【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《系统集成项目信息系统安全管理》,欢迎阅读!
系统集成项目信息系统安全管理
17.1信息安全管理
17.1。1信息安全含义及目标 1.信息安全定义
现代社会已经进入了信息社会,其突出的特点表现为信息的价值在很多方面超过其 信息处理设施包括信息载体本身的价值,例如一台计算机上存储和处理的信息价值往往 超过计算机本身的价值。另外,现代社会的各类组织,包括政府、企业,对信息以及信 息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多政府及 企事业单位的业务也就无法运营了.
现代信息社会对于信息的安全提出了更高的要求,对信息安全的内涵也不断进行延 伸和拓展。国际标准ISO/IEC27001: 2005《信息技术.安全技术.信息安全管理体系.要求》
标准中给出目前国际上的一个公认的信息安全的定义:“保护信息的保密性、完整性、可 用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性.” 2.信息安全属性及目标
(1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特 性.”简单地说,就是确保所传输的数据只被其预定的接收者读取.保密性的破坏有多种 可能,例如,信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来 实现。 ·网绺安全协议。’ ·网络认证服务。 ·数据加密服务。
(2)完整性。是指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的 数据就是发送的数据.数据不应该被改变,这需要某种方法去进行验证。确保数据完整 性的技术包括: ·消息源的不可抵赖。 ·防火墙系统。 ·通信安全。 ·入侵检测系统
(3)可用性。是指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在 需要时可以使用.尽管传统上认为可用性并不属于信息安全的范畴,但随着拒绝服务攻 击的逐渐盛行,要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以 下几个方面. ·磁盘和系统的容错及备份。 ·可接受的登录及进程性能。 ·可靠的功能性的安全进程和机制。
保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常 被称为信息安全三元组,这也是信息安全通常所强调的目标。 (4)其他属性及目标。
另外,信息安全也关注一些其他特性:真实性一般是指对信息的来源进行判断,能 对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该
实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违 规事件提供了可能性。不可抵赖性是指建立有效的责任机制,防止用户否认其行为,这 一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和给定的条件下,无 故障完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安 全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义来说,凡是涉及网 络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息 安全的研究领域.
17。1.2信息安全管理的内容
ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信 息安全管理系列标准,它包括ISO/IEC27001《信息技术.安全技术.信息安全管理体系. 要求》、ISO/IEC27002《信息技术一安全技术·信息安全管理体系·实践准则》等系列标准。 ISO/IEC27000系列标准是当前全球业界信息安全管理实践的最新总结,为各种类型的组 织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。
在ISO/IEC27000系列标准中,它将信息安全管理的内容主要概括为如下1 1个方面。 1.信息安全方针与策略
为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理 者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方 针来表明对信息安全的支持和承诺。 2.组织信息安全
要建立管理框架.以启动和控制组织范围内的信息安全的实施。
管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实 施。需要时,在组织范围内建立信息安全专家库,发展与外部安全专家或组织(包括相 关政府机构)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并在处理信息安 全事件时,提供合适的联络渠道,并鼓励多学科的信息安全方法。
同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的 安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降 低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。 若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施,或从外部 各方获得产品或服务或向外部各方提供产品和服务时,就需要进行风险评估,以确定安 全隐患和控制要求.在与外部各方签订的合同中要定义和商定控制措施。 3.资产管理
要对组织资产实现并维持适当的保护.
所有资产均应有人负责,并有指定的所有者。对于所有资产均要识别所有者,并且 要赋予维护相应控制的职责.具体控制的实施可以由所有者委派适当的人员承担,但所 有者仍拥有对资产提供适当保护的责任。 要确保信息可以碍到适当程度的保护。
应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度.信息 的敏感度和关键度是可变的.某些信息可能需要额外的保护或特别的处理。应使用信息 分类机制来定义适宜的保护水准和沟通特别处理措施的需求. 4.人力资源安全
要确保员工、合同方和第三方用户了解他们的责任并适合于其岗位,从而减少盗窃、 滥用或设施误用的风险。应在雇佣前就在岗位描述、雇用条款和条件中明确安全职责。
所有的应聘人员,包括员工、合同方和第三方用户,特别是敏感岗位的人员,应进行充 分的筛查。员工、合同方和信息处理设施的第三方用户均应就其安全角色和职责签署 协议。
应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的 责任和义务,并在他们的日常工作中能够支持组织的信息安全方针,减少人为错误的风 险.应确定管理职责来确保安全应用于组织内个人的整个雇佣期。为尽可能减小安全风 险,应对所有雇员、合同方和第三方用户提供关于安全程序以及正确使用信息处理设旌 的意识、教育和培训.并针对信息安全违规事件建立正式的处罚过程。
最后,要确保员工、合同方和第三方用户以一种有序的方式离开组织或工作变更。 应建立职责确保员工、合网方和第三方用户的离开组织是受控的,并确保他们已归还所 有设备并删除所有的访问权限.对于组织内的职责或工作变更也应参照上述做法实行类 似管理。
5.物理和环境安全
应舫止对组织办公场所和信息的非授权物理访问、破坏和干扰。关键或敏感的信息 处理设施要放置在安全区域内,并受到确定的安全边界的保护,包括采用适当的安全屏 障和入口控制。这些设施要在物理上避免未授权的访问、损坏和干扰.所提供的保护耍 与所识别的风险相匹配.
应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断。应保护设备 免受物理和环境的威胁.要对设备(包括非公司现场的设备和迁出的设备)进行保护以 减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备安置和处置。可能错耍 专门的控制措施来防止物理威胁以及保护支持性设施,诸如电源供应和电缆基础设施。 6.通信和操作安全
确保信息处理设施的正确和安全操作。应建立所有信息处理设施的管理和操作的职 责与程序,包括建立适宜的操作程序。适宜时,应实施职责分离,以减少疏忽或故意误 用系统的风险。
应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平.组 织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与 第三方商定的所有要求。
应最小化系统失效的风险。为确保足够能力和资源的可用性以提烘所需的系统性 能,需要预先的策划和准备.应做出对于未来容量需求的规划,以减少系统过载的风腧。 在新系统验收和使用之前,要建立该新系统的运行要求,并形成文件,进行测试。 应保护软件和信息的完整性。要求有预防措施,以防范和探测恶意代码和未授权的 移动代码的引入。软件和信息处理设施容易受到恶意代码(例如计算机病毒、网络蠕虫、 特洛伊木马和逻辑炸弹)的攻击。要让用户意识到恶意代码的危险.适用时,管理者要 引入控制,以防范、探测井删除恶意代码,并控制移动代码。
应保持信息和信息处理设施的完整性和可用性。应建立例行程序来执行商定的针对 数据备份以及及时恢复演练的备份策略和战略.
