第一篇：信息安全策略綱要

信息安全策略綱要

1范圍

信息系統(tǒng)是技術密集的大型復雜的網(wǎng)絡化人機系統(tǒng)，其面臨的安全問題非常突出。為了保障海南電網(wǎng)信息通信分公司（以下簡稱“公司”）信息系統(tǒng)的安全可靠運行，依據(jù)《信息系統(tǒng)安全等級保護基本要求》等相關標準法規(guī)制定本策略綱要。本綱要適用于公司信息系統(tǒng)。總體目標

總體目標：保護公司信息系統(tǒng)的硬件、軟件、業(yè)務信息和數(shù)據(jù)、通信網(wǎng)絡設備等資源的安全，有效防范各類安全事故，合法合規(guī)發(fā)展各類信息系統(tǒng)，確保為社會提供高效穩(wěn)定的電力服務。規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準（不包括勘誤、通知單），然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標準

《信息安全技術 信息系統(tǒng)安全保障評估框架》（GB/T 20274.1-2006）《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GBT 22239-2008）本標準未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關標準和規(guī)定執(zhí)行?？傮w方針

4.1組織與體制

構(gòu)筑確保信息安全所必需的組織與體制，明確其責任與權(quán)限。

4.2 遵守法令法規(guī)

遵守與信息安全有關的法令法規(guī)，制定并遵守按基本方針所制定的信息安全相關的規(guī)定。

4.3信息資產(chǎn)的分類與管理

按照重要級別信息資產(chǎn)進行分類，并妥善管理。

4.4培訓與教育

為使相關人員全面了解信息安全的重要性，適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。

4.5物理性保護

為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對其保管場所與保管辦法加以明確。

4.6技術性保護

為切實保護信息資產(chǎn)不受來自外部的非法入侵，對信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡管理等采取適當?shù)拇胧?/p>

4.7運用

為確保基本方針的實際成效，在對遵守情況進行監(jiān)督的同時，對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態(tài)采取的應對措施等加以規(guī)定。

4.8評價及復審

隨著社會環(huán)境的變化、技術的進步等，應定期對基本方針與運用方式進行評價與復審安全策略

5.1安全管理制度

在信息安全中，最活躍的因素是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度重點關注管理制度、制定和發(fā)布、評審和修訂三方面。

目的是根據(jù)系統(tǒng)的安全等級，依照國家相關法律法規(guī)及政策標準，建立信息安全的各項管理規(guī)范和技術標準，規(guī)范基礎設施建設、系統(tǒng)和網(wǎng)絡平臺建設、應用系統(tǒng)開發(fā)、運行管理等重要環(huán)節(jié)，奠定信息安全的基礎。

5.2安全管理機構(gòu)

建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機構(gòu)的職責，統(tǒng)籌規(guī)劃、專家決策，以推動信息安全工作的開展。

公司成立信息安全領導小組，是信息安全的最高決策機構(gòu)，負責研究重大事件，落實方針政策，制定實施策略和原則，開展安全普及教育等。下設辦公室負責信息安全領導小組的日常事務。

信息安全領導小組下設兩個工作組：信息安全工作組、應急處理工作組。組長均由公司負責人擔任。

5.3人員安全管理

通過建立安全崗位責任制，最大限度降低人為失誤所造成的風險。人是決定性因素，人員安全管理的原則是：職責分離、有限授權(quán)、相互制約、任期審計。

人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。

信息安全人員的配備和變更情況，應向上一級單位報告、備案。

信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及公司業(yè)務核心技術的信息安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

5.4系統(tǒng)建設管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設管理主要關注的是生命周期中的前三個階段（初始、采購、實施）中各項安全管理活動。

系統(tǒng)建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮，具體包括系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務商選擇十一個控制點。

5.5系統(tǒng)運維管理

目的是保障信息系統(tǒng)日常運行的安全穩(wěn)定，對運行環(huán)境、技術支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。

對運行過程的任何變化，數(shù)據(jù)、軟件、物理設置等，都應實施技術監(jiān)控和管理手段以確保其完整性，防止信息非法復制、篡改，任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗證。

應急管理也是運維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或災難，建立一整套應急措施，以保障核心業(yè)務的快速恢復和持續(xù)穩(wěn)定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。

在海南省電網(wǎng)公司統(tǒng)一的應急規(guī)劃下，針對信息系統(tǒng)面臨的各種應急場景編制相應的應急預案，并經(jīng)過測試演練修訂，同時宣傳普及。

5.6物理安全

目的是保護計算機設備、設施（含網(wǎng)絡）以及信息系統(tǒng)免遭自然災害和其他形式的破壞，保證信息系統(tǒng)的實體安全。

有關物理環(huán)境的選址和設計應遵照相關標準，配備防火、防水、防雷擊、防靜電、防鼠害等機房措施，維持系統(tǒng)不間斷運行能力，確保信息系統(tǒng)運行的安全可靠。

對重要安全設備的選擇，需符合國家相關標準規(guī)范，相關證書齊全。

嚴格確定設備的合法使用人，建立詳細運行日志和維護記錄。

5.7網(wǎng)絡安全

目的是有效防范網(wǎng)絡體系的安全風險，為業(yè)務應用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡管理和技術平臺。

對于依賴網(wǎng)絡架構(gòu)安全的業(yè)務應用系統(tǒng)，需根據(jù)其安全級別，實施相應的訪問控制、身份認證、審計等安全服務機制；在網(wǎng)絡邊界處，需根據(jù)資源的保護等級，實施相應安全級別的防火墻、認證、審計、動態(tài)檢測等技術，防范信息資源的非法訪問、篡改和破壞。

