使用RSS邮天下订阅

分类

日历

登陆

最新文章

最新评论

回复

站点统计

友情链接

信息安全基本知识数则   
dgene  发表于2006/7/18 9:36:00

信息安全基本知识数则

说明:本文摘自中国国家标准GB/T 19716-2005《信息技术  信息安全管理实用规则》(MOD ISO/IEC 17799:2005)

1.什么是信息安全?
  像其他重要业务资产一样,信息也是一种资产。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务损害减至最小,使投资回报和业务机会最大。
  信息可能以各种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈现在胶片上或用言语表达。无论信息采用什么形式或者用什么方法存储或共享,都应对它进行适当地保护。
  信息安全在此表现为保持下列特征:
  a) 保密性:确保信息仅被已授权访问的人访问;
  b)完整性:保护信息及处理方法的准确性和完备性;
  c) 可用性:确保已授权用户在需要时可以访问信息和相关资产。
  信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。

2.为什么需要信息安全?
  信息和支持过程,系统和网络都是重要的业务资产。信息的保密性、完整性和可用性对维持竞争优势、现金流转、赢利、守法和商业形象可能是必不可少的。
  各组织及其信息系统和网络日益面临来自各个方面的安全威胁。这些方面包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或水灾。诸如计算机病毒、计算机黑客捣乱和拒绝服务攻击,已经变得更普遍、更有野心和日益高科技。
  对信息系统和服务的依赖意味着组织对安全威胁更为脆弱。公共网络和专用网络的互连和信息资源的共享增加了实现访问控制的难度。分布式计算的趋势已削弱集中式控制的有效性。
  许多信息系统已不再单纯追求设计成安全的,因为通过技术手段可获得的安全性是有限的。应该用合适的管理和规程给予支持。标识哪些控制要到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能还要求供应商、消费者或股票持有人的参与。外界组织的专家建议可能也是需要的。
  如果在制定要求规范和设计阶段把信息安全控制结合进去,那么,该信息安全控制就会更加经济和更加有效。

3.如何建立安全要求
  最重要的是组织标识出它的安全要求。有三个主要来源。
  第一个来源是由评估该组织的风险所获得的。通过风险评估,标识出对资产的威胁,评价易受威胁的脆弱性和威胁出现的可能性和预测威胁潜在的影响。
  第二个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同的要求。
  第三个来源是组织开发支持其运行的信息处理的特定原则、目标和要求的特定集合。

4.评估安全风险
  安全要求是通过安全风险的系统性评估予以标识。用于控制的经费需要针对可能由安全故障导致的业务损害加以平衡。风险评估技术可适用于整个组织,或仅适用于组织的某些部门,若这样做切实可行、现实和有帮助,该技术也适用于各个信息系统、特定系统部件或服务。
  风险评估要系统地考虑以下内容:
  a) 可能由安全故障导致的业务损害,要考虑到信息或其他资产的保密性、完整性或可用性丧失的潜在后果;
  b)从最常见的威胁和脆弱性以及当前所实现的控制来看,有出现这样一种故障的现实可能性。
  评估的结果将帮助指导和确定合适的管理行动,以及管理信息安全风险和实现所选择控制的优先级,以防范这些风险。评估风险和选择控制的过程可能需要进行许多次,以便涵盖组织的不同部门或各个信息系统。
  重要的是对安全风险和已实现的控制进行周期性评审,以便:
  a) 考虑业务要求和优先级的变更;
  b)考虑新的威胁和脆弱性;
  c) 证实控制仍然维持有效和合适。
  根据先前评估的结果评审宜在不同深度级别进行,以及在管理层准备接受的更改风险级别进行。作为高风险区域优化资源的一种手段,风险评估通常首先在高级别进行,然后在更细的级别进行,以提出具体的风险。

