02 郑州 2015 网络安全员培训考试资料 管理 第二章.docVIP

第二章 信息网络安全管理 信息网络安全管理完成的任务是保护信息网络和信息资源安全，目标是保证信息资产的机密性、可用性、完整性、可控性和不可否认性，特定的对象是信息和信息网络。信息安全管理的原则、方法，所进行的计划、组织、指挥、协调和控制，分为两个层次，一个是国家层面上；另一个是组织自身。 国家的管理是依赖于立法并通过行政执法机关进行监管来实现。而组织自身的管理则应该通过安全管理组织，制定信息安全策略，建立信息安全管理制度和机制来实现，也就是说应该建立一个信息安全管理体系来实现组织的信息安全管理。 信息网络安全管理的主要内容有：主要领导负责的逐级安全保护管理责任制，配备专职或兼职的安全员，各级职责划分明确并有效开展工作，明确运行和使用部门或岗位责任制，建立安全管理规章制度； 在职工群众中普及安全知识，对重点岗位职工进行专门培训和考核，采取必要的安全技术措施；对安全保护工作有档案记录和应急计划，定期进行安全检测、风险分析和安全隐患整改；实行信息安全等级保护制度。 信息安全管理坚持“谁主管谁负责，谁运行谁负责”的原则。信息安全管理组织的职责是制定工作人员守则、安全操作规范和管理制度，经主管领导批准后监督执行；组织进行信息网络建设和运行安全检测检查，掌握详细的安全资料，研究制定安全对策和措施；定期总结安全工作，并接受公安机关公共信息网络安全监察部门的工作指导。 一、信息网络安全管理的发展历程 在现代通讯工具电报发明以来，信息安全的重点是确保信息的保密性，包括商业秘密、军事秘密及个人隐私。信息安全的控制方法比较简单，例如采用安全信使传递秘密口信与信件，通过人员的保密意识与物理安全控制的方式来达到信息安全的目的。 随着信息时代的到来，网络技术与现代通信技术得到了飞速的发展，信息技术被广泛地应用于各行各业，信息安全扩展为对信息的保密性、完整性、可用性和可控性的全面保持。为确保信息的安全，信息安全技术被许多机构和组织广泛采用，如加密技术、防病毒技术、访问控制技术、入侵检测技术等。 各种与信息安全有关的信息处理设施与软件产品的质量和安全性也得到了人们的普遍重视，如计算机的性能要求、应用软件的可靠性、安全性要求等。同时，与信息安全有关的法律法规、安全技术标准也应运而生，如NIST(National Institute of Standards and Technology)的800系列安全原理和标准、IPSec网络安全协议标准、CC信息技术安全评价标准等。 信息安全管理最初认为只要有先进的安全技术就可实现系统的信息安全，但后来通过调查研究发现，信息安全问题有70％到80％是由系统本身和系统内部管理问题引起的。因此，人们才开始注重信息安全管理问题。这就是人们常说的从“七分技术，三分管理”到“三分技术，七分管理”的转变。 1995年英国率先推出了BS7799信息安全管理标准，这堪称是信息安全管理历史上的一个里程碑。该标准在2000年12月被ISO(国际标准化组织)认可为国际通用标准，并命名为ISO／IECl7799——信息安全管理体系国际标准。 我国在信息安全技术和管理方面还相对落后于一些发达国家，信息安全管理一直没有被忽视，1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》。这是我国一切计算机信息系统安全管理的基石，也是制定其他有关信息安全管理法规、条例、办法等最根本的依据。 目前，我国的信息安全管理主要依靠传统的管理方式与技术手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性。保护信息安全，国际公认的、最有效的方式是采用系统的方法(管理+技术)保护信息安全。 二、信息网络安全管理体系结构 信息安全管理体系(ISMS)(Information Security Management System)是组织在整体或特定的范围内建立信息安全方针和目标，以及完成这些目标所用的方法，它是直接管理的结果，表示方针、原则、目标、方法、过程、核查表等要素的集合。 一个组织的信息安全管理体系的建立，首先应该建立自己的管理组织，这一点在BS 7799标准中有明确的提出，我们国家的公共行业标准GA 39l也明确地提出了组织应该建立信息安全领导小组这样的管理组织。在信息安全管理组织的领导下，制定组织的信息安全策略，建立信息安全管理制度，并要有一套可操作的保障机制来保证这些策略和制度的落实。 （一） 信息网络安全管理的要素分析 管理信息网络系统是一项复杂而又具有挑战性的任务，它具有以下特点：涉及范围广、牵连人员多、安全需求各异、技术进步迅速。因此，首先要对其各构成要素有一个清醒的认识，这主要包括： 1．安全策略 安全策略是整个信息网络安全管理总的指导性文件。其目