《网络安全管理 》由会员分享,可在线阅读,更多相关《网络安全管理 (83页珍藏版)》请在金锄头文库上搜索。
1、1,第八章 安全管理,2,一、安全管理概述 二、信息安全管理策略 三、信息安全管理标准 四、基于等级保护的信息安全管理体系 五、安全风险管理 六、本章小结,3,所谓管理,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。其中,管理的任务、目标、对象、原则、程序和方法是管理策略的内容,一系列的管理活动是在管理策略的指导下进行的。所以,首先要明确管理策略,然后才是开展管理活动。,一、安全管理概述 1.1 安全管理的概念,4,管理是指为提高群体实现目标的效率而采
2、取的活动和行为。包括制定计划(规划)、建立机构(组织)、落实措施(部署)、开展培训(提高能力)、检查效果(评估)和实施改进(改进)等。 收集信息评估组织部署 ,系统B,5,安全管理是以管理对象的安全为任务和目标的管理。 安全管理的任务是保证管理对象的安全。 安全管理的目标是达到管理对象所需的安全级别,将风险控制在可以接受的程度。信息安全管理是以信息及其载体即信息系统为对象的安全管理。 信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。信息安全管理有其相应的原则、程序和方法,来指导和实现一系列的安全管理活动
3、。,6,在信息时代,信息是一种资产。随着人们对信息资源利用价值的认识不断提高,信息资产的价值在不断提升,信息安全的问题越发受到重视。针对各种风险的安全技术和产品不断涌现,如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证、访问控制、安全审计等,这些都是信息安全控制的重要手段,并且还在不断地丰富和完善。但是,却容易给人们造成一种错觉,似乎足够的安全技术和产品就能够完全确保一个组织的信息安全。其实不然,仅通过技术手段实现的安全能力是有限的,主要体现在以下三个方面。,1.2 安全管理的重要性,7,许多安全技术和产品远远没有达到人们需要的水准。例如,微软的Windows NT、IBM的AIX等
4、常见的企业级操作系统,大部分只达到了美国国防部TCSEC C2级安全认证,而且核心技术和知识产权都是国外的,不能满足国家涉密信息系统或商业敏感信息系统的需求。 在计算机病毒与病毒防治软件的对抗过程中,经常是在一种新的计算机病毒出现并已经造成大量损失后,才能开发出查杀该病毒的软件,也就是说,技术往往落后于新风险的出现。 即使某些安全技术和产品在指标上达到了实际应用的某些安全需求,如果配置和管理不当,还是不能真正地实现这些安全需求。例如,虽然在网络边界设置了防火墙,但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因,防火墙的配置出现严重漏洞,其安全功效将大打折扣。再如,虽然引入了身份认
5、证机制,但由于用户安全意识薄弱,再加上管理不严,使得口令设置或保存不当,造成口令泄漏,那么依靠口令检查的身份认证机制会完全失效。,仅靠技术不能获得整体的信息安全,需要有效的 安全管理来支持和补充,才能确保技术发挥其应 有的安全作用,真正实现整体的信息安全。 “三分技术、七分管理”,在安全领域更是如此。,8,安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。风险的识别与评估是安全管理的基础,风险的控制是安全管理的目的,安全管理实际上是风险管理的过程。由此可见,安全管理策略的制定依据就是系统的风险分析和安全要求。 新的风险在不断出现,系统的安全需求
6、也在不断变化,也就是说,安全问题是动态的。因此,安全管理应该是一个不断改进的持续发展过程。,1.3 安全管理模型,9,安全管理模型遵循管理的一般循环模式,即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式,简称PDCA模式。 每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的,每次循环都会通过检查环节发现新的问题,然后采取行动予以改进,从而形成了安全管理策略和活动的螺旋式提升。,10,信息安全管理也遵循PDCA持续改进模式。信息安全管理策略包括管理的任务、目标、对象、原则、程序和方法;信息安全管理活动包括制定计划、建立机构、落实措施、开展培训、检
7、查效果和实施改进等。 制定计划制定信息安全管理的具体实施、运行和维护计划; 建立机构建立相应的安全管理机构; 落实措施选择适当的安全技术和产品并实施; 开展培训对所有相关人员进行必要的安全教育和培训; 检查效果对所构建的信息安全管理体系进行符合性检查; 实施改进对检查结果进行评审,评价现有信息安全管理体系的有效性,针对存在的问题采取改进措施。,11,信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。 1. 信息安全管理的任务 信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。 信息的使用安全是通过实现信息的机密性、完整性和可用性这些安全属性来保证的。 信
8、息载体包括处理载体、传输载体、存储载体和入出载体,其运行安全就是指计算系统、网络系统、存储系统和外设系统能够安全地运行。,二、信息安全管理策略,12,2. 信息安全管理的目标 达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。 3. 信息安全管理的对象 从内涵上讲是指信息及其载体信息系统,从外延上说其范围由实际应用环境来界定。 4. 信息安全管理的原则 信息安全管理遵循如下基本原则: (1) 策略指导原则 所有的信息安全管理活动都应该在统一的策略指导下进行。,13,(2) 风险评估原则 信息安全管理策略的制定要依据风险评估的结果。 (3) 预防为主原则 在信息系统的规划、设计、采购、
