面向電子政務(wù)的信息安全管理體系建設(shè)

面向電子政務(wù)的

信息平安管理體系建設(shè)上海市信息中心陸國(guó)樑2005年5月12日一、我國(guó)電子政務(wù)開展框架1、電子政務(wù)網(wǎng)絡(luò)架構(gòu)我國(guó)電子政務(wù)網(wǎng)絡(luò)架構(gòu)分為內(nèi)網(wǎng)、外網(wǎng)、互聯(lián)網(wǎng)網(wǎng)路平安策略涉密內(nèi)網(wǎng)與政務(wù)外網(wǎng)采用物理隔離政務(wù)外網(wǎng)與互聯(lián)網(wǎng)采用邏輯隔離2、電子政務(wù)應(yīng)用架構(gòu)在涉密內(nèi)網(wǎng)中提供面向政府公務(wù)員的信息資源系統(tǒng)、公文管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、決策支持系統(tǒng)在政務(wù)外網(wǎng)中提供面向政務(wù)機(jī)關(guān)之間的業(yè)務(wù)協(xié)同系統(tǒng)、資源共享系統(tǒng)在互聯(lián)網(wǎng)政府門戶網(wǎng)站提供面向社會(huì)公眾的信息發(fā)布系統(tǒng)和面向企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)3、信息資源的開發(fā)利用面向政府內(nèi)部的涉密信息效勞嚴(yán)格按流程在授權(quán)人范圍內(nèi)進(jìn)行信息的傳遞面向政府之間的共享信息效勞按授權(quán)的訪問(wèn)控制在指定范圍內(nèi)進(jìn)行信息共享與交換面向社會(huì)公眾的信息效勞提供政務(wù)公開、行政審批等方面的信息效勞二、電子政務(wù)信息平安風(fēng)險(xiǎn)分析1、電子政務(wù)信息平安管理的目標(biāo)確保對(duì)信息“機(jī)密性、完整性、可用性〞的保護(hù)確保政務(wù)信息的保密性、保證身份正確識(shí)別確保政務(wù)流程平安、明確責(zé)任和用戶權(quán)限的控制確保政務(wù)業(yè)務(wù)連續(xù)運(yùn)轉(zhuǎn)、維護(hù)政府形象2、電子政務(wù)系統(tǒng)常見的平安威脅〔1〕非人為的平安威脅自然災(zāi)害〔洪水、地震、臺(tái)風(fēng)、火災(zāi)等〕信息技術(shù)的局限性、漏洞和缺陷〔2〕人為的平安威脅內(nèi)部人員的平安威脅：惡意破壞、無(wú)意損壞外部人員的平安威脅：主動(dòng)攻擊、被動(dòng)攻擊〔3〕信息泄漏的風(fēng)險(xiǎn)案例通過(guò)網(wǎng)絡(luò)傳播〔撥號(hào)、在可連接互聯(lián)網(wǎng)的電腦上處理內(nèi)部非公開信息〕通過(guò)介質(zhì)擴(kuò)散〔磁盤、膠片等〕無(wú)意中傳播〔信息發(fā)布、對(duì)外交流〕通過(guò)電波擴(kuò)散〔電磁泄漏〕傳輸中被竊取〔搭線竊聽〕介質(zhì)輸出擴(kuò)散〔打印〕非授權(quán)訪問(wèn)〔多人使用設(shè)備、身份冒用〕通過(guò)筆記本電腦接入〔或私接設(shè)備〕利用系統(tǒng)漏洞進(jìn)行攻擊〔病毒等〕3、系統(tǒng)風(fēng)險(xiǎn)分析線路竊聽非法訪問(wèn)業(yè)務(wù)數(shù)據(jù)導(dǎo)入時(shí)竊取病毒人員犯罪〔1〕機(jī)密性威脅〔2〕完整性威脅傳輸過(guò)程中篡改數(shù)據(jù)病毒業(yè)務(wù)數(shù)據(jù)導(dǎo)入時(shí)修改數(shù)據(jù)庫(kù)數(shù)據(jù)非法修改采用不可信系統(tǒng)〔3〕可用性威脅