[精选]第5章信息安全管理.pptx
《[精选]第5章信息安全管理.pptx》由会员分享,可在线阅读,更多相关《[精选]第5章信息安全管理.pptx(112页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、5.1信息安全管理相关概念信息安全管理相关概念5.2信息安全管理标准信息安全管理标准5.3信息安全管理的实施要点信息安全管理的实施要点本章小结本章小结第5章信息安全管理 5.1.1什么是信息安全管理信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题,技术和产品的应用,一定程度上解决了局部信息安全问题。但是仅仅依靠这些产品和技术还不够,即使采购和使用了足够先进、数量足够多的信息安全产品,如防火墙、防病毒、入侵检测、漏洞扫描等,仍然无法防止一些安全事件的发生。5.1信息安全管理相关概念更何况,对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、信息安全目标、业务
2、连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。依据国家计算机应急响应中心发布的数据,所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部非法人员的攻击造成的,如图5-1所示。图5-1造成计算机安全事件的原因分析简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来防止的。因此,管理已成为信息安全保障的重要基础,管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面,信息安全的有效
3、性和长期性才能得到保障。信息安全管理ISM,Information Security Management是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制,是对信息安全保障进行指导、标准和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成局部,对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标和方式选择、制定标准的操作流程、对人员进行安全意识培训等一系列工作。信息安全建设是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼
4、顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程,这也是组织需要信息安全管理的基本出发点。总之,信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动,有效的信息安全管理应该是在有限的成本下,尽量做到安全“滴水不漏。5.1.2信息安全管理现状在计算机时代到来之前,人们会将重要的文件资料锁到文件柜或保险柜中进行保存,但是现在,人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散等特性,从而导致计算机信息在处理、存储、传输和应用过程中很
5、容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。2005年9月,能源部一个研制核武器的部门网站被电脑黑客侵入,大约1500名工作人员的个人信息被盗。2006年5月,退伍 人事务部一名工作人员的住所失窃,一个储存了约2650万名退伍 人和大量现役 人身份信息的电脑硬盘被盗。2006年7月,一台可能储存有3.8万名退伍 人个人信息的台式电脑在退伍 人事务部的分包商优利公司的一处办公室内被盗,电脑中存有退伍 人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月,一部保存3.3万名旅客个人敏感资料的无加密手提计算机在旧金山国际机场被人偷去,手提计算机中保存
6、有申请者姓名、地址和出生日期,局部有驾驶执照、护照或绿卡号码等信息。2010年位于 马萨诸塞州的南岸医院宣布他们丧失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息,时间跨度为15年。由于苹果合作运营商AT&T网站的安全漏洞,2010年6月苹果发生安全泄露事件,影响11.4万iPad用户,其中包括很多公司CEO、方高官和白宫政治家。在垃圾邮件和恶意黑客面前,iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说,是一个非常坏的消息,或许将直接导致3G版iPad销量的大幅下滑。我国面临的计算机信息安全问题可能比兴旺国家更为严重。我国
7、目前的网络安全现状令人担忧,有些单位和组织根本没有意识到网络安全的重要性,即使是对外宣称采用了安全防范措施的单位,实际上也有许多安全隐患。如果说“iPad 3G用户信息泄漏事件和 “南岸医院80万份文件泄漏事件似乎看起来还有些“遥远的话,国内某知名大型网络安全公司在2011新年伊始引发的大规模用户数据泄漏事件就近在眼前了。CSDN官方已确认超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露,局部用户账号面临风险,网站将因此临时关闭用户登录,涉及用户600万。随后,多玩、人人、天涯等也被指责存在用户数据泄露问题。尽管有局部网站否认,但还是即刻引起互联网用户的关注。用户数据大规模集中泄露对中
8、国互联网的信息安全漏洞敲响了 。计算机犯罪大多具有瞬时性、广域性、专业性和时空别离等特点,通常计算机犯罪很少留下犯罪证据,这也是计算机高技术犯罪案件频发的诱因。2011年4月CNCERT/CC发布的2010年中国互联网网络安全报告指出,2010年我国基础网络运行总体平稳,但重要联网信息系统安全问题突出,政府网站安全防护薄弱,金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标,工业控制系统安全面临严峻挑战,公共网络环境安全更不容乐观,木马和僵尸网络依然对网络安全构成直接威胁,恶意代码日益泛滥,DDoS攻击也严重危害网络安全,互联网应用层效劳的市场监管和用户隐私保护工作亟待加强。报告同时指出,目