应确保网络中的信息和支持性基础设施得到保护。网络安全管理可能会跨越组织边 界,需要仔细考虑数据流动、法律要求、监视和保护。在数据通过公共网络进行传输时 要提供额外的保护.
应防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的中断。应控制介 质,并对其实施物理保护。应建立适当的操作程序以保护文件、计算机介质(如磁带、 磁盘)、输入输出数据和系统文档免遭未授权的泄露、修改、删除或破坏。
应维持组织内部或组织与外部组织之间交换信息和软件的安全。组织间佶息和软件
的交换应基于一个正式的交换策略,按照交换协议执行,还应服从任何相关的法律。应 建立程序和标准,以保护传输中的信息和包含信息的物理介质。
应确保电子商务的安全及其安全使用。应考虑与使用电子商务服务包括在线交易相 关的安全要求和控制措施要求。还应考虑通过公开可用系统以电子方式发布的信息的完 整性和可用性.
应探测未经授权的信息处理活动。应监视系统并记录信息安全事件。应使用操作员 日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守 所有相关法律的要求。应通过监视系统来检查所采用控制措施的有效性,并验证与访问 策略模型的一致性。 7.访问控制
应控制对信息的访问。对信息、信息处理设施和业务过程的访问应基于业务和安全 需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
应确保授权用户对信息系统的访问,并防止非授权访问。应有正式的程序来控制对 信息系统和服务的访问权限的分配。这些程序应覆盖用户访问生命周期内的所有阶段, 从新用户注册到不再要求访问信息系统和服务的用户的最终注销.适宜时,应特别注意 对有特权的访问权限的分配的控制需求,这种权限允许用户超越系统控制。
应防止未授权的用户访问,以及信息和信息处理设施的破坏或被盗。授权用户的合 作是有效安全的基础.用户应清楚其对维护有效的访问控制的职责,特别是关于口令使 用和用户设备安全的职责.应实施桌面清空和屏幕清空策略以减步对纸质文件、介质和 信息处理设施的未授权访问或破坏的风险.
防止对网络服务未经授权的访问。对内部和外部网络服务的访问均应加以控制.访 问网络和网络服务的用户不应损害网络服务的安全,应确保:
①在本组织的网络和其他组织拥有的网络或公共网络之间有合适的分界。 ②对用户和设备采用合适的认证机制。 ③对用户访问信息服务的控制.
应防止对操作系统的未授权访问.应采用安全设施来限制授权用户访问操作系统。 这些设施应能:
(1)按照确定的访问控制策略认证授权用户。 (2)记录成功和失败的系统认证尝试。 (3)记录专用系统特权的使用。
(4)当违背系统安全策略时发布警报。 (5)提供合适的认证手段.
(6)适宜时可限制用户的连接时间。
应防止对应用系统中信息的未授权访问.应采用安全设施限制对应用系统的访问以 及应用系统内部的访问。对应用软件和信息的逻辑访问应只限于授权的用户。应用系 统应限于:
(1)按照定义的访问控制策略,控制用户访问信息和应用系统功能。
(2)防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件 进行未授权访问.
(3)不损坏与其共享信息资源的其他系统的安全。
应确保在使用移动计算和远程工作设施时信息的安全.所要求的保护应与那些特定 工作方法引起的风险相匹配.当使用移动计算时,应考虑不受保护的环境中的工作风险, 并且要应用合适的保护。在远程工作的情况下,组织要把保护应用于远程工作场地,并 且对这种工作方式提供合适的安排。
8.信息系统的获取、开发和保持
应确保安全成为信息系统的一部分。信息系统包括操作系统、基础设施、业务应用、 非定制的产品、服务和用户开发的应用软件。支持业务过程的信息系统的设计和实施对 安全来说是至关重要的。在信息系统开发或实旆之前应识别并商定安全要求.所有安全 需求应在项目的需求阶段予以识别,证实其合理性,达成一致,并形成文档,作为信息 系统整个业务案例的一部分.
应防止应用系统中信息的错误、丢失、未授权的修改或误用.应用系统(包括用户 开发的应用)内应设计合适的控制以确保处理的正确性。这些控制应包括输入数据、内 部处理和输入数据的确认.对于处理敏感的、有价值的或关键的信息的系统或对上述信 息有影响的系统可以要求附加控制.应基于安全需求和风险评估来确定这些拉制措施。 应通过加密手段来保护信息的保密性、真实性或完整性。应该制定使用密码的策略。 应有密钥管理以支持密码技术的使用。
应确保系统文档的安全。要控制对系统文档和程序源代码的访问,并且IT项目和 支持活动应以安全的方式进行。应注意不能泄露测试环境中的敏感数据。
应维护应用系统软件和信息的安全。应严格控制项目和支持环境.负责应用系统的 管理人员也应负责项目和支持环境的安全。他们应确保评审所有提出的系统变更,以检 验这些变更既不损坏该系统也不损害操作环境的安全。
应减少由利用已发布的技术漏洞带来的风险.应该以一种有效的、系统的、可重复 的方式进行技术漏洞管理,同时采取测量以确定其有效性。这些考虑应包括在用的操作 系统和应用系统.
9.信息安全事件管理
确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行 沟通。应具有正式的事件报告和升级程序,所有的员工、合同方和第三方用户都应该知 道这套报告不同类别的事件和弱点的程序,而这些事件和弱点对组织的赉产安全可能具 有影响。应要求他们尽可能快地将信息安全事件和弱点报告给指定的联系点。
应确保使用一致、有效的方法管理信息安全事件。应建立职责和程序以有效地处理 报告韵信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持 续的改进。需要证据时,证据的收集应符合法律的要求。 10.业务持续性管理
应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的 影响并确保它们的及时恢复。应实施业务持续性管理过程以减少对组织的影响,并通过 预防和恢复控制措施的结合将信息资产的损失(例如,它们可能是灾难、事故、设备故 障和故意行动的结果)恢复到可接受的程度。这个过程需要识别关键的业务过程,并将 业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持 续性要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分 析。应建立和实施业务持续性计划,以确保基本运营能及时恢复.信息安全应该是整体 业务持续性过程和组织内其他管理过程的一个不可或缺的一个部分。除了通用的风险评 估过程外,业务连续性管理应包括识别和减少风险的控制措施、限制有害事件的影响以 及确保业务过程需要的信息能够随时得到。 11。符合性
应避免违反法律、法规、规章、合同要求和其他的安全要求.信息系统的设计、运 行、使用和管理都要受到法律法规要求的限制,以及合同安全要求的限制。应从组织的 法律顾问或者合格的法律从业人员处获得关于特定的法律要求方面的建议。法雒要求因 国家而异,而且对于在一个国家所产生的信息发送到另一国家(即越境的数据流)的法
律要求也不相同.
