在讨论计算机安全的过程中,策略这一术语具有多种含义。策略是高级管理层对建立计算机安全项目的指导,确立期目标并设定相关责任。策略这一术语也被用于表示特定系统的特定安全规则。另外,策略还可以表示完全不同的事物,如对于设定机构电子邮件隐私策略或传真安全策略的特定管理决策。
这里,计算机安全策略这一术语被定义为包含上述所有类型策略的“计算机安全决策的文档”。在制定决策时,管理人面临艰难抉择,这些抉择与资源分配、竞争的目标以及机构策略有关,涉及到技术和信息资源、指导员工行为的机构策略。所有级别的管理人作出的决策都可以成为策略,策略的适用范围因管理人的权限范围不同而各不相同。这里,我们在比较宽泛的含义上使用策略这一术语,它包括上面描述的所有策略类型,包括所有级别的管理人作出的特定策略。
计算机安全方面的管理决策有各种各样。为了区别不同类型的策略,本章将其分为三个基本类:
项目策略建立机构的计算机安全项目。
专题策略涉及到机构所关心的特定问题。
特定系统策略关注于管理层为了保护特定系统所作出的决定。
规程、标准和指导方针被用于描述在机构中执行这些策略的方法。
熟悉各种策略类型和部件可以帮助管理人处理对机构重要的计算机安全问题。有效的策略是制定和实施良好的计算机安全项目保护系统和信息的基础。
对这些类型的描述有利于读者的理解。将机构具体的策略归于三种类别的哪一种并不重要,重要的是要透彻理解其功能。
1. 项目策略
管理官员,通常是机构的领导或高级管理人员发布确立机构计算机安全项目及其基本架构的项目策略。这种高级策略定义了项目的目的及其在机构中的范围;设定了直接进行系统实施的责任(对于计算机安全机构)以及其它相关部门的责任(如信息资源管理[IRM]);并涉及到策略的执行问题。项目策略确立机构对安全的战略导向并为其实施分派资源。
项目策略的内容应该涉及到:
目的 项目策略通常包括描述为什么要建立项目的内容。这可能会包括定义项目的目标。安全相关的需要如完整性、可用性和机密性等构成了机构中所建立的策略目标的基础。例如,在负责维护大型的任务关键数据库的机构中,减少错误、减少数据丢失和毁坏以及执行恢复可能是特别重要的事情。但是,在负责维护个人机密数据的机构中,目标可能就更强调对加强防止非受权泄漏的保护。
范围 项目策略应该清晰地表明计算机安全项目涵盖的资源,包括设施、硬件和软件、信息以及人员。在许多情况下,项目包括所有的系统以及机构人员,但是也不总是这样。在有些情况下,可适当限制机构计算机安全项目的范围。
责任 一旦建立了计算机安全项目,其管理责任将会被设定给新的或已存在的人员 。
需要涉及到整个机构中所有员工和管理人员的责任问题,包括生产线管理人、应用程序拥有者、用户以及数据处理或IRM机构。策略内容的这个部分应该与计算机服务提供商以及使用所提供服务的应用管理人的责任区别开来。策略还应该确立主要系统的运行安全人员,特别是风险较高和对机构运作非常关键的系统。这也可以作为确立员工职责的基础。
在项目级别上,应该特别为实施计算机安全策略和确保其连续性的机构部门和官员设定责任 。
执行 项目策略主要涉及到两个执行方面的问题:
通常的执行确保满足建立项目和为机构各种人员设定责任的需求。通常设定一名监督官员(如监察长)负责监督执行情况,包括机构执行项目管理优先顺序的情况。
使用具体的惩罚和训诫措施。由于安全策略是级别较高的文件,对于各种违反策略行为的具体惩罚措施一般不会详细记录在这里,策略可能会授权建立执行架构,这一架构包括违反策略的行为及相应的具体惩戒措施 。
制定执行策略的时侯应该考虑到部分违反策略的人是无意的。例如,他们没有遵守策略是因为缺乏了解或培训。
2. 专题策略
项目策略涉及到整个机构范围的计算机安全项目,而专题策略是针对目前机构关心(有时候还是有争议的)的某个领域制定的。例如,机构可能发现需要发布关于制定应急计划(集中式或非集中式)或使用特定技术对系统进行风险管理的策略。例如,还可以发布关于在机构中如何正确使用新兴技术的策略。当产生新问题的时侯,也可以发布相关策略,比方说有新的保护特定信息的法律开始施行的时侯。项目策略一般比较广泛,不需要时常修改,而专题策略在技术或相关因素发生变化时可能需要修改,所以其修改频率比较高。
通常,专题和针对系统的策略的发布者是高级管理人员,策略的范围越广泛、内容越具争议性或其实施越消耗资源,那么其发布者的级别就越高。
有关专题策略的领域有很多。下面介绍两个例子:
