信息安全管理概论

5.1信息安全管理相关概念5.2信息安全管理标准5.3信息安全管理的实施要点本章小结第5章信息安全管理

5.1.1什么是信息安全管理

信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题，技术和产品的应用，一定程度上解决了部分信息安全问题。但是仅仅依靠这些产品和技术还不够，即使采购和使用了足够先进、数量足够多的信息安全产品，如防火墙、防病毒、入侵检测、漏洞扫描等，仍然无法避免一些安全事件的发生。5.1信息安全管理相关概念更何况，对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

依据国家计算机应急响应中心发布的数据，所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部非法人员的攻击造成的，如图5-1所示。图5-1造成计算机安全事件的原因分析简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理已成为信息安全保障的重要基础，管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面，信息安全的有效性和长期性才能得到保障。

信息安全管理(ISM，InformationSecurityManagement)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。

信息安全管理涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。

信息安全建设是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程，这也是组织需要信息安全管理的基本出发点。

总之，信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动，有效的信息安全管理应该是在有限的成本下，尽量做到安全“滴水不漏”。5.1.2信息安全管理现状

在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存，但是现在，人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散等特性，从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。

2005年9月，美国能源部一个研制核武器的部门网站被电脑黑客侵入，大约1500名工作人员的个人信息被盗。2006年5月，美国退伍军人事务部一名工作人员的住所失窃，一个储存了约2650万名退伍军人和大量现役军人身份信息的电脑硬盘被盗。2006年7月，一台可能储存有3.8万名退伍军人个人信息的台式电脑在退伍军人事务部的分包商优利公司的一处办公室内被盗，电脑中存有退伍军人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月，一部保存3.3万名旅客个人敏感资料的无加密手提计算机在旧金山国际机场被人偷去，手提计算机中保存有申请者姓名、地址和出生日期，部分有驾驶执照、护照或绿卡号码等信息。2010年位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息，时间跨度为15年。由于苹果合作运营商AT&T网站的安全漏洞，2010年6月苹果发生安全泄露事件，影响11.4万iPad用户，其中包括很多公司CEO、军方高官和白宫政治家。在垃圾邮件和恶意黑客面前，iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说，是一个非常坏的消息，或许将直接导致3G版iPad销量的大幅下滑。我国面面临的的计算算机信信息安安全问问题可可能比比发达达国家家更为为严重重。我我国目目前的的网络络安全全现状状令人人担忧忧，有有些单单位和和组织织根本本没有有意识识到网网络安安全的的重要要性，，即使使是对对外宣宣称采采用了了安全全防范范措施施的单单位，，实际际上也也有许许多安安全隐隐患。。如果说说“iPad3G用户户信息息泄漏漏”事事件和和美国国“南南岸医医院80万万份文文件泄泄漏””事件件似乎乎看起起来还还有些些“遥遥远””的话话，国国内某某知名名大型型网络络安全全公司司在2011新新年伊伊始引引发的的大规规模用用户数据据泄漏漏事件件就近近在眼眼前了了。CSDN官官方已已确认认超过过600万万个注注册邮邮箱账账号和和对应应明文文密码码被黑黑客盗盗取并并泄露露，部部分用用户账账号面面临风风险，，网站站将因因此临临时关关闭用用户登登录，，涉及及用户户600万万。随随后，，多玩玩、人人人、、天涯涯等也被指指责存存在用用户数数据泄泄露问问题。尽管管有部部分网网站否否认，，但还还是即即刻引引起互互联网网用户户的关关注。。用户户数据据大规规模集集中泄泄露对对中国国互联联网的的信息息安全全漏洞洞敲响响了警警钟。。计计算机机犯罪罪大多多具有有瞬时时性、、广域域性、、专业业性和和时空空分离离等特特点，，通常常计算算机犯犯罪很很少留留下犯犯罪证证据，，这也也是计计算机机高技技术犯犯罪案案件频频发的的诱因因。2011年年4月月CNCERT/CC发发布的的《2010年年中国国互联联网网网络安安全报报告》》指出出，2010年年我国国基础础网络络运行行总体体平稳稳，但重要要联网网信息息系统统安全全问题题突出出，政政府网网站安安全防防护薄薄弱，，金融融行业业网站站成为为不法法分子子骗取取钱财财和窃窃取隐隐私的的重点点目标标，工工业控控制系系统安安全面面临严严峻挑挑战，，公共共网络络环境境安全全更不不容乐乐观，，木马马和僵僵尸网网络依依然对对网络络安全全构成成直接接威胁胁，手手机恶恶意代代码日日益泛泛滥，，DDoS攻击击也严严重危危害网网络安安全，，互联联网应应用层层服务务的市市场监监管和和用户户隐私私保护护工作作亟待待加强强。