《系统集成项目信息系统安全管理》由会员分享,可在线阅读,更多相关《系统集成项目信息系统安全管理(66页珍藏版)》请在金锄头文库上搜索。
1、系统集成项目信息系统安全管理17.1信息安全管理17.1.1信息安全含义及目标 1信息安全定义 现代社会已经进入了信息社会,其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值,例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多政府及企事业单位的业务也就无法运营了。 现代信息社会对于信息的安全提出了更高的要求,对信息安全的内涵也不断进行延伸和拓展。国际标准ISO/IEC27001: 2005信息技术安全技术信息安全管理体系要求标准中给
2、出目前国际上的一个公认的信息安全的定义:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。” 2信息安全属性及目标 (1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。”简单地说,就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能,例如,信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现。 网绺安全协议。 网络认证服务。 数据加密服务。 (2)完整性。是指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。数据不应该被改变,这需要某种方法去进行验证。确保数据完整性
3、的技术包括: 消息源的不可抵赖。 防火墙系统。 通信安全。 入侵检测系统 (3)可用性。是指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴,但随着拒绝服务攻击的逐渐盛行,要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以下几个方面。 磁盘和系统的容错及备份。 可接受的登录及进程性能。 可靠的功能性的安全进程和机制。 保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。 (4)其他属性及目标。 另外,信息安全也关注一些其他特性:真实性一般是指
4、对信息的来源进行判断,能对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性。不可抵赖性是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和给定的条件下,无故障完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure,MTBF)来度量。 信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义来说,凡是涉及网络上
5、信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息安全的研究领域。17.1.2信息安全管理的内容 ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括ISO/IEC27001信息技术安全技术信息安全管理体系要求、ISO/IEC27002信息技术一安全技术信息安全管理体系实践准则等系列标准。ISO/IEC27000系列标准是当前全球业界信息安全管理实践的最新总结,为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。 在ISO/IEC27000系列标准中,它将信息安全管理的内容主要概括为如下1
6、 1个方面。 1信息安全方针与策略 为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。 2组织信息安全 要建立管理框架以启动和控制组织范围内的信息安全的实施。 管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。需要时,在组织范围内建立信息安全专家库,发展与外部安全专家或组织(包括相关政府机构)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并在处理信息安全事件时,提供合适的联络渠道,并鼓励多学科的信息安全方法。 同时要保持被外部组织访问、处
7、理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施,或从外部各方获得产品或服务或向外部各方提供产品和服务时,就需要进行风险评估,以确定安全隐患和控制要求。在与外部各方签订的合同中要定义和商定控制措施。 3资产管理 要对组织资产实现并维持适当的保护。 所有资产均应有人负责,并有指定的所有者。对于所有资产均要识别所有者,并且要赋予维护相应控制的职责。具体控制的实施可以由所有者委派适当的人
8、员承担,但所有者仍拥有对资产提供适当保护的责任。 要确保信息可以碍到适当程度的保护。 应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。信息的敏感度和关键度是可变的。某些信息可能需要额外的保护或特别的处理。应使用信息分类机制来定义适宜的保护水准和沟通特别处理措施的需求。 4人力资源安全 要确保员工、合同方和第三方用户了解他们的责任并适合于其岗位,从而减少盗窃、滥用或设施误用的风险。应在雇佣前就在岗位描述、雇用条款和条件中明确安全职责。所有的应聘人员,包括员工、合同方和第三方用户,特别是敏感岗位的人员,应进行充分的筛查。员工、合同方和信息处理设施的第三方用户均应就其安全角色和职
