|
|
|
发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即:British Standard 7799信息安全管理体系(ISO/IEC 17799)指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术+人+制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。
|
|
|
|
British Standard 7799提出的信息管理过程如下。
|
|
|
|
|
|
|
|
根据风险分析,建立信息安全管理体系(制度和技术体系)。
|
|
|
|
|
|
企业应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的回馈流程和制度。为确保信息系统的安全,必须从管理角度确定应采取的主要控制方法和措施,并将管理要求落实。
|
|
|
|
|
|
信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。
|
|
|
|
|
|
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
|
|
|
|
在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
|
|
|
|
组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
|
|
|
|
根据风险分析,建立信息安全管理体系(制度和技术体系)
|
|
|
|
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量(如商誉的损失等)。由于信息安全是一个动态的系统工程,组织应时时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
|
|
|
|
准备信息安全适用性申明:信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
|
|
|
|
信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施。一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。
|
|
|
|
安防制度是安全防护体系的基础。安防制度是这样一份或一套文档:它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标,它在企业里起的作用主要有3点。
|
|
|
|
|
|
对保密信息和无形资产加以保护,使之免于盗窃、误用、非授权公开或修改;
|
|
|
|
|
|
写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布,正式发布的规章制度才能作为法律证据。
|
|
|
|
规章制度的生命周期(即制度的制定→推行→监督实施)是在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们,不要弄得过于复杂。规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配,对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格,安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复进行,必须要确保它们能够跟上企业的发展和变化。
|
|
|
|
规章制度的制定,从全局的角度看,规章制度的制定工作包括以下几个方面:明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权利和义务。也可以以British Standard 7799信息安全管理体系(ISO/IEC 17799)为蓝本,这套标准把安防制度分为十大部分,内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用如下。
|
|
|
|
(1)商务活动减灾恢复计划。从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
防止应用系统里出现用户数据的丢失、修改和滥用现象。
|
|
|
|
|
|
确保IT项目及其支持性活动以一种受保护的方式来开发进行。
|
|
|
|
|
|
|
|
防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。
|
|
|
|
防止企业资产出现丢失、损坏、不正当使用,防止业务活动出现中断。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
最大限度地发挥企业监督机制的效能,减少它带来的不便。
|
|
|
|
|
|
减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险。
|
|
|
|
确保用户明白信息安全方面的威胁和关注重点,在其日常工作过程中懂得使用必要的设备来支持公司的安防制度。
|
|
|
|
把安防事故和意外的损失减少到最小,并从这类事件中吸取教训。
|
|
|
|
|
|
|
|
对允许第三方访问的企业信息处理设备和信息资产进行安全防护。
|
|
|
|
对外包给其他公司信息处理业务所涉及的信息进行安全防护。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
确保网上信息的安防监控以及相关支持体系的安全防护。
|
|
|
|
|
|
|
|
|
|
对公司资产加以适当的保护措施,确保无形资产都能得到足够级别的保护。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在制定信息安防制度时要注意考虑企业文化,许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。
|
|
|
|
规章制度必须有现实意义,必须由管理层明确签发——在正式发布规章制度之前,应该先调查清楚用户对这套制度的接受程度如何,还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用。要想让员工自觉地遵守规章制度,就必须先把制定规章制度的道理向他们讲清楚。举办学习会,在会上宣布开始执行这套规章制度,并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候,必须写明其监督实施办法,制定出正式执行这套规章制度的时间表。要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚,这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品,甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制,必须有对不遵守现象的纪律处罚手段,为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象,安防制度里必须有相应的监督实施办法,企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查,就必须有一个定期的常规检查计划——对恶性事故的原因和责任必须做正式的追查;违反规定的行为要视情节轻重进行处罚;纪律面前,人人平等,事故处理办法里应该说明怎样来调查和收集证据,在什么情况下需要提请司法机关介入。最后,应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流,让他们了解制度的执行情况,支持你的工作。要想制定出一套成功的信息安防制度,其关键在于以下几个问题的答案:员工理解正确使用情况和不正确使用情况之间的区别吗?对明显违反制度的行为,员工会报告吗?对明显违反制度的行为,员工知道应该怎样报告吗?
