面向电子政务的信息安全管理体系建设

面向电子政务的信息安全管理体系建设上海市信息中心陆国樑2005年5月12日一、我国电子政务发展框架1、电子政务网络架构我国电子政务网络架构分为内网、外网、互联网网路安全策略涉密内网与政务外网采用物理隔离政务外网与互联网采用逻辑隔离2、电子政务应用架构在涉密内网中提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统在政务外网中提供面向政务机关之间的业务协同系统、资源共享系统在互联网政府门户网站提供面向社会公众的信息发布系统和面向企业的业务应用系统3、信息资源的开发利用面向政府内部的涉密信息服务严格按流程在授权人范围内进行信息的传递面向政府之间的共享信息服务按授权的访问控制在指定范围内进行信息共享与交换面向社会公众的信息服务提供政务公开、行政审批等方面的信息服务二、电子政务信息安全风险分析1、电子政务信息安全管理的目标确保对信息“机密性、完整性、可用性”的保护确保政务信息的保密性、保证身份正确识别确保政务流程安全、明确责任和用户权限的控制确保政务业务连续运转、维护政府形象2、电子政务系统常见的安全威胁（1）非人为的安全威胁自然灾害（洪水、地震、台风、火灾等）信息技术的局限性、漏洞和缺陷（2）人为的安全威胁内部人员的安全威胁：恶意破坏、无意损坏外部人员的安全威胁：主动攻击、被动攻击（3）信息泄漏的风险案例通过网络传播（拨号、在可连接互联网的电脑上处理内部非公开信息）通过介质扩散（磁盘、胶片等）无意中传播（信息发布、对外交流）通过电波扩散（电磁泄漏）传输中被窃取（搭线窃听）介质输出扩散（打印）非授权访问（多人使用设备、身份冒用）通过笔记本电脑接入（或私接设备）利用系统漏洞进行攻击（病毒等）3、系统风险分析线路窃听非法访问业务数据导入时窃取病毒人员犯罪（1）机密性威胁（2）完整性威胁传输过程中篡改数据病毒业务数据导入时修改数据库数据非法修改采用不可信系统（3）可用性威胁阻断通信线路攻击中心数据库DNS无法使用病毒三、实施有效的信息安全策略1、机构管理安全（1）建立安全保密管理组织机构（2）制定安全保密管理制度（3）实施人员安全管理培训与教育2、物理环境安全（1）环境安全（2）设备安全（3）介质安全3、信息资产安全（1）身份鉴别（2）访问控制（3）信息传输保密（4）电磁泄露防护（5）安全审计（6）入侵检测（7）划分安全域4、系统运行安全（1）病毒的防治（2）信息备份与恢复（3）安全监管系统（4）应急响应系统四、构建有效的信息安全管理体系按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2：2000标准，我们提出了报国家认可委备案的《信息安全管理体系规范》（2004）《信息安全管理体系规范》(2004)十大控制目标（1）信息安全方针（2）组织的信息安全（3）资产分类与控制（4）人事安全（5）设备与环境安全（6）通信和运作管理（7）访问控制（8）系统开发与维护（9）业务连续性管理（10）符合性要求构建信息安全管理体系的四大环节P、建立信息安全管理体系D、实施和运行信息安全管理体系C、监督和评审信息安全管理体系A、维护并改进信息安全管理体系1、建立信息安全管理体系（1）确定信息安全管理体系的范围（2）建立信息安全方针（3）明确风险管理的步骤（4）风险识别（5）风险评估（6）识别并评价风险处理的方法（7）选择处理风险的控制目标和控制措施包括10个控制方面、36项控制目标和127项控制措施（8）适用性声明（9）获得管理层的批准2、实施和运行信息安全管理体系（1）形成风险处理方案（2）实施风险处理方案（3）实施控制措施（4）进行培训和教育（5）运行控制（6）管理资源（7）检测和应对安全事故3、监督和评审信息安全管理体系（1）启动监督程序和控制措施（2）定期进行信息安全管理体系有效性的评审（3）评审可接受风险认可的程度（4）定期进行信息安全管理体系的内部审核（5）记录对管理体系有效性或产生影响的行动和事件4、维护并改进信息安全管理体系（1）实施已明确的改进措施（2）利用在安全事故中的经验教训（3）与所有相关方交流结果并取得一致同意（4）确保改进措施达到预期目标建立信息安全管理体系文件的四个层次1、方针文件2、程序文件3、作业指导性文件4、记录根据《信息安全管理体系规范》编制的体系文件有第一层文件：《信息安全方针和适用性声明文件》《信息安全管理手册》《风险评估报告》《信息安全策略》第二层文件《信息安全管理体系程序文件》《管理制度》《应急预案》根据《信息安全管理体系规范》编制的体系文件有第三层文件《作业指导书》《检查清单、表格》等根据《信息安全管理体系规范》编制的体系文件有第四层文件《记录》作为信息安全管理体系运行结果的证据根据《信息安全管理体系规范》产生的文件有五、信息安全管理体系的实施与审核认证（1）策划建立信息安全管理体系（2）信息安全管理体系文件获得审核方的评审涉密信息系统的建设方案须获得国家保密局的评审（3）实施信息安全管理体系的建设实施建设的涉密信息系统须通过国家保密局的安全保密测评（4）运行信息安全管理体系通过安全保密测评的涉密信息系统可正式投入使用信息安全管理体系实施与认证过程（5）监督和评审信息安全管理体系（内审、管理评审）（6）维护和改进信息安全管理体系（7）申请信息安全管理体系认证（8）进行信息安全管理体系的外部审核（9）获得信息安全管理体系认证证书信息安全管理体系实施与认证过程监督信息安全管理体系的四个节点1、体系监控2、内部审核3、管理评审4、外部审核改进信息安全管理体系的四种措施1、改进措施2、预防措施3、纠正措施4、风险再评估六、我们的实践2004年初，上海市信息中心、上海质量体系审核中心、上海质量教育培训中心三家单位牵头，在参考了《ISO/IEC17799信息安全管理业务规范》的基础上开始进行了《信息安全管理体系规范》编撰与培训、咨询等工作2004年5月中旬形成了《信息安全管理体系规范》（1.0版本）和相应的培训教材2004年7月底完成了《信息安全管理体系规范》（1.1版本）的专家评审2004年我们举办了为期六天共两期的《信息安全管理体系规范审核员培训班》，有近40名学员考试合格获得证书，并得到了国家认证认可监督委员会的认可备案同时，我们选择了一家企业根据《信息安全管理体系规范》建立信息安全管理体系的试点工作上海质量体系审核中心作为《信息安全管理规范》审核单位，获得了审核资质的认可备案今年四月份，上海一著名信息技术股份有限公司经过上海市信息中心的咨询和上海质量体系审核中心的审核，获得了首张《信息安全体系规范（2004）认证证书》在此，我们希望与大家一起，为加快我国与国际信息安全管理体系接轨，使信息安全管理步入“标准化、规范化”的轨道，共同进行积极的探索，并为最终诞生中国信息安全管理体系规范标准，做出我们的贡献谢谢!联系地址：上海市华山路１０７６号联系电话：０２１－６２５３７９８９电子邮件：luxm@shcei.com.cn