信息安全管理
一、信息安全管理概述
信息安全管理( Information Security Management,ISM)
ISM是管理者为实现信息安全目标(如信息资产的CIA等特性、业务运行的持续性)而进行计划、组织、指挥、协调和控制的一系列活动。
ISM管理对象是组织的信息及相关资产,包括信息、人员、软件等,同时还包括信息安全目标、信息安全组织架构、信息安全策略规则等。
ISM目的是保障组织的业务正常运转。
成功实施信息安全管理的关键因素
(1)组织的活动能够反映组织的业务目标。
(2)组织所有级别的管理者能够给予信息安全实质性的、可见的支持和承诺。
(3)组织的管理者对信息安全需求、信息安全风险、风险评估及风险管理有正确深入的理解。
(4)向所有管理者、员工和其他相关方提供有效的信息安全宣传以提升信息安全意识。
(5)向所有管理者、员工和其他相关方分发并宣贯信息安全方针、策略和标准。
(6)管理者为信息安全建设提供足够的资金。这是信息安全管理成功实施的必要保障。
(7)建立有效的信息安全事件管理过程。
(8)建立有效的信息安全测量体系。
管理与信息安全管理
管理
管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。
信息安全管理
组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动
信息安全管理体系(lnformation Security Management System,ISMS)
是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
信息安全管理体系是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的体系。
一般地,信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责,以及信息安全相关的实践、规程、过程和资源等要素,这些要素既相互关联,又相互作用。
信息安全管理体系的作用
对内
◆形成单位可自我持续改进的信息安全管理机制
◆使信息安全的角色和职责清晰,并落实到人
◆确保实现动态的、系统的、制度化的信息安全管理
◆有利于根本上保证业务的连续性,提高市场竞争力
对外
◆能够使客户、业务伙伴对单位信息安全充满信心
◆有助于界定外包双方的信息安全责任
◆可以使单位更好地满足审计要求和符合法律法规
◆保证和外部数据交换中的信息安全
建立信息安全管理体系的意义
ISMS是组织整体管理体系的一部分,是组织在整体或特定范围内建立信息安全的方针和目标,以及完成这些目标所用的方法的体系。
安全管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的涉及立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时,也弥补当前技术无法完全解决的安全缺陷。
二、信息安全风险管理
1.信息安全风险
信息安全风险就是指在信息系统中,信息安全事件的概率及其结果的组合
◆在本课程中,常简称为风险
《信息安全风险管理指南》(GB/Z24364-2009)
◆信息安全风险是指“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”
信息安全风险的含义
信息系统不可能达到绝对安全,但可以通过信息安全风险控制,来实现符合个人或单位目标的一定程度的安全。
信息安全管理的核心思想是风险管理,关键在于如何控制、化解和规避风险。
信息安全风险管理是信息安全管理的基本方法。
安全风险的基本概念——资产
资产——对单位有价值的信息或资源资产举例
有形的
◆计算机
◆网络硬件设备
无形的
◆组织机构的专利
◆知识产权
◆公司形象和名誉
安全风险的基本概念——威胁
威胁
能够通过未授权访问、毁坏、揭露、数据修改或拒绝服务对系统造成潜在危善的任何环境或事件。
威胁就是威胁主体发现一个特定的弱点,并将这些弱点用于恶意目的。
威胁举例
◆黑客入侵和攻击
◆病毒和其他恶意程序
◆软硬件故障
◆人为误操作
◆自然灾害地震、火灾
安全风险的基本概念——脆弱性
脆弱性
◆硬件、软件或协议在具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
脆弱性举例
◆系统漏洞、系统后门
◆缺乏安全管理
◆空口令
脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。
控制措施和残余风险
控制措施
通过各种人员、技术、工程和管理等方面的控制措施减少风险,以保护有形和无形的资产,最终达到完成其使命的任务。
残余风险
在控制措施使用后,系统可能还会存在一些残留的、没有被修补的脆弱性,这些残留的脆弱性仍然可以被威胁主体所利用,从而导致资产存在残余风险。
2.风险管理
定义
信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。
目的
成本与效益平衡
好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平。
工作条理化
好的风险管理过程可以使机构用一致的、条理清晰的方式来组织有限的资源,更好地管理风险。
信息安全风险管理的内容
第一步:背景建立
根据要保护系统的业务目标和特性,确定风险管理的范围和对象,明确对象的特性及安全需求。
第二步:风险评估
分析风险和影响、评估风险等级。
第三步:风险处理
选择和实施合适的安全措施。
第四步:批准监督
对风险评估和风险处理的结果的批准和持续监督
监控审查
监控
· 监视和控制风险管理过程,及时发现变化和偏差,以保证上述四个步骤的过程有效性。
