【正文】 信息安全管理（三）信息安全管理（三）第二章、信息安全管理基礎(chǔ)第二章、信息安全管理基礎(chǔ)? 信息安全性質(zhì)： 信息技術(shù)以網(wǎng)絡(luò)化的方式應(yīng)用于社會(huì)生活各方面時(shí)，對(duì)國(guó)家、社會(huì)、個(gè)人安全利益的侵害與保護(hù)? 信息安全關(guān)鍵點(diǎn)：– 安全利益：國(guó)家、社會(huì)、個(gè)人的生存和發(fā)展的利益– 信息技術(shù)：對(duì)信息、信息系統(tǒng)（網(wǎng)絡(luò)化）以及信息和信息系統(tǒng)關(guān)聯(lián)的主體（國(guó)家、社會(huì)、個(gè)人）的特定安全利益的侵害與保護(hù)? 信息安全核心問(wèn)題 ：– 信息技術(shù)：特性和過(guò)程結(jié)果可侵害或保護(hù)國(guó)家、社會(huì)、個(gè)人的安全利益信息安全是指在信息傳遞的過(guò)程中，數(shù)據(jù)被破壞、偷竊或丟失的風(fēng)險(xiǎn)性。信息安全管理體系 ISMS：是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。ISO27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，是信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)。信息安全管理的基本原則 主要領(lǐng)導(dǎo)負(fù)責(zé) 規(guī)范定級(jí) 一人為本 適度安全信息安全管理體系? 黨的十五屆五中全會(huì)和第九屆人大第六次會(huì)議決定建立國(guó)家信息安全保障體系? 性質(zhì)： 國(guó)家以國(guó)家意志和國(guó)家行為的方式，在信息技術(shù)方面所形成的用于保護(hù)其安全利益的資源和能力，這種資源和能力體現(xiàn)為特定形態(tài)和過(guò)程的技術(shù)結(jié)構(gòu)、社會(huì)結(jié)構(gòu)和人才結(jié)構(gòu)? 內(nèi)容–技術(shù)資源–管理資源–人力資源信息安全管理的層次與內(nèi)容? 宏觀管理（政府）–方針–政策–法規(guī)–標(biāo)準(zhǔn)? 微觀管理（信息安全機(jī)構(gòu)）–規(guī)章–制度–策略–措施信息安全管理的發(fā)展? 歷史發(fā)展階段–管人–管密碼 –管密鑰–管口令–管配置–管產(chǎn)品測(cè)評(píng)–管產(chǎn)品采購(gòu)–管系統(tǒng)安全–管等級(jí)劃分? 管理基礎(chǔ)– 安全產(chǎn)品分類編碼– 信息技術(shù)安全管理指南（ ISO/IEC TR 13335）– 信息安全管理 (ISO/IEC TR 17799)? 系統(tǒng)管理– 安全報(bào)警報(bào)告功能（ GB idt ）– 安全審計(jì)跟蹤功能（ GB idt ）– 訪問(wèn)控制對(duì)象和屬性（ GB idt – 風(fēng)險(xiǎn)管理? 測(cè)評(píng)認(rèn)證– 信息技術(shù)安全性評(píng)估準(zhǔn)則（ ISO/IEC 15408:1999）（ CC）– 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 (GB 17859： 1999)– 通用測(cè)評(píng)方法 (SC27 N2722|CEM)– 系統(tǒng)安全工程能力成熟模型 (SSECMM)二、信息安全管理標(biāo)準(zhǔn)? 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ BSI） 于 1995年制定 BS7799《 信息安全管理體系標(biāo)準(zhǔn)》， 1999年修訂改版：–7799－ 1 ： 《信息安全管理操作規(guī)則》–7799－ 2 ： 《信息安全管理系統(tǒng)規(guī)范》? 7799－ 1已經(jīng)在 2023年末被采納為國(guó)際標(biāo)準(zhǔn)，即： ISO/TEC17799《 信息安全管理操作規(guī)則》，香港、臺(tái)灣等都采用 BS7799標(biāo)準(zhǔn)。信息安全管理基礎(chǔ)： BS7799ISO/IEC 17799（ BS77991 ）劃分為 11個(gè)主要方面：安全策略組織信息安全資產(chǎn)分級(jí)與控制人員安全物理和環(huán)境安全通信和運(yùn)行管理訪問(wèn)控制信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理1符合性BS 77992? BS 77992第 1版出版于 1998年? BS 77992第 2版出版于 2023年? 評(píng)估一個(gè)組織全面或部分信息安全管理體系的基礎(chǔ)，? 也可以作為一個(gè)正式認(rèn)證方案的基礎(chǔ)。BS 77992? 建立信息管理體系的要求– 總則– 建立管理框架– 實(shí)施– 文檔化– 文檔控制– 記錄BS 77992? 控制細(xì)則– 安全策略– 安全組織– 資產(chǎn)分級(jí)和控制– 人員安全– 物理和環(huán)境安全– 通信和運(yùn)行管理– 訪問(wèn)控制– 系統(tǒng)開(kāi)發(fā)和維護(hù)– 商業(yè)連續(xù)性管理– 符合性等 10項(xiàng)要求通用準(zhǔn)則（通用準(zhǔn)則（ CC））252。國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；252。1993年開(kāi)始， 1996年出 V,1998年出 V， 1999年 6月正式成為國(guó)際標(biāo)準(zhǔn)， 1999年 12月ISO出版發(fā)行 ISO/IEC15408；252。