《信息系统安全技术.ppt》由会员分享,可在线阅读,更多相关《信息系统安全技术.ppt(137页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全信息系统安全 首都医科大学宣武医院尚邦治2011.111一一. . 信息系统安全的范围信息系统安全的范围 信息系统安全的核心一是保证信息系统正常进行;二是保证信息的安全。信息系统的安全问题对于不同行业有不同要求。信息系统的安全可以分为信息安全和信息系统安全。信息安全指保证信息本身的安全。信息系统安全问题涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等问题等。信息系统安全是一项系统工程。1.1.影影响信响信息安息安全的全的因素因素二二. .信息安全标准信息安全标准 信息安全具
2、有三个特性:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。保密性:保证信息只有被授权的使用者可以访问。完整性:保护信息及其处理方法的准确性和完整性。可用性:保证授权使用者在需要时可以获取信息和使用相关的资源。医院的信息安全比较简单,主要是保证数据不被非法修改;数据可以长期保存;保证数据不被病毒感染;备份的数据可以正确恢复。在医院这个特定的地域范围内保证数据不被非法修改比较容易实现。数据长期保存问题涉及存储介质、存储方案、数据存储的管理等问题。防止病毒感染数据主要依靠管理。备份数据的正确恢复问题比较复杂,主要是数据正确性的验证问题。信
3、息安全是一个复杂的系统问题,必须以系统的方法解决。建立信息安全管理体系是保证系统信息安全问题的有效方法。国际公认的保证信息安全的最有效的方式是采用系统的方法,即: 管理管理+ +技术技术二. 信息安全标准(续1)二. 信息安全标准(续2)有关信息安全的国家标准是信息技术 信息安全管理实用规则GB/T 19716-2005。该标准对信息安全管理给出建议。为有效的安全管理做法提供公共基础。该标准主要内容包括:安全策略、组织的安全、资产分类和控制、人员安全、物理和环境的安全、通信和操作管理、访问控制、系统开发和维护、业务连续性管理等九部分。二.信息安全标准(续3)(一)安全策略1.信息安全策略目的:
4、提供管理方向和支持信息安全。1)信息安全策略文档。策略文档要由管理层批准。策略文档应说明管理承诺,并提出组织的管理信息安全的途径。策略文档包括:a)信息安全定义、其总目标和范围以及在信息共享允许机制下安全的重要性;b)管理层意图的说明,以支持信息安全的目标和原则;c)对组织特别重要的安全策略、原则、标准和符合性要求的简要说明。二.信息安全标准(续4)(一)安全策略(续)1.信息安全策略(续)(1)安全教育要求;(2)防范和检测病毒和其它恶意软件;(3)业务连续性管理;(4)安全策略违反的后果;d)安全信息管理的总职责和特定职责的定义;e)引用可以支持策略的文档,例如,特定信息系统的更加详细的安
5、全策略和规程,或用户应遵守的安全规则。2)评审和评价。该策略应有专人负责,他按照所定义的评审过程负责其维护和评审。在风险发生任何变更后,都要重新进行评审。二.信息安全标准(续5)(二)组织的安全1.信息安全基础设施目的:管理组织范围内的信息安全。(1)管理信息安全协调小组(2)信息安全协调(3)信息安全职责的分配(4)信息处理设施的授权过程(5)专家的信息安全建议(6)组织之间的合作(7)信息安全的独立评审二.信息安全标准(续6)(二)组织的安全(续)2.第三方访问的安全目的:维护被第三方所访问的组织的信息处理设施和信息资产的安全。1)标识第三方访问的风险(1)访问类型。物理访问:访问机房,档
6、案室逻辑访问:访问数据库、信息系统(2)访问的原因(3)现场合同方2)第三方合同中的安全要求二.信息安全标准(续7)(二)组织的安全(续)3.外包目的:信息处理的职责是在外包给其他组织时维护信息安全。1)外部合同中的安全要求(1)满足法律要求(2)确保外部所涉及的各方知道其安全职责(3)维护和测试组织的业务资产的完整性和保密性(4)如何控制已授权用户访问业务数据。(5)发生自然灾害,如何维护服务的可用性(6)对外包设备要提供什么等级的物理安全(7)审核的权利二.信息安全标准(续8)(三)资产分类和控制1.资产的可核查性目的:维持对组织资产的相应保护,1)资产清单(1)信息资产:数据库、系统文档
7、、用户手册、培训教材;(2)软件资产:应用软件、系统软件、开发工具;(3)物理资产:计算机设备、通信设备、磁媒体;(4)服务:二.信息安全标准(续9)(三)资产分类和控制(续)2.信息分类目的:确保信息资产受到相应等级的保护。1)分类指南信息分类是确定该信息如何予以处理和保护。2)信息标记和处理对每种分类,要定义处理规程,以涵盖信息处理活动。物理标记一般是最合适的标记形式。二.信息安全标准(续10)(四)人员安全1.岗位设定和人力资源的安全目的:减少人为差错、盗窃、欺诈或滥用设施的风险。1)在岗位职责中要包含的安全2)人员筛选和策略3)保密性协议4)雇佣条款和条件2.用户培训目的:确保用户知道
8、信息安全威胁和利害关系,并准备好在其正常工作过程中支持职责的安全策略。二.信息安全标准(续11)(四)人员安全(续)3.对安全事故和故障的响应目的:使安全事故和故障的损害减到最小,并监督这种事故以及从事故中学习。1)报告安全事故2)报告安全弱点3)报告软件故障4)从事故中学习5)纪律处理二.信息安全标准(续12)(五)物理和环境的安全1.安全区域目的:防止对业务办公场所和信息未授权访问、损坏和干扰。1)物理安全周边(边界)(1)安全周边应清晰地予以定义;(2)包含有信息处理设施的建筑物或场地的周边在物理上是安全的。(3)有人管理的接待区域或控制物理访问场地的手段要到位。(4)如果需要,物理屏障
9、应从真正的地板扩展到真正的天花板。(5)安全周边的所有防火门应可发出报警信号,并应紧闭。二.信息安全标准(续13)(五)物理和环境的安全(续1)2)物理入口控制3)办公室、房间和设施的安全保护4)在安全区域工作5)交接区域的隔离二.信息安全标准(续14)(五)物理和环境的安全(续2)2.设备安全目的:防止资产的丢失、损坏或泄露和业务活动的中断。1)设备安置和保护(1)设备应进行安置,以尽量减少不必要的进入工作区域访问;(2)应把处理敏感数据的信息处理设施和存储设施放在适当的位置,以减少在其使用期间被窥视的风险;(3)要求专门保护的部件要予以隔离,以减低所要求的总体保护等级;(4)应采取控制使包
10、括下列潜在威胁的风险减到最小:偷窃、火灾、爆炸、烟雾、水、尘埃、振动、化学影响、电源干扰、电磁辐射。二.信息安全标准(续15)(五)物理和环境的安全(续3)(5)一个组织要考虑关于在信息处理设施附近进食、喝饮料和抽烟的策略;(6)对于可能负面影响信息处理设施运行状态的环境条件要予以监督;(7)对于工业环境中的设备,要考虑使用专门保护方法;(8)在附近建筑物内发生灾难的影响。2)电源获得电源连续性的选项包括:(1)多路馈电,避免电源中单点故障;(2)不间断电源(UPS)(3)备份发电机二.信息安全标准(续16)(五)物理和环境的安全(续4)3)布缆安全电源和信号线电缆要免受窃听或损坏。要考虑:(
11、1)进入信息处理设施的电源线和电信线路宜在地下;(2)网络布缆要避免窃听或损坏;(3)为了防止干扰,电源线和通信电缆分开;(4)对于关键系统,要进一步考虑:a.在检查点和终接点安装铠装电缆管道和上锁的房间或盒子;b.使用可替换的路由选择或传输媒体;c.使用光缆;d.清除与电缆连接的未授权装置。二.信息安全标准(续17)(五)物理和环境的安全(续5)4)设备维护(1)要按照供应商推荐的服务时间间隔和规范对设备进行维护;(2)只有已授权的维护人员才可对设备进行修理和维护;(3)要保存所有可疑的或实际的故障和所有预防和纠正维护的记录;(4)当送设备到建筑物外维修时要采取合适的控制。二.信息安全标准(
12、续18)(五)物理和环境的安全(续6)3.一般控制目的:防止信息和信息处理设施的受损害或被盗窃。1)清理桌面和清空屏幕策略2)财产的转移二.信息安全标准(续19)(六)通信和操作管理1.操作规程和职责目的:确保信息处理设施正确和安全的操作。1)文档化的操作规程。该规程应详细规定执行每个作业的说明,其内容包括:(1)信息处理和处置;(2)进度要求,包括与其他系统的相互关系、最早作业开始时间和最后作业完成的期限;(3)在作业执行期间可能出现的处置差错或其他异常情况的说明,包括对使用系统实用程序的限制;(4)在有不期望的操作或技术上的困难的情况下,支持进行联络;(5)特定输出处置说明,包括失败作业输
13、出安全处置的规程;(6)供万一系统失效用的系统重新起动和恢复规程。二.信息安全标准(续20)(六)通信和操作管理(续)1.操作规程和职责(续)2)操作变更控制(1)重大变更的标识和记录;(2)对这种变更潜在影响的评估;(3)对建议的变更的正式批准规程;(4)向所有有关人员传递变更细节;(5)标识放弃不成功和恢复职责的规程。二.信息安全标准(续21)(六)通信和操作管理(续)1.操作规程和职责(续)3)事故管理规程(1)安全事故类型i.信息系统故障和服务丢失;ii.拒绝服务;iii.由不完整或不准确的业务数据导致的差错;iv.保密性违规。(2)正常应急计划外的规程i.事故原因的分析和标识;ii.
