为什么需要安全策略？

文档选项 未显示需要 JavaScript 的文档选项 英文原文

级别： 初级

Sean-Philip Oriyano, IT 讲师, 独立咨询顾问

2009 年 2 月 19 日

如果收集整理过去十年中影响 IT 行业的“十大”问题列表，安全性将会在该列表中占据突出的位置。组织可以在技术上一掷千金以升级安全性，但是任何成功的解决方案都需要正确的规划（从安全策略开始）。

在最纯粹的意义上，安全策略 是定义组织打算如何保护其资产的文档或文档集。根据定义，安全策略为组织提供高级指导，但是不明确地涉及技术和技巧。本文介绍如何创建安全策略，并讨论一些可用于开发安全策略并在以后强制执行安全策略的工具。

入门

在开始开发安全策略之前，务必解决一些确保项目成功的要点：

• 主管支持。要使安全规划取得成功，获得上层——换句话说，就是执行资助人——的支持是绝对必需的。该项目的执行资助人可以帮助获得资源，例如资金、人员和无疑将会需要的其他事项。如果没有“上层支持”，安全规划人员将很难评估企业的全方位风险。此外，在大多数国家，主管团队成员是在法律意义上最终负责组织中的数据的成员。
• 威胁确定和风险管理。开发安全策略的过程的一部分是确定威胁和风险。威胁 是诸如攻击者攻击基础设施或其人员等问题（不过本文将人员留给其他人去讨论）。风险 涉及到发生给定事件的可能性（例如，Web 服务器被攻击，或者密码被破解）。
• 法律和规章问题。所有组织都有某种必需遵守的法律要求（例如，客户和财务记录的管理）。这方面的要求影响到诸如加密强度、数据存储和可用性需求等技术决策。
• 对数据的责任。要使规划充分有效，组织必须承担对其所处理数据的责任。组织必须承认它在处理数据时具有某些责任，并认识到所有连带的后果，例如如何防止数据被盗或不适当的访问。在处理安全性时，始终要记住 IT 仅维护和保护数据。组织的主管是最终承担风险的人。
• 获取正确的资源。执行资助人将帮助获取人员、预算和其他资源。安全规划人员一般确定所需的特定资源。该资源综合体的技术方面是使得安全规划、评估和实现工作能够运作起来的软件和硬件工具。

回页首

创建策略

创建安全策略的过程细分为各个步骤，这些步骤描述了策略如何从头到尾地发展变化。

步骤 1：数据分类

在创建策略之前，必须对数据进行分类以确定将要如何保护数据。在此步骤期间，您将根据一系列条件对数据进行评估，在理想的情况下，这些条件包括：

• 对组织的价值。业务操作是否将会受影响？替换和重新开发数据将会花费多少成本？
• 数据的敏感性。如果数据丢失或受到未经授权的访问，后果将是什么（诉讼风险、公共信用散失或暴露诸如安全措施工作方式等其他事项）？
• 丢失风险。数据被攻击或偷窃的可能性如何？
• 保留需求。数据在丢弃之前应该保留多长时间？

针对组织中确定的每个数据源，记录对前述问题的答案。稍后您将使用这里收集的信息，确定从管理策略到技术控制等将要准备的所有内容（访问控制列表 [ACL]、加密等等）。

在确定数据并按敏感性排序之后，接下来必须对数据进行分类。为数据分配的分类级别直接影响将要保护数据的方式，以及准备来保护数据的对策（技术和其他控制）的数量和强度。

对于所记录的每项数据，确定：

• 每个分类的定义。
• 每个分类的数据和软件安全条件。
• 负责实现策略或使用数据的每组个人的角色和职责。

您将在步骤 3 中使用此信息来确定数据的特定分类级别。

注意：此分类代表了数据分类计划所需的最基本分类。对于金融、健康、联邦、军队或其他具有加强安全需求的组织，您可能必须考虑本文范围之外的附加因素。此外，某些与数据分类相关的信息可能包含在单独的策略中，例如信息管理策略。

步骤 2：业务影响分析

此过程中的下一步是对公司中的主要业务功能执行高级业务影响分析。最终，应该对所有业务功能执行此过程，但是最初，必须对认为对组织最重要的业务功能执行此过程。

应该组建一个研究团队来执行初始的影响分析，其中包含来自信息安全、信息系统（应用程序开发和支持）和业务连续性规划部门的人士以及业务单位代表。应该参与的其他人包括内部审核和法律代表。

