信息安全管理淺析
2019-05-29 10:22:00 來源:本站 瀏覽:299

一、基本概念

1、信息


在信息技術領域,國家標準GB/T5271.1《信息技術 詞匯 第1部分:基本術語》中對信息給出了定義:關于客體(如事實、事件、事物、過程或思想,包括概念)的知識,在一定的場合中具有特定的意義。在信息安全領域,信息是通過在數據上施加某些約定而賦予這些數據的特殊含義,強調信息是無形的,借助于信息媒體以多種形式存在和傳播;同時,信息也是一種重要資產,具有價值,需要保護。信息具有如下基本特征:


① 可量度。信息可采用某種度量單位進行度量,并進行信息編碼,如現代計算機使用的二進制。


② 可識別。信息可采用直觀識別、比較識別和間接識別等多種方式來把握。


③ 可轉換。信息可以從一種形態轉換為另一種形態,如自然信息可轉換為語言、文字和圖像等形態,也可轉換為電磁波信號和計算機代碼。


④ 可存儲。信息可以存儲。大腦就是一個天然信息存儲器。人類發明的文字、攝影、錄音、錄像以及計算機存儲器等都可以進行信息存儲。


⑤ 可處理。人腦就是最佳的信息處理器。人腦的思維功能可以進行決策、設計、研究、寫作、改進、發明、創造等多種信息處理活動。計算機也具有信息處理功能。


⑥ 可傳遞。信息的傳遞是與物質和能量的傳遞同時進行的。語言、表情、動作、報刊、書籍、廣播、電視、電話等是人類常用的信息傳遞方式。


⑦ 可再生。信息經過處理后,可以以其他形式再生。例如,自然信息經過人工處理后,可用語言或圖形等方式再生成信息。輸入計算機的各種數據文字等信息,可用顯示、打印、繪圖等方式再生成信息。


⑧ 可壓縮。信息可以進行壓縮,可以用不同信息量來描述同一事物。人們常常用盡可能少的信息量描述一件事物的主要特征。


⑨ 可利用。信息具有一定的實效性和可利用性。


⑩ 可共享。信息具有擴散性,因此可共享。

2、信息資產


對組織具有價值的信息或資源稱為信息資產。參考《信息安全技術 信息安全風險評估規范》,信息資產分類如表1所示。

                                                     表1  通常的信息資產分類

3、信息安全


ISO國際標準化組織對于信息安全給出了精確的定義。信息安全是為數據處理系統建立,采用技術和管理的措施進行安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。在信息安全管理中,簡單地將信息安全定義為保持信息的保密性、完整性和可用性,有時也考慮其他屬性,如真實性、可核查性、抗抵賴性和可靠性等。


ISO的信息安全定義清楚地回答了我們關心的信息安全主要問題,包括3方面的含義。


① 信息安全的保護對象。信息安全的保護對象是信息資產,典型的信息資產包括計算機硬件、軟件和數據。


② 信息安全的目標。信息安全的目標是保證信息資產的三個基本安全屬性。信息資產被泄露意味著保密性受到影響,被更改意味著完整性受到影響,被破壞意味著可用性受到影響,而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。


③ 實現信息安全目標的途徑。實現信息安全目標的途徑要借助兩方面的控制措施,即技術措施和管理措施。從這里就能看出技術和管理并重的基本思想,重技術輕管理,或者重管理輕技術,都是不科學,并且是有局限性的錯誤觀點。


4、信息安全管理


信息安全管理是指通過維護信息的機密性、完整性和可用性來管理和保護信息資產,是對信息安全保障進行指導、規范和管理的一系列活動和過程。

二、基本內容

信息安全管理主要包括信息安全風險管理、設備的安全管理、信息的安全管理和運行的安全管理。


1、信息安全風險管理


信息安全管理是一個過程,而不是一個產品,其本質是風險管理。信息安全風險管理可以看成一個不斷降低安全風險的過程,最終目的是使安全風險降低到一個可接受的程度,使用戶和決策者可以接受剩余的風險。信息安全風險管理貫穿信息系統生命周期的全部過程。信息系統生命周期包括規劃、設計、實施、運維和廢棄5個階段。每個階段都存在相關風險,需要采用同樣的信息安全風險管理的方法加以控制。


