信息系统安全管理概述

时间：2022-10-09 百科知识版权反馈

【摘要】：信息安全管理工作主要体现为行政行为，因此应保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。全面防范是保障计算机信息系统安全的关键。不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统安全。

8.5.3　信息系统安全管理概述

本标准第四部分对有关基本概念和原则进行了详细的阐述。

1．信息系统安全管理内涵

信息系统安全管理是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括：

（1）落实安全组织及安全管理人员，明确角色与职责，制定安全规划；

（2）开发安全策略；

（3）实施风险管理；

（4）制定业务持续性计划和灾难恢复计划；

（5）选择与实施安全措施；

（6）保证配置、变更的正确与安全；

（7）进行安全审计；

（8）保证维护支持；

（9）进行监控、检查，处理安全事件；

（10）安全意识与安全教育；

（11）人员安全管理等。

2．主要安全要素

主要安全要素与关系，如图8-1所示。

图8-1　主要安全要素与关系

（1）资产。主要包括：

① 支持设施（例如，建筑、供电、供水、空调等）；

② 硬件资产（例如，计算机设备如处理器、监视器、膝上型电脑、调制解调器，通信设施如路由器、数字程控交换机、传真机、应答机，存储媒体如磁盘、光盘等）；

③ 信息资产（例如，数据库和数据文档，系统文件，用户手册，培训资料，操作和支持程序，持续性计划，备用系统安排，访问信息等）；

④ 软件资产（例如，应用软件，系统软件，开发工具和实用程序等）；

⑤ 生产能力或服务能力；

⑥ 人员；

⑦ 无形资产（例如，信誉，形象等）。

（2）威胁。主要包括自然威胁和人为威胁。

① 自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。

② 人为威胁分为：

a) 盗窃类型的威胁，如偷窃设备、窃取数据、盗用计算资源等；

b) 破坏类型的威胁，如破坏设备、破坏数据文件、引入恶意代码等；

c) 处理类型的威胁，如插入假的输入、隐瞒某个输出、电子欺骗、非授权改变文件、修改程序和更改设备配置等；

d) 操作错误和疏忽类型的威胁，如数据文件的误删除、误存和误改、磁盘误操作等。

e) 管理类型威胁，如安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当、人事管理漏洞等。

（3）脆弱性。与资产相关的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等的弱点；与系统相关的脆弱性如分布式系统易受伤害的特征等。

（4）意外事件影响。影响资产安全的事件，无论是有意或是突发，其后果可能毁坏资产，破坏信息系统，影响保密性、完整性、可用性和可控性等。可能的间接后果包括危及国家安全，社会稳定，造成经济损失，破坏组织或机构的社会形象等。

（5）风险。风险是某种威胁利用暴露系统脆弱性对组织或机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来评估。由于保护措施的局限性，信息系统总会面临或多或少的残留风险，组织或机构应考虑对残留风险的接受程度。

（6）保护措施。保护措施是对付威胁，减少脆弱性，限制意外事件影响，检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。应考虑采用保护措施实现下述一种或多种功能：预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。保护措施作用的区域可以包括物理环境、技术环境（如硬件、软件和通信）、人事和行政。保护措施可分为：访问控制机制、抗病毒软件、加密、数字签名、防火墙、监控和分析工具、备用电源以及信息备份等。选择保护措施时要考虑由组织或机构运行环境决定的影响安全的因素，例如，组织的、业务的、财务的、环境的、人事的、时间的、法律的、技术的边界条件以及文化的或社会的因素等。

3．信息系统安全管理的基本原则

（1）信息系统安全管理的总原则。

① 主要领导人负责原则。

信息安全保护工作事关大局，影响组织和机构的全局，组织和机构的主要领导人应把信息安全列为其最重要的任务之一，并负责提高、加强部门人员的安全意识，组织有效队伍，调动并优化配置必要的资源和经费，协调安全管理工作与各部门工作的关系，确保落实、有效。

