|
知识路径: > 信息系统开发和运行管理知识 > 系统运行管理知识 > 系统的成本管理、用户管理、安全管理、性能管理 > 安全管理 >
|
被考次数:9次
被考频率:中频率
总体答错率:39%  
知识难度系数:
|
由 软考在线 用户真实做题大数据统计生成
|
相关知识点:32个
|
|
|
|
安全的最终实现是靠管理,可以说“三分技术,七分管理”。但究竟应该怎么加强信息安全管理却一直被探索中。目前国际上对安全管理也有很多尝试,比较有代表性的有ISO13335和ISO17799这两个安全管理的标准。对于这两个标准还有很多不同评价,但其参考价值是显而易见的。
|
|
|
一般来说,完整的安全管理制度必须包括以下几个方面:人员安全管理制度;操作安全管理制度;场地与设施安全管理制度;设备安全使用管理制度;操作系统和数据库安全管理制度;运行日志安全管理;备份安全管理;异常情况管理;系统安全恢复管理;安全软件版本管理制度;技术文档安全管理制度;应急管理制度;审计管理制度;运行维护安全规定;第三方服务商的安全管理;对系统安全状况的定期评估策略;技术文档媒体报废管理制度。
|
|
|
|
安全策略的目的是保证信息系统的安全,为网络和信息安全提供管理指导和支持,是组织信息安全的最高方针,描述了一个组织高层的安全目标,并且描述了应该做什么而不是怎么去做。
|
|
|
实施策略的选择也是很重要的。应当根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海中并落实到实际工作中。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。
|
|
|
安全策略实施是指在组织范围内实施已制定的并得到高层批准的安全策略,使安全策略的条文真正被有效执行。只有坚持执行既定方针、灵活调整实施策略、贯彻落实各项制度、提高员工和客户的安全意识、充分发挥全员的积极性和主动性,信息安全问题才能从根本上得到解决。为了实施安全策略,我们要采取必要的技术手段和各种安全解决方案,比如加密技术、防病毒技术、防火墙技术、入侵检测技术、安全隔离技术等。
|
|
|
|
|
信息系统的安全保障能力取决于信息系统所采取安全管理措施的强度和有效性,这些措施可以分为如下几个层面。
|
|
|
(1)安全策略。信息安全策略用于描述一个组织高层的安全目标,它描述应该做什么而不是怎么去做。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。
|
|
|
(2)安全组织。安全组织作为安全工作的管理、实施和运行维护体系,主要负责安全策略、制度、规划的制订和实施,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作、监督各种安全工作的开展、协调各种不同部门在安全实施中的分工和合作,以保证安全目标的实现。
|
|
|
(3)安全人员。人是信息安全的核心,信息的建立和使用者都是人。不同级别的保障能力的信息系统对人员的可信度要求也不一样,信息系统的安全保障能力越高,对信息处理设施的维护人员、信息建立和使用人员的可信度要求就越高。
|
|
|
(4)安全技术。安全技术是信息系统里面部署的各类安全产品,它属于技术类安全控制措施,不同保障能力级别的信息系统应选择具备不同安全保障能力级别的安全技术与产品。
|
|
|
(5)安全运作。包括安全生命周期中各个安全环节的要求,包括安全服务的响应时间、安全工程的质量保证、安全培训的力度等。
|
|
|
|
|
(1)定义管理的目的、范围、责任和结果的安全制度。
|
|
|
(2)详细陈述控制的IT安全标准,这些控制是实现制度目标所要求的,例如有关访问控制的制度会由以下标准所补充,这个标准就是有关如何实现访问控制的标准(密码、授权程序、监测和审查,等等)。
|
|
|
|
|
|
|
|
(8)对工作人员进行一般的安全常识和制度要求方面的培训。
|
|
|
(9)要求用户签订一个声明,声称在访问任何系统之前已经理解了制度并要遵守该制度。
|
|
|
此外,任何信息系统都不可能完全避免天灾或者人祸,当事故发生时,要有效地跟踪事故源、收集证据、恢复系统、保护数据。但除了采取所有必要的措施来应付可能发生的最坏的情况之外,还需要有事故恢复计划,以便在真正发生灾难的时候进行恢复。
|
|
|
