信息安全技术-13信息安全管理与工程

信息安全技术,第9章信息安全管理与灾难恢复,9.1信息安全管理与工程9.2信息灾难恢复规划,9.1信息安全管理与工程,9.1.1信息安全管理策略9.1.2信息安全机构和队伍9.1.3信息安全管理制度9.1.4信息安全管理标准9.1.5信息安全的法律保障9.1.6信息安全工程9.1.7信息安全工程的设计步骤9.1.8信息安全工程的实施与监理9.1.9实验与思考,9.1.1信息安全管理策略,信息安全管理策略是组织机构为发布、管理和保护敏感的信息资源(信息和信息处理设施)而制定的一组法律、法规和措施的总和，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必须遵守的规则。它告诉组织成员在日常工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区等等。,9.1.1信息安全管理策略,作为有关信息安全方面的行为规范，一个成功的信息安全策略应当遵循：1)综合平衡(综合考虑需求、风险、代价等诸多因素)2)整体优化(利用系统工程思想，使系统总体性能最优)3)易于操作和确保可靠。,9.1.1信息安全管理策略,信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员；对所有相关员工进行信息安全策略的培训；对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正落实到实际工作中。当然，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略，为信息安全提供管理指导和支持。,9.1.1信息安全管理策略,(1)制订策略的原则在制定信息安全管理策略时，应遵守以下原则：1)目的性。策略是为组织完成自己的信息安全使命而制定，应该反映组织整体利益和可持续发展的要求。2)适用性。策略应该反映组织的真实环境和当前信息安全的发展水平。3)可行性。策略的目标应该可以实现，并容易测量和审核。,9.1.1信息安全管理策略,4)经济性。策略应该经济合理，过分复杂和草率都不可取。5)完整性。策略能够反映组织的所有业务流程的安全需要。6)一致性。策略应该和国家、地方的法律法规保持一致；和组织已有的策略、方针保持一致；以及和整体安全策略保持一致。7)弹性。策略不仅要满足当前的要求，还要满足组织和环境在未来一段时间内发展的要求。,9.1.1信息安全管理策略,(2)策略的主要内容理论上，一个完整的信息安全策略体系应该保障组织信息的机密性、可用性和完整性。虽然每个组织的性质、规模和内、外部环境各不相同，但一个正式的信息安全策略应包含下列一些内容：1)适用范围。包括人员范围和时效性，例如“本规定适用于所有员工”，“适用于工作时间和非工作时间”。,9.1.1信息安全管理策略,2)保护目标。安全策略中要包含信息系统要保护的所有资产(包括硬件、软件和数据)以及每件资产的重要性和其要达到的安全程度。例如，“为确保企业的经营、技术等机密信息不被泄漏，维护企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。”,9.1.1信息安全管理策略,3)策略主题。例如：设备及其环境的安全；信息的分级和人员责任；安全事故的报告与响应；第三方访问的安全性；外围处理系统的安全；计算机和网络的访问控制和审核；远程工作的安全；加密技术控制；备份、灾难恢复和可持续发展的要求等。也可以划分为如账号管理策略、口令管理策略、防病毒策略、E-mail使用策略，因特网访问控制策略等。每一种主题都可以借鉴相关的标准和条例。,9.1.1信息安全管理策略,4)实施方法。明确对网络信息系统中各类资产进行保护所采用的具体方法，如对于实体安全可以用隔离、防辐射、防自然灾害的措施实现；对于数据信息可以采用授权访问技术来实现；对于网络传输可以采用安全隧道技术来实现，等等。另外，还要明确所采用的具体方法，如使用什么样的算法和产品等。,9.1.1信息安全管理策略,5)明确责任。维护信息与网络系统的安全不仅仅是安全管理员的事，要调动大家的积极性，明确每个人在安全保护工程中的责任和义务。为了确保事故处理任务的落实，必须建立监督和管理机制，保证各项条款的严格执行。6)策略签署。信息安全管理策略是强制性的、带惩罚性的，策略的执行需要来自管理层的支持，因此，通常是信息安全主管或总经理签署信息安全管理策略。7)策略生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的。,9.1.1信息安全管理策略,8)重新评审策略的时机。除了常规的评审时机外，下列情况下也需要组织重新评审，例如：企业管理体系发生很大变化；相关的法律法规发生变化；企业信息系统或者信息技术发生大的变化；企业发生了重大的信息安全事故等。9)与其他相关策略的引用关系。因为多种策略可能相互关联，引用关系可以描述策略的层次结构，而且在策略修改时候也经常涉及其他相关策略的调整。,9.1.1信息安全管理策略,10)策略解释。由于工作环境、知识背景等的不同，可能导致员工在理解策略时出现误解、歧义的情况。