细化信息安全策略 确保组织资产安全

　　信息安全策略是一个组织解决信息安全问题最重要的步骤，也是这个组织整个信息安全体系的基础。由于信息安全不是天然的需求，而是经历了信息损失之后才有的需求，所以管理对于信息安全是必不可少的。

　　一个组织最主要的管理文件就是信息安全策略，信息安全策略明确规定组织需要保护什么？为什么需要保护？由谁进行保护？这些问题考什么解决？没有合理的信息安全策略，再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略反映出这个组织对现实安全威胁和未来安全风险的预期，反映出组织内部业务人员和技术人员安全风险的认识与应对。

　　信息安全五大特性

　　只有保证组织信息资产的安全，组织才能进行正常的业务活动。概括来说，信息安全就是保证组织信息资产的保密性、完整性和可用性，这是信息安全的三个基本属性，除此之外还有不可抵赖性和可鉴别性两个安全属性，它们之间是相互联系的。

　　保密性

　　保密性保证适当的人访问适当的信息，保证某些信息只能被授权主体访问，保密性被破坏的原因往往是信息处理方式不恰当，比如信息口头交流、信息打印、信息复制、电子邮件、文件处置不当或者其它信息处理不当都会破坏保密性。

　　完整性

　　完整性保证信息资产及其处理方法是可信赖的而且是完全的，处理后的信息是足够精确的。数据的完整性不仅仅指正确性，还有数据可以被信任和依赖的含义。

　　比如复印保密文件可能既破坏了信息保密性又破坏了信息完整性，因为由于复印产生多个文件副本，而副本之间可能不一致。其实关于完整性的精确定义还有不同的说法，也有人把完整性解释为信息质量、信息正确性、信息的真实性和信息的精确性。信息完整性保证对信息资源的操作是成功并且正确的，信息之间传输要求一致，并且与它们所表达的外部真实世界相一致。

　　可用性

　　可用性可保证被授权人在需要时能使用相关的信息资产，保证信息系统对信息的发送、存储和处理是正常而不间断的，特别是当发生灾难或者故障时，信息资产仍然是可以被正常使用的。在安全术语中，可用性似乎没有保密性和完整性那么重要，但是当组织的工作时间或者工作区域扩大时，比如像Web网站和全球电子商务等都要求全天候的不间断服务，如果考虑到各种病毒、黑客入侵、各种人为错误和自然的风险，可用性就成为信息安全工作非常重要的部分。

　　不可抵赖性

　　不可抵赖性，是指数据发送和接收是可以被证实的，参与者的身份是可以被验证的，防止当事人事后否认。

　　可鉴别性

　　可鉴别性是指对人或者数据的真实性进行验证。比如经过鉴别才能确定某条消息是否来自所声称的源地址。在计算机系统中，各种鉴别技术是对系统进行访问控制的基础。

　　不同性质的组织对信息安全问题的侧重可能不同。一般业务组织的信息安全问题主要是保证业务数据的完整性，防止对业务数据的非授权使用、不当修改、不当操作或者损坏，保证业务系统的正常执行；对竞争性强的组织，最重要的信息安全问题是保密性；对服务性组织，可用性就显得尤其重要。这几个信息安全属性也彼此关联，为实现组织整体的信息安全目标，在选择安全模型时需要采取一种权衡的态度。

　　与信息安全相关的概念是计算机安全，计算机安全指通过技术手段和管理规程，保证计算机系统所管理的信息的保密性、完整性和可用性。

　　信息安全是依靠信息安全措施来保证的，信息安全措施指可以降低信息处理系统安全脆弱性的活动、设备、规程、技术和其他手段，信息安全措施针对特定的安全威胁和脆弱性，涉及多种信息安全技术和活动。

　　安全策略降低组织风险

　　在计算机软件和计算机硬件之外，对于信息安全而言还存在另外一个重要的影响因素，这就是湿件(Wetware)。湿件特指计算机硬件和计算机软件之外的人，包括程序员、用户和管理员。湿件这个词的出现，是人们在对计算机硬件和计算机软件的缺陷有所认识以后，对其他影响因素逐渐重视的一种反映。

