1、概 述概概 述述 信息安全学是一门新兴的学科,信息安全学是一门新兴的学科,2019年年成为一门正式的本科专业,目前已经成为很多成为一门正式的本科专业,目前已经成为很多科研机构和大专院校的一个重要研究领域。科研机构和大专院校的一个重要研究领域。信息安全管理是随信息安全学科发展而信息安全管理是随信息安全学科发展而产生的新的研究方向,主要讨论信息安全管理产生的新的研究方向,主要讨论信息安全管理的内涵、内容、体系、实施过程以及信息安全的内涵、内容、体系、实施过程以及信息安全管理相关的法规和标准。使得我们能够拟定简管理相关的法规和标准。使得我们能够拟定简单的信息安全管理解决方案,应用信息安全管单的信息安
2、全管理解决方案,应用信息安全管理手段构建简单的信息安全管理体系,解决实理手段构建简单的信息安全管理体系,解决实际安全问题。际安全问题。参考图书参考图书信息安全概论信息安全概论 李俊宇,人民邮电出李俊宇,人民邮电出版社,版社,2019.8。信息安全管理平台理论与实践信息安全管理平台理论与实践,王代,王代潮等,机械工业出版社,潮等,机械工业出版社,2019年。年。信息安全管理信息安全管理,Michael E.Whitman 等,重庆大学出版社,等,重庆大学出版社,2019.3。密码学原理与实践(第二版)密码学原理与实践(第二版)Douglas R.Stinson,电子工业出版社,电子工业出版社,2
3、019.2。1.1 信息安全信息安全1、信息安全的定义、信息安全的定义 信息安全(信息安全(InfoSec)就是保护信息及其关键要素,包)就是保护信息及其关键要素,包括使用、存储以及传输信息的系统和硬件。(括使用、存储以及传输信息的系统和硬件。(基于美国国家安基于美国国家安全系统委员会(全系统委员会(CNSS,Committee onNationalSecurity Systems)发布的标准。该委员会以前被称为国家安全通信以)发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会(及信息系统安全委员会(NSTISSC,NationalSecurity Telecommunicati
4、ons and InformationSystemsSecurity Committee)。)。)2、信息安全的范围、信息安全的范围 p信息安全管理(本学科)信息安全管理(本学科)p计算机与数据安全计算机与数据安全p网络安全。网络安全。1.1 信息安全信息安全信息安全的核心内容是有关信息安全信息安全的核心内容是有关信息安全的策略的策略。1.1 信息安全信息安全3、NSTISSC 安全模型安全模型NSTISSC 安全模型,阐明了讨论信息安全问题的安全模型,阐明了讨论信息安全问题的 3 维维空间。如果我们将由这空间。如果我们将由这 3 个坐标轴所描绘的三维空间中的关个坐标轴所描绘的三维空间中的关系
5、扩展开来,最终会得到一个被分割成系扩展开来,最终会得到一个被分割成 27 部分的部分的 3 3 3 立方体。每一个被分割出来的立方体,都代表着三维空间中立方体。每一个被分割出来的立方体,都代表着三维空间中的一个交集,是信息系统安全问题所必须处理的。的一个交集,是信息系统安全问题所必须处理的。(举例:表示技术、完整性以及存储的交集区域(举例:表示技术、完整性以及存储的交集区域)1.1 信息安全信息安全4、信息安全的、信息安全的3种特性种特性p机密性(机密性(confidentiality)p完整性(完整性(integrity)p可用性可用性(availability)机密性机密性信息的机密性确保
6、了只有那些有足够权限并且经证实有信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人,才能够访问该信息。为了保护信息的机密性,这个需要的人,才能够访问该信息。为了保护信息的机密性,我们采取了一系列措施,包括:我们采取了一系列措施,包括:p信息分类信息分类p确保文档存储安全确保文档存储安全p运用一般的安全策略运用一般的安全策略p对信息所有者和终端用户进行教育对信息所有者和终端用户进行教育p使用密码技术使用密码技术1.1 信息安全信息安全完整性完整性完整性即指整体性(完整性即指整体性(whole)、完全性()、完全性(complete)以)以及未受侵蚀(及未受侵蚀(uncorrupted)
7、的特性或状态。一方面它指在信)的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误;另一息使用、传输、存储的过程中不发生篡改、丢失、错误;另一方面是指信息处理方法的正确性(执行不正当的操作可能造成方面是指信息处理方法的正确性(执行不正当的操作可能造成重要文件的丢失,甚至整个系统的瘫痪)。重要文件的丢失,甚至整个系统的瘫痪)。当信息受到侵蚀(当信息受到侵蚀(corruption)、损坏()、损坏(damage)、)、毁坏(毁坏(destruction)或其他干扰时,信息的完整性受到极大)或其他干扰时,信息的完整性受到极大威胁。不当的编程甚至是传输信道或传输介质上的噪声都会