因此，应建立一个专门和权威的解释机构或指定专门的解释人员来进行策略的解释。11)例外情况的处理：策略不可能做到面面俱到，在策略中应提供特殊情况下的安全通道。,9.1.2信息安全机构和队伍,为保护国家信息的安全，维护国家利益，各国政府均指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导小组，由国务院领导任组长，国家机关有关部委领导参加小组工作。国家信息化领导小组对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行职能分工，明确了各自的责任，对于保障我国信息化工作的正常发展，保护信息安全起到了重要的作用。,9.1.2信息安全机构和队伍,(1)信息安全管理机构一个组织的信息安全对本单位非常重要，因此，对信息的安全管理必须引起组织最高领导层的充分重视。信息安全管理一般分3个层次，每一层级都应有明确的责任制。1)决策机构，负责宏观管理。2)管理机构，负责日常协调、管理工作。3)配备各类安全管理、技术人员，负责落实规章制度、技术规范、处理技术等方面的问题。,9.1.2信息安全机构和队伍,凡是对信息安全有需求的组织，都必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备，从而保障信息安全管理工作的正常开展。,9.1.2信息安全机构和队伍,(2)信息安全管理队伍信息安全管理队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员和防病毒安全员等人员。,9.1.2信息安全机构和队伍,由于各类信息安全人员的工作岗位处于信息系统的核心敏感部位，应该要有比较高的政治素质和业务水平，例如应具备以下条件：1)政治可靠，对组织忠诚。2)工作认真负责，有敬业精神。3)处理问题公正严明，不拘私情。4)熟悉业务，具有一定的实践经验。5)从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师。,9.1.2信息安全机构和队伍,对信息安全工作的管理主要体现在三个方面：一是对机器设备的管理；二是对信息资源的管理；三是对各类安全工作人员的管理。然而，对人员的管理比对机器设备和信息资源的管理更重要。因此，对安全人员的管理应该是全方位的，其主要原则包括：1)人员审查。对承担信息安全的工作人员，在录用前必须进行审查。2)签订保密协定。信息安全人员必须签订保密协议书，要求承担保密义务。,9.1.2信息安全机构和队伍,3)持证上岗。各类信息安全人员必须经过认真培训和严格考核，取得证书后方能上岗。4)人员培训。对从事信息安全工作的人员应进行岗前培训，使其掌握基本的技能；岗中定期培训，使其不断更新观念，掌握新技术。培训的内容包括法律法规、职业道德、技术技能等方面。5)人员考核。对从事信息安全工作的各类人员要从思想作风、工作态度、遵守规章制度、业务能力等方面定期进行考核。,9.1.2信息安全机构和队伍,6)权力分散。要注意合理分配权限，将权限控制在合理范围内，以便于相互制约。7)人员离岗。因为工作的需要或不适合继续做信息安全工作而调离岗位的，必须要求其履行保密协议，承诺保密事项，并交出有关的资料或证件。,9.1.3信息安全管理制度,信息安全已不只是传统意义上的添加防火墙或路由器等简单设备就可实现的，而是一种系统和全局意义上的安全。信息安全管理制度是保证信息安全的基础，需要通过一系列规章制度的实施，来确保各类人员按照规定的职责行事，做到各行其职、各负其责，避免责任事故的发生和防止恶意侵犯。,9.1.3信息安全管理制度,常见的信息安全管理制度主要涉及：人员安全管理、设备安全管理、运行安全管理、安全操作管理、应急维护、安全等级保护、有害数据及计算机病毒防范管理、敏感数据保护、安全技术保障、安全计划管理等。,9.1.3信息安全管理制度,制定信息安全管理制度应遵循如下原则：1)规范化。各阶段都应遵循安全规范要求，根据安全需求，制定安全策略。2)系统化。根据安全工程要求，对系统各阶段，包括以后的升级、换代和功能扩展等进行全面考虑。3)综合保障。从人员、资金、技术等多方面考虑综合保障。4)以人为本。技术是关键，管理是核心，要不断提高管理人员的技术素养和道德水平。,9.1.3信息安全管理制度,5)首长负责。确保把安全管理落到实处。6)预防。安全管理以预防为主、并有一定超前意识。7)风险评估。对系统定期进行风险评估以改进系统的安全状况。8)动态。根据环境的改变和技术的进步，提高系统的保护能力。9)成本效益。根据资源价值和风险评估结果，采用适度的保护措施。,9.1.3信息安全管理制度,10)均衡防护。根据“木桶原则”(“木桶的最大容积取决于最短的一块木板”)，整个系统的安全强度取决于某些薄弱环节，片面追求某个方面的安全强度对整个系统没有实际意义。此外，在信息安全管理的具体实施过程中还应遵循如分权制衡、最小特权、职权分离、普遍参与、独立审计等一些原则。,9.1.4信息安全管理标准,信息安全管理的原则之一就是规范化、系统化，如何在信息安全管理实践中落实这一原则，需要相应的信息安全管理标准。