第二节 信息安全管理基础
第二节信息安全管理基础
一、信息安全的管理体系
二、信息安全管理标准
三、信息安全策略
四、信息安全组织管理
五、信息安全人员管理
六、信息安全制度管理
七、计算机病毒安全防范
八、应急事件处理
一信息安全的管理体系
(一)信息安全管理体系的概念
(二)信息安全管理的内容
(三)信息安全管理的基本原则
(四)信息安全管理的过程
(五)信息安全管理的目的和意义
1.2.1.1 信息安全管理体系的概念
现代社会对网络的依存越来越广泛,对于所有用户来说,风险和威胁是永远存在的。信息安全是一个动态发展的过程,信息安全管理只是保障计算机网络信息系统安全的特殊技术。安全管理的目的是阻止非法用户进入系统,减少系统遭受破坏的可能性,快速检测非法行为,迅速确定人侵位置并跟踪人侵目标,有效记录破坏者的行为以便抓获,以最大限度减少损失并促进系统恢复。信息安全管理覆盖的内容非常广泛,它涉及信息和网络系统的各个层面,以及信息系统生命周期的各个阶段,随着人们对信息安全管理认识和理解的不断深入,可以发现这些不同层次、不同方面的管理内容在彼此之间存在着一定的内在关联,它们共同构成一个全面的有机整体,以使管理措施保障达到信息安全的目的,这个有机整体就是信息安全管理体系(ISMS , Information Security Management systems)。
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。信息安全管理体系是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,是涉及人、程序和信息技术系统。
1.2.1.2 信息安全管理的内容
信息安全管理体系包括以下管理类:
(1)方针与政策管理;确保企业、组织拥有明确的信息安全方针以及配套的策略和制度,以现实对信息安全工作的支持和承诺,保证信息安全的资金投入。
(2)风险管理;信息安全建设不是避免风险的过程,而是管理风险的过程。没有绝
对的安全,风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的
范围之内。
(3)人员与组织管理:建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理,协调信息安全监管部门与行内其他部门之间的关系,保证信息
安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。
(4)环境与设备管理:控制由于物理环境和硬件设施的不当所产生的风险。管理内
容包括物理环境安全、设备安全、介质安全等。
(5)网络与通信管理:控制、保护网络和通信系统,防止其受到破坏和滥用,避免
和降低由于网络和通信系统的问题对业务系统的损害。
(6)主机与系统管理:控制和保护计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。
(7)应用与业务管理:对各类应用和业务系统进行安全管理,防止其受到破坏和滥用。
(8)数据、文档、介质管理采用数据加密和完整性保护机制,以防止数据被窃取和篡改,保护业务数据的安全。
(9)项目工程管理全系统:保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。
(10)运行维护管理:保护信息系统在运行期间的安全,并确保系统维护工作的安全。
(11)业务连续性管理:通过设计和执行业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。
(12)合规性管理:确保信息安全保障工作符合国家法律、法规的要求;且信息安全方针、规定和标准得到了遵循。
1.2.1.3 信息安全管理的基本原则
信息安全管理的基本原则有以下几点:
(1)一把手负责原则,也称为领导负责原则。信息安全事关大局,涉及全局,需要一把手负责才能统一大家的认识,组织有效队伍,调动必要的资源和经费,落实各部门间的协调。如果一把手对信息安全工作不关心,不了解,不支持,光靠业务部门去抓一些具体的事务,久而久之,信息安全的管理工作就会逐渐淡化,逐渐流于形式。只有一把手真正具有责任心,成为信息安全的明白人,关心和支持业务部门的工作,信息安全的管理工作才能真正落到实处。那些齐抓共管、人人负责的漂亮口号没有一把手负责督导,常常会造成无抓不管、放任自流的恶劣后果。
(2)动态发展原则。信息网络安全状况不是静态不变的,随着对手攻击能力的提高、自己对信息网络安全认识水平的深化,必须对以前的安全政策有所修改,对安全措施和设施有所加强。必须明白,安全是一个过程,世界上没有一劳永逸的安全。
(3)风险原则。由于信息网络安全是动态发展的,因此安全也不是绝对的。我们不能做到绝对的安全,但是我们可以追求和实现在承担一定风险情况下的适度安全。因此,当我们在规划自己的信息网络系统安全的时候,首先要进行风险分析。根据要保护的资源的价值和重要程度,考虑可以承受的风险度,并以此为依据指定技术政策和设置保护措施。
(4)规范原则。信息系统的规划、设计、实现、运行要有安全规范作要求,要根据本机构或本部门的安全要求制定相应的安全政策。安全政策中要根据需要选择采用必要的安全功能,选用必要的安全设备。不应盲目开发、自由设计、违章操作、无人管理。
(5)预防原则。在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。用预防为主的指导思想来对待信息安全问题,不能心存侥幸。
(6)注重实效原则。不应盲目追求一时难以实现或投资过大的目标,应使投入与所需要的安全功能相适。
(7)系统化原则。要有系统工程的思想。前期的投人与建设和后期的提高要求要匹配和衔接,以便能够不断扩展安全功能,保护已有投资。
(8)均衡防护原则。人们经常用木桶装水来形象地比喻应当注重安全防护的均衡性,箍桶的木板中只要有一块短板,水就会从那里泄漏出来。我们设置的安全防护中要注意是否存在薄弱环节。
(9)分权制衡原则。重要环节的安全管理要采取分权制衡的原则,要害部位的管理权限如果只交给一个人管理,一旦出问题就将全线崩溃。分权可以相互制约,提高安全性。
(10)应急原则。安全防护不怕一万,就怕万一。因此要有安全管理的应急响应预案,并且要进行必要的演练,一旦出现相关的问题马上采取对应的措施。
(11)灾难恢复原则。越是重要的信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统数据的一致性。一旦遇到灾难,立即启动备份系统,保证系统的连续工作。
1.2.1.4 信息安全管理的过程
首先要明白的是,信息安全是一个“过程”,而不是一个“程序”。根据ISO/IEC-17799 标准的阐述以及有关的信息安全管理文献资料,可以总结出信息安全管理的主要过程。
1、获取管理层的支持
进行信息安全管理的实施,必须首先要获得高级管理层的支持。建设一套复杂的信息安全管理体系是费时、费力和需要资金支持的,需要耗费大量的人力、物力和财力,并且
还要负一定的法律责任,因此,必须要有高层管理者的决策支持,这是信息安全管理的前提。
2、定义安全范围
组织要根据组织的特性、地理位置、资产和技术对定义信息安全管理的范围进行界定,这属于信息安全管理最困难的初始任务之一,也可以称为定义安全区域,通常认为是信息安全管理的起始点。安全区域可以是整个组织或机构,也可能是组织或机构的一部分,但根本的一点是安全区域必须限定在一个组织或机构所能控制的范围之内,否则组织和机构将无法实施有效的管理和控制。
3、创建安全策略
一套安全策略文档应当由管理层批准、印制并向全体员工公布。安全策略应明确声明管理层的承诺,及组织管理信息安全的方法。一套完整的安全策略至少要包括以下内容:
?信息安全的定义、整体目标和范围以及安全对信息共享的重要性;
?对管理层意图的声明及支持,以及信息安全的原则;
?安全策略、原则、标准的简介,也包括对组织有特别重要性的法律法规的要求,例如:要符合法律及合同的要求、安全教育的要求、防止及检测病毒及其他恶意
代码的要求、业务持续性管理的要求以及违反安全策略的后果等;
?信息安全管理的一般和特定责任的定义,包括报告安全事件;
?支持策略文档的参考说明,例如特别信息系统或安全规定用户应遵守的更详尽的安全策略及程序。
?该策略应在整个组织范围内公布,让有关人员访问和理解透彻。
4、建立信息安全管理系统
信息安全管理系统是组织应用、管理、维持和贯彻执行信息安全过程和控制的基本架构,由信息系统安全主管负责并在信息安全策略中正式声明。在ISMS 中定义了信息安全管理的范围,并且对每一种安全控制的策略、标准、过程、计划、任务团队等都有详细的说明和指导,甚至具体到哪一个人负责哪些事情。
5、风险分析和评价
信息安全管理实际上就是对风险的管理,因此一套适宜的风险分析和评价程序对信息安全管理来说是最基本的。通过对资产、资产面临的威胁和资产本身脆弱性的识别,以及对相应的风险的量化分析,组织就能选择和决策采取哪些安全控制措施,来避免、转移或降低风险所造成的损失到一个可以接受的水平。风险是动态的,它将随着过程的更改、组织的变化、技术的发展以及新出现的潜在威胁而变化,因此组织的风险分析和评价也应不是一成不变的。
