ch9-信息安全管理.ppt

第9章信息安全管理 本章学习目标 理解策略的含义掌握策略制定的原则 内容和编写方法熟悉信息安全管理机构的构成了解制定信息安全管理制度的原则了解基本的信息安全法律法规 9 1制定信息安全管理策略 信息安全管理策略也称信息安全方针 是组织对信息和信息处理设施进行管理 保护和分配的准则和规划 以及使信息系统免遭入侵和破坏而必须采取的措施 它告诉组织成员在日常的工作中什么是必须做的 什么是可以做的 什么是不可以做的 哪里是安全区 哪里是敏感区 就像交通规则之于车辆和行人 信息安全策略是有关信息安全方面的行为规范 一个成功的安全策略应当遵循 1 综合平衡 综合考虑需求 风险 代价等诸多因素 2 整体优化 利用系统工程思想 使系统总体性能最优 3 易于操作和确保可靠 9 1 1信息安全管理策略概述 9 1制定信息安全管理策略 在制定信息安全管理策略时 要严格遵守以下主要原则 1 目的性 策略是为组织完成自己的信息安全使命而制定的 策略应该反映组织的整体利益和可持续发展的要求 2 适用性 策略应该反映组织的真实环境和信息安全的发展水平 3 可行性 策略应该具有切实可行性 其目标应该可以实现 并容易测量和审核 没有可行性的策略不仅浪费时间还会引起政策混乱 4 经济性 策略应该经济合理 过分复杂和草率都是不可取的 5 完整性 能够反映组织的所有业务流程的安全需要 6 一致性 策略的一致性包括下面三个层次 和国家 地方的法律法规保持一致 和组织己有的策略 方针保持一致 整体安全策略保持一致 要反映企业对信息安全的一般看法 7 弹性 策略不仅要满足当前的组织要求 还要满足组织和环境在未来一段时间内发展的要求 9 1 2制定策略的原则 9 1制定信息安全管理策略 理论上 一个完整的策略体系应该保障组织信息的机密性 可用性和完整性 信息安全策略应包含下列一些内容 1 适用范围 包括人员范围和时效性 例如 本规定适用于所有员工 适用于工作时间和非工作时间 不仅要消除本该受到约束的员工有认为自己是个例外的想法 也保证策略不至于被误解是针对某个员工的 同时也告诉员工本规定在什么时间发挥效力 2 目标 例如 为确保企业的经营 技术等机密信息不泄漏 维护企业的经济利益 根据国家有关法律 结合企业实际 特制定本条例 明确了信息安全保护对公司是有着重要意义的 而且与国家的法律法规是一致的 主题明确的策略可能会有更加确切 详细的目标 如防病毒策略的目标可以是 为了正确执行对计算机病毒 蠕虫 特洛伊木马 黑客恶意程序 的预防 侦测和清除过程 特制定本策略 9 1 3策略的主要内容 3 策略主题 通常一个组织可能会考虑开发下列主题的信息安全管理策略 设备和及其环境的安全 信息的分级和人员责任 安全事故的报告与响应 第三方访问的安全性 外围处理系统的安全 计算机和网络的访问控制和审核 远程工作的安全 加密技术控制 备份 灾难恢复和可持续发展的要求 4 策略签署 信息安全管理策略是强制性的 惩罚性的 策略的执行需要来自管理层的支持 通常是信息安全主管或总经理签署信息安全管理策略 签署人的管理地位不能太低 否则会有执行的难度 如果遭到某高层主管的抵制常会导致策略失败 高层主管的签署也表明信息安全不单单是信息安全部门的事情 还是和整个组织所有成员都是密切相关的 5 策略的生效时间和有效期 旧策略的更新和过时策略的废除也是很重要的 应该保持生效的策略中包含新的安全要求 9 1制定信息安全管理策略 9 1 3策略的主要内容 续 6 重新评审策略的时机 策略除了常规的评审时机 在下列情况下也需要重新评审 企业管理体系发生很大变化 相关的法律法规发生了变化 企业信息系统或者信息技术发生了大的变化 企业发生了重大的信息安全事故 7 与其他相关策略的引用关系 因为多种策略可能相互关联 引用关系可以描述策略的层次结构 而且在策略修改时候也经常涉及其他相关策略的调整 清楚的引用关系可以节省查找的时间 8 策略解释 由于工作环境 知识背景等原因的不同 可能导致员工在理解策略时出现误解 歧义的情况 因此 应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释 9 例外情况的处理 策略不可能做到面面俱到 在策略中应提供特殊情况下的安全通道 9 1制定信息安全管理策略 9 1 3策略的主要内容 续 9 1制定信息安全管理策略 9 1 4信息安全管理策略案例 9 2建立信息安全机构和队伍 为了保护国家信息的安全 维护国家的利益 各国政府均指定了政府有关机构主管信息安全工作 我国成立了国家信息化领导小组 由国务院领导亲自任组长 中央国家机关有关部委的领导参加小组的工作 国家信息化领导小组为了强化对信息化工作的领导 