本篇文章给大家谈谈信息安全技术体系,以及信息安全技术体系中的审计跟踪一般不包括对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
技术体系由两部分组成:物理安全技术和系统安全技术
物理安全技术:信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全;通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。
系统安全技术:通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制,使信息系统安全组件的软件工作平台达到相应的安全等级,一方面避免操作平台自身的脆弱性和漏洞引发的风险,另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。
组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事三个模块构成一个体系。
机构的设置分为三个层次:决策层、管理层和执行层。
岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
人事机构是根据管理机构设定的岗位,对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。
管理体系:管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。所谓“三分技术,七分管理”
1)法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
2)制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。
3)培训管理是确保信息系统安全的前提。
7.2.1 信息安全管理体系概述
我们知道保障信息安全有两大支柱:技术和管理。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术CA认证技术等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高。此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。
伴随着威胁的发展趋势,安全技术部署的种类和数量不断增加,但并不是安全技术、安全产品种类、数量越多越好,只有技术的堆积而不讲究管理,必然会产生很多安全疏漏。虽然大家在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的保障。正如沈昌祥院士所指出的:“传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样,但最终的结果是防不胜防。”
技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,在一些情况下,技术和管理能够发挥它们各自的作用;在另一些情况下,需要同时使用技术和管理两种手段,实现安全控制或更强的安全控制;在大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的那块木条。平台就像是这个水桶的箍,有了这个箍,水桶就很难崩溃。即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。
信息安全管理体系(Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、过程、核查表等要素的集合。体系是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、搜集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策,对安全事件进行响应和处理。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素——人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。
7.2.2 信息安全管理体系结构
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于最长的木板,而取决于最短的那块木板。这个原理同样适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全管理体系结构可以由以下 HTP模型来描述:人员与管理(Human and Management)、技术与产品(Technology and Products)、流程与体系(Process and Framework)。
其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有 20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织业务的连续性和商业价值最大化,就达到了安全的目的。
7.2.3 信息安全管理体系功能
7.2.3.1 安全策略
安全策略管理可以说是整个安全管理平台的中心,它根据组织的安全目标制订和维护组织的各种安全策略以及配置信息。安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不但靠先进的技术,而且也得靠严格的安全管理、法律约束和安全教育。
安全策略建立在授权行为的概念上。在安全策略中,一般都包含“未经授权的实体,信息不可给予、不被访问、不允许引用、不得修改”等要求,这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行,哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。
(1)基于身份的安全策略。基于身份的安全策略目的是对数据或资源的访问进行筛选。即用户可访问他们的资源的一部分(访问控制表),或由系统授予用户特权标记或权力。两种情况下,数据项的多少会有很大变化。
(2)基于规则的安全策略。基于规则的安全策略是系统给主体(用户、进程)和客体(数据)分别标注相应的安全标记,制定出访问权限,此标记作为数据项的一部分。
两种安全策略都使用了标记。标记的概念在数据通信中是重要的,身份鉴别、管理、访问控制等都需要对主体和客体做出相应的标记并以此进行控制。在通信时,数据项、通信的进程与实体、通信信道和资源都可用它们的属性做出标记。安全策略必须指明属性如何被使用,以提供必要的安全。
根据系统的实际情况和安全要求,合理地确定安全策略是复杂而重要的。因为安全是相对的,安全技术也是不断发展的,安全应有一个合理和明确的要求,这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。其中完整性、可用性是由网络的开放和共享所决定的。按照用户的要求,提供相应的服务,是网络最基本的目的。机密性则对不同的网络有不同的要求,即网络不一定都是保密网。因此,每个内部网要根据自身的要求确定安全策略。现在的问题是硬、软件大多很先进,大而全,而在安全保密方面没有明确的安全策略,一旦投入使用,安全漏洞很多。而在总体设计时,按照安全要求制定出网络的安全策略并逐步实施,则系统的漏洞少、运行效果好。
在工程设计中,按照安全策略构造出一系列安全机制和具体措施,来确保安全第一。多重保护的目的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能,上层有防火墙、访问控制表等措施,防止一层措施攻破后,安全性受到威胁。最少授权原则是指采取制约措施,限制超级用户权力并全部使用一次性口令。综合防护要求从物理上、硬件和软件上、管理上采取各种措施,分层防护,确保系统安全。
7.2.3.2 安全机制
信息的安全管理体系中,安全机制是保证安全策略得以实施的和实现的机制和体制,它通常实现三个方面的功能:预防、检测、恢复。典型的安全机制有以下几种:
(1)数据保密变换。数据保密变换,即密码技术,是许多安全机制和安全服务的基础。密码是实现秘密通讯的主要手段,是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。采用密码技术,可有效地防止:信息的未授权观察和修改、抵赖、仿造、通信业务流分析等。
(2)数字签名机制。数字签名机制用于实现抗抵赖、鉴别等特殊安全服务的场合。数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。
(3)访问控制机制。访问控制机制实施是对资源访问加以限制的策略。即规定出不同主体对不同客体对应的操作权限,只允许被授权用户访问敏感资源,拒绝未经授权用户的访问。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。采用的技术有访问控制矩阵、口令、权能等级、标记等,它们可说明用户的访问权。
(4)数据完整性机制。用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要(Message Digest),并对消息摘要进行数字签名来实现。
