信息安全10資料

1、信息安全陳國棟非電專業(yè)(zhuny)新員工2012年8月ZHSZ20120216共五十六頁第十章 信息安全基礎(chǔ)(jch)信息安全本身包括的范圍很大。大到國家軍事政治等機(jī)密安全，小到如防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對不良信息的瀏覽、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，其中任何一個(gè)(y )安全漏洞便可以威脅全局安全。 共五十六頁第十章 信息安全基礎(chǔ)(jch)一 引言二 信息安全基礎(chǔ)三 信息安全標(biāo)準(zhǔn)(biozhn)四 ISMS概述信息中心教學(xué)目標(biāo)：通過學(xué)習(xí)本章內(nèi)容，學(xué)員可以了

2、解信息安全的基本概念及信息安全的特征，了解信息安全評測標(biāo)準(zhǔn)的發(fā)展及安全評估通用準(zhǔn)則，了解ISMS的概念及其作用，理解ISMS的含義與要素，了解建立ISMS的過程和ISMS文件。 共五十六頁一 引言(ynyn) 1. 07年熊貓(xingmo)燒香 2. 網(wǎng)銀被盜 信息中心3. 2011年伊朗的震網(wǎng)三個(gè)著名的信息安全事件 共五十六頁（1）07年熊貓燒香2006年底，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)熊貓燒香病毒及其變種，該病毒通過多種方式進(jìn)行傳播，并將感染的所有程序文件改成熊貓舉著三炷香的模樣，同時(shí)該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。該病毒傳播速度快，危害范圍廣，截至案發(fā)為止，已有上百萬個(gè)人用戶、

3、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關(guān)注。瑞星2006安全報(bào)告將其列為十大病毒之首，在2006年度中國大陸地區(qū)電腦病毒(din no bn d)疫情和互聯(lián)網(wǎng)安全報(bào)告的十大病毒排行中一舉成為“毒王”。該病毒于2006年10月16日由25歲的中國湖北武漢新洲區(qū)人李俊編寫，該案于2007年2月告破，同年9月24日，湖北省仙桃市人民法院一審以破壞計(jì)算機(jī)信息系統(tǒng)罪判處李俊有期徒刑四年、王磊有期徒刑二年六個(gè)月、張順有期徒刑二年、雷磊有期徒刑一年，并判決李俊、王磊、張順的違法所得予以追繳。 共五十六頁（2）網(wǎng)銀被盜2007年4月，上海、浙江等地陸續(xù)發(fā)生了網(wǎng)上銀行個(gè)人賬戶資金被黑客盜取事件，被

4、盜金額最高達(dá)到十幾萬元。隨著通過網(wǎng)上銀行購物的消費(fèi)行為會大幅增加，消費(fèi)者應(yīng)當(dāng)心“網(wǎng)銀大盜”等病毒偷襲?！熬W(wǎng)銀大盜”是一種木馬病毒，可以盜取多家網(wǎng)上銀行及“支付寶”等系統(tǒng)的個(gè)人交易賬戶和密碼?！熬W(wǎng)銀大盜”主要通過6種方式發(fā)動攻擊：假冒網(wǎng)上銀行網(wǎng)站(wn zhn)或者攻擊網(wǎng)站(wn zhn)服務(wù)器，騙取用戶資料；記錄鍵盤輸入動作；嵌入瀏覽器，在電腦數(shù)據(jù)以安全加密方式發(fā)送之前盜取密碼；通過屏幕錄像偷窺用戶輸入密碼的操作過程；竊取網(wǎng)上銀行數(shù)字證書文件，自動記錄用戶資料；偽裝網(wǎng)上銀行彈出窗口，以系統(tǒng)更新或服務(wù)器繁忙等理由誘使用戶將賬號、密碼發(fā)送到指定網(wǎng)站(wn zhn)。 共五十六頁（3）2011年伊朗

5、的震網(wǎng)2011年2月，伊朗突然宣布暫時(shí)卸載首座核電站布什爾核電站的核燃料，西方國家也悄悄對伊朗核計(jì)劃進(jìn)展預(yù)測進(jìn)行了重大修改。以色列戰(zhàn)略事務(wù)部長摩西 亞阿隆在這之前稱，伊朗至少需要3年才能制造出核彈。美國國務(wù)卿希拉里也輕描淡寫地說，伊朗的計(jì)劃因?yàn)椤凹夹g(shù)問題”已被拖延。但就在幾個(gè)月前，美國和以色列還在警告，伊朗只需一年就能擁有快速(kui s)制造核武器的能力。為什么會突然出現(xiàn)如此重大變化？因?yàn)椴际矤柡穗娬驹獾健罢鹁W(wǎng)”病毒攻擊，1/5的離心機(jī)報(bào)廢。自2010年8月該核電站啟用后就發(fā)生一連串故障，伊朗政府表面聲稱是天熱所致，但真正原因卻是核電站遭病毒攻擊。一種名為“震網(wǎng)”（Stuxnet）的蠕蟲病毒

