【正文】 作已經(jīng)得到重視和開展。 風(fēng)險(xiǎn)評估是信息安全管理的核心工作之一。 2023年 7月，國信辦信息安全風(fēng)險(xiǎn)評估課題組就啟動了信息安全風(fēng)險(xiǎn)評估相關(guān)標(biāo)準(zhǔn)的編制工作，國家鐵路系統(tǒng)和北京移動通信公司作為先行者已完成了的信息安全風(fēng)險(xiǎn)評估試點(diǎn)工作， 26 國家其他關(guān)鍵行業(yè)或系統(tǒng) (如電力、電信、銀行等 )也將陸續(xù)開展這方面的工作。同時(shí)在 2023年和 2023年分別發(fā)布了 2項(xiàng)關(guān)于風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)：《信息安全風(fēng)險(xiǎn)評估規(guī)范》 (GB/T 20984— 2023)、《信息安全風(fēng)險(xiǎn)管理指南》 (GB/Z 24364—2023)。 盡管目前在信息安全管理上取得了一定的成績，但也要看到其中還存在許多的問題，例如，信息安全管理在執(zhí)行過程中還比較混亂，缺乏一個(gè)國家層面上的整體策略；缺乏權(quán)威、統(tǒng)一、專門的組織、規(guī)劃、管理和實(shí)施協(xié)調(diào)的立法管理機(jī)構(gòu)； 27 我國自己制定的信息安全管理標(biāo)準(zhǔn)太少，大多沿用國際標(biāo)準(zhǔn)；實(shí)際管理力度不夠，政策的執(zhí)行和監(jiān)督力度不夠，部分規(guī)定過分強(qiáng)調(diào)部門的自身特點(diǎn)，而忽略了在國際政治經(jīng)濟(jì)的大環(huán)境下體現(xiàn)中國的特色；部分規(guī)定沒有準(zhǔn)確地區(qū)分技術(shù)、管理和法制之間的關(guān)系，以管代法，用行政管技術(shù)的做法仍較普遍，造成制度的可操作性較差；信息安全意識缺乏，普遍存在重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理的思想；專項(xiàng)經(jīng)費(fèi)投入不足，管理人才極度缺乏，基礎(chǔ)理論研究和關(guān)鍵技術(shù)薄弱，技術(shù)創(chuàng)新不夠， 28 信息安全管理產(chǎn)品水平和質(zhì)量不高，尤其是以集中配置、集中管理、狀態(tài)報(bào)告和策略互動為主要任務(wù)的安全管理平臺產(chǎn)品的研究與開發(fā)還很落后；等等。顯然，信息安全管理方面我們應(yīng)該做的工作還有很多，做好這項(xiàng)工作也是任重而道遠(yuǎn)。 29 信息安全管理意義 信息已經(jīng)成為維持社會經(jīng)濟(jì)活動和生產(chǎn)活動的重要基礎(chǔ)資源，成為政治、經(jīng)濟(jì)、文化、軍事乃至社會任何領(lǐng)域的基礎(chǔ)。組織對信息系統(tǒng)不斷增強(qiáng)的依賴性使得信息技術(shù)在提高組織工作效率的同時(shí)，也增大了組織重要信息受到嚴(yán)重侵?jǐn)_和破壞后，組織面臨資產(chǎn)損失、業(yè)務(wù)中斷的風(fēng)險(xiǎn)。 當(dāng)今組織的信息系統(tǒng)面臨著計(jì)算機(jī)欺詐、刺探情報(bào)、陰謀破壞、火災(zāi)、水災(zāi)等大范圍威脅， 30 又面臨著計(jì)算機(jī)病毒、計(jì)算機(jī)攻擊和黑客非法入侵等破壞，而且隨著信息技術(shù)的發(fā)展和信息應(yīng)用的深入，各種威脅變得越來越錯綜復(fù)雜，各種信息安全事故層出不窮。 根據(jù)安全中的事故致因核心理論 —— 能量意外釋放理論 (1961年吉布森 (Gibson)提出， 1966年美國運(yùn)輸部安全局局長哈登 (Haddon)完善 )，可以歸納造成事故的原因有三個(gè)：人的不安全行為、物的不安全狀態(tài)、管理的缺陷。 31 人和物這兩方面的因素已經(jīng)被大家廣泛認(rèn)可，但管理的缺陷卻往往容易被忽視。管理上的缺陷往往是造成事故的最重要的因素，應(yīng)該引起我們的高度重視。例如最近國內(nèi)發(fā)生的兩起重大鐵路交通事故：“ ”膠濟(jì)鐵路特別重大交通事故和“ ”甬溫線特別重大鐵路交通事故。 2023年 4月 28日，一場近 10年來中國鐵路行業(yè)罕見的列車相撞事故在膠濟(jì)鐵路上瞬間發(fā)生，北京開往青島的 T195次列車運(yùn)行到膠濟(jì)鐵路周村至王村之間時(shí)脫線，與上行的煙臺至徐州的 5034次列車相撞，造成 72人死亡， 416人受傷，其中重傷74人，事故后果嚴(yán)重，給國家和人民生命財(cái)產(chǎn)安全造成重大損失。 32 這次事故正如國務(wù)院事故調(diào)查組組長、安監(jiān)總局局長王君所說，是一起典型的由于管理上的失誤導(dǎo)致的事故，不是天災(zāi)，而是人禍，是一場人為引起的、完全可以避免的事故。這也充分暴露了一些企業(yè)安全生產(chǎn)意識不到位、領(lǐng)導(dǎo)不到位、安全生產(chǎn)責(zé)任不到位、安全生產(chǎn)措施不到位、隱患排查治理不到位和監(jiān)督管理不到位等嚴(yán)重問題，也反映了基層安全意識薄弱，現(xiàn)場管理存在嚴(yán)重漏洞，安全生產(chǎn)責(zé)任沒有得到真正落實(shí)。 33 另一起事故是 2023年 7月 23日，甬溫線浙江省溫州市境內(nèi)，由北京南站開往福州站的 D301次列車與杭州站開往福州南站的 D3115次列車發(fā)生動車組列車追尾事故，造成 40人死亡、172人受傷，中斷行車 32小時(shí) 35分，直接經(jīng)濟(jì)損失 萬元。 