第5章信息安全管理

5.1信息安全管理相关概念5.2信息安全管理标准5.3信息安全管理的实施要点本章小结第5章信息安全管理第一页，共一百一十三页。

5.1.1什么是信息安全管理

信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题，技术和产品的应用，一定程度上解决了部分信息安全问题。但是仅仅依靠这些产品和技术还不够，即使采购和使用了足够先进、数量足够多的信息安全产品，如防火墙、防病毒、入侵检测、漏洞扫描等，仍然无法避免一些安全事件的发生。5.1信息安全管理相关概念第二页，共一百一十三页。更何况，对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

依据国家计算机应急响应中心发布的数据，所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部非法人员的攻击造成的，如图5-1所示。第三页，共一百一十三页。图5-1造成计算机安全事件的原因分析第四页，共一百一十三页。简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理已成为信息安全保障的重要基础，管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面，信息安全的有效性和长期性才能得到保障。

信息安全管理(ISM，InformationSecurityManagement)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。第五页，共一百一十三页。信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。

信息安全管理涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。

信息安全建设是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和构架，第六页，共一百一十三页。并要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程，这也是组织需要信息安全管理的基本出发点。

总之，信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动，有效的信息安全管理应该是在有限的成本下，尽量做到安全“滴水不漏”。第七页，共一百一十三页。5.1.2信息安全管理现状

在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存，但是现在，人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散等特性，从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。

2005年9月，美国能源部一个研制核武器的部门网站被电脑黑客侵入，大约1500名工作人员的个人信息被盗。第八页，共一百一十三页。2006年5月，美国退伍军人事务部一名工作人员的住所失窃，一个储存了约2650万名退伍军人和大量现役军人身份信息的电脑硬盘被盗。2006年7月，一台可能储存有3.8万名退伍军人个人信息的台式电脑在退伍军人事务部的分包商优利公司的一处办公室内被盗，电脑中存有退伍军人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月，一部保存3.3万名旅客个人敏感资料的无加密手提计算机在旧金山国际机场被人偷去，手提计算机中保存有申请者姓名、地址和出生日期，第九页，共一百一十三页。部分有驾驶执照、护照或绿卡号码等信息。2010年位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息，时间跨度为15年。由于苹果合作运营商AT&T网站的安全漏洞，2010年6月苹果发生安全泄露事件，影响11.4万iPad用户，其中包括很多公司CEO、军方高官和白宫政治家。在垃圾邮件和恶意黑客面前，iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说，是一个非常坏的消息，或许将直接导致3G版iPad销量的大幅下滑。第十页，共一百一十三页。我国面临的计算机信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令人担忧，有些单位和组织根本没有意识到网络安全的重要性，即使是对外宣称采用了安全防范措施的单位，实际上也有许多安全隐患。如果说“iPad3G用户信息泄漏”事件和美国“南岸医院80万份文件泄漏”事件似乎看起来还有些“遥远”的话，国内某知名大型网络安全公司在2011新年伊始引发的大规模用户数据泄漏事件就近在眼前了。第十一页，共一百一十三页。CSDN官方已确认超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露，部分用户账号面临风险，网站将因此临时关闭用户登录，涉及用户600万。随后，多玩、人人、天涯等也被指责存在用户数据泄露问题。尽管有部分网站否认，但还是即刻引起互联网用户的关注。用户数据大规模集中泄露对中国互联网的信息安全漏洞敲响了警钟。

计算机犯罪大多具有瞬时性、广域性、专业性和时空分离等特点，通常计算机犯罪很少留下犯罪证据，这也是计算机高技术犯罪案件频发的诱因。2011年4月CNCERT/CC发布的《2010年中国互联网网络安全报告》指出，2010年我国基础网络运行总体平稳，第十二页，共一百一十三页。但重要联网信息系统安全问题突出，政府网站安全防护薄弱，金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标，工业控制系统安全面临严峻挑战，公共网络环境安全更不容乐观，木马和僵尸网络依然对网络安全构成直接威胁，手机恶意代码日益泛滥，DDoS攻击也严重危害网络安全，互联网应用层服务的市场监管和用户隐私保护工作亟待加强。报告同时指出，目前发达国家政府普遍在加强网络安全管理，如美国政府出台《加强网络安全法案》等相关网络安全法律文件，推进网络安全立法，并推出“完美公民”计划，拟建立全美联网监控体系以对抗网络犯罪；第十三页，共一百一十三页。欧盟正式发布《欧洲数字化议程》五年规划，提出增强网络安全相关举措；瑞典政府拟设国家信息技术安全中心，以应对网络攻击及处理信息技术案件；日本政府批准制定“保护国民信息安全战略”，加大监管力度，构筑安全网络社会；新加坡信息通信发展管理局通过制定新准则、加强信息分析能力以及提高公民网络安全意识来加强新加坡网络安全；澳大利亚启动国家计算机应急响应官方机构CERTAustralia，支持政府打击网络犯罪和网络恐怖主义威胁。第十四页，共一百一十三页。