报报告同同时指指出，，目前前发达达国家家政府府普遍遍在加加强网网络安安全管管理，，如美美国政政府出出台《《加强强网络络安全全法案案》等等相关关网络络安全全法律律文件件，推推进网网络安安全立立法，，并推推出““完美美公民民”计计划，，拟建建立全全美联联网监监控体体系以以对抗抗网络络犯罪罪；欧盟正正式发发布《《欧洲洲数字字化议议程》》五年年规划划，提提出增增强网网络安安全相相关举举措；；瑞典典政府府拟设设国家家信息息技术术安全全中心心，以以应对对网络络攻击击及处处理信信息技技术案案件；；日本本政府府批准准制定定“保保护国国民信信息安安全战战略””，加加大监监管力力度，，构筑筑安全全网络络社会会；新新加坡坡信息息通信信发展展管理理局通通过制制定新新准则则、加加强信信息分分析能能力以以及提提高公公民网网络安安全意意识来来加强强新加加坡网网络安安全；；澳大大利亚亚启动动国家家计算算机应应急响响应官官方机机构CERTAustralia，，支持持政府府打击击网络络犯罪罪和网网络恐恐怖主主义威威胁。。我国目目前的的计算算机安安全防防护能能力还还只处处于发发展的的初级级阶段段，许许多计计算机机基本本上处处于不不设防防状态态，从从防范范意识识、管管理措措施、、核心心技术术到安安全产产品，，还远远未构构成一一个较较成熟熟的体体系。。由于于安全全问题题，尤尤其是是因为为管理理的不不善而而导致致的各各种重重要数数据和和文件件的滥滥用、、泄露露、丢丢失、、被盗盗等给给国家家、企企业和和个人人造成成的损损失数数以亿亿计，，这还还不包包括那那些还还没有有暴露露出来来的深深层次次的问问题。。计算算机安安全问问题解解决不不好，，不仅仅会造造成巨巨大的的经济济损失失，甚甚至会会危及及国家家的安安全和和社会会的稳稳定。。当然，，这几几年信信息安安全管管理在在国际际上有有了很很大的的发展展，我我国信信息安安全管管理虽虽然起起步较较晚，，但我我国政政府主主管部部门以以及各各行各各业已已经认认识到到了信信息与与信息息安全全的重重要性性，党党的十十七大大报告告明确确提出出“发发展现现代产产业体体系，，大力力推进进信息息化与与工业业化融融合，，促进进工业业由大大变强强，振振兴装装备制制造业业，淘淘汰落落后生生产能能力””的崭崭新命命题，，反映映了党党中央央对于于发展展信息息化重重要性性认识识的深深入，，也体体现了了信息息化带带动工工业化化发展展的重重要意意义。。我国作作为发发展中中国家家，工工业化化处于于中期期发展展阶段段，只只有通通过发发展信信息化化带动动工业业化，，并实实现二二者之之间的的有效效融合合，把把中国国工业业化提提高到到广泛泛采用用信息息智能能工具具的水水准上上来，，才能能加快快我国国工业业化进进程，，提高高我国国产业业的国国际竞竞争力力，更更好地地参与与国际际经济济竞争争。因因此，，政府府部门门已开开始出出台一一系列列相关关政策策策略略，直直接指指导，，推进进信息息安全全的应应用和和发展展。由由政府府主导导的各各大信信息系系统工工程和和信息息化程程度要要求非非常高高的相相关行行业，，也开开始出出台对对信息息安全全技术术产品品的应应用标标准和和规范范。经过几几年的的发展展，我我国信信息安安全管管理的的成绩绩可以以总结结为以以下几几点：：(1)初初步建建成了了国家家信息息安全全组织织保障障体系系。1999年9月成成立的的国家家计算算机网网络应应急技技术处处理协协调中中心(CNCERT/CC)是工工业和和信息息化部部领导导下的的国家家级网网络安安全应应急机机构，，致力力于建建设国国家级级的网网络安安全监监测中中心、、预警警中心心和应应急中中心，，专门门负责责收集集、汇汇总、、核实实、发发布权权威性性的应应急处处理信信息，，以支支撑政政府主主管部部门履履行网网络安安全相相关的的社会会管理理和公公共服服务职职能，，支持持基础础信息息网络络的安安全防防护和和安全全运行行，支支援重重要信信息系系统的的网络络安全全监测测、预预警和和处置置。2003年年CNCERT在我我国大大陆31个个省市市、自自治区区、直直辖市市成立立分中中心，，完成成了跨跨网络络、跨跨系统统、跨跨地域域的公公共互互联网网网络络安全全应急急技术术支撑撑体系系建设设，形形成了了全国国性的的互联联网网网络安安全信信息共共享、、技术术协同同能力力，在在协调调国内内网络络信息息安全全应急急组织织(CERT)共同同处理理互联联网安安全事事件方方面发发挥着着重要要作用用。2001年5月成成立了了中国国信息息安全全产品品测评评认证证中心心(CNITSEC，ChinaInformationTechnologySecurityEvaluationCenter)，，是代表表国家家开展展信息息安全全测评评认证证工作作的职职能机机构，，依据据国家家有关关产品品质量量认证证和信信息安安全管管理的的法律律法规规管理理和运运行国国家信信息安安全测测评认认证体体系，，负责责对国国内外外信息息安全全产品品和信信息技技术进进行测测评和和认证证，对对国内内信息息系统统和工工程进进行安安全性性评估估和认认证，，对提提供信信息安安全服服务的的组织织和单单位进进行评评估和和认证证，对对信息息安全全专业业人员员的资资质进进行评评估和和认证证。为为进进一步步加强强对推推进我我国信信息化化建设设和维维护国国家信信息安安全工工作的的领导导，2001年年8月月，中中共中中央、、国务务院决决定重重新组组建国国家信信息化化领导导小组组，同同年12月月，成成立““国务务院信信息化化工作作办公公室””办事事机构构，具具体承承担领领导小小组的的日常常工作作。2003年年7月月，国国务院院信息息化领领导小小组第第三次次会议议上专专题讨讨论并并通过过了《《关于于加强强信息息安全全保障障工作作的意意见》》，同同年9月，，中央央办公公厅、、国务务院办办公厅厅转发发了《《国家家信息息化领领导小小组关关于加加强信信息安安全保保障工工作的的意见见》(2003[27]号文文件)。