第5章信息安全管理

5.1信息安全管理相關(guān)概念5.2信息安全管理標準5.3信息安全管理的實施要點本章小結(jié)第5章信息安全管理第一頁，共一百一十三頁。

5.1.1什么是信息安全管理

信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題，技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是僅僅依靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進、數(shù)量足夠多的信息安全產(chǎn)品，如防火墻、防病毒、入侵檢測、漏洞掃描等，仍然無法避免一些安全事件的發(fā)生。5.1信息安全管理相關(guān)概念第二頁，共一百一十三頁。更何況，對于組織中人員信息的安全問題、信息安全成本投入和回報的平衡問題、信息安全目標、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題，依靠產(chǎn)品和技術(shù)是解決不了的。

依據(jù)國家計算機應(yīng)急響應(yīng)中心發(fā)布的數(shù)據(jù)，所有的計算機安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部非法人員的攻擊造成的，如圖5-1所示。第三頁，共一百一十三頁。圖5-1造成計算機安全事件的原因分析第四頁，共一百一十三頁。簡單歸類，屬于管理方面的原因比重高達70%以上，而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免的。因此，管理已成為信息安全保障的重要基礎(chǔ)，管理在解決信息安全問題中具有十分重要的作用。只有將有效的安全管理從始至終貫徹落實到信息安全建設(shè)的各個方面，信息安全的有效性和長期性才能得到保障。

信息安全管理(ISM，InformationSecurityManagement)是通過維護信息的保密性、完整性和可用性等來管理和保護信息資源的一項體制，是對信息安全保障進行指導(dǎo)、規(guī)范和管理的一系列活動和過程。第五頁，共一百一十三頁。信息安全管理是信息安全保障體系建設(shè)的重要組成部分，對于保護信息資源、降低信息系統(tǒng)安全風(fēng)險、指導(dǎo)信息安全體系建設(shè)具有重要的作用。

信息安全管理涉及信息安全的各個方面，包括制定信息安全政策、風(fēng)險評估、控制目標和方式選擇、制定規(guī)范的操作流程、對人員進行安全意識培訓(xùn)等一系列工作。

信息安全建設(shè)是一個系統(tǒng)工程，它需要對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架，第六頁，共一百一十三頁。并要時時兼顧組織內(nèi)外不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅。因此實現(xiàn)信息安全是一個需要完整體系來保證的持續(xù)過程，這也是組織需要信息安全管理的基本出發(fā)點。

總之，信息安全管理是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的、一組相互協(xié)調(diào)的活動，有效的信息安全管理應(yīng)該是在有限的成本下，盡量做到安全“滴水不漏”。第七頁，共一百一十三頁。5.1.2信息安全管理現(xiàn)狀

在計算機時代到來之前，人們會將重要的文件資料鎖到文件柜或保險柜中進行保存，但是現(xiàn)在，人們將各種重要的信息存放在各種計算機或網(wǎng)絡(luò)信息系統(tǒng)中。由于計算機的開放性和標準化等結(jié)構(gòu)特點，使計算機信息具有高度共享和易于擴散等特性，從而導(dǎo)致計算機信息在處理、存儲、傳輸和應(yīng)用過程中很容易被泄露、竊取、篡改和破壞，或者受到計算機病毒的感染。

2005年9月，美國能源部一個研制核武器的部門網(wǎng)站被電腦黑客侵入，大約1500名工作人員的個人信息被盜。第八頁，共一百一十三頁。2006年5月，美國退伍軍人事務(wù)部一名工作人員的住所失竊，一個儲存了約2650萬名退伍軍人和大量現(xiàn)役軍人身份信息的電腦硬盤被盜。2006年7月，一臺可能儲存有3.8萬名退伍軍人個人信息的臺式電腦在退伍軍人事務(wù)部的分包商優(yōu)利公司的一處辦公室內(nèi)被盜，電腦中存有退伍軍人的個人姓名、住址、社會安全號碼、出生日期、投保的保險公司及有關(guān)索賠信息等。2008年8月，一部保存3.3萬名旅客個人敏感資料的無加密手提計算機在舊金山國際機場被人偷去，手提計算機中保存有申請者姓名、地址和出生日期，第九頁，共一百一十三頁。部分有駕駛執(zhí)照、護照或綠卡號碼等信息。2010年位于美國馬薩諸塞州的南岸醫(yī)院宣布他們丟失了80萬份文件。這些文件涉及到患者、合作伙伴和醫(yī)院職員的健康和財政信息，時間跨度為15年。由于蘋果合作運營商AT&T網(wǎng)站的安全漏洞，2010年6月蘋果發(fā)生安全泄露事件，影響11.4萬iPad用戶，其中包括很多公司CEO、軍方高官和白宮政治家。在垃圾郵件和惡意黑客面前，iPad和所有其他無線平板電腦買家可能變得相當(dāng)脆弱。對于一款面市僅2個月、進網(wǎng)僅1個月的產(chǎn)品來說，是一個非常壞的消息，或許將直接導(dǎo)致3G版iPad銷量的大幅下滑。第十頁，共一百一十三頁。我國面臨的計算機信息安全問題可能比發(fā)達國家更為嚴重。我國目前的網(wǎng)絡(luò)安全現(xiàn)狀令人擔(dān)憂，有些單位和組織根本沒有意識到網(wǎng)絡(luò)安全的重要性，即使是對外宣稱采用了安全防范措施的單位，實際上也有許多安全隱患。如果說“iPad3G用戶信息泄漏”事件和美國“南岸醫(yī)院80萬份文件泄漏”事件似乎看起來還有些“遙遠”的話，國內(nèi)某知名大型網(wǎng)絡(luò)安全公司在2011新年伊始引發(fā)的大規(guī)模用戶數(shù)據(jù)泄漏事件就近在眼前了。第十一頁，共一百一十三頁。CSDN官方已確認超過600萬個注冊郵箱賬號和對應(yīng)明文密碼被黑客盜取并泄露，部分用戶賬號面臨風(fēng)險，網(wǎng)站將因此臨時關(guān)閉用戶登錄，涉及用戶600萬。隨后，多玩、人人、天涯等也被指責(zé)存在用戶數(shù)據(jù)泄露問題。盡管有部分網(wǎng)站否認，但還是即刻引起互聯(lián)網(wǎng)用戶的關(guān)注。用戶數(shù)據(jù)大規(guī)模集中泄露對中國互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘。