1.2.1.5 信息安全管理的目的和意义
从根本上来说,信息安全管理要实现的目的就是在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。
组织可以参照合适的信息安全管理模型,采用先进的安全技术手段,建立组织起完整的信息安全防范体系并实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。保持完整的信息安全管理体系还将会产生如下积极的作用:
?强化员工的信息安全意识,规范组织信息安全行为;
?对组织的关键信息资产进行全面系统地保护,维持竞争优势;
?在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
?使组织的生意伙伴和客户对组织充满信心;
?如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
?促使管理层坚持贯彻信息安全保障体系。
二信息安全管理标准
(一)国际信息安全管理标准
(二)我国信息安全管理相关标准
(三) BS7799标准
(四) CC标准
1.2.2.1 国际信息安全管理标准
ISO和IEC 是世界范围的标准化组织,各国的相关标准化组织都是其成员,它们通过各技术委员会,参与相关标准的制定。近年来,国际ISO/IEC 和西方一些国家开始发布和改版一系列信息安全管理标准,使安全管理标准进人了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
ISO/IEC联合技术委员会子委员会27(ISO/ IECJTCISC27)是信息安全领域最权威和国际认可的标准化组织,它已经为信息安全保障领域发布了一系列的国际标准和技术报告,目前最主要的标准是ISO/ IEc13335、ISO/IEC27000 系列等。
ISO/IECJTCISC27的信息安全管理标准(ISO/IEC13335)《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年。这五个部分组成分别为:
ISO/IEC13335-1:1996《IT安全的概念与模型》;ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》;ISO/IEC13335-4:2000 《安全措施的选择》;ISO/IEC13335-5《网络安全管理方针》。27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准,是目前国际信息安全管理标准研究的重点。27000系列当前已经发布和在研究的有6个,分别为ISO/lEC27000《信息安全管理体系基础和词汇》;ISO/IEC27001:2005《信息安全管理体系要求》;
ISO/IEC27002(17799:2005)《信息安全管理实用规则》;ISO/IEC27003((信息安全管理体系实施指南》;ISO/IEC27004《信息安全管理测量》;ISO/IEC27005《信息安全风险管理》。随着ISO/IEC2700o 系列标准的规划和发布,ISO/IEC 已形成了以ISMS 为核心的一整套信息安全管理体系。
1.2.2.2 我国信息安全管理相关标准
与国外相比,我国的信息安全领域的标准制定工作起步较晚,但随着2002 年全国信息安全标准化技术委员会的成立,信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息安全标准化技术委员会中,成立了信息安全标准体系与协调工作组(WGI)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息安全保障体系建设和信息安全产业的发展方面,起到了积极作用。在我国,另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会,下设四个工作组,即有线网络安全工作组
( WG1)、无线网络安全工作组(WG2)、安全管理工作组(WG3)、安全基础设施工作组( WG4)。
近年来,我国对信息安全标准的制定与实施工作非常重视,不仅引进了国际上著名的ISO/IEC27001: 2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且,为了更好地推进我国信息安全管理工作,相关部门还
制定了中华人民共和国国家标准GBI7895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336-2001《信息技术安全性评估准则》和GB/T20269-2006 《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。
1.2.2.3 BS7799标准
BS7799-1(ISO/IEC1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2((信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS )的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,BS7799-1 标准适用以下场合:组织按照该标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2 明确提出信息安全管理要求,BS7799-1 则对应给出了通用的控制方法(措施),因此,BS7799-2 才是认证的依据,严格地说是获得了BS7799-2 的认证,BS7799-1 为BS7799-2 的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
BS7799-1 : 1999 (ISO / IEC1799 : 2000 )标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Information security )是指信息的保密性(Confidentiality )、完整性(Integri - ty )和可用性(Availabihty )的保持。保密性定义为保障信息仅仅为
那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机人侵、Dos攻击等,它们造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互联及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10 个方面,成为组织实施信息安全管理的实用指南,这10 个方面分别是:
(1)安全方针:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;维持被第
三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
(7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解它对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信点安令。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT
项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)业务持续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织须遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取
适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤:
(1)定义信息安全策略:
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构口信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS 的范围:
ISMS 的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS 。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估:
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS 范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理:
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
