1、1 15.1信息安全管理相关概念信息安全管理相关概念5.2信息安全管理标准信息安全管理标准5.3信息安全管理的实施要点信息安全管理的实施要点本章小结本章小结第5章信息安全管理 2 25.1.1什么是信息安全管理信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题,技术和产品的应用,一定程度上解决了部分信息安全问题。但是仅仅依靠这些产品和技术还不够,即使采购和使用了足够先进、数量足够多的信息安全产品,如防火墙、防病毒、入侵检测、漏洞扫描等,仍然无法避免一些安全事件的发生。5.1信息安全管理相关概念3 3更何况,对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、
2、信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。依据国家计算机应急响应中心发布的数据,所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部非法人员的攻击造成的,如图5-1所示。4 4图5-1造成计算机安全事件的原因分析5 5简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,管理已成为信息安全保障的重要基础,管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全
3、建设的各个方面,信息安全的有效性和长期性才能得到保障。信息安全管理(ISM,Information Security Management)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。6 6信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。信息安全建设是一个系统工程,它需要对信息系统的各个环节进
4、行统一的综合考虑、规划和构架,7 7并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程,这也是组织需要信息安全管理的基本出发点。总之,信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动,有效的信息安全管理应该是在有限的成本下,尽量做到安全“滴水不漏”。8 85.1.2信息安全管理现状在计算机时代到来之前,人们会将重要的文件资料锁到文件柜或保险柜中进行保存,但是现在,人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散等特
5、性,从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。2005年9月,美国能源部一个研制核武器的部门网站被电脑黑客侵入,大约1500名工作人员的个人信息被盗。9 92006年5月,美国退伍军人事务部一名工作人员的住所失窃,一个储存了约2650万名退伍军人和大量现役军人身份信息的电脑硬盘被盗。2006年7月,一台可能储存有3.8万名退伍军人个人信息的台式电脑在退伍军人事务部的分包商优利公司的一处办公室内被盗,电脑中存有退伍军人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月,一部保存3.3万名旅客个人
6、敏感资料的无加密手提计算机在旧金山国际机场被人偷去,手提计算机中保存有申请者姓名、地址和出生日期,10 10部分有驾驶执照、护照或绿卡号码等信息。2010年位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息,时间跨度为15年。由于苹果合作运营商AT&T网站的安全漏洞,2010年6月苹果发生安全泄露事件,影响11.4万iPad用户,其中包括很多公司CEO、军方高官和白宫政治家。在垃圾邮件和恶意黑客面前,iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说,是一个非常坏的消息,或许将直接导致3G
7、版iPad销量的大幅下滑。11 11我国面临的计算机信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令人担忧,有些单位和组织根本没有意识到网络安全的重要性,即使是对外宣称采用了安全防范措施的单位,实际上也有许多安全隐患。如果说“iPad 3G用户信息泄漏”事件和美国“南岸医院80万份文件泄漏”事件似乎看起来还有些“遥远”的话,国内某知名大型网络安全公司在2011新年伊始引发的大规模用户数据泄漏事件就近在眼前了。12 12CSDN官方已确认超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露,部分用户账号面临风险,网站将因此临时关闭用户登录,涉及用户600万。随后,多玩、人人、天涯
