这些目标不是惟一的，可以有多个目标。关键是要在事故发生前确定组织的目标。,3.2.8 事故响应程序,2.事件识别 识别一个事故或许是事故响应中最困难的一部分。某些事故是显而易见的，如Web站点的外貌被损坏。有些事故可能是由于入侵攻击

21、或用户的误操作，如数据文件的丢失。 在公布事故以前，应由系统管理员做某些检查，以决定事故是否确实发生了。这部分程序能确定某些事件是显而易见的事故。而某些不是显而易见的事故，管理员应确定检查的步骤。 在得到决定事故的更多信息后，应组织一个事故响应组，应包括以下部门：安全、系统管理、法律、人力资源、公共关系等。,3.信息控制 在发布事故消息时，组织要控制应发布什么样的信息。有多少信息需发布取决于该事故对组织及其客户的影响程度。信息发布的方式、方法也应考虑对组织的正面效应。 4.响应 一个组织对事故流的响应直接取决于事故响应程序的目标。例如，保护系统和信息是目标，那么将系统从网络中移走，并进行必要的

22、修复。另一种情况可能是保持系统在网上的在线状态以及继续服务或允许入侵者再回来，这样可对入侵者跟踪并设置陷阱。,5.授权 事故响应的一个重要部分是决定事故响应组的负责人，授权采取行动，包括确定系统是否要离线，以及和客户、新闻机构、律师部门联系等。通常选择一个组织的官员来担任，他可以是事故响应组的成员，也可以是顾问。负责人在事故响应程序开发时就要作出决定，而不是事故发生时决定。 6.文档 事故响应程序应该规定事故响应组建立其行动档案。有两个好处，其一是有助于事故过后了解所发生的事件全过程；其二是如果要起诉，则有助于法律实施，对事故响应组也可作为一本参考手册，有助于他们处理事故。,7.程序的测试 事

23、故响应是很实际的，不能期望第一次使用事故响应程序，每一件事都很完美。因此当开发完事故响应程序后，应广泛征求意见，找出其不足之处并改进。 事故响应程序还需在现实世界中测试，可以做一些模拟攻击，并观察其响应效果。这些测试可事先公布，也可不公布。,配置管理程序规定修改组织的计算机系统状态的步骤。该程序的目的是确定合适的变化不会对安全事故的识别产生不好的影响。因此新的配置要从安全的角度予以检查。 1.系统的初始状态 对于一个新的系统，它的状态应有文档，包括操作系统及其版本、补丁水平、应用程序及其版本。 2.变更的控制程序 当系统变更时，应执行配置控制程序。该程序应在变更实施前对计划的变更进行测试。当提

24、出变更请求时，应将变更前后的程序存档。在变更以后，应更新系统配置以反映系统的新的状态。,3.2.9 配置管理程序,对生成新系统或能力的项目应有一个设计方法，以提供该组织生成新的系统的步骤。在设计之初就要考虑和安全有关的问题，使最后完成的系统能和安全问题相一致。设计过程中，与安全相关的步骤如下： （1） 需求定义 在任何一个项目的需求定义阶段，应将安全需求列入。设计方法应指出组织的安全策略和信息策略的要求。特别是要确定敏感信息和关键信息的要求。,3.2.10 设计方法,（2） 设计 在项目的设计阶段，设计方法应确保项目是安全的。安全人员应成为设计组成员或作为项目设计审查人员。在设计中对不能满足安

25、全要求之处应特别指出，并予以妥善解决。 （3） 测试 当项目进入测试阶段，应同时进行安全测试。安全人员应协助编写测试计划。安全要求有可能难以测试，例如，难以测试以确定入侵者不可能看到敏感信息。 （4） 实施 项目实施阶段同样有安全要求。实施组应使用合适的配置管理程序。在新系统成为产品以前，安全人员应检查系统的漏洞和合适的安全策略规则。,每个组织都应有一个灾难恢复计划。然而，很多组织却没有，因为他们认为灾难恢复计划要花很多钱，需要建立一个热备站，配置场地和必要的设备，以便随时接替运行。事实上，灾难恢复计划并不一定需要这样的热备站，可以是很简单的一些措施。只有当很多甚至全部计算机系统不可用，要决定

26、该组织如何继续运行时，才会比较复杂。 一个恰当的灾难恢复计划应考虑各种故障的级别：单个系统、数据中心、整个系统。,3.2.11 灾难恢复计划,1.单个系统或设备故障 单个系统或设备故障包括盘、主板、网络接口卡、元件的故障。作为灾难恢复计划的一部分，应该检查组织的环境以识别任何单个系统或设备故障的影响。对每个故障，应在可允许的时间内修复并恢复运行。“可允许的时间”是根据对系统的关键程度以及解决方案所花的费用而定。 不论什么样的解决方案，灾难恢复计划必须能修复故障，使系统继续运行。灾难恢复计划必须和组织的运行部门结合，使他们知道应采取什么步骤恢复系统运行。,2.数据中心事件 灾难恢复计划还为数据中