?降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
?避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
?转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风
险。
?接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施:
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明
信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
1.2.2.4 CC标准
CC (Common Criteria)即信息技术安全性评估准则,是评估信息技术产品和系
统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。CC 是国
际标准化组织统一多种评估准则努力的结果,是在美国和欧洲等国分别自行推出并实
践测评准则及标准的基础上,通过相互间的总结和互补发展起来的。1985 年美国国
防部正式公布了可信计算机系统评估准则(TCSEC ,即橘皮书),这个橘皮书也是大
家公认的第一个计算机信息系统评估标准。在随后的十年里,不同的国家都开始主动
开发建立在TCSEC 基础上的评估,包括:欧洲的信息技术安全性评估准则(ITSEC )、加拿大计算机产品评估准则(CTCPEC )、美国信息技术安全联邦准则(FC)等,这
些准则更灵活、更适应了IT 技术的发展。
由于全球IT 市场的发展,需要标准化的信息安全评估结果在一定程度上可以互
相认可,以减少各国在此方面的一些不必要的开支,从而推动全球信息化的发展。国
际标准化组织(ISO)从1990 年开始着手编写通用的评估准则。1993 年6 月,与CTCPEC 、FC 、TCSEC 、和ITSEC 有关的六个国家中七个相关政府组织集中了他们
的成果,并联合行动将各自独立的准则集合成统一的、能被广泛接受的IT 安全准则。该项结果作为对国际标准的贡献提交给了ISO,并于1996 年颁布了1 .0 版,1998 年
颁布了2 . 0 版,1999 年12 月150 正式将CCZ . O 作为国际标准― 150 / IEC 15408 : 1999 发布。我国于2001 年等同采用ISO/ IEC 15408 为国标,标准号为
GB / T 18336 : 2001 ,中国信息安全产品测评认证中心采用该标准作为对信息安全
产品测评认证的重要依据之一。
CC 的主要目标用户包括消费者、开发者、评估者及其他用户,如系统管理员和
系统安全管理员、内部和外部审核员、安全规划和设计者、认可者、评估发起者、评
估机构等。CC 安全模型目的是为了保护资产不受威胁、减少资产所受到的安全风险。
CC 标准包括3个部分:
第一部分是标准内容简介和一般模型。主要介绍了CC 标准的一般概念和格式,描述了CC 的结构和适用范围,描述了安全功能、保证需求的定义,并给出了保护轮廓(Pro -tection Profile ,PP)和安全目标(Security Target ,ST)的结构。
第二部分是安全功能要求。这一部分为用户和开发者提供了一系列安全功能组件作为表示评估对象(TOE )功能要求的标准方法。
第三部分是安全保证要求。这一部分为开发者提供了一系列安全保证组件作为表示评估对象(TOE )保证要求的标准方法,同时还提出了7 个评估保证级别(Evaluation As -surance Levels , EALs ) :
?EAL1 ―功能测试;
?EAL2 ―结构测试;
?EAL3 ―系统测试和检查;
?EAL4 ―系统设计、测试和复查;
?EAL5 ―半形式化设计和测试;
?EAL6 ―半形式化验证的设计和测试;
?EAL7 ―形式化验证的设计和测试。
CC 中的功能要求和保证要求都采用了类、族及组件的定义结构,同TCSEC和ITSEC 相比,CC的结构更接近于ITSEC,它支持易于表示安全需求的保护轮廓和安全目标。CC 与TCSEC 的不同在于其标准化的方法。在TCSEC 中定义了一些特定的安全功能和安全测试,通过这些测试来证实某个等级(如C2 )中预定义的安全功能被正确地实施;而CC 更像一个词典或语言,它提供了一个标准的、复杂的安全功能列表,以及可以用来验证其实施正确性的分析技术。CC 还提供了一个执行测试的通用评估方法。另外,TCSEC 将功能特性和保证组合起来,一定级别的保证与一定的功能特性集合捆绑在一起;而CC 采用了独立的原则,它包含了许多不同的功能特性集合和不同的保证级别,而且原则上两者之间可以根据具体情况实现不同的组合。CC 的结构允许生产商根据其产品的用途来选择安全特性和保证级别,定义其威胁环境,并进行相应的评估。
三信息安全策略
(一)信息安全策略的定义
(二)信息安全策略的基本原则
(三)信息安全策略的内容
1.2.3.1 信息安全策略的定义
信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分,问题策略(Issue Policy)和功能策略(Functional Policy)。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。在组织内部,一方面,必须有行政措施保证既定的信息安全策略被不打折扣地执行,管理层不能允许任何违反组织信息安全策略的行为存在;另一方面,也需要根据业务情况的变化不断地修改和补充信息安全策略。
信息安全策略的内容应该有别于技术方案,信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价。信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以描述为“任何类别为机密的信息,无论存储在计算机中,还是通过公共网络传输时,必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护”。这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改。
1.2.3.2 信息安全策略的基本原则
信息安全策略应遵循以下基本原则:
1、最小特权原则
最小特权原则是信息系统安全的最基本原则。最小特权原则的实质是任何实体仅
拥有该主体需要完成其被指定任务所必需的特权,此外没有更多的特权。最小特权可
以尽量避免将信息系统资源暴露在侵袭之下,并减少因特别的侵袭造成的破坏。
2、建立阻塞点原则
阻塞点就是在网络系统对外连接通道内,可以被系统管理人员进行监控的连接控制点。在那里系统管理人员可以对攻击者进行监视和控制。
3、纵深防御原则
安全体系不应只依靠单一安全机制和多种安全服务的堆砌,而应该建立相互支撑的多种安全机制,建立具有协议层次和纵向结构层次的完备体系。通过多层机制互相支撑来获取整个信息系统的安全。在网络信息系统中常常需要建立防火墙,用于网络内部与外部以及内部的子网之间的隔离,并满足不同程度需求的访问控制。但不能把防火墙作为解决网络信息系统安全问题的唯一办法,要知道攻击者会使用各种手段来进行破坏,甚至有的手段是无法想象的。这就需要采用多种机制互相支持,例如,安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强保安教育和安全管理,只有这样才能更好地抵御攻击者的破坏。
4、监测和消除最弱点连接原则
系统安全链的强度取决于系统连接的最薄弱环节的安全态势。防火墙的坚固程度取决于它最薄弱点的坚固程度。侵袭者通常是找出系统中最弱的一个点并集中力量对其进行攻击。系统管理人员应该意识到网络系统防御中的弱点,以便采取措施进行加固或消除它们的存在,同时也要监测那些无法消除的缺陷的安全态势。对待安全的各个方面要同样重视而不能有所偏重。
5、失效保护原则
安全保护的另一个基本原则就是失效保护原则。一旦系统运行错误,当其发生故障必须拒绝侵袭者的访问,更不允许侵袭者跨入内部网络。当然也存在一旦出现故障,可能导致合法用户也无法使用信息资源的情况,这是确保系统安全必须付出的代价。
6、普遍参与原则
为了使安全机制更为有效,绝大部分安全系统要求员工普遍参与,以便集思广益来规划网络的安全体系和安全策略,发现问题,使网络洗头的安全涉及更加完善。一个安全系统的运行需要全体人员共同维护。
7、防御多样化原则
像通过使用大量不同的系统提供纵深防御而获得额外的安全保护一样,也能通过使用大量不同类型、不同等级的系统得到额外的安全保护。如果配置的系统相同,那么只要知道如何侵入一个系统,也就会知道如何侵入所有的系统。
8、简单化原则
简单化作为安全保护策略有两方面的含义:一是让事物简单便于理解;二是复杂化
会为所有的安全带来隐藏的漏洞,直接威胁网络安全。
9、动态化原则
