信息安全管理基础.doc

信息安全管理基础信息安全管理体系的概念： 信息安全管理覆盖的内容非常广泛，它涉及信息和网络系统的各个层面，以及信息系统生命周期的各个阶段，随着人们对信息安全管理认识和理解的不断深入，可以发现这些不同层次、不同方面的管理内容在彼此之间存在着一定的内在关联，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目的，这个有机整体就是信息安全管理体系(ISMS , Information Security Management systems)。信息安全管理的目的： 在系统和环境进行物质、能量和信息交换的进程中，利用一切可以利用的安全防护措施，达到保护系统内部重要信息和其他重要资产的安全性（保密性、完整性、可用性和可控性），以防止和最小化安全事件（风险）所造成的破坏，确保业务的持续性和损失最小化。信息安全管理的意义： 组织可以参照合适的信息安全管理模型，采用先进的安全技术手段，建立组织起完整的信息安全防范体系并实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。 保持完整的信息安全管理体系还将会产生如下积极的作用：1、 强化员工的信息安全意识，规范组织信息安全行为；2、 对组织的关键信息资产进行全面系统地保护，维持竞争优势；3、 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；4、 使组织的生意伙伴和客户对组织充满信心；5、 如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；6、 促使管理层坚持贯彻信息安全保障体系。信息管理体系的分类：1、 方针与政策管理；确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以现实对信息安全工作的支持和承诺，保证信息安全的资金投入。2、 风险管理；信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。3、 人员与组织管理：建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。4、 环境与设备管理：控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。5、 网络与通信管理：控制、保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网络和通信系统的问题对业务系统的损害。6、 主机与系统管理：控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。7、 应用与业务管理：对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。8、 数据、文档、介质管理采用数据加密和完整性保护机制，以防止数据被窃取和篡改，保护业务数据的安全。9、 项目工程管理全系统：保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。10、运行维护管理：保护信息系统在运行期间的安全，并确保系统维护工作的安全。11、业务连续性管理：通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。12、合规性管理：确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定和标准得到了遵循。信息安全管理的基本原则：1、 一把手负责原则，也称为领导负责原则；2、 动态发展原则；3、 风险原则；4、 规范原则；5、 预防原则；6、 注重实效原则；7、 系统化原则；8、 均衡防护原则；9、 分权制衡原则；10、应急原则11、灾难恢复原则。信息安全管理的主要过程：1、 获取管理层的支持；2、 定义安全范围；3、 创建安全策略；4、 建立信息安全管理系统；5、 风险分析和评价。国际信息安全管理标准： ISO和IEC 是世界范围的标准化组织，各国的相关标准化组织都是其成员，它们通过各技术委员会，参与相关标准的制定。目前最主要的标准是ISO/ IEc13335、ISO/IEC27000 系列等。 ISO/IEC13335系列（ISO/IECJTCISC27的信息安全管理标准）：1、 ISO/IEC13335-1:1996IT安全的概念与模型；2、 ISO/IEC13335-2:1997IT安全管理和计划制定；3、 ISO/IEC13335-3:1998IT安全管理技术；4、 ISO/IEC13335-4:2000 安全措施的选择；5、 ISO/IEC13335-5网络安全管理方针。 ISO/IEC27000系列（综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等）：1、 ISO/lEC27000信息安全管理体系基础和词汇；2、 ISO/IEC27001:2005信息安全管理体系要求；3、 ISO/IEC27002（17799:2005)信息安全管理实用规则；4、 ISO/IEC27003(（信息安全管理体系实施指南；5、 ISO/IEC27004信息安全管理测量；6、 ISO/IEC27005信息安全风险管理。我国信息安全管理标准： 2002 年全国信息安全标准化技术委员会（信息安全标准体系与协调工作组（WGI）、鉴别与授权工作组（WG4）、信息安全评估工作组(WG5）和信息安全管理工作组（WG7）四个工作组）的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。 中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组( WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组( WG4）。 引进了国际上著名的ISO/IEC27001: 2005信息安全管理体系要求 和ISO/IEC17799:2005信息安全管理实用规则、ISO/IEC15408:1999IT安全评估准则、SSE-CMM系统安全工程能力成熟度模型等，并制定了中华人民共和国国家标准GBI7895-1999计算机信息系统安全保护等级划分准则 、GB/T18336-2001信息技术安全性评估准则 和GB/T20269-2006 信息安全技术信息系统安全管理要求等一批重要的信息安全管理方面的标准。BS7799（ISO/IEC17799）标准： BS7799(ISO/IEC17799)即国际信息安全管理标准体系：1、 BS7799-1:1999信息安全管理实施细则对应给出了通用的控制方法（措施）于2000年12 月通过国际标准化组织(ISO)认可，正式成为国际标准，即I SO/IEC17799:2000信息技术一信息安全管理实施细则。