确保系统符合组织安全策略和标准.应定期评审信息系统的安全。这种评审应根据 相应的安全策略和技术平台进行,而对信息系统也应进行审核,看其是否符合安全实施 标准和形成文件的安全控制要求。
应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。在审核 过程中应有控制措施作用于操作系统和审核工具。也要保护审计工具的完整性并防止其 被误用。
上面1 1个方面是ISO/IEC27000系列标准中提出的信息安全管理的主要内容,当然, 信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和 评价,都应基于风险评价的结果进行的。随着多学科的应用和相互融合,信息安全管理 的内容也更加广泛和深入. 17。2信息系统安全 17.2.1信息系统安全概念
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标 和规则对信息进行存储、传输、处理的系统或者网络。
而信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和
可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全, 运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,以维护信息系统 的安全运行。
信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化。
个人用户最为关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户 看重的是如何保证涉及商业利益的数据的安全.这些个人数据或企业的信息在传输过程 中要保证其受到保密性、完整性和可用性的保护,如何避免其他人,特别是竞争对手利 用窃听、冒充、篡改和抵赖等手段,对其利益和隐私造成损害和侵犯,同时用户也希望 其保存在某个网络信息系统中的数据,不会受其他非授权用户的访问和破坏。
从网络运行和管理者角度说,撮为关心的信息系统安全问题是如何保护和控制其他 人对本地网络信息的访问、读写等操作。例如,避免出现漏洞陷阱、病毒、非法存取、 拒绝服务及网络资源被非法占用和非法控制等现象,制止和防御网络黑客的攻击。
对安全保密部门和国家行政部门来说,最为关心的信息系统安全问题是如何对非法 的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露.机密敏感的信 息被池密后将会对社会的安定产生危害,给国家造成巨大的经济损失和政治损失。 从社会教育和意识形态角度来说,最为关心的信息系统安全问题则是如何杜绝和控 制网络上的不健康内容.有害的黄色内容会对社会的稳定和人类的发展造成不良影响. 目前,信息系统工程在企业和政府组织中得到了真正的广泛应用.许多组织对其信 息系统的依赖性不断增长,使得信息和信息安全也越来越受到重视.由于信息化成本的 限制,用户应该根据自己信息化的具体应用,制定相应的安全策略和安全管理措施。 17。2*2信息系统安全属性 l。保密性
保密性是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特 性.即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性.保密性是在 可用性基础之上,是保障应用系统信息安全的重要手段. 应用系统常用的保密技术如下.
①最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
②防暴露:防止有用信息以各种途径暴露或传播出去.
③信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而 无法读懂有效信息.
④物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,保护信息不 被泄露.
2.完整性
完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程 中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。 完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成及正确存 储和传输。
完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信 息不致受到各种原因的破坏。影响信息完整性的主要因素有设备故障、误码(传输、处 理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的 误码)、人为攻击和计算机病毒等。
保障应用系统完整性的主要方法如下。
①协议:通过各种安全协议可以有效地检测出被复制的信息i被删除的字段、失效 的字段和被修改的字段.
②纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶 校验法。
③密码校验和方法:它是抗篡改和传输失败的重要手段. ④数字签名:保障信息的真实性。
⑤公证:请求系统管理或中介机构证明信息的真实性. 3.可用性
可用性是应用系统信息可被授权实体访问并按需求使用的特性.即信息服务在需要 时,允许授权用户或实体使用的特性,或者是网络部分曼损或需要降级使用时,仍能为 授权用户提供有效服务的特性。可用性是应用系统面向用户的安全性能。应用系统最基 本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。 可用性一般用系统正常使用时间和整个工作时间之比来度量。
可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制, 只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问。包括自主访问控制和强 制访问控制)、业务流控制(利用均分负荷方法,防止业务流量过度集中而引起网络阻 塞)、路由选择控制(选择那些稳定可靠的子网、中继线或链路等)、审计跟踪(把应 用系统中发生的所有安全事件情况存储在安全审计跟踪之中,以便分析原因,分清责任, 及时采取相应的措施。审计跟踪的信息主要包括事件类型、被管信息等级、事件时间、 事件信息、事件回答以及事件统计等方面的信息). 4.不可抵赖性
不可抵赖性也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实 同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可 以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认己 经接收的信息.
17。2。3信息系统安全管理体系 1.信息系统安全管理撬念
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全 等级责任要求的管理,包括如下方面。
①落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划。 ②开发安全策略。 ③实施风险管理。
④制定业务持续性计划和灾难恢复计划。 ⑥选择与实施安全措施。
⑥保证配置、变更的正确与安全. ⑦进行安全审计。 ⑧保证维护支持。
◎进行监控、检查,处理安全事件. ⑩安全意识与安全教育。 ⑩人员安全管理等. 2.管理体系
在组织机构中虚建立安全管理机构,不同安全等级的安全管理机构可按下列顺序逐 步建立自己的信息系统安全组织机构管理体系。
(l)配备安全管理人员:管理层中应有一人分管信息系统安全工作,并为信息系统 的安全管理配备专职或兼职的安全管理人员。
(2)建立安全职能部门:在(1)的基础上,应建立管理信息系统安全工作的职能部 门,或者明确制定一个职能部门监管信息安全工作,作为该部门的关键职责之一。 (3)成立安全领导小组:在(2)的基础上,应在管理层成立信息系统安全管理委员 会或信息系统安全领导小组,对覆盖全国或跨她区的组织机构,应在总部和下级单位建 立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统 安全工作。
(4)主要负责人出任领导:在(3)的基础上,应由组织机构的主要负责人出任信息 系统安全领导小组负责人;
(5)建立信息安全保密管理部门:在(4)的基础上,应建立信息系统安全保密监督 管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全 管理重要过程和管理人员的保密监督管理。
GB/T20269—2006《信息安全技术信息系统安全管理要求》提出了信息系统安全管 理体系的要求,其信息安全系统管理要素如表一17。l所示.
