第一篇:第十章 信息系统安全概论(最终版)
第十章 信息系统安全概论
10.1 信息安全与信息系统安全
10.1.1 信息安全
信息安全是一个广泛和抽象的概念。长期以来,当人们谈及与计算机网络(或英特网)有关的信息系统的安全时,往往笼统地称为信息安全。仔细琢磨起来,信息安全与信息系统安全是由概念上的区别的。一般来说,当谈到与信息内容安全、计算机通讯安全、计算机网络安全和英特网接入安全等问题时,都会用信息安全来说明其中的部分问题。但信息安全并不代表、也不说明任何具体的个体或系统与安全有关的问题。
信息安全有着更广泛、更普遍的意义,它涵盖了人工和自动信息处理的安全、网络化和非网络化的信息系统安全,泛指一切以声光电信号、磁信号、语音以及约定形式等为载体的信息的安全,一般也包括以纸介质、磁介质、胶片、有线信道以及无线信道为媒体的信息,在获取(包括信息转换)、分类、排序、检索、传递和共享过程中的安全。10.1.2 信息系统安全
信息系统安全是确保信息系统结构安全、与信息系统相关的元素安全、以及与此相关的各种安全技术、安全服务和安全管理的总和。因此,信息系统安全更有体系性、可设计性、可实现性和可操作性。
在本书中,我们把信息系统安全定义为:确保以电磁信号为主要形式的,在计算机网络化体系中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑位置、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的,与人、网络、环境有关的技术和管理规程的有机集合。这里的人指信息系统的主体,包括各类用户、支持人员以及技术管理和行政管理人员;网络则指以计算机、网络互联设备、传输介质以及操作系统、通信协议和应用程序所构成的物理的完整体系;环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、电力保障与备份以及应急与恢复体系等。
信息系统安全的具体含义和侧重点会随着观察者的角度而不断变化。
从用户的角度来看,最为关心的信息系统安全问题是如何保证涉及个人隐私和商业利益的数据在传输过程中受到的保密性、完整性和可用性的保护,如何避免其他人利用窃听、冒充、篡改、抵赖等手段,对其利益和隐私造成损害和侵犯,同时用户也希望其保存在某个网络信息系统中的数据,不会受到其他非授权用户的访问和破坏。
从网络运行和管理者的角度来说,最为关心的信息系统安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。比如,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等现象,制止和防御网络“黑客”的攻击。
对安全保密部门和国家行政部门来说,最为关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。机密敏感的信息被泄密后将会对社会的安定产生危害,对国家造成巨大的经济损失和助治损失。
从社会教育和意识形态角度来说,最为关心的信息系统安全问题则是如何杜绝和控制网络上不健康的内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。10.1.3 信息系统安全管理
所谓管理,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的计划、组织、指挥、协调和控制等活动。
安全管理是理解应该保护什么和为什么需要保护这两个概念之间的桥梁,应该保护什么,提供了安全管理的目标,而为什么需要保护,则提供了安全管理的手段。
信息系统的安全管理目标是管理好信息资源和信息安全资源。安全管理是信息系统安全具有能动性的组成部分。实际上,大多数安全事件和安全隐患的发生,与其说是技术上的原因,毋宁说是由于管理不善造成的。在信息化高速发展的形式下,在不断推出高技术产品应用于保护信息系统安全的情况中,管理仍然是必须重视、不可或缺的。
安全管理贯穿于信息系统规划、设计和运行(经营)、维护的各个阶段,既包含行政手段,也包含技术措施。安全管理的内容包括信息安全管理的原则(政策和策略),信息安全机构和人员的管理,技术管理,以及场地设施管理等。
信息安全管理的原则首先体现在国家法律和政府制定的政策法规上,也体现在机构和部门制定的规范制度上。为了实现安全管理,应该具备“四有”:有专门的管理机构;有专门的管理人员;有逐步完善的安全管理制度;有逐步提供的安全技术设施。
信息安全管理主要涉及以下 8 个基本方面:人事管理;设备管理;场地管理;存储媒体管理;软件管理;网络管理;密码和密钥管理;审计管理等。10.2 信息系统安全特性
从信息的角度来看,信息的基本安全属性分为三个方面,即保密性、完整性和可用性。从另一个角度来说,信息系统安全就是保证:信息系统的用户在允许的时间内、从允许的地点、通过允许的方法,对允许范围内的信息进行所允许的处理,用户的对象确实是用户希望处理的对象。任何对于信息可用性、保密性、完整性的破坏性事件就是信息安全事故、事件。10.2.1 可用性(Availability)
