信息安全管理

第10章信息安全管理主要内容10.1概述10.2信息安全风险管理10.3信息安全标准10.4信息安全法律法规及道德规范10.1概述•当今社会已经进入到信息化社会，其信息安全是建立在信息社会的基础设施及信息服务系统之间的互联、互通、互操作意义上的安全需求上。•安全需求可以分为安全技术需求和安全管理需求两个方面。•管理在信息安全中的重要性高于安全技术层面，“三分技术，七分管理”的理念在业界中已经得到共识。信息安全管理体系ISMS•信息安全管理体系ISMS（InformationSecurityManagementSystem）是从管理学惯用的过程模型PDCA（Plan、Do、Check、Act）发展演化而来。ISMS•信息安全管理体系（ISMS）是一个系统化、过程化的管理体系，体系的建立不可能一蹴而就，需要全面、系统、科学的风险评估、制度保证和有效监督机制。•ISMS应该体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程的动态调整，从而确保整个安全体系在有效管理控制下，不断改进完善以适应新的安全需求。•在建立信息安全管理体系的各环节中，安全需求的提出是ISMS的前提，运作实施、监视评审和维护改进是重要步骤，而可管理的信息安全是最终的目标。•在各环节中，风险评估管理、标准规范管理以及制度法规管理这三项工作直接影到响整个信息安全管理体系是否能够有效实行，因此也具有非常重要的地位。风险评估•风险评估（RiskAssessment）是指对信息资产所面临的威胁、存在的弱点、可能导致的安全事件以及三者综合作用所带来的风险进行评估。•作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要手段。•风险评估管理就是指在信息安全管理体系的各环节中，合理地利用风险评估技术对信息系统及资产进行安全性分析及风险管理，为规划设计完善信息安全解决方案提供基础资料，属于信息安全管理体系的规划环节。标准规范管理•标准规范管理可理解为在规划实施信息安全解决方案时，各项工作遵循国际或国家相关标准规范，有完善的检查机制。•国际标准可以分为互操作标准、技术与工程标准、信息安全管理与控制标准三类。–互操作标准主要是非标准组织研发的算法和协议经过自发的选择过程，成为了所谓的“事实标准”，如AES、RSA、SSL以及通用脆弱性描述标准CVE等。–技术与工程标准主要指由标准化组织制定的用于规范信息安全产品、技术和工程的标准，如信息产品通用评测准则（ISO15408）、安全系统工程能力成熟度模型（SSE-CMM）、美国信息安全白皮书（TCSEC）等。–信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信息安全解决方案实施过程的标准规范，如信息安全管理体系标准（BS-7799）、信息安全管理标准（ISO13335）以及信息和相关技术控制目标（COBIT）等。制度法规管理•制度法规管理是指宣传国家及各部门制定的相关制度法规，并监督有关人员是否遵守这些制度法规。•每个组织部门（如企事业单位、公司以及各种团体等）都有信息安全规章制度，有关人员严格遵守这些规章制度对于一个组织部门的信息安全来说十分重要，而完善的规章制度和建全的监管机制更是必不可少。•除了有关的组织部门自己制定的相关规章制度之外，国家的有关信息安全法律法规更是有关人员需要遵守的。–目前在计算机系统、互联网以及其它信息领域中，国家均制定了相关法律法规进行约束管理，如果触犯，势必受到相应的惩罚。立法现状•根据英国学者巴雷特的归纳，各国对计算机犯罪的立法，主要采取了两种方案，–一种是制定计算机犯罪的专项立法，如美国、英国等；–一种是通过修订法典，增加规定有关计算机犯罪的内容，如法国、俄罗斯等。•目前我国现行法律法规中，与信息安全有关的已有近百部，–涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域，初步形成了我国信息安全的法律体系。道德规范•道德规范也是信息领域从业人员及广大用户应该遵守的。–包括计算机从业人员道德规范、网络用户道德规范以及服务商道德规范等。•信息安全道德规范的基本出发点–是一切个人信息行为必须服从于信息社会的整体利益，即个体利益服从整体利益；–对于运营商来说，信息网络的规划和运行应以服务于社会成员整体为目的。10.2信息安全风险管理•信息安全风险管理是信息安全管理的重要部分–是规划、建设、实施及完善信息安全管理体系的基础和主要目标–其核心内容包括风险评估和风险控制两个部分。•风险管理的概念来源于商业领域，主要指对商业行为或目的投资的风险进行分析、评估与管理，力求以最小的风险获得最大的收益。10.2.1风险评估•风险评估主要包括风险分析和风险评价–风险分析是指全面地识别风险来源及类型；–风险评价是指依据风险标准估算风险水平，确定风险的严重性。–一般认为，与信息安全风险有关的因素主要包括威胁、脆弱性、资产、安全控制等。•资产（Assets）是指对组织具有价值的信息资源，是安全策略保护的对象。•威胁（Threat）主要指可能导致资产或组织受到损害的安全事件的潜在因素。•脆弱性（Vulnerability）一般指资产中存在的可能被潜在威胁所利用的缺陷或薄弱点，如操作系统漏洞等。•安全控制（SecurityControl）是指用于消除或减低安全风险所采取的某种安全行为，包括措施、程序及机制等。信息安全风险因素及相互关系风险描述•风险可以描述成关于威胁发生概率和发生时的破坏程度的函数，用数学符号描述如下：•由于某组织部门可能存在很多资产和相应的脆弱性，故该组织的资产总风险可以描述如下：•上述关于风险的数学表达式，只是给出了风险评估的概念性描述，)()(),,(iiiiiiTFTPVTAR)()(),,(11iniiniiTFTPVTARR总风险评估的任务一.识别组织面临的各种风险，了解总体的安全状况；二.分析计算风险概率，预估可能带来的负面影响；三.评价组织承受风险的能力，确定各项安全建设的优先等级；四.