.,1,.,1,BS7799,小組成員：,.,2,.,2,為什么需要標(biāo)準(zhǔn)？,.,3,.,3,信息系統(tǒng)的廣泛運(yùn)用,一、電子數(shù)據(jù)處理系統(tǒng)單項(xiàng)數(shù)據(jù)處理階段(20世紀(jì)50年代中期到60年代中期)1954年，通用電氣公司利用計(jì)算機(jī)進(jìn)行工資計(jì)算成為基于計(jì)算機(jī)的企業(yè)信息系統(tǒng)應(yīng)用的開端。綜合數(shù)據(jù)處理階段(20世紀(jì)60年代中期到70年代初期)二、管理信息系統(tǒng)三、決策支持系統(tǒng)(70年代提出，80年代發(fā)展)1993年，萬維網(wǎng)在Internet上出現(xiàn)，為信息系統(tǒng)的網(wǎng)絡(luò)化創(chuàng)造了前所未有的條件。20世紀(jì)90年代以來，出現(xiàn)了不少信息系統(tǒng)方面的新概念，諸如經(jīng)理信息系統(tǒng)（EIS）、戰(zhàn)略信息系統(tǒng)（SIS）和計(jì)算機(jī)集成制造系統(tǒng)（CIMS）等。,.,4,.,4,沒有絕對(duì)的安全,.,5,.,5,安全體系不是安全產(chǎn)品的簡單加和,.,6,.,6,什么是BS7799？,BS7799是英國標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）針對(duì)信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)，最早始于1995年，后來幾經(jīng)改版，成為了目前被廣泛接受的信息安全管理標(biāo)準(zhǔn)。,.,7,.,7,BS7799(1995),BS7799-1(1995公布，1999修訂),BS7799-2(1998公布，1999修訂),ISO/IEC17799-1:2000,ISO/IEC 27001(2005),.,8,.,8,BS 7799 的組成,.,9,.,9,BS7799-1:信息安全管理實(shí)施細(xì)則,正文前設(shè)立了“前言”和“介紹”,其“介紹”中“對(duì)什么是信息安全、為什么需要信息安全、如何確定安全需要、評(píng)估安全風(fēng)險(xiǎn)、選擇控制措施、信息安全起點(diǎn)、關(guān)鍵的成功因素、制定自己的準(zhǔn)則”等內(nèi)容作了說明。該標(biāo)準(zhǔn)的正文規(guī)定了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)作過程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用,或者增加其他附加控制。這127個(gè)控制措施被分成10個(gè)方面,成為組織實(shí)施信息安全管理的實(shí)用指南。,.,10,.,10,一.安全策略,1.信息安全策略目的：提供管理指導(dǎo)，保證信息安全。管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己對(duì)信息安全的支持和保護(hù)責(zé)任。1.1信息安全策略文檔策略文檔應(yīng)該由管理層批準(zhǔn)，根據(jù)情況向所有員工公布傳達(dá)。文檔應(yīng)說明管理人員承擔(dān)的義務(wù)和責(zé)任，并制定組織的管理信息安全的步驟。至少應(yīng)包括以下指導(dǎo)原則：信息安全的定義、其總體目標(biāo)及范圍以及安全作為保障信息共享的機(jī)制所具有的重要性（參閱簡介）；,.,11,.,11,陳述信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則；簡要說明安全策略、原則、標(biāo)準(zhǔn)以及需要遵守的各項(xiàng)規(guī)定。這對(duì)組織非常重要，例如:1) 符合法律和合約的要求；2) 安全教育的要求；確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報(bào)告安全事故;參考支持安全策略的有關(guān)文獻(xiàn)，例如針對(duì)特定信息系統(tǒng)的更為詳盡的安全策略和方法以及用戶應(yīng)該遵守的安全規(guī)則。,.,12,.,12,1.2審查評(píng)估每個(gè)策略應(yīng)該有一個(gè)負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查。