8、使威胁。不当的编程甚至是传输信道或传输介质上的噪声都会使数据完整性受到损坏。数据完整性受到损坏。可用性可用性可用性也是信息的一种特性,在信息处于可用状态时,可用性也是信息的一种特性,在信息处于可用状态时,信息及相关的信息资产在授权人需要的时候可以立即获得。信息及相关的信息资产在授权人需要的时候可以立即获得。1.2 管理的基本概念管理的基本概念1 1、什么是管理、什么是管理孔茨:管理就是设计和保持一种良好环境,使人在群体里孔茨:管理就是设计和保持一种良好环境,使人在群体里高效率地完成既定目标。(高效率地完成既定目标。()彼得彼得F德鲁克:归根到底,管理是一种实践,其本质不在德鲁克:归根到底,管理
9、是一种实践,其本质不在于于“知知”而在于而在于“行行”,其验证不在于逻辑,而在于成果;其,其验证不在于逻辑,而在于成果;其唯一权威就是成就。(唯一权威就是成就。()法约尔:管理是所有的人类组织(不论是家庭、企业或政法约尔:管理是所有的人类组织(不论是家庭、企业或政府)都有的一种活动,这种活动由五项要素组成:计划、组织、府)都有的一种活动,这种活动由五项要素组成:计划、组织、指挥、协调和控制。管理就是实行计划、组织、指挥、协调和指挥、协调和控制。管理就是实行计划、组织、指挥、协调和控制。(控制。(管理是一个由计划、组织、人事、领导和控制组成的管理是一个由计划、组织、人事、领导和控制组成的完整的过
10、程完整的过程)1.2 管理的基本概念管理的基本概念2、管理活动的五个基本要素:、管理活动的五个基本要素:谁来管:谁来管:管理主体,回答由谁管的问题;管理主体,回答由谁管的问题;管什么:管什么:管理客体,回答管什么的问题;管理客体,回答管什么的问题;怎么管:怎么管:组织的目的要求,回答如何管的问题;组织的目的要求,回答如何管的问题;靠什么管:靠什么管:组织环境或条件,回答在什么情况下管的问题。组织环境或条件,回答在什么情况下管的问题。管得怎么样:管得怎么样:管理能力和效果,回答管理成效问题。管理能力和效果,回答管理成效问题。1.3 信息安全管理的内涵信息安全管理的内涵1、1.3 信息安全管理的内
11、涵信息安全管理的内涵p安全方针和策略安全方针和策略p组织安全组织安全p资产分类与控制资产分类与控制p人员安全人员安全p物理与环境安全物理与环境安全p通信、运行与操作安全通信、运行与操作安全p访问控制访问控制p系统获取、开发与维护系统获取、开发与维护p安全事故管理安全事故管理p业务持续性业务持续性p符合性符合性1.4 信息安全管理的原则信息安全管理的原则 1.4 信息安全管理的原则信息安全管理的原则 1.4 信息安全管理的原则信息安全管理的原则2、策略、策略一个组织指导员工行为的一套准则称为策略。信息安全一个组织指导员工行为的一套准则称为策略。信息安全中一般有中一般有 3 种策略:种策略:企业信
12、息安全策略企业信息安全策略(Enterprise information security policy):它为信息安全部门定下了基调,并):它为信息安全部门定下了基调,并确定整个机构信确定整个机构信息安全的大环境。息安全的大环境。该策略是顺应该策略是顺应 IT 战略性计划而开发的,一战略性计划而开发的,一般由首席信息安全官草拟,再由首席信息官或首席执行官支持般由首席信息安全官草拟,再由首席信息官或首席执行官支持和签署通过。和签署通过。基于问题的安全策略基于问题的安全策略(An issue-specific security policy):在):在使用特定的技术时(如电子邮件、因特网)所定使
13、用特定的技术时(如电子邮件、因特网)所定义的可被接受的行为规则。义的可被接受的行为规则。基于系统的策略基于系统的策略(System-specific policies):它实):它实际上是际上是采用技术或管理措施来控制设备的配置采用技术或管理措施来控制设备的配置。例如,访问控。例如,访问控制列表就是这种策略,它定义了对某个特殊设备的访问权限。制列表就是这种策略,它定义了对某个特殊设备的访问权限。1.4 信息安全管理的原则信息安全管理的原则3、项目、项目项目是信息安全中的一个活动或一项工作,人们把它们项目是信息安全中的一个活动或一项工作,人们把它们当作单独的实体来管理。当作单独的实体来管理。安全
14、教育培训及意识提升安全教育培训及意识提升项目(项目(SETA)就是这样的一)就是这样的一个实体,它旨在为员工提供关键信息以提高或巩固他们当前的个实体,它旨在为员工提供关键信息以提高或巩固他们当前的安全知识水平。安全知识水平。其他项目如其他项目如物理安全项目物理安全项目,它包括处理火、物理通道、,它包括处理火、物理通道、大门、保卫等等问题。大门、保卫等等问题。每个机构可能有一个或更多的安全项目。每个机构可能有一个或更多的安全项目。1.4 信息安全管理的原则信息安全管理的原则4、保护、保护保护功能由一系列风险管理活动来实现,保护功能由一系列风险管理活动来实现,包括风险评估包括风险评估和控制,也包括