5.8主機安全

主機安全包括服務器、終端/工作站等在內(nèi)的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機，服務器則包括應用程序、網(wǎng)絡、web、文件與通信等服務器。主機承載著各種應用，是保護信息安全的中堅力量。

主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面，同時定期或不定期的進行安全評估（含滲透性測試）和加固，實時確保主機的健壯性。

5.9應用安全

應用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務應用系統(tǒng)開發(fā)過程及最終產(chǎn)品的安全性。

在應用層面運行著信息系統(tǒng)的基于網(wǎng)絡的應用以及特定業(yè)務應用?；诰W(wǎng)絡的應用是形成其他應用的基礎，是基本的應用；業(yè)務應用采納基本應用的功能以滿足特定業(yè)務的要求；故最終是保護系統(tǒng)的各種業(yè)務應用程序的安全運行。

應用系統(tǒng)的總體需求計劃階段，應全面評估系統(tǒng)的安全風險，確定系統(tǒng)的訪問控制、身份認證、審計跟蹤等安全需求；總體架構(gòu)設計階段，應實施安全需求設計，確立安全服務機制、開發(fā)人員技術要求和操作規(guī)程；應用系統(tǒng)的實現(xiàn)階段，應全程實施質(zhì)量控制，防止程序后門，減少代碼漏洞；在上線運行之前，應充分進行局部功能、整體功能、壓力測試，以及系統(tǒng)安全性能、操作流程、應急方案的測試。5.10數(shù)據(jù)安全及備份恢復

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)等）在維持系統(tǒng)正常運行上起著至關重要的作用。由于信息系統(tǒng)的各個層面（網(wǎng)絡、主機、應用等）都對各類數(shù)據(jù)進行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。附 則

? 本標準由海南電網(wǎng)公司信息通信分公司負責解釋。

? 本標準自頒布之日起實行。

第二篇：信息安全策略

信息安全策略

是一個有效的信息安全項目的基礎。從信息安全領域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式，但它們也是最難實施的。策略花費的僅僅是創(chuàng)建、批準、交流所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術控制）相比，其花費也是較小的。策略的制定需要達成下述目標：減少風險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。

信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應當重視對信息系統(tǒng)了解深刻的員工，所提出的組織當前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。

在制定一整套信息安全策略時，應當參考一份近期的風險評估或信息審計，以便清楚了解組織當前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。也需要召開相關人員會議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計主管和人力資源主管等。

為了確定哪些部分需要進一步注意，應收集組織當前所有相關的策略文件，例如計算機操作策略、應用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國際標準、行業(yè)標準來獲得指導。

資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。資料收集不全，調(diào)研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應當與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實施恰當?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應當表明能予遵守并且這是繼續(xù)雇傭的條件。也應當發(fā)放到內(nèi)部服務器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領導強有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施，但經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。

一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負責篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。如果組織內(nèi)還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機，或由組織內(nèi)已存在的同職能部門擔任職責。

雖然制定了新的安全策略，還必須有一個適當?shù)膶嵤┻^程，如果這些策略不能得到實施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認為信息安全為題已經(jīng)處理雖然現(xiàn)實是另外一回事。

管理層常以為員工行為當然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發(fā)布前，應在內(nèi)部信息技術部門或?qū)徲嫴块T內(nèi)討論如果具體實施。新策略的執(zhí)行可能會遇到多樣化的問題?？梢酝ㄟ^績效評估和相應獎懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關的意識提升是無效的。在此情形下，需要尋找更有效的方式實施，或修改策略，以便更好的反映組織文化。

另有一些策略實施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關鏈接讓用戶能很快定位感興趣的材料。

制定自我評估調(diào)查表—在新的策略實施時，制定評估表，填寫實施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。

制定遵守信息安全策略的員工協(xié)議表——應當編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓和通告。

基礎信息安全培訓課程——培訓課程通過錄像或培訓軟件存檔。不同策略對象可能要不同的培訓課程。

分配策略落實負責人——按部門或?qū)嶋H情況分配負責人，落實責任。

第三篇：稅務系統(tǒng)信息安全策略

論文編號：6G21112101

稅務系統(tǒng)信息安全策略

劉宏斌 李懷永

內(nèi)容題要：

隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務信息安全顯得更加重要。本文主要通過分析稅務信息化的網(wǎng)絡安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡信息存在的安全問題來提出稅務信息化的網(wǎng)絡安全實施方案。

關鍵詞：稅務信息化、信息安全、安全策略

計算機軟硬件技術的發(fā)展和互聯(lián)網(wǎng)技術的普及，為電子稅務的發(fā)展奠定了基礎。尤其是國家金稅工程的建設和應用，使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國稅務信息化建設自開始金稅工程以來，取得了長足進步，極大提高了稅務工作效率和質(zhì)量。但稅務系統(tǒng)本身也暴露出了一系列要改進的問題，各種應用軟件自成體系、重復開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡及計算機的犯罪事件也日益增加。稅務系統(tǒng)所面臨的信息網(wǎng)絡安全威脅不容忽視。建立稅務管理信息化網(wǎng)絡安全體系，要求人們必須提高對網(wǎng)絡安全重要性的認識，增強防范意識，加強網(wǎng)絡安全管理，采取先進有效的技術防范措施。本文主要通過分析稅務信息化的網(wǎng)絡安全威脅和內(nèi)部網(wǎng)網(wǎng)絡信息管理的安全策略和技術來提出稅務信息化的網(wǎng)絡安全實施方案。