规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。这127个控制措施被分成10 个方面：安全方针，组织安全，资产的分类与控制，人员安全，物理和环境的安全，通信和操作管理，访问控制，系统开发和维护，业务持续性管理，符合性。2、 BS7799-2:1999信息安全管理体系规范认证的依据BS7799-2:2002标准提出建立信息安全管理体系的步骤：1、 定义信息安全策略；2、 定义ISMS 的范围；3、 进行信息安全风险评估；4、 信息安全风险管理（包括：降低风险，避免风险，转嫁风险，接受风险）；5、 确定管制目标和选择管制措施；6、 准备信息安全适用性声明信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。CC标准： 定义：CC (Common Criteria）即信息技术安全性评估准则，是评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。 国际标准化组织（ISO）与CTCPEC 、FC 、TCSEC 、和ITSEC 有关的六个国家中七个相关政府组织集中了他们的成果，并联合行动将各自独立的准则集合成统一的、能被广泛接受的IT 安全准则。 我国于2001 年等同采用ISO/ IEC 15408 为国标，标准号为GB / T 18336 : 2001。CC 的主要目标用户包括消费者、开发者、评估者及其他用户，如系统管理员和系统安全管理员、内部和外部审核员、安全规划和设计者、认可者、评估发起者、评估机构等。 CC 标准包括3个部分：1、 标准内容简介和一般模型；2、 安全功能要求；3、 安全保证要求。 7 个评估保证级别（Evaluation As -surance Levels , EALs )： EAL1 功能测试； EAL2 结构测试； EAL3 系统测试和检查； EAL4 系统设计、测试和复查； EAL5 半形式化设计和测试； EAL6 半形式化验证的设计和测试； EAL7 形式化验证的设计和测试信息安全策略： 定义：是一组规则，定义了一个组织要实现的安全目标和实现这些安全目标的途径。 划分为两部分：1、 问题策略(Issue Policy) 描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。2、 功能策略(Functional Policy) 描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。 基本原则：1、 最小特权原则最基本原则2、 建立阻塞点原则3、 纵深防御原则4、 监测和消除最弱点连接原则5、 失效保护原则6、 普遍参与原则7、 防御多样化原则8、 简单化原则9、 动态化原则以动制动：（1）安全策略要适应动态网络环境发展和安全 威胁的变化。（2）安全设备要满足安全策略的动态需要。（3）安全技术要不断发展，以充实安全设备。 内容：1、 物理安全策略2、 系统管理策略3、 访问控制策略4、 资源需求分配策略5、 系统监控策略6、 网络安全管理策略7、 灾难恢复计划信息安全组织管理： 内部基本结构：1、 安全审查和决策机构2、 安全主管机构3、 安全运行维护机构4、 安全审计机构5、 安全培训机构6、 安全人员外部组织结构：1、 国家职能监管机构2、 外部合作组织3、 专家顾问组信息安全人员管理： 管理要求：1、 安全授权2、 安全审查3、 调离交接4、 安全教育信息安全管理制度： 安全管理制度主要包括：管理制度、制定和发布、评审和修订三个控制点。 不同等级的基本要求在安全管理制度方面有不同的体现：1、 一级安全管理制度要求：主要明确了制定日常常用的管理制度，并对管理制度的制定和发布提出基本要求。2、 二级安全管理制度要求：在控制点上增加了评审和修订，管理制度增加了总体方针和安全策略，和对各类重要操作建立规程的要求，并且管理制度的制定和发布要求组织论证。 3、 三级安全管理制度要求：在二级要求的基础上，要求机构形成信息安全管理制度体系，对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组负责。 4、 四级安全管理制度要求：在三级要求的基础上，主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。 制度体系分为三层：总体方针、具体管理制度、各类操作规程。计算机病毒安全防范： 计算机病毒的定义：是一个程序或一段可执行码，它会对计算机的正常使用造成破坏，使得计算机无法正常使用甚至整个操作系统或者电脑硬盘损坏。 计算机病毒安全防范制度：是防范体系中每个主体都必须的行为规程，没有制度，防范体系就不可能很好地运作，就不可能达到预期的效果。认识计算机病毒： 表现现象：1、 计算机病毒发作前的表现现象定义：指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。主要行为：传播、潜伏。2、 计算机病毒发作时的表现现象定义：指计算机系统满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。3、 计算机病毒发作后的表现现象 特点：寄生性、感染性、潜伏性、隐蔽性和破坏性。计算机病毒的防范技术：1、 新购置的计算机硬软件系统的测试2、 计算机系统的启动3、 单台计算机系统的安全使用4、 重要数据文件要有备份5、 不要随便直接运行或直接打开电子邮件中夹带的附件文件6、 计算机网络的安全使用计算机被病毒感染后的一般修复处理：1、 首先必须对系统破坏程度有一个全面的了解，并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策2、 修复前，尽可能再次备份重要的数据文件。3、 启动防杀计算机病毒软件，并对整个硬盘进行扫描4、 发现计算机病毒后，一般应利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。5、 杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。6、 此外，对于杀毒软件无法清除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供病毒专家详细分析后，提出可行的清除方案来清除病毒。应急时间处理： 安全威胁：网络人侵、计算机病毒、系统软硬件故障、人员误操作以及不可抗拒的自然灾难事件。 入侵：在非系统授权的情况下，试图存取信息、处理信息或破坏系统使得系统不可靠、不可用的故意行为。 网络入侵行为：非法授权者通过互联网公共接口与信息系统外界接口与内部网络相连，试图绕过或穿越接口处的安全控制措施，进人信息系统内部网