信息安全管理课件

第11章信息平安管理李剑北京邮电大学信息平安中心E-mail:010－86212346目录信息系统平安管理概述信息平安管理模式建立信息平安管理体系的意义BS7799、ISO17799和ISO27001信息平安相关法律法规一个故事

如何笔记本电脑“死机〞,所针对的方法不是只有重新安装机器一种方法。 (1).检测系统软件 (2).检测系统软件，进行恢复处理。概述

信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速开展，特别是Internet的问世及网上交易的启用，许多信息平安的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等。这些已给组织的经营管理、生存甚至国家平安都带来严重的影响。概述

平安问题所带来的损失远大于交易的账面损失，它可分为3类，包括直接损失、间接损失和法律损失：直接损失：丧失订单，减少直接收入，损失生产率；间接损失：恢复本钱，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务时机，影响股票市值或政治声誉；法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。概述

俗话说“三分技术七分管理〞。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识缺乏，缺乏明确的信息平安方针、完整的信息平安管理制度，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。概述

这些都是造成信息平安事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息平安管理体系，从预防控制的角度出发，保障组织的信息系统与业务之平安与正常运作。目前，在信息平安管理体系方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息平安管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995?信息平安管理实施细那么?，它提供了一套综合的、由信息平安最正确惯例组成的实施规那么，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。概述

这些都是造成信息平安事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息平安管理体系，从预防控制的角度出发，保障组织的信息系统与业务之平安与正常运作。目前，在信息平安管理体系方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息平安管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995?信息平安管理实施细那么?，它提供了一套综合的、由信息平安最正确惯例组成的实施规那么，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。概述

1998年英国公布标准的第二局部BS7799-2?信息平安管理体系标准?，它规定信息平安管理体系要求与信息平安控制要求，它是一个组织的全面或局部信息平安管理体系评估的根底，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期开展，同时还非常强调了商务涉及的信息平安及信息平安的责任。概述

2000年12月，BS7799-1：1999?信息平安管理实施细那么?通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC17799-1：2000?信息技术——信息平安管理实施细那么?。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2:1999被废止。BS7799标准得到了很多国家的认可，是国际上具有代表性的信息平安管理体系标准。概述