6、，侵入了伊朗工廠企業(yè)甚至進(jìn)入西門子為核電站設(shè)計(jì)的工業(yè)控制軟件，并可奪取對一系列核心生產(chǎn)設(shè)備尤其是核電設(shè)備的關(guān)鍵控制權(quán)。共五十六頁2010年9月，伊朗政府宣布，大約3萬個(gè)網(wǎng)絡(luò)終端感染“震網(wǎng)”，病毒攻擊目標(biāo)直指核設(shè)施。分析人士在猜測病毒研發(fā)者具有國家背景的同時(shí)，更認(rèn)為這預(yù)示著網(wǎng)絡(luò)戰(zhàn)已發(fā)展到以破壞(phui)硬件為目的的新階段。伊朗政府指責(zé)美國和以色列是“震網(wǎng)”的幕后主使。整個(gè)攻擊過程如同科幻電影：由于被病毒感染，監(jiān)控錄像被篡改。監(jiān)控人員看到的是正常畫面，而實(shí)際上離心機(jī)在失控情況下不斷加速而最終損毀。位于納坦茲的約8000臺離心機(jī)中有1000臺在2009年底和2010年初被換掉。俄羅斯常駐北約代表羅

7、戈津稱，病毒給伊朗布什爾核電站造成嚴(yán)重影響，導(dǎo)致放射性物質(zhì)泄漏，危害不亞于切爾諾貝利核電站事故。共五十六頁微軟調(diào)查結(jié)果顯示，“震網(wǎng)”正在伊朗等中亞國家肆虐，發(fā)作頻次越來越高，并有逐步向亞洲東部擴(kuò)散的跡象?！罢鹁W(wǎng)”包含空前復(fù)雜的惡意代碼，是一種典型的計(jì)算機(jī)病毒，能自我復(fù)制，并將副本通過網(wǎng)絡(luò)傳輸，任何一臺個(gè)人電腦只要和染毒電腦相連，自動傳播給其他與之相連的電腦，最后造成大量網(wǎng)絡(luò)流量的連鎖效應(yīng)，導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓?！罢鹁W(wǎng)”主要通過U盤和局域網(wǎng)進(jìn)行傳播，是第一個(gè)利用Windows“零日漏洞”，專門針對工業(yè)控制系統(tǒng)發(fā)動攻擊的惡意軟件，能夠攻擊石油運(yùn)輸管道、發(fā)電廠、大型通信設(shè)施、機(jī)場等多種工業(yè)和民用基礎(chǔ)

8、設(shè)施，被稱為“網(wǎng)絡(luò)導(dǎo)彈”。 “震網(wǎng)”無須通過互聯(lián)網(wǎng)便可傳播，只要目標(biāo)計(jì)算機(jī)使用微軟系統(tǒng)，“震網(wǎng)”便會偽裝RealTek與JMicron兩大公司的數(shù)字簽名，順利繞過安全檢測，自動找尋及攻擊工業(yè)控制系統(tǒng)軟件，以控制設(shè)施冷卻系統(tǒng)或渦輪機(jī)運(yùn)作，甚至讓設(shè)備失控自毀，而工作人員卻毫不知情。由此，“震網(wǎng)”成為第一個(gè)專門攻擊物理世界基礎(chǔ)設(shè)施的蠕蟲病毒?？梢哉f，“震網(wǎng)”也是有史以來最高端的(dund)蠕蟲病毒，是首個(gè)超級網(wǎng)絡(luò)武器。 共五十六頁“震網(wǎng)”相當(dāng)復(fù)雜，更像是出自浩大的“政府工程”而非黑客個(gè)人行為，目的是“配合西方針對伊朗的電子戰(zhàn)”。病毒編寫者需要對工業(yè)生產(chǎn)過程和工業(yè)基礎(chǔ)設(shè)施十分了解(lioji)。編寫代