審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化（如發(fā)生重大安全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時(shí)，對(duì)策略進(jìn)行相應(yīng)的審查。還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查：檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來；控制措施的成本及其業(yè)務(wù)效率的影響。,.,13,.,13,2.具體實(shí)施案例【信息安全策略的建設(shè)要點(diǎn)】：BS7799定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運(yùn)轉(zhuǎn)機(jī)制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡要說明以及對(duì)機(jī)構(gòu)尤其重要的規(guī)范實(shí)施條件的解釋；闡述信息安全的職責(zé)；等等。【實(shí)施方法與形式】天威誠信公司結(jié)合認(rèn)證機(jī)構(gòu)的建設(shè)特點(diǎn)，結(jié)合自身業(yè)務(wù)要求及運(yùn)營風(fēng)險(xiǎn)，依據(jù)認(rèn)證中心不同運(yùn)營控制域分別制定了六個(gè)方面的安全策略，分別是人員安全策略、物理安全策略、邏輯安全策略、通訊安全策略密鑰安全策略以及安全與審計(jì)策略。在實(shí)際運(yùn)營建設(shè)中，天威誠信參照BS7799建議的控制措施，對(duì)安全策略進(jìn)行文檔化控制，在企業(yè)范圍內(nèi)最大化的為廣大用戶及內(nèi)部員工所了解和接受，并指導(dǎo)各種規(guī)定制度、操作程序的制定及實(shí)施，并定期進(jìn)行評(píng)審和評(píng)估。,.,14,.,14,二.組織安全,1.信息安全基礎(chǔ)設(shè)施目標(biāo)：管理組織內(nèi)部信息安全。應(yīng)該建立管理框架，在組織內(nèi)部開展和控制信息安全的管理實(shí)施。應(yīng)該建立有管理領(lǐng)導(dǎo)層參加的管理論壇，以批準(zhǔn)信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實(shí)施。根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個(gè)組織使用。建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評(píng)估方法同步，并在處理安全事故時(shí)吸收他們的觀點(diǎn)。應(yīng)該鼓勵(lì)采用跨學(xué)科跨范圍的信息安全方法，例如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計(jì)人員、審計(jì)人員以及安全人員和專家協(xié)同工作，讓他們參與保險(xiǎn)和風(fēng)險(xiǎn)管理的工作。,.,15,.,15,1.1管理信息安全論壇信息安全是一種由管理團(tuán)隊(duì)所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任。應(yīng)該建立一個(gè)管理論壇，確保對(duì)安全措施有一個(gè)明確的方向并得到管理層的實(shí)際支持。論壇應(yīng)通過合理的責(zé)任分配和有效的資源管理促進(jìn)組織內(nèi)部安全。該論壇可以作為目前管理機(jī)構(gòu)的一個(gè)組成部分。通常，論壇有以下作用：審查和核準(zhǔn)信息安全策略以及總體責(zé)任；當(dāng)信息資產(chǎn)暴露受到嚴(yán)重威脅時(shí)，監(jiān)視重大變化。,.,16,.,16,1.2信息安全協(xié)調(diào)在大型組織中，需要建立一個(gè)與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與，通過論壇協(xié)調(diào)信息安全控制措施的實(shí)施情況。通常，這類論壇：就整個(gè)公司的信息安全的作用和責(zé)任達(dá)成一致；就信息安全的特定方法和處理過程達(dá)成一致，如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng)；就整個(gè)公司的信息安全活動(dòng)達(dá)成一致并提供支持，例如安全警報(bào)程序。,.,17,.,17,1.3信息安全責(zé)任的劃分應(yīng)該明確保護(hù)個(gè)人資產(chǎn)和執(zhí)行具體安全程序步驟的責(zé)任。