信息安全管理-信息安全策略管理

信息安全管理第四章?信息安全策略管理01

安全策略規(guī)劃與實施02

安全策略的管理過程ContentsPage目錄03

安全策略的描述與翻譯

04

安全策略沖突檢測與消解

隨著全球信息化程度越來越高，信息化普及范圍越來越廣，信息系統(tǒng)所受面臨威脅也越來越多，越來越復雜化。鑒于安全管理工作的難度和復雜性，在制定安全措施時必須考慮一套科學、系統(tǒng)的安全策略和執(zhí)行程序。本章重點：信息安全策略管理相關概念，信息安全策略規(guī)劃原則、過程與方法，信息安全策略管理相關技術。本章難點：信息安全策略規(guī)劃原則、過程與方法，信息安全策略管理相關技術。第四章

信息安全策略管理4.1安全策略規(guī)劃與實施4.1.1安全策略的內涵1．安全策略信息安全策略從本質上來說是描述組織具有哪些重要信息資產，并說明這些信息資產如何被保護的計劃。制定信息安全策略的目的是對組織成員闡明如何使用組織中的信息系統(tǒng)資源、如何處理敏感信息、如何采用安全技術產品，用戶在使用信息時應當承擔什么樣的責任，詳細描述對人員的安全意識與技能要求，列出被組織禁止的行為。第四章

信息安全策略管理（1）安全策略涉及的問題敏感信息如何被處理。如何正確地維護用戶身份與口令，以及其他賬號信息。如何對潛在的安全事件和入侵企圖進行響應。如何以安全的方式實現內部網及互聯(lián)網的連接。怎樣正確使用電子郵件系統(tǒng)。第四章

信息安全策略管理（2）安全策略的層次信息安全方針應當簡明、扼要，便于理解，至少應包括以下內容。信息安全的定義、總體目標和范圍，安全對信息共享的重要性。管理層意圖、支持目標和信息安全原則的闡述。信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性。信息安全管理的一般和具體責任定義，包括報告安全事故等。第四章

信息安全策略管理

具體的信息安全策略是在信息安全方針的框架內，根據風險評估的結果，為保證控制措施的有效執(zhí)行而制定的明確具體的信息安全實施規(guī)則。表4.1列出了一些常用的信息安全策略。第四章

信息安全策略管理策略名稱內容說明網絡設備安全定義組織信息系統(tǒng)環(huán)境中網絡設備的最小安全需求，包括各類交換機和路由器等。服務器安全定義組織信息系統(tǒng)環(huán)境中服務器的最小安全需求，包括各類應用系統(tǒng)服務器、數據庫服務器和事務處理服務器等。信息分類對信息資產要有詳細的記錄與分類，并作適當的價值與重要性評估，以便采用相對的安全措施來保護其機密性、完整性與可用性。信息保密定義組織中的哪些敏感信息必須進行加密保護，并采用什么樣的加密算法。用戶賬戶與口令定義用戶賬號及口令的規(guī)范，及采用、保護和改變口令的標準。遠程訪問定義外部用戶通過網絡連接訪問組織內部信息資源的規(guī)則和要求。反病毒定義組織中預防病毒與檢測病毒的技術與管理措施。防火墻及入侵檢測定義組織中預防與檢測外部非法入侵所采用的技術與管理措施。安全事件調查與響應對于組織中發(fā)生的任何安全事件，組織人員都要及時報告給相關信息安全部門與人員，安全事件要得到及時的調查與處置。災難恢復與業(yè)務持續(xù)性計劃定義災難發(fā)生時，應對災難的措施與程序，相關人員的職責和聯(lián)系辦法等。風險評估為信息安全人員識別、評估和控制風險提供授權和定義需求。信息系統(tǒng)審計為信息安全人員實施風險評估和審計活動，提供授權和定義需求，以保證信息與資源的完整性，與法律規(guī)范的符合性，并監(jiān)測系統(tǒng)和用戶活動。表4.1常用的信息安全策略2．安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)。程序是為進行某項活動所規(guī)定的途徑或方法。為確保信息安全管理活動的有效性，信息安全管理體系程序通常要求形成文件。第四章

