系统集成项目信息系统安全管理.docx

1、系统集成项目信息系统安全管理系统集成项目信息系统安全管理17.1信息安全管理17.1.1信息安全含义及目标 1信息安全定义 现代社会已经进入了信息社会，其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值，例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外，现代社会的各类组织，包括政府、企业，对信息以及信息处理设施的依赖也越来越大，一旦信息丢失或泄密、信息处理设施中断，很多政府及企事业单位的业务也就无法运营了。 现代信息社会对于信息的安全提出了更高的要求，对信息安全的内涵也不断进行延伸和拓展。国际标准ISO/IEC27001: 2005信息技术安全技术

2、信息安全管理体系要求标准中给出目前国际上的一个公认的信息安全的定义：“保护信息的保密性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性。” 2信息安全属性及目标 (1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。”简单地说，就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能，例如，信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现。 网绺安全协议。 网络认证服务。 数据加密服务。 (2)完整性。是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据。数据不应该被改变，这需要某种方

3、法去进行验证。确保数据完整性的技术包括： 消息源的不可抵赖。 防火墙系统。 通信安全。 入侵检测系统 (3)可用性。是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴，但随着拒绝服务攻击的逐渐盛行，要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以下几个方面。 磁盘和系统的容错及备份。 可接受的登录及进程性能。 可靠的功能性的安全进程和机制。 保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是信息安全通常所强调的目标。 (4)其他属性及目标。 另外，信息安全也关注

4、一些其他特性：真实性一般是指对信息的来源进行判断，能对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性，这个特性就是要求该实体对其行为负责，可核查性也为探测和调查安全违规事件提供了可能性。不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和给定的条件下，无故障完成规定功能的概率，通常用平均故障间隔时间(Mean Time Between Failure，MTBF)来度量。 信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科

5、。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息安全的研究领域。17.1.2信息安全管理的内容 ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准，它包括ISO/IEC27001信息技术安全技术信息安全管理体系要求、ISO/IEC27002信息技术一安全技术信息安全管理体系实践准则等系列标准。ISO/IEC27000系列标准是当前全球业界信息安全管理实践的最新总结，为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。 在ISO/IEC27000系列标准中，它将信息安

6、全管理的内容主要概括为如下1 1个方面。 1信息安全方针与策略 为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略，并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。 2组织信息安全 要建立管理框架以启动和控制组织范围内的信息安全的实施。 管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。需要时，在组织范围内建立信息安全专家库，发展与外部安全专家或组织（包括相关政府机构）的联系，以便跟上行业发展趋势、跟踪标准和评估方法，并在处理信息安全事件时，提供合适的联络渠道，并鼓励多学科的信息安全方法。

7、同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施，或从外部各方获得产品或服务或向外部各方提供产品和服务时，就需要进行风险评估，以确定安全隐患和控制要求。在与外部各方签订的合同中要定义和商定控制措施。 3资产管理 要对组织资产实现并维持适当的保护。 所有资产均应有人负责，并有指定的所有者。对于所有资产均要识别所有者，并且要赋予维护相应控制的职责。具体控制的

8、实施可以由所有者委派适当的人员承担，但所有者仍拥有对资产提供适当保护的责任。 要确保信息可以碍到适当程度的保护。 应对信息进行分类，以便在信息处理时指明保护的需求、优先级和期望程度。信息的敏感度和关键度是可变的。某些信息可能需要额外的保护或特别的处理。应使用信息分类机制来定义适宜的保护水准和沟通特别处理措施的需求。 4人力资源安全 要确保员工、合同方和第三方用户了解他们的责任并适合于其岗位，从而减少盗窃、滥用或设施误用的风险。应在雇佣前就在岗位描述、雇用条款和条件中明确安全职责。所有的应聘人员，包括员工、合同方和第三方用户，特别是敏感岗位的人员，应进行充分的筛查。员工、合同方和信息处理设施的第

9、三方用户均应就其安全角色和职责签署协议。 应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点，以及他们的责任和义务，并在他们的日常工作中能够支持组织的信息安全方针，减少人为错误的风险。应确定管理职责来确保安全应用于组织内个人的整个雇佣期。为尽可能减小安全风险，应对所有雇员、合同方和第三方用户提供关于安全程序以及正确使用信息处理设旌的意识、教育和培训。并针对信息安全违规事件建立正式的处罚过程。 最后，要确保员工、合同方和第三方用户以一种有序的方式离开组织或工作变更。应建立职责确保员工、合网方和第三方用户的离开组织是受控的，并确保他们已归还所有设备并删除所有的访问权限。对于组织内的职责或

