搜索
第九章信息安全管理与灾难恢复周苏教授Zs@mail.hz.zj.cnQQ:81505050第9章信息安全管理与灾难恢复信息安全管理策略是为发布、管理和保护敏感的信息资源(信息和信息处理设施)而制定的一组法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是企业内所有成员都必须遵守的规则。第9章信息安全管理与灾难恢复备份技术是将整个系统的数据或状态保存下来,但它并不保证系统的实时可用性。而集群和容灾技术的目的就是为了保证系统的可用性。也就是说,当意外发生时,系统所提供的服务和功能不会因此而间断。在有一定规模的系统中,备份技术、集群技术和容灾技术互相不可替代,并且稳定和谐地配合工作,共同保证着系统的正常运转。第9章信息安全管理与灾难恢复9.1信息安全管理与工程9.2信息灾难恢复规划9.1信息安全管理与工程信息安全管理策略告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区;等等。9.1.1信息安全管理策略作为有关信息安全方面的行为规范,一个成功的信息安全策略应当遵循:–1)综合平衡(综合考虑需求、风险、代价等诸多因素)。–2)整体优化(利用系统工程思想,使系统总体性能最优)。–3)易于操作和确保可靠。9.1.1信息安全管理策略信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员;对所有相关员工进行信息安全策略的培训;对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正落实到实际工作中。当然,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略,为信息安全提供管理指导和支持。9.1.1信息安全管理策略(1)制订策略的原则在制定信息安全管理策略时,应严格遵守以下原则:–1)目的性。策略是为组织完成自己的信息安全使命而制定的,应该反映组织整体利益和可持续发展的要求。–2)适用性。策略应该反映组织的真实环境和当前信息安全的发展水平。9.1.1信息安全管理策略–3)可行性。策略的目标应该可以实现,并容易测量和审核。–4)经济性。策略应该经济合理,过分复杂和草率都不可取。–5)完整性。策略能够反映组织的所有业务流程的安全需要。–6)一致性。策略应该和国家、地方的法律法规保持一致;和组织已有的策略、方针保持一致;以及和整体安全策略保持一致。9.1.1信息安全管理策略–7)弹性。策略不仅要满足当前的要求,还要满足组织和环境在未来一段时间内发展的要求。9.1.1信息安全管理策略(2)策略的主要内容理论上,一个完整的信息安全策略体系应该保障组织信息的机密性、可用性和完整性。虽然每个组织的性质、规模和内、外部环境各不相同,但一个正式的信息安全策略应包含下列一些内容:–1)适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。9.1.1信息安全管理策略–2)保护目标。安全策略中要包含信息系统中要保护的所有资产(包括硬件、软件和数据)以及每件资产的重要性和其要达到的安全程度。例如,“为确保企业的经营、技术等机密信息不被泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”9.1.1信息安全管理策略–3)策略主题。例如:设备及其环境的安全;信息的分级和人员责任;安全事故的报告与响应;第三方访问的安全性;外围处理系统的安全;计算机和网络的访问控制和审核;远程工作的安全;加密技术控制;备份、灾难恢复和可持续发展的要求等。–也可以划分为如账号管理策略、口令管理策略、防病毒策略、E-mail使用策略,因特网访问控制策略等。每一种主题都可以借鉴相关的标准和条例。9.1.1信息安全管理策略–4)实施方法。明确对网络信息系统中各类资产进行保护所采用的具体方法,如对于实体安全可以用隔离、防辐射、防自然灾害的措施实现;对于数据信息可以采用授权访问技术来实现;对于网络传输可以采用安全隧道技术来实现,等等。另外,还要明确所采用的具体方法,如使用什么样的算法和产品等。9.1.1信息安全管理策略–5)明确责任。维护信息与网络系统的安全不仅仅是安全管理员的事,要调动大家的积极性,明确每个人在安全保护工程中的责任和义务。为了确保事故处理任务的落实,必须建立监督和管理机制,保证各项条款的严格执行。–6)策略签署。信息安全管理策略是强制性的、带惩罚性的,策略的执行需要来自管理层的支持,因此,通常是信息安全主管或总经理签署信息安全管理策略。9.1.1信息安全管理策略–7)策略生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的。–8)重新评审策略的时机。除了常规的评审时机外,下列情况下也需要组织重新评审,例如:企业管理体系发生很大变化;相关的法律法规发生变化;企业信息系统或者信息技术发生大的变化;企业发生了重大的信息安全事故等。9.1.1信息安全管理策略–9)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整。–10)策略解释。由于工作环境、知识背景等的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门和权威的解释机构或指定专门的解释人员来进行策略的解释。–11)例外情况的处理:策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。9.1.2信息安全机构和队伍为了保护国家信息的安全,维护国家利益,各国政府均指定了政府有关机构主管信息安全工作。例如,为了加强对信息化工作的领导,我国成立了国家信息化领导小组,由国务院领导任组长,国家机关有关部委的领导参加小组的工作。9.1.2信息安全机构和队伍国家信息化领导小组为了强化对信息化工作的领导,对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行职能分工,明确了各自的责任,对于保障我国信息化工作的正常发展,保护信息安全起到了重要的作用。