《信息管理导论》07 信息安全管理

第七章信息安全管理学习指导本章主要为您介绍信息安全管理概念的含义,信息安全管理的重要性和内容,信息安全管理的基本目标,信息安全管理体系的建设依据,建立和管理ISMS的要求,建立信息安全管理体系的步骤,信息保障技术框架(IATF)的建设,我国信息安全保障体系的建议等方面的内容。第七章信息安全管理第一节信息安全管理概述第二节信息安全管理的目标和体系第三节信息保障技术框架第四节

建设信息安全保障体系建议第一节

信息安全管理概述信息安全管理概述信息安全是现代信息管理的一项重要工作内容,它贯穿于信息管理活动的始终。可以说,没有信息安全的保证就谈不上信息管理效益,甚至会使国家、组织付出高昂的代价。本节将介绍信息安全的概念、信息安全管理的内容和意义、信息安全管理的基本原则等内容。

(一)信息安全的典型定义目前,人们对信息安全概念的认识虽然各有侧重,但总的趋势是兼顾技术(信息系统、信息网络等方面的技术)、管理和法律法规等三个基本方面的安全管理要求。从信息安全定义的角度看,主要有狭义和广义两种类型的定义。一、信息安全概念的含义序号定义表述1信息安全是指保持信息的保密性、完整性、可用性;另外,也可能包含其他的特性,例如真实性、可核查性、抗抵赖和可靠性等2信息安全是为数据处理系统建立和采取的技术和管理手段,能保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,使系统连续正常运行3信息安全可被理解为在既定的信息水平下,网络与信息系统抵御意外事件或恶意行为的能力4信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性。其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。信息安全分为科技信息安全、经济信息安全、军事信息安全以及生态环境信息安全等5信息安全是指在一定范围内的社会环境下,由信息和网络技术与国家安全因素的相关性所构成的国家安全的一种态势,这种态势描述了国家免受国外信息威胁的能力和以信息手段维护国家综合安全的能力6信息安全一般是指网络信息的保密性、完整性、真实性、可用性和不可抵赖性7信息安全是指信息在采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等能否得到良好保护的一种状态8信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害9信息安全应当是指向合法服务对象提供准确、及时、可靠的信息服务,而对于其他的非授权用户要保持最大限度的信息的不透明性、不可获取性、不可干扰性和不可破坏性等10信息安全是指保证己方信息系统的正常运行,从而实现己方的信息交流的完整性、可用性、可靠性和保密性,同时,能够有效地遏制、削弱、破坏、反击对己方信息及信息系统的攻击和破坏行为(二)信息安全的定义信息安全是特定的社会活动主体(包括国家、组织、团体、个人等)为维护切身利益,对所拥有信息的保密性、完整性和可用性及其他属性的保持或保护。根据主体所涉及范围的不同,信息安全也可以划分为不同的层次,如国家层次、组织层次和个人层次等。这三个层次的信息安全的具体含义虽然不尽相同,但是所要达成的目的基本是一致的,即保护有关信息不受到威胁和干扰,并使这些信息能够合理合法地发挥作用。其中,组织层次和个人层次的信息安全应符合国家层次的信息安全的要求,不得损害国家层次的信息安全;同时,国家应通过制定和实施有关的信息安全法律、法规,建立和健全信息安全管理制度,推行有效的信息安全标准等措施和手段,来维护国家、组织和个人的信息安全。基于上述认识,我们对信息安全的概念可以做如下理解。第一,信息安全的实质就是要保护有关利益主体所拥有的信息免受威胁和侵害。第二,信息安全有三个支柱,即管理、技术和法律法规。其中管理是最重要的维护信息安全的支柱。第三,信息的保密性,是指“信息”不被未授权的个人、实体、流程所访问和披露,即保障信息仅仅为那些被授权使用的主体(组织或个人)获取。第四,信息的完整性是指“保护信息及其处理方法的准确和完整”。第五,信息的可用性是指“保证被授权的使用者需要时能够访问信息及相关资产”。总之,保密性(confidentiality)、完整性(integrity)、可用性(availability)是确保信息安全的三要素,简称CIA。其中完整性是维系信息安全“天平”平衡的重要支点,保密性和可用性则是信息安全“天平”的两端,两端中的任何一端失衡,都会引发信息安全管理的失败。确保信息的完整性、保密性、可用性是信息安全管理的基本目标。(三)信息安全的属性对于信息安全的其他属性,人们目前还没有统一的意见。例如,我国的一些学者非常强调信息的“可控性”

