信息安全作业

第一篇：信息安全作业信息安全作业安全管理第一节信息系统安全管理信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的账面损失，它可分为3类：■直接损失：丢失订单，减少直接收入，损失生产率；■间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；■法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。目前，在信息安全管理体系方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC17799-1：2000《信息技术——信息安全管理实施细则》。2002年9月5日，BS7799-2：2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2：1999被废止。BS7799标准得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。2005年11月，ISO27001：2005出版，取代了之前的BS7799-2：2002，今后，7799系列标准的编号将会发生一定的改变，更改为ISO27001系列。在某些行业如IC和软件外包，信息安全管理体系认证已成为一些客户的要求条件之一。本章来介绍有关信息系统管理的一些知识。一、信息系统安全管理概述长久以来，很多人自觉不自觉地都会陷入技术决定一切的误区当中，尤其是那些出身信息技术行业的管理者和操作者。最早的时候，人们把信息安全的希望寄托在加密技术上面，认为一经加密，什么安全问题都可以解决。随着互联网的发展，在一段时期又常听到“防火墙决定一切”的论调。及至更多安全问题的涌现，入侵检测、PKI、VPN等新的技术应用被接二连三地提了出来，但无论怎么变化，还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗？也许可以解决一部分，但却解决不了根本。实际上，对安全技术和产品的选择运用，这只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不是技术过程，而是管理过程。之所以有这样的认识误区，原因是多方面的，从安全产品提供商的角度来看，既然侧重在于产品销售，自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看，只有产品是有形的，是看得见摸得着的，对决策投资来说，这是至关重要的一点，而信息安全的其他方面，比如无形的管理过程，自然是遭致忽略。正是因为有这样的错误认识，就经常看到：许多组织使用了防火墙、IDS、安全扫描等设备，但却没有制定一套以安全策略为核心的管理措施，致使安全技术和产品的运用非常混乱，不能做到长期有效和更新。即使组织制定有安全策略，却没有通过有效的实施和监督机制去执行，使得策略空有其文成了摆设而未见效果。实际上对待技术和管理的关系应该有充分理性的认识：技术是实现安