第3章安全策略3.1安全策略的功能3.2安全策略的类型3.3安全策略的使用小结习题安全策略对一个组织来说是十分重要的,是一个组织的信息安全部门能做的最重要的工作之一。它只涉及很少的技术知识,因而很多有专业技能的人似乎对其并不太重视,事实上,安全策略对他们也是非常重要的。安全策略提供一系列规则,管理和控制系统如何配置,组织的员工应如何在正常的环境下行动,而当发生环境不正常时,应如何反应。安全策略执行两个主要任务。3.1安全策略的功能1.确定安全的实施安全策略确定实施什么样的安全,具体内容如下:(1)安全策略确定恰当的计算机系统和网络的配置及物理安全的措施,以及确定所使用的合理机制以保护信息和系统。(2)安全策略不仅确定安全的技术方面,还规定员工应该执行某些和安全相关的责任(例如用户管理),以及员工在使用计算机系统时所要求的行为。(3)安全策略还规定当非期望的事情发生时,组织应如何反应。当一个安全事故发生,或系统出故障时,组织的安全策略和安全程序规定其应做的事,以及在事故发生时,该组织的行动目标。2.使员工的行动一致对一个组织来说,确定实施什么样的安全是重要的,然而使每个工作人员行动一致以维护组织的安全也是同样重要的。安全策略为一个组织的员工规定一起工作的框架。组织的安全策略和安全过程规定了安全程序的目标和对象。将这些目标和对象告诉员工,就为安全工作组提供了基础。安全策略的类型一个组织内的安全策略和安全程序有很多种,本节将概述常用的、有效的安全策略和安全程序。在安全策略中,一般包含3个方面:(1)目的一个安全策略和安全程序应该有一个很好定义的目的,其文本应明确说明为什么要制定该策略和程序,及其对该组织有什么好处。(2)范围一个安全策略和安全程序应该有一个适用的范围。例如,一个安全策略可适用于所有计算机和网络系统,一个信息策略可适用于所有员工。(3)责任责任规定谁负责该文本的实施。不管谁负有责任,都必须经过很好的培训,明白文本的各项要求。信息策略定义一个组织内的敏感信息以及如何保护敏感信息。策略覆盖该组织内的全部敏感信息。每个员工有责任保护所有接触的敏感信息。1.识别敏感信息根据该组织的业务,考虑哪些是敏感信息。敏感信息有可能包括经营业务记录、产品设计、专利信息、公司电话簿等。3.2安全策略的类型3.2.1信息策略某些信息对所有组织都是敏感信息,包括工资信息、员工家庭住址和电话号码、医疗保险信息、任何在公开以前的财务信息等。值得指出的是,对一个组织来说,不是所有信息在所有时间都是敏感的。必须根据安全策略和安全程序很小心地确定什么是敏感信息。2.信息分类对大部分组织而言,通常将信息分成二或三级已足够了,具体如下:(1)最低级别的信息应该是公开的,也就是说,这些信息已为人所知,或能公开发表。(2)再上一级的信息是不公开发表的,这些信息称为“私有”、“公司敏感”或“公司秘密”。这类信息对本组织员工是公开的,对某些组织外的人员需签不扩散协议才能得到。如果这些信息被公开或被竞争者得到,就有损于该组织。(3)第三类信息称为“限制”或“保护”。这类信息被严格限制在一个组织内的很有限的员工范围内,不能向组织内的全体员工发布,更不能被组织外的人得到。3.敏感信息标记对于非公开信息,安全策略应将各类敏感信息清楚地加上标记。如果以纸张的形式出现,应在每页的顶部和底部加标记,用字处理的页首、页脚来实现。通常用醒目的大写或斜体字标记。4.敏感信息存储安全策略对存储在纸上或计算机系统中的敏感信息都应有相应的规定。当信息存储在计算机系统中,安全策略规定相应的保护级别。可以是文件的访问控制,或对某些类型文件用合适的口令保护。极端情况需要加密措施。应该记住,系统管理员能看到计算机系统中的所有文本。如果该敏感信息不应被系统员知道,只有采取加密措施。5.敏感信息传输信息策略必须确定如何传输敏感信息。可以用不同方法传输信息,如电子邮件、通过邮局邮寄、传真等。信息策略应对每种传输方法确定保护方法。