27号号文件件第一一次把把信息息安全全提到到了促促进经经济发发展、、维护护社会会稳定定、保保障国国家安安全、、加强强精神神文明明建设设的高高度，，并提提出了了“积积极防防御、、综合合防范范”的的信息息安全全管理理方针针。2008年年国务务院机机构改改革后后原““国务务院信信息化化工作作办公公室””职能能合并并至国国家工工业和和信息息化部部，具具体工工作由由工业业和信信息化化部(信息息化推推进司司)负负责。。(2)制制定了了一系系列必必需的的信息息安全全管理理法律律法规规。从从20世世纪90年年代初初起，，为配配合信信息安安全管管理的的需要要，国国家、、相关关部门门、行行业和和地方方政府府相继继制定定了《《中华华人民民共和和国计计算机机信息息网络络国际际联网网管理理暂行行规定定》、、《商商用密密码管管理条条例》》、《《互联联网信信息服服务管管理办办法》》、《《计算算机信信息网网络国国际联联网安安全保保护管管理办办法》》、《《计算算机病病毒防防治管管理办办法》》、《《互联联网电电子公公告服服务管管理规规定》》、《《软件件产品品管理理办法法》、、《电电信网网间互互联管管理暂暂行规规定》》、《《电子子签名名法》》等有有关信信息安安全管管理的的法律律法规规文件件。(3)制制定和和引进进了一一批重重要的的信息息安全全管理理标准准。为为了了更好好地推推进我我国信信息安安全管管理工工作，，公安安部主主持制制定、、国家家质量量技术术监督督局发发布了了中华华人民民共和和国国国家标标准GB17895——1999《计计算机机信息息系统统安全全保护护等级级划分分准则则》，，并引引进了了国际际上著著名的的《信信息安安全管管理实实施准准则》》(ISO17799—2000)、《《信息息安全全管理理体系系实施施规范范》(BS7799-2——2002)、、《信信息技技术安安全性性评估估准则则》(ISO/IEC15408——1999)、、《SSE-CMM：系系统安安全工工程能能力成成熟度度模型型》等等信息息安全全管理理相关关标准准。信息安安全标标准化化委员员会设设置了了10个工工作组组，其其中信信息安安全管管理工工作组组负责责对信信息安安全的的行政政、技技术、、人员员等管管理提提出规规范要要求及及指导导指南南，它它包括括信息息安全全管理理指南南、信信息安安全管管理实实施规规范、、人员员培训训教育育及录录用要要求、、信息息安全全社会会化服服务管管理规规范、、信息息安全全保险险业务务规范范框架架和安安全策策略要要求与与指南南。(4)信信息息安全全风险险评估估工作作已经经得到到重视视和开开展。。风风险评评估是是信息息安全全管理理的核核心工工作之之一。。2003年7月，，国信信办信信息安安全风风险评评估课课题组组就启启动了了信息息安全全风险险评估估相关关标准准的编编制工工作，，国家家铁路路系统统和北北京移移动通通信公公司作作为先先行者者已完完成了了的信信息安安全风风险评评估试试点工工作，，国家其其他关关键行行业或或系统统(如如电力力、电电信、、银行行等)也将将陆续续开展展这方方面的的工作作。同同时在在2007年和和2009年分分别发发布了了2项项关于于风险险评估估的标标准：：《信信息安安全风风险评评估规规范》》(GB/T20984——2007)、、《信信息安安全风风险管管理指指南》》(GB/Z24364——2009)。。尽尽管目目前在在信息息安全全管理理上取取得了了一定定的成成绩，，但也也要看看到其其中还还存在在许多多的问问题，，例如如，信信息安安全管管理在在执行行过程程中还还比较较混乱乱，缺缺乏一一个国国家层层面上上的整整体策策略；；缺乏乏权威威、统统一、、专门门的组组织、、规划划、管管理和和实施施协调调的立立法管管理机机构；；我国自己己制定的的信息安安全管理理标准太太少，大大多沿用用国际标标准；实实际管理理力度不不够，政政策的执执行和监监督力度度不够，，部分规规定过分分强调部部门的自自身特点点，而忽忽略了在在国际政政治经济济的大环环境下体体现中国国的特色色；部分分规定没没有准确确地区分分技术、、管理和和法制之之间的关关系，以以管代法法，用行行政管技技术的做做法仍较较普遍，，造成制制度的可可操作性性较差；；信息安安全意识识缺乏，，普遍存存在重产产品、轻轻服务，，重技术术、轻管管理的思思想；专专项经费费投入不不足，管管理人才才极度缺缺乏，基基础理论论研究和和关键技技术薄弱弱，技术术创新不不够，信息安全全管理产产品水平平和质量量不高，，尤其是是以集中中配置、、集中管管理、状状态报告告和策略略互动为为主要任任务的安安全管理理平台产产品的研研究与开开发还很很落后；；等等。。显然，，信息安安全管理理方面我我们应该该做的工工作还有有很多，，做好这这项工作作也是任任重而道道远。5.1.3信信息安全全管理意意义信信息息已经成成为维持持社会经经济活动动和生产产活动的的重要基基础资源源，成为为政治、、经济、、文化、、军事乃乃至社会会任何领领域的基基础。组组织对信信息系统统不断增增强的依依赖性使使得信息息技术在在提高组组织工作作效率的的同时，，也增大大了组织织重要信信息受到到严重侵侵扰和破破坏后，，组织面面临资产产损失、、业务中中断的风风险。当当今组织织的信息息系统面面临着计计算机欺欺诈、刺刺探情报报、阴谋谋破坏、、火灾、、水灾等等大范围围威胁，，又面临着着计算机机病毒、、计算机机攻击和和黑客非非法入侵侵等破坏坏，而且且随着信信息技术术的发展展和信息息应用的的深入，，各种威威胁变得得越来越越错综复复杂，各各种信息息安全事事故层出出不穷。。根根据安安全中的的事故致致因核心心理论———能量量意外释释放理论论(1961年年吉布森森(Gibson)提提出，1966年美国国运输部部安全局局局长哈哈登(Haddon)完善)，可以以归纳造造成事故故的原因因有三个个：人的的不安全全行为、、物的不不安全状状态、管管理的缺缺陷。人和物这这两方面面的因素素已经被被大家广广泛认可可，但管管理的缺缺陷却往往往容易易被忽视视。管理理上的缺缺陷往往往是造成成事故的的最重要要的因素素，应该该引起我我们的高高度重视视。