互联网接入 许多机构将互联网视为延伸其研究机会和进行通信的方法。毫无疑问,连接互联网有很多好处但是也有一些缺点。所发布的互联网接入策略涉及到谁将使用接入、何种类型的系统连接在网络上、何种类型的信息在网络中传输、连接互联网的系统的用户认证需求以及防火墙和安全网关的使用。
电子邮件策略 电子邮件系统的用户依赖于此服务与同事或其他人进行信息通信。但是,由于系统通常由雇佣机构所有,有时管理者可能会出于各种原因(如确定其仅用于工作目的或其是否被用于传播病毒、发送攻击性邮件或泄漏机构的秘密)希望监控员工的电子邮件。另一方面,用户可能会有需要尊重其隐私的要求,就像对美国邮政的要求那样。这个领域的策略所涉及到的隐私级别根据电子邮件及其环境的不同有所不同,有些可以查阅有些则不行。
与项目策略类似,专题策略也可以分为几个基本部分:
专题描述 制定某一专题的策略,管理人必须定义专题所包含的相关含义、特性和条件。通常还需要设定策略的目标或理由,这也有利于策略的执行。例如,一个机构要制定一个关于“非官方”软件使用的专题策略,这种软件是指未经机构批准、审查或者不是机构购买、管理和拥有的软件。另外,相关的特性和环境也需要包含其中,例如员工个人拥有但是得到批准可用于工作的软件,以及其它业务单位拥有和使用并得到机构合同确认的软件。
机构立场的描述 一旦叙述完专题及其相关的含义和条件,就要在本节清晰地描述机构对此问题的立场(如管理层的决策)。继续前面的例子,这就意味着要描述在所有的或某些情况下禁止使用所定义的非官方软件,要描述是否有批准和使用方面的详细指导、或者是否可以批准例外情况以及谁来批准基于什么规则。
适用性 专题策略还需要包括适用性的描述。就是说要清晰的表述特定策略应该在何处、何时、由谁、对谁、怎样施行。比如,前面提到的关于非官方软件的假想策略可以适用于机构本身站点中的资源和员工,但不包括其它办公场所的人员。另外,还需要澄清对于来往于不同站点和/或家中需要在多个站点传送和使用磁盘的员工的适用性。
角色和责任 专题策略通常也包括对角色和责任的设定。例如,如果允许员工私人拥有的非官方软件经过适当的批准在工作中使用,那么就应该描述这样的批准权限的授权情况(策略应该通过使用职位规定谁拥有此授权)。同样的,应该明确规定谁负责确保只有得到批准的软件才能够在机构的计算机资源中使用,或许还要监控用户使用非官方软件的情况。
执行 对于某些类型的策略,可能需要详细描述哪些违反行为是不能允许的,以及这种行为的后果是什么。惩罚措施可能要明确描述并且应该与机构的人事策略和措施相一致。实施的时侯,应该与相关官员和工作人员进行协调,这可能还包括工会。最好能够设定一个特定人员来监督整个机构的实施情况。
联系点和补充信息 对于任何专题策略,应该指明机构适当的人员做为联络点以便获取进一步的信息、指导和执行。由于职位本身的变动比担任职位的人员的变动要少,所以设定职位做为联系点更加合适。例如,对于某些专题来说,联系点可能是生产线管理人;对于另一些专题可能就是设施管理人、技术支持人员、系统管理员或安全项目代表。再一次引用上面的例子,员工需要指导提出问题和了解规程信息的联系点是否是其直接上级,还是系统管理员或计算机安全人员。
策略通常还有指导方针和规程的协助。例如,关于非官方软件的专题策略可能包括对员工带入的在其它地点使用过的磁盘进行检查的规程指导方针。
3. 针对系统的策略
项目策略和专题策略都涉及到比较宽泛的内容,通常涵盖整个机构。但是,它们所提供的信息或指导不够充分,如在建立访问控制列表或培训用户应采取何种行动时。针对系统的策略填补了这个空白。由于只涉及到一种系统,所以其内容更加集中。
许多安全策略的决策只涉及到系统级别,并且在同样的机构中不同的系统有不同的安全策略。虽然这些决策对于策略来说太过详细,但是它们却非常重要,对系统的使用和安全有着重大的影响。这些类型的决策可能由行政管理人员作出,而不能由系统的技术管理员作出(但是这些决策的影响经常由系统的技术管理员进行分析)。
为了制定具有凝聚力和内容广泛的安全策略,可能需要使用管理手段将安全目标转化为安全规则。参考系统安全的两级模型可能对此有所帮助:安全目标和安全运行规则,它们组成了针对系统的策略。它们紧密相连通常难以区分,是策略的技术实施。
安全目标
管理手段的第一步是定义特定系统的安全目标。这一步骤开始于对完整性、可用性和机密性的分析,但是并不到此为止。安全目标需要更加具体;它应该被具体和正确地定义。还应该对其进行明确描述以便目标能够实现。这一手段也可应用于其它所需的机构策略。
