快来看信息安全管理(信息安全管理体系是指)

来源：互联网
|
2024-02-20
|
0 条评论
|
T小字　 T大字

1. 概述信息安全管理体系ISMS（Information Security Management System）是从管理学惯用的过程模型PDC

1. 概述信息安全管理体系ISMS（Information Security Management System）是从管理学惯用的过程模型PDCA（Plan、Do、Check、Act）发展演化而来，如图9-1所示。

信息安全管理体系（ISMS）是一个系统化、过程化的管理体系，体系的建立不可能一蹴而就，需要全面、系统、科学的风险评估、制度保证和有效监督机制ISMS应该体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程的动态调整，从而确保整个安全体系在有效管理控制下，不断改进完善以适应新的安全需求。

在建立信息安全管理体系的各环节中，安全需求的提出是ISMS的前提，运作实施、监视评审和维护改进是重要步骤，而可管理的信息安全是最终目标在各环节中，风险评估管理、标准规范管理以及制度法规管理这三项工作直接影到响整个信息安全管理体系是否能够有效实行，因此也具有非常重要的地位。

风险评估（Risk Assessment）是指对信息资产所面临的威胁、存在的弱点、可能导致的安全事件以及三者综合作用所带来的风险进行评估作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要手段风险评估管理就是指在信息安全管理体系的各环节中，合理地利用风险评估技术对信息系统及资产进行安全性分析及风险管理，为规划设计完善信息安全解决方案提供基础资料，属于信息安全管理体系的规划环节。

标准规范管理是在规划实施信息安全解决方案时，各项工作遵循国际或国家相关标准规范，有完善的检查机制国际标准可以分为互操作标准、技术与工程标准、信息安全管理与控制标准三类互操作标准主要是非标准组织研发的算法和协议经过自发的选择过程，成为了事实上的标准，如AES、RSA、SSL以及通用脆弱性描述标准CVE等。

技术与工程标准主要指由标准化组织制定的用于规范信息安全产品、技术和工程的标准，如信息产品通用评测准则（ISO 15408）、安全系统工程能力成熟度模型（SSE-CMM）、美国信息安全白皮书（TCSEC）等。

信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信息安全解决方案实施过程的标准规范，如信息安全管理体系标准（BS-7799）、信息安全管理标准（ISO 13335）以及信息和相关技术控制目标（COBIT）等。

2. 信息安全风险管理（1）风险评估风险评估主要包括风险分析和风险评价风险分析是指全面地识别风险来源及类型；风险评价是指依据风险标准估算风险水平，确定风险的严重性一般认为，与信息安全风险有关的因素主要包括威胁、脆弱性、资产、安全控制等。

资产（Assets）是指对组织具有价值的信息资源，是安全策略保护的对象威胁（Threat）主要指可能导致资产或组织受到损害的安全事件的潜在因素脆弱性（Vulnerability）一般指资产中存在的可能被潜在威胁所利用的缺陷或薄弱点，如操作系统漏洞等。

安全控制（Security Control）是指用于消除或减低安全风险所采取的某种安全行为，包括措施、程序及机制等。如图9-2所示，信息安全中存在的风险因素之间相互作用、相互影响。

1）基线评估（Baseline Assessment）是有关组织根据其实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（将现有的安全措施与安全基线规定的措施进行比较，计算之间的差距），得出基本的安全需求，给出风险控制方案。

所谓的基线就是在诸多标准规范中确定的一组安全控制措施或者惯例，这些措施和惯例可以满足特定环境下的信息系统的基本安全需求，使信息系统达到一定的安全防护水平组织采用国际标准和国家标准（如BS 7799-1、ISO 13335-4）、行业标准或推荐（例如德国联邦安全局IT 基线保护手册）以及来自其他具有相似商务目标和规模的组织的惯例作为安全基线。

基线评估的优点是需要的资源少、周期短、操作简单，是经济有效的风险评估途径缺点，比如基线水准的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到所需的安全要求2）详细评估（Detailed Assessment）是指组织对信息资产进行详细识别和评价，对可能引起风险的威胁和脆弱性进行充分地评估，根据全面系统的风险评估结果来确定安全需求及控制方案。

这种评估途径集中体现了风险管理的思想，全面系统地评估资产风险，在充分了解信息安全具体情况下，力争将风险降低到可接受的水平详细评估的优点在于组织可以通过详细的风险评估对信息安全风险有较全面的认识，能够准确确定目前的安全水平和安全需求。