3.技术体系
从安全角度,组成信息系统各个部分的硬件和软件都应有相应的安全功能,确保在 其所管辖范围内的信息安全和提供确定的服务。这些安全功能分别是:确保硬倬系统安 全的物理安全,确保数据网上传输、交换安全的网络安仝,确保操作系统和数据库管理 系统安全的系统安全(含系统安全运行和数据安全保护),确保应用软件安全运行的应用 系统安全(含应用系统安全运行和数据安全保护)。这4个层面的安全,再加上为保证其 安全功能达到应有的安全性而必须采取的管理措施,构成了实现信息系统安全的5个层 面的安全。其实,在这5个层面中,许多安全功能和实现机制都是相同的。例如,身份 鉴别、审计、访问控制、保密性保护和完整性保护等,在每一层都有体现,并有相应的 安全要求。在GB/T20271—2006《信息安全技术信息系统通用安全技术要求》中将信 息系统安全技术体系具体描述如下. (1)物理安全。 ①环境安全.
主要指中心机房的安全保护,包括: ·机房场地选择。 ·机房内部安全防护。 ·机房防火. ·机房供、配电。 ‘ ·机房空调、降温。 ·机房防水与防潮。
·机房防静电。 ·机房接地与防雷击。 ·机房电磁防护。 ②设备安全。 ·设备的防盗和防毁。 ·设蔷的安全可用。 ③记录介质安全。 (2)运行安全。 ①风险分析。
②信息系统安全性检测分析。 ③信息系统安全监控. ④安全审计。
⑤信息系统边界安全防护。 @备份与故障恢复。 ⑦恶意代码防护。
@信息系统的应急处理。 ◎可信计算和可信连接技术. (3)数据安全。 ①身份鉴别.
②用户标识与鉴别。 ③用于,主体绑定。 ·隐秘. ·设备标识和鉴别。 ④抗抵赖。 ·抗原发抵赖。 ·抗接收抵赖。 @自主访问控制。 ·访问控制策略。 ·访问控制功能。 ·访问控制范围。 ·访问控制粒度。 ⑥标记。 ·主体标记。 ·客体标记。 ·标记的输出. ·标记的输入。 ⑦强制访问控制。 ·访问控制策略。 ·访问控制功能. ·访问控制范围。 ·访问控制粒度。 ·访问控制环境。 ⑧数据完整性保护。 ·存储数据的完整性。
·传输数据的完整性。 ·处理数据的完整性。 ⑨用户数据保密性保护。 ·存储数据保密性保护。 ·传输数据保密性保护。 ·客体安全重用。 ⑩数据流控制.. ⑩可信路径。 ⑩密码支持。
17。3物理安全管理
安全对每一个公司及其基础设施都是很重要的,而物理安全也不例外。黑客也不是 信息及其相关系统遭到破坏的唯一途径,物理安全还面临着大量不同的威胁、弱点以及 风险。物理安全管理包括安全区域的管理、设备设施的安全管理、对环境威胁的防范以 及电磁辐射的管理等。
17。3.1计算机机房与设施安全 1.计算机机房
对计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、机房防 水与防潮、机房舫静电、机房接地与防雷击、机房电磁防护等。 (1)机房场地选择。
根据对机房安全保护的不同要求,机房场地选择分为如下几种。 ①基本要求:按一般建筑物的要求进行机房场地选择.
②防火要求:避开易发生火灾和危险程度高的地区,如油库和其他易燃物附近的 区域。
⑤防污染要求:避开尘埃、有毒气体、腐蚀性气体和盐雾腐蚀等环境污染的区域。 ④防潮及防雷要求:避开低洼、潮湿及落雷区域。 ⑤防震动和噪声要求:避开强震动源和强噪声源区域。 ⑥防强电场、磁场要求;避开强电场和强磁场区域。 ⑦防地震、水灾要求:避开有地震、水灾危害的区域。
@位置要求;避免在建筑物的高层以及用水设备的下层或隔壁。
@防公众干扰要求:避免靠近公开区域,如运输通道、停车场或键厅等. (2)机房空调、降温.
根据对机房安全保护的不同要求,机房空调、降温分为如下几种。
①基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求。 ②较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机 累统运行所允许的范围内。
@完备空调系统:应有完备的中央空调系统,保证机房各个区域的温度变化能满 足计算机系统运行、任意活动和其他辅助设备的要求. (3)机房防水与防潮。
根据对机房安全保护的不同要求,机房防静电分为如下几种。
①接地与屏蔽:采用必要的措施,使计算机系统有一套台理的防静电接地与屏蔽 系统。
②服装舫静电:人员服装采用不易产生静电的衣料,工作鞋采用低阻值材料制作. @温、湿度防静电:控制机房温湿度,使其保持在不易产生静电的范围内。
④地板防静电:机房地板从表面到接地系统的阻值,应控制在不易产生静电的范
围内。
@材料防静电:机房中使用的各种家具,如工作台、柜等,应选择产生静电小的 材料。
@维修MOS电路保护:在硬件维修时,应采用金属板台面的专用维修台,以保护
系统集成项目管理工程师教程 MOS电路.
⑦静电消除要求:在机房中使用静电消除剂等,以进一步减少静电的产生。 (4)机房接地与防雷击。
根据对机房安全保护的不同要求,机房接地与防雷击分为如下几种。 ‘
①接地要求:采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等, 确保接地体的良好接地。
②去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保证去 耦、滤波等的良好效果。
③避雷要求:设置避雷地,以深埋地下,与大地良好相通的金属板作为接地点. 至避雷针的引线则应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网 作为“大地"与避雷针相连.
④防护地与屏蔽地要求:设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体 的粗线,以减少各种地之间的电位差.应采用焊接方法,并经常检查接地的良好,检测 接地电阻,确保人身、设备和运行的安全. 2.电源
根据对机房安全保护的不同要求,机房供、配电分为如下几种.
①分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照 明装置。
②紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS、 改进的UPS、多级UPS和应急电源(发电机组)等。
③备周供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行 系统必要的保留。
④稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响.
⑤电源保护:设置电源保护装置,如金属氧化物可变电阻、二极管、气体放电管、 滤波器、电压调整变压器和浪涌滤波器等,防止/减少电源发生故障.
⑥不间断供电:采用不间断供电电源,防止电压波动、电器干扰和断电等对计算 机系统的不良影响。
⑦电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正 常运行。
⑧突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电 压过载或低电压)、电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效 事件的发生。
3.计算机设备
计算机设备的安全保护包括设备的防盗和防毁以及确保设备的安全可用。 (1)设备的防盗和防毁。
根据对设备安全的不同要求,设备的防盗和防毁分为如下几种。
①设备标记要求:计算机系统的设备和部件应有明显的无法去除的标记,以防更 换和方便查找赃物。
②计算中心防盗. ·计算中心应安装妨盗报警装置,防止从门窗进入的盗窃行为。 ·计算中心应利用光、电、无源红外等技术设置机房报警系统,并由专人值守,防 止从门窗进入的斑窃行为。 ·利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止从门 窗进入的盗窃行为.