9、碼需要很多人工作幾個(gè)月甚至幾年，背后需要一個(gè)非常成熟的專業(yè)團(tuán)隊(duì)運(yùn)作，擁有巨大的資源及財(cái)政支持。埃及國際問題專家薩義德 薩迪克認(rèn)為，該病毒是為伊朗量身打造，意在向伊朗發(fā)出強(qiáng)烈警告：伊朗核計(jì)劃并不安全。病毒研究者拉爾夫 蘭納表示，“相信這個(gè)病毒的源頭是在以色列”。后來，他又修正了看法，“摩薩德牽扯其中，但是背后肯定還有另外一個(gè)超級大國”。毫無疑問，暗指的是美國。卡巴斯基實(shí)驗(yàn)室發(fā)布聲明，認(rèn)為“震網(wǎng)”是十分有效并且可怕的網(wǎng)絡(luò)武器原型，將導(dǎo)致世界上新的軍備競賽。它還認(rèn)為“除非有國家和政府的支持和協(xié)助，否則很難發(fā)動如此規(guī)模的攻擊。以色列和美國牽扯其中”。英國金融時(shí)報(bào)認(rèn)為，美國和以色列嫌疑最大。以色列國防軍

10、前總司令Gabi Ashkenazi暗示“震網(wǎng)”病毒是以色列國防軍的杰作。共五十六頁二 信息安全基礎(chǔ)(jch)1. 信息安全的定義(dngy)信息中心2. 信息安全的要求 我國安全保護(hù)條例的安全定義：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保證計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。（中華人民共和國國務(wù)院令147號）完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。機(jī)密性：保證機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實(shí)含義?？捎眯裕罕ＷC合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^?？煽匦裕簩π畔⒌膫鞑?/p>

11、及內(nèi)容具有控制能力。共五十六頁二 信息安全基礎(chǔ)(jch)信息中心3. 信息安全的特征(tzhng) 相對性：沒有百分之百的安全。 綜合性：涉及管理及技術(shù)多個(gè)層面。 單一性：網(wǎng)絡(luò)安全產(chǎn)品功能相對單一。 動態(tài)性：需要持續(xù)的技術(shù)跟進(jìn)和維護(hù)。共五十六頁三 信息安全標(biāo)準(zhǔn)(biozhn)信息中心1.信息安全評測標(biāo)準(zhǔn)(biozhn)發(fā)展 0共五十六頁三 信息安全標(biāo)準(zhǔn)(biozhn)信息中心2.美國(mi u)TCSEC TCSEC全稱：(Trusted Computer System Evaluation Criteria; commonly called the Orange Book)美國可信計(jì)算機(jī)安全

12、評價(jià)標(biāo)準(zhǔn)（TCSEC）。 標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn)，后來延至民用領(lǐng)域。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級、7個(gè)級別。 共五十六頁D類安全等級D類安全等級只包括(boku)D1一個(gè)級別。D1的安全等級最低。D1系統(tǒng)只為文件和用戶提供安全保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。共五十六頁C類安全等級該類安全等級能夠提供審慎的保護(hù)，并為用戶的行動和責(zé)任提供審計(jì)能力。C類安全等級可劃分為C1和C2兩類。C1系統(tǒng)的可信任運(yùn)

13、算基礎(chǔ)體制（Trusted Computing Base，TCB）通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。在C1系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為C1系統(tǒng)中的所有文檔都具有相同的機(jī)密性。C2系統(tǒng)比C1系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。在連接到網(wǎng)絡(luò)上時(shí)，C2系統(tǒng)的用戶分別對各自的行為負(fù)責(zé)。C2系統(tǒng)通過登陸過程、安全事件和資源隔離(gl)來增強(qiáng)這種控制。C2系統(tǒng)具有C1系統(tǒng)中所有的安全性特征。共五十六頁B類安全等級B類安全等級可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。B1系統(tǒng)滿足下列要求：系統(tǒng)對網(wǎng)絡(luò)控制下

14、的每個(gè)對象都進(jìn)行靈敏度標(biāo)記；系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)迫訪問控制的基礎(chǔ)；系統(tǒng)在把導(dǎo)入的、非標(biāo)記的對象放入系統(tǒng)前標(biāo)記它們；靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對象的安全級別;當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或I/O設(shè)備時(shí)，管理員必須指定每個(gè)通信通道和I/O設(shè)備是單級還是多級，并且管理員只能手工(shugng)改變指定;單級設(shè)備并不保持傳輸信息的靈敏度級別;所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對象的靈敏度;系統(tǒng)必須使用用戶的口令或證明來決定用戶的安全訪問級別;系統(tǒng)必須通過審計(jì)來記錄未授權(quán)訪問的企圖。 共五十六頁B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。

