如何制定信息安全策略中国科技网网络中心安全部郑勇涛CISSP大纲1.简介2.制定策略的流程3.编写安全策略4.策略的实施与维护1.简介问题网站屡屡被攻击,怎么防范我不知道该怎么做,你告诉我怎么做网络泄密了,谁来承担责任领导不重视,工作难做制定安全策略的重要性合规性要求保护IT资产责任分解增强安全意识指导信息安全工作实施保证安全的一致性什么是信息安全策略策略:管理者正式发布的总的宗旨和方向。(GB/T22081)IT安全策略:在某一组织特别是其信息技术系统中,管理、保护和分发信息技术资产的各种规则、指令和惯例。(信息安全技术术语)安全策略:用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。(信息安全技术术语)安全策略:是一种处理安全问题管理策略的描述。策略需要对每一个安全主题进行描述,探讨其必要性和重要性,解释清楚什么该做,什么不该做。(审查认证指导手册)安全策略的种类规章性策略遵守特定行业标准和法律;建议性策略强烈推荐采取的行为和活动;指示性策略告知性内容,教育个及相关特定问题人;2.制定策略的流程管理层批准组织人员和资源确定目标和范围分析需求确定内容组织编写审查或评审管理层批准策略执行是策略开发过程自上而下开发Top-down从目标战略逐一细化自下而上开发Bottom-up从具体业务需求出发制定具体策略分析安全策略需求合规性需求法律法规要求合同要求业务要求组织内部需求审查或评审、批准、执行和修订审查或评审:保证正确性和一致性批准:法人或管理层权威保证执行:培训、教育宣贯到个人修订:持续改进3.策略编写-安全策略文档大纲1.引言或概述1.1目标1.2适用范围1.3策略依据2.组织机构及职责2.1网络管理员职责2.2网络安全保密员职责2.3网络安全审计员职责3.技术要求策略4.管理要求策略5.管理及风险评估4.1资产识别4.2威胁识别4.3风险评估6.奖惩措施7.附则7.1发布生效时间7.2解释及修订7.3术语及缩略语7.4修订历史策略目标保护什么,怎么保护,保护到什么程度例:XX安全总体目标是保护本单位计算机和信息系统的硬件、软件、业务信息和数据等资源的安全,有效防范各类计算机安全事件,合法合规运维本单位计算机和信息系统,确保计算机和信息系统安全稳定高效提供服务,保证业务有效可靠的连续运行。策略范围组织边界,人员边界,系统边界例:本策略适用于XX研究所的全体职工。XX信息安全的范围包括XX。XX不在XX信息安全保障范围内。参考的法规及标准《信息安全技术信息系统安全等级保护基本要求》(GB/T22019-2008)《信息安全技术信息系统安全保护等级定级指南》(GB/T22020-2008)《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)《信息安全技术信息安全风险管理指南》(GB/T24364-2009)……《涉及国家秘密的计算机信息系统分级保护技术要求》(BMB17-2006)《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007)《武器装备科研生产单位保密资格审查认证管理办法》(2008)……总体方针统筹规划,规范实施等级保护,增强保障风险管理,适度安全分层分域,纵深防御技术管理,相互补充我国信息安全指导原则:积极防御,综合防范立足国情,适度安全安全策略内容技术管理策略信息安全策略运行安全策略物理安全策略环境安全策略设备安全策略介质安全策略备份与恢复策略计算机病毒与恶意代码防护策略应急响应策略运行管理策略密码保护策略身份鉴别策略访问控制策略边界安全防护策略安全审计策略数据库安全策略操作系统安全策略合规且具有操作性例:身份鉴别策略应对登录操作系统和数据库系统的用户进行身份标识和鉴别;身份标识应具有不易被冒用的特点,口令应具有复杂度要求并定期更换;对于重要计算机应采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。XX研究所采用USBKey方式增强认证,身份标识符由信息中心统一生成,并与终端审计软件相关联。登录操作系统和应用系统时应当进行身份鉴别。用户身份鉴别成功后,当空闲操作时间超过规定值10分钟,应当重新进行身份鉴别。用户身份鉴别尝试失败次数达到5次应当进行登录锁定,同时形成审计事件并告警。策略详细的粒度例:安全审计策略计算机应开启事件日志,记录策略更改、登录事件、系统事件、帐户登录事件和帐户管理成功和失败事件。终端审计软件应记录违规外联、移动存储设备使用、打印和光盘刻录事件。策略的可审计性例:计算机病毒与恶意代码防护策略XX研究所互联网计算机采用网络版杀毒软件,定期更新病毒库特征。不联网计算机采用安装国产杀毒软件单机版,并定期更新。XX研究所互联网计算机采用瑞星网络版杀毒软件,杀毒软件服务器每2个小时更新一次,客户端每天更新一次。XX研究所计算机单机使用瑞星杀毒软件单机版,由信息化部门负责病毒特征库光盘制作,每15天升级1次。每周定期全盘查杀病毒,对不能查杀的病毒及时上报信息化部门。安全策略开发的成功经验管理层重视引之有据,参照相应标准与现有的规章制度和操作规范相结合把握好策略粒度多方参与4.策略的执行策略的发布法人或管理层批准发布宣贯和培训配备人员选择相应措施策略的更新例:应当依据环境、系统和威胁变化负责组织每年调整更新策略,下列情况除外:物理环境发生重大改变;软硬件结构发生较大变化;出现新的信息安全威胁。策略的培训教育非正式教育方式邮件提醒讨论电子公告屏保鼠标垫杯子胶贴物谢谢倾听关于CSTCERT中国科技网网络安全应急小组(CSTCERT)职责:网络安全事件响应处理与协调网络安全检测网络安全技术支持-58812935(工作日8:00-17:00)58812000(非工作日值班电话)Email:cert@cstnet.cn郑勇涛zhengyongtao@cstnet.cn