(5)鉴别交换机制。鉴别交换机制指信息交换双方(如内部网和互联网)之间的相互鉴别。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:口令,由发送实体提供,接收实体检测;密码技术,即将交换的数据加密,只有合法用户才能解密,得出有意义的明文;利用实体的特征或所有权,如指纹识别和身份卡等。
(6)路由选择控制机制。用来指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的节点都是可信任的,确保发送的信息不会因通过不安全的节点而受到攻击。
(7)公证机制。由通讯各方都信任的第三方提供。由第三方来确保数据完整性以及数据源、时间及目的地的正确。
还有物理环境的安全机制、人员审查与控制机制等。其实防护措施均离不开人的掌握和实施,系统安全最终是由人来控制的。因此,安全离不开人员的审查、控制、培训和管理等,要通过制定、执行各项管理制度等来实现。
7.2.3.3 风险与安全预警管理
风险分析是了解计算机系统安全状况和辨别系统脆弱性并提出对策的科学方法。在进行风险分析时,应首先明确分析的对象。如对象应是整个系统明确范围和安全敏感区,确定分析的内容,找出安全上的脆弱点,并确定重点分析方向。接着仔细分析重点保护目标,分析风险的原因、影响、潜在的威胁、造成的后果等,应有一定的定量评估数据。最后根据分析的结果,提出有效的安全措施和这些措施可能带来的风险,确认资金投入的合理性。
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理组织,做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
7.2.4 信息安全管理体系标准和认证
信息安全管理体系标准的制定开始于1995年,经过10多年的修改与完善,形成了现在广泛应用的ISO27001:2005认证标准。英国标准协会(BSI)于1995年2月提出了BS7799,并于1995年和1999年两次修订。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在 BS7799-1的基础上制定通过了ISO17799标准。ISO/IEC17799:2000(BS7799-1)包含了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。BS7799-2在2002年也由BSI进行了重新的修订。2005年,ISO组织再次对ISO17799进行了修订,BS7799-2也于2005年被采用为ISO27001:2005,修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。
然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/IEC27001则包含这些具体详尽的管理体系认证要求。从技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。
需求与安全
信息——信息是资源,信息是财富。信息化的程度已经成为衡量一个国家,一个单位综合技术水平,综合能力的主要标志。从全球范围来看,发展信息技术和发展信息产业也是当今竞争的一个制高点。
计算机信息技术的焦点集中在网络技术,开放系统,小型化,多媒体这四大技术上。
安全——internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时,internet在全世界迅速发展也引起了一系列问题。由于internet强调它的开放性和共享性,其采用的tcp/ip、snmp等技术的安全性很弱,本身并不为用户提供高度的安全保护,internet自身是一个开放系统,因此是一个不设防的网络空间。随着internet网上用户的日益增加,网上的犯罪行为也越来越引起人们的重视。
对信息安全的威胁主要包括:
内部泄密
内部工作人员将内部保密信息通过e-mail发送出去或用ftp的方式送出去。
“黑客”入侵
“黑客”入侵是指黑客通过非法连接、非授权访问、非法得到服务、病毒等方式直接攻入内部网,对其进行侵扰。这可直接破坏重要系统、文件、数据,造成系统崩溃、瘫痪,重要文件与数据被窃取或丢失等严重后果。
如何有效构建信息安全保障体系;随着信息化的发展,政府或企业对信息资源的依赖程度;通常所指的信息安全保障体系包含了信息安全的管理体;构建第一步确定信息安全管理体系建设具体目标;信息安全管理体系建设是组织在整体或特定范围内建立;信息安全的组织体系:是指为了在某个组织内部为了完;的特定的组织结构,其中包括:决策、管理、执行和监;信息安全的策略体系:是指信息安全总体
如何有效构建信息安全保障体系
随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说 明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面 临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而 生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制 的标准,进一步保障信息系统的运行效率。
通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。
构建第一步 确定信息安全管理体系建设具体目标
信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。
信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成
的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:
第一层 策略总纲
策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。
第二层 技术指南和管理规定
遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:
技术指南:从技术角度提出要求和方法;
管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。
第三层 操作手册、工作细则、实施流程
遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。
构建第二步 确定适合的信息安全建设方法论
太极多年信息安全建设积累的信息安全保障体系建设方法论,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
一、风险管理基础理论
信息系统风险管理方法论就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。
二、遵循五个相关国内国际标准
在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:
ISO 27001标准
等级保护建设
分级保护建设
IT流程控制管理(COBIT)
IT流程与服务管理(ITIL/ISO20000)
三、建立四个信息安全保障体系
信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。
信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。
信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。
信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。
四、三道防线
第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。
第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
五、四大保障目标
信息安全:保护政府或企业业务数据和信息的机密性、完整性和可用性。
系统安全:确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。
物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。
运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。
构建第三步 充分的现状调研和风险评估过程
在现状调研阶段,我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质,才能确定该组织信息安 全保障体系所遵循的标准,另外,还要充分了解政府或企业的文化,保证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为 导向,事实为基础”的方法,假定该政府或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组 织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。
在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性
可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
对资产进行识别,并对资产的价值进行赋值;?