9、前兴旺国家政府普遍在加强网络安全管理,如 政府出台加强网络安全法案等相关网络安全法律文件,推进网络安全立法,并推出“完美公民方案,拟建立全美联网监控体系以对抗网络犯罪;欧盟正式发布欧洲数字化议程五年规划,提出增强网络安全相关举措;瑞典政府拟设国家信息技术安全中心,以应对网络攻击及处理信息技术案件;政府批准制定“保护国民信息安全战略,加大监管力度,构筑安全网络社会;新加坡信息通信开展管理局通过制定新准则、加强信息分析能力以及提高公民网络安全意识来加强新加坡网络安全;澳大利亚启动国家计算机应急响应官方机构CERT Australia,支持政府打击网络犯罪和网络 威胁。我国目前的计算机安全防护能力还
10、只处于开展的初级阶段,许多计算机基本上处于不设防状态,从防范意识、管理措施、核心技术到安全产品,还远未构成一个较成熟的体系。由于安全问题,尤其是因为管理的不善而导致的各种重要数据和文件的滥用、泄露、丧失、被盗等给国家、企业和个人造成的损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。当然,这几年信息安全管理在国际上有了很大的开展,我国信息安全管理虽然起步较晚,但我国政府主管部门以及各行各业已经认识到了信息与信息安全的重要性,的十七大报告明确提出“开展现代产业体系,大力推进信息化与工业化融合,促进工业由大
11、变强,振兴装备制造业,淘汰落后生产能力的崭新命题,反映了 中央对于开展信息化重要性认识的深入,也表达了信息化带开工业化开展的重要意义。我国作为开展中国家,工业化处于中期开展阶段,只有通过开展信息化带开工业化,并实现二者之间的有效融合,把中国工业化提高到广泛采用信息智能工具的水准上来,才能加快我国工业化进程,提高我国产业的国际竞争力,更好地参与国际经济竞争。因此,政府部门已开始出台一系列相关政策策略,直接指导,推进信息安全的应用和开展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和标准。经过几年的开展,我国信息安全管理的成绩可以总结为以下几
12、点:1 初步建成了国家信息安全组织保障体系。1999年9月成立的国家计算机网络应急技术处理协调中心CNCERT/CC是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,专门负责收集、汇总、核实、发布权威性的应急处理信息,以支撑政府主管部门履行网络安全相关的社会管理和公共效劳职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。2003年CNCERT在我国大陆31个省市、自治区、直辖市成立分中心,完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设,形成了全国性的互联网网络安全信息共享、技术协同
13、能力,在协调国内网络信息安全应急组织CERT共同处理互联网安全事件方面发挥着重要作用。2001年5月成立了中国信息安全产品测评认证中心CNITSEC,China Information Technology Security Evaluation Center,是代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系,负责对国内外信息安全产品和信息技术进行测评和认证,对国内信息系统和工程进行安全性评估和认证,对提供信息安全效劳的组织和单位进行评估和认证,对信息安全专业人员的资质进行评估和认证。为进一步加强对推进我国信息化建
14、设和维护国家信息安全工作的领导,2001年8月,中共中央、国务院决定重新组建国家信息化领导小组,同年12月,成立“国务院信息化工作办公室办事机构,具体承担领导小组的日常工作。2003年7月,国务院信息化领导小组第三次会议上专题讨论并通过了关于加强信息安全保障工作的意见,同年9月,、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见200327号文件。27号文件第一次把信息安全提到了促进经济开展、维护社会稳定、保障 、加强精神文明建设的高度,并提出了“积极防御、综合防范的信息安全管理方针。2008年国务院机构 后原“国务院信息化工作办公室职能合并至国家工业和信息化部,具体工作由工
15、业和信息化部信息化推进司负责。2 制定了一系列必需的信息安全管理法律法规。从20世纪90年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了 计算机信息网络国际联网管理暂行规定、商用密码管理条例、互联网信息效劳管理方法、计算机信息网络国际联网安全保护管理方法、计算机病毒防治管理方法、互联网电子公告效劳管理规定、软件产品管理方法、电信网间互联管理暂行规定、电子签名法等有关信息安全管理的法律法规文件。3 制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安全管理工作,部主持制定、国家质量技术监督局发布了 国家标准GB 178951999计算机信息系统安全保护等级
16、划分准则,并引进了国际上著名的信息安全管理实施准则ISO 177992000、信息安全管理体系实施标准BS 7799-22002、信息技术安全性评估准则ISO/IEC 154081999、SSE-CMM:系统安全工程能力成熟度模型等信息安全管理相关标准。信息安全标准化 会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出标准要求及指导指南,它包括信息安全管理指南、信息安全管理实施标准、人员培训教育及录用要求、信息安全社会化效劳管理标准、信息安全保险业务标准框架和安全策略要求与指南。4 信息安全风险评估工作已经得到重视和开展。风险评估是信息安全管理的核心工作之一
17、。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,国家其他关键行业或系统如电力、电信、银行等也将陆续开展这方面的工作。同时在2007年和2009年分别发布了2项关于风险评估的标准:信息安全风险评估标准GB/T 209842007、信息安全风险管理指南GB/Z 243642009。尽管目前在信息安全管理上取得了一定的成绩,但也要看到其中还存在许多的问题,例如,信息安全管理在执行过程中还比较混乱,缺乏一个国家层面上的整体策略;缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理