10、工作变更也应参照上述做法实行类似管理。 5物理和环境安全 应舫止对组织办公场所和信息的非授权物理访问、破坏和干扰。关键或敏感的信息处理设施要放置在安全区域内，并受到确定的安全边界的保护，包括采用适当的安全屏障和入口控制。这些设施要在物理上避免未授权的访问、损坏和干扰。所提供的保护耍与所识别的风险相匹配。 应防止资产的丢失、损坏、被盗和破坏，以及对组织业务活动的中断。应保护设备免受物理和环境的威胁。要对设备（包括非公司现场的设备和迁出的设备）进行保护以减少未授权访问信息的风险并防止丢失或损坏，同时要考虑设备安置和处置。可能错耍专门的控制措施来防止物理威胁以及保护支持性设施，诸如电源供应和电缆基础

11、设施。 6通信和操作安全 确保信息处理设施的正确和安全操作。应建立所有信息处理设施的管理和操作的职责与程序，包括建立适宜的操作程序。适宜时，应实施职责分离，以减少疏忽或故意误用系统的风险。 应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施，监视协议执行的一致性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。 应最小化系统失效的风险。为确保足够能力和资源的可用性以提烘所需的系统性能，需要预先的策划和准备。应做出对于未来容量需求的规划，以减少系统过载的风腧。在新系统验收和使用之前，要建立该新系统的运行要求，并形成文件，进行测试。 应保护软件和信息

12、的完整性。要求有预防措施，以防范和探测恶意代码和未授权的移动代码的引入。软件和信息处理设施容易受到恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）的攻击。要让用户意识到恶意代码的危险。适用时，管理者要引入控制，以防范、探测井删除恶意代码，并控制移动代码。 应保持信息和信息处理设施的完整性和可用性。应建立例行程序来执行商定的针对数据备份以及及时恢复演练的备份策略和战略。 应确保网络中的信息和支持性基础设施得到保护。网络安全管理可能会跨越组织边界，需要仔细考虑数据流动、法律要求、监视和保护。在数据通过公共网络进行传输时要提供额外的保护。 应防止对资产的未授权泄漏、修改、移动或损坏，及对业

13、务活动的中断。应控制介质，并对其实施物理保护。应建立适当的操作程序以保护文件、计算机介质（如磁带、磁盘）、输入输出数据和系统文档免遭未授权的泄露、修改、删除或破坏。 应维持组织内部或组织与外部组织之间交换信息和软件的安全。组织间佶息和软件的交换应基于一个正式的交换策略，按照交换协议执行，还应服从任何相关的法律。应建立程序和标准，以保护传输中的信息和包含信息的物理介质。 应确保电子商务的安全及其安全使用。应考虑与使用电子商务服务包括在线交易相关的安全要求和控制措施要求。还应考虑通过公开可用系统以电子方式发布的信息的完整性和可用性。 应探测XX的信息处理活动。应监视系统并记录信息安全事件。应使用操

14、作员日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。应通过监视系统来检查所采用控制措施的有效性，并验证与访问策略模型的一致性。 7访问控制 应控制对信息的访问。对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。 应确保授权用户对信息系统的访问，并防止非授权访问。应有正式的程序来控制对信息系统和服务的访问权限的分配。这些程序应覆盖用户访问生命周期内的所有阶段，从新用户注册到不再要求访问信息系统和服务的用户的最终注销。适宜时，应特别注意对有特权的访问权限的分配的控制需求，这种权限允许用户超越系

15、统控制。 应防止未授权的用户访问，以及信息和信息处理设施的破坏或被盗。授权用户的合作是有效安全的基础。用户应清楚其对维护有效的访问控制的职责，特别是关于口令使用和用户设备安全的职责。应实施桌面清空和屏幕清空策略以减步对纸质文件、介质和信息处理设施的未授权访问或破坏的风险。 防止对网络服务XX的访问。对内部和外部网络服务的访问均应加以控制。访问网络和网络服务的用户不应损害网络服务的安全，应确保： 在本组织的网络和其他组织拥有的网络或公共网络之间有合适的分界。 对用户和设备采用合适的认证机制。 对用户访问信息服务的控制。 应防止对操作系统的未授权访问。应采用安全设施来限制授权用户访问操作系统。这些