計算機犯罪大多具有瞬時性、廣域性、專業(yè)性和時空分離等特點，通常計算機犯罪很少留下犯罪證據(jù)，這也是計算機高技術(shù)犯罪案件頻發(fā)的誘因。2011年4月CNCERT/CC發(fā)布的《2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》指出，2010年我國基礎(chǔ)網(wǎng)絡(luò)運行總體平穩(wěn)，第十二頁，共一百一十三頁。但重要聯(lián)網(wǎng)信息系統(tǒng)安全問題突出，政府網(wǎng)站安全防護薄弱，金融行業(yè)網(wǎng)站成為不法分子騙取錢財和竊取隱私的重點目標，工業(yè)控制系統(tǒng)安全面臨嚴峻挑戰(zhàn)，公共網(wǎng)絡(luò)環(huán)境安全更不容樂觀，木馬和僵尸網(wǎng)絡(luò)依然對網(wǎng)絡(luò)安全構(gòu)成直接威脅，手機惡意代碼日益泛濫，DDoS攻擊也嚴重危害網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)應(yīng)用層服務(wù)的市場監(jiān)管和用戶隱私保護工作亟待加強。報告同時指出，目前發(fā)達國家政府普遍在加強網(wǎng)絡(luò)安全管理，如美國政府出臺《加強網(wǎng)絡(luò)安全法案》等相關(guān)網(wǎng)絡(luò)安全法律文件，推進網(wǎng)絡(luò)安全立法，并推出“完美公民”計劃，擬建立全美聯(lián)網(wǎng)監(jiān)控體系以對抗網(wǎng)絡(luò)犯罪；第十三頁，共一百一十三頁。歐盟正式發(fā)布《歐洲數(shù)字化議程》五年規(guī)劃，提出增強網(wǎng)絡(luò)安全相關(guān)舉措；瑞典政府?dāng)M設(shè)國家信息技術(shù)安全中心，以應(yīng)對網(wǎng)絡(luò)攻擊及處理信息技術(shù)案件；日本政府批準制定“保護國民信息安全戰(zhàn)略”，加大監(jiān)管力度，構(gòu)筑安全網(wǎng)絡(luò)社會；新加坡信息通信發(fā)展管理局通過制定新準則、加強信息分析能力以及提高公民網(wǎng)絡(luò)安全意識來加強新加坡網(wǎng)絡(luò)安全；澳大利亞啟動國家計算機應(yīng)急響應(yīng)官方機構(gòu)CERTAustralia，支持政府打擊網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義威脅。第十四頁，共一百一十三頁。

我國目前的計算機安全防護能力還只處于發(fā)展的初級階段，許多計算機基本上處于不設(shè)防狀態(tài)，從防范意識、管理措施、核心技術(shù)到安全產(chǎn)品，還遠未構(gòu)成一個較成熟的體系。由于安全問題，尤其是因為管理的不善而導(dǎo)致的各種重要數(shù)據(jù)和文件的濫用、泄露、丟失、被盜等給國家、企業(yè)和個人造成的損失數(shù)以億計，這還不包括那些還沒有暴露出來的深層次的問題。計算機安全問題解決不好，不僅會造成巨大的經(jīng)濟損失，甚至?xí)＜皣业陌踩蜕鐣姆€(wěn)定。第十五頁，共一百一十三頁。當(dāng)然，這幾年信息安全管理在國際上有了很大的發(fā)展，我國信息安全管理雖然起步較晚，但我國政府主管部門以及各行各業(yè)已經(jīng)認識到了信息與信息安全的重要性，黨的十七大報告明確提出“發(fā)展現(xiàn)代產(chǎn)業(yè)體系，大力推進信息化與工業(yè)化融合，促進工業(yè)由大變強，振興裝備制造業(yè)，淘汰落后生產(chǎn)能力”的嶄新命題，反映了黨中央對于發(fā)展信息化重要性認識的深入，也體現(xiàn)了信息化帶動工業(yè)化發(fā)展的重要意義。第十六頁，共一百一十三頁。我國作為發(fā)展中國家，工業(yè)化處于中期發(fā)展階段，只有通過發(fā)展信息化帶動工業(yè)化，并實現(xiàn)二者之間的有效融合，把中國工業(yè)化提高到廣泛采用信息智能工具的水準上來，才能加快我國工業(yè)化進程，提高我國產(chǎn)業(yè)的國際競爭力，更好地參與國際經(jīng)濟競爭。因此，政府部門已開始出臺一系列相關(guān)政策策略，直接指導(dǎo)，推進信息安全的應(yīng)用和發(fā)展。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也開始出臺對信息安全技術(shù)產(chǎn)品的應(yīng)用標準和規(guī)范。第十七頁，共一百一十三頁。經(jīng)過幾年的發(fā)展，我國信息安全管理的成績可以總結(jié)為以下幾點：

(1)初步建成了國家信息安全組織保障體系。

1999年9月成立的國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)是工業(yè)和信息化部領(lǐng)導(dǎo)下的國家級網(wǎng)絡(luò)安全應(yīng)急機構(gòu)，致力于建設(shè)國家級的網(wǎng)絡(luò)安全監(jiān)測中心、預(yù)警中心和應(yīng)急中心，專門負責(zé)收集、匯總、核實、發(fā)布權(quán)威性的應(yīng)急處理信息，以支撐政府主管部門履行網(wǎng)絡(luò)安全相關(guān)的社會管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護和安全運行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和處置。第十八頁，共一百一十三頁。2003年CNCERT在我國大陸31個省市、自治區(qū)、直轄市成立分中心，完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨地域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐體系建設(shè)，形成了全國性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享、技術(shù)協(xié)同能力，在協(xié)調(diào)國內(nèi)網(wǎng)絡(luò)信息安全應(yīng)急組織(CERT)共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用。

2001年5月成立了中國信息安全產(chǎn)品測評認證中心(CNITSEC，ChinaInformationTechnologySecurityEvaluationCenter)，第十九頁，共一百一十三頁。是代表國家開展信息安全測評認證工作的職能機構(gòu)，依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認證和信息安全管理的法律法規(guī)管理和運行國家信息安全測評認證體系，負責(zé)對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進行測評和認證，對國內(nèi)信息系統(tǒng)和工程進行安全性評估和認證，對提供信息安全服務(wù)的組織和單位進行評估和認證，對信息安全專業(yè)人員的資質(zhì)進行評估和認證。

為進一步加強對推進我國信息化建設(shè)和維護國家信息安全工作的領(lǐng)導(dǎo)，第二十頁，共一百一十三頁。2001年8月，中共中央、國務(wù)院決定重新組建國家信息化領(lǐng)導(dǎo)小組，同年12月，成立“國務(wù)院信息化工作辦公室”辦事機構(gòu)，具體承擔(dān)領(lǐng)導(dǎo)小組的日常工作。2003年7月，國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議上專題討論并通過了《關(guān)于加強信息安全保障工作的意見》，同年9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(2003[27]號文件)。第二十一頁，共一百一十三頁。27號文件第一次把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。2008年國務(wù)院機構(gòu)改革后原“國務(wù)院信息化工作辦公室”職能合并至國家工業(yè)和信息化部，具體工作由工業(yè)和信息化部(信息化推進司)負責(zé)。第二十二頁，共一百一十三頁。(2)制定了一系列必需的信息安全管理法律法規(guī)。

從20世紀90年代初起，為配合信息安全管理的需要，國家、相關(guān)部門、行業(yè)和地方政府相繼制定了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。第二十三頁，共一百一十三頁。(3)制定和引進了一批重要的信息安全管理標準。

為了更好地推進我國信息安全管理工作，公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了中華人民共和國國家標準GB17895—1999《計算機信息系統(tǒng)安全保護等級劃分準則》，并引進了國際上著名的《信息安全管理實施準則》(ISO17799—2000)、《信息安全管理體系實施規(guī)范》(BS7799-2—2002)、《信息技術(shù)安全性評估準則》(ISO/IEC15408—1999)、《SSE-CMM：系統(tǒng)安全工程能力成熟度模型》等信息安全管理相關(guān)標準。第二十四頁，共一百一十三頁。信息安全標準化委員會設(shè)置了10個工作組，其中信息安全管理工作組負責(zé)對信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指導(dǎo)指南，它包括信息安全管理指南、信息安全管理實施規(guī)范、人員培訓(xùn)教育及錄用要求、信息安全社會化服務(wù)管理規(guī)范、信息安全保險業(yè)務(wù)規(guī)范框架和安全策略要求與指南。

