《关于信息安全管理的研究》由会员分享,可在线阅读,更多相关《关于信息安全管理的研究(73页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障 管理标准化动态,汇报内容,管理成为信息安全保障能力的重要基础 还有谁在研究和制定信息安全管理标准 问题、思考和建议,管理成为 信息安全保障能力的 重要基础,长期以来,存在着重技术、轻管理的现象,以为信息安全问题都可以通过技术手段加以解决。 研究表明,15年来每年在信息安全的预算上涨了17倍,实际开销则增加了120倍,安全问题的长势却依然超过了解决的问题,为什么差距老是在增大?,大量的安全事件,使人们逐步明白了,不是什么信息安全问题都可以通过技术手段解决的。即便有技术手段,如果没有管理,也不能真正发挥出技术手段应有的功效。 研究表明,出现的信息安全问题中,属于管理方面的原因比重高达
2、70%以上。其中95%的安全问题可以通过正确的配置管理来消除。,人们逐步形成一个看法,在保障信息安全方面,就技术和管理所起的作用而言,管理的比重要大于技术,被称为三分技术,七分管理。 我们薄弱的方面,还是管理。,信息安全管理是信息保障能力的重要源泉。管理把分散的技术因素、人的因素,通过政策规则协调整合成为一体,服务于信息化使命的安全目标。 信息安全保障的管理成为目前世界的热点、重点和难点。,两个层次的管理,由于信息化有通过网络互连、互通互操作的特点,因此,没有强力度的全局安全管理,仅靠局部是难以发挥信息化应有的效率和效益的。而国际化的特点更需要有反映国家意志的国际交往和处理应对措施。 宏观信息
3、安全管理是信息化社会有序健康运作的保证,是技术发展的推动力,是人才成长的孵化床,是把分散的信息保障能力的“指头”变成“拳头”的变换器。,现代信息系统是人机结合的智能化、非线性、时变复杂大系统,没有细粒度的对人和技术的有效安全管理,则系统的效率和效益难以发挥。 各个行业和机构都有其个性化的需求,因此,微观信息安全管理是人如何操作技术的规范尺度,是发挥人的因素和技术因素的桥梁,是把单薄的零星技术和人的因素结合起来的强力黏合剂。,宏观管理是对微观管理的指导和约束,微观管理是对宏观管理的贯彻和落实,二者紧密相关,互为依托,缺一不可。,信息安全管理的发展阶段,从国际上看,粗略地把信息安全管理的发展进行分
4、期,大体经历了“零星追加时期”和“标准化时期”两个阶段,九十年代中期可以看作这两个阶段的分界。,近年来,国际上提出了许多有关信息安全管理的标准和指南,他们对推动重视安全管理,研究和规范信息安全管理起到了积极的作用。如: 源于英国标准协会的信息安全管理标准(BS 7799)包含10个控制要项,36 个控制目标,127 个控制措施 。 ISO/IEC 17799是依据英国标准协会(BSI)的信息安全管理标准(BS 7799)转换而来。,一个从技术到管理的安全认证认可框架,信息安全计划,机构的信息和信息系统,系统安全不同于产品安全,NIST SP 800-53的类和族划分,还有谁在研究和制定 管理标
5、准,还有谁,国际: 国际信息系统审计与控制协会 (ISACA) COBIT-Control Objectives for Information and related Technology(直译为信息及相关技术的控制目标) IT Governance Institute(1998) 国际会计师联合会 分布式管理任务组(DMTF ) 国内: 公安部 1110工程 金融标准化委员会 银行和相关金融业信息安全管理规范 ,国际信息系统审计与控制协会 (ISACA)的背景,建立于1969年 在世界上100多个国家拥有35000个会员 举办国际会议 出版 Information Systems Cont
6、rol Journal 开发国际信息系统审计和控制标准 管理全球信息系统审计证书 用US Sarbanes-Oxley Act of 2002 评价一个组织IT控制要求,ISACA的切入点,信息安全治理(GOVERNANCE) 系统审计,IT治理的定义,Robert s. Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。,德勤定义如下: IT治理是一个含义广泛的概念,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是:保持
7、IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。,从安全治理切入关心的问题,信息安全什么? 安全的重要性在哪里? 信息安全应由谁负责? 如何发现潜在的信息安全弱点? 信息安全治理的内容; 怎样设计一个明确的安全体系结构图和计划蓝图来实施信息安全方案? 怎样评估企业信息安全治理程度级别; 信息安全如何为企业创造新的竞争机遇?,提出当前存在的问题,各自为政,缺乏统一、全局的IT战略规划。 信息化建设领导者错位,IT应用方案和企业业务需求之间逻辑错位。 决策的技术经济论证不足。 信息资源的合理应用一直是我国信息化的薄弱环节。 利益冲突和信息的不透明。 IT
8、安全治理和风险管理缺位。 非技术性的障碍。 重硬件购买,轻软件和咨询服务。 信息化建设找不到重心。,国际会计师联合会信息和通信系统风险国际指南第一号报告管理信息安全提出与信息安全相关的六项活动: 政策制定:使用安全目标和核心原理作为框架,围绕这个框架制定安全政策 角色和责任:确保每个人知道自己各自的角色、责任和权力 设计:开发由标准、测评措施务实规程组成的安全框架 实施:实施并维护实施方案 控制:建立控制措施,查明安全隐患,并确保其得到改正 安全意识,培训和教育:安全意识养成,宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训,提供安全评估和务实教育。,国际会计师联合会,信息安全管理(1
