1、第十章 信息安全的管理o内容提要信息安全的标准与规范信息安全管理标准信息安全策略和管理原则信息安全审计信息安全与政策法规小结思考题第十章 信息安全的管理o信息系统的安全管理目标是管好信息资源安全,信息安全管理是信息系统安全的重要组成部分,管理是保障信息安全的重要环节,是不可或缺的。实际上,大多数安全事件和安全隐患的发生,与其说是技术上的原因,不如说是由于管理不善而造成的。因此说,信息系统的安全是“三分靠技术,七分靠管理”,可见管理的重要性。o信息安全管理贯穿于信息系统规划、设计、建设、运行、维护等各个阶段。安全管理的内容十分广泛。10.1信息安全的标准与规范o10.1.1 信息安全标准的产生和
2、发展o10.1.2 信息安全标准的分类o10.1.3 标准化组织简介10.1.1 信息安全标准的产生和发展o网络已经渗透到各行各业和人们的生活,网络正逐步改变着人们的生产和生活方式。o随之而来的计算机和网络犯罪也不断出现,网络信息安全问题日益突显出来,信息网络的安全一旦遭受破坏,其影响或损失将十分巨大。o信息安全越来越受到重视,世界各大厂商都在推出自己的安全产品。下面几个方面推动了安全标准的发展。1安全产品间互操作性的需要o加密与解密,签名与认证,网络之间安全的互相连接,都需要来自不同厂商的产品能够顺利地进行互操作,统一起来实现一个完整的安全功能。这就导致了一些以“算法”,“协议”形式出现的安
3、全标准。典型的有美国数据加密标准DES(Data Encryption Standard)。2.对安全等级认定的需要o近年来对于安全水平的评价受到了很大的重视,产品的安全性能到底怎么样,网络的安全处于什么样的状态,这些都需要一个统一的评估准则,对安全产品的安全功能和性能进行认定,形成一些“安全等级”,每个安全等级在安全功能和性能上有特定的严格定义,对应着一系列可操作的测评认证手段。例如美国国防部DoD(Department of Defence)在1985年公布了可信赖计算机系统评估准则TCSEC(Trusted Computer System Evaluation Criteria)。3.对
4、服务商能力衡量的需要o现在信息安全已经逐渐成长为一个产业,发展越来越快,以产品提供商和工程承包商为测评对象的标准大行其道,同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及,使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业,比如金融,证券,保险和各种电子商务企业纷纷重视安全问题。因此,针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。10.1.2 信息安全标准的分类o1.互操作标准o现在各种密码、安全技术和协议广泛地应用于Internet,而TCP/IP协议是Internet的基础协议,在四层模型中的每一层都提供了安全协议,整个网络的安
5、全性比原来大大加强。链路层的安全协议有PPTP,L2F等;网络层有IPSec;传输层有SSL/TLS/SOCK5;应用层有SET,S-HTTP,S/MIME,PGP等。1.互操作标准o下面只简单介绍其中的一些安全协议。o(1)IP安全协议标准IPSeco1994年IETF专门成立IP安全协议工作组,并由其制定IPSec。1995年IETF公布了相关的一系列IPSec的建议标准,1996年IETF公布了下一代IP的标准IPv6,IPSec成为其必要的组成部分。1999年底,IETF完成了IPSec的扩展,将下列协议加入了IPSec,ISAKMP(Internet Security Associa
6、tion and Key Management Protocol)协议,密钥分配协议IKE、Oakley。1.互操作标准o(2)传输层加密标准SSL/TLSo1994年Netscape企业开发了安全套接层SSL(Secure socket layer)协议,1996年发布了3.0版本。1997年传输层安全协议TLS1.0(Transport Layer Security,也被称为SSL3.1)发布,1999年IETF发布RFC2246(TLS v1.0)。oSSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传
7、输,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。1.互操作标准o(3)安全电子交易标准SETo安全电子交易协议SET(Secure Electronic Transaction)是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是在Internet上进行在线交易的电子付款系统规范,目前已成为事实上的工业标准。它提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,保证在开放网络环境下使用信用卡进行在线购物的安全。2.技术与工程标准o(1)信息产品通用测评准则(CC/ISO 15408)oI
