一、基本概念
1、信息
在信息技术领域,国家标准GB/T5271.1《信息技术 词汇 第1部分:基本术语》中对信息给出了定义:关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。在信息安全领域,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义,强调信息是无形的,借助于信息媒体以多种形式存在和传播;同时,信息也是一种重要资产,具有价值,需要保护。信息具有如下基本特征:
① 可量度。信息可采用某种度量单位进行度量,并进行信息编码,如现代计算机使用的二进制。
② 可识别。信息可采用直观识别、比较识别和间接识别等多种方式来把握。
③ 可转换。信息可以从一种形态转换为另一种形态,如自然信息可转换为语言、文字和图像等形态,也可转换为电磁波信号和计算机代码。
④ 可存储。信息可以存储。大脑就是一个天然信息存储器。人类发明的文字、摄影、录音、录像以及计算机存储器等都可以进行信息存储。
⑤ 可处理。人脑就是最佳的信息处理器。人脑的思维功能可以进行决策、设计、研究、写作、改进、发明、创造等多种信息处理活动。计算机也具有信息处理功能。
⑥ 可传递。信息的传递是与物质和能量的传递同时进行的。语言、表情、动作、报刊、书籍、广播、电视、电话等是人类常用的信息传递方式。
⑦ 可再生。信息经过处理后,可以以其他形式再生。例如,自然信息经过人工处理后,可用语言或图形等方式再生成信息。输入计算机的各种数据文字等信息,可用显示、打印、绘图等方式再生成信息。
⑧ 可压缩。信息可以进行压缩,可以用不同信息量来描述同一事物。人们常常用尽可能少的信息量描述一件事物的主要特征。
⑨ 可利用。信息具有一定的实效性和可利用性。
⑩ 可共享。信息具有扩散性,因此可共享。
2、信息资产
对组织具有价值的信息或资源称为信息资产。参考《信息安全技术 信息安全风险评估规范》,信息资产分类如表1所示。
表1 通常的信息资产分类
3、信息安全
ISO国际标准化组织对于信息安全给出了精确的定义。信息安全是为数据处理系统建立,采用技术和管理的措施进行安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。在信息安全管理中,简单地将信息安全定义为保持信息的保密性、完整性和可用性,有时也考虑其他属性,如真实性、可核查性、抗抵赖性和可靠性等。
ISO的信息安全定义清楚地回答了我们关心的信息安全主要问题,包括3方面的含义。
① 信息安全的保护对象。信息安全的保护对象是信息资产,典型的信息资产包括计算机硬件、软件和数据。
② 信息安全的目标。信息安全的目标是保证信息资产的三个基本安全属性。信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响,而保密性、完整性和可用性三个基本属性是信息安全的最终目标。
③ 实现信息安全目标的途径。实现信息安全目标的途径要借助两方面的控制措施,即技术措施和管理措施。从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且是有局限性的错误观点。
4、信息安全管理
信息安全管理是指通过维护信息的机密性、完整性和可用性来管理和保护信息资产,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
二、基本内容
信息安全管理主要包括信息安全风险管理、设备的安全管理、信息的安全管理和运行的安全管理。
1、信息安全风险管理
信息安全管理是一个过程,而不是一个产品,其本质是风险管理。信息安全风险管理可以看成一个不断降低安全风险的过程,最终目的是使安全风险降低到一个可接受的程度,使用户和决策者可以接受剩余的风险。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃5个阶段。每个阶段都存在相关风险,需要采用同样的信息安全风险管理的方法加以控制。
信息安全风险管理是为保护信息及其相关资产,指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出,信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询6方面,其中前4项是信息安全风险管理的4个基本步骤,监控与审查和沟通与咨询则贯穿于这4个步骤中。
2、设施的安全管理
设施的安全管理包括网络的安全管理、保密设备的安全管理、硬件设施的安全管理、场地的安全管理等。