信息安全策略應(yīng)提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。必須確定并明確說明由誰負(fù)責(zé)各種資產(chǎn)和與每個(gè)系統(tǒng)相關(guān)的安全進(jìn)程。要明確以下范圍。應(yīng)該確定負(fù)責(zé)各個(gè)資產(chǎn)和安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)情況。1.4信息處理設(shè)施的授權(quán)程序?qū)τ谛碌男畔⑻幚碓O(shè)施，應(yīng)該制定管理授權(quán)程序。應(yīng)考慮以下問題。新設(shè)施應(yīng)獲得適當(dāng)?shù)挠脩艄芾韺徍?，授?quán)新設(shè)施的范圍和使用。應(yīng)獲得負(fù)責(zé)維護(hù)本地信息系統(tǒng)安全環(huán)境的管理人員的批準(zhǔn)，以確保符合所有相關(guān)安全策略和要求。如果需要，應(yīng)檢查硬件和軟件以確保它們與其它系統(tǒng)組件兼容。,.,18,.,18,1.5專家信息安全建議很多組織都需要專家級(jí)的信息安全建議。理想情況下，一位資深的全職信息安全顧問應(yīng)該提出以下建議。信息安全顧問或其它專家應(yīng)負(fù)責(zé)為信息安全的各種問題提供建議，這些意見既可以來自他們本人，也可以來自外界。組織的信息安全工作的效率如何，取決于他們對(duì)安全威脅評(píng)估的質(zhì)量和建議使用的控制措施。為得到最高的效率和最好的效果，信息安全顧問可以直接與管理層聯(lián)系在發(fā)生可疑的安全事故或破壞行為時(shí)，應(yīng)盡早向信息安全顧問或其它專家進(jìn)行咨詢，以得到專家的指導(dǎo)或可供研究的資源。盡管多數(shù)內(nèi)部安全調(diào)查是在管理層的控制下進(jìn)行的，但仍然應(yīng)該邀請(qǐng)安全顧問，傾聽他們的建議，或由他們領(lǐng)導(dǎo)、實(shí)施這一調(diào)研活動(dòng)。,.,19,.,19,1.6組之間的合作與執(zhí)法機(jī)關(guān)、管理部門、信息服務(wù)提供商和通信運(yùn)營商簽署的合同應(yīng)保證：在發(fā)生安全事故時(shí)，能迅速采取行動(dòng)并獲得建議。同樣的，也應(yīng)該考慮加入安全組織和業(yè)界論壇。應(yīng)嚴(yán)格限制對(duì)安全信息的交換，以確保組織的保密信息沒有傳播給未經(jīng)授權(quán)的人。1.7信息安全的獨(dú)立審評(píng)審查工作應(yīng)該由組織內(nèi)部的審計(jì)職能部門、獨(dú)立管理人員或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行，而且這些人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。,.,20,.,20,2.第三方訪問的安全性目標(biāo)：維護(hù)第三方的組織信息處理設(shè)施和信息資產(chǎn)的安全性。要嚴(yán)格控制第三方對(duì)組織的信息處理設(shè)備的使用。 如果存在對(duì)第三方訪問的業(yè)務(wù)需求，必須進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定所涉及的安全問題和控制要求。必須與第三方就控制措施達(dá)成一致，并在合同中規(guī)定。 第三方的訪問可能涉及到其它人員。授予第三方訪問權(quán)限的合約應(yīng)該包括允許指定其它符合條件的人員進(jìn)行訪問和有關(guān)條件的規(guī)定條款。 在制定這類合約或考慮信息處理外包時(shí)，可以將本標(biāo)準(zhǔn)作為一個(gè)基礎(chǔ)。2.1確定第三方訪問的風(fēng)險(xiǎn)訪問類型訪問理由現(xiàn)場(chǎng)的承包商,.,21,.,21,2.2第三方合同要求第三方對(duì)組織信息處理設(shè)施的訪問，應(yīng)該根據(jù)包含所有必要安全要求的正式合同進(jìn)行，確保符合組織的安全策略和標(biāo)準(zhǔn)，應(yīng)確保組織和第三方之間對(duì)合同內(nèi)容不存在任何歧義。為滿足供應(yīng)商，組織應(yīng)首先滿足自己。在合約中應(yīng)考慮以下條款：信息安全的常規(guī)策略；對(duì)資產(chǎn)的保護(hù)。3.外包目標(biāo)：在將信息處理責(zé)任外包給另一組是保障信息安全。