分析和平衡成本效益,即成本效益管理,以保证上述四个步骤的成本有效性。
审查
跟踪受保护系统自身或所处环境的变化,以保证上述四个步骤结果的有效性。
沟通咨询
沟通
通过畅通的交流和充分的沟通,保持行动的协调和一致。
咨询
为相关人员答疑和服务,以提高他们的风险意识和知识。
◆与领导沟通,以得到理解和批准
◆单位内部各有关部门相互沟通,以得到理解和协作
◆与支持单位和系统用户沟通,以得到了解和支持
风险评估
对信息系统安全性进行分析,了解和认识客观存在于信息系统中风险的一种手段和方法。
风险评估重要性
◆风险评估是信息安全管理机制建立的基础。
◆信息安全需求获取的主要手段就是风险评估。
信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
风险评估工作形式
风险评估工作
风险评估应以自评估为主,同时可以和检查评估相互结合、互为补充。
自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
风险评估阶段
风险分析准备:制定风险评估方案、选择评估方法。
风险要素识别:发现系统存在的威胁、脆弱性和控制措施。
风险分析:判断风险发生的可能性和影响的程度。
风险结果判定:综合分析结果判定风险等级。
常见的四类风险处理方法
1.规避风险
通过改变原有计划来消除风险或风险发生的条件,保护目标免受风险的影响。**
在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。
对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击。
通常在风险的损失无法接受,又难以通过控制措施减低风险的情况下。
2.转移风险
通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。
通常只有当风险不能被降低或避免、且被被转嫁方接受时才被采用。
转移风险的具体做法
在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系外包给满足安全保障要求的第三方机构,从而避免技术风险。(服务外包)
通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。(购买保险)
3.降低风险
通过采取保护措施来降低风险
通常在安全投入小于负面影响价值的情况下采用
保护措施
减少威胁源
遏制打击威胁来源
减低威胁能力
部署身份认证措施
减少脆弱性
及时给系统打补丁、关闭无用的网络服务端口
防护资产
设置各种防护措施,保护资产不受侵犯
降低负面影响
采取容灾备份、应急响应等措施
4.接受风险
接受风险是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。
接受风险意味着经过成本效益评估,允许相关风险存在,并接受可能带来的损失。
接受风险不意味着不闻不问,需要对风险态势变化进行持续的监控,一旦发展为无法接受的风险就要进一步采取措施。
批准监督
对风险评估和风险处理的结果的批准
持续监督。
三、信息安全事件与应急响应
1.信息安全事件
“网络与信息安全事件”是突发事件的一种,也被称为“信息安全事件”。
信息安全事件在业界尚未有统一的定义,*管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。
信息安全事件可以是故意、过失或非人为原因引起的:
◆有害程序事件
◆网络攻击事件
◆信息破坏事件
◆信息内容安全事件
◆设备设施故障
◆灾害性事件
对信息安全事件的分级主要考虑三个要素:
◆信息系统的重要程度
◆系统损失
◆社会影响
统计结果表明,在所有信息安全事故中,只有20%30%是由于黑客入侵或其他外部原因造成的,70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线"转变的。
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
2.信息安全应急响应
信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性措施,也包括事件发生后的应对措施。
实践证明,现实中难以发现和抵御所有威胁,安全事件具有突发性、复杂性,需要建立信息系统安全事件的快速响应机制。
应急响应工作的主要任务是做好预先防范,安全事件发生后,尽快做出正确反应,及时阻止事件的发展,并减少损失,使系统恢复正常运行,同时采取追踪攻击者及必要的法律行动。
未雨绸缪:
事件发生前管理上可开展安全培训,制订安全政策和应急预案等;
技术上则要增加系统安全性,如备份、升级系统与软件;
有条件的可以安装防火墙、入侵检测系统和杀毒工具等。
亡羊补牢:
事件发生后可以采取抑制、根除和恢复等措施,减少损失;
并恢复正常运行,如,隔离、限制或关闭网络服务;
恢复系统及跟踪总结等。
应急响应组织是专门处理安全事件的组织
常用的名字是计算机网络安全事件应急组、计算机安全事件响应组(Computer Security Incident Response Team,CSIRT)、信息安全事件响应组(Information Security Incident Response Team,ISIRT)或事件响应组( Incident Response Team,IRT)。
通常,应急响应组织由管理、业务、技术和行政后勤等人员组成。
3.信息安全应急响应管理过程
应急响应组织工作
成立组织机构
领导小组
技术保障小组
专家小组
实施小组
日常运行小组
各单位应当根据信息系统的重要性,建立自己的应急响应组!