② 规范定级原则。

组织和机构应根据其计算机信息系统及应用的重要程度、敏感程度以及自身资源的客观条件，确定相应的计算机信息系统安全保护等级，在履行相应的审批手续后，切实遵从相应等级的规范要求，制定相应的安全策略，并认真实施。

③ 依法行政原则。

信息安全管理工作主要体现为行政行为，因此应保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

④ 以人为本原则。

威胁和保障是安全管理工作的主题，它们在很大程度上受制于人为的因素。加强信息安全教育、培训和管理，强化安全意识和法治观念，提升职业道德，掌握安全技术，确保措施落实是做好信息安全管理工作的重要保证。

⑤ 适度安全原则。

安全需求的不断增加和现实资源的局限性使安全决策处于两难境地，恰当地平衡安全投入与效果是从全局上处置好安全管理工作的出发点。

⑥ 全面防范、突出重点原则。

全面防范是保障计算机信息系统安全的关键。它需要从人员、管理和技术多方面，在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实现。同时，又要从组织和机构的实际情况出发，突出自身的安全管理重点。

⑦ 系统、动态原则。

安全管理工作的系统特征突出。要按照系统工程的要求，注意各方面，各层次、各时期的相互协调、匹配和衔接，以便体现系统集成效果和前期投入的效益。同时，安全又是一种状态和动态反馈过程，随着安全利益和系统脆弱性的时空分布的变化，威胁程度的提高，系统环境的变化以及人员对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。

⑧ 控制社会影响原则。

对安全事件的处理应由授权者适时披露与发布准确一致的有关信息，避免带来不良的社会影响。

（2）主要安全管理策略。

① 分权制衡。

采取分权制衡的原则，减小未授权的修改或滥用系统资源的机会，对特定职能或责任领域的管理执行功能实施分离、独立审计，避免操作权力过分集中。

② 最小特权。

任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必需的特权，不应享有任何多余特权。

③ 选用成熟技术。

成熟的技术提供可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点然后逐步推广，减少或避免可能出现的损失。

④ 普遍参与。

不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统安全。

4．安全管理的过程

（1）安全管理过程模型。

图8-2给出了一个计算机信息系统安全管理过程模型。安全管理是一个不断发展、不断修正的过程，贯穿于信息系统生命周期，涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。对信息系统上述几个层面的安全管理是保证信息系统安全技术、安全工程、安全运行正确、安全、有效的基础。在安全管理过程模型中，每个阶段的管理工作重点不同，要求不同。

① 安全目标。

防止国家秘密和单位敏感信息的失密、泄密和窃密，防止数据的非授权修改、丢失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息及系统的可信度和资产的安全。

图8-2　计算机信息系统安全管理过程模型

② 安全保护等级的确定。

计算机信息系统的使用单位主管应根据国家有关法律法规、计算机信息系统所处理信息的安全要求和运行安全要求确定计算机信息系统的保护等级，并按照GA/T XX1-XXXX （技术要求）、GA/T XXX-XXXX（工程要求）和本标准的管理要求实施等级保护。

③ 安全风险分析与评估。

目的：识别需要控制或可接受的风险并形成风险的分析评估报告。

方法：安全风险分析时应依据有关的信息系统安全标准和规定，采用多层面、多角度的系统分析方法，制定详细的分析计划和分析步骤，避免遗漏，以保证结果的可靠和科学，并形成文档，做到有据可查。

内容与范围：信息系统安全组织、制度和人员情况，信息系统的体系结构，策略与技术运用，安全设施布控及外包服务状况，动态安全运行状况等。

分析过程：

（a）信息及信息系统的分类；

（b）识别要保护的资产及价值；

（c）分析信息资产之间的相互依赖性；

（d）识别存在的脆弱性和威胁；

（e）分析可能的入侵者和入侵活动的影响；

（f）编制安全风险分析报告。

④ 制定安全策略。

目的：为保证信息系统的安全提供框架，提供安全管理的方法，规定各部门要遵守的规范及应负的责任，为信息系统的安全具体实施提供依据和基础。以调动、协调和组织各方面的资源共同保障信息系统的安全。