2023年 12月 25日發(fā)布的國務(wù)院“ ”事故調(diào)查報(bào)告認(rèn)定該事故發(fā)生的原因是：通號集團(tuán)所屬通號設(shè)計(jì)院在LKD2T1型列控中心設(shè)備研發(fā)中管理混亂，通號集團(tuán)作為甬溫線通信信號集成總承包商履行職責(zé)不力，致使為甬溫線溫州南站提供的 LKD2T1型列控中心設(shè)備存在嚴(yán)重設(shè)計(jì)缺陷和重大安全隱患。 34 鐵道部在設(shè)備招投標(biāo)、技術(shù)審查、上道使用等方面違規(guī)操作、把關(guān)不嚴(yán)，致使其在溫州南站上道使用。當(dāng)溫州南站列控中心采集驅(qū)動單元采集電路電源回路中保險(xiǎn)管 F2遭雷擊熔斷后，采集數(shù)據(jù)不再更新，錯誤地控制軌道電路發(fā)碼及信號顯示，使行車處于不安全狀態(tài)。雷擊也造成 5829AG軌道電路發(fā)送器與列控中心通信故障，使從永嘉站出發(fā)駛向溫州南站的 D3115次列車超速防護(hù)系統(tǒng)自動制動，在5829AG區(qū)段內(nèi)停車。由于軌道電路發(fā)碼異常，導(dǎo)致其三次轉(zhuǎn)目視行車模式起車受阻， 35 7分 40秒后才轉(zhuǎn)為目視行車模式以低于 20公里 /小時(shí)的速度向溫州南站緩慢行駛，未能及時(shí)駛出 5829閉塞分區(qū)。因溫州南站列控中心未能采集到前行 D3115次列車在 5829AG區(qū)段的占用狀態(tài)信息，使溫州南站列控中心管轄的 5829閉塞分區(qū)及后續(xù)兩個(gè)閉塞分區(qū)防護(hù)信號錯誤地顯示綠燈，向 D301次列車發(fā)送無車占用碼，導(dǎo)致 D301次列車駛向 D3115次列車并發(fā)生追尾。上海鐵路局有關(guān)作業(yè)人員安全意識不強(qiáng)，在設(shè)備故障發(fā)生后，未認(rèn)真正確地履行職責(zé)，故障處置工作不得力，未能起到可能避免事故發(fā)生或減輕事故損失的作用。 36 報(bào)告將事故性質(zhì)確定為一起因列控中心設(shè)備存在嚴(yán)重設(shè)計(jì)缺陷、上道使用審查把關(guān)不嚴(yán)、雷擊導(dǎo)致設(shè)備故障后應(yīng)急處置不力等因素造成的責(zé)任事故。從這些事故中我們可以充分認(rèn)識到管理的缺陷所帶來的災(zāi)難性打擊是多么的嚴(yán)重。 正如本章 ，在所有計(jì)算機(jī)安全事件發(fā)生的原因中屬于管理方面的高達(dá) 70%以上，或者說，能對組織造成巨大損失的風(fēng)險(xiǎn)主要還是來自組織內(nèi)部。與 20多年前大型計(jì)算機(jī)要受到嚴(yán)密看守，由技術(shù)專家管理的情況相比，今天計(jì)算機(jī)技術(shù)已唾手可得，無處不在。而今天的計(jì)算機(jī)使用者大都很少受到嚴(yán)格的培訓(xùn)，每天都在以不安全的方式處理著企業(yè)的大量重要信息， 37 而且企業(yè)的貿(mào)易伙伴、咨詢顧問、合作單位等外部人員都以不同的方式使用著企業(yè)的信息系統(tǒng)，他們都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。比如，員工僅僅為了方便記憶而將系統(tǒng)登錄密碼粘貼在桌面或顯示器邊上的便條上，就足以毀掉花費(fèi)了大量人力和物力建立起來的信息安全系統(tǒng)。許多對企業(yè)不滿的員工“黑”掉公司的網(wǎng)站、偷竊并散布客戶敏感資料、為競爭對手提供機(jī)密技術(shù)或商業(yè)數(shù)據(jù)，甚至破壞關(guān)鍵計(jì)算機(jī)系統(tǒng)，使企業(yè)遭受巨大的損失。 38 信息安全管理是保護(hù)國家、組織和個(gè)人等各個(gè)層面上信息安全的重要基礎(chǔ)。在一個(gè)有效的信息安全管理體系中，通過完善信息安全管理結(jié)構(gòu)，綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品，才有可能建立起一個(gè)真正意義上的信息安全保障體系。 39 信息安全管理的內(nèi)容和原則 在我國，信息安全管理是對一個(gè)組織機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級責(zé)任要求的管理，包括以下內(nèi)容： (1) 落實(shí)安全管理機(jī)構(gòu)及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃。 (2) 開發(fā)安全策略。 (3) 實(shí)施風(fēng)險(xiǎn)管理。 (4) 制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃。 (5) 選擇與實(shí)施安全措施。 40 (6) 保證配置、變更的正確與安全。 (7) 進(jìn)行安全審計(jì)。 (8) 保證維護(hù)支持。 (9) 進(jìn)行監(jiān)控、檢查，處理安全事件。 (10) 安全意識與安全教育。 (11) 人員安全管理等。 在進(jìn)行信息安全管理的過程中，需要遵循的原則有： ① 基于安全需求原則。