例如如最近国国内发生生的两起起重大铁铁路交通通事故：：“4.28””胶济铁铁路特别别重大交交通事故故和“7.23”甬温温线特别别重大铁铁路交通通事故。。2008年4月28日，一一场近10年来来中国铁铁路行业业罕见的的列车相相撞事故故在胶济济铁路上上瞬间发发生，北北京开往往青岛的的T195次列列车运行行到胶济济铁路周周村至王王村之间间时脱线线，与上上行的烟烟台至徐徐州的5034次列车车相撞，，造成72人死死亡，416人人受伤，，其中重重伤74人，事事故后果果严重，，给国家家和人民民生命财财产安全全造成重重大损失失。这次事事故正正如国国务院院事故故调查查组组组长、、安监监总局局局长长王君君所说说，是是一起起典型型的由由于管管理上上的失失误导导致的的事故故，不不是天天灾，，而是是人祸祸，是是一场场人为为引起起的、、完全全可以以避免免的事事故。。这也也充分分暴露露了一一些企企业安安全生生产意意识不不到位位、领领导不不到位位、安安全生生产责责任不不到位位、安安全生生产措措施不不到位位、隐隐患排排查治治理不不到位位和监监督管管理不不到位位等严严重问问题，，也反反映了了基层层安全全意识识薄弱弱，现现场管管理存存在严严重漏漏洞，，安全全生产产责任任没有有得到到真正正落实实。另一起起事故故是2010年年7月月23日，，甬温温线浙浙江省省温州州市境境内，，由北北京南南站开开往福福州站站的D301次次列车车与杭杭州站站开往往福州州南站站的D3115次列列车发发生动动车组组列车车追尾尾事故故，造造成40人人死亡亡、172人受受伤，，中断断行车车32小时时35分，，直接接经济济损失失19371.65万元元。2011年年12月25日日发布布的国国务院院“7.23””事故故调查查报告告认定定该事事故发发生的的原因因是：：通号号集团团所属属通号号设计计院在在LKD2-T1型型列控控中心心设备备研发发中管管理混混乱，，通号号集团团作为为甬温温线通通信信信号集集成总总承包包商履履行职职责不不力，，致使使为甬甬温线线温州州南站站提供供的LKD2-T1型列列控中中心设设备存存在严严重设设计缺缺陷和和重大大安全全隐患患。铁道部部在设设备招招投标标、技技术审审查、、上道道使用用等方方面违违规操操作、、把关关不严严，致致使其其在温温州南南站上上道使使用。。当温温州南南站列列控中中心采采集驱驱动单单元采采集电电路电电源回回路中中保险险管F2遭遭雷击击熔断断后，，采集集数据据不再再更新新，错错误地地控制制轨道道电路路发码码及信信号显显示，，使行行车处处于不不安全全状态态。雷雷击也也造成成5829AG轨道道电路路发送送器与与列控控中心心通信信故障障，使使从永永嘉站站出发发驶向向温州州南站站的D3115次列列车超超速防防护系系统自自动制制动，，在5829AG区区段内内停车车。由由于轨轨道电电路发发码异异常，，导致致其三三次转转目视视行车车模式式起车车受阻阻，7分40秒秒后才才转为为目视视行车车模式式以低低于20公公里/小时时的速速度向向温州州南站站缓慢慢行驶驶，未未能及及时驶驶出5829闭闭塞分分区。。因温温州南南站列列控中中心未未能采采集到到前行行D3115次次列车车在5829AG区区段的的占用用状态态信息息，使使温州州南站站列控控中心心管辖辖的5829闭闭塞分分区及及后续续两个个闭塞塞分区区防护护信号号错误误地显显示绿绿灯，，向D301次次列车车发送送无车车占用用码，，导致致D301次列列车驶驶向D3115次列列车并并发生生追尾尾。上上海铁铁路局局有关关作业业人员员安全全意识识不强强，在在设备备故障障发生生后，，未认认真正正确地地履行行职责责，故故障处处置工工作不不得力力，未未能起起到可可能避避免事事故发发生或或减轻轻事故故损失失的作作用。。报告将将事故故性质质确定定为一一起因因列控控中心心设备备存在在严重重设计计缺陷陷、上上道使使用审审查把把关不不严、、雷击击导致致设备备故障障后应应急处处置不不力等等因素素造成成的责责任事事故。。从这这些事事故中中我们们可以以充分分认识识到管管理的的缺陷陷所带带来的的灾难难性打打击是是多么么的严严重。。正正如本本章5.1.1节所所述，，在所所有计计算机机安全全事件件发生生的原原因中中属于于管理理方面面的高高达70%以上上，或或者说说，能能对组组织造造成巨巨大损损失的的风险险主要要还是是来自自组织织内部部。与与20多年年前大大型计计算机机要受受到严严密看看守，，由技技术专专家管管理的的情况况相比比，今今天计计算机机技术术已唾唾手可可得，，无处处不在在。而而今天天的计计算机机使用用者大大都很很少受受到严严格的的培训训，每每天都都在以以不安安全的的方式式处理理着企企业的的大量量重要要信息息，而且企企业的的贸易易伙伴伴、咨咨询顾顾问、、合作作单位位等外外部人人员都都以不不同的的方式式使用用着企企业的的信息息系统统，他他们都都对企企业的的信息息系统统构成成了潜潜在的的威胁胁。比比如，，员工工仅仅仅为了了方便便记忆忆而将将系统统登录录密码码粘贴贴在桌桌面或或显示示器边边上的的便条条上，，就足足以毁毁掉花花费了了大量量人力力和物物力建建立起起来的的信息息安全全系统统。许许多对对企业业不满满的员员工““黑””掉公公司的的网站站、偷偷窃并并散布布客户户敏感感资料料、为为竞争争对手手提供供机密密技术术或商商业数数据，，甚至至破坏坏关键键计算算机系系统，，使企企业遭遭受巨巨大的的损失失。信息安安全管管理是是保护护国家家、组组织和和个人人等各各个层层面上上信息息安全全的重重要基基础。。在一一个有有效的的信息息安全全管理理体系系中，，通过过完善善信息息安全全管理理结构构，综综合应应用信信息安安全管管理策策略和和信息息安全全技术术产品品，才才有可可能建建立起起一个个真正正意义义上的的信息息安全全保障障体系系。5.1.4信息安安全管理的的内容和原原则在在我国，，信息安全全管理是对对一个组织织机构中信信息系统的的生命周期期全过程实实施符合安安全等级责责任要求的的管理，包包括以下内内容：(1)落实安安全管理机机构及安全全管理人员员，明确角角色与职责责，制定安安全规划。。