【正文】 黎連業(yè) 工程監(jiān)理 基本知識(shí)（ 11） 第 11講：信息安全管理 黎連業(yè) 第 11講： 信息安全管理 在本 講 中 您能了解如下 知識(shí)點(diǎn) ： ? 信息系統(tǒng)安全概論 ? 監(jiān)理在信息安全管理中的作用 ? 信息系統(tǒng)安全管理分析與對(duì)策 黎連業(yè) ? 信息系統(tǒng)安全定義與認(rèn)識(shí) ? 信息系統(tǒng)安全的屬性 ? 信息安全管理的重要性 ? 架構(gòu)安全管理體系 黎連業(yè) 信息系統(tǒng)安全定義與認(rèn)識(shí) ? 定義 ? 從不同角度看待信息系統(tǒng)安全 黎連業(yè) 定義 ? 在信息系統(tǒng)工程中，信息安全涵蓋了人工和自動(dòng)信息處理的安全。網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲、光、電信號(hào)、磁信號(hào)、語音以及約定形式為載體的信息的安全。 ? 信息系統(tǒng)安全定義是：確保以電磁信號(hào)為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。 ? 在信息系統(tǒng)安全定義中， 人 是指信息系統(tǒng)應(yīng)用的主體，包括 ? 各類用戶 ? 支持人員 ? 技術(shù)管理人員 ? 行政管理人員等。 ? 網(wǎng)絡(luò) 則指以計(jì)算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)以及操作系統(tǒng)、通信協(xié)議和應(yīng) ? 用程序所構(gòu)成的物理的和邏輯的完整體系； ? 環(huán)境 則是系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括 ? 建筑物 ? 機(jī)房 ? 電力 ? 保障與備份 ? 應(yīng)急與恢復(fù)體系等。 黎連業(yè) 從不同角度看待信息系統(tǒng)安全 ? 從個(gè)人用戶最為關(guān)心的信息系統(tǒng)安全問題是如何保證涉及個(gè)人隱私的問題。從企業(yè)用戶的角度來說，是如何保證涉及商業(yè)利益的數(shù)據(jù)的安全。 ? 個(gè)人數(shù)據(jù)或企業(yè)的信息在傳輸過程中要保證其受到保密性、完整性和可用性的保護(hù)，如何避免其他人，特別是其競爭對(duì)手利用竊聽、冒充、竄改、抵賴等手段，對(duì)其利益和隱私造成損害和侵犯，同時(shí)用戶也希望其保存在某個(gè)網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)，不會(huì)受其他非授權(quán)用戶的訪問和破壞。 ? 從網(wǎng)絡(luò)運(yùn)行和管理者角度說，最為關(guān)心的信息系統(tǒng)安全問題是如何保護(hù)和控制其他人對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作。比如，避免出現(xiàn)漏洞陷阱、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等現(xiàn)象，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。 黎連業(yè) ? 對(duì)安全保密部門和國家行政部門來說，最為關(guān)心的信息系統(tǒng)安全問題是如何對(duì)非法的、有害的或涉及國家機(jī)密的信息進(jìn)行有效過濾和防堵，避免非法泄露。機(jī)密敏感的信息被泄密后將會(huì)對(duì)社會(huì)的安定產(chǎn)生危害，對(duì)國家造成巨大的經(jīng)濟(jì)損失和政治損失。 ? 從社會(huì)教育和意識(shí)形態(tài)角度來說，最為關(guān)心的信息系統(tǒng)安全問題則是如何杜絕和控制網(wǎng)絡(luò)上不健康的內(nèi)容。有害的黃色內(nèi)容會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成不良影響。 黎連業(yè) 信息系統(tǒng)安全的屬性 ? 信息系統(tǒng)安全屬性分為三個(gè)方面： 即可用性、保密性、完整性。 ? 可用性 ? 可用性是信息系統(tǒng)工程能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性?？捎眯允切畔⑾到y(tǒng)安全的最基本要求之一，是所有信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)?？捎眯允侵感畔⒓跋嚓P(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。 ? 可用性主要表現(xiàn)在硬件可用性、軟件可用性、人員可用性、環(huán)境可用性等方面。硬件可用性最為直觀和常見。軟件可用性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。人員可用性是指工作人員成功地完成工作或任務(wù)的概率。 黎連業(yè) ? 信息網(wǎng)絡(luò)系統(tǒng) 可用性還體現(xiàn)在 5性 ： ? 抗毀性 ，是指系統(tǒng)在人為破壞下的可用性。比如，部分線路或節(jié)點(diǎn)失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。