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;?
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;?
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;?
根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;?
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。?
其次,进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现,要减少信息系统故障最有效的方式之 一,就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全。
构建第四步 设计建立信息安全保障体系总体框架
在充分进行现状调研、风险分析与评估的基础上,建立组织的信息安全保障体系总纲,总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节,并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后, 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现,导出该组织未来信息安全任务,信息安全保障体 系总体框架设计文件(一级文件)将包括:
信息安全保障体系总体框架设计报告;
信息安全保障体系建设规划报告;
??
信息安全保障体系将依据信息安全保障体系模型,从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括:
信息安全组织体系:组织架构、角色责任、教育与培训、合作与沟通
信息安全管理体系:信息资产管理;人力资源安全;物理与环境安全;通信与操作管理;访问控制;信息系统获取与维护;业务连续性管理;符合性;
信息安全技术体系:物理层、网络层、系统层、应用层、终端层技术规范;
信息安全运维体系:日常运维层面的相关工作方式、流程、管理等。包括:事件管理、问题管理、配置管理、变更管理、发布管理,服务台。
构建第五步 设计建立信息安全保障体系组织架构
信息安全组织体系是信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况,确定该组织信息安全管理组织架构。
信息安全组织架构:针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?
信息安全角色和职责:主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。?
安全教育与培训:主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求。?
合作与沟通:与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作?
构建第六步 设计建立信息安全保障体系管理体系
根据信息安全总体框架设计,结合风险评估的结果以及该组织的信息系统建设的实际情况,参照相关标准建立信息安全管理体系的三、四级文件,具体包括:
资产管理:信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单?
人力资源安全:内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议?
物理与环境安全:物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?
访问控制:用户访问管理规范及对应表单、网络访问控制规范与对应表单、
操作系统访问控制规范及对应表单、应用及信息访问规;通信与操作管理:网络安全管理规范与对应表单、In;信息系统获取与维护:信息安全项目立项管理规范及对;业务连续性管理:业务连续性管理过程规范及对应表单;符合性:行业适用法律法规跟踪管理规范及对应表单?;最终形成整体的信息安全管理体系,务必要符合整个组;
操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单?
通信与操作管理:网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单?
信息系统获取与维护:信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?
业务连续性管理:业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?
符合性:行业适用法律法规跟踪管理规范及对应表单?
