编写信息安全策略 (2008 年度畅销榜NO.2223 )

信息安全策略（Security Policy ）描述一个组织高层的安全目标，它描述应该做什么而不是怎么去做。确定组织的安全策略是一个组织实现安全管理和技术措施的前提，否则所有的安全措施都将无的放矢。本书以通俗而不是专业语言描述了什么是安全策略、怎样编写安全策略以及策略的维护周期，并给出了许多安全策略的样板。\r\n\r\n本书对于企业安全策略的编写人员来说是一本难得的参考书。本书适用于各组织的高层技术人员和管理人员，特别是从事网络安全领域的研究人员、IT技术服务领域的技术和管理人员。\r\n\r\n\r\n
\r\n

第一部分 开始策略过程　1 \r\n\r\n 第1章 什么是信息安全策略　3 \r\n\r\n 1.1 关于信息安全策略　3 \r\n\r\n 1.2 策略的重要性　4 \r\n\r\n 1.3 什么时候制定策略　4 \r\n\r\n 1.4 怎样开发策略　6 \r\n\r\n 1.5 小结　8 \r\n\r\n 第2章 确定策略需求　11 \r\n\r\n 2.1 明确要保护的对象　11 \r\n\r\n 2.2 判断系统保护应该针对哪些人　13 \r\n\r\n 2.3 数据安全考虑　15 \r\n\r\n 2.4 备份. 文档存储和数据处理　17 \r\n\r\n 2.5 知识产权权利和策略　19 \r\n\r\n 2.6 意外事件响应和取证　20 \r\n\r\n 2.7 小结　22 \r\n\r\n 第3章 信息安全责任　25 \r\n\r\n 3.1 管理层的责任　25 \r\n\r\n 3.2 信息安全部门的角色　28 \r\n\r\n 3.3 其它信息安全角色　29 \r\n\r\n 3.4 了解安全管理和法律实施　31 \r\n\r\n 3.5 信息安全意识培训和支持　32 \r\n\r\n 3.6 小结　33 \r\n\r\n 第二部分 编写安全策略　35 \r\n\r\n 第4章 物理安全　37 \r\n\r\n 4.1 计算机放置地点和设施结构　37 \r\n\r\n 4.2 设备访问控制　40 \r\n\r\n 4.3 意外事件应对计划　42 \r\n\r\n 4.4 一般计算机系统安全　43 \r\n\r\n 4.5 系统和网络配置的定期审计　44 \r\n\r\n 4.6 人员方面的考虑　45 \r\n\r\n 4.7 小结　45 \r\n\r\n 第5章 身份认证和网络安全　47 \r\n\r\n 5.1 网络编址和体系结构　47 \r\n\r\n 5.2 网络访问控制　52 \r\n\r\n 5.3 登录安全　53 \r\n\r\n 5.4 口令　58 \r\n\r\n 5.5 用户界面　59 \r\n\r\n 5.6 访问控制　60 \r\n\r\n 5.7 远程办公与远程访问　61 \r\n\r\n 5.8 小结　63 \r\n\r\n 第6章 Internet安全策略　67 \r\n\r\n 6.1 理解Internet的大门　67 \r\n\r\n 6.2 管理责任　73 \r\n\r\n 6.3 用户责任　74 \r\n\r\n 6.4 WWW策略　76 \r\n\r\n 6.5 应用程序责任　81 \r\n\r\n 6.6 VPN. Extranet. Intranet和其它隧道（Tunnel）　82 \r\n\r\n 6.7 调制解调器和其它后门　82 \r\n\r\n 6.8 使用PKI和其它控制　83 \r\n\r\n 6.9 电子商务　84 \r\n\r\n 6.10 小结　85 \r\n\r\n 第7章 电子邮件安全策略　89 \r\n\r\n 7.1 电子邮件使用规则　89 \r\n\r\n 7.2 电子邮件的管理　90 \r\n\r\n 7.3 保密通信中电子邮件的使用　93 \r\n\r\n 7.4 小结　94 \r\n\r\n 第8章 病毒. 蠕虫和特洛伊木马　97 \r\n\r\n 8.1 对保护的需要　97 \r\n\r\n 8.2 建立病毒保护类型　98 \r\n\r\n 8.3 处理第三方软件的规则　100 \r\n\r\n 8.4 牵涉到病毒的用户　100 \r\n\r\n 8.5 小结　101 \r\n\r\n 第9章 加密　103 \r\n\r\n 9.1 法律问题　103 \r\n\r\n 9.2 加密管理　105 \r\n\r\n 9.3 对加密过程和被加密数据的处理　106 \r\n\r\n 9.4 关于密钥生成　107 \r\n\r\n 9.5 密钥管理　107 \r\n\r\n 9.6 小结　109 \r\n\r\n 第10章 软件开发策略　113 \r\n\r\n 10.1 软件开发过程　113 \r\n\r\n 10.2 测试和文档　117 \r\n\r\n 10.3 修正控制和配置管理　118 \r\n\r\n 10.4 第三方开发　120 \r\n\r\n 10.5 知识产权问题　122 \r\n\r\n 10.6 小结　122 \r\n\r\n 第三部分 维护策略　125 \r\n\r\n 第11章 可接受的使用策略　127 \r\n\r\n 11.1 编写AUP　127 \r\n\r\n 11.2 用户登录责任　129 \r\n\r\n 11.3 系统和网络的使用　129 \r\n\r\n 11.4 用户责任　130 \r\n\r\n 11.5 公司责任和公开制度　131 \r\n\r\n 11.6 谈话常识原则　132 \r\n\r\n 11.7 小结　133 \r\n\r\n 第12章 策略的遵守和执行　135 \r\n\r\n 12.1 策略的测试和效果　135 \r\n\r\n 12.2 策略的公布和通告需求　136 \r\n\r\n 12.3 监视. 控制和补救　137 \r\n\r\n 12.4 管理员的责任　139 \r\n\r\n 12.5 日志方面的问题　140 \r\n\r\n 12.6 安全问题的报告　141 \r\n\r\n 12.7 计算机犯罪的提交　143 \r\n\r\n 12.8 小结　144 \r\n\r\n 第13章 策略审查过程　147 \r\n\r\n 13.1 对策略文档的定期审查　147 \r\n\r\n 13.2 策略审查应该包括什么　148 \r\n\r\n 13.3 审查委员会　149 \r\n\r\n 13.4 小结　150 \r\n\r\n 第四部分 附录　151 \r\n\r\n 附录A 词汇表　153 \r\n\r\n 附录B 资源　161 \r\n\r\n B.1 计算机安全事件响应组（CERT）　161 \r\n\r\n B.2 其他意外事件响应信息　162 \r\n\r\n B.3 病毒保护　162 \r\n\r\n B.4 厂商专用安全信息　163 \r\n\r\n B.5 安全信息资源　164 \r\n\r\n B.6 安全出版物　164 \r\n\r\n B.7 工业团体和协会　165 \r\n\r\n B.8 黑客和“地下”组织　165 \r\n\r\n B.9 医疗保健信息的携带和责任法案　165 \r\n\r\n B.10 健壮性　166 \r\n\r\n B.11 密码策略和规章　167 \r\n\r\n B.12 安全策略参考资料　167 \r\n\r\n 附录C 策略范例　169 \r\n\r\n C.1 可接受的使用策略范例　170 \r\n\r\n C.2 电子邮件安全策略范例　172 \r\n\r\n C.3 管理策略范例　173 \r\n
\r\n