信息安全策略管理（1）安全程序的組成信息安全管理程序包括兩部分：一是實施控制目標與控制方式的安全控制程序（例如信息處置與儲存程序），另一部分是為覆蓋信息安全管理體系的管理與運作的程序（例如：風險評估與管理程序）。程序文件應描述安全控制或管理的責任及相關活動，是信息安全策略的支持性文件，是有效實施信息安全策略、控制目標與控制方式的具體措施。第四章

信息安全策略管理（2）安全程序涉及的問題程序文件的內容通常包括：活動的目的與范圍（Why）、做什么（What）、誰來做（Who）、何時（When）、何地（Where）、如何做（How）（應使用什么樣的材料、設備和文件，如何對活動進行控制和記錄），即人們常說的“5W1H”。在編寫程序文件時，應遵循下列原則。

第四章

信息安全策略管理程序文件一般不涉及純技術性的細節(jié)，細節(jié)通常在工作指令或作業(yè)指導書中規(guī)定。程序文件是針對影響信息安全的各項活動目標的執(zhí)行做出的規(guī)定，它應闡明影響信息安全的那些管理人員、執(zhí)行人員、驗證與評審人員的職責、權力和相互關系，說明實施各種不同活動的方式、將采用的文件及將采用的控制方式。程序文件的范圍和詳細程序應取決于安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度。程序文件應當簡練、明確和易懂，便其具有可操作件和可檢查性。程序文件應當采用統(tǒng)一的結構與格式編排，便于文件的理解與使用。第四章

信息安全策略管理4.1.2安全策略的制定與管理1．安全策略制定過程（1）理解組織業(yè)務特征對組織業(yè)務的了解包括對其業(yè)務內容、性質、目標及其價值進行分析，在信息安全中，業(yè)務一般是以資產形式表現出來，它包括信息的數據、軟件和硬件、無形資產、人員及其能力等。安全風險管理理論認為，對業(yè)務資產的適度保護對業(yè)務的成功至關重要。要實現對業(yè)務資產的有效保護，必須要對資產有很清晰地了解。對組織文化及人員狀況的了解有助于掌握人員的安全意識、心理狀況和行為狀況，為制定合理的安全策略打下基礎。第四章

信息安全策略管理（2）得到管理層的明確支持與承諾一是使制定的信息安全策略與組織的業(yè)務目標一致；二是使制定的安全方針、政策和控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證。第四章

信息安全策略管理（3）組建安全策略制定小組安全策略制定小組的人員組成如下。高級管理人員。信息安全管理員。信息安全技術人員。負責安全策略執(zhí)行的管理人員。用戶部門人員。第四章

信息安全策略管理（4）確定信息安全整體目標即描述信息安全宏觀需求和預期達到的目標。一個典型的目標是：通過防止和最小化安全事故的影響，保證業(yè)務持續(xù)性，使業(yè)務損失最小化，并為業(yè)務目標的實現提供保障。（5）確定安全策略范圍組織需要根據自己的實際情況確定信息安全策略要涉及的范圍，可以在整個組織范圍內，或者在個別部門或領域制定信息安全策略，這需要與組織實施的信息安全管理體系范圍結合起來考慮。第四章

信息安全策略管理（6）風險評估與選擇安全控制風險評估的工作質量直接影響安全控制的合理選擇和安全策略的完備制定。風險評估的結果是選擇適合組織的控制目標與控制方式的基礎，組織選擇出了適合自己安全需求的控制目標與控制方式后，安全策略的制定才有了最直接的依據。第四章

信息安全策略管理（7）起草擬定安全策略安全策略要盡可能地涵蓋所有的風險和控制，沒有涉及的內容要說明原因，并闡述如何根據具體的風險和控制來決定制訂什么樣的安全策略。（8）評估安全策略評估時可以考慮以下問題。安全策略是否符合法津、法規(guī)、技術標準及合同的要求。管理層是否已批準了安全策略，并明確承諾支持政策的實施。安全策略是否損害組織、組織人員及第三方的利益。第四章

信息安全策略管理安全策略是否實用、可操作并可以在組織中全面實施。安全策略是否滿足組織在各個方面的安全要求。安全策略是否已傳達給組織中的人員與相關利益方，并得到了他們的同意。第四章

