1国家宏观信息安全管理方面,主要有以下几方面问题:
(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.
(2)管理问题。(包括三个层次:组织建设、制度建设和人员意识)
(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.
2微观信息安全管理方面存在的主要问题为:
(1)缺乏信息安全意识与明确的信息安全方针。
(2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。
3信息安全的基本概念(重点CIA)
信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。
C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.
I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.
A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等
4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要
c.信息安全是保护个人隐私与财产的需要
5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制
方式)c.组织的原则、目标与要求
6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。
7 图1-1信息安全管理PDCA持续改进模式:.doc
系统的信息安全管理原则:
(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上
(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受
(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然
(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理
(7)全员参与的原则:
(8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
组织商务运作自
的机会,
采取措施持续性计划
实施组织所
选择的控制
与控制方式
予以改进
因此,系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。
8 威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等.
9薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等.
威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.
10风险(Risk),即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小.
经济代理人面对的随机状态可以用某种具体的概率值表示.这里的风险只表示结果的不确定性及发生的可能性大小.
11风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析
12 风险管理(Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。
a.安全控制(Security Control),降低安全风险的惯例、程序或机制。
b.剩余风险(Residual Risk),实施安全控制后,剩余的安全风险。
c.适用性声明(Applicability Statement),适用于组织需要的目标和控制的评述。
(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)
图2-2风险评估与管理的术语关系图.doc
(1)资产具有价值,并会受到威胁的潜在影响。
(2)薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成影响。
(3)威胁与薄弱点的增加导致安全风险的增加。
(4)安全风险的存在对组织的信息安全提出要求
(5)安全控制应满足安全要求。
(6)组织通过实施安全控制防范威胁,以降低安全风险。
15 .风险评估应考虑的因素:(1)信息资产及其价值(2)对这些资产的威胁,以及他们发
生的可能性(3)薄弱点(4)已有的安全控制措施
16 .风险评估的基本步骤
(1)按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁识别与评价
(3)对应每一威胁,对资产或组织存在的薄弱点进行识别与评价
(4)对已采取的安全控制进行确认
(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级
17资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。在对资产进行估价时,不仅要考虑资产的账面价格,更重要的是要考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.
18 威胁发生的可能性分析:
确定威胁发生的可能性是风险评估的重要环节,组织应根据经验和(或)有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响:
(1)资产的吸引力,如金融信息、国防信息等(2)资产转化成报酬的容易程度
(3)威胁的技术含量(4)薄弱点被利用的难易程度
19威胁发生的可能性大小(具体根据需要定,可能取大于1的值,也可能取小于1的值,
