免费智能真题库 > 历年试卷 > 信息安全工程师 > 2019年上半年 信息安全工程师 上午试卷 综合知识
  第3题      
  知识点:   ISO 27000信息安全管理体系应用参考   安全管理   管理体系   信息安全   信息安全管理   信息安全管理体系
  关键词:   安全管理体系   信息安全管理   安全   安全管理   信息安全        章/节:   网络安全体系建设参考案例       

 
BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理体系,但不能实现( )。
 
 
  A.  强化员工的信息安全意识,规范组织信息安全行为
 
  B.  对组织内关键信息资产的安全态势进行动态监测
 
  C.  促使管理层坚持贯彻信息安全保障体系
 
  D.  通过体系认证就表明体系符合标准,证明组织有能力保障重要信息
 
 
 

 
  第18题    2017年上半年  
   45%
ISO制定的安全体系结构描述了5种安全服务,以下不属于这5种安全服务的是()。
 
   知识点讲解    
   · ISO 27000信息安全管理体系应用参考    · 安全管理    · 管理体系    · 信息安全    · 信息安全管理    · 信息安全管理体系
 
       ISO 27000信息安全管理体系应用参考
        ISO 27000信息安全管理标准最初起源于英国的BS7799,其发展演变过程如下图所示。
        
        ISO 27000标准发展演变过程图
        信息安全管理系统(ISMS)按照PDCA不断循环改进,如下图所示。
        
        ISO 27000中的PDCA示意图
        其主要步骤阐述如下:
        (1)计划(Plan)。建立ISMS,识别信息资产及其相关的安全需求;评估信息安全风险;选择合适的安全控制措施,管理不可接受的风险。
        (2)执行(Do)。实现和运行ISMS,实施控制和运维管理。
        (3)检查(Check)。监测和评估ISMS。
        (4)处理(Act)。维持和改进ISMS。
        ISO 27001给出的信息安全管理目标领域共计十一项,即安全策略、安全组织、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务持续运行、符合性。ISO 27002则根据ISO 27001的三十九个控制目标,给出了实施安全控制的要求。详细内容请参见标准文档。
 
       安全管理
        . 安全运营中心(Security Operation Center,SOC)。腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力,帮助云上用户实现事前安全预防,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理。
        . 安全运营中心(私有云)。以安全检测为核心,以事件关联分析、腾讯威胁情报为重点,以3D可视化为特色,以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。适用于多种安全运营管理场景,通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现全网安全态势可知、可见、可控的闭环。
        . 密钥管理系统。让用户创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。
        . 凭据管理系统。提供凭据的创建、检索、更新、删除等全生命周期的管理服务,结合资源级角色授权轻松实现对敏感凭据的统一管理。针对敏感配置、敏感凭据硬编码带来的泄露风险问题,用户或应用程序可通过调用Secrets Manager API来检索凭据,有效避免程序硬编码和明文配置等导致的敏感信息泄密以及权限失控带来的业务风险。
 