四、灾难备份
(注:以下内容原视频课程未给出,资料整理来源于百度百科
1.简述
灾难备份技术是指为了降低灾难发生的概率以及灾难发生时或发生以后造成的损失而采取的各种防范措施。为了对灾难进行恢复,灾难备份一般会对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份。灾难备份的主要目标是保护数据和系统的完整性,使业务数据损失最少甚至没有业务数据损失。
对灾难的定义众说纷纭,尚无统一的认识。这里,我们引用2005年*国务院颁布的《重要信息系统灾难恢复指南》中的定义,灾难是指由于人为或自然的原因,造成系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发事件。
《指南》把灾难恢复定义为:“将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。”而把灾难备份定义为:“为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。”显而易见,灾难恢复比灾难备份的外延要大。因此,对国内惯用的“灾难备份”一词,今后要搞清其所指的确切含义后再准确应用。例如,人们所说的“灾难备份”,如果是指既包括技术,也包括业务、管理的周密的系统工程,则应改为“灾难恢复”才更为精确。
真正的灾难备份必须满足3个要素:
一是系统中的部件、数据都具有冗余性,即一个系统发生故障,另一个系统能够保持数据传送的顺畅;
二是具有长距离性,因为灾害总是在一定范围内发生,因而保持足够长的距离才能保证数据不会被同一个灾害全部破坏;
三是灾难备份系统追求全方位的数据复制.
上述三要素也称为“3R”(Redundance,Remote,Replication)。
2.主要技术
一个完整的灾难备份系统主要由数据备份系统、备份数据处理系统、备份通信网络系统和完善的灾难恢复计划组成。在灾难备份系统建设中,数据备份是关键,如何将数据(包括系统、应用和业务等数据)完整、实时地复制到灾难备份中心,是灾难备份系统建设中首先要考虑的重点。
1.数据备份技术
(1)基于磁盘系统的灾难备份技术
基于磁盘系统的远程数据备份技术是以磁盘系统为基础,采用硬件数据复制技术,借助磁盘控制器提供的功能,通过专线实现物理存储器之间的数据交换。它采用磁盘镜像技术在物理磁盘卷这一级上实现两地磁盘机之间的数据复制。这种方式的优点是:独立于主机和主机操作系统,不占用主机的CPU、主机通道和网络资源,对主机透明,也不需要对现有应用系统作任何改动。
(2)基于软件方式的灾难备份技术
软件方式的灾难备份技术是基于操作系统级的灾难备份解决方案。其特点是与操作系统平台相关,而对应用程序是透明的。此方式通过通信网络,实现数据在两个不同地点之间的实时备份。
2.数据的存储备份技术
数据的存储备份技术是灾难备份的另一关键技术。其中,存储优化是提高灾难备份系统性能的重要指标之一。常用的存储优化技术有直接连接存储(Direct AttachedStorage,DAS)、网络连接存储(Network Attached Storage,NAS)和存储区域存储(StorageArea Network,SAN)。
(1)DAS存储结构
DAS又称SAS(Server Access Storage),是大部分园区网采用的存储方式。在DAS中,数据被存储在各服务器的磁盘族或磁盘阵列等存储设备中。
(2)NAS存储结构
开发NAS的目的是以不消耗大量网络带宽而实现存储功能,这种存储结构可完全脱离服务器直接上网。
(3)SAN存储结构
