1、概 述第1頁，共29頁。概 述 信息安全學是一門新興的學科，2019年成為一門正式的本科專業，目前已經成為很多科研機構和大專院校的一個重要研究領域。 信息安全管理是隨信息安全學科發展而產生的新的研究方向，主要討論信息安全管理的內涵、內容、體系、實施過程以及信息安全管理相關的法規和標準。使得我們能夠擬定簡單的信息安全管理解決方案，應用信息安全管理手段構建簡單的信息安全管理體系，解決實際安全問題。第2頁，共29頁。參考圖書信息安全概論 李俊宇，人民郵電出版社，2019.8 。信息安全管理平臺理論與實踐，王代潮等，機械工業出版社，2019年。信息安全管理，Michael E. Whitman 等，重

2、慶大學出版社，2019.3 。密碼學原理與實踐（第二版）Douglas R. Stinson，電子工業出版社，2019.2 。第3頁，共29頁。1.1 信息安全1、信息安全的定義 信息安全（ InfoSec）就是保護信息及其關鍵要素，包括使用、存儲以及傳輸信息的系統和硬件。（基于美國國家安全系統委員會（ CNSS，Committee onNationalSecurity Systems）發布的標準。該委員會以前被稱為國家安全通信以及信息系統安全委員會（ NSTISSC，NationalSecurity Telecommunications and InformationSystemsSecur

3、ity Committee）。 ） 2、信息安全的范圍 信息安全管理（本學科）計算機與數據安全網絡安全。 第4頁，共29頁。1.1 信息安全信息安全的核心內容是有關信息安全的策略 。第5頁，共29頁。1.1 信息安全3、NSTISSC 安全模型NSTISSC 安全模型，闡明了討論信息安全問題的 3 維空間。如果我們將由這 3 個坐標軸所描繪的三維空間中的關系擴展開來，最終會得到一個被分割成 27 部分的 3 3 3 立方體。每一個被分割出來的立方體，都代表著三維空間中的一個交集，是信息系統安全問題所必須處理的。（舉例：表示技術、完整性以及存儲的交集區域 ）第6頁，共29頁。1.1 信息安全4、

4、信息安全的3種特性機密性（confidentiality ）完整性（integrity ）可用性 （availability ）機密性信息的機密性確保了只有那些有足夠權限并且經證實有這個需要的人，才能夠訪問該信息。為了保護信息的機密性，我們采取了一系列措施，包括：信息分類確保文檔存儲安全運用一般的安全策略對信息所有者和終端用戶進行教育使用密碼技術第7頁，共29頁。1.1 信息安全完整性完整性即指整體性（whole）、完全性（complete）以及未受侵蝕（uncorrupted）的特性或狀態。一方面它指在信息使用、傳輸、存儲的過程中不發生篡改、丟失、錯誤；另一方面是指信息處理方法的正確性（執行

5、不正當的操作可能造成重要文件的丟失，甚至整個系統的癱瘓）。當信息受到侵蝕（corruption）、損壞（damage）、毀壞（destruction）或其他干擾時，信息的完整性受到極大威脅。不當的編程甚至是傳輸信道或傳輸介質上的噪聲都會使數據完整性受到損壞。 可用性可用性也是信息的一種特性，在信息處于可用狀態時， 信息及相關的信息資產在授權人需要的時候可以立即獲得。第8頁，共29頁。1.2 管理的基本概念1、什么是管理孔茨：管理就是設計和保持一種良好環境，使人在群體里高效率地完成既定目標。（管理追求效益效率）彼得F德魯克：歸根到底，管理是一種實踐，其本質不在于“知”而在于“行”，其驗證不在于邏

6、輯，而在于成果；其唯一權威就是成就。（管理強調結果 ）法約爾：管理是所有的人類組織（不論是家庭、企業或政府）都有的一種活動，這種活動由五項要素組成：計劃、組織、指揮、協調和控制。管理就是實行計劃、組織、指揮、協調和控制。（管理是一個由計劃、組織、人事、領導和控制組成的完整的過程）第9頁，共29頁。1.2 管理的基本概念2、管理活動的五個基本要素：誰來管：管理主體，回答由誰管的問題；管什么：管理客體，回答管什么的問題；怎么管：組織的目的要求，回答如何管的問題；靠什么管：組織環境或條件，回答在什么情況下管的問題。管得怎么樣：管理能力和效果，回答管理成效問題。第10頁，共29頁。1.3 信息安全管理

7、的內涵1、信息安全管理的概念 信息安全管理是通過維護信息的機密性、完整性和可用性等，來管理和保護信息資產的一項體制，是對信息安全保障進行指導、規范和管理的一系列活動和過程。 第11頁，共29頁。1.3 信息安全管理的內涵2、信息安全管理的內容安全方針和策略組織安全資產分類與控制人員安全物理與環境安全通信、運行與操作安全訪問控制系統獲取、開發與維護安全事故管理業務持續性符合性第12頁，共29頁。1.4 信息安全管理的原則信息安全管理團隊是大多數機構中發揮作用的利益團體之一。作為管理團隊的一部分，它的運作像其他管理組織一樣，有著共同的領導和管理特點。然而，信息安全管理團隊的目標和目的不同于 IT

8、團體和普通管理團體，他們著重于確保機構的正常運作。 一般認為這些信息安全管理的擴展特性有 6個 :計劃策略項目保護人員項目管理第13頁，共29頁。1.4 信息安全管理的原則1、計劃制定信息安全管理計劃，是基本計劃模型的一個擴展。信息安全計劃模型包含了一系列的操作，這些操作對信息安全戰略的設計、創建和實施都是必須的，因為它們同樣也出現在 IT 計劃之中。業務戰略被轉變為 IT 戰略，然后又轉變為信息安全戰略或策略。 CIO用從業務部門的各種計劃中收集來的 IT 目標來制定機構的 IT 戰略，然后按照這個戰略為每個 IT 職能部門分配計劃任務。依靠機構中信息安全職能的定位，IT戰略可以用于信息安全