(2)开开发安全策策略。(3)实施风风险管理。。(4)制制定业务持持续性计划划和灾难恢恢复计划。。(5)选选择与实施施安全措施施。(6)保保证配置、、变更的正正确与安全全。(7)进进行安全全审计。(8)保证证维护支持持。(9)进进行监控控、检查，，处理安全全事件。(10)安安全意识与与安全教育育。(11)人员安安全管理等等。在在进行信信息安全管管理的过程程中，需要要遵循的原原则有：①①基基于安全全需求原则则。组织机机构应根据据其信息系系统担负的的使命、积积累的信息息资产的重重要性、可可能受到的的威胁及面面临的风险险分析安全全需求，按照信息系系统等级要要求确定相相应的信息息系统保护护等级，遵遵从相应等等级的规范范要求，从从全局上恰恰当地平衡衡安全投入入与安全效效果。②②主主要领导负负责原则。。主要领导导应确立其其组织统一一的信息安安全保障的的宗旨和政政策，负责责提高员工工的安全意意识，组织织有效的安安全保障队队伍，调动动并优化配配置必要的的资源，协协调安全管管理工作与与各部门的的关系，并并确保其落落实、有效效。③③全员员参与原则则。信息系系统所有相相关人员应应普遍参与与信息系统统的安全管管理，并与与相关方面面协同、协协调，共同同保障信息息系统安全全。④系统方方法原则。。按照系统统工程的要要求，识别别和理解信信息安全保保障相互关关系的层面面和过程，，采用管理理和技术结结合的方法法，提高实实现安全保保障目标的的有效性的的效率。⑤⑤持持续改进进原则。安安全管理是是一种动态态反馈过程程，贯穿整整个安全管管理的生命命周期，随随着安全需需求和系统统脆弱性的的时空分布布变化、威威胁程度的的提高、系系统环境的的变化以及及对系统安安全认识的的深化等，，应及时地地将现有的的安全策略略、风险接接受程度和和保护措施施进行复查查、修改、、调整以至至提升安全全管理等级级，维护和和持续改进进信息安全全管理体系系的有效性性。⑥依法管管理原则。。信息安全全管理工作作主要体现现为管理行行为，应保保证信息系系统安全管管理主体合合法、管理理行为合法法、管理内内容合法、、管理程序序合法。对对安全事件件的处理，，应由授权权者适时发发布准确一一致的有关关信息，避避免带来不不利的社会会影响。⑦⑦分分权和授授权原则。。对特定职职能或责任任领域的管管理功能实实施分离，，对独立审审计实行分分权，避免免权力过分分集中所带带来的隐患患，以减少少未授权的的修改或滥滥用系统资资源的机会会。任何实实体(例如如用户、管管理员、进进程、应用用或系统)仅享有该该实体需要要完成其任任务所必需需的权限，，不应享有有任何多余余权限。⑧选用成成熟技术原原则。成熟熟的技术具具有较好的的可靠性和和稳定性，，采用新技技术时要重重视其成熟熟的程度，，并应首先先局部试点点然后逐步步推广，以以减少或避避免可能出出现的失误误。⑨⑨分级级保护原则则。按等级级划分标准准确定信息息系统的安安全保护等等级，实行行分级保护护，对多个个子系统构构成的大型型信息系统统，确定系系统的基本本安全保护护等级，并并根据实际际安全需求求，分别确确定各子系系统的安全全保护等级级，实行多多级安全保保护。⑩管理与与技术并重重原则。坚坚持积极防防御和综合合防范，全全面提高信信息系统安安全防护能能力，立足足国情，采采用管理与与技术相结结合、管理理科学性和和技术前瞻瞻性相结合合的方法，，保障信息息系统的安安全性达到到所要求的的目标。⑪自保护和国国家监管结结合原则。。对信息系系统安全实实行自保护护和国家监监管相结合合。组织机机构要对自自己的信息息系统安全全保护负责责，政府相相关部门有有责任对信信息系统的的安全进行行指导、监监督和检查查，形成自自管、自查查、自评和和国家监管管相结合的的管理模式式，提高信信息系统的的安全保护护能力和水水平，保障障国家信息息安全。5.1.5信息系系统的安全全因素信信息系系统的主要要安全因素素包括资产产、威胁、、脆弱性、、意外事件件影响、风风险和保护护措施等。。这些信息息系统的安安全因素之之间的关系系如图5-2所示。。(1)资资产。主要要包括：··支支持设施(例如建筑筑、供电、、供水、空空调等)。。··硬件资产产(例如各各种计算机机设备、通通信设施、、存储媒介介等)。··信信息资产(例如数据据库、系统统文件、用用户手册、、操作支持持程序、持持续性计划划等)。图5-2信信息系统统的主要安安全因素之之间的关系系·软件资产产(例如应应用软件、、系统软件件、开发工工具、实用用程序等)。··生产能能力和服务务能力。··人人员。··无形形资产(例例如信誉、、形象等)。(2)威威胁。主主要包括自自然威胁和和人为威胁胁。自然威威胁有地震震、雷击、、洪水、火火灾、静电电、鼠害和和电力故障障等。人为为威胁有：：··盗窃类型型的威胁(例如偷窃窃设备、窃窃取数据、、盗用计算算资源等)。·破坏类型型的威胁(例如破坏坏设备、破破坏数据文文件、引入入恶意代码码等)。··处处理类型的的威胁(例例如插入假假的输入、、隐瞒某个个输出、电电子欺骗、、非授权改改变文件、、修改程序序和更改设设备配置等等)。··操作作错误和疏疏忽类型的的威胁(例例如数据文文件的误删删除、误存存和误改、、磁盘误操操作等)。。··管理类型型的威胁(例如安全全意识淡薄薄、安全制制度不健全全、岗位职职责混乱、、审计不力力、设备选选型不当、、人事管理理漏洞等)。(3)脆脆弱性。与与资产相关关的脆弱性性包括物理理布局、组组织、规程程、人事、、管理、行行政、硬件件、软件或或信息等弱弱点，以及及与系统相相关的脆弱弱性如分布布式系统易易受伤害的的特征等。。(4)意意外事件影影响。影响响资产安全全的事件，，无论是有有意或是突突发，其后后果可能毁毁坏资产，，破坏信息息系统，影影响保密性性、完整性性、可用性性和可控性性等。可能能的间接后后果包括危危及国家安安全、社会会稳定，造造成经济损损失，破坏坏组织或机机构的社会会形象等。。(5)安安全风险。。安全风险险是某种威威胁利用暴暴露系统脆脆弱性对组组织或机构构的资产造造成损失的的潜在可能能性。