(4)信息安全風(fēng)險評估工作已經(jīng)得到重視和開展。

風(fēng)險評估是信息安全管理的核心工作之一。2003年7月，國信辦信息安全風(fēng)險評估課題組就啟動了信息安全風(fēng)險評估相關(guān)標準的編制工作，國家鐵路系統(tǒng)和北京移動通信公司作為先行者已完成了的信息安全風(fēng)險評估試點工作，第二十五頁，共一百一十三頁。國家其他關(guān)鍵行業(yè)或系統(tǒng)(如電力、電信、銀行等)也將陸續(xù)開展這方面的工作。同時在2007年和2009年分別發(fā)布了2項關(guān)于風(fēng)險評估的標準：《信息安全風(fēng)險評估規(guī)范》(GB/T20984—2007)、《信息安全風(fēng)險管理指南》(GB/Z24364—2009)。

盡管目前在信息安全管理上取得了一定的成績，但也要看到其中還存在許多的問題，例如，信息安全管理在執(zhí)行過程中還比較混亂，缺乏一個國家層面上的整體策略；缺乏權(quán)威、統(tǒng)一、專門的組織、規(guī)劃、管理和實施協(xié)調(diào)的立法管理機構(gòu)；第二十六頁，共一百一十三頁。我國自己制定的信息安全管理標準太少，大多沿用國際標準；實際管理力度不夠，政策的執(zhí)行和監(jiān)督力度不夠，部分規(guī)定過分強調(diào)部門的自身特點，而忽略了在國際政治經(jīng)濟的大環(huán)境下體現(xiàn)中國的特色；部分規(guī)定沒有準確地區(qū)分技術(shù)、管理和法制之間的關(guān)系，以管代法，用行政管技術(shù)的做法仍較普遍，造成制度的可操作性較差；信息安全意識缺乏，普遍存在重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理的思想；專項經(jīng)費投入不足，管理人才極度缺乏，基礎(chǔ)理論研究和關(guān)鍵技術(shù)薄弱，技術(shù)創(chuàng)新不夠，第二十七頁，共一百一十三頁。信息安全管理產(chǎn)品水平和質(zhì)量不高，尤其是以集中配置、集中管理、狀態(tài)報告和策略互動為主要任務(wù)的安全管理平臺產(chǎn)品的研究與開發(fā)還很落后；等等。顯然，信息安全管理方面我們應(yīng)該做的工作還有很多，做好這項工作也是任重而道遠。第二十八頁，共一百一十三頁。5.1.3信息安全管理意義

信息已經(jīng)成為維持社會經(jīng)濟活動和生產(chǎn)活動的重要基礎(chǔ)資源，成為政治、經(jīng)濟、文化、軍事乃至社會任何領(lǐng)域的基礎(chǔ)。組織對信息系統(tǒng)不斷增強的依賴性使得信息技術(shù)在提高組織工作效率的同時，也增大了組織重要信息受到嚴重侵擾和破壞后，組織面臨資產(chǎn)損失、業(yè)務(wù)中斷的風(fēng)險。

當(dāng)今組織的信息系統(tǒng)面臨著計算機欺詐、刺探情報、陰謀破壞、火災(zāi)、水災(zāi)等大范圍威脅，第二十九頁，共一百一十三頁。又面臨著計算機病毒、計算機攻擊和黑客非法入侵等破壞，而且隨著信息技術(shù)的發(fā)展和信息應(yīng)用的深入，各種威脅變得越來越錯綜復(fù)雜，各種信息安全事故層出不窮。

根據(jù)安全中的事故致因核心理論——能量意外釋放理論(1961年吉布森(Gibson)提出，1966年美國運輸部安全局局長哈登(Haddon)完善)，可以歸納造成事故的原因有三個：人的不安全行為、物的不安全狀態(tài)、管理的缺陷。第三十頁，共一百一十三頁。人和物這兩方面的因素已經(jīng)被大家廣泛認可，但管理的缺陷卻往往容易被忽視。管理上的缺陷往往是造成事故的最重要的因素，應(yīng)該引起我們的高度重視。例如最近國內(nèi)發(fā)生的兩起重大鐵路交通事故：“4.28”膠濟鐵路特別重大交通事故和“7.23”甬溫線特別重大鐵路交通事故。2008年4月28日，一場近10年來中國鐵路行業(yè)罕見的列車相撞事故在膠濟鐵路上瞬間發(fā)生，北京開往青島的T195次列車運行到膠濟鐵路周村至王村之間時脫線，與上行的煙臺至徐州的5034次列車相撞，造成72人死亡，416人受傷，其中重傷74人，事故后果嚴重，給國家和人民生命財產(chǎn)安全造成重大損失。第三十一頁，共一百一十三頁。這次事故正如國務(wù)院事故調(diào)查組組長、安監(jiān)總局局長王君所說，是一起典型的由于管理上的失誤導(dǎo)致的事故，不是天災(zāi)，而是人禍，是一場人為引起的、完全可以避免的事故。這也充分暴露了一些企業(yè)安全生產(chǎn)意識不到位、領(lǐng)導(dǎo)不到位、安全生產(chǎn)責(zé)任不到位、安全生產(chǎn)措施不到位、隱患排查治理不到位和監(jiān)督管理不到位等嚴重問題，也反映了基層安全意識薄弱，現(xiàn)場管理存在嚴重漏洞，安全生產(chǎn)責(zé)任沒有得到真正落實。第三十二頁，共一百一十三頁。另一起事故是2010年7月23日，甬溫線浙江省溫州市境內(nèi)，由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發(fā)生動車組列車追尾事故，造成40人死亡、172人受傷，中斷行車32小時35分，直接經(jīng)濟損失19371.65萬元。2011年12月25日發(fā)布的國務(wù)院“7.23”事故調(diào)查報告認定該事故發(fā)生的原因是：通號集團所屬通號設(shè)計院在LKD2-T1型列控中心設(shè)備研發(fā)中管理混亂，通號集團作為甬溫線通信信號集成總承包商履行職責(zé)不力，致使為甬溫線溫州南站提供的LKD2-T1型列控中心設(shè)備存在嚴重設(shè)計缺陷和重大安全隱患。第三十三頁，共一百一十三頁。鐵道部在設(shè)備招投標、技術(shù)審查、上道使用等方面違規(guī)操作、把關(guān)不嚴，致使其在溫州南站上道使用。當(dāng)溫州南站列控中心采集驅(qū)動單元采集電路電源回路中保險管F2遭雷擊熔斷后，采集數(shù)據(jù)不再更新，錯誤地控制軌道電路發(fā)碼及信號顯示，使行車處于不安全狀態(tài)。雷擊也造成5829AG軌道電路發(fā)送器與列控中心通信故障，使從永嘉站出發(fā)駛向溫州南站的D3115次列車超速防護系統(tǒng)自動制動，在5829AG區(qū)段內(nèi)停車。由于軌道電路發(fā)碼異常，導(dǎo)致其三次轉(zhuǎn)目視行車模式起車受阻，第三十四頁，共一百一十三頁。7分40秒后才轉(zhuǎn)為目視行車模式以低于20公里/小時的速度向溫州南站緩慢行駛，未能及時駛出5829閉塞分區(qū)。因溫州南站列控中心未能采集到前行D3115次列車在5829AG區(qū)段的占用狀態(tài)信息，使溫州南站列控中心管轄的5829閉塞分區(qū)及后續(xù)兩個閉塞分區(qū)防護信號錯誤地顯示綠燈，向D301次列車發(fā)送無車占用碼，導(dǎo)致D301次列車駛向D3115次列車并發(fā)生追尾。上海鐵路局有關(guān)作業(yè)人員安全意識不強，在設(shè)備故障發(fā)生后，未認真正確地履行職責(zé)，故障處置工作不得力，未能起到可能避免事故發(fā)生或減輕事故損失的作用。第三十五頁，共一百一十三頁。報告將事故性質(zhì)確定為一起因列控中心設(shè)備存在嚴重設(shè)計缺陷、上道使用審查把關(guān)不嚴、雷擊導(dǎo)致設(shè)備故障后應(yīng)急處置不力等因素造成的責(zé)任事故。從這些事故中我們可以充分認識到管理的缺陷所帶來的災(zāi)難性打擊是多么的嚴重。