2005年11月,ISO27001:2005出版，取代了之前的BS7799-2:2002，今后，7799系列标准的编号将会发生一定的改变，更改为ISO27001系列。在某些行业如IC和软件外包，信息平安管理体系认证已成为一些客户的要求条件之一。本章来介绍有关信息系统管理的一些知识。12.1信息系统平安管理概述长久以来，很多人自觉不自觉地都会陷入技术决定一切的误区当中，尤其是那些出身信息技术行业的管理者和操作者。最早的时候，人们把信息平安的希望寄托在加密技术上面，认为一经加密，什么平安问题都可以解决。随着互联网的开展，在一段时期又常听到“防火墙决定一切〞的论调。及至更多平安问题的涌现，入侵检测、PKI、VPN等新的技术应用被接二连三地提了出来，但无论怎么变化，还是离不开技术统领信息平安的路子。12.1信息系统平安管理概述可这样的思路能够真正解决平安问题吗？也许可以解决一局部，但却解决不了根本。实际上，对平安技术和产品的选择运用，这只是信息平安实践活动中的一局部，只是实现平安需求的手段而已。信息平安更广泛的内容，还包括制定完备的平安策略，通过风险评估来确定需求，根据需求选择平安技术和产品，并按照既定的平安策略和流程标准来实施、维护和审查平安控制措施。归根到底，信息平安并不是技术过程，而是管理过程。12.1信息系统平安管理概述之所以有这样的认识误区，原因是多方面的，从平安产品提供商的角度来看，既然侧重在于产品销售，自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看，只有产品是有形的，是看得见摸得着的，对决策投资来说，这是至关重要的一点，而信息平安的其他方面，比方无形的管理过程，自然是遭致忽略。12.1信息系统平安管理概述正是因为有这样的错误认识，就经常看到：许多组织使用了防火墙、IDS、平安扫描等设备，但却没有制定一套以平安策略为核心的管理措施，致使平安技术和产品的运用非常混乱，不能做到长期有效和更新。即使组织制定有平安策略，却没有通过有效的实施和监督机制去执行，使得策略空有其文成了摆设而未见效果。12.1信息系统平安管理概述实际上对待技术和管理的关系应该有充分理性的认识：技术是实现平安目标的手段，管理是选择、实施、使用、维护、审查包括技术措施在内的平安手段的整个过程，是实现信息平安目标的必由之路。12.1信息系统平安管理概述在现实的信息平安管理决策当中，必须关注以下几点：应该制定信息平安方针和多层次的平安策略，以便为各项信息平安管理活动提供指引和支持；应该通过风险评估来充分开掘组织真实的信息平安需求；应该遵循预防为主的理念；应该加强人员平安意识和教育；管理层应该足够重视并提供切实有效的支持；应该持有动态管理、持续改进的思想；应该以业务持续开展为目标，达成信息平安控制的力度、使用的便利性以及本钱投入之间的平衡。12.2信息平安管理模式在信息平安管理方面，BS7799标准提供了指导性建议，即基于PDCA〔Plan、Do、Check和Act，即戴明环〕的持续改进的管理模式，如图12.1所示。12.2信息平安管理模式PDCA〔Plan、Do、Check和Act〕是管理学惯用的一个过程模型，最早是由休哈特〔WalterShewhart〕于19世纪30年代设想的，后来被戴明〔EdwardsDeming〕采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入开展，PDCA最终得以普及。作为一种抽象模型，PDCA把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，这样的循环具有广泛的通用性，因而很快从质量管理体系〔QMS〕延伸到其他各个管理领域，包括环境管理体系〔EMS〕、职业健康平安管理体系〔OHSMS〕和信息平安管理体系〔ISMS〕。12.2信息平安管理模式为了实现ISMS，组织应该在方案〔Plan〕阶段通过风险评估来了解平安需求，然后根据需求设计解决方案；在实施〔Do〕阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查〔Check〕阶段予以监视和审查；一旦发现问题，需要在措施〔Act〕阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息平安需求和期望转化为可管理的信息平安体系。12.2信息平安管理模式概括起来，PDCA模型具有以下特点，同时也是信息平安管理工作的特点：PDCA顺序进行，依靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环，持续改进；组织中的每个部门，甚至每个人，在履行相关职责时，都是基于PDCA这个过程的，如此一来，对管理问题的解决就成了大环套小环并层层递进的模式；每经过一次PDCA循环，都要进行总结，稳固成绩，改进缺乏，同时提出新的目标，以便进入下一次更高级的循环。12.3建立信息平安管理体系的意义组织可以参照信息平安管理模型,按照先进的信息平安管理标准BS7799标准建立组织完整的信息平安管理体系并实施与保持,到达动态的,系统的,全员参与,制度化的,以预防为主的信息平安管理方式,用最低的本钱,到达可接受的信息平安水平,从根本上保证业务的连续性。组织建立,实施与保持信息平安管理体系将会产生如下作用:12.3建立信息平安管理体系的意义强化员工的信息平安意识,标准组织信息平安行为；对组织的关键信息资产进行全面系统的保护,维持竞争优势；在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证,说明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度；促使管理层坚持贯彻信息平安保障体系。12.4BS7799、ISO17799和ISO27001在信息平安管理的标准方面，目前有3个非常著名的标准，即BS7799、ISO17799和ISO2007。这一节介绍它们之间的关系和主要内容。1．BS7799、ISO17799和ISO27001概述 BS7799是英国标准协会〔BSI，BritishStandardsInstitute〕针对信息平安管理而制定的一个标准，最早始于1995年，后来几经改版，成为了目前由两局部内容构成的并且被广泛接受的信息平安管理标准。