15、另外，B2系統(tǒng)的管理員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制(tzh)。B2系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個(gè)用戶所有與之相關(guān)的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；可信任運(yùn)算基礎(chǔ)體制能夠支持獨(dú)立的操作者和管理員。共五十六頁B3系統(tǒng)必須符合B2系統(tǒng)的所有安全(nqun)需求。B3系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。B3系統(tǒng)必須設(shè)有安全管理員。B3系統(tǒng)應(yīng)滿足以下要求:除了控制對個(gè)別對象的訪問外，B3必須產(chǎn)生一個(gè)可讀的安全列表；每個(gè)被命名的對象提供對該對象沒有訪問權(quán)的用戶列表說明;B3系統(tǒng)在進(jìn)行任何操作前，要求用戶

16、進(jìn)行身份驗(yàn)證；B3系統(tǒng)驗(yàn)證每個(gè)用戶，同時(shí)還會發(fā)送一個(gè)取消訪問的審計(jì)跟蹤消息；設(shè)計(jì)者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一個(gè)被命名的對象建立安全審計(jì)跟蹤；可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。共五十六頁A類安全等級A系統(tǒng)的安全級別最高。目前，A類安全等級只包含A1一個(gè)安全類別。A1類與B3類相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。A1系統(tǒng)的顯著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用(ynyng)核對技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。A1系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型;所有的安裝操作

17、都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。共五十六頁歐洲四國（英、法、德、荷）提出了評價(jià)滿足保密性、完整性、可用性要求的信息技術(shù)安全評價(jià)準(zhǔn)則(zhnz)（ITSEC）后，美國又聯(lián)合以上諸國和加拿大，并會同國際標(biāo)準(zhǔn)化組織（OSI）共同提出信息技術(shù)安全評價(jià)的通用準(zhǔn)則（CCfor ITSEC），CC已經(jīng)被五技術(shù)發(fā)達(dá)的國家承認(rèn)為代替TCSEC的評價(jià)安全信息系統(tǒng)的標(biāo)準(zhǔn)。目前，CC已經(jīng)被采納為國家標(biāo)準(zhǔn)ISO 15408。共五十六頁共五十六頁三 信息安全標(biāo)準(zhǔn)(biozhn)信息中心3.安全(nqun)評估通用準(zhǔn)則 通用評估準(zhǔn)則簡稱CC，已經(jīng)于1999年12月正式由ISO組織所接

18、受與頒布，成為全世界所公認(rèn)的信息安全技術(shù)評估準(zhǔn)則。CC不僅可以作為安全信息系統(tǒng)的評測標(biāo)準(zhǔn)，而且更可以作為安全信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)的標(biāo)準(zhǔn)與參考。 發(fā)展歷程：1985年，美國國防部公布可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）即桔皮書； 1989年，加拿大公布可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則（CTCPEC）； 1991年，歐洲公布信息技術(shù)安全評估準(zhǔn)則（ITSEC）； 1993年，美國公布美國信息技術(shù)安全聯(lián)邦準(zhǔn)則（FC）； 1996年，六國七方（英國、加拿大、法國、德國、荷蘭、美國國家安全局和美國標(biāo)準(zhǔn)技術(shù)研究所）公布信息技術(shù)安全性通用評估準(zhǔn)則（CC 1.0版）； 1998年，六國七方公布信息技術(shù)安全性通用評估準(zhǔn)則（C

19、C 2.0版）； 1999年12月，ISO接受CC為國際標(biāo)準(zhǔn)ISO/IEC 15408標(biāo)準(zhǔn)，并正式頒布發(fā)行 共五十六頁特點(diǎn)：從CC的發(fā)展歷史可以看出，CC源于TCSEC。 CC已經(jīng)完全改進(jìn)了TCSEC，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，以安全功能要求和安全保證要求的形式提出了這些因素，這些要求也可以用來構(gòu)建TCSEC的各級要求。 CC定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)。把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確(zhngqu)有效的實(shí)施這些功能的保證要求。 共五十六頁內(nèi)容：第1部分“簡介和一般模型”，正

