信息安全管理与监管

信息安全管理与监管 宗勇 云南大学网络与信息中心主任 信息安全管理与使用技术知识第二章，信息安全管理与监管。本章包含五题内容。技 术与管理的关系一直是信息安全工作的热点问题，从 BISS 公布的数据看，超过 70%的信 息安全事故如果事先加强管理都是可以得到避免的，也就是三分技术，七分管理，二者并 重。 一、信息安全管理组织、人员和制度 第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理 的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策机构、安全主管机构、 安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由 单位内部的专门机构控制和管理的，必要时，应与外部相关组织进行沟通协调，各单位在 进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。 主要体现如图所示的三个层次。符合性（合规性）管理：是指单位、组织根据自身业 务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、 法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安 全管理的一致和配合。 信息安全的人员管理，人员的素质是提高信息安全性致关重要的因素。信息安全的人 员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道 德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审 查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。 事实证明，许多安全事件都是由内部人员造成的，因些对于关键岗位必须建立严格的 人员安全审查制度，把好人员安全管理的第一关，各单位的信息系统和内部资源应跟极其 敏感程度和重要程度进行密集划分，信息资源的密集直接决定了接触和管理试信息资源的 岗位对人员安全等级的要求，因依此要求建立相应的人员安全审查的标准，人员的安全审 查应该从安全意识、法律意识、安全技能等几方面进行，应试具有政治可靠、思想进步、 作风正派、技术合格等基本素质，关键岗位人员的审查标准。 信息系统的关键岗位人员的审查标准应具有以下几个方面，一般必须是单位组织的正 式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出 现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员 签订保密协议，通过保密协议约定工作范围、工作期限以及处罚和审查事项等。同时应定 期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。 培训内容主要有三个方面，第一基本安全教育及基本概念可能存在的威胁和风险、理 解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培 训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面， 安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管 理理论、安全工程理论、关键岗位职能与责任的培训。 定期的考核，岗位安全考核，主要是从思想政治和业务表现两方面进行。对于离岗人 员安全管理，应该按照离岗的不同原因，建立技术人员离岗的安全管理制度：一、正常离 岗人员。正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移 交。相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申安全保密 责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应在调离决定通知其本 人之前，立即或者提前进行移交手续，不能拖延。第三种情况，因工作问题被解聘人员， 应该严格审查其工作问题，严格执行相关处罚，若有触犯法律、法规的行为，应依法追究 其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情况，编制完整的、全 面的、分层次的信息安全的制度管理制度和规范，并加以认真贯彻落实。 下面列举三个信息安全管理制度：一、物理环境安全管理规范，它包括安全域、门禁 控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故 处理等。