信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

網(wǎng)絡(luò)（信息）安全防護(hù)策略是指一套關(guān)于如何使用、管理和保護(hù)網(wǎng)絡(luò)信息系統(tǒng)及敏感數(shù)據(jù)的防護(hù)規(guī)則和準(zhǔn)則，涉及企業(yè)網(wǎng)絡(luò)安全建設(shè)的方方面面，具體包括的組織的數(shù)字化系統(tǒng)、網(wǎng)絡(luò)、程序、設(shè)備、基礎(chǔ)設(shè)施、數(shù)據(jù)和內(nèi)外部用戶等因素。對現(xiàn)代企業(yè)而言，網(wǎng)絡(luò)（信息）安全防護(hù)策略是一種幫助其更有效開展網(wǎng)絡(luò)安全工作的指導(dǎo)計劃，表明了組織應(yīng)該如何更好地保護(hù)敏感信息和數(shù)據(jù)資產(chǎn)遠(yuǎn)離安全威脅。

實(shí)施網(wǎng)絡(luò)（信息）安全策略的好處

實(shí)施穩(wěn)健的網(wǎng)絡(luò)（信息）安全策略對于組織確保敏感數(shù)據(jù)的完整性、保護(hù)組織遠(yuǎn)離網(wǎng)絡(luò)事件以及滿足數(shù)字化發(fā)展中的合規(guī)要求至關(guān)重要。

一份精心設(shè)計的網(wǎng)絡(luò)（信息）安全策略可以改善組織的網(wǎng)絡(luò)安全狀況，并帶來以下7個好處：

1.設(shè)定清晰的網(wǎng)絡(luò)安全目標(biāo)

網(wǎng)絡(luò)（信息）安全策略為員工提供了清晰的行動準(zhǔn)則，以處理組織內(nèi)的敏感信息。這有助于提升組織總體網(wǎng)絡(luò)安全意識，并減少無意的內(nèi)部威脅因素。

2.指導(dǎo)實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施

通過確定網(wǎng)絡(luò)安全防護(hù)目標(biāo)，網(wǎng)絡(luò)（信息）安全策略可以幫助組織的安全運(yùn)營人員部署適當(dāng)?shù)陌踩鉀Q方案，并實(shí)施相關(guān)的安全控制措施以實(shí)現(xiàn)這些目標(biāo)。

3.更高效地響應(yīng)安全事件

通過定義逐步的事件響應(yīng)操作，網(wǎng)絡(luò)（信息）安全策略可以幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)主動解決潛在的風(fēng)險和漏洞。因此，貴組織可以迅速響應(yīng)安全事件，并減輕可能造成的后果。

4.滿足IT合規(guī)要求

網(wǎng)絡(luò)（信息）安全策略可以幫助組織遵守GDPR、SOX以及我國的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等標(biāo)準(zhǔn)和法律法規(guī)要求。另外值得一提的是，在一些主要的法律法規(guī)中，均明確要求企業(yè)組織應(yīng)該制定完善的網(wǎng)絡(luò)（信息）安全策略。

5.加強(qiáng)用戶和第三方合作伙伴的安全性

網(wǎng)絡(luò)（信息）安全策略應(yīng)該明確定義組織內(nèi)每個用戶和第三方合作伙伴的角色和責(zé)任，幫助他們了解其在保護(hù)組織網(wǎng)絡(luò)安全方面扮演的角色和要求。策略還可以加強(qiáng)用戶和所有利益相關(guān)者的責(zé)任感，從而增強(qiáng)問責(zé)制。

6.維護(hù)組織的商譽(yù)

可靠的信息安全標(biāo)準(zhǔn)和實(shí)踐有助于贏得客戶的信任。通過實(shí)施網(wǎng)絡(luò)（信息）安全策略有助于減少組織發(fā)生網(wǎng)絡(luò)安全事件的數(shù)量，進(jìn)一步提高客戶忠誠度，并打造組織品牌的良好形象。

7.提高網(wǎng)絡(luò)安全運(yùn)營效率

制定明確的策略可以幫助組織確保網(wǎng)絡(luò)安全保護(hù)工作的標(biāo)準(zhǔn)化、一致性和同步性。網(wǎng)絡(luò)安全團(tuán)隊(duì)因此可以少較花時間和精力來處理各種網(wǎng)絡(luò)安全問題。

高效網(wǎng)絡(luò)（信息）安全策略的關(guān)鍵特征

組織要制定一份切實(shí)有效的網(wǎng)絡(luò)（信息）安全策略，應(yīng)該滿足以下關(guān)鍵特征：

1、基于充分的網(wǎng)絡(luò)安全風(fēng)險評估

進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估有助于確定組織的關(guān)鍵資產(chǎn)、發(fā)現(xiàn)已有的安全風(fēng)險和漏洞，并確定風(fēng)險的優(yōu)先級。