最终形成整体的信息安全管理体系,务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合,在整个实施过程还需要进行全程的贯穿性培训. 将整体信息安全保障体系建设的意义传递给组织的每个角落,提高整体的信息安全意识。这样几方面的结合才能使建设更有效。
信息安全建设是电子政务建设不可缺少的重要组成部分。电子政务信息系统承载着大量事关国家政治安全、经济安全、国防安全和社会稳定的数据和信息;网络与信息安全不仅关系到电子政务的健康发展,而且已经成为国家安全保障体系的重要组成部分。缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。
一、强化安全保密意识,高度重视信息安全,是确保政务网络信息系统安全运行的前提条件
目前,电子政务信息系统大都是采用开放式的操作系统和网络协议,存在着先天的安全隐患。网络攻击、黑客入侵、病毒泛滥、系统故障、自然灾害、网络窃密和内部人员违规操作等都对电子政务的安全构成极大威胁。因此,信息安全保障工作是一项关系国民经济和社会信息化全局的长期性任务。
我们必须认真贯彻“一手抓电子政务建设,一手抓网络和信息安全”的精神和中办发[2003]27号文件关于信息安全保障工作的总体要求,充分认识加强信息安全体系建设的重要性和紧迫性,高度重视网络和信息安全。这是做好信息安全保障工作的前提条件。“高度重视”首先要领导重视;只有领导重视才能把信息安全工作列入议事日程,放到重要的位置,才能及时协调解决信息安全工作所面临的诸多难题。其次,要通过加强网络保密知识的普及教育,特别是对县处级以上干部进行网络安全知识培训,大力强化公务员队伍的安全保密意识,使网络信息安全宣传教育工作不留死角,为网络信息系统安全运行创造条件。
二、加强法制建设,建立完善的制度规范,是做好信息安全保障工作的重要基础
确保政务网络信息安全,必须加强信息安全法制建设和标准化建设,严格按照规章制度和工作规范办事。俗话说,没有规矩不成方圆,信息安全工作尤其如此。如果我们能够坚持建立法制和标准,完善制度和规范并很好地执行,就会把不安全因素和失误降到最低限度,使政务信息安全工作不断登上新的台阶。
为此,一要严格按照现行的法律法规规范网络行为,维护网络秩序,同时逐步建立和完善信息安全法律制度。要加强信息安全标准化工作,抓紧制定急需的信息安全和技术标准,形成与国际标准相衔接的具有中国特色的信息安全标准体系。
二要建立健全各项规章制度和日常工作规范。要根据网络和信息安全面临的新情况、新问题,紧密联系本单位信息安全保密工作的实际,本着“堵漏、补缺、管用”的原则,抓紧修订、完善和新建信息安全工作的各项规章制度及操作规程,切实增强制度的科学性、有用性和可操作性,使信息安全工作有据可依、有章可循。
三要重视安全标准和规章制度的贯彻落实。有了制度,不能把它束之高阁。不按制度办事,是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。因此,要组织信息化工作人员反复学习有关制度和规范,使他们熟悉和掌握各项制度的基本内容,明白信息安全工作的规矩和方法,自觉用制度约束自己,规范工作。
四要建立完善对制度落实情况的监督检查和激励机制。工作程序、规章制度建立后,必须做到行必循之,把规章制度的每一条、每一款落到实处。执行制度主要靠自觉,但必须有严格的监督检查。要通过监督检查建立信息安全工作的激励机制,把信息安全工作与年度考核评比及“争先创优”工作紧密结合起来,激励先进,鞭策后进,确保各项信息安全工作制度落到实处。各地、各部门要不定期地对本地和本系统的制度落实情况进行自查自纠,发现问题及早解决。
三、建立信息安全组织体系,落实安全管理责任制,是做好政务信息安全保障工作的关键
调查显示,在实际的网络安全问题中,约有80%是由于管理问题造成的。因此,建立信息安全管理机构,加强组织协调,发挥其统筹规划、科学管理、宏观调控和决策的作用,强化信息安全管理,形成全方位的信息安全管理组织体系至关重要。
一方面,要逐步建立和完善信息安全组织体系。该体系应包括各地、各部门成立的保密工作领导小组;有本部门主管领导参加的政务网络与信息安全协调小组;聘请国内外安全专家组成的安全咨询专家小组。根据建设和应用情况需要,还可建立相应的信息安全管理执行机构(如“政府安全中心”),负责整个政务信息系统中的安全保密工作,包括提供相关服务。
另一方面,要在健全信息安全组织体系的基础上,切实落实安全管理责任制。明确各级、各部门行政一把手(或主管领导同志)作为信息安全保障工作的第一责任人;技术部门主管或项目负责人作为信息安全保障工作直接责任人,强化对网络管理人员和操作人员的管理。切实把好用人关,对关键岗位实行A、B角色管理;对网络管理人员和涉密操作人员要签订保密协议,明确保密职责,实行持证上岗制度。要培养一批具有信息安全管理经验的复合人才,充实到关键岗位,为政务信息化把好安全关。
四、结合实际注重实效,正确处理信息安全“五大关系”,是确保信息安全投资效益的最佳选择