二、终端计算机安全使用规范，包括安装防病毒软件、操作系统定期自动升级、 密码保护、IE 安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范， 包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响 应处理等。 二、互联网、重点单位信息安全管理 第二个问题，互联网、重点单位信息安全管理。 计算机信息网络国际联网管理暂行规 定 、 计算机信息网络国际联网安全保护管理办法 、 互联网安全保护技术措施规定的 国家现行的法律法规，在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等 方面对互联网服务提供者、互联网数据中心 、联网使用单位做出明确的规定和要求。 杭州精英在线系列课件 其中， 计算机信息网络国际联网管理暂行规定第 13 条规定，从事国际联网业务的 单位和个人应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联 网从事危害国家安全、泄露国家秘密等违法犯罪活动；不得制作、查阅、复制和传播妨碍 社会治安的信息和淫秽色情等信息。 计算机信息网络国际联网安全保护管理办法第 5 条、第 6 条，对禁止在互联网上 发布的信息内容、禁止互联网活动行为分别做出强劲的规定。 计算机信息网络国际联网安 全保护管理办法第 10 条还规定，互联网单位、接入单位及国际联网的法人和其他组织应 当履行，一、建立健全安全保护管理制度；二、落实安全保护技术措施；三、开展安全教 育和培训；四、对发布信息的单位和个人登记、对发布内容进行审核；五、建立电子公告 系统的用户登记和信息管理制度；六、对违反法律法规的行为保留有关原始记录并及时报 案；七、及时删除违反法律法规的内容、地址、目录或者关闭服务器。 互联网管理中的安全管理制度，健全的互联网安全管理制度应包含：新闻组、BBS 等 交互式栏目及个人主页等信息服务栏目的安全管理制度、信息发布审核和登记制度、信息 巡查、保存、清除和备份制度等其他与安全保护有关的管理制度。 安全保护技术措施。 互联网安全保护技术措施规定，互联网服务的提供者、联网使 用者和单位应当建立和落实基本的安全技术措施，包括防病毒、防网络入侵和攻击破坏等 危害网络安全事项或者行为的技术措施，重要数据库和系统主要设备的冗灾备份措施，记 录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技 术措施。 重点单位及其确定原则， 计算机信息系统安全保护条例第 4 条明确规定：“计算机 信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重 要领域的计算机信息系统的安全。 ”加强网络安全保护工作，首先要抓好重点单位及其确定 原则，加强信息网络安全保护工作，首先要抓好重点抓好国家事务、经济建设、国防建设、 尖端科学技术等重要领域的计算机信息系统的安全，这些重要领域的信息网络安全直接关 系到国家安全、社会稳定以及经济建设的健康发展，凡是涉及这些要领域的信息网络的单 位均属于重点单位。 我国信息网络重点单位列举，我国根据安全需要，从实际出发，全面权衡后，确定了 信息网络重点单位一共有 12 类，我国根据安全需要，从实际出发，全面权衡后，将下列单 位列入信息网络重点单位：1、国家各级党政机关单位，2、银行、保险、证券等金融机构， 3、电力、热力、燃气、煤炭、油料等能源单位，4、铁路、公路、水路、海运等交通运输 单位，5、医疗、消防、紧急救援等社会应急服务单位，6、经济建设的重点工程建设单位， 7、其他重要领域和单位，8、互联网管理中心及其重要网站，9、重要物资储备单位，10、 水利及水资源供给部门，11、航空、航天等尖端科技企业和研究单位。12、邮政、电信、 广播电视部门等。 重点单位信息安全管理。重点单位信息安全管理，要从建立安全管理机构、完善安全 管理制度、落实安全管理措施、涉密安全管理等四个主要着手。管理机构应该明确机构的 职责、配备专职的人员、明确人员职责。管理制度应该包括安全保密制度、 登记备案制度、 等级保护制度、案件报告制度。落实安全管理措施包括人员管理措施、权限分散措施、系 统分离措施、应急备份措施、 通信管理措施，信息安全管理下一节会讲到。 三、涉密信息安全管理 第三题，涉密信息安全管理。涉密信息、载体和系统。涉密信息主要是国家秘密和商 业秘密，国家秘密关系国家安全和利益，其内容涉及国家的政法、军事、外交和外事、国 民经济和社会发展、科技技术、国家安全和刑事司法等领域。商业秘密仅仅是涉及权利人 的经济利益和竟争优势的信息，其内容也局限于科研、生产、经营有关的技术信息和经济 信息，商业秘密与经济、科技领域中的国家秘密都是具有保密价值的信息，二者是相互关 系、互可转变的。 涉密载体，涉密载体是指，以各类计算机硬盘、软盘、U 盘、光盘、闪存盘、磁带及 其他数码存储设备为介质，通过文字、数据、符号、图形、图像、声音等方式存储国家秘 密信息、工作秘密信息以及商业秘密信息的各类存储载体。涉密系统，系统里的信息涉及 国家秘密的信息系统，不论其中的涉密信息是多还是少，只要是有存储、处理或传输了涉 密信息的信息系统就是涉密信息系统。