5.选择控制
  一旦安全要求已被标识,则应选择并实现控制,以确保风险减少到可接受的程度。控制可以从本标准或其他控制集合中选择,或者当合适时设计新的控制以满足特定需求。有许多不同的管理风险的方法,本标准提供常用方法的若干例子。然而,需要认识到有些控制不适用于每种信息系统或环境,并且不是对所有组织都可行。作为一个例子,8.1.4描述如何分割责任,以防止欺诈或出错。在较小的组织中分割所有责任是不太可能的,获得相同控制目标的其他方法可能是必要的。作为另一个例子,9.7和12.1描述如何监督系统使用及如何收集证据。所描述的控制,例如事件记录可能与适用的法律相冲突,诸如消费者或在工作场地内的隐私保护。
  控制应根据与风险减少相关的实现成本和潜在损失(如果安全违规出现)予以选择。也应考虑诸如丧失信誉等非金钱因素。
  本标准中的某些控制可认为是信息安全管理的指导原则,并且可用于大多数组织。下面在题为“信息安全起点”中更详细解释这些控制。

6.信息安全起点
  许多控制可认为是为实现信息安全提供良好起点的指导原则。它们或者是基于重要的法律性要求,或者被认为是信息安全常用的最佳惯例。
  从法律的观点看,对某个组织重要的控制包括:
  a)个人信息的数据保护和隐私;
  b)保护组织的记录;
  c) 知识产权。
  认为是信息安全常用最佳惯例的控制包括:
  a) 信息安全策略文档;
  b)信息安全职责的分配;
  c) 信息安全教育和培训;
  d)报告安全事故;
  e) 业务连续性管理。
  这些控制适用于大多数组织和环境。应注意,虽然本标准中的所有控制都是重要的,但是从某个组织正面临的特定风险来看,应确定任一控制的贴切性。因此,虽然上述方法被认为是一种良好的起点,但它并不取代选择基于风险评估的控制。

7.关键的成功因素
  经验已经表明下列因素通常对某个组织能否成功实现信息安全是关键的:
  a) 反映业务目标安全策略、目的以及活动;
  b)符合组织文化的实现安全的方法;
  c) 来自管理层的可视支持和承诺;
  d)正确理解安全要求、风险评估和风险管理;
  e) 向所有管理者和员工传达有效的安全需求;
  f) 向所有员工和合同商分发关于信息安全策略和标准的指导;
  g)提供合适的培训和教育;
  h)有一个综合和平衡的度量系统,它可用来评估信息安全管理的执行情况以及反馈改进建议。

信息安全管理实用规则ISO/IEC17799介绍   
dgene  发表于2006/7/18 14:48:00

信息安全管理实用规则ISO/IEC17799介绍

 

  近年来,每天都有许多信息安全被破坏的报告。如何评定安全风险?如何建立安全要求?应该选择哪些控制方法来确保将风险减少到可以接受的程度?基于BS7799上的ISO/IEC17799信息安全新标准,将是您确保安全的不二法门……

  信息安全的主要内容为保密性、完整性和可用性,并对维持组织的竞争优势、现金流转、赢利、守法和商业形象起着至关重要的作用。然而,各组织及其信息系统和网络正面临着广泛来源的安全威胁,这些威胁不仅包括计算机辅助欺诈、间谍活动、破坏、火灾或水灾,还包括了诸如计算机病毒、黑客捣乱、DoS攻击等等。随着对信息系统和服务的依赖程度的增加,组织面对安全威胁将更为脆弱。

  ISO/IEC17799作为信息安全管理实用规则,针对信息安全管理给出了详细的、文件化的、易操作的建议,给组织的信息安全管理提供了最佳实践指导。

  
标准的十个方面

  
  信息安全管理实用规则ISO/IEC17799的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出、1995年5月修订而成,并于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。

  ISO/IEC17799(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。ISO/IEC17799包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:

  (1)安全政策:制定信息安全方针,为信息安全提供管理指导和支持。

  (2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。

  (3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。

  (4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。

  (5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。

  (6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。

  (7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。

  (8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。

  (9)业务持续性管理:目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。

  (10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。

发表评论:

    昵称:
    密码:
    主页:
    标题: