信息安全管理与监管

《信息安全管理与监管》由会员分享，可在线阅读，更多相关《信息安全管理与监管（19页珍藏版）》请在装配图网上搜索。

1、信息安全管理与监管信息安全管理与监管宗勇 云南大学网络与信息中心主任信息安全管理与使用技术知识第二章，信息安全管理 与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题，从BISS公布的数据看，超过 70的信息安全事故如果事先加强 管理都是可以得到避免的，也就是三分技术，七分管理，二 者并重。一、信息安全管理组织、人员和制度第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策 机构、安全主管机构、安全运行维护机构、安全审计机构、 安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控

2、制和管 理的，必要时，应与外部相关组织进行沟通协调，各单位在 进行自身信息安全管理工作时应与与公安机关公共信息网 络安全监察部门密切配合。主要体现如图所示的三个层次。符合性（合规性）管理是指单位、组织根据自身业务特 点和具体情况所制定的信息安全管理办法和规范，必须符合 国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与 国家的宏观的信息安全管理的一致和配合。信息安全的人员管理，人员的素质是提高信息安全性致 关重要的因素。信息安全的人员管理中，人员因素是信息安全管理环节 中最重要的一环，全面提高人员的技术水平、道德品质、政 治觉悟和安全意识是信息安全的重要保障。信

3、息安全工作人员管理包括安全审查、安全保密管理、 安全教育培训、岗位安全考核、离岗人员安全管理等几个方 面。事实证明，许多安全事件都是由内部人员造成的，因些 对于关键岗位必须建立严格的人员安全审查制度，把好人员 安全管理的第一关，各单位的信息系统和内部资源应跟极其 敏感程度和重要程度进行密集划分，信息资源的密集直接决 定了接触和管理试信息资源的岗位对人员安全等级的要求， 因依此要求建立相应的人员安全审查的标准，人员的安全审 查应该从安全意识、法律意识、安全技能等几方面进行，应 试具有政治可靠、思想进步、作风正派、技术合格等基本素 质，关键岗位人员的审查标准。信息系统的关键岗位人员的审查标准应具有

4、以下几个 方面，一般必须是单位组织的正式员工、必须经过严格的政 审、背景和资历调查、必须经过业务能力的综合考核、不得 由现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人 员签订保密协议，通过保密协议约定工作范围、工作期限以 及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、 操作流程和技能的训练与考核。培训内容主要有三个方面，第一基本安全教育及基本概 念可能存在的威胁和风险、理解相关方针和规章制度、提高 安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安 全技术理论培训、岗位职能和操作技能培训。第三方面，安全的高级培训

5、及国家和行业相关法律法规、 全面的安全技术理论和知识、全面的安全管理理论、安全工 程理论、关键岗位职能与责任的培训。定期的考核，岗位安全考核，主要是从思想政治和业务 表现两方面进行。对于离岗人员安全管理，应该按照离岗的不同原因，建 立技术人员离岗的安全管理制度一、正常离岗人员。正常离岗之前要旅行移交手续，完成密码、设备、技术 资料及相关敏感信息的移交。相关系统必须更换口令，取消该人员所使用过的所有帐 号，向离岗人员重申安全保密责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应 在调离决定通知其本人之前，立即或者提前进行移交手续， 不能拖延。第三种情况，因工作问题被解聘人员，应该严格审

6、查其 工作问题，严格执行相关处罚，若有触犯法律、法规的行为, 应依法追究其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情 况，编制完整的、全面的、分层次的信息安全的制度管理制 度和规范，并加以认真贯彻落实。下面列举三个信息安全管理制度一、物理环境安全管理规范，它包括安全域、门禁控制、 监控与报警、电源和电缆管理、环境管理与维护、设备常规 管理、变更管理、事故处理等。二、终端计算机安全使用规范，包括安装防病毒软件、 操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范，包括明确岗位职责、防 火墙的规划部署、配置测试；状态监控、日志分析

7、、安全事 件的响应处理等。二、互联网、重点单位信息安全管理第二个问题，互联网、重点单位信息安全管理。计算机信息网络国际联网管理暂行规定、计算机信息网 络国际联网安全保护管理办法、互联网安全保护技术措施规 定的国家现行的法律法规， 在安全保护职责、安全管理制度、 安全保护技术措施、禁止行为等方面对互联网服务提供者、 互联网数据中心、联网使用单位做由明确的规定和要求。其中，计算机信息网络国际联网管理暂行规定第13条规定，从事国际联网业务的单位和个人应当遵守国家有关法 律、行政法规，严格执行安全保密制度，不得利用国际联网 从事危害国家安全、泄露国家秘密等违法犯罪活动；不得制 作、查阅、复制和传播妨碍

