信息安全管理

第六章信息平安管理第一节信息平安管理根底第二节信息平安策略第三节信息平安管理第一节信息平安管理根底一、信息平安管理的内容二、信息平安管理体系三、信息平安管理标准第一节信息平安管理根底一、信息平安管理的内容1、什么信息平安管理？通过方案、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效到达组织信息平安目标的活动。第一节信息平安管理根底一、信息平安管理的内容2、信息平安管理的主要活动制定信息平安目标和寻找实现目标的途径；建设信息平安组织机构，设置岗位、配置人员并分配职责；实施信息平安风险评估和管理；制定并实施信息平安策略；为实现信息平安目标提供资源并实施管理；信息平安的教育与培训；信息平安事故管理；信息平安的持续改进。第一节信息平安管理根底一、信息平安管理的内容3、信息平安管理的根本任务〔1〕组织机构建设〔2〕风险评估〔3〕信息平安策略的制定和实施〔4〕信息平安工程工程管理〔5〕资源管理〔1〕组织机构建设组织应建立专门信息平安组织机构，负责：确定信息平安要求和目标；制定实现信息平安目标的时间表和预算建立各级信息平安组织机构和设置相应岗位分配相应职责和建立奖惩制度提出信息平安年度预算，并监督预算的执行组织实施信息平安风险评估并监督检查组织制定和实施信息平安策略，并对其有效性和效果进行监督检查组织实施信息平安工程工程信息平安事件的调查和处理组织实施信息平安教育培训组织信息平安审核和持续改进工作〔1〕组织机构建设组织应设立信息平安总负责人岗位，负责：向组织最高管理者负责并报告工作执行信息平安组织机构的决定提出信息平安年度工作方案总协调、联络〔2〕风险评估信息系统的平安风险信息系统的平安风险，是指由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。信息平安风险评估是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据平安事件发生的可能性和负面影响的程度来识别信息系统的平安风险。〔2〕风险评估信息系统平安风险评估的总体目标是：效劳于国家信息化开展，促进信息平安保障体系的建设，提高信息系统的平安保护能力。信息系统平安风险评估的目的是：认清信息平安环境、信息平安状况；有助于达成共识，明确责任；采取或完善平安保障措施，使其更加经济有效，并使信息平安策略保持一致性和持续性。〔2〕风险评估信息平安风险评估的根本要素使命：一个单位通过信息化实现的工作任务。依赖度：一个单位的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息、生产或效劳能力、人员能力和赢得的信誉等。价值：资产的重要程度和敏感程度。威胁：一个单位的信息资产的平安可能受到的侵害。威胁由多种属性来刻画：威胁的主体〔威胁源〕、能力、资源、动机、途径、可能性和后果。〔2〕风险评估信息平安风险评估的根本要素脆弱性：信息资产及其防护措施在平安方面的缺乏和弱点。脆弱性也常常被称为漏洞。风险：由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。它由平安事件发生的可能性及其造成的影响这两种指标来衡量。剩余风险：采取了平安防护措施，提高了防护能力后，仍然可能存在的风险。〔2〕风险评估信息平安风险评估的根本要素平安需求：为保证单位的使命能够正常行使，在信息平安防护措施方面提出的要求。平安防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。〔2〕风险评估信息平安风险评估的标准制定工作2004年全国信息平安标准化技术委员会将?信息平安风险评估指南?列入2005年度国家信息平安标准制定工作方案中,将?信息平安风险管理指南?列入国家信息平安标准研究工作规划中。

