信息安全管理技術(shù)

1、信息安全管理技術(shù) 目錄信息安全等級(jí)保護(hù)ISO信息安全管理標(biāo)準(zhǔn)信息安全法規(guī)信息安全等級(jí)保護(hù)我們?cè)?3章提到的一些信息安全評(píng)估準(zhǔn)則：l可信技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）l信息安全技術(shù)通用評(píng)估準(zhǔn)則（CC）l GB 178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則l GB 183662001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則以上的安全評(píng)估準(zhǔn)則既是信息安全評(píng)估的依據(jù)，也是政府、部隊(duì)和企業(yè)實(shí)施信息安全管理的指導(dǎo)原則。在這些準(zhǔn)則中，不同等級(jí)的信息系統(tǒng)或安全設(shè)備滿足安全性的要求和程度不同，在應(yīng)用中所適合的場合也不同，組織按照這些原則對(duì)信息系統(tǒng)和安全設(shè)備進(jìn)行管理的措施稱為信息安全等級(jí)保護(hù)信息安全等級(jí)

2、保護(hù)。信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)西方發(fā)達(dá)國家和地區(qū)高度重視信息安全等級(jí)保護(hù)。其中，以美國國美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）與美國國家安全局美國國家安全局（NSA）推出的一些標(biāo)準(zhǔn)和規(guī)范最具影響力。信息安全等級(jí)保護(hù)NIST頒布的技術(shù)文件分為特別出版物（SP，Special Publication）和聯(lián)邦信息處理標(biāo)準(zhǔn)出版物（FIPS PUB，F(xiàn)ederal Information Processing Standards Publication）兩個(gè)系列。2003年頒布的FIPS PUB 199聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)將信息和信息系統(tǒng)按照保密性、完整性和可用性3個(gè)安全目

3、標(biāo)被破壞的后果將他們分為低、中、高3個(gè)級(jí)別；同年頒布的NIST SP 800-53聯(lián)邦信息系統(tǒng)建議安全控制將安全措施分為基本級(jí)、增強(qiáng)級(jí)和強(qiáng)健級(jí)，并針對(duì)FIPS Pub 199中3個(gè)級(jí)別的信息和信息系統(tǒng)分別給出了需要采取的最小保護(hù)措施；另外，NIST SP 800-37和NIST SP 800-53A向政府機(jī)構(gòu)提供了如何對(duì)NIST SP 800-53所采取的安全措施進(jìn)行有效性驗(yàn)證的指南。信息安全等級(jí)保護(hù)1999年，NSA制定了信息保障技術(shù)框架（IATF，Information Assurance Technical Framework），它將信息資產(chǎn)的價(jià)值分為V1V5共5個(gè)級(jí)別，將威脅按照其危害

4、程度分為T1T7，將安全機(jī)制的強(qiáng)度分為SML1SML3共3級(jí)，它還建議采用CC的評(píng)估保證級(jí)EAL1EAL7衡量對(duì)安全功能的保障能力，并建議采用下圖中的等級(jí)保護(hù)方法。信息安全等級(jí)保護(hù)我國政府高度重視信息安全等級(jí)保護(hù)工作。l 1994年，國務(wù)院發(fā)布了中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，它是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的法律基礎(chǔ)，其中規(guī)定我國計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法由公安部會(huì)同有關(guān)部門聯(lián)合制定。l 公安部在條例發(fā)布后制定了GB 178591999計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)劃分準(zhǔn)則國家標(biāo)準(zhǔn)。該準(zhǔn)則的發(fā)布為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門

5、的監(jiān)督檢查提供了依據(jù)，為安全產(chǎn)品的研制提供了技術(shù)支持，為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)，是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)。l 2006年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化辦公室聯(lián)合頒布信息安全等級(jí)保護(hù)管理辦法，它將信息系統(tǒng)劃分為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專控保護(hù)級(jí)由低到高5級(jí)，將信息系統(tǒng)運(yùn)營、使用單位及個(gè)人分為5個(gè)級(jí)別，規(guī)定了它（他）們對(duì)信息安全等級(jí)保護(hù)的職責(zé)和義務(wù)。 國際標(biāo)準(zhǔn)化組織的英語簡稱。其全稱是國際標(biāo)準(zhǔn)化組織的英語簡稱。其全稱是International International Organization for Standardi

6、zationOrganization for Standardization或或International International Standard Organized Standard Organized 。ISOISO一來源于希臘語一來源于希臘語“ISOS”ISOS”，即，即“EQUAL”EQUAL”平等之意。國際標(biāo)準(zhǔn)化組織（平等之意。國際標(biāo)準(zhǔn)化組織（ISOISO）是由各）是由各國標(biāo)準(zhǔn)化團(tuán)體（國標(biāo)準(zhǔn)化團(tuán)體（ISOISO成員團(tuán)體）組成的世界性的聯(lián)合會(huì)。成員團(tuán)體）組成的世界性的聯(lián)合會(huì)。制定國際標(biāo)準(zhǔn)工作通常由制定國際標(biāo)準(zhǔn)工作通常由ISOISO的技術(shù)委員會(huì)完成。的技術(shù)委員會(huì)完成。ISOISO與

