信息安全管理概论

信息安全管理概论内容摘要：

，天威诚信决定依据 BS7799定义的安全管理活动中的目标和措施来制定了天威诚信 PKI/CA 认证中心的各项安全管理策略并具体措施，在实施后的长期运行过程中取得了良好的效果，现已形成了可持续改进的良性运转的安全管理体系。 二、如何 结合 BS7799建设 PKI/CA认证中心 下面我们从 BS7799定义的十个安全管理领域出发，分别阐述 CA中心的运营安全管理体系是如何与其控制点进行结合的。 安全策略 【信息安全策略的建设要点】： BS7799 定义了安全策略是为信息安全活动提供了管理的方向以及所需的支持手段和管理层的承诺，同时安全策略还应该明确定义企业机构中安全策略的维护责任。 典型的安全策略包含内容非常广泛，包括信息安全的定义和目的，以及在信息共享运转机制中安全防范的领域和重要性；管理意图的阐述，信息安全目标和原则的支持；安全策略、原则和标准的简 要说明以及对机构尤其重要的规范实施条件的解释；阐述信息安全的职责；等等。 【实施方法与形式】：天威诚信公司结合认证机构的建设特点，结合自身业务要求及运营风险，依据认证中心不同运营控制域分别制定了六个方面的 安全策略 ，分别是人员安全策略、物理安全策略、逻辑安全策略、通讯安全策略密钥安全策略以及安全与审计策略。 在实际运营建设中，天威诚信参照 BS7799 建议的控制措施，对安全策略进行文档化控制，在企业范围内最大化的为广大用户及内部员工所了解和接受，并指导各种规定制度、操作程序的制定及实施，并定期进行评审和评估。 安全组织 【安全组织的建设要点】：安全组织包含三个控制目标： 企业信息基础架构、第三方访问安全以及外包。 安全组织要求定义企业机构内部与信息安全有关的组织和协作，如何落实安全责任，与安全有关的授权过程，同时，要求管理者能够识别第三方合作和外包过程中的风险，并通过相关的合同控制安全风险。 【实施方法与形式】：天威诚信设定了专职安全组织－安全管理部，并任命该部门的负责人安全经理来负责及协调与安全相关的所有活动。 另外，考虑到责任范围及知识域全面性，天威诚信还组织高层安全管理小组以及跨部门安全小组这两个非常 设性的行政组织来实现不同信息安全管理的控制需要。 在实际运行管理中，天威诚信参照 BS7799 建议的控制措施对于三个控制目标进行多方面的管理控制： 1， 定期、不定期的组织信息安全专题会议来改进、批准企业内部各种安全计划，监视、评审企业内部信息安全活动及涉及信息安全的业务流程的执行，讨论、消除安全事件给企业带来的安全风险等等。 2， 进行全员化企业安全文化的建设，将安全责任落实到各业务部门、各负责人身上，例如信息维护人员必须熟知逻辑安全策略的要求，并切实将逻辑安全策略落实到具体业务工作中。 3， 组织跨 部门安全小组会议，进行各种信息安全活动的交流。 必要时聘请外部专家给与信息安全管理工作指导性的建议及意见。 4， 采用合理技术手段及管理措施来控制第三方对公司物理及逻辑方面的访问，并采用不同形式与第三方进行保密要求的约定。 5， 对于外包，在进行外包活动前，天威诚信会组织专业人员进行严格的考察、讨论，满足认证中心的安全条件是外包活动的必要条件，另外在实施外包活动中，天威诚信会依据外包合同进行各种必要的审计工作。 资产分类及控制 【资产分类及控制的建设要点】：资产分类及控制包括两个控制目标：资产责任和信息 分类。 资产责任要求建立起翔实、全面的资产目录；而信息分类则要求建立企业的信息分类原则，通过信息标准和相关处理来确保信息资产能够得到适当等级的保护。 【实施方法与形式】：天威诚信作为专业的认证中心，除了针对资产的价值进行相应保护外，针对可提供各种不同功能、服务的设备、设施对其重要性也进行了判断分类，并配合物理方面安全保护措施，对各种资产进行了分区域的保护。 如：对与密钥生成有关的服务器要设定四个层级以上的物理保护，还要提供 UPS电源、恒温恒湿等物理条件。 另外，对于文件、信息资料等，天威诚信进行四个保密等级 （机密、秘密、敏感、公开四个等级）的标示及管理控制。 对于内部信息的传输，天威诚信更是利用自身的技术、管理优势进行了证书管理机制。 人员安全 【资产分类及控制的建设要点】人员安全包括三个控制目标：工作定义和资源中的安全、用户培训、对安全事件和故障的响应。 该部分与安全组织一道，构成了企业安全管理的基础。 “工作定义和资源中的安全”要求采取有效措施减少人员失误、盗窃、欺诈以及对设施的滥用。 “用户培训”要求确保员工知晓和理解安全策略、制度、安全威胁等，有效地支持企业安全策略的执行。 “对安全事件和故障的响应”要求 采取措施将安全事件和故障造成的损害降低到最低水平，对此类事件进行监控并从中汲取知识和吸取经验。 安全响应需要有效的流程体系和工具来保障其质量。 【实施方法与形式】：根据认证中心实际业务运营风险，天威诚信针对人员安全控制管理重点制定了《人员安全策略》，针对三个控制目标分别制定了《可信雇员政策》、《职责分割政策》、《安全应急管理办法》等子策略，并结合《安全管理规范》进行实际运营过程中的人员安全管理。 参照 BS7799建议的控制措施对于三个控制目标天威诚信进行多方面的管理控制： 1， “可信雇员政策”是人员安全系统 的基础。 所有有权访问天威诚信敏感 CA操作的人员必须是值得信任的。 可信人员是指必须接受并通过特定的背景调查，表明他们有能力维持进行关键操作，并且具有必要的信任级别。 可信人员是指所有参与 CA中心工作的人员 —— CA中心工作员和非 CA中心工作员 2， 根据可信雇员政策，天威诚信制定了相应的可信人员调查评估标准与审查标准，以及调查、审查程序。 3， “职责分割政策”针对天威诚信认证中心每个职能的功能领域制定了相应的责任范围及物理安全要求。 并配合物理区域设定及访问控制系统来共同管理天威诚信认证中心中的各种职能的成员。 4， 天威诚信针对每一名员工（正式、非正式）及第三方用户都签署不同形式的保密协议，以约束保密行为。 对于正式员工除了在劳动合同中给与保密活动特殊的约定外，还针对员工离职后在一段时间内不允许就职于相同职位进行了经济补偿的约定。 5， 所有新员工都必须经过相应的安全培训，涉及到安全管理、技术、实施的员工还必须经过相应考核。 6， 对于运营中出现的安全事件、安全事故，天威诚信进行了明确的界定。 对于普通的安全事件由各业务部门进行记录上报或由安全管理部直接查明后记录归档；针对于不同业务领域的安全事故，天威诚信组织成立 了不同知识结构的安全应急响应小组进行及时的相应处理工作。 7， 天威诚信对于所有影响业务运行的事件、事故都进行了存档工作，并定期整理、学习，纳入到新的安全策略制定讨论中。 8， 为了维持安全策略的正常实施，警戒安全时间、事故的再次发生，天威诚信还制定《违规处罚办法》以确保公正、有效处理安全事件、事故。 物理和环境安全 【物理和环境安全的建设要点】物理和环境安全包括三个控制目标： 安全区域、设备安全和一般控制措施。 “安全区域”目的是防止业务设施和信息受到未经授权的物理访问、损害和干扰。 而“设备安全”的控制 措施可以防止资产丢失、受损和受到威胁，防止业务活动受到干扰，包括电信供应和线路安全等等。 “一般控制措施”包括清理桌面和屏幕、以及资产清理等。 【实施方法与形式】：物理和环境安全是认证中心最基础的安全保障。 天威诚信针对物理和环境安全管理重点制定了《物理安全策略》，物理安全的重要性不仅在于其对认证中心资产的明显保护作用，而且还为认证中心提供了一种安全的管理方法。 天威诚信针对认证（ CA）中心制定了完善的物理安全系统。 具体包括： CA 设施的物理建设措施、 CA 设施的分层访问控制措施、物理侵入检测系统建设措施，设备、设 施保障措施，运营管理措施等： 1， 天威诚信对建筑物如：整体建筑、墙壁、地板和天花板、入口门、其它门、窗口、其他孔口都制定详细安全要求。 2， 天威诚信针对 CA运营的实际风险，建设了 7个物理安全层次来保护 CA 中心特定的信息资产。 7个物理安全层次一般可分为初级、敏感、高度敏感三个级别的区域。 3， 天威诚信配合物理层级的划分，进行了访问系统及侵入检测系统等安全措施的建设，将访问控制系统是与控制各层门进出的门禁系统相结合的 4， 设备方面结合前面所述资产等级的保护以及物理层级的划分，天威诚信对于资产建立了明确的 保护机制。 5， 电源方面，天威诚信采用双路供电、配合 UPS电源组、以及多台大功率发电机。 6， 关于设备其他保护，天威诚信采用 FM200 气体灭火装置并配合小规模处理的消防瓶以及后备的干式水喷淋灭火装置。 7， 对于特定要求的设备，天威诚信还采用了屏蔽室来加以保护。 8， 另外，天威诚信对于水灾害、化学效应等威胁因素进行实时的运营控制与防护。 