8、等也被指责存在用户数据泄露问题。尽管有部分网站否认,但还是即刻引起互联网用户的关注。用户数据大规模集中泄露对中国互联网的信息安全漏洞敲响了警钟。计算机犯罪大多具有瞬时性、广域性、专业性和时空分离等特点,通常计算机犯罪很少留下犯罪证据,这也是计算机高技术犯罪案件频发的诱因。2011年4月CNCERT/CC发布的2010年中国互联网网络安全报告指出,2010年我国基础网络运行总体平稳,13 13但重要联网信息系统安全问题突出,政府网站安全防护薄弱,金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标,工业控制系统安全面临严峻挑战,公共网络环境安全更不容乐观,木马和僵尸网络依然对网络安全构成直接威胁
9、,手机恶意代码日益泛滥,DDoS攻击也严重危害网络安全,互联网应用层服务的市场监管和用户隐私保护工作亟待加强。报告同时指出,目前发达国家政府普遍在加强网络安全管理,如美国政府出台加强网络安全法案等相关网络安全法律文件,推进网络安全立法,并推出“完美公民”计划,拟建立全美联网监控体系以对抗网络犯罪;14 14欧盟正式发布欧洲数字化议程五年规划,提出增强网络安全相关举措;瑞典政府拟设国家信息技术安全中心,以应对网络攻击及处理信息技术案件;日本政府批准制定“保护国民信息安全战略”,加大监管力度,构筑安全网络社会;新加坡信息通信发展管理局通过制定新准则、加强信息分析能力以及提高公民网络安全意识来加强新
10、加坡网络安全;澳大利亚启动国家计算机应急响应官方机构CERT Australia,支持政府打击网络犯罪和网络恐怖主义威胁。15 15我国目前的计算机安全防护能力还只处于发展的初级阶段,许多计算机基本上处于不设防状态,从防范意识、管理措施、核心技术到安全产品,还远未构成一个较成熟的体系。由于安全问题,尤其是因为管理的不善而导致的各种重要数据和文件的滥用、泄露、丢失、被盗等给国家、企业和个人造成的损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。16 16当然,这几年信息安全管理在国际上有了很大的发展,我国
11、信息安全管理虽然起步较晚,但我国政府主管部门以及各行各业已经认识到了信息与信息安全的重要性,党的十七大报告明确提出“发展现代产业体系,大力推进信息化与工业化融合,促进工业由大变强,振兴装备制造业,淘汰落后生产能力”的崭新命题,反映了党中央对于发展信息化重要性认识的深入,也体现了信息化带动工业化发展的重要意义。17 17我国作为发展中国家,工业化处于中期发展阶段,只有通过发展信息化带动工业化,并实现二者之间的有效融合,把中国工业化提高到广泛采用信息智能工具的水准上来,才能加快我国工业化进程,提高我国产业的国际竞争力,更好地参与国际经济竞争。因此,政府部门已开始出台一系列相关政策策略,直接指导,推
12、进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。18 18经过几年的发展,我国信息安全管理的成绩可以总结为以下几点:(1)初步建成了国家信息安全组织保障体系。1999年9月成立的国家计算机网络应急技术处理协调中心(CNCERT/CC)是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,专门负责收集、汇总、核实、发布权威性的应急处理信息,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监
13、测、预警和处置。19 192003年CNCERT在我国大陆31个省市、自治区、直辖市成立分中心,完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设,形成了全国性的互联网网络安全信息共享、技术协同能力,在协调国内网络信息安全应急组织(CERT)共同处理互联网安全事件方面发挥着重要作用。2001年5月成立了中国信息安全产品测评认证中心(CNITSEC,China Information Technology Security Evaluation Center),2020是代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信
14、息安全测评认证体系,负责对国内外信息安全产品和信息技术进行测评和认证,对国内信息系统和工程进行安全性评估和认证,对提供信息安全服务的组织和单位进行评估和认证,对信息安全专业人员的资质进行评估和认证。为进一步加强对推进我国信息化建设和维护国家信息安全工作的领导,21 212001年8月,中共中央、国务院决定重新组建国家信息化领导小组,同年12月,成立“国务院信息化工作办公室”办事机构,具体承担领导小组的日常工作。2003年7月,国务院信息化领导小组第三次会议上专题讨论并通过了关于加强信息安全保障工作的意见,同年9月,中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见(
15、200327号文件)。222227号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。2008年国务院机构改革后原“国务院信息化工作办公室”职能合并至国家工业和信息化部,具体工作由工业和信息化部(信息化推进司)负责。2323(2)制定了一系列必需的信息安全管理法律法规。从20世纪90年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了中华人民共和国计算机信息网络国际联网管理暂行规定、商用密码管理条例、互联网信息服务管理办法、计算机信息网络国际联网安全保护管理办法、计算机病毒防治管