　　组织的信息系统和组织的业务系统两者紧密依赖，但是并不等同。即便我们假设信息系统是完全安全的，这个组织的业务系统也未必安全，因为要维持一个组织业务系统的正常运做，必须要有人的参与，信息系统在运行过程中需要不断与人进行交互，在信息处理过程中，信息系统仅仅是业务系统的工具，在很多情况下处理工作都要人去干预，因此，重视使用过程中与人有关的信息安全问题特别重要。

　　从管理角度看，信息安全策略是组织关于信息安全的文件，是一个组织关于信息安全的基本指导规则。它通常由组织最高管理层批准，在整个组织内发布，其目标在于减少信息安全事故的发生，将信息安全事故的影响与损失降低到最小。

　　从信息系统来说，信息安全的实质就是控制和管理主体(用户和进程)对客体(数据和程序等)的访问。这种控制可以通过一系列的控制规则和目标来描述，这些控制规则和目标就叫做信息安全策略。信息安全策略描述了组织的信息安全需求以及实现信息安全的步骤。

　　策略指“以正式形式出现的，经管理层同意和批准的，规定了组织行动方向和行动自由程度的途径”，或者说策略是管理层对某个主题有关意见的一种陈述形式。信息安全策略是一组规则，这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。

　　有人把一个组织的信息安全策略划分为两类：问题策略和功能策略。问题策略描述组织所关心的信息安全领域和对这些领域内信息安全问题的基本态度。功能策略描述如何解决所关心的问题，给出具体的硬件和软件配置规格说明、使用规则以及雇员行为规则。计算机安全研究组织SANS关于计算机安全策略的定义是：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。

　　信息安全策略中包括目标、任务和限制等成分，其中目标描述了未来的信息安全状态；任务定义了与信息安全有关的活动，比如分配和收回权限；限制定义了在执行任务所规定的活动时为保证信息安全所必须遵守的规则。

　　安全策略七要素

　　指导性：信息安全策略不是技术解决方案，尽管它对制定信息安全技术解决方案有指导作用，信息安全策略只是一个组织描述保证信息安全途径的指导性文件，对于整个组织的信息安全工作提供全局性指导。

　　原则性：信息安全策略不涉及具体细节，只需要指出要完成的目标，并不涉及具体做什么和如何做。在信息安全策略中不需要规定使用的具体技术，多数情况下也不需要描述技术参数。

　　可审核性：信息安全策略是可以被审核的，即能够对组织内各部门对信息安全策略遵守的情况进行审核和评价。

　　非技术性：信息安全策略的描述语言应该是非技术性的。比如某个涉及信息加密的条目可以这样描述：“任何属于机密类别的信息，当存贮在计算机中和通过公共网络传输时，必须使用本组织信息安全官所指定的加密硬件或者加密软件予以保护。”这个条目并不涉及加密算法与秘钥长度，这样当选择新的加密算法时，旧的加密算法就很容易被替换，而不需要对信息安全策略进行修改。

　　信息安全策略应该抽象到适当的级别上，比如“计算机用户必须以可接受的方式进行身份鉴别”，就比“计算机用户必须用长度为10的字母数字串为口令”抽象级别高，因为假如有一天使用身份令牌代替口令的时候，前者的描述就不需要改变。

　　现实可行性：衡量信息安全策略的尺度首先就是现实可行性。信息安全策略与现实业务状态的关系是：信息安全策略既要符合现实业务状态，又要能包容未来一段时间内的业务发展要求。

　　动态性：信息安全策略总是偏重当前状况，而信息安全是动态变化的，技术不断发展，信息安全策略也需要不断发展，早期的一些安全控制手段可能很快就无效了。比如对进/出数据流检查，早期的安全检查方法把重点放到网关上，但是这种方法当密写技术出现后就无效了。所以信息安全策略具有明确的时效性，必须注明有效期限，避免由于对时间理解错误造成的混乱。

　　文档化：信息安全策略应该有清晰和完全的文档描述。任何组织，无论大小都应该有信息安全策略，并且有相应的行政措施保证既定的信息安全策略能够被不打折扣地执行。另一方面，组织要根据业务情况的变化和信息安全技术的发展不断修改和补充组织的信息安全策略。一个组织可以有多个信息安全策略。遵守本组织的信息安全策略，应该作为雇员的基本要求，写入用人合同，并在其工作职能中描述。