正如本章5.1.1節(jié)所述，在所有計算機安全事件發(fā)生的原因中屬于管理方面的高達70%以上，或者說，能對組織造成巨大損失的風(fēng)險主要還是來自組織內(nèi)部。與20多年前大型計算機要受到嚴密看守，由技術(shù)專家管理的情況相比，今天計算機技術(shù)已唾手可得，無處不在。而今天的計算機使用者大都很少受到嚴格的培訓(xùn)，每天都在以不安全的方式處理著企業(yè)的大量重要信息，第三十六頁，共一百一十三頁。而且企業(yè)的貿(mào)易伙伴、咨詢顧問、合作單位等外部人員都以不同的方式使用著企業(yè)的信息系統(tǒng)，他們都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。比如，員工僅僅為了方便記憶而將系統(tǒng)登錄密碼粘貼在桌面或顯示器邊上的便條上，就足以毀掉花費了大量人力和物力建立起來的信息安全系統(tǒng)。許多對企業(yè)不滿的員工“黑”掉公司的網(wǎng)站、偷竊并散布客戶敏感資料、為競爭對手提供機密技術(shù)或商業(yè)數(shù)據(jù)，甚至破壞關(guān)鍵計算機系統(tǒng)，使企業(yè)遭受巨大的損失。第三十七頁，共一百一十三頁。信息安全管理是保護國家、組織和個人等各個層面上信息安全的重要基礎(chǔ)。在一個有效的信息安全管理體系中，通過完善信息安全管理結(jié)構(gòu)，綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品，才有可能建立起一個真正意義上的信息安全保障體系。第三十八頁，共一百一十三頁。5.1.4信息安全管理的內(nèi)容和原則

在我國，信息安全管理是對一個組織機構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的管理，包括以下內(nèi)容：

(1)落實安全管理機構(gòu)及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃。

(2)開發(fā)安全策略。

(3)實施風(fēng)險管理。

(4)制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃。

(5)選擇與實施安全措施。第三十九頁，共一百一十三頁。(6)保證配置、變更的正確與安全。

(7)進行安全審計。

(8)保證維護支持。

(9)進行監(jiān)控、檢查，處理安全事件。

(10)安全意識與安全教育。

(11)人員安全管理等。

在進行信息安全管理的過程中，需要遵循的原則有：

①基于安全需求原則。組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負的使命、積累的信息資產(chǎn)的重要性、可能受到的威脅及面臨的風(fēng)險分析安全需求，第四十頁，共一百一十三頁。按照信息系統(tǒng)等級要求確定相應(yīng)的信息系統(tǒng)保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c安全效果。

②主要領(lǐng)導(dǎo)負責(zé)原則。主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責(zé)提高員工的安全意識，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門的關(guān)系，并確保其落實、有效。

③全員參與原則。信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。第四十一頁，共一百一十三頁。④系統(tǒng)方法原則。按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)系的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障目標的有效性的效率。

⑤持續(xù)改進原則。安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化、威脅程度的提高、系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性。第四十二頁，共一百一十三頁。⑥依法管理原則。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準確一致的有關(guān)信息，避免帶來不利的社會影響。

⑦分權(quán)和授權(quán)原則。對特定職能或責(zé)任領(lǐng)域的管理功能實施分離，對獨立審計實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減少未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體(例如用戶、管理員、進程、應(yīng)用或系統(tǒng))僅享有該實體需要完成其任務(wù)所必需的權(quán)限，不應(yīng)享有任何多余權(quán)限。

第四十三頁，共一百一十三頁。⑧選用成熟技術(shù)原則。成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時要重視其成熟的程度，并應(yīng)首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤。

⑨分級保護原則。按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護，對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護。

第四十四頁，共一百一十三頁。⑩管理與技術(shù)并重原則。堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合、管理科學(xué)性和技術(shù)前瞻性相結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。

?

自保護和國家監(jiān)管結(jié)合原則。對信息系統(tǒng)安全實行自保護和國家監(jiān)管相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。第四十五頁，共一百一十三頁。5.1.5信息系統(tǒng)的安全因素

信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險和保護措施等。這些信息系統(tǒng)的安全因素之間的關(guān)系如圖5-2所示。

(1)資產(chǎn)。主要包括：

·支持設(shè)施(例如建筑、供電、供水、空調(diào)等)。

·硬件資產(chǎn)(例如各種計算機設(shè)備、通信設(shè)施、存儲媒介等)。

·信息資產(chǎn)(例如數(shù)據(jù)庫、系統(tǒng)文件、用戶手冊、操作支持程序、持續(xù)性計劃等)。

第四十六頁，共一百一十三頁。圖5-2信息系統(tǒng)的主要安全因素之間的關(guān)系第四十七頁，共一百一十三頁?！ぼ浖Y產(chǎn)(例如應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具、實用程序等)。

·生產(chǎn)能力和服務(wù)能力。

·人員。

·無形資產(chǎn)(例如信譽、形象等)。

(2)威脅。主要包括自然威脅和人為威脅。自然威脅有地震、雷擊、洪水、火災(zāi)、靜電、鼠害和電力故障等。人為威脅有：

·盜竊類型的威脅(例如偷竊設(shè)備、竊取數(shù)據(jù)、盜用計算資源等)。第四十八頁，共一百一十三頁?！て茐念愋偷耐{(例如破壞設(shè)備、破壞數(shù)據(jù)文件、引入惡意代碼等)。

