【文章內(nèi)容簡介】 的主線，描述了信息安全業(yè)務(wù)的基本運(yùn)營模式。在其圖37所示羅列了信息安全運(yùn)營中的一些具體事物，是概念性流程在具體對象層次上的實(shí)現(xiàn)。圖37 信息安全運(yùn)營體系框架運(yùn)營框架上半部分的概念性流程包括風(fēng)險(xiǎn)評估、規(guī)劃實(shí)施、安全監(jiān)控、響應(yīng)恢復(fù)四個主要步驟。風(fēng)險(xiǎn)評估階段確定企業(yè)的信息安全需求和可接受的殘余風(fēng)險(xiǎn)；規(guī)劃實(shí)施階段將這些信息安全需求用具體的安全控制措施加以實(shí)現(xiàn)，將風(fēng)險(xiǎn)減少到可接受的程度；安全監(jiān)控階段對安全控制措施的有效運(yùn)行進(jìn)行監(jiān)控跟蹤，確保其能夠持續(xù)地滿足企業(yè)的信息安全需求，同時對殘余風(fēng)險(xiǎn)可能引致的安全事件進(jìn)行實(shí)時地監(jiān)控；響應(yīng)恢復(fù)階段對已經(jīng)發(fā)生的安全事件和突發(fā)事件以及重大災(zāi)難性事故進(jìn)行快速響應(yīng)和恢復(fù)，減少對企業(yè)業(yè)務(wù)的負(fù)面影響。運(yùn)營框架下半部分列舉了具體對象層次上的主要的運(yùn)營事務(wù)，是概念性流程的具體實(shí)現(xiàn)。信息安全的具體對象大致包括人員層、數(shù)據(jù)層、應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層等六個層次。信息安全運(yùn)營的日常事務(wù)就發(fā)生這些對象層次上。具體對象層次上的運(yùn)營管理應(yīng)該符合概念性流程的框架，同時反應(yīng)具體對象的特殊需求。信息安全運(yùn)營的具體事務(wù)會有很多，在這個框架里只是羅列一部分主要的運(yùn)營事務(wù)。4. 信息安全保障體系的建設(shè)過程. 信息安全保障體系的總體建設(shè)方法企業(yè)信息安全保障體系框架參考了眾多企業(yè)所積累的經(jīng)驗(yàn)，充分吸取行業(yè)中的最佳實(shí)踐。在具體運(yùn)用中可結(jié)合信息安全相關(guān)方法論、模型及標(biāo)準(zhǔn)，將所有的內(nèi)容與要求基于企業(yè)的業(yè)務(wù)需求和的現(xiàn)狀轉(zhuǎn)化到信息安全設(shè)計(jì)與規(guī)劃的具體項(xiàng)目中分別予以實(shí)現(xiàn)并提供了可參照執(zhí)行的演進(jìn)思路。從企業(yè)需求出發(fā)，參照企業(yè)信息安全管理框架，通過評估和風(fēng)險(xiǎn)分析等方法，定義企業(yè)安全需求，根據(jù)企業(yè)的安全需求定義企業(yè)信息安全建設(shè)的內(nèi)容和方向（如圖41所示）。圖41 企業(yè)信息安全建設(shè)思路. 信息安全策略的定義信息安全策略根據(jù)企業(yè)的業(yè)務(wù)需求定義所需具備的安全能力和功能。信息安全策略幫助企業(yè)相關(guān)人員在信息安全建設(shè)方面在戰(zhàn)略層和操作層做出正確的選擇。它幫助企業(yè)在業(yè)務(wù)安全需求和信息安全能力之間建立起聯(lián)系。信息安全策略必須是戰(zhàn)略層次的定義，必須可以有較長的生命周期以指導(dǎo)信息安全體系的建設(shè)；信息安全策略不宜具體到某一特定的解決方案，拓?fù)浠蚺渲?。信息安全策略是輔助企業(yè)在IT建設(shè)的整個生命周期，包括選擇、采購、設(shè)計(jì)、實(shí)施和運(yùn)行的各個階段進(jìn)行決策的工具。