IT服務(wù)管理體系實(shí)踐之信息安全管理

梁藝軍，高 強(qiáng)

（中國人民大學(xué) 網(wǎng)絡(luò)與教育技術(shù)中心，北京 100872）

IT服務(wù)管理體系實(shí)踐之信息安全管理

梁藝軍，高 強(qiáng)

（中國人民大學(xué) 網(wǎng)絡(luò)與教育技術(shù)中心，北京 100872）

本文在信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)信息安全管理作出了有益的探索，除信息安全管理的原則外，文中還對(duì)信息安全管理的主要因素分別作出包括目標(biāo)和方針的簡(jiǎn)要解釋，并給出了與之相關(guān)的管理文檔名稱和應(yīng)包含的主要內(nèi)容。

信息安全；安全風(fēng)險(xiǎn)評(píng)估；信息安全因素

一、引言

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)與應(yīng)用的不斷發(fā)展，數(shù)字化校園方興未艾，給學(xué)校的教學(xué)、科研和管理工作帶來了諸多便捷，但是另一方面，伴隨而來的計(jì)算機(jī)系統(tǒng)安全問題越來越引起人們的關(guān)注。信息安全管理不是一個(gè)簡(jiǎn)單的技術(shù)問題，而是一個(gè)復(fù)雜的系統(tǒng)工程，應(yīng)把信息安全管理與信息安全技術(shù)手段結(jié)合起來，對(duì)高校系統(tǒng)中的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的規(guī)劃和綜合考慮，并兼顧環(huán)境和系統(tǒng)內(nèi)部不斷發(fā)生的變化，建立系統(tǒng)化的管理體系。根據(jù)國家網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)的要求，網(wǎng)絡(luò)與信息安全包括兩大部分：技術(shù)問題和管理制度。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)表明：網(wǎng)絡(luò)與信息安全事件大約有70%以上的問題是由管理因素造成的，諸如政策法規(guī)的不完善、管理制度的不健全、安全意識(shí)的淡薄和操作過程的失誤等，“三分技術(shù)，七分管理”。管理是貫穿信息安全整個(gè)過程的生命線。

二、安全管理的原則

為了保證對(duì)用戶提供的服務(wù)和用戶自身信息系統(tǒng)安全管理的一致性，在對(duì)信息系統(tǒng)的規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)和變更廢棄進(jìn)行安全性考慮時(shí)，應(yīng)充分遵循以下安全原則。

（1）全面統(tǒng)籌原則：信息安全保障工作貫穿于信息化全過程，堅(jiān)持統(tǒng)籌規(guī)劃、突出重點(diǎn)，安全與發(fā)展并進(jìn)，管理與技術(shù)并重，應(yīng)急防御與長(zhǎng)效機(jī)制相結(jié)合；

（2）規(guī)范化原則：遵循國內(nèi)、國際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范，對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)；

（3）責(zé)任制原則：對(duì)用戶的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作實(shí)行“誰主管誰負(fù)責(zé)”、“預(yù)防為主、綜合治理”、“制度防范和技術(shù)防范相結(jié)合”的原則，加強(qiáng)制度建設(shè)，逐級(jí)建立計(jì)算機(jī)信息系統(tǒng)安全保護(hù)責(zé)任制；

（4）實(shí)用性原則：在確保信息安全的前提下，講究實(shí)效，避免重復(fù)投資和盲目投資，積極采用國家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)，降低成本，保障安全穩(wěn)定運(yùn)行。

以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等，進(jìn)一步分析建立信息安全管理體系應(yīng)包括的因素。

三、安全風(fēng)險(xiǎn)評(píng)估

通過安全風(fēng)險(xiǎn)評(píng)估，在堅(jiān)持科學(xué)、客觀、公正原則的基礎(chǔ)上，全面、完整地了解系統(tǒng)當(dāng)前的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，根據(jù)測(cè)評(píng)結(jié)果得出系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。

其目標(biāo)包括：了解系統(tǒng)的安全現(xiàn)狀；分析系統(tǒng)的安全需求；制定安全策略和實(shí)施安全措施的依據(jù)。

方針包括：對(duì)重要信息資產(chǎn)進(jìn)行威脅和弱點(diǎn)的分析和評(píng)估，并結(jié)合法律法規(guī)的要求，制定并執(zhí)行適當(dāng)?shù)娘L(fēng)險(xiǎn)處理計(jì)劃，以緩解所識(shí)別的信息安全風(fēng)險(xiǎn)。

