梁藝軍，高 強

（中國人民大學 網(wǎng)絡與教育技術中心，北京 100872）

IT服務管理體系實踐之信息安全管理

梁藝軍，高 強

（中國人民大學 網(wǎng)絡與教育技術中心，北京 100872）

本文在信息安全風險評估的基礎上，對信息安全管理作出了有益的探索，除信息安全管理的原則外，文中還對信息安全管理的主要因素分別作出包括目標和方針的簡要解釋，并給出了與之相關的管理文檔名稱和應包含的主要內(nèi)容。

信息安全；安全風險評估；信息安全因素

一、引言

隨著計算機及網(wǎng)絡技術與應用的不斷發(fā)展，數(shù)字化校園方興未艾，給學校的教學、科研和管理工作帶來了諸多便捷，但是另一方面，伴隨而來的計算機系統(tǒng)安全問題越來越引起人們的關注。信息安全管理不是一個簡單的技術問題，而是一個復雜的系統(tǒng)工程，應把信息安全管理與信息安全技術手段結合起來，對高校系統(tǒng)中的各個環(huán)節(jié)進行統(tǒng)一的規(guī)劃和綜合考慮，并兼顧環(huán)境和系統(tǒng)內(nèi)部不斷發(fā)生的變化，建立系統(tǒng)化的管理體系。根據(jù)國家網(wǎng)絡與信息安全等級保護的要求，網(wǎng)絡與信息安全包括兩大部分：技術問題和管理制度。據(jù)有關機構統(tǒng)計表明：網(wǎng)絡與信息安全事件大約有70%以上的問題是由管理因素造成的，諸如政策法規(guī)的不完善、管理制度的不健全、安全意識的淡薄和操作過程的失誤等，“三分技術，七分管理”。管理是貫穿信息安全整個過程的生命線。

二、安全管理的原則

為了保證對用戶提供的服務和用戶自身信息系統(tǒng)安全管理的一致性，在對信息系統(tǒng)的規(guī)劃設計、開發(fā)建設、運行維護和變更廢棄進行安全性考慮時，應充分遵循以下安全原則。

（1）全面統(tǒng)籌原則：信息安全保障工作貫穿于信息化全過程，堅持統(tǒng)籌規(guī)劃、突出重點，安全與發(fā)展并進，管理與技術并重，應急防御與長效機制相結合；

（2）規(guī)范化原則：遵循國內(nèi)、國際的信息安全標準及行業(yè)規(guī)范，對信息系統(tǒng)實行等級保護；

（3）責任制原則：對用戶的計算機信息系統(tǒng)安全保護工作實行“誰主管誰負責”、“預防為主、綜合治理”、“制度防范和技術防范相結合”的原則，加強制度建設，逐級建立計算機信息系統(tǒng)安全保護責任制；

（4）實用性原則：在確保信息安全的前提下，講究實效，避免重復投資和盲目投資，積極采用國家法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務，降低成本，保障安全穩(wěn)定運行。

以風險評估為基礎選擇控制目標與控制方式等，進一步分析建立信息安全管理體系應包括的因素。

三、安全風險評估

通過安全風險評估，在堅持科學、客觀、公正原則的基礎上，全面、完整地了解系統(tǒng)當前的安全狀況，分析系統(tǒng)所面臨的各種風險，根據(jù)測評結果得出系統(tǒng)存在的安全問題，并對嚴重的問題提出相應的風險控制策略。

其目標包括：了解系統(tǒng)的安全現(xiàn)狀；分析系統(tǒng)的安全需求；制定安全策略和實施安全措施的依據(jù)。

方針包括：對重要信息資產(chǎn)進行威脅和弱點的分析和評估，并結合法律法規(guī)的要求，制定并執(zhí)行適當?shù)娘L險處理計劃，以緩解所識別的信息安全風險。

主要工作任務包括：對需要評估的系統(tǒng)進行調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風險分析。評估人員要遵循相應的國家政策文件和實施指南，憑借對國家政策、理論的深刻理解和豐富的項目經(jīng)驗，對學校重要信息系統(tǒng)進行全面風險評估，及時、準確地掌握被評估信息系統(tǒng)的安全風險狀況，為相關管理部門制定安全策略、采取安全措施提供決策支持。

測評依據(jù)的政策文件包括：《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；《北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定》（2006)北京市政府令第163號；北京市《關于落實〈中共中央辦公廳、國務院辦公廳轉發(fā)國家信息化工作領導小組關于加強信息安全保障工作意見通過〉的實施計劃》（2004）3號。

四、安全管理因素分析

安全管理因素應包括人員安全、物理安全、網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全、應用安全和惡意軟件防護，所有這些構成了安全管理的基礎。其中實現(xiàn)方式應從管理制度和技術兩方面入手。以下分別對各個因素做一簡要分析。

1．人員安全

目標：降低人為差錯、盜竊、欺詐或濫用設施的風險。

方針：應制定并實施對員工與合同工等能訪問部門IT資產(chǎn)人員的甄選、定位與監(jiān)管的政策與規(guī)定。人員安全的目標是確保員工行為符合要求并能夠忠于職守，提高對安全事務的認識程度。