一、稅務機關信息安全的重要性

稅收是國家財政收入的重要途徑，相關的稅務系統(tǒng)業(yè)務要求其具有準確性、公證性和完整性的特點，隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務信息安全顯得更加重要。稅務信息系統(tǒng)已經(jīng)覆蓋到全國鄉(xiāng)鎮(zhèn)，點多面廣，信息安全防范難度加大，稅務機關信息系統(tǒng)安全基礎條件不足、管理力量薄弱，成為稅務信息安全的重點和難點。因此保證稅務信息系統(tǒng)的安全性意義重大。稅務系統(tǒng)作為電子政務系統(tǒng)的一部分，屬國家基礎信息建設，其基本特點是：網(wǎng)絡地域廣、信息系統(tǒng)服務對象復雜；稅務信息具有數(shù)據(jù)集中、安全性要求高；應用系統(tǒng)的種類較多，網(wǎng)絡系統(tǒng)安全設備數(shù)量大，種類多，管理難度大。稅務系統(tǒng)是一個及其龐大復雜的系統(tǒng)，從業(yè)務上有國稅、地稅之分，從地域來說通過總局、省局、市局數(shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級、分局/所五層網(wǎng)絡管理結(jié)構(gòu)。網(wǎng)絡結(jié)點眾多、網(wǎng)絡設備和網(wǎng)絡出口不計其數(shù)、操作系統(tǒng)種類繁多、應用系統(tǒng)五花八門、網(wǎng)絡機構(gòu)極其復雜。面對如此復雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過不斷的研究和探索，目前已經(jīng)積累了大量解決稅務系統(tǒng)信息基礎設施安全的方法和經(jīng)驗，形成一整套稅務系統(tǒng)的安全保障方法，相關安全保障的體系也在不斷完善和發(fā)展中。

二、稅務系統(tǒng)內(nèi)部網(wǎng)存在的安全問題

稅務信息化的網(wǎng)絡為計算機內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨立于其他任何網(wǎng)絡的獨立網(wǎng)絡,這里所謂的獨立是指的物理上的獨立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡與信息安全也具有特有的要求。稅務內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：

1、物理地域廣。內(nèi)網(wǎng)設備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設的復雜性和多元性；

2、網(wǎng)絡邊界的擴大。遠程撥號用戶、移動辦公用戶、VPN 用戶、分支機構(gòu)、合作伙伴、供應商、無線局域網(wǎng)等等已經(jīng)大大地擴展了網(wǎng)絡的邊界，使得邊界保護更加困難；稅務分局、稅務所等分支機構(gòu)的局域網(wǎng)與上級稅務骨干網(wǎng)的連接，無論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒有路由安全和防止入侵的技術措施。

3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來損失，以及網(wǎng)絡出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到及時地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。由于具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡終端缺少有效的安全防護，業(yè)務資料和私人信息混存，不設開機口令，沒有讀寫控制，業(yè)務系統(tǒng)登錄口令簡單且長期不變，移動存儲設備不按規(guī)定使用，病毒和垃圾信息充斥。

4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對脆弱，不能有效抵御來自內(nèi)外部的入侵和攻擊的問題，安全策略不能得到及時地分發(fā)和執(zhí)行，最終導致安全策略形同虛設；主要方式有：IP欺騙、ARP欺騙、DNS 欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發(fā)送假報文，使受攻擊主機出現(xiàn)錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。

5、內(nèi)網(wǎng)非法主機外聯(lián)。非法主機的接入、內(nèi)部網(wǎng)非法通過 Modem、無線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風險。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來回換用，一些只應在內(nèi)部網(wǎng)上運行的操作系統(tǒng)、應用軟件和業(yè)務數(shù)據(jù)沒有與互聯(lián)網(wǎng)實行“隔離”，存在潛在風險。

6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web 頁面訪問，文件上傳下載等等）進行監(jiān)控的手段，導致組織機密信息和隱私泄漏。內(nèi)部網(wǎng)上設備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購的設備等，不少沒有經(jīng)過權(quán)威部門的檢測和認定，系統(tǒng)運行中缺少嚴格的跟蹤監(jiān)控，存在安全隱患。

7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分數(shù)據(jù)或者一套指令的溢出就可能導致一個程序或者操作系統(tǒng)崩潰。

三、稅務信息化的網(wǎng)絡安全實施方案

1、做好信息安全風險評估

為確保稅務信息資產(chǎn)的安全，應定期組織業(yè)務、技術和管理等專業(yè)人員進行信息安全風險評估，制定科學的安全預算。

信息安全評估應著重于以下問題：

（1）確定可能對信息資產(chǎn)造成危害的威脅，包括計算機病毒、黑客和自然災害等。

（2）通過歷史資料和專家的經(jīng)驗確定威脅實施的可能性。（3）對可能受到威脅影響的信息資產(chǎn)確定其價值、敏感性和嚴重性，以及相應的級別，確定所有信息資產(chǎn)的重要程度。

（4）對最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。

（5)準確了解網(wǎng)絡和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡和系統(tǒng)的安全需求。（7）確定網(wǎng)絡和系統(tǒng)的安全策略。（8）制定網(wǎng)絡和系統(tǒng)的安全解決方案。

（9）向上級提交安全保障體系建設的意見和建議。

（10)通過項目實施和培訓，培養(yǎng)自己的安全技術骨干及隊伍。

2、加強信息安全管理

信息安全“三分技術，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計算機信息安全的最重要環(huán)節(jié)。

（1）建立健全信息安全管理組織，明確領導體制和工作機制。（2）建立健全信息安全管理制度, 落實安全防范責任制。（3）廣泛開展計算機信息安全宣傳，提高全員信息安全意識，建立信息安全培訓機制，組織開展多層次、多方位的信息安全培訓，提高全員信息安全防范技能。

