本文來自微信公眾號“安全牛”。
網(wǎng)絡(信息)安全防護策略是指一套關于如何使用、管理和保護網(wǎng)絡信息系統(tǒng)及敏感數(shù)據(jù)的防護規(guī)則和準則,涉及企業(yè)網(wǎng)絡安全建設的方方面面,具體包括的組織的數(shù)字化系統(tǒng)、網(wǎng)絡、程序、設備、基礎設施、數(shù)據(jù)和內(nèi)外部用戶等因素。對現(xiàn)代企業(yè)而言,網(wǎng)絡(信息)安全防護策略是一種幫助其更有效開展網(wǎng)絡安全工作的指導計劃,表明了組織應該如何更好地保護敏感信息和數(shù)據(jù)資產(chǎn)遠離安全威脅。
實施網(wǎng)絡(信息)安全策略的好處
實施穩(wěn)健的網(wǎng)絡(信息)安全策略對于組織確保敏感數(shù)據(jù)的完整性、保護組織遠離網(wǎng)絡事件以及滿足數(shù)字化發(fā)展中的合規(guī)要求至關重要。
一份精心設計的網(wǎng)絡(信息)安全策略可以改善組織的網(wǎng)絡安全狀況,并帶來以下7個好處:
1.設定清晰的網(wǎng)絡安全目標
網(wǎng)絡(信息)安全策略為員工提供了清晰的行動準則,以處理組織內(nèi)的敏感信息。這有助于提升組織總體網(wǎng)絡安全意識,并減少無意的內(nèi)部威脅因素。
2.指導實施適當?shù)木W(wǎng)絡安全控制措施
通過確定網(wǎng)絡安全防護目標,網(wǎng)絡(信息)安全策略可以幫助組織的安全運營人員部署適當?shù)陌踩鉀Q方案,并實施相關的安全控制措施以實現(xiàn)這些目標。
3.更高效地響應安全事件
通過定義逐步的事件響應操作,網(wǎng)絡(信息)安全策略可以幫助網(wǎng)絡安全團隊主動解決潛在的風險和漏洞。因此,貴組織可以迅速響應安全事件,并減輕可能造成的后果。
4.滿足IT合規(guī)要求
網(wǎng)絡(信息)安全策略可以幫助組織遵守GDPR、SOX以及我國的《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等標準和法律法規(guī)要求。另外值得一提的是,在一些主要的法律法規(guī)中,均明確要求企業(yè)組織應該制定完善的網(wǎng)絡(信息)安全策略。
5.加強用戶和第三方合作伙伴的安全性
網(wǎng)絡(信息)安全策略應該明確定義組織內(nèi)每個用戶和第三方合作伙伴的角色和責任,幫助他們了解其在保護組織網(wǎng)絡安全方面扮演的角色和要求。策略還可以加強用戶和所有利益相關者的責任感,從而增強問責制。
6.維護組織的商譽
可靠的信息安全標準和實踐有助于贏得客戶的信任。通過實施網(wǎng)絡(信息)安全策略有助于減少組織發(fā)生網(wǎng)絡安全事件的數(shù)量,進一步提高客戶忠誠度,并打造組織品牌的良好形象。
7.提高網(wǎng)絡安全運營效率
制定明確的策略可以幫助組織確保網(wǎng)絡安全保護工作的標準化、一致性和同步性。網(wǎng)絡安全團隊因此可以少較花時間和精力來處理各種網(wǎng)絡安全問題。
高效網(wǎng)絡(信息)安全策略的關鍵特征
組織要制定一份切實有效的網(wǎng)絡(信息)安全策略,應該滿足以下關鍵特征:
1、基于充分的網(wǎng)絡安全風險評估
進行網(wǎng)絡安全風險評估有助于確定組織的關鍵資產(chǎn)、發(fā)現(xiàn)已有的安全風險和漏洞,并確定風險的優(yōu)先級。
2、明確闡述策略的目的、目標和范圍
在制定網(wǎng)絡(信息)安全策略時,應該明確闡述策略的目的、目標和范圍,這樣可以提高員工的安全責任意識,了解為什么實施的目的、手段和規(guī)程以及適用對象。
3.界定網(wǎng)絡安全責任
每個網(wǎng)絡(信息)安全策略都應該表明由誰來制定策略,誰負責更新策略,是否與組織的安全目標保持一致,以及誰負責實施所需的安全規(guī)程。
4.準確定義重要的安全術語
網(wǎng)絡(信息)安全策略的受眾通常是要面對很多非技術人員。為了避免歧義,制定者應該確保策略能夠讓所有用戶都易于理解,而所有重要的技術術語都需要清晰簡明。
5.切合實際的管理要求
在實際應用中,過于復雜的網(wǎng)絡(信息)安全策略可能難以實施。因此,應該制定切合實際、易于理解又適合組織特定需求的網(wǎng)絡(信息)安全策略。同時,還應該確保策略的需求適用于組織的網(wǎng)絡安全戰(zhàn)略,員工擁有實施策略的手段和技能。
6.定期更新與優(yōu)化