目前?信息平安风险评估指南?已完成评审,报国家标准管理委员会公布国信办已以国信【2006】9号文的形式发各部委和省市〔2〕风险评估?信息平安风险评估指南?主要内容规定了信息平安风险评估的工作流程、评估内容、评估方法和风险判断准那么。介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程详细描述了对资产、威胁和脆弱性的识别方法描述了风险评估在信息系统生命周期中的作用描述了风险评估的不同形式在附件中介绍了信息平安风险评估的方法、工具和实施案例详见?信息平安风险评估指南?〔3〕信息平安策略的制定和实施策略：解决某一方面问题的目的、范围、流程、准那么的集合信息平安策略文件就每一个策略建立实施方案，落实所需资源策略发布后，实施培训策略的评审和修订〔4〕信息平安工程工程管理需求分析规划立项实施验收工程监理〔5〕资源管理信息平安预算人力资源根底设施信息平安教育培训二、信息平安管理体系1、什么是管理体系2、信息平安管理体系3、信息平安管理体系标准1、什么是管理体系ISO9000-2000中的相关定义体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系1、什么是管理体系ISO9000-2000中的相关定义要求要求被满足分析改进资源管理产品实现管理职责输入输出管理体系的持续改进管理体系方法图解1、什么是管理体系管理体系产业链申请证书组织认证机构证书申请审核、颁发证书认可机构认证咨询机构提供咨询效劳认证培训机构审核员培训并颁发证书任职国际互认双边互认多边互认管理体系证书国家行政管理机构机构认可1、什么是管理体系我国管理体系组织机构认证机构认可机构认证培训机构国家行政管理机构国家认证认可监督管理委员会中国合格评定国家认可中心CNABCNATCNAL1、什么是管理体系目前流行的管理体系质量管理体系QMSISO/IEC9000，9001，9004等环境管理体系EMSISO/IEC14000职业平安卫生管理体系OHMSAS18000信息平安管理体系ISMSISO/IE17799&ISO270012、信息平安管理体系ISMS：InformationSecurityManagementSystem信息平安管理体系指在信息平安方面指挥和控制组织的以实现信息平安目标的相互关联和相互作用的一组要素。信息平安目标应是可度量的2、信息平安管理体系信息平安管理体系要素包括信息平安方针、策略信息平安组织结构各种活动、过程信息平安控制措施人力、物力等资源其他………2、信息平安管理体系信息平安管理体系方法图解要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进三、信息平安管理标准平安标准可以分成以下几大类：平安体系结构和框架标准分层平安协议标准平安技术标准具体应用平安标准平安管理标准三、信息平安管理标准当前信息平安面临着“道高一尺，魔高一丈〞的为难处境，在信息平安技术进步的同时，信息平安问题却越来越严重，人们逐渐深刻地认识到，信息平安不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息平安不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如标准平安标准和进行信息平安管理，这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的平安保护，仅靠平安产品并不能完全解决信息的平安问题已逐渐成为共识。在全社会普遍关注信息平安的情况下，各个企业或机构又都面临遵循保密标准与平安法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息平安管理中所必须担负的责任和义务。同时，有关信息平安标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种平安标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一平安标准的需求自然成为一个很现实的问题。三、信息平安管理标准信息平安管理国际标准的开展过程1992年，世界经济合作与开展组织〔oecd〕发表了?信息系统平安指南?，旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识，提供一般性的平安知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。该指南旨在提高信息系统风险意识和平安措施，提供一个一般性的框架以辅助针对信息系统平安的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统平安的公共和私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和平安防护。这个框架包括法律、行动准那么、技术评估、管理和用户实践，及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息平安管理的基准，相关机构能通过此基准来衡量本身在信息平安管理方面的进展。三、信息平安管理标准信息平安管理国际标准的开展过程1998年，国际会计师联合会发表了一个有关?信息平安管理?的文件，认为信息系统平安的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。三、信息平安管理标准信息平安管理国际标准的开展过程1993年1月，英国标准协会〔britishstandardsinstitution,简称bsi〕成立了信息平安的行业工作小组。1993年9月，信息平安管理体系实施要那么出版。1995年2月，英国标准协会制定的信息平安管理体系标准bs7799-1出版。1998年2月，bs7799-2出版。bs7799对信息平安的控制范围、平安准那么、平安管理等要素做出了标准性的表述。2002年9月：bs7799-2:2002出版。三、信息平安管理标准信息平安管理国际标准的开展过程目前，在信息平安管理体系方面，ISO27001〔原BS7799标准〕已经成为世界上应用最广泛与典型的信息平安管理标准。该标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995?信息平安管理实施细那么?，它提供了一套综合的、由信息平安最正确惯例组成的实施规那么，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二局部BS7799-2?信息平安管理体系标准?