8、SO/IECl5408 1999信息技术安全性评估准则(简称CC)是国际标准化组织统一现有多种评估准则的努力结果,是在美国和欧洲等国分别自行推出并实践测评准则的基础上,通过相互间的总结和互补发展起来的。oCC的目的是允许用户指定他们的安全需求,允许开发者指定他们产品的安全属性,并且允许评估者决定是否产品确实符合他们的要求。oCC(Common Criteria)标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。2.技术与工程标准o(2)安全系统工程能力成熟度模型(SSE-CMM)o系统安全工程能力成熟模型(SSE-
9、CMM)的开发源于1993年5月美国国家安全局发起的研究工作。这项工作是在用CMM模型研究现有的各种工作时,发现安全工程需要一个特殊的模型与之配套。oSSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程学科应用情况的方法。SSE-CMM项目的目标是将安全工程发展为一整套有定义的、成熟的及可度量的学科。10.1.3 标准化组织简介oISO:国际标准化组织 oInternational Organization for Standardization o国际标准化组织始建于1946年,是世界上最大的非政府性标准化专门机构,它在国际标准化中占主导地位。ISO的主要活动是制定国
10、际标准,协调世界范围内的标准化工作,组织各成员国和技术委员会进行交流,以及与其他国际性组织进行合作,共同研究有关标准问题。随着国际贸易的发展,对国际标准的要求日益提高,ISO的作用也日趋扩大,世界上许多国家对ISO也越加重视。oISO的目的和宗旨是:在世界范围内促进标准化工作的发展,以利于国际物资交流和互助,并扩大在知识、科学、技术和经济方面的合作。10.1.3 标准化组织简介oIEC:国际电工委员会 oInternational Electrotechnical Commission oIEC是世界上成立最早的非政府性国际电工标准化机构,是联合国经社理事会(ECOSOC)的甲级咨询组织。目前
11、IEC成员国包括了大多数的工业发达国家及一部分发展中国家。这些国家拥有世界人口的80%,其生产和消耗的电能占全世界的95%,制造和使用电气、电子产品占全世界产量的90%。oIEC的宗旨:促进电工标准的国际统一,电气、电子工程领域中标准化及有关方面的国际合作,增进国际间的相互了解。10.1.3 标准化组织简介oIEEE:美国电气电子工程师学会 oInstitute of Electrical and Electronics Engineers IEEE于1963年美国电气工程师学会(AIEE)和美国无线电工程师学会(IRE)合并而成,是美国规模最大的专业学会。它由大约十万名从事电气工程、电子和有
12、关领域的专业人员组成,分设10个地区和206个地方分会,设有31个技术委员会。IEEE的标准制定内容有:电气与电子设备、试验方法、原器件、符号、定义以及测试方法等。10.1.3 标准化组织简介oITU:国际电信联盟 oInternational Telecommunication Union 国际电信联盟于1865年5月在巴黎成立,1947年成为联合国的专门机构。ITU是世界各国政府的电信主管部门之间协调电信事务的一个国际组织,它研究制定有关电信业务的规章制度,通过决议提出推荐标准,收集有关情报。ITU的目的和任务是:维持和发展国际合作,以改进和合理利用电信,促进技术设施的发展及其有效运用,以
13、提高电信业务的效率,扩大技术设施的用途,并尽可能使之得到广泛应用,协调各国的活动。10.1.3 标准化组织简介oNBS:美国国家标准局oNational Bureau of Standardso美国国家标准局(现是国家技术标准研究院NIST-National Institute of Standards Technology)属于美国商业部的一个机构,发布销售美国联邦政府的设备的信息处理标准,是ISO和IUT-T的代表。oNBS有4个研究机构:o(1)计量基准研究所;o(2)国家工程研究所;o(3)材料研究所;o(4)计算科学技术中心。oNBS上述4个主要机构的工作大都与标准有关,是美国标准化
14、活动的强大技术后方。它的工作一般以NIST出版物(FIPS PUBs)和 NIST特别出版物(SPEC PUB)等形式发布。10.1.3 标准化组织简介oANSI:美国国家标准学会 oAmerican National Standards Institute o 美国国家标准学会是非赢利性质的民间标准化团体,但它实际上已成为美国国家标准化中心,美国各界标准化活动都围绕它行。通过它,使政府有关系统和民间系统相互配合,起到了政府和民间标准化系统之间的桥梁作用。10.1.3 标准化组织简介oBSI:英国标准学会 oBritish Standards Institution o 英国标准学会(BSI)