9.1.2信息安全机构和队伍(1)信息安全管理机构一个组织的信息安全对本单位是非常重要的,因此,对信息的安全管理必须引起组织最高领导层的充分重视。9.1.2信息安全机构和队伍信息安全管理一般分3个层次,每一层级都应有明确的责任制。–1)决策机构,负责宏观管理。–2)管理机构,负责日常协调、管理工作。–3)配备各类安全管理、技术人员,负责落实规章制度、技术规范、处理技术等方面的问题。9.1.2信息安全机构和队伍凡是对信息安全有需求的组织,都必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备,从而保障信息安全管理工作的正常开展。9.1.2信息安全机构和队伍(2)信息安全队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员和防病毒安全员等。9.1.2信息安全机构和队伍由于各类信息安全人员的工作岗位处于信息系统的核心敏感部位,应该要有比较高的政治素质和业务水平,例如应具备以下条件:–1)政治可靠,对组织忠诚。–2)工作认真负责,有敬业精神。–3)处理问题公正严明,不拘私情。–4)熟悉业务,具有一定的实践经验。9.1.2信息安全机构和队伍–5)从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师。9.1.2信息安全机构和队伍对信息安全工作的管理主要体现在三个方面:一是对机器设备的管理;二是对信息资源的管理;三是对各类安全工作人员的管理。然而,对人员的管理比对机器设备和信息资源的管理更重要。9.1.2信息安全机构和队伍因此,对安全人员的管理应该是全方位的,其主要原则包括:–1)人员审查。对承担信息安全的工作人员,在录用前必须进行审查。–2)签订保密协定。信息安全人员必须签订保密协议书,要求承担保密义务。–3)持证上岗。各类信息安全人员必须经过认真培训和严格考核,取得证书后方能上岗。9.1.2信息安全机构和队伍–4)人员培训。对从事信息安全工作的人员应进行岗前培训,使其掌握基本的技能;岗中定期培训,使其不断更新观念,掌握新技术。培训的内容包括法律法规、职业道德、技术技能等方面。–5)人员考核。对从事信息安全工作的各类人员要从思想作风、工作态度、遵守规章制度、业务能力等方面定期进行考核。9.1.2信息安全机构和队伍–6)权力分散。要注意合理分配权限,将权限控制在合理范围内,以便于相互制约。–7)人员离岗。因为工作的需要或不适合继续做信息安全工作而调离岗位的,必须要求其履行保密协议,承诺保密事项,并交出有关的资料或证件。9.1.3信息安全管理制度信息安全已不只是传统意义上的添加防火墙或路由器等简单设备就可实现的,而是一种系统和全局意义上的安全。信息安全管理制度是保证信息安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。9.1.3信息安全管理制度常见的信息安全管理制度主要涉及:人员安全管理、设备安全管理、运行安全管理、安全操作管理、应急维护、安全等级保护、有害数据及计算机病毒防范管理、敏感数据保护、安全技术保障、安全计划管理等。9.1.3信息安全管理制度制定信息安全管理制度应遵循如下原则:–1)规范化。各阶段都应遵循安全规范要求,根据安全需求,制定安全策略。–2)系统化。根据安全工程的要求,对系统各阶段,包括以后的升级、换代和功能扩展等进行全面统一地考虑。–3)综合保障。从人员、资金、技术等多方面考虑综合保障。9.1.3信息安全管理制度–4)以人为本。技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。–5)首长负责。确保把安全管理落到实处。–6)预防。安全管理以预防为主、并有一定的超前意识。–7)风险评估。对系统定期进行风险评估以改进系统的安全状况。9.1.3信息安全管理制度–8)动态。根据环境的改变和技术的进步,提高系统的保护能力。–9)成本效益。根据资源价值和风险评估结果,采用适度的保护措施。–10)均衡防护。根据“木桶原则”(“木桶的最大容积取决于最短的一块木板”),整个系统的安全强度取决于某些薄弱环节,片面追求某个方面的安全强度对整个系统没有实际意义。9.1.3信息安全管理制度此外,在信息安全管理的具体实施过程中还应遵循如分权制衡、最小特权、职权分离、普遍参与、独立审计等一些原则。9.1.4信息安全管理标准信息安全管理的原则之一就是规范化、系统化,如何在信息安全管理实践中落实这一原则,需要相应的信息安全管理标准。BS7799是英国标准协会(BSI)制定的在国际上具有代表性的信息安全管理体系标准。该标准包括两个部分:《信息安全管理实施细则》BS7799-1和《信息安全管理体系规范》BS7799-2。9.1.4信息安全管理标准其中,BS7799-l目前已正式转换成ISO国际标准,即《信息安全管理体系实施指南》ISO17799,并于2000年12月1日颁布。该标准综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。该标准不是认证标准,但组织在建立和实施信息安全管理体系时,可考虑采取该标准建议性的措施。9.1.4信息安全管理标准BS7799-2标准也将转换成ISO国际标准的过程中。BS7799-2标准主要用于对组织进行信息安全管理体系的认证,因此,组织在建立信息安全管理体系时,必须考虑满足BS7799-2的要求。9.1.5信息安全的法律保障网络的安全性已经上升到关乎国家安全、公共安全的层面,在我国,已经初步形成了一个保护网络安全的法律体系。我国宪法明确规定了公民具有保守国家秘密的义务;基本法律中有《保守国家秘密法》、《刑法》分则中的相关规定;9.1.5信息安全的法律保障行政法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等;此外,大量的行政规章和地方性法规也对计算机信息系统安全做了规定。9.1.6信息安全工程的设计原则信息