搜索
信息安全策略研究TheResearchonInformationSecurityPolicy山东科飞管理咨询公司吴昌伦王毅刚关键字:信息安全信息管理信息安全管理信息安全策略摘要:在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨,提供了一个成文的《Email安全策略》,并对信息安全策略的优劣评价考虑的因素提供了参考。随着社会信息化的深入和竞争的日益激烈,信息对组织的运作和发展所起到的作用越来越大,信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就,其中两个观点被本文所接受,作为本文所讨论问题的基点。一个是信息安全问题不仅仅是保密问题,信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,其终极目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面(历史、文化、道德、法律、管理、技术等)的一个综合性问题,单纯从技术角度考虑是不可能得到很好解决的。我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体,如何确定自己的对策来解决信息安全这个复杂的课题呢?一、组织应该有一个完整的信息安全策略信息安全策略(InformationSecurityPolicies)也叫信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的原则,它告诉组织成员在日常的工作中什么是可以做的,什么是必须做的,什么是不能做的,哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。如果问什么是一个好的安全策略,不是很好回答,但是可以肯定的说没有一个统一一致的信息安全策略是最差的策略。如果组织中没有关于信息安全问题的一个策略,组织的成员在使用信息或者处理信息安全问题时候缺乏正面的引导,很容易造成信息的滥用,也容易被用心不良的人钻空子,我们可以通过下面一个例子来理解这种情况。某建筑设计院在所在城市小有名气,共有工作人员二十五人,每人一台计算机,Windows98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:小偷顺着一楼的防护栏潜入办公室偷走了……保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销……某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找到自己需要的文件。大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。……这些不是发生过并发生着么?这还没有提及蓄谋的情况,也没有提及98年洪水或者911事件这样的灾难情况下会是什么样子。这些现象的直接原因并不复杂,所产生的后果可小可大。作为一个置身于激烈竞争环境下的现代组织,其所面临或者将要面临的情况要复杂得多,或者其组织本身就复杂得多,如何在这种背景下解决信息安全问题呢?笔者认为组织要做好信息安全工作,首要任务是要表明组织在信息安全问题上的基本态度,实践证明信息安全策略是表达这种态度的一个好途径。一个详尽的专业化的信息全策略可以避免上面所提到的很多问题的发生。二、怎样才算一个成功的信息安全策略因为组织的性质、规模、环境各不相同,要彻底的回答这个问题几乎是不可能的。但是我们也不是无章可循的,从理论上来考察,一个好的策略体系应该保障组织的信息资产的机密性、可用性、完整性不被破坏;从实践角度,我们可以试着对信息安全策略的组成部分和主要内容进行一下描述,并对策略整体的比较总结出一些衡量指标,便于我们制定选择更好的策略。(一)一个正式的信息安全策略应该包括下列信息:适用范围:包括人员和时间上的范围,例如“平等的适用于所有雇员,本规定适用于工作时间和非工作时间”,消除本该受到约束的员工产生自己是个例外的想法,也保证策略不至于被误解为是针对某个人的。目标:例如“为确保公司的技术、经营秘密不流失,维护企业的经济利益,根据国家有关法规,结合企业实际,特制定本条例。”明确了信息安全保护对公司是有重要意义的,而不是毫无意义和不必要的,是与国家法律相一致的而不是不受法律保护的。主题明确的策略可能有更明确的目标,例如防病毒策略的目标可以是:“为了正确执行对计算机病毒、蠕虫、特洛伊木马的预防、侦测和清除过程,特制定本策略”。策略主体,详细内容见(二)。策略签署。信息安全策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或者执行总裁,也可能是部门的主管,但是签署人的管理地位不能太低,否则会有执行的难度,如果遭到某高层主管抵制常会导致策略流产。高层主管的签署也表明信息安全不仅是信息安全部门的事情,而是和整个组织所有成员都密切相关的事情。策略的生效时间和有效期(或者重新评审时间)。旧策略的更新和过时策略的废除是很重要的,应该保持生效的策略中包含新的安全要求。