和“不可否认性”。信息的“可控性”是指能够控制使用信息资源的人或主体的使用方式。信息的“不可否认性”亦称“抗抵赖性”或“不可抵赖性”。它是传统的不可否认需求在信息社会的延伸。另外,国外的一些学者除强调信息的保密性、完整性和可用性外,还比较明确地提出了“可追究性(可核查性)”。(一)通信保密阶段1949年香农发表的《保密系统的信息理论》标志着这一阶段的开始。香农的理论第一次使密码学的研究进入了科学的轨道。在这个阶段,人们所面临的主要安全威胁包括搭线窃听和密码分析等。政府和组织所采取的主要保护措施就是数据加密。通信安全只是政府和军方所关心的信息安全问题。在这一阶段,人们需要解决的问题是在远程通信中拒绝非授权用户的访问以及确保通信的真实性。二、信息安全管理的发展过程(二)计算机安全阶段20世纪70年代,通信保密阶段转变到计算机安全阶段。其主要标志是1977年美国国家标准局公布的《国家数据加密标准》(DES)和1985年美国国防部公布的《可信计算机系统评估准则》(TCSEC)。这些标准的制定和实施意味着信息安全问题的研究和应用已进入了一个新的历史时期。经过人们的努力和政府的推动,人类社会在密码算法及其应用和信息系统安全模型及评价等方面取得了较大成就。另外在这个阶段还创造了一批用于数据完整性和数字签名的杂凑算法。(三)信息安全阶段自20世纪90年代以来,通信和计算机技术相互依存,数字化技术促进了计算机网络发展成为信息高速公路,互联网成为一项家用技术平台,信息安全的需求不断地向社会各个阶段扩展,人们关注的对象已经逐步从计算机转向更具本质性的信息本身,信息安全的概念随之产生。人们对信息的安全性有了新的要求,即可控性、不可否认性以及可审核性。在这一时期,公钥技术得到了长足发展,著名的RSA公开密钥密码算法获得了日益广泛的应用,用于完整性校验的Hash函数的研究应用也越来越多。美国国家技术和标准研究所推行了高级加密标准(AES)项目,经过广泛和严谨的评审后Rijndael算法成了高级加密标准。(四)信息保障阶段20世纪90年代美国国防部长办公室提出“信息保障”概念。由于对信息系统攻击日趋频繁和电子商务的发展,安全的概念发生了很大变化。首先,信息的安全不再局限于信息的保护;其次,信息的安全与应用更加紧密,其相对性、动态性、系统性等特征引起人们的注意,追求适度风险的信息安全成为共识。信息保障除了强调信息安全的保障能力外,还提出了要重视系统的入侵检测能力、系统的事件反应能力以及系统在遭到入侵破坏后的快速恢复能力等。它关注信息系统的整个生命周期的防御和恢复。这是一个由保护、检测、响应、恢复等内容构成的PDRR信息保障模型(一)信息安全管理的重要性对于政府部门来说,信息安全问题所带来的损失主要包括决策失误、指挥失灵国家形象受损、政府威信降低、公共资源浪费、服务效率降低等。一些信息安全事件的发生,有时甚至会对整个国家和社会造成严重的不良影响,直接关系到国计民生。对于许多企业的经营者来说,信息安全问题所带来的损失远大于交易的账面损失,其中包括直接损失、间接损失和法律损失等。对于公民个人来说,信息安全问题所带来的损失不仅包括经济方面的损失,还包括个人隐私权利的受损等。三、信息安全管理的重要性和内容(二)信息安全管理的主要内容一般认为,信息安全的含义包括两个基本方面:实体安全与运行安全。实体安全是保护设备、设施以及其他硬件设施免遭各种自然灾害、有害气体和其他环境事故以及人为因素破坏的措施和过程。运行安全是指通过一套安全措施来保护信息处理过程的安全,保障系统功能的安全实现。据此,我们可以把信息安全的内容区分为六项:计算机系统安全、数据库安全、网络安全、病毒防护安全、访问控制安全、加密安全。三、信息安全管理的重要性和内容1.计算机系统安全这种安全是指通过对计算机系统的硬、软件资源的有效控制,来保证其资源能够正常使用,并避免硬件损坏和运行错误,为构建信息管理系统提供可靠、安全的平台。2.数据库安全这种安全一般是指采用多种安全机制,并与操作系统相结合,为数据库系统所管理的数据和资源提供有效的安全保护。3.网络安全这种安全是指为信息网络的使用提供一套安全管理机制,为访问网络资源或使用网络服务提供安全保护,如跟踪记录、监测、网络安全事故定位等。4.病毒防护安全病毒防护安全是指对计算机病毒的防护能力,包括单机系统和网络系统资源的防护。这种安全主要依赖病毒防护产品来保证。病毒防护产品通过建立系统保护机制,达到预防、检测和消除病毒的目的。5.访问控制安全这种安全是指保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合事先制定的安全策略,主要包括出入控制和存取控制。出入控制主要是阻止非授权用户进入系统;存取控制主要是对授权用户进行安全性检查,以实现存取权限的控制。6.加密安全这种安全是指通过特定算法完成明文与密文的转换等方法来保证数据的保密性和完整性。