网络信息安全问题是一个动态的问题,因此对安全需求和事件应进行周期化的管理,对安全需求的变化应及时反映到安全策略中去,并对安全策略的实施加以评审和审计。首先,网络本身具有动态性,其次,信息安全问题具有动态性,这些动态性都决定了不存在一劳永逸的安全解决问题。因此,网络系统需要以动制动。这表现在一下三个方面:
第一,安全策略要适应动态网络环境发展和安全威胁的变化。我们的安全策略不能是简单的决策响应模式,而应是包含系统监测和实时响应的安全模型。安全系统要不断地监视网络,自动扫描系统和配置参数,分析和审计用户口令及访问授权,发现漏洞、弱点并实行安全措施;实时监控和快速检测未授权黑客行为,并进行实时响应以阻止进攻;对内部网络资源操作进行实时监控,避免内部员工的误操作和非授权访问。
第二,安全设备要满足安全策略的动态需要。动态安全策略的安全设备之间必须相互关联,并实现互动。举例来说,通常防火墙对内外网络之间的通信进行访问控制,它时限在网络层和应用层上,因此对于通过协议隧道绕过防火墙的安全威胁是无法防范的。同事,防火墙是一种基于策略的被动防御系统,无法自动调整策略设置来阻断正在进行的攻击。入侵检测系统虽然能检测到复杂的攻击事件,但是其自身只能及时发现攻击行为,却无法处理攻击行为。
第三,安全技术要不断发展,以充实安全设备。一方面,各安全组件之间互动策略的制定、接口标准的统一、互动设备之间通信安全的保障,都是值得研究的课题;另一方面,由于黑客攻击手段的不断推陈出新,我们还要采用各种新的技术来防御网络系统。
1.2.3.3 信息安全策略的内容
信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求
分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。
1、物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信
链路免受自然灾害、认为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越
权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室的各种偷窃、破坏活动的发生。抑制和防止电磁泄露是物
理安全策略的一个主要问题。
2、系统管理策略
系统管理策略负责制定系统升级、监控、备份、审计等工作的指导方针和预期目标。系统管理人员和维护人员依据这些策略安排自己的具体工作。这些策略应该明确规定什么时间多少时间去升级系统,什么时候应该如何进行系统监控,什么时候进行日志审查和系统备份等。策略必须足够详细,以帮助系统管理人员能确切知道对系统和网络需要做哪些工作。
3、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非授权访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
4、资源需求分配策略
该策略是根据网络资源的职责确定哪些用户允许使用哪些设备,例如用户如何获得授权访问打印机,哪些用户可以在某个时间段内使用,用户采用何种登录方式(远程/本地)才能使用设备,哪些用户可以获得系统程序和应用程序的使用授权,授权访问哪些数据,并指定对用户的授权方式和程序。
5、系统监控策略
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络的访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法分子试图进入网络,网络服务器应自动记录企图尝试进人网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
6、网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理的等级和安全管理的范围,制定有关网络操作使用规程和人员出人机房管理制度,制定网络系统维护制度和应急措施。
7、灾难恢复计划
灾难恢复计划(Disaster Recover Plan ,DRP)是指在紧急情况或安全事故发生而导致系统崩溃、数据丢失等现象时如何保障计算机信息系统继续运行或紧急恢复到问题发生前的正常运行状态。灾难恢复计划是信息安全管理人员所面临的最大的难题之一。简单的可能是单个系统瘫痪的恢复,复杂的可以是一个大型跨国公司的业务运作系统如何从自然灾害和恶性事故中恢复。绝大多数组织都对灾难恢复计划投入很多资金,包括数据备份和双机热备份。当系统或网络瘫痪时,热备份能迅速接管原系统
所有任务,继续对用户提供透明的服务。热备份维护起来非常昂贵,而且有时也难以证明是否有存在的必要。不管采用哪种方式,一份切实有效的保障计划和恢复计划是信息安全管理策略的重中之重。
1.2.4 信息安全组织管理
我国信息安全管理格局是一个多方“齐抓共管”的体制,是由信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、专家顾问组、安全审计机构、安全培训机构等多家机构共同组成,分别履行各自的职能,共同维护国家信息安全。由于信息安全保障涉及到信息安全、网络安全、技术安全、管理安全、个人行为安全等多个方面和层次,因此产业部门、保密部门、机要部门、安全部门、公安部门、文化部门、宣传部门等都要参与管理。不同部门实际上是在管理着信息安全某个方面或者某种属性,也就是管理部门传统职能在网上的表现和反映,由此可以得出信息安全管理基本组织结构如图1-4内部信息安全管理组织包括:
(1)安全审查和决策机构:这是负责信息安全组织工作的权威机构,通常是信息安全管理委员会,由高级管理层、各部门管理层选派代表组成,负责制定信息安全目标、原则、方针和策略。
(2)安全主管机构:负责具体信息安全建设和管理,依据安全策略制定各项安全管理制度,制定必要的安全措施,通常由国家安全局、国家密码管理局等技术机构组成。
(3)安全运行维护机构:对相关的安全技术机制和系统按照安全管理规范的要求进行运行维护,保证安全系统稳定可靠,以发挥有效的保护作用。
(4)安全审计机构:主要担负保护系统安全的责任,工作重心偏向于监视系统的运行情况,并对安全管理制度的贯彻执行情况进行监管。
(5)安全培训机构:主要负责与信息安全技术研究、应用有关的教育和培训工作。
(6)安全人员:维持和保障系统正常运行的各方面的人才,如安全、网络、软硬件、通信、审计、系统分析、代码编译等有关方面的人员。
外部信息安全管理组织机构包括:
(l)国家职能监管机构:包括国家保密局、国家安全部、公安部等国家规定的
信息安全职能监管机构。
(2)外部合作组织:主要是可靠的、权威的系统组成设备提供商、信息安全专业厂商、第三方安全组织等组成。
(3)专家顾问组:由信息安全方面的资深专家、顾问组成,专门为决策机构提供必要的建议和决策支持。
1.2.5 信息安全人员管理
人员安全管理和控制是信息安全管理中的重要环节。除加强法制建设,通过法律制裁形成一种威慑,并通过伦理道德教育,提高整体素质外,还应采取科学的管理措施,减少作案的机会,减少犯罪,以获得安全的环境。通常对信息安全管理人员有以下管理要求:
1、安全授权
计算机网络必须设立网络安全管理机构,网络安全管理机构设置网络安全管理员,如需要还可设立分级网络管理机构和相应的网络管理员。此外,还应建立、健全岗位责任制,指定不同的管理员在岗位上可能处理的最高密级信息,即安全授权。安全授权包括:专控信息的授权、机密信息的授权、秘密信息的授权和受控信息的授权四类。其中专控信息的授权是对网络管理机构的最高领导、网络安全管理员及专门指派的人员的授权,是处理最高机密的授权。去除上述四类授权外,尚有一种临时授权,即对需要临时接触专控信息的人给予临时专控信息授权,但需要对他接触专控信息进行审查,只有审查合格后才可获得授权。
2、安全审查
在工作人员获准接触、保管机密信息前,必须对他们进行安全审查。对新进人的工作人员按照其本人申请表中的个人历史逐一审查,必要时要亲自会见证明人,对以前的经历和人品进行确认。除新职工外,对在职人员也要定期审查。当某工作人员婚姻状况发生变化,或被怀疑违反了安全规则,或是对其可靠性产生怀疑时,都要重新审查。安全警卫员应具有所保卫的重要机房最高密级的授权,应按此标准挑选、审查。对清洁工也要和工作人员一样进行审查,未经严格审查的清洁工在处理保密信息的重要机房工作时,应自始至终处于工作人员的监视之下。
3、调离交接
一旦重要岗位的工作人员辞职或调离,应立即取消他出人安全区、接触保密信息的授权.应给调离人员一份书面要求,告之他有义务对工作期间接触的涉密信息继续保密,否则将受到行政或刑事处罚。必要时调离人员应签字,说明已接受并对今后的行为负责。调离人员办理手续前,应交回所有的证章、通行证、授权、说明手册、使用资料等。调离人员走后,所有他接触过、使用过的访问控制物品必须更换或处理。
4、安全教育
应对各类人员进行安全意识教育和岗位技能培训,告知人员相关的安全责任和惩戒措施。定期对工作人员进行安全教育,包括听讲座,观看影片、录像资料,学习信息安全材料等,以此提高工作人员的信息安全防护意识。