·處理類型的威脅(例如插入假的輸入、隱瞞某個輸出、電子欺騙、非授權(quán)改變文件、修改程序和更改設(shè)備配置等)。

·操作錯誤和疏忽類型的威脅(例如數(shù)據(jù)文件的誤刪除、誤存和誤改、磁盤誤操作等)。

·管理類型的威脅(例如安全意識淡薄、安全制度不健全、崗位職責(zé)混亂、審計不力、設(shè)備選型不當(dāng)、人事管理漏洞等)。第四十九頁，共一百一十三頁。(3)脆弱性。與資產(chǎn)相關(guān)的脆弱性包括物理布局、組織、規(guī)程、人事、管理、行政、硬件、軟件或信息等弱點，以及與系統(tǒng)相關(guān)的脆弱性如分布式系統(tǒng)易受傷害的特征等。

(4)意外事件影響。影響資產(chǎn)安全的事件，無論是有意或是突發(fā)，其后果可能毀壞資產(chǎn)，破壞信息系統(tǒng)，影響保密性、完整性、可用性和可控性等?？赡艿拈g接后果包括危及國家安全、社會穩(wěn)定，造成經(jīng)濟損失，破壞組織或機構(gòu)的社會形象等。第五十頁，共一百一十三頁。(5)安全風(fēng)險。安全風(fēng)險是某種威脅利用暴露系統(tǒng)脆弱性對組織或機構(gòu)的資產(chǎn)造成損失的潛在可能性。風(fēng)險由意外事件發(fā)生的概率及發(fā)生后可能產(chǎn)生的影響兩種指標來評估。另外，由于保護措施的局限性，信息系統(tǒng)總會面臨或多或少的殘留風(fēng)險，組織或機構(gòu)應(yīng)考慮對殘留風(fēng)險的接受程度。

(6)保護措施。保護措施是對付威脅，減少脆弱性，限制意外事件影響，檢測意外事件并促進災(zāi)難恢復(fù)而實施的各種實踐、規(guī)程和機制的總稱。第五十一頁，共一百一十三頁。應(yīng)考慮采用保護措施實現(xiàn)下述一種或多種功能：預(yù)防、延緩、阻止、檢測、限制、修正、恢復(fù)、監(jiān)控以及意識性提示或強化。保護措施作用的區(qū)域可以包括物理環(huán)境、技術(shù)環(huán)境(例如硬件、軟件和通信)、人事和行政。保護措施可為：訪問控制機制、防病毒軟件、加密、數(shù)字簽名、防火墻、監(jiān)控和分析工具、備用電源以及信息備份等。選擇保護措施時要考慮由組織或機構(gòu)運行環(huán)境決定的影響安全的因素，例如，組織的、業(yè)務(wù)的、財務(wù)的、環(huán)境的、人事的、時間的、法律的、技術(shù)的邊界條件以及文件的或社會的因素等。第五十二頁，共一百一十三頁。5.1.6信息安全管理模型

信息安全管理從信息系統(tǒng)的安全需求出發(fā)，以信息安全管理相關(guān)標準為指導(dǎo)，結(jié)合組織的信息系統(tǒng)安全建設(shè)情況，引入合乎要求的信息安全等級保護的技術(shù)控制措施和管理控制規(guī)范與方法，在信息安全保障體系基礎(chǔ)上建立信息安全管理體系。信息安全管理模型如圖5-3所示。第五十三頁，共一百一十三頁。

圖5-3信息安全管理模型第五十四頁，共一百一十三頁。信息安全需求是信息安全的出發(fā)點，它包括保密性需求、完整性需求、可用性需求、抗抵賴性需求、可控制性需求和可靠性需求等。信息安全管理范圍是由信息系統(tǒng)安全需求決定的具體信息安全控制點，對這些實施適當(dāng)?shù)目刂拼胧┛纱_保組織相應(yīng)環(huán)節(jié)的信息安全，從而保證整個組織的整體信息安全水平。信息安全管理標準是在一定范圍內(nèi)獲得的關(guān)于信息安全管理的最佳秩序，對信息安全管理活動或結(jié)果規(guī)定共同的和重復(fù)使用的具有指導(dǎo)性的規(guī)則、導(dǎo)則或特性的文件。第五十五頁，共一百一十三頁。信息安全管理控制規(guī)范是為改善具體信息安全問題而設(shè)置的技術(shù)或管理手段，并運用信息安全管理相關(guān)方法來選擇和實施控制規(guī)范，為信息安全管理體系服務(wù)。信息安全保障體系則是保障信息安全管理各環(huán)節(jié)、各對象正常運作的基礎(chǔ)，在信息安全保障過程中，要實施信息安全工程。第五十六頁，共一百一十三頁。

到目前為止，與信息安全管理相關(guān)的國際標準主要是國際標準化組織(ISO)制定的ISO/IEC17799、ISO/IEC27001、ISO/IEC13335等，其中ISO/IEC17799和ISO/IEC27001都是由英國標準BS7799發(fā)展而來，它們分別對應(yīng)于BS7799-1和BS7799-2。5.2信息安全管理標準第五十七頁，共一百一十三頁。5.2.1信息安全管理標準的發(fā)展

1.

BS7799

BS7799是世界上影響最深、最具代表性的信息安全管理體系標準。英國標準協(xié)會(BSI)最早于1995年發(fā)布了《信息安全管理實施細則》(BS7799-1:1995)，它為信息安全提供了一套全面綜合最佳實踐經(jīng)驗的控制措施，其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時，為確定實施控制措施的范圍提供一個參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。

由于BS7799-1采用指導(dǎo)和建議的方式編寫，不適合作為認證標準使用。第五十八頁，共一百一十三頁。1998年為了適應(yīng)第三方認證的需求，BSI又制定了世界上第一個信息安全管理體系認證標準，即《信息安全管理體系規(guī)范》(BS7799-2:1998)，它規(guī)定了信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理系統(tǒng)評估的基礎(chǔ)，可以作為對一個組織的全面或部分信息安全管理體系進行評審認證的標準。

1999年，鑒于最新的信息處理技術(shù)應(yīng)用，特別是網(wǎng)絡(luò)和通訊的發(fā)展情況，BSI對信息安全管理體系標準進行了修訂，即BS7799-1:1999和BS7799-2:1999。第五十九頁，共一百一十三頁。1999版特別強調(diào)了信息安全所涉及的商業(yè)問題和責(zé)任問題。BS7799-1:1999與BS7799-2:1999是一對配套的標準，其中BS7799-1:1999對如何建立并實施符合BS7799-2:1999標準要求的信息安全管理體系提供了最佳的應(yīng)用建議。

2000年12月，BS7799-1被ISO接受為國際標準，即《信息技術(shù)—安全技術(shù)—信息安全管理實施細則》(ISO/IEC17799:2000)。2005年4月19日被我國等同采用為國家標準《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》(GB/T19716—2005)。第六十頁，共一百一十三頁。2005年6月，ISO/IEC17799:2000升級為ISO/IEC17799:2005，主要增加了“信息安全事件管理”這一安全控制區(qū)域。目前世界上包括中國在內(nèi)的絕大多數(shù)政府簽署協(xié)議支持并認可ISO/IEC17799標準。

2002年9月，BSI發(fā)布了BS7799-2:2002。BS7799-2:2002主要在結(jié)構(gòu)上做了修訂，引入了國際上通行的管理模式-過程方法和PDCA(Plan-DO-Check-Act)持續(xù)改進模式，建立了與ISO9001、ISO14001和OHSAS18000等管理體系標準相同的結(jié)構(gòu)和運行模式。第六十一頁，共一百一十三頁。2005年10月，BS7799-2被ISO接受為國際標準，即《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》(ISO/IEC27001:2005)，這意味著該標準已經(jīng)得到了國際上的承認。ISO/IEC27001:2005基本上與BS7799-2一致，但做了以下修改：

