信息系统工程的信息安全管理.ppt

1、1,信息系统工程的信息安全管理,黄轶文13660460998,2,“没有安全的工程就是豆腐渣工程”。这几年来我国接连不断地出现程度不同的信息系统安全事故，这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络系统在安全防范和管理方面体现出的脆弱性而引起的公众对信息系统工程的诚信危机则不是短时期内可以恢复的。,3,我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信

2、息安全技术产品的应用标准和规范。国务院信息化领导小组颁布的关于我国电子政务建指导意见强调指出了电子政务建设中信息系统安全的重要性;中国人民银行在加紧制定网上银行系统安全性评估指引，并明确提出对信息安全的投资要达到总投资的10%以上，而在其他一些关键行业，信息安全的投资甚至已经超过了总预算的30%50%。,4,信息的主体？,确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。,信息系统安全的定义,各类用户,支持人员,技术管理

3、人员,行政管理人员等,5,信息系统安全的属性,6,信息系统安全的属性,信息系统安全属性分为三个方面:可用性、保密性和完整性。,1.可用性可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是信息系统安全的最基本要求之一，指信息及相关的信息资产在授权人需要的时候，可以立即获得。,2.保密性保密性是信息不被泄露给非授权的用户、实体或过程，信息只为授权用户使用的特性。,7,信息系统安全的属性,3.完整性 完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放、插入等，另一方面是指信息处理的方法的正

4、确性。不适当的操作，如误删除文件，有可能造成重要文件的丢失。 完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。,8,架构安全管理体系,9,架构安全管理体系,为了系统地、完整地构建信息系统的安全体系框架，信息系统安全体系应当由技术体系、组织机构体系和管理体系共同构建。,10,1.技术体系,技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成。 1)物理安全技术 物理安全技术包括机房安全和设施安全。 (1)机房安全 是信息系统主要设备的物理存放的位置，主要是保证机房场地的安全，主要包括机房环境、温度、湿度的控制，电磁、噪声、静电、震

5、动和灰尘的防护，同时要有防火灾、防雷电以及门禁等安全措施。 (2)设施安全 主要是考虑各种硬件设备的可靠性问题，所有的设备应当更具不同安全级别的信息系统工程，同时要保证通信线路物理上的安全性。,11,1.技术体系,2)系统安全技术 系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。平台安全 泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段，目前市场上大多数安全产品均限于解决平台安全，包括以下内容： 操作系统漏洞检测与修复，包括UNIX系统、Windows系统、网络协议。 网络基础设施漏洞检测与修复，包括路由器、交换机、防火墙等。 通用基础应用程序漏洞检测与修复，包括数据

6、库、Web/ftp/mail/DNS/其他各种系统守护进程。 网络安全产品部署、平台安全实施需要用到市场上常见的网络安全产品，包括防火墙、入侵检测、脆弱性扫描和防病毒产品。 整体网络系统平台安全综合测试/模拟入侵与安全优化。,12,1.技术体系,(2)数据安全 目标是防止数据丢失、崩溃和被非法访问，为保障数据安全提供如下实施内容：介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。 (3)通信安全 目标是防止系统之间通信的安全脆弱性威胁，为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化、安装

7、网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。,13,1.技术体系,(4)应用安全 是保障相关业务在计算机网络系统上安全运行，应用安全脆弱性有可能给信息化系统带来最大损失的致命威胁。以业务运行实际面临的威胁为依据，为应用安全提供的保证措施有：业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测。业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。 (5)运行安全 是保障系统的安全稳定。为运行安全提供的实施措施有：应急处

8、置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务，包含在网络安全系统工程的售后服务包内。,14,2.组织机构体系,组织机构体系是信息系统的组织保障系统，由机构、岗位和人事三个模块构成。 1)机构 一个机构设置分为决策层、管理层和执行层。决策层是信息系统用户单位中决定信息系统安全重大事宜的领导机构，由有保密职能的部门负责人及信息系统主要负责人参与组成。管理层是决策层的日常管理机关，根据决策机构的决定，全面规划并协调各方面力量，实施信息系统的安

