《第5章信息安全管理精编版》由会员分享,可在线阅读,更多相关《第5章信息安全管理精编版(113页珍藏版)》请在金锄头文库上搜索。
1、5.1信息安全管理相关概念 5.2信息安全管理标准 5.3信息安全管理的实施要点 本章小结,第5章信息安全管理,5.1.1什么是信息安全管理信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题,技术和产品的应用,一定程度上解决了部分信息安全问题。但是仅仅依靠这些产品和技术还不够,即使采购和使用了足够先进、数量足够多的信息安全产品,如防火墙、防病毒、入侵检测、漏洞扫描等,仍然无法避免一些安全事件的发生。,5.1信息安全管理相关概念,更何况,对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是
2、解决不了的。依据国家计算机应急响应中心发布的数据,所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部非法人员的攻击造成的,如图5-1所示。,图5-1造成计算机安全事件的原因分析,简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,管理已成为信息安全保障的重要基础,管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面,信息安全的有效性和长期性才能得到保障。信息安全管理(ISM,In
3、formation Security Management)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。,信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。信息安全建设是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和构架,,并要时时兼顾组织内外不断发生的变化,任何环节上的安全
4、缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程,这也是组织需要信息安全管理的基本出发点。总之,信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动,有效的信息安全管理应该是在有限的成本下,尽量做到安全“滴水不漏”。,5.1.2信息安全管理现状在计算机时代到来之前,人们会将重要的文件资料锁到文件柜或保险柜中进行保存,但是现在,人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散等特性,从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到
5、计算机病毒的感染。2005年9月,美国能源部一个研制核武器的部门网站被电脑黑客侵入,大约1500名工作人员的个人信息被盗。,2006年5月,美国退伍军人事务部一名工作人员的住所失窃,一个储存了约2650万名退伍军人和大量现役军人身份信息的电脑硬盘被盗。2006年7月,一台可能储存有3.8万名退伍军人个人信息的台式电脑在退伍军人事务部的分包商优利公司的一处办公室内被盗,电脑中存有退伍军人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月,一部保存3.3万名旅客个人敏感资料的无加密手提计算机在旧金山国际机场被人偷去,手提计算机中保存有申请者姓名、地址和出生日期
6、,,部分有驾驶执照、护照或绿卡号码等信息。2010年位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息,时间跨度为15年。由于苹果合作运营商AT&T网站的安全漏洞,2010年6月苹果发生安全泄露事件,影响11.4万iPad用户,其中包括很多公司CEO、军方高官和白宫政治家。在垃圾邮件和恶意黑客面前,iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说,是一个非常坏的消息,或许将直接导致3G版iPad销量的大幅下滑。,我国面临的计算机信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令
7、人担忧,有些单位和组织根本没有意识到网络安全的重要性,即使是对外宣称采用了安全防范措施的单位,实际上也有许多安全隐患。如果说“iPad 3G用户信息泄漏”事件和美国“南岸医院80万份文件泄漏”事件似乎看起来还有些“遥远”的话,国内某知名大型网络安全公司在2011新年伊始引发的大规模用户数据泄漏事件就近在眼前了。,CSDN官方已确认超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露,部分用户账号面临风险,网站将因此临时关闭用户登录,涉及用户600万。随后,多玩、人人、天涯等也被指责存在用户数据泄露问题。尽管有部分网站否认,但还是即刻引起互联网用户的关注。用户数据大规模集中泄露对中国互联网的
8、信息安全漏洞敲响了警钟。计算机犯罪大多具有瞬时性、广域性、专业性和时空分离等特点,通常计算机犯罪很少留下犯罪证据,这也是计算机高技术犯罪案件频发的诱因。2011年4月CNCERT/CC发布的2010年中国互联网网络安全报告指出,2010年我国基础网络运行总体平稳,,但重要联网信息系统安全问题突出,政府网站安全防护薄弱,金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标,工业控制系统安全面临严峻挑战,公共网络环境安全更不容乐观,木马和僵尸网络依然对网络安全构成直接威胁,手机恶意代码日益泛滥,DDoS攻击也严重危害网络安全,互联网应用层服务的市场监管和用户隐私保护工作亟待加强。报告同时指出,目前
