六�����、安保策略
安保策略是定義系統���、組織或其他實體安全意味著什么。對于一個組織�,它要約束成員的行為�����,以及用機制約束黑客的入侵����,諸如使用門����、鎖、墻等設施��。對于系統�,安保策略要約束功能和數據流,約束外部系統和黑客的訪問�����,包括對人員或應用程序和數據訪問���。
安保策略由組織的高級管理層或選出的委員會來定義����。安保策略可以由組織按要求對特定功能或系統進行裁剪。安保項目應該包括安保策略���、標準、指南�、基線��、程序、安?�;A培訓��、事故響應計劃和法規遵從�����。這些內容在ISO/IEC 27000系列標準中描述,美國能源部提供了可以實施的細節�����。
七�、危險評估
危險評估包括分析資產,確定信息和資產的價值, 確定漏洞和潛在危險(威脅)����,威脅降低方法��,決定可以接受、避免或轉移的危險�����。這項行動由危險分析團隊執行�����。危險評估過程包括執行評估程序,分析及評定危險結果。危險評估應用于信息��、通信和電力��。在這個周期���,應該確定關鍵資產��。
危險評估必須考慮對安保系統的影響。比如在一個系統中的危險可能是:
?安全危險可能導致生命損失,人員傷害,或環境破壞�����。
?任務危險可能導致這個系統的癱瘓��,諸如關鍵基礎設施或數據的損失��。
?商業危險可能導致重大經濟損失,諸如商業或聲譽的損失。
?安保危險可能導致敏感數據的損失�����。
八��、建立危險分析團隊
危險分析團隊必須包括組織關鍵區域中的人員諸如管理人員�����,工程人員,安保專家,過程控制工程師,信息技術(IT)規劃師���,應用分析師,程序設計師。危險分析團隊成員必須是每個行業里的專家�,了解過程����、商業對象���、工程原理����、技術和法規。
九�、信息和資產的價值
信息的價值決定了安保的方法�。在評估信息的價值時�����,同樣的邏輯可用于資產��,諸如設施,系統,服務�����,資源��,供給和人員��。為了評估什么是危險,必須評估什么是財產。信息和資產都應該有給予它數量和質量的測量。
實際價值由它的獲得�、開發和維護的成本所決定���。對于所有者�����,授權用戶和非授權用戶的重要性決定了資產的價值。資產可以是有形的(計算機��、設備�����、網絡、系統�����、設施��、供給)或者是無形的(聲譽�、數據��、知識產權)�����。
十、確定威脅
威脅評估是一個非常具體的行為�,在有些情況下����,這是一項困難的任務�����。
威脅可以分成人為(有意或無意)和自然災害��。很多類型的威脅來源于多種漏洞,從而導致多種特定的威脅���。一旦威脅是針對某種應用、系統���、業務單位或組織, 必須查清相關的漏洞,找到解決的辦法�。
十一、確定漏洞
漏洞是一個用來攻擊的潛在通道,是連接內部或外部代理,可能導致安保失效的系統屬性或環境�����。發現漏洞并不那么容易�,需要一定的技能水平。當發現特定的漏洞時��,需要找出所有針對組織的進入點���,找出訪問信息(來自電子和物理)點��,諸如:
- 因特網連接���;
- 遠程訪問點�;
- 與其他組織的連接;
- 物理訪問設施����;
- 用戶訪問點�����;
- 無線訪問點。
失效模式和影響分析是一種用于決定漏洞位置以及查出路徑的方法��。這種方法支持決定功能�����、確定功能失效�����、評估失效原因和對結構化過程的影響。這是一個系統工程方法�,近來用于評估危險管理的優先級和減輕已知漏洞的威脅。