|
|
|
|
|
|
计算机上机管理制度。计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在计算机里的信息资料,这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题。
|
|
|
|
用户能否查阅和复制自己有访问权但不属于他们的文件。
|
|
|
|
|
|
用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人。
|
|
|
|
用户能否使用.rhosts文件。可以设置使用哪几个数据项。
|
|
|
|
|
|
用户账户管理制度。用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。用户账户管理制度需要问答以下几个问题。
|
|
|
|
|
|
谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源?
|
|
|
|
|
|
|
|
|
|
|
|
远程访问管理制度。远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题。
|
|
|
|
|
|
公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号)?
|
|
|
|
|
|
远程系统上有没有额外的使用要求——比如强制性的杀毒软件和安防软件?
|
|
|
|
|
|
|
|
信息保护管理制度。信息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法。这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题。
|
|
|
|
|
|
|
|
|
|
|
|
如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)?
|
|
|
|
防火墙管理制度。防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置时的审批手续,这项制度需要问答以下几个问题。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
特殊访问权限管理制度。特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
网络连接设备管理制度。网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
商业伙伴管理制度。商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题。
|
|
|
|
是否要求每一个商业伙伴公司都必须有一份书面的安防制度?
|
|
|
|
是否要求每一个商业伙伴公司都必须有个防火墙或其他网络边界安防设备?
|
|
|
|
通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线等)?
|
|
|
|
|
|
其他重要规定。你可能还需要制定其他几项规章制度,比如说:
|
|
|
|
无线网络管理制度——帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪些安防措施,等等;
|
|
|
|
实验室管理制度——如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的因特网连接,使它与公司内部的业务网络没有什么连接通路。
|
|
|
|
个人数字助理(PDA)管理制度——这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。
|
|
|
|
顾客管理制度。有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。
|
|
|
|
信息安全管理系统基本技术框架。面向数据的安全概念是数据的保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。
|
|
|
|
信息安全管理系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库;其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。
|
|
|
|
基本安全环节。用户身份标识和鉴别。计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。
|
|
|
|
身份鉴别可以是只对主体进行鉴别,某些情况下,则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素:你知道什么(秘密的口令)、你拥有什么(令牌或密钥)、你是谁(生理特征)。
|
|
|
|
仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险,包括利用字典的口令破解;冒充合法计算机的登录程序欺骗登录者泄露口令等。
|
|
|
|
任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式,这种方式在检查用户口令的同时,验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令,通过与验证方同步获得验证。
|
|
|
|
基于生理特征的验证是一项始终处于研究阶段的技术,验证的依据种类繁多,常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵,并且出错率和性能还没有被广泛认可。
|
|
|
|
访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。
|
|
|
|
自主访问控制(DAC)是商用系统中最常见的一种类型,UNIX和NT操作系统都使用DAC。在基于DAC的系统中,主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。
|
|
|
|
强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性,而且这些安全属性不像由客体拥有者制定的ACL(访问控制列表)那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
|
|
|
|
审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。
|
|
|
|
上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。
|
|
|
|
对基本安全环节的增强机制。可以采取一些可行的技术手段以强化基本安全机制的作用,这些手段如下。
|
|
|
|
在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。
|
|
|
|
在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。
|
|
|
|
|
|
利用密码技术建立的身份鉴别体系:基于公钥算法和PKI的认证系统。
|
|
|
|
扩充的安全机制。这些安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
|
|
|
|
(1)安全审核。其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作,通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的,典型的产品如网络扫描器。
|
|
|
|
(2)实时监控。实时监控系统依据系统积累的关于异常和入侵的知识(一组行为模式),实时监控系统中的事件,并可以在发生危害系统的事件发生时,产生预先定义的动作,终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识,并对典型行为敏感,因而又被称为“入侵检测”。它强化了系统中的访问控制(产生动作)和审计机制(记录危险事件)。
|
|
|
|
(3)防病毒。防病毒系统利用病毒的已知特征发现病毒,并将其从系统中清除。
|
|
|
|
(4)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
|
|
|
|
(5)安全系统的灾难恢复。数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份,那么在系统出现故障时,仍然能保证重要数据准确无误。
|
|
|
|
以上介绍的这些技术环节,有些是基本的,有些则并不一定都要部署,企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。
|
|
|
|
|
|
信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
|
|
|
|
在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等。文档可以按各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。
|
|
|
|
组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。
|
|
|
|
必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。
|
|
|
|
信息安全管理体系标准(如BS 7799国际信息安全管理标准体系)毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
|
|
|