9、发达国家政府普遍在加强网络安全管理,如美国政府出台加强网络安全法案等相关网络安全法律文件,推进网络安全立法,并推出“完美公民”计划,拟建立全美联网监控体系以对抗网络犯罪;,欧盟正式发布欧洲数字化议程五年规划,提出增强网络安全相关举措;瑞典政府拟设国家信息技术安全中心,以应对网络攻击及处理信息技术案件;日本政府批准制定“保护国民信息安全战略”,加大监管力度,构筑安全网络社会;新加坡信息通信发展管理局通过制定新准则、加强信息分析能力以及提高公民网络安全意识来加强新加坡网络安全;澳大利亚启动国家计算机应急响应官方机构CERT Australia,支持政府打击网络犯罪和网络恐怖主义威胁。,我国目前的计
10、算机安全防护能力还只处于发展的初级阶段,许多计算机基本上处于不设防状态,从防范意识、管理措施、核心技术到安全产品,还远未构成一个较成熟的体系。由于安全问题,尤其是因为管理的不善而导致的各种重要数据和文件的滥用、泄露、丢失、被盗等给国家、企业和个人造成的损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。,当然,这几年信息安全管理在国际上有了很大的发展,我国信息安全管理虽然起步较晚,但我国政府主管部门以及各行各业已经认识到了信息与信息安全的重要性,党的十七大报告明确提出“发展现代产业体系,大力推进信息化与工
11、业化融合,促进工业由大变强,振兴装备制造业,淘汰落后生产能力”的崭新命题,反映了党中央对于发展信息化重要性认识的深入,也体现了信息化带动工业化发展的重要意义。,我国作为发展中国家,工业化处于中期发展阶段,只有通过发展信息化带动工业化,并实现二者之间的有效融合,把中国工业化提高到广泛采用信息智能工具的水准上来,才能加快我国工业化进程,提高我国产业的国际竞争力,更好地参与国际经济竞争。因此,政府部门已开始出台一系列相关政策策略,直接指导,推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。,经过几年的发展,我国信息安
12、全管理的成绩可以总结为以下几点:(1) 初步建成了国家信息安全组织保障体系。1999年9月成立的国家计算机网络应急技术处理协调中心(CNCERT/CC)是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,专门负责收集、汇总、核实、发布权威性的应急处理信息,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。,2003年CNCERT在我国大陆31个省市、自治区、直辖市成立分中心,完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设,形成了全
13、国性的互联网网络安全信息共享、技术协同能力,在协调国内网络信息安全应急组织(CERT)共同处理互联网安全事件方面发挥着重要作用。2001年5月成立了中国信息安全产品测评认证中心(CNITSEC,China Information Technology Security Evaluation Center),,是代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系,负责对国内外信息安全产品和信息技术进行测评和认证,对国内信息系统和工程进行安全性评估和认证,对提供信息安全服务的组织和单位进行评估和认证,对信息安全专业人员的资
14、质进行评估和认证。为进一步加强对推进我国信息化建设和维护国家信息安全工作的领导,,2001年8月,中共中央、国务院决定重新组建国家信息化领导小组,同年12月,成立“国务院信息化工作办公室”办事机构,具体承担领导小组的日常工作。2003年7月,国务院信息化领导小组第三次会议上专题讨论并通过了关于加强信息安全保障工作的意见,同年9月,中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见(200327号文件)。,27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。2008年国务院
15、机构改革后原“国务院信息化工作办公室”职能合并至国家工业和信息化部,具体工作由工业和信息化部(信息化推进司)负责。,(2) 制定了一系列必需的信息安全管理法律法规。从20世纪90年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了中华人民共和国计算机信息网络国际联网管理暂行规定、商用密码管理条例、互联网信息服务管理办法、计算机信息网络国际联网安全保护管理办法、计算机病毒防治管理办法、互联网电子公告服务管理规定、软件产品管理办法、电信网间互联管理暂行规定、电子签名法等有关信息安全管理的法律法规文件。,(3) 制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安
16、全管理工作,公安部主持制定、国家质量技术监督局发布了中华人民共和国国家标准GB 178951999计算机信息系统安全保护等级划分准则,并引进了国际上著名的信息安全管理实施准则(ISO 177992000)、信息安全管理体系实施规范(BS 7799-22002)、信息技术安全性评估准则(ISO/IEC 154081999)、SSE-CMM:系统安全工程能力成熟度模型等信息安全管理相关标准。,信息安全标准化委员会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。(4) 信息安全风险评估工作已经得到重视和开展。风险评估是信息安全管理的核心工作之一。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,,国家其他关键行业或系统(如电力、电信、银