阻斷通信線路攻擊中心數(shù)據(jù)庫(kù)DNS無(wú)法使用病毒三、實(shí)施有效的信息平安策略1、機(jī)構(gòu)管理平安〔1〕建立平安保密管理組織機(jī)構(gòu)〔2〕制定平安保密管理制度〔3〕實(shí)施人員平安管理培訓(xùn)與教育2、物理環(huán)境平安〔1〕環(huán)境平安〔2〕設(shè)備平安〔3〕介質(zhì)平安3、信息資產(chǎn)平安〔1〕身份鑒別〔2〕訪問(wèn)控制〔3〕信息傳輸保密〔4〕電磁泄露防護(hù)〔5〕平安審計(jì)〔6〕入侵檢測(cè)〔7〕劃分平安域4、系統(tǒng)運(yùn)行平安〔1〕病毒的防治〔2〕信息備份與恢復(fù)〔3〕平安監(jiān)管系統(tǒng)〔4〕應(yīng)急響應(yīng)系統(tǒng)四、構(gòu)建有效的信息平安管理體系按照GB/T19000-2000質(zhì)量管理體系和ISO/IEC17799、BS7799-2：2000標(biāo)準(zhǔn)，我們提出了報(bào)國(guó)家認(rèn)可委備案的?信息平安管理體系標(biāo)準(zhǔn)?〔2004〕?信息平安管理體系標(biāo)準(zhǔn)?(2004)

十大控制目標(biāo)〔1〕信息平安方針〔2〕組織的信息平安〔3〕資產(chǎn)分類與控制〔4〕人事平安〔5〕設(shè)備與環(huán)境平安〔6〕通信和運(yùn)作管理〔7〕訪問(wèn)控制〔8〕系統(tǒng)開發(fā)與維護(hù)〔9〕業(yè)務(wù)連續(xù)性管理〔10〕符合性要求構(gòu)建信息平安管理體系的四大環(huán)節(jié)P、建立信息平安管理體系D、實(shí)施和運(yùn)行信息平安管理體系C、監(jiān)督和評(píng)審信息平安管理體系A(chǔ)、維護(hù)并改進(jìn)信息平安管理體系1、建立信息平安管理體系〔1〕確定信息平安管理體系的范圍〔2〕建立信息平安方針〔3〕明確風(fēng)險(xiǎn)管理的步驟〔4〕風(fēng)險(xiǎn)識(shí)別〔5〕風(fēng)險(xiǎn)評(píng)估〔6〕識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法〔7〕選擇處理風(fēng)險(xiǎn)的控制目標(biāo)和控制措施包括10個(gè)控制方面、36項(xiàng)控制目標(biāo)和127項(xiàng)控制措施〔8〕適用性聲明〔9〕獲得管理層的批準(zhǔn)2、實(shí)施和運(yùn)行信息平安管理體系〔1〕形成風(fēng)險(xiǎn)處理方案〔2〕實(shí)施風(fēng)險(xiǎn)處理方案〔3〕實(shí)施控制措施〔4〕進(jìn)行培訓(xùn)和教育〔5〕運(yùn)行控制〔6〕管理資源〔7〕檢測(cè)和應(yīng)對(duì)平安事故3、監(jiān)督和評(píng)審信息平安管理體系〔1〕啟動(dòng)監(jiān)督程序和控制措施〔2〕定期進(jìn)行信息平安管理體系有效性的評(píng)審〔3〕評(píng)審可接受風(fēng)險(xiǎn)認(rèn)可的程度〔4〕定期進(jìn)行信息平安管理體系的內(nèi)部審核〔5〕記錄對(duì)管理體系有效性或產(chǎn)生影響的行動(dòng)和事件4、維護(hù)并改進(jìn)信息平安管理體系〔1〕實(shí)施已明確的改進(jìn)措施〔2〕利用在平安事故中的經(jīng)驗(yàn)教訓(xùn)〔3〕與所有相關(guān)方交流結(jié)果并取得一致同意〔4〕確保改進(jìn)措施到達(dá)預(yù)期目標(biāo)建立信息平安管理體系文件的四個(gè)層次1、方針文件2、程序文件3、作業(yè)指導(dǎo)性文件4、記錄根據(jù)?