您好, 访客   登录/注册

如何延长安全政策的使用寿命

来源:用户上传      作者: 陈桂香

  完善的信息系统安全计划是从研究一种安全政策文件开始的,根据此文件为组织机构的财产、名誉等搭建所需的保护基础。2006年,美国计算机安全研究所(CSI)和美国联邦调查局(FBI)进行的计算机犯罪与安全调查显示,63%的人员认为“政策与规章遵从”是今后两年各机构所面临的最严重问题。这也是调查中所陈述的一种不断增长的趋势所在。自1995年以来,美国计算机安全研究所和美国联邦调查局计算机入侵小组每年都会做一次这样的调查。
  通常情况下,计算机安全政策写完之后便被束之高阁,而得不到执行、实施或维护。在今天,未制定安全政策对于任何组织机构来说是一种法律责任,然而制定了政策却从未执行就应该承担责任。
  本文探讨了计算机安全政策的周期和实践方法,从而使其能够得以成功地制定、实施、维护和连续执行。与执行管理机构、信息系统用户、安全专业人员及法律顾问们合作是保证成功不可或缺的组成部分。
  在制定信息系统安全政策时,组织机构所采取的具体活动,作为行动框架的一部分在这里会有论及,本文还将讨论有关如何规划制定安全政策所必须的活动的建议,如何修改、修订现有尚未执行的政策,或需要升级使其符合当前行动和环境。
  本文大致说明了一个团队该如何努力提升安全政策的使用寿命。另外还列出了大多数组织机构的安全政策内容所涵盖的主题,对每个主题进行了简要描述,以期为制定最佳的安全政策提供帮助。
  
  安全政策生命周期
  
  Bruce Schneier在《秘密和谎言:网络世界中的数字安全》一书中称“安全是一个过程,而不是一种产品”。Jason Coombs在2004年的一篇文章中谈道,法律程序和业务功能只关心执行,并争辩道:“安全只有在进行分析时是一种过程,在实际执行当中,安全不是一种过程,是一种服务。”不论是哪种情形,安全都必须适应其环境,这种适应性就是安全政策的生命周期。
  安全政策的生命周期和方法涉及到政策制定、实施、维护和连续执行的每个因素(参见图1)。
  受安全政策保护的团体以及那些必须支持安全政策的人们成为一个开发政策的“贡献者团队”,并且将维持政策的运行。
  根据环境的不同修改和剪裁生命周期模式非常重要,因为组织结构常常反映了各个群体是如何一起工作和操作的。安全政策既是关于“人”的文件,又是关于“系统”的文件,它是一个关于人和系统如何组织和管理的产品。
  组织机构的安全政策必须与现有的公司或执行命令,以及人员操作指南、程序及其它组织政策保持一致。安全政策必须反映和支持每个组织机构的:
  • 文化
  • 任务和主营业务
  • 客户对保密、集成和可用性的期望
  • 风险承受水平或承担的义务
  由于很多计算机犯罪和隐私法与规则都是由各州和联邦制定的,安全政策的制定者必须遵守法律规定和行业规定。
  到2006年为止,美国大多数州针对计算机个人数据遭破坏都制定了相关的法案或新法律保护。而这些法律中的大多数各不相同,甚至是相互矛盾的。
  当所制定的安全政策是针对工程环境下的某个具体的系统或服务时,还必须符合系统和网络的规格。在这种情况下,安全政策可能被称为“信息系统安全规范”,它包含了安全的要求,并且一般都受限于系统的具体参数。
  更重要的是,要创建可行的安全政策。Bill Hancock和Johm Rittinghouse在所著的《网络安全操作手册》中写到:“安全政策的主要目的是告知使用者、工作人员及管理员在保护技术和信息资产时所承担的义务。”
  组织机构必须做到贯彻执行整个安全政策。而有些安全政策是硬性要求,有些则是软性要求,其用词上也有区别,如“必须”、“将”是指硬性要求,而“应该”、“可以”则是建议性的。
  要执行安全政策,必须首先保证此政策是可行的,符合实际的,并要求有特殊的监督工具。执行和管理者的支持是最基本的,还需要法律顾问们进行审查。组织机构应在每12个月或24个月的时间内安排重新审查安全政策。
  