我国目前的计算机安全防护能力还只处于发展的初级阶段，许多计算机基本上处于不设防状态，从防范意识、管理措施、核心技术到安全产品，还远未构成一个较成熟的体系。由于安全问题，尤其是因为管理的不善而导致的各种重要数据和文件的滥用、泄露、丢失、被盗等给国家、企业和个人造成的损失数以亿计，这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好，不仅会造成巨大的经济损失，甚至会危及国家的安全和社会的稳定。第十五页，共一百一十三页。当然，这几年信息安全管理在国际上有了很大的发展，我国信息安全管理虽然起步较晚，但我国政府主管部门以及各行各业已经认识到了信息与信息安全的重要性，党的十七大报告明确提出“发展现代产业体系，大力推进信息化与工业化融合，促进工业由大变强，振兴装备制造业，淘汰落后生产能力”的崭新命题，反映了党中央对于发展信息化重要性认识的深入，也体现了信息化带动工业化发展的重要意义。第十六页，共一百一十三页。我国作为发展中国家，工业化处于中期发展阶段，只有通过发展信息化带动工业化，并实现二者之间的有效融合，把中国工业化提高到广泛采用信息智能工具的水准上来，才能加快我国工业化进程，提高我国产业的国际竞争力，更好地参与国际经济竞争。因此，政府部门已开始出台一系列相关政策策略，直接指导，推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信息安全技术产品的应用标准和规范。第十七页，共一百一十三页。经过几年的发展，我国信息安全管理的成绩可以总结为以下几点：

(1)初步建成了国家信息安全组织保障体系。

1999年9月成立的国家计算机网络应急技术处理协调中心(CNCERT/CC)是工业和信息化部领导下的国家级网络安全应急机构，致力于建设国家级的网络安全监测中心、预警中心和应急中心，专门负责收集、汇总、核实、发布权威性的应急处理信息，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置。第十八页，共一百一十三页。2003年CNCERT在我国大陆31个省市、自治区、直辖市成立分中心，完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设，形成了全国性的互联网网络安全信息共享、技术协同能力，在协调国内网络信息安全应急组织(CERT)共同处理互联网安全事件方面发挥着重要作用。

2001年5月成立了中国信息安全产品测评认证中心(CNITSEC，ChinaInformationTechnologySecurityEvaluationCenter)，第十九页，共一百一十三页。是代表国家开展信息安全测评认证工作的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系，负责对国内外信息安全产品和信息技术进行测评和认证，对国内信息系统和工程进行安全性评估和认证，对提供信息安全服务的组织和单位进行评估和认证，对信息安全专业人员的资质进行评估和认证。

为进一步加强对推进我国信息化建设和维护国家信息安全工作的领导，第二十页，共一百一十三页。2001年8月，中共中央、国务院决定重新组建国家信息化领导小组，同年12月，成立“国务院信息化工作办公室”办事机构，具体承担领导小组的日常工作。2003年7月，国务院信息化领导小组第三次会议上专题讨论并通过了《关于加强信息安全保障工作的意见》，同年9月，中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号文件)。第二十一页，共一百一十三页。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御、综合防范”的信息安全管理方针。2008年国务院机构改革后原“国务院信息化工作办公室”职能合并至国家工业和信息化部，具体工作由工业和信息化部(信息化推进司)负责。第二十二页，共一百一十三页。(2)制定了一系列必需的信息安全管理法律法规。

从20世纪90年代初起，为配合信息安全管理的需要，国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。第二十三页，共一百一十三页。(3)制定和引进了一批重要的信息安全管理标准。

为了更好地推进我国信息安全管理工作，公安部主持制定、国家质量技术监督局发布了中华人民共和国国家标准GB17895—1999《计算机信息系统安全保护等级划分准则》，并引进了国际上著名的《信息安全管理实施准则》(ISO17799—2000)、《信息安全管理体系实施规范》(BS7799-2—2002)、《信息技术安全性评估准则》(ISO/IEC15408—1999)、《SSE-CMM：系统安全工程能力成熟度模型》等信息安全管理相关标准。第二十四页，共一百一十三页。信息安全标准化委员会设置了10个工作组，其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。

(4)信息安全风险评估工作已经得到重视和开展。

风险评估是信息安全管理的核心工作之一。2003年7月，国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作，国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作，第二十五页，共一百一十三页。国家其他关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。同时在2007年和2009年分别发布了2项关于风险评估的标准：《信息安全风险评估规范》(GB/T20984—2007)、《信息安全风险管理指南》(GB/Z24364—2009)。

尽管目前在信息安全管理上取得了一定的成绩，但也要看到其中还存在许多的问题，例如，信息安全管理在执行过程中还比较混乱，缺乏一个国家层面上的整体策略；缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构；第二十六页，共一百一十三页。我国自己制定的信息安全管理标准太少，大多沿用国际标准；实际管理力度不够，政策的执行和监督力度不够，部分规定过分强调部门的自身特点，而忽略了在国际政治经济的大环境下体现中国的特色；部分规定没有准确地区分技术、管理和法制之间的关系，以管代法，用行政管技术的做法仍较普遍，造成制度的可操作性较差；信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想；专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，技术创新不够，第二十七页，共一百一十三页。信息安全管理产品水平和质量不高，尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后；等等。显然，信息安全管理方面我们应该做的工作还有很多，做好这项工作也是任重而道远。第二十八页，共一百一十三页。5.1.3信息安全管理意义