2、明確闡述策略的目的、目標(biāo)和范圍

在制定網(wǎng)絡(luò)（信息）安全策略時，應(yīng)該明確闡述策略的目的、目標(biāo)和范圍，這樣可以提高員工的安全責(zé)任意識，了解為什么實(shí)施的目的、手段和規(guī)程以及適用對象。

3.界定網(wǎng)絡(luò)安全責(zé)任

每個網(wǎng)絡(luò)（信息）安全策略都應(yīng)該表明由誰來制定策略，誰負(fù)責(zé)更新策略，是否與組織的安全目標(biāo)保持一致，以及誰負(fù)責(zé)實(shí)施所需的安全規(guī)程。

4.準(zhǔn)確定義重要的安全術(shù)語

網(wǎng)絡(luò)（信息）安全策略的受眾通常是要面對很多非技術(shù)人員。為了避免歧義，制定者應(yīng)該確保策略能夠讓所有用戶都易于理解，而所有重要的技術(shù)術(shù)語都需要清晰簡明。

5.切合實(shí)際的管理要求

在實(shí)際應(yīng)用中，過于復(fù)雜的網(wǎng)絡(luò)（信息）安全策略可能難以實(shí)施。因此，應(yīng)該制定切合實(shí)際、易于理解又適合組織特定需求的網(wǎng)絡(luò)（信息）安全策略。同時，還應(yīng)該確保策略的需求適用于組織的網(wǎng)絡(luò)安全戰(zhàn)略，員工擁有實(shí)施策略的手段和技能。

6.定期更新與優(yōu)化

為了應(yīng)對現(xiàn)代網(wǎng)絡(luò)安全趨勢和挑戰(zhàn)，組織應(yīng)定期審核和更新網(wǎng)絡(luò)（信息）安全策略。由于技術(shù)、安全挑戰(zhàn)及其他因素不斷變化，針對針對特定問題的安全策略可能需要更頻繁的更新。

7.公司管理層的支持與參與

沒有組織領(lǐng)導(dǎo)的支持，任何網(wǎng)絡(luò)（信息）安全策略都可能失敗。因此，企業(yè)的高級管理者充分了解組織的總體安全需求，有助于在所有員工當(dāng)中落實(shí)安全策略。

8.建立報告機(jī)制

有效的網(wǎng)絡(luò)（信息）安全策略應(yīng)包括明確的準(zhǔn)則，指導(dǎo)員工如何報告安全事件和可疑的政策違規(guī)行為。這有助于及時識別和解決安全問題，盡量減少潛在的破壞。

9.滿足法規(guī)遵從

網(wǎng)絡(luò)（信息）安全策略必須考慮相關(guān)行業(yè)法規(guī)和數(shù)據(jù)隱私法律的要求。了解這些要求有助于組織依法經(jīng)營，并實(shí)施適當(dāng)?shù)拇胧﹣肀Ｗo(hù)敏感信息。

10.符合組織的業(yè)務(wù)要求

網(wǎng)絡(luò)（信息）安全策略應(yīng)該兼顧穩(wěn)健的安全性和高效的業(yè)務(wù)流程支持。每個策略都應(yīng)該體現(xiàn)組織的風(fēng)險概況，并與整體安全策略相一致。因此，一份高效的網(wǎng)絡(luò)（信息）安全策略應(yīng)該優(yōu)先保護(hù)組織最寶貴的也業(yè)務(wù)資產(chǎn)，并降低與組織業(yè)務(wù)運(yùn)營最相關(guān)的風(fēng)險。

10項(xiàng)重點(diǎn)網(wǎng)絡(luò)（信息）安全策略

下面列出了對所有類型的組織都有益的常見網(wǎng)絡(luò)（信息）安全策略：

1.可接受使用策略（Acceptable use policy）

目的：定義使用組織信息的可接受條件。

適用對象：訪問組織中計算設(shè)備、數(shù)據(jù)資產(chǎn)和網(wǎng)絡(luò)資源的所有用戶。

可接受使用策略（AUP）可以向員工解釋如何處理組織的數(shù)據(jù)資產(chǎn)、計算機(jī)設(shè)備及其他敏感資源。除了可接受使用外，策略還規(guī)定了禁止的操作。

AUP可能針對互聯(lián)網(wǎng)使用、電子郵件通訊、軟件安裝、從家里訪問公司網(wǎng)絡(luò)等方面有單獨(dú)的策略聲明。

2.網(wǎng)絡(luò)系統(tǒng)安全策略（Network security policy）

目的：概述實(shí)施、管理、監(jiān)控和維護(hù)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全的原則、程序和準(zhǔn)則。