方法：安全策略应由计算机信息系统使用单位的相关部门负责制定，该部门由使用单位的主管成员和专业安全技术人员以及来自该单位不同部门的相关成员组成。有条件的部门，可聘请安全专家。安全策略在制定时应兼顾结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性。安全策略应与时俱进，定期加以调整和更新。

⑤ 安全策略的内容。

（a）保护的内容和目标：安全策略中应包含计算机信息系统中要保护的所有资产以及每件资产的重要性，对计算机信息系统中的要素或资产进行分类，分类应体现各类资产的重要程度，所面临的主要威胁，并规定它们的受保护等级；

（b）明确人员的职责：明确每个人在信息安全保护中的责任和义务，以便有效地组织全员协同工作；

（c）实施保护的方法：确定保护计算机信息系统中各类资产的具体方法，如对于实体可以采用隔离、防辐射、防自然灾害的措施，对于数据信息可以采用授权访问控制技术，对于网络传输可以采用安全隧道技术等；

（d）事故的处理：为了确保任务的落实，提高安全意识和警惕性，应规定相关的奖惩条款，并建立监管机制，以保证各项条款的严格执行。

⑥ 安全需求分析。

目的：提高计算机信息系统安全服务和安全机制等安全保障措施的有效性和针对性，并形成安全需求分析报告。

方法：

（a）结合实际：针对计算机信息系统的实际环境和安全目标提出安全要求；

（b）依据标准：为了保证质量，做到有据可查，安全需求分析应符合有关标准；

（c）分层分析：从涉及的策略、体系结构、技术、管理等各个层次逐次进行分析；

（d）动态反馈：安全需求分析是一个不断发展的过程，随着系统更新换代或功能扩展、内部环境和外部环境的变化，安全需求随之发生变化。安全需求分析应保持结果的有效性、适应性，保证分析方法的科学性和系统性，安全需求分析过程应与系统发展过程同步。

内容：

（a）管理层面：根据组织和机构的实际情况，确定管理机构或部门的形态和规模，并明确其目标、原则、任务、功能和人员配置等；

（b）物理层面：根据组织或机构的实际情况，确定各类实体财产的安全级别，以及需要保护的程度和方法；

（c）系统层面：明确操作平台应该具备的安全级别，以及为达到所要求的级别，应选用的操作系统等；

（d）网络层面：根据信息系统的业务方向，分析系统的网络，特别是网络边界的安全需求，确定应采用的防护体系；

（e）应用层面：基于网络的应用以及应用供应商的多样性和复杂性，相应的安全防护体系和技术措施不尽相同，需要根据实际情况来确定、选择其安全需求。

⑦ 安全措施的实施。

目的：实现安全防护体系，保证达到GA/T XXX-XXXX（工程要求）的要求。

方法：

（a）遵从保质、经济、高效的原则，正确选择实施单位，依据一份详细、准确、完备的文档化实施方案，对实施过程进行严格控制。

（b）对方案要详细说明安全过程各个阶段的建设目标、工作内容、施工人员、任务分工、进度安排、产品选型、产品采购、资金投入等情况，并给出每一项的依据和理由，分析每项工作的作用、意义和局限性，明确实施各方的工作关系、责权和协调协同机制。

（c）对实施方案进行评审时既要兼顾整体，又要注意细节，严格对照组织或机构的安全策略、安全需求和实际情况进行检验，并对所有的备选方案进行认真的分析比较，确保选中的方案达到设想的要求和标准。

（d）在安全措施实施过程中，所采用的技术与产品应经过严格的测试选型，符合国家信息安全方面的法律法规，特别是涉及密码技术的产品，应严格按照国家和主管部门的有关规定选型和采购。