信息已经成为维持社会经济活动和生产活动的重要基础资源，成为政治、经济、文化、军事乃至社会任何领域的基础。组织对信息系统不断增强的依赖性使得信息技术在提高组织工作效率的同时，也增大了组织重要信息受到严重侵扰和破坏后，组织面临资产损失、业务中断的风险。

当今组织的信息系统面临着计算机欺诈、刺探情报、阴谋破坏、火灾、水灾等大范围威胁，第二十九页，共一百一十三页。又面临着计算机病毒、计算机攻击和黑客非法入侵等破坏，而且随着信息技术的发展和信息应用的深入，各种威胁变得越来越错综复杂，各种信息安全事故层出不穷。

根据安全中的事故致因核心理论——能量意外释放理论(1961年吉布森(Gibson)提出，1966年美国运输部安全局局长哈登(Haddon)完善)，可以归纳造成事故的原因有三个：人的不安全行为、物的不安全状态、管理的缺陷。第三十页，共一百一十三页。人和物这两方面的因素已经被大家广泛认可，但管理的缺陷却往往容易被忽视。管理上的缺陷往往是造成事故的最重要的因素，应该引起我们的高度重视。例如最近国内发生的两起重大铁路交通事故：“4.28”胶济铁路特别重大交通事故和“7.23”甬温线特别重大铁路交通事故。2008年4月28日，一场近10年来中国铁路行业罕见的列车相撞事故在胶济铁路上瞬间发生，北京开往青岛的T195次列车运行到胶济铁路周村至王村之间时脱线，与上行的烟台至徐州的5034次列车相撞，造成72人死亡，416人受伤，其中重伤74人，事故后果严重，给国家和人民生命财产安全造成重大损失。第三十一页，共一百一十三页。这次事故正如国务院事故调查组组长、安监总局局长王君所说，是一起典型的由于管理上的失误导致的事故，不是天灾，而是人祸，是一场人为引起的、完全可以避免的事故。这也充分暴露了一些企业安全生产意识不到位、领导不到位、安全生产责任不到位、安全生产措施不到位、隐患排查治理不到位和监督管理不到位等严重问题，也反映了基层安全意识薄弱，现场管理存在严重漏洞，安全生产责任没有得到真正落实。第三十二页，共一百一十三页。另一起事故是2010年7月23日，甬温线浙江省温州市境内，由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故，造成40人死亡、172人受伤，中断行车32小时35分，直接经济损失19371.65万元。2011年12月25日发布的国务院“7.23”事故调查报告认定该事故发生的原因是：通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱，通号集团作为甬温线通信信号集成总承包商履行职责不力，致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。第三十三页，共一百一十三页。铁道部在设备招投标、技术审查、上道使用等方面违规操作、把关不严，致使其在温州南站上道使用。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后，采集数据不再更新，错误地控制轨道电路发码及信号显示，使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障，使从永嘉站出发驶向温州南站的D3115次列车超速防护系统自动制动，在5829AG区段内停车。由于轨道电路发码异常，导致其三次转目视行车模式起车受阻，第三十四页，共一百一十三页。7分40秒后才转为目视行车模式以低于20公里/小时的速度向温州南站缓慢行驶，未能及时驶出5829闭塞分区。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息，使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯，向D301次列车发送无车占用码，导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员安全意识不强，在设备故障发生后，未认真正确地履行职责，故障处置工作不得力，未能起到可能避免事故发生或减轻事故损失的作用。第三十五页，共一百一十三页。报告将事故性质确定为一起因列控中心设备存在严重设计缺陷、上道使用审查把关不严、雷击导致设备故障后应急处置不力等因素造成的责任事故。从这些事故中我们可以充分认识到管理的缺陷所带来的灾难性打击是多么的严重。

正如本章5.1.1节所述，在所有计算机安全事件发生的原因中属于管理方面的高达70%以上，或者说，能对组织造成巨大损失的风险主要还是来自组织内部。与20多年前大型计算机要受到严密看守，由技术专家管理的情况相比，今天计算机技术已唾手可得，无处不在。而今天的计算机使用者大都很少受到严格的培训，每天都在以不安全的方式处理着企业的大量重要信息，第三十六页，共一百一十三页。而且企业的贸易伙伴、咨询顾问、合作单位等外部人员都以不同的方式使用着企业的信息系统，他们都对企业的信息系统构成了潜在的威胁。比如，员工仅仅为了方便记忆而将系统登录密码粘贴在桌面或显示器边上的便条上，就足以毁掉花费了大量人力和物力建立起来的信息安全系统。许多对企业不满的员工“黑”掉公司的网站、偷窃并散布客户敏感资料、为竞争对手提供机密技术或商业数据，甚至破坏关键计算机系统，使企业遭受巨大的损失。第三十七页，共一百一十三页。信息安全管理是保护国家、组织和个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系中，通过完善信息安全管理结构，综合应用信息安全管理策略和信息安全技术产品，才有可能建立起一个真正意义上的信息安全保障体系。第三十八页，共一百一十三页。5.1.4信息安全管理的内容和原则