例如,为了确保数据不被篡改,可采用数字签名方法;为了实现数据在传输过程中的保密性和完整性而在交易双方之间建立唯一安全通道的虚拟专用网等。信息安全管理的主要内容安全方针安全组织资产分类与控制人员安全物理与环境安全通信与操作管理系统开发与维护访问控制业务持续管理符合性信息安全管理的主要内容包括10大管理要项和36个执行目标。所谓10大管理要项是指:安全方针(securitypolicy)、安全组织(securityorganization)、资产分类与控制(assetclassificationandcontrol)、人员安全(personnelsecurity)、物理与环境安全(physicalandenvironmentalsecurity)、通信与操作管理(communicationsandoperationsmanagement)、系统开发与维护(systemsdevelopmentandmaintenance)、访问控制(accesscontrol)、业务持续管理(businesscontinuitymanagement)、符合性(compliance)标准目的内容安全方针为信息安全提供管理方向和支持建立安全方针文档安全组织建立组织内的管理体系以便安全管理组织内部信息安全责任;信息采集设施安全;可被第三方利用的信息资产的安全;外部信息安全评审;外包合同的安全资产分类与控制维护组织资产的适当保护系统利用资产清单、分类处理、信息标签等对信息资产进行保护人员安全减少人为造成的风险减少错误、偷窃、欺骗或资源误用等人为风险;保密协议;安全教育培训;安全事故与教训总结;惩罚措施物理与环境安全防止对关于IT服务的未经许可的介入、损伤和干扰服务防止对关于IT服务的未经许可的介入、损伤和干扰服务通信与操作管理保证通信和操作设备的正确和安全维护确保信息处理设备的正确和安全操作;降低系统失效的风险;保护软件和信息的完整性;维护信息处理和通信的完整性及可用性;确保网络信息的安全措施和支持基础结构的保护;防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏、修改或误用标准目的内容系统开发与维护保证系统开发与维护的安全确保信息安全保护深入到操作系统中;阻止应用系统中用户数据的丢失、修改或误用;确保信息的保密性、可靠性和完整性;确保IT项目工程及其支持活动在安全的方式下进行;维护应用程序软件和数据的安全访问控制控制对商业信息的访问控制访问信息;阻止非法访问信息系统;确保网络服务得到保护;阻止非法访问计算机;检测非法行为;保证在使用移动计算机和远程网络设备时信息的安全业务持续管理防止商业活动中断和灾难事故的影响防止商业活动的中断;防止关键商业过程受重大失误或灾难的影响符合性避免任何违反法令、法规、合同约定及其他安全要求的行为避免违背刑法、民法、条例,遵守契约责任以及各种安全要求;确保组织系统符合安全方针和标准;使系统审查过程的绩效最大化,并将干扰因素降到最小第二节信息安全管理的目标和体系一、信息安全管理的基本目标(一)“风险社会”和威胁信息安全的主要因素1986年德国的乌尔里希·贝克出版了《风险社会》一书,他将现代社会解释为“风险社会”。他认为,“风险”是个指明自然终结和传统终结的概念;在自然和传统失去它们的无限效力并依赖于人的决定的地方,才谈得上风险。风险”一词被贝克赋予了新的含义,从传统的关注自然风险转向关注社会风险。贝克的“风险社会”理论对我们从事信息安全管理有着重要的意义。社会风险理论为信息安全管理问题的研究开辟了新的思维空间,有助于人们改变传统的线性思维模式,并在更广阔的空间内思考信息安全问题。任何细小的失误或行为过当都可能在很大程度上给政府和组织的信息安全造成威胁,甚至造成“蝴蝶效应”。社会风险理论为信息安全管理提供了新的观察问题的视角。它倡导了一种风险意识,使人类决策活动自觉地根据生态环境的要求行事,自觉地进行风险知识的积累,训练以风险的视角来处理和观察信息安全问题。国家由政府主导,有很好的组织和充足的财力;利用国外的服务引擎来收集来自被认为是敌对国的信息黑客攻击网络和系统以发现在运行系统中的弱点或其他错误的一些个人恐怖分子使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙有组织的犯罪团体有协调的犯罪行为,包括赌博、诈骗、贩毒和许多其他的行为国际媒体向报业和娱乐业的媒体收集并散发——有时是非授权的——新闻的组织,包括收集任何时间关于任何一个人的任意一则新闻工业竞争者在市场竞争中运行的国内或国际企业常以企业间谍的形式致力于非授权收集关于竞争对手或外国政府的信息有怨言的员工怀有危害局域网络或系统想法的气愤、不满的员工其他犯罪团体犯罪社团之一,一般没有好的组织或财力。