该团队使用业务影响分析过程以：

• 确定组织中具有要保护的关键数据的实体。
• 分析施加在业务资产上的威胁。
• 确定与每个威胁相关联的风险。
• 评估信息丢失对组织的影响。
• 记录相关信息，详细描述数据破坏或丢失的影响。
• 列出支持业务操作的应用程序。

在此步骤种记录的信息将用于确定针对组织的所有部分的普遍威胁。此外，此信息还帮助诸如防火墙、入侵检测系统（intrusion detection system，IDS）、路由器 ACL 和许多其他潜在措施的布置。

步骤 3：分类级别

在步骤 1 中，您记录了组织中需要分类的数据。该过程将数据归类并记录每项数据的专门特征。在本步骤中，您将使用收集到的数据来创建和分配分类级别。

在构建分类级别时，请考虑以下几点以简化该过程：

• 为数众多的分类级别。有些组织总想为数据创建大量不同的分类级别，而后来证明这些级别是有问题的。在理想的情况下，应该使用可管理的少量分类级别以简化分配和跟踪。
• 特殊分类。分类类型在整个组织中应该是通用的。特殊或特有类型会导致混淆以及不必要的复杂化。
• 分类级别数量不足。拥有太少的分类类型会导致将数据放在可能不适合的类别中，从而导致安全性的应用不适当。
• 特征描述。每个分类级别应该清楚地定义要将什么信息放在该分类中。此外，每个分类级别必须包括有关应该如何维护数据的指导。最后，确保每个分类级别具有清楚的边界，并且不要侵犯另一个安全分类（否则可能在以后导致混淆）。

正如在步骤 1 中所提到的，不同的组织将具有不同的分类级别。不过，下面是商业性组织中使用的较常见方案之一：

• 公开。可以公开散布信息而不必担心对组织的损害
• 仅供内部使用。将在组织内使用但是公开发布将会导致损害的信息
• 公司机密。组织中限制访问的信息——明确地说，就是带有“须知”要求的信息

到目前为止，本文的讨论主要集中于数据和软件，但硬件也是安全的组成部分。每个人管理的硬件、软件和数据也必须具有适当的控制，以确保系统（硬件、软件和数据）是安全的。下面是可用于控制硬件和软件的一些控制措施。（务必记住，这些控制措施只是保护的起点。存在众多可以提高和增强安全性的其他控制措施。）

• 加密。可以对敏感数据进行加密以使其避免未经授权的泄漏。通过加密，只有拥有正确密钥的人才能够打开数据，从而限制访问。例如，加密可以保护移动硬盘或闪存驱动器以及诸如移动电话等日益普遍的移动设备（如果丢失或放错地方的话）。
• 变更控制。在此类过程中，在没有首先进行适当的审核和审批之前，不能做出变更。
• 备份和恢复。所有硬件和软件都会发生故障；拥有备份可以确保即使在发生灾难性故障时，也存在数据的副本。
• 职责分离。在多个个人之间分配敏感工作职能，意味着没有任何个人能够单独执行敏感工作。
• 访问控制。这些控制根据需要提供限制因素，例如谁可以在何时甚至从何处访问数据。
• 反病毒保护。如果没有病毒防护，不应该将任何网络、计算机、移动设备或其他系统连接到网络——甚至是作为独立系统运行。病毒可以销毁并且可能泄露数据。

步骤 4：角色和职责

由于安全规划由人员执行并通过技术来强制执行，因此必须创建不同的角色和职责。在此步骤中，您将基于业务需要创建角色，并为每个角色定义职责。

此步骤期间的重点是确定组织需要哪些工作角色，以及每个角色应该具有哪些职责。每个组织显然都是不同的；因而，角色和职责也将不同。

下面的列表显示了一些所使用的较常见角色。然而，并非所有组织都将以相同的方式定义每个角色，因此这个列表仅供参考：

• 信息所有者。负责公司业务信息资产的主管（或相应人员）
• 信息管理人。负责维护数据的个人或团体
• 应用程序所有者。负责应用程序正常工作的个人
• 用户管理人员。对公司员工拥有的所有 ID 和信息资产负有最终责任的直接管理人员或员工管理人
• 安全管理员。个人，其拥有的用户 ID 已分配了与 ACL 相关联的属性或权限
• 安全分析人员。此人员负责根据数据的价值、丢失或危害风险以及恢复的容易程度，确定数据安全方向以确保信息受到控制和保护。
• 变更控制人员。此人员负责分析对 IT 基础结构的请求的更改，并确定对应用程序的影响。
• 数据分析人员。此人员分析业务需求，以设计数据结构并提出数据定义标准和物理平台建议；还负责应用某些数据管理标准
• 用户。在他或她的工作中使用信息系统资源的公司员工、承包商或供应商