在我国，信息安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理，包括以下内容：

(1)落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划。

(2)开发安全策略。

(3)实施风险管理。

(4)制定业务持续性计划和灾难恢复计划。

(5)选择与实施安全措施。第三十九页，共一百一十三页。(6)保证配置、变更的正确与安全。

(7)进行安全审计。

(8)保证维护支持。

(9)进行监控、检查，处理安全事件。

(10)安全意识与安全教育。

(11)人员安全管理等。

在进行信息安全管理的过程中，需要遵循的原则有：

①基于安全需求原则。组织机构应根据其信息系统担负的使命、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求，第四十页，共一百一十三页。按照信息系统等级要求确定相应的信息系统保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与安全效果。

②主要领导负责原则。主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效的安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门的关系，并确保其落实、有效。

③全员参与原则。信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全。第四十一页，共一百一十三页。④系统方法原则。按照系统工程的要求，识别和理解信息安全保障相互关系的层面和过程，采用管理和技术结合的方法，提高实现安全保障目标的有效性的效率。

⑤持续改进原则。安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期，随着安全需求和系统脆弱性的时空分布变化、威胁程度的提高、系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。第四十二页，共一百一十三页。⑥依法管理原则。信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不利的社会影响。

⑦分权和授权原则。对特定职能或责任领域的管理功能实施分离，对独立审计实行分权，避免权力过分集中所带来的隐患，以减少未授权的修改或滥用系统资源的机会。任何实体(例如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的权限，不应享有任何多余权限。

第四十三页，共一百一十三页。⑧选用成熟技术原则。成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误。

⑨分级保护原则。按等级划分标准确定信息系统的安全保护等级，实行分级保护，对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护。

第四十四页，共一百一十三页。⑩管理与技术并重原则。坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合、管理科学性和技术前瞻性相结合的方法，保障信息系统的安全性达到所要求的目标。

⑪

自保护和国家监管结合原则。对信息系统安全实行自保护和国家监管相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。第四十五页，共一百一十三页。5.1.5信息系统的安全因素

信息系统的主要安全因素包括资产、威胁、脆弱性、意外事件影响、风险和保护措施等。这些信息系统的安全因素之间的关系如图5-2所示。

(1)资产。主要包括：

·支持设施(例如建筑、供电、供水、空调等)。

·硬件资产(例如各种计算机设备、通信设施、存储媒介等)。

·信息资产(例如数据库、系统文件、用户手册、操作支持程序、持续性计划等)。

第四十六页，共一百一十三页。图5-2信息系统的主要安全因素之间的关系第四十七页，共一百一十三页。·软件资产(例如应用软件、系统软件、开发工具、实用程序等)。

·生产能力和服务能力。

·人员。

·无形资产(例如信誉、形象等)。

(2)威胁。主要包括自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。人为威胁有：

·盗窃类型的威胁(例如偷窃设备、窃取数据、盗用计算资源等)。第四十八页，共一百一十三页。·破坏类型的威胁(例如破坏设备、破坏数据文件、引入恶意代码等)。

·处理类型的威胁(例如插入假的输入、隐瞒某个输出、电子欺骗、非授权改变文件、修改程序和更改设备配置等)。

·操作错误和疏忽类型的威胁(例如数据文件的误删除、误存和误改、磁盘误操作等)。

·管理类型的威胁(例如安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当、人事管理漏洞等)。第四十九页，共一百一十三页。(3)脆弱性。与资产相关的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等弱点，以及与系统相关的脆弱性如分布式系统易受伤害的特征等。

(4)意外事件影响。影响资产安全的事件，无论是有意或是突发，其后果可能毁坏资产，破坏信息系统，影响保密性、完整性、可用性和可控性等。可能的间接后果包括危及国家安全、社会稳定，造成经济损失，破坏组织或机构的社会形象等。第五十页，共一百一十三页。(5)安全风险。安全风险是某种威胁利用暴露系统脆弱性对组织或机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来评估。另外，由于保护措施的局限性，信息系统总会面临或多或少的残留风险，组织或机构应考虑对残留风险的接受程度。

(6)保护措施。保护措施是对付威胁，减少脆弱性，限制意外事件影响，检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。第五十一页，共一百一十三页。应考虑采用保护措施实现下述一种或多种功能：预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。保护措施作用的区域可以包括物理环境、技术环境(例如硬件、软件和通信)、人事和行政。保护措施可为：访问控制机制、防病毒软件、加密、数字签名、防火墙、监控和分析工具、备用电源以及信息备份等。选择保护措施时要考虑由组织或机构运行环境决定的影响安全的因素，例如，组织的、业务的、财务的、环境的、人事的、时间的、法律的、技术的边界条件以及文件的或社会的因素等。第五十二页，共一百一十三页。5.1.6信息安全管理模型

信息安全管理从信息系统的安全需求出发，以信息安全管理相关标准为指导，结合组织的信息系统安全建设情况，引入合乎要求的信息安全等级保护的技术控制措施和管理控制规范与方法，在信息安全保障体系基础上建立信息安全管理体系。信息安全管理模型如图5-3所示。第五十三页，共一百一十三页。

