《信息安全技术 教学课件 ppt 作者 周苏 第9-1讲 信息安全管理与工程》由会员分享,可在线阅读,更多相关《信息安全技术 教学课件 ppt 作者 周苏 第9-1讲 信息安全管理与工程(58页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术,周苏 教授 Z QQ: 81505050,第 9 章 信息安全管理与灾难恢复,9.1 信息安全管理与工程 9.2 信息灾难恢复规划,9.1 信息安全管理与工程,9.1.1 信息安全管理策略 9.1.2 信息安全机构和队伍 9.1.3 信息安全管理制度 9.1.4 信息安全管理标准 9.1.5 信息安全的法律保障 9.1.6 信息安全工程 9.1.7 信息安全工程的设计步骤 9.1.8 信息安全工程的实施与监理 9.1.9 实验与思考,9.1.1 信息安全管理策略,信息安全管理策略是组织机构为发布、管理和保护敏感的信息资源 (信息和信息处理设施) 而制定的一组法律、法规和措施的总和
2、,是对信息资源使用、管理规则的正式描述,是企业内所有成员都必须遵守的规则。它告诉组织成员在日常工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区等等。,9.1.1 信息安全管理策略,作为有关信息安全方面的行为规范,一个成功的信息安全策略应当遵循: 1) 综合平衡 (综合考虑需求、风险、代价等诸多因素) 2) 整体优化 (利用系统工程思想,使系统总体性能最优) 3) 易于操作和确保可靠。,9.1.1 信息安全管理策略,信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员;对所有相关员工进行信息安全策略的培训;对信息安全负有特殊责任的人员要进行特
3、殊的培训,以使信息安全方针真正落实到实际工作中。当然,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略,为信息安全提供管理指导和支持。,9.1.1 信息安全管理策略,(1) 制订策略的原则 在制定信息安全管理策略时,应遵守以下原则: 1) 目的性。策略是为组织完成自己的信息安全使命而制定,应该反映组织整体利益和可持续发展的要求。 2) 适用性。策略应该反映组织的真实环境和当前信息安全的发展水平。 3) 可行性。策略的目标应该可以实现,并容易测量和审核。,9.1.1 信息安全管理策略,4) 经济性。策略应该经济合理,过分复杂和草率都不可取。 5) 完整性。策略能够反映组织的所有业务流
4、程的安全需要。 6) 一致性。策略应该和国家、地方的法律法规保持一致;和组织已有的策略、方针保持一致;以及和整体安全策略保持一致。 7) 弹性。策略不仅要满足当前的要求,还要满足组织和环境在未来一段时间内发展的要求。,9.1.1 信息安全管理策略,(2) 策略的主要内容 理论上,一个完整的信息安全策略体系应该保障组织信息的机密性、可用性和完整性。虽然每个组织的性质、规模和内、外部环境各不相同,但一个正式的信息安全策略应包含下列一些内容: 1) 适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。,9.1.1 信息安全管理策略,2) 保护目标。安全策略中
5、要包含信息系统要保护的所有资产 (包括硬件、软件和数据) 以及每件资产的重要性和其要达到的安全程度。例如,“为确保企业的经营、技术等机密信息不被泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”,9.1.1 信息安全管理策略,3) 策略主题。例如:设备及其环境的安全;信息的分级和人员责任;安全事故的报告与响应;第三方访问的安全性;外围处理系统的安全;计算机和网络的访问控制和审核;远程工作的安全;加密技术控制;备份、灾难恢复和可持续发展的要求等。 也可以划分为如账号管理策略、口令管理策略、防病毒策略、E-mail使用策略,因特网访问控制策略等。每一种主题都可以借鉴相关的标
6、准和条例。,9.1.1 信息安全管理策略,4) 实施方法。明确对网络信息系统中各类资产进行保护所采用的具体方法,如对于实体安全可以用隔离、防辐射、防自然灾害的措施实现;对于数据信息可以采用授权访问技术来实现;对于网络传输可以采用安全隧道技术来实现,等等。另外,还要明确所采用的具体方法,如使用什么样的算法和产品等。,9.1.1 信息安全管理策略,5) 明确责任。维护信息与网络系统的安全不仅仅是安全管理员的事,要调动大家的积极性,明确每个人在安全保护工程中的责任和义务。为了确保事故处理任务的落实,必须建立监督和管理机制,保证各项条款的严格执行。 6) 策略签署。信息安全管理策略是强制性的、带惩罚性
7、的,策略的执行需要来自管理层的支持,因此,通常是信息安全主管或总经理签署信息安全管理策略。 7) 策略生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的。,9.1.1 信息安全管理策略,8) 重新评审策略的时机。除了常规的评审时机外,下列情况下也需要组织重新评审,例如:企业管理体系发生很大变化;相关的法律法规发生变化;企业信息系统或者信息技术发生大的变化;企业发生了重大的信息安全事故等。 9) 与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整。,9.1.1 信息安全管理策略,10) 策略解释。由于工作环境
8、、知识背景等的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门和权威的解释机构或指定专门的解释人员来进行策略的解释。 11) 例外情况的处理:策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。,9.1.2 信息安全机构和队伍,为保护国家信息的安全,维护国家利益,各国政府均指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导小组,由国务院领导任组长,国家机关有关部委领导参加小组工作。 国家信息化领导小组对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行职能分工,明确了各自的责任,对于保障我国信息化工作的正常发展,保护信息安全起到了重要的