要求工作人员随时注意计算机网络安全运行情况。一旦发现从直接上级处接受到违反网络安全规定的指示或观察到其他工作人员违反安全规定的可疑行为时,应立即向安全负责人报告。同时要求任何工作人员不得将网络机房的保密资料带回家中,确有必要带出,必须经负责人批准并备案。
1.2.6 信息安全制度管理
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以
及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。
这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管
理活动的管理制度以及管理人员或操作人员日常操作的操作规程。安全管理制度
主要包括:管理制度、制定和发布、评审和修订三个控制点。不同等级的基本要
求在安全管理制度方面有不同的体现。
?一级安全管理制度要求:主要明确了制定日常常用的管理制度,并对管理制度的制定和发布提出基本要求。
?二级安全管理制度要求:在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度
的制定和发布要求组织论证。
?三级安全管理制度要求:在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安
全制度的评审和修订要求领导小组负责。
?四级安全管理制度要求:在三级要求的基础上,主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。
(一)管理制度
信息安全管理制度文件通过为机构的每个员工提供基本的规则、指南、定义,从而在机构中建立一套信息安全管理制度体系,防止员工的不安全行为引人风险。信息安全管理制度体系分为三层结构:总体方针、具体管理制度、各类操作规程。信息安全方针应当阐明管理层的承诺,提出机构管理信息安全的方法;具体的信息安全管理制度是在信息安全方针的框架内,为保证安全管理活动中的各类管理内容的有效执行而制定的具体的信息安全实施规则,以规范安全管理活动,约束人员的行为方式;操作规程是为进行某项活动所规定的途径或方法,是有效实施信息安全政策、安全目标与要求的具体措施。这三层体系化结构完整地覆盖了机构进行信息安全管理所需的各类文件化指导。该控制点在不同级别主要表现为:
?一级:要求制定日常常用的管理制度。
?二级:在一级要求的基础上,管理制度要求更高,并增加了总体方针和安全策略,重要操作规程的要求。
?三级:在二级要求的基础上,提出了建立信息安全管理制度体系的要求。
?四级:与三级要求相同。
(二)管理制度的制定和发布
制定安全管理制度是规范各种保护单位信息资源安全活动的重要一步,制定人员应充分了解机构的业务特征(包括业务内容、性质、目标及其价值),只有这样才能发现并分析机构业务所处的实际运行环境,并在此基础上提出合理的、与机构业务目标相一致的安全保障措施,定义出与管理相结合的控制方法,从而制定有效的信息安全政策和制度。机构内高级管理人员参与制定过程,使得制定的信息安全政策与单位的业务目标更一致,同命省利于制定的安全方针政策、制度可以在机构上下得到有效的贯彻,而且容易得到有效的资源保障,比如在制定安全政策时获得必要的资金与人力资源的支持,以及跨部门之间的协调问题、人员物力资源的调配等都必须由高层管理人员来推动。
该控制点在不同级别主要表现为:
?一级:要求有人员负责安全管理制度的制定,相关人员能够了解管理制度。
?二级:在一级要求的基础上,要求有专门部门或人员负责安全管理制度的制定,并且发布前要组织论证。
?三级:在二级要求的基础上,对制度的制定格式、发布范围、发布方式等进行了控制。
?四级:除三级要求外,侧重对有密级的安全制度的管理。
(三)管理制度的评审和修订
安全政策和制度文件制定实施后,并不能“高枕无忧”,机构要定期评审安全政策和制度,并进行持续改进,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。因为机构所处的内外环境是不断变化的,信息资产所面临的风险也
网络与信息安全基础知识点
知识点: 计算机病毒的特征:非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性。 拿不走:访问控制 一个安全保密的计算机信息系统,应能达到“五不”:“进不来、拿不走、看不懂、走不脱、赖不掉”,即非合法用户进入不了系统;非授权用户拿不走信息;重要的信息进行了加密,即使看到了也看不懂;进入系统或在涉密系统内进行违规操作,就会留下痕迹,走不脱;拿走或篡改了信息,就有相关记录,想赖也赖不掉。 用于客户信息安全审核、审核的原始日志必须单独保存,各系统主管部门要制定数据存储备份管理制度,定期对原始日志进行备份归档,所有客户信息操作原始日志在线至少保留3个月,离线至少保留1年。 各系统用于安全审核的原始日志记录内容应至少包括:操作帐号、时间、登录IP地址、详细操作内容和操作是否成功等。日志不应明文记录帐号的口令、通信内容等系统敏感信息和客户信息。 安全有以下属性:CIA三要素 保密性:是指信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性;C 完整性:保护信息及处理方法的准确性和完备性;I 可用性:被授权实体一旦需要就可访问和使用的特性;A 真实性:确保主体或资源的身份正式所声称身份的特性。 可核查性:确保可将一个实体的行动唯一的追踪到此实体的特征。 抗抵赖性:证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。 可靠性:预期行为和结果相一致的特性。 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。 信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患
信息安全基本知识
信息安全基本知识 安全体系: 安全方针:积极防范、突出重点、科学管理、持续改进 工作要求:归口管理、控制源头、逐级负责、确保安全 运行模式:“策划—实施—检查—改进(PDCA)” 组织机构:信息安全委员会(领导机构)、信息安全管理办公室(执行机构) 技术等级:内部公开、技术Ⅲ级、技术Ⅱ级、技术Ⅰ级(由低到高);内部文件按项目管控要求定级,外来文件按客户要求定级;流程:项目单位申请—信息安全办公室初审—信息安全委员会审定 管理期限:技术Ⅰ级>=20年,技术Ⅱ级>=10年,技术Ⅲ级>=5年,内部公开>=1年 电脑管理: 系统密码:密码>=8位、修改< 6 个月、自动屏保< 10分钟,不外借不扩散 密码组成:大小字母、特殊符号、数字任意三种以上组合 软件使用:软件用正版,安装杀毒软件并设置为定期杀毒,开启防火墙,U盘和下载的软件使用前先杀毒设备转用:服务器、电脑、存储介质停止使用或转作它用,必须低级格式化 文件控制: 文件管控:设计文件、工艺文件、质量体系类文件已经进入PDM系统管控 文件使用:各部门文控才有权从PDM系统签收、导出、下载、打印、分发,加盖“PDM受控章”为有效版本,其余途径获取均是不受控文件 文件管理:建立好文件接收、分发、使用、回收等台账管理 关岗键位: 定级要求:以项定级、以级定人; 人员等级:技术Ⅲ级岗位、技术Ⅱ级岗位、技术Ⅰ级岗位 部门申请(关键岗位人员审查审批表)--总经办信用审查(信用审查表)--信息安全办公室审查--信息安全委员会批准 信用等级:A优秀、B良好、C一般、D差 保密协议:劳动合同(普通员工),保密协议(关键岗位),专项保密协议(按项目) 离岗离职:清退信息资产,离职审计(《员工离职信息安全审计控制表》) 外网访问:原则上不许可,特殊情况需审批(填写《互联网申请表》,信息安全办公室同意,公司审批) 邮件收发:使用公司邮箱 电脑要求:技术Ⅱ级及以上,不用笔记本电脑,台式机加锁,物理手段禁USB 存储介质:技术Ⅰ、Ⅱ级不许,技术Ⅲ级受控(技术Ⅰ、Ⅱ级禁用移动介质,技术Ⅲ级使用受控介质) 开机密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位, 技术Ⅲ级无要求 系统密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位,技术Ⅲ级>=8位 客户专区: 公司为保护客户权益,划分了专区管理;专区内禁止直接出现客户名称,禁止拍照、录像,禁止非授权人员进入,禁止客户竞争对手参观、进入;进入专区必须佩带身份卡,非授权人员禁止进入 服务器管理: 账号与分类:管理员最多2人,独立账号和密码,密码长度超10位,更改周期小6月,权限清单需备案日常管理:每周查看日志和升级病毒库,定期杀毒,巡查服务器做记录(《服务器巡查记录表》) 故障处理:规划部负责网络与硬件故障,科技管理部负责软件故障;故障恢复需填《服务器恢复记录表》 机房要求: 保持10 ~ 20℃温度,做好非管理员出入登记,定期巡检填写记录(《机房巡检记录表》) 公共盘: 公共盘设立要备案(信息安全管理办公室备案); 必须设置访问权限,权限设立要信息安全主管、业务主管批准;建立权限清单并备案信息安全办公室