20、文介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹保護(hù)輪廓（PP）和安全目標(biāo)（ST）的基本內(nèi)容。 第2部分“安全功能要求”，按“類族組件”的方式提出安全功能要求，提供了表示評估對象(duxing)TOE（target of evaluation）安全功能要求的標(biāo)準(zhǔn)方法。除正文以外，每一個(gè)類還有對應(yīng)的提示性附錄作進(jìn)一步解釋。 第3部分“安全保證要求”，定義了評估保證級別介紹了PP（保護(hù)輪廓）和ST（安全目標(biāo)）的評估，并按“類族組件”的方式提出安全保證要求。本部分還定義了PP和ST的評估準(zhǔn)則，并提出了評估保證級別，即定義了評估TOE保證的CC預(yù)定義尺度，這被稱為

21、評估保證級別。 CC的三個(gè)部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理，第2部分提出了技術(shù)要求，第3部分提出了非技術(shù)要求和對開發(fā)過程、工程過程的要求。這三部分的有機(jī)結(jié)合具體體現(xiàn)在PP和ST 中，PP和ST的概念和原理由第1部分介紹，PP和ST中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分來保證。 共五十六頁三 信息安全標(biāo)準(zhǔn)(biozhn)信息中心4.信息安全保護(hù)等級(dngj)劃分(1) 概念 信息系統(tǒng)安全等級保護(hù)是國家推行的信息安全保障基本制度，是指對信息安全實(shí)行等級化保護(hù)和等級化管理。 等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)

22、務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度，突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。共五十六頁(2) 國家信息安全等級保護(hù)的制度和文件1994年，中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(tiol)（中華人民共和國國務(wù)院令147號)1999年，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）2004年，四部委聯(lián)合簽發(fā)的關(guān)于信息安全等級保護(hù)工作的實(shí)施意見 （公通字200466號）2006年，四部委聯(lián)合簽發(fā)的

23、信息安全等級保護(hù)管理辦法（試行）（公通字20067號）2007年，四部委聯(lián)合簽發(fā)的信息安全等級保護(hù)管理辦法（公通字200743號）共五十六頁共五十六頁四 ISMS概述(i sh) 1. 什么是ISMS2. 為什么需要ISMS3. 如何建立(jinl)ISMS4. 正確理解ISMS的含義和要素5. 信息安全管理實(shí)用規(guī)則ISO/IEC27002:2005介紹信息中心0共五十六頁1. 什么(shn me)是ISMS信息中心 信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理

24、體系（Management System，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(shhu)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。共五十六頁在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005（信息安全管理體系 要求）的第3章術(shù)語和定義中，對ISMS的定義如下：ISMS（信息安全管理體系）：是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)(yw)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的。（注：管理體系包

25、括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、程序、過程和資源。）組織在信息安全方面建立方針和目標(biāo)，并實(shí)現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、相互作用的要素。ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結(jié)構(gòu)也基本一致。單純從定義理解，可能無法立即掌握ISMS的實(shí)質(zhì)，我們可以把ISMS理解為一臺“機(jī)器”，這臺機(jī)器的功能就是制造“信息安全”，它由許多“部件”（要素）構(gòu)成，這些“部件”包括ISMS管理機(jī)構(gòu)、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實(shí)現(xiàn)其“保障信息安全”的功能。共五十六頁2. 為什么需要(xyo)ISMS信息中心 今天，

26、我們已經(jīng)身處信息時(shí)代，在這個(gè)時(shí)代，“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務(wù)越來越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)。 信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生，組織安裝的許多(xdu)安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問題，信息安全成本和效益的平衡問題，

27、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題，依靠產(chǎn)品和技術(shù)是解決不了的。共五十六頁人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月，國際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)ISO/IEC 17799:2000“信息安全管理實(shí)用規(guī)則（Code of practice for information security management）”，2005年6月，國際標(biāo)準(zhǔn)化組織對該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體

28、系要求（Information Security Management System Requirement）”。自此，ISMS在國際上確立并發(fā)展起來(q li)。今天，ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題。共五十六頁3. 如何(rh)建立ISMS信息中心 組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上，任何組織成功經(jīng)營(jngyng)的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競爭能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于ISO/IEC 27001:2005 ISMS，已成為時(shí)代的需要。 從簡單分析ISO/IEC 27001:2005標(biāo)

29、準(zhǔn)的要求入手，下面的內(nèi)容論述了建立一個(gè)符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。 共五十六頁4. 正確理解ISMS的含義(hny)和要素信息中心（1）ISMS的含義 在ISO/IEC 27001標(biāo)準(zhǔn)中，已對ISMS做出了明確的定義。通俗地說，組織(zzh)有一個(gè)總管理體系，ISMS是這個(gè)總管理體系的一部分，或總管理體系的一個(gè)子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。 如果一個(gè)組織有多個(gè)管理體系，例如包括ISMS、QMS（質(zhì)量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個(gè)管理體系只是該組織總管理體系中的一