③机房外部设备防盗;机房外部的设备,应采取加固防护等措施,必要时安排专 人看管,以防止盗窃和破坏。 (2)设备的安全可用。
根据对设备安全的不同要求,设备的安全可用分为如下几种.
①基本运行支持:信息系统的所有设备应提供基本的运行支持,并有必要的容错 和故障恢复能力.
@设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、 网络设备及其他辅助设备等均应安全可用。
◎设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持 信息系统实现不间断运行. 4。通信线路
根据对通信线路安全的不同要求,通信线路安全防护分为如下几种. ①确保线路畅通:采取必要措施,保证遁信线路畅通。
②发现线路截获:采取必要措施,发现线路截获事件并报替。
③及时发现线路截获;采取必要措施,及时发现线路截获事件并报替. ④防止线路截获:采取必要措施,防止线路截获事件发生。 173。2技术控制
1.检测监视系统
应建立门禁控制手段,任何进出机房的人员应经过门禁设施的监控和记录,应由防 止绕过门禁设施的手段;门禁系统的电子记录应妥善保存以各查;进入机房的人夙应佩 戴相应证件:未经批准,禁止任何物理访问;未经批准,禁止任何人移动计算机相关设 备或带离机房。
机房所在地应有专设警卫,通道和入口处应设置视频监控点.24小时值班监视;所 有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以备查;禁 止携带移动电话、电子记事本等具有移动互联功能的个人物品进入机房。 2.人员进出机房和操作权限范围控制
应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准 进入机房;获准进入机房的来访人员,其活动范围应受限制,并有接待人员陪同;机房 钥匙由专人管理,未经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指 定管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,与 工作无关的物品均不准带入机房;机房内严禁吸烟及带入火种和水源。
应要求所有来访人员经过正式批准,登记记录应妥善保存以备查:获准进入机房的 人员,一般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到 限制,并有机房接待人员负责和陪同。 17.3.3环境与人身安全
环境与人身安全主要是防火、防漏水和水灾、防静电、防自然灾害以及防物理安全 威胁等。 1.防火
根据对机房安全保护的不同要求,机房防火分为如下几种.
①机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GBJ 45—1982 中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等 级应不低于TJ 16-1974中规定的二级防火等级。
②设置火灾报警系统.由人来操作灭火设备,并对灭火设备的效率、毒性、用量 和损害性有一定的要求。
③设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控 制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备, 切断电源、关闭空调设备等.
④设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其他 应急开关,自动启动时下固定安装好的灭火设备进行自动灭火。
⑤机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要 设备地区,应安装防火门、机房装修使用阻燃材料等。
⑥计算机机房应设火灾自动报警系统,主机房、基本工作间应设卤代烷灭火系统, 并应按有关规范的要求执行。报警系统与自动灭火系统应与空调、通风系统联锁。空调 系统所采用的电加热器,应设置无风断电保护。
⑦凡设置卤代烷固定灭火系统及火灾探测器的计算机机房,其吊顶的上、下及活 动地板下,均应设置探测器和喷嘴.
⑧吊顶上和活动地板下设置火灾自动探测器,通常有两种方式.一种方式是均匀 布置,但密度要提高,每个探测器的保护面积为l0~l5Fri2.另一种方式是在易燃物附近 或有可能引起火灾的部位以及回风口等处设置探测器。
@主机房宜采用感烟探测器。当没有固定灭火系统时,应采用感烟、感温两种探 测器的组合。可以在主机柜、磁盘机和宽行打印机等重要设备附近安装探测器。在有空 调设备的房间,应考虑在回风口附近安装探测器。 2.防漏水和水灾
由于计算机系统使用电源,因此水对计算机也是致命的威胁,它可以导致计算机设 备短路,从而损害设备.所以,对机房必须采取舫水措施。机房的防水措施应考虑如下 几个方面。
①与主机房无关的给排水管道不得穿过主机房。
②主机房内如设有地漏,地漏下应加设水封装置,并有防止水封破坏的措施。 ③机房内的设备需要用水时,其给排水干管应暗敷,引入支管宜暗装。管道穿过主 机房墙壁和楼板处,应设置套管,管道与套管之间应采取可靠的密封措施。 ④机房不宜设置在用水设备的下层。 @机房房顶和吊顶应有防渗水措施。
@安装排水地漏处的楼地面应低于机房内的其他楼地面。 3.防静电
机房的防静电应考虑以下防范措施。
接地系统良好与否是衡量一个机房建设质量的关键性问题之一,因此接地系统应满 足《电子计算机机房设计规范》(GB50174—93)的规定。
主机房地面及工作台面的静电泄精电阻,应符合现行国家标准《计算机机房用潘动 地板技术条件》的规定。
主机房内绝缘体的静电电位不应大于lkv。 4.防自然灾害
自然界存在着种种不可预测或者虽可预料却不能避免的灾害,例如洪水、地震、大
风和火山爆发等.对此,应积极应对,制定一套完善的应对措施,建立合适的检测方法 和手段,以期尽可能早地发现这些灾害的发生,采取一定的预防措施。例如,采用避雷 措施以规避雷击,加强建筑的抗震等级以尽量对抗地震造成的危害。因此,应当预先制 定好相应的对策,包括在灾害来临时采取的行动步骤和灾害发生后的恢复工作等.通过 对不可避免的自然灾害事件制定完善的计划和预防措施,使系统受到损失的程度降到最 小.同时,对于重要的信息系统,应当考虑在异地建立适当的备份和灾难恢复系统。 5.防物理安全威胁
在实际生活中,除了自然灾害外,还存在种种其他的情况威胁着计算机系统的物理 安全。例如,通信线路被盗窃者割断,就可以导致网络中断。如果周围有化工厂,若是 化工厂发生有毒气体泄露,就会腐蚀和污染计算机系统。再如,2001年9月Il日美国 发生的纽约世贸大楼被撞恐怖事件,导致大楼起火倒塌,不仅许多无辜生命死亡,里面 的计算机系统也不可避免地遭受破坏。对于这种种威胁,计算机安全管理部门都应诙有 一个清晰的认识。 17.3。4电磁兼容
1.计算机设备防泄露
对需要防止电磁泄露的计算机设备应配备电磁干扰设备,在被保护的计算机设备工 作时电磁干扰设备不准关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门; 不得在屏蔽墙上打钉钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何 线缆;应经常测试屏蔽机房的泄露情况并进行必要的维护。 2.计算机设备的电磁辐射标准和电磁兼容标准
计算机设备的电磁辐射标准和电磁兼容标准很多,主要列举如下。
(1) GB17625。2—1999电磁兼容限值对额定电流不大于16A的设备在低压供电系统 中产生的电压波动和闪烁的限制。
(2) GB/T17625。3-2000电磁兼容限值对额定电流大于16A的设备在低压供电系统 中产生的电压波动和闪烁的限制.