15、是世界上最早的全国性标准化机构,它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍,完善自己的工作机构和体制,把标准化和质量管理以及对外贸易紧密结合起来开展工作。oBSI的宗旨是:o (1)为增产节约努力协调生产者和用户之间的关系,促进生产,达到标准化(包括简化)。o (2)制定和修订英国标准,并促进其贯彻执行。o (3)以学会名义,对各种标志进行登记,并颁发许可证。o (4)必要时采取各种行动,保护学会利益。10.1.3 标准化组织简介oDIN:德国标准化学会 oDeutsches Institut fur Normung oDIN是德国的标准化主管机关,作为全国性标准化机构参
16、加国际和区域的非政府性标准化机构。oDIN是一个经注册的私立协会,大约有6000个工业公司和组织为其会员。目前设有123个标准委员会和3655个工作委员会。oDIN于1951年参加国际标准化组织。由DIN和德国电气工程师协会(VDE)联合组成的德国电工委员会(DKE)代表德国参加国际电工委员会。DIN还是欧洲标准化委员会、欧洲电工标准化委员会(CENELEC)和国际标准实践联合会(IFAN)的积极参加国。10.1.3 标准化组织简介oAFNOR:法国标准化协会 oAssociation Francaise de Normalisation o 1926年,法国标准化协会成立。它是一个公益性的民
17、间团体,也是一个被政府承认,为国家服务的组织。1941年5月24日颁布的一项法令确认AFNOR接受法国政府的标准化管理机构标准化专署局领导,按政府指导开展工作,并定期向标准化专员汇报工作。oAFNOR负责标准的制订、修订工作,宣传、出版、发行标准。10.2 信息安全管理标准o10.2.1 BS 7799的发展历程o10.2.2 BS 7799的主要内容o10.2.3 ISO 1333510.2 信息安全管理标准 20世纪80年代末,ISO9000质量管理标准的出现及随后在全世界广泛被推广应用,系统管理的思想在其他管理领域也被借鉴与采用,如后来的ISO14000环境体系管理标准、OHSAS180
18、00职业安全卫生管理体系标准。20世纪90年代,信息安全管理步入了标准化与系统化管理的时代。1995年,英国率先推出了BS 7799信息安全管理标准,并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准。在信息安全管理领域,还有其他一些标准,如澳大利亚的AS/NZS 4360,德国的联邦技术安全局通过2001年7月颁布并不断更新的信息技术基线保护手册(IT Baseline Protection Manual,ITBPM)等。下面只介绍两个国际标准ISO/IEC 17799 和13355,其中重点介绍ISO/IEC 17799(BS 7799)。10.2.1 BS 779
19、9的发展历程oBS 7799 最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。o1995 年,BS 7799-1:1995信息安全管理实施细则首次出版(其前身是1993 年发布的PD0005),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。10.2.1 BS 7799的发展历程o1998 年,BS 7799-2:1998信息安全管理体系规范公布,这是对BS 7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要
20、求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS7799 标准初步成型。o1999 年4 月,BS 7799 的两个部分被重新修订和扩展,形成了一个完整版的BS 7799:1999。10.2.1 BS 7799的发展历程o新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。o由于BS 7799 日益得到国际认同,使用的国家也越来越多,2000 年12 月,国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS 7799-1:1999,正式将其转化为国
21、际标准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。10.2.1 BS 7799的发展历程o作为一个全球通用的标准,ISO/IEC 17799 并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。o2002 年,BSI 对BS 7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显示了与ISO 9001:2000、ISO 14001:1996 等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2