主要思想和框架取自 ITSEC和 FC；252。充分突出 “保護(hù)輪廓 ”，將評(píng)估過(guò)程分 “功能 ”和“保證 ”兩部分；252。是目前最全面的評(píng)價(jià)準(zhǔn)則CC的結(jié)構(gòu)以及目標(biāo)讀者安全管理指南： ISO/IEC TR 13335? 信息技術(shù)安全的概念和模型? 信息技術(shù)安全的管理和規(guī)劃? 信息技術(shù)安全的管理技術(shù)? 信息技術(shù)安全措施的安全? 網(wǎng)絡(luò)安全性的管理指導(dǎo)SSECMM項(xiàng)目? 1993年 4月開(kāi)始醞量， 1996年 10月出版了 SSECMM模型的第一個(gè)版本， 1997年 4月出版了評(píng)定方法的第一個(gè)版本 。? 1999年 4月 出版了第二版。? 正在申報(bào)國(guó)際標(biāo)準(zhǔn) ISO/IEC 21827。? NIST SP 800 (Special Publication 800series)– SP 80012, 《 計(jì)算機(jī)安全手冊(cè)》（ Computer Security Handbook)– SP 80014, 《 公認(rèn)【安全】原則與操作》（ Generally Accepted [Security] Principles Practices）– SP 80018, 《 安全計(jì)劃開(kāi)發(fā)指南》（ Guide for Developing Security Plans）– SP 80023,《 聯(lián)邦機(jī)構(gòu)安全保障和采購(gòu)指南 /使用可信或經(jīng)評(píng)估的產(chǎn)品指南》（ Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products)– SP 80026,《 IT系統(tǒng)自我評(píng)估指南》 (SelfAssessment Guide for IT Systems)我國(guó)信息安全標(biāo)準(zhǔn)工作信息安全標(biāo)委會(huì)工作組設(shè)置 ? 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（ WG1）? 內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組（ WG2）? PKI/PMI工作組（ WG4）? 信息安全評(píng)估工作組（ WG5）? 應(yīng)急處理工作組（ WG6）? 信息安全管理（含工程與開(kāi)發(fā)）工作組（ WG7）? 電子證據(jù)及處理工作組（ WG8）? 身份標(biāo)識(shí)與鑒別協(xié)議工作組（ WG9）? 操作系統(tǒng)與數(shù)據(jù)庫(kù)安全工作組（ WG10） 三、信息安全策略信息安全策略是一組經(jīng)過(guò)高級(jí)管理員批準(zhǔn)，正式發(fā)布和實(shí)施的綱領(lǐng)性文件，描述了一個(gè)企業(yè)、組織的高層安全目標(biāo)。是為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。有三個(gè)基本原則：確定性、完整性和有效性。信息安全涉及的主要問(wèn)題 網(wǎng)絡(luò)攻擊與攻擊檢測(cè)、防范問(wèn)題　　安全漏洞與安全對(duì)策問(wèn)題　　信息安全保密問(wèn)題　　系統(tǒng)內(nèi)部安全防范問(wèn)題　　防病毒問(wèn)題　　數(shù)據(jù)備份與恢復(fù)問(wèn)題、災(zāi)難恢復(fù)問(wèn)題主要的信息安全策略物理安全網(wǎng)絡(luò)安全數(shù)據(jù)安全軟件安全系統(tǒng)管理災(zāi)難恢復(fù)口令策略 所有系統(tǒng)都需要口令，以擁有易于實(shí)現(xiàn)的第一級(jí)別的訪問(wèn)安全性。為確保網(wǎng)絡(luò)安全運(yùn)行，保護(hù)所擁有的權(quán)益不受侵害，可以制定如下管理策略： ☆ 網(wǎng)絡(luò)服務(wù)器口令的管理： （ 1）服務(wù)器的口令，由部門(mén)負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場(chǎng)設(shè)定。 （ 2）服務(wù)器的口令需部門(mén)負(fù)責(zé)人在場(chǎng)時(shí)，由系統(tǒng)管理員記錄封存。 （ 3）口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。 （ 4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報(bào)告部門(mén)負(fù)責(zé)人，有關(guān)部門(mén)負(fù)責(zé)人報(bào)告安全部門(mén)，同時(shí)，要盡量保護(hù)好現(xiàn)場(chǎng)并記錄，須接到上一級(jí)主管部門(mén)批示后再更換口令。 ☆ 用戶口令的管理： （ 1）對(duì)于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案。 （ 2）在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)管理部門(mén)提交申請(qǐng)單，由部門(mén)負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對(duì)用戶檔案做更新記載。 （ 3）如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。計(jì)算