跳到主要内容

4.2.3 信息安全管理

摘要

略。

当前社会已经进入了数字时代,其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值,例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多组织的业务也就无法运营了。新时代对于信息的安全提出了更高的要求,对信息安全的内涵也不断进行延伸和拓展。

1. CIA三要素

CIA三要素是保密性(Confidentiality)、完整性(Itegrity)和可用性(Availability)三个词的缩写。CIA是系统安全设计的目标。保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。信息安全已经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论都属于信息安全的研究领域。

CIA有其局限性。CIA关注的重心在信息,虽然这是大多数信息安全的核心要素,但对于信息系统安全而言,仅考虑ClA是不够的。信息安全的复杂性决定了还存在其他的重要因素。

CIA给出了一个信息系统整体安全模型框架,能帮助信息化工作人员在制定安全策略时形成思路,但这并不是所有需要考虑的策略。CIA可以作为规划、实施量化安全策略的基本原则,但是我们也应该认识到它的局限性。

2. 信息安全管理体系

信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,主要包括:

  • 落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
  • 开发安全策略;
  • 实施风险管理;
  • 制订业务持续性计划和灾难恢复计划;
  • 选择与实施安全措施;
  • 保证配置、变更的正确与安全;
  • 进行安全审计;
  • 保证维护支持;
  • 进行监控、检查,处理安全事件;
  • 安全意识与安全教育;
  • 人员安全管理等。

在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括:①配备安全管理人员。管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。②建立安全职能部门。建立管理信息系统安全工作的职能部门,或者明确设置一个职能部门监管信息安全工作,作为该部门的关键职责之一。③成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。④主要负责人出任领导。由组织机构的主要负责人出任信息系统安全领导小组负责人。⑤建立信息安全保密管理部门。建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。

3. 网络安全等级保护

国家市场监督管理总局、国家标准化管理委员会宣布网络安全等级保护制度2.0相关的若干国家标准正式发布,并于2019年12月1日开始实施。“等保1.0”体系以信息系统为对象,确立了五级安全保护等级,并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评工作等方面入手,形成了一套相对完整的、有明确标准的,且涵盖了制度与技术要求的等级保护规范体系。然而,随着网络安全形势日益严峻、“等保10”体系逐渐难以持续应对不容乐 观的网络安全新时代,于是“等保2.0”体系应运而生。

等保2.0将“信息系统安全”的概念扩展到了“网络安全”,其中所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

1) 安全保护等级划分

GB/T 22240《信息安全技术网络安全等级保护定级指南》定义了等级保护对象,为网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等。根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害 国家安全;第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。

2) 安全保护能力等级划分

GB/T 22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。

第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能

第五级安全保护能力:略。