       管理体系
        灾备管理体系主要是指组织机构的各个层面,在日常状态和灾难状态下的各种管理工作,至少包括以下5个方面。
        (1)灾难恢复组织机构。商业银行应结合本行机构设置的具体情况,设立灾难恢复组织机构,包括灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职,关键岗位的人员应有备份。商业银行可以参考《JR/T0044 2008银行业信息系统灾难恢复管理规范》,设置灾难恢复组织机构,包括决策层、管理层和执行层,各层之间分工明确、职责清晰。
        (2)岗位与培训管理。灾备中心的应急生产岗位应与生产中心对等,只不过可以按照人员复用的原则,由灾备管理人员、开发测试人员或系统运维人员专职或兼职担任。对不同层次、不同部门的岗位,在灾难恢复策略规划、系统建设与运维、预案制定、演练和更新维护等不同阶段,应按照不同的培训目标,安排不同的培训计划。
        (3)灾难恢复预案管理与演练。灾难恢复预案要长期保持有效性,必须在灾难恢复策略发生变化、演练发现问题、生产系统发生变更、人员出现调整等情况下,及时修订维护预案,做好变更管理、版本管理,以及发布管理等,确保合适的人员及时获得最准确、最合适的信息。演练验证灾难恢复预案有效性的最佳手段。演练管理就是要对演练的计划、场景、人员、过程、总结评估和后续完善调整等进行全面管理,通过演练来培养灾难恢复团队面对复杂环境的信心和冷静心态,验证灾难恢复能力,改进灾难恢复流程,发现并纠正灾备体系中的缺陷。
        (4)灾备中心日常运维、灾难响应与重续运行管理。灾备中心应随时做好接替生产中心的准备,因此,必须像生产中心一样,对灾备中心的系统、网络和环境等基础资源进行运行维护,按照备份策略按时完成数据备份,完成灾备系统与生产系统的同步。当灾难发生后,灾难恢复组织机构的各层人员立即响应,在指挥报告、协调、联络、保障等工作机制的保障下,按照灾难恢复流程步骤,一步步地恢复信息系统及其支撑的关键业务功能。在生产系统成功切换到灾备中心运行后,要按照生产中心的规章制度、操作流程、技术规范来管理,保障生产系统安全稳定运行,直至生产中心重建并恢复了生产运行能力。
        (5)外部资源管理。外部资源主要指商业银行的合作伙伴、服务商、设备商和外协人员等。当发生灾难时,可能需要这些外部资源的支持才能完成灾难恢复,比如,从设备供应商紧急采购灾备生产设备,从电信运营服务商紧急租用通信线路,从银联借调交易流水等。因此,需要与这些外部资源建立日常联系或签订协议,并不定期地测试其支持能力,以保证在灾难恢复期间,外部资源可以提供有效的支持。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
 