（4）開展經(jīng)常性的安全檢查，切實整改安全隱患，不斷改進信息安全管理工作。

（5）科學評定信息系統(tǒng)及信息資產(chǎn)的重要級別，確定信息安全工作重點，制定近、中、遠期信息安全工作規(guī)劃。

3、完善信息安全技術手段

信息安全離不開安全技術的實施和安全技術防范體系的建立。基層單位要以協(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設為主，自主建設為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點。

（1）病毒防范：建立嚴密的、全方位的、統(tǒng)一的網(wǎng)絡病毒防范系統(tǒng)，實行統(tǒng)一的殺毒組件分發(fā)、維護、更新和報警等，重點防控網(wǎng)絡終端、移動存儲設備的病毒入侵和傳染。

（2）身份鑒別與訪問控制：嚴格設定所有應用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術、生物統(tǒng)計技術等新型的、可靠的電子身份鑒別技術，把好進入系統(tǒng)的第一道關卡，防止非授權(quán)用戶進入各級信息系統(tǒng)。

（3）安全審計：對網(wǎng)絡的Web瀏覽、Web發(fā)布、郵件、即時通信、FTP和遠程登錄等行為進行全面審計，對重要數(shù)據(jù)庫的訪問對象、訪問時間、訪問類型和訪問內(nèi)容進行嚴密跟蹤，及時掌握整個網(wǎng)絡動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。

（4）入侵檢測：對內(nèi)部網(wǎng)中主要的網(wǎng)段進行實時入侵監(jiān)測，動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應，及時發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當?shù)奶幹谩?/p>

（5）信息加密：對重要信息資料、數(shù)據(jù)進行加密存儲和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。

稅務機關要立足實際，切實解決好人員、資金、技術問題，把信息安全管理工作放在應有位置，逐步實現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術防范體系，為稅收征管信息化提供有力的安全保障。

結(jié)束語

解決信息系統(tǒng)的安全不是一個獨立的項目問題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術標準、管理規(guī)范等，是整個信息系統(tǒng)安全建設的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術框架，若能進一步利用現(xiàn)代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等，將形成更加完善的信息安全管理體系。稅務信息安全直接關系到稅收信息化建設的成敗，必須引起稅務機關和每一位稅務人的重視。科學技術的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術只有與先進的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。

參考文獻：

(1)戴宗坤,羅萬伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，2002.(2)黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學出版社, 2005:7-58(3)孫銳,王純.信息安全原理及應用.2003年7月第1版.清華大學出版社,2003:17-21(4)王聰生.信息與網(wǎng)絡安全中的若干問題.電力信息化[J],2004(7).(5)白巖, 甄真, 倫志軍, 周芮.計算機網(wǎng)絡信息管理及其安全.現(xiàn)代情報[J],2006,8(8).(6)王純斌.淺議計算機網(wǎng)絡信息安全管理.哈爾濱市委黨校學報[J],2006(9).(7)趙月霞.信息網(wǎng)絡安全設計與應用.寧夏電力[J],2004(1).(8)陳月波.網(wǎng)絡信息安全[M].武漢：武漢理工大學出版社，2005.(9)鐘樂海，王朝斌，李艷梅.網(wǎng)絡安全技術[M].北京：電子工業(yè)出版社,2003.(10)張千里.網(wǎng)絡安全基礎與應用[M].北京：人民郵電出版社,2007.(11)吳金龍,蔡燦輝,王晉隆.網(wǎng)絡安全[M].北京：高等教育出版社,2004.(12)熊心志.計算機網(wǎng)絡信息安全初探.計算機科學.2006, 33卷.B12 期:60-62(13)網(wǎng)絡信息安全及防范技術分析.中國科技信息.2006,16期:149-151

（作者單位：盤錦市大洼縣國稅局）

第四篇：企業(yè)網(wǎng)絡信息安全策略

企業(yè)網(wǎng)絡信息安全策略

隨著計算機技術和網(wǎng)絡的快速發(fā)展，網(wǎng)絡管理也越來越受到人們的重視，企業(yè)的發(fā)展更離不開網(wǎng)絡，但是網(wǎng)絡的質(zhì)量又直接影響著企業(yè)的信息安全管理，因此，企業(yè)需要制定一種網(wǎng)絡和數(shù)據(jù)安全策略，提高網(wǎng)絡管理員的信息掌控能力，為了把企業(yè)網(wǎng)絡管理做到安全合理，翔羚科技給廣大企業(yè)做出以下幾點建議。

評估企業(yè)網(wǎng)絡完整性

評估網(wǎng)絡的完整性?！傲私庾约?IT 基礎架構(gòu)的起點和終點，但仍有為數(shù)眾多的企業(yè)不清楚其網(wǎng)絡的整體性。還要了解自己的?正常狀態(tài)?是什么，這樣能夠便于你快速確定問題并作出響應?！敝匦略u估您的可接受使用策略和商業(yè)行為準則。“拋棄那種冗長的安全政策清單的做法，只將焦點放在那些您知道自己必須實施且能夠?qū)嵤┑恼呱?。?/p>

