【中国大英博物馆】信息安全管理中的标准化.pdfVIP

信息安全管理中的标准化 深圳市标准技术研究院 黄寅 二○○六年八月 一、 什么是信息安全 信息是一种资产，就象其它重要的商业资产一样，它对一个单位来说是有价值的， 因此需要妥善进行保护。信息安全就是保护信息免受多种威胁的攻击，保证业务连续性， 将业务损失降至最少，同时最大限度地获得投资回报。信息有多种多样的形式。它可以 打印或写在纸上，以电子文档形式储存，通过邮寄或电子手段传播，以胶片形式显示或 在交谈中表达出来。不管信息的形式如何，或通过什么手段进行共享或存储，都应加以 妥善保护。 信息安全具有以下特征： a) 保密性：确保只有经过授权的人才能访问信息； b) 完整性：保护信息和信息的处理方法准确而完整； c) 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步 深圳市标准技术研究院 骤、组织结构和软件功能。对于一个单位来说，必须建立起一整套的控制措施，来确保 先期设定的安全 目标得以实现。 二、 为什么需要信息安全 信息和系统以及网络都是重要的业务资产。为保证单位具有长期的竞争力，保持业 务的正常运行并获得相应的社会效益和经济效益，以及 良好的社会形象，信息的保密性、 完整性和可用性是至关重要的。 目前，信息系统和网络所面临的安全威胁与日俱增，来源也日益广泛，包括利用计 算机欺诈、窃取机密、恶意诋毁破坏等人为行为，以及火灾或水灾等 自然灾害。危害的 来源多种多样，如计算机病毒、计算机黑客行为、拒绝服务攻击等等，利用网络的这种 破坏行为，传播更加飞快、用意更加险恶、手段更加复杂。现在单位对于信息系统和服 务的日趋依赖意味着 自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及 对信息资源的共享，增大了对访问进行控制的难度。很多信息系统在设计时，没有考虑 到安全问题，或者由于成本问题，而较少的顾及安全问题。 1 因此，单纯通过技术手段获得的安全保障十分有限，必须有相应的管理手段和操作 规范才能得到真正的安全保障。首先确定需要使用什么样控制措施来满足对安全的需 要，然后确定详细的安全管理体系。 作为信息安全管理的最基本要求，单位内所有的人员都应参与信息安全管理，尤其 是单位的最高层管理者。 如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息 安全控制的成本会很低，并且更有效率。 三、 信息安全管理标准 1、国际标准 首先需要介绍的是国际上最权威的由国际标准化组织(ISO)和国际电工委员会(IEC) 所制定的国际标准。 ISO 和 IEC 是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相 关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定。 信息安全管理标准 （ISO/IEC 17799 ） 深圳市标准技术研究院 信息安全管理标准 （ISO 13335 ） ISO 13335 分成 5 个部分： ISO/IEC13335-1:1996， IT 安全的概念与模型； ISO/IEC13335-2:1997， IT 安全管理和计划制定； ISO/IEC13335-3:1998， IT 安全管理技术； ISO/IEC13335-4:2000， 安全措施的选择； ISO/IEC13335-5:2001, 网络安全管理指南； 2 、国内标准 我国主要采用与国际标准靠拢的方式。公安部主持制定、国家质量技术监督局发布 的中华人民共和国国家标准 GB 17895-1999 《计算机信息系统安全保护等级划分准则》 已正式颁布并实施。该准则将信息系统安全分为 5 个等级：自主保护级、系统审计保护 级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认 证、自主访问控制、数据完整性、审计等。