第部分信息系统安全技术分析.ppt

信息系统安全 首都医科大学宣武医院 尚邦治 2011.11 一. 信息系统安全的范围 信息系统安全的核心一是保证信息系统正常进行；二是保证信息的安全。 信息系统的安全问题对于不同行业有不同要求。 信息系统的安全可以分为信息安全和信息系统安全。 信息安全指保证信息本身的安全。 信息系统安全问题涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等问题等。信息系统安全是一项系统工程。 1.影响信息安全的因素 二.信息安全标准 信息安全具有三个特性：保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。 保密性：保证信息只有被授权的使用者可以访问。 完整性：保护信息及其处理方法的准确性和完整性。 可用性：保证授权使用者在需要时可以获取信息和使用相关的资源。 二. 信息安全标准（续1） 医院的信息安全比较简单，主要是保证数据不被非法修改；数据可以长期保存；保证数据不被病毒感染；备份的数据可以正确恢复。 在医院这个特定的地域范围内保证数据不被非法修改比较容易实现。数据长期保存问题涉及存储介质、存储方案、数据存储的管理等问题。防止病毒感染数据主要依靠管理。备份数据的正确恢复问题比较复杂，主要是数据正确性的验证问题。 信息安全是一个复杂的系统问题，必须以系统的方法解决。建立信息安全管理体系是保证系统信息安全问题的有效方法。 国际公认的保证信息安全的最有效的方式是采用系统的方法,即： 管理+技术 二. 信息安全标准（续2） 有关信息安全的国家标准是《信息技术 信息安全管理实用规则》GB/T 19716-2005。 该标准对信息安全管理给出建议。为有效的安全管理做法提供公共基础。 该标准主要内容包括：安全策略、组织的安全、资产分类和控制、人员安全、物理和环境的安全、通信和操作管理、访问控制、系统开发和维护、业务连续性管理等九部分。 二.信息安全标准（续3） (一)安全策略 1.信息安全策略 目的：提供管理方向和支持信息安全。 1)信息安全策略文档。策略文档要由管理层批准。策略文档应说明管理承诺，并提出组织的管理信息安全的途径。策略文档包括： a)信息安全定义、其总目标和范围以及在信息共享允许机制下安全的重要性； b)管理层意图的说明，以支持信息安全的目标和原则； c)对组织特别重要的安全策略、原则、标准和符合性要求的简要说明。 二.信息安全标准（续4） (一)安全策略（续） 1.信息安全策略（续） (1)安全教育要求； (2)防范和检测病毒和其它恶意软件； (3)业务连续性管理； (4)安全策略违反的后果； d)安全信息管理的总职责和特定职责的定义； e)引用可以支持策略的文档，例如，特定信息系统的更加详细的安全策略和规程，或用户应遵守的安全规则。 2)评审和评价。该策略应有专人负责，他按照所定义的评审过程负责其维护和评审。在风险发生任何变更后，都要重新进行评审。 二.信息安全标准（续5） (二)组织的安全 1.信息安全基础设施 目的：管理组织范围内的信息安全。 （1）管理信息安全协调小组 （2）信息安全协调 （3）信息安全职责的分配 （4）信息处理设施的授权过程 （5）专家的信息安全建议 （6）组织之间的合作 （7）信息安全的独立评审 二.信息安全标准（续6） (二)组织的安全（续） 2.第三方访问的安全 目的：维护被第三方所访问的组织的信息处理设施和信息资产的安全。 1）标识第三方访问的风险 （1）访问类型。 物理访问：访问机房，档案室 逻辑访问：访问数据库、信息系统 （2）访问的原因 （3）现场合同方 2）第三方合同中的安全要求 二.信息安全标准（续7） (二)组织的安全（续） 3.外包 目的：信息处理的职责是在外包给其他组织时维护信息安全。 1）外部合同中的安全要求 (1)满足法律要求 (2)确保外部所涉及的各方知道其安全职责 (3)维护和测试组织的业务资产的完整性和保密性 (4)如何控制已授权用户访问业务数据。 (5)发生自然灾害，如何维护服务的可用性 (6)对外包设备要提供什么等级的物理安全 (7)审核的权利 二.信息安全标准（续8） （三）资产分类和控制 1.资产的可核查性 目的：维持对组织资产的相应保护， 1）资产清单 (1)信息资产：数据库、系统文档、用户手册、培训教材； (2)软件资产：应用软件、系统软件、开发工具； (3)物理资产：计算机设备、通信设备、磁媒体； (4)服务： 二.信息安全标准（续9） （三）资产分类和控制（续） 2.信息分类 目的：确保信息资产受到相应等级的保护。 1）分类指南 信息分类是确定该信息如何予以处理和保护。