第二节 信息安全管理基础
一、信息安全的管理体系 二、信息安全管理标准 三、信息安全策略 四、信息安全组织管理 五、信息安全人员管理 六、信息安全制度管理 七、计算机病毒安全防范 八、应急事件处理
一 信息安全的管理体系
(一) 信息安全管理体系的概念 (二) 信息安全管理的内容
(三) 信息安全管理的基本原则 (四) 信息安全管理的过程 (五) 信息安全管理的目的和意义
1.2.1.1 信息安全管理体系的概念
现代社会对网络的依存越来越广泛,对于所有用户来说,风险和威胁是永远存在的。信息安全是一个动态发展的过程,信息安全管理只是保障计算机网络信息系统安全的特殊技术。安全管理的目的是阻止非法用户进入系统,减少系统遭受破坏的可能性,快速检测非法行为,迅速确定人侵位置并跟踪人侵目标,有效记录破坏者的行为以便抓获,以最大限度减少损失并促进系统恢复。信息安全管理覆盖的内容非常广泛,它涉及信息和网络系统的各个层面,以及信息系统生命周期的各个阶段,随着人们对信息安全管理认识和理解的不断深入,可以发现这些不同层次、不同方面的管理内容在彼此之间存在着一定的内在关联,它们共同构成一个全面的有机整体,以使管理措施保障达到信息安全的目的,这个有机整体就是信息安全管理体系(ISMS , Information Security Management systems)。
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。信息安全管理体系是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,是涉及人、程序和信息技术系统。
1.2.1.2 信息安全管理的内容
信息安全管理体系包括以下管理类:
(1)方针与政策管理;确保企业、组织拥有明确的信息安全方针以及配套的策略和制度,以现实对信息安全工作的支持和承诺,保证信息安全的资金投入。
(2)风险管理;信息安全建设不是避免风险的过程,而是管理风险的过程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。
(3)人员与组织管理:建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理,协调信息安全监管部门与行内其他部门之间的关系,保证信息
安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。 (4)环境与设备管理:控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。
(5)网络与通信管理:控制、保护网络和通信系统,防止其受到破坏和滥用,避免和降低由于网络和通信系统的问题对业务系统的损害。
(6)主机与系统管理:控制和保护计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。
(7)应用与业务管理:对各类应用和业务系统进行安全管理,防止其受到破坏和滥用。
(8)数据、文档、介质管理采用数据加密和完整性保护机制,以防止数据被窃取和篡改,保护业务数据的安全。
(9)项目工程管理全系统:保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。
(10)运行维护管理:保护信息系统在运行期间的安全,并确保系统维护工作的安全。
(11)业务连续性管理:通过设计和执行业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。
(12)合规性管理:确保信息安全保障工作符合国家法律、法规的要求;且信息安全方针、规定和标准得到了遵循。
1.2.1.3 信息安全管理的基本原则
信息安全管理的基本原则有以下几点:
(1)一把手负责原则,也称为领导负责原则。信息安全事关大局,涉及全局,需要一把手负责才能统一大家的认识,组织有效队伍,调动必要的资源和经费,落实各部门间的协调。如果一把手对信息安全工作不关心,不了解,不支持,光靠业务部门去抓一些具体的事务,久而久之,信息安全的管理工作就会逐渐淡化,逐渐流于形式。只有一把手真正具有责任心,成为信息安全的明白人,关心和支持业务部门的工作,信息安全的管理工作才能真正落到实处。那些齐抓共管、人人负责的漂亮口号没有一把手负责督导,常常会造成无抓不管、放任自流的恶劣后果。
(2)动态发展原则。信息网络安全状况不是静态不变的,随着对手攻击能力的提高、自己对信息网络安全认识水平的深化,必须对以前的安全政策有所修改,对安全措施和设施有所加强。必须明白,安全是一个过程,世界上没有一劳永逸的安全。