信息管理网络是一个用于收集、传输、处理和存储有关信息系统与网络的维护、运行和管理信息的、高度自动化网络化的综合管理系统,包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。安全管理又包括系统的安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。
对硬件设施的安全管理主要考虑配置管理、使用管理、维修管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然老化。对集线器、交换机、网关设备或路由器,还需防止受到拒绝服务、访问控制、后门缺陷等威胁。对传输介质还需防止电磁干扰、搭线窃听和人为破坏,对卫星信道、微波接力信道等需防止对信道的窃听及人为破坏。对保密设备主要包括保密性能指标的管理、工作状态的管理、保密设备类型、数量、分配、使用者状况的管理、密钥的管理。场地设施的安全管理。机房和场地设施的安全管理需要满足防水、防火、防静电、防雷击、防辐射、防盗窃等国家标准。人员出入控制,需要根据安全等级和涉密范围,采取必要的技术与行政措施,对人员进入和退出的时间及进入理由进行登记等。电磁辐射防护,需要根据技术上的可行性与经济上的合理性,采取设备防护、建筑物防护、区域性防护、磁场防护。
3、信息的安全管理
根据信息化建设发展的需要,信息包括三个层次的内容:一是在网络和系统中被采集、传输、处理和存储的对象,如技术文档、存储介质、各种信息等;二是指使用的各种软件;三是安全管理手段的密钥和口令等信息。软件设施的安全管理。对软件设施的安全管理主要考虑配置管理、使用和维护管理、开发管理、病毒管理。软件设施主要包括操作系统、数据库系统、应用软件、网络管理软件以及网络协议等。操作系统是整个计算机系统的基石,由于它的安全等级不高,需要提供不同安全等级的保护。对数据库系统需要加强数据库的安全性,并采用加密技术对数据库中的敏感数据加密。目前使用最广泛的网络通信协议是TCP/IP协议。由于存在许多安全设计缺陷,常常面临许多威胁。网络管理软件是安全管理的重要组成部分,常用的有HP公司的OpenView、IBM公司的NetView、SUN公司的NetManager等,也需要额外的安全措施。
① 存储介质的安全管理。存储介质包括:纸介质、磁盘、光盘、磁带、录音/录像带等,它们的安全对信息系统的恢复、信息的保密、防病毒起着十分关键的作用。对不同类别的存储介质,安全管理要求也不尽相同。对存储介质的安全管理主要考虑存储管理、使用管理、复制和销毁管理、涉密介质的安全管理。
② 技术文档的安全管理。技术文档是系统或网络在设计、开发、运行和维护中所有技术问题的文字描述。技术文档按其内容的涉密程度进行分级管理,一般分为绝密级、机密级、秘密级和公开级。对技术文档的安全管理主要考虑文档的使用、备份、借阅、销毁等方面,需要建立严格的管理制度和相关负责人。
③ 密钥和口令的安全管理。密钥是加密解密算法的关键,密钥管理就是对密钥的生成、检验、分配、保存、使用、注入、更换和销毁等过程所进行的管理。口令是进行设备管理的一种有效手段,对口令的产生、传送、使用、存储、更换均需要有效的管理和控制。
4、运行的安全管理
信息系统和网络在运行中的安全状态也是需要考虑的问题,目前常常关注安全审计和安全恢复两个安全管理问题。
安全审计是指对系统或网络运行中有关安全的情况和事件进行记录、分析并采取相应措施的管理活动。目前主要对操作系统及各种关键应用软件进行审计。安全审计工作应该由各级安全机构负责实施管理,安全审计可以采用人工、半自动或自动智能三种方式。人工审计一般通过审计员查看、分析、处理审计记录;半自动审计一般由计算机自动分析处理,再有审计员作出决策和处理;自动智能审计一般由计算机完成分析处理,并借助专家系统作出判断,更能满足不同应用环境的需求。
安全恢复是指网络和信息系统在收到灾难性打击或破坏时,为使网络和信息系统迅速恢复正常,并使损失降低到最小而进行的一系列活动。安全恢复的管理主要包括安全恢复策略的确立、安全恢复计划的制定、安全恢复计划的测试和维护、安全恢复计划的执行。
三、安全管理原则
信息安全管理应遵循统一的安全管理原则。
① 规范化原则:各阶段都应遵循安全规范要求,根据组织安全需求,制定安全策略。
② 系统化原则:根据安全工程的要求,对系统各阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
③ 综合保障原则:人员、资金、技术等多方面综合保障。
④ 以人为本原则:技术是关键,管理是核心,提高管理人员的技术素养和道德水平。
⑤ 首长负责原则:只有首长负责才能把安全管理落到实处。
⑥ 预防原则:安全管理以预防为主,并要有一定的超前意识。
⑦ 风险评估原则:根据实践对系统定期进行风险评估以改进系统的安全状况。
⑧ 动态原则:根据环境的改变和技术的进步,提高系统的保护能力。
⑨ 成本效益原则:根据资源价值和风险评估结果,采用适度的保护措施。