BS7799是英国标准协会(BSI)制定的在国际上具有代表性的信息安全管理体系标准。该标准包括两个部分：信息安全管理实施细则BS7799-1和信息安全管理体系规范BS7799-2。,9.1.4信息安全管理标准,其中，BS7799-l目前已正式转换成ISO国际标准，即信息安全管理体系实施指南ISO17799。该标准综合了信息安全管理方面优秀的控制措施，为组织在信息安全方面提供建议性指南。该标准不是认证标准，但组织在建立和实施信息安全管理体系时，可考虑采取该标准建议性的措施。BS7799-2标准也将转换成ISO国际标准的过程中。BS7799-2标准主要用于对组织进行信息安全管理体系的认证，因此，组织在建立信息安全管理体系时，必须考虑满足BS7799-2的要求。,9.1.4信息安全管理标准,ISO/IEC17799的目的并不是告诉用户有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制定一个机构自己的标准时的出发点”，它所包含的所有方针和控制策略并非准则，也不是其他未列出的便不再要求。该标准主要讨论了如下的主题：建立机构的安全策略、机构的安全基础设施、资产分类和控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发和维护、业务连续性管理、遵循性。,9.1.4信息安全管理标准,采用ISO/IEC17799标准建立起来的信息安全管理体系(ISMS)，是建立在系统、全面、科举的安全风险评估之上的一个系统化、文件化、程序化、科学化的管理体系。它体现预防控制为主思想，强调遵守国家有关信息安全的法律、法规及其他要求，强调全过程和动态控制，本着成本费用与风险平衡的原则选择安全控制方式，保护组织所拥有的关键信息资产，确保信息的保密性、完整性、可用性，对网络环境下的信息安全管理无疑具有十分重要的意义。,9.1.5信息安全的法律保障,网络的安全性已经上升到关乎国家安全、公共安全的层面，在我国，已经初步形成了一个保护网络安全的法律体系。我国宪法明确规定了公民具有保守国家秘密的义务；基本法律中有保守国家秘密法、刑法分则中的相关规定；行政法规有计算机信息系统安全保护条例、计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法等；此外，大量的行政规章和地方性法规也对计算机信息系统安全做了规定。,9.1.6信息安全工程,信息安全既不是纯粹的技术，也不是简单的安全产品的堆砌，而是一项复杂的系统工程。信息安全工程采用工程的概念、原理、技术和方法，来研究、开发、实施与维护企业级信息与网络系统安全的过程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。,9.1.6信息安全工程,根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等多个方面，信息安全工程在整体设计过程中应遵循以下9项原则。,9.1.6信息安全工程,1)木桶原则。是指对信息进行均衡、全面的保护。充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统“最低点”的安全性能。2)整体性原则。要求在发生被攻击、破坏事件的情况下，必须尽可能地快速恢复信息系统的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。,9.1.6信息安全工程,3)安全性评价与平衡原则。任何网络都难以达到绝对的安全，况且也不一定是必要的。所以，需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容。评价信息系统是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。,9.1.6信息安全工程,4)标准化与一致性原则。系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，才能确保各个部分的一致性，使整个系统安全地互联互通、信息共享。5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等各方面要素，单靠技术或管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。,9.1.6信息安全工程,6)统筹规划，分步实施原则。由于政策规定或服务需求的不明朗，环境、条件与时间的变化，攻击手段的进步等，安全防护不可能一步到位。可在一个比较全面的安全规划下，根据实际需要，先建立基本的安全体系，保证基本的、必需的安全性。随着规模的扩大及应用的增加，应用和复杂程度的变化，调整或增强安全防护力度，保证最根本的安全需求。,9.1.6信息安全工程,7)等级性原则。是指安全层次和安全级别。包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层、链路层等)，针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。