02郑州市2015网络安全员培训考试资料管理第二章

第二章信息网络安全管理信息网络安全管理完成的任务是保护信息网络和信息资源安全，目标是保证信息资产的机密性、可用性、完整性、可控性和不可否认性，特定的对象是信息和信息网络。信息安全管理的原则、方法，所进行的计划、组织、指挥、协调和控制，分为两个层次，一个是国家层面上；另一个是组织自身。国家的管理是依赖于立法并通过行政执法机关进行监管来实现。而组织自身的管理则应该通过安全管理组织，制定信息安全策略，建立信息安全管理制度和机制来实现，也就是说应该建立一个信息安全管理体系来实现组织的信息安全管理。信息网络安全管理的主要内容有：主要领导负责的逐级安全保护管理责任制，配备专职或兼职的安全员，各级职责划分明确并有效开展工作，明确运行和使用部门或岗位责任制，建立安全管理规章制度；在职工群众中普及安全知识，对重点岗位职工进行专门培训和考核，采取必要的安全技术措施；对安全保护工作有档案记录和应急计划，定期进行安全检测、风险分析和安全隐患整改；实行信息安全等级保护制度。信息安全管理坚持“谁主管谁负责，谁运行谁负责”的原则。信息安全管理组织的职责是制定工作人员守则、安全操作规范和管理制度，经主管领导批准后监督执行；组织进行信息网络建设和运行安全检测检查，掌握详细的安全资料，研究制定安全对策和措施；定期总结安全工作，并接受公安机关公共信息网络安全监察部门的工作指导。一、信息网络安全管理的发展历程在现代通讯工具电报发明以来，信息安全的重点是确保信息的保密性，包括商业秘密、军事秘密及个人隐私。信息安全的控制方法比较简单，例如采用安全信使传递秘密口信与信件，通过人员的保密意识与物理安全控制的方式来达到信息安全的目的。随着信息时代的到来，网络技术与现代通信技术得到了飞速的发展，信息技术被广泛地应用于各行各业，信息安全扩展为对信息的保密性、完整性、可用性和可控性的全面保持。为确保信息的安全，信息安全技术被许多机构和组织广泛采用，如加密技术、防病毒技术、访问控制技术、入侵检测技术等。各种与信息安全有关的信息处理设施与软件产品的质量和安全性也得到了人们的普遍重视，如计算机的性能要求、应用软件的可靠性、安全性要求等。同时，与信息安全有关的法律法规、安全技术标准也应运而生，如NIST(NationalInstituteofStandardsandTechnology)的800系列安全原理和标准、IPSec网络安全协议标准、CC信息技术安全评价标准等。信息安全管理最初认为只要有先进的安全技术就可实现系统的信息安全，但后来通过调查研究发现，信息安全问题有70％到80％是由系统本身和系统内部管理问题引起的。因此，人们才开始注重信息安全管理问题。这就是人们常说的从“七分技术，三分管理”到“三分技术，七分管理”的转变。1995年英国率先推出了BS7799信息安全管理标准，这堪称是信息安全管理历史上的一个里程碑。该标准在2000年12月被ISO(国际标准化组织)认可为国际通用标准，并命名为ISO／IECl7799——信息安全管理体系国际标准。我国在信息安全技术和管理方面还相对落后于一些发达国家，信息安全管理一直没有被忽视，1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》。这是我国一切计算机信息系统安全管理的基石，也是制定其他有关信息安全管理法规、条例、办法等最根本的依据。目前，我国的信息安全管理主要依靠传统的管理方式与技术手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性。保护信息安全，国际公认的、最有效的方式是采用系统的方法(管理+技术)保护信息安全。二、信息网络安全管理体系结构信息安全管理体系(ISMS)(InformationSecurityManagementSystem)是组织在整体或特定的范围内建立信息安全方针和目标，以及完成这些目标所用的方法，它是直接管理的结果，表示方针、原则、目标、方法、过程、核查表等要素的集合。一个组织的信息安全管理体系的建立，首先应该建立自己的管理组织，这一点在BS7799标准中有明确的提出，我们国家的公共行业标准GA39l也明确地提出了组织应该建立信息安全领导小组这样的管理组织。在信息安全管理组织的领导下，制定组织的信息安全策略，建立信息安全管理制度，并要有一套可操作的保障机制来保证这些策略和制度的落实。（一）信息网络安全管理的要素分析管理信息网络系统是一项复杂而又具有挑战性的任务，它具有以下特点：涉及范围广、牵连人员多、安全需求各异、技术进步迅速。因此，首先要对其各构成要素有一个清醒的认识，这主要包括：1．安全策略安全策略是整个信息网络安全管理总的指导性文件。其目的是为组织提供信息网络安全管理的方针与政策支持。管理层应该制定清晰完整的安全策略文档体系，并在全体机构内推行，保证顺利实施。安全策略还要定期审核，或在紧急情况下进行突审。2．安全组织指创建、支持、维护和管理信息网络安全基础设施的一套管理机构，它主要包括：管理信息安全论坛、任命信息系统安全主管、信息安全协调、信息安全责任分配、安全专家之间的合作、信息安全内审、第三方访问安全以及外包服务等事宜。3．资产分类和控制安全指依据信息网络安全基础设施，保护组织资产安全的能力，主要包括有资产的使用说明和资产的分类明确清单，并特别声明信息资产的分类方法、标注及处理过程等，保证所有重要的信息资产应有专人负责，并制定相应的维护和控制责任。4．人员安全这是信息网络安全管理的根本。保障信息系统的安全性，既要靠先进的技术，又要有完善的管理，但其核心都是人。实际上，大部分安全和保密问题是由人为差错造成的。因此，信息安全管理中人的因素应该是最重要的。5．物理与环境安全作为信息网络的主要载体，计算机网络系统从自身到其环境都要求有相应的安全防护措施。例如，建立物理安全地带、控制物理安全出入口、设备的安全放置与维护以及办公场所的安全操作规程等。