风险险由意外事事件发生的的概率及发发生后可能能产生的影影响两种指指标来评估估。另外，，由于保护护措施的局局限性，信信息系统总总会面临或或多或少的的残留风险险，组织或或机构应考考虑对残留留风险的接接受程度。。(6)保保护措施。。保护措施施是对付威威胁，减少少脆弱性，，限制意外外事件影响响，检测意意外事件并并促进灾难难恢复而实实施的各种种实践、规规程和机制制的总称。。应考虑采用用保护措施施实现下述述一种或多多种功能：：预防、延延缓、阻止止、检测、、限制、修修正、恢复复、监控以以及意识性性提示或强强化。保护护措施作用用的区域可可以包括物物理环境、、技术环境境(例如硬硬件、软件件和通信)、人事和和行政。保保护措施可可为：访问问控制机制制、防病毒毒软件、加加密、数字字签名、防防火墙、监监控和分析析工具、备备用电源以以及信息备备份等。选选择保护措措施时要考考虑由组织织或机构运运行环境决决定的影响响安全的因因素，例如如，组织的的、业务的的、财务的的、环境的的、人事的的、时间的的、法律的的、技术的的边界条件件以及文件件的或社会会的因素等等。5.1.6信息安安全管理模模型信信息安全全管理从信信息系统的的安全需求求出发，以以信息安全全管理相关关标准为指指导，结合合组织的信信息系统安安全建设情情况，引入入合乎要求求的信息安安全等级保保护的技术术控制措施施和管理控控制规范与与方法，在在信息安全全保障体系系基础上建建立信息安安全管理体体系。信息息安全管理理模型如图图5-3所所示。图5-3信信息安全全管理模型型信息安全需需求是信息息安全的出出发点，它它包括保密密性需求、、完整性需需求、可用用性需求、、抗抵赖性性需求、可可控制性需需求和可靠靠性需求等等。信息安安全管理范范围是由信信息系统安安全需求决决定的具体体信息安全全控制点，，对这些实实施适当的的控制措施施可确保组组织相应环环节的信息息安全，从从而保证整整个组织的的整体信息息安全水平平。信息安安全管理标标准是在一一定范围内内获得的关关于信息安安全管理的的最佳秩序序，对信息息安全管理理活动或结结果规定共共同的和重重复使用的的具有指导导性的规则则、导则或或特性的文文件。信息安全管管理控制规规范是为改改善具体信信息安全问问题而设置置的技术或或管理手段段，并运用用信息安全全管理相关关方法来选选择和实施施控制规范范，为信息息安全管理理体系服务务。信息安安全保障体体系则是保保障信息安安全管理各各环节、各各对象正常常运作的基基础，在信信息安全保保障过程中中，要实施施信息安全全工程。到目前为止止，与信息息安全管理理相关的国国际标准主主要是国际际标准化组组织(ISO)制定定的ISO/IEC17799、ISO/IEC27001、ISO/IEC13335等，，其中ISO/IEC17799和和ISO/IEC27001都是由由英国标准准BS7799发发展而来，，它们分别别对应于BS7799-1和BS7799-2。5.2信信息安全管管理标准5.2.1信息安安全管理标标准的发展展1.BS7799BS7799是世界上上影响最深深、最具代代表性的信信息安全管管理体系标标准。英国国标准协会会(BSI)最早于于1995年发布了了《信息安安全管理实实施细则》》(BS7799-1:1995)，它为信信息安全提提供了一套套全面综合合最佳实践践经验的控控制措施，，其目的是是将信息系系统用于工工业和商业业用途时，，为确定实实施控制措措施的范围围提供一个个参考依据据，并且能能够让各种种规模的组组织所采用用。由由于BS7799-1采采用指导和和建议的方方式编写，，不适合作作为认证标标准使用。。1998年年为了适应应第三方认认证的需求求，BSI又制定了了世界上第第一个信息息安全管理理体系认证证标准，即即《信息安安全管理体体系规范》》(BS7799-2:1998)，它规定定了信息安安全管理体体系要求与与信息安全全控制要求求，它是一一个组织的的全面或部部分信息安安全管理系系统评估的的基础，可可以作为对对一个组织织的全面或或部分信息息安全管理理体系进行行评审认证证的标准。。1999年年，鉴于最最新的信息息处理技术术应用，特特别是网络络和通讯的的发展情况况，BSI对信息安安全管理体体系标准进进行了修订订，即BS7799-1:1999和BS7799-2:1999。。1999版版特别强调调了信息安安全所涉及及的商业问问题和责任任问题。BS7799-1:1999与BS7799-2:1999是一对配配套的标准准，其中BS7799-1:1999对如何何建立并实实施符合BS7799-2:1999标准要要求的信息息安全管理理体系提供供了最佳的的应用建议议。2000年12月月，BS7799-1被ISO接受受为国际标标准，即《《信息技术术—安全技技术—信息息安全管理理实施细则则》(ISO/IEC17799:2000)。2005年4月19日日被我国等等同采用为为国家标准准《信息技技术—安全全技术—信信息安全管管理实用规规则》(GB/T19716—2005)。。2005年6月，ISO/IEC17799:2000升级为ISO/IEC17799:2005，主要增增加了“信息息安全事件管管理”这一安安全控制区域域。目前世界界上包括中国国在内的绝大大多数政府签签署协议支持持并认可ISO/IEC17799标准。2002年9月，，BSI发布布了BS7799-2:2002。BS7799-2:2002主要在结构构上做了修订订，引入了国国际上通行的的管理模式-过程方法和和PDCA(Plan-DO-Check-Act)持续续改进模式，，建立了与ISO9001、ISO14001和OHSAS18000等等管理体系标标准相同的结结构和运行模模式。2005年10月，BS7799-2被ISO接受为国国际标准，即即《信息技术术—安全技术术—信息安全全管理体系要要求》(ISO/IEC27001:2005)，这意意味着该标准准已经得到了了国际上的承承认。ISO/IEC27001:2005基本上与BS7799-2一致致，但做了以以下修改：··必须须为范围中的的任何被排除除在外的部分分指定理由。。