16、理办法、互联网电子公告服务管理规定、软件产品管理办法、电信网间互联管理暂行规定、电子签名法等有关信息安全管理的法律法规文件。2424(3)制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局发布了中华人民共和国国家标准GB 178951999计算机信息系统安全保护等级划分准则,并引进了国际上著名的信息安全管理实施准则(ISO 177992000)、信息安全管理体系实施规范(BS 7799-22002)、信息技术安全性评估准则(ISO/IEC 154081999)、SSE-CMM:系统安全工程能力成熟度模型等信息安全管理相关标准。2525
17、信息安全标准化委员会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。(4)信息安全风险评估工作已经得到重视和开展。风险评估是信息安全管理的核心工作之一。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,2626国家其他关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。同时
18、在2007年和2009年分别发布了2项关于风险评估的标准:信息安全风险评估规范(GB/T 209842007)、信息安全风险管理指南(GB/Z 243642009)。尽管目前在信息安全管理上取得了一定的成绩,但也要看到其中还存在许多的问题,例如,信息安全管理在执行过程中还比较混乱,缺乏一个国家层面上的整体策略;缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构;2727我国自己制定的信息安全管理标准太少,大多沿用国际标准;实际管理力度不够,政策的执行和监督力度不够,部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色;部分规定没有准确地区分技术、管理和法制
19、之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差;信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想;专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,技术创新不够,2828信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后;等等。显然,信息安全管理方面我们应该做的工作还有很多,做好这项工作也是任重而道远。29295.1.3信息安全管理意义信息已经成为维持社会经济活动和生产活动的重要基础资源,成为政治、经济、文化、军事乃至社会任何领域的基础。组织对信息系统不断增强的依赖
20、性使得信息技术在提高组织工作效率的同时,也增大了组织重要信息受到严重侵扰和破坏后,组织面临资产损失、业务中断的风险。当今组织的信息系统面临着计算机欺诈、刺探情报、阴谋破坏、火灾、水灾等大范围威胁,3030又面临着计算机病毒、计算机攻击和黑客非法入侵等破坏,而且随着信息技术的发展和信息应用的深入,各种威胁变得越来越错综复杂,各种信息安全事故层出不穷。根据安全中的事故致因核心理论能量意外释放理论(1961年吉布森(Gibson)提出,1966年美国运输部安全局局长哈登(Haddon)完善),可以归纳造成事故的原因有三个:人的不安全行为、物的不安全状态、管理的缺陷。31 31人和物这两方面的因素已经
21、被大家广泛认可,但管理的缺陷却往往容易被忽视。管理上的缺陷往往是造成事故的最重要的因素,应该引起我们的高度重视。例如最近国内发生的两起重大铁路交通事故:“4.28”胶济铁路特别重大交通事故和“7.23”甬温线特别重大铁路交通事故。2008年4月28日,一场近10年来中国铁路行业罕见的列车相撞事故在胶济铁路上瞬间发生,北京开往青岛的T195次列车运行到胶济铁路周村至王村之间时脱线,与上行的烟台至徐州的5034次列车相撞,造成72人死亡,416人受伤,其中重伤74人,事故后果严重,给国家和人民生命财产安全造成重大损失。3232这次事故正如国务院事故调查组组长、安监总局局长王君所说,是一起典型的由于
22、管理上的失误导致的事故,不是天灾,而是人祸,是一场人为引起的、完全可以避免的事故。这也充分暴露了一些企业安全生产意识不到位、领导不到位、安全生产责任不到位、安全生产措施不到位、隐患排查治理不到位和监督管理不到位等严重问题,也反映了基层安全意识薄弱,现场管理存在严重漏洞,安全生产责任没有得到真正落实。3333另一起事故是2010年7月23日,甬温线浙江省温州市境内,由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故,造成40人死亡、172人受伤,中断行车32小时35分,直接经济损失19371.65万元。2011年12月25日发布的国务院“7.23”事
