信息安全管理
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
信息安全管理是指通過維護信息的機密性、完整性和可用性來管理和保護信息資產,是對信息安全保障進行指導、規範和管理的一系列活動和過程。
信息安全管理的內容[1]
1、信息安全風險管理
信息安全管理是一個過程,而不是一個產品,其本質是風險管理。信息安全風險管理可以看成是一個不斷降低安全風險的過程,最終目的是使安全風險降低到一個可接受的程度,使用戶和決策者可以接受剩餘的風險。信息安全風險管理貫穿信息系統生命周期的全部過程。信息系統生命周期包括規劃、設計、實施、運維和廢棄五個階段。每個階段都存在相關風險,需要採用同樣的信息安全風險管理的方法加以控制。
信息安全風險管理是為保護信息及其相關資產,指導和控制一個組織相關信息安全風險的協調活動。我國《信息安全風險管理指南》指出,信息安全風險管理包括對象確立、風險評估、風險控制、審核批准、監控與審查、溝通與咨詢六個方面,其中前四項是信息安全風險管理的四個基本步驟,監控與審查和溝通與咨詢則貫穿於前四個步驟中。
2、設施的安全管理
設施的安全管理包括網路的安全管理、保密設備的安全管理、硬體設施的安全管理、場地的安全管理等。
管理網路的安全管理。信息管理網路是一個用於收集、傳輸、處理和存儲有關信息系統與網路的維護、運行和管理信息的、高度自動化網路化的綜合管理系統。它包括性能管理、配置管理、故障管理、計費管理、安全管理等功能。而安全管理又包括系統的安全管理、安全服務管理、安全機制管理、安全事件處理管理、安全審計管理、安全恢復管理等。
硬體設施的安全管理。對硬體設施的安全管理主要考慮配置管理、使用管理、維修管理、存儲管理、網路連接管理。常見的網路設備需要防止電磁輻射、電磁泄漏和自然老化。對集線器、交換機、網關設備或路由器,還需防止受到拒絕服務、訪問控制、後門缺陷等威脅。對傳輸介質還需防止電磁干擾、搭線竊聽和人為破壞,對衛星通道、微波接力通道等需防止對通道的竊聽及人為破壞。對保密設備主要包括保密性能指標的管理、工作狀態的管理、保密設備類型、數量、分配、使用者狀況的管理、密鑰的管理。場地設施的安全管理。機房和場地設施的安全管理需要滿足防水、防火、防靜電、防雷擊、防輻射、防盜竊等國家標準。人員出入控制,需要根據安全等級和涉密範圍,採取必要的技術與行政措施,對人員進入和退出的時間及進入理由進行登記等。電磁輻射防護,需要根據技術上的可行性與經濟上的合理性,採取設備防護、建築物防護、區域性防護、磁場防護。
3、信息的安全管理
根據信息化建設發展的需要,信息包括三個層次的內容:一是在網路和系統中被採集、傳輸、處理和存儲的對象,如技術文檔、存儲介質、各種信息等;二是指使用的各種軟體;三是安全管理手段的密鑰和口令等信息。軟體設施的安全管理。對軟體設施的安全管理主要考慮配置管理、使用和維護管理、開發管理、病毒管理。軟體設施主要包括操作系統、資料庫系統、應用軟體、網路管理軟體以及網路協議等。操作系統是整個電腦系統的基石,由於它的安全等級不高,需要提供不同安全等級的保護。對資料庫系統,需要加強資料庫的安全性,並採用加密技術對資料庫中的敏感數據加密。目前使用最廣泛的網路通信協議是TCP/IP協議。由於存在許多安全設計缺陷,常常面臨許多威脅。網路管理軟體是安全管理的重要組成部分,常用的有:HP公司的OpenView,IBM公司的NetView,SUN公司的NetManager等,也需要額外的安全措施。
存儲介質的安全管理。存儲介質包括:紙介質、磁碟、光碟、磁帶、錄音/錄像帶等,它們的安全對信息系統的恢復、信息的保密、防病毒起著十分關鍵的作用。對不同類別的存儲介質,安全管理要求也不盡相同。對存儲介質的安全管理主要考慮存儲管理、使用管理、複製和銷毀管理、涉密介質的安全管理。技術文檔的安全管理。技術文檔是系統或網路在設計、開發、運行和維護中所有技術問題的文字描述。技術文檔按其內容的涉密程度進行分級管理,一般分為絕密級、機密級、秘密級和公開級。對技術文檔的安全管理主要考慮文檔的使用、備份、借閱、銷毀等方面,需要建立嚴格的管理制度和相關負責人。