信息安全策略著眼于在整個企業(yè)組織架構(gòu)中貫徹信息安全策略，而非針對單獨(dú)特定應(yīng)用系統(tǒng)的具體功能性組件和運(yùn)維節(jié)點(diǎn)，致力于建設(shè)一套能平衡企業(yè)組織架構(gòu)中復(fù)雜業(yè)務(wù)流程、應(yīng)用和系統(tǒng)相關(guān)風(fēng)險(xiǎn)的戰(zhàn)略性架構(gòu)設(shè)計(jì)。信息安全策略設(shè)計(jì)具有戰(zhàn)略意義，它將比設(shè)計(jì)規(guī)范、拓?fù)鋱D或拓?fù)渑渲脫碛懈L的生命周期，它可發(fā)展成特定的方案。如果太過具體，它就會受限于當(dāng)前的環(huán)境；如果太過廣泛，它就不能起到提供指引的作用。應(yīng)謹(jǐn)慎以防止架構(gòu)變成某個具體實(shí)施的藍(lán)圖。信息安全策略有以下作用：n 信息安全策略通過提供安全功能要求和實(shí)施方法來確保企業(yè)內(nèi)實(shí)施一致的安全解決方案。n 根據(jù)業(yè)務(wù)需求事先定義所需的安全技術(shù)和解決方案。n 確保安全解決方案的相互可集成性以及相關(guān)的安全管控措施的到位和配合。n 確保安全組件的可重復(fù)利用，保護(hù)投資。. 信息安全策略的通用性特征信息安全策略具備以下特點(diǎn)：信息安全策略是一項(xiàng)長遠(yuǎn)的控制觀點(diǎn)，而不是一個戰(zhàn)術(shù)觀點(diǎn)。目前企業(yè)的信息安全建設(shè)面臨著大量的供應(yīng)商所提供的各種各樣的技術(shù)可以實(shí)現(xiàn)各種復(fù)雜的安全控制措施。而各種異構(gòu)的解決方案的重復(fù)建設(shè)和低效率將成為信息安全策略需著手解決的問題?？偟内厔菔菫樘囟ǖ膱?zhí)行情況而部署這些機(jī)制作為戰(zhàn)術(shù)上解決方案。而為了提供一個統(tǒng)一的觀點(diǎn)和基于成本的考慮，優(yōu)秀的企業(yè)信息安全策略的設(shè)計(jì)是具有戰(zhàn)略意義；意味著信息安全策略比規(guī)劃藍(lán)圖，設(shè)計(jì)規(guī)范、拓?fù)鋱D和配置等具有更長的生命周期。如果是過于具體，反而將制約當(dāng)前的情況。如果是過于空泛或一般，則無法提供決策和指導(dǎo)。在企業(yè)整體技術(shù)環(huán)境下，信息安全策略將為相關(guān)鑒別、選擇、采集、設(shè)計(jì)、實(shí)施、部署和運(yùn)維提供決策依據(jù)。n 信息安全策略的目標(biāo)是共同的。一個企業(yè)的信息安全策略應(yīng)該支持多組織，多部門和多業(yè)務(wù)單元，描述安全控制及措施的長期技術(shù)趨勢。它允許多種具體實(shí)現(xiàn)取決于現(xiàn)實(shí)的時刻，應(yīng)小心避免安全體系成為特定實(shí)施的藍(lán)圖。信息安全策略應(yīng)該為整個組織機(jī)構(gòu)提供一個全面風(fēng)險(xiǎn)管理的指導(dǎo)。n 信息安全策略提供了一個統(tǒng)一的共享安全控制的遠(yuǎn)景。通過提供共享服務(wù)的模型，企業(yè)的信息安全策略著眼于從整體的角度來檢查安全控制措施，識別出已有安全控制措施下的潛在風(fēng)險(xiǎn)，提供一個長遠(yuǎn)的改進(jìn)計(jì)劃。同時，這也是一個安全管理最佳實(shí)踐的基本組成。n 信息安全策略提供了一個靈活的方式來處理當(dāng)前和未來的威脅。