15、保护机制、技术和工具。和控制,也包括保护机制、技术和工具。每种机制代表了在整每种机制代表了在整个信息安全计划中某些方面的具体控制管理。个信息安全计划中某些方面的具体控制管理。5、人员、人员人是信息安全项目中最重要的环节。人是信息安全项目中最重要的环节。管理者必须牢固确管理者必须牢固确立人在信息安全项目中所充当角色的重要性。立人在信息安全项目中所充当角色的重要性。这方面包括安全这方面包括安全的个人化和个人的安全化,也包括在前面提到的的个人化和个人的安全化,也包括在前面提到的“安全教育培安全教育培训及意识提升项目训及意识提升项目”。1.4 信息安全管理的原则信息安全管理的原则6、项目管理、项目管理
16、最后是把整个项目管理原则运用到信息安全项目的所有最后是把整个项目管理原则运用到信息安全项目的所有过程当中去。过程当中去。不管是推出一种新的安全培训项目或者是选取并实施一不管是推出一种新的安全培训项目或者是选取并实施一种新的防火墙,把这个过程作为一个项目来对待是非常重要的。种新的防火墙,把这个过程作为一个项目来对待是非常重要的。这些工作包括验证和控制项目所使用的资源,也包括测量工作这些工作包括验证和控制项目所使用的资源,也包括测量工作进度和根据总体目标来调整进度。进度和根据总体目标来调整进度。1.5 信息安全管理的重要性信息安全管理的重要性1、安全威胁、安全威胁p内部p操作系统的脆弱性p计算机系
17、统的脆弱性p协议安全的脆弱性p数据库管理系统安全的脆弱性p人为的因素p外部1.5 信息安全管理的重要性信息安全管理的重要性1.5 信息安全管理的重要性信息安全管理的重要性1.5 信息安全管理的重要性信息安全管理的重要性1.5 信息安全管理的重要性信息安全管理的重要性1.6 信息安全管理的国内外现状信息安全管理的国内外现状p制订信息安全发展战略和计划;p加强信息安全立法,实现统一和规范管理;p步入标准化与系统化管理时代。1.6 信息安全管理的国内外现状信息安全管理的国内外现状 宏观方面宏观方面法律法规问题;法律法规问题;管理问题;管理问题;国家信息基础设国家信息基础设施建设问题。施建设问题。微观
18、方面微观方面缺乏安全意识缺乏安全意识与方针;与方针;重技术,轻管重技术,轻管理;理;缺乏系统管理缺乏系统管理的思想。的思想。1.7 信息安全管理相关标准信息安全管理相关标准1、国际标准、国际标准p信息安全管理体系标准(信息安全管理体系标准(BS7799)pIT基础设施库(基础设施库(ITIL)p信息和相关技术控制目标(信息和相关技术控制目标(COBIT)pIT安全管理指南(安全管理指南(ISO 13335)p系统安全工程能力成熟度模型(系统安全工程能力成熟度模型(SSE-CMM)2 2、国内标准国内标准pGB17895-2019计算机信息系统安全保护等级划分准计算机信息系统安全保护等级划分准则
19、则p2019年制定了国家标准年制定了国家标准GB/T 18336信息技术安全性信息技术安全性评估准则评估准则p2019年年4月月15日全国信息安全标准化技术委员会在北京日全国信息安全标准化技术委员会在北京正式成立正式成立 p2019年年7月公安部根据月公安部根据GB17895-2019制定了计算机信制定了计算机信息系统安全等级保护技术要求系列标准息系统安全等级保护技术要求系列标准1.7 信息安全管理相关标准信息安全管理相关标准3、BS 7799安全体系简介安全体系简介 pBS 7799是信息安全管理领域的一个权威标准,是全球是信息安全管理领域的一个权威标准,是全球一致公认的辅助信息安全治理的手
20、段,该标准的最大意义一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可就在于它给管理层一整套可“量体裁衣量体裁衣”的信息安全管理的信息安全管理要项要项pBS 7799主要提供了有效地实施主要提供了有效地实施IT安全管理的建议,介安全管理的建议,介绍了安全管理的方法和程序。绍了安全管理的方法和程序。p该标准是由英国标准协会(该标准是由英国标准协会(BSI)制定,是目前英国最通)制定,是目前英国最通用的标准。用的标准。pBS 7799信息安全管理体系标准强调风险管理的思想。信息安全管理体系标准强调风险管理的思想。以以BS 7799:2019为例,该标准主要由两大部分组成:为例,该标准主要由两大部分组成:BS 7799-1:2019以及以及BS 7799-2:2019。1.7 信息安全管理相关标准信息安全管理相关标准 1.7 信息安全管理相关标准信息安全管理相关标准