⑩ 均衡防护原则:根据“木桶原理”,整个系统的安全强度取决于最弱的一环,片面追求某个方面的安全强度对整个系统没有实际意义。
此外,在信息安全管理的具体实施过程中还应遵循下面的原则:分权制衡原则、最小特权原则、职权分离原则、普遍参与原则、审计独立原则等。
四、安全管理方法
信息安全管理的方法包括法律方法、行政方法、经济方法和宣传教育方法。四者相互结合,形成完整的管理方法体系。
法律方法是指通过国家制定和实施各种法规以进行管理的方法。这里的法规包括国家颁布的法律、国家及军队的各级领导机构以及各个管理系统所制定的法令、条例、制定等各种具有法律效力的规范。
行政方法是指行政组织机构和领导者运用权力,通过强制性的行政命令、规定、指示等行政手段,按照行政系统和层次,直接指挥下属工作以实施管理的方法。
宣传教育方法等都需要通过行政系统来具体地组织与贯彻实施。经济方法是根据客观经济规律,运用各种经济手段,调节各方面经济利益之间的关系,以获取较高的社会效益与经济效益的管理方法。尤其是对安全技术方法、安全产品采办、安全设施建设、安全人才培养、信息资源共享等方面应给予充分的注意。
宣传教育方法是指通过多种形式的教育,全面提高全社会的安全素质。事实证明,很多信息安全事故的发生都和人的思想因素有关。为此,可根据人员的工作性质、分层次有重点、有计划、有步骤地普及一般信息技术以及网络安全保密、线通信安全保密、电磁辐射泄密防范、信息对抗等知识与技能。
五、重点单位信息安全管理
1、建立安全管理机构
重要领域信息网络的应用单位,必须建立由本单位领导牵头的、主管部门负责的、各有关部门参加的安全管理机构,并配备安全管理人员,全面负责信息网络安全管理工作。
(1)安全管理机构的主要职责
① 负责本单位信息网络安全管理工作的组织、领导、部署、指导和协调。
② 研究本单位信息网络安全策略,落实有关安全技术防范措施,保障计算机信息系统的安全。
③ 选配本单位信息网络安全员,并负责组织信息网络管理人员和技术人员及应用人员的教育和培训工作。
④ 审定本单位内部信息网络的应急计划,做好各项应急恢复工作的组织实施。
⑤ 定期组织本单位信息网络的安全检查,督促落实各项安全管理制度。
⑥ 负责本单位年度的阶段性信息网络安全管理工作的计划、检查、总结、评比工作。
⑦ 负责本单位信息网络安全管理工作的请示报告,随时接受公安机关的指导,及时整改信息网络的安全漏洞和隐患。
⑧ 负责向公安机关报告信息网络的安全事件、事故和案件。
(2)安全管理人员的职责
网络安全法第三十四条第一款规定,关键信息基础设施的运营者应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。因此,对安全管理人员必须严格管理,安全管理人员必须是由单位审核选配,并经公安机关培训合格的专职从事信息网络安全管理工作的人员。其主要职责如下:
① 依据国家有关法律、法规制定本单位信息网络的安全保护策略。
② 在公安机关的监督和指导下,负责进行信息网络的安全检查。
③ 向公安机关报告本单位信息网络中发生的各种事件、事故和案件,协助公安机关进行现场保护和技术取证。
④ 负责制定本单位信息网络的应急计划,作为应急准备。
⑤ 负责本单位信息网络使用人员的安全教育和培训。
2、完善安全管理制度
《计算机信息系统安全保护条例》从总体上明确规定了信息网络安全保护的九项制度;同时,在日常安全管理工作中,各单位应当结合自身实际,建立具体规章制度,所有重点单位都应当进一步健全和完善以下安全管理制度:
① 安全保密制度。凡属重点单位的信息网络,均应当按照国家有关保密法规规定,建立各项保密制度,加强秘密信息管理,防止失密和泄密事件发生。
② 登记备案制度。凡信息网络进入国际联网的,均应按照《计算机信息网络国际联网安全保护管理办法》的规定,向公安机关申报备案。
③ 等级保护制度。凡信息网络使用单位均应按照国家规定的信息网络安全等级划分标准和安全等级保护管理办法,确定安全保护等级,做好安全等级保护工作。
④ 案件报告制度。凡信息网络发生的事件、事故和案件,均应按规定由有关使用单位在24小时内向当地县级以上公安机关报告。
六、不履行信息网络安全管理义务罪
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
同样,在《治安管理处罚法》第二十九条对网络违法行为的规定如下:
(一)违反国家规定,侵入计算机信息系统,造成危害的;
(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;
(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。
实施上述行为之一的,处5日以下拘留;情节较重的,处5日以上10日以下拘留。