(3)风险原则。由于信息网络安全是动态发展的,因此安全也不是绝对的。我们不能做到绝对的安全,但是我们可以追求和实现在承担一定风险情况下的适度安全。因此,当我们在规划自己的信息网络系统安全的时候,首先要进行风险分析。根据要保护的资源的价值和重要程度,考虑可以承受的风险度,并以此为依据指定技术政策和设置保护措施。
(4)规范原则。信息系统的规划、设计、实现、运行要有安全规范作要求,要根据本机构或本部门的安全要求制定相应的安全政策。安全政策中要根据需要选择采用必要的安全功能,选用必要的安全设备。不应盲目开发、自由设计、违章操作、无人管理。
(5)预防原则。在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。用预防为主的指导思想来对待信息安全问题,不能心存侥幸。 (6)注重实效原则。不应盲目追求一时难以实现或投资过大的目标,应使投入与所需要的安全功能相适。
(7)系统化原则。要有系统工程的思想。前期的投人与建设和后期的提高要求要匹配和衔接,以便能够不断扩展安全功能,保护已有投资。
(8)均衡防护原则。人们经常用木桶装水来形象地比喻应当注重安全防护的均衡性,箍桶的木板中只要有一块短板,水就会从那里泄漏出来。我们设置的安全防护中要注意是否存在薄弱环节。
(9)分权制衡原则。重要环节的安全管理要采取分权制衡的原则,要害部位的管理权限如果只交给一个人管理,一旦出问题就将全线崩溃。分权可以相互制约,提高安全性。 (10)应急原则。安全防护不怕一万,就怕万一。因此要有安全管理的应急响应预案,并且要进行必要的演练,一旦出现相关的问题马上采取对应的措施。
(11)灾难恢复原则。越是重要的信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统数据的一致性。一旦遇到灾难,立即启动备份系统,保证系统的连续工作。
1.2.1.4 信息安全管理的过程
首先要明白的是,信息安全是一个“过程”,而不是一个“程序”。根据ISO/IEC-17799 标准的阐述以及有关的信息安全管理文献资料,可以总结出信息安全管理的主要过程。
1、获取管理层的支持
进行信息安全管理的实施,必须首先要获得高级管理层的支持。建设一套复杂的信息安全管理体系是费时、费力和需要资金支持的,需要耗费大量的人力、物力和财力,并且
还要负一定的法律责任,因此,必须要有高层管理者的决策支持,这是信息安全管理的前提。
2、定义安全范围
组织要根据组织的特性、地理位置、资产和技术对定义信息安全管理的范围进行界定,这属于信息安全管理最困难的初始任务之一,也可以称为定义安全区域,通常认为是信息安全管理的起始点。安全区域可以是整个组织或机构,也可能是组织或机构的一部分,但根本的一点是安全区域必须限定在一个组织或机构所能控制的范围之内,否则组织和机构将无法实施有效的管理和控制。 3、创建安全策略
一套安全策略文档应当由管理层批准、印制并向全体员工公布。安全策略应明确声明管理层的承诺,及组织管理信息安全的方法。一套完整的安全策略至少要包括以下内容:
? ? ?
信息安全的定义、整体目标和范围以及安全对信息共享的重要性; 对管理层意图的声明及支持,以及信息安全的原则;
安全策略、原则、标准的简介,也包括对组织有特别重要性的法律法规的要求,例如:要符合法律及合同的要求、安全教育的要求、防止及检测病毒及其他恶意代码的要求、业务持续性管理的要求以及违反安全策略的后果等; 信息安全管理的一般和特定责任的定义,包括报告安全事件;
支持策略文档的参考说明,例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。
该策略应在整个组织范围内公布,让有关人员访问和理解透彻。
? ? ?
4、建立信息安全管理系统
信息安全管理系统是组织应用、管理、维持和贯彻执行信息安全过程和控制的基本架构,由信息系统安全主管负责并在信息安全策略中正式声明。在ISMS 中定义了信息安全管理的范围,并且对每一种安全控制的策略、标准、过程、计划、任务团队等都有详细的说明和指导,甚至具体到哪一个人负责哪些事情。
5、风险分析和评价
信息安全管理实际上就是对风险的管理,因此一套适宜的风险分析和评价程序对信息安全管理来说是最基本的。通过对资产、资产面临的威胁和资产本身脆弱性的识别,以及对相应的风险的量化分析,组织就能选择和决策采取哪些安全控制措施,来避免、转移或降低风险所造成的损失到一个可以接受的水平。风险是动态的,它将随着过程的更改、组织的变化、技术的发展以及新出现的潜在威胁而变化,因此组织的风险分析和评价也应不是一成不变的。