為了應對現(xiàn)代網(wǎng)絡安全趨勢和挑戰(zhàn),組織應定期審核和更新網(wǎng)絡(信息)安全策略。由于技術、安全挑戰(zhàn)及其他因素不斷變化,針對針對特定問題的安全策略可能需要更頻繁的更新。
7.公司管理層的支持與參與
沒有組織領導的支持,任何網(wǎng)絡(信息)安全策略都可能失敗。因此,企業(yè)的高級管理者充分了解組織的總體安全需求,有助于在所有員工當中落實安全策略。
8.建立報告機制
有效的網(wǎng)絡(信息)安全策略應包括明確的準則,指導員工如何報告安全事件和可疑的政策違規(guī)行為。這有助于及時識別和解決安全問題,盡量減少潛在的破壞。
9.滿足法規(guī)遵從
網(wǎng)絡(信息)安全策略必須考慮相關行業(yè)法規(guī)和數(shù)據(jù)隱私法律的要求。了解這些要求有助于組織依法經(jīng)營,并實施適當?shù)拇胧﹣肀Wo敏感信息。
10.符合組織的業(yè)務要求
網(wǎng)絡(信息)安全策略應該兼顧穩(wěn)健的安全性和高效的業(yè)務流程支持。每個策略都應該體現(xiàn)組織的風險概況,并與整體安全策略相一致。因此,一份高效的網(wǎng)絡(信息)安全策略應該優(yōu)先保護組織最寶貴的也業(yè)務資產(chǎn),并降低與組織業(yè)務運營最相關的風險。
10項重點網(wǎng)絡(信息)安全策略
下面列出了對所有類型的組織都有益的常見網(wǎng)絡(信息)安全策略:
1.可接受使用策略(Acceptable use policy)
目的:定義使用組織信息的可接受條件。
適用對象:訪問組織中計算設備、數(shù)據(jù)資產(chǎn)和網(wǎng)絡資源的所有用戶。
可接受使用策略(AUP)可以向員工解釋如何處理組織的數(shù)據(jù)資產(chǎn)、計算機設備及其他敏感資源。除了可接受使用外,策略還規(guī)定了禁止的操作。
AUP可能針對互聯(lián)網(wǎng)使用、電子郵件通訊、軟件安裝、從家里訪問公司網(wǎng)絡等方面有單獨的策略聲明。
2.網(wǎng)絡系統(tǒng)安全策略(Network security policy)
目的:概述實施、管理、監(jiān)控和維護企業(yè)網(wǎng)絡數(shù)據(jù)安全的原則、程序和準則。
適用對象:組織的所有用戶和網(wǎng)絡。
網(wǎng)絡系統(tǒng)安全策略(NSP)為安全訪問組織的計算機網(wǎng)絡和防范互聯(lián)網(wǎng)上的網(wǎng)絡攻擊制定了準則、規(guī)則和措施。借助NSP,用戶還可以描述組織的網(wǎng)絡安全環(huán)境及其主要軟硬件部件/組件的體系結構。
3.數(shù)據(jù)安全管理策略(Data management policy)
目的:定義維護組織數(shù)據(jù)機密性、完整性和可用性的措施。
適用對象:所有的數(shù)據(jù)存儲和信息處理系統(tǒng),及相關系統(tǒng)的訪問用戶。
數(shù)據(jù)管理策略(DMP)規(guī)范了組織數(shù)據(jù)的使用、監(jiān)控和管理,明確規(guī)定以下幾方面:收集哪些數(shù)據(jù)?如何收集、處理和存儲數(shù)據(jù)?誰有權訪問數(shù)據(jù)?數(shù)據(jù)位于何處?何時必須刪除數(shù)據(jù)?DMP有助于組織降低數(shù)據(jù)泄露的風險,并確保組織符合GDPR、《數(shù)據(jù)安全法》等數(shù)據(jù)保護標準和法規(guī)。
4.訪問控制策略(Access control policy)
目的:定義用戶管理對關鍵數(shù)據(jù)和系統(tǒng)的訪問權方面的要求。
適用對象:訪問組織敏感資源的所有用戶和第三方。
訪問控制策略(ACP)描述如何明確、記錄、審核和修改對組織內(nèi)數(shù)據(jù)和系統(tǒng)的訪問。ACP通常包含用戶訪問權限的層次結構,并定義誰可以訪問什么。組織應該考慮圍繞最小特權原則構建ACP,只向用戶提供其工作職責所必需的訪問權限。
5.密碼管理策略(Password management policy)
目的:概述安全處理用戶憑據(jù)的方法和要求。
適用對象:擁有組織賬戶憑據(jù)的所有用戶和第三方合作伙伴。
密碼管理策略(PMP)規(guī)范了組織中用戶憑據(jù)的創(chuàng)建、管理和保護。PMP強制要求用戶采用良好的密碼習慣,比如足夠的復雜性、長度、獨特性和定期輪換。PMP還可以規(guī)定組織中誰負責創(chuàng)建和管理用戶密碼,以及組織應該擁有哪些密碼管理工具和功能。