在雙方的合同中，外包協(xié)議應(yīng)闡明信息系統(tǒng)、網(wǎng)絡(luò)和/或桌面環(huán)境中存在的風(fēng)險(xiǎn)、安全控制措施以及方法步驟。,.,22,.,22,4.具體實(shí)施案例【安全組織的建設(shè)要點(diǎn)】：安全組織包含三個(gè)控制目標(biāo)：企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問安全以及外包。安全組織要求定義企業(yè)機(jī)構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時(shí)，要求管理者能夠識(shí)別第三方合作和外包過程中的風(fēng)險(xiǎn)，并通過相關(guān)的合同控制安全風(fēng)險(xiǎn)?！緦?shí)施方法】：天威誠信設(shè)定了專職安全組織安全管理部，并任命該部門的負(fù)責(zé)人安全經(jīng)理來負(fù)責(zé)及協(xié)調(diào)與安全相關(guān)的所有活動(dòng)。另外，考慮到責(zé)任范圍及知識(shí)域全面性，天威誠信還組織高層安全管理小組以及跨部門安全小組這兩個(gè)非常設(shè)性的行政組織來實(shí)現(xiàn)不同信息安全管理的控制需要。在實(shí)際運(yùn)行管理中，天威誠信參照BS7799建議的控制措施對(duì)于三個(gè)控制目標(biāo)進(jìn)行多方面的管理控制：定期、不定期的組織信息安全專題會(huì)議來改進(jìn)、批準(zhǔn)企業(yè)內(nèi)部各種安全計(jì)劃，監(jiān)視、評(píng)審企業(yè)內(nèi)部信息安全活動(dòng)及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來的安全風(fēng)險(xiǎn)等等。,.,23,.,23,進(jìn)行全員化企業(yè)安全文化的建設(shè)，將安全責(zé)任落實(shí)到各業(yè)務(wù)部門、各負(fù)責(zé)人身上，例如信息維護(hù)人員必須熟知邏輯安全策略的要求，并切實(shí)將邏輯安全策略落實(shí)到具體業(yè)務(wù)工作中。組織跨部門安全小組會(huì)議，進(jìn)行各種信息安全活動(dòng)的交流。必要時(shí)聘請(qǐng)外部專家給與信息安全管理工作指導(dǎo)性的建議及意見。采用合理技術(shù)手段及管理措施來控制第三方對(duì)公司物理及邏輯方面的訪問，并采用不同形式與第三方進(jìn)行保密要求的約定。對(duì)于外包，在進(jìn)行外包活動(dòng)前，天威誠信會(huì)組織專業(yè)人員進(jìn)行嚴(yán)格的考察、討論，滿足認(rèn)證中心的安全條件是外包活動(dòng)的必要條件，另外在實(shí)施外包活動(dòng)中，天威誠信會(huì)依據(jù)外包合同進(jìn)行各種必要的審計(jì)工作。,.,24,.,24,三.資產(chǎn)分類管理,1.資產(chǎn)責(zé)任目標(biāo)：對(duì)組織資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。所有主要的信息資產(chǎn)應(yīng)進(jìn)行登記，并指定資產(chǎn)的所有人。 確定資產(chǎn)的責(zé)任幫助確保能夠提供適當(dāng)?shù)谋Ｗo(hù)。 應(yīng)確定所有主要資產(chǎn)的所有者，并分配維護(hù)該資產(chǎn)的責(zé)任?？梢晕胸?fù)責(zé)實(shí)施控制措施的責(zé)任。資產(chǎn)的責(zé)任由資產(chǎn)的指定所有責(zé)負(fù)責(zé)。1.1資產(chǎn)目錄資產(chǎn)清單能幫助您確保對(duì)資產(chǎn)實(shí)施有效的保護(hù)，也可以用于其它商業(yè)目的，如保健、金融保險(xiǎn)等（資產(chǎn)評(píng)估）。編輯資產(chǎn)清單的過程是資產(chǎn)評(píng)估的一個(gè)重要方面。組織應(yīng)確定其資產(chǎn)及其相對(duì)價(jià)值和重要性。利用以上信息，組織可以根據(jù)資產(chǎn)的重要性和價(jià)值提供相應(yīng)級(jí)別的保護(hù)。應(yīng)該為每個(gè)信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并保存一份清單。,.,25,.,25,2.信息分類目標(biāo)：保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。應(yīng)該對(duì)信息分類，指明其需要、優(yōu)先順序和保護(hù)級(jí)別。