  遵守具体业务的标准
  
  每个公司或机构的安全政策都各不相同。可用的信息系统安全政策把目标进行分类,并当作每日计算机活动操作指南来使用。
  政策中的每个文件都规定了如何对资产提供保护,利用怎样的方法,采用何种工具或解决方案。例如应在哪里设置防火墙,但政策不会规定应采用哪个品牌的防火墙。
  安全政策还提供防计算机风险与威胁的措施,比如防病毒软件,并且会说明所使用的防病毒软件应具备哪些功能等。
  另外,安全政策的内容必须符合法律的要求,公司的法律顾问们应参与安全政策的制定,以便使安全政策在较长时间内合法。
  组织机构在制定安全政策时,通常会采用惯例性的做法,包括参考公共标准,召开评审会议,一对一的解决矛盾会议,咨询法律顾问,取得执行管理者的支持等。
  对于大多数公司和组织机构来说,信息是其最重要的资产,保护信息被盗窃或被破坏就像保护其它实物一样重要,如果信息或数据丢失将给组织机构的名誉造成巨大损害。
  使用公共标准作为最佳安全实践已在世界范围内达成共识。这些用于安全政策文件目标的公共标准包括:
  • 支付卡行业(PCI)数据安全标准(DSS)
  • ISO-17799,ISO-27001
  • 公共标准
  • 美国国家标准与技术研究院(NIST)标准
  要执行上述所有标准是不现实的,但必须要遵守具体业务的标准。
  安全政策要想得以保存,其中一个策略就是要有高质量的安全要求基础,能够满足信息系统安全的各种需要。下文将对开发、升级和维护信息系统安全政策时应考虑的主题及具体内容做一简要介绍。
  
  搭建基础结构
  
  终端用户和管理用户政策文件的安全政策可以分为三级:安全计划政策、具体问题政策和具体系统政策。
  安全计划政策设定组织机构的战略方向,分配各方责任。这是概括了整个安全计划的高级政策。有些机构可能会建立一种拱形的安全政策,允许信息系统管理员开发统领具体问题和具体系统战略的标准。安全计划政策可以包括终端用户子文件以及管理安全要求。
  具体问题政策所强调的是针对数据保护、入侵探测和安全事故反应这样的具体问题的安全策略要求。包括终端用户安全标准,如数据分类标准,告知用户如何处理和销毁敏感数据,以及远程登录安全标准或政策。还可以包括一套管理文件,为不同等级的管理员提供具体安全要求,主要是技术方面的要求,如访问控制、加密、网络安全、系统管理、物理安全、风险管理、事故反应及其它潜在的安全要求。
  具体系统政策涉及每个系统或每种应用的地方安全标准和程序。我们期待所有的具体系统政策只适用于管理用户,通常描述操作系统及应用的安全要求,如补丁程序等。
  “抽象”信息安全文件树
  图2中显示的是本文所讨论的一些文件,以典型的安全政策分层结构搭建。这只是一种代表,并不是标准的文件分层结构,因为每个公司可以根据自己的需要对这些文件进行不同的排列。该树形文件图所代表的是安全政策内容必须满足的文件结构的要求,符合最佳实践标准,如ISO17990或支付卡行业数据安全标准(PCI DSS)。
  制定和维护安全政策的贡献者团队发现,升级较小的个人文件非常容易,因为如果所有的政策都是单个的文件,审查和批准过程所花费的时间将更少。这种策略是保存整个安全计划寿命的另一种措施。
  
  安全计划政策结构
  
  安全计划政策是高级政策,由此可以看出机构内部安全计划的目的和适用范围。该文件不会非常详细地说明安全是如何实施的,用户或系统的安全要求具体是什么。但它会提供某个机构总体性的安全任务情况。