通常只有很少的几个人或完全是一个人的行为对信息安全构成威胁的主体一览表(二)信息安全管理的目标1.可用性目标可用性目标是信息安全管理的首要目标。可用性是指确保信息管理系统有效运转并使授权用户得到满意的信息服务。2.完整性目标信息安全管理的完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是信息安全管理除可用性目标之外最重要的目标。3.保密性目标对于某些特定的政府和组织的信息管理系统和数据而言,保密性目标是最重要的信息安全管理目标。在通常情况下,保密性目标是指不向非授权个人和部门暴露私有或者保密信息。对于大多数政府组织和社会单位来说,保密性目标在信息安全管理的重要程度排序中仅次于可用性目标和完整性目标。4.可确定性目标可确定性目标是指政府或组织的信息管理系统能够如实记录一个实体的全部行为。在一般情况下,可确定性目标是政府或组织信息安全管理的一种重要的策略要求。它可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。5.保障性目标保障性目标是政府和组织信息安全管理取信于人的重要基础性目标。该目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。譬如,在信息系统的用户或者软件无意中出现差错时,它能提供充分保护;在遭受恶意的系统穿透时,能提供充足的防护等。二、信息安全管理体系的建设依据ISO/IEC27001《信息安全管理体系——规范与使用指南》,是我们建立信息安全管理体系时需要遵循的一项重要标准。这个国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程,以及组织的规模、结构的影响。这些因素和它们的支持系统预计会随着时间而变化。我们可以根据组织的需要去扩充ISMS的实施,如简单的环境用简单的ISMS解决方案。该国际标准可以用于内部、外部评估其符合性。ISO/IEC27001《信息安全管理体系——规范与使用指南》国际标准化组织（ISO）和国际电工委员会（IEC）于2005年10月15日联合发布了国际标准ISO/IEC27001《信息技术-安全技术-信息安全管理体系-要求》，旨在为所有类型的组织，包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等，在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型，通过一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作，并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC27001标准涉及了最广泛意义上的信息安全，为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则，并可以用作第三方认证的依据。2013年10月19日ISO/IEC27001：2013版标准颁布实施。该标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动并使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之为“过程的方法”。组织采用信息安全管理的过程方法,应鼓励用户重视以下四方面的工作:第一,了解组织信息安全需求和建立信息安全策略与目标的需求。第二,在组织的整体业务风险框架下,通过实施及运作控制措施,管理组织的信息安全风险。第三,监控和评审ISMS的执行和有效性。第四,基于客观测量的持续改进。该标准采用了PDCA模型(计划—实施—检查—改进)去架构全部ISMS流程。显示了ISMS如何输入相关方的信息安全需求和期望,并经过必要的处理,产生满足需求和期望的产品。它提供了一个稳健的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。组织在建立信息安全管理体系时,应遵循的总要求是:在组织整体业务活动和风险的环境下建立、实施、运作、监控、评审、维护和改进文件化的ISMS。具体要求一般包括以下几个方面：1.建立和管理ISMS的要求建立ISMS,是指有关单位应根据自身业务的性质、组织结构、位置、资产和技术等来明确界定ISMS的范围和界限,并说明那些被排除在信息安全管理体系范围之外的详细理由。在此基础上,各单位应根据本身的业务性质、组织结构、位置、资产和技术等来确定ISMS策略。一项ISMS策略通常应包括五个方面的内容:(1)建立目标框架,明确信息安全活动的整体方向和原则;(2)明确业务、法律法规的要求及合同的安全义务;(3)确立组织战略和风险管理框架,建立和维护信息安全管理体系;(4)建立风险评价标准;(5)管理层的批准意见等。