8、社会治安的信息和淫秽色情等信 息。计算机信息网络国际联网安全保护管理办法第5条、第6条，对禁止在互联网上发布的信息内容、禁止互联网活动 行为分别做由强劲的规定。计算机信息网络国际联网安全保护管理办法第10条还规定，互联网单位、接入单位及国际联网的法人和其他组织应当履行，一、建立健全安全保护管理制度；二、落实安全保护技术措施；三、开展安全教育和培训；四、对发布信息的单位和个人登记、对发布内容进行审核；五、建立电子公告系统的用户登记和信息管理制度；六、对违反法律法规的行为保留有关原始记录并及时报 案；七、及时删除违反法律法规的内容、地址、目录或者关 闭服务器。互联网管理中的安全管理制度，健全的互联

9、网安全管理 制度应包含新闻组、BBS等交互式栏目及个人主页等信息服 务栏目的安全管理制度、信息发布审核和登记制度、信息巡 查、保存、清除和备份制度等其他与安全保护有关的管理制 度。安全保护技术措施。互联网安全保护技术措施规定，互联网服务的提供者、 联网使用者和单位应当建立和落实基本的安全技术措施，包 括防病毒、防网络入侵和攻击破坏等危害网络安全事项或者 行为的技术措施，重要数据库和系统主要设备的冗灾备份措施，记录并留存用户登录和退由时间、主叫号码、账号、互 联网地址或域名、系统维护日志的技术措施。重点单位及其确定原则，计算机信息系统安全保护条例 第4条明确规定 计算机信息系统的安全保护工作，

10、重点维护 国家事务、经济建设、国防建设、尖端科学技术等重要领域 的计算机信息系统的安全。”加强网络安全保护工作，首先要抓好重点单位及其确定 原则，加强信息网络安全保护工作，首先要抓好重点抓好国 家事务、经济建设、国防建设、尖端科学技术等重要领域的 计算机信息系统的安全，这些重要领域的信息网络安全直接 关系到国家安全、社会稳定以及经济建设的健康发展，凡是 涉及这些要领域的信息网络的单位均属于重点单位。我国信息网络重点单位列举，我国根据安全需要，从实 际由发，全面权衡后，确定了信息网络重点单位一共有12类，我国根据安全需要，从实际由发，全面权衡后，将下列 单位列入信息网络重点单位 1、国家各级党政

11、机关单位， 2、 银行、保险、证券等金融机构，3、电力、热力、燃气、煤炭、油料等能源单位，4、铁路、公路、水路、海运等交通运输单位，5、医疗、消防、紧急救援等社会应急服务单位，6、经济建设的重点工程建设单位，7、其他重要领域和单位，8、互联网管理中心及其重要网站， 9、重要物资储备单位， 10、水利及水资源供给部门，11、航空、航天等尖端科技企业和研究单位。12、邮政、电信、广播电视部门等。重点单位信息安全管理。重点单位信息安全管理，要从建立安全管理机构、完善 安全管理制度、落实安全管理措施、涉密安全管理等四个主 要着手。管理机构应该明确机构的职责、配备专职的人员、明确 人员职责。管理制度应该

12、包括安全保密制度、登记备案制度、等级保护制度、案件报告制度。落实安全管理措施包括人员管理措施、权限分散措施、 系统分离措施、应急备份措施、通信管理措施，信息安全管理下一节会讲到。三、涉密信息安全管理 第三题，涉密信息安全管理。涉密信息、载体和系统。涉密信息主要是国家秘密和商业秘密，国家秘密关系国家安全和利益，其内容涉及国家的政法、 军事、外交和外事、 国民经济和社会发展、科技技术、国家安全和刑事司法等领域。商业秘密仅仅是涉及权利人的经济利益和竞争优势的信 息，其内容也局限于科研、生产、经营有关的技术信息和经济信息，商业秘密与经济、科技领域中的国家秘密都是具有 保密价值的信息，二者是相互关系、互