涉密单位主要是指用于采集、存储、处理、传递国 家秘密信息的信息网络单位；涉密信息和系统的管理。涉密系统安全管理规定有：1、建立 信息网络时，同步规划落实相应系统保密设施；2、信息网络的研制、安装和使用符合保密 要求；3、采取有效保密措施，配置合格保密专用设备；4、采取系统访问控制、数据保护 和系统安全保密监控管理等技术措施；5、权限控制；6、不得直接或间接连接国际互联网 或其他公共信息网络，必须物理隔离。 涉密信息的管理：1、必须按照保密规定进行采集、存储、处理、传递、使用和销毁； 2、要有相应的密级标识，密级标识不能与正文分离；3、保密审查批准制度，健全上网信 息保密审批领导则认真；4、处理、存储和传输绝密信息的计算机，必须采取必要的防止非 杭州精英在线系列课件 法调阅机内信息的技术措施；5、不得在与国际网络互联的信息网络中存储、处理和传递； 对涉密载体、涉密场所和涉密人员管理也有相关的规定。 四、应急事件处置 第四题，应急事件处置。网络与信息系统运行所面临的安全威胁重要来自于五个方面： 1、计算机病毒，2、网络入侵 3、软硬件故障，4、人员误操作，5、不可抗灾难事件。 应急事件的风险分析和处置方法。病毒有最高的风险，预防措施是全面部署网络病毒 查杀系统、建立集中的病毒管理中心、加强管理，教育与培训，应急方案是迅速响应和处 理，必要时进行相关系统和数据的恢复处理；网络入侵有较高的风险，预防措施是加强边 界管理与控制，加强安全系统的维护管理，应急处理方案是及时报警，切断连接；弥补漏 洞；软硬件故障的风险较小，预防措施是双机热备，冗余配置，应急处理的方式是对硬件 及时检修和更换，对软件是及时更新和修改；人员误操作的风险次之，预防措施是安全操 作的教育与培训，同时采取分权机制，应急处理的措施是及时恢复；不可抗灾难事件风险 最小，预防措施是系统和数据备份机制，并且建立异地容灾备份中心，应急处理方案即灾 难恢复处理。 灾难恢复处理，灾难恢复是指当信息系统受到损害，如地震、火灾、非正常人为破坏 等造成的系统或数据损坏或丢失，应用事先制定好的相应处理策略，进行尽可能的修复或 弥补。事故处理及应急事件响应策略应用于此，是单位组织的整个程流中最为重要的核心 成员。 灾难恢复的级别和指标。灾难恢复的 RPO 指标是用以量化描述灾难恢复目标的最常用 指标，其中 RPO 及恢复点目标是指灾难发生后系统和数据必须到恢复时间点要求，代表在 灾难发生时引起丢失的数据量，PTO、RPO 和 RPP 一起确定了灾难恢复时间范围目标。 灾难恢复等级划分的通用国际标准有，关于冗余等级用户的国际标准是，国际标准将 冗余等级划分为七级，从低到高提出七种不同层次的灾难恢复解决方案，0 级：本地冗余 备份，1 级：数据介质转移，2 级：应用系统冷备，3 级：数据电子传送，4 级：应用系统 温备，5 级：应用系统热备，6 级：数据零丢失。这七个层次对你的冗余方案在功能、使用 范围等方面都有所不同，所以用户应分清层次。 灾难恢复等级划分的国家标准，我国冗余方面跃然起步晚，但是国家十分重视，制定 了相应的冗余等级划分方案，重要信息系统灾难恢复指南将我国的灾难恢复数据备份系统、 备用数据处理系统、备用网络系统、备用基础设施、技术知识能力、运行维护管理能力和 灾难恢复这七个要素划分为六个等级：1 级、基础支持，2 级、备用场地支持，3 级、电子 传输和部分设备支持，4 级、电子传输和完整设备支持，5 级、实时数据传输和完整设备支 持，6 级、数据零丢失和远程集群支持，更加符合我国现阶段的实际情况，这样的划分和 考虑更加符合我国现阶段的实际情况。 灾难恢复的策略。灾难恢复的管理过程主要有以下四部分：一、灾难恢复需求分析， 二、灾难恢复策略制定，三、灾难恢复策略实现，四、灾难恢复预案制定和管理。在灾难 恢复需求分析中，包括风险分析、业务影响分析和确定灾难恢复目标三个子步骤，通过这 三个子步骤了解信息系统的风险，综合业务的需求分析，并确定关键业务功能及恢复的优 先顺序。 灾难恢复策略的主要内容订要包含损害限制，通过提前计划和完美的处置步骤进行一 些灾难限制，可以减少企业的成本。第二个内容是准备工作，即使进行了损害限制，企业 仍然可能遭受灾难，灾难恢复策略中，应对各种灾难，进描述为各种不测事件做准备，例 如，软硬件的备份，场地的备份，计算恢复时间，恢复程序等，为各种灾难做准备意味着 可以及时恢复必要的系统，是系统恢复策略的主要内容。第三、数据的完整性，对重要数 据确保数据完整性是一项日常工作，在灾难恢复必须创建完整、正确的数据备份，以便恢 复系统，同时，还兼顾数据的最新性、一致性，能够与所有数据同步。第四个内容是备份 服务中心，如果一个企业把高可靠性看得很重要，建立备份服务中心是十分必要的，甚至 建立异地的备份服务中心，在遇到灾难时受到的影响就会大大减小，备份的方式有冗余备 份、热备份和异地备份等。 五、信息安全监管 第五节，信息安全监管。实施计算机信息的系统安全保护主要由两方面构成：一是国 家实施安全监督管理，二是使用单位实施安全保护措施。