做好企業(yè)內(nèi)部人員數(shù)據(jù)管理

確定必須保護哪些數(shù)據(jù)。“如果不知道必須保護企業(yè)內(nèi)部的哪些信息，您就無法構(gòu)建有效的 DLP 計劃。您還必須確定企業(yè)內(nèi)部哪些人有權(quán)訪問這些信息，以及必須采用什么方式?！绷私鈹?shù)據(jù)所在位置，目前采用什么方式進行保護(以及是否正進行保護)?！按_定哪些第三方有權(quán)存儲您公司的數(shù)據(jù)(從云服務提供商到電郵營銷企業(yè))，確保您的信息正得到適當?shù)谋Ｗo。合規(guī)要求，以及當前網(wǎng)絡犯罪領域?牽一發(fā)而動全身?的發(fā)展趨勢都表明，企業(yè)絕對不能假設自己的數(shù)據(jù)是安全的，即便是這些我要走了，今天就早！你給我的工資太高了我受不起啊，我每天都遲到自己感到十分的內(nèi)疚，不過每天都是我來最早的！合同我已經(jīng)撕了，你的那份我也幫你偷偷的撕了。我不會怪你的老板，要怪就怪那個寶寶，她怎么就在貴州了呢？我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里?！?/p>

合理采用監(jiān)控

采用出口監(jiān)控。“這是一項基本要求，但是很多企業(yè)都不夠重視，出口監(jiān)控是一種監(jiān)控重心的轉(zhuǎn)變，而不是僅側(cè)重于阻止?壞人?進來。您應該監(jiān)控那些由內(nèi)向外發(fā)送的內(nèi)容，包括發(fā)送者是誰、發(fā)往何處，并攔截那些不允許外泄的內(nèi)容?！睖蕚溆颖厝坏絹淼?BYOD。“企業(yè)不要再去想何時轉(zhuǎn)變到 BYOD 模式，而是要開始思考如何轉(zhuǎn)變?！?/p>

做好企業(yè)應變決策

制定事件響應計劃。“IT 方面的風險應該像任何其他業(yè)務風險一樣對待。這意味著企業(yè)需要預先制定明確的計劃，以便對任何類型的安全事件迅速作出適當?shù)姆磻?，無論這些事件屬于有針對性攻擊所造成的數(shù)據(jù)泄露、員工疏忽導致的違規(guī)還是黑客行動主義事件?！睂嵤┌踩胧椭鷱浹a對社交網(wǎng)絡控制的不足?！安灰凸兰夹g控制的強大力量，比如用于抵御網(wǎng)絡威脅的入侵防御系統(tǒng)。聲譽過濾系統(tǒng)也是一種用于檢測可疑活動和內(nèi)容的基本工具。”監(jiān)控風險形勢的動態(tài)變化，及時向用戶通報?！捌髽I(yè)及其安全團隊需要對范圍更廣的風險來源保持警惕，包括移動設備、云和社交網(wǎng)絡，以及未來新技術可能伴隨的任何威脅。他們應該采用雙管齊下的方法：對安全漏洞泄露作出反應，同時主動教育員工如何保護自身和企業(yè)抵御持久、嚴重的網(wǎng)絡威脅?！?/p>

第五篇：G 第十六章 推薦的信息安全策略

第十六章 推薦的信息安全策略

由FBI主導的調(diào)查結(jié)果顯示，超過90%的大企業(yè)和政府機構(gòu)遭受過計算機入侵者的攻擊，美聯(lián)社在2002年4月對其進行了報導。有趣的是，只有大約三分之一的公司報導或公開了這些攻擊，沉默意味著他們學到了很多東西，為了避免失去客戶的信任，為了防止更多入侵者的出現(xiàn)，大部分的商業(yè)公司不會公開報導計算機安全事件。

似乎沒有任何社會工程學攻擊的統(tǒng)計，就算有，數(shù)據(jù)也很不可靠，在大部分情況下一家公司永遠也不會知道社會工程師已經(jīng)“偷走了”信息，因此許多攻擊都沒有記錄。

有效的策略能針對大多數(shù)的社會工程學攻擊類型進行防范，但是讓我們現(xiàn)實——除非企業(yè)里每一個人都認識到安全的重要性并把它作為他（或她）的職責（遵守公司的安全策略），否則社會工程學攻擊將永遠是企業(yè)面臨的嚴重威脅之一。

事實上，針對安全攻擊的技術手段一直在進步，通過社會工程學途徑獲取私有的公司信息或滲透企業(yè)網(wǎng)絡，這種攻擊將越來越頻繁并引起信息竊賊的關注。商業(yè)間諜通常會選擇使用最簡單同時也是最隱蔽的方法來達到他（或她）的目標。事實上，那些使用了最先進的安全技術保護計算機系統(tǒng)和網(wǎng)絡的公司，可能會面對更多來自于使用社會工程學策略和方法的攻擊。

本章介紹了防范社會工程學攻擊的詳細策略，這些策略除了針對基于技術漏洞的攻擊，還涉及到幾種引導信任的員工提供信息或執(zhí)行操作的騙局，阻止攻擊者訪問敏感商業(yè)信息或企業(yè)計算機系統(tǒng)與網(wǎng)絡。

什么是安全策略？

安全策略是指導員工行為、保護信息安全的明確指南，是安全體系中防范潛在威脅的重要組成部分，這些策略在察覺并防范社會工程學攻擊時尤其有效。

有效的安全管理需要培訓員工精心設計的策略和程序，然而，即使每一個員工都嚴格地遵守了安全策略，也無法保證防御所有的社會工程學攻擊。相反，合理的目標總是能用可接受的標準減小威脅。

在這里介紹的這些策略包括了一些與社會工程學攻擊無關的防范措施，之所以放在這里，是因為它們涉及到了一些攻擊者常用的技術。例如，email附件攻擊——可以安裝特洛伊木馬軟件讓攻擊者控制受害者的電腦——就被定義為計算機入侵者頻繁使用的方法。