图5-3信息安全管理模型第五十四页，共一百一十三页。信息安全需求是信息安全的出发点，它包括保密性需求、完整性需求、可用性需求、抗抵赖性需求、可控制性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保组织相应环节的信息安全，从而保证整个组织的整体信息安全水平。信息安全管理标准是在一定范围内获得的关于信息安全管理的最佳秩序，对信息安全管理活动或结果规定共同的和重复使用的具有指导性的规则、导则或特性的文件。第五十五页，共一百一十三页。信息安全管理控制规范是为改善具体信息安全问题而设置的技术或管理手段，并运用信息安全管理相关方法来选择和实施控制规范，为信息安全管理体系服务。信息安全保障体系则是保障信息安全管理各环节、各对象正常运作的基础，在信息安全保障过程中，要实施信息安全工程。第五十六页，共一百一十三页。

到目前为止，与信息安全管理相关的国际标准主要是国际标准化组织(ISO)制定的ISO/IEC17799、ISO/IEC27001、ISO/IEC13335等，其中ISO/IEC17799和ISO/IEC27001都是由英国标准BS7799发展而来，它们分别对应于BS7799-1和BS7799-2。5.2信息安全管理标准第五十七页，共一百一十三页。5.2.1信息安全管理标准的发展

1.

BS7799

BS7799是世界上影响最深、最具代表性的信息安全管理体系标准。英国标准协会(BSI)最早于1995年发布了《信息安全管理实施细则》(BS7799-1:1995)，它为信息安全提供了一套全面综合最佳实践经验的控制措施，其目的是将信息系统用于工业和商业用途时，为确定实施控制措施的范围提供一个参考依据，并且能够让各种规模的组织所采用。

由于BS7799-1采用指导和建议的方式编写，不适合作为认证标准使用。第五十八页，共一百一十三页。1998年为了适应第三方认证的需求，BSI又制定了世界上第一个信息安全管理体系认证标准，即《信息安全管理体系规范》(BS7799-2:1998)，它规定了信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理系统评估的基础，可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

1999年，鉴于最新的信息处理技术应用，特别是网络和通讯的发展情况，BSI对信息安全管理体系标准进行了修订，即BS7799-1:1999和BS7799-2:1999。第五十九页，共一百一十三页。1999版特别强调了信息安全所涉及的商业问题和责任问题。BS7799-1:1999与BS7799-2:1999是一对配套的标准，其中BS7799-1:1999对如何建立并实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。

2000年12月，BS7799-1被ISO接受为国际标准，即《信息技术—安全技术—信息安全管理实施细则》(ISO/IEC17799:2000)。2005年4月19日被我国等同采用为国家标准《信息技术—安全技术—信息安全管理实用规则》(GB/T19716—2005)。第六十页，共一百一十三页。2005年6月，ISO/IEC17799:2000升级为ISO/IEC17799:2005，主要增加了“信息安全事件管理”这一安全控制区域。目前世界上包括中国在内的绝大多数政府签署协议支持并认可ISO/IEC17799标准。

2002年9月，BSI发布了BS7799-2:2002。BS7799-2:2002主要在结构上做了修订，引入了国际上通行的管理模式-过程方法和PDCA(Plan-DO-Check-Act)持续改进模式，建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。第六十一页，共一百一十三页。2005年10月，BS7799-2被ISO接受为国际标准，即《信息技术—安全技术—信息安全管理体系要求》(ISO/IEC27001:2005)，这意味着该标准已经得到了国际上的承认。ISO/IEC27001:2005基本上与BS7799-2一致，但做了以下修改：

·必须为范围中的任何被排除在外的部分指定理由。

·一个明确定义的风险分析方法。

·在风险处理中选择的措施必须被重新进行风险评估。第六十二页，共一百一十三页。总的来说，ISO/IEC27001:2005是建立信息安全管理体系(ISMS，InformationSecurityManagementSystem)的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，其内容非常全面，是一个真正基于风险的方法。这意味着组织必须评估自己的环境，并为所实施的控制负责。

2007年7月，为了和27000系列保护统一，ISO将ISO/IEC17799:2005正式更改编号为ISO/IEC27002:2005。第六十三页，共一百一十三页。2008年6月19日，我国等同采用ISO/IEC27001:2005为国家标准《信息技术—安全技术—信息安全管理体系要求》(GB/T22080—2008)，并同时等同采用ISO/IEC27002:2005为国家标准《信息技术—安全技术—信息安全管理实用规则》(GB/T22081—2008)，它亦是对GB/T19716—2005的修订，并代替该标准。第六十四页，共一百一十三页。图5-4BS7799标准的发展第六十五页，共一百一十三页。2.