（e）实施应按照GA/T XXX-XXXX（工程要求）的要求进行。

（f）如本单位没有实施条件，应选择具备相应资质和合适、可靠的实施单位来实施信息系统安全措施。

⑧ 安全实施过程的监理。

目的：在安全实施过程中建立安全监理制度，检验施工单位的质量水平和责任心，保证工程各阶段的质量。

方法：安全实施过程的监理主要从实施的规范、流程、进度等方面进行监督与检查，确保各环节的质量。安全监理单位或个人应是经过有关部门批准的第三方中立机构或具有相应资质的个人，保证安全措施实施按照合理的流程与技术标准进行，保证实施过程的有效性。

（a）实施前的监理：对所选安全产品的真实性、质量、到货时间进行检查；对工程实施人员进行身份及资质审核；对实施单位的具体实施步骤及每个步骤中的具体实施计划文档进行审核；对实施单位开始实施工程的时间和完工的时间进行事前记录。

（b）实施中的监理：对工程实施进度进行计划和督促，防止延误工期；对工程实施过程的真实性和与方案的符合性进行监督；对工程实施人员的身份在实施过程中进行再检查；对软硬件产品在工程实施中的完好性和真实性进行检查；对工程实施中已完成的部分进行局部验收，发现问题令其及时纠正；对实施人员的能力和态度进行审核；对于敏感性、关键性信息系统，应由该组织或机构委派专人在现场实施全过程监控，负责零事故的安全保障。

（c）实施后的监理：对是否达到相应的安全级别进行严格验收；对产品配置的合理性、有效性进行验收；对安全配置是否影响系统的性能进行验收；对实施的进度进行验收；对信息系统的安全现状进行测试与评估；聘请安全专家或有关安全部门对信息系统的安全现状进行评估。

安全措施实施过程检查的结果应由实施和检查单位法人代表和检查人员签字，以便有关部门和使用单位检查。

⑨ 信息系统的安全审核。

目的：检验、监督安全工作的落实情况，确保信息系统达到GB17859-1999要求的相应安全等级。

方法：

（a）应根据国家有关部门的具体规定实施信息系统的安全检查工作，实施独立审计。

（b）信息系统的各应用单位有关人员或组织除实施自查外，应积极配合国家有关部门对所用系统实施安全检查。

（c）对技术上的安全措施要通过其使用、配置情况，检查它们是否达到了有关的要求。检查的方法有多种，例如，通过查看系统的日志，分析出系统在运行过程中遇到的意外情况以及使用情况；或者对安全措施进行测试，查看它们能否达到规定的安全水平等。

（d）对安全管理的检查，可以通过审阅有关机构或人员的工作记录，规定他们定期进行总结汇报，并对检查的结果进行核实，还可以发动单位内的所有人员对管理机构的运作进行监督。

（e）对人员安全意识的检查可以通过问卷、座谈等方式进行，并建立定期考核制度。

（f）应建立不定期的抽查制度，避免作弊行为或虚假的检查结果。

内容：

（a）安全策略的检查：检查结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性。

（b）技术措施的检查：根据有关的技术标准，结合实际情况，分析安全措施的保护能力及能够满足需求的程度，并进一步研究该项措施在当前环境和将来环境中的作用以及可行性；涉及多个技术领域时，检查过程中需要聘请相关专业专家共同参与，并将检查结果形成详细准确的报告，再由小组进行论证评审，以确定该措施当前的有效性；涉及密码技术时，检查密码体制、密码产品和密钥管理体系的使用和管理是否符合国家有关部门的规定。

（c）管理措施的检查：主要是检查安全管理机构是否健全，管理职能和管理职责是否明确，有关的政策、法规、制度、规定是否完善，人员的安全意识如何，相关的安全教育和培训工作开展得怎样，效果如何。