可用性是信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是系统安全的最基本要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可用性测度主要有三种:抗毁性、生存性和有效性。
抗毁性是指系统在人为破坏下的可用性。比如,部分线路或节点失效后,系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(如战争、地震等)造成的大面积瘫痪事件。
生存性是在随机破坏下系统的可用性。生存性主要反映随机性破坏和网络拓扑结构对系统可用性的影响。这里,随机性破坏是指系统部件因为自然老化等造成的。
有效性是一种基于业务性能的可用性。有效性主要反映在信息系统的部件失效的情况下,满足业务性能要求的程度。比如,信息系统部件失效虽然没有引起联接性故障,但是却造成质量指标下降,平均延时增加、线路堵塞等现象。
可用性主要表现在硬件可用性、软件可用性、人员可用性、环境可用性等方面。硬件可用性最为直观和常见。软件可用性是指在规定的时间内,程序成功运行的概率。人员可用性在整个系统中扮演着重要角色,因为系统失效的大部分原因是人为差错造成的。人的行为要受生理和心理的影响,受到其技术熟练程度、责任心和品德等素质方面的影响。因此,工作人员的教育、培训、训练和管理以及合理的人机界面是提高可用性的主要手段。环境可用性是指在规定的环境内,保证网络成功运行的概率。这里的环境主要指自然环境和电磁环境。
10.2.2 保密性(Confidentiality)
保密性是信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄露给非授权的个人或实体,信息只为授权用户使用的特性。保密性是在可用性的基础上,保障网络信息安全的重要手段。
常用的保密技术包括:防侦测(使对手侦测不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄漏)等。
10.2.3 完整性(intergrity)
完整性是信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。
完整性和保密性不同,保密性要求信息不被泄漏给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。保障网络信息完整性的主要方法有:
1、协议。通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;
2、纠错编码方法。用来完成检测和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;
3、密码校验方法。它是抗篡改和传输失败的重要手段;
4、数字签名。保障信息的真实性;
5、公证。请求网络管理或中介机构证明信息的真实性。10.3 信息系统安全架构
信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和,安全的最终目的是确保信息的机密性、完整性和可用性,以及信息系统主体(包括用户、组织、社会和国家)对于信息资源的控制。从信息系统安全目标来看,其中的网络安全、数据安全、信息内容安全等可通过开放系统互连安全体系系统的安全服务、安全机制及其管理实现,但所获得的这些安全特性只解决了与通信和互连有关的安全问题,而涉及与信息系统构成组件及其运行环境安全有关的其他安全问题(如物理安全、系统安全等)还需要从技术措施和管理措施两方面结合起来,考虑解决方案。为了系统地、完整地构建信息系统的安全体系框架,可以考虑信息系统安全体系由技术体系、组织机构体系和管理体系共同构建。
10.3.1 技术体系
技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成。
一类是物理安全技术,通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备等条件,满足信息系统的机械防护安全;通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到两个安全目的,一是信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行,二是控制信息电磁辐射造成的信息泄露,必要时还应从建筑物和机房条件的设计开始就采取必要措施,以使电磁辐射指标符合国家相应的安全等级要求。物理安全技术运用与物理保障环境(含系统组件的物理环境)。
另一类是系统安全技术,通过对信息系统安全组件的选择,使信息系统安全组件的软件工作平台达到相应的安全等级,一方面避免操作平台自身的脆弱性和漏洞的风险,另一方面防止任何形式的非授权行为对信息系统安全组件的入侵或接管系统的管理权。
10.3.2 组织机构体系