適用對象：組織的所有用戶和網(wǎng)絡(luò)。

網(wǎng)絡(luò)系統(tǒng)安全策略（NSP）為安全訪問組織的計算機(jī)網(wǎng)絡(luò)和防范互聯(lián)網(wǎng)上的網(wǎng)絡(luò)攻擊制定了準(zhǔn)則、規(guī)則和措施。借助NSP，用戶還可以描述組織的網(wǎng)絡(luò)安全環(huán)境及其主要軟硬件部件/組件的體系結(jié)構(gòu)。

3.數(shù)據(jù)安全管理策略（Data management policy）

目的：定義維護(hù)組織數(shù)據(jù)機(jī)密性、完整性和可用性的措施。

適用對象：所有的數(shù)據(jù)存儲和信息處理系統(tǒng)，及相關(guān)系統(tǒng)的訪問用戶。

數(shù)據(jù)管理策略（DMP）規(guī)范了組織數(shù)據(jù)的使用、監(jiān)控和管理，明確規(guī)定以下幾方面：收集哪些數(shù)據(jù)？如何收集、處理和存儲數(shù)據(jù)？誰有權(quán)訪問數(shù)據(jù)？數(shù)據(jù)位于何處？何時必須刪除數(shù)據(jù)？DMP有助于組織降低數(shù)據(jù)泄露的風(fēng)險，并確保組織符合GDPR、《數(shù)據(jù)安全法》等數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和法規(guī)。

4.訪問控制策略（Access control policy）

目的：定義用戶管理對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問權(quán)方面的要求。

適用對象：訪問組織敏感資源的所有用戶和第三方。

訪問控制策略（ACP）描述如何明確、記錄、審核和修改對組織內(nèi)數(shù)據(jù)和系統(tǒng)的訪問。ACP通常包含用戶訪問權(quán)限的層次結(jié)構(gòu)，并定義誰可以訪問什么。組織應(yīng)該考慮圍繞最小特權(quán)原則構(gòu)建ACP，只向用戶提供其工作職責(zé)所必需的訪問權(quán)限。

5.密碼管理策略（Password management policy）

目的：概述安全處理用戶憑據(jù)的方法和要求。

適用對象：擁有組織賬戶憑據(jù)的所有用戶和第三方合作伙伴。

密碼管理策略（PMP）規(guī)范了組織中用戶憑據(jù)的創(chuàng)建、管理和保護(hù)。PMP強(qiáng)制要求用戶采用良好的密碼習(xí)慣，比如足夠的復(fù)雜性、長度、獨(dú)特性和定期輪換。PMP還可以規(guī)定組織中誰負(fù)責(zé)創(chuàng)建和管理用戶密碼，以及組織應(yīng)該擁有哪些密碼管理工具和功能。

6.遠(yuǎn)程訪問管理策略（Remote access policy）

目的：定義明確遠(yuǎn)程訪問組織數(shù)據(jù)和系統(tǒng)的安全管控要求。

適用對象：從公司網(wǎng)絡(luò)外部訪問組織基礎(chǔ)設(shè)施的所有用戶和設(shè)備系統(tǒng)。

如果員工經(jīng)常遠(yuǎn)程辦公，組織的遠(yuǎn)程訪問需要特別注意。為了避免從不安全的個人設(shè)備和公共網(wǎng)絡(luò)截獲網(wǎng)絡(luò)數(shù)據(jù)，組織應(yīng)該制定遠(yuǎn)程訪問策略（RAP）。遠(yuǎn)程訪問策略能夠加強(qiáng)通過遠(yuǎn)程網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò)及其他途徑訪問組織數(shù)據(jù)的安全規(guī)程。

7.第三方供應(yīng)商風(fēng)險管理策略（Vendor management policy）

目的：規(guī)范一家組織的第三方風(fēng)險管理活動。

適用對象：所有訪問企業(yè)數(shù)據(jù)和系統(tǒng)的第三方供應(yīng)商、合作伙伴及其他利益相關(guān)者。

第三方供應(yīng)商風(fēng)險管理策略（VMP）可以幫助組織進(jìn)行第三方信息安全風(fēng)險管理。VMP規(guī)定了貴組織如何識別和處理可能帶來風(fēng)險的供應(yīng)商。它還概述了防止第三方網(wǎng)絡(luò)安全事件發(fā)生時的優(yōu)先處置措施。除了直接降低第三方風(fēng)險外，VMP還可以描述貴組織應(yīng)如何核查第三方的IT基礎(chǔ)設(shè)施符合貴組織的網(wǎng)絡(luò)安全要求，從而解決供應(yīng)鏈安全風(fēng)險問題。

