系统集成项目信息系统安全管理.doc

WORD格式可编辑 专业知识整理分享 系统集成项目信息系统安全管理 17.1信息安全管理 17.1.1信息安全含义及目标 1．信息安全定义 现代社会已经进入了信息社会，其突出的特点表现为信息的价值在很多方面超过其 信息处理设施包括信息载体本身的价值，例如一台计算机上存储和处理的信息价值往往 超过计算机本身的价值。另外，现代社会的各类组织，包括政府、企业，对信息以及信 息处理设施的依赖也越来越大，一旦信息丢失或泄密、信息处理设施中断，很多政府及 企事业单位的业务也就无法运营了。 现代信息社会对于信息的安全提出了更高的要求，对信息安全的内涵也不断进行延 伸和拓展。国际标准ISO/IEC27001: 2005《信息技术．安全技术．信息安全管理体系．要求》 标准中给出目前国际上的一个公认的信息安全的定义：“保护信息的必威体育官网网址性、完整性、可 用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性。” 2．信息安全属性及目标 (1)必威体育官网网址性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特 性。”简单地说，就是确保所传输的数据只被其预定的接收者读取。必威体育官网网址性的破坏有多种 可能，例如，信息的故意泄露或松懈的安全管理。数据的必威体育官网网址性可以通过下列技术来 实现。 ·网绺安全协议。’ ·网络认证服务。 ·数据加密服务。 (2)完整性。是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的 数据就是发送的数据。数据不应该被改变，这需要某种方法去进行验证。确保数据完整 性的技术包括： ·消息源的不可抵赖。 ·防火墙系统。 ·通信安全。 ·入侵检测系统 (3)可用性。是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在 需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴，但随着拒绝服务攻 击的逐渐盛行，要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以 下几个方面。 ·磁盘和系统的容错及备份。 ·可接受的登录及进程性能。 ·可靠的功能性的安全进程和机制。 必威体育官网网址性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常 被称为信息安全三元组，这也是信息安全通常所强调的目标。 (4)其他属性及目标。 另外，信息安全也关注一些其他特性：真实性一般是指对信息的来源进行判断，能 对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该 实体的特性，这个特性就是要求该实体对其行为负责，可核查性也为探测和调查安全违 规事件提供了可能性。不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这 一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和给定的条件下，无 故障完成规定功能的概率，通常用平均故障间隔时间(Mean Time Between Failure， MTBF)来度量。 信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安 全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义来说，凡是涉及网 络上信息的必威体育官网网址性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息 安全的研究领域。 17.1.2信息安全管理的内容 ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信 息安全管理系列标准，它包括ISO/IEC27001《信息技术．安全技术．信息安全管理体系． 要求》、ISO/IEC27002《信息技术一安全技术·信息安全管理体系·实践准则》等系列标准。 ISO/IEC27000系列标准是当前全球业界信息安全管理实践的必威体育精装版总结，为各种类型的组 织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。 在ISO/IEC27000系列标准中，它将信息安全管理的内容主要概括为如下1 1个方面。 1．信息安全方针与策略 为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。管理 者应根据业务目标制定清晰的方针和策略，并通过在整个组织中颁发和维护信息安全方 针来表明对信息安全的支持和承诺。 2．组织信息安全 要建立管理框架．以启动和控制组织范围内的信息安全的实施。 管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实 施。需要时，在组织范围内建立信息安全专家库，发展与外部安全专家或组织（包括相 关政府机构）的联系，以便跟上行业发展趋势、跟踪标准和评估方法，