Internet的飞速发展带动了企业. 政府等部门电子商务. 电子政务等信息化项目的建设和发展, 计算机网络已经逐渐成为社会重要的基础设施. 然而网络安全事件频繁发生, 严重影响着各项业务的发展.

所有的成功都源于正确的计划, 尤其是对信息安全更是如此. 我们不能指望购买一套防火墙之类的安全产品就能保障网络和信息的安全. 由于各个组织之间的业务流程. 管理模式. 可用资源等各种因素的差异, 不存在放之四海而皆准的统一的解决方案. 因此每个组织都需要一个明确的安全策略来描述其究竟要保护什么, 防范什么.

信息安全策略（Security Policy）描述一个组织高层的安全目标, 它描述应该做什么而不是怎么去做. 确定组织的安全策略是一个组织实现安全管理和技术措施的前提, 否则所有的安全措施都将无的放矢.

虽然几乎所有的资料都告诉你一个好的策略是成功的安全程序的基础, 但是仍然有超过60％的公司没有安全策略或者使用过时的策略. 口前很少有企业能够拿出一份完整的安全策略的文档, 也许只有一两页纸, 甚至只是一些支离破碎的概念藏在管理人员和技术人员的脑子里.

目前市面上介绍网络安全技术的出版物很多, 但是很少有资料能告诉你, 一个企业需要怎样的安全策略, 能帮助你写出一份策略文档的更是少之有少. 本书对于企业安全策略的编写人员来说是一本难得的参考书. 它以通俗而不是专业语言描述了什么是安全策略. 怎样编写安全策略, 以及策略的维护周期, 并给出了许多安全策略的样板.

