系统管理策略负责制定系统升级、监控、备份、审计等工作的指导方针和预期目标。系统管理人员和维护人员依据这些策略安排自己的具体工作。这些策略应该明确规定什么时间多少时间去升级系统,什么时候应该如何进行系统监控,什么时候进行日志审查和系统备份等。策略必须足够详细,以帮助系统管理人员能确切知道对系统和网络需要做哪些工作。 3、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非授权访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
4、资源需求分配策略
该策略是根据网络资源的职责确定哪些用户允许使用哪些设备,例如用户如何获得授权访问打印机,哪些用户可以在某个时间段内使用,用户采用何种登录方式(远程/本地)才能使用设备,哪些用户可以获得系统程序和应用程序的使用授权,授权访问哪些数据,并指定对用户的授权方式和程序。 5、系统监控策略
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络的访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法分子试图进入网络,网络服务器应自动记录企图尝试进人网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。 6、网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理的等级和安全管理的范围,制定有关网络操作使用规程和人员出人机房管理制度,制定网络系统维护制度和应急措施。
7、灾难恢复计划
灾难恢复计划(Disaster Recover Plan ,DRP)是指在紧急情况或安全事故发生而导致系统崩溃、数据丢失等现象时如何保障计算机信息系统继续运行或紧急恢复到问题发生前的正常运行状态。灾难恢复计划是信息安全管理人员所面临的最大的难题之一。简单的可能是单个系统瘫痪的恢复,复杂的可以是一个大型跨国公司的业务运作系统如何从自然灾害和恶性事故中恢复。绝大多数组织都对灾难恢复计划投入很多资金,包括数据备份和双机热备份。当系统或网络瘫痪时,热备份能迅速接管原系统
所有任务,继续对用户提供透明的服务。热备份维护起来非常昂贵,而且有时也难以证明是否有存在的必要。不管采用哪种方式,一份切实有效的保障计划和恢复计划是信息安全管理策略的重中之重。
1.2.4 信息安全组织管理
我国信息安全管理格局是一个多方“齐抓共管”的体制,是由信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、专家顾问组、安全审计机构、安全培训机构等多家机构共同组成,分别履行各自的职能,共同维护国家信息安全。由于信息安全保障涉及到信息安全、网络安全、技术安全、管理安全、个人行为安全等多个方面和层次,因此产业部门、保密部门、机要部门、安全部门、公安部门、文化部门、宣传部门等都要参与管理。不同部门实际上是在管理着信息安全某个方面或者某种属性,也就是管理部门传统职能在网上的表现和反映,由此可以得出信息安全管理基本组织结构如图1-4内部信息安全管理组织包括:
(1)安全审查和决策机构:这是负责信息安全组织工作的权威机构,通常是信息安全管理委员会,由高级管理层、各部门管理层选派代表组成,负责制定信息安全目标、原则、方针和策略。
(2)安全主管机构:负责具体信息安全建设和管理,依据安全策略制定各项安全管理制度,制定必要的安全措施,通常由国家安全局、国家密码管理局等技术机构组成。
(3)安全运行维护机构:对相关的安全技术机制和系统按照安全管理规范的要求进行运行维护,保证安全系统稳定可靠,以发挥有效的保护作用。 (4)安全审计机构:主要担负保护系统安全的责任,工作重心偏向于监视系统的运行情况,并对安全管理制度的贯彻执行情况进行监管。
(5)安全培训机构:主要负责与信息安全技术研究、应用有关的教育和培训工作。
(6)安全人员:维持和保障系统正常运行的各方面的人才,如安全、网络、软硬件、通信、审计、系统分析、代码编译等有关方面的人员。 外部信息安全管理组织机构包括:
(l)国家职能监管机构:包括国家保密局、国家安全部、公安部等国家规定的
信息安全职能监管机构。
(2)外部合作组织:主要是可靠的、权威的系统组成设备提供商、信息安全专业厂商、第三方安全组织等组成。
(3)专家顾问组:由信息安全方面的资深专家、顾问组成,专门为决策机构提供必要的建议和决策支持。
1.2.5 信息安全人员管理
人员安全管理和控制是信息安全管理中的重要环节。除加强法制建设,通过法律制裁形成一种威慑,并通过伦理道德教育,提高整体素质外,还应采取科学的管理措施,减少作案的机会,减少犯罪,以获得安全的环境。通常对信息安全管理人员有以下管理要求: 1、安全授权
计算机网络必须设立网络安全管理机构,网络安全管理机构设置网络安全管理员,如需要还可设立分级网络管理机构和相应的网络管理员。此外,还应建立、健全岗位责任制,指定不同的管理员在岗位上可能处理的最高密级信息,即安全授权。 安全授权包括:专控信息的授权、机密信息的授权、秘密信息的授权和受控信息的授权四类。其中专控信息的授权是对网络管理机构的最高领导、网络安全管理员及专门指派的人员的授权,是处理最高机密的授权。 去除上述四类授权外,尚有一种临时授权,即对需要临时接触专控信息的人给予临时专控信息授权,但需要对他接触专控信息进行审查,只有审查合格后才可获得授权。 2、安全审查