·必須為范圍中的任何被排除在外的部分指定理由。

·一個明確定義的風(fēng)險分析方法。

·在風(fēng)險處理中選擇的措施必須被重新進行風(fēng)險評估。第六十二頁，共一百一十三頁?？偟膩碚f，ISO/IEC27001:2005是建立信息安全管理體系(ISMS，InformationSecurityManagementSystem)的一套需求規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，其內(nèi)容非常全面，是一個真正基于風(fēng)險的方法。這意味著組織必須評估自己的環(huán)境，并為所實施的控制負責(zé)。

2007年7月，為了和27000系列保護統(tǒng)一，ISO將ISO/IEC17799:2005正式更改編號為ISO/IEC27002:2005。第六十三頁，共一百一十三頁。2008年6月19日，我國等同采用ISO/IEC27001:2005為國家標準《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》(GB/T22080—2008)，并同時等同采用ISO/IEC27002:2005為國家標準《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》(GB/T22081—2008)，它亦是對GB/T19716—2005的修訂，并代替該標準。第六十四頁，共一百一十三頁。圖5-4BS7799標準的發(fā)展第六十五頁，共一百一十三頁。2.

ISO/IEC27000系列標準

ISO已為信息安全管理體系標準預(yù)留了ISO/IEC27000系列編號，類似于質(zhì)量管理體系的ISO9000系列和環(huán)境管理體系的ISO14000系列標準。截止2011年6月，包括上面提到的ISO/IEC27001和ISO/IEC27002，共發(fā)布了以下9項標準：

·ISO/IEC27000:2009《信息技術(shù)—安全技術(shù)—信息安全管理體系原理和術(shù)語》；

·ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》；第六十六頁，共一百一十三頁?！SO/IEC27002:2005《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》；

·ISO/IEC27003:2010《信息技術(shù)—安全技術(shù)—信息安全管理體系實施指南》；

·ISO/IEC27004:2009《信息技術(shù)—安全技術(shù)—信息安全管理測量與指標》；

·ISO/IEC27005:2008《信息技術(shù)—安全技術(shù)—信息安全風(fēng)險管理》，2011年6月發(fā)布新版ISO/IEC27005:2011；

·ISO/IEC27006:2007《信息技術(shù)—安全技術(shù)—信息安全管理體系審核認證機構(gòu)要求》；第六十七頁，共一百一十三頁。·ISO/IEC27011:2008《信息技術(shù)—安全技術(shù)—電信機構(gòu)基于ISO/IEC27002的信息安全管理指南》；

·ISO27799:2008《健康信息—應(yīng)用ISO/IEC27002的醫(yī)療信息安全管理》。第六十八頁，共一百一十三頁。3.

ISO/IEC13335

ISO/IEC13335被稱為《IT安全管理指南》(GMITS，GuidelinesfortheManagementofITSecurity)，已經(jīng)在國際社會中開發(fā)了很多年。ISO/IEC13335只是一個技術(shù)報告和指導(dǎo)性文件，屬于TR(TechnicalReport)系列，即ISO/IECTR13335，它是作為具體實踐時的參考，并不是可依據(jù)的認證標準，信息安全體系建設(shè)則需要參考ISO/IEC27001:2005和ISO/IEC27002:2005等。第六十九頁，共一百一十三頁。ISO/IEC13335它分為5個部分，從1996年到2001年依次發(fā)布，即：

·ISO/IEC13335—1:1996《IT安全的概念與模型》；

·ISO/IEC13335—2:1997《IT安全管理與規(guī)劃》；

·ISO/IEC13335—3:1998《IT安全管理技術(shù)》；

·ISO/IEC13335—4:2000《安全措施的選擇》；

·ISO/IEC13335—5:2001《網(wǎng)絡(luò)安全管理指南》。第七十頁，共一百一十三頁。目前，ISO/IEC13335的新版本《信息和通信技術(shù)安全管理》(ISO/IEC13335MICTS)MICTS(ManagementofInformationandCommunicationsTechnologySecurity)已取代GMITS部分內(nèi)容，例如：已發(fā)布的MICTS第1部分《信息和通信技術(shù)安全管理的概念和模型》與第2部分《信息和通信技術(shù)安全風(fēng)險管理技術(shù)》分別取代了ISO/IEC13335-1:1996和ISO/IEC13335-2:1997。第七十一頁，共一百一十三頁。4.美國相關(guān)標準

美國國家標準技術(shù)局(NIST)制定了一系列的信息安全管理相關(guān)標準，如SP800系列、FIPS系列等。

始于1990年的SP800(SP，SpecialPublications)是美國國家標準與技術(shù)研究院(NIST)發(fā)布的一系列關(guān)于信息安全的技術(shù)指南文件，是為了給NIST的信息技術(shù)安全出版物提供一個單獨的標識，只提供一種供參考的方法或經(jīng)驗，對聯(lián)邦政府部門不具有強制性。SP800系列主要關(guān)注計算機安全領(lǐng)域的一些熱點研究，第七十二頁，共一百一十三頁。介紹信息技術(shù)實驗室(ITL，InformationTech.Lab.)在計算機安全方面的指導(dǎo)方針、研究成果以及與工業(yè)界、政府、科研機構(gòu)的協(xié)作情況等。目前，NISTSP800系列已經(jīng)出版了一百多本同信息安全相關(guān)的正式文件，形成了從規(guī)劃、風(fēng)險管理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系。雖然NISTSP800系列并不作為正式法定標準，但在實際工作中，已經(jīng)成為美國和國際安全界廣泛認可的事實標準和權(quán)威指南。NISTSP800系列成為了指導(dǎo)美國信息安全管理建設(shè)的主要標準和參考資料。第七十三頁，共一百一十三頁。截止2010年底，NIST發(fā)布SP800系列共126篇，例如：

·SP800-12《計算機安全介紹：NIST手冊》

·SP800-14《信息技術(shù)系統(tǒng)安全的公認原則與實踐》

·SP800-18《IT系統(tǒng)安全計劃開發(fā)指南》

·SP800-26《IT系統(tǒng)安全自我評估指南》

·SP800-30《IT系統(tǒng)風(fēng)險管理指南》

·SP800-37《聯(lián)邦I(lǐng)T系統(tǒng)認證認可指南》

·SP800-53《聯(lián)邦信息系統(tǒng)推薦安全控制》第七十四頁，共一百一十三頁?！P800-53A《信息安全控制措施評估研究》

·SP800-60《信息和信息類型與安全目標及風(fēng)險級別對應(yīng)指南》。

在SP800系列中，SP800-12(1995年1月)和SP800-14(1996年9月)這兩篇文獻是SP800系列的基礎(chǔ)。SP800-12論述了各種計算機安全控制的好處以及其合理應(yīng)用的條件。它對計算機安全進行了概括性描述，以幫助讀者理解計算機安全需求，并制定出一種選擇適當(dāng)安全控制的良好方法。第七十五頁，共一百一十三頁。SP800-14提供了機構(gòu)用來建立和檢查IT安全程序的基線，為機構(gòu)提供了管理多機構(gòu)事務(wù)以及內(nèi)部事務(wù)所參考的基礎(chǔ)。管理者、內(nèi)部審計員、用戶、系統(tǒng)開發(fā)者和安全從業(yè)人員可通過該文檔獲得大多數(shù)IT系統(tǒng)應(yīng)包含的基本安全需求。