23、故调查报告认定该事故发生的原因是:通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱,通号集团作为甬温线通信信号集成总承包商履行职责不力,致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。3434铁道部在设备招投标、技术审查、上道使用等方面违规操作、把关不严,致使其在温州南站上道使用。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后,采集数据不再更新,错误地控制轨道电路发码及信号显示,使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障,使从永嘉站出发驶向温州南站的D3115次列车超速防护系统自动
24、制动,在5829AG区段内停车。由于轨道电路发码异常,导致其三次转目视行车模式起车受阻,35357分40秒后才转为目视行车模式以低于20公里/小时的速度向温州南站缓慢行驶,未能及时驶出5829闭塞分区。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息,使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯,向D301次列车发送无车占用码,导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员安全意识不强,在设备故障发生后,未认真正确地履行职责,故障处置工作不得力,未能起到可能避免事故发生或减轻事故损失的作用。3636报
25、告将事故性质确定为一起因列控中心设备存在严重设计缺陷、上道使用审查把关不严、雷击导致设备故障后应急处置不力等因素造成的责任事故。从这些事故中我们可以充分认识到管理的缺陷所带来的灾难性打击是多么的严重。正如本章5.1.1节所述,在所有计算机安全事件发生的原因中属于管理方面的高达70%以上,或者说,能对组织造成巨大损失的风险主要还是来自组织内部。与20多年前大型计算机要受到严密看守,由技术专家管理的情况相比,今天计算机技术已唾手可得,无处不在。而今天的计算机使用者大都很少受到严格的培训,每天都在以不安全的方式处理着企业的大量重要信息,3737而且企业的贸易伙伴、咨询顾问、合作单位等外部人员都以不同
26、的方式使用着企业的信息系统,他们都对企业的信息系统构成了潜在的威胁。比如,员工仅仅为了方便记忆而将系统登录密码粘贴在桌面或显示器边上的便条上,就足以毁掉花费了大量人力和物力建立起来的信息安全系统。许多对企业不满的员工“黑”掉公司的网站、偷窃并散布客户敏感资料、为竞争对手提供机密技术或商业数据,甚至破坏关键计算机系统,使企业遭受巨大的损失。3838信息安全管理是保护国家、组织和个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系中,通过完善信息安全管理结构,综合应用信息安全管理策略和信息安全技术产品,才有可能建立起一个真正意义上的信息安全保障体系。39395.1.4信息安全管理的内容
27、和原则在我国,信息安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理,包括以下内容:(1)落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划。(2)开发安全策略。(3)实施风险管理。(4)制定业务持续性计划和灾难恢复计划。(5)选择与实施安全措施。4040(6)保证配置、变更的正确与安全。(7)进行安全审计。(8)保证维护支持。(9)进行监控、检查,处理安全事件。(10)安全意识与安全教育。(11)人员安全管理等。在进行信息安全管理的过程中,需要遵循的原则有:基于安全需求原则。组织机构应根据其信息系统担负的使命、积累的信息资产的重要性、可能受到的威胁及面
28、临的风险分析安全需求,41 41按照信息系统等级要求确定相应的信息系统保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与安全效果。主要领导负责原则。主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门的关系,并确保其落实、有效。全员参与原则。信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。4242 系统方法原则。按照系统工程的要求,识别和理解信息安全保障相互关系的层面和过程,采用管理和技术结合的方法,提高实现安全保障目标的有效性的效率。持
29、续改进原则。安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化、威胁程度的提高、系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。4343 依法管理原则。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不利的社会影响。分权和授权原则。对特定职能或责任领域的管理功能实施分离,对独立审计实行分权,避免权力过分集