制定程序的步驟

一個全面的信息安全程序通常從威脅評估開始：

需要保護哪些企業(yè)信息資產(chǎn)？

有哪些針對這些資產(chǎn)的具體威脅？

如果這些潛在的威脅成為現(xiàn)實會對企業(yè)造成哪些損失？

威脅評估的主要目標是對需要立即保護的信息資產(chǎn)按優(yōu)先次序排列，而不是對安全措施進行成本效益分析。首先想一想，哪些資產(chǎn)需要首先保護，保護這些資產(chǎn)需要花多少錢。高級管理人員的支出和對安全策略和信息安全程序的大力支持非常重要。正如其它的企業(yè)程序一樣，如果一個安全程序成功了，管理層可以對其進行推廣，前提是要有個人案例證明其有效性。員工們需要意識到信息安全和保護公司商業(yè)信息的重要性，每一個員工的工作都依賴于這一程序的成功。

設計信息安全策略藍圖的人需要以非技術員工也能輕松理解的通俗方式書寫安全策略，并解釋為什么這些是重要的，否則員工可能會認為一些策略是在浪費時間而對其忽略。策略書寫者應當創(chuàng)建一份介紹這些策略的文檔，并把它們分開來，因為這些策略可能會在執(zhí)行的時候有小范圍的修改。

另外，策略的書寫者應當了解哪些安全技術能被用來進行信息安全培訓。例如，大部分的操作系統(tǒng)都能用指定的規(guī)則（比如長度）限制用戶密碼。在一些公司，可以通過操作系統(tǒng)的本地或全局策略阻止用戶下載程序。在允許的情況下，策略應當要求使用安全技術代替人為的判斷。

必須忠告員工不遵守安全策略與程序的后果，應當制定并宣傳違反策略的處罰。同樣，要對表現(xiàn)優(yōu)異或者發(fā)現(xiàn)并報告了安全事件的員工進行獎勵。當一名員工受到獎勵時，應當在公司范圍內(nèi)廣泛地宣傳，比如在公司時訊中寫一篇文章。

安全培訓程序的一個目標是傳達安全策略的重要性和不遵守這些規(guī)則的后果。拜人性所賜，員工們有時候會忽略或繞過那些看上去不合理或者太費時間的策略。管理層有責任讓員工們了解其重要性與制定這些策略的原因，而不是簡單地告訴他們繞過策略是不允許的。

值得注意的是，信息安全策略不是固定不變的，就像商業(yè)需要變化一樣，新的安全技術和新的安全漏洞使得策略在不斷的修改或補充。應當加入常規(guī)的評估與更新程序，可以通過企業(yè)內(nèi)網(wǎng)或公共文件夾讓企業(yè)安全策略與程序不斷更新，這增加了對策略與程序頻繁審核的可能性，并且員工可以從中找到任何與信息安全有關的問題和答案。

最后，使用社會工程學方法與策略進行的周期性滲透測試與安全評估應當暴露出培訓或公司策略和程序的不足。對于之前使用的任何欺騙滲透測試策略，應當告知員工有時候可能會進行這種測試。

怎樣使用這些策略

本章中介紹的詳細策略是我認為對減輕所有安全威脅非常重要的信息安全策略子集，因此，這些策略并不是一個完整的列表，更確切的說，它們是創(chuàng)建合適的安全策略的基礎。

企業(yè)的策略書寫者可以基于他們公司的獨特環(huán)境和商業(yè)目的選擇適合的策略。每一家有不同安全需求（基于商業(yè)需要、法律規(guī)定、企業(yè)文化和信息系統(tǒng)）的企業(yè)都能在這些介紹找到所需的策略，而忽略其它的內(nèi)容。

每一種策略都會提供不同的安全等級選擇。大部分員工都互相認識的小型公司不需要擔心攻擊者會通過電話冒充員工（當然攻擊者還可以偽裝成廠商）。同樣，一家企業(yè)文化輕松休閑的公司可能會希望只用這些策略中的一部分來達到它的安全目標，雖然這樣做會增加風險。

數(shù)據(jù)分類

數(shù)據(jù)分類策略是保護企業(yè)信息資產(chǎn)、管理敏感信息存取的基礎。這一策略能讓所有員工了解每一種信息的敏感等級，從而提供了保護企業(yè)信息的框架。

沒有數(shù)據(jù)分類策略的操作——幾乎所有公司的現(xiàn)狀——使得的大部分的控制權(quán)掌握在少數(shù)員工手里?？上攵瑔T工的決定在很大程度上依賴于主觀判斷，而不是信息的敏感性、關鍵程度和價值。如果員工不了解被請求信息的潛在價值，他們可能會把它交到一名攻擊者手里。

數(shù)據(jù)分類策略詳細說明了信息的貴重程度。有了數(shù)據(jù)分類，員工就可以通過一套數(shù)據(jù)處理程序保護公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權(quán)者的可能性。

每一個員工都必須接受企業(yè)數(shù)據(jù)分類策略培訓，包括那些并不經(jīng)常使用計算機或企業(yè)通信系統(tǒng)的人。因為企業(yè)中的每一個人——包括清潔工、門衛(wèi)、復印室職員、顧問和承包人，甚至是實習醫(yī)生——都有可能訪問敏感信息，任何人都能成為攻擊的目標。

管理層必須指定一個信息所有者負責公司目前正在使用的任何信息，信息所有者的職責之一就是保護信息資產(chǎn)。通常，所有者負責確定基于信息保護需要的分類等級，周期性地評估分類等級，并在必要的時候?qū)ζ溥M行修改，信息所有者可能還會負責指定管理人員或其他人員來保護數(shù)據(jù)。