22、004 年9 月5 日,BS 7799-2:2002 正式发布。10.2.2 BS 7799的主要内容oBS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全了安全管理的方法和程序。oBS 7799标准基于风险管理的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护机构的关键信息资产,使安全风险的发生概率和结果降低到可接受的水平。o用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为企业的发展、实施和估量有效的安全管理实践提供参考依据。10.2.2 BS 7799的主要内容oBS7799标准
23、包括两部分:BS7799-1:1999信息安全管理实施细则和BS7799-2:2002信息安全管理体系规范。标准的第一部分为第二部分的具体实施提供了指南。1.BS7799-1 主要内容主要内容oBS7799-1:1999(即ISO/IEC 17799:2000)信息安全管理实施细则是机构建立并实施信息安全管理体系的一个指导性的准则,主要为机构制订信息安全策略和进行有效的信息安全控制提供一个通用的方案。这一部分从10 个方面定义了127 项控制措施,可供信息安全管理体系实施者参考使用。1.BS7799-1 主要内容主要内容o10 个方面是:o(1)安全政策(Security Policy)o目标
24、在于提供管理的方向来保障信息安全。o(2)组织安全(Organization Security)o目标包括组织内信息安全的管理、维持处理组织安全的相关设施与信息资产由一个可靠的第三单位所控管,维持当信息处理程序外包给其他组织时的安全。o(3)资产分类与控制(Asset Classification and Control)o保持对组织资产的恰当的保护,确保信息资产得到适当级别的保护。1.BS7799-1 主要内容主要内容o(4)人员安全(Personnel Security)o减少人为错误、偷窃、欺诈或误用设施带来的风险;确保用户意识到信息安全威胁及利害关系,并在其正常工作当中支持组织的安全策
25、略;减少来自安全事件和故障的损失,监督并从事件中吸取教训。o(5)物理与环境安全(Physical and Environmental Security)o防止进入并非授权访问、破坏和干扰业务运行的安全区边界;防止资产的丢失、损害和破坏,防止业务活动被中断;防止危害或窃取信息及信息处理设施。1.BS7799-1 主要内容主要内容o(6)通信和操作管理(Communication and Operation Management)o确保安全信息处理设备的正确运作;把系统的失误降到最低;保护软件和信息的真确性;维持信息处理与通信的正确性与可用性;确保信息在网络上的保全与保护支持的基础建设;避免对资
26、产的损害与中断企业活动;避免信息在组织间传递时的中断、篡改与误用。1.BS7799-1 主要内容主要内容o(7)访问控制(Access Control)o控制对信息的访问,应该根据业务要求和安全需求对信息访问与业务流程加以控制,还应该考虑信息传播和授权的策略;防止非授权访问信息系统;防止非授权的用户访问;保护网络服务,对内外网络的服务访问都要进行控制。防止非授权的计算机访问,应该使用操作系统级别的安全设施限制对计算机资源的访问;防止非授权访问信息系统中的信息;检测非授权的活动,应该对系统进行监控,检测与访问控制策略不符的情况,将可以监控的事件记录下来,在出现安全事故时作为证据使用;确保使用移动
27、计算和通讯设施时的信息安全。1.BS7799-1 主要内容主要内容o(8)系统开发与维护(System Development and Maintenance)o确保安全内建于信息系统中;避免使用者资料在应用系统中被中断、篡改与误用;保护信息的授权、机密性与真确性;确保所有的IT项目与相关支持活动都在安全的考核下进行;维护应用系统软件与资料的安全。1.BS7799-1 主要内容主要内容o(9)业务连续性管理(Business Continuity Management)企业持续运作规划o减少业务活动的中断,保护关键业务过程;防止关键企业活动受到严重故障或灾害的影响。o(10)符合性(Compl
28、iance)o避免违反任何刑法、民法、法规或者合同义务,以及任何安全要求;确保系统遵循了组织的安全策略和标准;让系统审核过程的效能极大化、影响最小化。o这其中,除了访问控制、系统开发与维护、通信与操作管理这三个方面跟信息安全技术关系更紧密之外,其它7个方面更侧重于组织整体的管理和运营操作,由此也可以看出,信息安全中所谓“三分靠技术、七分靠管理”的思想还是有所依据的。2.BS 7799-2 主要内容主要内容pBS7799-2 是建立信息安全管理系统(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细
29、说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI 最终的认证(对依据BS7799-2建立的ISMS 进行认证),还有一系列相应的注册认证过程。作为一套管理标准,BS7799-2指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理系统(ISMS)。o表9.2.1以标准原文目录格式,列举说明了BS7799-2 的主要内容。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容前言发布者,目的,对旧版本的更新,其他说明。0.简介0.1 概要系的兼容本标准对组织的价值所在。0