信息安全策略管理（9）實施安全策略幾乎所有層次的所有人員都會涉及這些政策。組織中的主要資源將被這些政策所涵蓋。將引入許多新的條款、程序和活動來執(zhí)行安全策略。第四章

信息安全策略管理（10）政策的持續(xù)改進組織要定期評審安全策略，并對其進行持續(xù)改進，在這個不斷變化的環(huán)境中，組織要想把風險控制在一個可以接受的范圍內，就要對控制措施及信息安全策略進行持續(xù)的改進，使之在理論上、標準上及方法上持續(xù)改進。第四章

信息安全策略管理2．安全策略制定原則起點進入原則長遠安全預期原則最小特權原則公認原則適度復雜與經濟原則第四章

信息安全策略管理3．安全策略管理辦法（1）集中式管理所謂集中式管理就是在整個網絡系統(tǒng)中，由統(tǒng)一、專門的安全策略管理部門和人員對信息資源和信息系統(tǒng)使用權限進行計劃和分配。集中式管理模式簡單、易于控制，但是工作量過于集中，操作起來就會有一定困難。第四章

信息安全策略管理（2）分布式管理分布式管理就是將信息系統(tǒng)資源按照不同的類別進行劃分，然后根據資源類型的不同，由負責此類資源管理的部門或人員負責安全策略的制定和實施。分布式管理存在一定的風險，即各個部門制定的安全策略之間可能會存在不一致。它的優(yōu)點也很明顯，即分布式管理可以大大減輕集中式管理給信息安全管理人員帶來的巨大壓力。第四章

信息安全策略管理4.2安全策略的管理過程

基于策略的管理是由策略驅動管理過程，本質上是對策略的管理。策略管理將管理和執(zhí)行分離，管理者只需要按照策略的形式描述其目標和約束，制定出策略以約束系統(tǒng)行為，系統(tǒng)實體執(zhí)行策略，這種方式減輕了管理員負擔，提高了管理效率。第四章

信息安全策略管理1．安全策略統(tǒng)一描述技術2．安全策略自動翻譯3．安全策略沖突檢測與消解4．安全策略發(fā)布與分發(fā)技術5．安全策略狀態(tài)監(jiān)控技術第四章

信息安全策略管理4.3安全策略的描述與翻譯4.3.1安全策略的描述1．面向對象的策略統(tǒng)一描述語言PonderPonder策略描述語言是由英國皇家學院歷時10年發(fā)展而成的策略管理領域的研究成果。Ponder策略描述語言是一種面向對象的說明性語言，它能夠定義基于角色的訪問控制安全策略和一般的分布式系統(tǒng)管理策略。Ponder的一個典型特征是相關策略是組合的，角色間的相互作用被定義為關系，這個結構能夠很好地促進策略的重用和靈活性。Ponder是一個比較完整的語言，它允許安全、QoS和更多普通的策略描述。第四章

信息安全策略管理

Ponder定義了四種基本策略類型：授權策略、委托策略、義務策略和抑制策略?；静呗钥梢詮秃?，Ponder定義了四種復合策略：組、角色、角色關系和管理結構。Ponder還定義了元策略，元策略主要用于限制策略，不允許互相沖突的策略同時執(zhí)行。Ponder的一大特色是采用域的表達方式來表示實體。域的使用可以達到動態(tài)地改變域成員而不必改變策略本身的效果，同時其面向對象的基本特征有效支持了策略的復用，大大簡化了策略的管理。第四章

信息安全策略管理2．XACML策略描述語言XACML（eXtensibleAccessControlMarkupLanguage）是一個基于XML的說明性策略語言，主要用于分布式系統(tǒng)訪問控制管理。它提供訪問控制策略和訪問控制請求響應格式的規(guī)范。XACML策略描述語言的主要組成部分包括規(guī)則、策略和策略集三個部分。規(guī)則由條件及作用組合而成。策略是由一系列規(guī)則按照規(guī)則組合算法組合而成，策略集由一系列策略按照策略組合算法組合而成，策略集可以嵌套策略集。規(guī)則、策略、策略集均包含義務表達式（ObligationExpression）和建議表達式（AdviceExpression）以及目標（Target）。目標是由資源、行為、主體和規(guī)則或策略應用的環(huán)境定義的。第四章

