中国大英博物馆信息安全管理中的标准化全文案例分析电子版

1信息安全管理中的标准化深圳市标准技术研究院黄寅二○○六年八月一、什么是信息安全信息是一种资产，就象其它重要的商业资产一样，它对一个单位来说是有价值的，因此需要妥善进行保护。信息安全就是保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报。信息有多种多样的形式。它可以打印或写在纸上，以电子文档形式储存，通过邮寄或电子手段传播，以胶片形式显示或在交谈中表达出来。不管信息的形式如何，或通过什么手段进行共享或存储，都应加以妥善保护。信息安全具有以下特征：a)保密性：确保只有经过授权的人才能访问信息；b)完整性：保护信息和信息的处理方法准确而完整；c)可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。对于一个单位来说，必须建立起一整套的控制措施，来确保先期设定的安全目标得以实现。二、为什么需要信息安全信息和系统以及网络都是重要的业务资产。为保证单位具有长期的竞争力，保持业务的正常运行并获得相应的社会效益和经济效益，以及良好的社会形象，信息的保密性、完整性和可用性是至关重要的。目前，信息系统和网络所面临的安全威胁与日俱增，来源也日益广泛，包括利用计算机欺诈、窃取机密、恶意诋毁破坏等人为行为，以及火灾或水灾等自然灾害。危害的来源多种多样，如计算机病毒、计算机黑客行为、拒绝服务攻击等等，利用网络的这种破坏行为，传播更加飞快、用意更加险恶、手段更加复杂。现在单位对于信息系统和服务的日趋依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享，增大了对访问进行控制的难度。很多信息系统在设计时，没有考虑到安全问题，或者由于成本问题，而较少的顾及安全问题。2因此，单纯通过技术手段获得的安全保障十分有限，必须有相应的管理手段和操作规范才能得到真正的安全保障。首先确定需要使用什么样控制措施来满足对安全的需要，然后确定详细的安全管理体系。作为信息安全管理的最基本要求，单位内所有的人员都应参与信息安全管理，尤其是单位的最高层管理者。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并且更有效率。三、信息安全管理标准1、国际标准首先需要介绍的是国际上最权威的由国际标准化组织(ISO)和国际电工委员会(IEC)所制定的国际标准。ISO和IEC是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定。信息安全管理标准（ISO/IEC17799）信息安全管理标准（ISO13335）ISO13335分成5个部分：ISO/IEC13335-1:1996，IT安全的概念与模型；ISO/IEC13335-2:1997，IT安全管理和计划制定；ISO/IEC13335-3:1998，IT安全管理技术；ISO/IEC13335-4:2000，安全措施的选择；ISO/IEC13335-5:2001,网络安全管理指南；2、国内标准我国主要采用与国际标准靠拢的方式。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等。33、ISO/IEC17799简介信息安全管理实施规则，是作为国际信息安全指导标准ISO/IEC17799基础的指导性文件，主要是给从事相关工作的人员作为参考文档使用，从而在他们的单位内部实施和维护信息安全。这一部分包括十大管理要项，三十六个执行目标，一百二十七种控制方法，下表简介了该标准的十大管理要项。表1ISO/IEC17799的十大管理要项标准目的内容安全策略为信息安全提供管理方向和支持。建立安全策略文档安全组织建立组织内的管理体系以便安全管理。组织内部信息安全责任；信息采集设施安全；可被第三方利用的信息资产的安全；外部信息安全评审；外包合同的安全。资产分类与控制维护组织资产的适当保护系统。利用资产清单，分类处理，信息标签等对信息资产进行保护。人员安全减少人为造成的风险。减少错误，偷窃，欺骗或资源误用等人为风险；保密协议；安全教育培训；安全事故与教训总结；惩罚措施。物理与环境安全防止未经许可的介入，损伤和干扰服务。阻止对工作区与物理设备的非法进入；业务机密和信息非法的访问、损坏、干扰；阻止资产的丢失，损坏或遭受危险；桌面与屏幕管理阻止信息的泄漏。通信与操作管理保证通讯和操作设备的正确和安全维护。确保信息处理设备的正确和安全的操作；降低系统失效的风险；保护软件和信息的完整性；维护信息处理和通讯的完整性和可用性；确保网络信息的安全措施和支持基础结构的保护；防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损坏，修改或误用。访问控制控制对商业信息的访问。控制访问信息；阻止非法访问信息系统；确保网络服务得到保护；阻止非法访问计算机；检测非法行为；保证在使用移动计算机和远程网络设备时信息的安全。系统开发与维护保证系统开发与维护的安全确保信息安全保护深入到操作系统中；阻止应用系统中的用户数据的丢失，修改或误用；确保信息的保密性，可靠性和完整性；确保IT项目工程及其支持活动在安全的方式下进行；维护应用程序软件和数据的安全。业务连续性管理防止正常业务中断和灾难事故的影响。防止正常业务的中断；防止关键关键免受重大失误或灾难的影响。符合性避免任何违反法律、法规、合同约定及其他避免违背各项法律责任以及各种安全要求；确保系统符合安全方针和标准；使系统审查过程的绩效最大化，并将干扰因素降到最小。