9、998),信息安全的目标是“保护依靠信息、信息系统和传送信息的通讯设施人的利益不受因为信息可用性、保密性和完整性导致故障的损害”。 认可组织在满足下面3条准则时可以认为达到信息安全目标:信息系统在需要时可用和有用(可用性):数据和信息只透露给有权知道该数据和信息的人(保密性);数据和信息保护不受未经授权的修改(完整性)。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通讯设施传送信息,外包业务等等)可能潜在地导
10、致管理控制的失效和监督不力。,信息和相关技术的控制目标(CoBIT),CoBIT开发和推广了第三版, CoBIT起源于组织为达到业务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心,实行业务流程负责制 CoBIT还考虑到组织对信用、质量和安全的需要 它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、保密性、可靠性和一致性。,CoBIT进一步把IT分成4个领域 计划和组织, 获取和运用, 交付和支持, 监控和评价。 共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是: 计划和组织流程9评估风险: 传递和支持流程4确保连贯的服务; 传递和支持流程
11、5保证系统安全。,管理质量的划分,CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。,CoBIT的控制目标,CoBIT最近增加了一个管理和治理层,该层提供给管理者一个工具箱,包括: 绩效评估项目(所有IT流程的成果测量和改进动力): 一个关键成功因素列表。该列表为每个IT流程提供了成功的、非技术的最佳实践一个协助建立标杆和做出进行IT控制决策的成熟度模型。,Index of IS Auditing Procedures,1. IS Risk Assessment, e
12、ffective 1 July 2002 2. Digital Signatures, effective 1 July 2002 3. Intrusion Detection, effective 1 August 2003 4. Viruses and other Malicious Logic, effective 1 August 2003 5. Control Risk Self-assessment, effective 1 August 2003 6. Firewalls, effective 1 August 2003 7. Irregularities and Illegal
13、 Acts Effective 1 November 2003 8. Secuurity AssessmentPenetration Testing andVulnerability Analysis, effective 1 September 2004,从1998年开始,国际上已经成立了分布式管理任务组(DMTF),Cisco 、Dell Computer Corp.、EMC、HP、IBM、Inte、Microsoft、NEC 、Novell、Oracle、Sun、Symantec等公司成为管理委员会成员,数百家公司成为贡献成员。 他们研究基于WEB的企业管理,通过目录管理协议(LDAP)
14、 映射到通用信息模型(CIM)核,发布了包括使用、支持、和诊断模型的CIM多个计划版本。研究通用身份监管和策略、管理能力的发现,通过WEB的安全管理信息的共享等。,通过Organizational data、System/Device data、Management service data、System (Router/Switch) data、End user device data、Mobility characteristics等共享和管理提高管理的能力。,DMTF的切入点,这个国际重要IT企业的合作研究动向反映了他们为了适应未来分布式管理和传统网络管理和安全保障管理结合的必然趋势。
15、他们在从技术平台的角度考虑综合的管理问题,银行及相关金融服务信息安全管理规范,问题、思考和建议,国际信息安全保障管理出现的新趋势,着眼点越来越高 国际 国家 企业 包括的范围越来越大 时间:生命周期全过程 空间:系统和网络 手段:人和系统来执行行政和技术的安全策略 目标:信息和内容安全 目的:信息化应用服务的效率和效益,管理思想越来越科学化 没放弃追求最高境界:从保护提高到保障 没要求绝对安全:风险分析,风险管理 强调管理责任落实:角色和责任 从IT管理发展到IT+应用服务管理: 如 CoBIT和US Sarbanes-Oxley Act of 2002 的出现 强调过程控制:落实到生命周期各
16、个环节上,定性定量结合: “头脑风暴” 信息收集 信息分析 科学决策 重视发展管理技术手段: 信息获取工具 信息交换手段 信息分析工具 测试评估工具 实验演练平台,人的因素第一 重视队伍建设 重视人员成长 意识 培训 教育 重视队伍的战斗力,向成熟度要管理能力 工程:SSE-CMM 综合:CMMI 评估:INFOSEC-CMM 人员:P-CMM 重视管理成本 重视自评估:美国NIST SP 800-26 重视先进经验的推广:Best Practice 提出信息安全资金计划指南:NIST SP 800-65 Integrating IT Security into the Capital Planning and Investment Control Process (June 2004 ),我们管理上存在的问题,谁来管 要求不明 一把手工程 IT 和应用服务两张皮 多头参与,责任不清。 IT 人保 保密 内审稽核,管什么 传统明确的:保密 上级抓得紧的:信息内容 领导交办的: 不得不办的:事件事故处理,