9、集成和安装中要同步考虑信息安全问题,不可心存侥幸或事后弥补。 (4) 适度安全原则 要平衡安全控制的费用与风险危害的损失,注重实效,将风险降至用户可接受的程度即可,没有必要追求绝对的、高昂代价的安全,实际上也没有绝对的安全。 (5) 立足国内原则 考虑到国家安全和经济利益,安全技术和产品首先要立足国内,不能未经许可,未能消化改造直接使用境外的安全保密技术和产品设备,特别是信息安全方面的关键技术和核心技术尤其如此。,14,(6) 成熟技术原则 尽量选用成熟的技术,以得到可靠的安全保证。采用新技术时要慎重,要重视其成熟的程度。 (7) 规范标准原则 安全系统要遵循统一的操作规范和技术标准,以保证互
10、连通和互操作,否则,就会形成一个个安全孤岛,没有统一的整体安全可言。 (8) 均衡防护原则 安全防护如同木桶装水,一是,只要木桶的木板有一块坏板,水就会从里面泄漏出来;二是,木桶中的水只和最低一块木板看齐,其他木板再高也无用。所以,安全防护措施要注意均衡性,注意是否存在薄弱环节或漏洞。 (9) 分权制衡原则 要害部位的管理权限不应交给一个人管理,否则,一旦出现问题将全线崩溃。分权可以相互制约,提高安全性。,15,(10) 全体参与原则 安全问题不只是安全管理人员的事情,全体相关人员都有责任。如果安全管理人员制定的安全制度和措施得不到相关人员的切实执行,安全隐患依然存在,安全问题就不会得到真正解
11、决。 (11) 应急恢复原则 安全防护不怕一万就怕万一,因此安全管理要有应急响应预案,并且要进行必要的演练,一旦出现问题就能够马上采取应急措施,阻止风险的蔓延和恶化,将损失减少到最低程度。 天灾人祸在所难免,因此在灾难不能同时波及的地区设立备份中心,保持备份中心与主系统数据的一致性。一旦主系统遇到灾难而瘫痪,便可立即启动备份系统,使系统从灾难中得以恢复,保证系统的连续工作。 (12) 持续发展原则 为了应对新的风险,对风险要实施动态管理。因此,要求安全系统具有延续性、可扩展性,能够持续改进,始终将风险控制在可接受的水平。,16,5. 信息安全管理的程序 信息安全管理的程序遵循PDCA循环模式的
12、4大基本步骤: 计划(Plan)。制定工作计划,明确责任分工,安排工作进度,突出工作重点,形成工作文件。 执行(Do)。按照计划展开各项工作,包括建立权威的安全机构,落实必要的安全措施,开展全员的安全培训等。 检查(Check)。对上述工作所构建的信息安全管理体系进行符合性检查,包括是否符合法律法规的要求,是否符合安全管理的原则,是否符合安全技术的标准,是否符合风险控制的指标等,并报告结果。 行动(Action)。依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性,采取改进措施。,17,6. 信息安全管理的方法 信息安全管理根据具体管理对象的不同,
13、采用不同的具体管理方法。信息安全管理的具体对象包括机构、人员、软件、设备、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计、场地设施等。,18,BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分: BS7799-1:1999信息安全管理实施规则; BS7799-2:1999信息安全管理体系规范。 其中,BS7799-1:1999于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC19799:2000信息技术信息安全管理实施规则。,三、 信息安全管理标准,19,BS77
14、99于1995年首次出版,它提供了一套综合的、由信息安全最佳实施组成的通用规则,为工商业及大、中、小组织的信息系统在通常情况下所需的安全控制提供标准的参考基准。 BS7799最新版本于1999年5月制定完成,这一版充分考虑了信息处理技术,尤其是网络和通信领域应用的近期发展,同时还强调了电子商务所涉及的信息安全及信息安全的责任。,20,BS7799共分两部分: 第一部分为BS7799-1:1999信息安全管理实施规则,即ISO/IEC19799:2000信息技术信息安全管理实施规则,是组织建立并实施信息安全管理体系的一个指导性准则,主要是为组织实施有效的信息安全管理所需的控制提供通用的最佳实施规
15、则。 第二部分为BS7799-2:1999信息安全管理体系规范,规定了建立、实施和维护信息安全管理体系(Information Security Management System,ISMS)的要求,指出组织需通过风险评估和自身需求来确定最适宜的安全控制对象,采取最适当的安全控制措施。 BS7799-2:1999明确提出安全控制要求,BS7799-1:1999对应给出了通用的安全控制方法,因此可以说,BS7799-1:1999为BS7799-2:1999的具体实施提供了指南。,3.1 标准的组成与结构,21,BS7799由4个主要段落组成,即范围、术语和定义、体系要求和控制细则。其中控制细则包
16、括11大控制方面、36个控制目标、134种控制方式,涉及与信息安全有关的方方面面。关于控制细则的使用,一方面,组织可以根据自己的实际需要进行选用;另一方面,标准中的控制目标和控制方式并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。,22,BS7799 详细内容列表,23,BS7799 详细内容列表,24,1.总则 总则(general)是标准对信息安全管理体系的总体要求。 信息安全管理体系是组织管理体系的一部分,专门用于组织的信息资产风险管理,确保组织的信息安全,包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资源。,3.2 信息安全管理体系要求,25,标准要求组织通过制定信息安全方针、确定体系范围、明确管理职责,通过风险评估确定控制目标与控制方式等活动建立信息安全管理体系。信息安全管理体系一旦建立,组织应按体系规定的要求进行运作,保证体系运作的有效性。信息安全管理体系应形成一定的文件,如方针、适用性声明文件和实施安全控制所必须的程序文件。综上所述,组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、风险管理的方法、控制目标及控制方式和需要的保证程度。,