在工作人员获准接触、保管机密信息前,必须对他们进行安全审查。对新进人的工作人员按照其本人申请表中的个人历史逐一审查,必要时要亲自会见证明人,对以前的经历和人品进行确认。除新职工外,对在职人员也要定期审查。当某工作人员婚姻状况发生变化,或被怀疑违反了安全规则,或是对其可靠性产生怀疑时,都要重新审查。安全警卫员应具有所保卫的重要机房最高密级的授权,应按此标准挑选、审查。对清洁工也要和工作人员一样进行审查,未经严格审查的清洁工在处理保密信息的重要机房工作时,应自始至终处于工作人员的监视之下。
3、调离交接
一旦重要岗位的工作人员辞职或调离,应立即取消他出人安全区、接触保密信息的授权.应给调离人员一份书面要求,告之他有义务对工作期间接触的涉密信息继续保密,否则将受到行政或刑事处罚。必要时调离人员应签字,说明已接受并对今后的行为负责。调离人员办理手续前,应交回所有的证章、通行证、授权、说明手册、使用资料等。调离人员走后,所有他接触过、使用过的访问控制物品必须更换或处理。 4、安全教育
应对各类人员进行安全意识教育和岗位技能培训,告知人员相关的安全责任和惩戒措施。定期对工作人员进行安全教育,包括听讲座,观看影片、录像资料,学习信息安全材料等,以此提高工作人员的信息安全防护意识。
要求工作人员随时注意计算机网络安全运行情况。一旦发现从直接上级处接受到违反网络安全规定的指示或观察到其他工作人员违反安全规定的可疑行为时,应立即向安全负责人报告。同时要求任何工作人员不得将网络机房的保密资料带回家中,确有必要带出,必须经负责人批准并备案。
1.2.6 信息安全制度管理
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。安全管理制度主要包括:管理制度、制定和发布、评审和修订三个控制点。不同等级的基本要求在安全管理制度方面有不同的体现。
? ?
一级安全管理制度要求:主要明确了制定日常常用的管理制度,并对管理制度的制定和发布提出基本要求。
二级安全管理制度要求:在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度的制定和发布要求组织论证。
三级安全管理制度要求:在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组负责。
四级安全管理制度要求:在三级要求的基础上,主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。
?
?
(一)管理制度
信息安全管理制度文件通过为机构的每个员工提供基本的规则、指南、定义,从而在机构中建立一套信息安全管理制度体系,防止员工的不安全行为引人风险。信息安全管理制度体系分为三层结构:总体方针、具体管理制度、各类操作规程。信息安全方针应当阐明管理层的承诺,提出机构管理信息安全的方法;具体的信息安全管理制度是在信息安全方针的框架内,为保证安全管理活动中的各类管理内容的有效执行而制定的具体的信息安全实施规则,以规范安全管理活动,约束人员的行为方式;操作规程是为进行某项活动所规定的途径或方法,是有效实施信息安全政策、安全目标与要求的具体措施。这三层体系化结构完整地覆盖了机构进行信息安全管理所需的各类文件化指导。该控制点在不同级别主要表现为:
? ? ? ?
一级:要求制定日常常用的管理制度。
二级:在一级要求的基础上,管理制度要求更高,并增加了总体方针和安全策略,重要操作规程的要求。
三级:在二级要求的基础上,提出了建立信息安全管理制度体系的要求。 四级:与三级要求相同。
(二)管理制度的制定和发布
制定安全管理制度是规范各种保护单位信息资源安全活动的重要一步,制定人员应充分了解机构的业务特征(包括业务内容、性质、目标及其价值),只有这样才能发现并分析机构业务所处的实际运行环境,并在此基础上提出合理的、与机构业务目标相一致的安全保障措施,定义出与管理相结合的控制方法,从而制定有效的信息安全政策和制度。机构内高级管理人员参与制定过程,使得制定的信息安全政策与单位的业务目标更一致,同命省利于制定的安全方针政策、制度可以在机构上下得到有效的贯彻,而且容易得到有效的资源保障,比如在制定安全政策时获得必要的资金与人力资源的支持,以及跨部门之间的协调问题、人员物力资源的调配等都必须由高层管理人员来推动。
该控制点在不同级别主要表现为:
? ? ? ?
一级:要求有人员负责安全管理制度的制定,相关人员能够了解管理制度。 二级:在一级要求的基础上,要求有专门部门或人员负责安全管理制度的制定,并且发布前要组织论证。
三级:在二级要求的基础上,对制度的制定格式、发布范围、发布方式等进行了控制。
四级:除三级要求外,侧重对有密级的安全制度的管理。
(三)管理制度的评审和修订
安全政策和制度文件制定实施后,并不能“高枕无忧”,机构要定期评审安全政策和制度,并进行持续改进,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。因为机构所处的内外环境是不断变化的,信息资产所面临的风险也