  安全计划政策的组成包括:责任分配、法律和规章义务、数据和信息系统资产的识别与分类摘要、政策维护,以及安全政策执行的参考与例外情况处理方法。
  由于大多数安全要求是由网络和系统管理员执行的,终端用户不再需要阅读安全政策中每条安全要求。终端用户只需要阅读和理解他们负责的安全要求即可。在制定安全政策时要考虑,将终端用户的安全要求与管理用户的安全要求分到不同的文件中。
  终端用户政策集中的是对所有信息系统用户的要求。参见的是可接受使用政策和用户协议,属于终端用户安全具体问题政策之列。对于终端用户来说,理解安全的概念非常重要,比如如何报告安全事件,口令的正确使用和保护,以及具体的需要符合类似PCI DSS安全标准的安全实践等,都应反映在文件当中。另外文件还应包括一些所有雇员必须达到的具体要求,如参加年度安全意识培训等。
  管理用户政策涉及由系统和网络管理员们对基础设施和幕后的安全实施及策略执行与操作要求。从属的管理用户政策包括:具体系统政策,如服务器安全标准、补丁管理、应用安全政策。从属的具体问题政策包括:网络安全标准、访问控制、加密政策、故障反应程序,以及其他下文中所列的事项。所有这些文件都必须是有趣的和对终端用户有用的,但这些也只能是提供参考而已。管理用户必须对管理标准的内容有足够的了解。
  管理用户政策提出了更高的要求,如安全意识培训的制定和交付,所有管理安全政策及标准的摘要等。文件中一般涵盖了管理用户的作用和职责,以及管理访问的职责分工。
  未遵守处理定义了处理任何不遵守安全政策或要求请求的步骤。该处理过程对于用户来说很容易操作,并且为用户识别违犯了哪些政策提供了选择。所提供的一页长的表格将鼓励做记录,由减少未遵守记录情况带来的工作量。
  
  具体问题终端用户政策
  
  为所有信息系统用户制定的具体问题相关政策或安全标准包括:可接受的使用政策,用户协议、远程访问标准、数据或文件分类与标签相关政策、存储了敏感信息的介质的处理以及在不需要时如何销毁。
  可接受使用政策包括在使用计算机时“该做”和“不该做”的事项,以及整个机构的敏感数据处理。该政策以及用户协议(需要每个用户签名)都应经过机构的法律顾问的仔细审核。
  远程访问政策涉及访问机构内部网络和系统时所使用的工具(硬件和软件),通常情况下会与远程访问用户协议一同使用。所有拨号、虚拟私人网络(VPN)用户(终端用户和管理员)每年都要在这样的协议上签字。还可能包括特殊的便携式计算机装置的安全标准,如膝上电脑和个人数据助手(PDA)等。对于与第三方(那些非机构雇员)访问有关的特殊安全要求也包括在内,或者如果需要的话,会在单独的文件中进行限定。
  数据分类/介质处理和处置是一种所有用户都要了解的标准,它提供了数据分类的安全要求,控制信息资产从机构所在地通过网络、可移动介质、膝上电脑等转移到别处。未经批准而获取敏感信息和客户数据有可能导致欺诈、身份被盗或针对资源的其他攻击。由于敏感信息是用电子和纸制两种形式进行保存、处理和共享的,所以要求安全保管数据分类、处理、存储和销毁。
  
  具体问题管理用户政策
  
  数据保护相关的管理问题特殊政策包括:访问控制、加密标准、网络安全、系统管理政策、信息系统物理安全,以及其他重要业务过程。如上文所述,将这些主题分开来,写进多个安全政策文件中的做法对于每个组织机构来说,都是最好最安全的,能够使得安全政策的使用寿命延长,并且有助于贡献者团队维护、审查和批准技术安全标准。
  访问控制政策和安全标准决定了谁能够访问什么,以及以什么目的访问等。它包括下列安全要求:授权、认证和文件获取结构。口令创建及维护的特殊要求一般也在此文件中规定,它具体说明口令应当如何保存,访问控制管理中所使用的参数,以及认证如口令变更政策、登录失败重试等。
  加密政策包括为保护数据的隐蔽性而提供的加密方式,具体来说,就是具体的算法和密钥强度。如果需要,一般会采用3DES、PGP、RSA、AES或其他加密算法。
  网络安全政策所提供的标准规定了如何对组织机构的网络进行保护,使用什么检测工具和方法。每个组织机构会有不同的网络安全需求。如果某个企业的综合网络要与其他组织机构及因特网进行多点连接,那么周边及内部网络都需要建立以下安全政策文件:
  • 因特网及外部企业网(extranet)连接的防火墙及边界保护
  • 安全“飞地”之间的Intranet保护
  • 入侵探测
  • 通过VPN远程访问内部资源
  • 网络安全管理
  • 无线膝上电脑连接
  • 通信
  • 局域网网络配线柜的安全政策
  • 广域网安全政策
  • 无线广域网安全
  网络安全政策还包括事故探测政策,要求设置监视网络及计算机环境的工具,应对已知型攻击,搜集有用日志以备之后可能出现的法庭调研之用。网络安全监视对于探测入侵以及保证现有操作正常实施是必要的。安全政策应当要求有周界防御,比如监视用的防火墙。
  系统管理安全政策通常包括:安全意识培训、桌上电脑和服务器安全、文件集成控制、每个操作系统的安全标准、具体软件安全如防病毒保护、软件获取标准,以及安全编码活动。
  信息系统物理安全包括加强公司或组织机构物理安全的具体措施,如佩带徽章,设置保安人员,修筑围栏等。数据中心和服务器室是重要安全设施,要求对进出人员进行控制。所有的通信和网络配线柜都应加锁,只有那些经过批准的网络维护人员才能进入。所有的桌上电脑都要求设置口令保护。
  事故反应政策包括事故反应计划的制定和实施,以及安排针对法庭和事故反应小组的服务。随着数据安全遭破坏情况的增多,为了犯罪调查和提高公众防犯意识,使公司名誉免受影响,有必要制定这样的计划。
  安全政策还要求有业务持续与灾难恢复计划、变化管理程序以及安全审查与查对等。相关的风险管理计划旨在帮助
  组织机构进行风险评估,并为控制风险提供指导。建议安全政策中应有业务影响分析方面的内容。
  