16、设施应能： (1)按照确定的访问控制策略认证授权用户。 (2)记录成功和失败的系统认证尝试。 (3)记录专用系统特权的使用。 (4)当违背系统安全策略时发布警报。 (5)提供合适的认证手段。 (6)适宜时可限制用户的连接时间。 应防止对应用系统中信息的未授权访问。应采用安全设施限制对应用系统的访问以及应用系统内部的访问。对应用软件和信息的逻辑访问应只限于授权的用户。应用系统应限于： (1)按照定义的访问控制策略，控制用户访问信息和应用系统功能。 (2)防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问。 (3)不损坏与其共享信息资源的其他系统的安全。 应确保在使

17、用移动计算和远程工作设施时信息的安全。所要求的保护应与那些特定工作方法引起的风险相匹配。当使用移动计算时，应考虑不受保护的环境中的工作风险，并且要应用合适的保护。在远程工作的情况下，组织要把保护应用于远程工作场地，并且对这种工作方式提供合适的安排。 8信息系统的获取、开发和保持 应确保安全成为信息系统的一部分。信息系统包括操作系统、基础设施、业务应用、非定制的产品、服务和用户开发的应用软件。支持业务过程的信息系统的设计和实施对安全来说是至关重要的。在信息系统开发或实旆之前应识别并商定安全要求。所有安全需求应在项目的需求阶段予以识别，证实其合理性，达成一致，并形成文档，作为信息系统整个业务案例的

18、一部分。 应防止应用系统中信息的错误、丢失、未授权的修改或误用。应用系统（包括用户开发的应用）内应设计合适的控制以确保处理的正确性。这些控制应包括输入数据、内部处理和输入数据的确认。对于处理敏感的、有价值的或关键的信息的系统或对上述信息有影响的系统可以要求附加控制。应基于安全需求和风险评估来确定这些拉制措施。 应通过加密手段来保护信息的保密性、真实性或完整性。应该制定使用密码的策略。应有密钥管理以支持密码技术的使用。 应确保系统文档的安全。要控制对系统文档和程序源代码的访问，并且IT项目和支持活动应以安全的方式进行。应注意不能泄露测试环境中的敏感数据。 应维护应用系统软件和信息的安全。应严格控

19、制项目和支持环境。负责应用系统的管理人员也应负责项目和支持环境的安全。他们应确保评审所有提出的系统变更，以检验这些变更既不损坏该系统也不损害操作环境的安全。 应减少由利用已发布的技术漏洞带来的风险。应该以一种有效的、系统的、可重复的方式进行技术漏洞管理，同时采取测量以确定其有效性。这些考虑应包括在用的操作系统和应用系统。 9信息安全事件管理 确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通。应具有正式的事件报告和升级程序，所有的员工、合同方和第三方用户都应该知道这套报告不同类别的事件和弱点的程序，而这些事件和弱点对组织的赉产安全可能具有影响。应要求他们尽可能快地将信息

20、安全事件和弱点报告给指定的联系点。 应确保使用一致、有效的方法管理信息安全事件。应建立职责和程序以有效地处理报告韵信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续的改进。需要证据时，证据的收集应符合法律的要求。 10.业务持续性管理 应防止业务活动的中断，保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。应实施业务持续性管理过程以减少对组织的影响，并通过预防和恢复控制措施的结合将信息资产的损失（例如，它们可能是灾难、事故、设备故障和故意行动的结果）恢复到可接受的程度。这个过程需要识别关键的业务过程，并将业务持续性的信息安全管理要求与其他的诸如运

21、营、员工安置、材料、运输和设施等持续性要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分析。应建立和实施业务持续性计划，以确保基本运营能及时恢复。信息安全应该是整体业务持续性过程和组织内其他管理过程的一个不可或缺的一个部分。除了通用的风险评估过程外，业务连续性管理应包括识别和减少风险的控制措施、限制有害事件的影响以及确保业务过程需要的信息能够随时得到。 11.符合性 应避免违反法律、法规、规章、合同要求和其他的安全要求。信息系统的设计、运行、使用和管理都要受到法律法规要求的限制，以及合同安全要求的限制。应从组织的法律顾问或者合格的法律从业人员处获得关于特定的法律要求方面的