9、全方案，制定、修改安全策略，处理安全事故，设置安全相关的岗位。执行层是在管理层协调下，具体负责某一个或某几个特定安全事务的一个逻辑群体，这个群体分布在信息系统的各个操作层或岗位上。,15,2.组织机构体系,2)岗位 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位，岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列，一个人可以负责一个或几个安全岗位，但一个人不能同时兼任安全岗位所对应的系统管理或具体业务岗位。因此，岗位不是一个机构，它由管理机构决定，由人事机构管理。 3)人事 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的员工进行素质教育、业

10、绩考核和安全监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行。,16,3.管理体系,管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。管理安全设置的机制有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理和机房管理。,17,监理在信息安全管理中的作用,(1)保证建设单位在信息系统工程项目建设过程中，保证信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突; (2)在成本控制的前提下，确保信息系统安全设计上没有漏洞; (3)督促建设单位的信息系统工程

11、应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识; (4)监督承建单位按照技术标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等，确保整个项目建设过程中的安全建设和安全应用。,18,监理督促建设单位进行信息安全管理的教育,1.信息系统安全教育的对象 领导与管理人员; 计算机工程人员，包括研究开发人员和维护应用人员; 计算机厂商的有关人员; 一般用户; 计算机安全管理部门的工作人员; 法律工作人员; 其他有关人员。 2.教育的主要内容 信息系统安全教育的内容比较多，主要包括法规教育、安全基础知识教育（网络安全教育、运行安全教育、实体安全教育、安全技术

12、基础知识等）和职业道德教育。,19,监理督促建设单位进行信息安全规划,1.人员安全管理 任何系统都是由人来控制的，除了对于重要岗位的工作人员要进行审查之外，建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中，监理工程师要建议建设单位遵循有以下原则: (1)授权最小化。只授予操作人员为完成本职工作所必需的最小授权，包括对数据文件的访问、计算机和外设的使用等。 (2)授权分散化。对于关键的任务必须在功能上进行划分，由多人共同承担，保证没有任何个人具有完成任务的全部授权或信息。 (3)授权规范化。建立申请、建立、发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。,20,2.物

13、理与环境保护监理工程师要建议建设单位主要从以下几个方面考虑: (1)物理访问控制。在重要区域限制人员的进出。重要区域不仅包括机房，也应包括能够接触到内部网络的区域，供电系统备份介质存放的地点等。 (2)建筑物安全。要考虑建筑物防火、地震、漏水等造成的风险。 (3)公用设施的保证。为了使系统能够不间断地提供服务及硬件设备不受损害，评价供电、供水、空调等设施的可用性，并提出相应的措施。 (4)数据安全。数据泄露一般有三种途径:直接获取，在传输中截获，通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度，如果其中保存了敏感数据应进行加密，避免丢失或被盗时造成数据泄

14、露。,监理督促建设单位进行信息安全规划,21,监理督促建设单位进行信息安全规划,3.输入/输出控制 监理工程师要建议、提醒建设单位对系统的输入/输出信息或介质必须建立管理制度，只有经过授权的人员方可提供或获得系统的输入/输出信息。 4.制定突发事件的应急计划 监理工程师要建议、提醒建设单位必须针对不同的系统故障或灾难制定应急计划，编写紧急故障恢复操作指南，并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。,22,监理督促建设单位进行信息安全规划,5.应用软件维护控制 监理工程师要建议、提醒建设单位需要对所使用的商业软件的版权、来源，应用软件的文档在维护过程是否修改，测试数据的产生

