Network and Information Security 第15章 网络信息安全管理 第15章 网络信息安全管理 本书前面详细讨论了网络信息安全的各种技术。只有技术是不是可以呢?答案是否定的。除了技术,还要有完善的安全管理。没有完善的安全管理,安全只是一句空话。试想,如果密钥因为管理混乱而泄密,那么密钥设置得强度再高又有什么用呢?本章将讨论安全管理的方方面面。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.1 信息安全管理概述 15.1.1 信息安全管理的概念 所谓管理,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。 安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别,将风险控制在可以接受的程度。信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.1.2 安全管理的重要性 在信息时代,信息是一种资产。仅通过技术手段实现的安全能力是有限的,主要体现在以下两个方面。 一方面,许多安全技术和产品远远没有达到人们需要的水准。 另一方面,即使某些安全技术和产品在指标上达到了实际应用的某些安全需求,如果配置和管理不当,还是不能真正地实现这些安全需求。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 安全管理模型——PDCA持续改进模式 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.2 信息安全管理策略 信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。 1.信息安全管理的任务:信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。 2.信息安全管理的目标:信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。 3.信息安全管理的对象:信息安全管理的对象从内涵上讲是指信息及其载体——信息系统,从外延上说其范围由实际应用环境来界定。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 4.信息安全管理遵循如下基本原则: (1)策略指导原则 (2)风险评估原则 (3)预防为主原则 (4)适度安全原则 (5)立足国内原则 (6)成熟技术原则 (7)规范标准原则 (8)均衡防护原则 (9)分权制衡原则 (10)全体参与原则 (11)应急恢复原则 (12)持续发展原则 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 5.信息安全管理的程序,信息安全管理的程序遵循PDCA循环模式的4大基本步骤: (1)计划(Plan):制定工作计划,明确责任分工,安排工作进度,突出工作重点,形成工作文件。 (2)执行(Do):按照计划展开各项工作,包括建立权威的安全机构,落实必要的安全措施,开展全员的安全培训等。 (3)检查(Check):对上述工作所构建的信息安全管理体系进行符合性检查,并报告结果。 (4)行动(Action):依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性,采取改进措施。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 6.信息安全管理的具体方法很多,应该根据具体情况制订,以下是通用的方法: (1)制定各类管理制度,并在工作中真正执行。 (2)系统由专人管理,其他人员不应该接触系统。 (3)禁止非工作人员进入重要机房。 (4)使用不间断电源UPS,做好防火、防水、防雷击保护措施。 (5)各用户必须管理好自己的口令,并定期更改,不能泄露。 (6)重要的设备应该安放在安装了摄像头的隔离房间内,要保留15天以上的摄像记录,并使用门禁系统。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法操作设备,钥匙要放在安全的地方。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 (7)随时检查并记录服务器、网络设备及各类应用软件的运行情况,对软硬件进行的修改、升级一定要记录在案。 (8)对软硬件进行重大的更改前,必须先形成方案文件,经过详细研究确认可行后再实行,并应对更改可能带来的负面后果做好充分的准备。可以在其它设备上试验后再正式实行,绝不能在工作中的设备上进行试验性质的调试。 (9)服务器上仅安装必须的软件,非必须的软件一律删除。 (10)定时备份重要数据,一定要把数据备份在光盘或另一台设备上,不能备份在同一台设备上,这样的话还不如不备份。至关重要的数据应该异地备份,防止大规模自然灾害,如地震发生时数据全灭。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 7.信息系统安全评估 要确定一个信息系统的安全性究竟怎样,必须进行安全评估。安全评估分为3步。 安全评估方法的第1步是发现阶段,所有有关安全体系结构适用的文本都必须检查。 评估的第2步是人工检查阶段,将文本描述的体系结构与实际的结构进行比较,找出其差别。 评估的第3步是漏洞测试阶段。这是一个系统的检查,以决定安全方法的适用性、标识安全的差别、评价现有的和计划的保护措施的有效性。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.3 信息安全管理标准 15.3.1 BS7799标准 BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分: BS7799-1:2000《信息安全管理实施规则》; BS7799-2:2002《信息安全管理体系规范》。 其中,BS7799-1:2000于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC 17799:2000《信息技术——信息安全管理实施规则》。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 标准的第一部分为BS7799-1:2000《信息安全管理实施规则》,是组织建立并实施信息安全管理体系的一个指导性准则,主要是为组织实施有效的信息安全管理提供通用的最佳实施规则。 