ISO/IEC27000系列标准

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。截止2011年6月，包括上面提到的ISO/IEC27001和ISO/IEC27002，共发布了以下9项标准：

·ISO/IEC27000:2009《信息技术—安全技术—信息安全管理体系原理和术语》；

·ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》；第六十六页，共一百一十三页。·ISO/IEC27002:2005《信息技术—安全技术—信息安全管理实用规则》；

·ISO/IEC27003:2010《信息技术—安全技术—信息安全管理体系实施指南》；

·ISO/IEC27004:2009《信息技术—安全技术—信息安全管理测量与指标》；

·ISO/IEC27005:2008《信息技术—安全技术—信息安全风险管理》，2011年6月发布新版ISO/IEC27005:2011；

·ISO/IEC27006:2007《信息技术—安全技术—信息安全管理体系审核认证机构要求》；第六十七页，共一百一十三页。·ISO/IEC27011:2008《信息技术—安全技术—电信机构基于ISO/IEC27002的信息安全管理指南》；

·ISO27799:2008《健康信息—应用ISO/IEC27002的医疗信息安全管理》。第六十八页，共一百一十三页。3.

ISO/IEC13335

ISO/IEC13335被称为《IT安全管理指南》(GMITS，GuidelinesfortheManagementofITSecurity)，已经在国际社会中开发了很多年。ISO/IEC13335只是一个技术报告和指导性文件，属于TR(TechnicalReport)系列，即ISO/IECTR13335，它是作为具体实践时的参考，并不是可依据的认证标准，信息安全体系建设则需要参考ISO/IEC27001:2005和ISO/IEC27002:2005等。第六十九页，共一百一十三页。ISO/IEC13335它分为5个部分，从1996年到2001年依次发布，即：

·ISO/IEC13335—1:1996《IT安全的概念与模型》；

·ISO/IEC13335—2:1997《IT安全管理与规划》；

·ISO/IEC13335—3:1998《IT安全管理技术》；

·ISO/IEC13335—4:2000《安全措施的选择》；

·ISO/IEC13335—5:2001《网络安全管理指南》。第七十页，共一百一十三页。目前，ISO/IEC13335的新版本《信息和通信技术安全管理》(ISO/IEC13335MICTS)MICTS(ManagementofInformationandCommunicationsTechnologySecurity)已取代GMITS部分内容，例如：已发布的MICTS第1部分《信息和通信技术安全管理的概念和模型》与第2部分《信息和通信技术安全风险管理技术》分别取代了ISO/IEC13335-1:1996和ISO/IEC13335-2:1997。第七十一页，共一百一十三页。4.美国相关标准

美国国家标准技术局(NIST)制定了一系列的信息安全管理相关标准，如SP800系列、FIPS系列等。

始于1990年的SP800(SP，SpecialPublications)是美国国家标准与技术研究院(NIST)发布的一系列关于信息安全的技术指南文件，是为了给NIST的信息技术安全出版物提供一个单独的标识，只提供一种供参考的方法或经验，对联邦政府部门不具有强制性。SP800系列主要关注计算机安全领域的一些热点研究，第七十二页，共一百一十三页。介绍信息技术实验室(ITL，InformationTech.Lab.)在计算机安全方面的指导方针、研究成果以及与工业界、政府、科研机构的协作情况等。目前，NISTSP800系列已经出版了一百多本同信息安全相关的正式文件，形成了从规划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。虽然NISTSP800系列并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界广泛认可的事实标准和权威指南。NISTSP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。第七十三页，共一百一十三页。截止2010年底，NIST发布SP800系列共126篇，例如：

·SP800-12《计算机安全介绍：NIST手册》

·SP800-14《信息技术系统安全的公认原则与实践》

·SP800-18《IT系统安全计划开发指南》

·SP800-26《IT系统安全自我评估指南》

·SP800-30《IT系统风险管理指南》

·SP800-37《联邦IT系统认证认可指南》

·SP800-53《联邦信息系统推荐安全控制》第七十四页，共一百一十三页。·SP800-53A《信息安全控制措施评估研究》

·SP800-60《信息和信息类型与安全目标及风险级别对应指南》。

在SP800系列中，SP800-12(1995年1月)和SP800-14(1996年9月)这两篇文献是SP800系列的基础。SP800-12论述了各种计算机安全控制的好处以及其合理应用的条件。它对计算机安全进行了概括性描述，以帮助读者理解计算机安全需求，并制定出一种选择适当安全控制的良好方法。第七十五页，共一百一十三页。SP800-14提供了机构用来建立和检查IT安全程序的基线，为机构提供了管理多机构事务以及内部事务所参考的基础。管理者、内部审计员、用户、系统开发者和安全从业人员可通过该文档获得大多数IT系统应包含的基本安全需求。

SP800系列技术指南可以划分为17个族类型，包括访问控制、审计&可核查性、意识&培训、认证认可&安全评估、配置管理、应急规划、标识&鉴别、事件响应、维护、媒体保护、人员安全、物理&环境保护、规划、风险评估、系统&通信保护、系统&信息完整性、系统&服务获取等。第七十六页，共一百一十三页。联邦信息处理标准(FIPS，FederalInformationProcessingStandards)是一套描述文件处理、加密算法和其他信息技术标准(在非军用、政府机构和与这些机构合作的政府承包商及供应商中应用的标准)的标准。NIST发布这些用于政府领域的标准和指南作为FIPS，用于没有现成工业标准和方案可以满足的联邦政府强制性要求，如安全和通用性等。