BS7799分两个局部，第一局部，也就是被ISO组织吸纳成为ISO/IEC17799:2005标准的局部，是信息平安管理实施细那么〔CodeofPracticeforInformationSecurityManagement〕，主要供负责信息平安系统开发的人员作为参考使用，分11个标题，定义了133项平安控制〔最正确惯例〕。12.4BS7799、ISO17799和ISO27001BS7799标准的第二局部内容，即最新的ISO/IEC27001:2005，是建立信息平安管理体系的一套标准〔SpecificationforInformationSecurityManagementSystems〕，其中详细说明了建立、实施和维护信息平安管理体系的要求，可用来指导相关人员去应用ISO/IEC17799，其最终目的在于建立适合企业需要的信息平安管理体系。虽然BS7799最初是以所谓的“英国标准〔BritishStandard〕〞而推出的，但并非只适用于英国，BS7799〔目前准确来说应该是ISO/IEC17799:2005和ISO/IEC27001:2005〕所包含的最正确惯例可以在不同的法律和文化背景下实施。由于BS7799两个局部都已经先后转化成正式的国际标准，从开展眼光来看，今后几年时间里，以该标准为参照的信息平安相关活动，势必在全球范围内广泛开展起来。12.4BS7799、ISO17799和ISO27001顺便提及的是，英国标准协会〔BSI〕是世界上最早的全国性标准化机构，同时也是国际标准化组织的核心成员之一，它不受政府控制但得到了政府的大力支持。BSI制定和修订的许多英国标准最终都转化成了国际标准，其在ISO中的奉献率到达了17％，包括ISO9000质量管理体系〔源自BS5750〕、ISO14000环境管理体系〔源自BS7750〕和OHSAS18000职业健康和平安管理体系〔源自BS8800〕等。12.4BS7799、ISO17799和ISO270012.BS7799的开展历程BS7799从诞生到现在只不过10年的事情，但根本上可以看出一个标准“源于生活，高于生活〞的开展特点，也就是说，一个真正普遍适用并能被普遍接受的标准，必然是能表达相关领域最正确惯例并能为最正确惯例的推广起指导作用的。BS7799最初是由英国贸工部〔DTI〕立项的，是业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和测量有效平安管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的BSI-DISCCommitteeBDD/2是由来自贸易和工业部门的众多代表共同组成的，其成员在各自的领域都具有足够的影响力，包括金融业的英国保险协会、渣打会计协会、汇丰银行等，通信行业有大英电讯公司，还有像壳牌、联合利华、毕马威〔KPMG〕等这样的跨国机构。12.4BS7799、ISO17799和ISO270011995年，BS7799-1:1995?信息平安管理实施细那么?首次出版〔其前身是1993年发布的PD0005〕，它提供了一套综合性的、由信息平安最正确惯例构成的实施细那么，目的是为确定各类信息系统通用控制提供唯一的参考基准。在随后一段时间里，电子商务的开展引发客户、供给商、贸易伙伴间对各自信息保护能力的信任问题，促使第三方认证成为一个急需。信息平安管理遵循一套最正确惯例，但怎样做的？执行程度如何？是否完备？这就需要有一个共同的尺度来进行衡量。12.4BS7799、ISO17799和ISO270011998年，BS7799-2:1998?信息平安管理体系标准?公布，这是对BS7799-1的有效补充，它规定了信息平安管理体系的要求和对信息平安控制的要求，是一个组织信息平安管理体系评估的根底，可以作为认证的依据。至此，BS7799标准初步成型。1999年4月，BS7799的两个局部被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新开展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。12.4BS7799、ISO17799和ISO27001由于BS7799日益得到国际认同，使用的国家也越来越多，2000年12月，国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799-1:1999，正式将其转化为国际标准，即所公布的ISO/IEC17799:2000?信息技术——信息平安管理实施细那么?。作为一个全球通用的标准，ISO/IEC17799并不局限于IT，也不依赖于专门的技术，它是由长期积累的一些最正确实践构成的，是市场驱动的结果。2002年，BSI对BS7799:2-1999进行了重新修订，正式引入PDCA过程模型，以此作为建立、实施、持续改进信息平安管理体系的依据，同时，新版本的调整更显示了与ISO9001:2000、ISO14001:1996等其他管理标准以及经济合作与开发组织〔OECD〕根本原那么的一致性，表达了管理体系融合的趋势。2004年9月5日，BS7799-2:2002正式发布，随即提交ISO并迈入“快速通道〞，可望近期正式成为国际标准。12.4BS7799、ISO17799和ISO27001在BSI的官方网站〔〕上对BS7799是这么介绍的：ISO/IEC17799CodeofpracticeforInformationSecurityManagementBS7799-2:2002SpecificationforInformationSecurityManagement12.4BS7799、ISO17799和ISO270013.BS7799的现状虽然BS7799目前还没有完全成为国际标准，但经过一段时间广泛的实施、评审和讨论，BS7799作为通用的信息平安管理标准，已经逐渐被全球接受，目前已有二十多个国家和地区引用BS7799作为国家标准，并有41个国家和地区开展了此项业务，其中包括：澳大利亚/新西兰〔前国标AS/NZS4444，现在国标AS/NZS7799〕巴西捷克芬兰爱尔兰冰岛荷兰〔SPE20003〕挪威意大利瑞典〔SS627799〕日本〔JISX5080，相当于BS7799-1〕印度12.4BS7799、ISO17799和ISO27001我国的台湾和香港地区也已经采用并推广了BS7799标准。