电子政务之信息安全管理.doc

第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理？ 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径； 建设信息安全组织机构，设置岗位、配置人员并分配职责； 实施信息安全风险评估和管理； 制定并实施信息安全策略； 为实现信息安全目标提供资源并实施管理； 信息安全的教育与培训； 信息安全事故管理； 信息安全的持续改进。3、信息安全管理的基本任务（1）组织机构建设 （2）风险评估 （3）信息安全策略的制定和实施（4）信息安全工程项目管理 （5）资源管理（1）组织机构建设组织应建立专门信息安全组织机构，负责：确定信息安全要求和目标； 制定实现信息安全目标的时间表和预算建立各级信息安全组织机构和设置相应岗位 分配相应职责和建立奖惩制度提出信息安全年度预算，并监督预算的执行 组织实施信息安全风险评估并监督检查组织制定和实施信息安全策略，并对其有效性和效果进行监督检查组织实施信息安全工程项目 信息安全事件的调查和处理组织实施信息安全教育培训 组织信息安全审核和持续改进工作组织应设立信息安全总负责人岗位，负责：向组织最高管理者负责并报告工作 执行信息安全组织机构的决定提出信息安全年度工作计划 总协调、联络（2）风险评估信息系统的安全风险信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 信息安全风险评估是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息系统安全风险评估的总体目标是：服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。信息系统安全风险评估的目的是：认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。 信息安全风险评估的基本要素使命：一个单位通过信息化实现的工作任务。依赖度：一个单位的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。价值：资产的重要程度和敏感程度。威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。信息安全风险评估的标准制定工作2004年全国信息安全标准化技术委员会将信息安全风险评估指南列入2005年度国家信息安全标准制定工作计划中, 将信息安全风险管理指南列入国家信息安全标准研究工作规划中。 目前信息安全风险评估指南已完成评审, 报国家标准管理委员会颁布国信办已以国信【2006】9号文的形式发各部委和省市信息安全风险评估指南主要内容规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则；介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程；详细描述了对资产、威胁和脆弱性的识别方法；描述了风险评估在信息系统生命周期中的作用； 描述了风险评估的不同形式；在附件中介绍了信息安全风险评估的方法、工具和实施案例（3）信息安全策略的制定和实施策略：解决某一方面问题的目的、范围、流程、准则的集合信息安全策略文件就每一个策略建立实施计划，落实所需资源策略发布后，实施培训策略的评审和修订（4）信息安全工程项目管理需求分析；规划立项；实施；验收；工程监理（5）资源管理信息安全预算；人力资源；基础设施；信息安全教育培训二、信息安全管理体系1、 什么是管理体系ISO9000-2000中的相关定义体系 system相互关联和相互作用的一组要素管理体系 management system建立方针和目标并实现这些目标的体系目前流行的管理体系质量管理体系 QMSISO/IEC9000，9001，9004等；环境管理体系 EMSISO/IEC14000；职业安全卫生管理体系 OHMSAS18000；信息安全管理体系 ISMSISO/IE17799&ISO27001；2、 信息安全管理体系ISMS：Information Security Management System 信息安全管理体系指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可度量的信息安全管理体系要素包括信息安全方针、策略；信息安全组织结构；各种活动、过程；信息安全控制措施；人力、物力等资源；其他信息安全管理体系方法图解：三、信息安全管理标准 安全标准可以分成以下几大类：安全体系结构和框架标准；分层安全协议标准；安全技术标准；具体应用安全标准；安全管理标准当前信息安全面临着“道高一尺，魔高一丈”的尴尬处境，在信息安全技术进步的同时，信息安全问题却越来越严重，人们逐渐深刻地认识到，信息安全不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如规范安全标准和进行信息安全管理，这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护，仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。 在全社会普遍关注信息安全的情况下，各个企业或机构又都面临遵循保密标准与安全法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时，有关信息安全标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一安全标准的需求自然成为一个很现实的问题。 信息安全管理国际标准的发展过程 1992年，世界经济合作与发展组织（oecd）发表了信息系统安全指南，旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准，相关机构能通过此基准来衡量本身在信息安全管理方面的进展。