主要工作任務(wù)包括：對(duì)需要評(píng)估的系統(tǒng)進(jìn)行調(diào)研、方案編寫、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。評(píng)估人員要遵循相應(yīng)的國家政策文件和實(shí)施指南，憑借對(duì)國家政策、理論的深刻理解和豐富的項(xiàng)目經(jīng)驗(yàn)，對(duì)學(xué)校重要信息系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，及時(shí)、準(zhǔn)確地掌握被評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，為相關(guān)管理部門制定安全策略、采取安全措施提供決策支持。

測(cè)評(píng)依據(jù)的政策文件包括：《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）；《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》（2006)北京市政府令第163號(hào)；北京市《關(guān)于落實(shí)〈中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)國家信息化工作領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見通過〉的實(shí)施計(jì)劃》（2004）3號(hào)。

四、安全管理因素分析

安全管理因素應(yīng)包括人員安全、物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和惡意軟件防護(hù)，所有這些構(gòu)成了安全管理的基礎(chǔ)。其中實(shí)現(xiàn)方式應(yīng)從管理制度和技術(shù)兩方面入手。以下分別對(duì)各個(gè)因素做一簡(jiǎn)要分析。

1．人員安全

目標(biāo)：降低人為差錯(cuò)、盜竊、欺詐或?yàn)E用設(shè)施的風(fēng)險(xiǎn)。

方針：應(yīng)制定并實(shí)施對(duì)員工與合同工等能訪問部門IT資產(chǎn)人員的甄選、定位與監(jiān)管的政策與規(guī)定。人員安全的目標(biāo)是確保員工行為符合要求并能夠忠于職守，提高對(duì)安全事務(wù)的認(rèn)識(shí)程度。

為了加強(qiáng)學(xué)校信息安全保障能力，建立健全學(xué)校的安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在學(xué)校安全體系框架下，應(yīng)制定《組織體系和職責(zé)》，主要描述學(xué)校各院、系，機(jī)關(guān)各部、處及直、附屬單位安全組織體系的結(jié)構(gòu)及其在安全組織體系中承擔(dān)的職責(zé)。

另外，《安全崗位人員管理辦法》是學(xué)校信息安全組織體系的重要組成部分，其詳細(xì)描述了學(xué)校各安全崗位人員的管理考核辦法；專、兼職安全管理員的崗位技能要求，及崗位工作內(nèi)容；單位安全崗位人員的錄用、審計(jì)、調(diào)動(dòng)、離職等人員安全控制管理。

2．物理安全

目標(biāo)：防止信息資產(chǎn)的損失、損壞或泄露及生產(chǎn)活動(dòng)的中斷；防止未經(jīng)授權(quán)的活動(dòng)對(duì)工作場(chǎng)所和信息的訪問、干擾及破壞。

方針：重要生產(chǎn)設(shè)備，諸如服務(wù)器，路由器及防火墻等，應(yīng)遵循信息資產(chǎn)管理方針被識(shí)別及管理，并被置于安全場(chǎng)所以減少物理及環(huán)境威脅。

《機(jī)房運(yùn)行管理制度》主要規(guī)定了學(xué)校機(jī)房日常運(yùn)行維護(hù)的職責(zé)、機(jī)房日常運(yùn)行維護(hù)工作內(nèi)容，包括機(jī)房人員管理、設(shè)備管理、日常巡檢等內(nèi)容。

3．網(wǎng)絡(luò)安全

目標(biāo)：通過對(duì)網(wǎng)絡(luò)信息及其支持設(shè)施的保護(hù)，保護(hù)網(wǎng)絡(luò)傳輸信息的機(jī)密性和完整性，并按要求維護(hù)網(wǎng)絡(luò)服務(wù)的可用性。

方針：對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)控、管理和追蹤，以確保網(wǎng)絡(luò)傳輸信息的機(jī)密性，以及對(duì)所連接服務(wù)的授權(quán)訪問。包括制定網(wǎng)絡(luò)使用策略、安全策略及操作規(guī)程，以及相關(guān)規(guī)范等。

《網(wǎng)絡(luò)安全管理規(guī)范》闡述了在對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)時(shí)需要遵守的安全規(guī)范。包括在網(wǎng)絡(luò)冗余、地址分配、網(wǎng)絡(luò)傳輸、路由控制方面需要執(zhí)行的安全標(biāo)準(zhǔn)。

4.系統(tǒng)安全

目標(biāo)：數(shù)據(jù)安全管理旨在降低由于未授權(quán)的訪問、信息泄露、數(shù)據(jù)損壞對(duì)部門數(shù)據(jù)造成的威脅。