4安全要求的行为。四、信息安全管理主要内容有了上面信息安全管理的标准，也就是指导性文件，我们再来看一下，在信息安全管理中主要有那些具体的工作。编号分类具体工作1风险评估将实施控制措施的支出与安全故障可能造成的损失进行权衡考虑。a)安全故障可能造成的业务损失，包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果；b)当前主要的威胁和漏洞带来的现实安全问题，以及目前实施的控制措施。2安全策略安全策略是一切安全活动的指南，包括：管理组织、管理制度、培训、操作、实施、监控、响应3物理安全机房与设备安全技术控制：检测监视系统（监视器等）环境与人生安全：水、火、地震电磁泄漏4设备管理设备选型、设备检测设备安装、设备记录设备使用管理设备维修管理设备存储管理5运行管理故障管理：故障诊断、验证、重现、解决排障工具：网络监视器和分析仪性能管理变更管理同步跟踪、软件修订6软件安全管理软件的选型、购置：软件适用性、开放性、先进性、商品化程度、可靠性和可维护性软件安全检测验收软件安全跟踪与报告软件版本控制软件使用与维护7信息安全管理信息载体安全管理信息密级管理（重要、一般）信息存储实现的管理（磁盘存储、光盘存储、磁带存储）信息访问控制管理（特权管理、口令机制等）信息备份管理（完整备份、增量备份）信息完整性管理5信息可用性管理不良信息监控管理可疑信息跟踪审计8人员安全管理安全组织安全职能人员安全审查岗位安全考核人员安全培训（法律、制度、道德、技术）离岗人员安全管理9应用系统安全管理应用系统分类应用系统启动安全审查管理应用软件监控管理应用软件版本安装管理应用软件维护安全管理10操作安全管理操作权限管理操作规范管理操作责任管理操作监控管理误操作恢复管理11技术文档安全管理：文档密级文档借阅管理文档销毁电子文档安全管理技术文档备份12灾难恢复计划灾难恢复涉及的范围灾难恢复技术灾难恢复级别灾难恢复计划13安全应急响应安全应急响应的现状安全应急响应系统的建立安全应急响应步骤五、建立完善的安全管理体系及操作规范由于ISO/IEC17799是指导性文件，仅仅提供了一些原则性的建议，而如何将这些原则性的建议与各个单位自身的实际情况相结合，建立起符合单位自身状况的安全管理体系，并加以准确、不打折扣的执行，才是我们应该重视和必须完成的重要工作。只有这样，信息安全管理才能落到实处，而不是纸上谈兵。做为在单位从事信息安全管理的人员，所做的操作都是事关重大，如果稍有不慎，将会对单位造成不可估量的损失。因此，在进行操作时，都要按照操作规范来进行，并6对所做的每一操作步骤，都按要求记录，以便日后可以追溯。下面从实际工作中的例子，来说明操作规范的重要性。例：预防安全事件的发生将安全事件发生次数保持在一个合理的数量之下是非常重要的。如果安全控制措施不充分，就可能发生大量安全事件，超出安全事件响应小组的能力，这将使安全事件响应迟缓和响应不完全，从而对组织造成更大的负面业务影响（比如导致更大的破坏、或导致更长时间的服务或数据中断）。预防安全事件的发生是信息管理人员的重要工作，而不仅仅是出现安全事故后的应急处理。为了预防安全事件的发生，在网络、系统和应用方面有以下经常性的工作：补丁管理许多信息安全专家都同意很大部分安全事件是因为利用了系统和应用中数量相对较少的弱点所致。各个单位应该重视补丁管理，定期或不定期进行补丁的分发工作，并定期检查是否单位网络中的所有机器都已按要求打齐所有补丁。主机安全所有主机都应该被适当加固。除了保证对主机打上正确的补丁外，还应该对主机进行配置，只允许对适当的用户和主机开放尽可能少的服务，即最小特权原则。对于那些不安全的缺省配置（比如缺省口令、不安全的共享）进行重置。主机应该打开审计功能，并记录与安全相关的重大事件。网络安全应该对网络边界进行配置，对那些不是明确允许的流量加以拒绝。只有那些正确功能所必须的活动才被允许。这包括保护所有的连接点，比如调制解调器、VPN及到其它专线连接。恶意代码预防应该在整个单位内采用能检测和阻止恶意代码（如病毒、蠕虫和特洛伊木马）的软件。应该在主机级（如服务器和工作站操作系统）、应用服务器级（如邮件服务器、WEB代理）和应用客户级（如邮件客户端和即时通信客户端）落实恶意代码保护。用户意识和培训用户应该了解正常使用网络、系统和应用的政策和流程，从以前安全事件中汲取的经验教训应该和用户共享，这样他们可以看到他们的行为是如何对单位产生影响的。提高用户对安全事件的意识应该可以减少安全事件的频率，尤其是那些恶意代码和违反安全政策的事件。应该培训IT人员，使他们能够根据本单位的安全标准来维护网络、系统和应用。7以上工作，每一项看起来都是很平常，也许一次半次没有打补丁也看不出任何影响。但是，一但出现问题，再要去补救就不是只有这么一些工作了，而且可能给单位已经带来巨大的损失了。只有严格按照以上标准按时按要求完成各项工作，才能尽量减少安全事件的发生。六、结束语ISO/IEC17799提供了有效安全管理的公共基础，反映了信息安全的“三分技术，七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性。就是由于信息安全管理的重要，才更加需要按照标准和规范进行管理、操作。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上，其次要制定出相关的管理策略和规章制度，然后才是在安全产品的帮助下搭建起整个架构。相反，就不可能得到一个真正意义上的安全防护体系。参考文献：1）ISO/IEC17799信息安全管理实施指南2）信息安全管理：标准、理解与实施作者：郝晓玲孙强