信息安全風險管理是為保護信息及其相關資產,指導和控制一個組織相關信息安全風險的協調活動。我國《信息安全風險管理指南》指出,信息安全風險管理包括對象確立、風險評估、風險控制、審核批準、監控與審查、溝通與咨詢6方面,其中前4項是信息安全風險管理的4個基本步驟,監控與審查和溝通與咨詢則貫穿于這4個步驟中。


2、設施的安全管理


設施的安全管理包括網絡的安全管理、保密設備的安全管理、硬件設施的安全管理、場地的安全管理等。


信息管理網絡是一個用于收集、傳輸、處理和存儲有關信息系統與網絡的維護、運行和管理信息的、高度自動化網絡化的綜合管理系統,包括性能管理、配置管理、故障管理、計費管理、安全管理等功能。安全管理又包括系統的安全管理、安全服務管理、安全機制管理、安全事件處理管理、安全審計管理、安全恢復管理等。


對硬件設施的安全管理主要考慮配置管理、使用管理、維修管理、存儲管理、網絡連接管理。常見的網絡設備需要防止電磁輻射、電磁泄漏和自然老化。對集線器、交換機、網關設備或路由器,還需防止受到拒絕服務、訪問控制、后門缺陷等威脅。對傳輸介質還需防止電磁干擾、搭線竊聽和人為破壞,對衛星信道、微波接力信道等需防止對信道的竊聽及人為破壞。對保密設備主要包括保密性能指標的管理、工作狀態的管理、保密設備類型、數量、分配、使用者狀況的管理、密鑰的管理。場地設施的安全管理。機房和場地設施的安全管理需要滿足防水、防火、防靜電、防雷擊、防輻射、防盜竊等國家標準。人員出入控制,需要根據安全等級和涉密范圍,采取必要的技術與行政措施,對人員進入和退出的時間及進入理由進行登記等。電磁輻射防護,需要根據技術上的可行性與經濟上的合理性,采取設備防護、建筑物防護、區域性防護、磁場防護。


3、信息的安全管理


根據信息化建設發展的需要,信息包括三個層次的內容:一是在網絡和系統中被采集、傳輸、處理和存儲的對象,如技術文檔、存儲介質、各種信息等;二是指使用的各種軟件;三是安全管理手段的密鑰和口令等信息。軟件設施的安全管理。對軟件設施的安全管理主要考慮配置管理、使用和維護管理、開發管理、病毒管理。軟件設施主要包括操作系統、數據庫系統、應用軟件、網絡管理軟件以及網絡協議等。操作系統是整個計算機系統的基石,由于它的安全等級不高,需要提供不同安全等級的保護。對數據庫系統需要加強數據庫的安全性,并采用加密技術對數據庫中的敏感數據加密。目前使用最廣泛的網絡通信協議是TCP/IP協議。由于存在許多安全設計缺陷,常常面臨許多威脅。網絡管理軟件是安全管理的重要組成部分,常用的有HP公司的OpenView、IBM公司的NetView、SUN公司的NetManager等,也需要額外的安全措施。


① 存儲介質的安全管理。存儲介質包括:紙介質、磁盤、光盤、磁帶、錄音/錄像帶等,它們的安全對信息系統的恢復、信息的保密、防病毒起著十分關鍵的作用。對不同類別的存儲介質,安全管理要求也不盡相同。對存儲介質的安全管理主要考慮存儲管理、使用管理、復制和銷毀管理、涉密介質的安全管理。


② 技術文檔的安全管理。技術文檔是系統或網絡在設計、開發、運行和維護中所有技術問題的文字描述。技術文檔按其內容的涉密程度進行分級管理,一般分為絕密級、機密級、秘密級和公開級。對技術文檔的安全管理主要考慮文檔的使用、備份、借閱、銷毀等方面,需要建立嚴格的管理制度和相關負責人。