组织机构体系是信息系统的组织保障系统,由机构、岗位和人事三个模块构成,一个机构设置分为:决策层、管理层和执行层。决策层是信息系统用户单位中决定信息系统安全重大事宜的领导机构,由有保密职能的部门负责人及信息系统主要负责人参与组成。管理层是决策层的日常管理机关,根据决策机构的决定,全面规划并协调各方面力量,实施信息系统的安全方案,制定、修改安全策略,处理安全事故,设置安全相关的岗位。执行层是在管理层协调下,具体负责某一个或某几个特定安全事务的一个逻辑群体,这个群体分布在信息系统的各个操作层或岗位上。
岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列,一个人可以负责一个或几个安全岗位,但一个人不能同时兼任安全岗位所对应的系统管理或具体业务岗位。因此,岗位不是一个机构,它由管理机构决定,由人事机构管理。
人事机构是根据管理机构设定的岗位,对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行。
10.3.3 管理体系
管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。
法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范与约束。法律管理具有对信息系统主体行为的强制性约束力,并且具有明确的管理层次性。与安全有关的法律法规是信息系统安全的最高行为准则。制度管理是信息系统内部依据必要的安全需求制定的一系列内部规章制度,主要包括:安全管理和执行机构的行为规范;岗位设定及其操作规范;岗位人员的素质要求及行为规范;内部关系与外部关系的行为规范等。制度管理是法律管理的形式化、具体化,是法律、法规与管理对象的接口。
培训管理是确保系统安全的前提。培训管理的内容包括:法律法规培训、内部培训制度、岗位操作培训、普遍安全意识和岗位相关的重点安全意识相结合的培训,业务素质与技能技巧培训等。培训的对象几乎包括信息系统有关的所有人员(不仅仅是从事安全管理和业务的人员)。
10.4 信息系统安全规划
信息系统安全规划主要包括以下 8 个方面的内容:
10.4.1 人员安全管理
任何系统都是由人来控制的,除了对于重要岗位的工作人员要进行审查之外,建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中有以下原则:
1、授权最小化。只授予操作人员为完成本职工作所必须的最小授权,包括对数据文件的访问,计算机和外设的使用等。
2、授权分散化。对于关键的任务必须在功能上进行划分,由多人来共同承担,保证没有任何个人具有完成任务的全部授权或信息。
3、授权规范化。建立起申请、建立、发出和关闭用户授权的严格的制度,以及管理和监督用户操作责任的机制。
10.4.2 物理与环境保护
对于物理与环境保护要考虑以下几方面的内容:
物理访问控制,在重要区域限制人员的进出。重要区域不仅包括机房,也应包括能够接触到内部网络的区域,供电系统(如 UPS),备份介质存放的地点等。
建筑物安全,要考虑建筑物防火、地震,结构坍塌、漏水等造成的风险。
公用设施的保证,为了使系统能够不间断地提供服务及硬件设备不受损害,必须评价供电、供水、空调等设施的可用性,并提出相应的措施。
数据安全,数据泄漏一般有三种途径:直接获取,在传输中截获,通过电磁辐射泄漏。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度,如果其中保存了敏感数据应进行加密,避免丢失或被盗时造成数据泄露。
10.4.3 输入 / 输出控制
对系统的输入/输出信息或介质必须建立管理制度,只有经过授权的人员方可提供或获得系统的输入/输出信息。
10.4.4 制定突发事件的应急计划
必须针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。
10.4.5 应用软件维护控制
在应用软件的维护过程中,需要对所使用的商业软件的版权和来源、应用软件的文档在维护过程是否修改、测试数据的产生与测试结果、是否留有软件测试所建立的后门或热键等问题进行规划和评估。
10.4.6 数据完整性与有效性控制
数据完整性与有效性控制要保证数据不被更改和破坏。需要规划和评估的内容包括:系统的备份与恢复措施;计算机病毒的防范与检测制度;是否有实时监控系统日志文件来记录与系统可用性相关的问题(如对系统的主动攻击,处理速度下降和异常停机)等。
10.4.7 文档管理
文档在安全控制中用于说明系统的工作机制,并且规范系统的安全与操作的特定过程。系统文档应包括软件、硬件、政策、标准、过程等的描述,以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施,突发事件对策,以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调,以保证运行管理与操作的一致性。
10.4.8 安全教育与培训
