【正文】 第 3章 安全策略 安全策略的功能 安全策略的 類型 安全策略的使用 小結 習題 安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門能做的最重要的工作之一。它只涉及很少的技術知識，因而很多有專業(yè)技能的人似乎對其并不太重視，事實上，安全策略對他們也是非常重要的。 安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應如何在正常的環(huán)境下行動，而當發(fā)生環(huán)境不正常時，應如何反應。安全策略執(zhí)行兩個主要任務。 安全策略的功能 1. 確定安全的實施 安全策略確定實施什么樣的安全，具體內(nèi)容如下： （ 1） 安全策略確定恰當?shù)挠嬎銠C系統(tǒng)和網(wǎng)絡的配置及物理安全的措施，以及確定所使用的合理機制以保護信息和系統(tǒng)。 （ 2） 安全策略不僅確定安全的技術方面，還規(guī)定員工應該執(zhí)行某些和安全相關的責任（例如用戶管理），以及員工在使用計算機系統(tǒng)時所要求的行為。 （ 3） 安全策略還規(guī)定當非期望的事情發(fā)生時，組織應如何反應。當一個安全事故發(fā)生，或系統(tǒng)出故障時，組織的安全策略和安全程序規(guī)定其應做的事，以及在事故發(fā)生時，該組織的行動目標。 2. 使員工的行動一致 對一個組織來說，確定實施什么樣的安全是重要的，然而使每個工作人員行動一致以維護組織的安全也是同樣重要的。安全策略為一個組織的員工規(guī)定一起工作的框架。組織的安全策略和安全過程規(guī)定了安全程序的目標和對象。將這些目標和對象告訴員工，就為安全工作組提供了基礎。安全策略的類型一個組織內(nèi)的安全策略和安全程序有很多種，本節(jié)將概述常用的、有效的安全策略和安全程序。在安全策略中，一般包含 3個方面： （ 1） 目的 一個安全策略和安全程序應該有一個很好定義的目的，其文本應明確說明為什么要制定該策略和程序，及其對該組織有什么好處。 （ 2） 范圍 一個安全策略和安全程序應該有一個適用的范圍。例如，一個安全策略可適用于所有計算機和網(wǎng)絡系統(tǒng)，一個信息策略可適用于所有員工。 （ 3） 責任 責任規(guī)定誰負責該文本的實施。不管誰負有責任，都必須經(jīng)過很好的培訓，明白文本的各項要求。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護敏感信息。策略覆蓋該組織內(nèi)的全部敏感信息。每個員工有責任保護所有接觸的敏感信息。 根據(jù)該組織的業(yè)務，考慮哪些是敏感信息。敏感信息有可能包括經(jīng)營業(yè)務記錄、產(chǎn)品設計、專利信息、公司電話簿等。 安全策略的類型 信息策略 某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫(yī)療保險信息、任何在公開以前的財務信息等。 值得指出的是，對一個組織來說，不是所有信息在所有時間都是敏感的。必須根據(jù)安全策略和安全程序很小心地確定什么是敏感信息。 對大部分組織而言，通常將信息分成二或三級已足夠了，具體如下： （ 1） 最低級別的信息應該是公開的，也就是說，這些信息已為人所知，或能公開發(fā)表。 （ 2） 再上一級的信息是不公開發(fā)表的，這些信息稱為 “ 私有 ” 、 “ 公司敏感 ” 或 “ 公司秘密 ” 。這類信息對本組織員工是公開的，對某些組織外的人員需簽不擴散協(xié)議才能得到。如果這些信息被公開或被競爭者得到，就有損于該組織。 （ 3） 第三類信息稱為 “ 限制 ” 或 “ 保護 ” 。這類信息被嚴格限制在一個組織內(nèi)的很有限的員工范圍內(nèi)，不能向組織內(nèi)的全體員工發(fā)布，更不能被組織外的人得到。 對于非公開信息，安全策略應將各類敏感信息清楚地加上標記。如果以紙張的形式出現(xiàn)，應在每頁的頂部和底部加標記，用字處理的頁首、頁腳來實現(xiàn)。通常用醒目的大寫或斜體字標記。 安全策略對存儲在紙上或計算機系統(tǒng)中的敏感信息都應有相應的規(guī)定。 當信息存儲在計算機系統(tǒng)中，安全策略規(guī)定相應的保護級別?？梢允俏募脑L問控制，或?qū)δ承╊愋臀募煤线m的口令保護。極端情況需要加密措施。應該記住，系統(tǒng)管理員能看到計算機系統(tǒng)中的所有文本。如果該敏感信息不應被系統(tǒng)員知道，只有采取加密措施。 信息策略必須確定如何傳輸敏感信息?？梢杂貌煌椒▊鬏斝畔?，如電子郵件、通過郵局郵寄、傳真等。信息策略應對每種傳輸方法確定保護方法。 對通過電子郵件傳送的敏感信息，安全策略應規(guī)定對用附件方式的文件或報文頭進行加密。對硬拷貝信息的傳送，需要簽收收據(jù)的方式。對傳真方式的傳送，發(fā)送者需要用電話事先通知接收者等候在傳真機旁。 留在紙上的敏感信息必須有相應的銷毀方法。存儲在計算機系統(tǒng)中的敏感信息，如果刪除得不合適，仍有可能恢復。某些商業(yè)程序已有更安全的方法，將敏感信息從介質(zhì)中擦去。 安全策略規(guī)定計算機系統(tǒng)和網(wǎng)絡設備安全的技術要求，規(guī)定系統(tǒng)或網(wǎng)絡管理員應如何配置與安全相關的系統(tǒng)。這個配置也會影響用戶。系統(tǒng)和網(wǎng)絡管理員應對安全策略的實施負主要責任。 安全策略應定義每個系統(tǒng)實施時的要求，然而它不應規(guī)定對不同操作系統(tǒng)的專門配置，這屬于專門配置的過程。 系統(tǒng)和網(wǎng)絡安全策略 安全策略應確定如何識別用戶。通常安全策略應規(guī)定用于用戶 ID的標準或定義標準的系統(tǒng)管理過程。 更為重要的是，安全策略應確定對系統(tǒng)用戶或管理員的基本的