③ 密鑰和口令的安全管理。密鑰是加密解密算法的關鍵,密鑰管理就是對密鑰的生成、檢驗、分配、保存、使用、注入、更換和銷毀等過程所進行的管理。口令是進行設備管理的一種有效手段,對口令的產生、傳送、使用、存儲、更換均需要有效的管理和控制。


4、運行的安全管理


信息系統和網絡在運行中的安全狀態也是需要考慮的問題,目前常常關注安全審計和安全恢復兩個安全管理問題。


安全審計是指對系統或網絡運行中有關安全的情況和事件進行記錄、分析并采取相應措施的管理活動。目前主要對操作系統及各種關鍵應用軟件進行審計。安全審計工作應該由各級安全機構負責實施管理,安全審計可以采用人工、半自動或自動智能三種方式。人工審計一般通過審計員查看、分析、處理審計記錄;半自動審計一般由計算機自動分析處理,再有審計員作出決策和處理;自動智能審計一般由計算機完成分析處理,并借助專家系統作出判斷,更能滿足不同應用環境的需求。


安全恢復是指網絡和信息系統在收到災難性打擊或破壞時,為使網絡和信息系統迅速恢復正常,并使損失降低到最小而進行的一系列活動。安全恢復的管理主要包括安全恢復策略的確立、安全恢復計劃的制定、安全恢復計劃的測試和維護、安全恢復計劃的執行。

三、安全管理原則

信息安全管理應遵循統一的安全管理原則。


① 規范化原則:各階段都應遵循安全規范要求,根據組織安全需求,制定安全策略。


② 系統化原則:根據安全工程的要求,對系統各階段,包括以后的升級、換代和功能擴展進行全面統一地考慮。


③ 綜合保障原則:人員、資金、技術等多方面綜合保障。


④ 以人為本原則:技術是關鍵,管理是核心,提高管理人員的技術素養和道德水平。


⑤ 首長負責原則:只有首長負責才能把安全管理落到實處。


⑥ 預防原則:安全管理以預防為主,并要有一定的超前意識。


⑦ 風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況。


⑧ 動態原則:根據環境的改變和技術的進步,提高系統的保護能力。


⑨ 成本效益原則:根據資源價值和風險評估結果,采用適度的保護措施。


⑩ 均衡防護原則:根據“木桶原理”,整個系統的安全強度取決于最弱的一環,片面追求某個方面的安全強度對整個系統沒有實際意義。


此外,在信息安全管理的具體實施過程中還應遵循下面的原則:分權制衡原則、最小特權原則、職權分離原則、普遍參與原則、審計獨立原則等。

四、安全管理方法

信息安全管理的方法包括法律方法、行政方法、經濟方法和宣傳教育方法。四者相互結合,形成完整的管理方法體系。


法律方法是指通過國家制定和實施各種法規以進行管理的方法。這里的法規包括國家頒布的法律、國家及軍隊的各級領導機構以及各個管理系統所制定的法令、條例、制定等各種具有法律效力的規范。


行政方法是指行政組織機構和領導者運用權力,通過強制性的行政命令、規定、指示等行政手段,按照行政系統和層次,直接指揮下屬工作以實施管理的方法。


宣傳教育方法等都需要通過行政系統來具體地組織與貫徹實施。經濟方法是根據客觀經濟規律,運用各種經濟手段,調節各方面經濟利益之間的關系,以獲取較高的社會效益與經濟效益的管理方法。尤其是對安全技術方法、安全產品采辦、安全設施建設、安全人才培養、信息資源共享等方面應給予充分的注意。


宣傳教育方法是指通過多種形式的教育,全面提高全社會的安全素質。事實證明,很多信息安全事故的發生都和人的思想因素有關。為此,可根據人員的工作性質、分層次有重點、有計劃、有步驟地普及一般信息技術以及網絡安全保密、線通信安全保密、電磁輻射泄密防范、信息對抗等知識與技能。