15、与测试结果，是否留有软件测试所建立的后门或热键等问题进行规划和评估。 6.数据完整性与有效性控制 监理工程师要建议、提醒建设单位需要规划和评估的内容包括：系统的备份与恢复措施;计算机病毒的防范与检测制度;是否有实时监控系统日志文件、记录与系统可用性相关的问题，如对系统的主动攻击，处理速度下降和异常停机等。,23,监理督促建设单位进行信息安全规划,7.文档管理 监理工程师要建议、提醒建设单位文档管理对信息安全管理文档的协同性的重要，文档是信息安全管理的一部分。 8.安全教育与培训 监理要建议、提醒建设单位必须建立定期进行信息系统的安全教育与培训的制度，对于与重要应用系统相关的工作人员还应以多种方

16、式，针对特定系统进行安全教育与培训。,24,信息系统安全管理分析与对策,1、物理访问的安全管理2、应用环境的安全管理3、逻辑访问的安全管理4、架构安全的信息网络系统5、数据备份与灾难恢复的安全管理,25,1、物理访问的安全管理,1.物理访问的定义 物理访问控制是设计用于保护组织防止未授权的访问，并限制只有经过管理阶层授权的人员才能进入。 2.物理访问的风险来源 (1)未经授权进入; (2)毁损、破坏或窃取设备、财产或文件; (3)复制或偷看敏感或有著作权的信息; (4)变更敏感性设备及信息; (5)公开敏感的信息; (6)滥用数据处理资源: (7)勒索; (8)盗用。,26,1、物理访问的安全

17、管理,3.可能的错误或犯罪 监理工程师要使建设单位认识到可能的错误或犯罪的情形包括有: (1)员工经授权或未经授权的访问; (2)离职员工; (3)有利害关系的外来者，如竞争者、盗窃者、犯罪集团、黑客等; (4)无知造成的意外，某些人可能在无知情况下犯下错误(可能是员工或外来者)。 4.监理安全管理注意事项 物理访问控制的风险大多可能来自那些恶意或犯罪倾向的行为。在安全监理中值得注意的问题如下: (1)硬件设施在合理范围内是否能防止强制入侵; (2)计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险; (3)智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移; (4)计算机设

18、备在搬动时是否需要设备授权通行的证明。,27,2、应用环境的安全管理,监理工程师在信息系统工程建设过程中，应该提醒、建议建设单位关注的要点有： (1)机房所在楼层，不可在地下室，3, 4, 5, 6层为最佳: (2)门禁系统及出入日志管理，单一出入口; (3)摄影监控; (4)警报系统; (5)机房建设使用具有防火的建材，如防火墙、地板、天花板等; (6)电流脉冲保护装置; (7)备份电力系统; (8)紧急断电装置; (9)不间断电源/发电机; (10)设施中的电线是否配置在防火板槽里; (11)湿度/温度控制设备; (12)防静电、防尘设施; (13)防雷措施; (14)禁止在信息处理场所就

19、餐和吸烟规定; (15)疏散计划的书面文件及测试; (16)计算机终端设备锁定; (17)不公开敏感性设施的位置; (18)文件公用柜的保护: (19)访客的出入控制与陪同制度等。,28,3、逻辑访问的安全管理,在逻辑访问控制方面，监理工程师应着重分析并评估项目建设过程中的信息系统策略、组织结构、业务流程及访问控制，以保护信息系统及数据，避免非法访问泄漏或损坏的发生。 监理在逻辑访问风险分析与安全管理上，主要的原则有: (1)了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估等; (2)通过对一些可能进入系统访问路径进行记录及复核，评价这些控制点的正确

20、性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重要点; (3)通过相关测试数据访问控制点，评价安全系统的功能和有效性; (4)分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标; (5)审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适当性等。,29,逻辑安全的处理方法,监理工程师在对建设单位提出逻辑安全的处理方法建议时，主要考虑有以下因素。（1）验证技术，即身份认证的方法，设定的基本原则是:只有你知道的事情，如账号和密码;只有你拥有的东西，如身份证、工作证;只有你具有的特征，如指纹、声音、虹膜等; (2