分類類別與定義

應當基于敏感程度將信息分成不同的分類等級。一旦建立了詳細的分類系統(tǒng)，重新分類信息將十分昂貴和費時。在我們的策略范例中，我選擇了4個適合幾乎所有大中型企業(yè)的分類等級。依靠敏感信息的編號和分類，商業(yè)公司可以選擇增加更多分類以適應將來的特殊類型。在小型商業(yè)公司，三個等級的分類方案可能就夠了。記住——分類方案越復雜，企業(yè)培訓員工和執(zhí)行方案的費用就越高。

機密是最敏感的信息分類，機密信息只能在企業(yè)內(nèi)部使用。在大多數(shù)情況下，機密信息只能讓少數(shù)有必要知道的人訪問。機密信息的泄漏會嚴重影響到公司（股東、商業(yè)伙伴和（或）客戶）。機密信息通常包括以下內(nèi)容：

商業(yè)機密信息、私有源代碼、技術或規(guī)格說明書、能被競爭者利用的產(chǎn)品信息。并不公開的銷售和財政信息。

關系到公司運轉(zhuǎn)的其它任何信息，比如商業(yè)戰(zhàn)略前景。

私有是僅在企業(yè)內(nèi)部使用的個人信息分類。如果未授權(quán)的人（尤其是社會工程師）獲得了私有信息，員工和公司都將受到嚴重影響。私有信息內(nèi)容包括：員工病歷、健康補助、銀行帳戶、加薪歷史，和其它任何沒有公共存檔的個人識別信息。

注釋：

內(nèi)部信息分類通常由安全人員設定，我使用了“內(nèi)部”這個詞，因為這是分類使用的范圍。我列出的這些敏感分類并不是詳細的安全等級，而是查閱機密、私有和內(nèi)部信息的快捷方式，用另一句話說，敏感程度涉及到了任何沒有指定為公共權(quán)限的公司信息。

內(nèi)部信息分類能提供給任何受雇于企業(yè)的員工。通常，內(nèi)部信息的泄漏不會對公司（股東、商業(yè)伙伴、客戶或員工）造成嚴重影響，但是，熟悉社會工程學技能的人能用這些信息偽裝成一個已授權(quán)的員工、承包人或者廠商，從沒有絲毫懷疑的員工那里獲得更多敏感信息突破企業(yè)計算機系統(tǒng)的訪問限制。

必須在傳遞內(nèi)部信息給第三方（提供商、承包人、合作公司等等）之前與其簽署一份保密協(xié)議。內(nèi)部信息通常包括任何在日常工作中使用的、不能讓外部人員知道的信息，比如企業(yè)機構(gòu)圖、網(wǎng)絡撥號號碼、內(nèi)部系統(tǒng)名、遠程訪問程序、核心代碼成本、等等。

公共信息被明確規(guī)定為公共可用。這種信息類型，比如新聞稿、客服聯(lián)系信息或者產(chǎn)品手冊，能自由地提供給任何人。需要注意的是，任何為指定為公共可用的信息都應當視為敏感信息。

數(shù)據(jù)分類術語

基于其分類，數(shù)據(jù)應當由不同的人負責。本章中的許多策略都提到過不允許身份未驗證的人訪問信息，在這些策略中，未驗證的人指的是員工并不親自認識的人和不能確定是否有訪問權(quán)限的員工，還有無法保證可信的第三方。

在這些策略中，可信的人是指你親自見過的、有訪問權(quán)限的公司員工、客戶或者顧問，也可以是與你的公司有合作關系的人（比如，客戶、廠商或者簽署了保密協(xié)議的戰(zhàn)略合作伙伴）。

在第三方的保證中，可信的人可以驗證一個人的職業(yè)或身份，和這個人請求信息或操作的權(quán)限。注意，在某些情況下，這些策略會要求你在響應信息或操作請求之前確認保證者仍然受雇于公司。

特權(quán)帳戶是指需要超越基本用戶帳戶權(quán)限的計算機（或其它）帳戶，比如系統(tǒng)管理員帳戶。有特權(quán)帳戶的員工通常能更改用戶權(quán)限或執(zhí)行系統(tǒng)操作。

常規(guī)部門信箱是指回答一般問題的語音信箱，用來保護在特殊部門工作的員工的名字和分機號碼。

驗證與授權(quán)程序

信息竊賊通常會偽裝成合法的員工、承包人、廠商或商業(yè)伙伴，使用欺騙策略訪問機密商業(yè)信息。為了保護信息安全，員工在接受操作請求或提供敏感信息之前，必須確認呼叫者的身份并驗證他的權(quán)限。

本章中推薦的程序能幫助一名收到請求（通過任何通訊方式，比如電話、email或傳真）的員工判斷其是否合法。

可信者的請求

針對可信者的信息或操作請求：

確認其是否當前受雇于公司或者有權(quán)訪問這一信息分類，這能阻止離職員工、廠商、承包人、和其他不再與公司有關系的人冒充可信的職員。

驗證此人是否有權(quán)訪問信息或請求操作。

未核實者的請求

當遇到未核實者的請求時，必須使用一個合理的驗證程序確認請求者是否有權(quán)接收請求的信息，尤其是當請求涉及到任何計算機或計算機相關的設備時。這一程序成功防范社會工程學攻擊的關鍵：只要實施了這些驗證程序，社會工程學攻擊成功的可能性將大大減小。