信息安全策略的所有基礎(chǔ)組件的開發(fā)和部署只需要做一次。在基礎(chǔ)結(jié)構(gòu)已經(jīng)確定的前提下，其它架構(gòu)組件就可以更容易處理。如果基礎(chǔ)架構(gòu)引入新的舉措，是不會引入新的弱點(diǎn)的。如果外部新的弱點(diǎn)被引入，則信息安全策略需要通過風(fēng)險(xiǎn)評估重新評估?？偠灾畔踩呗詰?yīng)該符合下述相關(guān)論述：一個有效的安全規(guī)劃是承認(rèn)隨著時間的推移所有的信息資產(chǎn)的價(jià)值和風(fēng)險(xiǎn)是不相等或恒定不變的。一個有效的安全方案運(yùn)用最合適的技術(shù)來保護(hù)相關(guān)的資產(chǎn)，并結(jié)合執(zhí)行和質(zhì)量保障計(jì)劃把風(fēng)險(xiǎn)減少到可接受的水平。高品質(zhì)的安全規(guī)劃，包括經(jīng)常性的管理審查和技術(shù)評估以確保安全控制措施的有效并提供相關(guān)的反饋，使技術(shù)和方法適應(yīng)資產(chǎn)的價(jià)值和風(fēng)險(xiǎn)隨著時間的變化。. 信息安全策略的建立過程信息安全策略首先應(yīng)該確定企業(yè)業(yè)務(wù)方面的安全需求，然后平衡商業(yè)驅(qū)動因素和可接受的風(fēng)險(xiǎn)。這種業(yè)務(wù)方面的安全需求的確定來源于內(nèi)部和外部因素的分析。因此信息安全策略首先應(yīng)從以保障業(yè)務(wù)目標(biāo)而所需具備的安全能力進(jìn)行識別，還必須符合業(yè)務(wù)方面的需求，并提供法律和規(guī)章方面的遵守。對于如何通過提供一個全面的方法來構(gòu)建新一代安全解決方案、提供基于風(fēng)險(xiǎn)分析的方法來實(shí)施安全解決方案，企業(yè)信息安全策略以文件的方式提供指導(dǎo)，并用于支持企業(yè)安全體系結(jié)構(gòu)和安全解決方案。信息安全策略既提供功能圖也提供功能部署圖。信息安全策略完整地覆蓋了企業(yè)信息安全工作的全部內(nèi)容，并詳細(xì)說明在今后的活動里可以如何利用這些架構(gòu)指導(dǎo)工作。信息安全策略概述了每一個關(guān)鍵要素。設(shè)計(jì)該企業(yè)信息安全策略是用于提供必要的安全概念來保護(hù)企業(yè)的業(yè)務(wù)流程和業(yè)務(wù)信息免受來自內(nèi)部和外部的威脅，通過開發(fā)與應(yīng)用適當(dāng)?shù)募夹g(shù)來保護(hù)最重要的資產(chǎn)，結(jié)合質(zhì)量流程把風(fēng)險(xiǎn)降低到可接受的水平。它通過提供架構(gòu)指南和為安全方案設(shè)計(jì)提供幫助來實(shí)現(xiàn)此目標(biāo)。一、安全戰(zhàn)略安全戰(zhàn)略體現(xiàn)了企業(yè)高層經(jīng)理對信息安全策略的需求，體現(xiàn)了業(yè)務(wù)對安全的要求，反映了信息安全的價(jià)值。安全原則對未來安全方面的抉擇提供了依據(jù)。通常業(yè)界通用的安全原則如下，企業(yè)需要根據(jù)通用安全原則和本企業(yè)的業(yè)務(wù)需求明確企業(yè)自身的安全原則。