新建-第二章-信息安全管理基础
第二章信息安全管理基础 一、判断题 1.Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行 保护。 2.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息, 进而非法获得系统和资源访问权限。 3.PKI系统所有的安全操作都是通过数字证书来实现的。 4.PKI系统使用了非对称算法、对称算法和散列算法。 5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机 制,同样依赖于底层的物理、网络和系统等层面的安全状况。 6.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过 程。 7.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当 避免在内网和外网之间存在不经过防火墙控制的其他通信连接。 8.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防 火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。
9.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。 10.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT 系统风险管理内容。 11.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。 12.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。 二、单选题 1.下面所列的安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 2.信息安全管理领域权威的标准是。 A.ISO 15408 B.ISO 17799/ISO 27001 C.ISO 9001
网络信息安全基础知识培训
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
信息安全教育培训
信息安全教育培训制度 为进一步提高网络管理人员对网络安全重大意义的认识,增强遵守规章制度和劳动纪律的自觉性,避免网络安全事故的发生,确保各项工作顺利进行,特制订本制度。 一、安全教育培训的目的 网络安全教育和培训不仅能提高员工对网络信息安全的认识,增强搞好信息安全责任感和法律意识,提高贯彻执行信息安全法律、法规及各项规章制度的自觉性,而且能使广大员工掌握网络信息安全知识,提高信息安全的事故预防、应急能力,从而有效地防止信息安全事故的发生,为确保网络安全创造条件。 二、培训制度 1、信息安全教育培训计划由信息中心根据年度工作计划作出安排。 2、成立信息安全教育学习小组,定期组织信息安全教育学习; 3、工作人员每年必须参加不少于15个课时的专业培训。 4、工作人员必须完成布置的学习计划安排,积极主动地参加信息中心组织的信息安全教育学习活动 组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。 (2)、负责对全员安全教育和培训。 (3)、定期的邀请上级有关部门和人员进行信息安全方面的培
训,提高操作员的防范能力。 2.计算机职业道德教育 (1)、工作人员要严格遵守工作规程和工作制度。 (2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。 (3)、不得利用计算机信息系统的漏洞偷窃资料,进行诈骗和转移资金。 (4)、不得制造和传播计算机病毒。 3.计算机技术教育 (1)、操作员必须在指定计算机或指定终端上进行操作。 (2)、管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。 (3)、不得越权运行程序,不得查阅无关参数。 (4)、发现操作异常,应立即向管理员报告。 三、培训方法: 1.结合专业实际情况,指派有关人员参加学习。 2.有计划有针对性,指派人员到外地或外单位进修学习。 3.举办专题讲座或培训班,聘请有关专家进行讲课。 4.自订学习计划,参加学习,学业优秀者给予奖励
银行信息安全管理基础知识
银行信息安全管理基础知识 一、银行信息安全威胁 随着银行信息建设的深入发展,银行全面进入了业务系统整合、数据大集中的新的发展阶段,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括: 来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。 二、信息安全建设的原则及等级划分 (一)信息安全原则 信息安全是一项结合规划、管理、技术等多种因素的系统工程,是一个持续、动态发展的过程。技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。 信息安全的原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。 ` (二 )信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素,信息系统的安全保护共分为五等级: 第一级为自主保护级 第二级为指导保护级
第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 (二)》 (三)信息安全等级评估 决定信息系统重要性等级时应考虑以下因素: 1、系统所属类型,即信息系统的安全利益主体。 2、信息系统主要处理的业务信息类别。 3、系统服务范围,包括服务对象和服务网络覆盖范围。 4、业务依赖程度,或以手工作业替代信息系统处理业务的程度。 三、信息安全规划内容 (一)) (二)信息安全体系及其特点 信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。安全管理体系是由安全管理组织、人员安全管理、系统建设管理、系统运维管理和安全审计管理 5个部分组成。 安全技术体系的主要目的是为信息系统提供各种技术安全机制,主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。 安全技术体系是由基础设施安全、网络安全、主机安全、应用安全和数据安全5个层面组成。 (三)建立信息安全管理体系(简称 ISMS),具体内容如下: 计划(PLAN):建立ISMS。建立ISMS的政策、目标、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策和目标相一致。
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
网络信息安全基础知识培训学习
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
2020信息安全管理制度
信息安全管理制度 1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。 2.范围 2.1 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 2.2 软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 2.3 终端机的网络系统配置包括终端机在网络上的名称,IP地址分配,用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 2.4 系统软件是指: 操作系统(如 WINDOWS XP等)软件。 2.5平台软件是指:设计平台工具(如AUTOCAD等)、办公用软件(如OFFICE)等平台软件。 2.6管理软件是指:生产和财务管理用软件(如用友U8软件)。 2.7基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。 3.职责 3.1 公司设立信息管理部门,直接隶属于分管生产副总经理,设部门经理一名。 3.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 3.3 负责系统软件的调研、采购、安装、升级、保管工作。 3.4 负责软件有效版本的管理。 3.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 3.6 信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全