       信息安全管理体系
        发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即:British Standard 7799信息安全管理体系(ISO/IEC 17799)指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术+人+制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。
        British Standard 7799提出的信息管理过程如下。
        确定信息安全管理方针和信息安全管理体系的范围。
        进行风险分析。
        根据风险分析,建立信息安全管理体系(制度和技术体系)。
        建立业务持续计划并实施安全管理体系。
        企业应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的回馈流程和制度。为确保信息系统的安全,必须从管理角度确定应采取的主要控制方法和措施,并将管理要求落实。
               确定信息安全管理方针和信息安全管理体系的范围
               信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。
               进行风险分析
               信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
               在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
               组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
               根据风险分析,建立信息安全管理体系(制度和技术体系)
               管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量(如商誉的损失等)。由于信息安全是一个动态的系统工程,组织应时时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
               准备信息安全适用性申明:信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
               信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施。一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。
               安防制度是安全防护体系的基础。安防制度是这样一份或一套文档:它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标,它在企业里起的作用主要有3点。
               明确员工的法律责任;
               对保密信息和无形资产加以保护,使之免于盗窃、误用、非授权公开或修改;
               防止浪费企业的计算机资源。
               写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布,正式发布的规章制度才能作为法律证据。
               规章制度的生命周期(即制度的制定→推行→监督实施)是在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们,不要弄得过于复杂。规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配,对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格,安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复进行,必须要确保它们能够跟上企业的发展和变化。
               规章制度的制定,从全局的角度看,规章制度的制定工作包括以下几个方面:明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权利和义务。也可以以British Standard 7799信息安全管理体系(ISO/IEC 17799)为蓝本,这套标准把安防制度分为十大部分,内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用如下。
               (1)商务活动减灾恢复计划。从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。
               (2)系统访问权限控制。
               对信息的访问加以控制。
               防止出现针对信息系统的非授权访问。
               保护网络上的服务切实有效。
               防止出现计算机硬件设备的非授权访问。
               检测有无非授权访问。
               保证人员旅行时或电信线路上的信息安全。
               (3)系统开发和维护。
               确保可以让人们操控的系统上都已建好安全防护措施。
               防止应用系统里出现用户数据的丢失、修改和滥用现象。
               保护信息的保密性。与用户身份的对应性和完整性。
               确保IT项目及其支持性活动以一种受保护的方式来开发进行。
               维护应用系统中的软件和数据的安全性。
               (4)物理和环境的安防考虑。
               防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。
               防止企业资产出现丢失、损坏、不正当使用,防止业务活动出现中断。
               防止信息和信息处理设备的不正当使用和盗窃。
               (5)遵守法律和规定。
               避免违反一切刑事和民事法律。
               避免违反法令性、政策性及合同性义务。
               避免违反安防制度要求。
               保证企业的安防制度符合国际、国内的相关标准。
               最大限度地发挥企业监督机制的效能,减少它带来的不便。
               (6)人为因素的安防考虑。
               减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险。
               确保用户明白信息安全方面的威胁和关注重点,在其日常工作过程中懂得使用必要的设备来支持公司的安防制度。
               把安防事故和意外的损失减少到最小,并从这类事件中吸取教训。
               (7)企业组织的安防考虑。
               加强企业内部的信息安防管理。
               对允许第三方访问的企业信息处理设备和信息资产进行安全防护。
               对外包给其他公司信息处理业务所涉及的信息进行安全防护。
               (8)计算机和网络管理。
               确保对信息处理设备的操作是正确和安全的。
               减少系统故障方面的风险。
               保护软件和信息的完整性。
               注意维护在处理和通信过程中的完整性和可用性。
               确保网上信息的安防监控以及相关支持体系的安全防护。
               防止出现损坏企业资产和中断公司业务活动的行为。
               防止企业之间的交流信息被丢失、修改或滥用。
               (9)资产分类和控制。
               对公司资产加以适当的保护措施,确保无形资产都能得到足够级别的保护。
               (10)安防制度。
               提供信息安防方面的管理方针和支持服务。
               严格的信息安防制度必须包括以下几项重点内容。
               必须有明晰信息所有权的条款。
               必须规定员工/用户在保护信息资产方面的责任。
               必须制定出对不遵守制度现象的惩罚措施。
               为避免出现漏洞而给出了以下几条建议。
               在制定信息安防制度时要注意考虑企业文化,许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。
               规章制度必须有现实意义,必须由管理层明确签发——在正式发布规章制度之前,应该先调查清楚用户对这套制度的接受程度如何,还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用。要想让员工自觉地遵守规章制度,就必须先把制定规章制度的道理向他们讲清楚。举办学习会,在会上宣布开始执行这套规章制度,并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候,必须写明其监督实施办法,制定出正式执行这套规章制度的时间表。要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚,这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品,甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制,必须有对不遵守现象的纪律处罚手段,为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象,安防制度里必须有相应的监督实施办法,企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查,就必须有一个定期的常规检查计划——对恶性事故的原因和责任必须做正式的追查;违反规定的行为要视情节轻重进行处罚;纪律面前,人人平等,事故处理办法里应该说明怎样来调查和收集证据,在什么情况下需要提请司法机关介入。最后,应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流,让他们了解制度的执行情况,支持你的工作。要想制定出一套成功的信息安防制度,其关键在于以下几个问题的答案:员工理解正确使用情况和不正确使用情况之间的区别吗?对明显违反制度的行为,员工会报告吗?对明显违反制度的行为,员工知道应该怎样报告吗?
               以下内容是安防制度里的几个重要组成部分。
               计算机上机管理制度。计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在计算机里的信息资料,这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题。
               用户能否查阅和复制自己有访问权但不属于他们的文件。
               用户能否修改自己有写权限但不属于他们的文件。
               用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人。
               用户能否使用.rhosts文件。可以设置使用哪几个数据项。
               用户能否共享账户。