30、中所带来的隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(例如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的权限,不应享有任何多余权限。4444 选用成熟技术原则。成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。分级保护原则。按等级划分标准确定信息系统的安全保护等级,实行分级保护,对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。4545 管理与技术并重原则。坚持积极防御和综合防范,全面提高信息系统安全防护能力
31、,立足国情,采用管理与技术相结合、管理科学性和技术前瞻性相结合的方法,保障信息系统的安全性达到所要求的目标。自保护和国家监管结合原则。对信息系统安全实行自保护和国家监管相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。46465.1.5信息系统的安全因素信息系统的主要安全因素包括资产、威胁、脆弱性、意外事件影响、风险和保护措施等。这些信息系统的安全因素之间的关系如图5-2所示。(1)资产。主要包括:支持设施(例如建筑、供电、供水、空调等)。硬
32、件资产(例如各种计算机设备、通信设施、存储媒介等)。信息资产(例如数据库、系统文件、用户手册、操作支持程序、持续性计划等)。4747图5-2信息系统的主要安全因素之间的关系4848软件资产(例如应用软件、系统软件、开发工具、实用程序等)。生产能力和服务能力。人员。无形资产(例如信誉、形象等)。(2)威胁。主要包括自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。人为威胁有:盗窃类型的威胁(例如偷窃设备、窃取数据、盗用计算资源等)。4949破坏类型的威胁(例如破坏设备、破坏数据文件、引入恶意代码等)。处理类型的威胁(例如插入假的输入、隐瞒某个输出、电子欺骗、非授权改变
33、文件、修改程序和更改设备配置等)。操作错误和疏忽类型的威胁(例如数据文件的误删除、误存和误改、磁盘误操作等)。管理类型的威胁(例如安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当、人事管理漏洞等)。5050(3)脆弱性。与资产相关的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等弱点,以及与系统相关的脆弱性如分布式系统易受伤害的特征等。(4)意外事件影响。影响资产安全的事件,无论是有意或是突发,其后果可能毁坏资产,破坏信息系统,影响保密性、完整性、可用性和可控性等。可能的间接后果包括危及国家安全、社会稳定,造成经济损失,破坏组织或机构的社会形象等。51 5
34、1(5)安全风险。安全风险是某种威胁利用暴露系统脆弱性对组织或机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来评估。另外,由于保护措施的局限性,信息系统总会面临或多或少的残留风险,组织或机构应考虑对残留风险的接受程度。(6)保护措施。保护措施是对付威胁,减少脆弱性,限制意外事件影响,检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。5252应考虑采用保护措施实现下述一种或多种功能:预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。保护措施作用的区域可以包括物理环境、技术环境(例如硬件、软件和通信)、人事和行政。保护措施可为:
35、访问控制机制、防病毒软件、加密、数字签名、防火墙、监控和分析工具、备用电源以及信息备份等。选择保护措施时要考虑由组织或机构运行环境决定的影响安全的因素,例如,组织的、业务的、财务的、环境的、人事的、时间的、法律的、技术的边界条件以及文件的或社会的因素等。53535.1.6信息安全管理模型信息安全管理从信息系统的安全需求出发,以信息安全管理相关标准为指导,结合组织的信息系统安全建设情况,引入合乎要求的信息安全等级保护的技术控制措施和管理控制规范与方法,在信息安全保障体系基础上建立信息安全管理体系。信息安全管理模型如图5-3所示。5454图5-3信息安全管理模型5555信息安全需求是信息安全的出发
36、点,它包括保密性需求、完整性需求、可用性需求、抗抵赖性需求、可控制性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安全,从而保证整个组织的整体信息安全水平。信息安全管理标准是在一定范围内获得的关于信息安全管理的最佳秩序,对信息安全管理活动或结果规定共同的和重复使用的具有指导性的规则、导则或特性的文件。5656信息安全管理控制规范是为改善具体信息安全问题而设置的技术或管理手段,并运用信息安全管理相关方法来选择和实施控制规范,为信息安全管理体系服务。信息安全保障体系则是保障信息安全管理各环节、各对象正常运作的基础,
