《计算机网络与信息安全技术》教学课件V08.081信息安全管理第14章2基本内容管理安全是信息安全体系重要的组成部分。健全的管理制度、良好的设备使用制度,结合专门的机构与人员,可以对网络与信息进行综合防护。本章介绍安全管理相关的知识。314.1制定信息安全管理策略信息安全管理策略也称信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的准则和规划,以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循:1)综合平衡(综合考虑需求、风险、代价等诸多因素)。2)整体优化(利用系统工程思想,使系统总体性能最优)。3)易于操作和确保可靠。14.1.1信息安全管理策略概述414.1制定信息安全管理策略在制定信息安全管理策略时,要严格遵守以下主要原则。1)目的性。策略是为组织完成自己的信息安全使命而制定的,策略应该反映组织的整体利益和可持续发展的要求。2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。4)经济性。策略应该经济合理,过分复杂和草率都是不可取的。5)完整性。能够反映组织的所有业务流程的安全需要。6)一致性。策略的一致性包括下面三个层次:①和国家、地方的法律法规保持一致;②和组织己有的策略、方针保持一致;③整体安全策略保持一致,要反映企业对信息安全的一般看法。7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。14.1.2制定策略的原则514.1制定信息安全管理策略理论上,一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容:1)适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个例外的想法,也保证策略不至于被误解是针对某个员工的;同时也告诉员工本规定在什么时间发挥效力。2)目标。例如,“为确保企业的经营、技术等机密信息不泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”明确了信息安全保护对公司是有着重要意义的,而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标,如防病毒策略的目标可以是:“为了正确执行对计算机病毒(蠕虫、特洛伊木马、黑客恶意程序)的预防、侦测和清除过程,特制定本策略”。14.1.3策略的主要内容63)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。14.1制定信息安全管理策略14.1.3策略的主要内容(续)76)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。7)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。8)策略解释。由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。9)例外情况的处理。策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。14.1制定信息安全管理策略14.1.3策略的主要内容(续)814.1制定信息安全管理策略14.1.4信息安全管理策略案例914.2建立信息安全机构和队伍为了保护国家信息的安全,维护国家的利益,各国政府均指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导小组,由国务院领导亲自任组长,中央国家机关有关部委的领导参加小组的工作。国家信息化领导小组为了强化对信息化工作的领导,对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行了职能分工,明确了各自的责任,对于保障我国信息化工作的正常发展,保护信息安全起到了重要的作用。1014.2建立信息安全机构和队伍14.2.1信息安全管理机构一个组织的信息安全对本企业也是非常重要的,因此,对信息的安全管理是不容忽视的问题,必须要引起组织最高领导层的充分重视。信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制。1)决策机构。负责宏观管理。2)管理机构。负责日常协调、管理工作。3)配备各类安全管理、技术人员。负责落实规章制度、技术规范,处理技术方面的问题。凡对信息安全有需求的组织,必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展。安全组织机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。1114.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)1.信息安全领导小组(1)领导小组成员1)信息安全领导小组组长由组织主要领导担任。2)其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等有关方面的负责人担任。信息安全领导小组是组织中信息安全工作最高领导决策机构,不隶属任何部门,直接对组织最高领导层负责。领导小组是常设机构,有例会工作制度;领导小组负责本组织、本系统信息安全工作的宏观领导。1214.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(2)领导小组职能1)制定与信息安全有关的长远规划、建设,研究信息安全工作的资金投入、安全(技术、管理)策略、资源利用,处理信息安全的重大事故,决定信息安全的人事问题。