信息的敏感程度和關(guān)鍵程度各不相同。有些信息需要加強(qiáng)保護(hù)或進(jìn)行特別對(duì)待。可以使用信息分類系統(tǒng)定義合適的保護(hù)級(jí)別，并解釋對(duì)特別處理手段的需要。2.1分類原則在對(duì)信息進(jìn)行分類并制定相關(guān)的保護(hù)性控制措施時(shí)，應(yīng)該考慮以下問題：對(duì)共享信息或限制信息共享的業(yè)務(wù)需求，以及與這種需求相關(guān)的業(yè)務(wù)影響，如對(duì)信息未經(jīng)授權(quán)的訪問或損害。2.2信息標(biāo)識(shí)處理根據(jù)組織采用的分類方法，明確標(biāo)記和處理信息的妥善步驟，是非常重要的。這些步驟應(yīng)包括實(shí)際存在的信息和電子形式的信息的標(biāo)記和處理步驟。,.,26,.,26,3.具體實(shí)施案例【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】：資產(chǎn)分類及控制包括兩個(gè)控制目標(biāo)：資產(chǎn)責(zé)任和信息分類。資產(chǎn)責(zé)任要求建立起翔實(shí)、全面的資產(chǎn)目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標(biāo)準(zhǔn)和相關(guān)處理來確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃?jí)的保護(hù)。【實(shí)施方法與形式】：天威誠信作為專業(yè)的認(rèn)證中心，除了針對(duì)資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對(duì)可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對(duì)其重要性也進(jìn)行了判斷分類，并配合物理方面安全保護(hù)措施，對(duì)各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)。如：對(duì)與密鑰生成有關(guān)的服務(wù)器要設(shè)定四個(gè)層級(jí)以上的物理保護(hù)，還要提供UPS電源、恒溫恒濕等物理?xiàng)l件。另外，對(duì)于文件、信息資料等，天威誠信進(jìn)行四個(gè)保密等級(jí)（機(jī)密、秘密、敏感、公開四個(gè)等級(jí)）的標(biāo)示及管理控制。對(duì)于內(nèi)部信息的傳輸，天威誠信更是利用自身的技術(shù)、管理優(yōu)勢(shì)進(jìn)行了證書管理機(jī)制。,.,27,.,27,四.人員安全,1.責(zé)任定義與資源管理的安全性目標(biāo)：降低設(shè)施誤操作、偷竊、詐騙或?yàn)E用等方面的人為風(fēng)險(xiǎn)。在招聘階段，就應(yīng)該說明安全責(zé)任，將其寫入合同，并在雇用期間進(jìn)行監(jiān)督。 特別是對(duì)于從事敏感工作的員工更是如此。所有員工和使用信息處理設(shè)施的第三方用戶都應(yīng)簽署保密（不公開）協(xié)議。1.1考慮工作中的安全因素在組織的信息安全策略中應(yīng)該闡明安全任務(wù)和職責(zé)，并進(jìn)行備案。還應(yīng)包括實(shí)施和維護(hù)安全策略的總體責(zé)任，以及保護(hù)特殊資產(chǎn)、執(zhí)行特殊特別安全程序或活動(dòng)的責(zé)任。1.2人員選拔安全在考慮就業(yè)申請(qǐng)時(shí)應(yīng)該對(duì)固定員工進(jìn)行審查。,.,28,.,28,1.3保密協(xié)議簽署保密協(xié)議的目的是提醒簽約人注意，這些信息是保密的。員工應(yīng)該簽定保密協(xié)議并將其作為初步雇傭的條款和條件。1.4雇傭條例和條件雇傭條款和條件應(yīng)該規(guī)定員工的信息安全責(zé)任。如有需要，該責(zé)任在結(jié)束雇用關(guān)系后的一段特定的時(shí)間內(nèi)仍然有效。條款中還應(yīng)該包括如果雇員無視安全要求，那么可對(duì)其采取措施。2.用戶培訓(xùn)目標(biāo)：保證用戶了解信息安全存在的威脅和問題，在正常工作中切實(shí)遵守組織安全策略。 應(yīng)對(duì)用戶進(jìn)行安全步驟和正確使用信息處理設(shè)備的培訓(xùn)，將可能的安全風(fēng)險(xiǎn)降到最低。,.,29,.,29,3.