，它规定信息平安管理体系要求与信息平安控制要求，是一个组织的全面或局部信息平安管理体系评估的根底，可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期开展，同时还非常强调了商务涉及的信息平安及信息平安的责任。2000年12月，BS7799-1：1999?信息平安管理实施细那么?通过了ISO的认可，正式成为国际标准――ISO/IEC17799-1：2000?信息技术-信息平安管理实施细那么?。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准――ISO27001，同时BS7799-2:1999被废止。2006年5月，BS7799-3：2006?信息平安风险管理指南?出版。三、信息平安管理标准信息平安管理国际标准的开展过程针对ISO27001标准的受认可的认证，是对组织信息平安管理体系〔ISMS〕符合BS7799-2要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了信息平安管理体系，并且符合BS7799-2标准的要求。通过认证的组织，将会被注册登记，并且与认证委员会、DTI以及ISMSIUG的国际网络相联系。三、信息平安管理标准信息平安管理国际标准的开展过程目前，已有20多个国家引用BS7799-2作为国标，BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001。并有41个国家和地区开展了此项业务，我国的台湾和香港地区也已经采用并推广了BS7799标准。在台湾，BS7799-1:1999被引用为CNS17799，而BS7799-2:2002那么被引用为CNS17800。在中国大陆，BS7799标准全面解析〔ISMG-005〕的国标化一直是个热点议题，而相关的ISMS认证工作正在逐步运行。三、信息平安管理标准信息平安管理国际标准的开展过程BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799最正确实践来实施ISMS的组织到达了近10万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec等。根据ISO/IEC17799〔BS7799〕国际使用者协会的最新统计，到2005年4月，全球通过信息平安管理体系BS7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。三、信息平安管理标准通过ISO27001认证好处保护企业的知识产权、商标、竞争优势维护企业的声誉、品牌和客户信任减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失强化员工的信息平安意识，标准组织信息平安行为在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度三、信息平安管理标准ISO27001的主要内容目前ISO27001主要由3局部组成。分别是：?信息平安管理实施细那么?、?信息平安管理体系标准?、?信息平安风险管理指南?。ISO17799:2005的新架构包括11个控制域、39个控制措施，133个控制点。(其中11个控制域分别是平安策略、信息平安组织、资产管理、人力资源平安、物理和环境平安、通信和操作平安、信息系统获得，开发和维护、访问控制、信息平安事件管理、业务连续性管理、合规性)。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC17799，其最终目的，还在于建立适合组织需要的信息平安管理体系。三、信息平安管理标准ISO27001的主要内容目前ISO27001主要由3局部组成。分别是：?信息平安管理实施细那么?、?信息平安管理体系标准?、?信息平安风险管理指南?。ISO17799:2005的新架构包括11个控制域、39个控制措施，133个控制点。(其中11个控制域分别是平安策略、信息平安组织、资产管理、人力资源平安、物理和环境平安、通信和操作平安、信息系统获得，开发和维护、访问控制、信息平安事件管理、业务连续性管理、合规性)。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC17799，其最终目的，还在于建立适合组织需要的信息平安管理体系。三、信息平安管理标准ISO27001的主要内容第二节信息平安策略一、信息平安策略概述二、信息平安策略保护对象三、主要信息平安策略四、信息平安策略的制定、执行和维护一、信息平安策略概述1、什么是信息平安策略信息平安策略〔InformationSecurityPolicy〕是一组规那么，它们定义了一个组织要实现的平安目标和实现这些平安目标的途径。计算机平安研究组织SANS关于计算机平安策略的定义是：“为了保护存储在计算机中的信息，平安策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估〞。一、信息平安策略概述2、信息平安策略的内容信息平安策略可以划分为两个局部，问题策略〔issuepolicy〕和功能策略〔functionalpolicy〕。根本策略描述了一个组织所关心的平安领域和对这些领域内平安问题的根本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息平安策略必须有清晰和完全的文档描述，必须有相应的措施保证信息平安策略得到强制执行。在组织内部，必须有行政措施保证即定的信息平安策略被不打折扣地执行，管理层不能允许任何违反组织信息平安策略的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息平安策略。一、信息平安策略概述3、信息平安策略的特性信息平安策略的内容应该有别于技术方案，信息平安策略只是描述一个组织保证信息平安的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息平安策略是原那么性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的平安措施和规定提供一个全局性框架。在信息平安策略中不规定使用什么具体技术，也不描述技术配置参数。信息平安策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息平安策略的遵守程度给出评价二、信息平安策略保护对象硬件与软件硬件和软件是支持商业运作进行的平台，它们应该受策略所保护。所以，拥有一份完整的系统软、硬件清单是非常重要的，并且包括网络结构图。