(3) GB/T17626.11—1999电磁兼容试验和测量技术电压暂降、短时中断和电压变 化的抗扰度试验.
(4) GB4943—1995信息技术设备(包括电气事务设备)的安全。 (5) GB9254—1988信息技术设备的无线电干扰极限值和测量方法。 (6) GB/T17618—1998信息技术设备抗扰度限僮和测量方法。
(7) GB/T17625。1-1998低压电气及电子设备发出的谐波电流限值(设备每相输入 电流6A)。
(8) GBfl2887—2000计算机场地通用规范。 (9) GB50174—1993电子计算机房设计规范。 (10) GA173-98计算机信息系统防雷保安器。
(Il) GGBBl-1999计算机信息系统设备电磁泄漏发射限值。
(12) GGBB2—1999计算机信息系统设备电磁泄漏发射测试方法。 (13) BMBl-94电话机电磁泄漏发射限值及测试方法.
(14) BMB2-1998使用现场的信息设备电磁泄漏发射测试方法和安全判据。 (15) BMB3—1999处理涉密信息的电磁屏蔽室的技术要求和测试方法。 (16) BMB4—2000电磁干扰器技术要求和测试方法。
(17) BMB5—2000涉密信息设备使用现场的电磁泄漏发射防护要求。 (18) BMB6—2001密码设备电磁泄漏发射限值.
(19) BMB7—2001密码设备电磁泄漏发射测试方法(总则)。
(20) BMB7.1—2001电话机电磁泄漏发射测试方法。 (21) GGBl-1999信息设备电磁泄漏发射限值。
(22) GGBB2-1999信息设备电磁泄漏发射测试方法。 17。4人员安全管理 17。4。1安全组织
安全组织的目的在于通过建立管理框架,以启动和控制组织范围内的信息安全的 实施.
管理者应通过清晰的方向、说明性承诺、明确的信息安全职责分配和确认,来积极 地支持组织内的安全。管理者并应批准整个组织内的信息安全方针、分配安全角色并协 调和评审安全的实施。
组织可建立信息安全领导小组,负责本组织机构的信息系统安全工作,并至少履行 以下职能。
(1)安全管理的领导职能:根据国家和行业有关信息安全的政策、法律和法规,批 准机构信息系统的安全策略和发展规划;确定各有关部门在信息系统安全中的职责,领 导安全工作的实施;监督安全措施的执行,并对重要安全事件的处理进行决策;指导和 检查信息系统安全职能部门和应急处理小组的各项工作:建设和完善信息系统安全的集 中控管的组织体系和管理机制.
(2)保密监督的管理职能:在上述基础上,对保密管理部门进行有关信息系统安全 保密监督管理方面的指导和检查。
组织可建立信息安全职能部门,在信息安全领导小组监管下,负责本组织机构信息 系统安全的具体工作,至少履行以下管理职钝之一。
(1)基本的安全管理职能:根据国家和行业有关信息安全的政策法规,起草组织机 构信息系统的安全策略和发展规划;管理机构信息系统安全日常事务,检查和指导下级 单位信息系统安全工作;负责安全措施的实旖或组织实施,组织并参加对安全重要事件 的处理:监控信息系统安全总体状况,提出安全分析报告;指导和检查各部门和下级单 位信息系统安全人员及要害岗位人员的信息系统安全工作;应与有关部门共同组成应急 处理小组或协助有关部门建立应急处理小组,并实施相关应急处理工作。
(2)集中的安全管理职能:在上述基础上,管理信息系统安全机制集中管理机构的 各项工作,实现信息系统安全的集中控制管理;完成信息系统安全领导小组交办的工作, 并向领导小组报告机构的信息系统安全工作。
如果需要,要在组织范围内建立信息安全专家建议的资料源,并在整个组织内均可 获得该资料。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行 业发展趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络地点。 应鼓励构建信息安全的多学科交叉途径。 17。4.2岗位安全考核与培训
对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求。
(1)对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、 系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一 人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受 安全培训,加强安全意识和风险防范意识.
(2)兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、 系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作:必要 时关键岗位人员应采取定期轮岗制度。
(3)权限分散要求:在上述基础上,应坚持关键岗位“权限分散、不得交叉覆盖”
的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。 (4)多人共管要求:在上述基础上,关键岗位人员处理重要事务或操作时,应保持 二人同时在场,关键事务应多人共管。
(5)全面控制要求:在上述基础上,应采取对内部人员全面控制的安全保证措施, 对所有岗位工作人员实施全面安全管理。 17。4。3离岗人员安全管理
对人员高岗的管理,可以根据离岗人员的关键程度,采取下列控制措施。
(I)基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有 访问权限;收回所有相关证件、徽章、密钥和访问控制标记等;收回机构提供的设备等。 (2)调离后的保密要求:在上述基础上,管理层和信息系统关键岗位人员调离岗位, 必须经单位人事部门严格办理调离手续,承诺其调离后的保密要求。
(3)离岗的审计要求:在上述基础上,设计组织机构管理层和信息系统关键岗位的 人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离。
(4)关键部位人员的离岗要求:在上述基础上,关键部位的信息系统安全管理人员 离岗,应按照机要人员管理办法办理。 17。5应用系统安全管理
17.5.1应用系统安全管理的实施 1.建立应用系统的安全需求管理
安全控制需求规范应考虑在系统中所包含的自动化控制以及人工控制的需要.在评
价应用系统的开发或购买时,需要进行安全控制的考虑。安全要求和控制反映出所涉及 信息资产的业务价值和潜在的业务损坏,这可能是由于安全失败或缺少安全引起的。信 息安全系统需求与实施安全的过程应该在信息安全工程的早期阶段集成。在设计阶段引 入控制其实施和维护的费用明显低于实现期间或实现后所包含的控制费用。 2.严格应用系统的安全检测与验收
对软件的安全检测与验收主要可依据GB/T18336:1-2,001《信息技术安全技术信 息技术安全性评估准则第1部分:简介和一般模型》、GB/T 18336。2—2001《信息技术安 全技术信息技术安全性评估准则第2部分:安全功能要求》以及GB/T 18336。3—2001 《信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求》进行。
在安全功能要求方面,可以对软件的安全审计功能、通信功能(包括原发抗抵赖和 接收抗抵赖)、密码支持功能、用户数据保护功能、标识和鉴别功能、安全管理功能、隐 私功能、TSF保护功能、资源利用功能、TOE访问、可信路径信道功能等14个方面进 行检测和验收.