n 最少準(zhǔn)入特權(quán)(Least Privilege)n 深入防御(Defense in Depth)n 狹窄進(jìn)入通道(Choke Point)n 最弱點(diǎn)原則(Weakest Link)n 故障無礙位置(FailSafe Stance)n 全面參與安全控制(Universal Participation)n 防御手段多樣化(Diversity of Defense)n 防御機(jī)制簡單化(Simplicity)n 安全機(jī)制區(qū)域劃分(Compartmentalization)n 內(nèi)外安全防御能力(Protect against insider as well as outsider threats)二、信息安全政策信息安全政策從業(yè)務(wù)的角度定義一系列的安全準(zhǔn)則，為信息安全管理提供方向和指南。信息安全政策定義信息安全目標(biāo)并通過定義必須遵守的安全要求來為管理層、用戶、應(yīng)用開發(fā)者等相關(guān)人員提供指南。三、安全模塊安全模塊是構(gòu)成信息安全策略的基本安全元素。安全模塊分為兩種：安全流程模塊和安全功能模塊。每個模塊定義基本的功能或流程。n 安全流程模塊信息安全的目標(biāo)是確保業(yè)務(wù)的連續(xù)性，減少安全事故的影響。信息安全管理和信息安全技術(shù)同樣重要。信息安全流程模塊的定義將參見ISO27001標(biāo)準(zhǔn)。根據(jù)企業(yè)的特點(diǎn)，結(jié)合ISO27001定義企業(yè)的信息安全管理體系和流程。ISO27001從十一個方面闡述一個企業(yè)信息安全管理體系（ISMS）應(yīng)該具備的管理和控制措施。共包括了39個控制目標(biāo)和133個控制措施。n 安全功能模塊所有的安全功能模塊按功能區(qū)分，可以分為接入控制、信任管理、信息流控制、審計(jì)和完整性5個子系統(tǒng)，如圖42所示：圖42 安全功能模塊功能區(qū)五個子系統(tǒng)的每個子系統(tǒng)相關(guān)的組件在下面列出。這些組件來自基礎(chǔ)功能構(gòu)建模塊，并在每個獨(dú)立的安全子架構(gòu)使用。在設(shè)計(jì)信息安全策略時，需要根據(jù)企業(yè)的環(huán)境來定義5個子系統(tǒng)的具體功能。這些安全功能模塊共同工作，構(gòu)成了企業(yè)的信息安全系統(tǒng)。四、信息資產(chǎn)庫信息資產(chǎn)庫幫助企業(yè)理解哪些信息資產(chǎn)對于企業(yè)是最關(guān)鍵的，這些資產(chǎn)現(xiàn)有的保護(hù)措施如何，還存在哪些安全風(fēng)險(xiǎn)。信息資產(chǎn)庫關(guān)注每個資產(chǎn)的保密性，完整性和可用性。從而了解每個資產(chǎn)的安全需求，以提供合適的風(fēng)險(xiǎn)管控措施。五、安全服務(wù)安全服務(wù)定義了企業(yè)可以提供的安全功能和流程，它是由不同的安全模塊組成的。六、CIA/服務(wù)矩陣CIA/服務(wù)矩陣將安全服務(wù)映射到資產(chǎn)的三個屬性：保密性、完整性、可用性。此服務(wù)矩陣幫助理解和選擇相關(guān)的安全控制。. 企業(yè)信息安全管理體系的建設(shè). 安全管理體系總體框架信息安全管理體系是信息安全保障體系的一個重要組成部分。信息安全管理體系框架是從企業(yè)管理的層面出發(fā)，按照多層防護(hù)的思想，為實(shí)現(xiàn)信息安全戰(zhàn)略而搭建的。信息安全管理體系由幾下幾部分組成：n 安全政策，標(biāo)準(zhǔn)——管理規(guī)定：信息安全政策與標(biāo)準(zhǔn)是信息安全管理、運(yùn)營、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對信息安全的管理規(guī)定，是安全意識培養(yǎng)的內(nèi)容來源，是組織管理控制和審計(jì)的依據(jù)，是技術(shù)方案必須遵從的基礎(chǔ)要求。n 安全意識培養(yǎng)——宣傳教育：員