信息安全策略研究

The Research on Information Security Policy

山东科飞管理咨询公司  吴昌伦 王毅刚

关键字：信息安全 信息管理 信息安全管理 信息安全策略

摘要：在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨，提供了一个成文的《Email安全策略》，并对信息安全策略的优劣评价考虑的因素提供了参考。

随着社会信息化的深入和竞争的日益激烈，信息对组织的运作和发展所起到的作用越来越大，信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就，其中两个观点被本文所接受，作为本文所讨论问题的基点。一个是信息安全问题不仅仅是保密问题，信息安全（Information security）是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持，其终极目标是降低组织的业务风险，保持可持续发展；另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面（历史、文化、道德、法律、管理、技术等）的一个综合性问题，单纯从技术角度考虑是不可能得到很好解决的。

我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体，如何确定自己的对策来解决信息安全这个复杂的课题呢？

一、           组织应该有一个完整的信息安全策略

信息安全策略（Information Security Policies）也叫信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的原则，它告诉组织成员在日常的工作中什么是可以做的，什么是必须做的，什么是不能做的，哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。

如果问什么是一个好的安全策略，不是很好回答，但是可以肯定的说没有一个统一一致的信息安全策略是最差的策略。如果组织中没有关于信息安全问题的一个策略，组织的成员在使用信息或者处理信息安全问题时候缺乏正面的引导，很容易造成信息的滥用，也容易被用心不良的人钻空子，我们可以通过下面一个例子来理解这种情况。

某建筑设计院在所在城市小有名气，共有工作人员二十五人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态，会发生什么问题呢？下列情况都是有可能的：

l         小偷顺着一楼的防护栏潜入办公室偷走了……

l         保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销……

l         某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。

l         后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。

l         小李把自己感觉重要的文件备份到陈博士的计算机上，听朋友介绍Windows2000比较稳定，他决定安装Windows2000，于是他就重新给硬盘分区，成功完成了安装。

l         陈博士对张先生的不辞而别没有思想准备，甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案，可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000，只是说自己并没有设置密码。

l         尽管小李告诉陈博士已经把文件备份在陈博士的计算机上，可是陈博士没有找到自己需要的文件。

l         大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。

……

这些不是发生过并发生着么？这还没有提及蓄谋的情况，也没有提及98年洪水或者911事件这样的灾难情况下会是什么样子。

这些现象的直接原因并不复杂，所产生的后果可小可大。作为一个置身于激烈竞争环境下的现代组织，其所面临或者将要面临的情况要复杂得多，或者其组织本身就复杂得多，如何在这种背景下解决信息安全问题呢？

笔者认为组织要做好信息安全工作，首要任务是要表明组织在信息安全问题上的基本态度，实践证明信息安全策略是表达这种态度的一个好途径。一个详尽的专业化的信息全策略可以避免上面所提到的很多问题的发生。

二、怎样才算一个成功的信息安全策略

因为组织的性质、规模、环境各不相同，要彻底的回答这个问题几乎是不可能的。但是我们也不是无章可循的，从理论上来考察，一个好的策略体系应该保障组织的信息资产的机密性、可用性、完整性不被破坏；从实践角度，我们可以试着对信息安全策略的组成部分和主要内容进行一下描述，并对策略整体的比较总结出一些衡量指标，便于我们制定选择更好的策略。

（一）一个正式的信息安全策略应该包括下列信息：

²        适用范围：包括人员和时间上的范围，例如“平等的适用于所有雇员，本规定适用于工作时间和非工作时间”，消除本该受到约束的员工产生自己是个例外的想法，也保证策略不至于被误解为是针对某个人的。

²        目标：例如“为确保公司的技术、经营秘密不流失，维护企业的经济利益，根据国家有关法规，结合企业实际，特制定本条例。”明确了信息安全保护对公司是有重要意义的，而不是毫无意义和不必要的，是与国家法律相一致的而不是不受法律保护的。主题明确的策略可能有更明确的目标，例如防病毒策略的目标可以是：“为了正确执行对计算机病毒、蠕虫、特洛伊木马的预防、侦测和清除过程，特制定本策略”。

²        策略主体，详细内容见（二）。

²        策略签署。信息安全策略是强制性的、惩罚性的，策略的执行需要来自管理层的支持，通常是信息安全主管或者执行总裁，也可能是部门的主管，但是签署人的管理地位不能太低，否则会有执行的难度，如果遭到某高层主管抵制常会导致策略流产。高层主管的签署也表明信息安全不仅是信息安全部门的事情，而是和整个组织所有成员都密切相关的事情。

²        策略的生效时间和有效期（或者重新评审时间）。旧策略的更新和过时策略的废除是很重要的，应该保持生效的策略中包含新的安全要求。

²        重新评审策略的时机。策略除了常规的评审时机，在下列情况下也需要重新评审：

n         管理体系发生很大变化

n         相关法律法规发生了变化

n         信息系统或者信息技术发生大的变化

n         组织发生了重大的安全事故

²        与其他相关策略的引用关系。因为多种策略可能相互关联，引用关系可以描述策略的层次结构，而且在策略修改的时候经常涉及到相关策略的修改，清楚的引用关系也可以节省查找时间。

²        策略解释、疑问响应的人员或者部门。经验表明由于工作环境不同、知识背景不同、措辞等原因可能导致误解、歧义，应该有一个权威的解释人员或者解释结构。

²        一些例外情况的处理途径。策略如果不允许例外情况可能会变得很死板，策略中应该说明特殊情况的安全通道。

²        违反规定的后果和维护信息安全的奖励：例如规定“……将给予开除处分”，简明扼要，一句话就表明了违反该规定的人会受到什么惩罚。

策略的格式可以根据组织的惯例自行选择，所列举的项目也可以做适当的增删，例如还可以在策略的开头部分加上一个关于策略的简短说明；策略评审的时机和例外情况的处理等内容不一定每个策略都有，整个组织可以对这些内容只做一个总括性的说明（例如作为《信息安全策略手册》的通用说明出现是个好的做法）。下图是某公司的Email安全策略的部分内容，供大家参考。

（二）信息安全策略的主体内容

信息安全策略通常不是一篇文档，根据组织的复杂程度还可能分成几个层次，其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的，提供足够的信息，保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的，是适用于哪些信息资产和处理过程的。例如“绝密级的技术、经营战略，只限于主管部门总经理或副总经理批准的直接需要的科室和人员使用，……，使用科室和人员必须做好使用过程的保密工作，而且必须办理登记手续。”使每一位职员都明确组织对他授予了什么权利，以及对信息资源所负的责任。

通常一个组织可能会考虑开发下列主题的信息安全策略：

1.         环境和设备的安全

2.         信息资产的分级和人员责任

3.         安全事故的报告与响应

4.         第三方访问的安全性

5.         委外处理系统的安全

6.         人员的任用、培训和职责

7.         系统策划、验收、使用和维护的安全要求

8.         信息与软件交换的安全

9.         计算级和网络的访问控制和审核

10.     远程工作的安全

11.     加密技术控制

12.     备份、灾难恢复和可持续发展的要求

13.     符合法律法规和技术指标的要求

也可以划分更细一些，例如账号管理策略、便携式计算机使用策略、口令管理策略、防病毒策略、软件控制策略、Email使用策略、Internet访问控制策略等。每一种主题可以借鉴相关的标准和惯例，例如环境和设备安全可以参考的国家标准有：GB50174-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》等(当然这些标准制定的时间比较早，组织需要根据自己的情况判断吸收，一些信息安全要求比较高的组织可能在很多方面要超过这些标准的要求，对于大型组织也可以参考这些项目自己开发相应的标准)。

（三）要衡量一个信息安全策略整体优劣可以考虑的因素包括：

l         目的性：策略是为组织完成自己的使命而制定的，策略应该反映组织的整体利益和可持续发展的要求；

l         适用性：策略应该反映组织的真实环境，反映但前信息安全的发展水平；

l         可行性：策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱；

l         经济性：策略应该经济合理，过分复杂和草率都是不可取的。

l         完整性：能够反映组织的所有业务流程安全需要；

l         一致性：策略的一致性包括下面三个层次：

²        和国家、地方的法律法规保持一致

²        和组织已有的策略（方针）保持一致

²        整体安全策略保持一致，要反映企业对信息安全一般看法，保证用户不把该策略看成是不合理的，甚至是针对某个人的。

l         弹性：策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。

当然要开发一系列好的信息安全策略还必须措辞恰当，良好的措辞可以造就优秀的策略，而很差的用词则会起到完全相反的结果，所选用的版式和媒体对策略的效果也会有些影响。

三、信息安全策略是怎么形成的

组织要制定一个科学系统的信息安全策略首先必须回答下面的问题：

1.         组织有那些重要信息资产（信息和信息处理设施）？

2.         这些资产面临着什么样的威胁？

3.         组织的业务在多大程度上依赖于这些资产？这些资产一旦失效、失控或者泄密会给组织带来多大的损失？

4.         资产失效、失控或者泄密的可能性有多大？

要回答这些问题，组织必须进行风险评估，识别出重要信息资产和相应的风险。风险评估至少需要考虑的因素包括法律法规的要求、合作伙伴的要求和组织自身业务发展的要求等。专业的风险评估应该对风险进行量化，分类／级排序，以作为策略优先等级的依据。

