信息安全管理3

信息安全管理（三）第二章、信息安全管理基础•信息安全性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护•信息安全关键点：–安全利益：国家、社会、个人的生存和发展的利益–信息技术：对信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益的侵害与保护•信息安全核心问题：–信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益信息安全是指在信息传递的过程中，数据被破坏、偷窃或丢失的风险性。信息安全管理体系ISMS：是组织在整体或特定范围内建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。ISO27001是建立和维护信息安全管理体系的标准，是信息安全管理领域的权威标准。信息安全管理的基本原则主要领导负责规范定级一人为本适度安全信息安全管理体系•党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系•性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构•内容–技术资源–管理资源–人力资源信息安全管理的层次与内容•宏观管理（政府）–方针–政策–法规–标准•微观管理（信息安全机构）–规章–制度–策略–措施信息安全管理的发展•历史发展阶段–管人–管密码–管密钥–管口令–管配置–管产品测评–管产品采购–管系统安全–管等级划分•管理基础–安全产品分类编码–信息技术安全管理指南（ISO/IECTR13335）–信息安全管理(ISO/IECTR17799)•系统管理–安全报警报告功能（GB17143.7-1997idt10164.7-1992）–安全审计跟踪功能（GB17143.8-1997idt10164.8-1993）–访问控制对象和属性（GB17143.9-1997idt10164.9-1993–风险管理•测评认证–信息技术安全性评估准则（ISO/IEC15408:1999）（CC）–计算机信息系统安全保护等级划分准则(GB17859：1999)–通用测评方法(SC27N2722|CEM)–系统安全工程能力成熟模型(SSE-CMM)二、信息安全管理标准•英国标准协会（BSI）于1995年制定BS7799《信息安全管理体系标准》，1999年修订改版：–7799－1：《信息安全管理操作规则》–7799－2：《信息安全管理系统规范》•7799－1已经在2000年末被采纳为国际标准，即：ISO/TEC17799《信息安全管理操作规则》，香港、台湾等都采用BS7799标准。信息安全管理基础：BS7799ISO/IEC17799（BS7799-1）划分为11个主要方面：1、安全策略2、组织信息安全3、资产分级与控制4、人员安全5、物理和环境安全6、通信和运行管理7、访问控制8、信息系统获取、开发和维护9、信息安全事件管理10、业务连续性管理11、符合性BS7799-2•BS7799-2第1版出版于1998年•BS7799-2第2版出版于2002年•评估一个组织全面或部分信息安全管理体系的基础，•也可以作为一个正式认证方案的基础。BS7799-2•建立信息管理体系的要求–总则–建立管理框架–实施–文档化–文档控制–记录BS7799-2•控制细则–安全策略–安全组织–资产分级和控制–人员安全–物理和环境安全–通信和运行管理–访问控制–系统开发和维护–商业连续性管理–符合性等10项要求通用准则（CC）国际标准化组织统一现有多种准则的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分；是目前最全面的评价准则CC的结构以及目标读者内容用户开发者评估者第1部分简介和一般模型，定义了IT安全评估的一般概念和原理，提出评估的一般模型。用于了解背景信息和参考。PP的指导性结构。用于了解背景信息，开发安全要求和形成TOE的安全规范的参考。用于了解背景信息和参考。PP和ST的指导性结构。第2部分安全功能要求，建立一系列功能组件作为表达TOE功能要求的标准方法。在阐明安全功能要求的描述时作指导和参考。用于解释功能要求和生成TOE功能规范的参考。确定TOE符合声明的安全功能时，作评估准则的强制描述。第3部分安全保证要求，建立一系列保证组件作为表达TOE保证要求的标准方法。用于指导保证需求级别的确定。当解释保证要求描述和确定TOE的保证措施时，用作参考。确定TOE的保证和评估PP和ST时，作为强制描述。安全管理指南：ISO/IECTR13335•信息技术安全的概念和模型•信息技术安全的管理和规划•信息技术安全的管理技术•信息技术安全措施的安全•网络安全性的管理指导SSE-CMM项目•1993年4月开始酝量，1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。•1999年4月出版了第二版。•正在申报国际标准ISO/IEC21827。•NISTSP800(SpecialPublication800-series)–SP800-12,《计算机安全手册》（ComputerSecurityHandbook)–SP800-14,《公认【安全】原则与操作》（GenerallyAccepted[Security]Principles&Practices）–SP800-18,《安全计划开发指南》（GuideforDevelopingSecurityPlans）–SP800-23,《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》（GuidetoFederalOrganizationsonSecurityAssuranceandAcquisition/UseofTested/EvaluatedProducts)–SP800-26,《IT系统自我评估指南》(Self-AssessmentGuideforITSystems)我国信息安全标准工作•2001年10月11日成立国家标准化委员会•全国信息安全标准化技术委员会（简称信息安全标委会，TC260）于2002年4月15日在北京正式成立。