  具体系统安全政策
  
  具体系统安全政策包括在一个或多个系统中实施的几种情况,如操作安全程序、每个操作系统或应用的安全程序、安全补丁管理、电子邮件安全、集中日志管理及系统开发等。
  操作安全程序要列出每一安全过程的步骤,如创建一个新账号和口令,修改口令,当某雇员离开或中止时中断访问等。更多安全程序(如事故反应)一般会反映在单独的文件中。然而,提供一个“应当做什么”的列表,可以为操作人员如何处理安全问题以及应与谁联系等指示方向。
  每个操作系统都有安全加固标准,所有微软视窗服务器的安全加固标准对于系统管理员尤其重要,它提供一步接一步的系统操作指示。对某个操作系统来说,安全加固标准将包括:驱动器、子系统、文件系统、应用安全补丁,限制服务器仅具备一种功能或有一种应用(如网站服务器、数据库服务器、安全应用),以及修改默认口令等。
  安全补丁管理是安全政策必须要有的内容。系统管理员可以很容易地了解和确定,哪台机器需要安装补丁程序,需要哪个等级的补丁,以及哪些补丁正在测试之中等。
  电子邮件将带来几种特殊的安全挑战。安全政策应包括使用防电子邮件病毒的软件及其他工具,可以对电子邮件中的文件及附件进行检查,确定是否包含了恶意软件或垃圾邮件等。
  集中日志标准要求,每个节点都要提供运行观察日志,也可以使用网络附加存储(NAS)或存储区域网络(SAN)配置。创建系统开发生命周期(SDLC)可以为系统和应用的开发提供指南。
  总之,安全政策是为每位使用者提供信息及数据安全保护的一个指南。经得起时间检验的安全政策,必定是在组织机构的利益相关人共同参与下制定出来的,代表了各个方面的安全要求。
  
  链接
  SDLC是问题解决的系统方法
  系统开发生命周期(SDLC)由美国司法部(United States Department of Justice)定义为一个软件开发过程,尽管它也是独立于软件或其他信息技术事项的一个单独的过程。它被系统分析家使用通过调查、分析、设计、执行和维护来开发一个信息系统,包括需求、确认、培训和用户所有权。SDLC是解决问题的系统方法,由几个阶段组成,每个阶段包含多个步骤:软件概念――确定和定义一个新系统的需要;需求分析――分析终端用户的信息需要;建造设计――用硬件、软件、人和数据资源必要规格为设计创建一个蓝图;译码和调试――创建和规划最终系统;系统测试――对于期望或预期的功能评估系统的最终功能。
  安全责任分配到所有人
  建立或恢复一个经得起时间考验的信息系统安全政策要求组织机构中利益相关人的共同参与。此团队中的每个成员必须把安全计划当作是推进其业务发展的助力器,而不是把安全当作是一种限制。成功实施安全计划的机构或公司把安全当作一种责任分配给了所有参与者。安全成为每个人工作的一部分提高了防御外部袭击的水平。
  保持安全政策文件正常运转的成功秘诀是,与提供、执行、实施安全的代表们以及那些每天使用系统并享受到安全好处的用户们共同努力。举例来说,这些利益相关人可能包括:
  •信息安全官(ISO)或首席安全官(CSO)
  •终端用户代表
  •系统与网络管理员
  •信息技术管理与首席信息官(CIO)
  •生产行动管理机构
  •法律顾


转载注明来源:https://www.xzbu.com/8/view-1088287.htm