2002年通过的《联邦信息安全管理法案》(FISMA，TheFederalInformationSecurityManagementAct)赋予NIST制定标准和指南的职责。第七十七页，共一百一十三页。之后，NIST出版的FIPS、SP800系列等文档对联邦政府的信息系统进行支撑。

SP800系列不仅支撑美国信息安全方面的法律法规，而且对FIPS标准也提供了支撑。例如：2004年2月发布的FIPS199《联邦信息和信息系统安全分类标准》定义了信息和信息系统的三个安全目标，并将每个目标的潜在影响定义为低、中、高三种程度。NIST在FIPS199的基础上发布了SP800-60，描述了安全分类过程以及如何建立信息系统安全类别，以帮助联邦政府对信息和信息系统进行分类。2006年3月，第七十八页，共一百一十三页。NIST发布的FIPS200《联邦信息系统最小安全控制》在17个安全相关领域内详细说明了联邦信息和信息系统的最小安全要求，联邦机构在使用与联邦信息系统推荐安全控制(SP800-53)相一致的安全控制时必须满足在此定义的最小安全要求。而SP800-53A则是在对信息系统进行分类和选择安全控制措施基础之上进行了按控制措施评估，来确定安全控制实现的有效性。第七十九页，共一百一十三页。5.我国相关标准

我国也制定了与信息安全管理相关的国家标准，如：

·《信息系统安全管理要求》(GB/T20269—2006)

·《信息系统安全工程管理要求》(GB/T20282—2006)

·《信息技术—安全技术—信息安全管理体系要求》(GB/T22080—2008)

·《信息技术—安全技术—信息安全管理实用规则》(GB/T22081—2008)

·《信息安全风险管理指南》(GB/Z24364—2009)

·《信息安全事件管理指南》(GB/Z20985—2007)第八十页，共一百一十三页。5.2.2BS7799的内容

实施BS7799的目的是保证组织的信息安全(即信息资料的保密性、完整性和可用性等)及业务的正常运营。其方法是通过风险评估、风险管理引导企业的信息安全要求，并提供10大管理控制方面，36个管理控制目标，127种安全控制措施的三级结构供选择和使用。

BS7799的10大管理控制方面包括信息安全方针、信息安全组织、信息资产分类与控制、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、法律符合性等，第八十一页，共一百一十三页。具体又分为两个部分，即信息安全管理实施细则(BS7799-1)和信息安全管理体系规范(BS7799-2)。第一部分主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分详细说明了建立、实施和维护ISMS的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。

BS7799-2明确提出了安全控制的要求，而BS7799-1对应给出了通用的控制方法(措施)，因此可以说，第八十二页，共一百一十三页。BS7799-1为BS7799-2的具体实施提供了指南。当然，标准中的控制目标、控制措施的要求并非信息安全管理的全部，一个组织可以根据需要额外考虑另外的控制目标和控制措施。第八十三页，共一百一十三页。1.

BS7799-1

BS7799-1规定了信息安全的控制要求，根据10大控制方面的要求，从控制目标和控制措施入手，涉及信息安全的方方面面。组织应根据风险评估的结果，从中选择适宜的控制目标与控制措施，对于不适宜的条款应在适用性声明中给予说明。

表5-1给出了各控制方面、控制目标及控制措施的简要内容。第八十四页，共一百一十三页。

表5-1BS7799-1中控制方面、控制目标与控制措施第八十五页，共一百一十三页。2.

BS7799-2

BS7799-2规定了建立、实施和维护信息安全管理体系的要求，规定了根据组织的需要应实施安全控制的要求。即本标准适用于组织按照标准要求建立并实施ISMS，进行有效的信息安全风险管理，确保业务可持续性发展，另一方面作为寻求信息安全管理体系第三方认证的标准。

在根据业务的性质、组织结构、资产和技术等确定信息安全体系的范围之后，可按照BS7799-2建立信息安全管理体系，其步骤如图5-5所示。第八十六页，共一百一十三页。

图5-5信息安全管理体系的建设流程第八十七页，共一百一十三页。(1)定义信息安全方针。

信息安全方针是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制定不同的信息安全方针。信息安全方针应该简单明了、通俗易懂，并形成书面文件，分发给组织内所有成员。同时要对所有相关员工进行培训，必要时对负特殊责任的人员进行特殊的培训，以使信息安全方针真正根植于所有员工的意识及行为中。

除了要有一个总体的安全方针，在总体方针的框架内，组织要根据风险评估的结果，制定更加具体的安全方针与措施，明确规定具体的控制规则。第八十八页，共一百一十三页。(2)确定ISMS的范围。

组织要根据组织的特性、地理位置、部门、需要保护系统资产和技术等来对ISMS范围进行界定。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

(3)进行信息安全风险评估。

风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后资产所受的威胁、脆弱性及威胁发生后对组织的影响进行评估，第八十九页，共一百一十三页。同时对已存在的或规划中的安全措施进行鉴定，用以识别目前面临的风险及风险等级。信息安全风险评估的复杂度取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与信息资产风险的保护需求相一致。