对通过电子邮件传送的敏感信息,安全策略应规定对用附件方式的文件或报文头进行加密。对硬拷贝信息的传送,需要签收收据的方式。对传真方式的传送,发送者需要用电话事先通知接收者等候在传真机旁。6.敏感信息销毁留在纸上的敏感信息必须有相应的销毁方法。存储在计算机系统中的敏感信息,如果删除得不合适,仍有可能恢复。某些商业程序已有更安全的方法,将敏感信息从介质中擦去。安全策略规定计算机系统和网络设备安全的技术要求,规定系统或网络管理员应如何配置与安全相关的系统。这个配置也会影响用户。系统和网络管理员应对安全策略的实施负主要责任。安全策略应定义每个系统实施时的要求,然而它不应规定对不同操作系统的专门配置,这属于专门配置的过程。3.2.2系统和网络安全策略1.用户身份及身份鉴别安全策略应确定如何识别用户。通常安全策略应规定用于用户ID的标准或定义标准的系统管理过程。更为重要的是,安全策略应确定对系统用户或管理员的基本的鉴别机制。如果机制是口令,则安全策略还应规定最小的口令字长、最长和最短的口令生存期以及口令内容的要求。当开发安全策略时,每个组织还应决定是对管理员采用相同的机制,还是更强的机制。如果需要更强的机制,安全策略应确定相应的安全要求。更强的机制对诸如VPN或拨号访问这些远程访问也是适用的。2.访问控制安全策略应确定对电子文件的访问控制的标准要求,具体如下:(1)在确定机制时,对计算机上的每个文件,用户定义的访问控制的某些方式应是可用的。这个机制应和身份鉴别机制一起工作,以确保只有授权用户能访问文件。该机制至少应能确定什么样的用户有读、写、执行文件的许可。(2)对新文件的默认配置应说明当新文件生成时应如何建立许可。这部分安全策略应对给出的系统中的文件确定读、写、执行的许可。3.审计安全策略的审计部分应确定所有系统上需要审计的事件类型。通常安全策略需对下列事件进行审计:成功或失败的登录、退出系统、对文件或系统的访问失败、成功或失败的远程访问、特权操作(由管理员操作,成功或失败)、系统事件(关机或重启)。对每个事件应捕获下列信息:用户ID、日期和时间、进程ID、执行的动作、事件的成功或失败。安全策略应说明审计记录应保存多久以及如何存放。如有可能,安全策略还应确定如何检查审计记录以及检查的时间间隔。4.网络连接对每一种接到组织网络的连接形式,安全策略应说明连接的规则以及保护机制。对拨号连接,应说明对这类连接技术的鉴别要求。该要求应指回到策略的身份鉴别这一部分。也可能描述一个比通常使用的更强的身份鉴别。此外,安全策略应确定开始得到拨号访问的身份鉴别要求。对一个组织来说,应严格控制允许多少个拨号访问点,因此应公平地限制身份鉴别的要求。一个组织的固定网络连接是由某些类型的固定通信线路接入的。安全策略应确定用于这些连接的安全设备类型。通常防火墙是合适的设备。仅仅说明设备类型并不意味着说明了相应的保护级别。安全策略应定义一个设备的基本网络访问控制策略以及请求和得到访问的过程。这些在标准的配置中是没有的。对内部系统的远程访问是组织允许员工在外出时从外部访问内部系统。安全策略应说明这类访问所采用的机制。对这类访问,所有的通信应加密保护,并在加密部分说明密码类型。因为访问来自外部,应确定一个强的身份鉴别机制。安全策略还应对允许员工得到这类访问的授权建立一个正确的过程。5.恶意代码安全策略应确定搜索恶意代码(如病毒、特洛伊木马)的安全程序的存放位置。合适的位置包括文件服务器、桌面系统以及电子邮件服务器等。安全策略应说明这些安全程序的要求,包括检查专门的文件系统的安全程序要求以及当这些文件打开时检查这些文件。策略还应要求对安全程序周期地更新签名。6.加密安全策略应确定使用在组织内的可接受的加密算法,在信息策略中指出保护敏感信息的相应算法。安全策略不限制仅仅选择一种算法。安全策略还应说明密钥管理需要的过程。计算机用户策略规定了谁可以使用计算机系统以及使用计算机系统的规则。1.计算机所有权策略应清楚地说明所有计算机属于本组织,并且提供给员工在组织内用于工作相一致的用途。