2)根据国家信息安全的法律、法规、制度和规范,结合本组织的实际,批准本组织信息安全方面的规章制度、实施细则、安全目标岗位责任制。3)领导本组织信息系统的安全工作,并监督整个信息系统安全体系的日常工作。安全负责人要接受本组织信息安全领导小组和信息安全领导小组办公室的领导。4)领导本组织所属的信息安全工作机构,定期召开信息安全工作会议,研究布置工作,解决重大问题。5)定期向组织最高领导层汇报信息安全工作情况,取得最高层领导对信息安全工作的支持。6)审核批准安全年报、安全教育计划。7)表彰信息安全工作先进者,处置违规行为。1314.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(3)领导小组决策的主要内容1)审核系统安全管理人员的各种安全报告,并做出相关的决定。2)决定信息系统和信息的安全等级。3)决定信息系统是否要采取安全措施。4)作出新的信息安全风险评测,决定是否增加安全措施。5)决定所采用安全保护措施的投入资金量。6)批准系统安全管理人员草拟或修改的各种安全策略手册。7)审定并公布本组织信息安全规章制度。8)仲裁本组织信息安全事故的责任。9)决定系统安全管理人员的任免。10)所形成的决定性意见,以信息安全领导小组名义,用决策决定书的形式公告。1414.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(4)领导小组决策的依据1)系统信息安全管理员提供的报告。2)信息安全现状报告。3)安全新风险分析报告。4)本组织新增加的安全保密防范措施。5)组织信息安全事故初步分析报告。6)新增加安全措施的经费报告。7)新增加安全措施的效益估计。8)信息的安全现状及对组织效益的影响。1514.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)2.信息安全顾问委员会组织信息安全顾问委员会以信息安全领导小组成员为核心,邀请本组织或社会上信息安全、法律政策、行政(企业)管理、技术专家、组织策划等有关方面专家学者参加,组成智囊团,对组织信息安全领导小组负责。委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全顾问委员会是非常设机构,不一定需要例会制度。1614.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)信息安全领导小组办公室(信息中心)是在信息安全领导小组直接领导下进行工作,为常设机构,有例会工作制度,负责处理本组织信息安全管理的日常工作。(1)办公室组成人员1)信息安全领导小组办公室主任负责组织、处理信息安全方面大量的日常工作,有些工作技术性比较强,因此需要懂技术的信息中心主要负责人(CIO)担任,或由安全负责人担任,但应有一名懂技术的信息中心领导担任副主任,负责技术管理工作。2)其他人员由系统管理、系统分析、通信、软件、硬件、保卫、保密、机要、监察和人事等有关方面的工作人员组成。1714.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)(2)办公室职能1)接受信息安全领导小组的直接领导;处理信息安全工作的日常工作。2)制定本组织信息安全的工作制度、安全目标和各级工作人员的权限、岗位职责。3)定期向组织信息安全领导小组汇报工作,报告工作计划。4)与国家有关信息安全工作的主管部门、技术部门建立日常工作联系,及时报告重大事件,并协助有关部门做好处理工作。5)制定本系统安全操作规程制度。6)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。7)定期检查各部门的安全工作,及时通报检查结果和违章行为。8)负责安全事故调查,起草安全事故报告,提出处理意见。1814.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)9)听取所属组织安全领导小组(负责人)的工作汇报,对报告中的重大问题及时报告组织安全领导小组。10)对本级和本级所属安全工作人员进行工作业绩考核,并提出工作人员称职、不称职或表彰、处罚的意见。11)起草年度信息安全工作报告和有关信息安全宣传、教育、培训计划。12)审阅控制台操作记录、系统日志、系统报警记录、系统统计活动、警卫报告、加班报表以及其他与安全有关的材料,发现问题及时作出补救决定。13)管理、检查、监督、分析系统运行日志和系统监督文档,定期对系统做出安全评价。14)制定、管理和定期分发系统及用户的身份识别号码、密钥和口令。1915)根据国家和上级保密工作规定,审查系统操作人员对系统信息的使用,审查系统对外发表的信息,防止发生泄密。16)采取切实可行的措施,防止系统操作人员对系统信息泄露和破坏、篡改数据、防止未经许可越权使用系统资源。17)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统设备的检修及维护。18)采取切实可行的措施,防止计算机设备的损坏、改换和盗用。19)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全管理系统的风险分析报告,提出相应的对策和实施计划。20)负责存取系统和修改系统授权以及系统特权口令。14.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)20组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、