【正文】 2023年 3月 8日星期三 下午 11時 17分 8秒 23:17: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 8日星期三 11時 17分 8秒 23:17:088 March 2023 1空山新雨后，天氣晚來秋。 , March 8, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :17:0823:17Mar238Mar23 1故人江海別，幾度隔山川。 信息安全管理模型是從信息系統(tǒng)的安全需求出發(fā)，以信息安全管理相關(guān)標(biāo)準(zhǔn)為指導(dǎo)，結(jié)合組織的信息系統(tǒng)安全建設(shè)情況，引入合乎要求的信息安全等級保護(hù)的技術(shù)控制措施和管理控制規(guī)范與方法，在信息安全保障體系基礎(chǔ)上建立信息安全管理體系。任期有限原則：任何人不能長期擔(dān)任與安全有關(guān)的固定職務(wù)，應(yīng)不定期地循環(huán)任職。 105 確定安全措施的方針政策、策略和原則。為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。 在這里，著重介紹有關(guān)管理工作方面的信息安全實(shí)施要點(diǎn)。 (3) 通過認(rèn)證相當(dāng)于是一種承諾，能提高企業(yè)的信譽(yù)度，增強(qiáng)客戶購買或投資的信心。具體選擇哪種范圍模式，取決于組織的實(shí)際需要。 92 (6) 發(fā)表適用性聲明。信息安全風(fēng)險評估的復(fù)雜度取決于風(fēng)險的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評估措施應(yīng)該與信息資產(chǎn)風(fēng)險的保護(hù)需求相一致。信息安全方針應(yīng)該簡單明了、通俗易懂，并形成書面文件，分發(fā)給組織內(nèi)所有成員。 84 1.? BS 77991 BS 77991規(guī)定了信息安全的控制要求，根據(jù) 10大控制方面的要求，從控制目標(biāo)和控制措施入手，涉及信息安全的方方面面。《信息技術(shù) — 安全技術(shù) — 信息安全管理實(shí)用規(guī)則》(GB/T 22081— 2023) 例如： 2023年 2月發(fā)布的FIPS 199《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》定義了信息和信息系統(tǒng)的三個安全目標(biāo)，并將每個目標(biāo)的潛在影響定義為低、中、高三種程度。 76 SP 80014提供了機(jī)構(gòu)用來建立和檢查 IT安全程序的基線，為機(jī)構(gòu)提供了管理多機(jī)構(gòu)事務(wù)以及內(nèi)部事務(wù)所參考的基礎(chǔ)。SP 80030《 IT系統(tǒng)風(fēng)險管理指南》 目前， NIST SP 800系列已經(jīng)出版了一百多本同信息安全相關(guān)的正式文件，形成了從規(guī)劃、風(fēng)險管理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系。ISO/IEC 13335— 2:1997《 IT安全管理與規(guī)劃》； ISO/IEC 27005:2023《信息技術(shù) — 安全技術(shù) — 信息安全風(fēng)險管理》， 2023年 6月發(fā)布新版 ISO/IEC 27005:2023； 64 2023年 6月 19日，我國等同采用 ISO/IEC 27001:2023為國家標(biāo)準(zhǔn)《信息技術(shù) — 安全技術(shù) — 信息安全管理體系要求》(GB/T 22080— 2023)，并同時等同采用 ISO/IEC 27002:2023為國家標(biāo)準(zhǔn)《信息技術(shù) — 安全技術(shù) — 信息安全管理實(shí)用規(guī)則》 (GB/T 22081— 2023)，它亦是對 GB/T 19716— 2023的修訂，并代替該標(biāo)準(zhǔn)。必須為范圍中的任何被排除在外的部分指定理由。 2023年 12月， BS 77991被 ISO接受為國際標(biāo)準(zhǔn)，即《信息技術(shù) — 安全技術(shù) — 信息安全管理實(shí)施細(xì)則》 (ISO/IEC 17799:2023)。 57 到目前為止，與信息安全管理相關(guān)的國際標(biāo)準(zhǔn)主要是國際標(biāo)準(zhǔn)化組織 (ISO)制定的 ISO/IEC 1779 ISO/IEC 2700ISO/IEC 13335等，其中 ISO/IEC 17799和 ISO/IEC 27001都是由英國標(biāo)準(zhǔn) BS 7799發(fā)展而來，它們分別對應(yīng)于 BS 77991和BS 77992。選擇保護(hù)措施時要考慮由組織或機(jī)構(gòu)運(yùn)行環(huán)境決定的影響安全的因素，例如，組織的、業(yè)務(wù)的、財務(wù)的、環(huán)境的、人事的、時間的、法律的、技術(shù)的邊界條件以及文件的或社會的因素等。安全風(fēng)險是某種威脅利用暴露系統(tǒng)脆弱性對組織或機(jī)構(gòu)的資產(chǎn)造成損失的潛在可能性。 人為威脅有： 生產(chǎn)能力和服務(wù)能力。支持設(shè)施 (例如建筑、供電、供水、空調(diào)等 )。堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立足國情，采用管理與技術(shù)相結(jié)合、管理科學(xué)性和技術(shù)前瞻性相結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。 ⑦ 分權(quán)和授權(quán)原則。信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。 (9) 進(jìn)行監(jiān)控、檢查，處理安全事件。 39 信息安全管理的內(nèi)容和原則 在我國，信息安全管理是對一個組織機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級責(zé)任要求的管理，包括以下內(nèi)容： (1) 落實(shí)安全管理機(jī)構(gòu)及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃。從這些事故中我們可以充分認(rèn)識到管理的缺陷所帶來的災(zāi)難性打擊是多么的嚴(yán)重。 2023年 12月 25日發(fā)布的國務(wù)院“ ”事故調(diào)查報告認(rèn)定該事故發(fā)生的原因是：通號集團(tuán)所屬通號設(shè)計院在LKD2T1型列控中心設(shè)備研發(fā)中管理混亂，通號集團(tuán)作為甬溫線通信信號集成總承包商履行職責(zé)不力，致使為甬溫線溫州南站提供的 LKD2T1型列控中心設(shè)備存在嚴(yán)重設(shè)計缺陷和重大安全隱患。 根據(jù)安全中的事故致因核心理論 —— 能量意外釋放理論 (1961年吉布森 (Gibson)提出， 1966年美國運(yùn)輸部安全局局長哈登 (Haddon)完善 )，可以歸納造成事故的原因有三個：人的不安全行為、物的不安全狀態(tài)、管理的缺陷。 風(fēng)險評估是信息安全管理的核心工作之一。 22 27號文件第一次把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。因此，政府部門已開始出臺一系列相關(guān)政策策略，直接指導(dǎo)，推進(jìn)信息安全的應(yīng)用和發(fā)展。 計算機(jī)犯罪大多具有瞬時性、廣域性、專業(yè)性和時空分離等特點(diǎn)，通常計算機(jī)犯罪很少留下犯罪證據(jù)，這也是計算機(jī)高技術(shù)犯罪案件頻發(fā)的誘因。對于一款面市僅 2個月、進(jìn)網(wǎng)僅 1個月的產(chǎn)品來說，是一個非常壞的消息，或許將直接導(dǎo)致3G版 iPad銷量的大幅下滑。 2023年 9月，美國能源部一個研制核武器的部門網(wǎng)站被電腦黑客侵入，大約 1500名工作人員的個人信息被盜。 信息安全管理 (ISM， Information Security Management)是通過維護(hù)信息的保密性、完整性和可用性等來管理和保護(hù)信息資源的一項體制，是對信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動和過程。1 信息安全管理相關(guān)概念 信息安全管理標(biāo)準(zhǔn) 信息安全管理的實(shí)施要點(diǎn) 本章小結(jié) 第 5章 信息安全管理 2 什么是信息安全管理 信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題，技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。 6 信息安全管理是信息安全保障體系建設(shè)的重要組成部分，對于保護(hù)信息資源、降低信息系統(tǒng)安全風(fēng)險、指導(dǎo)信息安全體系建設(shè)具有重要的作用。 9 2023年 5月，美國退伍軍人事務(wù)部一名工作人員的住所失竊，一個儲存了約 2650萬名退伍軍人和大量現(xiàn)役軍人身份信息的電腦硬盤被盜。 11 我國面臨的計算機(jī)信息安全問題可能比發(fā)達(dá)國家更為嚴(yán)重。 2023年 4月CNCERT/CC發(fā)布的《 2023年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》指出， 2023年我國基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)， 13 但重要聯(lián)網(wǎng)信息系統(tǒng)安全問題突出，政府網(wǎng)站安全防護(hù)薄弱，金融行業(yè)網(wǎng)站成為不法分子騙取錢財和竊取隱私的重點(diǎn)目標(biāo)，工業(yè)控制系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)，公共網(wǎng)絡(luò)環(huán)境安全更不容樂觀，木馬和僵尸網(wǎng)絡(luò)依然對網(wǎng)絡(luò)安全構(gòu)成直接威脅，手機(jī)惡意代碼日益泛濫， DDoS攻擊也嚴(yán)重危害網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)應(yīng)用層服務(wù)的市場監(jiān)管和用戶隱私保護(hù)工作亟待加強(qiáng)。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也開始出臺對信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。 