30、個(gè)組成部分，或一個(gè)子管理體系。各個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。 共五十六頁(2) ISMS的要素標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動、職責(zé)、實(shí)踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可(qu y b k)的組成部分或要素。我們將其歸納后，ISMS的要素要包括：1)信息安全管理機(jī)構(gòu)通過信息安全管理機(jī)構(gòu)，可建立各級安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動和實(shí)踐等。2)ISMS文件包括ISMS方針、過程、程序和其它必須的文件等。3)資源包括建立與實(shí)施ISMS所需要

31、的合格人員、足夠的資金和必要的設(shè)備等。ISMS的建立要確保這些ISMS要素得到滿足。共五十六頁(3) 建立信息安全管理機(jī)構(gòu) 1)信息安全管理機(jī)構(gòu)的名稱 標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運(yùn)行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。2)信息安全管理機(jī)構(gòu)的級別 信息安全管理機(jī)構(gòu)的級別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設(shè)立三個(gè)不同級別的信息安全管理機(jī)構(gòu)：a)高層：以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全

32、工作有一個(gè)明確的方向和提供管理承諾(chngnu)和必要的資源。b)中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動。c)基層：基層部門指定一位兼職的信息安全檢查員，實(shí)施對其本部門的日常信息安全監(jiān)視和檢查工作。共五十六頁(4) 執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過程1)定義ISMS的范圍和邊界，形成ISMS的范圍文件；2)定義ISMS方針（包括建立風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則等）,形成ISMS方針文件；3)定義組織的風(fēng)險(xiǎn)評估方法；4)識別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)，包括識別：a）資產(chǎn)及其責(zé)任人；b）資產(chǎn)所面臨的威脅；c）組織的脆弱點(diǎn)；d）資產(chǎn)保密性、完整性和可用性的喪失造成的影響。5)分析和評價(jià)安全風(fēng)險(xiǎn)，形成風(fēng)險(xiǎn)評估報(bào)告文

33、件，包括要保護(hù)的信息資產(chǎn)清單；6)識別和評價(jià)風(fēng)險(xiǎn)處理的可選措施，形成風(fēng)險(xiǎn)處理計(jì)劃(jhu)文件；7)根據(jù)風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施，形成相關(guān)的文件；8)管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)； 9)管理者授權(quán)ISMS的實(shí)施和運(yùn)行；10)準(zhǔn)備適用性聲明。共五十六頁(5) 完成所需要的ISMS文件 1)ISMS文件的類型 根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，ISMS文件有三種類型。方針(fngzhng)類文件（Policies）方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：ISMS方針（ISMS policy）；信息安全方針（information security

34、 policy）；程序類文件（Procedures）記錄（Records）記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表格形式。適用性聲明文件（Statement of Applicability, 簡稱SOA）ISO/IEC 27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實(shí)踐。對于這些控制目標(biāo)和控制措施，實(shí)施ISMS的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成適用性聲明文件。共五十六頁2)必須

35、的文件 “必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強(qiáng)制性文件（mandatory documents）?！?.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：a）ISMS方針 ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員(rnyun)的職責(zé)等。b）ISMS的范圍c）支持ISMS的程序和控制措施；d）風(fēng)險(xiǎn)評估方法的描述；e）風(fēng)險(xiǎn)評估報(bào)告；f）風(fēng)險(xiǎn)處理計(jì)劃；g）控制措施有效性的測量程序；h）本標(biāo)準(zhǔn)所要求的記錄；i）適用性聲明。共五十六頁3)可選的文件 除了上述必須的

36、文件外，組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動和風(fēng)險(xiǎn)的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:a）組織的業(yè)務(wù)活動及風(fēng)險(xiǎn)；b）安全要求的嚴(yán)格程度；c）管理的體系的范圍和復(fù)雜程度。這里，需要特別提出的是，ISMS的特點(diǎn)之一是風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理。組織需要哪些ISMS文件及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險(xiǎn)評估決定。如果風(fēng)險(xiǎn)評估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn)，那么就應(yīng)識別處理(chl)這些風(fēng)險(xiǎn)的可能方法，包括形成相關(guān)文件。共五十六頁4)文件的符合性 ISMS文件的符合性包括