30、.2 过程方法对过程方法进行解释,引入PDCA 模型。0.3 与其他管理体强调与ISO9001 和ISO14001 的一致性。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容1.范围1.1 概要本标准规定了ISMS 建设的要求及根据需要实施安全控制的要求。2.标准引用 引用ISO9001、ISO17799 和ISO Guide 73:20023.术语和定义 CIA,信息安全,ISMS,风险评估与管理等。4.信息安全管理体系 4.1 一般要求在组织全面的业务活动和风险环境中,应该开发、实施、维护并持续改进一个文档化的ISMS。2.BS 7799-2 主要内容主要内
31、容一级目录一级目录次级目录次级目录内容内容4.信息安全管理体系 4.2 建立并管理ISMS 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明(SoA)取得管理层对残留风险的承认,并授权实施和操作ISMS2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容4.信息安全管理体系 4.2 建立并管理ISMS 4.2.2 实施和操作ISMS(Do)制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源(参见5.2
32、)实施能够激发安全事件检测和响应的程序和控制2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容4.信息安全管理体系 4.2 建立并管理ISMS 4.2.3 监视和复查ISMS(Check)执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容4.信息安全管理体系 4.2 建立并管理ISMS 4.2.4 维护并改进ISMS(Act)对ISM
33、S 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标 2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容4.信息安全管理体系 4.3 文件要求 4.3.1 概要 说明ISMS 应该包含的文件。4.3.2 对文件的控制 ISMS 所要求的文件应该妥善保护和控制。4.3.3 对记录的控制 应该建立并维护记录。5.管理层责任 5.1 管理层责任说明管理层在ISMS 建设过程中应该承担的责任。5.2 对资源的管理5.2.1 资源提供 组织应该确定并提供ISMS 相关所有活动必要的资源2.BS 7799-2 主要内容主要内容一级目录
34、一级目录次级目录次级目录内容内容5.管理层责任 5.2 对资源的管理5.2.2 培训、意识和能力 通过培训,组织应该确保所有在ISMS 中承担责任的人能够胜任其职 6.ISMS 管理复审6.1 概要管理层应该对组织的ISMS 定期进行复审,确保其持续适宜、充分和有效。6.2 复审输入复审时需要的输入资料,包括内审结果。6.3 复审输出复审成果,应该包含任何决策及相关行动。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容6.ISMS 管理复审6.4 内部ISMS 审计组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程序满足相关要求。7.ISMS
35、改进 7.1 持续改进组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS 的效力。7.2 纠正措施组织应该采取措施,消除并实施和操作ISMS 相关的不一致因素,避免其再次出现2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容7.ISMS 改进 7.3 预防措施为了防止将来出现不一致,应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。附录A控制目标和控制A.1 简介A.2 实施细则指南A.3 到A.12 所列的控制目标和控制,是直接从ISO/IEC 17799:2000 正文3 到12 那里引用过
36、来的 A.3 安全策略A.4 组织安全A.5 资产分类和控制A.6 人员安全此处列举的控制目标和控制,应该被4.2.1 规定的ISMS 过程所选择。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容附录A控制目标和控制A.7 物理和环境安全A.8 通信和操作管理A.9 访问控制A.10 系统开发和维护A.11 业务连续性管理A.12 符合性 此处列举的控制目标和控制,应该被4.2.1 规定的ISMS 过程所选择。附录B标准使用指南B.1 综述对PDCA 模型的解释。B.2 计划阶段(Plan)详细描述计划阶段要做的工作,包括制定策略、范围确定、风险评估、风险处理计
