概述概述信息安全学是一门新兴的学科,2004年成为一门正式的本科专业,目前已经成为很多科研机构和大专院校的一个重要研究领域。信息安全管理是随信息安全学科发展而产生的新的研究方向,主要讨论信息安全管理的内涵、内容、体系、实施过程以及信息安全管理相关的法规和标准。使得我们能够拟定简单的信息安全管理解决方案,应用信息安全管理手段构建简单的信息安全管理体系,解决实际安全问题。参考图书《信息安全概论》李俊宇,人民邮电出版社,2007.8。《信息安全管理平台理论与实践》,王代潮等,机械工业出版社,2007年。《信息安全管理》,MichaelE.Whitman等,重庆大学出版社,2005.3。《密码学原理与实践(第二版)》DouglasR.Stinson,电子工业出版社,2003.2。1.1信息安全1、信息安全的定义信息安全(InfoSec)就是保护信息及其关键要素,包括使用、存储以及传输信息的系统和硬件。(基于美国国家安全系统委员会(CNSS,CommitteeonNationalSecuritySystems)发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会(NSTISSC,NationalSecurityTelecommunicationsandInformationSystemsSecurityCommittee)。)2、信息安全的范围信息安全管理(本学科)计算机与数据安全网络安全。1.1信息安全信息安全的核心内容是有关信息安全的策略。1.1信息安全3、NSTISSC安全模型NSTISSC安全模型,阐明了讨论信息安全问题的3维空间。如果我们将由这3个坐标轴所描绘的三维空间中的关系扩展开来,最终会得到一个被分割成27部分的3×3×3立方体。每一个被分割出来的立方体,都代表着三维空间中的一个交集,是信息系统安全问题所必须处理的。(举例:表示技术、完整性以及存储的交集区域)1.1信息安全4、信息安全的3种特性机密性(confidentiality)完整性(integrity)可用性(availability)机密性信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人,才能够访问该信息。为了保护信息的机密性,我们采取了一系列措施,包括:信息分类确保文档存储安全运用一般的安全策略对信息所有者和终端用户进行教育使用密码技术1.1信息安全完整性完整性即指整体性(whole)、完全性(complete)以及未受侵蚀(uncorrupted)的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误;另一方面是指信息处理方法的正确性(执行不正当的操作可能造成重要文件的丢失,甚至整个系统的瘫痪)。当信息受到侵蚀(corruption)、损坏(damage)、毁坏(destruction)或其他干扰时,信息的完整性受到极大威胁。不当的编程甚至是传输信道或传输介质上的噪声都会使数据完整性受到损坏。可用性可用性也是信息的一种特性,在信息处于可用状态时,信息及相关的信息资产在授权人需要的时候可以立即获得。1.2管理的基本概念1、什么是管理孔茨:管理就是设计和保持一种良好环境,使人在群体里高效率地完成既定目标。(管理追求效益效率)彼得•F•德鲁克:归根到底,管理是一种实践,其本质不在于“知”而在于“行”,其验证不在于逻辑,而在于成果;其唯一权威就是成就。(管理强调结果)法约尔:管理是所有的人类组织(不论是家庭、企业或政府)都有的一种活动,这种活动由五项要素组成:计划、组织、指挥、协调和控制。管理就是实行计划、组织、指挥、协调和控制。(管理是一个由计划、组织、人事、领导和控制组成的完整的过程)1.2管理的基本概念2、管理活动的五个基本要素:谁来管:管理主体,回答由谁管的问题;管什么:管理客体,回答管什么的问题;怎么管:组织的目的要求,回答如何管的问题;靠什么管:组织环境或条件,回答在什么情况下管的问题。管得怎么样:管理能力和效果,回答管理成效问题。1.3信息安全管理的内涵1、信息安全管理的概念信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。1.3信息安全管理的内涵2、信息安全管理的内容安全方针和策略组织安全资产分类与控制人员安全物理与环境安全通信、运行与操作安全访问控制系统获取、开发与维护安全事故管理业务持续性符合性1.4信息安全管理的原则信息安全管理团队是大多数机构中发挥作用的利益团体之一。作为管理团队的一部分,它的运作像其他管理组织一样,有着共同的领导和管理特点。然而,信息安全管理团队的目标和目的不同于IT团体和普通管理团体,他们着重于确保机构的正常运作。一般认为这些信息安全管理的扩展特性有6个:计划策略项目保护人员项目管理1.4信息安全管理的原则1、计划制定信息安全管理计划,是基本计划模型的一个扩展。信息安全计划模型包含了一系列的操作,这些操作对信息安全战略的设计、创建和实施都是必须的,因为它们同样也出现在IT计划之中。业务战略被转变为IT战略,然后又转变为信息安全战略或策略。CIO用从业务部门的各种计划中收集来的IT目标来制定机构的IT战略,然后按照这个战略为每个IT职能部门分配计划任务。依靠机构中信息安全职能的定位,IT战略可以用于信息安全计划的制定。信息安全计划包括事件响应计划、业务连续性计划、灾难恢复计划、策略计划、人员计划、技术的首次展示计划、风险管理计划以及安全项目计划(包括教育、培训和意识提升)。