对信息产业部 公安部 安全部 国家保密局等部门在信息安全管理方面进行了职能分工 明确了各自的责任 对于保障我国信息化工作的正常发展 保护信息安全起到了重要的作用 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 一个组织的信息安全对本企业也是非常重要的 因此 对信息的安全管理是不容忽视的问题 必须要引起组织最高领导层的充分重视 信息安全的管理层级一般分三个层次 每一层级都应有明确的责任制 1 决策机构 负责宏观管理 2 管理机构 负责日常协调 管理工作 3 配备各类安全管理 技术人员 负责落实规章制度 技术规范 处理技术方面的问题 凡对信息安全有需求的组织 必须成立相应的安全机构 配备必要的管理人员和技术人员 制定规章制度 配备安全设备 从而保障信息安全管理工作的正常开展 安全组织机构对信息系统的安全管理工作是垂直的 网络延伸到哪里 信息安全管理工作就要管到哪里 下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 1 信息安全领导小组 1 领导小组成员1 信息安全领导小组组长由组织主要领导担任 2 其他成员由计算机 通信 综合信息 保卫 保密 人事 监察等有关方面的负责人担任 信息安全领导小组是组织中信息安全工作最高领导决策机构 不隶属任何部门 直接对组织最高领导层负责 领导小组是常设机构 有例会工作制度 领导小组负责本组织 本系统信息安全工作的宏观领导 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 2 领导小组职能1 制定与信息安全有关的长远规划 建设 研究信息安全工作的资金投入 安全 技术 管理 策略 资源利用 处理信息安全的重大事故 决定信息安全的人事问题 2 根据国家信息安全的法律 法规 制度和规范 结合本组织的实际 批准本组织信息安全方面的规章制度 实施细则 安全目标岗位责任制 3 领导本组织信息系统的安全工作 并监督整个信息系统安全体系的日常工作 安全负责人要接受本组织信息安全领导小组和信息安全领导小组办公室的领导 4 领导本组织所属的信息安全工作机构 定期召开信息安全工作会议 研究布置工作 解决重大问题 5 定期向组织最高领导层汇报信息安全工作情况 取得最高层领导对信息安全工作的支持 6 审核批准安全年报 安全教育计划 7 表彰信息安全工作先进者 处置违规行为 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 3 领导小组决策的主要内容1 审核系统安全管理人员的各种安全报告 并做出相关的决定 2 决定信息系统和信息的安全等级 3 决定信息系统是否要采取安全措施 4 作出新的信息安全风险评测 决定是否增加安全措施 5 决定所采用安全保护措施的投入资金量 6 批准系统安全管理人员草拟或修改的各种安全策略手册 7 审定并公布本组织信息安全规章制度 8 仲裁本组织信息安全事故的责任 9 决定系统安全管理人员的任免 10 所形成的决定性意见 以信息安全领导小组名义 用决策决定书的形式公告 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 4 领导小组决策的依据1 系统信息安全管理员提供的报告 2 信息安全现状报告 3 安全新风险分析报告 4 本组织新增加的安全保密防范措施 5 组织信息安全事故初步分析报告 6 新增加安全措施的经费报告 7 新增加安全措施的效益估计 8 信息的安全现状及对组织效益的影响 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 2 信息安全顾问委员会 组织信息安全顾问委员会以信息安全领导小组成员为核心 邀请本组织或社会上信息安全 法律政策 行政 企业 管理 技术专家 组织策划等有关方面专家学者参加 组成智囊团 对组织信息安全领导小组负责 委员会定期或不定期为信息安全管理提供最新的安全动态 面临的风险 技术 改进建议和应对措施 并为组织提供咨询服务 组织信息安全顾问委员会是非常设机构 不一定需要例会制度 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 3 信息安全领导小组办公室 信息中心 信息安全领导小组办公室 信息中心 是在信息安全领导小组直接领导下进行工作 为常设机构 有例会工作制度 负责处理本组织信息安全管理的日常工作 1 办公室组成人员1 信息安全领导小组办公室主任负责组织 处理信息安全方面大量的日常工作 有些工作技术性比较强 因此需要懂技术的信息中心主要负责人 