1、第4章 安全规划学习目标:管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用。英国标准协会(BSI)制订的信息安全管理标准(BS 7799)。安全管理策略的制定与实施以及制定和实施安全策略时要注意的问题。机构如何通过教育、培训和意识提升计划,使它的政策、标准和实践制度化。什么是意外事故计划,它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系。4.1引言 要建立信息安全计划,应首先建立和检查机构的信息安全政策和程序,然后,选择或建立信息安全体系结构,开发和使用详细的信息安全蓝本,为将来的成功制定计划。机构的信息安全蓝本只有与信息安全政策相互配合,才能起作用。没有政策、
2、蓝本和计划,机构就不能满足各个利益团体的信息安全需求。在现代机构中,计划的作用无论怎样强调都不过分。除了最小的机构之外,其他机构都承担着制定计划的任务:管理资源分配的策略计划和为商业环境的不确定做准备的意外事故计划。4.2信息安全政策与程序4.2.1为什么要制定安全政策与程序在当今快速发展的信息社会中,由信息技术支持的业务活动在技术、环境、管理等方面的脆弱性在不断增加,组织业务信息的安全性与业务持续性面临着各种各样的威胁,在保障组织正常运营的过程中,信息安全充当着极其重要的角色。在国内,大部分企业对信息安全的理解还只停留在技术层面上,以为企业外部网建立了防火墙能防黑客,内部网能杀病毒就达到安全
3、要求了。最近国内的几次安全事件,如亚信的电信方案被盗版,华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们,在信息安全中最活跃的因素是人,人的因素比技术因素更重要。为更有效地实施信息安全政策,需要制定详细的执行程序。例如,防范恶意软件的安全政策就需要建立一套完整的防范恶意软件的控制程序。安全程序是保障信息安全政策能有效实施的、具体化的、过程性的措施,是信息安全政策从抽象到具体,从宏观管理层落实到具体执行层的重要一环。4.2.2什么是信息安全政策与程序1安全政策的内容安全政策的内容信息安全政策从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组
4、织中的成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。(1)安全政策涉及的问题制定政策是规范各种保护组织信息资源的安全活动的重要一步,安全政策可以由组织中的安全负责人、业务人员、信息系统专家等制订,但最终都必须由组织的高级管理人员批准和发布。一个好的安全政策应当能解决如下所示问题:敏感信息如何被处理?如何正确地维护用
5、户身份与口令,以及其他账号信息?如何对潜在的安全事件、入侵企图进行响应?怎样以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统?(2)信息安全政策的层次信息安全政策可以分为两个层次,一个是信息安全方针,另一个是具体的信息安全策略。所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当简明、扼要,便于理解,但至少应包括以下内容:信息安全的定义,总体目标、范围,安全对信息共享的重要性;管理层意图、支持目标和信息安全原则的阐述;信息安全控制的简要说明,以及依从法律、法规要求对组织的重要
6、性;信息安全管理的一般和具体责任定义,包括报告安全事故。具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。信息安全中一般有3种政策:企业信息安全政策(Enterprise information security policy,EISP)特定问题安全政策(An issue-specific security policy,ISSP)特定系统政策(System-specific policies,SysSP)下面将具体介绍一下每种政策。企业信息安全政策(EISP)。企业信息安全政策(EISP)也称为一般安全政策、IT安全政
7、策和信息安全政策。EISP基于机构的任务、构想和方向,并直接支持它们。EISP为所有的安全工作制定战略方向、范围以及基调。它是一个行政级别的文件,通常由机构的首席信息官来起草,并由首席信息官协调。EISP指导安全计划的发展、实施和管理。EISP一般遵循以下两个范围:确保满足建立计划的要求,并给机构的各个部门分配职责;使用特定的处罚以及采取处罚性措施。特定问题安全政策(ISSP):在使用特定的技术时(如电子邮件、因特网)所定义的可被接受的行为规则。一般而言,特定问题安全政策涉及下面的特定技术领域:电子邮件因特网的使用防御蠕虫和病毒时计算机的最低配置禁止攻击或者测试机构的安全控制在家中使用公司的计
