信息安全的策略的研究.doc

信息安全策略研究 The Research on Information Security Policy 山东科飞管理咨询公司? 吴昌伦 王毅刚 　 关键字：信息安全 信息管理 信息安全管理 信息安全策略 摘要：在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨，提供了一个成文的《Email安全策略》，并对信息安全策略的优劣评价考虑的因素提供了参考。 ? 随着社会信息化的深入和竞争的日益激烈，信息对组织的运作和发展所起到的作用越来越大，信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就，其中两个观点被本文所接受，作为本文所讨论问题的基点。一个是信息安全问题不仅仅是必威体育官网网址问题，信息安全（Information security）是指信息的必威体育官网网址性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持，其终极目标是降低组织的业务风险，保持可持续发展；另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面（历史、文化、道德、法律、管理、技术等）的一个综合性问题，单纯从技术角度考虑是不可能得到很好解决的。 我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体，如何确定自己的对策来解决信息安全这个复杂的课题呢？ 一、?????????? 组织应该有一个完整的信息安全策略 信息安全策略（Information Security Policies）也叫信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的原则，它告诉组织成员在日常的工作中什么是可以做的，什么是必须做的，什么是不能做的，哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。 如果问什么是一个好的安全策略，不是很好回答，但是可以肯定的说没有一个统一一致的信息安全策略是最差的策略。如果组织中没有关于信息安全问题的一个策略，组织的成员在使用信息或者处理信息安全问题时候缺乏正面的引导，很容易造成信息的滥用，也容易被用心不良的人钻空子，我们可以通过下面一个例子来理解这种情况。 某建筑设计院在所在城市小有名气，共有工作人员二十五人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态，会发生什么问题呢？下列情况都是有可能的： ????????? 小偷顺着一楼的防护栏潜入办公室偷走了…… ????????? 保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销…… ????????? 某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。 ????????? 后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。 ????????? 小李把自己感觉重要的文件备份到陈博士的计算机上，听朋友介绍Windows2000比较稳定，他决定安装Windows2000，于是他就重新给硬盘分区，成功完成了安装。 ????????? 陈博士对张先生的不辞而别没有思想准备，甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案，可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000，只是说自己并没有设置密码。 ????????? 尽管小李告诉陈博士已经把文件备份在陈博士的计算机上，可是陈博士没有找到自己需要的文件。 ????????? 大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。 …… 这些不是发生过并发生着么？这还没有提及蓄谋的情况，也没有提及98年洪水或者911事件这样的灾难情况下会是什么