必须建立定期进行信息系统的安全教育与培训的制度,对于与重要应用系统相关的人员还应以多种方式,针对特定系统进行安全教育与培训。
10.5 信息系统安全教育
为了保证信息系统安全,防范计算机犯罪,需要从技术、法律、管理和教育等几方面入手。信息系统安全教育是信息系统安全的重要组成部分,也是国家安全体系不可缺少的一项工作。10.5.1 信息系统安全教育的特点和对象
信息系统安全学是一门新的学科,学科的特定决定了该教育的特点。信息系统安全涉及自然科学和社会科学的很多学科,并正在形成新的独立学科。所涉及的学科有:计算机工程技术、通信、密码学、管理学、社会心理学、法学、审计学等。信息系统安全教育是一种特殊教育。例如,对计算机病毒的分析、防治,病毒的制造与传播,在技术上并无界限;会加密,就具备破译的条件;掌握加密技术的人员,固然会给信息系统安全管理工作增加了一份力量;反过来,也可以认为是多了一份信息系统安全。这一点很容易被人们忽视。这也是信息系统安全教育的一个特殊方面,由此决定了信息系统安全教育不能是任何单位与个人都可以进行的,必须在有关部门统一管理下,目标明确,有领导、有组织、有计划、有步骤地开展。包括安全技术专业的设置、课程的开设、培训班的开办等。一哄而上,难免会给社会的信息系统安全增加极大的潜在威胁。
凡是与信息系统安全有关的所有人员都是信息系统安全教育的对象。工作岗位的多样化,决定了信息系统安全教育对象的多样化。安全教育对象主要有:
1、领导与管理人员;
2、计算机工程人员,包括研究开发人员和维护应用人员;
3、计算机厂商;
4、一般用户;
5、计算机安全管理部门的工作人员;
6、法律工作人员
7、其他有关人员
10.5.2 信息安全教育的主要内容
信息系统安全教育的内容比较多,主要包括法规教育、安全基础知识教育和职业道德教育。其中,安全基础知识教育又包括网络安全教育、运行安全教育、实体安全教育、安全技术基础知识等。
一、法规教育
在现代社会中,计算机的社会化程度正在迅速提高。大量与国计民生、国家安全相关的重要数据信息,迅速地向信息系统集中,并被广泛的应用于各个领域。
另一方面,计算机系统又处在高科技下非法的以至敌对的渗透、窃取、篡改或破坏的复杂环境中,面临着计算机犯罪、攻击和计算机故障的威胁。事实上,计算机的脆弱性所导致的诈骗犯罪,已经给信息化发达的国家和公众带来严重损失和危害,成为社会关注的问题。因此,许多国家在走过一段弯路后,都在纷纷采取技术、行政和法律措施,加强对计算机的安全保护,至今已有许多国家制定了计算机安全法律、法规,建立了计算机安全管理、监察和审计机构。
法规教育是信息系统安全教育的核心。不管是做一名计算机工作人员,还是国家公务员,都应接受信息系统安全法规教育并熟知有关章节的要点。因为法规是我们保证信息系统安全的准则。法规教育是我们遵守法规的必由之路。所以,各单位与部门要从抓宣传、教育、培训着手,抓好计算机信息系统安全工作。
二、安全基础知识
安全基础知识教育又包括网络安全教育、运行安全教育、实体安全教育、安全技术基础知识等。
1、安全技术教育
安全技术教育应该熟练掌握使用一般的安全工具;了解计算机的硬件参数与软件参数,一般信息系统的薄弱点和风险等。
2、网络安全教育
网络安全教育应该要求熟练掌握计算机网络安全方法学;可信网络指导标准(BS7799、GB17895 : 1999、ITSEC);网络安全模型;计算机网络安全设计方法。
3、运行安全教育
运行安全是为了保障信息系统功能的实现,提供一套安全措施来保护信息处理护的安全。运行安全教育应该了解:信息系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障的维护、风险分析、应急、恢复与备份。
3、实体安全教育
实体安全是保护信息系统设备、设施以及其它媒体免遭地震、水灾、火灾、有害气体和其他环境事故(包括电磁污染)破坏的措施。实体安全教育应该了解:计算机机房的安全技术要求、实体访问控制;计算机系统的静电防护等。
.职业道德教育
道德是社会意识形式之一,是一定社会条件下,调整人与人之间以及个人和社会之间的关系的行为规范的总和。
伦理道德属于形态范畴,它是人们的信念或信仰,也是规范行为的准则。全社会良好的道德规范是文明社会的标志之一。伦理道德与法律不同,法律对人们行为的判定只有违法和不违法,而不违法的行为视为正确。法律适合于每一个人,是强制执行,尽管某人可能不同意某一法律条文,但必须按照法律的要求去做。法律不可能规定所有符合社会的准则,也不可能处理所有不符合社会行为的事件。而伦理道德是一种人们行为正确和错误的客观标准,社会根据伦理道德标准,规定出可接受的行为准则并由社会舆论来监督执行。
就职业道德而言,首先,应尊重事实,任何不确定的情况应先了解清楚;其次,所遵循的职业准则应包括诚实、努力工作、适当补偿、尊重隐私等内容;最后,种种道德准则在特定的情况下会有冲突,有时需要比较、分析而坚持最合理的准则、计算机人员要加强思想道德修养教育,提高其思想认识水平;树立为客户服务,为社会服务的思想观念。