8、算机设备在公司网络上使用个人设备电讯技术的使用(传真和电话)影印设备的使用在机构内部制定和管理ISSP时,可以采用许多方法。最常见的是建立下列3种ISSP文件:独立的ISSP文件,每份文件针对一个特定问题。一个包括所有问题的全面的ISSP文件。一个模块化ISSP文档,它统一了政策的制定和管理,并考虑了每个特定问题的需求。图4-1 一个ISSP例子提纲有效电讯使用政策的思考 1政策综述范围和适用性使用技术的定义责任 2设备的授权访问和使用用户访问合理并负责的使用隐私的保护 3设备的禁止使用破坏性的使用或者滥用与犯罪有关的使用攻击性和扰乱性材料版权、许可,或者其他知识产权 4系统管理(1)存储资料
9、的管理(2)雇主监视(3)病毒防护(4)加密 5政策的违反(1)报告违反行为的过程(2)违反行为的惩罚 6政策检查及修改(1)政策预定的检查以及修改的步骤 7责任限制(1)责任或者拒绝的声明 特定系统政策(SysSP):它实际上是采用技术或管理措施来控制设备的配置。例如,访问控制列表就是这种政策,它定义了对某个特殊设备的访问权限。特定系统政策可以分成两个普通的类别:访问控制列表(ACL)。配置规则。配置规则是输入到安全系统的具体配置代码,在信息流经它时,该规则指导系统的执行。基于规则的策略比ACL规定得更为详细,并且他们可以和用户直接交涉,也可以不和用户直接交涉。一些安全系统要求特定的配置脚本
10、,这些脚本告诉系统他们处理每种信息的时候,系统需要执行哪种相应操作。例如,防火墙、入侵监测系统(IDSs)和代理服务器。2安全程序的内容安全程序的内容程序是为进行某项活动所规定的途径或方法。程序可以形成文件,也可以不形成文件,为确保信息安全管理活动的有效性,信息安全管理体系程序通常要求形成文件。(1)安全程序的组成信息安全管理程序包括两部分:一是实施控制目标与控制方式的安全控制程序(例如信息处置与储存程序),另一部分是为覆盖信息安全管理体系的管理与运作的程序(例如:风险评估与管理程序。(2)安全程序涉及的问题程序文件的内容通常包括:活动的目的与范围(Why)、做什么(What)、谁来做(Who
11、)、何时(When)、何地(Where)、如何做(How),应使用什么样的材料、设备和文件,如何对活动进行控制和记录,即人们常说的“5W1H”。在编写程序文件时,应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定。程序文件应简练、明确和易懂,使其具有可操作性和可检查性。程序文件应具有统一的结构与格式编排,便于文件的理解与使用。4.2.3安全政策与程序的格式1安全方针的格式安全方针的格式安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。例如:一个通用的方针格式,如表4-1所示。2安全策略的格式安全策略的格式信息安全策略的主要
12、功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础,安全策略的格式如表4-2所示。3程序文件的内容与格式程序文件的内容与格式格式示例见表4-3。4.3信息安全管理标准信息安全管理正在逐步受到安全界的重视,加强信息安全管理被普遍认为是解决信息安全问题的重要途径。但由于管理的复杂性与多样性,信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系,随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会(BSI)制订并于1999年修订的信息安全管理标准(BS 7799)受到空前重视的原因
13、。如今BS7799的一部分已经在2000末被采纳为国际标准,以标准号ISO/IEC17799发布,全名为信息安全管理实施细则。我国很多行业已经在参照BS7799或ISO/IEC17799制定自己的行业信息安全管理法规。1信息安全标准简介信息安全标准简介BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准是由英国标准协会(BSI)制定,是目前英国最畅销的标准。BS 7799标准包括如下两部分:BS 7799-1:1999信息安全管理实施细则BS