18、机构;我国自己制定的信息安全管理标准太少,大多沿用国际标准;实际管理力度不够,政策的执行和监督力度不够,局部规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下表达中国的特色;局部规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差;信息安全意识缺乏,普遍存在重产品、轻效劳,重技术、轻管理的思想;专项经费投入缺乏,管理人才极度缺乏,基础理论研究和关键技术薄弱,技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后;等等。显然,信息安全管理方面我们应
19、该做的工作还有很多,做好这项工作也是任重而道远。5.1.3信息安全管理意义信息已经成为维持社会经济活动和生产活动的重要基础资源,成为政治、经济、文化、事乃至社会任何领域的基础。组织对信息系统不断增强的依赖性使得信息技术在提高组织工作效率的同时,也增大了组织重要信息受到严重侵扰和破坏后,组织面临资产损失、业务中断的风险。当今组织的信息系统面临着计算机欺诈、刺探情报、阴谋破坏、火灾、水灾等大范围威胁,又面临着计算机病毒、计算机攻击和黑客非法入侵等破坏,而且随着信息技术的开展和信息应用的深入,各种威胁变得越来越错综复杂,各种信息安全事故层出不穷。根据安全中的事故致因核心理论能量意外释放理论1961年
20、吉布森Gibson提出,1966年 运输部 局长哈登Haddon完善,可以归纳造成事故的原因有三个:人的不安全行为、物的不安全状态、管理的缺陷。人和物这两方面的因素已经被大家广泛认可,但管理的缺陷却往往容易被无视。管理上的缺陷往往是造成事故的最重要的因素,应该引起我们的高度重视。例如最近国内发生的两起重大铁路交通事故:“4.28胶济铁路特别重大交通事故和“7.23甬温线特别重大铁路交通事故。2008年4月28日,一场近10年来中国铁路行业罕见的列车相撞事故在胶济铁路上瞬间发生,北京开往青岛的T195次列车运行到胶济铁路周村至王村之间时脱线,与上行的烟台至徐州的5034次列车相撞,造成72人死亡
21、,416人受伤,其中重伤74人,事故后果严重,给国家和人民生命财产安全造成重大损失。这次事故正如国务院事故调查组组长、安监总局局长王君所说,是一起典型的由于管理上的失误导致的事故,不是天灾,而是人祸,是一场人为引起的、完全可以防止的事故。这也充分暴露了一些企业安全生产意识不到位、领导不到位、安全生产责任不到位、安全生产措施不到位、隐患排查治理不到位和监督管理不到位等严重问题,也反映了基层安全意识薄弱,现场管理存在严重漏洞,安全生产责任没有得到真正落实。另一起事故是2010年7月23日,甬温线浙江省温州市境内,由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列
22、车追尾事故,造成40人死亡、172人受伤,中断行车32小时35分,直接经济损失19371.65万元。2011年12月25日发布的国务院“7.23事故调查报告认定该事故发生的原因是:通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱,通号集团作为甬温线通信信号集成总承包商履行职责不力,致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。铁道部在设备招投标、技术审查、上道使用等方面违规操作、把关不严,致使其在温州南站上道使用。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后,采集数据不再更新,错误地控制轨道电路发码及信号显示,
23、使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障,使从永嘉站出发驶向温州南站的D3115次列车超速防护系统自动制动,在5829AG区段内停车。由于轨道电路发码异常,导致其三次转目视行车模式起车受阻,7分40秒后才转为目视行车模式以低于20公里/小时的速度向温州南站缓慢行驶,未能及时驶出5829闭塞分区。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息,使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯,向D301次列车发送无车占用码,导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员
24、安全意识不强,在设备故障发生后,未认真正确地履行职责,故障处置工作不得力,未能起到可能防止事故发生或减轻事故损失的作用。报告将事故性质确定为一起因列控中心设备存在严重设计缺陷、上道使用审查把关不严、雷击导致设备故障后应急处置不力等因素造成的责任事故。从这些事故中我们可以充分认识到管理的缺陷所带来的灾难性打击是多么的严重。正如本章5.1.1节所述,在所有计算机安全事件发生的原因中属于管理方面的高达70%以上,或者说,能对组织造成巨大损失的风险主要还是来自组织内部。与20多年前大型计算机要受到严密看守,由技术专家管理的情况相比,今天计算机技术已唾手可得,无处不在。而今天的计算机使用者大都很少受到严
25、格的培训,每天都在以不安全的方式处理着企业的大量重要信息,而且企业的贸易伙伴、咨询参谋、合作单位等外部人员都以不同的方式使用着企业的信息系统,他们都对企业的信息系统构成了潜在的威胁。比方,员工仅仅为了方便记忆而将系统登录密码粘贴在桌面或显示器边上的便条上,就足以毁掉花费了大量人力和物力建立起来的信息安全系统。许多对企业不满的员工“黑掉公司的网站、偷窃并散布客户敏感资料、为竞争对手提供机密技术或商业数据,甚至破坏关键计算机系统,使企业遭受巨大的损失。信息安全管理是保护国家、组织和个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系中,通过完善信息安全管理结构,综合应用信息安全管理策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 信息 安全管理
限制150内