1998年，国际会计师联合会发表了一个有关信息安全管理的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。1993年1月，英国标准协会（britishstandardsinstitution,简称bsi）成立了信息安全的行业工作小组。1993年9月，信息安全管理体系实施要则出版。1995年2月，英国标准协会制定的信息安全管理体系标准bs7799-1出版。1998年2月，bs7799-2出版。bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。2002年9月：bs7799-2:2002出版。目前，在信息安全管理体系方面，ISO27001（原BS7799标准）已经成为世界上应用最广泛与典型的信息安全管理标准。该标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2信息安全管理体系规范，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1：1999信息安全管理实施细则通过了ISO的认可，正式成为国际标准 ISO/IEC17799-1：2000信息技术-信息安全管理实施细则。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准ISO27001，同时BS7799-2:1999被废止。2006年5月，BS7799-3：2006信息安全风险管理指南出版。针对ISO27001标准的受认可的认证，是对组织信息安全管理体系（ISMS）符合BS7799-2 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了信息安全管理体系，并且符合BS7799-2 标准的要求。通过认证的组织，将会被注册登记，并且与认证委员会、DTI 以及ISMS IUG的国际网络相联系。 目前，已有20多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001。并有41 个国家和地区开展了此项业务， 我国的台湾和香港地区也已经采用并推广了BS7799标准。在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。在中国大陆， BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而相关的ISMS认证工作正在逐步运行。 BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。 通过ISO27001认证好处保护企业的知识产权、商标、竞争优势；维护企业的声誉、品牌和客户信任； 减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失； 强化员工的信息安全意识，规范组织信息安全行为； 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度 ISO27001的主要内容 目前ISO27001主要由3部分组成。分别是：信息安全管理实施细则、信息安全管理体系规范、信息安全风险管理指南。ISO17799:2005的新架构包括11个控制域、39个控制措施，133个控制点。(其中11个控制域分别是安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得，开发和维护、访问控制、信息安全事件管理、业务连续性管理、合规性)。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合组织需要的信息安全管理体系。 第二节信息安全策略一、信息安全策略概述1、什么是信息安全策略 信息安全策略（Information Security Policy）是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。 计算机安全研究组织SANS关于计算机安全策略的定义是：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多做什么的定义，以便于执行者确定如何做，并且能够进行度量和评估”。 2、信息安全策略的内容 信息安全策略可以划分为两个部分，问题策略（issue policy）和功能策略（ functional policy）。基本策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证即定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略。3、信息安全策略的特性 信息安全策略的内容应该有别于技术方案， 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价 二、信息安全策略保护对象 硬件与软件 硬件和软件是支持商业运作进行的平台，它们应该受策略所保护。所以，拥有一份完整的系统软、硬件清单是非常重要的，并且包括网络结构图。数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构，不论从事什么工作，都在收集和使用数据。人员首先，重点应该放在谁在什么情况下能够访问资源。 接下来要考虑的就是强制执行制度和对未授权访问的惩罚制度。 三、主要信息安全策略 1、口令策略 所有系统都需要口令，以拥有易于实现的第一级别的访问安全性。为确保网络安全运行，保护所拥有的权益不受侵害，可以制定如下管理策略： （1）网络服务器口令的管理：服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。 