策略也可能禁止使用非组织的计算机用于组织的经营业务。例如,员工希望在家里做某些工作,组织将为其提供计算机,但只有组织提供的计算机可通过远程访问系统接到组织内部的计算机系统。3.2.3计算机用户策略2.信息所有权策略应规定所有存储并用于组织内的计算机的信息属于组织所有。某些员工可能使用组织的计算机存储个人信息,如果策略没有特殊说明,则个人信息可分开存在私人目录下,并且非公开的。3.计算机的使用许可大部分组织期望员工只使用组织提供的计算机,用于和工作有关的目的。但这不总是一个很好的假定。因此在策略中要明确说明。有时,组织允许员工为了其他目的使用组织的计算机。如果是这样,应在策略中清楚说明。使用组织提供的计算机还影响到什么软件加载到系统。规定非授权软件不允许装入系统。策略应规定谁可以装载授权软件以及怎样成为合法软件。4.没有私隐的要求计算机用户策略中最重要的部分或许是规定在任何组织的计算机存储、读出、接收的信息都没有隐私。这对员工是十分重要的,他们应了解任何信息有可能被管理员检查,包括电子邮件。也就是说,使员工了解管理员或安全职员可能监视所有和计算机相关的动作,包括监视Web站点。Internet使用策略经常包括在通用计算机使用策略中。然而,由于Internet的特殊性,有时将它作为单独的策略。Internet的接入可以提高员工的工作效率。但Internet也给员工提供了一个滥用计算机资源的机会。Internet使用策略规定了如何合理地使用Internet,诸如和业务有关的研究、采购,或使用电子邮件通信等;确定哪些是非正当使用,诸如访问和业务无关的Web站点、下载有版权的软件、音乐文件的交易、发送连锁邮件等。3.2.4Internet使用策略假如该策略是从计算机用户策略分离出来的,它应说明组织有可能监视员工对Internet的使用,当员工使用Internet时,没有隐私的问题。有些组织为电子邮件的使用开发了专门的策略。电子邮件正越来越多地用于组织的业务处理。电子邮件是使组织的敏感信息毫无价值的另一种方法。当一个组织选择定义电子邮件策略时,应考虑到内外两方面的问题。3.2.5邮件策略1.内部邮件问题电子邮件策略不应和其他的人力资源策略相冲突。例如,电子邮件策略应规定禁止利用电子邮件进行性骚扰;又如,规定在电子邮件中不用非正式用语和同伴通信。如果组织要对电子邮件的某些关键字或附件进行监控,则策略应说明这类监控可能发生。策略还应对员工说明不能期望在电子邮件中有隐私。2.外部邮件问题电子邮件可能包含一些敏感信息。邮件策略说明在什么条件下是可以接受的,并且在信息策略中指出该类信息应如何保护。也可能在外部邮件的底部指出相应的信息必须保护。邮件策略还应识别进入的电子邮件问题。例如,很多组织测试进入的文件附件是否有病毒。该策略应指向组织的安全策略关于相应的病毒配置问题。用户管理程序是最容易被组织忽视的安全程序,因而提供了最大风险的可能。保护系统不被非授权者使用的安全机制是一个很好的事情,但是如计算机系统的使用没有合适的管理也将使其完全无用。1.新员工程序应为新员工提供一个正确访问计算机资源的程序。应该由人力资源部门和系统管理员协同工作。理想的状况是新员工请求使用计算机资源,该新员工的管理者签发批准,然后系统管理员将为该新员工提供合适的系统和文件的访问。这个程序也应用于新的顾问和临时员工,并标明相应的有效期。3.2.6用户管理程序2.工作调动的员工程序对工作调动的员工也应开发一个专门的程序。这个程序的开发由人力资源和系统管理部门协助。员工原来的管理和新管理者应确定换到新岗位上的员工已经不需要原来的访问或者需要新的访问。相应的系统管理员依此进行变更。3.离职员工的程序最重要的用户管理程序是将离职的员工从系统中除去。该程序也需人力资源和系统管理部门协助。当人力资源部认定一个员工离职,将提前通知相应的系统管理员,这样当该员工在职的最后一天就可将其账户停止。系统管理程序是