9、责签署协议。 应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并在他们的日常工作中能够支持组织的信息安全方针,减少人为错误的风险。应确定管理职责来确保安全应用于组织内个人的整个雇佣期。为尽可能减小安全风险,应对所有雇员、合同方和第三方用户提供关于安全程序以及正确使用信息处理设旌的意识、教育和培训。并针对信息安全违规事件建立正式的处罚过程。 最后,要确保员工、合同方和第三方用户以一种有序的方式离开组织或工作变更。应建立职责确保员工、合网方和第三方用户的离开组织是受控的,并确保他们已归还所有设备并删除所有的访问权限。对于组织内的职责或工作变更也应参照上述做法实行
10、类似管理。 5物理和环境安全 应舫止对组织办公场所和信息的非授权物理访问、破坏和干扰。关键或敏感的信息处理设施要放置在安全区域内,并受到确定的安全边界的保护,包括采用适当的安全屏障和入口控制。这些设施要在物理上避免未授权的访问、损坏和干扰。所提供的保护耍与所识别的风险相匹配。 应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断。应保护设备免受物理和环境的威胁。要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备安置和处置。可能错耍专门的控制措施来防止物理威胁以及保护支持性设施,诸如电源供应和电缆基础设施。 6通信和操作安全 确
11、保信息处理设施的正确和安全操作。应建立所有信息处理设施的管理和操作的职责与程序,包括建立适宜的操作程序。适宜时,应实施职责分离,以减少疏忽或故意误用系统的风险。 应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。 应最小化系统失效的风险。为确保足够能力和资源的可用性以提烘所需的系统性能,需要预先的策划和准备。应做出对于未来容量需求的规划,以减少系统过载的风腧。在新系统验收和使用之前,要建立该新系统的运行要求,并形成文件,进行测试。 应保护软件和信息的完整性。要求有预防措施,以
12、防范和探测恶意代码和未授权的移动代码的引入。软件和信息处理设施容易受到恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹)的攻击。要让用户意识到恶意代码的危险。适用时,管理者要引入控制,以防范、探测井删除恶意代码,并控制移动代码。 应保持信息和信息处理设施的完整性和可用性。应建立例行程序来执行商定的针对数据备份以及及时恢复演练的备份策略和战略。 应确保网络中的信息和支持性基础设施得到保护。网络安全管理可能会跨越组织边界,需要仔细考虑数据流动、法律要求、监视和保护。在数据通过公共网络进行传输时要提供额外的保护。 应防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的中断。应控制介质,并
13、对其实施物理保护。应建立适当的操作程序以保护文件、计算机介质(如磁带、磁盘)、输入输出数据和系统文档免遭未授权的泄露、修改、删除或破坏。 应维持组织内部或组织与外部组织之间交换信息和软件的安全。组织间佶息和软件的交换应基于一个正式的交换策略,按照交换协议执行,还应服从任何相关的法律。应建立程序和标准,以保护传输中的信息和包含信息的物理介质。 应确保电子商务的安全及其安全使用。应考虑与使用电子商务服务包括在线交易相关的安全要求和控制措施要求。还应考虑通过公开可用系统以电子方式发布的信息的完整性和可用性。 应探测未经授权的信息处理活动。应监视系统并记录信息安全事件。应使用操作员日志和故障日志以确保
14、识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。应通过监视系统来检查所采用控制措施的有效性,并验证与访问策略模型的一致性。 7访问控制 应控制对信息的访问。对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。 应确保授权用户对信息系统的访问,并防止非授权访问。应有正式的程序来控制对信息系统和服务的访问权限的分配。这些程序应覆盖用户访问生命周期内的所有阶段,从新用户注册到不再要求访问信息系统和服务的用户的最终注销。适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限允许用户超越系统控制。 应防止未授权的用户访问,以及信息和信息处理设施的破坏或被盗。授权用户的合作是有效安全的基础。用户应清楚其对维护有效的访问控制的职责,特别是关于口令使用和用户设备安全的职责。应实施桌面清空和屏幕清空策略以减步对纸质文件、介质和信息处理设施的未授权访问或破坏的风险。 防止对网络服务未经授权的访问。对内部和外部网络服务的访问均应加以控制。访问网络和网络服务的用户不应损害网络服务的安全,应确保: 在本组织的网络和其他组织拥有的网络或公共网络之间有合适的分界。 对用户和设备采用合适的认证机制。 对用户访问信息服务的控制。 应防止对操作系统的未授权访问。应采用安全设施来限制授权用户访问
