详解企业安全策略的实施与开发

安全策略是决策制定者关于如何保护企业的物理资产和信息资产的职责声明,在其基本格式中,安全策略是一份文档,它描述了公司或机构的安全控制和活动。在安全策略中并没有指定技术或专门的解决方案,它定义了目的和条件的特定集合,这些目的和条件将帮助公司顺利开展网络业务。

对于全面、广泛而有效的安全规划来说,安全策略是必不可少的基础。安全策略是将管理者对于安全的期望转换为特定的可衡量和可测试的目标与对象的主要方式,它指导人们建立、安装和维护计算机系统,从而不必亲自来做这些决策。安全策略的目的是保存并保护有价值的、机密的或专用的信息,以防止非法授权的访问或泄露;限制或取消来自雇员或第三方潜在的法律责任;防止机构中资源的浪费或不合理使用。

安全策略开发者

安全策略不应当仅由信息技术部门的人员来开发,而应当由今后受该策略影响的整个组织中的各个部门人员共同努力开发出来。通常,在开发安全策略的时候不应当是由安全信息部门"闭门造车"开发出来的。然而一套好的安全策略应当让全体公司员工树立全面的安全意识,而不应当仅仅是阐明了信息技术部门的责任。每一个组织应当有一个安全核心部门,该部门负责安全策略的开发。

要求建立核心部门是因为该部门将责任汇总需要的策略并对其进行编辑,还将责任强制策略在各个相关专业部门实施和各部门有关安全的信息交流,不同部门和个人都将在安全策略中参与和扮演角色,以便保证安全策略的统领下,他们都愿意遵守安全策略。

在创建安全策略时,应当有人力资源部、法律部、信息技术部和物理安全部。人力资源部的参与的作用:当安全策略涉及到员工奖惩时,人力资源部将常常负责安全策略的强制执行。当公司策略被违犯的时候,人力资源部执行惩罚直至开除的处理。

通常人力资源部也负责与每个员工签约,约定中阐明他们已经阅读和理解了公司的政策,以便当员工不遵守政策而必须负责的时候,不会产生其他后患问题。法律部参与的好处:通常,有内部法律部门和外聘法律代表的公司将需要在组织机构的文档中重复和阐述一些法律条款,以免公司所属国和所在国适应法律的特殊条款难以回避。

为了公司的策略可以适应于公司中的单个员工,建议所有的公司在策略中给出一些具体的法律条款意见。在大多数公司,安全策略的目的在于强制计算机系统、特别是架构于计算机基础设施上的安全控制的实施。在这些公司中,从事信息技术的员工是策略实施时涉及的最大部分客户。物理安全部的作用:一些公司有物理环境安全部门,它们独立于信息技术部,而且它们与技术基础设施关系密切,这些部门通常执行策略中专门指定的物理安全控制。

安全策略的受众

安全策略的受众是所有处理公司信息的个体,包括分布于世界各地的全体员工;与公司合作的公司、顾问、服务供应商、临时工作人员;业务合作伙伴和分销商;使用信息资源的客户。

安全策略应用于计算机、网络、数据和信息资源的全体员工、合作伙伴、顾问、服务供应商和临时工,信息资源包括软件、Web浏览器、E- mail、计算机系统、工作站、PC、服务器以及网络、数据、电话、语音邮件、传真机和任何对企业业务有价值的信息连接的实体。如图1,某个典型的、需要实施安全策略的组织的结构图,安全策略的不同部分可能应用到这些组织的不同部门。通常公司的每个部门需要遵守策略的一个或多个部分。

安全策略机构

一般来说,安全策略可以接收它的受众和使用范围而被分解成多个部分,通常根据所适应的特殊环境将它划分成计算机系统和网络部、人事管理部和物理安全部三个部分。这些策略常常适应于系统和网络管理员,他们负责计算机和网络的设计、运营和技术支持。

这些策略告诉管理员应当使用什么类型的技术、怎么样放置和什么地方放置网络控制、应该为业务需求选择什么样的产品等。例如包括口令和认证机构的选择,反病毒和桌面防火墙软件、硬件防火墙、网络划分等分级保护措施的设置。策略会告诉管理员,公司将从这些不同类型的策略中得到怎样的收获。