14、若需要,规划和实施补救,防止再次发生;iii.收集审核踪迹和类似证据;二.信息安全标准(续21)(六)通信和操作管理(续)1.操作规程和职责(续)(2)正常应急计划外的规程(续)iv.与受事故影响或涉及从中恢复的人员的联系;v.向相应机构报告此动作。(3) 要控制从安全违规中恢复和纠正系统工作的动作。应确保:i.只有明确标识的和已授权的人员才允许访问运转的系统和数据;ii.所采取的全部应急动作详细地形成文档;iii.将应急动作报告给管理层并按有序的方式进行评审。二.信息安全标准(续22)(六)通信和操作管理(续)1.操作规程和职责(续)4)开发和运行设施分离分离开发、测试和运行设施是重要的。开
15、发和测试活动可能引起严重的问题。开发和测试活动共享同一计算机环境,可能引起非故意的软件和信息的变更。5)外部设施管理使用外部合同商管理信息设施可能引入潜在的安全泄露。二.信息安全标准(续23)(六)通信和操作管理(续)2.系统规划和验收目的:使系统故障的风险减到最小。1)能力规划这里的能力是指信息系统核心部分的处理能力。2)系统验收要建立新信息系统、升级和新版本的验收准则,在验收之前,对系统要进行适当的测试。管理者要确保验收新系统的要求和准则明确的被定义、商定、形成文档和测试。二.信息安全标准(续24)(六)通信和操作管理(续)2.系统规划和验收(续)2)系统验收(续)(1)性能和计算机能力的
16、要求;(2)差错恢复和重新启动规程以及应急计划;(3)按照已定义的标准,例行程序操作规程的准备和测试;(4)商定的一组安全控制到位;(5)有效的手动规程;(6)业务连续性安排;(7)新系统的安装对现有系统无负面影响的证据;(8)考虑新系统对组织总体安全影响的证据;(9)新系统的操作和使用方面的培训。二.信息安全标准(续25)(六)通信和操作管理(续)3.防范恶意软件目的:保护软件和信息的完整性。1)控制恶意软件(1)要求符合软件许可证和禁止使用未授权软件;(2)防范风险的正式策略,此策略指明采取的保护措施;(3)安装和定期更新防病毒软件;(4)对支持关键业务处理的系统的软件和数据内容进行定期审
17、查;(5)在使用任何文件前要进行病毒、恶意软件的检测和处理;(6)进行防范病毒的培训;(7)从病毒攻击中恢复的业务连续性计划;(8)检测与恶意软件相关的所有信息,并确保报警公告准确。二.信息安全标准(续26)(六)通信和操作管理(续)4.内部处理目的:维护信息处理和通信服务的完整性和可用性。1)信息备份要定期产生最重要的业务信息和软件的备份拷贝。要提供足够的备份信息,以确保在灾难或媒体故障之后可以恢复所有最重要业务信息和软件。要定期测试各个系统的备份设备,以确保它们满足业务连续性计划的要求。二.信息安全标准(续27)(六)通信和操作管理(续)4.内部处理(续)1)信息备份(续)(1)最低级别的
18、备份信息以及备份拷贝准确完整的记录和文档化的恢复规程要存储在有足够距离的远程地点。(2)对于重要的业务应用至少要保留三代或若干周期的备份信息。(3)要给予备份信息一个合适的物理和环境保护等级。(4)若可行,要定期测试备份媒体,确保当需要应急使用时可以依靠这些备份媒体。(5)要定期检查和测试恢复规程,以确保为恢复时在操作规程所分配的时间内它们是有效的并能完成它们。二.信息安全标准(续28)(六)通信和操作管理(续)4.内部处理(续)2)操作员日志(1)系统启动和结束时间;(2)系统出错和采取的纠正动作;(3)对正确处理文件和计算机输出的证实;(4)产生日志文件的人员名字。3)故障记录要报告故障并
19、采取纠正动作。由与信息处理系统或通信系统的问题有关的用户所报告的故障要加以记录。二.信息安全标准(续28)(六)通信和操作管理(续)5.网络管理目的:确保护卫网络中的信息和保护支持性基础设施。要求注意可以跨过组织边界的网络的安全管理。1)若合适,网络的操作职责要与计算机操作分开;2)应建立远程设备(包括用户区域内的设备)管理的职责和规程;3)如有必要,要建立专门的控制,以保护在公用网络上传递数据的保密性和完整性,并且保护已连接的系统。为维护所连接的网络服务和计算机的可用性,还可以要求专门的控制;4)为优化对业务的服务和确保在信息处理基础设施上始终如一地应用若干控制,应紧密地协调管理活 动 。二
20、.信息安全标准(续29)(六)通信和操作管理(续)6.媒体处置和安全目的:防止资产损坏和业务活动中断。媒体应受到控制并在物理上受保护。1)信息处置规程a)处置和标记所有媒体;b)标识未授权人员的访问限制;c)维护已授权的数据接收者的正式记录;d)确保输入数据完整,正确完成处理和应用输出确认;e)按照与其敏感性一致的级别,保护等待输出的假脱机数据;f)媒体存储在与制造商规范一致的环境中;g)使分发的数据最少;h)清晰地标记数据所有拷贝,以引起已授权接收者关注;i)定期评审分发列表和已授权接收者列表。二.信息安全标准(续30)(六)通信和操作管理(续)6.媒体处置和安全(续)2)系统文档的安全系统
21、 文 档可以包含一系列敏感信息,例如,应用过程的描述、规程、数据结构、授权过程(也见9.1)0要考虑下列控制,以防止系统文档遭受未授权访问。a)要安全地存储系统文档;b)将系统文档的访问列表保持在最小范围,并且由应用责任人授权;c)应妥善地保护保存在公用网络上的或经由公用网络提供的系统文档。二.信息安全标准(续31)(七)访问控制1.访问控制的业务要求目的:控制对信息的访问。1)访问控制策略策略应考虑到下列内容:a)各个业务应用的安全要求;b)与业务应用相关的所有信息的标识;c)信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需求;d)不同系统和网络的访问控制策略和信息分类策略之间
22、的一致性;e)关于保护访问数据或服务的相关法律和合同义务;f)关于通常工作种类的标准用户访问轮廓;g)在认可各种现有连接类型的分布式和网络化环境中访问权利的管理。二.信息安全标准(续32)(七)访问控制(续)1.访问控制的业务要求(续)2)访问控制规则在规定访问控制规则时,应注意考虑下列内容:a)区分必须强制的规则和任选的或有条件的规则;b)在前提为“未经允许,必须一律禁止”的基础上建立规则,而不是软弱的“未经明确禁止,一律允许 ”的规则 ;c)信息处理设施自动启动的信息标记和用户任意启动的那些信息标记的变更;d)信息系统自动启动的用户许可变更和管理员启动的那些用户许可变更;e)在颁发之前,要
23、求管理员批准的或另一方批准的规则以及无须批准的规则。二.信息安全标准(续33)(七)访问控制(续)2.用户访问管理目的:防止未授权访问信息系统。1)用户注册应通过正式的用户注册过程控制访问用户信息服务,控制包括:a)使用唯一用户ID,使得用户可以与其动作链接起来,并对其动作负责。若他们适合于所进行的工作,才允许使用组ID;b)检验用户使用信息系统和服务是否具有该系统拥有者的授权。经管理层单独批准的访问权利 也 是 合 适 的 ;c)检验所授予的访问级别是否适合于业务目的,以及是否与组织的安全策略一致,例如,它没有放弃责任分割原则;d)给予用户访问权利的书面声明;e)要求用户签署表示理解访问条件