在电子政务建设中,信息安全方面的投资往往涉及很大金额。各地、各部门应紧密结合自身实际,正确处理和把握与信息安全相关的“五大关系”,使有限的资金发挥出最大的社会效益。
1、要正确处理发展与安全的关系。发展与安全是信息安全关系中最基本、最重要的一对关系,由此可以派生出其他一些关系。发展与安全的关系是辩证统一、相辅相成的,其中发展是目的,安全是保证。二者关系处理得好,安全会有保障并能促进发展;处理不好,安全就会制约并牵制发展。正确处理发展与安全的关系就是要加快发展,确保安全。具体讲,就是在加快发展过程中确保安全;在确保安全的条件下加快发展。这里要注意克服两种倾向:一是过分强调发展而忽视安全;二是追求绝对安全而制约发展。为此,要坚持电子政务发展和网络信息安全“两手抓”。要在电子政务建设和发展过程中不断加强安全管理,完善安全措施,切实保障安全;同时要在适度安全、基本安全的前提下,培育业务需求,加大工作力度,促进电子政务事业加快发展。
2、处理好安全成本与效益的关系。成本与效益的关系是由信息安全基本关系派生出来的,二者的关系是对立统一、相反相成的。成本与效益的关系处理得好,安全成本就会下降同时效益提高;处理不好,安全成本就会上升同时效益下降。正确处理好安全成本与效益的关系,必须坚持综合平衡。要根据中办发[2003]27号文件中关于“信息化发展的不同阶段和不同信息系统不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点”的要求,一方面千方百计降低安全投入成本,另一方面努力提高安全措施的实际效果,确保满足重点项目、重点部位的安全需求,使有限的安全保障资金充分发挥出良好的使用效益。
3、处理好信息安全与共享(信息公开和保密)的关系。这也是从信息安全基本关系中派生出来的。开放和发展需要信息资源共享,而网络互联为信息共享提供了条件。但信息公开和信息保护是一对不可回避的矛盾。推进信息化建设既要强调资源共享,还要保证信息安全。我们应立足于电子政务建设的大系统,整体地、动态地看待信息安全与资源共享问题,用发展的眼光和辩证的观点去处理问题。在这对矛盾中,目前资源共享是矛盾的主要方面。当前我国各地方、各行业的信息资源建设普遍存在“数字鸿沟”、“信息孤岛”现象。针对这种情况,我们在处理两者之间关系时,应当紧紧围绕矛盾的主要方面,在确保国家安全和尊重个人隐私的前提下,把当前工作的重点放在最大限度地促进信息资源共享方面,消除数字鸿沟和信息孤岛,提高信息资源共享程度,使政务信息资源发挥更大的社会效益。
4、处理好安全管理与技术的关系。安全管理与技术的关系也是信息安全体系中的基本关系之一。在信息安全保障体系中,安全管理和安全技术是一个不可分割的统一体,是一个事物的两个方面。管理离不开技术,技术离不开管理;两者紧密相连、相互渗透、互为补充。因此,在信息安全工作中,我们要坚持管理和技术并重,做到管理手段和技术手段相结合,也就是在加强管理的前提下,采用先进的安全技术,在提升技术的基础上强化管理。信息安全问题的解决需要技术手段,但又不能单纯依赖技术。信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。在这方面,我们要同时注意防止和克服“重管理、轻技术”和“单纯技术观点”两种倾向,既要高度重视信息安全技术的重要作用,又要避免陷入唯技术论的怪圈。从理论上看,不存在绝对安全的技术;技术固然重要,但管理更不容忽视。虽然“三分技术,七分管理”的说法不一定准确,但从另一个角度说明了安全管理工作的重要性。因此,我们应以业务为主导,从全局的高度部署安全策略,采用先进技术,加强安全管理,把采取安全技术手段与加强日常管理和健全体制机制紧密结合起来,坚持一手抓安全技术手段开发,一手抓安全规章制度的建立与完善,提高政务网络信息系统的安全性和可靠性。
5、处理好信息安全工作中应急事件处理与建立长效机制的关系。要保证政务网络与信息系统的“长治久安”,必须着手建立一套长期有效的安全机制。但信息安全问题在信息化进程中广泛存在且突发性强,所以又必须强调和重视应急事件的处理。一旦出现影响到国家利益的网络安全与信息安全事件,必须能够立即采取有效措施,控制危机的发展,把损失减少到最低限度。
为此,首先要建立和完善信息安全监控体系,及时发现和处置突发事件,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防治有害信息传播,增强对政务网络和信息系统的监控、管理和保护。其次,要重视信息安全应急处理工作,建立健全应急管理协调机制、指挥调度机制和信息安全通报制度。要制定完善信息安全处置预案,加强信息安全应急支援服务队伍建设,提高信息安全应急响应能力。
希望可以帮到您,谢谢!
关于信息安全技术体系和信息安全技术体系中的审计跟踪一般不包括的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签: #信息安全技术体系
相关文章