密鑰和口令的安全管理。密鑰是加密解密演算法的關鍵,密鑰管理就是對密鑰的生成、檢驗、分配、保存、使用、註入、更換和銷毀等過程所進行的管理。口令是進行設備管理的一種有效手段,對口令的產生、傳送、使用、存儲、更換均需要有效的管理和控制。
4、運行的安全管理
信息系統和網路在運行中的安全狀態也是需要考慮的問題,目前常常關註安全審計和安全恢復兩個安全管理問題。
安全審計。安全審計是指對系統或網路運行中有關安全的情況和事件進行記錄、分析並採取相應措施的管理活動。目前主要對操作系統及各種關鍵應用軟體進行審計。安全審計工作應該由各級安全機構負責實施管理,安全審計可以採用人工、半自動或自動智能三種方式。人工審計一般通過審計員查看、分析、處理審計記錄;半自動審計一般由電腦自動分析處理,再有審計員作出決策和處理;自動智能審計一般由電腦完成分析處理,並藉助專家系統作出判斷,更能滿足不同應用環境的需求。
安全恢復。安全恢復是指網路和信息系統在收到災難性打擊或破壞時,為使網路和信息系統迅速恢復正常,並使損失降低到最小而進行的一系列活動。安全恢復的管理主要包括安全恢復策略的確立、安全恢復計劃的制定、安全恢復計劃的測試和維護、安全恢復計劃的執行。
信息安全管理應遵循統一的安全管理原則:
(1)規範化原則:各階段都應遵循安全規範要求,根據組織安全需求,制定安全策略。
(2)系統化原則:根據安全工程的要求,對系統各階段,包括以後的升級、換代和功能擴展進行全面統一地考慮。
(4)以人為本原則:技術是關鍵,管理是核心,提高管理人員的技術素養和道德水平。
(5)首長負責原則:只有首長負責才能把安全管理落到實處
(6)預防原則:安全管理以預防為主,並要有一定的超前意識;
(7)風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況;
(8)動態原則:根據環境的改變和技術的進步,提高系統的保護能力
(9)成本效益原則:根據資源價值和風險評估結果,採用適度的保護措施。
(10)均衡防護原則:根據“木捅原理”,整個系統的安全強度取決員弱的一環,片面追求某個方面的安全強度對整個系統沒有實際意義。
此外,在信息安全管理的具體實施過程中還應道循下麵一些原則:分權制衡原則、最小特權原則、職權分離原則、普遍參與原則、審計獨立原則等。
信息安全管理的方法[1]
信息安全管理的方法包括法律方法、行政方法、經濟方法和宣傳教育方法。四者相互結合,形成完整的管理方法體系。
1、法律方法是指通過國家制定和實施各種法規以進行管理的方法。這裡的法規包括國家頒佈的法律、國家及軍隊的各級領導機構以及各個管理系統所制定的法令、條例、制定等各種具有法律效力的規範。
2、行政方法是指行政組織機構和領導者運用權力,通過強制性的行政命令、規定、指示等行政手段,按照行政系統和層次,直接指揮下屬工作以實施管理的方法。在安全管理過程中,法律方法、經濟方法、
3、宣傳教育方法等都需要通過行政系統來具體地組織與貫徹實施。經濟方法是根據客觀經濟規律,運用各種經濟手段,調節各方面經濟利益之間的關係,以獲取較高的社會效益與經濟效益的管理方法。尤其是對安全技術方法、安全產品採辦、安全設施建設、安全人才培養、信息資源共用等方面應給予充分的註意。
4、宣傳教育方法是指通過多種形式的教育,全面提高全社會的安全素質。事實證明,很多信息安全事故的發生都和人的思想因素有關。為此,可根據人員的工作性質、分層次有重點、有計劃、有步驟地普及一般信息技術以及網路安全保密、線通信安全保密、電磁輻射泄密防範、信息對抗等知識與技能。