24、的书面声明;f)确保直到已经完成授权规程,服务提供者才提供访问;9)维护注册使用该服务的所有个人的正式记录;h)立即取消已经变更的工作或离开该组织的用户访问权利;i)周期性检验和取消多余的用户ID和账户;1)确保对其他用户不发布多余的用户ID。二.信息安全标准(续34)(七)访问控制(续)2.用户访问管理(续)2)特权管理a)应标识出每个系统产品,例如,操作系统、数据库管理系统和每个应用相关的特权,以及需要分配特权的工作人员类别;b)特权应在需要使用的基础上和逐个事件的基础上分配给个人,即,仅当需要时,才为其职能角色分配最低要求 ;c)应维护所分配的各个特权的授权过程及其记录。直到授权过程完成
25、,才授予特权;d)应促进开发和使用系统例行程序,以避免必需把特权授予用户;e)特权应分配给其身份与正常业务使用的用户身份不同的用户。二.信息安全标准(续35)(七)访问控制(续)2.用户访问管理(续)3)用户口令管理口令是一种确认访问信息系统或服务的用户身份的常用手段。口令的分配应通过正式的管理过程加以控制,其方法应:a)要求用户签署一份声明,以保持个人口令的保密性和组口令仅在该组成员范围内使用(这可包括在雇用条款和条件内);b)若要求用户维护其自己的口令,确保他们一开始就具有可强制使其立即变更的临时保密口令 。当 用 户 忘 记 其 口令时,在正确识别用户之后,才提供临时口令;c)要求以安全
26、的方式将临时口令给予用户。要避免用于第三方或不受保护的(明文)电子邮件报文。用户应确认收到口令。二.信息安全标准(续36)(七)访问控制(续)3.用户职责目的:防止未授权用户访问。1)口令使用建议所有用户:a)保密口令;b)避免保留口令的纸记录,除非可以安全地保存;C)每当有任何迹象表明系统或口令可能受到损害时就变更口令;d)选择具有最小长度为6个字符的优质口令,这些口令:i)要易于记忆;ii)不能基于别人可能易于猜出或获得的与使用人相关的信息,例如,名字、电话号码和生日等等;iii)避免连续的相同的字符或全数字或全字母组;二.信息安全标准(续37)(七)访问控制(续)3.用户职责(续)目的:
27、防止未授权用户访问。1)口令使用(续)e)定期或以访问次数为基础变更口令(有特权的账户用的口令应比常规口令更频繁地予以变更),并且避免重新使用旧的口令或周期性使用旧的口令;f)在初次登录时更换临时口令;g)在任何自动登录过程(例如,以宏或功能键存储)中,不要包含口令;h)个人的用户口令不要共享。二.信息安全标准(续38)(七)访问控制(续)3.用户职责(续)2)无人值守的用户设备用户应确保无人值守的设备具有合适的保护。在用户区域内安装的设备(例如,工作站或文件服务器),在此时间内无人值守时,可以要求特别保护,使其免受未授权访问。所有用户和合同商应了解保护无人值守设备的安全要求和规定以及他们实现
28、这种保护的职责。建议用户应:a)当结束时,终止有效会话,除非利用一种合适的锁定机制使它们安全,例如,有口令保护的屏蔽保护程序;b)当会话结束时退出主计算机(即,不仅仅关掉PC或终端);c)当不使用设备时,利用带钥匙的锁或等价控制来保护PC或终端不被未授权使用,例如,口令访问。二.信息安全标准(续39)(七)访问控制(续)4.网络访问控制目的:保护网络服务。1)使用网络服务的策略a)允许待访问的网络和网络服务;b)确定允许谁访问哪些网络和网络服务的授权规程;c)保护访问网络连接和网络服务的管理控制和规程。2)强制路径需要控制从用户终端到计算机服务的路径。强制路径的目的是防止任何用户选择的路由超出
29、用户终端和授权用户访问该服务之间的路由。这通常要求在路由的不同点处实施许多控制。该原则是为了在网络的每个点上通过预先定义的选择限制路由选择选项。二.信息安全标准(续40)(七)访问控制(续)4.网络访问控制(续)3)外部连接的用户鉴别外部连接为未授权访问业务信息提供了可能。因此,远程用户的访问应受鉴别限制。具有不同类型的鉴别方法,例如,基于使用密码技术的方法可以提供强鉴别。重要的是根据风险评估确定所要求的保护级别。这需要选择合适的鉴别方法。4)结点鉴别与远程计算机自动连接的设施可能提供获得对业务应用进行未授权访问的方法。因此,应鉴别与远程计算机系统的连接。如果该连接使用超出组织安全管理控制的网
30、络,这样做特别重要。若远程用户组被连接到安全共享的计算机设施,那么,结点鉴别可用作鉴别他们的可替代手段。二.信息安全标准(续41)(七)访问控制(续)4.网络访问控制(续)5)远程诊断端口保护应安全地控制对诊断端口的访问。许多计算机和远程通信系统装配了拨号远程诊断设施,以便供维护工程师使用(目前,很多CT、MRI都安装远程诊断)。如果不受保护,则这些诊断端口提供未授权访问的手段。因此,它们应受到合适的安全机制的保护,例如,带钥匙的锁和规程,以确保只有按照计算机服务管理者和要求访问的硬件软件支持人员之间的安排才可访问它们。二.信息安全标准(续42)(七)访问控制(续)4.网络访问控制(续)6)网
31、络分离随着要求互连或共享信息处理设施和网络设施的合伙方的形成,网络正在日益扩充超出传统组织边界范围。这样的扩充可能增加对早已存在使用此网络的信息系统进行未授权访问的风险。在这种环境下,应考虑在网络范围内引入控制以分离信息服务群、用户群和信息系统群。控制大型网络安全的一种方法是将该大型网络分成若干独立的逻辑网络域,每个域均受已定义的安全周边所保护。二.信息安全标准(续43)(七)访问控制(续)4.网络访问控制(续)6)网络分离(续)这样的周边可以通过在被互连的两个网络之间安装一个网关来实现,以控制两个域之间的访问和信息流。这种网关要配置成能过滤这些域之间的通信量,并且能按照组织的访问控制策略阻挡
32、未授权访问。这种类型的网关例子是通常称作防火墙的东西。将网络分离成若干域的准则应基于访问控制策略和访问要求,还要考虑到相关成本和加入适合的网络路由选择的性能影响或网关技术。二.信息安全标准(续44)(七)访问控制(续)4.网络访问控制(续)7)网络连接控制共享网络特别是扩充跨越组织边界的那些共享网络的访问控制策略要求,可能需要引人控制,以限制用户的连接能力。这样的控制可以通过网关来实现,该网关借助预先定义的表或规则过滤通信量。所应用的限制应基于业务应用的访问策略和要求并应相应地进行维护和更新。二.信息安全标准(续44)(七)访问控制(续)4.网络访问控制(续)8)网络路由选择控制共享网络,可以
33、要求引入路由选择控制,特别是扩充跨越组织边界的那些共享网络,以确保计算机连接和信息流不违反业务应用的访问控制策略。对于与第三方(非组织)用户共享的网络,这种控制通常是必需的。路由选择控制应基于确定的源地址和目的地址检验机制。为了隔离网络和阻止路由从某一组织的网络扩展到另一组织的网络,网络地址变换也是一种很有用的机制。它们可以用软件或硬件来实现。实现者要了解所采用的机制的强度。二.信息安全标准(续45)(七)访问控制(续)5.操作系统的访问控制目的:防止未授权的计算机访问。1)自动化终端标识为鉴别与特定位置和便携式设备的连接,应考虑自动化终端标识。如果重要的会话只能从特定位置或计算机终端进行启动
34、,那么,自动化终端标识就是一种可以使用的技术。终端的或与终端连接的标识符可用来指示是否允许这个特定终端启动或接收特定事务。将物理保护应用于终端以维护终端标识符的安全,可能是必要的。对于医院,业务系统的终端必须是指定终端。二.信息安全标准(续46)(七)访问控制(续)5.操作系统的访问控制(续)2)终端登录规程a)不显示系统或应用标识符,直到登录过程已成功完成为止;b)显示通用告警通知,只有已授权的用户才能访问本计算机;c)在登录过程期间,不提供对未授权用户有辅助作用的帮助消息;d)仅在输入数据后,才确认登录信息。若出现差错,则系统不指出原因;e)限制所允许的不成功登录尝试的次数(推荐3次)并考