27、心的主要事件提供一个程序。例如，发生火灾，数据中心不能使用，应采取什么步骤重新恢复其能力。其中必须解决的一个问题是有可能丢失设备，灾难恢复计划应包括如何得到备用的设备。 假如数据中心不能用了，但仍有一些设备完好，灾难恢复计划应考虑如何添加新的设备以及如何重建通信线路。热备站是一种解决方案，但费钱。如果没有热备站，灾难恢复计划应确定其他可能的场地，重新建造计算机系统。,3.场地破坏事件 场地破坏事件是灾难恢复计划通常需要考虑的一类事件。虽然这类事件发生的概率较小，但对一个组织的危害极大。对每类事件，组织的每个部门都应参与。第一步是识别必须重建的关键能力，以使该组织继续生存。如果是一个电子商务站点

28、，则最关键的系统可能是计算机系统和网络。如果是生产产品的工厂，则制造部门是关键，它的优先度高于计算机系统。,4.灾难恢复计划的测试 灾难恢复计划是一个十分复杂的文档，通常不是一次写成就立即成功，因此需要测试。测试的必要性不仅在于检验其正确性，而且在于检查其是否处于备用状态。 灾难恢复计划的测试可能十分昂贵且有破坏作用。所以一个组织通常指定一些关键员工定期地对灾难恢复计划进行巡视，而且每年进行一次全面的测试。,安全策略的生成分成以下几步。 1.确定重要的策略 对一个组织而言，并非需要所有有关安全的策略，而应确定哪些安全策略对该组织是重要的。这取决于该组织的业务性质。 安全人员应该识别什么是最重要

29、的安全策略，并与系统管理员、人力资源部门、咨询办公室协作，以确定哪些策略是最重要的。,3.3 安全策略的使用 3.3.1 安全策略的生成,2.确定可接受的行为 某些员工的行为是可接受的，某些却是不可接受的，这取决于该组织的文化。例如,某些组织允许所有员工在Internet上冲浪，而没有任何限制。组织的文化使员工及管理者相信这样做能很好完成他们的任务。而另一个组织却对员工访问Internet有严格的限制，甚至限制从某些不可接受的Web站点下载软件。 这两个组织的策略完全不同。事实上，第一个组织决定根本无须实施Internet使用策略。对安全专业人员来说应该知道不是所有策略对所有组织都是适用的。安

30、全专业人员在为一个组织草拟安全策略以前应花一些时间去了解该组织的文化以及员工的期望。,3.征求建议 闭门生成安全策略是很少能成功的。安全专业人员在制定策略时应寻求组织的其他部门的帮助。应该征求组织的总顾问以及人力资源部门的建议，此外，系统管理员、计算机系统用户以及物理安全部门的建议也是重要的。 一般来讲，凡是与实施策略有影响的人都应参与策略的制定过程，这样他们将了解什么是所期望的。,4.策略的开发 首先拟出一个好的纲要，可以参考一些手册，如RFC2196场地安全手册提供了各种策略的纲要。 根据纲要逐节草拟策略文档。在草拟过程中，还要不断听取上述有关人员的意见和建议。 在策略文档完成后，提交管理

31、部门批准和实施。,安全策略的生成相对来说较容易，因为只需组织少部分人介入。但要有效地部署和实施，需要全体人员介入。 1.贯彻 安全策略对每个部门都有影响，必须在各部门贯彻。由于在策略生成时，已征得各部门管理者的意见。这些管理者的介入大大有助于安全策略在各个部门的贯彻。这远比最高层领导强调安全策略的重要性、强调应予以贯彻更有效。,3.3.2 安全策略的部署,2.培训教育 因为安全策略对组织的全体员工都有影响，所以安全专业人员必须负责对员工进行安全教育，人力资源部门和培训部门要协助进行。特别重要的是，当某些安全策略改变时会影响到全体员工，例如，如需更改口令，必须事先告知全体员工，否则会造成一时混乱

32、。有时这种更改采用平滑过渡的方法更合适。 3.执行 有时安全环境的突然改变会产生相反的效果，所以采取很好的计划和平滑过渡会更好。安全工作要与系统管理部门和其他有影响的部门密切配合，使执行更有效。,1.新的系统及项目 一个新的系统及项目启动时，就应同时进行安全策略的程序设计。也就是说，将安全作为新系统和项目的设计的组成部分，使得安全要求在设计之初就能被识别和实施。 如果新系统不能满足安全要求，该组织就要知道存在的风险，并提供某些机制来管理存在的风险。,3.3.3 安全策略的有效使用,2.已有的系统及项目 当一个新的安全策略被批准后，应该检查每个已有的系统，看其是否和新的安全策略相符合。如果不符合，确定是否可采取措施来遵守新的策略。应该和系统管理员以及使用该系统的部门一起工作，使安全作相应的变更。这可能需要做一些开发工作，不能立即改变，会有一定的延迟。应在经费和系统设计限制条件下，和系统管理员及有关部门密切配合，及时地完成变更。,3.审计 很多组织内部的审计部门，定期地审计系统看其是否遵守安全策略。安全部门应及时将新的安全策略通知给审计部门，并配合他们工作，