組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命、積累的信息資產(chǎn)的重要性、可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求， 41 按照信息系統(tǒng)等級要求確定相應(yīng)的信息系統(tǒng)保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c安全效果。 ② 主要領(lǐng)導(dǎo)負(fù)責(zé)原則。主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效的安全保障隊(duì)伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門的關(guān)系，并確保其落實(shí)、有效。 ③ 全員參與原則。信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。 42 ④ 系統(tǒng)方法原則。按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)系的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障目標(biāo)的有效性的效率。 ⑤ 持續(xù)改進(jìn)原則。安全管理是一種動態(tài)反饋過程，貫穿整個(gè)安全管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化、威脅程度的提高、系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 43 ⑥ 依法管理原則。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不利的社會影響。 ⑦ 分權(quán)和授權(quán)原則。對特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離，對獨(dú)立審計(jì)實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。任何實(shí)體 (例如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng) )僅享有該實(shí)體需要完成其任務(wù)所必需的權(quán)限，不應(yīng)享有任何多余權(quán)限。 44 ⑧ 選用成熟技術(shù)原則。成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟的程度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤。 ⑨ 分級保護(hù)原則。按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級，實(shí)行分級保護(hù)，對多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級，實(shí)行多級安全保護(hù)。 45 ⑩ 管理與技術(shù)并重原則。堅(jiān)持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立足國情，采用管理與技術(shù)相結(jié)合、管理科學(xué)性和技術(shù)前瞻性相結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。 ? 自保護(hù)和國家監(jiān)管結(jié)合原則。對信息系統(tǒng)安全實(shí)行自保護(hù)和國家監(jiān)管相結(jié)合。組織機(jī)構(gòu)要對自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國家信息安全。 46 信息系統(tǒng)的安全因素 信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險(xiǎn)和保護(hù)措施等。這些信息系統(tǒng)的安全因素之間的關(guān)系如圖 52所示。 (1) 資產(chǎn)。主要包括： 支持設(shè)施 (例如建筑、供電、供水、空調(diào)等 )。 硬件資產(chǎn) (例如各種計(jì)算機(jī)設(shè)備、通信設(shè)施、存儲媒介等 )。 信息資產(chǎn) (例如數(shù)據(jù)庫、系統(tǒng)文件、用戶手冊、操作支持程序、持續(xù)性計(jì)劃等 )。 47 圖 52 信息系統(tǒng)的主要安全因素之間的關(guān)系 48 軟件資產(chǎn) (例如應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具、實(shí)用程序等 )。 生產(chǎn)能力和服務(wù)能力。 人員。 無形資產(chǎn) (例如信譽(yù)、形象等 )。 (2) 威脅。主要包括自然威脅和人為威脅。自然威脅有地震、雷擊、洪水、火災(zāi)、靜電、鼠害和電力故障等。人為威脅有： 盜竊類型的威脅 (例如偷竊設(shè)備、竊取數(shù)據(jù)、盜用計(jì)算資源等 )。 49 破壞類型的威脅 (例如破壞設(shè)備、破壞數(shù)據(jù)文件、引入惡意代碼等 )。 處理類型的威脅 (例如插入假的輸入、隱瞞某個(gè)輸出、電子欺騙、非授權(quán)改變文件、修改程序和更改設(shè)備配置等 )。 操作錯誤和疏忽類型的威脅 (例如數(shù)據(jù)文件的誤刪除、誤存和誤改、磁盤誤操作等 )。 管理類型的威脅 (例如安全意識淡薄、安全制度不健全、崗位職責(zé)混亂、審計(jì)不力、設(shè)備選型不當(dāng)、人事管理漏洞等