安全策略的制定企业经营的基础是经营方针、企业精神和经营理念。在这个基础之上提出具体的经营设想和各种各样的措施,然后逐步落实。因此公司的宣传体制,员工的就业规则和组织分担体制都是基于公司方针而制定出来的。
安全策略也同样。如果没有相应的企业方针和理念,那么安全策略就毫无意义。安全策略的制定就是根据企业的方针和理念,归纳总结整个组织运营的安全对策的基本轮廓并形成具体文件的工作。这是指广义上的安全策略,也叫本质上的安全策略。而且当方针和理念不明确时,安全策略就不可能成立。安全策略在信息时代具有与企业的经营方向、员工从业规则、企业理念等具有同样战略意义。
对于企业而言,最重要的是尊重与自己进行交易往来的用户的精神。如果总经理规定“我们公司绝对不能把客户信息泄露出去”的方针,那么这本身就成为安全策略。这个方针会通过具体的规则明确起来,进而作为员工的业务手册被贯彻执行。因此,安全策略是信息与网络系统安全的灵魂与核心。是企业为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和。如果从安全概念的角度来看,安全策略是通过控制对信息的只读访问来达到信息的保密性,通过控制对信息的修改访问,实现信息的完整性。安全策略包括:首先反映企业经营方针的整体安全理念;其次是策划、制定具体政策、指南;进一步的贯彻细则等三个层面。
1)安全指导方针。
它通常表现为一系列的自然语言描述的文档,是企业根据企业的任务、面临的威胁及风险分析、上层的制度、法律等制定出来限制用户使用哪些资源、如何使用资源的一组规定。
2)安全运用规则。
它是组织抽象安全策略的子集和细化,指能够由计算机、路由器等设备自动实施的安全措施的规则和约束,不能由计算机实施的安全策略由安全管理制度等物理环境安全等其他手段实施。全局自动安全策略主要从安全功能的角度考虑,分为标识与认证策略、授权与访问控制策略、信息保密与完整性策略、数字签名与抗抵赖策略、安全审计策略、***检测策略、响应与恢复策略、病毒防范策略、容错与备份策略等。
3)安全细则。
如口令管理策略、防火墙过滤规则、认证系统中的认证策略、访问控制系统中的主体的能力表、资源的访问控制链表、安全标签等等。每一条具体的规则都是可以设置与实施的。
安全策略必须明确我们要保护什么,确定保护的内容;明确如何去保护,确定保护的方法与技术手段;明确由谁去实施,承担什么责任,确定责任与分工;同时,要明确处理问题后,如何应对,确定后果处理方法等,这些就是安全策略中,每一项策略的具体的内容。
安全指导方针应该成为反映企业的经营方针、文化和理念等的安全宪法,应该由包括CISO(ChiefInformationSecurityOfficer———信息安全管理最高责任者)在内的企业最高经营管理者参与制定。根据情况,最好从外部邀请服务器安全方面的顾问参加,而且要经过法律专家的审议。安全指导方针是包括CISO在内的最高经营管理者参与拟订项目的成果。因为它从简单叙述安全策略的存在意义以及安全策略的组成开始,规定企业应该遵守什么,可能遇到的危险、威胁与遭到的损失和防卫方针、体制、责任等,通过安全指导方针可以清晰的表达企业最高经营者对网络安全重要性的充分认识和了解,并将其作为重要课题明确摆在重要位置,从而使网络安全措施的各项活动变得更加容易更加有效。可以说,这样企业的网络安全更容易得到改善。作为企业宪法的安全指导方针发表后,就陆续制定和发布作为CISO名义下的安全运用规则和执行细则等现场作业手册等,如图16—9所示。
如同我们反复强调的,企业的安全策略是与基本理念、经营战略和方向等在企业内存在的形式知识(被明文化的知识)和企业习惯等(未被明文化的知识、惯例)具有很深的牵连,因此企业的网络安全策略不能照搬照抄,而必须如实地反映这些内容,成为每个企业独自的方针。一个只有数名员工的企业和一个拥有1万名员工的企业、民营企业和国有企业在其运营目的和利害关系的程度上必然存在差异,所以他们的安全策略也必然不同。即使在民营企业里,由于企业种类、企业状况和销售渠道等特点方面的原因,也必然需要制定不同的方针。无论是什么样的组织,都要求把安全宪法作为最高方针体系,这一点上都是一致的。