•信息安全标委会工作组设置•信息安全标准体系与协调工作组（WG1）•内容安全分级及标识工作组（WG2）•PKI/PMI工作组（WG4）•信息安全评估工作组（WG5）•应急处理工作组（WG6）•信息安全管理（含工程与开发）工作组（WG7）•电子证据及处理工作组（WG8）•身份标识与鉴别协议工作组（WG9）•操作系统与数据库安全工作组（WG10）三、信息安全策略信息安全策略是一组经过高级管理员批准，正式发布和实施的纲领性文件，描述了一个企业、组织的高层安全目标。是为保证提供一定级别的安全保护所必须遵守的规则。有三个基本原则：确定性、完整性和有效性。信息安全涉及的主要问题网络攻击与攻击检测、防范问题安全漏洞与安全对策问题信息安全保密问题系统内部安全防范问题防病毒问题数据备份与恢复问题、灾难恢复问题主要的信息安全策略物理安全网络安全数据安全软件安全系统管理灾难恢复1、口令策略所有系统都需要口令，以拥有易于实现的第一级别的访问安全性。为确保网络安全运行，保护所拥有的权益不受侵害，可以制定如下管理策略：☆网络服务器口令的管理：（1）服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。（2）服务器的口令需部门负责人在场时，由系统管理员记录封存。（3）口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。（4）如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。☆用户口令的管理：（1）对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。（2）在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。（3）如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。2、计算机病毒和恶意代码防治策略计算机病毒是一种能够通过改变其他程序而使它们“感染”的程序。病毒防护策略必须具备下列准则：（1）拒绝访问能力：来历不明的入侵软件（尤其是通过网络传过来的）不得进入系统。（2）病毒检测能力：病毒总是有可能进入系统的，系统中应设置检测病毒的机制。除了检测已知类病毒外，能否检测未知病毒是一个重要的指标。（3）控制病毒传播的能力：没有一种方法能检测出所有的病毒，一旦病毒进入了系统，应不让病毒在系统中到处传播。系统一定要有控制病毒传播的能力。（4）清除能力：如果病毒突破了系统的防护，即使它的传播受到了控制，也要有相应的措施将它清除掉。对于已知类病毒，可以使用专用杀毒软件；对于未知类病毒，在发现后使用软件工具对它进行分析，尽快编写出消毒软件。当然，如果有后备文件，也可使用它直接覆盖受感染文件，但一定要查清楚病毒的来源。（5）恢复能力：有可能在清除病毒以前，病毒就破坏了系统中的数据，系统应提供一种高效的方法来恢复这些数据。（6）替代操作：可能会遇到这种情况，问题发生时，手头没有可用的技术，任务又必须执行下去。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作，等问题解决以后再换回来。这一准则对于战时的军事系统是必须的。3、安全教育与培训策略在安全教育策略具体实施过程中应该有一定的层次性：（1）主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。（2）负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。（3）用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。4、可接受使用策略AUP在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为可接受使用策略AUP，该文档是整体安全策略的总结，其中，概括了用户对于信息安全的责任，AUP以终端用户作为阅读对象，具有简短而突出重点的特点。AUP通常包含以下主要内容：（1）概述：描述什么是AUP，企业、组织发布AUP的目的，制定AUP的原则以及一些必要的法律声明等。（2）安全策略说明：说明制定AUP所依据的信息安全策略，提示用户信息安全策略的更改会影响到AUP的修订，并且告诉用户从哪里可以获得详细的信息安全策略文档。（3）术语说明：将AUP中涉及的术语名词，以及AUP签署生效的有效时间进行说明。（4）用户责任：对信息安全策略中所有涉及到用户的信息安全责任内容，应当进行总结和提炼，以简单明了的语言进行阐述，使得用户充分了解自己对于企业、组织信息安全所承担的责任和义务。介绍cisco公司信息安全管理实例•订单系统-95%的订单通过平均$33,441.78/分钟•客户支持系统-80%的技术支持通过•电话系统–CiscoAVVID架构•知识产权解决的问题利用安全域设置，构建自防御数据中心应用安全管理策略（DMZ、Email等）入侵检测IDS抵抗蠕虫企业信息安全策略的制定四、信息网络的物理安全物理安全就是保护信息网络免受各种自然灾害和人为操作错误等因素的破坏，使信息网络可以维持正常运行的状态。物理安全分为