37、划等。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容附录B标准使用指南B.3 实施阶段(Do)详细描述实施阶段要做的工作,包括培训和意识、风险处理。B.4 检查阶段(Check)详细描述检查阶段要做的工作,包括例行检查、自检程序、从他处了解、ISMS 内审、管理复审、趋势分析等。B.5 措施阶段(Action)详细描述措施阶段要做的工作,包括对不符合项的定义、纠正和预防措施、OECD 原则与BS7799-2:2002 的对比。2.BS 7799-2 主要内容主要内容一级目录一级目录次级目录次级目录内容内容附录CBS EN ISO 9001:2000,BS EN
38、 ISO 14001:1996和BS 7799-2:2002 之间的一致性以列表方式展示BS7799-2 与ISO9001、ISO14001目录(内容)的一致性。附录D内部编号的变化以列表方式展示BS7799-2:2002 对BS7799-2:1999的更新和改进。2.BS 7799-2 主要内容主要内容oBS7799-2 提出的信息安全管理体系(ISMS)是一个系统化、程序化和文档化的管理体系。oBS7799-2 标准指出ISMS 应该包含这些内容:用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。oBS779
39、9-2 标准要求的建立ISMS 框架的过程:制定信息安全策略,确定体系范围,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系的有效性。oBS7799-2 非常强调信息安全管理过程中文件化的工作,ISMS 的文件体系应该包括安全策略、适用性声明文件(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS 管理和操作程序,以及组织围绕ISMS 开展的所有活动的证明材料。10.2.3 ISO 13335o早在1996年国际标准化机构就在信息安全管理方面开始制定信息技术信息安全管理指南(ISO/IEC 13335),它分成
40、5个部分,已经在国际社会中开发了很多年。5个部分组成分别如下:o1.ISO/IEC13335-1:1996信息安全的概念与模型o该部分包括了对信息安全和安全管理的一些基本概念和模型的介绍。o2.ISO/IEC13335-2:1997信息安全管理和计划制定o这个部分建议性地描述了信息安全管理和计划的方式和要点,包括:o 决定信息安全目标、战略和策略;o 决定组织信息安全需求;o 管理信息安全风险;o 计划适当信息安全防护措施的实施;o 开发安全教育计划;o 策划跟进的程序,如监控、复查和维护安全服务;o 开发事件处理计划。10.2.3 ISO 13335o3.ISO/IEC13335-3:199
41、8信息安全管理技术o这个部分覆盖了风险管理技术、信息安全计划的开发以及实施和测试,还包括一些后续的制度审查、事件分析、信息安全教育程序等。o4.ISO/IEC13335-4:2000安全措施的选择o主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施(不仅仅包括技术措施)。o5.ISO/IEC13335-5:2001网络安全管理指南o这部分主要描述了网络安全的管理原则以及各组织如何建立框架以保护和管理信息技术体系的安全性。这一部分将有助于防止网络攻击,把使用信息系统和网络的危险性降到最低。10.3 信息安全策略和管理原则o10.3.1 信息安全策略o10.3.2 安全管理原则o10.3.
42、3 信息安全周期10.3.1 信息安全策略o信息系统的安全策略是为了保障在规定级别下的系统安全而制定和必须遵守的一系列准则和规定,它考虑到入侵者可能发起的任何攻击,以及为使系统免遭入侵和破坏而必然采取的措施。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。o不同组织机构开发的信息系统在结构、功能、目标等方面存在着巨大的差别。因而,对于不同的信息系统必须采取不同的安全措施,同时还要考虑到保护信息的成本、被保护信息的价值和使用的方便性之间的平衡。10.3.1 信息安全策略o一般地,信息的安全策略的制定要遵循以下几方面:o(1)选择先进的网络安全技术o先进的网络安全技术
43、是网络安全的根本保证。用户应首先对安全风险进行评估,选择合适的安全服务种类及安全机制,然后融合先进的安全技术,形成一个全方位的安全体系。10.3.1 信息安全策略o(2)进行严格的安全管理o根据安全目标,建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识。o(3)遵循完整一致性o一套安全策略系统代表了系统安全的总体目标,贯穿于整个安全管理的始终。它应该包括组织安全,人员安全,资产安全,物理与环境安全等内容。10.3.1 信息安全策略o(4)坚持动态性o由于入侵者对网络的攻击在时间和地域上具有不确定性,因此信
