信息安全策略及实施方法汇总.ppt

* 组织的安全策略 信息安全策略的主体内容 信息安全策略通常不是一篇文档，根据组织的复杂程度还可能分成几个层次，其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的，提供足够的信息，保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的，是适用于哪些信息资产和处理过程的。 * 组织的安全策略 信息安全策略的主体内容 通常一个组织可能会考虑开发下列主题的信息安全策略： 1.??环境和设备的安全 2.??信息资产的分级和人员责任 3.??安全事故的报告与响应 4.??第三方访问的安全性 5.??委外处理系统的安全 6.??人员的任用、培训和职责 7.??系统策划、验收、使用和维护的安全要求 * 组织的安全策略 信息安全策略的主体内容 8.??信息与软件交换的安全 9.??计算级和网络的访问控制和审核 10.远程工作的安全 11.加密技术控制 12.备份、灾难恢复和可持续发展的要求 13.符合法律法规和技术指标的要求 * 组织的安全策略 要衡量一个信息安全策略整体优劣可以考虑的因素包括： 目的性：策略是为组织完成自己的使命而制定的，策略应该反映组织的整体利益和可持续发展的要求； 适用性：策略应该反映组织的真实环境，反映但前信息安全的发展水平； 可行性：策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱； 经济性：策略应该经济合理，过分复杂和草率都是不可取的。 完整性：能够反映组织的所有业务流程安全需要； * 组织的安全策略 要衡量一个信息安全策略整体优劣可以考虑的因素包括： 一致性：策略的一致性包括下面三个层次： ???? 和国家、地方的法律法规保持一致 ???????? 和组织已有的策略（方针）保持一致 ???????? 整体安全策略保持一致，要反映企业对信息安全一般看法，保证用户不把该策略看成是不合理的，甚至是针对某个人的。 弹性：策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。 * 组织的安全策略 如何使信息安全策略得到贯彻 信息安全策略的实施关键是如何把策略准确传达给每一位相关人员。 根据信息安全策略开发或者修改信息操作程序文件，即建立一个文件化的信息安全管理体系，在组织的相应程序文件中体现策略的有关要求。 能力和意识的培训是一种好方法，在组织缺乏程序文件的时候作用更是不可忽略。 审核是策略得以实施的保障，组织必须有成文的审核办法，详细规定审核的周期和技术手段，及时发现问题及时解决。 * 三、主要的安全策略 * 网络服务器口令的管理 （1）服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。 （2）服务器的口令需部门负责人在场时，由系统管理员记录封存。 （3）口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。 （4）如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。 * 用户口令的管理 （1）对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。 （2）在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。 （3）如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。 * 防病毒策略 （1）拒绝访问能力：来历不明的入侵软件不得进入系统。 （2）病毒检测能力：系统中应设置检测病毒的机制。检测已知类病毒和未知病毒。 （3）控制病毒传播的能力：系统一定要有控制病毒传播的能力。 （4）清除能力： （5）恢复能力：提供高效的方法来恢复这些数据。 （6）替代操作：系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作。 * 安全教育与培训策略 （1）主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。 （2）负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。 （3）用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。 * 可接受使用策略 可接受使用策略（Acceptable Use Policy，AUP）是指这些网络能够被谁使用的约束策略。AUPs的执行是随网络变化的。许多公共网络服务有一