信息安全策略管理3．P3P/APPEL策略描述語言萬維網聯(lián)盟W3C提出的P3P和APPEL用于一個網站和它的用戶之間秘密協(xié)商，包括網站用戶參數選擇的收集。通過使用P3P，網站能夠表達它們的秘密策略，這些策略能夠被用戶代理自動恢復并很容易的翻譯。網站可以用P3P來宣布他們?yōu)槭裁葱枰脩舻乃饺诵畔?，他們收集什么信息，他們要保持這些信息多長時間，誰將使用這些信息等。這些元素在一個應用到特定數據資源集合的策略中是標準化的。然后，網絡用戶被告知網站的數據收集策略，這些策略的編碼形式是機器可讀的XML形式。在這種情況下，用戶能依靠他的代理來讀和評估網站策略，并且更進一步選擇加入或退出數據分享的決定。第四章

信息安全策略管理4．EPAL策略描述語言EPAL（EnterprisePrivacyAuthorizationLanguage）是由IBM提出的基于XML的語言，在某些程度上，EPAL和XACML是相似的，但不同的是EPAL的目標只有機密策略，并不是像XACML那樣的一般的訪問控制策略。作為一個特殊的機密策略語言，EPAL的一個特征是它并不是應用傳統(tǒng)的RBAC策略，而是使用基于目的的訪問控制。授權決策是由主體利用所需資源的目標直接決定的。這種訪問控制機制簡化了傳統(tǒng)的RBAC，但是需要一個良好結構化的目的元素。第四章

信息安全策略管理5．基于邏輯的策略統(tǒng)一描述方法基于邏輯的策略統(tǒng)一描述采用形式化的表達方式。這種方式雖然易于分析，但并不直觀，不是以用戶理解為目標?；谶壿嫷牟呗悦枋龈鶕捎玫倪壿嬵愋偷牟煌譃槿悾阂浑A邏輯、分層邏輯和道義邏輯。角色定義語言（RoleDefinitionLanguage，RDL）是基于一階邏輯的策略描述語言。該語言通過規(guī)則指明客戶端可以獲得角色的條件。第四章

信息安全策略管理6．其他策略統(tǒng)一描述方法PDL（PolicyDescriptionLanguage）是由貝爾實驗室提出的基于策略的管理語言之一，主要用于網絡管理。它是聲明性的，獨立域的。PDL使用“事件-條件-動作”的形式來定義策略，在滿足條件的前提下，事件的發(fā)生會觸發(fā)動作的執(zhí)行。LaSCO的描述思想是通過圖形化方法為對象指定限制條件，這些限制條件是與安全相關的。LaSCO以策略圖的形式對策略進行描述。其中，策略圖是一個帶有域和需求謂詞等注解的有向圖。LaSCO無法通過策略圖指定義務策略，也不能進行策略的組合，因而LaSCO的適用范圍有限，不能有效應對策略管理需求。由于圖形格式在表達細節(jié)上有一定欠缺，需要與文本結合使用，而LaSCO忽略了這個問題，這也令LaSCO難于使用。第四章

信息安全策略管理4.3.2安全策略的翻譯安全策略翻譯是將安全策略描述語言描述的安全策略轉換為機器可識別語言的過程，重點解決不同層次安全策略之間的轉換規(guī)范。1．基于案例推理的策略翻譯技術IBM研究中心的Beigi等提出基于案例推理的策略翻譯方法，利用案例數據庫或系統(tǒng)行為的歷史數據作為策略轉換的基礎，講述了基于案例推理的一般結構、案例數據庫及數據處理方式。其關鍵是案例庫具有豐富的數據才能將商業(yè)目標映射為合適的配置參數。基于案例推理的策略翻譯模塊的組成如圖4.1所示。第四章

