关于安全政策的六个偏见

韩冰

副标题：放弃成见，制定符合实践的安全策略

' p, t0 r) o% u+ d0 w* _作者： Al Berg
5 S! Z8 x( `; V$ e- v

% R3 g4 P& i& ?: V. h: {  N
作为公司信息安全部的技术主管，我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后，我才发现自己是多么的渺小，原来的看法是多么的可笑。

& a6 c2 O. E& \8 ^  P* [

) b  b* s9 q1 S5 S在1995年期间，我们和商业伙伴之间的通讯方式还是除了书信外，就是通过电话联系，彼此之间几乎都是孤立的。在当时，因特网对我们来说只是听说过，却从来没有接触过的非常时尚的事物。
  v2 u2 a: j) T
9 }" e! w6 q, b, D, U: w

% w% m, Z& M" P. J2 B转眼间就到了2001年. 我们和商业伙伴之间都通过租借的专用网络或英特网互相传递重要的信息，电子邮件变得和电话一样重要，几乎所有的交易也都是在网上进行。这时我们周围的世界已经变得越来越复杂，老一套的安全策略已经无法适应时代的发展而急需更新。

" t% R& Y6 {- o* q+ s
) m- r6 s6 G% Z1 q
1 I8 L7 |5 a7 \0 C+ k% @在学习小组这段信息安全策略学习期间，我学会了许多新的东西，现在我把它称之为信息安全策略的六个神话。



  X* k! g$ f1 g7 k0 n6 @0 XØ 偏见1: 信息安全策略是信息安全的重要基础
5 I# z5 k! t% v1 }: R

& u  I. r7 B) v, o" P& a9 G- J
首先声明，我下面说的也许是我个人的偏见而已，但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然，并不是任何情况都如我说的这样，我认为发展信息安全策略在实际信息安全工作中应该放在第二步，第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么，以及保护的费用相对它本身的价值是否值得。比如，如果为保护可口可乐的秘方，原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。
# v& T  B# B6 u* I7 c
- d* \' V3 i6 {6 L. L( `

在实际工作中，你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。



7 h* J1 h% q* N) p" n: a信息安全风险评估任务繁重，但是完成后您将可以了解：

* 贵公司的信息资源；

# [, P8 t* S; c" ~8 ]* 正常运行并盈利的关键信息；

* 贵公司要防范的风险。
- j* S9 W/ I3 V; Z1 \- `5 L5 y5 ?


风险评估有几分象网球赛，不可能一个人完成。在多数的公司，所必需的知识和资源分布在公司各个部门。通过对信息安全风险进行恰当的评估，您可以结识公司各部门的人员，了解整个公司到底如何运行。


3 f3 e+ ?, R; M! d0 \8 o" h
3 Z6 j/ b% x3 G6 ~0 G4 s4 B- e1 eØ 偏见2：信息安全是个技术问题。


) `6 z0 D% E5 ^4 {! k
您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗？如果是这样和话，那您就应该重新审视一下你的加密策略。我告诉你：策略不是技术手册。

2 [; \, z9 L& X9 k1 O5 \+ S1 F
8 {& x9 f0 ?2 S2 [
信息安全策略能够反映贵公司维护信息安全的手段，是公司管理层对下级的指示。

" b) P+ b& k3 p+ X3 ^( n6 l
7 B& g& y+ P5 r6 _* A' z8 x7 h' Y+ C
6 b9 P( J  }0 t3 ?当然安全策略是不会具体描述如何去完成某项任务的，它只是大概地指出所要完成的目标是什么。例如，加密敏感信息的安全策略可能只有一句话：“机密或者高度机密的信息在公共网络的计算机上保存和传输时，必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话，您应该注意：

* M5 I" @# {3 A' b

* 这段话很简单，不是技术性的，而且就像高级经理要说的那样。这很好,毕竟安全策略本来就应该是公司的总体指导性原则。

9 ~) d# b/ l' T! ?6 B) o* 它申明了要达到的目标和为达到这个目标公司高层的因素。
- o% ~/ o: \1 E$ p) I: t
* 它没有具体指出要使用何种技术，如何配置。

; o# f0 j- X1 [! W8 b$ C* 它是可评估的。当检查的时候，可以对各个部门执行的表现和成绩打分。
, K3 d( p3 s) j, p: B) W
) r6 t. {5 h$ m/ H4 D0 n. i* 它不会因为某种新的加密算法已经发布（或者旧的被废除），或者您的加密算法提供商破产而修改。
% Z. w5 ?& E6 O' [/ S' _; \
! [2 [2 U. {7 c7 t
: }& f& ?5 U, @
' t! t, {  x+ ?5 a在这里您可以把信息安全的策略看做是国家的宪法。宪法并没有从细节上规定停车规则和建筑规则。但是，从中央政府到地方政府的所有法律都可以溯源到国家宪法。如同国家宪法一样，信息安全策略提供了维护网络信息系统安全日常规则的总体框架。



) S( s3 d. c2 E& V6 M/ LØ 偏见3：为支持信息安全策略，您的安全策略需要多层次的文档支持。

9 Q  e& l7 a$ ?
0 V% y- Y" E# H/ f
不要因为您在制定这些策略上投入了大量的时间和精力，就认为你的同事也同样会而且愿意投入大量的时间和精力。这里我要对你说：让你和同事的生活轻松一些吧。一旦您的安全策略确定了，要制定一套标准向有关人员和部门解释如何才能遵守这些策略。例如，《便携式计算机加密标准》，用来支持上面讨论过的策略，里面可能包含下列信息：
" k0 f8 J9 ]  ?. U
, C' W+ [) D. h" @9 K. N# t

* 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。
# a* U2 T4 E$ A7 k
* 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。
7 v' r/ D1 g( b3 Y
* 网络支持部门要保管EFS密码，以便从便携式计算机上重新获得数据。密码必须保存在安全的地方，保证仅网络支持部门的负责人和内部检查负责人可以获得。
6 ?# y9 d, R- s# K' h7 D

2 m4 t0 S. V; v! p+ G( f/ B! J1 D
其他的加密标准可能包括：如何保护保存在PDA上的信息；什么时候电子邮件信息必须加密；编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多：
  p9 G( h8 Z$ l
' j1 O6 @. C" v+ Z
' ^2 ^9 D6 \4 S
* 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住，策略仅仅表明的是公司的目标和方向，不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。

* 可以解决不同部门具体办事方式不同的问题。只要制定的标准可以同策略相符合，这些标准就可以从不同部门的实际层面上来制定。如在文档加密这个问题，战略规划部门的信息一般都是绝密的，整个用来保存的硬盘可能都要加密。如果这样，战略规划部门的加密标准就可以以此为准。
+ [) P! B6 H! s3 Y, S3 h" R
( I( p$ P1 x& N6 f8 z* 标准要便于理解，当然并不是要让公司所有人都觉得你制定的访问控制，加密算法和防火墙规则设定得让人着迷。要使同事们能够比较容易地找到实际的安全问题解决方法，不要让他们面对的只是大量无用的信息。

$ D! e* A0 w8 S* 时机很重要，因为新的策略发布时，公司里的焦急情绪就会上升。人们都想知道如何做才能符合新的策略的要求。我的建议是在实施之前较长时间就公布这些新的策略，让同事阅读理解，然后制定相应的标准应对最常见、最紧急的问题。这样才是明智的。



Ø 偏见4：新的策略的制定实施会遇到新的麻烦
" [  ?( r1 V! I; ?/ U
7 H& e" _) l  p2 D! n
) i" V$ @6 S' W" ]; @' U
您在公司的内部网一公布新的公司信息安全策略，您的收件箱可能就会出现大量的消息，它们都来自您的同事，他们对您新公布的策略感到焦急、迷惑甚至愤怒，觉得您的“大作”是个"大灾难"。他们考虑的都是执行这些策略时他们必须做的额外的工作和增加的预算。



新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动，从一开始就要包括来自公司各个部门的人员。起草策略，然后询问同事新的策略对他们的工作方式会有什么影响。例如，一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到，住在公司的一些顾问使用自己的膝上型电脑，许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略，以在安全和预算中找到平衡。

