第二节 信息安全管理基础

第二节信息安全管理基础
一、信息安全的管理体系
二、信息安全管理标准
三、信息安全策略
四、信息安全组织管理
五、信息安全人员管理
六、信息安全制度管理
七、计算机病毒安全防范
八、应急事件处理
一信息安全的管理体系
（一）信息安全管理体系的概念
（二）信息安全管理的内容
（三）信息安全管理的基本原则
（四）信息安全管理的过程
（五）信息安全管理的目的和意义
1.2.1.1 信息安全管理体系的概念
现代社会对网络的依存越来越广泛，对于所有用户来说，风险和威胁是永远存在的。

信息安全是一个动态发展的过程，信息安全管理只是保障计算机网络信息系统安全的特殊技术。

安全管理的目的是阻止非法用户进入系统，减少系统遭受破坏的可能性，快速检测非法行为，迅速确定人侵位置并跟踪人侵目标，有效记录破坏者的行为以便抓获，以最大限度减少损失并促进系统恢复。

信息安全管理覆盖的内容非常广泛，它涉及信息和网络系统的各个层面，以及信息系统生命周期的各个阶段，随着人们对信息安全管理认识和理解的不断深入，可以发现这些不同层次、不同方面的管理内容在彼此之间存在着一定的内在关联，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目的，这个有机整体就是信息安全管理体系(ISMS , Information Security Management systems)。

信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

它是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。

信息安全管理体系是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合，是涉及人、程序和信息技术系统。

1.2.1.2 信息安全管理的内容
信息安全管理体系包括以下管理类：
（1）方针与政策管理；确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以现实对信息安全工作的支持和承诺，保证信息安全的资金投入。

（2）风险管理；信息安全建设不是避免风险的过程，而是管理风险的过程。

没有绝
对的安全，风险总是存在的。

信息安全体系建设的目标就是要把风险控制在可以接受的
范围之内。

（3）人员与组织管理：建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息
安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。