在中国台湾，BS7799-1:1999被引用为CNS17799，而BS7799-2:2002那么被引用为CNS17800。在中国大陆，BS7799标准的国标化一直是个热点议题，而相关的ISMS认证工作正在试点运行。12.4BS7799、ISO17799和ISO27001其实，如果单从BSI网站对在线采购BS7799标准的组织分布来看，就能大概看出BS7799目前在全球的受关注情况，如图12.2所示。12.4BS7799、ISO17799和ISO270014.BS7799-1主要内容BS7799-1:1999〔即ISO/IEC17799:2000〕，信息平安管理实施细那么〔CodeofPracticeforInformationSecurityManagement〕，从10个方面定义了127项控制措施，可供信息平安管理体系实施者参考使用，这10个方面是：平安策略〔Securitypolicy〕； 组织平安〔Organizationsecurity〕； 资产分类和控制〔Assetclassificationandcontrol〕； 人员平安〔Personnelsecurity〕； 物理和环境平安〔Physicalandenvironmentalsecurity〕； 通信和操作管理〔Communicationandoperationmanagement〕；访问控制〔Accesscontrol〕； 系统开发和维护〔Systemdevelopmentandmaintenance〕； 业务连续性管理〔Businesscontinuitymanagement〕； 符合性〔Compliance〕。12.4BS7799、ISO17799和ISO27001这其中，除了访问控制、系统开发与维护、通信与操作管理这3个方面跟信息平安技术关系更紧密之外，其他7个方面更侧重于组织整体的管理和运营操作，由此也可以看出，信息平安中“三分靠技术、七分靠管理〞的思想还是有所依据的。12.4BS7799、ISO17799和ISO270015.BS7799-2的主要内容BS7799-2是建立信息平安管理系统的一套标准，其中详细说明了建立、实施和维护信息平安管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证〔对依据BS7799-2建立的ISMS进行认证〕，还有一系列相应的注册认证过程。作为一套管理标准，BS7799-2指导相关人员怎样去应用ISO/IEC17799，其最终目的还在于建立适合企业需要的信息平安管理系统。12.4BS7799、ISO17799和ISO27001BS7799标准之所以能被广为接受，一方面是它提供了一套普遍适用且行之有效的全面的平安控制措施，而更重要的，还在于它提出了建立信息平安管理体系的目标，这和人们对信息平安管理认识的加强是相适应的。与以往技术为主的平安体系不同，BS7799-2提出的信息平安管理体系是一个系统化、程序化和文档化的管理体系，这其中，技术措施只是作为依据平安需求有选择有侧重地实现平安目标的手段而已。12.4BS7799、ISO17799和ISO27001BS7799-2标准指出ISMS应该包含这些内容：用于组织信息资产风险管理、确保组织信息平安，包括为制定、实施、评审和维护信息平安策略所需的组织机构、目标、职责、程序、过程和资源。BS7799-2标准要求的建立ISMS框架的过程：制定信息平安策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系的有效性。12.4BS7799、ISO17799和ISO27001BS7799-2非常强调信息平安管理过程中文件化的工作，ISMS的文件体系应该包括平安策略、适用性声明文件〔选择与未选择的控制目标和控制措施〕、实施平安控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。12.5信息平安相关法律法规在信息平安法律法规方面，国内外都有许多。本章概要介绍其中主要的一些法律法规情况。12.5.1国内信息平安相关法律法规 国内信息平安相关法律法规主要有如下几个。(1)?计算机及信息系统平安法规,计算机软件保护条例?，1991年5月24日国务院第八十三次常务会议通过1991年6月4日中华人民共和国国务院令第84号发布。(2)?中华人民共和国计算机信息系统平安保护条例?，1994年2月18日中华人民共和国国务院令147号发布，1994年2月18日中华人民共和国国务院令147号发布。(3)?计算机信息系统平安专用产品检测和销售许可证管理方法?，1997年6月28日公安部部长办公会议通过，1997年12月12日施行，中华人民共和国公安部令第32号发布。中华人民共和国计算机信息系统平安保护条例。12.5信息平安相关法律法规(4)?计算机信息网络国际联网平安保护管理方法?，1997年12月11日国务院批准1997年12月30日公安部发布〕(5)?计算机病毒防治管理方法?，中华人民共和国公安部令第51号令，2000年4月26日。(6)?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发2003年27号文件〕，2003年9月7日中共中央办公厅、国务院办公厅发出通知，并要求各地结合实际认真贯彻落实。12.5.2国外信息平安相关法律法规1990年美国人JohnPerryBarlow第一个使用“CyberSpace〞一词来表示网络世界。因此现在国际上一般用“Cyberlaw〞或者“CyberspaceLaw〞来表示网络法。但是由于相对于传统法规建设而言，网络立法开展时间很短，所以现在有关网络案件的审理，大多是依据传统法律与新制定的网络法规的结合进行的。下面是一些主要的法律。(1)美国?数字时代版权法?。美国国会于1998年10月12日通过，28日克林顿签署生成法律。该法是为了贯彻执行世界知识产权保护组织(WIPO)1996年12月签订的条约，要求公共图书馆、学校、教育机构等各种团体和个人，不得非法拷贝、生产或传播包括商业软件在内的各种信息资料。(2)欧盟?数据库指令?，1996年3月欧共体制定。该指令主要为了保护数据库版权。(3)欧盟?电信方面隐私保护指令?