35、虑: i) 记录不成功的尝试; ii)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试 ; iii)断开数据链路连接;f)限制登录所允许的最大和最小时间。若超时,则系统应终止登录;g)在成功登录完成时,显示下列信息:i)前次成功登录的日期和时间;ii)自最后成功登录以来,任何不成功登录尝试的细节。二.信息安全标准(续47)(七)访问控制(续)5.操作系统的访问控制(续)3)用户标识和鉴别用户(包括技术人员,操作者,网络管理员、系统程序员和数据库管理员)只能使用他们个人的唯一标识符,以便各个活动可以追踪到各责任人。用户ID应不给出用户特权级别的任何指示,例,超级
36、用户。在特殊环境下,如果存在清晰的业务好处,可以使用一群用户或一项特定作业共享的用户ID的用法。对于这样的情况,应将经管理的批准形成文档。为维护可核查性,可以要求附加的控制。有各种鉴别规程,它们可用来证明声称的用户身份。口令是一种很通常的提供标识和鉴别(I&A)的方法,因为它基于只有该用户知道的秘密。使用密码手段和鉴别规程也可以获得同样的结果。用户拥有的智能卡也可以用于I&A。利用个人的唯一特征或属性的生物统计鉴别技术也可用来鉴别个人的身份。机制和技术的安全组合将产生更强的鉴别。二.信息安全标准(续48)(七)访问控制(续)5.操作系统的访问控制(续)4)口令管理系统a)强制使用个人口令,以维
37、护可核查性;b)若合适,允许用户选择和变更他们自己的口令,并且包括证实规程,以便考虑到输人出错的情况;c)强制选择优质口令;d)若用户维护他们自己的口令,则强制口令按规定进行变更;e)若用户选择口令,则在第一次登录时强制他们变更临时的口令;f)维护一份先前用户口令的记录,例如之前12个月内,防止重复使用;s)当正在录入时,在屏幕上不显示口令;h)分开存储口令文件和应用系统数据;i)用单向加密算法的加密形式存储口令;j)在软件安装之后,变更默认的厂商口令。二.信息安全标准(续49)(七)访问控制(续)5.操作系统的访问控制(续)5)系统使用程序的使用a)对于系统实用程序,使用鉴别规程;b)将系统
38、实用程序和应用软件分开;c)限制系统实用程序的使用,将实际的所信任的、已授权的用户数降到最小;d)应对系统实用程序的特别使用授权;e)限制系统实用程序的可用性;f)记录系统实用程序的所有使用;g)对系统实用程序的权限级别进行定义并形成文档;h)移去基于实用程序和系统软件的所有不必要软件。二.信息安全标准(续50)(七)访问控制(续)5.操作系统的访问控制(续)6)终端超时超过一段所定义不活动的时限,应关闭在高风险位置(超出组织安全管理的公共或外部区域)或服务高风险系统的不活动的终端,以防止未授权个人访问。超过一段所定义不活动的时限,该超时设备应清空终端屏幕,并关闭应用和网络会话。超时延迟应反映
39、该区域和终端用户的安全风险。对某些清空其屏幕并防止未授权访问,但没有关闭应用或网络会话的PC机可以提供一种受限制的终端超时设备形式。7)连接时间的限制a)使用预先定义的时隙,例,对成批文件传输或短持续期的定期交互会话;b)如果对超出时间或延长时间的操作没有要求,则将连接时间限于正常办公时间。二.信息安全标准(续51)(七)访问控制(续)6.应用访问控制目的:防止未授权访问保存在信息系统中的信息。1)信息访问限制a) 提供控制访问应用系统功能的选单;b)使用适当编辑用户文档来限制用户对未授权访问的信息或应用系统功能的了解;c)控制用户的访问权利,例如,读、写、删除和执行;d) 确保处理敏感信息的
40、应用系统的输出仅包含与使用输出相关的信息,并且仅发送给已授权的终端和地点 ,包括周期性评审这种输出,以确保去掉多余信息。二.信息安全标准(续52)(七)访问控制(续)6.应用访问控制(续)2)敏感系统隔离敏感系统可能要求一种专用的(隔离的)计算环境。某些应用系统对信息的可能丢失十分敏感,因此要求特别处理这些信息。敏感性可以指示该应用系统应运行在专用的计算机上、仅与可信的应用系统共享资源或该应用系统没有任何限制。下列考虑适用:a)应由应用拥有者显式地标识出应用系统的敏感性,并将其形成文档;b)当敏感应用在共享的环境中运行时,与其共享资源的应用系统应予以标识并与敏感应用的拥有者商定 。二.信息安全
41、标准(续53)(七)访问控制(续)7.对系统访问和使用的监督目的:检测未授权活动。1)事件记录审核日志应包括:a)用户ID;b)登录和退出的日期和次数;c)若有可能,终端身份或位置;d)成功的和被拒绝的对系统尝试访问的记录;e)成功的和被拒绝的对数据以及其他资源尝试访问的记录。二.信息安全标准(续54)(七)访问控制(续)7.对系统访问和使用的监督(续)2)对系统使用的监督(1)风险规程和区域a)已授权的访问,包括诸如下列细目:i)用户ID ;ii)关键事件的日期和时间;iii)事件的类型 ;iv)所访问的文件 ;v)所使用的程序/实用程序;二.信息安全标准(续55)(七)访问控制(续)7.对
42、系统访问和使用的监督(续)2)对系统使用的监督(续)(1)风险规程和区域(续)b)所有有特权的操作,诸如:i) 超级用户账户的使用;ii) 系统启动和停止;iii) I/O设备连接断开;c)未授权访问尝试,诸如:i) 失败的尝试 ;ii) 对于网关和防火墙的访问策略违规和通知;iii) 来自专有的入侵检测系统的警报;二.信息安全标准(续56)(七)访问控制(续)7.对系统访问和使用的监督(续)2)对系统使用的监督(续)(1)风险规程和区域(续)d)系统警报或故障,诸如:i) 控制台警报或消息;ii) 系统日志异常;iii) 网络管理报警。二.信息安全标准(续57)(七)访问控制(续)7.对系统
43、访问和使用的监督(续)2)对系统使用的监督(续)(2)风险因素监督活动的结果应定期评审。评审的频度取决于所涉及的风险。应考虑的风险因素包括:a) 应用进程的关键程度;b) 所涉及信息的价值、敏感性或关键程度;c) 过去的系统被渗入和滥用经历;d) 系统互连(特别是公共网络)的程度。二.信息安全标准(续58)(七)访问控制(续)7.对系统访问和使用的监督(续)2)对系统使用的监督(续)(3)事件的记录和评审系统日志通常包含大量的信息,其中许多与安全监督无关。为帮助标识出对安全监督目的有重要意义的事件,应考虑将相应的报文类型自动地拷贝到第二份日志,和或使用适合的系统实用程序或审核工具执行文件询问。
44、当分配日志评审的职责时,在承担评审的人员和监督其活动的人员之间的角色应考虑分开。应特别注意记录设施的安全,因为如果篡改记录设施,就可能提供错误的安全断定。控制应瞄准防止未授权变更和操作问题。二.信息安全标准(续59)(七)访问控制(续)7.对系统访问和使用的监督(续)3)时钟同步正确设置计算机时钟对确保审核记录的准确性是重要的。审核日志可用于调查或作为法律或法律案例的证据。不准确的审核日志可能妨碍调查,并损害这种证据的可信性。若计算机或通信设备有能力运行实时时钟,则时钟应置为商定的标准,例如,世界协调时(UCT)或本地标准时。当已知某些时钟随时间漂移,应有一个校验和校准任何重大偏差的规程。二.