44、息安全是动态的,具有时间性和空间性,所以信息安全策略也应该是动态的,并且要随着技术的发展和组织内外环节的变化而变化。o(5)实行最小化授权o任何实体只有该主体需要完成其被指定任务所必须的特权,再没有更多的特权,对每种信息资源进行使用权限分割,确定每个授权用户的职责范围,阻止越权利用资源行为和阻止越权操作行为,这样可以尽量避免信息系统资源被非法入侵,减少损失。10.3.1 信息安全策略o(6)实施全面防御o建立起完备的防御体系,通过多层次机制相互提供必要的冗余和备份,通过使用不同类型的系统、不同等级的系统获得多样化的防御。若配置的系统单一,那么一个系统被入侵,其它的也就不安全了。要求员工普遍参与
45、网络安全工作,提高安全意识,集思广益,把网络系统设计得更加完善。o(7)建立控制点o在网络对外连接通道上建立控制点,对网络进行监控。实际应用当中在网络系统上建立防火墙,阻止从公共网络对本站点侵袭,防火墙就是控制点。如果攻击者能绕过防火墙(控制点)对网络进行攻击,那么将会给网络带来极大的威胁,因此,网络系统一定不能有失控的对外连接通道。10.3.1 信息安全策略o(8)监测薄弱环节o对系统安全来说,任何网络系统中总存在薄弱环节,这常成为入侵者首要攻击的目标。系统管理人员全面评价系统的各个环节,确认系统各单元的安全隐患,并改善薄弱环节,尽可能地消除隐患,同时也要监测那些无法消除的缺陷,掌握其安全态
46、势,必须报告系统受到的攻击,及时发现系统漏洞并采取改进措施。增强对攻击事件的应变能力,及时发现攻击行为,跟踪并追究攻击者。o(9)失效保护o一旦系统运行错误,发生故障时,必须拒绝入侵者的访问,更不能允许入侵者跨入内部网络。10.3.2 安全管理原则 机构和部门的信息安全是保障信息安全的重要环节,为了实现安全的管理应该具备以下“四有”:o 有专门的安全管理机构;o 有专门的安全管理人员;o 有逐步完善的安全管理制度;o 有逐步提高的安全技术设施。10.3.2 安全管理原则 信息安全管理涉及如下基本方面:o 人事管理;o 设备管理;o 场地管理;o 存储媒体管理;o 软件管理;o 网络管理;o 密
47、码和密钥管理等。信息安全管理要遵循的基本原则o(1)规范原则o信息系统的规划、设计、实现、运行要有安全规范要求,要根据本机构或部门的安全要求制定相应的安全政策。即便是最完善的政策,也应根据需要选择、采用必要的安全功能,选用必要的安全设备,不应盲目开发、自由设计、违章操作、无人管理。o(2)预防原则o在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度,以预防为主的指导思想对待信息安全问题,不能心存侥幸。信息安全管理要遵循的基本原则o(3)立足国内原则o安全技术和设备首先要立足国内,不能未经许可,未能消化改造直接应用境外的安全保密技术和设备。o(4)选用成熟技术原则
48、o成熟的技术提供可靠的安全保证,采用新的技术时要重视其成熟的程度。o(5)重视实效原则o不应盲目追求一时难以实现或投资过大的目标,应使投入与所需要的安全功能相适应。信息安全管理要遵循的基本原则o(6)系统化原则o要有系统工程的思想,前期的投入和建设与后期的提高要求要匹配和衔接,以便能够不断扩展安全功能,保护已有投资。o(7)均衡防护原则o人们经常用木桶装水来形象的比喻应当注意安全防护的均衡性,箍桶的木板中只要有一块短板,水就会从那里泄漏出来。设置的安全防护中要注意是否存在薄弱环节。信息安全管理要遵循的基本原则o(8)分权制衡原则o重要环节的安全管理要采取分权制衡的原则,要害部位的管理权限如果只
49、交给一个人管理,一旦出问题就将全线崩溃。分权可以相互制约,提高安全性。o(9)应急原则o安全防护不怕一万就怕万一,因此要有安全管理的应急响应预案,并且要进行必要的演练,一旦出现相关的问题马上采取对应的措施。o(10)灾难恢复原则o越是重要的信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统的数据一致性。一旦遇到灾难,立即启动备份系统,保证系统的连接工作。10.3.3 信息安全周期o任何安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。信息安全过程如图所示。10.4 信息安全审计o10.4.1
50、 安全审计原理o10.4.2 安全审计目的o10.4.3 安全审计功能o10.4.4 安全审计系统的特点o10.4.5 安全审计分类和过程10.4.1 安全审计原理o为了保证信息系统安全可靠的运行,从总体上说,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。10.4.2 安全审计目的o安全审计系统是事前控制人员或设备的访问行为,并能在事后获得直接电子证据,防止行为抵赖的系统,因此审计系统把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用。它包括:o辅助辨识和分析