本书适用于各组织的高层技术人员和管理人员, 特别是对于从事网络安全领域的研究人员. IT技术服务领域的技术和管理人员.

本书的翻译由清华大学信息网络工程研究中心的段海新博士和清华大学经济管理学院的刘彤硕士共同完成, 有不足之处敬请读者批评指正.

译者

2002年8月于清华大学

Scott Barman目前是一位信息安全和系统结构分析师, 受聘于MITRE公司(http//wwwmitfe.org/). 他已经从事信息安全方面的工作将近20年, 为商业组织和政府机构促进系统发展和实现它们的安全要求. 从Internet被广泛使用开始, 在加人MITRE之前, 他在华盛顿特区的许多组织中的不同领域从事安全策略方面的工作. 本书的灵感来自于他的SANS’99演讲. 他从佐治亚大学获得学士学位, 从卡耐基·梅隆大学获得信息系统管理(http://www.mism.cmu.edu)硕士学位.

Internet的快速发展促使各种组织纷纷扩展他们的网络. 这种新气象可以吸引新的客户和建立新的关系, 这被称为“新经济”, 一种持续地向传统教科书发起挑战的新经济. 然而, Internet同时也为攻击者攻击组织内部的信息资源提供了一条电子路径, 这些攻击者可能遍布世界各地或者就来自该组织内部. Internet的开放性使得对安全的需求增大了.

所有的成功都源于正确的计划, 尤其是对信息安全更是如此. 你不能指望仅仅购买一套防火墙就能保护你的网络, 你需要知道你保护的是什么, 这正是信息安全策略所能做的. 策略可以帮助你的组织决定应该采取什么样的安全手段.

编写成功的信息安全策略也需要合理的计划. 本书可以帮助你完成这个过程, 它阐述了在编写一个组织的信息安全策略时所需要知道的事情. 除此以外, 本书还涉及到了安全的不同领域, 探讨了一些可能的策略方向并提供了一些示范策略, 用以加深读者对安全的了解.

很少有资料能告诉你什么是一份好的策略文档, 能帮助你写出一份策略文档的更是少之又少. 虽然几乎所有的资料都告诉你：一个好的策略是每一个成功的安全程序的基础, 但是仍然有超过60％的公司没有安全策略或者使用过时的策略. 本书所面对的读者正是那些想编写一个高效的安全策略而又不知道该如何编写的人.

我的目的就是为那些需要编写信息安全策略的人提供一些参考资料, 使他们能编写出一份合理的信息安全策略. 最后, 在合适的位置使用合理的安全策略会使得实现网络安全的工作对每个人都变得更容易.

本书所面对的读者

你可以把网络安全专业人士当作是一种特殊的听众. 他们听取和理解业务要求和管理层的需求, 同时保证网络安全, 使用户和顾客感到满意. 对这些人来说, 本书可以使他们对管理层的策略决策有一定了解. 通过理解管理层的意图, 网络管理人员不和他人商议就重新定义安全策略的可能性会小很多.

对于参与编写安全策略的非技术人员来说, 本书可以作为编写高效策略的大纲. 本书可以让他们快速了解安全的基础以及如何在业务需求中定位安全的必要性. 对于参与编写安全策略的技术人员来说, 那些帮助管理层了解安全需求的内容也可以提示他们, 什么是必须考虑到的. 书中的示范策略语句可以让人对真实策略的格式有一定了解.

对于管理者来说, 本书对信息和网络安全进行了概述, 并说明了要写出合理的安全策略, 什么是必需的. 每一章都会讨论信息安全以使决策者能够明白为什么要考虑它们. Sidebar和示范策略可以帮助管理层在策略发展过程中了解那些应当知道的趋势和术语.

本书的结构

本书共分为四个部分. 下面将依次简要介绍每部分的内容.

第一部分：开始策略过程

第1章“什么是信息安全策略”, 一开始就介绍了信息安全策略的概念和重要性. 一份信息安全策略就像是一份工程管理计划, 这意味着它隐藏了执行的细节. 第1章也讨论了为了能够了解和支持策略及其发展, 管理层在其中应该承担的责任. 评判一个人是否. 克尽职守（due diligence）总是一个问题. 如果在一次突发事件中, 暴露出了管理和实施上的不一致之处, 那么在文档书写和实现上不一致的策略将会成为接下来的调查工作的焦点.