14、7799-2:1999信息安全管理体系规范其中BS7799-1:1999于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISOIEC17799:2000信息技术信息安全管理实施细则。2标准的适用范围标准的适用范围BS 7799-1-1 在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面:安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处
15、理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。虽然,实施细则中的指南内容尽可能趋于全面,并提供一套国际现行的最佳惯例的安全控制,但是实施细则中的控制方法并非适合于每一种情况,也不能将当地或技术方面的限制考虑在内,因此它还需指南文件加以补充。BS 7799-2:1999信息安全管理体系规范规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据组织的需要应实施安全控制的要求。即本标准适用以下情况:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展。作为寻求信息安全管理体系第三方认证的标准。BS 7799-2:199
16、9明确提出安全控制要求,BS 7799-1:1999对应给出了通用的控制方法(措施),因此可以说,BS 7799-1:1999为BS 7799-2:1999的具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理的全部,一个组织可以根据需要考虑另外的控制目标和控制方式。3标准的主要内容标准的主要内容下面主要以BS 7799:1999为例介绍标准的主要内容。该标准主要由两大部分组成:BS 7799-1:1999,以及BS 7799-2:1999。(1)第一部分(BS 7799-1)简介 信息安全管理实施细则,是作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件,主
17、要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项,三十六个执行目标,一百二十七种控制方法,如图4-2所示。其详细内容如表4-4所示。(2)第二部分(BS 7799-2)简介信息安全管理体系规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤,如图4-3所示:定义信息安全策略信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可
18、能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。定义ISMS的范围ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。进行信息安全风险评估信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。信息安全风险管理根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;避免风险:有些
19、风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。然而,BS 7799仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,才是真正具有挑战性的工作。BS 7799在标准里描述的所有控制方式并非都适合于每种情况,它不可能将当地系统、环境和技术
20、限制考虑在内,也不可能适合一个组织中的每个潜在的用户,因此,这个标准还需结合实际情况进一步加以补充。此外,信息安全管理建立在风险评估的基础上,而风险评估本身是一个复杂的过程,不同组织面临不同程度和不同类型的风险,风险的测度需要有效的方法支持,因此按照该标准衡量一个系统还需要一些相关技术的配合。4.4安全管理策略的制定与实施4.4.1安全管理策略的制定1理解组织业务特征和企业文化理解组织业务特征和企业文化充分了解组织业务特征是设计安全管理策略的前提,只有了解组织业务特征,才能发现并分析组织业务所处的风险环境,并在此基础上提出合理的、与组织业务目标相一致的安全保障措施,定义出技术与管理相结合的控制