·一一个明确定义义的风险分析析方法。··在风险险处理中选择择的措施必须须被重新进行行风险评估。。总的来说，ISO/IEC27001:2005是建立立信息安全管管理体系(ISMS，InformationSecurityManagementSystem)的一一套需求规范范，其中详细细说明了建立立、实施和维维护信息安全全管理体系的的要求，其内内容非常全面面，是一个真真正基于风险险的方法。这这意味着组织织必须评估自自己的环境，，并为所实施施的控制负责责。2007年7月，为了和和27000系列保护统统一，ISO将ISO/IEC17799:2005正正式更改编号号为ISO/IEC27002:2005。。2008年6月19日，，我国等同采采用ISO/IEC27001:2005为为国家标准《《信息技术——安全技术——信息安全管管理体系要求求》(GB/T22080—2008)，并并同时等同采采用ISO/IEC27002:2005为为国家标准《《信息技术——安全技术——信息安全管管理实用规则则》(GB/T22081—2008)，它它亦是对GB/T19716—2005的修修订，并代替替该标准。图5-4BS7799标准的发发展2.ISO/IEC27000系列标标准ISO已为信信息安全管理理体系标准预预留了ISO/IEC27000系列编号，，类似于质量量管理体系的的ISO9000系列列和环境管理理体系的ISO14000系列标标准。截止2011年6月，包括上上面提到的ISO/IEC27001和ISO/IEC27002，共发布布了以下9项项标准：··ISO/IEC27000:2009《信息技术术—安全技术术—信息安全全管理体系原原理和术语》》；··ISO/IEC27001:2005《信信息技术—安安全技术—信信息安全管理理体系要求》》；·ISO/IEC27002:2005《信信息技术—安安全技术—信信息安全管理理实用规则》》；··ISO/IEC27003:2010《信信息技术—安安全技术—信信息安全管理理体系实施指指南》；··ISO/IEC27004:2009《信息技术术—安全技术术—信息安全全管理测量与与指标》；··ISO/IEC27005:2008《信息技技术—安全技技术—信息安安全风险管理理》，2011年6月发发布新版ISO/IEC27005:2011；··ISO/IEC27006:2007《《信息技术——安全技术——信息安全管管理体系审核核认证机构要要求》；·ISO/IEC27011:2008《信信息技术—安安全技术—电电信机构基于于ISO/IEC27002的信信息安全管理理指南》；··ISO27799:2008《健康康信息—应用用ISO/IEC27002的医医疗信息安全全管理》。3.ISO/IEC13335ISO/IEC13335被称称为《IT安安全管理指南南》(GMITS，GuidelinesfortheManagementofITSecurity)，已已经在国际社社会中开发了了很多年。ISO/IEC13335只是一一个技术报告告和指导性文文件，属于TR(TechnicalReport)系系列，即ISO/IECTR13335，，它是作为具具体实践时的的参考，并不不是可依据的的认证标准，，信息安全体体系建设则需需要参考ISO/IEC27001:2005和ISO/IEC27002:2005等。ISO/IEC13335它分为为5个部分，，从1996年到2001年依次发发布，即：··ISO/IEC13335—1:1996《IT安全的概概念与模型》》；··ISO/IEC13335—2:1997《IT安全全管理与规划划》；··ISO/IEC13335——3:1998《IT安安全管理技术术》；··ISO/IEC13335——4:2000《安全措措施的选择》》；··ISO/IEC13335—5:2001《网络安全全管理指南》》。目前，ISO/IEC13335的新版本《《信息和通信信技术安全管管理》(ISO/IEC13335MICTS)MICTS(ManagementofInformationandCommunicationsTechnologySecurity)已取代GMITS部分分内容，例如如：已发布的的MICTS第1部分《《信息和通信信技术安全管管理的概念和和模型》与第第2部分《信信息和通信技技术安全风险险管理技术》》分别取代了了ISO/IEC13335-1:1996和和ISO/IEC13335-2:1997。。4.美国相相关标准美美国国家家标准技术局局(NIST)制定了一一系列的信息息安全管理相相关标准，如如SP800系列、FIPS系列列等。始始于1990年的SP800(SP，SpecialPublications)是是美国国家标标准与技术研研究院(NIST)发布布的一系列关关于信息安全全的技术指南南文件，是为为了给NIST的信息技技术安全出版版物提供一个个单独的标识识，只提供一一种供参考的的方法或经验验，对联邦政政府部门不具具有强制性。。SP800系列主要要关注计算机机安全领域的的一些热点研研究，介绍信息技术术实验室(ITL，InformationTech.Lab.)在计算机机安全方面的的指导方针、、研究成果以以及与工业界界、政府、科科研机构的协协作情况等。。目前，NISTSP800系系列已经出版版了一百多本本同信息安全全相关的正式式文件，形成成了从规划、、风险管理、、安全意识培培训和教育以以及安全控制制措施的一整整套信息安全全管理体系。。虽然NISTSP800系列列并不作为正正式法定标准准，但在实际际工作中，已已经成为美国国和国际安全全界广泛认可可的事实标准准和权威指南南。NISTSP800系列成成为了指导美美国信息安全全管理建设的的主要标准和和参考资料。。截止2010年底，NIST发布SP800系列共126篇，例如如：··SP800-12《《计算机安全全介绍：NIST手册》》