8)动态发展原则。要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求,9.1.6信息安全工程,9)易操作性原则。首先，安全措施需要人为地去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。,9.1.7信息安全工程的设计步骤,信息安全工程设计的步骤包括风险分析与评估、安全策略制定、安全需求分析与设计等环节。,9.1.7信息安全工程的设计步骤,(1)信息安全风险分析与评估一个完整的安全体系和安全解决方案是根据网络体系结构和信息安全形势的具体情况来确定的。对一个企业来说，解决信息安全的首要问题就是明白企业信息与网络系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，做到“对症下药”，这就是信息与网络系统的风险分析与评估。,9.1.7信息安全工程的设计步骤,风险分析与评估通过一系列的管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞，以及当前安全策略和实际安全级别的差别，评估运行系统的风险，根据审计报告，可制定适合具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。,9.1.7信息安全工程的设计步骤,(2)信息安全策略信息安全策略的制定过程是一个循序渐进、不断完善的过程，在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行性。信息安全策略具有较强的生命周期性。因此，要注意定期根据相关因素的变化，进行安全策略的修改，保证安全策略的可用性。,9.1.7信息安全工程的设计步骤,(3)安全需求分析安全需求是企业为保护其信息系统的安全对必须要做的工作的全面描述，是一个详细、全面和系统的工作规划，是需要经过仔细的研究和分析才能得出的一份技术成果。安全需求分析工作是在安全风险分析与评估工作的基础上进行的。,9.1.7信息安全工程的设计步骤,进行需求分析时应该根据具体情况分级别提出安全需求。一般情况下，要考虑以下5个层次的安全需求：1)管理层。信息安全是一个管理和技术结合的问题。严密、完整的管理体制，不但可以最大限度地在确保在信息安全的前提下实现信息资源共享，而且可以弥补技术性安全隐患的部分弱点。管理包括行政性和技术性两个方面。管理层的安全需求分析就是研究为了保证系统的安全，应该建立一个怎样的管理体制。,9.1.7信息安全工程的设计步骤,2)物理层。物理层的安全就是保证实体财产的安全。实体安全是信息网络安全的低层安全，也是保证上层安全的基础。物理层的安全需求分析就是根据单位的实际情况，确定单位各实体财产的安全级别，需要什么程度的安全防护？达到什么样的安全目的？3)系统层。这里主要是指操作系统。操作系统是信息网络系统的基础平台，要研究为保证安全，应该要求操作平台达到什么样的安全级别？为达到所要求的级别，应该选用什么样的操作系统？如何使用、管理、配置操作系统？,9.1.7信息安全工程的设计步骤,4)网络层。这是因特网的核心，是为上层应用提供网络传输的基础，也是局域网和广域网连接的接口。因此，针对网络层的攻击和破坏很多。现在经常采取的安全防护措施主要是在网络的边界上，通过使用防火墙的IP过滤和应用代理等功能来实现安全连接。,9.1.7信息安全工程的设计步骤,5)应用层。这是网络分层结构的最上层，是用户直接接触的部分。由于基于网络的应用很多，供应商很多，所以存在的安全问题很多，相应的安全防护技术也很多，需要根据实际情况来衡量对它们的需求程度。随着系统环境的发展以及外部形势的改变，安全需求也会改变。要想保持分析结果的有效性，必须保证结果时刻最新，安全需求分析的过程也应该与系统同步发展。,9.1.7信息安全工程的设计步骤,(4)设计信息系统的安全体系安全体系是安全工程实施的指导方针和必要依据，安全体系的设计是以风险分析与评估、安全需求分析为基础的。一个完整的安全体系应该包含以下几个基本的部分：1)风险管理。这可以通过安全风险评估技术来实现；对于可能发现的漏洞、风险，规定相应的补救方法，或者取消一些相应的服务。,9.1.7信息安全工程的设计步骤,2)行为管理。对网络行为、各种操作进行实时的监控；对各种行为进行分类管理，规定行为的范围和期限3)信息管理。应该根据具体情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。4)安全边界。信息系统与外部环境的连接处是防御外来攻击的关口，根据企业具体的业务范围，必须规范系统边界的连接，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。,9.1.7信息安全工程的设计步骤,5)系统安全。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以来用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。6)身份认证与授权。需要对用户的