為了加強學校信息安全保障能力，建立健全學校的安全管理體系，提高整體的網(wǎng)絡與信息安全水平，保證網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正常運營，提高網(wǎng)絡服務質量，在學校安全體系框架下，應制定《組織體系和職責》，主要描述學校各院、系，機關各部、處及直、附屬單位安全組織體系的結構及其在安全組織體系中承擔的職責。

另外，《安全崗位人員管理辦法》是學校信息安全組織體系的重要組成部分，其詳細描述了學校各安全崗位人員的管理考核辦法；專、兼職安全管理員的崗位技能要求，及崗位工作內(nèi)容；單位安全崗位人員的錄用、審計、調(diào)動、離職等人員安全控制管理。

2．物理安全

目標：防止信息資產(chǎn)的損失、損壞或泄露及生產(chǎn)活動的中斷；防止未經(jīng)授權的活動對工作場所和信息的訪問、干擾及破壞。

方針：重要生產(chǎn)設備，諸如服務器，路由器及防火墻等，應遵循信息資產(chǎn)管理方針被識別及管理，并被置于安全場所以減少物理及環(huán)境威脅。

《機房運行管理制度》主要規(guī)定了學校機房日常運行維護的職責、機房日常運行維護工作內(nèi)容，包括機房人員管理、設備管理、日常巡檢等內(nèi)容。

3．網(wǎng)絡安全

目標：通過對網(wǎng)絡信息及其支持設施的保護，保護網(wǎng)絡傳輸信息的機密性和完整性，并按要求維護網(wǎng)絡服務的可用性。

方針：對網(wǎng)絡設備、網(wǎng)絡活動進行監(jiān)控、管理和追蹤，以確保網(wǎng)絡傳輸信息的機密性，以及對所連接服務的授權訪問。包括制定網(wǎng)絡使用策略、安全策略及操作規(guī)程，以及相關規(guī)范等。

《網(wǎng)絡安全管理規(guī)范》闡述了在對網(wǎng)絡進行設計時需要遵守的安全規(guī)范。包括在網(wǎng)絡冗余、地址分配、網(wǎng)絡傳輸、路由控制方面需要執(zhí)行的安全標準。

4.系統(tǒng)安全

目標：數(shù)據(jù)安全管理旨在降低由于未授權的訪問、信息泄露、數(shù)據(jù)損壞對部門數(shù)據(jù)造成的威脅。

方針：數(shù)據(jù)安全管理包括訪問、存儲、傳輸、處理和借用數(shù)據(jù)的安全管理，應針對基于風險分析的數(shù)據(jù)分級制定安全規(guī)范與策略。根據(jù)不同數(shù)據(jù)類型的不同機密性要求，進行不同程度的機密性保護，確保數(shù)據(jù)不被泄漏和竊取。

《主機操作系統(tǒng)安全規(guī)范》的目的是指導主機操作系統(tǒng)的安全配置。各類主機操作系統(tǒng)由于設計缺陷，不可避免地存在著各種安全漏洞而帶來安全隱患。如果沒有對操作系統(tǒng)進行安全配置，操作系統(tǒng)的安全性遠遠不能達到它的安全設計級別。絕大部分的入侵事件都是利用操作系統(tǒng)的安全漏洞和不安全配置的隱患得手的。為提高操作系統(tǒng)的安全性，確保系統(tǒng)安全高效運行，必須對操作系統(tǒng)進行安全配置。各業(yè)務系統(tǒng)管理員可根據(jù)規(guī)范和業(yè)務情況制定各主機操作系統(tǒng)的安全配置規(guī)程。從而規(guī)范主機操作系統(tǒng)的安全配置，提高主機操作系統(tǒng)的抗攻擊能力，提高主機操作系統(tǒng)的性能，提高主機操作系統(tǒng)的穩(wěn)定性。

《運行維護管理辦法》規(guī)范了系統(tǒng)管理員的組織職責、操作程序和操作記錄、登錄規(guī)程和口令管理，并定期進行安全巡查。

5．數(shù)據(jù)安全

目標：為確保環(huán)境數(shù)據(jù)（包括數(shù)據(jù)庫系統(tǒng)、用戶數(shù)據(jù)和數(shù)據(jù)傳輸）的安全，對各級數(shù)據(jù)系統(tǒng)用戶進行統(tǒng)一安全管理。

方針：加強和完善對系統(tǒng)數(shù)據(jù)庫及數(shù)據(jù)的日志管理。實現(xiàn)數(shù)據(jù)備份的完整性和可用性，通過采用最小化原則加強對各級數(shù)據(jù)庫用戶的權限訪問進行嚴格審查和控制。

