信息安全管理 112P.pptVIP

5.1.1　什么是信息安全管理　　信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题，技术和产品的应用，一定程度上解决了部分信息安全问题。但是仅仅依靠这些产品和技术还不够，即使采购和使用了足够先进、数量足够多的信息安全产品，如防火墙、防病毒、入侵检测、漏洞扫描等，仍然无法避免一些安全事件的发生。 更何况，对于组织中人员信息的安全问题、信息安全成本投入和回报的平衡问题、信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。　　依据国家计算机应急响应中心发布的数据，所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部非法人员的攻击造成的，如图5-1所示。 　　图5-1　造成计算机安全事件的原因分析 　　简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理已成为信息安全保障的重要基础，管理在解决信息安全问题中具有十分重要的作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面，信息安全的有效性和长期性才能得到保障。　　信息安全管理(ISM，Information Security Management)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。 　　信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。　　信息安全管理涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。　　信息安全建设是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和构架， 并要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程，这也是组织需要信息安全管理的基本出发点。　　总之，信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动，有效的信息安全管理应该是在有限的成本下，尽量做到安全“滴水不漏”。 5.1.2　信息安全管理现状　　在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存，但是现在，人们将各种重要的信息存放在各种计算机或网络信息系统中。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散等特性，从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。　　2005年9月，美国能源部一个研制核武器的部门网站被电脑黑客侵入，大约1500名工作人员的个人信息被盗。 2006年5月，美国退伍军人事务部一名工作人员的住所失窃，一个储存了约2650万名退伍军人和大量现役军人身份信息的电脑硬盘被盗。2006年7月，一台可能储存有3.8万名退伍军人个人信息的台式电脑在退伍军人事务部的分包商优利公司的一处办公室内被盗，电脑中存有退伍军人的个人姓名、住址、社会安全号码、出生日期、投保的保险公司及有关索赔信息等。2008年8月，一部保存3.3万名旅客个人敏感资料的无加密手提计算机在旧金山国际机场被人偷去，手提计算机中保存有申请者姓名、地址和出生日期， 部分有驾驶执照、护照或绿卡号码等信息。2010年位于美国马萨诸塞州的南岸医院宣布他们丢失了80万份文件。这些文件涉及到患者、合作伙伴和医院职员的健康和财政信息，时间跨度为15年。由于苹果合作运营商ATT网站的安全漏洞，2010年6月苹果发生安全泄露事件，影响11.4万iPad用户，其中包括很多公司CEO、军方高官和白宫政治家。在垃圾邮件和恶意黑客面前，iPad和所有其他无线平板电脑买家可能变得相当脆弱。对于一款面市仅2个月、进网仅1个月的产品来说，是一个非常坏的消息，或许将直接导致3G版iPad销量的大幅下滑。 　　我国面临的计算机信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令人担忧，有些单位和组织根本没有意识到网络安全的重要性，即使是对外宣称采用了安全防范措施的单位，实际上也有许多安全隐患。如果说“iPad 3G用户信息泄漏”事件和美国“南岸医院80万份文件泄漏”事件似乎看起来还有些“遥远”的话，国内某知名大型网络安全公司在2011新年伊始引发的大规模用户数据泄漏事件就近在眼前了。 CSDN官方已确认超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露，部分用户账号面临风险，网站将因此临时关闭用户登录，涉及用户600万。随后，多