13、可转变的。涉密载体，涉密载体是指，以各类计算机硬盘、软盘、 U盘、光盘、闪存盘、磁带及其他数码存储设备为介质，通 过文字、数据、符号、图形、图像、声音等方式存储国家秘 密信息、工作秘密信息以及商业秘密信息的各类存储载体。涉密系统，系统里的信息涉及国家秘密的信息系统，不 论其中的涉密信息是多还是少，只要是有存储、处理或传输 了涉密信息的信息系统就是涉密信息系统。涉密单位主要是指用于采集、存储、处理、传递国家秘 密信息的信息网络单位；涉密信息和系统的管理。涉密系统安全管理规定有 1、建立信息网络时，同步规划 落实相应系统保密设施； 2、信息网络的研制、安装和使用 符合保密要求；3、采取有效保密措施

14、，配置合格保密专用 设备；4、采取系统访问控制、数据保护和系统安全保密监 控管理等技术措施；5、权限控制；6、不得直接或间接连接 国际互联网或其他公共信息网络，必须物理隔离。涉密信息的管理1、必须按照保密规定进行采集、存储、处理、传递、使用和销毁；2、要有相应的密级标识，密级标识不能与正文分离；3、保密审查批准制度，健全上网信息保密审批领导则认真；4、处理、存储和传输绝密信息的计算机，必须采取必要的防止非法调阅机内信息的技术措施；5、不得在与国际网络互联的信息网络中存储、处理和 传递；对涉密载体、涉密场所和涉密人员管理也有相关的规 定。四、应急事件处置 第四题，应急事件处置。网络与信息系统运行

15、所面临的安全威胁重要来自于五个 方面1、计算机病毒，2、网络入侵3、软硬件故障，4、人 员误操作，5、不可抗灾难事件。应急事件的风险分析和处置方法。病毒有最高的风险，预防措施是全面部署网络病毒查杀 系统、建立集中的病毒管理中心、加强管理，教育与培训， 应急方案是迅速响应和处理，必要时进行相关系统和数据的 恢复处理；网络入侵有较高的风险，预防措施是加强边界管 理与控制，加强安全系统的维护管理，应急处理方案是及时 报警，切断连接；弥补漏洞；软硬件故障的风险较小，预防 措施是双机热备，冗余配置，应急处理的方式是对硬件及时 检修和更换，对软件是及时更新和修改；人员误操作的风险 次之，预防措施是安全操作

16、的教育与培训，同时采取分权机 制，应急处理的措施是及时恢复； 不可抗灾难事件风险最小， 预防措施是系统和数据备份机制，并且建立异地容灾备份中 心，应急处理方案即灾难恢复处理。灾难恢复处理，灾难恢复是指当信息系统受到损害，如 地震、火灾、非正常人为破坏等造成的系统或数据损坏或丢 失，应用事先制定好的相应处理策略，进行尽可能的修复或 弥补。事故处理及应急事件响应策略应用于此，是单位组织的 整个程流中最为重要的核心成员。灾难恢复的级别和指标。灾难恢复的RPO指标是用以量化描述灾难恢复目标的最 常用指标，其中RPO及恢复点目标是指灾难发生后系统和数 据必须到恢复时间点要求，代表在灾难发生时引起丢失的数

17、 据量，PTO、RPO和RPP 一起确定了灾难恢复时间范围目标。灾难恢复等级划分的通用国际标准有，关于冗余等级用 户的国际标准是，国际标准将冗余等级划分为七级，从低到 高提由七种不同层次的灾难恢复解决方案，0级本地冗余备份，1级数据介质转移，2级应用系统冷备，3级数据电子传 送，4级应用系统温备，5级应用系统热备，6级数据零丢失。这七个层次对你的冗余方案在功能、使用范围等方面都 有所不同，所以用户应分清层次。灾难恢复等级划分的国家标准，我国冗余方面跃然起步 晚，但是国家十分重视，制定了相应的冗余等级划分方案， 重要信息系统灾难恢复指南将我国的灾难恢复数据备份系 统、备用数据处理系统、备用网络系

18、统、备用基础设施、技 术知识能力、运行维护管理能力和灾难恢复这七个要素划分为六个等级1级、基础支持，2级、备用场地支持，3级、 电子传输和部分设备支持，4级、电子传输和完整设备支持， 5级、实时数据传输和完整设备支持， 6级、数据零丢失和 远程集群支持，更加符合我国现阶段的实际情况，这样的划 分和考虑更加符合我国现阶段的实际情况。灾难恢复的策略。灾难恢复的管理过程主要有以下四部分一、灾难恢复需求分析，二、灾难恢复策略制定，三、灾难恢复策略实现，四、灾难恢复预案制定和管理。在灾难恢复需求分析中，包括风险分析、业务影响分析 和确定灾难恢复目标三个子步骤，通过这三个子步骤了解信 息系统的风险，综合业