（2）生命周期管理。

目的：对计算机信息系统实施生命周期全程管理。

方法：

① 计划阶段：通过风险分析明确安全需求，确定安全目标，制定安全策略，拟定安全要求的性能指标。

② 实施阶段：依据安全要求选择相应的安全措施，采购或设计安全系统，根据工程要求实施和部署，并对安全措施进行验证、验收。

③ 运行维护阶段：通过检查、检测、审计和对风险变更的监视和评估保证运行安全。

④ 生命周期结束阶段：对计算机信息系统的信息进行安全处置。

5．安全管理组织

单位的最高主管对本单位计算机信息系统安全负有主要责任，应根据使用的计算机信息系统的保护等级和计算机信息系统规模设立安全管理职责体系，明确安全管理人员的职责，保证安全管理人员有效行使计算机信息系统安全管理的权利。如无特殊说明，在下列叙述中所涉及的安全管理机构要求，均指根据实际情况建立的安全管理职责体系要求。常见的安全管理组织结构如图8-3所示。

图8-3　安全管理组织结构

（1）安全领导小组的主要职责：

① 负责与国家各级计算机信息系统安全主管部门建立日常工作关系；

② 定期向当地公安机关信息安全监察部门报告本单位信息安全保护管理情况，及时报告重大安全事件；

③ 组织、协调、指导计算机信息系统的安全开发工作；

④ 组织并领导有关人员制定、评审本单位计算机信息系统安全策略、标准、安全工作流程、各种规章制度；

⑤ 确定计算机信息系统各类人员的职责和权限；

⑥ 审议并通过安全规划，年度安全报告，有关安全的宣传、教育、培训计划。

（2）系统安全管理人员的主要职责：

① 负责应承担的日常安全工作；

② 遇到违法犯罪事件，应妥善保护案发现场，协助公安机关调查、取证；

③ 对已证实的重大的安全违规、违纪事件及泄密事件及时进行处理；

④ 安全审计跟踪分析和安全检查，及时发现安全隐患和犯罪嫌疑，防患于未然；

⑤ 负责定期向所属组织或机构的领导层（或管理层）汇报安全工作。

6．人员安全

（1）人员审查。

制定人员审查制度。应根据计算机信息系统安全等级的需要确定人员审查内容。信息系统的有关人员应具有政治可靠、思想进步、作风正派、技术合格、职业道德良好等基本素质。录用关键工作岗位的工作人员时应按照其申请表中的个人历史逐一审查，必要时要亲自会见证明人，对以前的经历和人品进行确认。对在职人员应进行定期审查，当工作人员婚姻、经济、身体等状况发生变化，或被怀疑违反了安全规则，或对其可靠性产生怀疑时，都应进行重新审查。

（2）岗位责任和授权。

根据分权制衡和最小特权原则，建立岗位责任制度和授权制度。明确所有人员在系统中的安全职责和权限，职责和权限要文档化，并要求签字确认。所有人员的工作和活动范围应当被限制在完成其任务的最小范围内。关键岗位人员不允许兼职。

（3）人员培训。

建立人员培训制度，明确培训内容。定期对计算机信息系统的操作和维护人员进行培训，经过培训的人员才能上岗工作。

（4）人员考核建立人员考核制度。

定期从政治思想、业务水平、工作表现、遵守安全规程等方面对计算机信息系统工作人员进行考核。对考核合格者应予表扬和奖励，考核发现不合格者应予以教育、批评或处罚直至调离岗位。

（5）签订保密合同。

计算机信息系统所涉及的工作人员（长期或临时），应签订保密合同，承诺其对系统应尽的安全保密义务，保证在岗工作期间和离岗后一定时期内，均不得违反保密合同、泄露系统秘密。保密合同的内容应符合国家有关规定。对违反保密合同的应设有惩处条款。

（6）人员调离。

建立人员调离安全管理制度。对调离人员，应严格办理调离手续，交回所有钥匙及证件，退还全部技术手册、软件及其他相关资料。系统应及时更换系统口令和相关机要锁、撤销其用过的所有账号。重要机房或岗位的工作人员一旦辞职或调离，应立即撤销其出入安全区域、接触敏感信息的授权。

7．安全管理制度

（1）物理安全方面的规章制度。