6.遠程訪問管理策略(Remote access policy)
目的:定義明確遠程訪問組織數(shù)據(jù)和系統(tǒng)的安全管控要求。
適用對象:從公司網(wǎng)絡外部訪問組織基礎設施的所有用戶和設備系統(tǒng)。
如果員工經(jīng)常遠程辦公,組織的遠程訪問需要特別注意。為了避免從不安全的個人設備和公共網(wǎng)絡截獲網(wǎng)絡數(shù)據(jù),組織應該制定遠程訪問策略(RAP)。遠程訪問策略能夠加強通過遠程網(wǎng)絡、虛擬專用網(wǎng)絡及其他途徑訪問組織數(shù)據(jù)的安全規(guī)程。
7.第三方供應商風險管理策略(Vendor management policy)
目的:規(guī)范一家組織的第三方風險管理活動。
適用對象:所有訪問企業(yè)數(shù)據(jù)和系統(tǒng)的第三方供應商、合作伙伴及其他利益相關者。
第三方供應商風險管理策略(VMP)可以幫助組織進行第三方信息安全風險管理。VMP規(guī)定了貴組織如何識別和處理可能帶來風險的供應商。它還概述了防止第三方網(wǎng)絡安全事件發(fā)生時的優(yōu)先處置措施。除了直接降低第三方風險外,VMP還可以描述貴組織應如何核查第三方的IT基礎設施符合貴組織的網(wǎng)絡安全要求,從而解決供應鏈安全風險問題。
8.移動存儲設備管理策略(Removable media policy)
目的:概述組織內(nèi)使用USB設備的規(guī)則以及防止移動存儲設備泄密相關的安全事件防護措施。
適用對象:使用可移動介質的所有用戶。
移動存儲設備管理策略規(guī)范了用戶正確安全地使用USB設備,比如閃存設備、SD卡、數(shù)碼相機、MP3播放機和可移動硬盤等。該策略旨在降低因使用便攜式設備而危及IT系統(tǒng)和泄露敏感數(shù)據(jù)的風險。除了確立正確使用可移動介質的規(guī)則外,還應考慮實施專用軟件解決方案,以增強組織的USB設備安全。
9.網(wǎng)絡安全事件響應策略(Incident response policy)
目的:規(guī)范組織在網(wǎng)絡安全事件發(fā)生時的響應機制和流程。
適用對象:組織的安全運營人員及其他所有利益相關者。
與網(wǎng)絡安全事件響應計劃相似,網(wǎng)絡安全事件響應策略概述了組織在發(fā)生網(wǎng)絡安全事件時應采取的行動,為各類可能的事件列出了詳細的響應方案。這種類型的策略還明確了處理事件的角色和職責、溝通策略以及報告流程。網(wǎng)絡安全事件響應策略還可能描述恢復活動,側重于遏制事件,并減輕負面后果。它還可能包括事后調(diào)查程序。
10.網(wǎng)絡安全意識和培訓策略(Security awareness and training policy)
目的:明確組織提高員工安全意識方面的要求,并開展相應的培訓活動。
適用對象:安全運營人員及負責網(wǎng)絡安全意識培訓活動的人員。
如果員工缺乏了解,制定再多的網(wǎng)絡信息安全策略和規(guī)則都無濟于事。安全意識和培訓策略旨在提高員工的網(wǎng)絡安全意識,解釋遵守信息安全策略的原因,并對員工開展常見網(wǎng)絡安全威脅方面的教育。該策略定義了組織如何開展培訓、培訓的頻次以及誰負責主持培訓活動等。
網(wǎng)絡(信息)安全策略應用實踐
為了有效實施網(wǎng)絡(信息)安全策略,建議組織采取有條不紊的應用方法,并按照以下幾個關鍵階段逐步推進:
1、評估風險
這個階段需要識別和評估組織的信息資產(chǎn)、潛在威脅和漏洞。風險評估有助于了解現(xiàn)有的風險態(tài)勢,并確定安全措施的優(yōu)先級。
2、概述策略
基于風險評估結果,可以了解制定網(wǎng)絡信息安全策略的總體需求。組織可根據(jù)確定的范圍和所要實施的網(wǎng)絡信息安全策略類型,考慮概述所有可能的規(guī)則、規(guī)程和準則。
3、實施策略
一旦制定了策略,就應該付諸行動。這個階段包括成立專門的團隊以負責實施策略,規(guī)定如何遵守策略方面的章程,以及實施安全控制措施以減輕已識別的風險。
4、傳達策略
做好策略傳達工作對信息安全策略的成功應用至關重要。因此,要讓每一個員工、承包商及其他利益相關者了解當前網(wǎng)絡信息安全策略及重要性,以及各自在遵守策略方面的責任。
5、關注效果
組織應該及時評估已實施的安全控制措施和策略,這包括審查日志并進行審計,找出其中存在的安全性缺口或需要改進的方面。策略本身也應定期審查和更新,以確保其在不斷變化的威脅環(huán)境中保持效果。