第二节 信息安全管理基础

（三） 信息安全策略的内容

1.2.3.1 信息安全策略的定义

信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分，问题策略(Issue Policy)和功能策略(Functional Policy)。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，一方面，必须有行政措施保证既定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在；另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略。 信息安全策略的内容应该有别于技术方案，信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价。信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以描述为“任何类别为机密的信息，无论存储在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护”。这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。

1.2.3.2 信息安全策略的基本原则

信息安全策略应遵循以下基本原则： 1、最小特权原则

最小特权原则是信息系统安全的最基本原则。最小特权原则的实质是任何实体仅拥有该主体需要完成其被指定任务所必需的特权，此外没有更多的特权。最小特权可以尽量避免将信息系统资源暴露在侵袭之下，并减少因特别的侵袭造成的破坏。 2、建立阻塞点原则

阻塞点就是在网络系统对外连接通道内，可以被系统管理人员进行监控的连接控制点。在那里系统管理人员可以对攻击者进行监视和控制。 3、纵深防御原则

安全体系不应只依靠单一安全机制和多种安全服务的堆砌，而应该建立相互支撑的多种安全机制，建立具有协议层次和纵向结构层次的完备体系。通过多层机制互相支撑来获取整个信息系统的安全。在网络信息系统中常常需要建立防火墙，用于网络内部与外部以及内部的子网之间的隔离，并满足不同程度需求的访问控制。但不能把防火墙作为解决网络信息系统安全问题的唯一办法，要知道攻击者会使用各种手段来进行破坏，甚至有的手段是无法想象的。这就需要采用多种机制互相支持，例如，安全防御（建立防火墙）、主机安全（采用堡垒主机）以及加强保安教育和安全管理，只有这样才能更好地抵御攻击者的破坏。

4、监测和消除最弱点连接原则

系统安全链的强度取决于系统连接的最薄弱环节的安全态势。防火墙的坚固程度取决于它最薄弱点的坚固程度。侵袭者通常是找出系统中最弱的一个点并集中力量对其进行攻击。系统管理人员应该意识到网络系统防御中的弱点，以便采取措施进行加固或消除它们的存在，同时也要监测那些无法消除的缺陷的安全态势。对待安全的各个方面要同样重视而不能有所偏重。 5、失效保护原则

安全保护的另一个基本原则就是失效保护原则。一旦系统运行错误，当其发生故障必须拒绝侵袭者的访问，更不允许侵袭者跨入内部网络。当然也存在一旦出现故障，可能导致合法用户也无法使用信息资源的情况，这是确保系统安全必须付出的代价。 6、普遍参与原则

为了使安全机制更为有效，绝大部分安全系统要求员工普遍参与，以便集思广益来规划网络的安全体系和安全策略，发现问题，使网络洗头的安全涉及更加完善。一个安全系统的运行需要全体人员共同维护。 7、防御多样化原则

像通过使用大量不同的系统提供纵深防御而获得额外的安全保护一样，也能通过使用大量不同类型、不同等级的系统得到额外的安全保护。如果配置的系统相同，那么只要知道如何侵入一个系统，也就会知道如何侵入所有的系统。 8、简单化原则

简单化作为安全保护策略有两方面的含义：一是让事物简单便于理解；二是复杂化

会为所有的安全带来隐藏的漏洞，直接威胁网络安全。 9、动态化原则

网络信息安全问题是一个动态的问题，因此对安全需求和事件应进行周期化的管理，对安全需求的变化应及时反映到安全策略中去，并对安全策略的实施加以评审和审计。首先，网络本身具有动态性，其次，信息安全问题具有动态性，这些动态性都决定了不存在一劳永逸的安全解决问题。因此，网络系统需要以动制动。这表现在一下三个方面： 第一，安全策略要适应动态网络环境发展和安全威胁的变化。我们的安全策略不能是简单的决策响应模式，而应是包含系统监测和实时响应的安全模型。安全系统要不断地监视网络，自动扫描系统和配置参数，分析和审计用户口令及访问授权，发现漏洞、弱点并实行安全措施；实时监控和快速检测未授权黑客行为，并进行实时响应以阻止进攻；对内部网络资源操作进行实时监控，避免内部员工的误操作和非授权访问。 第二，安全设备要满足安全策略的动态需要。动态安全策略的安全设备之间必须相互关联，并实现互动。举例来说，通常防火墙对内外网络之间的通信进行访问控制，它时限在网络层和应用层上，因此对于通过协议隧道绕过防火墙的安全威胁是无法防范的。同事，防火墙是一种基于策略的被动防御系统，无法自动调整策略设置来阻断正在进行的攻击。入侵检测系统虽然能检测到复杂的攻击事件，但是其自身只能及时发现攻击行为，却无法处理攻击行为。

第三，安全技术要不断发展，以充实安全设备。一方面，各安全组件之间互动策略的制定、接口标准的统一、互动设备之间通信安全的保障，都是值得研究的课题；另一方面，由于黑客攻击手段的不断推陈出新，我们还要采用各种新的技术来防御网络系统。

1.2.3.3 信息安全策略的内容

信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。 1、物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、认为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室的各种偷窃、破坏活动的发生。抑制和防止电磁泄露是物理安全策略的一个主要问题。 2、系统管理策略

系统管理策略负责制定系统升级、监控、备份、审计等工作的指导方针和预期目标。系统管理人员和维护人员依据这些策略安排自己的具体工作。这些策略应该明确规定什么时间多少时间去升级系统，什么时候应该如何进行系统监控，什么时候进行日志审查和系统备份等。策略必须足够详细，以帮助系统管理人员能确切知道对系统和网络需要做哪些工作。 3、访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非授权访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。

4、资源需求分配策略

该策略是根据网络资源的职责确定哪些用户允许使用哪些设备，例如用户如何获得授权访问打印机，哪些用户可以在某个时间段内使用，用户采用何种登录方式（远程／本地）才能使用设备，哪些用户可以获得系统程序和应用程序的使用授权，授权访问哪些数据，并指定对用户的授权方式和程序。 5、系统监控策略

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问。对非法的网络的访问，服务器应以图形、文字或声音等形式报警，以引起网络管理员的注意。如果不法分子试图进入网络，网络服务器应自动记录企图尝试进人网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。 6、网络安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理的等级和安全管理的范围，制定有关网络操作使用规程和人员出人机房管理制度，制定网络系统维护制度和应急措施。

7、灾难恢复计划

灾难恢复计划（Disaster Recover Plan ,DRP）是指在紧急情况或安全事故发生而导致系统崩溃、数据丢失等现象时如何保障计算机信息系统继续运行或紧急恢复到问题发生前的正常运行状态。灾难恢复计划是信息安全管理人员所面临的最大的难题之一。简单的可能是单个系统瘫痪的恢复，复杂的可以是一个大型跨国公司的业务运作系统如何从自然灾害和恶性事故中恢复。绝大多数组织都对灾难恢复计划投入很多资金，包括数据备份和双机热备份。当系统或网络瘫痪时，热备份能迅速接管原系统