45、信息安全标准(续60)(七)访问控制(续)8.移动计算和远程工作目的:确保使用移动计算和远程工作设施时的信息安全。1)移动计算当使用移动计算设施时,例如,笔记本机和移动电话,应特别小心确保业务信息不被泄露。2)远程工作远程工作使用通信技术,使员工在其组织之外的一个固定地点能远程工作。远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露信息、未授权远程访问组织内部系统或滥用设施等。重要的是远程工作要由管理层授权和控制以及对远程工作方法要有到位的合适安排。组织应考虑制订策略、规程和标准,以控制远程工作的活动。二.信息安全标准(续61)(八)系统开发和维护1.系统的安全要求目的:确保构建在
46、信息系统内的安全。1)安全要求分析和规范新系统或现有系统增强部分的业务要求的说明应规定控制的要求。这种规范应考虑在系统中所包含的自动化控制以及支持人工控制的需要。当评价业务应用的软件包时,应进行类似的考虑。如果认为合适,管理层可能更愿意使用已独立评价和认证的产品。安全 要 求 和控制应反映出所涉及信息资产的业务价值和潜在的业务损坏,这可能是由于安全失败或缺少安全引起的。分析安全要求和标识(满足安全要求的)控制的框架是风险评估和风险管理。在设计阶段引入控制其实施和维护的费用明显低于实现期间或实现后所包含的控制费用。二.信息安全标准(续62)(八)系统开发和维护(续)2.应用系统的安全目的:防止丢
47、失、修改或滥用应用系统中的用户数据。1)数据输入确认输入到应用系统的数据应予以确认,以确保它是正确的和合适的。应考虑下列控制:a) 双输人或其他输人检验,以检测下列差错:i) 范围之外的值;ii) 数据字段中的无效字符;iii) 丢失或不完整的数据;iv) 超过数据的上下容量极限;v) 未授权的或不相容的控制数据;二.信息安全标准(续63)(八)系统开发和维护(续)2.应用系统的安全(续)1)数据输入确认(续)b) 周期性评审关键字段或数据文件的内容,以证实其有效性和完整性;c) 检查硬拷贝输人文档是否有任何未授权的变更输入数据(输人文档的所有变更均应予以授权 );d) 响应确认差错的规程;e
48、) 测试输人数据真实性的规程;f) 定义在数据输人过程中所涉及的全部人员的职责。二.信息安全标准(续64)(八)系统开发和维护(续)2.应用系统的安全(续)2)内部处理的控制(1)风险区域已经正确录人的数据可能由于处理差错或故意动作所损坏。应在系统中加人确认检验,以检测这种损坏。应用的设计应确保实施若干限制,以使处理故障导致完整性被损坏的风险减至最小。考虑的特定风险区域包括:a) 使用和定位程序中的增加和删除功能,以实现数据变更;b) 防止程序以错误次序运行或在前面正在处理的故障下仍在运行的规程;c)使用从失效中恢复的正确程序,以确保正确处理数据。二.信息安全标准(续65)(八)系统开发和维护
49、(续)2.应用系统的安全(续)2)内部处理的控制(续)(2)检验和控制a)会话或批量控制,以便在事务处理更新之后调解数据文件平衡;b) 平衡控制,对照先前的封闭平衡来检验开放平衡,即:i) 运行至运行的控制;ii)文件(file)更新总量;iii) 程序至程序的控制;c)确认系统生成的数据;d) 检验在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性二.信息安全标准(续66)(八)系统开发和维护(续)2.应用系统的安全(续)2)内部处理的控制(续)(2)检验和控制(续)e)求记录和文件的散列函数值总量;f) 检验是否确保应用程序在正确时刻运行;g)检验程序是否确保以正确的次序运行并且
50、在故障情况下终止;进一步处理被停止,直到解决问题为止。二.信息安全标准(续67)(八)系统开发和维护(续)2.应用系统的安全(续)3)报文鉴别报 文 鉴 别是一种技术,它用来检测未授权的变更或损坏所发送的电子报文内容。它可以用硬件或支持物理报文鉴别器件的软件或软件算法实现。对于有安 全要求的应用,例如,非常重要的电子资金转移、规范、合同、建议等或其他类似的电子数据交换,应考虑报文鉴别,以保护报文内容的完整性。应进行安全风险评估,以确定是否要求报文鉴别,并且标识出最合适的实现方法。不将报文鉴别设计成防止未授权泄露报文内容。密码技术是一种能用作实现报文鉴别的合适手段。二.信息安全标准(续68)(八
51、)系统开发和维护(续)2.应用系统的安全(续)3)数据输出确认应用系统输出的数据应被确认,以确保存储的信息的处理是正确的并且适于这些情况。输出确认可以包括:a)真实性检验,以测试输出数据是否合理;b)调解控制计数,以确保处理所有数据;c)对信息阅读者或后续处理系统提供足够的信息,以确定信息的准确性、完备性、精确性和分类;d)响应输出确认测试的规程;e)定义在数据输出过程中所涉及的全部人员的职责。二.信息安全标准(续69)(八)系统开发和维护(续)3.密码控制目的:保护信息的保密性、真实性和完整性。1)使用密码控制的策略一个组织应制定关于使用密码控制来保护其信息的策略。这种策略是使利用密码技术的
52、好处最大化和风险最小化所必需的,是避免不合适或不正确的使用所必需的。应考虑:a)关于跨越组织使用密码控制的管理方法,包括保护业务信息的一般原则;b)密钥管理的方法,包括在密钥丢失、泄露或损坏的情况下,涉及恢复已加密信息的方法;c)角色和职责,例如,谁负责;d)策略的实施;e)密钥管理;f)如何确定合适的密码保护级别;g)为在整个组织有效实施而采用的标准。二.信息安全标准(续70)(八)系统开发和维护(续)3.密码控制(续)2)加密加密是一种可以用来保护信息保密性的密码技术。为保护敏感的或关键的信息,可以考虑采用。根据风险评估,应标识出所要求的保护级别,而并要考虑到所使用的加密算法的类型和质量以
53、及所使用的密码密钥的长度。当实施组织的密码策略时,应考虑国家法律的限制。另外,还应考虑到适用于密码技术的出口和进口的控制。为标识合适的保护级别,在选择提供所要求的保护和实现安全的密钥管理安全系统的合适的产品,应征求专家的意见。二.信息安全标准(续71)(八)系统开发和维护(续)3.密码控制(续)3)数字签名数字签名可适用于电子处理文档的任何形式,例如,数字签名可用来签署电子支付、资金转移、合同和协议。使用以唯一相关密钥对为基础其中一个密钥(私有密钥)用来创建签名,另一密钥(公开密钥)用来检验该签名的密码技术实现数字签名。要小心保护私有密钥的保密性。这个密钥应该被秘密地保存,因为访问过这个密钥的
54、任何人都可能借此伪造该密钥拥有者的签名来签署文件(例如,支付、合同)。另外,保护公开密钥的完整性很重要。通过使用公开密钥证书提供这种保护。二.信息安全标准(续72)(八)系统开发和维护(续)3.密码控制(续)4)抗抵赖服务可能需要解决关于事件或动作是否发生而引起的争端,例如,涉及在电子合同上或电子支付时使用数字签名的争端,则应使用抗抵赖服务。抗抵赖服务可帮助建立证据,以证明特定事件或动作是否发生,例如,针对试图否认发送签名电子邮件使用的数字签名说明。这些服务基于使用加密和数字签名技术。二.信息安全标准(续73)(八)系统开发和维护(续)3.密码控制(续)5)密钥管理(1)密钥的保护a)秘密密钥
55、技术,其中双方或更多方共享同一密钥,并且该密钥用来加密和解密信息。这个密钥必须 被秘密地保存,因为访间过它的任何人能使用该密钥来解密被加密的所有信息,或引入未授权的信息;b)公开密钥技术,其中每个用户拥有一对密钥,一个公开密钥(它可以被展现给任何人)和一个私有密钥(它必须被秘密地保存)。公开密钥技术可用于加密,并可用来产生数字签 名。二.信息安全标准(续74)(八)系统开发和维护(续)3.密码控制(续)5)密钥管理(续)(2)标准、规程和方法a)生成用于不同密码系统和不同应用的密钥;b)生成和获得公开密钥证书;c)分发密钥给预期用户,包括应如何激活收到的密钥;d)存储密钥,包括已授权用户如何访