一般组织没有能力总结信息安全的所有要素，ISO 17799提供了相应的材料，组织可以根据自己业务性质和环境从中选择安全要素。相关的术语和方法也可以从类似的标准中引用，例如：

²        ISO/IEC TR 13335 《信息技术安全管理指南》 (Information technology-Security techniques -Guidelines for the management of IT security(GMITS))

²        ISO/IEC 15408《信息技术安全的评估准则》(Information technology - Security techniques-Evaluation criteria for IT security)

²        GB 17859-1999计算机信息系统安全保护等级划分准则

²        GA 163－1997计算机信息系统安全专用产品分类原则

信息安全标准还有很多，识别这些信息安全标准并符合或者超过这些标准通常要比组织自己开发标准事半功倍。

组织信息安全策略的开发也可以委托专业的信息安全服务公司进行，这些服务公司根据其已有的策略模板和相关经验，能够迅速根据组织自身情况制定出合适的策略。

四、如何使信息安全策略得到贯彻

得不到贯彻的策略是一纸空文，执行不正确或者力度不够其效果也会大打折扣。信息安全策略的实施看起来简单做起来难，其关键是如何把策略准确传达给每一位相关人员。

要把策略落实到每个人的日常工作中，需要很多方法的配合使用。比方说策略的分发有一定的技巧，把策略直接送交读者，并收回旧版本的做法可以保证读者总是能够得到最新的版本；而要求读者在策略生效之前签署一个文本，说明已经收到该版本的策略，已经详细阅读且理解了其中的条款并且愿意遵守这些策略，这样可以引起其足够重视。

组织或者部门根据信息安全策略开发或者修改信息操作程序文件也是一个好办法，即建立一个文件化的信息安全管理体系，在组织的相应程序文件中体现策略的有关要求。一个程序可能一次或者多次涉及到多条安全策略，如果组织的程序文件覆盖组织的全部过程，那么程序文件也应该覆盖组织的所有安全策略，这样程序文件和信息安全策略就组成一个纵横交错的安全网络，保证策略切实得到实施，将安全风险降低到可接受的水平。BS7799-2:2002《信息安全管理体系规范》是目前国际上应用最广泛、最典型的信息安全管理体系符合性标准，如果要建立文件化的信息安全管理体系可以参考之。

能力和意识的培训也是把策略传达下去的一种好方法，在组织缺乏程序文件的时候作用更是不可忽略。这就像一个驾驶员，没有驾驶的程序文件，通过培训就能够把交通规则自觉应用到驾驶过程中的道理是一样的。而且有针对性的培训可以让相关人员很快对策略形成整体的认识和比较深刻的印象，这是公文方式往往很难达到的效果。

审核是策略得以实施的保障，组织必须有成文的审核办法，详细规定审核的周期和技术手段，及时发现问题及时解决。

总结

这里从组织的角度来考虑信息安全策略问题。笔者认为国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提供标准支持，保证组织能够以很低的费用制定出专业化的信息安全策略，提高我国的整体信息安全水平。

————————————————————————————————

参考文献：

1.         科飞管理咨询公司，《信息安全管理概论》，机械工业出版社，2002

2.         ISO/IEC 17799-1 Information security management —Part 1:Code of practice for information security management

3.         BS7799-2:2002 Information security management —Part 2: Specification for information security management systems

4.         王毅刚，吴昌伦，BS7799－2：2002及风险评估，信息技术与标准化，2002（10）

————————————————————————————————————

作者简介

吴昌伦：山东科飞管理咨询有限公司(http://www.cofly.com)信息安全部的咨询师，参与多项信息安全管理咨询项目，2002年4月信息安全测评认证中心举办的CISP培训并合格，《信息安全管理概论》（机械工业出版社ISBN 7-111-10130-8/F-1253）编委成员之一。

   王毅刚：山东科飞管理咨询有限公司(http://www.cofly.com)信息安全部的经理，参与多项信息安全管理咨询项目，2002年4月信息安全测评认证中心举办的CISP培训并合格，《信息安全管理概论》（机械工业出版社ISBN 7-111-10130-8/F-1253）编委成员之一,公开发表多篇信息安全管理论文。

联系地址：山东省烟台市解放路166号国际金融大厦24楼山东科飞管理咨询有限公司

网络地址：http://www.cofly.com

联系电话：0535-6616866，0535-6618920，0535-6151006（FAX）

电子邮件：sd@cofly.com

联系人：吴昌伦  王毅刚