2023年國務(wù)院機(jī)構(gòu)改革后原“國務(wù)院信息化工作辦公室”職能合并至國家工業(yè)和信息化部，具體工作由工業(yè)和信息化部(信息化推進(jìn)司 )負(fù)責(zé)。 2023年 7月，國信辦信息安全風(fēng)險評估課題組就啟動了信息安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的編制工作，國家鐵路系統(tǒng)和北京移動通信公司作為先行者已完成了的信息安全風(fēng)險評估試點(diǎn)工作， 26 國家其他關(guān)鍵行業(yè)或系統(tǒng) (如電力、電信、銀行等 )也將陸續(xù)開展這方面的工作。 31 人和物這兩方面的因素已經(jīng)被大家廣泛認(rèn)可，但管理的缺陷卻往往容易被忽視。 34 鐵道部在設(shè)備招投標(biāo)、技術(shù)審查、上道使用等方面違規(guī)操作、把關(guān)不嚴(yán)，致使其在溫州南站上道使用。 正如本章 ，在所有計算機(jī)安全事件發(fā)生的原因中屬于管理方面的高達(dá) 70%以上，或者說，能對組織造成巨大損失的風(fēng)險主要還是來自組織內(nèi)部。 (2) 開發(fā)安全策略。 (10) 安全意識與安全教育。 42 ④ 系統(tǒng)方法原則。對特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離，對獨(dú)立審計實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。 ? 自保護(hù)和國家監(jiān)管結(jié)合原則。 盜竊類型的威脅 (例如偷竊設(shè)備、竊取數(shù)據(jù)、盜用計算資源等 )。管理類型的威脅 (例如安全意識淡薄、安全制度不健全、崗位職責(zé)混亂、審計不力、設(shè)備選型不當(dāng)、人事管理漏洞等 )。風(fēng)險由意外事件發(fā)生的概率及發(fā)生后可能產(chǎn)生的影響兩種指標(biāo)來評估。 53 信息安全管理模型 信息安全管理從信息系統(tǒng)的安全需求出發(fā)，以信息安全管理相關(guān)標(biāo)準(zhǔn)為指導(dǎo)，結(jié)合組織的信息系統(tǒng)安全建設(shè)情況，引入合乎要求的信息安全等級保護(hù)的技術(shù)控制措施和管理控制規(guī)范與方法，在信息安全保障體系基礎(chǔ)上建立信息安全管理體系。 信息安全管理標(biāo)準(zhǔn) 58 信息安全管理標(biāo)準(zhǔn)的發(fā)展 1. ?BS 7799 BS 7799是世界上影響最深、最具代表性的信息安全管理體系標(biāo)準(zhǔn)。 2023年 4月 19日被我國等同采用為國家標(biāo)準(zhǔn)《信息技術(shù) — 安全技術(shù) — 信息安全管理實(shí)用規(guī)則》 (GB/T 19716— 2023)。 65 圖 54 BS 7799標(biāo)準(zhǔn)的發(fā)展 66 2. ?ISO/IEC 27000系列標(biāo)準(zhǔn) ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了 ISO/IEC 27000系列編號，類似于質(zhì)量管理體系的 ISO 9000系列和環(huán)境管理體系的 ISO 14000系列標(biāo)準(zhǔn)。ISO/IEC 27006:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》； 68 ISO/IEC 13335— 3:1998《 IT安全管理技術(shù)》； 雖然 NIST SP 800系列并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國和國際安全界廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。SP 80037《聯(lián)邦 IT系統(tǒng)認(rèn)證認(rèn)可指南》 管理者、內(nèi)部審計員、用戶、系統(tǒng)開發(fā)者和安全從業(yè)人員可通過該文檔獲得大多數(shù) IT系統(tǒng)應(yīng)包含的基本安全需求。 NIST在 FIPS 199的基礎(chǔ)上發(fā)布了 SP 80060，描述了安全分類過程以及如何建立信息系統(tǒng)安全類別，以幫助聯(lián)邦政府對信息和信息系統(tǒng)進(jìn)行分類?！缎畔踩L(fēng)險管理指南》 (GB/Z 24364— 2023) 組織應(yīng)根據(jù)風(fēng)險評估的結(jié)果，從中選擇適宜的控制目標(biāo)與控制措施，對于不適宜的條款應(yīng)在適用性聲明中給予說明。同時要對所有相關(guān)員工進(jìn)行培訓(xùn)，必要時對負(fù)特殊責(zé)任的人員進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正根植于所有員工的意識及行為中。 要注意的是， ISMS的成功建立與實(shí)施，及它對組織的價值很大程度上取決于風(fēng)險評估的質(zhì)量。 適用性聲明 (SoA， Statement of Application)是對組織選擇的控制目標(biāo)和控制措施的記述性文件，標(biāo)準(zhǔn)中不適用的控制措施也要在聲明中加以說明，但不能提供太過詳細(xì)、有價值的信息，防止被某些不懷好意的人所利用。一個組織可以為企