人事管理部的安全策略,这些策略用于各个员工。一般来说,它们对全体员工有效,任何人都不能例外,以便统一整个企业的行为。这些策略将告诉员工应当怎样以安全的方式从事自己每天的业务。

例如,这类策略包括口令的管理、重要信息或机密信息的处理、社会工程的安排等。策略会告诉员工,公司对不同部门的人工有什么样的期望。物理安全部安全策略,这些策略通常用于设备和稍微外围的一些系统和网络管理员,它们需要定义需要使用什么样的物理安全控制。例如,这类策略包括可视监控系统、进出门的控制装置和声音报警器。策略告诉负责保卫安全的管理员和员工应当对公司的物理资产和员工人身安全负责。

安全策略告诉它的受众那些事情必须做,但没说这些事情如何做–这由下面的执行部分来完成,而执行部分和策略本身是完全独立的。当然,真实的技术、预算和环境将决定策略中什么能、什么不能被有效的实施,不过这些因素在建立策略时尽管需要考虑,但它们是不写入策略文档的。在策略中若考虑执行的细节,将因为依赖技术的影响而减少策略的有效性和可用性。策略不必依赖任何具体产品或技术。

为了提高策略的有效性,一套安全策略必须简单、易读,无论受众是员工、管理员或技术支持人员,策略都必须可读性强、易于理解,以便每个受众可以依据它正确地扮演好自己的角色,将策略应用到日常工作中。一套不好理解的或过于复杂的策略很可能受到冷遇,甚至被束之高阁,落满灰尘,实际工作依然是老样子,这一类策略是指一系列简单的、上级管理人员关注的直接陈述。

安全策略是管理控制体系中的一部分,它的适用范围由范围定义说明,且该适应范围定义先于安全策略开发而确定。在适应范围定义之后,接下来该做的是举例说明适用的范围和需求定义,以示例说明这些文档内容的作用。这一业务需要反映了安全策略的原则,而且安全策略定义了用于构建计算机、网络和数据存储基础设施的各项事宜,整个方案说明了开始该做什么,为什么这样做,之后说明这样做、什么时候做,以及其他详细事宜等。

安全策略的实施

安全策略是一叠有生命的文档,并不是一旦写定就可以几年不变的,策略应当有规律的更新,以反映业务条件、技术、客户要求等变化,一些文档版本控制技术可以用来帮助管理这一生命周期过程。

为了安全策略通信,当它被确认和执行时,最好将它置于在线,或放在受众可以浏览并了解哪些变化的地方。一些公司用一个企业网站展示它的安全策略,以便员工在日常工作中很容易地参阅它。

一旦安全策略开始实施、制度完善、而且很好地指导公司的运作,那么通过外部代理或内部部门可以完成审计。审计把现有实际情况和策略目标相比较。中立的第三方意见将帮助指出策略和它的实施中的弱点与问题–这要求无利益冲突的伙伴(非安全组织或信息技术部)来做审计工作。审计常常根据要求的时间- -按月、按季、按年或一些其他时间段–来完成。安全策略实施应当至少一年审计一次,因为更长的时间可能导致策略与实施的操作之间相背离。

总结

其实,安全设施必须与安全策略相分离,以使安全策略不依靠于任何具体的产品和技术。安全策略构成了行之有效的安全计划的基础。安全策略是为了保护公司而制订的各项规章制度,它描述了公司的安全控制,但并不指定具体的技术方法,它为人们提供创建、安装和维护计算机系统的指南,这样他们就没必要自己做决定,而这些决定可能与公司的高层管理目标性冲突。

安全策略应当以书面形式呈现,它告诉员工公司允许和接受哪些行为或资源的使用,哪些是禁止的和不被接受的。好的安全策略应当是公司整个安全工作的核心,而绝不仅仅是信息技术部门的职责。每一个关心安全策略的机构都应当由自己负责来开发安全策略。