《數(shù)據(jù)安全規(guī)范》應闡述學校數(shù)據(jù)的分級、標注及處置；數(shù)據(jù)的存儲安全、數(shù)據(jù)傳輸?shù)陌踩?shù)據(jù)安全等級變更；數(shù)據(jù)備份和恢復；以及與數(shù)據(jù)保護密切相關的密碼和密鑰安全。根據(jù)數(shù)據(jù)資產(chǎn)的特點，學校所屬數(shù)據(jù)信息資產(chǎn)的安全等級劃分遵循和參考以下原則：

（1）數(shù)據(jù)的保密性原則，即訪問數(shù)據(jù)所需要的授權和認證。

（2）數(shù)據(jù)的完整性原則，即只有在獲得認證和授權的情況下才能對數(shù)據(jù)進行修改和變更。

（3）數(shù)據(jù)的可用性原則，即能在任何需要的時候獲取所需數(shù)據(jù)。

6．應用安全

目標：通過規(guī)范單位應用系統(tǒng)從需求、設計、開發(fā)、測試、驗收過程中的安全問題，以及應用系統(tǒng)使用中的安全問題，達到提高單位應用安全水平的目的。

方針：網(wǎng)絡與信息系統(tǒng)的安全控制或安全性是通過系統(tǒng)的開發(fā)設計予以實現(xiàn)的，在設計階段采取控制措施遠比在實施過程中或者實施結束之后落實控制措施更廉價。若在系統(tǒng)設計階段未充分考慮系統(tǒng)的安全性，則系統(tǒng)本身就存在著先天不足。因此，應在網(wǎng)絡基礎設施、應用系統(tǒng)（包括為最終用戶開發(fā)的程序）的開發(fā)與維護階段，正確識別、確認、批準所有安全需求（包括備用安排，如手工方式），并將之文檔化。

《應用系統(tǒng)安全規(guī)范》涉及的主要內(nèi)容包括：單位應用系統(tǒng)的需求、設計、開發(fā)、測試、驗收過程注意的安全問題；單位應用系統(tǒng)在用戶管理和訪問控制方面應該注意的問題；以及單位應用系統(tǒng)安全審計等。其依據(jù)以下原則：

（1）在安全體系設計時，要充分考慮“應用安全實現(xiàn)的可控性”，以便盡可能地降低安全系統(tǒng)與應用系統(tǒng)結合過程的風險。

（2）保持安全系統(tǒng)與應用系統(tǒng)的相互獨立性，避免功能實現(xiàn)上的交叉或跨越。

（3）避免程序級別的低層接口，免除兩者結合時應用系統(tǒng)的二次編程開發(fā)。

（4）增強安全系統(tǒng)的適用性，最大程度地提供便捷可靠的結合方式。

（5）建立完善的安全控制機制，包括：用戶標識與認證、邏輯訪問控制、公共訪問控制、審計與跟蹤等。

7．惡意軟件防護

目標：惡意軟件包括但不限于木馬、蠕蟲，間諜軟件以及計算機病毒。惡意軟件管理旨在提高工作人員對惡意軟件的安全意識，以降低惡意軟件的危害。

方針：建立有效的計算機及其他移動設備軟件病毒防護、發(fā)現(xiàn)及查殺機制。應實施防止惡意軟件的偵查監(jiān)控與防護控制，并提高相關用戶防范意識。

《病毒防護管理辦法》規(guī)范學校病毒防護的安全管理，加強各單位信息服務器及辦公終端病毒的防護，確保系統(tǒng)的安全。

《安全策略管理辦法》規(guī)范學校安全策略的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實，建立科學、嚴謹?shù)墓芾磙k法。

《安全補丁管理辦法》規(guī)范信息系統(tǒng)安全補丁的識別和安裝過程，降低信息系統(tǒng)安全漏洞帶來的安全風險，提高信息系統(tǒng)的抗攻擊能力。安全補丁的管理流程包括補丁的跟進和通告、補丁的獲取、補丁的測試、補丁的加載、補丁的驗證和補丁的歸檔，必須按照流程逐步落實。

五、結束語

制度建設是安全前提。通過推行規(guī)范化管理，克服傳統(tǒng)管理中憑借個人的主觀意志驅動管理模式，不會因為人員的去留而改變，先進的管理方法和經(jīng)驗可以得到很好的繼承。☉

[1]Gad JSelig著，中治研國際信息技術研究院譯.實施IT治理：方法論、模型、全球最佳實踐[M].中國經(jīng)濟出版社.

[2]信息安全管理體系.http://baike.baidu.com/view/ 2944243.htm[DB/OL].

[3]GBT 22239-2008:信息安全技術 信息系統(tǒng)安全等級保護基本要求[S].

[4]GBT 22240-2008.信息安全技術 信息系統(tǒng)安全等級保護定級指南[S].

[5]ISO/IEC17799:Information technology-Code of practice for information security management[S].

[6]BS7799-2:Information security management-Specification for information security management systems[S].

[7]GB 17859-1999:計算機信息系統(tǒng)安全保護等級劃分準則[S].

[8]信息保障技術框架.Information Assurance Technical Framework（IATF）[S].

（編輯：楊馥紅）

G647

B

1673-8454(2011)17-0063-03