對(duì)安全事故和故障的處理目標(biāo)：最大限度降低由于事故和故障而遭受的損失，對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。3.1安全事故報(bào)告將影響安全的事故通過適當(dāng)?shù)墓芾砬辣M快匯報(bào)。3.2安全漏洞報(bào)告和軟件故障報(bào)告應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，立即進(jìn)行記錄并匯報(bào)，應(yīng)建立報(bào)告軟件故障的程序步驟。,.,30,.,30,3.4紀(jì)律檢查程序應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的員工。對(duì)那些無視安全工作步驟的雇員來說，這種方法就是一種威懾。另外，如果懷疑某些員工有嚴(yán)重或長期違反組織安全的行為，這一方法能保證對(duì)他們的處罰是正確和公平的。4.具體實(shí)施案例【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】：人員安全包括三個(gè)控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。“工作定義和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。“用戶培訓(xùn)”要求確保員工知曉和理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。,.,31,.,31,“對(duì)安全事件和故障的響應(yīng)”要求采取措施將安全事件和故障造成的損害降低到最低水平，對(duì)此類事件進(jìn)行監(jiān)控并從中汲取知識(shí)和吸取經(jīng)驗(yàn)。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量?！緦?shí)施方法與形式】：根據(jù)認(rèn)證中心實(shí)際業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)，天威誠信針對(duì)人員安全控制管理重點(diǎn)制定了人員安全策略，針對(duì)三個(gè)控制目標(biāo)分別制定了可信雇員政策、職責(zé)分割政策、安全應(yīng)急管理辦法等子策略，并結(jié)合安全管理規(guī)范進(jìn)行實(shí)際運(yùn)營過程中的人員安全管理。參照BS7799建議的控制措施對(duì)于三個(gè)控制目標(biāo)天威誠信進(jìn)行多方面的管理控制：“可信雇員政策”是人員安全系統(tǒng)的基礎(chǔ)。所有有權(quán)訪問天威誠信敏感CA操作的人員必須是值得信任的?？尚湃藛T是指必須接受并通過特定的背景調(diào)查，表明他們有能力維持進(jìn)行關(guān)鍵操作，并且具有必要的信任級(jí)別?？尚湃藛T是指所有參與CA中心工作的人員CA中心工作員和非CA中心工作員。,.,32,.,32,根據(jù)可信雇員政策，天威誠信制定了相應(yīng)的可信人員調(diào)查評(píng)估標(biāo)準(zhǔn)與審查標(biāo)準(zhǔn)，以及調(diào)查、審查程序?！奥氊?zé)分割政策”針對(duì)天威誠信認(rèn)證中心每個(gè)職能的功能領(lǐng)域制定了相應(yīng)的責(zé)任范圍及物理安全要求。并配合物理區(qū)域設(shè)定及訪問控制系統(tǒng)來共同管理天威誠信認(rèn)證中心中的各種職能的成員。天威誠信針對(duì)每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為。對(duì)于正式員工除了在勞動(dòng)合同中給與保密活動(dòng)特殊的約定外，還針對(duì)員工離職后在一段時(shí)間內(nèi)不允許就職于相同職位進(jìn)行了經(jīng)濟(jì)補(bǔ)償?shù)募s定。所有新員工都必須經(jīng)過相應(yīng)的安全培訓(xùn)，涉及到安全管理、技術(shù)、實(shí)施的員工還必須經(jīng)過相應(yīng)考核。天威誠信對(duì)于所有影響業(yè)務(wù)運(yùn)行的事件、事故都進(jìn)行了存檔工作，并定期整理、學(xué)習(xí)，納入到新的安全策略制定討論中。,.,33,.,33,對(duì)于運(yùn)營中出現(xiàn)的安全事件、安全事故，天威誠信進(jìn)行了明確的界定。對(duì)于普通的安全事件由各業(yè)務(wù)部門進(jìn)行記錄上報(bào)或由安全管理部直接查明后記錄歸檔；針對(duì)于不同業(yè)務(wù)領(lǐng)域的安全事故，天威誠信組織成立了不同知識(shí)結(jié)構(gòu)的安全應(yīng)急響應(yīng)小組進(jìn)行及時(shí)的相應(yīng)處理工作。