SP800系列技術(shù)指南可以劃分為17個族類型，包括訪問控制、審計&可核查性、意識&培訓(xùn)、認證認可&安全評估、配置管理、應(yīng)急規(guī)劃、標識&鑒別、事件響應(yīng)、維護、媒體保護、人員安全、物理&環(huán)境保護、規(guī)劃、風(fēng)險評估、系統(tǒng)&通信保護、系統(tǒng)&信息完整性、系統(tǒng)&服務(wù)獲取等。第七十六頁，共一百一十三頁。聯(lián)邦信息處理標準(FIPS，F(xiàn)ederalInformationProcessingStandards)是一套描述文件處理、加密算法和其他信息技術(shù)標準(在非軍用、政府機構(gòu)和與這些機構(gòu)合作的政府承包商及供應(yīng)商中應(yīng)用的標準)的標準。NIST發(fā)布這些用于政府領(lǐng)域的標準和指南作為FIPS，用于沒有現(xiàn)成工業(yè)標準和方案可以滿足的聯(lián)邦政府強制性要求，如安全和通用性等。

2002年通過的《聯(lián)邦信息安全管理法案》(FISMA，TheFederalInformationSecurityManagementAct)賦予NIST制定標準和指南的職責(zé)。第七十七頁，共一百一十三頁。之后，NIST出版的FIPS、SP800系列等文檔對聯(lián)邦政府的信息系統(tǒng)進行支撐。

SP800系列不僅支撐美國信息安全方面的法律法規(guī)，而且對FIPS標準也提供了支撐。例如：2004年2月發(fā)布的FIPS199《聯(lián)邦信息和信息系統(tǒng)安全分類標準》定義了信息和信息系統(tǒng)的三個安全目標，并將每個目標的潛在影響定義為低、中、高三種程度。NIST在FIPS199的基礎(chǔ)上發(fā)布了SP800-60，描述了安全分類過程以及如何建立信息系統(tǒng)安全類別，以幫助聯(lián)邦政府對信息和信息系統(tǒng)進行分類。2006年3月，第七十八頁，共一百一十三頁。NIST發(fā)布的FIPS200《聯(lián)邦信息系統(tǒng)最小安全控制》在17個安全相關(guān)領(lǐng)域內(nèi)詳細說明了聯(lián)邦信息和信息系統(tǒng)的最小安全要求，聯(lián)邦機構(gòu)在使用與聯(lián)邦信息系統(tǒng)推薦安全控制(SP800-53)相一致的安全控制時必須滿足在此定義的最小安全要求。而SP800-53A則是在對信息系統(tǒng)進行分類和選擇安全控制措施基礎(chǔ)之上進行了按控制措施評估，來確定安全控制實現(xiàn)的有效性。第七十九頁，共一百一十三頁。5.我國相關(guān)標準

我國也制定了與信息安全管理相關(guān)的國家標準，如：

·《信息系統(tǒng)安全管理要求》(GB/T20269—2006)

·《信息系統(tǒng)安全工程管理要求》(GB/T20282—2006)

·《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》(GB/T22080—2008)

·《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》(GB/T22081—2008)

·《信息安全風(fēng)險管理指南》(GB/Z24364—2009)

·《信息安全事件管理指南》(GB/Z20985—2007)第八十頁，共一百一十三頁。5.2.2BS7799的內(nèi)容

實施BS7799的目的是保證組織的信息安全(即信息資料的保密性、完整性和可用性等)及業(yè)務(wù)的正常運營。其方法是通過風(fēng)險評估、風(fēng)險管理引導(dǎo)企業(yè)的信息安全要求，并提供10大管理控制方面，36個管理控制目標，127種安全控制措施的三級結(jié)構(gòu)供選擇和使用。

BS7799的10大管理控制方面包括信息安全方針、信息安全組織、信息資產(chǎn)分類與控制、人員信息安全、物理和環(huán)境安全、通信和運營管理、訪問控制、信息系統(tǒng)的開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、法律符合性等，第八十一頁，共一百一十三頁。具體又分為兩個部分，即信息安全管理實施細則(BS7799-1)和信息安全管理體系規(guī)范(BS7799-2)。第一部分主要是給負責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和維護信息安全；第二部分詳細說明了建立、實施和維護ISMS的要求，指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤?/p>

BS7799-2明確提出了安全控制的要求，而BS7799-1對應(yīng)給出了通用的控制方法(措施)，因此可以說，第八十二頁，共一百一十三頁。BS7799-1為BS7799-2的具體實施提供了指南。當(dāng)然，標準中的控制目標、控制措施的要求并非信息安全管理的全部，一個組織可以根據(jù)需要額外考慮另外的控制目標和控制措施。第八十三頁，共一百一十三頁。1.

BS7799-1

BS7799-1規(guī)定了信息安全的控制要求，根據(jù)10大控制方面的要求，從控制目標和控制措施入手，涉及信息安全的方方面面。組織應(yīng)根據(jù)風(fēng)險評估的結(jié)果，從中選擇適宜的控制目標與控制措施，對于不適宜的條款應(yīng)在適用性聲明中給予說明。

表5-1給出了各控制方面、控制目標及控制措施的簡要內(nèi)容。第八十四頁，共一百一十三頁。

表5-1BS7799-1中控制方面、控制目標與控制措施第八十五頁，共一百一十三頁。2.

BS7799-2

BS7799-2規(guī)定了建立、實施和維護信息安全管理體系的要求，規(guī)定了根據(jù)組織的需要應(yīng)實施安全控制的要求。即本標準適用于組織按照標準要求建立并實施ISMS，進行有效的信息安全風(fēng)險管理，確保業(yè)務(wù)可持續(xù)性發(fā)展，另一方面作為尋求信息安全管理體系第三方認證的標準。

在根據(jù)業(yè)務(wù)的性質(zhì)、組織結(jié)構(gòu)、資產(chǎn)和技術(shù)等確定信息安全體系的范圍之后，可按照BS7799-2建立信息安全管理體系，其步驟如圖5-5所示。第八十六頁，共一百一十三頁。

圖5-5信息安全管理體系的建設(shè)流程第八十七頁，共一百一十三頁。(1)定義信息安全方針。

信息安全方針是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制定不同的信息安全方針。信息安全方針應(yīng)該簡單明了、通俗易懂，并形成書面文件，分發(fā)給組織內(nèi)所有成員。同時要對所有相關(guān)員工進行培訓(xùn)，必要時對負特殊責(zé)任的人員進行特殊的培訓(xùn)，以使信息安全方針真正根植于所有員工的意識及行為中。

除了要有一個總體的安全方針，在總體方針的框架內(nèi)，組織要根據(jù)風(fēng)險評估的結(jié)果，制定更加具體的安全方針與措施，明確規(guī)定具體的控制規(guī)則。第八十八頁，共一百一十三頁。(2)確定ISMS的范圍。