详细的风险评估可能是一个非常耗费资源的过程，包括时间、精力和技术，因此组织应该仔细设定待评估的信息资产范围，以减少工作量3）组合评估要求首先对所有的系统进行一次初步的风险评估，依据各信息资产的实际价值和可能面临的风险，划分出不同的评估范围，对于具有较高重要性的资产部分采取详细风险评估，而其它部分采用基线风险评估。

组合评估将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被优先关注组合评估的缺点是如果初步的高级风险评估不够准确，可能导致某些本需要详细评估的系统被忽略。

（2）风险控制一般来说，风险控制措施是以消除风险产生条件、切断风险形成的路线为基本手段，最终阻止风险的发生或降低风险到可接受的水平如图9-3所示，判断风险是否存在可以通过系统的分析过程得出可以看出风险发生的必要条件主要包括存在可被利用的脆弱性、威胁源、攻击成本较小以及风险预期不可接受等。

风险控制就是要消除或减低这些条件，具体做法如下①当存在系统脆弱性时，减少或修补系统脆弱性，降低脆弱性被攻击利用的可能性；②当系统脆弱性可利用时，运用层次化保护、结构化设计以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度；

③当攻击成本小于攻击可能的获利时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机，如加强访问控制，限制系统用户的访问对象和行为，降低攻击获利；④当风险预期损失较大时，优化系统设计、加强容错容灾以及运用非技术类保护措施来限制攻击的范围，从而将风险降低到可接受范围。

美国NIST制定的SP800系列标准给出了详细的具体流程，分为七个如下步骤：第一步，对实施控制措施的优先级进行排序，分配资源时，对标有不可接受的高等级的风险项应该给予较高的优先级；第二步，评估所建议的安全选项，风险评估结论中建议的控制措施对于具体的单位及其信息系统可能不是最适合或最可行的，因此要对所建议的控制措施的可行性和有效性进行分析，选择出最适当的控制措施；

第三步，进行成本效益分析，为决策管理层提供风险控制措施的成本效益分析报告；第四步，在成本效益分析的基础上，确定即将实施的成本有效性最好的安全措施；第五步，遴选出那些拥有合适的专长和技能，可实现所选控制措施的人员（内部人员或外部合同商），并赋以相应责任；

第六步，制定控制措施的实现计划，计划内容主要包括风险评估报告给出的风险、风险级别以及所建议的安全措施，实施控制的优先级队列、预期安全控制列表、实现预期安全控制时所需的资源、负责人员清单、开始日期、完成日期以及维护要求等；

第七步，分析计算出残余风险，风险控制可以降低风险级别，但不会根除风险，因此安全措施实施后仍然存在的残余风险。

3. 信息安全标准1996年，通用标准CC（Common Criteria）是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上演变形成的1996年，ISO/IEC TR 13335，其目的是为有效实施IT安全管理提供建议和支持，是一个信息安全管理方面的指导性标准。

早期被称作《IT安全管理指南》（Guidelines for the Management of IT Security，GMITS），新版称作《信息和通信技术管理》（Management of Information and Communications Technology Security，MICTS）。

SSE-CMM（System Security Engineering Capability Maturity Model）是由美国国家安全局NSA开发的专门用于系统安全工程的能力成熟度模型CVE（Common Vulnerabilities and Exposures）即通用漏洞及暴露，是IDnA（Intrusion Detection and Assessment）的行业标准。

1995年，BS 7799是英国标准协会BSI（British Standards Institute）针对信息安全管理而制定的标准，2000年被采纳为ISO/IEC 177991996年，COBIT（Control Objectives for Information and related Technology），目前国际上通用的信息系统审计标准。

（1）信息技术安全性通用评估标准（CC）CC《信息技术安全性通用评估标准》是“The Common Criteria for Information Technology security Evaluation”的缩写，在美国和欧洲等推出的测评准则上发展起来的，其发展演变如图9-4所示。

CC标准提倡安全工程的思想，通过信息安全产品的开发、评价、使用全过程的各个环节的综合考虑来确保产品的安全性CC文档在结构上分为三个部分，这三个部分相互依存、缺一不可，可从不同层面面熟了CC标准的结构模型。

第1部分“简介和一般模型”，介绍CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；第2部分“安全功能要求”，这部分以“类、子类、组件”的方式提出安全功能要求，对每一个“类”的具体描述除正文之外，在提示性附录中还有进一步的解释；