要注意的是，ISMS的成功建立与实施，及它对组织的价值很大程度上取决于风险评估的质量。

(4)进行信息安全风险管理。

根据信息安全方针、所要求的安全程度和风险评估的结果进行相应的风险管理，第九十页，共一百一十三页。管理风险包括识别所需的安全措施，通过降低、避免、转移将风险降为可接受的水平。风险会随着过程的更改、组织的变化、技术的发展及新出现的潜在威胁而变化。

(5)选择控制目标与控制措施。

控制目标与控制措施的选择要以费用不超过风险所造成的损失为原则。因为信息安全是一个动态的系统工程，组织应实时地对选择的控制目标和控制措施进行验证和调整，以应对不断变化的情况，使信息资产得到有效的、经济的、合理的保护。第九十一页，共一百一十三页。(6)发表适用性声明。

适用性声明(SoA，StatementofApplication)是对组织选择的控制目标和控制措施的记述性文件，标准中不适用的控制措施也要在声明中加以说明，但不能提供太过详细、有价值的信息，防止被某些不怀好意的人所利用。发表适用性声明，一方面是为了向组织内的员工声明对信息安全风险的态度，另一方面是为了向外界(例如潜在的商业伙伴或第三方认证机构)表明组织的态度和作为，表明组织已全面、系统地审视了信息安全系统，并将所有应该得到控制的风险控制在可被接受的范围内。第九十二页，共一百一十三页。除此之外，在建立信息安全管理体系的过程中，需要按标准要求建立管理的证据，即信息安全管理体系文件，它一般包括方针、适用性声明、方针手册、程序文件、作业指导书和记录等。BS7799-2对ISMS文件结构没有统一的要求，但其文件内容应该包括以上内容。第九十三页，共一百一十三页。5.2.3引入BS7799的好处

保证信息安全不是仅靠一些安全设备，或寻求信息安全服务公司帮助就可以达到，而是需要全面的综合管理。引入信息安全管理体系就可以协调各个方面的信息管理，在建立业务风险分析的基础上，开发、实施、完成、评审和维护信息安全，使得管理更有成效。

信息安全管理体系可以定义在组织的整个信息系统中，也可以是信息系统的某些部分，第九十四页，共一百一十三页。或者是一个特定的信息系统，包括处理、存储和传输数据所用到的相应的资产、系统服务、应用程序、网络与技术等。具体选择哪种范围模式，取决于组织的实际需要。一个组织可以为企业的不同部分、不同方面定义不同的ISMS，例如，可以为公司与合作商的特定贸易关系定义一个信息安全管理系统。

BS7799强调管理体系的有效性、经济性、全面性、开放性和普遍性，目的是为企业或组织提供一种高质量、高实用性的参照。各单位以此建立自己的信息安全管理体系，可以在别人的基础上根据自己的实际情况选择引入BS7799的模式。第九十五页，共一百一十三页。BS7799可以有效地保护信息资源，保护信息化进行健康、有序、可持续发展，目前已发展成最新的ISO/IEC27001:2005和ISO/IEC27002:2005标准。当组织通过了它们的认证，就相当于通过了ISO9000的质量认证一般，表明组织信息安全管理已建立了一套科学有效的管理体系作为保障。

企业或组织按照BS7799、ISO/IEC17799等标准建立信息安全管理体系，在前期需要有一定的投入，但若是能通过相关认证，将会获得有极大价值的回报，例如：第九十六页，共一百一十三页。(1)通过认证能向客户、竞争对手、投资商、供应商等展示在其行业中的领导地位。

(2)定期监督审核能加强系统的安全性，减少系统故障和潜在的风险隐患，节约资源。

(3)通过认证相当于是一种承诺，能提高企业的信誉度，增强客户购买或投资的信心。

(4)能够向政府及行业主管部门证明企业对相关法律法规的符合性。

(5)可以改善企业的业绩，消除不信任感，有利于拓展市场与业务。第九十七页，共一百一十三页。(6)获得国际认可的认证证书，能得到国际上的承认。

企业引入信息安全管理标准体系的关键在于企业的重视程度和制度落实的情况。在实施过程中一定要注意，BS7799里所描述的所有控制措施不可能适合企业内的每一种情况。因此，需要根据功能要求和企业自身的实际情况进行一步开发适合企业本身需要的控制目标与控制措施，就像依据ISO9000标准开发质量手册和程序文件一样。第九十八页，共一百一十三页。

要有效地保护信息系统的安全，涉及到信息系统研制单位、信息化应用工程建设单位、乃至国家有关主管部门共同实施的大问题，需要在立法、行政、技术三方面采取综合措施。

在这里，着重介绍有关管理工作方面的信息安全实施要点。5.3信息安全管理的实施要点第九十九页，共一百一十三页。1.加强审计管理

对信息系统中的所有资源(包括服务、文件、数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，以提供给系统管理员作为系统维护以及安全防范的依据。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取措施，并且能够对历史审计数据进行分析、处理和追踪。其作用主要有以下几个方面：第一百页，共一百一十三页。·对潜在的攻击者起到震慑和警告的作用。

·对于已经发生的系统破坏行为提供有效的追究证据。

·为系统管理员提供有价值的系统使用日志