6．通讯与操作安全主要是建立一系列的安全操作规程，如文档操作程序、安全事件管理程序、系统备份与恢复程序、日志管理、电子邮件安全措施等，以确保信息处理设备运作安全，把系统失效的风险降到最低，从而保护软件及信息的完整性。7．访问控制安全这是信息网络安全管理的重点，其目的是控制信息的访问，防止非法用户、非法计算机进行非法访问信息系统，保证合法授权用户能访问到所要的完整信息。其主要的措施有：制定访问控制策略、用户注册登记、口令使用与管理、用户认证、网络隔离、检测并记录非法活动、安全审计、密钥管理等。8．系统开发与维护安全主要侧重于应用软件系统的安全开发与运行维护。运用一系列的安全技术与管理措施，如系统配置管理、消息认证、数字签名、密钥管理、数据的输入输出控制以及系统的升级、更新等，确保信息系统的架构、业务以及为用户开发的应用系统的实施安全，保证IT项目及支持服务的安全进行。9.业务持续性业务的持续性管理是指通过预防及恢复措施，把业务因灾难或安全失效的停顿降到可接受的程度。应分析灾难、安全失效及服务停顿的影响，以便制定及实施应急计划来保证业务进程能够在规定的时间内恢复。10．遵循性遵循性是指是否遵守法律。信息系统的设计、操作、使用及管理受法定的、条例的、规定的或合同的安全需求约束，要咨询机构的法律顾问或职业法律人士的意见，避免冲突。（二）信息安全管理体系原理信息安全技术本身实际上只是辅助实现信息安全的手段。技术很重要，但在信息安全保障体系中，再好的技术体系也一定要建立在好的信息安全管理体系的基础上，才能发挥其应有的作用。ISMS近年来引起了许多标准化组织关注，也出台了许多相应的标准。比较著名的当属英国标准化协会的标准BS7799。特别是BS7799的修改版，推出了PDCA(Plan—Do—Check—Action)循环管理模型。对于信息安全管理方法鼓励其用户强调下列内容的重要性：(1)理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；(2)在管理组织整体业务风险背景下实施和运行控制；(3)监控并评审信息安全管理体系的业绩和有效性；(4)在目标测量的基础上持续改进。PDCA过程模式可简单描述如下图所示：策划(Plan)：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。实施(do)：实施和运作方针(过程和程序)。检查(check)：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。措施(action)：采取纠正和预防措施进一步提高过程业绩。建立信息安全管理体系具体操作如下：1．定义信息安全策略组织的信息安全策略，需要根据组织内各个部门的实际情况，分别进行指定。2．定义信息安全策略的范围将组织划分成不同的信息安全控制领域，易于信息安全管理。信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：(1)确立信息安全管理体系范围和体系环境所需的过程；(2)战略性和组织化的信息安全管理环境；(3)组织的信息安全风险管理方法；(4)信息安全风险评价标准以及所要求的保证程度；(5)信息资产识别的范围。3．进行信息安全风险评估信息安全风险评估的复杂程度，取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与信息风险的保护需求相一致，和组织的信息安全管理体系的范围、法律法规要求相适应，兼顾效果和效率。4．信息安全风险管理根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施：降低风险：在考虑转嫁风险前，应先考虑采取措施降低风险。避免风险：有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等。转嫁风险：只有当风险不能被降低或避免、且被第三方接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行正常运营，就必然存在并必须接受的风险。5．确定管制目标和选择管制措施管制目标的确定和管制措施的选择，原则是费用不超过风险所造成的损失。由于信息安全是一个动态网络工程，组织应该实时对选择的管制目标和管制措施加以校验和调整，使组织的信息资产得到有效、经济、合理的保护。(三)、信息网络安全体系结构描述信息安全体系结构包括安全组织体系、安全管理体系和安全技术体系。我们以银行为例，根据银行信息系统安全的总体要求，某银行的信息安全体系从安全组织体系、安全管理体系以及安全技术体系三个方面进行架构。(1)安全组织体系主要涉及信息系统安全的组织结构，包括决策组织、日常管理机构和执行检查层次等，是针对国家总行管理体制建立起来的从总行到基层支行、主管部门与相关部门有机结合的组织体系，是该银行信息系统安全的组织保证。(2)安全管理体系是信息系统安全管理工作的基础，主要包括安全管理制度和安全政策法规两个方面，是某银行信息系统安全的制度保障体系。(3)安全技术体系是指充分运用高新技术，采用安全防范技术措施和技术安全机制建立起来的现代化技术防范体系，主要包括通信网络安全、系统安全、应用安全、安全技术管理和系统可靠性设计等，是某银行信息系统安全的技术保障体系。三、信息安全管理体系标准介绍1.国际标准ISO／IECISO和IEC是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定。2.BS7799简介BS7799目前已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息网络在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息