21、方法,从而制定有效的的安全管理策略和程序。对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析,在信息安全中,业务一般是以资产形式表现出来,它包括信息数据、软硬件、无形资产、人员及其能力等。安全风险管理理论认为,对业务资产的适度保护对业务的成功至关重要。要实现对业务资产的有效保护,必须要对资产有很清晰的了解。对组织文化及员工状况的了解有助于知道组织中员工的安全意识、心理状况和行为状况,为制定合理的安全政策打下基础。2得到管理层的明确支持与承诺得到管理层的明确支持与承诺要制定一套好的安全管理策略,必须与决策层进行有效沟通,并得到组织高层领导的支持与承诺,这有三个作用,一是制定的安全管理策
22、略与组织的业务目标一致;二是制定的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;三是可以得到有效的资源保证,比如在制定安全策略时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。3组建一个安全策略制定小组组建一个安全策略制定小组安全策略制定小组应当由以下人员组成:高级管理人员;信息安全管理人员;负责安全政策执行的管理人员;熟悉法律事务的人员;用户部门的人员。4确定信息安全整体目标确定信息安全整体目标描述信息安全宏观需求和预期达到的目标。一个典型的目标是;通过防止和最小化安全事故的影响,保证业务持续性,并最小化业务损失,为企业的实现业务目标提供保障。5确定
23、范围确定范围确定安全管理策略要涉及的范围,组织需要根据自己的实际情况,可以在整个组织范围内、或者在个别部门或领域制定安全管理策略,这需要与组织的实施的信息安全管理体系范围结合起来考虑。6风险评估与选择安全控制风险评估与选择安全控制组织信息安全管理现状调查与风险评估工作是建立安全管理策略的基础与关键,在安全体系建立的整个过程中,风险评估工作占了很大的比例,风险评估的工作质量直接影响安全控制的合理选择和安全政策的完备制定;根据风险评估的结果,在BS 7799-2附录A中选择适合组织的控制目标与控制方式。组织选择出适合自己安全需求的控制目标与控制方式后,安全策略的制定才有了最直接的依据。7起草拟订安
24、全策略起草拟订安全策略根据前面风险评估与选择安全控制的结果,起草拟订安全策略,安全策略要尽可能地涵盖所有的风险和控制,没有涉及的内容要说明原因,根据具体的风险和控制来决定制订什么样的策略,表4-5给出了一些常用信息安全策略的示例。8评估安全策略评估安全策略安全策略被制订出来后,要进行充分的专家评估和用户测试,以评审安全策略的完备性、易用性,确定安全策略能否达到组织所需的安全目标。可以提出如下所示的问题:安全策略是否符合法津、法规、技术标准及合同的要求?管理层是否己批准了安全策略,并明确承诺支持策略的实施?安全策略是否损害了组织、员工及第三方的利益?安全策略是否实用、可操作并可以在组织中全面实施
25、?安全策略是否满足组织在各个方面的安全要求?安全策略是否已传达给组织中的员工与相关利益方,并得到了他们的同意?4.4.2安全管理策略的实施1安全策略的实施安全策略的实施安全策略通过测试评估后,需要由管理层正式批准实施。可以把安全方针与具体安全策略编制成组织信息安全策略手册,然后发布到组织中的每个员工与相关利益方,明确安全责任与义务。2策略的持续改进策略的持续改进安全策略制定实施后,并不能“高枕无忧”,组织要定期评审安全策略,并进行持续改进,因为组织所处的内外环境是不断变化的,组织的信息资产所面临的风险也是一个变数,组织中的人的思想、观念也在不断的变化,组织要想把风险控制在一个可以接受的范围内,
26、使之在理论上、标准上及方法上与时俱进。4.4.3制定和实施安全策略时要注意的问题1控制成本控制成本制定与实施信息安全策略会有一定的潜在成本,这些成本是由于在起草、评审、发布、宣传过程中举办大量行政与管理活动形成的;2在安全可靠性与业务灵活性之间进行平衡在安全可靠性与业务灵活性之间进行平衡实施安全控制在大多数情况下是对员工安全行为进行约束,对员工活动进行限制,但安全策略的执行不能影响的业务的正常运行。因为过于严格的策略或要求,只会阻碍安全策略的执行,最后大家只好敷衍了事,在安全可靠性与业务灵活性之间取得平衡。3制定合适的人力资源政策制定合适的人力资源政策通过人力资源政策,加强对员工的安全管理,这