　　策略需要标准配合

　　一个组织在制定信息安全策略之后，并不能完事大吉，因为所制定的信息安全策略不一定能够马上实施，还需要制定出更详细的相关配套标准供雇员使用。比如针对加密策略，就应该为财务部门的计算机数据加密策略制定出更详细的加密标准：

　　1.所有安装Windows 2000的财务部门计算机应该利用内置加密文件系统EFS，将所有文件夹和子文件夹配置成自动加密文档方式。

　　2. 所有财务部门雇员和需要使用财务数据的其他部门雇员，必须将公司的文件和信息存放在加密的硬盘分区上。

　　3. 计算机技术部负责保管EFS恢复密钥，此密钥只能由计算机技术部经理和审计员访问。

　　类似地，对于手提电脑中的信息加密，对于电子邮件消息的加密，对于数据库中存放的数据的加密同样也需要规定类似的标准。只有当这些配套标准出台后，那些加密策略才能保证被执行。

　　在配套标准中可以明确说明使用什么样的产品对什么样类型的信息进行加密，这样的好处是：

　　1. 信息安全策略描述了总体的安全目标和方向，不会因为信息安全技术产品的升级而过时，一个信息安全策略的寿命一般是几年甚至十几年。

　　2. 充分考虑不同部门的业务差异。各个部门的信息安全要求可能不同，各部门可以通过制定不同的部门标准获得一定的自主空间。

　　3. 有详细的配套标准，可以方便雇员查询、了解和执行信息安全策略。

　　由于计算机硬件技术、软件技术、网络技术和分布式计算技术的迅速发展，特别是Internet的发展大大推动了计算机的普及，降低了计算机系统使用的难度，但是同时大大增加了计算机系统访问控制的难度，以控制硬件使用为主要手段的中心式安全控制的效果大大降低，信息安全问题日益严重。

　　大量计算机黑客的存在对于信息安全形成客观威胁，黑客是喜欢琢磨计算机实现细节的人。他们出于好奇或者其他目的在计算机系统上进行试验，尝试发现其中可利用的信息。

　　大多数人只学习对自己最必要的东西，但是黑客不同，他们喜欢了解编程细节，乐于扩展自己的能力。黑客行为指非授权的使用信息系统和网络，试图绕过系统安全机制的行为。黑客从名称上可以分为白帽黑客、黑帽黑客和灰帽黑客。白帽黑客指具有合法理由进行黑客行为的人，比如作为IT安全技术员测试自己的系统或者研究测试系统的局限。黑帽黑客指秘密进行的黑客攻击，比如破解者。而灰帽黑客则介乎白帽黑客和黑帽黑客之间。

　　长期以来，由于许多有名的信息安全事件都与软件脆弱性有关，结果导致人们这样的认识：信息安全问题的解决主要依靠技术人员。实际上这种认识不恰当，大多数信息安全事故都能够追溯到非技术性活动，多数信息安全事故起因于忽视信息安全风险，并且可能由于某个人的疏忽影响到整个组织。如果管理得法，制定适合的组织安全策略，多数信息安全事故是能够避免的。

　　名词解释

　　在提到与信息安全相关的文件时，人们使用“策略”、“标准”和“指南”等词汇，下面解释一下它们的异同。在计算机安全领域，通常按照下面的定义区分：

　　策略——英文为“Policy”，是粗线条描述信息安全需求或者规则的文件，在信息安全领域，策略通常包括了若干要点，覆盖某个领域。比如“使用策略”就包括了本组织对使用计算机系统的各种规定和要求。

　　标准——英文为“Standard”，一般是要求必须遵守的关于特定信息系统或者特定操作规程要求的集合，是组织的所有成员都要遵守的。假如组织建立了强化外部非军事区中Windows NT工作站安全的标准，雇员如果想在这个区域安装一个Windows NT工作站，就必须严格依照这个标准去做。

　　指南——英文为“Guideline”，是以改进实践为目的的关于特定信息系统或者特定操作规程的建议集合。指南只是鼓励使用，而不是强制使用，指南中的信息安全建议不要求必须遵循，即使不按照所推荐的内容去做也不会受到纪律惩罚。但是通常指南被认为是好的实践的总结，应该尽可能的遵循。指南一般都针对特定的环境和不同的适用范围。