正如前面所述，您应该评估组织执行通常业务操作的方式，并确定角色和分配给每个角色的职责。

步骤 5：确定数据所有者

创建安全策略的下一步是分配各个数据源的责任——将负责监督数据管理和安全性以及确保执行维护工作的个人。在分配数据所有者时，应在该过程中考虑以下几点：

• 在理想的情况下，不应该将数据所有权赋予 IT，而是应该将其分配给 IT 之外的某个人。
• 负责管理任何给定数据源的个人需要能够完整维护给定的数据部分。

通常，不会一次分配所有的数据所有者。最重要的数据源（如上面所确定的那样）将首先选择其所有者，最不重要的数据源将最后做出选择。在确定和分配过程中还要考虑到，那些分配了数据所有权角色的人必须注意他们的职责是什么，并且您应该为他们提供有关已分配任务的培训。

步骤 6：信息和数据分类

在分配数据所有者，并向他们说明和赋予对各自数据源的控制权以后，下一步是收集信息。在此步骤期间，所有者检查他们自己的数据源和围绕那些数据源的工作职能，以确定任何特殊的需求或需要。

在收集信息以后，数据所有者应该比较以前的数据分类条件，并根据该条件对数据进行分类。在检查已分配的数据源和将准备的控制措施时，所有者应该考虑以下事项：

• 是否需要数据审核？
• 是否需要职责分离？
• 加密需求和强度是什么？
• 需要什么访问控制？
• 变更管理过程是什么？
• 将如何确保数据完整性？
• 数据保留指导原则是什么？

步骤 7：监视

在设计并实现规划以后，最后一个步骤是监视策略的有效性。监视（有时称为审核）是检查系统工作情况的过程。在安全策略的情况下，审核确定该过程是否得到遵守，并发现规划中的薄弱环境（如存在的话）。监视可由许多不同的实体承担，包括内部组织、外部合同商或者（在某些情况下）政府或法律法规机构。

监视应该持续地进行，不仅是为了捕获问题，而且是为了帮助补救过程。审核可以挑出问题，而应用结果以快速有效地解决问题将是安全管理员或其他相关方的工作。

回页首

结束语

本文介绍了安全策略的开发。按照本文介绍的步骤操作，您可以迅速开始开发您的组织的策略。只需记住，每个组织应该评估自己的独特需要，以确定任何可能影响组织的特殊情况或问题。

参考资料

• 您可以参阅本文在 developerWorks 全球网站上的 英文原文。
  
  
• 通过 Security Focus 了解有关与安全性相关的问题的更多信息。
  
  
• SANS Institute 是信息安全培训、认证和研究的可信来源。查看其培训计划和资源。
  
  
• Global Information Assurance Certification (GIAC)：GIAC 计划的主要目标是验证安全专业人员和开发人员的技能。通过获得 GIAC 认证，您将证明自己满足最基本的能力水平并拥有从事安全工作的必要技能。
  
  
• 在 developerWorks Architecture 架构专区中，获取用以提高您在体系结构方面的技能的各种资源。
  
  
• 浏览技术书店，以了解有关这些技术主题及其他技术主题的相关书籍。
  
  

• 下载 IBM 产品评估版，获得来自 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 的应用程序开发工具和中间件产品。

• 访问 developerWorks Blog，从而加入到 developerWorks 社区中来。
  
  

关于作者

		自从 1990 年以来，Sean-Philip Oriyano 一直活跃地工作在 IT 领域。在他的整个职业生涯中，他担任过诸如支持专家到顾问和高级讲师等职位。目前，他是一名 IT 讲师，专门研究各种公共和私人机构的基础结构和安全主题。Sean 曾为美国空军、美国海军和位于北美及全球的美国军队讲过课。Sean 获得了 CISSP、CHFI、CEH、CEI、CNDA、SCNP、SCPI、MCT、MCSE 和 MCITP 认证，并且是 EC-Council、ISSA、Elearning Guild 和 Infragard 的成员。

对本文的评价

太差！ (1) 需提高 (2) 一般；尚可 (3) 好文章 (4) 真棒！(5) 建议？

回页首