安全目标包括一系列描述对具体资源所采取切实措施的陈述。这些目标应该基于系统的功能或使命的需要,还应该描述支持这些需要的安全行动。
制定针对系统的策略需要管理层进行取舍平衡,因为并不是所有所需的安全目标都能够被满足。管理层面临着费用、操作、技术和其它约束。
安全运行规则
在管理层完成对安全目标的设定之后,应该开始确定运行系统的规则,如定义受权和未受权的更改。谁(通过工作类别、在机构中的位置或名字确定)可以在怎样的条件下针对哪些数据类别或记录做什么(如修改、删除)。
具体所需的安全运行规则有多种多样。规则越详细,在一定程度上,当有人违反时就越容易被发现。在一定程度上,也就越容易自动执行策略。但是,过分详细的规则可能会使命令计算机实施规则的工作变得困难或计算起来很复杂。
另外,确定详细程度的时侯,管理者还应该考虑制定针对系统策略文档的正式程度。仍然是文档越正式,执行和遵循策略就越容易。另一方面,过分详细和正式的系统级策略也会增加管理负担。通常,在系统访问特权方面,建议最好使用比较正式和详细的说明。这样的访问控制策略使以后的遵循和执行更加容易。通常需要详细和正式说明的另一个领域是安全责任的设定。还有一个应该涉及到的领域是系统使用和违反策略的后果方面的规则。
其它计算机安全领域的策略决策,如本章所描述的那些内容通常记录在风险分析、审批意见或规程手册中。但是,任何有争议的、非典型的或不一般的策略还需要正式的说明。非典型的策略包括任何与机构策略或机构通常做法不一致的系统策略,无论其更严厉或更宽松。通常策略的文档会说明本策略与机构标准策略不同的原因。
针对系统的策略实施
技术在执行针对系统的策略中扮演了重要的角色,但它并不是唯一的角色。当使用技术来执行策略时,重要的是不要忽略非技术的手段。例如,基于技术系统的控制可以被用于限制对特定打印机打印机密报告。但是,相应的物理控制手段也应该被用于限制对打印机输出的访问,否则预定的安全目标将无法达成。
技术手段经常被用于执行如逻辑访问控制之类的系统安全策略。但是,还有其它一些自动化手段来执行或支持补充逻辑访问控制的安全策略。例如,可以使用技术手段防止电话用户呼叫特定的号码。入侵探测软件可以警告系统管理员发生了可疑活动或采取措施制止这一活动。个人计算机可以被设置为禁止从软盘启动。
系统安全策略基于技术的执行既有优点也有缺点。虽然没有计算机可以强迫用户遵循所有的规程,但是正确设计、编程、安装、设置和管理的计算机系统可以在计算机系统中始终如一地执行策略。管理控制也扮演重要的角色不应被忽略。另外,有时候违反策略的行为是需要也是可行的,这种违反对于一些技术性控制来说可能难以实施。如果安全策略过于严格这种情况就会经常发生(当系统分析员无法预期紧急情况并做好相关的应急准备时就会发生)。
4. 执行策略的工具:规程、标准和指导方针
由于策略是在比较宽泛层面上制定的,所以机构还制定了标准、指导方针和规程,这些内容为用户、管理人和其他人员提供了执行策略和满足机构目标的清晰的方法。标准和指导方针为保护系统设定了技术和方法。规程是完成特定安全相关任务所要遵行的详细步骤。标准、指导方针和规程可以通过手册、规章或指南的方式在机构范围内传播。
机构的标准(不要同美国国家标准、FIPS、美国联邦标准或其它国家或国际标准相混淆)设定在统一使用对机构有益的情况下统一使用特定技术、参数或规程的。机构范围内使用标准的识别证件就是一个典型的例子,这使员工可以更方便、更灵活、更自动化地出入系统。通常,标准在机构中被强制执行。
指导方针协助用户、系统人员和其他人有效地保护系统。由于系统的多样性,所以有时强制执行统一的标准可能办不到、不适宜或不经济,这时候就需要指导方针了。例如,机构的指导方针可以被用来帮助制定针对系统的标准规程。通常可以使用指导方针协助确保特定的安全措施不会被忽略,正确地执行该措施可以有多种方式。
规程通常对于遵循安全策略、标准和指导方针进行协助。它们是用户、系统操作人员或其他人员完成特定任务(如准备新的用户帐户和设定适当的特权)所需遵循的详细步骤。
有些机构发布整体的计算机安全指南、规章、手册或类似的文件。由于策略、指导方针、标准和规程是相互关联的,所以这些文件可能同时包含这几个内容。指南和规章做为重要的工具通常与策略及其实施有明显的不同,应该加以区分。这样可以为达到策略目标提供多种方法以提高其灵活性和成本效益。