·SP800-14《信信息技术系统统安全的公认认原则与实践践》··SP800-18《《IT系统安安全计划开发发指南》··SP800-26《IT系系统安全自我我评估指南》》

·SP800-30《IT系统风险险管理指南》》

·SP800-37《联联邦IT系统统认证认可指指南》··SP800-53《联邦信息系统统推荐安全控控制》·SP800-53A《信息安全全控制措施评评估研究》··SP800-60《信息息和信息类型型与安全目标标及风险级别别对应指南》》。在在SP800系列中，，SP800-12(1995年年1月)和SP800-14(1996年9月)这两篇篇文献是SP800系系列的基础础。SP800-12论述了各种种计算机安全全控制的好处处以及其合理理应用的条件件。它对计算算机安全进行行了概括性描描述，以帮助助读者理解计计算机安全需需求，并制定定出一种选择择适当安全控控制的良好方方法。SP800-14提供供了机构用来来建立和检查查IT安全程程序的基线，，为机构提供供了管理多机机构事务以及及内部事务所所参考的基础础。管理者、、内部审计员员、用户、系系统开发者和和安全从业人人员可通过该该文档获得大大多数IT系系统应包含的的基本安全需需求。SP800系列技术术指南可以划划分为17个个族类型，包包括访问控制制、审计&可可核查性、意意识&培训、、认证认可&安全评估、、配置管理、、应急规划、、标识&鉴别别、事件响应应、维护、媒媒体保护、人人员安全、物物理&环境保保护、规划、、风险评估、、系统&通信信保护、系统统&信息完整整性、系统&服务获取等等。联邦信息处理理标准(FIPS，FederalInformationProcessingStandards)是是一套描述文文件处理、加加密算法和其其他信息技术术标准(在非非军用、政府府机构和与这这些机构合作作的政府承包包商及供应商商中应用的标标准)的标准准。NIST发布这些用用于政府领域域的标准和指指南作为FIPS，用于于没有现成工工业标准和方方案可以满足足的联邦政府府强制性要求求，如安全和和通用性等。。

2002年通通过的《联邦邦信息安全管管理法案》(FISMA，TheFederalInformationSecurityManagementAct)赋赋予NIST制定标准和和指南的职责责。之后，NIST出版的FIPS、SP800系列等文档档对联邦政府府的信息系统统进行支撑。。

SP800系系列不仅支支撑美国信息息安全方面的的法律法规，，而且对FIPS标准准也提供了支支撑。例如：：2004年年2月发布的的FIPS199《联联邦信息和信信息系统安全全分类标准》》定义了信息息和信息系统统的三个安全全目标，并将将每个目标的的潜在影响定定义为低、中中、高三种程程度。NIST在FIPS199的基础上发发布了SP800-60，描述了了安全分类过过程以及如何何建立信息系系统安全类别别，以帮助联联邦政府对