SAN是用于连接服务器和存储装置(大容量磁盘阵列和备份磁带库)的专用网络。这种连接是基于固有的光纤通道FC(Fiber Channel)和SCSI技术,通过SCSI到光纤通道转种特殊的高速网络。如果把LAN作为第一网络,则SAN就是第二网络,它置于LAN之下,但又不涉及LAN的具体操作。
3.建立步骤
灾难备份建设的基本流程和步骤如下:
(1)建立灾难备份专门机构。
实施灾难备份应由董事会或高级管理层决策,指定高层管理人员组织实施。由科技、业务、财务、后勤支持等与灾难备份相关的部门组成专门机构,主要职责包括分析灾难备份需求,制定灾难备份方案;确定工程预算,监督工程实施;明确各部门的职责,协调各部门关系;对灾难恢复计划定期进行测试和评估;对测试和评估的结果进行审核和存档并做出相应的改进。
(2)分析灾难备份需求。
重要信息系统灾难备份需求分析应包括对数据处理中心的风险分析和对重要信息系统的业务分析,以确定灾难恢复目标。数据处理中心风险分析的内容包括分析数据处理中心的风险,如物理安全,数据安全,人为因素,已有的备份和恢复系统、基础设施脆弱点,数据处理中心位置,关键技术点等;明确防范风险的技术与管理手段;确定需要采取灾难恢复的类型,如灾难备份中心的距离,数据备份方式和频率等。业务分析的内容包括各项业务停业将造成的损失,须考虑流失客户、损失营业额、企业形象、法律纠纷、社会安定因素等;每项业务停顿的最大容忍时间;各项业务的恢复优先级;各项业务的相关性;可接受的交易丢失程度。灾难恢复目标主要有确定恢复业务品种范围及优先级、确定灾难备份中心及服务界面的恢复时限、确定需要恢复的服务网点和服务渠道。
(3)制定灾难备份方案。
灾难备份方案分为多个等级。一个完整的灾难备份方案的设计基于灾难备份需求分析所得出的各业务系统灾难恢复目标,它可能涉及多个级别的应用,并且需要考虑技术手段、投资成本、管理方式等多方面因素。
(4)实施灾难备份方案。
实施灾难备份方案的主要目标是按照所制定的灾难备份方案,完成灾难备份工作。实施过程中,要严格按照灾难备份方案的要求和内容进行,要落实相应的规章制度,要应用灾难备份方案,建设并运行灾难备份中心。
(5)制定灾难恢复计划。
制定灾难恢复计划的主要目的是规范灾难恢复流程,使重要信息系统在灾难发生后能够快速地恢复数据处理系统运行和业务运作;同时重要信息系统可以根据灾难恢复计划对其数据处理中心的灾难恢复能力进行测试,并将灾难恢复计划作为相关人员的培训资料之一。
(6)保持灾难恢复计划持续可用。
在灾难恢复计划制定后,为保证计划的可用性和完整性,需要制定变更管理流程、定期审核制度和定期演练制度。
4.当前现状
在美国,容灾应用在各行各业中。首先,*在企业法中对企业容灾有要求;其次,由于公司内部管理、客户资料等数据都保存在计算机中,数据是公司的财富。无论银行、工厂,只要企业中有系统,不管系统大小,都会有容灾计划,哪怕计划很简单。由于美国曾经历了多次灾难的打击,容灾已被人们认为是系统必不可少的一部分,是每个公司都要做的关键事情。
我国香港特别行政区也针对不同行业的特点,对容灾、数据备份进行了严格的规定。但在国内,对这部分的要求还很少,只有一些粗线条的法规。比如说,要求电信部门的数据在机器上保留3个月,数据保存两年。然而现实中,到底该将数据如何保存、保存多久、各行业对此有何不同、数据量大小等具体运作方式,没有明确规定。
企业容灾系统建好后,工作并没有结束。美国的企业法规定,企业将根据所属行业,每年做一次甚至几次的灾备演练,并做一次系统回顾。因为系统有可能会改变,系统的变化可能使原来的方案不再适合,因此,每年要把文档再补充完整,并演习每个步骤。我国香港也要求银行系统在每周六做容灾切换作业,以防灾难突然发生。