3.加强应用系统的操作安全控制
应用系统内设计合适的控制以确保处理酌正确性。这些控制包括输入数据的验证、 内部处理控制和输出数据的确认。对于处理敏感的、有价值的或关键的组织资产的系统 或对组织资产有影响的系统可以要求附加控制。这样的控制应在安全要求和风险评估的 基础上加以确定。 4.规范变更管理
为使信息系统的损坏减到最小程度,应实施正式的变更控制规程。变更的实施要确 保不损坏安全和控制规程,并将变更控制规程文档化,引进新的系统和对已有系统进行 大的变更要按照从文档、规范、测试、质量管理到实施管理这个过程进行。
变更管理过程应包括风险评估、变更效果分析和安全控制。确保变更不损坏安全和 控制规程,确保支持性程序员仅能访问其工作所需的系统的某些部分,确保对任何变更 要获得正式协商和批准。
5.防止信息泄露
为了限制信息泄露的风险,如通过应用隐蔽通道泄露信息,可以考虑扫描隐藏信息 的外部介质和通信,掩盖和调整系统和通信的行为,以减少第三方访问信息或推断信息 的能力;使用可信赖的应用系统和软件进行信息处理;在法律和法规允许的前提下,定 期监视个人系统的行为,监视计算机系统的源码使用. 6.严格访问控制
严格控制对应用系统的访问,包括如下方面。
(l)建立访问控制策略,并根据对访问的业务和安全要隶进行评审,访问策略清晰 地叙述每个用户或一组用户的访问控制规则和权利,访问控制既有逻辑的也是物理的控 制方法。
(2)建立正式的授权程序来控制对应用系统和服务的访问权力的分配,确保授权用 户的访问,并预防对信息系统的非授权访问。程序应涵盖用户访问生存周期内的各个阶 段,从新用户注册到不再要求访问信息系统和用户的最终注销。应特别注意对有特权的 访问权力的分配的控制需要,因为这种特殊权限可导致用户超越系统控制而进行系统 操作。
(3)避免未授权用户的访问信息和信息处理设施,要让用户了解他对维护有效的访 问控制的职责,特别是关于口令的使用和用户设备的安全的职责。
(4)如果具有合适的安全设计和控制并且符合组织的安全策略,组织才能授权远程 工作活动。远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露信息、 未授权远程访问组织内部系统或滥用设施等。远程工作要由管理层授权和控制以及对远 程工作方法要有充分的安排。 7.信息备份
制定应用系统的备份策略,根据策略对信息和软件进行备份并定期测试.提供足够 的备份设施,保持信息和信息处理设施的完整性和可用性,确保所有必要的信息和软件 能在灾难或介质故障后进行恢复。建立例行程序来执行针对数据备份以及恢复演练的策 略和战略。
8.应用系统的使用监视
检测未羟授权的信息处理活动,记录用户活动、异常和信息安全事件的日志,并按 照约定的期限进行保留,以支持将来的调查和访问控制监视。记录系统管理员和系统操 作者的活动,并对系统管理员和操作员的活动日志定期评审。记录并分析错误日志,并 采取适当的措施改正错误。
17。5.2应用系统运行中的安全管理
1.组织管理层在系统运行安全管理中的职责
管理层对应用系统的安全负有全部责任。安全管理包括:
(1)资源分配:管理层负责为计划内的应用系统的安全活动提供必要的资源.
(2)标准和程序:管理层负责为所有运行建立必要的符合总体业务战略和政策的标 准和程序,并符合组织业务的安全规定。
(3)应用系统的过程监控:应用系统管理人员要负责监控和测量应用系统运行过程 的效率与效果,以保证过程的持续完善。 2.系统运行安全的审查目标 系统运行安全的审查目标如下。
(1)保证应用系统运行交接过程均有详尽的安排. (2)精心计划以确保运行资源得到最有效的使用. (3)对运行日程的变更进行授权。
(4)监控系统运行以确保其符合标准.
(5)监控环境和设施的安全,为设备的正常运行保持适当的条件。 (6)检查操作员日志以识别预定的和实际的活动之间的差异.
(7)监控系统性能和资源情况,以实现计算机资源的最佳使用。
(8)预测设备或应用系统的容量,以保证当前作业流量的最大化并为未来需求制定 战略计划.
3.系统运行安全与保密的层次构成
应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安 全和数据域安全。这4个层次的安全,按粒度从粗到细的排序是:系统级安全、资源访 问安全、功能性安全、数据域安全。程序资源访问控制安全的粒度大小界于系统级安全 和功能性安全两者之间,是塌常见的应用系统安全问题,‘几乎所有的应用系统都会涉及 这个安全问题。 (l)系统级安全.
企业应用系统越来越复杂,因此制定得力的系统级安全策略才是从根本上解决问题 的基础。应通过对现行系统安全技术的分析,制定系统级安全策略,策略包括敏感系统 的隔离、访问m地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、 特定时间段内登录次数的限制以及远程访问控制等,系统级安全是应用系统的第一道防 护大门.
7 (2)资源访问安全。
对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界 面,仅出现和其权限相符的菜单和操作按钮:在服务端则对URL程序资源和业务服务 类方法的调用进行访问控制。 (3)功能性安全。
功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上 传附件不能超过指定大小等。这些安全限制已经不是入口级的限制,而是程序流程内的 限制,在一定程度上影响程序流程的运行. (4)数据域安全。
数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录, 一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务 记录的哪些字段。不同的应用系统数据域安全的需求存在很大的差别,业务相关性比较 高。对于行级的数据域安全,大致可以分为以下几种情况:
①应用组织机构模型允许用户访问其所在单位及下级管辖单位的数据。
②通过数据域配置表配置用户有权访问同级单位及其他行政分支下的单位的数据。 ③按用户进行数据安全控制,只允许用户访问自己录入或参与协办的业务数据。 ④除进行按单位过滤之外,比较数据行安全级别和用户级别,只有用户的级别大于 等于行级安全级别,才能访问到该行数据。 4.系统运行安全检查与记录
系统运行的安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导 整改的必要工作手段。系统运行安全检查要形成制度,对促进系统运行管理、实现信息 安全起到积极的推动和保障作用。对检查的内容、检查的方法、检查的计划安排、检查 的结果应进行及时的记录、分析和评审。系统运行安全检查和记录的范围如下。
①应用系统的访问控制检查。包括物理和逻辑访问控制,是否按照规定的策略和程 序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权"原则。
②应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日
志及异常日志。
③应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时 间等。
④应用系统能力检查.包括系统资源消耗情况、系统交易速度和系统吞吐量等. ⑤应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策 略和程序进行访问和使用.