37、符合相關(guān)法律法規(guī)的要求、符合ISO/IEC 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求。為此：a）參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求在編寫ISMS文件時(shí)，編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如，在編寫ISMS方針時(shí)，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時(shí)，要參考ISO/IEC 27001 “4.2.1 j） 準(zhǔn)備適用性聲明”；編寫文件控制程序時(shí)，要參考ISO/IEC 27001 “4.3.2文件控制”等等。b）將本組織的最好實(shí)踐形成文件為了易于操作(cozu)，編寫者最好把本組織當(dāng)前的最好實(shí)踐寫下來，補(bǔ)充標(biāo)準(zhǔn)

38、的要求，形成統(tǒng)一格式的文件。c）保持一致性同一個(gè)文件中，上下文不能有不一致或矛盾的地方同一個(gè)體系的不同文件之間不能有矛盾的地方不同體系的文件之間不能有不一致的地方共五十六頁5. 信息安全管理(gunl)實(shí)用規(guī)則ISO/IEC27002:2005介紹信息中心 ISO/IEC27002是國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27最早發(fā)布的ISMS系列標(biāo)準(zhǔn)之一（當(dāng)時(shí)稱之為ISO/IEC17799，2007年4月正式更名為ISO/IEC 27002）。它從信息安全的諸多方面，總結(jié)了一百多項(xiàng)信息安全控制措施，并給出了詳細(xì)的實(shí)施指南，為組織采取控制措施、實(shí)現(xiàn)信息安全目標(biāo)提供了選擇，是信息安全的最佳實(shí)

39、踐。(1) ISO/IEC27002的由來 組織對信息安全的要求是隨著組織業(yè)務(wù)對信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用而來的。人們(rn men)在解決信息安全問題以滿足信息安全要求的過程中，經(jīng)歷了由“重技術(shù)輕管理”到“技術(shù)和管理并重”的兩個(gè)不同階段。共五十六頁(2) ISO/IEC27002的范圍 ISOS/IEC27002為組織實(shí)施信息安全管理提供建議，供一個(gè)組織中負(fù)責(zé)信息安全工作的人員使用。該標(biāo)準(zhǔn)適用于各個(gè)領(lǐng)域、不同類型、不同規(guī)模的組織。對于標(biāo)準(zhǔn)中提出的任何一項(xiàng)具體的信息安全控制措施，組織應(yīng)考慮本國的法律法規(guī)以及組織的實(shí)際情況來選擇使用。參照本標(biāo)準(zhǔn)，組織可以開發(fā)自己的信息安全準(zhǔn)則和有效(yuxio

40、)的安全管理方法，并提供不同組織間的信任。共五十六頁(3) ISO/IEC27002的主要內(nèi)容ISO/IEC27002:2005是一個(gè)通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實(shí)踐。從內(nèi)容和機(jī)構(gòu)上看，可以(ky)將標(biāo)準(zhǔn)分為四個(gè)部分：1）引言部分。主要介紹了信息安全的基礎(chǔ)知識，包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評估安全風(fēng)險(xiǎn)等8個(gè)方面內(nèi)容。2）標(biāo)準(zhǔn)的通用要素部分（13章）。第1章是標(biāo)準(zhǔn)的范圍，給出了該標(biāo)準(zhǔn)的內(nèi)容概述、用途及目標(biāo)。第2章是術(shù)語和定義，介紹了資產(chǎn)、控制措施、指南、信息處理設(shè)施、信息安全等十七個(gè)術(shù)語。第3章則給出了該標(biāo)

41、準(zhǔn)的結(jié)構(gòu)。3）風(fēng)險(xiǎn)評估和處理部分。該章簡單介紹了評估安全風(fēng)險(xiǎn)和處理安全風(fēng)險(xiǎn)的原則、流程及要求。共五十六頁4）控制措施部分（515章）。這是標(biāo)準(zhǔn)的主體部分，包括11個(gè)控制措施章節(jié)，分別是：安全方針（控制目標(biāo)：1個(gè)，控制措施： 2個(gè)）信息安全組織（控制目標(biāo)：2個(gè)，控制措施：11個(gè)）資產(chǎn)管理(gunl)（控制目標(biāo)：2個(gè)，控制措施： 5個(gè)）人力資源安全（控制目標(biāo)：3個(gè)，控制措施：9個(gè)）物理和環(huán)境安全（控制目標(biāo)：2個(gè)，控制措施：13個(gè)）通信和操作管理（控制目標(biāo)：10個(gè)，控制措施：32個(gè)）訪問控制（控制目標(biāo)：7個(gè)，控制措施：25個(gè)）信息系統(tǒng)獲取、開發(fā)和維護(hù)（控制目標(biāo)：6個(gè)，控制措施：16個(gè)）信息安全事件管

