5.2.3 安全策略的实施
当所有必要的信息系统安全策略都已经制订完毕后,就应该开始考虑策略的实施与推广。在实施与推广的过程中,也应该对随时产生的问题加以记录,并更新安全策略以解决类似的安全问题。
但同时信息安全不是业务组织和工作人员自然的需求,信息安全需求是在经历了信息损失之后才有的。所以,管理对信息安全是必不可少的。
1.注意当前网络系统存在的问题
安全策略制订完成后,现有的策略也许不能完全覆盖企业信息系统的每个方面、角落或细节,而且随着时间的推移,企业信息系统会有不同程度的改变,这时就要注意当前网络(信息)系统是否存在问题,存在哪些问题。常见的问题有以下几个方面:
①系统设备和支持的网络服务大而全。其实越少的服务意味着越少的攻击机会。
②网络系统集成了很多好看但安全性并不好的服务。例如,企业网络上传输声音文件,视频文件共享等。
③复杂的网络结构潜伏着不计其数的安全隐患。甚至不需要特别的技能和耐心就有人可发起危害极大的攻击活动。
当发现现有的信息安全策略不能很好的解决这些问题时,就需要及时制订新的策略对现有的策略予以补充与更新。
2.网络信息安全的基本原则
在信息安全策略已经得到正常实施的同时,为了计算机和网络达到更高的安全性,必须采用一些网络信息安全的基本规则。
①安全性和复杂性成反比。
②安全性和可用性成反比。
③安全问题的解决是一个动态过程。
④安全是投资,不是消费。
⑤信息安全是一个过程,而不是一个产品。
3.策略实施后要考虑的问题
安全策略实施的同时还要注意易损性分析、风险分析和威胁评估。包括资产的鉴定与评估,威胁的假定与分析,易损性评估,现有措施的评价,分析的费用及收益,信息的如何使用与管理,安全措施间的相关性如何等。有些问题在策略实施过程中也需要认真考虑。
4.安全策略的启动
安全策略“自顶向下”的设计步骤使得指导方针的贯彻、过程的处理、工作的有效性成为可能。
启动安全策略主要包括下面几个方面:启动安全策略、安全架构指导、事件响应过程、可接受的应用策略、系统管理过程、其他管理过程。具体的模型如图5-3所示。
启动安全策略:解释了策略文档的设计目的,以及组织性和过程状态描述。
安全架构指导:指在风险评估过程中对发现的威胁所采取的对策。例如,防火墙的放置位置,什么时间使用加密,Web服务器的放置位置和怎样与商业伙伴、客户进行通信联系。安全架构指导确保了安全计划设计的合理性、审核与有效控制。该部分需要专门的技术,需要接受外部的咨询机构的服务或内部培训,包括基于Web资源、书本、技术文件与会议讨论等形式。
图5-3 安全策略启动模型
事件响应过程:在出现紧急情况时,通常考虑的呼叫对象,包括公司管理人员、业务部门经理、系统安全管理小组、警察等。按照什么样的顺序进行呼叫是事件反映过程处理的一部分。
可接受的应用策略:计算机系统和网络安全策略的启动将引出各种各样的应用策略。策略的数量与类型依赖于当前的商务需求分析、风险的评估与企业文化。
系统管理过程:管理过程说明了信息如何标记与处理,以及怎样去访问这些信息。对商业需求和风险、某些地方的安全架构指导有适当了解,就可以制定出专有的平台策略和相关的处理过程。
5.实施中的法律问题
应该注意避免信息安全策略违反法律、法规和合同。信息系统的设计、使用和管理应该符合法律和合同安全要求。与法律有关的问题包括:
②软件著作权;
③人事信息的私有性和数据保护;
④组织记录的安全防护;
⑤防止监控手段的误用;
⑥加密控制规定;
⑦证据收集;
⑧事故处理。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