19、务的需求分析，并确定关键业务功能 及恢复的优先顺序。灾难恢复策略的主要内容订要包含损害限制，通过提前 计划和完美的处置步骤进行一些灾难限制，可以减少企业的 成本。第二个内容是准备工作，即使进行了损害限制，企业仍 然可能遭受灾难，灾难恢复策略中，应对各种灾难，进描述 为各种不测事件做准备， 例如，软硬件的备份，场地的备份, 计算恢复时间，恢复程序等，为各种灾难做准备意味着可以及时恢复必要的系统，是系统恢复策略的主要内容第三、数据的完整性，对重要数据确保数据完整性是一项 日常工作，在灾难恢复必须创建完整、正确的数据备份，以 便恢复系统，同时，还兼顾数据的最新性、一致性，能够与 所有数据同步。第四个

20、内容是备份服务中心，如果一个企业把高可靠性 看得很重要，建立备份服务中心是十分必要的，甚至建立异 地的备份服务中心，在遇到灾难时受到的影响就会大大减 小，备份的方式有冗余备份、热备份和异地备份等。五、信息安全监管 第五节，信息安全监管。实施计算机信息的系统安全保护主要由两方面构成一是 国家实施安全监督管理，二是使用单位实施安全保护措施。因此，实施信息安全的有效保护国家拥有对信息安全监 管的权利和职能，各使用单位不仅有在本单位内范围内实施 安全保护措施的职责和义务，还有配合国家机关有效完成信 息安全监督的职责和义务。计算机信息系统安全保护条例规定，公安部主管全国计 算机信息安全保护工作。信息安全

21、案件。凡是违反国家法律、法规的规定，危害计算机信息系统安全以及利用计算机信息系统实施的违法犯罪活动，统称为 计算机案件。计算机案件主要分为刑事案件和行政案件两类。一、治安案件和一般行政案件，指违反治安处罚法所构 成的计算机安全案件称为治安案件，包括危害计算机信息系 统安全，如违反国家规定，侵入计算机信息系统和制作、传 播计算机病毒等危害性。利用计算机系统实施的违法案件，如利用计算机网络传 播淫秽信息，在计算机网络中刊载有民族歧视、侮辱内容的 信息。第二方面，违反了行政法规所构成的计算机案件称为行 政案件，主要是凡是违反计算机信息系统安全保护条例有关 规定和制度的违法行为，都要追究行政法律责任。

22、刑事案件主要是指触犯行例所构成的计算机案件，被称 为计算机刑事案件，我国刑法关于计算机犯罪的三个专门条 款规定了三种计算机刑事案件即非法侵入计算机信息系统 罪，破坏计算机信息系统罪和利用计算机作为工具实施的犯 罪。其中非法侵入计算机信息系统罪和破坏计算机信息系统 罪是纯粹的计算机犯罪，刑法为其当立罪名，而利用计算机 作为工具实施犯罪的不是纯粹的计算机犯罪，只是传统犯罪使用了与计算机有关的犯罪工具而已，刑法不为其立罪名计算机案件性质界定，在我国法律责任体系中，行政案 件和刑事案件两者在内容和性质上有许多不同，必须正确界 定计算机案件的性质并依法进行制裁，界定依据主要有根据 违法行为的情节和造成的

23、后果，二、违法行为的类别，三、违法行为所违反的法律规范。信息安全行政违法责任，行政违法行为是指行政法律关 系的主体违反有关计算机信息网络安全的法律、行政法规、 侵害计算机信息网络系统的安全而尚未构成犯罪的行为。违法主体包括计算机信息网络的安全监督管理机关及其 工作人员，以及作为行政相对方的公民、法人和其他组织。构成行政违法，应当承担相应的行政法律责任。行政法律责任是指计算机信息网络安全法律关系的主 体违法计算机信息网络安全法律所规定的义务而构成行政 违法所应承担的法律责任。二、行政处罚。行政处罚是行政执法过程中最常采用的手段，也是对行 政违法行为人给予惩戒的必要措施。具体到计算机信息网络安全领

24、域，行政处罚是公安机关 根据法律规定，对违反计算机信息网络安全法律、法规的行 为人给予的行政制裁。其具有以下特点，实施主体是公安机关；实施对象是行 政违法的公民、法人或其他组织；必须有确定的行政违法行 为；具有行政强制性。在计算机信息网络安全管理的实际执法中，违反信息管 理条例相关规定的行政处罚主要有一、人身自由罚，即对违法行为人的人身自由权利进行 限制或者剥夺的行政处罚，如拘留；二、声誉罚，也就是对违法行为人的名誉、信誉或者精 神上造成一定损害的行政处罚，如警告、通报批评；三、财产罚，也就是对被处罚人的财产权利和权益造成损害的行政处罚，如罚款或者没收违法所得；四、资格罚，也就是指以剥夺或限制