27、是执行安全策略的有效控制手段。4注重企业安全文化的建设注重企业安全文化的建设企业实施安全策略目的主要是用管理的强制手段约束被管理者的个性行为,使其符合管理者的需要。企业信息安全管理是通过制定法律、规范、制度、标准等,约束员工的不安全行为,同时通过宣传教育等手段,使员工学会安全的行为,以保证组织信息资产目标的实现。在企业中开展信息安全文化建设,不应该把信息安全文化看作特立独行的事务,。在企业中也许看不见听不到“安全文化”的词语,但在各项工作中处处、事事体现安全文化,这才是安全文化建设的实质。4.5安全教育、培训和意识提升来自人员的信息安全威胁,通常是由于安全意识淡薄、对信息安全方针不理解或专业技
28、能不足等原因。为确保人员意识到信息安全的威胁和隐患,并在他们正常工作时遵守组织的信息安全方针,需要组织提供必要的信息安全教育与培训。这种教育和培训有时候要扩大到有关的第三方用户。4.5.1 安全教育信息安全部的一些员工可能预先并没有信息安全的相关背景或经验,当环境允许并根据需要,可以鼓励他们参加脱产的正式培训。信息安全培训项目必须包括:所有安全专业人员的信息安全教育需求所有信息技术专业人员的必备知识教育大量的高等教育机构提供了信息安全的正式学习课程。不幸的是,最近一次对这些机构的调研发现,大多数授予学位(博士或硕士)的高等院校中,计算机科学或信息系统专业实际上只包括了少量信息安全方面的课程。虽
29、然一些学位确实提供了深入和广泛的信息安全教育,但是,将来有志于从事信息安全工作的学生必须仔细审核这些高校所提供的课程数量和课程内容。4.5.2 安全培训1.培训范围培训范围应定期对从事操作和维护信息系统的工作人员进行培训,包括信息系统安全培训、政策法规的培训等。人员培训一般可分3个层次:领导层的计算机应用管理培训,软件、硬件技术人员和应用系统管理人员的技术培训,计算机操作员的上岗培训。2.培训内容培训内容(1)法律、制度和道德培训(2)规章制度的培训 3.培训技术培训技术对于一个成功的培训项目而言,良好的培训方法与培训内容同等重要。(1)传授方式培训过程中传授方式的选择并不总是以最好的培训效果
30、为唯一标准。通常应首先考虑其他因素最常见的预算、进度表以及组织的需要,表4-6列出了最常见的传授方式。(2)挑选培训人员机构为员工提供培训时,可以利用当地的培训项目、继续教育部门或者另外的对外培训机构。教授有5个或更多学生的班级与给同事们提供友好忠告完全不同,前者需要雇佣有培训经验的专家。(3)实施培训根据上面讨论的技术来开发自身战略时,普遍采用以下7步论:第1步:确定项目的范围、目的和目标;第2步:确定培训;第3步:确定培训对象;第4步:激发管理层和员工;第5步:管理项目;第6步:维护项目;第7步:评估项目;确定项目范围、目的和目标。培训项目的范围应该是所有与计算机系统相关的人员;除了内容广
31、泛的培训项目外,还应制定有针对性的培训项目;安全培训的目标是通过提高员工的保护意识、执行能力,增强对计算机的安全责任感来加强对计算机资源的保护。4.5.3 安全意识 安全意识指通过改变组织的观点,让他们意识到安全的重要性和没有保证安全所带来的不利后果,并提醒后继者。当开展一个新的意识提升项目时,有一些重要的观念要记住:人既能制造问题又能解决问题;尽量少使用技术术语,讲用户理解的语言;至少确定一个关键学习目标,清楚地说明它,提供充分的细节和报道来加强学习;尽量使事情简单,不要喋喋不休地向员工进行宣传;不要用海量信息淹没用户;帮助用户明白他们在信息安全中的任务和破坏安全将如何影响他们的工作;利用内
32、部通讯介质来传送消息;使意识提升项目正规化,策划和记录全部活动;尽快提供好的信息。好的安全意识提升项目应该是管理者以身作则,简单易懂并且为之付出持续努力。(1)员工的行为和意识 安全意识培训可以纠正员工所有危害机构信息安全的行为。通过教导员工怎样正确地处理信息、应用信息,能够降低偶然损害或者信息破坏的风险性;惩罚性策略主要是想达到以下效果:员工害怕惩罚;员工认为他们可能被抓住;员工认为如果被抓住,他们将被惩罚。如果管理者不树立一个好榜样,安全意识培训活动可能被破坏。管理者特别是上层管理者没有遵循组织的策略将很快被所有员工的行为和活动反映出来。举个例子,假设一个策略就是所有员工任何时间在显眼的位
33、置佩带统一的徽章。如果一段时候后员工发现高级主管没有佩戴徽章,那么逐渐就没有人佩戴徽章,而惩罚没有佩戴徽章员工的事也会不了了之。上层管理者对策略的破坏总是被认为缺乏对策略的支持,因此,如果管理者期望整个组织都遵循策略,他们就必须做好榜样。(2)员工的责任有效的意识培训使得员工能为他们的行为负责。在法庭上,“不知者不罪”的辩护对触犯法律的人没有什么帮助。全面而适当的传播策略能够使员工顺从。适当的意识培训可使策略的传播和实施变得更容易。明确地警告员工信息资源的处理不当、滥用和误用将不能被容忍,一个机构不会保护这样的员工从而对薄公堂时使机构能防止被犯法的员工反咬一口。(3)安全意识策略安全意识策略的