风险评估方法的选择应确保风险评估结果具有可重复性和可比较性。一个组织在定义风险评估的方法时,需要做好两项工作:(1)识别适用于ISMS及已识别的信息安全、法律和法规要求的风险评估方法;(2)开发接受风险的准则和识别可接受风险水平,确定可接受风险准则和可接收风险等级。一个组织要识别所面临的风险,可从四个方面来着手开展工作:(1)识别ISMS范围内资产及其责任人;(2)识别资产的威胁;(3)识别可能被威胁利用的脆弱性;(4)识别资产保密性、完整性和可用性损失的影响。一个组织识别和评价处置风险时,可选择的应对措施包括:(1)应用适当的控制措施,防患于未然。(2)在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险。(3)回避风险。(4)将相关业务风险转嫁他方,如保险公司、供应商等。组织应选择合适的控制目标和控制措施,以满足风险评估和风险处理过程的要求。选择方法应考虑可接受的风险以及法律、法规与合同的要求。2.实施和运作ISMS实施和运作ISMS时,组织应做好以下几项工作:(1)阐述风险处理计划。这种计划可为信息安全风险管理指出适当的管理措施、资源、职责、优先级。(2)实施风险处置计划以达到识别的控制目标,包括对资金需求及安全角色和职责的分配。(3)实施组织所选择的风险控制措施以达到控制目标。(4)说明如何测量所选控制措施的有效性,检测方式如何被用于评估控制措施的有效性,如何产生可比较的、可重复的结果。通过测量控制措施的有效性,允许管理者和职员去决定如何很好地控制以达到计划的控制目标。(5)实施培训和建立信息安全管理意识。(6)信息安全管理系统的运作管理。(7)信息安全管理系统的资源管理。(8)实施程序及其他及时检测的控制措施,并对所发生的安全事故作出及时响应。3.监控和评审ISMS在监控和评审ISMS的过程中,组织应注意做好以下工作:(1)组织应认真执行监控、评审程序和其他控制措施,及时检测过程结果中的错误,及时识别安全违规和事故;监控组织的管理层是否决定将安全活动授权,或由信息技术实施的安全活动是否按期望实施;监控有关责任人是否使用通知提示来帮助检测安全事件,并避免安全事故的发生;监控组织所确定的解决安全违规的行动是否有效。(2)组织应定期评审ISMS的有效性(包括符合安全策略和目标及安全控制措施评审),考虑安全评审、事故、有效测量的结果及来自所有利益相关方的建议和反馈。(3)组织应测量控制措施的有效性,并验证已经达到安全要求。(4)组织应按计划定期评审风险评估、残余风险和可接受风险的水平,并考虑以下变化:组织变化情况;技术变化情况;业务目标和过程变化情况;已识别威胁变化情况;已实施控制的有效性;外部事件,如法律、法规、合同责任及社会环境发生的变化等。(5)组织应在计划的时间段内实施内部ISMS审核,以确定信息安全管理体系的控制目标、控制措施、安全管理体系的过程和程序是否符合本国际标准和相关法律法规、已识别的信息安全的要求,是否得到有效的实施和维护,是否按期望执行等。(6)组织应定期进行ISMS管理评审以保证信息安全管理体系范围仍然充分,并识别ISMS过程中的改进措施。(7)组织应注意适时更新安全计划,并充分考虑监控和评审活动中发现的问题。(8)组织应注意记录能够影响ISMS有效性或性能的措施和事件。组织建立并保持记录,可以为组织提供符合要求和信息安全管理体系的有效运行的证据。4.维护和改进ISMS在维护和改进ISMS的工作中,组织应定期进行以下四项工作:(1)实施ISMS已识别的改进措施。(2)采取合适的纠正、预防措施和行动,学习其他组织和组织内的安全经验。组织应采取纠正措施,消除同实施和运行信息安全管理体系有关的不合格的原因,防止其再发生；还应采取必要的预防措施,以消除与信息管理体系要求不符合的潜在原因,避免其再次发生。(3)与相关人员沟通措施和改进意见,沟通的详细程度与环境相适宜,必要时应约定如何进行。(4)确保改进行动达到预期目标。三、建立信息安全管理体系的步骤第一步:定义信息安全策略。各组织应依据自身的需要,根据组织各部门的实际情况有针对性地分别制定不同的信息安全策略。第二步:定义ISMS的范围。组织应根据自己的实际需要,在整个组织范围内或者在一些重要部门或领域构架ISMS。第三步:信息安全风险评估。组织所采用的评估措施应该与其对信息资产风险的保护需求保持一致性。第四步:信息安全风险管理。组织可依据对本单位的信息风险评估的结果来开展风险管理活动。一个组织的信息安全风险管理应考虑采取以下六项基本应对措施:(1)及时降低风险。(2)适时避免风险。(3)合理转嫁风险。(4)接受风险。(5)确定管制目标和选择管制措施。(6)准备信息安全适用性声明。