重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:管理体系发生很大变化相关法律法规发生了变化信息系统或者信息技术发生大的变化组织发生了重大的安全事故与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改的时候经常涉及到相关策略的修改,清楚的引用关系也可以节省查找时间。策略解释、疑问响应的人员或者部门。经验表明由于工作环境不同、知识背景不同、措辞等原因可能导致误解、歧义,应该有一个权威的解释人员或者解释结构。一些例外情况的处理途径。策略如果不允许例外情况可能会变得很死板,策略中应该说明特殊情况的安全通道。违反规定的后果和维护信息安全的奖励:例如规定“……将给予开除处分”,简明扼要,一句话就表明了违反该规定的人会受到什么惩罚。策略的格式可以根据组织的惯例自行选择,所列举的项目也可以做适当的增删,例如还可以在策略的开头部分加上一个关于策略的简短说明;策略评审的时机和例外情况的处理等内容不一定每个策略都有,整个组织可以对这些内容只做一个总括性的说明(例如作为《信息安全策略手册》的通用说明出现是个好的做法)。下图是某公司的Email安全策略的部分内容,供大家参考。某公司电子邮件策略发布部门科技信息部生效时间年月日批准人编号XISMS-P-55介绍制定这个策略是为了让每位员知晓在Email的过程中好的操作方法,明确Email使用过程中的责任。目标为了建立某公司的Email使用规则,保证Email的合理发送、收取和存储。适用范围该Email策略平等的适用于某公司能够通过Email发送、收取和存储信息的所有职员。术语定义略电子邮件策略下列行为是策略所禁止的发送或者转发与工作业务无关的个人信息;发送或者转发虚假、黄色、反动信息;发送或者转发宣扬个人政治倾向或者宗教信仰;发送或者转发发送垃圾信息;发送或者转发能够引起连锁发送的恐吓、祝贺等信息;Email大小超过限制;发送口令、密钥、信用卡等的敏感信息;用个人信息处理设备收发公司内部Email;用公司外部账号发送、转发、收取公司敏感信息;在非授权情况下以公司的名义发表个人意见;发送或者转发可能有计算机病毒的信息;使用非授权的电子邮件收发软件;……下列行为是策略所要求的每位员工都有一个Email账号,账号密码必须符合XISMS-P-56《口令策略》;用Email经过外部网络发送机密信息必须经过加密,加密必须符合XISMS-P-34《加密策略》;发送Email必须有清楚的主题;Email在的处理和存储必须符合XISMS-P-02《信息的分类、标识和存储策略》;……管理授权公司有权对职员的Email进行监视和记录;公司有权对Email的内容进行存储备份以用于法律目的;Email附件的加密及加密方法应该获得公司的批准,密码需要在公司备案;……惩罚违背这个策略,根据情节轻重处以罚款、降级、开除等处罚,违背法律法规的诉诸法律程序追究法律责任。引用标准XISMS-P-02《信息的分类、标识和存储策略》XISMS-P-21《口令策略》XISMS-P-34《加密策略》……发布时间:年月日第页,共页(二)信息安全策略的主体内容信息安全策略通常不是一篇文档,根据组织的复杂程度还可能分成几个层次,其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的,提供足够的信息,保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的,是适用于哪些信息资产和处理过程的。例如“绝密级的技术、经营战略,只限于主管部门总经理或副总经理批准的直接需要的科室和人员使用,……,使用科室和人员必须做好使用过程的保密工作,而且必须办理登记手续。”使每一位职员都明确组织对他授予了什么权利,以及对信息资源所负的责任。通常一个组织可能会考虑开发下列主题的信息安全策略:1.环境和设备的安全2.信息资产的分级和人员责任3.安全事故的报告与响应4.第三方访问的安全性5.委外处理系统的安全6.人员的任用、培训和职责7.系统策划、验收、使用和维护的安全要求8.信息与软件交换的安全9.计算级和网络的访问控制和审核10.远程工作的安全11.加密技术控制12.备份、灾难恢复和可持续发展的要求13.符合法律法规和技术指标的要求也可以划分更细一些,例如账号管理策略、便携式计算机使用策略、口令管理策略、防病毒策略、软件控制策略、Email使用策略、Internet访问控制策略等。每一种主题可以借鉴相关的标准和惯例,例如环境和设备安全可以参考的国家标准有:GB50174-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》等(当然这些标准制定的时间比较早,组织需要根据自己的情况判断吸收,一些信息安全要求比较高的组织可能在很多方面要超过这些标准的要求,对于大型组织也可以参考这些项目自己开发相应的标准)。(三)要衡量一个信息安全策略整体优劣可以考虑的因素包括:目的性:策略是为组织完成自己的使命而制定的,策略应该反映组织的整体利益和可持续发展的要求;适用性:策略应该反映组织的真实环境,反映但前信息安全的发展水平;可行性:策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策