56、问密钥;e)变更或更新密钥,包括何时变更密钥以及如何变更密钥的规则;f)处理已泄露的密钥;g)撤销密钥,包括如何取消或解除激活的密钥,例如,当密钥已泄露时或当用户离开组织时(在这种情况下 ,密 钥 也要归档);h)恢复密钥,作为业务连续性管理的一部分,恢复已丢失或损坏的密钥,例如,加密信息的恢复;i)归档密钥,例如,对已归档的或备份的信息的密钥归档;l)销毁密钥;k)记录和审核与密钥管理相关的活动二.信息安全标准(续75)(八)系统开发和维护(续)4.系统文件的安全目的:确保按安全方式管理IT项目和支持活动。应控制对系统文件的访问。1)运行软件的控制a)仅由指定的(程序)库管理员根据相应的管理
57、授权进行运行程序库的更新;b)若有可能,运行系统只安装可执行的代码;c)直到获得成功测试和用户验收的证据和已更新相应的源程序库以前,还要向运行系统提供可执行的代码 ;D)应维护对运行程序库的所有更新的审核日志;e)应保留软件的先前版本作为应急措施。二.信息安全标准(续76)(八)系统开发和维护(续)4.系统文件的安全(续)2)系统测试数据的保护a)访问控制规程,适用于运行应用系统,还应适用于测试应用系统;b)运行信息每次被拷贝到测试应用系统应予以分别授权;c)在测试完成之后,应立即从测试应用系统清除运行信息;d)为提供审核踪迹,应记录运行信息的拷贝和使用。二.信息安全标准(续77)(八)系统开
58、发和维护(续)4.系统文件的安全(续)3)源程序库的访问控制a)若有可能,在运行系统中不应保留源程序库;b)对于每个应用应指定一位程序库管理员;c)IT支持人员不应不受限制地访问源程序库;d)处于开发和维护的程序不应保持在运行源程序库中;e)更新源程序库和向程序员发布源程序应按照此应用的IT支持管理者的授权仅由指定的(程序)库管理员完成;f)程序列表应保持在安全的环境中;g)应维护对源程序库所有访问的审核日志;h)源程序的老版本以及所有支持软件、作业控制、数据定义和规程应予以归档,同时对它们运行时的准确日期和次数有一个清晰的说明;i)维护和拷贝源程序库应受严格变更控制规程的制约。二.信息安全标
59、准(续78)(八)系统开发和维护(续)5.开发和支持过程的安全目的:维护应用系统软件和信息的安全。1)变更控制规程a)维护所商定授权级别的记录;b)确保由授权的用户提交变更;c)评审控制和完整性规程,以确保它们不因变更而损坏;d) 标识要求修正的所有计算机软件、信息、数据库实体和硬件;e) 在工作开始之前,获得对详述建议的正式批准;f) 确保在任何实施之前,已授权的用户接受变更;g)为使业务损坏减到最小,确保完成实施;h)在每次变更完成时,应更新系统文档集合,旧的文档进行归档或处置;i) 维护所有软件更新的版本控制;J) 维护所有变更请求的审核踪迹;k)当需要时,确保对操作文档和用户规程作合适
60、的修改;1) 确保变更的实施发生在正确的时刻,并且不干扰所涉及的业务过程。二.信息安全标准(续79)(八)系统开发和维护(续)5.开发和支持过程的安全(续)2)操作系统变更的技术评审a)评审应用控制和完整性规程,以确保它们不因操作系统变更而损坏;b)确保年度支持计划和预算将包括由于操作系统变更而引起的评审和系统测试;c)确保及时提供操作系统变更的通知,以允许在实施之前进行合适的评审;d)确保按业务连续性计划进行合适的变更。二.信息安全标准(续80)(八)系统开发和维护(续)5.开发和支持过程的安全(续)3)软件包变更的限制不鼓励修改软件包。在可能和可行范围内,应使用厂商供应的软件包,而无需修改
61、。若认为修改软件包是必要的,应考虑下列各点:a)内置控制完整性过程被损坏的风险;b)是否要获得厂商的同意;c) 按标准程序更新从厂商获得所要求的变更的可能性;d)如果作为变更的结果,组织要负责进一步维护此软件所带来的影响。二.信息安全标准(续81)(八)系统开发和维护(续)5.开发和支持过程的安全(续)4)隐蔽信道和特洛伊代码隐蔽信道可能通过某些间接的看不见的手段泄露信息。设计特洛伊代码的目的是无须由程序的接受者或用户授权、通知和要求即可影响系统。应考虑下列事项:a) 仅从声誉好的来源采购软件程序;b) 采购以源代码表示的程序,这样可以验证该代码;c) 使用已评价的产品;d) 在运行之前,检查
62、所有源代码;e)代码一旦安装,就要控制对代码的访问和修改;f) 使用已证明可信的人员参与系统的工作。二.信息安全标准(续82)(八)系统开发和维护(续)5.开发和支持过程的安全(续)5)外包软件开发在外包软件开发的情况下,应考虑下列各点:a)落实准许证、代码所有权和知识产权;b)所完成工作的质量和准确性的认证;c)万一有故障时第三方的契约安排;d)审核所做工作质量和准确性的访问权;e)代码质量的合同要求;f)在安装前,测试是否检测到特洛伊代码。二.信息安全标准(续83)(九)业务连续性管理1.业务连续性管理的各方面目的:减少业务活动的中断,保护关键业务过程免受主要故障或灾难的影响。1)业务连续
63、性管理过程a) 根据风险的可能性及其影响,推断组织所面临的风险,包括关键业务过程的标识和优先权;b) 推 断对业务可能产生中断的影响(重要的是找到处理较小事故以及可能威胁组织生存能力的重大事故的解决办法),并且建立信息处理设施的业务目标;c)考虑购买相应的保险,该保险可以形成业务连续性过程的一部分;d) 正式提出与商定的业务目标和优先权一致的业务连续性战略,并将其形成文档;e) 正式提出与商定的战略一致的业务连续性计划,并将其形成文档;f) 将定期测试和更新适当的计划和过程;g)确保把业务连续性的管理包含在组织的过程和结构中。二.信息安全标准(续84)(九)业务连续性管理1.业务连续性管理的各
64、方面(续)2)业务连续性和影响分析业务连续性要从标识可能引起业务过程中断的事件开始,例如,设备故障、水灾和火灾。这之后是风险评估,以确定这些中断的影响(根据损坏程度和复原周所需时间两者)。应在业务资源和过程的拥有者全面参与的情况下,进行这些活动。这种评估考虑到所有业务过程,并且不局限于信息处理设施。根据风险评估的结果,应开发战略计划,以确定业务连续性的总体途径。该计划一旦被制定。就应由管理层签署。二.信息安全标准(续85)(九)业务连续性管理1.业务连续性管理的各方面(续)3)制定和实施连续性计划a)全部职责和应急规程的标识和协议;b)实施应急规程,以在所要求的时段内恢复和复原。特别注意对处于
65、适当位置的外部业务相关方和合同的评估;c)将已商定的规程和过程形成文档;d)用已商定的应急规程和过程(包括危机管理)教育员工;e)检验和更新计划。二.信息安全标准(续86)(九)业务连续性管理1.业务连续性管理的各方面(续)4)业务连续性计划框架a)在启动每个计划前,启动计划的条件,而该条件描述了要遵循的过程;b) 描述危及业务操作和或人员的生命事件之后所要采取的动作的应急规程。这应包括公共关系管理部门和与相应公共管理局有效联系的安排;c)描述要采取行动的可依靠的规程,以便将基本业务活动或支持服务移到替代的临时地方,并在要 求的时段内使业务过程回到运行状态;d) 描述要采取行动的重新使用规程,
66、以恢复正常业务操作;e) 规定如何及何时要检验该计划以及维护该计划的过程的安排;f) 用来创建理解业务连续性过程,并确保过程连续有效的意识和教育活动;g)各个人员的职责,描述谁负责执行该计划的哪个部分。若要求,可指定可替换的人。二.信息安全标准(续87)(九)业务连续性管理1.业务连续性管理的各方面(续)5)检验、维护和重新评估业务连续性计划(1)检验计划a)会议检验各种情况(使用中断例子讨论业务恢复安排);b)模拟(特别是按其事故后危险期管理的角色来培训人们);c)技术恢复检验(确保信息系统可以有效地予以恢复);d)在可替换场地检验恢复(远离主场地,在恢复操作同时运行业务过程);e)供应商设