增強(qiáng)抗毀性可以有效地避免因各種災(zāi)害 (戰(zhàn)爭、地震等 )造成的大面積癱瘓事件。 ? 生存性 ，是在隨機(jī)破壞下系統(tǒng)的可用性。生存性主要反映隨機(jī)性破壞和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)系統(tǒng)可用性的影響。這里，隨機(jī)性破壞是指系統(tǒng)部件因?yàn)樽匀焕匣仍斐傻淖匀皇А? ? 有效性 ，是一種基于業(yè)務(wù)性能的可用性。有效性主要反映在信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。比如，信息系統(tǒng)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標(biāo)下降、平均延時(shí)增加、線路阻塞等現(xiàn)象。 黎連業(yè) 保密性 ? 保密性是信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，信息只為授權(quán)用戶使用的特性。信息的保密性是針對(duì)信息被允許訪問（ Access）對(duì)象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如國家根據(jù)秘密泄露對(duì)國家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí)，組織可根據(jù)其信息安全的實(shí)際，在符合《國家保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期解密等。 黎連業(yè) ? 保密性是在可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段 。 ? 常用的保密技術(shù)包括 ： ? 防偵測 ，使對(duì)手偵測不到有用的信息； ? 防輻射 ，防止有用信息以各種途徑輻射出去； ? 信息加密 ，在密鑰的控制下，用加密算法對(duì)信息進(jìn)行加密處理。即使對(duì)手得到了加密后的信息也會(huì)因?yàn)闆]有密鑰而無法讀懂有效信息； ? 物理保密 ，利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護(hù)信息不被泄露。 黎連業(yè) 完整性 ? 完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被刪除、修改、偽造、亂序、重放、插入等，另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮?，如誤刪除文件，有可能造成重要文件的丟失。 ? 完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。 黎連業(yè) ? 保障信息網(wǎng)絡(luò)系統(tǒng)完整性的主要方法有以下幾種： ? 協(xié)議 ，通過各種安全協(xié)議可以有效地檢測出被復(fù)制的信息、被刪除的字段、失效的字段和被修改的字段； ? 糾錯(cuò)編碼方法 ，由此完成檢錯(cuò)和糾錯(cuò)功能。最簡單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法； ? 密碼校驗(yàn)和方法，抗竄改和傳輸失敗的重要手段； ? 數(shù)字簽名 ，保障信息的真實(shí)性； ? 公證 ，請(qǐng)求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。 黎連業(yè) 信息安全管理的重要性 ? 從系統(tǒng)本身存在的問題認(rèn)識(shí) ? 政府和企業(yè)對(duì)信息系統(tǒng)安全的重視 黎連業(yè) 架構(gòu)安全管理體系 ? 信息系統(tǒng)安全的總體目標(biāo)是物理安全、信息基礎(chǔ)設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全與公共信息安全的總和，最終目標(biāo)是確保信息的可用性、保密性和完整性，確保信息系統(tǒng)工程的主體，不僅是用戶，還包括組織、社會(huì)和國家，對(duì)于信息資源的控制。 ? 從信息安全管理目標(biāo)來看，其中的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全等可通過開放系統(tǒng)互連安全體系的安全服務(wù)、安全機(jī)制及其管理實(shí)現(xiàn)，但所獲得的這些安全特性只解決了與通信和互連有關(guān)的安全問題，而涉及與信息系統(tǒng)工程的構(gòu)成組件及其運(yùn)行環(huán)境安全有關(guān)的其他安全問題（如物理安全、系統(tǒng)安全等）還需從技術(shù)措施和管理措施兩方面結(jié)合起來。為了系統(tǒng)地、完整地構(gòu)建信息系統(tǒng)的安全體系框架，信息系統(tǒng)安全體系應(yīng)當(dāng)由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。 黎連業(yè) 技術(shù)體系 ? 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。該 體系由兩大