第2章“确定策略需求”和第3章“信息安全责任”, 对那些编写信息安全策略的人来说, 是很基础的内容. 第2章首先指出了, 在编写信息安全策略之前, 编写者必须清楚要保护的是什么. 这一章还讨论了怎样确定哪种策略对于当时的环境是必需的. 第3章定义了在一个组织中, 为了实现安全, 每个人的角色和责任. 重点放在了讲述管理层的责任以及那些第一线实施的人所担当的角色. 了解这些群体对于一个成功的安全程序来说是必需的. 在这一章的最后, 讨论了对安全策略知识进行培训和支持的相关内容.

第二部分：编写安全策略

物理层次的安全策略）「常容易, 因为每个人都能理解这些概念. 但是一个好的安全策略不应该只包括枪支. 警卫和大门这些概念. 这些策略也必须同时考虑设备计划和灾难恢复过程. 在第4章“物理安全”中, 概要性地给出了一些所有安全策略都应该考虑到的事情.

安全的基础是对系统和网络的访问许可. 对任何系统和网络来说, 身份认证是第一道大门, 在这里, 用户或者账户名获得进入的许可, 而密码就好像这道大门的钥匙一样. 在第5章“身份认证和网络安全”中, 讨论了身份认证和系统访问控制的不同方面, 同时也涉及在考虑身份认证和网络体系结构安全工具的情况下怎样创建策略.

不知道你是否注意到, 本书直到第 6章“ Internet安全策略”中才提到 Internet安全. 这是因为我们必须首先讨论通常的信息安全. Internet安全策略很难编写, 因为Internet技术变化太快了. 第6章不是简单的创建一个策略, 而是在逻辑上把Internet技术分类, 并在此基础上讨论Internet安全策略, 同时说明这些技术如何影响策略的发展.

第7章“电子邮件安全策略”, 涵盖了电子邮件安全方面的复杂问题. 用于公司通信的电子邮件已经引起了很多注意. 由于电子邮件可以说是一种电子明信片, 所以它需要特别的策略考虑. 从归档到邮件内容, 在编写电子邮件策略的时候要考虑的事情是非常多的.

一个公司里面, 整整一个星期没有任何有关新的病毒. 蠕虫或是特洛伊木马的事件出现, 几乎是不可能的. 为处理这些事情的后遗症不仅要花费大量的金钱, 而且在生产效率上的损失更是无法估量的. 虽然说这些问题主要发生在特定类型的系统上, 但是仍然没有一种操作系统是绝对安全的. 第8章“病毒. 蠕虫和特洛伊木马”讨论了病毒问题以及如何创建相应的策略来保护网络.

由于在Internet上传输数据是不安全的, 所以也许有必要对数据进行加密以防止信息被泄露. 第9章“加密”就讲述了这方面的内容. “加密”这个概念现在不仅仅用于军事和间谍上, 它已经成为保证电子信息传送安全性的一种必要技术. 无论是虚拟专用网（VPN）, 还是增强的私密电子邮件, 在需要唯一性安全策略的情况下, 密码学在解决这些问题中都得到了很广泛的应用.

软件开发方法论很少把安全性作为设计时要考虑的因素. 通常都是事后才想到安全性的问题, 导致不得不采取一些非常规的手段来处理后果. 通过引进软件开发策略, 公司可以避免重复开发和防止软件中的安全性漏洞. 第10章“软件开发策略”讨论了软件开发过程以及它对公司安全的影响.

第三部分：维修策略

第11章“可接受的使用策略”解释了可接受的使用策略（AUP）的重要性以及怎样把其它策略归纳到这份文档中. AUP是一份总结了所有用户策略的文档. 通常来说, 它是一份签名文档, 简述了雇员. 合约人以及厂商的安全贡任.

在策略制定了以后, 谁来监督它的执行？如果违反了策略该如何？发生了安全违规事件谁来决定该如何响应？在第12章“策略的遵守和执行”中, 探讨了上面的和其它一些相关问题, 读者在执行任何策略之前都应该考虑到这些事项.

安全策略文档不是固定不变的, 它随着公司和技术的变化而变化. 策略必须要定期审查, 而执行审查的小组最好和制定初始策略的小组变动不大. 第门章“策略审查过程”讲述的就是这个过程, 并对如何把这个过程集成到整个公司的运作中去给出了一些建议.

第四部分：附录

附录提供了更多的信息, 使读者能更好地理解信息安全, 更好地理解策略的编写过程. 附录A“词汇表”列出并解释了本书所使用的技术术语. 附录B“资源”包括了一些额外的资源, 给出了一些讨论网络安全的网站链接, 包括一般性的或者特定系统的安全问题. 最后, 附录 C“策略范例”, 包括一些策略的范例, 读者在自己编写安全策略的时候可以把它们当作指南.