五、重點單位信息安全管理

1、建立安全管理機構


重要領域信息網絡的應用單位,必須建立由本單位領導牽頭的、主管部門負責的、各有關部門參加的安全管理機構,并配備安全管理人員,全面負責信息網絡安全管理工作。


(1)安全管理機構的主要職責


① 負責本單位信息網絡安全管理工作的組織、領導、部署、指導和協調。


② 研究本單位信息網絡安全策略,落實有關安全技術防范措施,保障計算機信息系統的安全。


③ 選配本單位信息網絡安全員,并負責組織信息網絡管理人員和技術人員及應用人員的教育和培訓工作。


④ 審定本單位內部信息網絡的應急計劃,做好各項應急恢復工作的組織實施。


⑤ 定期組織本單位信息網絡的安全檢查,督促落實各項安全管理制度。


⑥ 負責本單位年度的階段性信息網絡安全管理工作的計劃、檢查、總結、評比工作。


⑦ 負責本單位信息網絡安全管理工作的請示報告,隨時接受公安機關的指導,及時整改信息網絡的安全漏洞和隱患。


⑧ 負責向公安機關報告信息網絡的安全事件、事故和案件。


(2)安全管理人員的職責


網絡安全法第三十四條第一款規定,關鍵信息基礎設施的運營者應當設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查。因此,對安全管理人員必須嚴格管理,安全管理人員必須是由單位審核選配,并經公安機關培訓合格的專職從事信息網絡安全管理工作的人員。其主要職責如下:


① 依據國家有關法律、法規制定本單位信息網絡的安全保護策略。


② 在公安機關的監督和指導下,負責進行信息網絡的安全檢查。


③ 向公安機關報告本單位信息網絡中發生的各種事件、事故和案件,協助公安機關進行現場保護和技術取證。


④ 負責制定本單位信息網絡的應急計劃,作為應急準備。


⑤ 負責本單位信息網絡使用人員的安全教育和培訓。


2、完善安全管理制度


《計算機信息系統安全保護條例》從總體上明確規定了信息網絡安全保護的九項制度;同時,在日常安全管理工作中,各單位應當結合自身實際,建立具體規章制度,所有重點單位都應當進一步健全和完善以下安全管理制度:


① 安全保密制度。凡屬重點單位的信息網絡,均應當按照國家有關保密法規規定,建立各項保密制度,加強秘密信息管理,防止失密和泄密事件發生。


② 登記備案制度。凡信息網絡進入國際聯網的,均應按照《計算機信息網絡國際聯網安全保護管理辦法》的規定,向公安機關申報備案。


③ 等級保護制度。凡信息網絡使用單位均應按照國家規定的信息網絡安全等級劃分標準和安全等級保護管理辦法,確定安全保護等級,做好安全等級保護工作。


④ 案件報告制度。凡信息網絡發生的事件、事故和案件,均應按規定由有關使用單位在24小時內向當地縣級以上公安機關報告。

六、不履行信息網絡安全管理義務罪

網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:


(一)致使違法信息大量傳播的;


(二)致使用戶信息泄露,造成嚴重后果的;


(三)致使刑事案件證據滅失,情節嚴重的;


(四)有其他嚴重情節的。


單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。


同樣,在《治安管理處罰法》第二十九條對網絡違法行為的規定如下:


(一)違反國家規定,侵入計算機信息系統,造成危害的;


(二)違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行的;


(三)違反國家規定,對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的;故意制作、傳播計算機病毒等破壞性程序,影響計算機信息系統正常運行的。


實施上述行為之一的,處5日以下拘留;情節較重的,處5日以上10日以下拘留。

?版權所有 2011-2015 甘肅安信信息安全技術有限公司 隴ICP備15001871號

Copyright ? 2011-2015 Gansu Anxin information Safe Technology Ltd

聯系地址:甘肅省蘭州市城關區讀者大道東段58號5號樓

黑龙江36选7周即开奖