第二部分为BS7799-2:2002《信息安全管理体系规范》,规定了建立、实施和维护信息安全管理体系的要求,指出组织需依据风险评估和自身需求来确定最适宜的安全控制要求,采取最适当的安全控制措施。 可以这样说,BS7799-1:2000为BS7799-2:2002的具体实施提供了指南。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.3.2 安全成熟度模型 美国Carnegie Mellon大学的软件工程研究所制定了系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model, SSE-CMM)。 安全成熟度能力级别 说明 无效力(50%) 总的安全体系结构没有遵从企业 安全策略、法规,以及最佳经营实际 需要改进(65%) 安全体系结构中无效力部分的应少于35% 合适(85%) 企业的安全计划、部署、配置和过程控制 使安全体系结构能满足总的目标。 极好(超过100%) 安全体系结构超过了总的目标及需求。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 1.安全计划:一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题: (1)内容太旧,已过时,不适用于当前的应用。 (2)文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种解释。 (3)表达不够详细。很多组织的安全策略观念只是一个口令管理。 (4)用户需要知道有关安全的文本。 2.技术和配置:安全专业人员应能适当地选择产品,正确地将它们安置在基础设施中,合适地配置和支持。 3.操作运行过程:运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。 安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.4 我国关于网络安全的法律法规 15.4.1 相关法律法规 1.相关法规 (1)《计算机病毒控制规定》; (2)《中华人民共和国计算机信息系统安全保护条例》; (3)《中华人民共和国计算机信息网络国际联网管理暂行规定》; (4)《国际互联网出入信道管理办法》; (5)《计算机信息系统保密管理暂行规定》; (6)《商用密码管理条例》; (7)《互联网信息服务管理办法》; (8)《电子认证服务管理办法》; (9)《电子认证服务密码管理办法》。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 2.相关法律 (1)1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过的《中华人民共和国保守国家秘密法》第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密部门会同中央有关机关规定”; (2)1997年10月,我国第一次在修订刑法时增加了计算机犯罪的罪名; (3)为规范互联网用户的行为,2000年12月28日九届全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》; (4)2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过《中华人民共和国电子签名法》。 此外,我国还缔约或者参与了许多与计算机相关的国际性的法律法规。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.4.2 网络服务业的法律规范 1.网络服务机构设立的条件 2.网络服务业的对口管理 3.互联网出入口信道管理 4.计算机网络系统运行管理 5.安全责任 15.4.3 网络用户的法律规范 1.用户接入互联网的管理 2.用户使用互联网的管理 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.4.4 互联网信息传播安全管理制度 1.从事经营性互联网信息服务应具备的条件 (1)有业务发展计划及相关技术方案; (2)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度; (3)服务项目属于某些特定范围的,已取得有关主管部门同意的文件。 2.从事非经营性互联网信息服务应提交的材料 从事非经营性互联网信息服务应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料: (1)主办单位和网站负责人的基本情况; (2)网站网址和服务项目; (3)服务项目属于某些特定范围的,已取得有关主管部门的同意文件。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.4.5 电子公告服务的法律管制 我国公安部发布的《计算机信息网络国际联网安全保护管理办法》规定了电子公告系统的用户登记和信息管理制度,具有对开放BBS一定的管制作用。为了进一步加强对BBS的管理,净化网络环境,我国信息产业部发布的《互联网电子公告服务管理规定》规定:从事互联网信息服务,拟开展电子公告服务的,应当在向省、自治区、直辖市电信管理机构或者信息产业部申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,提出专项申请或者专项备案。 Network and Information Security
Network and Information Security 第15章 网络信息安全管理 15.4.6 关于电子商务的法律 《电子签名法》是我国信息化领域里的第一部法律。该法立法的直接目的是为了规范电子签名行为,确立电子签名的法律效力,维护各方合法权益;立法的最终目的是为了促进电子商务和电子政务的发展,增强交易的安全性。 《电子签名法》重点解决了五个方面的问题。一是确立了电子签名的法律效力;二是规范了电子签名的行为;三是明确了认证机构的法律地位及认证程序,并给认证机构设置了市场准入条件和行政许可的程序;四是规定了电子签名的安全保障措施;五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门。 Network and Information Security