34、本质是:安全意识针对不同的对象能够呈现出不同的形式。管理者适当的安全意识能够在建立组织安全观念时起到关键的作用。(4)提高安全意识的方式许多安全意识用较低的成本就可以获得,除了时间和精力之外,并不花费资金,安全意识表现手法包括以下项目:通讯广告画和旗帜演讲和会议基于电脑的培训录像小册子和飞行物小饰物(咖啡杯、钢笔、铅笔、T恤衫)布告牌 4.6持续性策略管理者的一个重要任务是计划。IT和信息安全团体的管理者通常需要提供策略计划,以确保信息系统的持续可用。但对于管理者来说,发生某种形式的攻击的可能性非常高,无论是来自内部还是外部,蓄意还是无意,人为还是非人为,令人讨厌还是造成灾难。因此,机构内每个
35、利益团体的管理者都必须准备好在发生成功的攻击时采取行动。对此类事件有许多不同的计划:业务持续性计划(BCP)、灾难恢复计划(DRP)、事故响应计划(IRP)和应急计划(CP)。在某些机构里,这些计划也可看做一个计划。在大型、复杂的机构里,这些计划表示独立但相关的计划功能,在范围、应用性和设计上不同。应急计划项目小组所执行的主要项目工作模块如图4-4所示。下面将对每一部分具体阐述。威胁和攻击的识别业务单元分析成功攻击的场景从属计划分类潜在破坏的评估事故计划事故检测事故反应事故恢复灾难恢复计划危机管理恢复操作建立持续性策略操作的持续性计划持续性管理 图4-4 应急计划的主要步骤4.6.1 业务影响
36、分析应急计划过程开发的第一阶段是业务影响分析(BIA)。BIA研究和评估各种攻击对机构产生的影响。BIA在风险评估过程停止时开始。它是最初计划阶段的重要组成部分,因为它提供了每个攻击可能对机构产生的潜在影响的详细结果,可设计机构为响应攻击而必须采取的措施,使攻击所造成的损失达到最小,并从攻击结果中恢复,返回到正常的操作。应急计划小组在下列阶段进行BIA,这些阶段如图4-4所示:威胁攻击的识别和分级业务单元分析攻击成功场景的开发潜在损坏的评估从属计划分类4.6.2 事故响应计划事故响应计划(IRP)是对事故的识别、分类和响应。事故响应计划由识别事故后进行的一系列活动组成。在制定这样一个计划前,应
37、理解什么是事故。如前所述,事故是对信息资产的一个攻击,它明显威胁着信息资源的机密性、完整性和可用性。如果发生了威胁信息的行为并且已完成,则该行为就界定为一个事故。为讨论方便,具有下列特征的攻击才界定为事故:直接面向信息资产具有成功的现实可能性可威胁信息资源的机密性、完整性或可用性因此,事故响应(IR)是为计划、检测和改正事故对信息资产的影响而采取的一系列行动。防御措施是有意忽略的,因为这些措施是信息安全的功能,而不是事故响应的措施。换言之,事故响应主要是事后响应,而不是提前防御,除非是为事故响应小组准备响应事故而制定的计划。事故响应由4个阶段组成,这些阶段如图4-4所示:计划检测反应恢复4.6
38、.3灾难恢复计划灾难恢复计划(DRP)是为灾难(自然或人为)做准备和从灾难中恢复的计划。应急计划小组必须区分灾难和事故,但在攻击发生前,这是不可能区分出来的。一个事件最初归类为事故,但后来常常判定为一个灾难。此时,机构可以改变事故的响应方式,采取行动,确保价值最高的资产的安全,即使在短期内被破坏的风险较大,但仍在较长时间内保有价值。另外,灾难恢复计划的关键一点是恢复主站点上的操作,使机构运转起来。目标是恢复到灾难前的状态。1灾难恢复计划灾难恢复计划类似于事故响应计划的结构,对灾难事件提供详细的指导。它按灾难的类型或特性进行组织,指定了灾难期间和之后的恢复规程。它也提供参与灾难恢复工作的各类人员
39、的具体工作和责任,指出必须通知的人员和部门。灾难恢复计划和事故响应计划一样必须进行测试,测试的机制也相同。事故响应中的许多措施也可应用于灾难的恢复:必须建立清晰的优先次序。必须清晰地指派工作和责任。必须有人启动警告人员过程,通知重要人员。要必须有人对灾难进行归档。尽可能减轻灾难对机构运转的影响。如果每个人都安全,也通知了所有需要通知的人,就应开始保护物理资产。一些人负责确保所有的系统都安全地切断,以免数据进一步受损。2危机管理 灾难当然比事故的规模更大,更难以处理,但它们的计划过程是一样的,在许多情况下,计划的实施方式也类似。响应小组应把事故和灾难区分开。事故响应小组一般是从办公室或家里赶到事