25、被处罚人的资格为内容的行政处罚，如吊销许可证、取消联网资格；五、责令作为与不作为罚，也就是指直接要求被处罚人 做由莫种行为或不得做由莫种行为，如停止生产、停机整顿、停止联网等。信息安全刑事犯罪类型主要的三类，一、非法侵入计算机信息系统罪，二、破坏计算机信息系统罪，三、利用计算机作为工作实施的犯罪。在发生案件时应及时报案并配合公安机关的调查。刑事责任。信息安全刑事违法责任主要是指行为人因其实施了违反 计算机信息网络安全法律的犯罪行为所应承担的法律后果。由于犯罪嫌疑人的违法行为是所有违反计算机信息网络 安全法律行为中对社会危害性最大的违法行为，按照法律责 任和违法行为相适应的原则，将刑事责任确立为

26、最严厉的法 律责任。信息安全刑事违法责任，我国刑法关于计算机犯罪三个专门条款规定了三种计算机刑事案件一、非法侵入计算机信息系统罪，是指违反国家规定， 侵入国家事务、国防建设、尖端科学技术等领域的计算机信 息系统的行为。这些重要领域的计算机信息系统在保障国家安全、经济 发展以及人民生命财产安全等方面起着非常重要的作用，任 何侵入行为都要承担刑法规定的刑事责任。二、破坏计算机信息系统罪刑法第286条对破坏计算机信息系统罪进行了规定，是指违反国家规定，对计算机信息 系统功能进行删除、修改、增加、干扰或对计算机信息系统 中存储、处理、传输的数据和应用程序进行删除、修改、增 加的操作或故意制作、传播计算

27、机病毒等破坏程序，影响计 算机系统正常运行，后果严重的行为。适用任何领域内的计算机信息系统，造成严重后果的， 都要承担刑法规定的刑事责任。三、利用计算机作为工具实施的犯罪我国刑法第287条规定 利用计算机实施金融诈骗、盗窃、 贪污、挪用公款、窃 取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚工即计算机作为新的犯罪工具，在犯罪手段上有所变化，但犯 罪构成与传统犯罪没有本质区别，依照刑法有关规定，按照 金融诈骗罪、盗窃罪、贪污罪、挪用公款罪、窃取国家秘密 罪或者其他犯罪进行定罪处罚。信息安全案件报案与配合调查，公安机关是唯一的管辖 部门。计算机信息系统安全保护条例第 14条规定对计算机信 息中

28、发生的案件，有关使用单位应当在 24小时内向当地县 级以上人民政府公安机关报告 ”。现场保护工作。保护现场是分析原因和采取措施的重要条件。因此，当发现本单位的网络信息系统发生信息安全案件 时，系统管理员在及时向当地公安机关报警的同时。应立即采取必要的现场保护措施，如及时做好详细的现 场原始记录，在保证不损坏设备情况下保持系统原始状态 等。在没有查明原因的情况下，不得对系统作任何处理。发生重大信息安全问题时，除采取以上措施外，应尽可 能掌握受损信息的密级、解密期限和可能造成的危害、影响 程度等情况，及时上报上级主管部门。切忌在未搞清原因的情况下，擅自对系统作任何处理。调查，公安机关对信息安全刑事

29、和治安案件的调查过 程，主要包括现场勘查、询问情况、提取证据、设备封存、 拍照录像等。调查的目的是查明信息安全事件发生的原因、经过以及 危害程度，分析和确定事件的性质，为案件责任界定和量刑 提供证据。取证，根据信息安全案件自身的特点，其证据形式和取 证方式具有特殊性，信息安全案件的相关证据一般为电子证 据。由于电子证据自身的特点以及法庭对于电子证据的要 求，电子证据的取证过程往往专业技术要求高，需要使用专 用的取证设备，按照规范化的操作流程完成。因此，报案单位在发现信息安全案件之后，应当立即保 护现场环境，不得进行开机、关机、日志察看等操作，在公 安机关的办案人员对保存原始电子证据的介质进行映像处 理之前，保证系统、介质以及其中数据的状态不发生任何改 变，才能保证电子证据的真实性和有效性。本章课程讲授完毕，谢谢