第三节信息保障技术框架《信息保障技术框架》(IATF)是美国国家安全局(NSA)制定的,它为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题,并提出了“深度防护战略”,强调人、技术、操作这三个核心原则的代表性理论。它明确指出应关注四个信息安全保障领域,即保护网络和基础设施、保护边界、保护计算环境及支撑基础设施。IATF对我国信息安全工作的发展和信息安全保障体系的建设发挥重要的参考和指导作用。一、IATF的形成与发展历程美国军方的需求是推动IATF建立的主要动因。20世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求。除了军事机构以外,社会上各种信息系统已经成为支持整个政府和组织运行的关键基础设施,社会信息化涉及的资产也日益增多,由此引发的各种风险也越来越多。在这种历史背景下,美国国家安全局从1998年开始着手制定《信息保障技术框架》(IATF),并历经数年的努力得以完成。《信息保障技术框架》的问世,对信息保障系统的建设有非常重要的指导意义。IATF的前身是《网络安全框架》(NSF),其0.1版和0.2版对信息网络安全挑战提供了基本的应对指南。1998年5月,美国又出版了《网络安全框架》(NSF)1.0版,其中添加了安全服务、安全强健性和安全互操作性方面的文档。1998年10月,美国又推出了《网络安全框架》(NSF)1.1版。1999年8月31日,NSA出版了IATF2.0,并正式将NSF更名为《信息保障技术框架》(IATF)。IATF2.0版将安全解决方案框架划分为四个纵深防御焦点域:保卫网络和基础设施、保卫区域边界、保卫计算环境以及保卫支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主,在内容上并无很大的变动。2000年9月出版的IATF3.0版通过将IATF的表现形式和内容通用化,使IATF扩展出了国防部的范围。IATF3.1于2002年9月出版,它进一步扩展了“纵深防御”思想,强调了信息保障战略,并补充了语音网络安全方面的内容。2003年,美国国家安全局又推出了IATF4.0版。二、IATF的基本内容IATF所倡导的信息保障体系一般包括三个要素,即人、技术和操作。其中,组织中“人”的要素,是组织信息体系的主体,是各种信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的要素。可以说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括对政府和组织成员的意识培训、组织管理、技术管理和操作管理等方面的业务工作内容。“技术”要素是实现组织信息保障的重要手段。各种组织的信息保障体系所应具备的相关安全服务就是通过技术机制来实现的。诚然,所谓“技术”要素,已经不仅仅是以防护为主的静态技术体系,而是集防护、检测、响应、恢复等技术于一体的动态技术体系。“操作”要素,或称“运行”要素,构成了组织信息安全保障的主动防御体系,如果说技术的构成是被动的,那么操作和流程就是将各方面技术紧密结合在一起的主动过程。其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等项业务工作内容。IATF还进一步定义了实现信息保障目标的工程过程和信息系统各个方面的安全需求。在此基础上,它提出了“深度防护战略”,对信息基础设施实施多层防护。IATF定义了四个主要的技术焦点领域,即“保卫网络和基础设施”、“保卫区域边界”、“保卫计算环境”和“保卫支撑性基础设施”。这四个领域构成了完整的信息保障体系所涉及的基本范围。在每个领域范围内,IATF均描述了其特有的安全需求和相应的可供选择的技术措施。无论是对信息保障体系的获得者,还是对具体的实施者或者最终的测评者,这些描述和说明一般都有良好的指导意义。纵深防御战略,就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。一个信息系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的,IATF为我们提供了全方位、多层次的信息保障体系的指导思想,即纵深防御战略思想。只有在各个层次、各个技术框架区域中实施保障机制,才能在最大限度内降低风险,防止攻击,保护信息系统的安全。人技术操作培训意识培养物理安全人事安全系统安全管理深度保护技术框架领域安全标准IT/IA采购风险评估认证和鉴定评估监视入侵检测警报响应恢复纵深防御战略的三个关键性要素IATF还提出了其他一些信息安全原则,这些原则对我们建立信息安全保障体系也具有较好的参考和指导意义。包括:第一,保护多个位置的原则。包括保护网络和基础设施、区域边界、计算环境等。第二,分层防御原则。分层防御即在攻击者和目标之间部署多层防御,形成多层防御机制,而且要保证每一层防御都能对攻击者形成一道屏障。