9、作用。,9.1.2 信息安全机构和队伍,(1) 信息安全管理机构 一个组织的信息安全对本单位非常重要,因此,对信息的安全管理必须引起组织最高领导层的充分重视。 信息安全管理一般分3个层次,每一层级都应有明确的责任制。 1) 决策机构,负责宏观管理。 2) 管理机构,负责日常协调、管理工作。 3) 配备各类安全管理、技术人员,负责落实规章制度、技术规范、处理技术等方面的问题。,9.1.2 信息安全机构和队伍,凡是对信息安全有需求的组织,都必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备,从而保障信息安全管理工作的正常开展。,9.1.2 信息安全机构和队伍,(2)
10、信息安全管理队伍 信息安全管理队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员和防病毒安全员等人员。,9.1.2 信息安全机构和队伍,由于各类信息安全人员的工作岗位处于信息系统的核心敏感部位,应该要有比较高的政治素质和业务水平,例如应具备以下条件: 1) 政治可靠,对组织忠诚。 2) 工作认真负责,有敬业精神。 3) 处理问题公正严明,不拘私情。 4) 熟悉业务,具有一定的实践经验。 5) 从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师。,9.1.2 信息安全机构和队伍,对信息安全工作的管理主要体现在三个方面:一是对机器设备的管理;二是对信
11、息资源的管理;三是对各类安全工作人员的管理。然而,对人员的管理比对机器设备和信息资源的管理更重要。因此,对安全人员的管理应该是全方位的,其主要原则包括: 1) 人员审查。对承担信息安全的工作人员,在录用前必须进行审查。 2) 签订保密协定。信息安全人员必须签订保密协议书,要求承担保密义务。,9.1.2 信息安全机构和队伍,3) 持证上岗。各类信息安全人员必须经过认真培训和严格考核,取得证书后方能上岗。 4) 人员培训。对从事信息安全工作的人员应进行岗前培训,使其掌握基本的技能;岗中定期培训,使其不断更新观念,掌握新技术。培训的内容包括法律法规、职业道德、技术技能等方面。 5) 人员考核。对从事
12、信息安全工作的各类人员要从思想作风、工作态度、遵守规章制度、业务能力等方面定期进行考核。,9.1.2 信息安全机构和队伍,6) 权力分散。要注意合理分配权限,将权限控制在合理范围内,以便于相互制约。 7) 人员离岗。因为工作的需要或不适合继续做信息安全工作而调离岗位的,必须要求其履行保密协议,承诺保密事项,并交出有关的资料或证件。,9.1.3 信息安全管理制度,信息安全已不只是传统意义上的添加防火墙或路由器等简单设备就可实现的,而是一种系统和全局意义上的安全。信息安全管理制度是保证信息安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事
13、故的发生和防止恶意侵犯。,9.1.3 信息安全管理制度,常见的信息安全管理制度主要涉及:人员安全管理、设备安全管理、运行安全管理、安全操作管理、应急维护、安全等级保护、有害数据及计算机病毒防范管理、敏感数据保护、安全技术保障、安全计划管理等。,9.1.3 信息安全管理制度,制定信息安全管理制度应遵循如下原则: 1) 规范化。各阶段都应遵循安全规范要求,根据安全需求,制定安全策略。 2) 系统化。根据安全工程要求,对系统各阶段,包括以后的升级、换代和功能扩展等进行全面考虑。 3) 综合保障。从人员、资金、技术等多方面考虑综合保障。 4) 以人为本。技术是关键,管理是核心,要不断提高管理人员的技术
14、素养和道德水平。,9.1.3 信息安全管理制度,5) 首长负责。确保把安全管理落到实处。 6) 预防。安全管理以预防为主、并有一定超前意识。 7) 风险评估。对系统定期进行风险评估以改进系统的安全状况。 8) 动态。根据环境的改变和技术的进步,提高系统的保护能力。 9) 成本效益。根据资源价值和风险评估结果,采用适度的保护措施。,9.1.3 信息安全管理制度,10) 均衡防护。根据“木桶原则”(“木桶的最大容积取决于最短的一块木板”) ,整个系统的安全强度取决于某些薄弱环节,片面追求某个方面的安全强度对整个系统没有实际意义。 此外,在信息安全管理的具体实施过程中还应遵循如分权制衡、最小特权、职
15、权分离、普遍参与、独立审计等一些原则。,9.1.4 信息安全管理标准,信息安全管理的原则之一就是规范化、系统化,如何在信息安全管理实践中落实这一原则,需要相应的信息安全管理标准。 BS7799是英国标准协会 (BSI) 制定的在国际上具有代表性的信息安全管理体系标准。该标准包括两个部分:信息安全管理实施细则BS7799-1和信息安全管理体系规范BS7799-2。,9.1.4 信息安全管理标准,其中,BS7799-l目前已正式转换成ISO国际标准,即信息安全管理体系实施指南ISO17799。 该标准综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。该标准不是认证标准,但组
16、织在建立和实施信息安全管理体系时,可考虑采取该标准建议性的措施。BS7799-2标准也将转换成ISO国际标准的过程中。BS7799-2标准主要用于对组织进行信息安全管理体系的认证,因此,组织在建立信息安全管理体系时,必须考虑满足BS7799-2的要求。,9.1.4 信息安全管理标准,ISO/IEC17799的目的并不是告诉用户有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。 该标准特别声明,它是“制定一个机构自己的标准时的出发点”,它所包含的所有方针和控制策略并非准则,也不是其他未列出的便不再要求。该标准主要讨论了如下的主题:建立机构的安全策略、机构的安全基础设施、资产分类和控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发和维护、业务连续性管理、遵循性。,9.1.4 信息安全管理标准,采用ISO/IEC17799标准建立起来的信息安全管理体系 (ISMS) ,是建立在系统、全面、科举的安全风险评估之上的一个系统化、文件化、程序化、科学化的管理体系。 它体现预防控制为主思想,强调遵守国家有关信息安