42、理（控制目標(biāo)：2個(gè)，控制措施：5個(gè)）業(yè)務(wù)連續(xù)性管理（控制目標(biāo)：1個(gè)，控制措施： 5個(gè)）符合性（控制目標(biāo)：3個(gè)，控制措施：10個(gè)）共五十六頁(4) ISO/IEC27002的使用說明ISO/IEC27002:2005作為信息安全管理的最佳實(shí)踐，它的應(yīng)用既有專用性的特點(diǎn)，也有通用性特點(diǎn)。(5) 我國采用ISO/IEC17799情況的說明我國政府主管部門十分重視信息安全管理國家標(biāo)準(zhǔn)的制定。2002年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（）成立之初，其第七工作組（WG7）就開始了ISO/IEC17799的研究和制標(biāo)工作。2005年6月15日，我國發(fā)布了國家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)

43、則”，修改采用ISO/IEC17799:2000。2006年，根據(jù)ISMS國際標(biāo)準(zhǔn)的發(fā)展和我國的實(shí)際需要，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會又提出了GB/T19716-2005的修訂計(jì)劃和對應(yīng)ISO/IEC27001:2005等相關(guān)ISMS標(biāo)準(zhǔn)(biozhn)的制定和研究計(jì)劃。相信不久，對應(yīng)最新ISMS國際標(biāo)準(zhǔn)的國家標(biāo)準(zhǔn)就會發(fā)布，以供大家遵照使用。共五十六頁(6) 信息安全管理體系要求ISO/IEC27001:2005介紹1)發(fā)展：一個(gè)重要的里程碑ISO/IEC 27001:2005的名稱是 “Information technology- Security techniques-Informati

44、on security management systems-requirements ”，可翻譯為“信息技術(shù)- 安全技術(shù)-信息安全管理體系 要求”。在ISO/IEC 27001:2005標(biāo)準(zhǔn)出現(xiàn)之前，組織只能按照英國標(biāo)準(zhǔn)研究院（British Standard Institute，簡稱(jinchng)BSI）的BS 7799-2:2002標(biāo)準(zhǔn)，進(jìn)行認(rèn)證?，F(xiàn)在，組織可以獲得全球認(rèn)可的ISO/IEC 27001:2005標(biāo)準(zhǔn)的認(rèn)證。這標(biāo)志著ISMS的發(fā)展和認(rèn)證已向前邁進(jìn)了一大步：從英國認(rèn)證認(rèn)可邁進(jìn)國際認(rèn)證認(rèn)可。ISMS的發(fā)展和認(rèn)證進(jìn)入一個(gè)重要的里程碑。這個(gè)新ISMS標(biāo)準(zhǔn)正成為最新的全球信息安全

45、武器。共五十六頁2)目的：認(rèn)證 ISO/IEC 27001:2005標(biāo)準(zhǔn)設(shè)計(jì)用于認(rèn)證目的，它可幫助組織建立和維護(hù)ISMS。標(biāo)準(zhǔn)的4 - 8章定義了一組ISMS要求。如果組織認(rèn)為其ISMS滿足該標(biāo)準(zhǔn)4 - 8章的所有要求，那么該組織就可以向ISMS認(rèn)證機(jī)構(gòu)申請ISMS認(rèn)證。如果認(rèn)證機(jī)構(gòu)對組織的ISMS進(jìn)行審核（初審）后，其結(jié)果是符合ISO/IEC 27001:2005的要求，那么它就會頒發(fā)ISMS證書，聲明該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。 然而，ISO/IEC 27001:2005標(biāo)準(zhǔn)與ISO/IEC 9001:2002標(biāo)準(zhǔn)（質(zhì)量管理體系標(biāo)準(zhǔn)）不同。ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求十分“嚴(yán)格”。該標(biāo)準(zhǔn)4 - 8章有許多信息安全管理要求。這些要求是“強(qiáng)制性要求”。只要有任何(rnh)一條要求得不到滿足，就不能聲稱該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。相比之下，ISO/IEC 9001:2002標(biāo)準(zhǔn)的第7章的某些要求（或條款），只要合理，可允許其質(zhì)量管理體系（QMS）作適