               用户账户管理制度。用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。用户账户管理制度需要问答以下几个问题。
               谁有权批准开设账户的申请?
               谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源?
               用户能否在一个系统上开设多个账户?
               用户能否共享账户?
               用户都有哪些权利和义务?
               账户都会在什么时候被禁用和归档?
               远程访问管理制度。远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题。
               哪些人有权使用远程访问服务?
               公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号)?
               内部网络上是否允许使用向外拨号的调制解调器?
               远程系统上有没有额外的使用要求——比如强制性的杀毒软件和安防软件?
               员工家庭里的其他成员能否使用公司的网络?
               对被远程访问的数据是否有限制?
               信息保护管理制度。信息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法。这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题。
               信息的敏感级别是如何设定的?
               哪些人可以访问到敏感的信息?
               敏感信息是如何保存和传输的?
               哪个级别敏感信息允许在公共打印机上打印出来?
               如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)?
               防火墙管理制度。防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置时的审批手续,这项制度需要问答以下几个问题。
               哪些人有防火墙系统的访问权?
               如果需要改变防火墙的配置情况,需要向谁提出申请?
               如果需要改变防火墙的配置情况,申请将由谁来批准?
               哪些人可以看到防火墙的配置规则和它的访问清单?
               防火墙配置情况的检查周期是多长时间?
               特殊访问权限管理制度。特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题。
               特殊访问权限需要向谁提出申请?
               特殊访问权限需要由谁来批准?
               特殊访问权限的口令字规则是什么?
               多长时间改变一次口令?
               什么理由或情况会导致用户的特殊访问权限被取消?
               网络连接设备管理制度。网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题。
               哪些人有权在网络上安装设备?
               安装新设备需要由谁来批准?
               安装新设备时应该通知哪些人?
               网络设备的增减情况由谁来记录?
               对网络上新增加的设备有没有安防要求?
               商业伙伴管理制度。商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题。
               是否要求每一个商业伙伴公司都必须有一份书面的安防制度?
               是否要求每一个商业伙伴公司都必须有个防火墙或其他网络边界安防设备?
               通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线等)?
               如果想访问商业伙伴的信息资源,应该如何提出申请?
               其他重要规定。你可能还需要制定其他几项规章制度,比如说:
               无线网络管理制度——帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪些安防措施,等等;
               实验室管理制度——如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的因特网连接,使它与公司内部的业务网络没有什么连接通路。
               个人数字助理(PDA)管理制度——这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。
               顾客管理制度。有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。
               信息安全管理系统基本技术框架。面向数据的安全概念是数据的保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。
               信息安全管理系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库;其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。
               基本安全环节。用户身份标识和鉴别。计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。
               身份鉴别可以是只对主体进行鉴别,某些情况下,则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素:你知道什么(秘密的口令)、你拥有什么(令牌或密钥)、你是谁(生理特征)。
               仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险,包括利用字典的口令破解;冒充合法计算机的登录程序欺骗登录者泄露口令等。
               任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式,这种方式在检查用户口令的同时,验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令,通过与验证方同步获得验证。
               基于生理特征的验证是一项始终处于研究阶段的技术,验证的依据种类繁多,常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵,并且出错率和性能还没有被广泛认可。
               访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。
               自主访问控制(DAC)是商用系统中最常见的一种类型,UNIX和NT操作系统都使用DAC。在基于DAC的系统中,主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。
               强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性,而且这些安全属性不像由客体拥有者制定的ACL(访问控制列表)那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
               审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。
               上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。
               对基本安全环节的增强机制。可以采取一些可行的技术手段以强化基本安全机制的作用,这些手段如下。
               在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。
               在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。
               独立的网络和主机审计系统。
               利用密码技术建立的身份鉴别体系:基于公钥算法和PKI的认证系统。
               扩充的安全机制。这些安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
               (1)安全审核。其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作,通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的,典型的产品如网络扫描器。
               (2)实时监控。实时监控系统依据系统积累的关于异常和入侵的知识(一组行为模式),实时监控系统中的事件,并可以在发生危害系统的事件发生时,产生预先定义的动作,终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识,并对典型行为敏感,因而又被称为“入侵检测”。它强化了系统中的访问控制(产生动作)和审计机制(记录危险事件)。
               (3)防病毒。防病毒系统利用病毒的已知特征发现病毒,并将其从系统中清除。
               (4)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
               (5)安全系统的灾难恢复。数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份,那么在系统出现故障时,仍然能保证重要数据准确无误。
               以上介绍的这些技术环节,有些是基本的,有些则并不一定都要部署,企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。
               建立业务持续计划并实施安全管理体系
               信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
               在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等。文档可以按各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。
               组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。
               必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。
               信息安全管理体系标准(如BS 7799国际信息安全管理标准体系)毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
   题号导航      2019年上半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第3题    在手机中做本题