信息安全策略管理第四章

信息安全策略管理圖4.1

策略轉化模塊的組件（1）案例數據庫：存儲高級策略與實現它的系統(tǒng)配置參數的對應關系構成的案例；（2）仿真器：為了解決引導問題，可以由仿真器使用啟發(fā)式算法實現產生一些案例存入案例數據庫中，目前的仿真器可選用IBM的高容量Web站點仿真器；（3）數據預處理組件：數據可能含有噪聲或者是不一致的，因此需要對數據進行預處理，消除不相關的、冗余的和鼓勵的數據，并糾正數據中的不一致，使推理結果準確；（4）屬性規(guī)約組件：系統(tǒng)中含有大量的策略目標和配置參數，要采取措施確定高基策略所對應的確切的配置參數集合，降低推理的計算時間；（5）聚類組件：增加數據的抗干擾性、降低數據查找時間，提高系統(tǒng)性能。第四章

信息安全策略管理2．基于知識庫的策略翻譯技術基于知識庫的策略翻譯主要由人機接口、詞法獲取機構、知識獲取機構、詞法庫、策略知識庫、策略編譯器和策略組裝器等組成，如圖4.2所示。人機接口是聯(lián)系策略翻譯與管理員間的紐帶，它由一組程序組成，用于完成輸入工作。用戶通過它編輯策略，輸入詞法和策略知識，更新、完善詞法庫和策略知識庫。第四章

信息安全策略管理第四章

信息安全策略管理圖4.2基于知識庫的策略翻譯組成結構4.4安全策略沖突檢測與消解4.4.1安全策略沖突的分類IETF在RFC3198中定義策略沖突為兩條或多條策略的條件部分同時滿足而動作卻不能同時執(zhí)行的情況。英國皇家學院的研究者從管理策略的角度給出策略沖突的定義，認為當策略的主體、目標和行為發(fā)生重疊，且滿足某一特定條件時將發(fā)生策略沖突，并對其進行了如圖4.3所示的分類。第四章

信息安全策略管理第四章

信息安全策略管理圖4.3

安全策略沖突分類

Dunlop等人按照策略作用對象間的關系將策略沖突基于角色劃分為內部策略沖突、外部策略沖突、策略空間沖突和角色沖突，如圖4.4所示。第四章

信息安全策略管理圖4.4

安全策略沖突分類（Dunlop）

何再朗等依據產生沖突的策略類型及外部約束的目標，對模態(tài)沖突和應用相關沖突重新進行了分類，如圖4.5所示。第四章

信息安全策略管理圖4.5

安全策略沖突分類（何再朗）

模態(tài)沖突通常發(fā)生在兩個或多個帶相反符號的策略作用于相同的主體、客體和措施的時候。模態(tài)沖突可分為3類：授權策略沖突、義務策略沖突、義務授權策略沖突。應用相關沖突通常指策略和策略的外部約束之間發(fā)生了沖突，即策略的內容與外部約束中明確規(guī)定不允許出現的情況發(fā)生沖突。依據外部約束目標的差異，應用相關沖突可分為以下五類：主體關聯(lián)沖突、客體關聯(lián)沖突、措施關聯(lián)沖突、主客體關聯(lián)沖突、主客體自關聯(lián)沖突。第四章

信息安全策略管理4.4.2安全策略沖突檢測1．基于形式邏輯的策略沖突檢測方法基于形式邏輯的策略沖突檢測方法利用邏輯的形式化表達能力，清晰地對策略語義進行描述，并通過邏輯推理檢測策略之間存在的沖突。第四章

信息安全策略管理

Damoda等提出一種基于自由變量場景（Free-VariableTableaux，FVT）的靜態(tài)沖突檢測方法。FVT方法基于反繹推理，要求有效地檢測沖突必須是從策略集合中取得一個矛盾，一階邏輯的簡單性不僅使得策略的表示更加簡單，也使得沖突檢測的速度更快。Bandara等通過形式邏輯事件演算（EventCalculus，EC）形式化描述了基于策略管理系統(tǒng)中的策略，著重分析了與應用無關的沖突和特定應用的沖突。F.Cuppens等提出采用分層的Datalog邏輯程序（StratifiedDatalogProgram）對Or-BAC（OrganizationBasedAccessControl）模型中的策略沖突進行檢測，包括利用概念間的繼承層次對冗余沖突進行檢測和判斷概念間的分離約束對潛在沖突進行檢測。第四章