数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构，不论从事什么工作，都在收集和使用数据。

人员首先，重点应该放在谁在什么情况下能够访问资源。接下来要考虑的就是强制执行制度和对未授权访问的惩罚制度。

三、主要信息平安策略1、口令策略2、计算机病毒和恶意代码防治策略3、平安教育与培训策略4、可接受使用策略AUP三、主要信息平安策略1、口令策略所有系统都需要口令，以拥有易于实现的第一级别的访问平安性。为确保网络平安运行，保护所拥有的权益不受侵害，可以制定如下管理策略：

〔1〕网络效劳器口令的管理：效劳器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。效劳器的口令需部门负责人在场时，由系统管理员记录封存。口令要定期更换〔视网络具体情况〕，更换后系统管理员要销毁原记录，将新口令记录封存。如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告平安部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。三、主要信息平安策略1、口令策略所有系统都需要口令，以拥有易于实现的第一级别的访问平安性。为确保网络平安运行，保护所拥有的权益不受侵害，可以制定如下管理策略：

〔2〕用户口令的管理：对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认〔签字或通知〕之后系统管理员设定口令，并保存用户档案。在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络效劳管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。想一想前面提到的“社会工程学〞攻击？？三、主要信息平安策略2、计算机病毒和恶意代码防治策略病毒防护策略必须具备以下准那么：〔1〕拒绝访问能力：来历不明的入侵软件〔尤其是通过网络传过来的〕不得进入系统。〔2〕病毒检测能力：病毒总是有可能进入系统的，系统中应设置检测病毒的机制。除了检测类病毒外，能否检测未知病毒是一个重要的指标。〔3〕控制病毒传播的能力：没有一种方法能检测出所有的病毒，一旦病毒进入了系统，应不让病毒在系统中到处传播。系统一定要有控制病毒传播的能力。三、主要信息平安策略2、计算机病毒和恶意代码防治策略〔4〕去除能力：如果病毒突破了系统的防护，即使它的传播受到了控制，也要有相应的措施将它去除掉。对于类病毒，可以使用专用杀毒软件；对于未知类病毒，在发现后使用软件工具对它进行分析，尽快编写出消毒软件。当然，如果有后备文件，也可使用它直接覆盖受感染文件，但一定要查清楚病毒的来源。〔5〕恢复能力：有可能在去除病毒以前，病毒就破坏了系统中的数据，系统应提供一种高效的方法来恢复这些数据。〔6〕替代操作：可能会遇到这种情况，问题发生时，手头没有可用的技术，任务又必须执行下去。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作，等问题解决以后再换回来。这一准那么对于战时的军事系统是必须的。三、主要信息平安策略3、平安教育与培训策略在平安教育策略具体实施过程中应该有一定的层次性：〔1〕主管信息平安工作的高级负责人或各级管理人员：重点是了解、掌握企业信息平安的整体策略及目标、信息平安体系的构成、平安管理部门的建立和管理制度的制定等。〔2〕负责信息平安运行管理及维护的技术人员：重点是充分理解信息平安管理策略，掌握平安评估的根本方法，对平安操作和维护技术的合理运用等。