9、計劃的制定。 信息安全計劃包括事件響應計劃、業務連續性計劃、災難恢復計劃、策略計劃、人員計劃、技術的首次展示計劃、風險管理計劃以及安全項目計劃（包括教育、培訓和意識提升）。 第14頁，共29頁。1.4 信息安全管理的原則2、策略一個組織指導員工行為的一套準則稱為策略。信息安全中一般有 3 種策略：企業信息安全策略（Enterprise information security policy）：它為信息安全部門定下了基調，并確定整個機構信息安全的大環境。該策略是順應 IT 戰略性計劃而開發的，一般由首席信息安全官草擬，再由首席信息官或首席執行官支持和簽署通過。基于問題的安全策略（An issue

10、-specific security policy）：在使用特定的技術時（如電子郵件、因特網）所定義的可被接受的行為規則。基于系統的策略（ System-specific policies）：它實際上是采用技術或管理措施來控制設備的配置。例如，訪問控制列表就是這種策略，它定義了對某個特殊設備的訪問權限。第15頁，共29頁。1.4 信息安全管理的原則3、項目項目是信息安全中的一個活動或一項工作，人們把它們當作單獨的實體來管理。安全教育培訓及意識提升項目（ SETA）就是這樣的一個實體，它旨在為員工提供關鍵信息以提高或鞏固他們當前的安全知識水平。其他項目如物理安全項目，它包括處理火、物理通道、大門

11、、保衛等等問題。每個機構可能有一個或更多的安全項目。第16頁，共29頁。1.4 信息安全管理的原則4、保護保護功能由一系列風險管理活動來實現，包括風險評估和控制，也包括保護機制、技術和工具。每種機制代表了在整個信息安全計劃中某些方面的具體控制管理。5、人員人是信息安全項目中最重要的環節。管理者必須牢固確立人在信息安全項目中所充當角色的重要性。這方面包括安全的個人化和個人的安全化，也包括在前面提到的“ 安全教育培訓及意識提升項目”。第17頁，共29頁。1.4 信息安全管理的原則6、項目管理最后是把整個項目管理原則運用到信息安全項目的所有過程當中去。不管是推出一種新的安全培訓項目或者是選取并實施一

12、種新的防火墻，把這個過程作為一個項目來對待是非常重要的。這些工作包括驗證和控制項目所使用的資源，也包括測量工作進度和根據總體目標來調整進度。第18頁，共29頁。1.5 信息安全管理的重要性1、安全威脅內部操作系統的脆弱性計算機系統的脆弱性協議安全的脆弱性數據庫管理系統安全的脆弱性人為的因素外部第19頁，共29頁。1.5 信息安全管理的重要性第20頁，共29頁。1.5 信息安全管理的重要性第21頁，共29頁。1.5 信息安全管理的重要性第22頁，共29頁。1.5 信息安全管理的重要性“三分技術，七分管理” 信息系統的安全問題不能只局限于技術，更重要的還在于管理。第23頁，共29頁。1.6 信息安

13、全管理的國內外現狀 從國際上看，粗略地把信息安全管理的發展進行分期，大體經歷了“零星追加時期”和“標準化時期”兩個階段，九十年代中期可以看作這兩個階段的分界。1、國外現狀 制訂信息安全發展戰略和計劃；加強信息安全立法，實現統一和規范管理；步入標準化與系統化管理時代。第24頁，共29頁。1.6 信息安全管理的國內外現狀2、國內現狀 存在的問題宏觀方面法律法規問題；管理問題；國家信息基礎設施建設問題。微觀方面缺乏安全意識與方針；重技術，輕管理；缺乏系統管理的思想。第25頁，共29頁。1.7 信息安全管理相關標準1、國際標準信息安全管理體系標準（BS7799） IT基礎設施庫（ITIL） 信息和相關

14、技術控制目標（COBIT） IT安全管理指南（ISO 13335） 系統安全工程能力成熟度模型（SSE-CMM） 2、國內標準GB17895-2019計算機信息系統安全保護等級劃分準則2019年制定了國家標準GB/T 18336信息技術安全性評估準則2019年4月15日全國信息安全標準化技術委員會在北京正式成立 2019年7月公安部根據GB17895-2019制定了計算機信息系統安全等級保護技術要求系列標準第26頁，共29頁。1.7 信息安全管理相關標準3、BS 7799安全體系簡介 BS 7799是信息安全管理領域的一個權威標準，是全球一致公認的輔助信息安全治理的手段，該標準的最大意義就在于

15、它給管理層一整套可“量體裁衣”的信息安全管理要項BS 7799主要提供了有效地實施IT安全管理的建議，介紹了安全管理的方法和程序。該標準是由英國標準協會（BSI）制定，是目前英國最通用的標準。BS 7799信息安全管理體系標準強調風險管理的思想。 以BS 7799:2019為例，該標準主要由兩大部分組成：BS 7799-1:2019以及BS 7799-2:2019。第27頁，共29頁。1.7 信息安全管理相關標準 BS 7799-1簡介 信息安全管理實施規則是以國際信息安全指導標準ISO/IEC 17799為基礎的指導性文件，主要是給負責開發的人員作為參考文檔使用，從而在他們的機構內部實施和維護信息安全。這一