道德标准和责任心问题必须寓于教育体系中,尤其在计算机教育课程中加以强调。这里特别重要的计算机教育课程的教员要成为道德与负责行为方面的模范。在培训人们使用具有潜在危险的专业技能时,不宣传贯彻道德上的责任心会对社会构成巨大的威胁。
10.5.3 信息安全教育的意义
抓好安全教育是增强人们安全意识、提高人员安全素质的有效方法,是做好信息系统安全的基础。总所周知,信息系统是人建造的,是为人服务的,除了少数难以预知和抵抗的天灾,绝大多数的各种灾害都是人为的。人,始终是信息系统安全工作的核心因素。所以,增强对人的信息系统安全意识教育是信息系统安全体系中的重中之重。
10.6 国内外相关法规和标准介绍
10.6.1 国内信息安全政策法规和标准介绍
我国的信息安全政策法规和标准主要采取与国际标准靠拢的方式。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准 GB17895 - 1999 《计算机信息系统安全保护等级划分细则》已经正式颁布并实施。该准则为信息安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。《计算机信息系统安全保护等级划分准则》的配套标准分成两类:一是《计算机信息系统安全保护等级划分准则应用指南》,包括技术指南,建设指南和管理指南;二是《计算机信息系统安全保护等级等级评估准则》,包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。
《计算机信息系统安全保护等级划分准则》将信息系统安全分成五个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级、主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等。
第一级: 用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。第二级: 系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。
第三级:安全标志保护级。除了继承前一级别的安全工程外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制功能。
第四级:机构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
第五级:访问验证保护级。这个级别特别增设了访问验证功能,负责仲裁访问者对访问对象所有访问活动。
10.6.2 国际上主要的网络与信息安全管理标准
(1)BS 7799-1(ISO/IEC 17799)和 BS 7799-2:2002
BS 7799-1(ISO/IEC 17799)和 BS 7799-2:2002 是一套以风险管理、风险评估为基础的信息安全管理体系,也是国际上具有代表性的信息安全管理体系标准。
BS 7799 分两部分:信息安全管理实施细则和信息安全管理体系规范,其中信息安全管理实施细则于 2000 年通过国际标准化组织(ISO)认可,即 ISO/IEC 17799:2000,主要是为信息安全管理提供了推荐的建议,可以在机构内部实施和维护信息安全时作为参考文档。信息安全管理体系规范(ISMS)则详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制,明确要求组织必须进行风险评估确认组织资产所面临的威胁。
BS 7799 由 10 个控制主题组成,每个主题又由几个子类组成,子类下又规定了若干的安全要素,共有 10 个主题;36 个管理目标和 127 类控制;500 个具体控制细则。
BS7799 最大的优势就是通用性较好,并且已经获得较成功的商业应用和推广。另外 BS7799 是基于信息安全方针为信息安全管理提供导向和支持,所有的控制目标和控制方式的选择建立在风险评估基础之上,对风险评估和风险管理的要求较高,在整个信息安全管理体系的建立过程中体现了预防控制为主、动态管理和全员参与的原则,并且遵循管理的一般循环模式------持续改进模式,对商务持续性保障提出了要求。
BS7799 的问题在于为了保障标准的适用性,它对所有控制项都没有提供权值,在实施过程中顾问的主观意识起了非常大的作用,这样虽然有利较好的保障实施中的调整,但也不利于形成一个定量的分析指标。比如在对风险进行分级和排序的时候,由于人的因素,比如有主观性,7799 就不易出评价的依据。
在商业应用上,BS7799 也是目前信息安全管理领域在商业上成就最大的标准,已经有二十几个国家引用 BS 7799 作为国标,同时 BS 7799(ISO/IEC 17799)成为卖出拷贝最多的管理标准,目前国内外各大信息安全公司基本上也都以 BS 7799 为指导为客户提供信息安全咨询服务。
总的来说,BS 7799 涵盖了信息系统的安全管理所应涉及的各个方面,较其他标准来说更全面,同时也为可操作性留出了比较大的余地,可以参照这个标准制定一个可持续提高的信息安全管理体系。
思考题:
信息系统安全的特性有哪些要求?