組織要根據(jù)組織的特性、地理位置、部門、需要保護系統(tǒng)資產(chǎn)和技術(shù)等來對ISMS范圍進行界定。在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進行適當(dāng)?shù)男畔踩芾怼?/p>

(3)進行信息安全風(fēng)險評估。

風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后資產(chǎn)所受的威脅、脆弱性及威脅發(fā)生后對組織的影響進行評估，第八十九頁，共一百一十三頁。同時對已存在的或規(guī)劃中的安全措施進行鑒定，用以識別目前面臨的風(fēng)險及風(fēng)險等級。信息安全風(fēng)險評估的復(fù)雜度取決于風(fēng)險的復(fù)雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應(yīng)該與信息資產(chǎn)風(fēng)險的保護需求相一致。

要注意的是，ISMS的成功建立與實施，及它對組織的價值很大程度上取決于風(fēng)險評估的質(zhì)量。

(4)進行信息安全風(fēng)險管理。

根據(jù)信息安全方針、所要求的安全程度和風(fēng)險評估的結(jié)果進行相應(yīng)的風(fēng)險管理，第九十頁，共一百一十三頁。管理風(fēng)險包括識別所需的安全措施，通過降低、避免、轉(zhuǎn)移將風(fēng)險降為可接受的水平。風(fēng)險會隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。

(5)選擇控制目標與控制措施。

控制目標與控制措施的選擇要以費用不超過風(fēng)險所造成的損失為原則。因為信息安全是一個動態(tài)的系統(tǒng)工程，組織應(yīng)實時地對選擇的控制目標和控制措施進行驗證和調(diào)整，以應(yīng)對不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟的、合理的保護。第九十一頁，共一百一十三頁。(6)發(fā)表適用性聲明。

適用性聲明(SoA，StatementofApplication)是對組織選擇的控制目標和控制措施的記述性文件，標準中不適用的控制措施也要在聲明中加以說明，但不能提供太過詳細、有價值的信息，防止被某些不懷好意的人所利用。發(fā)表適用性聲明，一方面是為了向組織內(nèi)的員工聲明對信息安全風(fēng)險的態(tài)度，另一方面是為了向外界(例如潛在的商業(yè)伙伴或第三方認證機構(gòu))表明組織的態(tài)度和作為，表明組織已全面、系統(tǒng)地審視了信息安全系統(tǒng)，并將所有應(yīng)該得到控制的風(fēng)險控制在可被接受的范圍內(nèi)。第九十二頁，共一百一十三頁。除此之外，在建立信息安全管理體系的過程中，需要按標準要求建立管理的證據(jù)，即信息安全管理體系文件，它一般包括方針、適用性聲明、方針手冊、程序文件、作業(yè)指導(dǎo)書和記錄等。BS7799-2對ISMS文件結(jié)構(gòu)沒有統(tǒng)一的要求，但其文件內(nèi)容應(yīng)該包括以上內(nèi)容。第九十三頁，共一百一十三頁。5.2.3引入BS7799的好處

保證信息安全不是僅靠一些安全設(shè)備，或?qū)で笮畔踩?wù)公司幫助就可以達到，而是需要全面的綜合管理。引入信息安全管理體系就可以協(xié)調(diào)各個方面的信息管理，在建立業(yè)務(wù)風(fēng)險分析的基礎(chǔ)上，開發(fā)、實施、完成、評審和維護信息安全，使得管理更有成效。

信息安全管理體系可以定義在組織的整個信息系統(tǒng)中，也可以是信息系統(tǒng)的某些部分，第九十四頁，共一百一十三頁?；蛘呤且粋€特定的信息系統(tǒng)，包括處理、存儲和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)與技術(shù)等。具體選擇哪種范圍模式，取決于組織的實際需要。一個組織可以為企業(yè)的不同部分、不同方面定義不同的ISMS，例如，可以為公司與合作商的特定貿(mào)易關(guān)系定義一個信息安全管理系統(tǒng)。

BS7799強調(diào)管理體系的有效性、經(jīng)濟性、全面性、開放性和普遍性，目的是為企業(yè)或組織提供一種高質(zhì)量、高實用性的參照。各單位以此建立自己的信息安全管理體系，可以在別人的基礎(chǔ)上根據(jù)自己的實際情況選擇引入BS7799的模式。第九十五頁，共一百一十三頁。BS7799可以有效地保護信息資源，保護信息化進行健康、有序、可持續(xù)發(fā)展，目前已發(fā)展成最新的ISO/IEC27001:2005和ISO/IEC27002:2005標準。當(dāng)組織通過了它們的認證，就相當(dāng)于通過了ISO9000的質(zhì)量認證一般，表明組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。

企業(yè)或組織按照BS7799、ISO/IEC17799等標準建立信息安全管理體系，在前期需要有一定的投入，但若是能通過相關(guān)認證，將會獲得有極大價值的回報，例如：第九十六頁，共一百一十三頁。(1)通過認證能向客戶、競爭對手、投資商、供應(yīng)商等展示在其行業(yè)中的領(lǐng)導(dǎo)地位。

(2)定期監(jiān)督審核能加強系統(tǒng)的安全性，減少系統(tǒng)故障和潛在的風(fēng)險隱患，節(jié)約資源。

(3)通過認證相當(dāng)于是一種承諾，能提高企業(yè)的信譽度，增強客戶購買或投資的信心。

(4)能夠向政府及行業(yè)主管部門證明企業(yè)對相關(guān)法律法規(guī)的符合性。

(5)可以改善企業(yè)的業(yè)績，消除不信任感，有利于拓展市場與業(yè)務(wù)。第九十七頁，共一百一十三頁。(6)獲得國際認可的認證證書，能得到國際上的承認。

企業(yè)引入信息安全管理標準體系的關(guān)鍵在于企業(yè)的重視程度和制度落實的情況。在實施過程中一定要注意，BS7799里所描述的所有控制措施不可能適合企業(yè)內(nèi)的每一種情況。因此，需要根據(jù)功能要求和企業(yè)自身的實際情況進行一步開發(fā)適合企業(yè)本身需要的控制目標與控制措施，就像依據(jù)ISO9000標準開發(fā)質(zhì)量手冊和程序文件一樣。第九十八頁，共一百一十三頁。

要有效地保護信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國家有關(guān)主管部門共同實施的大問題，需要在立法、行政、技術(shù)三方面采取綜合措施。

在這里，著重介紹有關(guān)管理工作方面的信息安全實施要點。5.3信息安全管理的實施要點第九十九頁，共一百一十三頁。1.加強審計管理

對信息系統(tǒng)中的所有資源(包括服務(wù)、文件、數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備等)進行安全審計，記錄所有發(fā)生的事件，以提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。它的目標是通過數(shù)據(jù)挖掘和數(shù)據(jù)倉庫等技術(shù)，實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進行監(jiān)控和管理，在必要時通過多種途徑向管理員發(fā)出警告或自動采取措施，并且能夠?qū)v史審計數(shù)據(jù)進行分析、處理和追蹤。其作用主要有以下幾個方面：第一百頁，共一百一十三頁?！撛诘墓粽咂鸬秸饝睾途娴淖饔?。

·對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。

·為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志