需要注意的是，如果你把程序設置得過于復雜，將超過成本限制并被員工忽略。

下面列出了詳細的驗證程序步驟：

驗證請求者是他（或她）所聲稱的那個人。

確認請求者當前受雇于公司或者與公司有須知關系。

確認請求者已被授權(quán)接收指定信息或請求操作。

第一步：驗證身份

以下列出的推薦步驟按有效性從低到高排列，每一條中還加入了社會工程師行騙的詳細說明。

1、來電顯示（假設這一功能已經(jīng)包括在了公司的電話系統(tǒng)之中）。用來電顯示確認電話是來自公司內(nèi)部還是公司外部，顯示的名字和電話號碼是否符合呼叫者提供的身份。

弱點：外部來電顯示信息可以被任何能用PBX或者電話交換機連接到數(shù)字電話服務的人偽造。

2、回撥。在公司的目錄中查詢請求者的名字，并通過列出的分機號碼回撥確認請求者的身份。

弱點：當員工回撥電話時，準備充分的攻擊者可以將其呼叫轉(zhuǎn)移到一個外部的電話號碼。

3、擔保。由一個可信的人為請求者的身份擔保。

弱點：攻擊者可以偽裝成一個可信員工，讓另一個員工為他擔保。

4、接頭暗號。在企業(yè)范圍內(nèi)使用接頭暗號，比如每日密碼。

弱點：如果有很多人知道這個接頭暗號，攻擊者也可以輕易地知道。

5、員工管理員/經(jīng)理。打電話給員工的頂頭上司并請求驗證。

弱點：如果請求者提供了他（或她）的上司的電話號碼，員工聯(lián)系上的也許是攻擊者的同謀。

6、安全Email。請求數(shù)字簽名信息。

弱點：如果攻擊者入侵了員工的計算機并通過鍵盤記錄程序獲取了密碼，他便可以像普通員工一樣發(fā)送數(shù)字簽名email。

7、個人語音識別。通過聲音判斷請求者的身份。

弱點：這是相當安全的方法，攻擊者無法輕易突破，但是如果沒有見過請求者（或者和請求者說過話），這一方法就沒有任何用處。

8、動態(tài)密碼方案。請求者通過一個動態(tài)的密碼方案（比如安全ID）識別自身。

弱點：攻擊者可以獲取其中的動態(tài)密碼設備和相應的員工PIN碼，或者欺騙員工讀出PIN設備上顯示的信息。

9、佩戴ID。請求者佩戴員工證件或其它合適的照片ID。

弱點：攻擊者可以偷竊員工證件，或者直接偽造一張。然而，攻擊者通常會避免這樣做，以減小被發(fā)現(xiàn)的可能性。

第二步：驗證員工身份

最大的信息安全威脅并不是專業(yè)的社會工程師，也不是熟練的計算機入侵者，而是剛剛解雇想要報復或者偷竊公司商業(yè)信息的員工。（注意，這一步驟的另一個版本可用于和你的公司有另一種商業(yè)關系的人，比如廠商、顧問或契約工人）

在提供敏感信息給另一個人或者接受計算機或計算機相關的設備指示操作之前，使用下面這些方法驗證請求者是否仍是公司的員工：

查看員工目錄。如果公司有一份活動員工目錄，可以查看請求者是否仍在列表中。請求者的上司核對。用公司目錄上列出的電話號碼打電話給請求者的上司，而不是使用請求者提供的號碼。

請求者的部門或工作組驗證。打電話給請求者的部門或工作組，從該部門或工作組的任何人那里確認請求者仍是公司的員工。

第三步：驗證權(quán)限

除了驗證請求者是否為活動員工或者與公司有關聯(lián)之外，仍然有必要確認確認請求者已被授權(quán)訪問所請求的信息，或者已被授權(quán)指導指定的計算機或計算機相關的設備操作。

可以使用以下這些方法進行驗證：

職位/工作組/職責列表。企業(yè)可以使用一張列表說明指定的員工可以訪問哪些指定信息，并通過員工的職位、部門、工作組、職責或者綜合這些進行分類。這一列表需要不斷更新并提供授權(quán)信息的快捷訪問方式。通常，信息所有者應當負責創(chuàng)建并維護這一列表，監(jiān)控信息的訪問。

注釋

值得注意的是，維護這種列表是在邀請社會工程師，試想一下，如果攻擊者將一家公司作為目標，就會知道這一列表的存在，并有足夠的興趣獲取一份，這一列表能為攻擊者打開方便之門，使公司陷入嚴重的危機之中。

獲得上司授權(quán)。員工聯(lián)系他（或她）自己的上司，或者請求者的上司，請求授權(quán)同意這一請求。

獲得信息所有者或指定人員的授權(quán)。信息所有者可以決定是否允許訪問，基于計算機的訪問控制程序可以讓員工聯(lián)系他（或她）的頂頭上司申請訪問基于工作任務的信息，如果這一任務不存在，管理人員有責任聯(lián)系相關的數(shù)據(jù)所有者請求許可。這一管理系統(tǒng)的實施應當保證信息所有者不會拒絕常用信息的請求。

獲得專業(yè)軟件程序授權(quán)。對于高競爭性產(chǎn)業(yè)的大公司，可以使用專業(yè)軟件程序進行授權(quán)。這種軟件的數(shù)據(jù)庫中存儲了員工的姓名和機密信息訪問權(quán)限，用戶無法查看每個人的訪問權(quán)限，但可以輸入請求者的名字，并找到相關的權(quán)限信息。這種軟件提供了響應標志，可以判斷員工是否已被授權(quán)訪問這一信息，并用獨立的權(quán)限信息消除了創(chuàng)建個人列表的危險性。