37、在信息安全保障过程中,要实施信息安全工程。5757到目前为止,与信息安全管理相关的国际标准主要是国际标准化组织(ISO)制定的ISO/IEC 17799、ISO/IEC 27001、ISO/IEC 13335等,其中ISO/IEC 17799和ISO/IEC 27001都是由英国标准BS 7799发展而来,它们分别对应于BS 7799-1和BS 7799-2。5.2信息安全管理标准信息安全管理标准58585.2.1信息安全管理标准的发展1.BS 7799BS 7799是世界上影响最深、最具代表性的信息安全管理体系标准。英国标准协会(BSI)最早于1995年发布了信息安全管理实施细则(BS 77
38、99-1:1995),它为信息安全提供了一套全面综合最佳实践经验的控制措施,其目的是将信息系统用于工业和商业用途时,为确定实施控制措施的范围提供一个参考依据,并且能够让各种规模的组织所采用。由于BS 7799-1采用指导和建议的方式编写,不适合作为认证标准使用。59591998年为了适应第三方认证的需求,BSI又制定了世界上第一个信息安全管理体系认证标准,即信息安全管理体系规范(BS 7799-2:1998),它规定了信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理系统评估的基础,可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。1999年,鉴于最新
39、的信息处理技术应用,特别是网络和通讯的发展情况,BSI对信息安全管理体系标准进行了修订,即BS 7799-1:1999和BS 7799-2:1999。60601999版特别强调了信息安全所涉及的商业问题和责任问题。BS 7799-1:1999与BS 7799-2:1999是一对配套的标准,其中BS 7799-1:1999对如何建立并实施符合BS 7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。2000年12月,BS 7799-1被ISO接受为国际标准,即信息技术安全技术信息安全管理实施细则(ISO/IEC 17799:2000)。2005年4月19日被我国等同采用为国家标
40、准信息技术安全技术信息安全管理实用规则(GB/T 197162005)。61 612005年6月,ISO/IEC 17799:2000升级为ISO/IEC 17799:2005,主要增加了“信息安全事件管理”这一安全控制区域。目前世界上包括中国在内的绝大多数政府签署协议支持并认可ISO/IEC 17799标准。2002年9月,BSI发布了BS 7799-2:2002。BS 7799-2:2002主要在结构上做了修订,引入了国际上通行的管理模式-过程方法和PDCA(Plan-DO-Check-Act)持续改进模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准
41、相同的结构和运行模式。62622005年10月,BS 7799-2被ISO接受为国际标准,即信息技术安全技术信息安全管理体系要求(ISO/IEC 27001:2005),这意味着该标准已经得到了国际上的承认。ISO/IEC 27001:2005基本上与BS 7799-2一致,但做了以下修改:必须为范围中的任何被排除在外的部分指定理由。一个明确定义的风险分析方法。在风险处理中选择的措施必须被重新进行风险评估。6363总的来说,ISO/IEC 27001:2005是建立信息安全管理体系(ISMS,Information Security Management System)的一套需求规范,其中详细
42、说明了建立、实施和维护信息安全管理体系的要求,其内容非常全面,是一个真正基于风险的方法。这意味着组织必须评估自己的环境,并为所实施的控制负责。2007年7月,为了和27000系列保护统一,ISO将ISO/IEC 17799:2005正式更改编号为ISO/IEC 27002:2005。64642008年6月19日,我国等同采用ISO/IEC 27001:2005为国家标准信息技术安全技术信息安全管理体系要求(GB/T 220802008),并同时等同采用ISO/IEC 27002:2005为国家标准信息技术安全技术信息安全管理实用规则(GB/T 220812008),它亦是对GB/T 19716
43、2005的修订,并代替该标准。6565图5-4BS 7799标准的发展66662.ISO/IEC 27000系列标准ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。截止2011年6月,包括上面提到的ISO/IEC 27001和ISO/IEC 27002,共发布了以下9项标准:ISO/IEC 27000:2009信息技术安全技术信息安全管理体系原理和术语;ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求;6767ISO/IEC 27002:2005信息技术安全技术信