〔3〕用户：重点是学习各种平安操作流程，了解和掌握与其相关的平安策略，包括自身应该承担的平安职责等。三、主要信息平安策略4、可接受使用策略AUP可接受使用策略〔AcceptableUsePolicy〕是指由官方发布的使用网络或计算机系统的有关事项说明，其中规定了对网上业务活动的某些限制。如果没有为组织机构中的电脑和网络制定可接受使用策略〔AUP〕，那么企业或组织就是对平安缺口、可能出现的法规罚款和诉讼敞开了大门，这些隐患可能来自员工、用户行为造成的影响，也可能来自员工、用户对网络不正当的使用。仅仅告诉员工不要将网络设备用于非工作活动是不够的，还需要建立和发放书面策略，并要求使用者在收到并阅读后签署策略。其关键在于要设计出有效、公平，而且持续稳定的策略。三、主要信息平安策略4、可接受使用策略AUP策略的内容可接受使用策略中一般包括以下内容：〔1〕针对网络用户的个人隐私策略:应该声明所有保存公司计算机及网络中，或者从公司计算机及网络上发送或者接收到的信息都会接受平安监控。〔2〕企业信息策略：密码与帐户信息共享的策略:禁止用户登录任何不属于自己的帐户，禁止用户委托他人使用自己的信任状进行登录，禁止在登录以后允许他人使用系统。离开工位时需要关闭工作站的平安策略；针对电子邮件附件的策略；禁止用户取消计算机和网络上的平安性能与机制的策略；禁止非法安装软件；禁止非法在可移动介质上复制公司信息，或者向网络外部发送企业信息。等等。三、主要信息平安策略4、可接受使用策略AUP策略的内容〔3〕关于加密的使用策略：关于在新闻组和讨论区发表意见的策略，需要免责声明来表示发送者的意见为个人行为，不代表公司行为。关于个人所有的膝上电脑、手持电脑、智能接入公司网络的策略。禁止将任何未经授权的调制解调器、无线接入点以及其他设备接入公司网络。明确规定不正当的行为，如色情文字，侵犯版权、非法的文件共享；发送骚扰或恐吓信息；发送垃圾邮件；参与网络钓鱼或者其他一些欺诈性行为；在网络内部或外部侵入他人系统；发送恶意代码；未经允许访问网络数据；拦截发送给他人的数据〔使用sniffers或者其他工具〕；使用欺骗技术来伪装电子邮件地址或者其他网络行为。参见：可接受的使用策略〔样本〕四、信息平安策略的制定、执行和维护1、制定信息平安策略〔1〕制定信息平安策略的原那么：

先进的网络平安技术是网络平安的根本保证

严格的平安管理是确保信息平安策略落实的根底

严格的法律、法规是网络平安保障的坚强后盾四、信息平安策略的制定、执行和维护1、制定信息平安策略〔2〕信息平安策略的设计范围：

物理安全策略物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。

网络安全策略网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

数据加密策略数据加密策略包括加密算法、适用范围、密钥交换和管理等。

数据备份策略数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

四、信息平安策略的制定、执行和维护1、制定信息平安策略〔2〕信息平安策略的设计范围：

病毒防护策略病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。

系统安全策略系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。

身份认证及授权策略身份认证及授权策略包括认证及授权机制、方式、审计记录等。

灾难恢复策略

灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。事故处理、紧急响应策略事故处理、紧急响应策