40、故现场,第一步是实施事故响应计划,准备做出反应。而灾难恢复小组不必翻看标记段,就知道他们必须要做的工作。灾难恢复人员必须在没有任何文档支持的情况下知道自己应做出什么响应。这是准备、培训和预演才能产生的功效。因此,灾难恢复计划预演现在和过去一样重要。灾难期间和之后采取的行动称为危机管理。危机管理与事故响应差别很大。因为它首先关注的是所涉及的人,之后才是商务。灾难恢复小组和危机管理小组必须密切合作。3恢复操作人们对灾难的反应可能互不相同,所以不可能准确描述该过程。因此,每个机构必须在制定应急计划之前,研究各种方案,确定如何响应。如果灾难之后物理设施未受到损害,灾难恢复小组就应开始恢复系统和数据,重
41、建全部操作功能。如果机构的设备被损坏,必须采取替代措施,直到购置了新的设备为止。当灾难威胁到机构的正常运转时,灾难恢复过程就转化成业务持续性计划过程。4.6.4业务持续性计划当灾难影响到机构的正常运转时,业务持续性计划可以重建重要的业务功能。如果灾难致使业务在当前情况下不能继续运转,则必须有一个使业务继续运转的计划。不是每项业务都需要这样的计划或设备。一些公司或财政健全的机构只是停止运转,直到恢复物理设备为止。但生产和零售等机构不能这样,因为他们依赖于具体的商品,没有它们就不能重新运转。1开发持续性程序(BCP)一旦事故响应计划和灾难恢复计划准备就绪,机构就需要购置暂时设备,在灾难发生时,支持
42、业务的持续运转。持续性程序的开发比事故响应计划或灾难恢复计划要简单,因为它主要是选择持续性策略,把站外的数据存储和恢复功能集成到这个策略中。开发持续性程序的某些元素已经是机构正常运转的一部分,如站外备份服务。其他则需要特别的考虑和协商。业务持续性计划的第一部分在“灾难恢复计划开发持续性程序”联合计划时执行。确定重要的业务功能以及支持这些功能所需要的资源是开发持续性程序的基础。当灾难发生时,这些功能是第一个在预备站点重建的。应急计划小组需要任命一组人,来评估和比较各种可用的预备站点,推荐应选择和实行的策略。选中的策略通常涉及某种形式的站外设备,并定期检查、配置、保护和测试它。2持续性战略制定业务
43、持续性计划时,有许多策略可供机构选择。在这些选项中,决定性因素通常是成本。通常有三种互不相同的选项:热站点、暖站点和冷站点,以及三种共享功能:时间共享、服务台和共有协议。热站点:热站点是一个完全配置好的计算机设备,带有所有的服务、通信链接和物理设备操作,包括暖气和空调。热站点复制计算资源、外围设备、电话系统、应用程序和工作站。暖站点:比热站点低一级的是暖站点。暖站点提供与热站点相同的许多服务和选项。但它一般不包括公司需要的实际应用程序。冷站点:最后一个站点选项是冷站点。冷站点只提供初步的服务和功能,不提供计算机硬件或外围设备。时间共享:三个共享选项的第一个是时间共享。顾名思义,时间共享是与商务
44、伙伴或兄弟机构合租的热站点、暖站点或冷站点。时间共享允许机构提供灾难恢复和业务持续性选项,同时降低了整体成本。其优点与所选的站点类型相同(热站点、暖站点或冷站点)。主要的缺点是时间共享中所涉及的多个机构可能同时需要某个设备。其他缺点包括需要装备所有相关机构的设备和数据,协商时间共享的安排,如果一方或多方决定取消协议,或转租其设备,还要就相关协议进行协商。这有些类似于一群朋友为合租一套公寓达成协议。机构之间最好能保持友好的态度,因为他们都有对彼此数据的物理访问权。服务台:服务台是一个提供收费服务的代理。共有协议:共有协议是两个或多个机构之间的一个合同,指定发生灾难时彼此互助的方式。它规定,每个机
45、构都有义务提供必要的设备、资源和服务,直到机构可以从灾难中恢复为止。站外灾难数据存储:为使此类站点快速启动和运转,机构必须把数据移到新站点的系统上。操作的快速启动和运转有许多选项可供选择。有些选项可用于恢复持续性之外的其他意图。其中包括电子拱桥、远程日志和数据库镜像。电子拱桥:把大批数据转移到站外设备上,称为电子拱桥。这种转移一般通过租借的线路或收费的服务来进行。接收服务器在接收到下一个电子拱桥过程之前归档数据。一些灾难恢复公司专门从事电子拱桥服务。远程日志:把实时交易转移到站外设备上,称为远程日志。它与电子拱桥的区别是:只传输交易,不传输归档的数据。传输是实时的。电子拱桥类似于传统的备份,把大量数据转移到站外存储,而远程日志包含系统级的行为,如服务器容错,把数据同时写入两个位置。数据库镜像:它改进了远程日志过程,不只处理完全相同的实时数据存储,而且把远程站点的数据库复制到多个服务器上。它把前面提到的服务器容错和远程日志结合起来,同时写入数据库的3个或更多副本。