9， 对于一般的运营控制，如对文件资料、各类机器设备以及屏幕保护的管理控制，天威诚信制定的《安全管理规范》来对实际运营中的各种风险进行控制管理。 通信和运行管理 【通讯和操作管理的建设要点】：通信和运行管理包括七个控制目标：操作程序和责任、系统计划和接收、恶意软件防护、内务管理、网络管理、介质处理与安全、以及信息和软件交流。 “操作程序和责任”目标是确保信息处理设施操作的正确性和安全性，包括书面操作程序记录、变更管理、事件管理和职责分离等控制措施。 “系统计划和接收”的控制措施包括容量规划和系统接收，目标是将系统故障的风险降低到最低水平。 “恶意软件防护”的目标是保护软件和信息的完整性免受恶意软件的伤害。 “内务管理”的目标是维护信息处理和通信服务的完整性和可用性，控制措 施包括信息备份、操作日志和错误日志。 “网络管理”目标是保卫网络中的信息、保护支持性的基础架构。 “介质处理与安全”对于目前移动性越来越高的企业 IT环境来说具有特殊意义，其目标是防止资产受到破坏，防止商业活动受到干扰。 “信息和软件交换”则要求采取措施，防止信息在交流过程中丢失、被修改或者被误用。 通信和运行管理是通常意义上的网络信息安全所主要考虑的内容，受到较高的重视。 【实施方法与形式】： 1， 为了确保天威诚信 CA中心各项信息处理操作的正确性和安全性，我们一方面制定了《系统操作运行指南》，另一方面采用了世界 领先的网络管理平台并集成了安全管理模块。 该平台一方面实现了网络管理，另一方面可基于角色地从网络及安全两个方面确保通信和运行的安全。 2， 专用网管软件的采用很好解决了性能监控、故障管理、配置管理、变更控制等问题。 3， 专用安全管理平台模块的采用很好解决了多种安全产品的有机结合的问题，为风险管理提供了有效的技术机制。 该机制使得风险要素可准确地通过各种底层支撑产品（防火墙、扫描器、入侵检测、审计）进行采集，并最终汇总到管理平台进行事件间的关联分析，从而以更为准确、适用的方式呈现在管理者面前。 4， 对于恶意软 件防护方面，我们在系统层面采用安全加固技术保证了其自身的安全性。 在应用方面我们采用专用内容过滤技术防止各种恶意内容到达企业内部。 5， 另外，考虑到安全的动态性，我方采用定期的、持续性的专业风险评估服务对系统进行定期评估以便及时发现新的安全风险。 6， 最后，建立了一个完善的备份系统，确保系统的全面备份和及时恢复。 系统访问控制 【系统访问控制的建设要点】：系统访问控制包括八个控制目标：访问控制策略、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、监控系统的访问和使用、以及移动计 算和远程办公。 “访问控制策略”要求建立覆盖公司核心业务的系统访问策略，以指导相关的 IT活动。 “用户访问管理” 则要求建立用户身份注册、权限管理、口令管理以及访问控制审查手段。 “用户责任”要求明确用户在口令和信息设备使用方面的责任。 “网络访问控制”、“操作系统访问控制”、“应用访问控制”包括非常多的内容，分别从网络层、操作系统层和应用层，提出要求，目标是在不同层面建立身份与口令管理、隔离、访问控制、认证、超时、敏感信息保护、审计、以及路由、执行路径等安全保护手段。 “监控系统的访问和使用”要求采取手段，保证时 钟同步，记录监控系统的使用和各种事件。 “移动计算和远程办公”的目标是保证使用移动计算和远程办公设施时的安全。 【实施方法与形式】： 1， 天威诚信根据自身业务运营特点，从网络、系统、应用、数据库、数据信息五个层面制定了全面的、有效的《天威诚信系统访问控制安全策略》，并在该策略的指导下来实现整体的、全面的、有效的访问控制机制。 2， 在网络访问控制层面，我们采用防火墙在各安全域间建立安全的网络边界，同时对关键的业务进行了更多层次的、不同级别的纵深防护； 3， 在系统访问控制层面，我们对系统层面除了启用系统自 身的访问控制机制外，我们对关键业务主机部署了超越操作系统的、更为强大细化的专业访问控制产品； 4， 在用户访问管理方面，一方面专门制度了《帐户口令管理制度》，另一方面采用一次性口令认证机制和双因素认证机制来实现系统及应用的安全访问，这一系列的访问均有用户访问控制策略做指导。 5， 在用户责任方面我们在安全策略中明确了不同主体在使用客体时的责任。 6， 在应用层面，我们采。