1.4信息安全管理的原则2、策略一个组织指导员工行为的一套准则称为策略。信息安全中一般有3种策略:企业信息安全策略(Enterpriseinformationsecuritypolicy):它为信息安全部门定下了基调,并确定整个机构信息安全的大环境。该策略是顺应IT战略性计划而开发的,一般由首席信息安全官草拟,再由首席信息官或首席执行官支持和签署通过。基于问题的安全策略(Anissue-specificsecuritypolicy):在使用特定的技术时(如电子邮件、因特网)所定义的可被接受的行为规则。基于系统的策略(System-specificpolicies):它实际上是采用技术或管理措施来控制设备的配置。例如,访问控制列表就是这种策略,它定义了对某个特殊设备的访问权限。1.4信息安全管理的原则3、项目项目是信息安全中的一个活动或一项工作,人们把它们当作单独的实体来管理。安全教育培训及意识提升项目(SETA)就是这样的一个实体,它旨在为员工提供关键信息以提高或巩固他们当前的安全知识水平。其他项目如物理安全项目,它包括处理火、物理通道、大门、保卫等等问题。每个机构可能有一个或更多的安全项目。1.4信息安全管理的原则4、保护保护功能由一系列风险管理活动来实现,包括风险评估和控制,也包括保护机制、技术和工具。每种机制代表了在整个信息安全计划中某些方面的具体控制管理。5、人员人是信息安全项目中最重要的环节。管理者必须牢固确立人在信息安全项目中所充当角色的重要性。这方面包括安全的个人化和个人的安全化,也包括在前面提到的“安全教育培训及意识提升项目”。1.4信息安全管理的原则6、项目管理最后是把整个项目管理原则运用到信息安全项目的所有过程当中去。不管是推出一种新的安全培训项目或者是选取并实施一种新的防火墙,把这个过程作为一个项目来对待是非常重要的。这些工作包括验证和控制项目所使用的资源,也包括测量工作进度和根据总体目标来调整进度。1.5信息安全管理的重要性1、安全威胁内部操作系统的脆弱性计算机系统的脆弱性协议安全的脆弱性数据库管理系统安全的脆弱性人为的因素外部1.5信息安全管理的重要性编程系统漏洞网络威胁物理威胁身份鉴别外部威胁1.5信息安全管理的重要性物理威胁盗窃废物搜寻间谍行为身份识别错误网络威胁拨号进入窃听冒名顶替1.5信息安全管理的重要性身份鉴别编辑口令口令圈套口令破解算法考虑不周编程更新下载病毒代码炸弹木马1.5信息安全管理的重要性系统漏洞乘虚而入初始化不安全服务配置“三分技术,七分管理”信息系统的安全问题不能只局限于技术,更重要的还在于管理。1.6信息安全管理的国内外现状从国际上看,粗略地把信息安全管理的发展进行分期,大体经历了“零星追加时期”和“标准化时期”两个阶段,九十年代中期可以看作这两个阶段的分界。1、国外现状制订信息安全发展战略和计划;加强信息安全立法,实现统一和规范管理;步入标准化与系统化管理时代。1.6信息安全管理的国内外现状2、国内现状存在的问题宏观方面•法律法规问题;•管理问题;•国家信息基础设施建设问题。微观方面•缺乏安全意识与方针;•重技术,轻管理;•缺乏系统管理的思想。1.7信息安全管理相关标准1、国际标准信息安全管理体系标准(BS7799)IT基础设施库(ITIL)信息和相关技术控制目标(COBIT)IT安全管理指南(ISO13335)系统安全工程能力成熟度模型(SSE-CMM)2、国内标准GB17895-1999《计算机信息系统安全保护等级划分准则》2001年制定了国家标准GB/T18336《信息技术安全性评估准则》2002年4月15日全国信息安全标准化技术委员会在北京正式成立2002年7月公安部根据GB17895-1999制定了计算机信息系统安全等级保护技术要求系列标准1.7信息安全管理相关标准3、BS7799安全体系简介BS7799是信息安全管理领域的一个权威标准,是全球一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项BS7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。该标准是由英国标准协会(BSI)制定,是目前英国最通用的标准。BS7799信息安全管理体系标准强调风险管理的思想。以BS7799:1999为例,该标准主要由两大部分组成:BS7799-1:1999以及BS7799-2:1999。1.7信息安全管理相关标准BS7799-1简介信息安全管理实施规则是以国际信息安全指导标准ISO/IEC17799为基础的指导性文件,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项,三十六个执行目标,一百二十七种控制方法。BS7799-2简介信息安全管理系统的规范详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。建立信息安全管理体系的步骤,如图所示。1.7信息安全管理相关标准BS7799提供了一个对组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。适用性申请风险评估ISMS范围策略文档定义信息安全管理策略定义信息安全管理范围进行信息安全风险评估进行风险管理确定管制目标和选择管制措施准备适用性声明策略文档ISMS范围风险管理适用性申请确定目标和选择措施风险评估