面向电子政务的信息安全管理体系建设

面向电子政务的信息安全管理体系建设,上海市信息中心陆国樑2005年5月12日,一、我国电子政务发展框架,1、电子政务网络架构,我国电子政务网络架构分为内网、外网、互联网网路安全策略涉密内网与政务外网采用物理隔离政务外网与互联网采用逻辑隔离,2、电子政务应用架构,在涉密内网中提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统在政务外网中提供面向政务机关之间的业务协同系统、资源共享系统在互联网政府门户网站提供面向社会公众的信息发布系统和面向企业的业务应用系统,3、信息资源的开发利用,面向政府内部的涉密信息服务严格按流程在授权人范围内进行信息的传递面向政府之间的共享信息服务按授权的访问控制在指定范围内进行信息共享与交换面向社会公众的信息服务提供政务公开、行政审批等方面的信息服务,二、电子政务信息安全风险分析,1、电子政务信息安全管理的目标,确保对信息“机密性、完整性、可用性”的保护确保政务信息的保密性、保证身份正确识别确保政务流程安全、明确责任和用户权限的控制确保政务业务连续运转、维护政府形象,2、电子政务系统常见的安全威胁,（1）非人为的安全威胁,自然灾害（洪水、地震、台风、火灾等）信息技术的局限性、漏洞和缺陷,（2）人为的安全威胁,内部人员的安全威胁：恶意破坏、无意损坏外部人员的安全威胁：主动攻击、被动攻击,（3）信息泄漏的风险案例,通过网络传播（拨号、在可连接互联网的电脑上处理内部非公开信息）通过介质扩散（磁盘、胶片等）无意中传播（信息发布、对外交流）通过电波扩散（电磁泄漏）传输中被窃取（搭线窃听）介质输出扩散（打印）非授权访问（多人使用设备、身份冒用）通过笔记本电脑接入（或私接设备）利用系统漏洞进行攻击（病毒等）,3、系统风险分析,线路窃听非法访问业务数据导入时窃取病毒人员犯罪,（1）机密性威胁,（2）完整性威胁,传输过程中篡改数据病毒业务数据导入时修改数据库数据非法修改采用不可信系统,（3）可用性威胁,阻断通信线路攻击中心数据库DNS无法使用病毒,三、实施有效的信息安全策略,1、机构管理安全,（1）建立安全保密管理组织机构（2）制定安全保密管理制度（3）实施人员安全管理培训与教育,2、物理环境安全,（1）环境安全（2）设备安全（3）介质安全,3、信息资产安全,（1）身份鉴别（2）访问控制（3）信息传输保密（4）电磁泄露防护（5）安全审计（6）入侵检测（7）划分安全域,4、系统运行安全,（1）病毒的防治（2）信息备份与恢复（3）安全监管系统（4）应急响应系统,四、构建有效的信息安全管理体系,按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2：2000标准，我们提出了报国家认可委备案的信息安全管理体系规范（2004）,信息安全管理体系规范(2004)十大控制目标,（1）信息安全方针（2）组织的信息安全（3）资产分类与控制（4）人事安全（5）设备与环境安全（6）通信和运作管理（7）访问控制（8）系统开发与维护（9）业务连续性管理（10）符合性要求,构建信息安全管理体系的四大环节,P、建立信息安全管理体系D、实施和运行信息安全管理体系C、监督和评审信息安全管理体系A、维护并改进信息安全管理体系,1、建立信息安全管理体系,（1）确定信息安全管理体系的范围（2）建立信息安全方针（3）明确风险管理的步骤（4）风险识别（5）风险评估（6）识别并评价风险处理的方法（7）选择处理风险的控制目标和控制措施包括10个控制方面、36项控制目标和127项控制措施（8）适用性声明（9）获得管理层的批准,2、实施和运行信息安全管理体系,（1）形成风险处理方案（2）实施风险处理方案（3）实施控制措施（4）进行培训和教育（5）运行控制（6）管理资源（7）检测和应对安全事故,3、监督和评审信息安全管理体系,（1）启动监督程序和控制措施（2）定期进行信息安全管理体系有效性的评审（3）评审可接受风险认可的程度（4）定期进行信息安全管理体系的内部审核（5）记录对管理体系有效性或产生影响的行动和事件,4、维护并改进信息安全管理体系,（1）实施已明确的改进措施（2）利用在安全事故中的经验教训（3）与所有相关方交流结果并取得一致同意（4）确保改进措施达到预期目标,建立信息安全管理体系文件的四个层次,1、方针文件2、程序文件3、作业指导性文件4、记录,根据信息安全管理体系规范编制的体系文件有,第一层文件：信息安全方针和适用性声明文件信息安全管理手册风险评估报告信息安全策略,第二层文件信息安全管理体系程序文件管理制度应急预案,根据信息安全管理体系规范编制的体系文件有,第三层文件作业指导书检查清单、表格等,根据信息安全管理体系规范编制的体系文件有,第四层文件记录作为信息安全管理体系运行结果的证据,根据信息安全管理体系规范产生的文件有,五、信息安全管理体系的实施与审核认证,（1）策划建立信息安全管理体系（2）信息安全管理体系文件获得审核方的评审涉密信息系统的建设方案须获得国家保密局的评审（3）实施信息安全管理体系的建设实施建设的涉密信息系统须通过国家保密局的安全保密测评（4）运行信息安全管理体系通过安全保密测评的涉密信息系统可正式投入使用,信息安全管理体系实施与认证过程,（5）监督和评审信息安全管理体系（内审、管理评审）（6）维护和改进信息安全管理体系（7）申请信息安全管理体系认证（8）进行信息安全管理体系的外部审核（9）获得信息安全管理体系认证证书,信息安全管理体系实施与认证过程,监督信息安全管理体系的四个节点,1、体系监控2、内部审核3、管理评审4、外部审核,改进信息安全管理体系的四种措施,1、改进措施2、预防措施3、纠正措施4、风险再评估,六、我们的实践,2004年初，上海市信息中心、上海质量体系审核中心、上海质量教育培训中心三家单位牵头，在参考了ISO/IEC17799信息安全管理业务规范的基础上开始进行了信息安全管理体系规范编撰与培训、咨询等工作,2004年5月中旬形成了信息安全管理体系规范（1.0版本）和相应的培训教材2004年7月底完成了信息安全管理体系规范（1.1版本）的专家评审2004年我们举办了为期六天共两期的信息安全管理体系规范审核员培训班，有近40名学员考试合格获得证书，并得到了国家认证认可监督委员会的认可备案,同时，我们选择了一家企业根据信息安全管理体系规范建立信息安全管理体系的试点工作上海质量体系审核中心作为信息安全管理规范审核单位，获得了审核资质的认可备案今年四月份，上海一著名信息技术股份有限公司经过上海市信息中心的咨询和上海质量体系审核中心的审核，获得了首