: b' j9 F9 |8 |- \  a# G
/ P9 `8 S; w9 n
% h1 `* K7 G4 U/ V尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者，并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会，可以同业务部门联络，保证安全措施同主要的业务部门相适应。

. c/ n5 h2 w6 P1 Q" K6 b3 G1 l
1 i4 c) P5 W7 z# b1 O
Ø 偏见5：适当制造一定的安全威胁对新安全策略的推广往往是很有效的。


. Q3 P$ ], i" x. \! ~
6 f- p. `  n6 Q# n& M要想赢得人们对新的策略的支持，并且让他们都遵守它是很难的，于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效，但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话，时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静，而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值，并且应该保护信息；制定新策略要在安全需要和工作需要之间找到平衡；要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。

1 m* E! d6 V0 \  Y5 W) v

4 c+ o0 e. }3 d6 TØ 偏见6：好了，新策略制定完毕，我的活干完了。
) t+ a8 ]9 \2 [( g- B# y5 e

' ]8 n: z% j  ], j
如果您今晚失眠，可以找一份典型的信息安全策略来看。马上就是第二天早晨。无论您的新策略多么地深思熟虑，多么地全面，但是如果人们不知道它们仍旧等于白费，建议让公司的高层来宣布新的安全策略。确定您的新策略散发的时候封皮上要有来自CEO的备忘录，备忘录要强调这是管理层的指示。这步完成之后，真正的工作才开始。
* }7 n$ y/ k" p
3 \9 ~( D7 s7 Q3 ?: _
3 ?% {( _; C( I( ^& s
本公司的管理层几年前就知道信息安全优先的必要性，而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里，他们：

* w" G6 c2 u7 r- e7 w8 _, c  Y* 印刷日历，日历每个月强调不同的策略，悬挂在多数办公室和隔间里面。
0 L! |5 L* }2 C/ W- X' n- s
* 用浅显、幽默的语言写一份信息安全策略基本手册，分发给员工，人手一份。

* 对所有员工进行时间为90分钟的信息安全培训。

* 举行一系列受欢迎的信息安全知识的游戏比赛，参加者可以获得奖励和表扬。
' c  P/ i: x# }- W; v- j% r" w- t
* 建立一个内部网站，作为信息安全的交流中心，其中包括所有的策略和标准。

就算您的公司不大，而且管理层没有意识到信息安全的重要性，你还是可以做到让人们了解到信息安全的重要性。以下是本人建议的几个方法：

* 每隔一周或者两周向全公司发送一份电子邮件，告诉大家一个关于安全的小提示。

* 在自助餐厅和休息室的布告板上张贴信息安全注意事项。

* 认可那些为信息安全做出贡献的员工。员工提出了好的建议或者在防止和应对信息安全事故时做出了贡献要大力宣扬，送给他们礼物，并且在公司的通讯封面上表扬他们。
- f% c9 O5 A1 f: m: \
* 设立一个“安全热线”，使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。
( Y, N% ], t" [" c6 ~: ]+ h
* 有对员工的疑问、报告有所反映，让他们很容易得到问题的解决办案。
" p) Y8 p; i0 F% n) K

: g0 l7 V! Q/ p- h6 H* d3 y3 [
% ?6 x8 w! m9 T% M) y& q修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新，用户需要得到指导，以便了解这些标准。要对遵守情况进行评估，我们的信息安全部门经常不得不对同事进行一些指导，以便让他们不犯错误。
1 [5 k7 J- h  I  f9 ~  D  @
* T( {0 X5 w; P+ q

但是，针对性太强并且太过于严格的信息安全策略却会使公司将精力都花费在安全问题上，而影响正常的商务活动。这一点，我们的安全组和公司其他部门的同事都深有体会。
4 e7 u# v( n6 m, P+ I+ L

) g) X. P# ~2 a5 ^" e( M
- {! d# O4 z3 ^+ M9 p9 d* O4 k5 q1 I－－－－－－－－－－－－－－－－－－－－－－
$ E2 d! g0 @, n! T7 d


AL BERG，CISSP，《信息安全》投稿编辑，某金融领域数据处理服务公司信息安全部门技术负责人。