服务器的口令需部门负责人在场时，由系统管理员记录封存。口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。 如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。（2）用户口令的管理：对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。 在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。 如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。2、计算机病毒和恶意代码防治策略病毒防护策略必须具备下列准则：（1）拒绝访问能力：来历不明的入侵软件（尤其是通过网络传过来的）不得进入系统。 （2）病毒检测能力：病毒总是有可能进入系统的，系统中应设置检测病毒的机制。除了检测已知类病毒外，能否检测未知病毒是一个重要的指标。 （3）控制病毒传播的能力：没有一种方法能检测出所有的病毒，一旦病毒进入了系统，应不让病毒在系统中到处传播。系统一定要有控制病毒传播的能力。 （4）清除能力：如果病毒突破了系统的防护，即使它的传播受到了控制，也要有相应的措施将它清除掉。对于已知类病毒，可以使用专用杀毒软件；对于未知类病毒，在发现后使用软件工具对它进行分析，尽快编写出消毒软件。当然，如果有后备文件，也可使用它直接覆盖受感染文件，但一定要查清楚病毒的来源。 （5）恢复能力：有可能在清除病毒以前，病毒就破坏了系统中的数据，系统应提供一种高效的方法来恢复这些数据。 （6）替代操作：可能会遇到这种情况，问题发生时，手头没有可用的技术，任务又必须执行下去。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作，等问题解决以后再换回来。这一准则对于战时的军事系统是必须的。 3、安全教育与培训策略在安全教育策略具体实施过程中应该有一定的层次性： （1）主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。 （2）负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。 （3）用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。 4、可接受使用策略AUP可接受使用策略（Acceptable Use Policy） 是指由官方发布的使用网络或计算机系统的有关事项说明，其中规定了对网上业务活动的某些限制。如果没有为组织机构中的电脑和网络制定可接受使用策略（AUP），那么企业或组织就是对安全缺口、可能出现的法规罚款和诉讼敞开了大门，这些隐患可能来自员工、用户行为造成的影响，也可能来自员工、用户对网络不正当的使用。 仅仅告诉员工不要将网络设备用于非工作活动是不够的，还需要建立和发放书面策略，并要求使用者在收到并阅读后签署策略。其关键在于要设计出有效、公平，而且持续稳定的策略。 策略的内容可接受使用策略中一般包括以下内容： （1）针对网络用户的个人隐私策略:应该声明所有保存公司计算机及网络中，或者从公司计算机及网络上发送或者接收到的信息都会接受安全监控。（2）企业信息策略：密码与帐户信息共享的策略:禁止用户登录任何不属于自己的帐户，禁止用户委托他人使用自己的信任状进行登录，禁止在登录以后允许他人使用系统。 离开工位时需要关闭工作站的安全策略；针对电子邮件附件的策略；禁止用户取消计算机和网络上的安全性能与机制的策略；禁止非法安装软件；禁止非法在可移动介质上复 制 公司信息，或者向网络外部发送企业信息。 等等。（3）关于加密的使用策略：关于在新闻组和讨论区发表意见的策略，需要免责声明来表示发送者的意见为个人行为，不代表公司行为。 关于个人所有的膝上电脑、手持电脑、智能电话接入公司网络的策略。禁止将任何未经授权的调制解调器、无线接入点以及其他设备接入公司网络。 明确规定不正当的行为，如色情文字，侵犯版权、非法的文件共享；发送骚扰或恐吓信息；发送垃圾邮件；参与网络钓鱼或者其他一些欺诈性行为；在网络内部或外部侵入他 人系统；发送恶意代码；未经允许访问网络数据；拦截发送给他人的数据（使用sniffers或者其他工具）；使用欺骗技术来伪装电子邮件地址或者其他网络行为。 四、信息安全策略的制定、执行和维护1、制定信息安全策略 （1）制定信息安全策略的原则：先进的网络安全技术是网络安全的根本保证； 严格的安全管理是确保信息安全策略落实的基础； 严格的法律、法规是网络安全保障的坚强后盾 （2）信息安全策略的设计范围 ：物理安全策略物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。网络安全策略网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。 数据加密策略数据加密策略包括加密算法、适用范围、密钥交换和管理等。 数据备份策略数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。病毒防护策略病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。系统安全策略系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。 身份认证及授权策略身份认证及授权策略包括认证及授权机制、方式、审计记录等。 灾难恢复策略灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。事故处理、紧急响应策略事故处理、紧急响应策略包括响应小组、联系方式、事故处理计划、控制过程等。安全教育策略安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识的