紧急事故恢复计划是系统安全性的一项重要元素。应事先拟好系统紧急恢复计划,在事故发生时,按照计划以最短时间、最小的损失来恢复系统。紧急恢复计划的制定要简单明了、便于操作,同时必须确认相关人员充分了解了这份系统紧急恢复计划内容。系统紧急恢复计划应说明当紧急事件发生时,应向谁报告、谁负责回应、谁来做恢复决策,并且在计划中应包括情境模拟。此外,应定期对系统做试验、检查,发现问题或环境有改变时,应立即检查计划并决定是否需要修正,以保证其可靠性和可行性。
|
|
|
|
|
(1)灾难预防制度。做灾难恢复备份,自动备份系统的重要信息。
|
|
|
(2)灾难演习制度。每过一段时间进行一次灾难演习,以熟练灾难恢复的操作过程。
|
|
|
(3)灾难恢复。使用最近一次的备份进行灾难恢复,可以分为两类,即全盘恢复和个别文件恢复
|
|
|
|
|
|
|
同时,备份应有适当的实体及环境保护,并定期进行测试以保证关键时刻的可用性。备份资料的保存时间及是否永久保存由资料的拥有者来决定。
|
|
|
|
安全管理系统要包括管理机构、责任制、教育制度、培训、外部合同作业安全性等方面的保证。建立信息安全管理体系能够使我们全面地考虑各种因素,人为的、技术的、制度的、操作规范的,等等。并且将这些因素进行综合考虑;建立信息安全管理体系,使得我们在建设信息安全系统时通过对组织的业务过程进行分析,能够比较全面地识别各种影响业务连续性的风险;并通过管理系统自身(含技术系统)的运行状态自我评价和持续改进,达到一个期望的目标。
|
|
|
通过信息安全管理系统规定各类信息的对于保证业务连续性的重要程度,即所谓的资产赋值,进而使规范的风险分析成为可能;无论ISO17799还是ISO13335,都强调了规范的风险评估的必要性。这一点很值得我们参照,以使我们规划的信息安全系统具合理性。ISO17799和ISO13335也都强调了人的作用,要求对所有相关人员进行经常性的安全培训,以使他们的行为符合整个安全策略的要求,这一点同样非常值得我们借鉴。通过信息安全管理系统明确组织的信息安全的范围、规定安全的权限和责任;信息的处理(包括提供、修改和使用)必须在相应的控制措施保护的环境下进行。
|
|
|
为了增强系统的安全性,也可以采用外部合同作业和外购的策略。外部合同作业要明确规定双方的任务与职责并使其得以坚持。应当制定一份经法律顾问评价的契约性协议,明确规定的期望及成效标准,以及对不履行所实施的惩罚。按照标准来跟踪、管理所签订的协议和成效的职责分派。确定用于关系的终止、重新评价和/或重新投标的规程,以确保单位的利益。如果采取外购策略,则应该确定本单位的外购战略,包括:与企业战略一致的外购目标、外购目的(例如降低成本或者集中于核心能力)、外购范围(例如所有系统或特定的IT功能)和报告渠道。
|
|
|
对于整个安全管理系统来说,应该将重点放在主动地控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性。
|
|
|
|
对项目进行的管理,最重要的就是对项目的风险进行管理。项目风险是可能导致项目背离既定计划的不确定事件、不利事件或弱点。项目的风险管理集中了项目风险识别、分析及管理。识别出潜在风险后,风险管理的目的是从时间和成本的角度测定有连带关系的影响。因此,风险管理不仅关系到风险的识别,而且关系到将风险降低至可接受的水平。
|
|
|
对项目风险的管理应当包括:①一个风险管理计划,它至少应强调主要的项目风险(财务、进度、组织、业务调整)、潜在的风险影响、风险管理的可能的解决方案、降低风险的措施;②一个风险预防计划或应急计划,包括降低风险所必需的资源、时间及成本概算;③一个在整个项目周期内自始至终对风险进行测定、跟踪及报告的程序;④应急费用,并将其列入预算。
|
|
|
管理目标的确定和管理措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管理目标和管理措施加以校验和调整,以适应变化了的情况。
|
|
|
|
没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
|
|
|
风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
|
|
|
|
风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
|
|
|
|
进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|