信息系统安全与信息安全有何不同?
信息系统安全架构由哪几部分组成?
信息系统安全规划要从哪些方面来考虑?
为什么安全管理在信息系统安全中占重要地位?
安全教育包括哪些内容?意义何在?
第二篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第三篇:信息系统安全管理办法
1.0
目的为保证集团计算机信息系统的平安,防止信息泄密,特制定本管理办
法。
2.0
适用范围
本规定适用于本集团的全体员工;适用于本公司所有办公用计算机、网
络布线和网络连接设备。
3.0
职责
集团人力行政中心统一负责管理和维护集团各公司的计算机、打印机、电脑网络等办公自动化设备及各类软件,并对计算机系统平安保密工作进行指导、协调和监督检查;各部门主管负责本部门办公设备和信息系统的平安保密工作,应指定专人经常进行信息的平安情况检查;定期查、杀病毒,确保系统平安运行。
4.0
具体管理方法
4.1
设备平安管理
4.1.1
非设备维护人员,不得私自拆装计算机设备,不得私自变更网络设备的连接,对非法操作造成的财产损失和网络重大故障的有关人员,要追究
责任。
严禁带电拔插计算机上的所有连线和设备〔键盘、鼠标、打印机、软件
狗等〕,以防止损坏设备。
4.1.3
除不可抗拒的原因外,禁止非法开、关机,关机后再次启动电脑的间隔
时间不得低于1分钟。
对外来软盘、u盘等介质应先杀毒,以消除可能带有的病毒。
严禁在开机状态下移动计算机主机等设备。
4.1.6
未经人力行政中心IT部门登记,不得将外来的笔记本电脑等设备私自接
入公司网络。
4.2
软件平安管理
4.2.1
计算机上使用的系统软件由集团人力行政中心有关技术人员进行安装,各部门使用的自购或开发的软件必须由集团人力行政中心技术员检查确认平安问题并建立软件档案前方可使用。
计算机使用人员应遵守如下规定:
〔1〕不得随意修改计算机和网络上的配置参数、程序及信息资源;
〔2〕未经防病毒检查和平安性检查,不得随意拷入外来程序及数据;
〔3〕不得私自从因特网上下载非工作必需的软件,以免影响其他人上网的速度。
〔4〕不得安装与工作无关的软件,严禁办公时间在电脑上玩游戏、上网浏览色情网站或下载游戏软件,工作时间不得上网聊天或进入交友网站。
4.3
信息平安管理
4.3.1
各计算机用户负责妥善处理本人使用的计算机上的信息,未经许可不得
随意拷贝、打印保密信息。
4.3.2不得向网络输入有害程序和信息或利用网络查询、传播各种违法信息。
4.3.3向网站发布信息必须按相关规定审批前方可发布。
4.3.4需长期保存的文件不得放置在电脑C盘,应放在D、E等盘,并及时备份〔建议采用光盘或U盘的方式,尽量不使用软盘方式〕,以免由于系统出错格式化造成文档丧失,如因硬盘损坏等原因造成信息丧失的后果由当事人及部门主管负责。
任何部门或个人发现计算机信息系统泄密和存在不平安因素,应及时报
告集团人力行政中心IT部门采取措施补救。
5.0
违反本管理方法按?奖惩制度?处理。
6.0
本管理方法解释权归属集团人力行政中心。如原有规定与本管理方法有冲突,以本管理方法为准。
7.0
本管理方法自2021年1月1日起执行。
第四篇:信息系统安全工作总结
2011年信息系统安全工作总结
为确保公司信息系统持续安全稳定运行,我中心把此项工作列入重要议事日程,明确主管领导、责任部门和相关人员,制定相应规章制度,确保了我中心公司信息系统持续安全稳定运行。现将2011年工作汇报如下:
一、安全管理制度落实情况
1、成立了信息安全管理机构。明确信息安全工作由中心信息安全领导小组负责,该领导小组由中心工会主席XX任组长,由中心安全部XX为信息专责,各系统使用人为成员。明确由中心信息中心负责具体公司信息系统安全维护日常工作。健全的机构、明晰的人员分工为公司信息系统安全运行奠定了坚实的基础。
2、建立了信息安全责任制。按责任规定:中心信息安全领导小组对信息安全负首责,主管领导负总责,管理人员负主责,具体使用人员负主责。