运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、生产、设计、采购、销售等)。 3.7 信息管理人员执行企业保密制度,严守企业商业机密。 3.8员工执行计算机安全管理制度,遵守企业保密制度。 3.9系统管理员的密码必须由信息管理部门相关人员掌握。 3.10 负责公司网络系统基础线路的实施及维护。 4.管理 4.1网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》〔附录A〕。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》〔附录B〕上。部门负责人要跟踪检查处理结果。 4.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或年度数据的刻盘备份等) 4.1.4 定时维护OA服务器,及时组织清理邮箱,保证服务器有充足空间,OA系统能够正常运行。 4.1.5 维护Internet 服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。 4.1.6 制定服务器的防病毒措施,及时下载最新的防病毒疫苗,防止服务器受病毒的侵害。 4.2 客户端维护 4.2.1 按照人事部下达的新员工(或外借人员)姓名、分配单位、人员编号为新的计算机用户分配计算机名、IP地址等。
信息安全培训及教育管理办法(含安全教育和培训记录表技能考核表)
信息安全培训及教育管理办法
第一章总则 第一条为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略主要明确公司信息安全培训及教育工作的内容及相关人员的职责。对公司人员进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练;确保公司信息安全策略、规章制度和技术规范的顺利执行,从而最大限度地降低和消除安全风险。 第二条本策略适用于公司所有部门和人员。 第二章信息安全培训的要求 第三条信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训。 第四条分层次培训是指对不同层次的人员,如对管理层(包括决策层)、信息安全管理人员,系统管理员和公司人员开展有针对性和不同侧重点的培训。 第五条分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息安全培训要采用内部和外部结合的方式进行。 一、管理层(决策层) 第六条管理层培训目标是明确建立公司信息安全体系的迫切性和重要性,获得公司管理层(决策层)有形的支持和承诺。
第七条管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 二、信息安全管理人员 第八条信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 第九条信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。 三、公司系统管理员 第十条公司系统管理员培训目标是掌握各系统相关专业安全技术,协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 第十一条公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 四、公司人员 第十二条公司人员培训目标是了解公司相关信息安全制度和技术规范,有安全意识,并安全、高效地使用公司信息系统。 第十三条公司人员培训方式应主要采取内部培训的方式。
5步构建信息安全保障体系
5步构建信息安全保障体系 随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论,也称 “1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
信息安全基础知识培训考试答案
信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打 开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息 安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、系统主机、工作站、PC机、操作 系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括( A B C ) A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面(ABC) A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要
C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 “上传下载”的应用存在的风险包括(ABC)在工作当中,、3. A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括( ABCDE ) A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使 用安全E防病毒 5、信息安全管理现状已有的措施包括( ABCD ) A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。( X ) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功
7-信息安全培训与考核管理规定
信息安全培训与考核管理规定 第一章总则 第一条为了加强医院信息安全培训与考核工作,特制定本办 法。 第二条本办法适用医院信息安全培训与考核工作。 第二章目的和范围 第三条培训的目的:为提高单位职工普遍的安全意识,使单位职工充分了解信息化安全策略,掌握基本的安全防范方法,确保信息化系统的安全稳定运行。 第四条培训的人员范围: 全院职工: ●信息安全意识培训; ●安全策略、安全制度培训; ●信息化安全相关的法律法规培训; ●防病毒知识培训等。 信息化技术员工(信息化关键岗位技术员工):
计算机病毒及防治知识培训; ●安全攻防知识培训; ●操作系统的安全培训; ●安全运维、安全监控; ●主流安全设备的使用; ●安全管理培训等。: 第三章培训与考核的管理 第五条信息安全培训工作(包括培训需求收集、实施和记录等)由信息管理部门负责;信息管理部门定期向各科室、处属单位收集培训需求,组织培训并做好培训记录。 第六条针对信息化技术员工,提供脱岗培训方式。邀请信息化安全专业机构或者取得一定资质的主流安全设备供应商对信息化技术员工进行脱岗培训,以提高其自身水平。针对非信息化技术人员,提供在岗培训方式。定期或不定期由信息管理部门组织进行安全培训,从而提高安全意识和自我安全防护能力。 第四章培训内容 第七条计算机网络安全知识培训的内容包括但不仅限于:网络的基本安全对策、常见的信息网络安全问题、网络安全
隐患、信息系统安全风险管理的方法、计算机信息系统安全事故的查处和管理、计算机犯罪的防范等计算机网络安全保护的相关知识。另外其它方面: ●计算机的安全使用知识; ●信息安全策略、制度; ●信息化安全的相关法律、法规; ●计算机病毒及防治知识; ●安全攻防知识; ●主流安全设备使用和管理知识等。 第五章培训考核办法 第八条为提高培训效率,量化衡量培训质量,在每次培训后都要对参与培训人员进行考核。考核分为书面考核和应用考核方式。考核成绩不合格者,应限制其使用信息化平台,直至考核合格。 第九条培训记录的保存,为每一位职工建立培训记录表,主要记录以下内容: ●参与了哪些培训; ●培训的时长; ●培训的考核结果;
信息安全管理政策和业务培训制度(最新版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 信息安全管理政策和业务培训 制度(最新版) Safety management is an important part of production management. Safety and production are in the implementation process
信息安全管理政策和业务培训制度(最新 版) 第一章信息安全政策 一、计算机设备管理制度 1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非
我司技术人员进行维修及操作。 二、操作员安全管理制度 1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置. 2.系统管理操作代码的设置与管理: (1)、系统管理操作代码必须经过经营管理者授权取得; (2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; (3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; (4)、系统管理员不得使用他人操作代码进行业务操作; (5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 3.一般操作代码的设置与管理 (1)、一般操作码由系统管理员根据各类应用系统操作要求生