信息平安管理體系標(biāo)準(zhǔn)?編制的體系文件有第一層文件：?信息平安方針和適用性聲明文件??信息平安管理手冊(cè)??風(fēng)險(xiǎn)評(píng)估報(bào)告??信息平安策略?第二層文件?信息平安管理體系程序文件??管理制度??應(yīng)急預(yù)案?根據(jù)?信息平安管理體系標(biāo)準(zhǔn)?編制的體系文件有第三層文件?作業(yè)指導(dǎo)書??檢查清單、表格?等根據(jù)?信息平安管理體系標(biāo)準(zhǔn)?編制的體系文件有第四層文件?記錄?作為信息平安管理體系運(yùn)行結(jié)果的證據(jù)根據(jù)?信息平安管理體系標(biāo)準(zhǔn)?產(chǎn)生的文件有五、信息平安管理體系的

實(shí)施與審核認(rèn)證〔1〕籌劃建立信息平安管理體系〔2〕信息平安管理體系文件獲得審核方的評(píng)審涉密信息系統(tǒng)的建設(shè)方案須獲得國(guó)家保密局的評(píng)審〔3〕實(shí)施信息平安管理體系的建設(shè)實(shí)施建設(shè)的涉密信息系統(tǒng)須通過(guò)國(guó)家保密局的平安保密測(cè)評(píng)〔4〕運(yùn)行信息平安管理體系通過(guò)平安保密測(cè)評(píng)的涉密信息系統(tǒng)可正式投入使用信息平安管理體系實(shí)施與認(rèn)證過(guò)程〔5〕監(jiān)督和評(píng)審信息平安管理體系〔內(nèi)審、管理評(píng)審〕〔6〕維護(hù)和改進(jìn)信息平安管理體系〔7〕申請(qǐng)信息平安管理體系認(rèn)證〔8〕進(jìn)行信息平安管理體系的外部審核〔9〕獲得信息平安管理體系認(rèn)證證書信息平安管理體系實(shí)施與認(rèn)證過(guò)程監(jiān)督信息平安管理體系的四個(gè)節(jié)點(diǎn)1、體系監(jiān)控2、內(nèi)部審核3、管理評(píng)審4、外部審核改進(jìn)信息平安管理體系的四種措施1、改進(jìn)措施2、預(yù)防措施3、糾正措施4、風(fēng)險(xiǎn)再評(píng)估六、我們的實(shí)踐2004年初，上海市信息中心、上海質(zhì)量體系審核中心、上海質(zhì)量教育培訓(xùn)中心三家單位牽頭，在參考了?ISO/IEC17799信息平安管理業(yè)務(wù)標(biāo)準(zhǔn)?的根底上開始進(jìn)行了?信息平安管理體系標(biāo)準(zhǔn)?編撰與培訓(xùn)、咨詢等工作2004年5月中旬形成了?信息平安管理體系標(biāo)準(zhǔn)?〔1.0版本〕和相應(yīng)的培訓(xùn)教材2004年7月底完成了?信息平安管理體系標(biāo)準(zhǔn)?〔1.1版本〕的專家評(píng)審2004年我們舉辦了為期六天共兩期的?信息平安管理體系標(biāo)準(zhǔn)審核員培訓(xùn)班?，有近40名學(xué)員考試合格獲得證書，并得到了國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)的認(rèn)可備案同時(shí)，我們選擇了一家企業(yè)根據(jù)?信息平安管理體系標(biāo)準(zhǔn)?建立信息平安管理體系的試點(diǎn)工作上海質(zhì)量體系審核中心作為?信息平安管理標(biāo)準(zhǔn)?審核單位，獲得了審核資質(zhì)的認(rèn)可備案今年四月份，上海一著名信息技術(shù)股份經(jīng)過(guò)上海市信息中心的咨詢和上海質(zhì)量體系審核中心的審核，獲得了首張?信息平安體系標(biāo)準(zhǔn)〔2004〕認(rèn)證證書?在此，我們希望與大家一起，為加快我國(guó)與國(guó)際信息