3、制定了计算机外网和公司网分离使用的相关保密管理制度。规定外网使用人员负责本台电脑信息管护工作,公司网使用人员负责内网保密管理,规定双网间不得相互搭接,严禁泄密。
二、安全防范措施落实情况
1、公司网计算机按照公司管理规定,经过了保密技术检查,没有同互联网相连接,并安装了防火墙,实行了物理隔离。同时安装了金山杀毒软件,加强了防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的功能。
2、检测信息系统无安全漏洞,载有涉密内容的移动存储设备(包括软盘、硬盘、光盘等)没有带离办公地点,没有出现涉密内容在Internet相连的计算机系统中存储、处理、传输。
三、应急响应机制建设情况
1、按照要求制定了应急机构及应急预案等,做到了责任落实、人员到位、措施得力,并在中心内进行了广泛的宣传贯彻和培训,明确了应急技术支援队伍。
2、坚持和涉密计算机系统定点维修单位取得密切联系,并商定在中心涉密计算机出现问题等应急技术时给予最大程度的支持。
3、严格文件的收发,完善了清点、编号、签收制度,并要求办公室文员在每天下班前进行系统检查维护。
四、信息技术产品和服务国产化情况
计算机的保密系统、公文处理软件、信息安全产品、服务器、路由器、交换机等皆符合相关技术要求。
五、安全教育培训情况
1、派专人参加了公司组织的网络系统安全和保密知识培训、安全技能培训等,并安排专人负责本中心的网络安全管理和信息安全工作。
2、中心信息安全领导小组多次组织全中心职工学习了计算机的基本操作技能和信息安 全常识等内容。
总之,在2011年里我单位没有出现违反信息安全规定行为和造成泄密事故、信息、安全事故的情况发生。
六、存在的不足和整改措施
1、对信息安全投入力量有限。由于办公费用紧张,对信息系统安全投入不足,硬件措施不能完全达到标准。
2、人员培训力度需要进一步加强。2011年在人员培训上也下了不少工夫,使用内网职工对于信息安全重要性的认识需要进一步提升,特别是岗位发生变化后,需要进行上岗前的培训,合格后方能进行相关工作,以进一步确保信息安全。
在以后的信息安全工作中,我们将结合实际,主要在以下几个方面进行整改。
1、针对信息安全意识需进一步提升问题,进一步加大力度对计算机安全知识的培训教育,提高做好安全工作的主动性和自觉性。
2、针对设备维护、及时更新问题,加大对线路、系统等及时维护和保养,同时针对信息技术的快速发展的特点,加大更新力度。
3、针对信息安全工作水平不高问题。继续努力,在落实责任制上下功夫,坚持执行“谁主管谁负责,谁分管谁负责,谁维护谁负责,谁使用谁负责”的责任制方针,将上级的信息安全精神落实到实处,力争把信息安全的管护提高到现代化水平,促进中心计算机信息系统安全的防范和保密工作的顺利进行。
4、针对工作机制不够完善问题。要坚持以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,加大奖惩力度,随时随地解决可能发生的信息系统安全事故,确保此项工作稳定运行。
第五篇:信息系统安全自查报告
信息系统安全自查报告
一、自查情况
1、安全制度落实情况: 目前我院已制定了<网络安全管理制度>、<计算机信息系统安全保密管理制度>、<涉密人员管理制度>等制度并严格执行。信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。