CIO 担任 或由安全负责人担任 但应有一名懂技术的信息中心领导担任副主任 负责技术管理工作 2 其他人员由系统管理 系统分析 通信 软件 硬件 保卫 保密 机要 监察和人事等有关方面的工作人员组成 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 3 信息安全领导小组办公室 信息中心 2 办公室职能1 接受信息安全领导小组的直接领导 处理信息安全工作的日常工作 2 制定本组织信息安全的工作制度 安全目标和各级工作人员的权限 岗位职责 3 定期向组织信息安全领导小组汇报工作 报告工作计划 4 与国家有关信息安全工作的主管部门 技术部门建立日常工作联系 及时报告重大事件 并协助有关部门做好处理工作 5 制定本系统安全操作规程制度 6 负责管理各类安全管理人员 定期或不定期组织安全教育或培训 7 定期检查各部门的安全工作 及时通报检查结果和违章行为 8 负责安全事故调查 起草安全事故报告 提出处理意见 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 3 信息安全领导小组办公室 信息中心 9 听取所属组织安全领导小组 负责人 的工作汇报 对报告中的重大问题及时报告组织安全领导小组 10 对本级和本级所属安全工作人员进行工作业绩考核 并提出工作人员称职 不称职或表彰 处罚的意见 11 起草年度信息安全工作报告和有关信息安全宣传 教育 培训计划 12 审阅控制台操作记录 系统日志 系统报警记录 系统统计活动 警卫报告 加班报表以及其他与安全有关的材料 发现问题及时作出补救决定 13 管理 检查 监督 分析系统运行日志和系统监督文档 定期对系统做出安全评价 14 制定 管理和定期分发系统及用户的身份识别号码 密钥和口令 15 根据国家和上级保密工作规定 审查系统操作人员对系统信息的使用 审查系统对外发表的信息 防止发生泄密 16 采取切实可行的措施 防止系统操作人员对系统信息泄露和破坏 篡改数据 防止未经许可越权使用系统资源 17 建立必要的系统访问批准制度 监督 管理系统外维修人员对系统设备的检修及维护 18 采取切实可行的措施 防止计算机设备的损坏 改换和盗用 19 定期做信息系统的漏洞检查 向本组织安全领导小组提供信息安全管理系统的风险分析报告 提出相应的对策和实施计划 20 负责存取系统和修改系统授权以及系统特权口令 9 2建立信息安全机构和队伍 9 2 1信息安全管理机构 续 3 信息安全领导小组办公室 信息中心 组织信息安全工作队伍主要包括信息安全员 系统安全员 网络安全员 设备安全员 数据库安全员 数据安全员 防病毒安全员 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 1 信息安全工作人员的条件由于各类信息安全工作人员的工作岗位处于信息系统的核心敏感部位 因此要有比较高的政治素质和业务水平 这些人员应具备以下条件 1 政治可靠 对组织忠诚 2 工作认真负责 有敬业精神 3 处理问题公正严明 不拘私情 4 熟悉业务 具有一定的实践经验 5 从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 2 信息安全工作人员的管理原则1 人员审查原则2 签订保密协定原则3 持证上岗原则4 人员培训原则5 人员考核原则6 权力分散原则7 人员离岗原则 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 1 信息安全员的职责信息安全员主要负责信息网络系统的信息安全和保密信息的管理 其主要职责是 1 负责涉密信息网信息安全 监督检查涉密信息的报送 接受和传输的安全性 2 负责监督检查信息网对外发布的信息 保证符合安全保密规定 3 负责监督检查各部门的涉密信息的安全保密措施 防止泄密事件的发生 4 负责监督检查信息网对国际互联网上国家禁止的网站的非法访问及有害信息的侵入 5 负责协助有关部门对网络泄密事件进行调查与技术分析 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 2 系统安全员的职责系统安全员主要负责信息网络操作系统及服务器操作系统的安全及管理 其主要职责是 1 负责信息网络操作系统和服务器操作系统的安装 运行和维护 管理 保障系统的安全稳定地运行 2 负责对用户的身份进行验证 防止非法用户进入系统 3 负责用户的口令管理 建立口令管理规程和检验创建账户机制 避免口令泄露 4 负责实时监控系统 发现异常及时采取措施 恢复系统正常状态 5 负责对系统各种硬软件资源的合理分配和科学使用 