（4）环境与设备管理：控制由于物理环境和硬件设施的不当所产生的风险。

管理内
容包括物理环境安全、设备安全、介质安全等。

（5）网络与通信管理：控制、保护网络和通信系统，防止其受到破坏和滥用，避免
和降低由于网络和通信系统的问题对业务系统的损害。

（6）主机与系统管理：控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。

（7）应用与业务管理：对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。

（8）数据、文档、介质管理采用数据加密和完整性保护机制，以防止数据被窃取和篡改，保护业务数据的安全。

（9）项目工程管理全系统：保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。

（10）运行维护管理：保护信息系统在运行期间的安全，并确保系统维护工作的安全。

（11）业务连续性管理：通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。

（12）合规性管理：确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定和标准得到了遵循。

1.2.1.3 信息安全管理的基本原则
信息安全管理的基本原则有以下几点：
（1）一把手负责原则，也称为领导负责原则。

信息安全事关大局，涉及全局，需要一把手负责才能统一大家的认识，组织有效队伍，调动必要的资源和经费，落实各部门间的协调。

如果一把手对信息安全工作不关心，不了解，不支持，光靠业务部门去抓一些具体的事务，久而久之，信息安全的管理工作就会逐渐淡化，逐渐流于形式。

只有一把手真正具有责任心，成为信息安全的明白人，关心和支持业务部门的工作，信息安全的管理工作才能真正落到实处。

那些齐抓共管、人人负责的漂亮口号没有一把手负责督导，常常会造成无抓不管、放任自流的恶劣后果。

（2）动态发展原则。

信息网络安全状况不是静态不变的，随着对手攻击能力的提高、自己对信息网络安全认识水平的深化，必须对以前的安全政策有所修改，对安全措施和设施有所加强。

必须明白，安全是一个过程，世界上没有一劳永逸的安全。

（3）风险原则。

由于信息网络安全是动态发展的，因此安全也不是绝对的。

我们不能做到绝对的安全，但是我们可以追求和实现在承担一定风险情况下的适度安全。

因此，当我们在规划自己的信息网络系统安全的时候，首先要进行风险分析。

根据要保护的资源的价值和重要程度，考虑可以承受的风险度，并以此为依据指定技术政策和设置保护措施。

（4）规范原则。

信息系统的规划、设计、实现、运行要有安全规范作要求，要根据本机构或本部门的安全要求制定相应的安全政策。

安全政策中要根据需要选择采用必要的安全功能，选用必要的安全设备。

不应盲目开发、自由设计、违章操作、无人管理。

（5）预防原则。

在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。

用预防为主的指导思想来对待信息安全问题，不能心存侥幸。

（6）注重实效原则。

不应盲目追求一时难以实现或投资过大的目标，应使投入与所需要的安全功能相适。

（7）系统化原则。

要有系统工程的思想。

前期的投人与建设和后期的提高要求要匹配和衔接，以便能够不断扩展安全功能，保护已有投资。

（8）均衡防护原则。

人们经常用木桶装水来形象地比喻应当注重安全防护的均衡性，箍桶的木板中只要有一块短板，水就会从那里泄漏出来。

我们设置的安全防护中要注意是否存在薄弱环节。

（9）分权制衡原则。

重要环节的安全管理要采取分权制衡的原则，要害部位的管理权限如果只交给一个人管理，一旦出问题就将全线崩溃。

分权可以相互制约，提高安全性。

（10）应急原则。

安全防护不怕一万，就怕万一。

因此要有安全管理的应急响应预案，并且要进行必要的演练，一旦出现相关的问题马上采取对应的措施。

（11）灾难恢复原则。

越是重要的信息系统越要重视灾难恢复。

在可能的灾难不能同时波及的地区设立备份中心。

要求实时运行的系统要保持备份中心和主系统数据的一致性。

一旦遇到灾难，立即启动备份系统，保证系统的连续工作。

1.2.1.4 信息安全管理的过程
首先要明白的是，信息安全是一个“过程”，而不是一个“程序”。

根据ISO/IEC－17799 标准的阐述以及有关的信息安全管理文献资料，可以总结出信息安全管理的主要过程。

1、获取管理层的支持
进行信息安全管理的实施，必须首先要获得高级管理层的支持。

建设一套复杂的信息安全管理体系是费时、费力和需要资金支持的，需要耗费大量的人力、物力和财力，并且
还要负一定的法律责任，因此，必须要有高层管理者的决策支持，这是信息安全管理的前提。

2、定义安全范围
组织要根据组织的特性、地理位置、资产和技术对定义信息安全管理的范围进行界定，这属于信息安全管理最困难的初始任务之一，也可以称为定义安全区域，通常认为是信息安全管理的起始点。

安全区域可以是整个组织或机构，也可能是组织或机构的一部分，但根本的一点是安全区域必须限定在一个组织或机构所能控制的范围之内，否则组织和机构将无法实施有效的管理和控制。

3、创建安全策略
一套安全策略文档应当由管理层批准、印制并向全体员工公布。

安全策略应明确声明管理层的承诺，及组织管理信息安全的方法。

一套完整的安全策略至少要包括以下内容：
∙信息安全的定义、整体目标和范围以及安全对信息共享的重要性；
∙对管理层意图的声明及支持，以及信息安全的原则；
∙安全策略、原则、标准的简介，也包括对组织有特别重要性的法律法规的要求，例如：要符合法律及合同的要求、安全教育的要求、防止及检测病毒及其他恶意
代码的要求、业务持续性管理的要求以及违反安全策略的后果等；
∙信息安全管理的一般和特定责任的定义，包括报告安全事件；
∙支持策略文档的参考说明，例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。

∙该策略应在整个组织范围内公布，让有关人员访问和理解透彻。

4、建立信息安全管理系统
信息安全管理系统是组织应用、管理、维持和贯彻执行信息安全过程和控制的基本架构，由信息系统安全主管负责并在信息安全策略中正式声明。

在ISMS 中定义了信息安全管理的范围，并且对每一种安全控制的策略、标准、过程、计划、任务团队等都有详细的说明和指导，甚至具体到哪一个人负责哪些事情。

5、风险分析和评价
信息安全管理实际上就是对风险的管理，因此一套适宜的风险分析和评价程序对信息安全管理来说是最基本的。

通过对资产、资产面临的威胁和资产本身脆弱性的识别，以及对相应的风险的量化分析，组织就能选择和决策采取哪些安全控制措施，来避免、转移或降低风险所造成的损失到一个可以接受的水平。