信息安全管理体系建立方案
信息安全管理体系建立方案 (初稿) 信息技术部 2012年2月
随着企业的发展状大,信息安全逐渐被集团高层所重视,但直到目前为止还没有一套非常完善的信息安全管理方案,而且随着新技术的不断涌现,安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。 作为天一药业集团的新兴部门,信息技术部存在的意义绝对不是简单的电脑维修,它存在的意义在于要为企业建设好信息安全屏障,保护企业的信息安全,同时通过信息交互平台,简化办公流程,提高工作效率,这才是部门存在的目的和意义,信息技术部通过不断的学习,研究,通过大量的调研,终于开始着手建立属于天一药业自己的信息堡垒。 企业信息安全主要包括了四个方面的容,即实体安全、运行安全、信息资产安全和人员安全,信息技术部将从这四个方面详细提出解决方案,供领导参考,评议。 一、实体安全防护: 所谓实体安全就是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全: 1、环境安全: 每个实体都存在于环境当中,环境的安全对于实体来讲尤为重要,但对于环境来讲要想做到100%的安全那
是不现实的,因为环境是在不断的变化的,所以我们只能做到相对的安全,对于天一集团来讲,集团及各子厂所在的地理位置即称之为环境,计算机实体设备都存放于这个环境之中,所以要求集团及各子厂的办公楼要具备一定的防灾(防震,防火,防水,防盗等)能力。 机房作为服务器所在的环境,要求机房要具备防火、防尘、防水、防盗的能力,所以根据现用《机房管理制度》要求,集团现用机房的环境除不具备防尘能力外,基本上仍能满足环境安全条件。 2、设备及媒体安全: 计算机设备、设施(含网络)、媒体设备的安全需要具备一定的安全保障,而为了保障设备安全,首先需要确定设备对象,针对不同的管理设备制订相应的保障条例,比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产,应对散件加强管理,每次固定资产盘点时应仔细核对其配置信息,而不是只盘点主机数量。同时为了保障机器中配件的安全,需要对所有设备加装机箱锁,由信息技术部,行政部共同掌握钥匙。 散件的使用情况必须建立散件库台帐,由信息技术部管理,行政部将对信息部进行监督。 对于移动设备(笔记本、移动硬盘、U盘等)不允许带离集团,如必须带离集团需要经信息部、行政
信息安全管理体系iso27基本知识
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
信息安全教育培训管理制度
信息安全教育培训管理制度 第一条为加强我局信息安全建设,提高全体税务干部的信息安全意识和技能,保障我局信息系统安全稳定的运行,特制定本制度。 第二条信息安全培训旨在强化我局全体税务干部的信息安全意识,使之明确信息安全是每个人的责任,并掌握其岗位所要求的信息安全操作技能。 第三条针对不同的培训对象进行分层次的培训,信息安全培训分为管理层培训、技术层培训和普通用户层培训三个层面,分层培训内容的参考范围和需达到的标准如下: 一、管理层信息安全培训 (一)对象:市局、各区县局的各级领导。 (二)内容:宏观信息安全管理理念及高级信息安全管理知识。 (三)标准:使管理层人员能够了解其信息安全职责,具备其工作所需的信息安全管理知识和信息安全管理能力。 二、技术层信息安全培训 (一)对象:各级信息化管理部门的各类技术管理人员。 (二)内容:系统安全策略;内部和外部攻击的检测;常用计算机及网络安全保护手段、日常工作中需要注意的信息安全方面的事
项;《北京市地方税务局信息系统安全管理框架》下包括的所有制度内容。 (三)标准:使技术层人员能够了解其所从事岗位的信息安全职责,熟悉与其工作相关的各项信息安全制度,具备工作所需的信息安全知识和技能。 三、普通用户层信息安全培训 (一)对象:全局的普通计算机用户。 (二)内容:所在岗位的信息安全职责;计算机病毒预防和查杀的基本技能;计算机设备物理安全知识和网络安全常识;《北京市地方税务局信息系统安全管理框架》下的所有普通用户应掌握和了解的制度内容。 (三)标准:使普通用户了解其信息安全职责,熟悉与工作相关的各项信息安全制度,具备工作所需的信息安全知识和技能。 第四条各单位信息安全管理部门和人事教育部门负责每年制定管理层和普通用户层的信息安全培训计划
信息安全管理手册范本
信息安全管理手册 (一)发布说明 为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。 信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 XXXX 局长 _________________ 年月日 (二)授权书 为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系; ?负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; ?负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; ?负责XXXX信息安全管理体系对外联络工作。 (三)信息安全要求 1.具体阐述如下: (1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX建立可持续改进的信息安全管理体系。 (2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。 (3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。 (4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。 (5)贯彻风险管理的理念,定期对“门户”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。 (6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。 2.信息安全总体要求 (1)建立XXXX信息化资产(软件、硬件、数据库等)目录。 (2)“门户”信息系统,按照等级保护要求进行建设和运维。各单位自建的网络、和信息系统参照执行。
信息安全基础知识培训试题
信息安全基础知识培训试题 一、 填空题:每空 分共 ?分 、电脑要定期更换(密码 )、定期( 杀毒),对不明邮件不要轻易(打开 )。 、信息安全的基本特征是(相对性)、(时效性)、 (复杂性)、配置相关性、攻击的不确定性。 、 ?人 ?是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 、绝对的?信息安全 ?是不存在的,每个网络环境都有一定程度的漏洞和(风险 )。 、 信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、 (网络设备)、系统主机、工作站、 ?机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共 ?分 、 信息安全三要素包括( ? ) ? 机密性 完整性 可用性 安全性 、信息安全的重要性体现在以下方面(AB ) ? 信息安全是国家安全的需要 ? 信息安全是组织持续发展的需要 信息安全是保护个人隐私与财产的需要 ? 信息安全是维护企业形象的需要 、 在工作当中,“上传下载”的应用存在的风险包括(ABC) ? 病毒木马传播 身份伪造 机密泄露 网络欺诈
、客户端安全的必要措施包括( ????? ) ?安全密码 安全补丁更新 个人防火墙 应用程序使用安全 E防病毒 、信息安全管理现状已有的措施包括( ???? ) ? 兼职的安全管理员 物理安全保护 机房安全管理制度 资产管理制度 三、判断题:每题 分共 ?分 、电子商务应用不可能存在账号失窃的问题。( ? ) 、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。( √ ) 、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 、超过 ??的信息安全事件,如果事先加强管理,都可以得到避免。(√) 、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。( √ ) 、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。( ? )