第11节 安全管理.ppt

第十一章 安全管理 11.1 安全管理概述 11.2 信息安全管理策略 11.3 信息安全管理标准 11.4 本章小结 11.1 安全管理概述 11.1.1 安全管理的概念 所谓管理，是在群体活动中，为了完成一定的任务，实现既定的目标，针对特定的对象，遵循确定的原则，按照规定的程序，运用恰当的方法，所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。其中，管理的任务、目标、对象、原则、程序和方法是管理策略的内容，一系列的管理活动是在管理策略的指导下进行的。所以，首先要明确管理策略，然后才是开展管理活动。管理的概念组成如图11.1所示。 图11.1 管理的概念组成 安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别，将风险控制在可以接受的程度。 信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。信息安全管理有其相应的原则、程序和方法，来指导和实现一系列的安全管理活动。图11.2示出了管理、安全管理和信息安全管理的概念关系。 图11.2 管理、安全管理和信息安全管理的概念关系 11.1.2 安全管理的重要性 在信息时代，信息是一种资产。随着人们对信息资源利用价值的认识不断提高，信息资产的价值在不断提升，信息安全的问题越发受到重视。针对各种风险的安全技术和产品不断涌现，如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证、访问控制、安全审计等，这些都是信息安全控制的重要手段，并且还在不断地丰富和完善。但是，却容易给人们造成一种错觉，似乎足够的安全技术和产品就能够完全确保一个组织的信息安全。其实不然，仅通过技术手段实现的安全能力是有限的，主要体现在以下两个方面。 一方面，许多安全技术和产品远远没有达到人们需要的水准。例如，微软的Windows NT、IBM的AIX等常见的企业级操作系统，大部分只达到了美国国防部TCSEC C2级安全认证，而且核心技术和知识产权都是国外的，不能满足国家涉密信息系统或商业敏感信息系统的需求。再如，在计算机病毒与病毒防治软件的对抗过程中，经常是在一种新的计算机病毒出现并已经造成大量损失后，才能开发出查杀该病毒的软件，也就是说，技术往往落后于新风险的出现。 另一方面，即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。例如，虽然在网络边界设置了防火墙，但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因，防火墙的配置出现严重漏洞，其安全功效将大打折扣。再如，虽然引入了身份认证机制，但由于用户安全意识薄弱，再加上管理不严，使得口令设置或保存不当，造成口令泄漏，那么依靠口令检查的身份认证机制会完全失效。 所有这些告诉我们一个道理，即仅靠技术不能获得整体的信息安全，需要有效的安全管理来支持和补充，才能确保技术发挥其应有的安全作用，真正实现整体的信息安全。俗话说“三分技术、七分管理”，就是强调管理的重要性，在安全领域更是如此。 11.1.3 安全管理模型 安全管理的最终目标是将系统（即管理对象）的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。风险的识别与评估是安全管理的基础，风险的控制是安全管理的目的，从这个意义上讲，安全管理实际上是风险管理的过程。由此可见，安全管理策略的制定依据就是系统的风险分析和安全要求。 新的风险在不断出现，系统的安全需求也在不断变化，也就是说，安全问题是动态的。因此，安全管理应该是一个不断改进的持续发展过程。图11.3给出的安全管理模型就体现出这种持续改进的模式。安全管理模型遵循管理的一般循环模式，即计划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模式，简称PDCA模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。 图11.3 安全管理模型——PDCA持续改进模式 信息安全管理也遵循PDCA持续改进模式。信息安全管理策略包括管理的任务、目标、对象、原则、程序和方法，将在下一节进行详尽论述。信息安全管理活动包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等，简要说明如下： 制定计划制定信息安全管理的具体实施、运行和维护计划； 建立机构建立相应的安全管理机构； 落实措施选择适当的安全技术和产品并实施； 开展培训对所有相关人员进行必要的安全教育和培训； 检查效果对所构建的信息安