推荐风险控制策略，为安全需求提供依据。•风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务等。常见的风险评估方法•基线评估（BaselineAssessment）–就是有关组织根据其实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（将现有的安全措施与安全基线规定的措施进行比较，计算之间的差距），得出基本的安全需求，给出风险控制方案。–所谓的基线就是在诸多标准规范中确定的一组安全控制措施或者惯例，这些措施和惯例可以满足特定环境下的信息系统的基本安全需求，使信息系统达到一定的安全防护水平。–组织可以采用国际标准和国家标准（如BS7799-1、ISO13335-4）、行业标准或推荐（例如德国联邦安全局IT基线保护手册）以及来自其他具有相似商务目标和规模的组织的惯例作为安全基线。–基线评估的优点是需要的资源少、周期短、操作简单，是经济有效的风险评估途径。缺点，比如基线水准的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到所需的安全要求。详细评估DetailedAssessment•指组织对信息资产进行详细识别和评价，对可能引起风险的威胁和脆弱性进行充分地评估，根据全面系统的风险评估结果来确定安全需求及控制方案。–这种评估途径集中体现了风险管理的思想，全面系统地评估资产风险，在充分了解信息安全具体情况下，力争将风险降低到可接受的水平。–详细评估的优点在于组织可以通过详细的风险评估对信息安全风险有较全面的认识，能够准确确定目前的安全水平和安全需求。–详细的风险评估可能是一个非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息资产范围，以减少工作量。组合评估•组合评估要求首先对所有的系统进行一次初步的风险评估，依据各信息资产的实际价值和可能面临的风险，划分出不同的评估范围，对于具有较高重要性的资产部分采取详细风险评估，而其它部分采用基线风险评估。–组合评估将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被优先关注。–组合评估的缺点是如果初步的高级风险评估不够准确，可能导致某些本需要详细评估的系统被忽略。10.2.2风险控制•风险控制是信息安全风险管理在风险评估完成之后的另一项重要工作•任务是对风险评估结论及建议中的各项安全措施进行分析评估，确定优先级以及具体实施的步骤。•风险控制的目标是将安全风险降低到一个可接受的范围内，–消除所有风险往往是不切实际的，甚至也是近乎不可能的，–安全管理人员有责任运用最小成本来实现最合适的控制，使潜在安全风险对该组织造成的负面影响最小化。风险控制手段•风险承受是指运行的信息系统具有良好的健壮性，可以接受潜在的风险并稳定运行，或采取简单的安全措施，就可以把风险降低到一个可接受的级别。•风险规避是指通过消除风险出现的必要条件（如识别出风险后，放弃系统某项功能或关闭系统）来规避风险。•风险转移是指通过使用其它措施来补偿损失，从而转移风险，如购买保险等。安全风险系统判断过程风险控制具体做法•当存在系统脆弱性时，减少或修补系统脆弱性，降低脆弱性被攻击利用的可能性；•当系统脆弱性可利用时，运用层次化保护、结构化设计以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度；•当攻击成本小于攻击可能的获利时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机，如加强访问控制，限制系统用户的访问对象和行为，降低攻击获利；•当风险预期损失较大时，优化系统设计、加强容错容灾以及运用非技术类保护措施来限制攻击的范围，从而将风险降低到可接受范围。具体的风险控制措施类别措施属性技术类身份认证技术加密技术防火墙技术入侵检测技术系统审计蜜罐、蜜网技术预防性预防性预防性检查性检查性纠正性运营类物理访问控制，如重要设备使用授权等；容灾、容侵，如系统备份、数据备份等；物理安全检测技术，防盗技术、防火技术等；预防性预防性检查性管理类责任分配权限管理安全培训人员控制定期安全审计预防性预防性预防性预防性检查性NISTSP800系列标准•第一步对实施控制措施的优先级进行排序，分配资源时，对标有不可接受的高等级的风险项应该给予较高的优先级；•第二步评估所建议的安全选项，风险评估结论中建议的控制措施对于具体的单位及其信息系统可能不是最适合或最可行的，因此要对所建议的控制措施的可行性和有效性进行分析，选择出最适当的控制措施；•第三步进行成本效益分析，为决策管理层提供风险控制措施的成本效益分析报告；•第四步在成本效益分析的基础上，确定即将实施的成本有效性最好的安全措施；•第五步遴选出那些拥有合适的专长和技能，可实现所选控制措施的人员（内部人员或外部合同商），并赋以相应责任；•第六步制定控制措施的实现计划，计划内容主要包括风险评估报告给出的风险、风险级别以及所建议的安全措施，实施控制的优先级队列、预期安全控制列表、实现预期安全控制时所需的资源、负责人员清单、开始日期、完成日期以及维护要求等；•第七步分析计算出残余风险，风险控制可以降低风险级别，但不会根除风险，因此安全措施实施后仍然存在的残余风险。10.3信息安全标准•互操作、技术与工程、信息安全管理与控制三类标准–技术与工程标准最多也最详细，它们有效地推动了信息安全产品的开发及国际化，如CC、SSE-CMM等标准。–互操作标准多数为所谓的“事实标准”，这些标准对信息安全领域的发展同样做出了巨大的贡献，如RSA、DES、CVE等标准。–信息安全管理与控制标准的意义在于可以更具体有效地指导信息安全具体实践，其中BS7799就是这类标准的代表，其卓越成绩也已得到业界共识。重要标准•1996年，通用标准CC（CommonCriteria）是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上演