22、建议。法雒要求因国家而异，而且对于在一个国家所产生的信息发送到另一国家（即越境的数据流）的法律要求也不相同。 确保系统符合组织安全策略和标准。应定期评审信息系统的安全。这种评审应根据相应的安全策略和技术平台进行，而对信息系统也应进行审核，看其是否符合安全实施标准和形成文件的安全控制要求。 应最大化信息系统审核的有效性，并最小化来自信息系统审核带来的干扰。在审核过程中应有控制措施作用于操作系统和审核工具。也要保护审计工具的完整性并防止其被误用。 上面1 1个方面是ISO/IEC27000系列标准中提出的信息安全管理的主要内容，当然，信息安全风险管理也是信息安全管理的重要基础，不管对于哪个方面控制

23、措施的选择和评价，都应基于风险评价的结果进行的。随着多学科的应用和相互融合，信息安全管理的内容也更加广泛和深入。17.2信息系统安全17.2.1信息系统安全概念 信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。 而信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，以保障信息系统功能的正常发挥，以维护信息系统的安全运行。 信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化。 个人用户最为

24、关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。这些个人数据或企业的信息在传输过程中要保证其受到保密性、完整性和可用性的保护，如何避免其他人，特别是竞争对手利用窃听、冒充、篡改和抵赖等手段，对其利益和隐私造成损害和侵犯，同时用户也希望其保存在某个网络信息系统中的数据，不会受其他非授权用户的访问和破坏。 从网络运行和管理者角度说，撮为关心的信息系统安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。例如，避免出现漏洞陷阱、病毒、非法存取、拒绝服务及网络资源被非法占用和非法控制等现象，制止和防御网络黑客的攻击。 对安全保密部门和国家

25、行政部门来说，最为关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。机密敏感的信息被池密后将会对社会的安定产生危害，给国家造成巨大的经济损失和政治损失。 从社会教育和意识形态角度来说，最为关心的信息系统安全问题则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。 目前，信息系统工程在企业和政府组织中得到了真正的广泛应用。许多组织对其信息系统的依赖性不断增长，使得信息和信息安全也越来越受到重视。由于信息化成本的限制，用户应该根据自己信息化的具体应用，制定相应的安全策略和安全管理措施。17.2*2信息系统安全属

26、性 l。保密性 保密性是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可用性基础之上，是保障应用系统信息安全的重要手段。 应用系统常用的保密技术如下。 最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。 防暴露：防止有用信息以各种途径暴露或传播出去。 信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而无法读懂有效信息。 物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不被泄露。 2完整性 完整性是信息XX不能进行改变的特性。即应用系统的信息在存储或传

27、输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成及正确存储和传输。 完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响信息完整性的主要因素有设备故障、误码（传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码）、人为攻击和计算机病毒等。 保障应用系统完整性的主要方法如下。 协议：通过各种安全协议可以有效地检测出被复制的信息i被删除的字段、失效的字段和被修改的字段。 纠错编码方法：由此完成检错和纠错功能。最简

28、单和常用的纠错编码方法是奇偶校验法。 密码校验和方法：它是抗篡改和传输失败的重要手段。 数字签名：保障信息的真实性。 公证：请求系统管理或中介机构证明信息的真实性。 3可用性 可用性是应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分曼损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是应用系统面向用户的安全性能。应用系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。 可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行

29、控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制）、业务流控制（利用均分负荷方法，防止业务流量过度集中而引起网络阻塞）、路由选择控制（选择那些稳定可靠的子网、中继线或链路等）、审计跟踪（把应用系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括事件类型、被管信息等级、事件时间、事件信息、事件回答以及事件统计等方面的信息）。 4不可抵赖性 不可抵赖性也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以

30、防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认己经接收的信息。17.2.3信息系统安全管理体系 1信息系统安全管理撬念 信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括如下方面。 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划。 开发安全策略。 实施风险管理。 制定业务持续性计划和灾难恢复计划。 选择与实施安全措施。 保证配置、变更的正确与安全。 进行安全审计。 保证维护支持。 进行监控、检查，处理安全事件。 安全意识与安全教育。 人员安全管理等。 2管理体系 在组织机构中虚建立安全管理机构，不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系。 (l)配备安全管理人员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备专职或兼职的安全管理人员。 (2)建立安全职能部门：在(1)的基础上，应建立管理信息系统安全工作的职能部门，或者明确制定一个职能部门监管信息安全工作，作为该部门的关键职责之一。 (3)成立安全领导小组：在(2)的基础上，应在管理层成立信息系统安全管理委员会或信息系统安全领导小组，对覆盖全国或跨她区的组织机构，应在总部和下级单位建立各级信息系统安全领导小组，在基层至少要有一位专职的安全管理人员负责信息系统安全工作