信息安全策略管理

華中科技大學的黃鳳提出基于描述邏輯（DescriptionLogic，DL）的策略分析方法，使用Web本體語言OWL對XACML進行擴展，并利用描述邏輯DL豐富的表達能力和推理能力，將整個訪問控制策略轉化為相應的描述邏輯知識庫，將策略沖突問題轉化為知識庫的一致性問題，檢測是否存在策略違背角色約束或者符合預定義的沖突規(guī)則。第四章

信息安全策略管理2．基于描述語言的策略沖突檢測方法基于描述語言的策略沖突檢測方法針對特定的策略描述語言，利用其語義和語法特征進行策略沖突檢測。英國皇家學院的Lupu等通過對Ponder策略描述語言進行語法分析檢測模態(tài)沖突，通過在Ponder中定義相應的元策略（MetaPolicy，MP）檢測應用相關沖突。貝爾實驗室的Lobo等利用邏輯程序（LogicProgramming，LP）對PDL策略進行沖突檢測和消解，并運用邏輯推理驗證沖突檢測與消解結果的正確性。中科院的王雅哲針對XACML策略描述語言缺乏對沖突規(guī)則的檢測和冗余規(guī)則的分析，描述了屬性層次操作關聯(lián)導致的權限繼承和權限蘊含引起的多種沖突類型，并在資源語義樹策略索引基礎上，利用狀態(tài)相關性對規(guī)則沖突進行檢測。第四章

信息安全策略管理3．基于本體推理的策略沖突檢測方法本體技術主要用來實現異構網絡間的語義互操作，基于本體推理的策略沖突檢測方法主要是利用本體技術自身具備的良好描述能力和推理能力。Verlaenen等通過構建通用的策略本體，將其描述的策略轉化為基于XML的策略，采用XML中的策略分析技術檢測策略沖突，使得該檢測方法具有良好的可擴展性第四章

信息安全策略管理4．基于有向圖的策略沖突檢測算法南京大學的姚鍵研究了分布式系統(tǒng)中元素之間的關系，并統(tǒng)一抽象成有向無環(huán)圖，將抽象的策略沖突檢測問題轉化為有向圖的連通性問題，提出一種檢測分布式系統(tǒng)中安全策略沖突的定量方法，拓展了安全策略沖突檢測實用化的思路。四川大學的錢雁平提出基于有向圖覆蓋關系的靜態(tài)策略沖突檢測方法，給出了有向無環(huán)圖的沖突檢測模型，通過在策略三元組判斷的基礎上加入對策略條件約束的判斷，使得策略沖突檢測結果更為準確。華中科技大學的李添翼研究了多策略支持下的策略沖突檢測和消解問題，根據主體間權限傳遞關系形成主體域有向圖模型，根據客體間從屬關系形成客體域有向無環(huán)圖模型，將策略沖突檢測問題轉化為有向圖中求連通節(jié)點的問題。第四章

信息安全策略管理5．基于分類概念格的策略沖突檢測算法吉林大學的焦素云等分析了策略系統(tǒng)存儲結構在判斷策略間條件變量值相交性方面存在的不足，研究了概念格結構在該方面的優(yōu)勢，提出基于分類概念格的動態(tài)策略存取模型。該模型利用概念間的偏序關系進行策略沖突檢測，將屬性值相交性判斷轉化為在沖突概念格內查找超概念-子概念的操作，提高了沖突檢測效率。第四章

信息安全策略管理

綜上所述，基于形式邏輯的沖突檢測方法能夠通過邏輯推理檢測出應用相關沖突，并且能夠證明檢測結果的正確性，但是在實際應用中需要開發(fā)相應的推理驗證工具，實現比較困難；基于描述語言的沖突檢測方法僅能對使用該策略描述語言的策略沖突進行檢測，適用范圍有限，擴展性較差；基于本體技術的沖突檢測方法利用描述邏輯具有的良好描述能力與推理能力，更適用于檢測應用相關策略沖突，但是構建領域本體的好壞是影響沖突檢測結果的關鍵；基于有向圖的沖突檢測方法將策略沖突檢測問題轉化為有向圖的連通性問題，拓展了策略沖突檢測的實用