第3部分“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并同样以“类、子类、组件”的方式提出安全保证要求。

（2）信息安全管理体系标准在BS7799-2《信息安全管理体系规范》中详细说明了建立、实施和维护信息安全管理体系的要求，支出实施机构应该使用某一风险评估标准来鉴定最适宜的控制的对象，对自己的需求采取适当的安全控制。

建立ISMS需要六个基本步骤，具体如下：步骤一，定义信息安全策略信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略步骤二，定义ISMS的范围ISMS的范围描述了需要进行信息安全管理的领域轮廓，组织根据自己的实际情况，在整个范围或个别部门构架ISMS。

步骤三，进行信息安全风险评估信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致步骤四，信息安全风险管理根据风险评估的结果进行相应的风险管理。

步骤五，确定控制目标和选择控制措施控制目标的确定和控制措施的选择原则是费用不超过风险所造成的损失步骤六，准备信息安全适用性声明信息安全适用性声明纪录了组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。

4. 信息安全法律法规及道德规范“推进信息安全等级保护等基础性工作，指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作，加强信息安全的立法，加快形成法律规范、行政监管、行业自律、技术保障、公众监督、社会教育相结合的互联网管理体系”是一段时期内国家信息安全管理工作的主要任务。

我国信息安全法规主要涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面所有这些法律和规章奠定了中国加强信息网络安全保护和打击网络违法犯罪活动的法律基础1999年9月发布的GB 17859—1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准。

（1）信息犯罪信息犯罪一般可以分为两类，一类是以信息资源为侵害对象，另一类是以非信息资源的主体为侵害对象以信息资源为犯罪对象的犯罪常见的有：信息破坏，犯罪主体出于某种动机，利用非法手段进入未授权的系统或对他人的信息资源进行非法控制，具体行为表现为故意利用损坏、删除、修改、增加、干扰等手段，对信息系统内部硬件、软件以及传输的信息进行破坏，从而导致网络信息丢失、篡改、更换等，严重的可引起系统或网络的瘫痪。

信息窃取，此类犯罪是指未经信息所有者同意，擅自秘密窃取或非法使用其信息的犯罪行为信息滥用，这类犯罪是指由使用者违规操作，在信息系统中输入或者传播非法数据信息，毁灭、篡改、取代、涂改数据库中储存的信息，给他人造成损害的犯罪行为。

信息犯罪具有如下一些显著特点智能化，以计算机及网络犯罪为例，犯罪者大多是掌握计算机和网络技术的专业人才多样性，信息技术手段的多样性，必然造就信息犯罪行为的多样性隐蔽性强，犯罪分子可能只需要向计算机输入错误指令或简单篡改软件程序，作案时间短，甚至可以设计犯罪程序在一段时间后才运行发作，致使一般人很难觉察到。

侦查取证困难，以计算机犯罪为例，实施犯罪一般为异地作案，而且所有证据均为电子数据，犯罪分子可能在实施犯罪后，直接毁灭电子犯罪现场，致使侦查工作和罪证采集相当困难犯罪后果严重，信息安全专家普遍认为信息犯罪危害性的大小，取决于信息资源的社会作用，作用越大，信息犯罪的后果越严重。

（2）网络信任体系综合上述不同的定义形式，信任具有下列基本特征①主观性：信任实体对被信任实体的信任程度受信任实体的个性影响，即同一个被信任实体的行为表现在不同的信任实体处所获得的信任程度是有差异的②非对称性：实体间的信任关系一般不是对等的，如在某件事情上Alice非常信任Bob，但Bob未必同样程度地相信Alice。

③上下文依赖性：一种环境下的信任关系在另外一种环境下未必成立，如Alice信任Bob会代自己买机票，但Alice不见得会相信Bob会代自己买机票④可度量性：一个实体对另外实体的信任程度有大小之分，信任程度的大小称为信任度，目前尚没有统一的量化标准。

⑤动态性：实体的可信性会随着时间的推移和实体后来的行为表现而改变⑥递减传递性：如果Alice信任Bob，而Bob信任Eric，则一般认为Alice能在一定程度上信任Eric这一特征也称为推荐信任性Alice对Eric的信任度，应小于或等于Alice对Bob和Bob对Eric的信任度的最小值。

（3）网络文化与舆情控制