21、)账号和密码，双层控制; (3)访问日志; (4)在线日志记录; (5)生物特征安全访问控制; (6)终端设备使用限制; (7)控制拨号访问的回拨技术; (8)限制并监控系统的安全旁路; (9)数据保密分级; (10)保密数据的防护，通过逻辑或物理访问控制来避免未授权人阅读或修改; (11)设定访问控制的命名规则; (12)安全测试等。,30,4、架构安全的信息网络系统,监理工程师在审议承建单位的信息系统工程安全架构设计方案时，依据建设单位的建设需求，根据有关信息系统安全的规范或标准对其评估和审计，并向建设单位提出具体的技术分析意见。在实施方案中，架构完整的安全支撑平台主要的关键性技术解决方案

22、由以下几种安全方案或选型的组合而成。,31,4、架构安全的信息网络系统,1.局域网的安全 局域网提供特定群体共同使用程序和数据的存储及获取。局域网的软件和操作必须提供这些程序及数据的安全。 2. C/S架构安全 C/S(客户/服务器)架构系统在数据访问和处理上有很大风险。要有效保护C/S架构环境，所有的访问点均需确认。在主机的应用程序中，集中式的处理技巧要求用户采取特定的路径利用所有的资源;而在分布式的环境中，存在多个访问路径，因为应用数据可能在服务器上，也可能在客户端，因此，必须个别检验这些路径以及相互的关系，以确保任何路径都被检查过。,32,4、架构安全的信息网络系统,3.互联网的威胁和安

23、全 信息系统工程监理工程师必须评估以下几项以决定是否存在足够互联网安全控制: 组织的互联网安全策略和程序; 防火墙的安全控制; 入侵检测系统的安全控制。 4.采用加密技术 5.网闸 网闸，即安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备,33,4、架构安全的信息网络系统,6.防火墙 防火墙在物理上基本上是一台具有网关或路由功能的计算机或服务器。在逻辑上，防火墙完成了网络通信的限制、分离和分析功能，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 7.入侵检测系统 入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统

24、中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。,34,4、架构安全的信息网络系统,8.漏洞扫描 安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。 9.病毒防范 多层病毒防御体系 所谓多层病毒防卫体系，是指在建设单位的每个工作站上，即客户端都要安装反病毒软件，在服务器上要安装基于服务器的反病毒软件，在Internet网关上要安装基于Internet网关的反病毒软件。,35,5、数据备份与灾难恢复的安全管理,网络系统环境中数据被破坏的原因，主要有以下几个方面: 自然灾害，如水灾、火灾、雷击、地震等

25、造成计算机系统的破坏，导致存储数据被破坏或完全丢失; 系统管理员及维护人员的误操作; 计算机设备故障，其中包括存储介质的老化、失效； 病毒感染造成的数据破坏; Internet上“黑客”的侵入和来自内部网的蓄意破坏等。,网络设计方案中如果没有相应的数据存储备份和恢复的解决方案，就不能算是完整的网络系统方案。,36,5、数据备份与灾难恢复的安全管理,备份与恢复是一种数据安全策略，通过备份软件把数据备份到磁带上:在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。 备份策略： 完全备份，将系统中所有的数据信息全部备份; 差分备份，只备份上次备份后系统中变化过的数据

26、信息; 增量备份，只备份上次完全备份后系统中变化过的数据信息; 备份介质轮换，避免因备份介质过于频繁地使用，以提高备份介质的寿命。,37,5、数据备份与灾难恢复的安全管理,备份方式的选择 (1)硬件备份 硬件备份是指用冗余的硬件来保证系统的连续运行。比如磁盘镜像、磁盘阵列、双机容错等方式。 磁盘镜像 磁盘镜像(mirroring)就是一个原始的设备虚拟技术，它的原理是:系统产生的每个I/O (输入/输出)操作都在两个磁盘上执行，而两个磁盘看起来就像一个磁盘一样。 磁盘阵列 磁盘阵列(disk array)分为软阵列(software raid)和硬阵列(hardware raid)两种。软阵列