因此，实施信息安全的有效保护 国家拥有对信息安全监管的权利和职能，各使用单位不仅有在本单位内范围内实施安全保 护措施的职责和义务，还有配合国家机关有效完成信息安全监督的职责和义务。 计算机信 息系统安全保护条例规定 ，公安部主管全国计算机信息安全保护工作。 信息安全案件。凡是违反国家法律、法规的规定，危害计算机信息系统安全以及利用 计算机信息系统实施的违法犯罪活动，统称为计算机案件。计算机案件主要分为刑事案件 和行政案件两类。 一、治安案件和一般行政案件，指违反治安处罚法所构成的计算机安全案件称为治安 杭州精英在线系列课件 案件，包括危害计算机信息系统安全，如违反国家规定，侵入计算机信息系统和制作、传 播计算机病毒等危害性。利用计算机系统实施的违法案件，如利用计算机网络传播淫秽信 息，在计算机网络中刊载有民族歧视、侮辱内容的信息。 第二方面，违反了行政法规所构成的计算机案件称为行政案件，主要是凡是违反计 算机信息系统安全保护条例有关规定和制度的违法行为 ，都要追究行政法律责任。 刑事案件主要是指触犯行例所构成的计算机案件，被称为计算机刑事案件，我国刑法 关于计算机犯罪的三个专门条款规定了三种计算机刑事案件：即非法侵入计算机信息系统 罪，破坏计算机信息系统罪和利用计算机作为工具实施的犯罪。其中非法侵入计算机信息 系统罪和破坏计算机信息系统罪是纯粹的计算机犯罪，刑法为其当立罪名，而利用计算机 作为工具实施犯罪的不是纯粹的计算机犯罪，只是传统犯罪使用了与计算机有关的犯罪工 具而已，刑法不为其立罪名。 计算机案件性质界定，在我国法律责任体系中，行政案件和刑事案件两者在内容和性 质上有许多不同，必须正确界定计算机案件的性质并依法进行制裁，界定依据主要有根据 违法行为的情节和造成的后果，二、违法行为的类别，三、违法行为所违反的法律规范。 信息安全行政违法责任，行政违法行为是指行政法律关系的主体违反有关计算机信息 网络安全的法律、行政法规、侵害计算机信息网络系统的安全而尚未构成犯罪的行为。违 法主体包括计算机信息网络的安全监督管理机关及其工作人员，以及作为行政相对方的公 民、法人和其他组织。构成行政违法，应当承担相应的行政法律责任。 行政法律责任是指计算机信息网络安全法律关系的主体违法计算机信息网络安全法律 所规定的义务而构成行政违法所应承担的法律责任。 二、行政处罚。行政处罚是行政执法过程中最常采用的手段，也是对行政违法行为人 给予惩戒的必要措施。具体到计算机信息网络安全领域，行政处罚是公安机关根据法律规 定，对违反计算机信息网络安全法律、法规的行为人给予的行政制裁。其具有以下特点， 实施主体是公安机关；实施对象是行政违法的公民、法人或其他组织；必须有确定的行政 违法行为；具有行政强制性。 在计算机信息网络安全管理的实际执法中，违反信息管理条例相关规定的行政处罚主 要有：一、人身自由罚，即对违法行为人的人身自由权利进行限制或者剥夺的行政处罚， 如拘留；二、声誉罚，也就是对违法行为人的名誉、信誉或者精神上造成一定损害的行政 处罚，如警告、通报批评；三、财产罚，也就是对被处罚人的财产权利和权益造成损害的 行政处罚，如罚款或者没收违法所得；四、资格罚，也就是指以剥夺或限制被处罚人的资 格为内容的行政处罚，如吊销许可证、取消联网资格；五、责令作为与不作为罚，也就是 指直接要求被处罚人做出某种行为或不得做出某种行为，如停止生产、停机整顿、停止联 网等。 信息安全刑事犯罪类型主要的三类，一、非法侵入计算机信息系统罪，二、破坏计算 机信息系统罪，三、利用计算机作为工作实施的犯罪。在发生案件时应及时报案并配合公 安机关的调查。 刑事责任。信息安全刑事违法责任主要是指行为人因其实施了违反计算机信息网络安 全法律的犯罪行为所应承担的法律后果。由于犯罪嫌疑人的违法行为是所有违反计算机信 息网络安全法律行为中对社会危害性最大的违法行为，按照法律责任和违法行为相适应的 原则，将刑事责任确立为最严厉的法律责任。 信息安全刑事违法责任，我国刑法关于计算机犯罪三个专门条款规定了三种计算机刑 事案件：一、非法侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、 尖端科学技术等领域的计算机信息系统的行为。这些重要领域的计算机信息系统在保障国 家安全、经济发展以及人民生命财产安全等方面起着非常重要的作用，任何侵入行为都要 承担刑法规定的刑事责任。二、破坏计算机信息系统罪：刑法第 286 条对破坏计算机信息 系统罪进行了规定，是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、 干扰或对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的 操作或故意制作、传播计算机病毒等破坏程序，影响计算机系统正常运行，后果严重的行 为。适用任何领域内的计算机信息系统，造成严重后果的，都要承担刑法规定的刑事责任。 三、利用计算机作为工具实施的犯罪：我国刑法第 287 条规定：“利用计算