67、施和服务的检验(确保外部提供的服务和产品将满足合同的承诺);f)完整的演习(组织、人员、设备、设施和过程能否应付中断的检验);二.信息安全标准(续88)(九)业务连续性管理1.业务连续性管理的各方面(续)5)检验、维护和重新评估业务连续性计划(续)(2)维护和重新评估计划业务连续性计划要通过定期评审和更新来维护,以确保它们连续有效。规程应包含在组织的变更管理大纲中,以确保相应地指出业务连续性事项。对于每个业务连续性计划的定期评审应分配职责;在业务连续性计划中尚未反映业务安排变更的标识,应按适当的计划更新进行。这种正式的变更控制过程应确保通过整个计划的定期评审来分配和补充已更新的计划。二.信息安
68、全标准(续89)(十)符合性1.符合性法律要求目的:避免违反任何刑法与民法、法律法规的义务或合同的义务,以及任何安全要求的义务。1)可用法律的标示对每个信息系统应明确定义所有相关法律法规和合同的要求,并将其形成文档。为满足这些要求的特定控制和各个人员的职责应同样加以定义并形成文档。二.信息安全标准(续90)(十)符合性(续)1.符合性法律要求2)知识产权(1)版权(2)软件版权(3)保护组织的记录(4)个人信息的数据保护和隐私(5)防止滥用信息处理设施(6)遵循密码控制的规章(7)证据的收集二.信息安全标准(续91)(十)符合性(续)2.安全策略技术符合性的评审目的:确保系统符合组织安全策略和
69、标准。1)符合安全策略管理者应确保正确地执行其职责领域内的所有安全规程。另外,为确保符合安全策略和标准,应考虑对组织内各个领域进行定期评审。这些领域应包括如下:a) 信息系统;b) 系统提供者;c)信息和信息资产的责任人;d)用户;e)管理层。信息系统责任人应支持定期评审其系统是否符合相应的安全策略、标准和其他安全要求。二.信息安全标准(续92)(十)符合性(续)2.安全策略技术符合性的评审1)符合安全策略管理者应确保正确地执行其职责领域内的所有安全规程。另外,为确保符合安全策略和标准,应考虑对组织内各个领域进行定期评审。这些领域应包括如下:a) 信息系统;b) 系统提供者;c)信息和信息资产
70、的责任人;d)用户;e)管理层。信息系统责任人应支持定期评审其系统是否符合相应的安全策略、标准和其他安全要求。二.信息安全标准(续93)(十)符合性(续)2.安全策略技术符合性的评审(续)2)技术发挥性检验为符合安全实施要求,应定期检验信息系统。技术符合性检验包括检查运行系统,以确保已正确实现的硬件和软件控制。这种类型的符合性检验需要有专家的技术帮助。它应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持)或者由技术专家用自动化软件包来执行,此软件包可生成供技术专家后续解释的技术报告。符 合 性 检验还包括几个方面,例如渗人测试,该测试可以通过为此目的专门签约的独立专家来完成。符合性
71、检验可用于检测系统的脆弱性,并用于检验这些控制在防止由于这些脆弱性引起的未授权访问中如何起作用。应当注意渗人测试成功可能导致危及系统的安全以及非故意地产生其他脆弱性的情况。任 何 技 术符合性检验只能由有能力的已授权的人员来完成,或在他们的监督下完成。二.信息安全标准(续94)(十)符合性(续)3.系统审核考虑目的:使系统审核过程效力最大,使对系统审核过程的干扰最小。1)系统审核控制应小心地规划和商定涉及运行系统检验的审核要求和活动,以使中断业务过程的风险减至最小。应遵守下列事项。a)审核要求应与相应管理层商定;b)应商定和控制检验范围;c)检验应限于软件和数据的只读访问;d) 对只读以外的访
72、问只允许针对系统文件的单独拷贝。当审核完成时,应擦除这些拷贝;e)应显式地标识和提供执行检验的IT资源;f) 应标识和商定特定的或附加的处理要求;g)应监视和记录所有访问,以产生参照踪迹;h)所有规程、要求和职责应形成文档。二.信息安全标准(续95)(十)符合性(续)3.系统审核考虑(续)2)系统审核工具的保护应保护对系统审核工具(即软件或数据文件)的访问,以防止任何可能的滥用或损坏。这些工具应与开发和运行系统分开,并且不能保存在磁带(程序)库或用户区域内,除非给予合适级别的附加保护。三三. . 信息系统安全信息系统安全 医院信息系统的安全问题从信息系统管理角度看:主要指网络安全、服务器组安全
73、、群集技术的可靠性、存储设备安全、操作系统安全、备份方案的可靠性、供电安全、计算机工作环境等。1. 1. 网络安全问题网络安全问题 网络安全是一个十分重要的问题。网络出现故障将造成:医院无法开展正常的信息业务活动。因为目前医院的信息业务活动是建立在计算机网络基础上的,网络出现问题就造成很多信息业务活动无法正常开展。造成数据丢失。医院数据是十分重要的,很多数据丢失后将无法恢复。丢失数据将给医院造成无法估量的损失。从某种意义上说,数据是至关重要的。目前一提网络安全一般人就认为病毒、黑客是网络安全的最大威胁,实际上对于一般单位的业务局域网,威胁网络安全的因素是多样的,除了病毒(一般业务网与外界是分离
74、的,所以黑客问题基本上是不存在的。)外还有其他因素。应该充分认识网络安全的重要性,应真正明白威胁网络安全由那些因素。威胁网络安全的因素有:网络设计缺陷威胁网络安全、网络设备损坏造成网络故障、非法访问危害网络安全、计算机病毒对网络的威胁、密码管理漏洞对网络安全的危害、环境因素危害网络安全。1. 1. 网络安全问题(续网络安全问题(续1 1)1.1.网络安全问题(续网络安全问题(续2 2)1 1)网络设计缺陷威胁网络安全网络设计缺陷威胁网络安全网络设计有缺陷将给系统可靠运行留下安全隐患,而且有些隐患在网络系统运行后很难消除。在网络设计阶段必须充分调研,认真分析,结合实际情况设计一个合理的、高可靠性
75、、高性价比的网络方案。网络设计缺陷举例如下,这也是网络设计中应该注意之处。1.1.网络安全问题(续网络安全问题(续3 3)网络设计缺陷举例网络设计缺陷举例例1: 一般网络公司提供的网络方案都对核心交换机、汇聚交换机配置双机备份。但是,对于门诊收费工作站若全部连接到一台接入交换机上,在这台交换机出现故障时将造成所有门诊收费无法工作。对于这个问题需要由医院技术人员根据医院实际情况配置交换机的使用。例2:网络没有划分VLAN,所有计算机在一个网段内,这样网络中重要计算机的安全没有保障。例3:网络中主要共享服务器在一个网络分支上,数据通道过长,每次访问服务器都需要经过多级交换机转发,造成数据传输速度减
76、慢。网络设计缺陷举例网络设计缺陷举例例4:主交换机速度性能较低造成整个网络交换速率低,无法满足大数据量数据交换的需求。例5:光纤、双绞线长度超过允许长度,造成数据传输速率降低。例6:不同厂家的产品安装在一个网络中,由于产品的兼容性问题造成网络系统不能正常运行,难于管理。1.1.网络安全问题(续网络安全问题(续4 4)1.1.网络安全问题(续网络安全问题(续5 5)2 2)网络设备损坏造成网络故障网络设备损坏造成网络故障网络设备损坏特别应注意设备的软故障,软故障将造成网络系统长时间无法正常运行,使得医院处于一种半瘫痪状态。软故障包括广播风暴、交换机等设备处于时好时坏状态、网络怠速运行、网络故障现
77、象偏离故障(交换机出现故障表现成服务器CPU占有率为90%以上,网络以极慢速率传输数据,频繁出现丢包现象)等。 1.1.网络安全问题(续网络安全问题(续6 6)3)非法访问对网络的危害)非法访问对网络的危害非法访问特别应注意对网络设备的非法访问。交换机等网络设备可以通过INTERNET EXPLORER进行管理,如果可以对网络设备进行非法访问,将可能造成全网瘫痪。1.1.网络安全问题(续网络安全问题(续7 7)4 4)环境因素危害网络安全环境因素危害网络安全网络环境包括网络传输介质的环境、网络设备工作环境。对于光纤介质的环境要求包括温差、阳光、鼠害、碰撞、摩擦、拐角半径等。对于双绞线介质的环境
78、要求包括磁场、雷击、电磁干扰、鼠害、温差、湿度等。由于交换机等网络设备要处于长期运行状态,环境状况对网络安全及网络平均无故障运行时间特别重要。网络设备对环境的要求包括温度、湿度、洁净度、电源质量等。1.1.网络安全问题(续网络安全问题(续8 8)网络设备备份网络设备备份网络中关键设备、主要设备(主交换机、边缘交换机、主要模块)应该有备份。备份可以采用整机备份,也可以采用部件备份。备份件可以采用热备份形式也可以采用冷备份形式。一般情况下,主交换机作为网络的关键设备采用双机热备份,如果没有双机热备份,主要部件(电源、控制器、光纤模块等备份备份)。一个边缘交换机损坏只能影响数量有限的若干个计算机,并