44、息安全管理实用规则;ISO/IEC 27003:2010信息技术安全技术信息安全管理体系实施指南;ISO/IEC 27004:2009信息技术安全技术信息安全管理测量与指标;ISO/IEC 27005:2008信息技术安全技术信息安全风险管理,2011年6月发布新版ISO/IEC 27005:2011;ISO/IEC 27006:2007信息技术安全技术信息安全管理体系审核认证机构要求;6868ISO/IEC 27011:2008信息技术安全技术电信机构基于ISO/IEC 27002的信息安全管理指南;ISO 27799:2008健康信息应用ISO/IEC 27002的医疗信息安全管理。696
45、93.ISO/IEC 13335ISO/IEC 13335被称为IT安全管理指南(GMITS,Guidelines for the Management of IT Security),已经在国际社会中开发了很多年。ISO/IEC 13335只是一个技术报告和指导性文件,属于TR(Technical Report)系列,即ISO/IEC TR 13335,它是作为具体实践时的参考,并不是可依据的认证标准,信息安全体系建设则需要参考ISO/IEC 27001:2005和ISO/IEC 27002:2005等。7070ISO/IEC 13335它分为5个部分,从1996年到2001年依次发布,即:
46、ISO/IEC 133351:1996IT安全的概念与模型;ISO/IEC 133352:1997IT安全管理与规划;ISO/IEC 133353:1998IT安全管理技术;ISO/IEC 133354:2000安全措施的选择;ISO/IEC 133355:2001网络安全管理指南。71 71目前,ISO/IEC 13335的新版本信息和通信技术安全管理(ISO/IEC 13335 MICTS)MICTS(Management of Information and Communications Technology Security)已取代GMITS部分内容,例如:已发布的MICTS第1部分信
47、息和通信技术安全管理的概念和模型与第2部分信息和通信技术安全风险管理技术分别取代了ISO/IEC13335-1:1996和ISO/IEC13335-2:1997。72724.美国相关标准美国国家标准技术局(NIST)制定了一系列的信息安全管理相关标准,如SP 800系列、FIPS系列等。始于1990年的SP 800(SP,Special Publications)是美国国家标准与技术研究院(NIST)发布的一系列关于信息安全的技术指南文件,是为了给NIST的信息技术安全出版物提供一个单独的标识,只提供一种供参考的方法或经验,对联邦政府部门不具有强制性。SP 800系列主要关注计算机安全领域的一
48、些热点研究,7373介绍信息技术实验室(ITL,Information Tech.Lab.)在计算机安全方面的指导方针、研究成果以及与工业界、政府、科研机构的协作情况等。目前,NIST SP 800系列已经出版了一百多本同信息安全相关的正式文件,形成了从规划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。虽然NIST SP 800系列并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南。NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料。7474截止2010年底,NIST发布SP 800系列共126篇,例如
49、:SP 800-12计算机安全介绍:NIST手册SP 800-14信息技术系统安全的公认原则与实践SP 800-18IT系统安全计划开发指南SP 800-26IT系统安全自我评估指南SP 800-30IT系统风险管理指南SP 800-37联邦IT系统认证认可指南SP 800-53联邦信息系统推荐安全控制7575SP 800-53A信息安全控制措施评估研究SP 800-60信息和信息类型与安全目标及风险级别对应指南。在SP 800系列中,SP 800-12(1995年1月)和SP 800-14(1996年9月)这两篇文献是SP 800 系列的基础。SP 800-12论述了各种计算机安全控制的好处
50、以及其合理应用的条件。它对计算机安全进行了概括性描述,以帮助读者理解计算机安全需求,并制定出一种选择适当安全控制的良好方法。7676SP 800-14提供了机构用来建立和检查IT安全程序的基线,为机构提供了管理多机构事务以及内部事务所参考的基础。管理者、内部审计员、用户、系统开发者和安全从业人员可通过该文档获得大多数IT系统应包含的基本安全需求。SP 800系列技术指南可以划分为17个族类型,包括访问控制、审计&可核查性、意识&培训、认证认可&安全评估、配置管理、应急规划、标识&鉴别、事件响应、维护、媒体保护、人员安全、物理&环境保护、规划、风险评估、系统&通信保护、系统&信息完整性、系统&服