避免造成系统资源的浪费 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 3 网络安全员的职责网络安全员主要负责信息网络系统的安全保密工作 其主要职责是 1 负责信息网络系统及其网络安全保密系统的运行与维护 发现故障及时排除 保障系统安全可靠地运行 2 负责配置和管理访问控制表 根据安全需求为各用户配置相应的访问权限 3 负责网络审计系统的管理和维护 认真记录 检查和保管审计日志 4 负责检查系统的安全漏洞和隐患 发现安全隐患及时进行修复或提出改进意见 5 负责实时对系统进行非法入侵检测 防止和阻止 黑客 入侵 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 4 设备安全员的职责设备安全员负责对专用计算机安全保密设备 防火墙 加密机 干扰仪等 的管理 使用和维护 其主要职责是 1 负责设备的领用和保管 做好设备的领用 进出库 报废登记 2 负责设备的正确使用和安奎运行 并建立详细的运行日志 3 负责设备的清洁和定期的保养维护 并做好维护记录 4 负责设备的维修 制定设备维修计划 做好设备维修记录 5 负责对安全保密设备密钥的管理与注入 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 5 数据库安全员的职责数据库安全员负责数据库管理系统的安全及维护管理工作 其主要职责是 1 负责数据库管理系统的安装 备份和维护 保证系统安全 正常运行 2 负责定期检查系统运行情况 检测并优化系统性能 3 负责检查数据库系统的用户权限 防止非法用户的侵入和越权访问 4 负责定期检查数据库数据的完整性和可用性 发现系统故障及时排除 做好系统恢复 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 6 数据安全员的职责数据安全员负责信息网络中运行数据的安全 其主要职责是 1 负责信息网络数据的安全 保障信息的保密性 完整性和可用性 2 负责对信息网络数据备份与灾难恢复系统的维护与管理 实时对重要数据进行安全备份 3 负责对信息采集 传输及存储的技术手段和工作环境以及介质管理各环节的监督检查 发现问题和漏洞及时解决 4 负责定期对重要数据存储备份介质的检查 防止数据的丢失或被破坏 9 2建立信息安全机构和队伍 9 2 2信息安全队伍 续 3 信息安全工作人员的岗位职责 7 防病毒安全员的职责防病毒安全员负责信息网络系统的计算机病毒的防护工作 其主要职责是 1 负责计算机防病毒软件的购置 保管 发放 升级和安装 2 负责信息网络系统的计算机病毒的防护 在病毒发作日前及时发布公告 并采取必要的预防措施 3 负责定期对信息网络系统进行病毒检测 发现系统被计算机病毒感染 及时组织清除病毒 4 负责计算机病毒防护知识的宣传教育工作 9 3制定信息安全管理制度 信息安全已不只是人们传统意义上的添加防火墙或路由器等简单的设备就可保证的安全 而是成为一种系统和全局的安全 信息安全管理制度是保证信息安全的基础 需要通过一系列规章制度的实施 来确保各类人员按照规定的职责行事 做到各行其职 各负其责 避免责任事故的发生和防止恶意侵犯 常见的信息安全管理制度主要包括 人员安全管理制度 设备安全管理制度 运行安全管理制度 安全操作管理制度 应急维护制度 安全等级保护制度 有害数据及计算机病毒防范管理制度 敏感数据保护制度 安全技术保障制度 安全计划管理制度等 9 3制定信息安全管理制度 9 3 1制定信息安全管理制度的原则 制定信息安全管理制度应遵循统一的安全管理原则如下 1 规范化原则2 系统化原则3 综合保障原则4 以人为本原则5 首长负责原则6 预防原则7 风险评估原则8 动态原则9 成本效益原则10 均衡防护原则 9 3制定信息安全管理制度 9 3 2信息安全管理标准 ISO IECl7799 信息安全管理的原则之一就是规范化 系统化 如何在信息安全管理实践中落实这一原则 需要相应的信息安全管理标准 BS7799标准是英国标准协会 BSI 制定的国际上具有代表性的信息安全管理体系标准 该标准包括两个部分 信息安全管理实施细则 BS77991 1999 和 信息安全管理体系规范 BS77992 1999 其中 BS7799 1标准目前已正式转换成ISO国际标准 即 信息安全管理体系实施指南 IS017799 并于2000年12月1日颁布 它所阐述的主题是安全策略和优秀的 具有普遍意义的安全操作 标准主要讨论了如下的主题 建立机构的安全策略 机构的安全基础设施 资产分类和控制 人员安全 物理与环境安全 通讯与操作管理