8.移動存儲設(shè)備管理策略（Removable media policy）

目的：概述組織內(nèi)使用USB設(shè)備的規(guī)則以及防止移動存儲設(shè)備泄密相關(guān)的安全事件防護(hù)措施。

適用對象：使用可移動介質(zhì)的所有用戶。

移動存儲設(shè)備管理策略規(guī)范了用戶正確安全地使用USB設(shè)備，比如閃存設(shè)備、SD卡、數(shù)碼相機(jī)、MP3播放機(jī)和可移動硬盤等。該策略旨在降低因使用便攜式設(shè)備而危及IT系統(tǒng)和泄露敏感數(shù)據(jù)的風(fēng)險。除了確立正確使用可移動介質(zhì)的規(guī)則外，還應(yīng)考慮實(shí)施專用軟件解決方案，以增強(qiáng)組織的USB設(shè)備安全。

9.網(wǎng)絡(luò)安全事件響應(yīng)策略（Incident response policy）

目的：規(guī)范組織在網(wǎng)絡(luò)安全事件發(fā)生時的響應(yīng)機(jī)制和流程。

適用對象：組織的安全運(yùn)營人員及其他所有利益相關(guān)者。

與網(wǎng)絡(luò)安全事件響應(yīng)計劃相似，網(wǎng)絡(luò)安全事件響應(yīng)策略概述了組織在發(fā)生網(wǎng)絡(luò)安全事件時應(yīng)采取的行動，為各類可能的事件列出了詳細(xì)的響應(yīng)方案。這種類型的策略還明確了處理事件的角色和職責(zé)、溝通策略以及報告流程。網(wǎng)絡(luò)安全事件響應(yīng)策略還可能描述恢復(fù)活動，側(cè)重于遏制事件，并減輕負(fù)面后果。它還可能包括事后調(diào)查程序。

10.網(wǎng)絡(luò)安全意識和培訓(xùn)策略（Security awareness and training policy）

目的：明確組織提高員工安全意識方面的要求，并開展相應(yīng)的培訓(xùn)活動。

適用對象：安全運(yùn)營人員及負(fù)責(zé)網(wǎng)絡(luò)安全意識培訓(xùn)活動的人員。

如果員工缺乏了解，制定再多的網(wǎng)絡(luò)信息安全策略和規(guī)則都無濟(jì)于事。安全意識和培訓(xùn)策略旨在提高員工的網(wǎng)絡(luò)安全意識，解釋遵守信息安全策略的原因，并對員工開展常見網(wǎng)絡(luò)安全威脅方面的教育。該策略定義了組織如何開展培訓(xùn)、培訓(xùn)的頻次以及誰負(fù)責(zé)主持培訓(xùn)活動等。

網(wǎng)絡(luò)（信息）安全策略應(yīng)用實(shí)踐

為了有效實(shí)施網(wǎng)絡(luò)（信息）安全策略，建議組織采取有條不紊的應(yīng)用方法，并按照以下幾個關(guān)鍵階段逐步推進(jìn)：

1、評估風(fēng)險

這個階段需要識別和評估組織的信息資產(chǎn)、潛在威脅和漏洞。風(fēng)險評估有助于了解現(xiàn)有的風(fēng)險態(tài)勢，并確定安全措施的優(yōu)先級。

2、概述策略

基于風(fēng)險評估結(jié)果，可以了解制定網(wǎng)絡(luò)信息安全策略的總體需求。組織可根據(jù)確定的范圍和所要實(shí)施的網(wǎng)絡(luò)信息安全策略類型，考慮概述所有可能的規(guī)則、規(guī)程和準(zhǔn)則。

3、實(shí)施策略

一旦制定了策略，就應(yīng)該付諸行動。這個階段包括成立專門的團(tuán)隊(duì)以負(fù)責(zé)實(shí)施策略，規(guī)定如何遵守策略方面的章程，以及實(shí)施安全控制措施以減輕已識別的風(fēng)險。

4、傳達(dá)策略

做好策略傳達(dá)工作對信息安全策略的成功應(yīng)用至關(guān)重要。因此，要讓每一個員工、承包商及其他利益相關(guān)者了解當(dāng)前網(wǎng)絡(luò)信息安全策略及重要性，以及各自在遵守策略方面的責(zé)任。

5、關(guān)注效果

組織應(yīng)該及時評估已實(shí)施的安全控制措施和策略，這包括審查日志并進(jìn)行審計，找出其中存在的安全性缺口或需要改進(jìn)的方面。策略本身也應(yīng)定期審查和更新，以確保其在不斷變化的威脅環(huán)境中保持效果。