第三,安全强健性原则。不同的信息对组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。三、信息安全保障的PDRR模型在信息保障体系的概念下,信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密,它是保护(protection)、检测(detection)、响应(reaction)和恢复(restore)的有机结合。信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。美国国防部提出的“信息安全保障体系”概念,其内容主要包括:第一,概括了网络安全的整个环节,即保护、检测、响应、恢复(PDRR)。第二,提出了信息安全保障的人、政策(包括法律、法规、制度、管理)和技术三大要素。第三,归纳了网络安全的主要内涵,即鉴别、保密、完整性、可用性、不可抵赖性、责任可核查性和可恢复性。第四,提出了信息安全的几个重点领域,即关键基础设施的网络安全(包括电信、油气管网、交通、供水、金融等)、内容的信息安全(包括反病毒、电子信箱安全和有害内容过滤等)和电子商务的信息安全;认为密码理论和技术是核心,安全协议是桥梁,安全体系结构是基础,安全的芯片是关键,监控管理是保障,攻击和评测的理论和实践是考验。PDRR模型引进了时间的概念。其中包括保护时间(Pt)、检测时间(Dt)、响应时间(Rt)和系统暴露时间(Et)。保护时间所表示的是从入侵开始到成功侵入系统的时间,即攻击所需时间。高水平的入侵及安全薄弱的系统都能导致攻击的有效性,使保护时间缩短。检测时间是指系统安全检测(包括发现系统的安全隐患和潜在攻击检测)所需要的时间。改进检测算法和设计,可缩短检测时间,适当的防护措施可有效缩短检测时间。响应时间,包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。PDRR模型用数学公式的方法简明地解析了安全的概念:系统的保护时间应大于系统检测到入侵行为的时间加上系统响应时间,即Pt>Dt+Rt。也就是在入侵者危害安全目标之前就能够被检测到并及时处理。巩固的防护系统与快速的反应结合起来,就是真正的安全。这实际上给出了安全的一个全新定义:及时的检测和响应就是安全。这种新的安全理论体系让我们知道,构筑网络安全的宗旨就是提高系统的防护时间,降低检测时间和响应时间。PDRR模型所提供的基本结论是:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间,在系统遭到破坏后,应尽快恢复,以减少系统暴露时间。目前我国有的学者提出在建立信息安全保障体系时,应在PDRR模型的前面加上预警环节,在后面加上反击环节。增加预警环节的基本宗旨就是根据业已掌握的系统脆弱性和所了解的网络犯罪趋势,预测未来可能受到的攻击和危害。增加反击环节,就是利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子,处理犯罪案件,并要求形成取证能力和打击手段,依法打击犯罪和网络恐怖分子。第四节建设我国信息安全保障体系的建议一、构建国家信息安全保障体系方滨兴提出“一二三四五国家信息安全保障体系”框架。他认为,国家信息安全保障体系包括积极防御、综合防范等多个方面的原则,因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。当前国家信息安全的保障体系需要围绕以下细节全面建设,即这项系统工程需要注意做好六个方面的主要工作:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。此外,要增强国家信息安全保障能力,还必须要掌握核心安全技术,提升包括信息安全的法律保障能力、基础支撑能力等在内的各种信息安全保障能力。方滨兴从五个层面解读了我国的信息安全保障体系,并提出了“一二三四五国家信息安全保障体系”。序号建议内容备注1一个机制一个完善长效的机制2两个原则第一个原则是积极预防、综合防范,第二个原则是立足国情、优化配置3三个要素人、管理、技术4四种核心能力法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力5五项主要技术工作风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备所谓的“一个机制”,是指国家信息安全保障应有一个完善、长效的机制,在组织协调和支撑力度上,要给予国家信息安全保障提供来自宏观层面(包括主管部门)的长期有效的支持。所谓“两个原则”,就是积极防御、综合防范原则,以及立足国情、优化配置原则。