27、只能提供最基本的RAID (Redundant Array of Independent Prive，独立磁盘冗余阵列)容错功能。硬阵列所提供的功能和性能均比软阵列好。 双机容错 双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。当一台主机出现故障，双机容错软件可及时启动另一台主机接替原主机任务。,38,5、数据备份与灾难恢复的安全管理,备份方式的选择(2)软件备份 软件备份是指将系统数据保存到其他介质上，当出现错误时可以将系统恢复到备份时的状态。(3)人工备份 人工级的备份最为原始，也最简单和有效。但用手工方式从头恢复所有数据，耗费的时间过长。,39,5、数据备份与灾难恢复的安全

28、管理,灾难恢复的策略 灾难恢复方案主要包括灾难备份计划和灾难恢复计划。一方面要采用先进的备份软、硬件，保证快速、有效地进行数据备份，另一方面还应该制定方便、快捷的灾难恢复措施。,40,灾难恢复系统,(1)全自动恢复系统 它配合区域集群等高可靠性软件可在灾害发生时自动实现:主应用端的应用切换到远程的副应用端，并把主应用端的数据切换到远程的副应用端。 (2)手动恢复系统 如果主应用端全部被破坏掉，在副应用端利用手动方法把应用加载到服务器上，并且手动完成将主应用端的数据切换到远程的副应用端的操作，以继续开展业务处理。 (3)数据备份系统 系统将主应用端的数据实时地备份到远地的存储器中。一旦主应用端的

29、存储设备遭到损坏时，远程的存储器中会保留事故发生前写入本地存储器的所有数据。,41,5、数据备份与灾难恢复的安全管理,监理单位法 (1)建议建设单位制定灾难恢复计划 灾难恢复计划应该是书面材料，它包括如下内容:鉴别关键应用，确定灾难恢复计划的使命;数据的备份(全部备份、差分备份或增量备份);热站、冷站或温站;灾难恢复计划的测试或培训;指定灾难恢复计划负责人;操作系统、设施和文件的备份;紧急电话号码列表;保险;通信计划;信息系统和操作文档;替代工作站点的雇员配置计划;水与食品的供应;关键人员职位的备份;软硬件清单;采用手工部分对自动步骤进行备份;与员工签订协议。,42,5、数据备份与灾难恢复的安

30、全管理,(2)灾难恢复计划的监理工作在对灾难恢复计划进行监理时，需要强调以下几点:获得管理层的支持。召开一次解决方案研讨会，设计组织独有的恢复解决方案并提出项目实现计划，探讨如何实施在解决方案研讨会中所提出的项目计划。选定负责人。潜在的人选包括业务主管、数据中心主管甚至是基础设施管理人员。进行业务影响分析，鉴别关键的业务过程，评估重要恢复点和恢复时间目标以及IT环境。并围绕组织所有的关键部分制定计划，包括人员、设备、连通性、数据、应用、访问等。评定保持业务持续性的战略。这项评定包括公司内部有代表性的远程站点和外部供应商提供的冷站。进行恢复功能测试和灾难恢复模拟，保证在组织所规定的时间内完成恢复，并进行评审。一旦计划制定，组织全体人员都应熟悉此项计划，便于灾难发生时，每个人都能迅速各司其职。提供全面的备援中心设施，包括UPS、备份设备、消防系统以及烟雾/水探测系统。并确保备援中心安全，提供进入机房的身份鉴定、安全保卫措施，并确保备援中心可用性和现场操作支持。灾难恢复计划应以文档记录，在工作人员之间共享，并应该进行灾难计划的测试以及升级。保证计划在灾难发生时必须是易于访问和执行。在系统上装载和运行必需的工具来衡量恢复解决方案的要求。保证解决方案中的所有硬件、软件和网络部件的可用性。提供可扩展的容量来满足组织的预期工作负荷。,