方針：數(shù)據(jù)安全管理包括訪問、存儲(chǔ)、傳輸、處理和借用數(shù)據(jù)的安全管理，應(yīng)針對(duì)基于風(fēng)險(xiǎn)分析的數(shù)據(jù)分級(jí)制定安全規(guī)范與策略。根據(jù)不同數(shù)據(jù)類型的不同機(jī)密性要求，進(jìn)行不同程度的機(jī)密性保護(hù)，確保數(shù)據(jù)不被泄漏和竊取。

《主機(jī)操作系統(tǒng)安全規(guī)范》的目的是指導(dǎo)主機(jī)操作系統(tǒng)的安全配置。各類主機(jī)操作系統(tǒng)由于設(shè)計(jì)缺陷，不可避免地存在著各種安全漏洞而帶來安全隱患。如果沒有對(duì)操作系統(tǒng)進(jìn)行安全配置，操作系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)不能達(dá)到它的安全設(shè)計(jì)級(jí)別。絕大部分的入侵事件都是利用操作系統(tǒng)的安全漏洞和不安全配置的隱患得手的。為提高操作系統(tǒng)的安全性，確保系統(tǒng)安全高效運(yùn)行，必須對(duì)操作系統(tǒng)進(jìn)行安全配置。各業(yè)務(wù)系統(tǒng)管理員可根據(jù)規(guī)范和業(yè)務(wù)情況制定各主機(jī)操作系統(tǒng)的安全配置規(guī)程。從而規(guī)范主機(jī)操作系統(tǒng)的安全配置，提高主機(jī)操作系統(tǒng)的抗攻擊能力，提高主機(jī)操作系統(tǒng)的性能，提高主機(jī)操作系統(tǒng)的穩(wěn)定性。

《運(yùn)行維護(hù)管理辦法》規(guī)范了系統(tǒng)管理員的組織職責(zé)、操作程序和操作記錄、登錄規(guī)程和口令管理，并定期進(jìn)行安全巡查。

5．?dāng)?shù)據(jù)安全

目標(biāo)：為確保環(huán)境數(shù)據(jù)（包括數(shù)據(jù)庫系統(tǒng)、用戶數(shù)據(jù)和數(shù)據(jù)傳輸）的安全，對(duì)各級(jí)數(shù)據(jù)系統(tǒng)用戶進(jìn)行統(tǒng)一安全管理。

方針：加強(qiáng)和完善對(duì)系統(tǒng)數(shù)據(jù)庫及數(shù)據(jù)的日志管理。實(shí)現(xiàn)數(shù)據(jù)備份的完整性和可用性，通過采用最小化原則加強(qiáng)對(duì)各級(jí)數(shù)據(jù)庫用戶的權(quán)限訪問進(jìn)行嚴(yán)格審查和控制。

《數(shù)據(jù)安全規(guī)范》應(yīng)闡述學(xué)校數(shù)據(jù)的分級(jí)、標(biāo)注及處置；數(shù)據(jù)的存儲(chǔ)安全、數(shù)據(jù)傳輸?shù)陌踩?shù)據(jù)安全等級(jí)變更；數(shù)據(jù)備份和恢復(fù)；以及與數(shù)據(jù)保護(hù)密切相關(guān)的密碼和密鑰安全。根據(jù)數(shù)據(jù)資產(chǎn)的特點(diǎn)，學(xué)校所屬數(shù)據(jù)信息資產(chǎn)的安全等級(jí)劃分遵循和參考以下原則：

（1）數(shù)據(jù)的保密性原則，即訪問數(shù)據(jù)所需要的授權(quán)和認(rèn)證。

（2）數(shù)據(jù)的完整性原則，即只有在獲得認(rèn)證和授權(quán)的情況下才能對(duì)數(shù)據(jù)進(jìn)行修改和變更。

（3）數(shù)據(jù)的可用性原則，即能在任何需要的時(shí)候獲取所需數(shù)據(jù)。

6．應(yīng)用安全

目標(biāo)：通過規(guī)范單位應(yīng)用系統(tǒng)從需求、設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收過程中的安全問題，以及應(yīng)用系統(tǒng)使用中的安全問題，達(dá)到提高單位應(yīng)用安全水平的目的。