风险是动态的，它将随着过程的更改、组织的变化、技术的发展以及新出现的潜在威胁而变化，因此组织的风险分析和评价也应不是一成不变的。

1.2.1.5 信息安全管理的目的和意义
从根本上来说，信息安全管理要实现的目的就是在系统和环境进行物质、能量和信息交换的进程中，利用一切可以利用的安全防护措施，达到保护系统内部重要信息和其他重要资产的安全性（保密性、完整性、可用性和可控性），以防止和最小化安全事件（风险）所造成的破坏，确保业务的持续性和损失最小化。

组织可以参照合适的信息安全管理模型，采用先进的安全技术手段，建立组织起完整的信息安全防范体系并实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。

保持完整的信息安全管理体系还将会产生如下积极的作用：
∙强化员工的信息安全意识，规范组织信息安全行为；
∙对组织的关键信息资产进行全面系统地保护，维持竞争优势；
∙在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；
∙使组织的生意伙伴和客户对组织充满信心；
∙如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；
∙促使管理层坚持贯彻信息安全保障体系。

二信息安全管理标准
（一）国际信息安全管理标准
（二）我国信息安全管理相关标准
（三） BS7799标准
（四） CC标准
1.2.2.1 国际信息安全管理标准
ISO和IEC 是世界范围的标准化组织，各国的相关标准化组织都是其成员，它们通过各技术委员会，参与相关标准的制定。

近年来，国际ISO/IEC 和西方一些国家开始发布和改版一系列信息安全管理标准，使安全管理标准进人了一个繁忙的改版期。

这表明，信息安全管理标准已经从零星的、随意的、指南性标准，逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。

ISO/IEC联合技术委员会子委员会27(ISO/ IECJTCISC27）是信息安全领域最权威和国际认可的标准化组织，它已经为信息安全保障领域发布了一系列的国际标准和技术报告，目前最主要的标准是ISO/ IEc13335、ISO/IEC27000 系列等。

ISO/IECJTCISC27的信息安全管理标准（ISO/IEC13335）《IT安全管理方针》系列（第一至第五部分），已经在国际社会中开发了很多年。

这五个部分组成分别为：
ISO/IEC13335-1:1996《IT安全的概念与模型》；ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》；ISO/IEC13335-4:2000 《安全措施的选择》；ISO/IEC13335-5《网络安全管理方针》。

27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准，是目前国际信息安全管理标准研究的重点。

27000系列当前已经发布和在研究的有6个，分别为ISO/lEC27000《信息安全管理体系基础和词汇》；ISO/IEC27001:2005《信息安全管理体系要求》；
ISO/IEC27002（17799:2005)《信息安全管理实用规则》；ISO/IEC27003(（信息安全管理体系实施指南》；ISO/IEC27004《信息安全管理测量》；ISO/IEC27005《信息安全风险管理》。

随着ISO/IEC2700o 系列标准的规划和发布，ISO/IEC 已形成了以ISMS 为核心的一整套信息安全管理体系。

1.2.2.2 我国信息安全管理相关标准
与国外相比，我国的信息安全领域的标准制定工作起步较晚，但随着2002 年全国信息安全标准化技术委员会的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。

在全国信息安全标准化技术委员会中，成立了信息安全标准体系与协调工作组（WGI）、鉴别与授权工作组（WG4）、信息安全评估工作组(WG5）和信息安全管理工作组（WG7）四个工作组，它们在对我国信息安全保障体系建设和信息安全产业的发展方面，起到了积极作用。

在我国，另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组
( WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组( WG4）。

近年来，我国对信息安全标准的制定与实施工作非常重视，不仅引进了国际上著名的ISO/IEC27001: 2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。

而且，为了更好地推进我国信息安全管理工作，相关部门还
制定了中华人民共和国国家标准GBI7895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336-2001《信息技术安全性评估准则》和GB/T20269-2006 《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。

1.2.2.3 BS7799标准
BS7799-1(ISO/IEC1799:2000）《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。

BS7799-2(（信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系（ISMS ）的要求，规定了根据独立组织的需要应实施安全控制的要求。

正如该标准的适用范围介绍的一样，BS7799-1 标准适用以下场合：组织按照该标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展；作为寻求信息安全管理体系第三方认证的标准。