⑥应用系统维护检查。维护性问题是否在规定的时间内解决,是否正确地解决问 题,解决问题的过程是否有效等;
⑦应用系统的配置检查。检查应用系统的配萱是否合理和适当,各配置组件是否发 挥其应有的功能。
⑧恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数 据的丢失、损坏、非法修改、信息泄露等。
企业要加强对应用系统安全运行管理工作的领导,每年至少组织有关部门对系统运 行工作进行一次检查。部门每季度进行一次自查.要加强对所辖范围内应用系统运行工 作的监督检查。检查可采取普查、抽查、专项检查的方式定期或不定期地进行.
有关部门检查时要事先拟定检查提纲,检查项目的指标要量化.检查后要进行总结, 检查结果要及时通报,对检查中发现的问题,要限期改进。 5.系统运行安全管理制度
系统运行安全管理制度是系统管理的一个重要内容.它是确保系统按照预定目标运 行并充分发挥其效益的必要条件、运行机制和保障措施。通常它应该包括如下内容。 (1)系统运行的安全管理组织。 ..
包括各类人员的构成、各自职责、主要任务和管理内部组织结构。建立系统运行的 安全管理组织,安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 安全组织由管理、系统分析、软件、硬件、保卫、审计、人事和通信等有关方面人员组 成。安全负责人负责安全组织的具体工作,安全组织的任务是根据本单位的实陈情况定 期做风险分析,提出相应的对策并监督实施。 (2)系统运行的安全管理.
制定有关的政策、制度、程序或采用适当的硬件手段、软件程序和技术工具,保证 信息系统不被未经授权进入和使用、修改、盗窃,造成损害的各种措施。 ①系统安全等级管理。
根据应用系统所处理数据的秘密性和重要性确定安全等级,并据此采用有关规范和 制定相应管理制度.安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可 靠性等级可以不同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分为 三级,对可靠性要求屈高的为A级,系统运行所要求的最低限度可靠性为C级,介于中 间的为B级。安全等级管理就是根据信息的保密性及可靠性要求采取相应的控制措施, 咀保证应用系统及数据在既定的约束条件下合理合法的使用. ②系统运行监视管理。
重要应用系统投入运行前,可请公安机关的计算机监察部门进行安全检查。根据应 用系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作 情况,或安装自动录像等记录装置。 ③系统运行文件管理制度。
制定严格的技术文件管理制度,应用系统的技术文件如说明书、手册等应妥善保存, 要有严格的借阅手续.不得损坏及丢失。系统运行维护时备有应用系统操作手册规定的
文件。应用系统出现故障时可查询替代措施和恢复顺序所规定的文件。 ④系统运行操作规程。
通过制定规范的系统操作程序,用户严格按照操作规程使用应用系统。应用系统操 作人员应为专职,关键操作步骤要有两名操作人员在场,’必要时需要对操作的结果进行 检查和复核。对系统开发人员和系统操作人员要进行职责分离。制定系统运行记录编写 制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理 情况等.
⑤用户管理制度。
建立用户身份识别与验证机制,防止非授权用户进入应用系统。对用户及其权限的 设定应进行严格管理,用户权限的分配必须遵循“最小特权"原则.用户密码应严格保 密,并及时更新。重要用户密码应密封交安全管理员保管,人员调离时应及时修改相关 密码和口令。
@系统运行维护制度。
必须制定有关电源设备、空调设备和防水防盗消防等防范设备的管理规章制度,确 定专人负责设备维护和制度实施。对系统进行维护时,应采取数据保护措施.如数据转 贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程维护时,应事先通知。对 系统进行预防维护或故障维护时,必须记录故障原因、维护对象、维护内容和维护前后 状况等.
⑦系统运行灾备制度。
系统重要的信息和数据应定期备份,针对系统运行过程中可能发生的故障和灾难, 制定恢复运行的措施、方法,并成立应急计划实施小组,负责应急计划的实施和管理。 在保证系统正常运行的前提下,对可模拟的故障和灾难每年至少进行一次实施应急计划 的演习。应急计划的实施必须按规定由有关领导批准,实施后,有关部门必须认真分析 和总结事故原因,制定相应的补救和整改措施。 ⑧系统运行审计制度。
定期对应用系统的安全审计跟踪记录及应用系统的日志进行检查和审计,检查非授 权访问及应用系统的异常处理日志。根据系统的配置信息和运行状况,分析系统可能存 在的安全隐患和漏洞,对发现的隐患和漏洞要及时研究补救措施,并报相关部门领导审 批后实施。
(3)系统运行的安全监督.
应用系统的使用单位,通过建立应用系统安全保护领导组织或配备专兼职管理人员, 落实安全保护责任制度,对管理人员和应用操作人员组织岗位培训;制定防治计算机病 毒和其他有害数捃的方案,必要时协助公安机关查处危害计算机信息系统安全的违法犯 罪案件.
根据应用系统的运行特点,制定系统运行安全监督制度,包括: ①对应用系统安全保护工作实施监督、检查、指导.
②监督检查用户是否按照规定的程序和方法使用应用系统和处理信息. ③开展应用系统运行安全保护的宣传教育工作。 ④查处危害应用系统安全的信息安全事件。
⑤对应用系统的设计、变更、扩建工程进行安全指导. ⑥管理计算机病毒和其他有害数据的防治工作。
⑦按有关规定审核计算机信息系统安全等级,并对信息系统的合法使用进行检查。 ⑧根据有关规定,履行应用系统安全保护工作的其他监督职责. (4)系统运行的安全教育。
根据应用系统所设计的业务范围,对管理层、系统管理员和操作人员等用户进行信 息安全的教育培训,培训包括:
①管理层信息安全忧患意识的培养。 ②正确合法地使用应用系统的程序培训。 @员工上岗信息安全知识培训.
④各岗位人员计算机安全意识和法律意识教育情况。 ⑤安全从业人员安全防护知识的培训。
制定系统运行安全的培训管理程序和安全培训计划,程序规定培训的范围、启动、 制定培训计划、培训计划的实施、培训效果的考核、评审和验证等.培训计划的内容包 括培训对象、培训内容、日程安排、培训要求和考核方法等要素。
本文来源:https://www.wddqxz.cn/7b4ba7a3d3d233d4b14e852458fb770bf68a3b5b.html