2、安全防范措施落实情况:(1)计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(2)禁止使用来历不明或未经杀毒的一切移动存储介质。(3)在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、u盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的u盘,不得携带到单位内使用。(4)安装了准入准出管理系统,对内部网络中出现的内部用户未通过允许私自联到外部网络的行为进行检查。对外来终端接入医院网络必须进行健康度审查,直至符合相关要求后,经管理员审核才能接入医院网络。对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等,定期对终端计算机进行安全审计;规范化使用终端软硬件,不得擅自更改软硬件配置,不得擅自安装软件,严禁在计算机上安装非法盗版软件;监控系统开启服务与程序情况,关闭不必要的服务、端口、来宾组等,防止恶意程序后台运行,防止安装过多应用软件及病毒、木马程序的自运行;加强网络访问控制,防止计算机进行违规互联,防止信息因共享等方式进行违规流转,防止木马、病毒在信息系统内大规模爆发。(5)安装了防病毒系统、威肋预警系统,服务器安装支持统一管理的防病毒软件,及时更新软件版本和病毒库;整改配备威胁管理平台和杀软,主机与网络的防范产品统一管理,且必须与终端杀毒软件属不同的安全库;定期(如每半年年)进行系统漏洞扫描,并根据扫描发现的漏洞开展整改工作,应定期(如每月)对恶意代码查杀结果进行分析,对于查杀发现的病毒及其传播、感染方式进行通告,并出具分析报告,及时更新操作系统的安全补丁,更新前应对补丁进行测试,确认其不影响操作系统的业务性能后,再安装系统安全补丁。(6)安装了数据库审计系统(防统方)软件,审计范围覆盖到服务器上的每个操作系统用户和数据库用户;审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等;对医院数据库几张重要的表格(统方)采取相应的安全措施,降低国家省里卫计委三令五声的统方信息泄露事件。整改配备数据库审计系统(反统方),对重要客户端的审计和审计报表计记录的保护。部署数据库审计系统,赋予安全管理员审计系统管理权限,其中系统管理员无审计系统日志访问权限,安全管理员无数据库系统管理权限;(7)安装了网闸隔离设备,医院内网与外网原本是物理上隔离,因部份数据需要内外网进行交互,采用专用三机统的安全网闸来实现内外网数据交互,保障安全。
3、应急响应机制建设情况:(1)制定了初步应急预案,并处于不断完善阶段。(2)对信息系统数据进行定期备份,以降低或消除各种灾难对正常工作的影响。
4、信息技术产品应用情况: 使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
5、信息安全教育培训情况:(1)我院不断加强对计算机使用者的安全培训工作,强化每一个使用者安全使用网络的能力,提高安全防范意识,对每台入网计算机的使用者、ip地址进行登记造册。(2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识,有效提高信息安全防护能力。
二、信息安全检查发现的主要问题及整改情况
1、目前存在的问题:(1)规章制度体系初步建立,但还不够完善,未能覆盖信息系统安全的所有方面。(2)不少信息系统使用人员安全意识不强,在管理上缺乏主动性和自觉性。(3)网络安全技术管理人员配备较少,信息系统安全方面投入的力量有限。
2、整改措施:(1)再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行重新修订与修改,切实增强信息安全制度的落实工作,不定期对安全制度执行情况进行检查。(2)继续加强人员的安全意识教育,提高人员安全工作的主动性和自觉性。(3)加大对线路、系统等的及时维护和保养,加大更新力度。提高安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和信息系统安全工作。
三、对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识。
2、加强人员的信息安全意识,不断地加强信息系统安全管理和技术防范水平。
3、增加安全管理的经费。
点击咨询 