“综合防范”是指整个信息产业的协调发展,也就是说要协调处理好网络信息安全与信息化的关系。“积极防御”是指虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。立足国情、优化配置原则要求国家在开展信息安全保障活动中,应强调综合平衡安全成本与风险的理念,即如果风险不大,就没有必要花太大的安全成本来做。所谓“三个要素”,包括人、管理、技术。就信息安全的“人”的要素来说,一个方面是专业人才的培养、培训,打造一支优秀的、高水平的人才队伍;另一方面,应建立吸引和用好高素质的信息安全管理和技术人才的机制。就信息安全的“管理”要素来说,互联网上的管理主要是靠四方面,即法律保障、行政监管、行业自律、技术支撑。信息安全的“技术”要素,也是我们解决信息安全问题所必须考虑的一个关键性因素。特别是对引进产品的信息安全问题应给予特别关注,需要有人对其安全性负责。所谓“四种核心能力”,主要是指信息安全的法律保障能力、信息安全的基础支撑能力、网络舆情宣传和驾驭的能力、国际信息安全的影响力。所谓“五项主要技术工作”包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作和灾难备份。二、构建企业的信息安全保障体系(1)应遵循相关的标准和规范要求。只有以国家已经发布的有关标准和规范为依据,才能少走弯路,减少重复投入,取得预期的效果。所谓信息安全标准,是指确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据文件。实践表明,执行什么样的信息安全标准,既关系到信息安全保障体系的有效性和先进性,也关系到国家的整体信息安全和我国信息产业的发展。二、构建企业的信息安全保障体系(1)应遵循相关的标准和规范要求只有以国家已经发布的有关标准和规范为依据,才能少走弯路,减少重复投入,取得预期的效果。所谓信息安全标准,是指确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据文件。实践表明,执行什么样的信息安全标准,既关系到信息安全保障体系的有效性和先进性,也关系到国家的整体信息安全和我国信息产业的发展。信息安全保障“27号文”《国家信息化领导小组关于加强信息安全保障工作的意见》（[2003]27号），简称“27号文”，它的诞生标志着我国信息安全保障工作有了总体纲领。总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》，保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益。2018年3月，根据中共中央印发了《深化党和国家机构改革方案》，将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会。(2)应重视开展信息安全咨询工作安全咨询是联系企业安全需求和建设目标的中介。信息安全保障体系建设的主要目的,是让现代信息技术应用系统能够达到更好的运行效果,并提高系统的运行效率,让信息安全保障体系成为信息技术应用系统的有效支撑。各企业若想有效地完成信息安全保障体系的建设目标,单纯地依靠自身力量往往是不够的,还需要得到资深的专业安全服务人员的业务支持。利用“外脑”所提供的信息安全咨询服务(如现场调研、符合性分析、相关的风险评估等),企业可以在较低成本投入的前提下,深入了解和分析信息安全保障体系建设的目标特点、信息技术应用情况、各部门的具体管理方式及关键性业务等,实现与标准的比对,并形成安全基线和框架。(3)实现技术手段的有效应用是企业信息安全保障体系建设成败的关键信息安全技术体系是利用技术手段实现技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,往往不十分清楚。因此,在信息安全保障体系建设过程中,各企业不仅应按照有关的信息安全保障标准来选择技术防护手段,而且应特别注意实现这些技术手段的有效应用。(4)全员安全意识是企业信息安全保障体系正常运转的必要保证企业的主要负责人必须首先端正对信息安全保障重要性和必要性的认识,并通过积极组织培训和宣传等方式,来努力转变企业中各个部门的错误观念。通过组织信息安全业务培训,我们不仅要有效提高每个员工对安全事件的处置能力和技术水平,更重要的是要使每个员工都能树立起信息安全人人有责的良好意识。(5)信息安全管理平台是企业信息系统有效运营与维护的必要条件三分技术、七分管理,是我们这个时代业已形成的一种重要管理思想。就信息技术产品的整个生命周期来说,运营与维护所占的地位非常重要。企业需要用70%~80%的时间和成本来进行信息技术产品的运营和维护。三、正确处理好信息安全的“五大关系”(一)发展与安全的关系发展与安全的关系是相辅相成的,其中发展是目的