7、國與國際電工委員會(huì)（際電工委員會(huì)（IECIEC）在電工技術(shù)標(biāo)準(zhǔn)化方面保持密切合）在電工技術(shù)標(biāo)準(zhǔn)化方面保持密切合作的關(guān)系。中國是作的關(guān)系。中國是ISOISO的正式成員，代表中國的組織為的正式成員，代表中國的組織為中國國家標(biāo)準(zhǔn)化管理委員會(huì)（中國國家標(biāo)準(zhǔn)化管理委員會(huì)（Standardization Standardization Administration of ChinaAdministration of China，簡稱，簡稱SACSAC）。）。ISO信息安全管理標(biāo)準(zhǔn)ISO信息安全管理標(biāo)準(zhǔn)ISO信息安全管理標(biāo)準(zhǔn)的發(fā)展起源于英國標(biāo)準(zhǔn)管理協(xié)會(huì)（BSI，British Standards Insti

8、tute）制定的BS 7799系列標(biāo)準(zhǔn)。1995年BSI頒布了BS 7799-1：1995信息安全管理實(shí)施細(xì)則，1998年又公布了BS 7799-2:1999，前者于2000年被ISO采納為ISO/IEC 17799-1號(hào)標(biāo)準(zhǔn)，2007年被更新為ISO/IEC 27002信息安全管理實(shí)踐規(guī)則，后者于2005年被ISO采納為ISO/IEC 27000信息安全管理體系規(guī)范要求。 ISO/IEC 27002與ISO/IEC 27001是ISO/IEC 27000系列中最主要的兩個(gè)標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)組織安全管理提供了指導(dǎo)，使組織可以建立比較完整的信息安全管理體系，實(shí)現(xiàn)制度化及預(yù)防為主的信息安全管理方式，

9、增加信息安全技術(shù)實(shí)施的效能。ISO信息安全管理實(shí)踐規(guī)則ISO信息安全管理體系規(guī)范ISO信息安全管理標(biāo)準(zhǔn)ISO信息安全管理實(shí)踐規(guī)則ISO/IEC 27002信息安全管理實(shí)踐規(guī)則的特點(diǎn)的特點(diǎn)：l 思想上必須依賴合理的管理控制手段、管理程序和風(fēng)險(xiǎn)評(píng)估措施，從危害源頭抓起，主動(dòng)避免安全事件的發(fā)生。l 將需要實(shí)施管理控制的對(duì)象分為11類：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、通信和操作管理、訪問控制、信息系統(tǒng)的獲取或開發(fā)與維護(hù)、信息安全事故管理、業(yè)務(wù)連續(xù)性管理和兼容性。ISO信息安全管理體系規(guī)范 ISO/IEC 27001信息安全管理體系規(guī)范要求借鑒了ISO/IEC 9000 質(zhì)量管理體系的基

10、本思想，采用了“規(guī)劃、實(shí)施、檢查、處置”的質(zhì)量管理理念建立、執(zhí)行和維護(hù)信息安全管理體系，給出了ISMS的規(guī)劃和建立、實(shí)施和運(yùn)行、監(jiān)控與評(píng)審、保持和改進(jìn)4個(gè)階段的基本要求，并指出這是一個(gè)循環(huán)迭代的提高過程。當(dāng)前，ISO正在組織制定ISO/IEC 27003信息安全管理體系實(shí)施指南，它的頒布將為以上4個(gè)階段的工作提供更具體的指導(dǎo)。 ISO/IEC 27001及其前身不但已經(jīng)在一些西方國家得到了應(yīng)用，我國也與2006年啟動(dòng)了“信息安全管理標(biāo)準(zhǔn)應(yīng)用（ISMS）試點(diǎn)”工作，試點(diǎn)歷時(shí)半年，涉及我國一些稅務(wù)、證券、大型國有企業(yè)等重要單位，取得了良好的效果。信息安全法規(guī) 信息安全法規(guī)以法律形式保障信息安全，它

11、們不但對(duì)組織的信息安全管理具有促進(jìn)和指導(dǎo)作用，其本身也是更高層次的信息安全管理。從這種意義上說，信息安全法規(guī)借助司法制度加強(qiáng)了信息安全，這類似于用具體的管理制度提高信息系統(tǒng)的安全。信息安全法規(guī) 西方發(fā)達(dá)國家在信息安全法規(guī)的建設(shè)方面起步較早。美國是迄今信息安全法規(guī)最多的國家，其信息安全法規(guī)已經(jīng)構(gòu)成了比較完善的法規(guī)體系，涉及行政法、刑法、訴訟法等領(lǐng)域。比較有影響的包括：20世紀(jì)80年代頒布的計(jì)算機(jī)犯罪法和計(jì)算機(jī)詐騙和濫用法已經(jīng)成為美國計(jì)算機(jī)犯罪法規(guī)體系的基礎(chǔ)，各州已經(jīng)結(jié)合該法設(shè)立了計(jì)算機(jī)服務(wù)盜竊罪、侵犯知識(shí)產(chǎn)權(quán)罪、破壞計(jì)算機(jī)設(shè)備或配置罪、計(jì)算機(jī)詐騙罪、計(jì)算機(jī)濫用罪、計(jì)算機(jī)錯(cuò)誤訪問罪、非授權(quán)計(jì)算機(jī)使用罪等多種罪名。為了調(diào)查和訴訟以上犯罪，聯(lián)邦證據(jù)法為計(jì)算機(jī)證據(jù)作出規(guī)定。此外，歐共體和俄羅斯等也頒布了類似的法律。信息安全法規(guī) 我國在信息安全方面也已經(jīng)制定一些法規(guī)，其中有國家制定的和職能部門制定的，也有一些行業(yè)制定了自己的相關(guān)規(guī)定。這些法規(guī)主要包括中華人