79、且由于数量较多,一般有一个冷备份即可。2.2.服务器的安全服务器的安全服务器是信息系统的关键设备。保证服务器可靠长期有效的运行是系统安全的一个特别重要问题。为了保证服务器的可用性,一般采用服务器群集技术。两台服务器采用双机热备份工作状态。群集可以采用Active-Active方式工作。其中一套服务器运行HIS系统,另外一套运行LIS等系统。提高服务器利用率,从而提高整个应用系统的性能。 2.服务器的安全(续1)注意:应用群集技术不保证服务器群集不发生故障,而是在一个服务器发生故障后提供了排除故障的时间。对于服务器群集,必须尽量做到主服务器处于运行状态。一旦发现群集切换到辅助服务器上,要立即检查
80、主服务器,若有故障尽早排除,然后把群集切换到主服务器上。要定期检查群集的有效性。群集包括操作系统群集和数据库群集。2.服务器的安全(续2)威胁服务器安全的因素1)服务器中易损部件是硬盘。硬盘损坏造成的危害也最大。2)电源。服务器中电源模块是易损部件。3)亚正常状态运行。4)配置不正确。例:群集的心跳线IP地址设置不当。5)环境。温度太高导致服务器宕机。湿度太高导致服务器腐蚀。湿度太低导致静电损坏。2.服务器的安全(续3)6)误操作导致服务器发生故障。误操作有:(1)服务器配置不正确;(2)开/关机顺序不正确;(3)硬件误操作,包括带电更换硬盘、插头不紧、标识不清等;(4)使用操作系统不正确;(
81、5)杀毒软件使用不正确。2.服务器的安全(续4)域控服务器的安全域控服务器的正常与否关系整个系统的是否可以运行。域控服务器应该多台配备。任何时间要保证有一台域控服务器处于正常工作状态。3.3.存储设备安全存储设备安全 存储设备的可靠性直接影响信息安全。对于存储区域网络FC SAN(Storage Area Network)这样的存储设备,影响其正常工作的因素有:硬盘、SAN控制器、光线通道、光纤跳线、SAN管理软件、UPS电源等。为了保证存储设备安全,在设计阶段就应该考虑设备冗余,利用设备冗余提高存储设备的可靠性 三三. .供电安全供电安全供电安全包括交流电供电问题、UPS电源问题。利用医院的
82、行业特点可以采用双路供电系统。系统加装UPS并不能保证系统供电万无一失,一个简单的问题是UPS也有坏的时候。UPS选择有两种,一种是集中式UPS,另一种是分散式UPS。这两种方式各有优缺点。四四. .计算机工作环境计算机工作环境计算机工作环境是保证系统正常工作的一个重要条件。环境包括温度、湿度、洁净度等。根据调查统计,环境温度每上升10度,计算机设备寿命减少一半。湿度直接影响计算机设备,湿度太低容易产生静电,静电很容易损坏集成电路芯片;湿度太高容易造成器件腐蚀。洁净度低造成电路板积存灰尘,灰尘多四四. .计算机工作环境(续计算机工作环境(续1 1)1.温度的影响1)温度在规定的范围内,每增加1
83、0C,可靠性降低25%。温度在规定的范围内,每增加10C,其使用将下降50%。2)绝缘材料对温度影响,温度过高,印刷电路板的结构强度会变弱,温度过低,绝缘材料会变脆,同样结构强度会变弱。 四四. .计算机工作环境(续计算机工作环境(续2 2)2.湿度的影响相对湿度为30%,静电电压达5000V;相对湿度为20%,静电电压达10000V;相对湿度为5%,静电电压达20000V。而国家标准电子信息系统机房设计规范(GB 50174 - 2008) 中有关静电防护的规定是:主机房和辅助区内绝缘体的静电电位不应大于1kV。四四. .计算机工作环境(续计算机工作环境(续3 3)3.精密空调与舒适空调的区
84、别1)湿度控制2)精密空调风量大。能够形成整体的气流循环。3)室外机组可以在寒冷环境中运行。4)温度控制精确。5)使用寿命长。 四四. .计算机工作环境(续计算机工作环境(续4 4)4.灰尘灰尘是威胁信息系统安全的一个因素。在电子信息系统机房设计规范(GB 50174 - 2008) 中规定,B级机房的空气含尘浓度,在静态条件下测试,每升空气中大于或等于0.5um的尘粒数应少于18000粒。目前大部分设备的冷却系统采用前进风后出风设计,设备使用一段时间后,前进风板上会聚集大量灰尘。这说明设备内部电路板上也聚集灰尘。电路板上聚集灰尘将可能损坏零件。五五. .数据备份数据备份 数据备份要有多重冗余
85、,一份数据备份是远远不够的。要有异地数据备份。数据部分的有效性检查。数据备份不等于数据万无一失,可能数据备份不完整,要检查数据备份是否完整、可用。五五.数据备份数据备份数据备份方式有:磁盘备份、磁带备份、光盘备份等。一般使用多种方式进行数据备份。数据备份要纳入计算机管理范畴。要严格按照规定的备份时间、方式进行数据备份。要定期进行备份有效性检查。六六. .冗余灾备冗余灾备 信息系统中服务器一般要有备份,保证一台服务器出现故障时可以由备用服务器代替工作。备份方式有:双机冷备份、双机热备份、集群式备份等。备份机要事先安装好操作系统、杀毒软件、配置好用户等设置、数据库、安装好切换软件。一般工作站、打印
86、机等外设要有备用品。工作站要安装好各种软件。七七. .信息系统文档信息系统文档 信息系统文档是信息系统正常运行的保证。信息系统文档包括:计算机资料、驱动软件、系统软件、应用软件安装盘、应用软件安装说明书、程序使用说明书、源程序代码及详细说明、各计算机的IP地址、计算机名、服务器配置说明书、局域网分布资料、交换机配置资料等。八八. .计算机病毒的检测及清除计算机病毒的检测及清除 计算机病毒在网络中的危害远大于对单机的危害。网络发生计算机病毒后最难处理的问题是病毒的清除。对于服务器等关键设备应作到安装完操作系统后的第一件事是安装杀毒软件,然后才是连网。八八.计算机病毒的检测及清除计算机病毒的检测及
87、清除网络环境下要把防止计算机病毒进入放在首位。清楚网络环境下的病毒工作量十分大,某医院网络中有130台计算机,计算机上没有光驱和软驱,为了清除病毒6个人花费了9个小时,即54人时。网络环境其防范措施有:设置VLAN,在主域服务器上安装网络版杀毒软件。严格计算机使用管理条例。九九. .防止非法访问防止非法访问 非法访问包括:失误访问、恶意访问、黑客攻击等。防止非法访问的措施有:密码管理、权限设置、网络划分VLAN、设置路由器、设置防火墙、严格的网络管理措施等。九九.防止非法访问防止非法访问密码管理是保证网络安全的一个重要手段。密码管理除了密码的高可靠性外,还包括必须专人管理、定期更新、经常检查、
88、防止泄漏。权限设置包括:访问目录权限、访问时间权限、读写权限、权限等级设置等。设置路由器和防火墙用于因特网连接。十十. .信息系统安全管理信息系统安全管理 信息系统安全管理的目标保证医院信息系统24X363X5=43600h始终无故障运行。医院信息系统中服务器采用群集技术、磁盘应用了磁盘阵列、制定并实施了完善的备份方案、建立了有效的应急方案并不能完全保证医院信息系统安全。采用群集技术、磁盘阵列等只是利用冗余方式为检测故障并排除故障提供时间。 十十.信息系统安全管理(续)信息系统安全管理(续)采用严格的管理以便在尽早发现出现故障的设备并且迅速排除故障。管理不到位可能造成信息系统整体瘫痪。管理的内
89、容包括:定期设备状态检查和检测;定期数据备份有效性检查;定期应急方案可行性检查;定期系统软件补丁升级;定期病毒软件升级;及时修改信息系统文档等。不断的完善信息系统管理方案。 十一十一. .安全风险评估安全风险评估信息系统安全风险始终存在。安全风险随时间和环境的变化而增加。安全风险评估的目的是确定风险的危险程度。安全风险评估是一项经常性的工作。安全风险评估后要采取措施降低安全风险。思考题:1.信息安全的特征是什么?2.保证电源连续性的措施有哪些?3.保证布缆安全的措施有哪些?4.保证设备安全的措施有哪些?5.操作变更控制要注意什么问题?6.控制恶意软件的措施有哪些?7.为什么要做数据备份?谢谢 谢!谢!