BS7799-2 明确提出信息安全管理要求，BS7799-1 则对应给出了通用的控制方法（措施），因此，BS7799-2 才是认证的依据，严格地说是获得了BS7799-2 的认证，BS7799-1 为BS7799-2 的具体实施提供了指南，但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。

BS7799-1 : 1999 (ISO / IEC1799 : 2000 ）标准在正文前设立了“前言”和“介绍”，其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明，标准中介绍，信息安全（Information security ）是指信息的保密性（Confidentiality ）、完整性（Integri - ty ）和可用性（Availabihty ）的保持。

保密性定义为保障信息仅仅为
那些被授权使用的人获取。

完整性定义为保护信息及其处理方法的准确性和完整性。

可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。

标准对“为什么需要信息安全”时介绍，信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。

信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。

然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机人侵、Dos攻击等，它们造成的信息灾难已变得更加普遍，有计划而不易被察觉。

组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互联及信息资源的共享增大了实现访问控制的难度。

许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。

该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。

这127个控制措施被分成10 个方面，成为组织实施信息安全管理的实用指南，这10 个方面分别是：
（1）安全方针：制定信息安全方针，为信息安全提供管理指导和支持。

（2）组织安全：建立信息安全基础设施，来管理组织范围内的信息安全；维持被第
三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，维护信息的安全。

（3）资产的分类与控制：核查所有信息资产，以维护组织资产的适当保护，并做好信息分类，确保信息资产受到适当程度的保护。

（4）人员安全：注意工作职责定义和人力资源中的安全，以减少人为差错、盗窃、欺诈或误用设施的风险；做好用户培训，确保用户知道信息安全威胁和事务，并准备好在其正常工作过程中支持组织的安全政策；制定对安全事故和故障的响应流程，使安全事故和故障的损害减到最小，并监视事故和从事故中学习。

（5）物理和环境的安全：定义安全区域，以避免对业务办公场所和信息的未授权访问、损坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或泄露和业务活动的中断；同时还要做好一般控制，以防止信息和信息处理设施的泄露或盗窃。

（6）通信和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统故障的风险减低到最小；防范恶意软件，保护软件和信息的完整性；建立内务规程，以维护信息处理和通信服务的完整性和可用性；确保信息在网络中的安全，以及保护其支持基础设施；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。

（7）访问控制：制定访问控制的业务要求，以控制对信息的访问；建立全面的用户访问管理，避免信息系统的未授权访问；让用户了解它对维护有效访问控制的职责，防止未授权用户的访问；对网络访问加以控制，保护网络服务；建立操作系统级的访问控制，防止对计算机的未授权访问；建立应用访问控制，防止未授权用户访问保存在信息系统中的信息；监视系统访问和使用，检测未授权的活动；当使用移动计算和远程工作时，也要确保信点安令。

（8）系统开发和维护：标识系统的安全要求，确保安全被构建在信息系统内；控制应用系统的安全，防止应用系统中用户数据的丢失、被修改或误用；使用密码控制，保护信息的保密性、真实性或完整性；控制对系统文件的访问，确保按安全方式进行IT
项目和支持活动；严格控制开发和支持过程，维护应用系统软件和信息的安全。

（9）业务持续性管理：目的是为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响。

（10）符合性：信息系统的设计、操作、使用和管理要符合法律要求，避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求；定期审查安全政策和技术符合性，确保系统符合组织安全政策和标准；还要控制系统审核，使系统审核过程的效力最大化，干扰最小化。

BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统（ISMS）的要求，指出实施组织须遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取
适当的控制。

本部分提出了应该如何建立信息安全管理体系的步骤：
（1）定义信息安全策略:
信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。

例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工；而规模大的集团组织则需要制订一个信息安全策略文件，分别适用于不同的子公司或各分支机构口信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。

同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

（2）定义ISMS 的范围:
ISMS 的范围确定需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构架ISMS 。

在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

（3）进行信息安全风险评估:
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。

风险评估主要对ISMS 范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。

风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。

（4）信息安全风险管理:
根据风险评估的结果进行相应的风险管理。

信息安全风险管理主要包括以下几种措施：
∙降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险；
∙避免风险：有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等；
∙转嫁风险：通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。

一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风
险。

∙接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。

（5）确定管制目标和选择管制措施：。