方針：網(wǎng)絡(luò)與信息系統(tǒng)的安全控制或安全性是通過系統(tǒng)的開發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的，在設(shè)計(jì)階段采取控制措施遠(yuǎn)比在實(shí)施過程中或者實(shí)施結(jié)束之后落實(shí)控制措施更廉價(jià)。若在系統(tǒng)設(shè)計(jì)階段未充分考慮系統(tǒng)的安全性，則系統(tǒng)本身就存在著先天不足。因此，應(yīng)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)（包括為最終用戶開發(fā)的程序）的開發(fā)與維護(hù)階段，正確識(shí)別、確認(rèn)、批準(zhǔn)所有安全需求（包括備用安排，如手工方式），并將之文檔化。

《應(yīng)用系統(tǒng)安全規(guī)范》涉及的主要內(nèi)容包括：?jiǎn)挝粦?yīng)用系統(tǒng)的需求、設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收過程注意的安全問題；單位應(yīng)用系統(tǒng)在用戶管理和訪問控制方面應(yīng)該注意的問題；以及單位應(yīng)用系統(tǒng)安全審計(jì)等。其依據(jù)以下原則：

（1）在安全體系設(shè)計(jì)時(shí)，要充分考慮“應(yīng)用安全實(shí)現(xiàn)的可控性”，以便盡可能地降低安全系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合過程的風(fēng)險(xiǎn)。

（2）保持安全系統(tǒng)與應(yīng)用系統(tǒng)的相互獨(dú)立性，避免功能實(shí)現(xiàn)上的交叉或跨越。

（3）避免程序級(jí)別的低層接口，免除兩者結(jié)合時(shí)應(yīng)用系統(tǒng)的二次編程開發(fā)。

（4）增強(qiáng)安全系統(tǒng)的適用性，最大程度地提供便捷可靠的結(jié)合方式。

（5）建立完善的安全控制機(jī)制，包括：用戶標(biāo)識(shí)與認(rèn)證、邏輯訪問控制、公共訪問控制、審計(jì)與跟蹤等。

7．惡意軟件防護(hù)

目標(biāo)：惡意軟件包括但不限于木馬、蠕蟲，間諜軟件以及計(jì)算機(jī)病毒。惡意軟件管理旨在提高工作人員對(duì)惡意軟件的安全意識(shí)，以降低惡意軟件的危害。

方針：建立有效的計(jì)算機(jī)及其他移動(dòng)設(shè)備軟件病毒防護(hù)、發(fā)現(xiàn)及查殺機(jī)制。應(yīng)實(shí)施防止惡意軟件的偵查監(jiān)控與防護(hù)控制，并提高相關(guān)用戶防范意識(shí)。

《病毒防護(hù)管理辦法》規(guī)范學(xué)校病毒防護(hù)的安全管理，加強(qiáng)各單位信息服務(wù)器及辦公終端病毒的防護(hù)，確保系統(tǒng)的安全。

《安全策略管理辦法》規(guī)范學(xué)校安全策略的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實(shí)，建立科學(xué)、嚴(yán)謹(jǐn)?shù)墓芾磙k法。

《安全補(bǔ)丁管理辦法》規(guī)范信息系統(tǒng)安全補(bǔ)丁的識(shí)別和安裝過程，降低信息系統(tǒng)安全漏洞帶來的安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的抗攻擊能力。安全補(bǔ)丁的管理流程包括補(bǔ)丁的跟進(jìn)和通告、補(bǔ)丁的獲取、補(bǔ)丁的測(cè)試、補(bǔ)丁的加載、補(bǔ)丁的驗(yàn)證和補(bǔ)丁的歸檔，必須按照流程逐步落實(shí)。

五、結(jié)束語

制度建設(shè)是安全前提。通過推行規(guī)范化管理，克服傳統(tǒng)管理中憑借個(gè)人的主觀意志驅(qū)動(dòng)管理模式，不會(huì)因?yàn)槿藛T的去留而改變，先進(jìn)的管理方法和經(jīng)驗(yàn)可以得到很好的繼承。☉

[1]Gad JSelig著，中治研國際信息技術(shù)研究院譯.實(shí)施IT治理：方法論、模型、全球最佳實(shí)踐[M].中國經(jīng)濟(jì)出版社.

[2]信息安全管理體系.http://baike.baidu.com/view/ 2944243.htm[DB/OL].

[3]GBT 22239-2008:信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[4]GBT 22240-2008.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S].

[5]ISO/IEC17799:Information technology-Code of practice for information security management[S].

[6]BS7799-2:Information security management-Specification for information security management systems[S].

[7]GB 17859-1999:計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].

[8]信息保障技術(shù)框架.Information Assurance Technical Framework（IATF）[S].

（編輯：楊馥紅）

G647

B

1673-8454(2011)17-0063-03