為了維持安全策略的正常實(shí)施，警戒安全時(shí)間、事故的再次發(fā)生，天威誠信還制定違規(guī)處罰辦法以確保公正、有效處理安全事件、事故。,.,34,.,34,五.實(shí)際和環(huán)境安全,1.安全區(qū)目標(biāo)：防止對(duì)公司工作場(chǎng)所和信息的非法訪問、破壞和干擾。應(yīng)該將關(guān)鍵或敏感的商業(yè)信息處理設(shè)備放在安全的地方，使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安全隔離帶進(jìn)行保護(hù)。應(yīng)使這些設(shè)備免受未經(jīng)授權(quán)的訪問、損害或干擾。 根據(jù)所確定的風(fēng)險(xiǎn)的具體情況，提供相應(yīng)的保護(hù)。對(duì)紙張、介質(zhì)和信息處理設(shè)備建議采取桌面清空和屏幕清空策略，降低對(duì)紙張、介質(zhì)和信息處理設(shè)備進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)和損害。1.1實(shí)際安全隔離帶可以在組織辦公區(qū)域和信息處理設(shè)備周圍建立幾個(gè)實(shí)際的防護(hù)設(shè)備，提供物理保護(hù)。每個(gè)防護(hù)設(shè)備都劃分出一個(gè)安全區(qū)，這都提高了整體的保護(hù)效果。,.,35,.,35,1.2安全區(qū)出入控制措施安全區(qū)應(yīng)該使用適當(dāng)?shù)某鋈肟刂拼胧┯枰员Ｗo(hù)。不經(jīng)批準(zhǔn)，任何人員不得出入。1.3辦公場(chǎng)所，房屋和設(shè)施的安全保障1.4在安全區(qū)工作與其他區(qū)域隔離的交貨和裝在區(qū)域2.設(shè)備安全目標(biāo)：目標(biāo)：防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)活動(dòng)中斷。 應(yīng)保證設(shè)備免受安全方面的威脅和環(huán)境的危害。 要降低對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)并免受損失或損壞，必須對(duì)設(shè)備（包括不在現(xiàn)場(chǎng)使用的設(shè)備）進(jìn)行保護(hù)。還需要考慮設(shè)備的位置和選址問題?？赡苄枰厥獾目刂拼胧﹣肀Ｗo(hù)免遭危險(xiǎn)或非法訪問，并保護(hù)輔助設(shè)施，例如電源和電纜等基礎(chǔ)設(shè)施。,.,36,.,36,2.1設(shè)備的選址與保護(hù)應(yīng)該注重設(shè)備的選址與保護(hù)，減少來自環(huán)境威脅和危險(xiǎn)以及降低非法訪問的風(fēng)險(xiǎn)。2.2電源和電纜安全應(yīng)該防止設(shè)備出現(xiàn)電源故障，防止其它供電不正常的現(xiàn)象。電源線纜與通信電纜承載數(shù)據(jù)或支持性的信息服務(wù)，不應(yīng)被截?cái)嗷蚴軗p。2.4設(shè)備維護(hù)應(yīng)對(duì)設(shè)備進(jìn)行妥善地維護(hù)，以保證其持續(xù)地可用并保持完整。2.5場(chǎng)外設(shè)備的安全和設(shè)備安全處置與重用不管其所有權(quán)如何,在公司辦公區(qū)域以外使用信息處理設(shè)備經(jīng)過由管理層授權(quán)。對(duì)于存儲(chǔ)敏感信息的存儲(chǔ)設(shè)備，應(yīng)將其銷毀，或重寫數(shù)據(jù)，而不能只使用標(biāo)準(zhǔn)的刪除功能。,.,37,.,37,3.常規(guī)控制措施目標(biāo)：防止信息或信息處理設(shè)施受損或被盜。應(yīng)防止將信息和信息處理設(shè)備暴露給未經(jīng)授權(quán)的人，或被未經(jīng)授權(quán)的人修改或偷竊，并應(yīng)采取控制措施，將損失或損害最小化。3.1桌面與屏幕管理策略在組織中，對(duì)于紙張和可移動(dòng)的存儲(chǔ)介質(zhì)，應(yīng)采取桌面清空策略；對(duì)于信息處理設(shè)備，應(yīng)采取屏幕清空策略，以降低在工作時(shí)間內(nèi)外，對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險(xiǎn)、損失和損害。3.2資產(chǎn)處置未經(jīng)授權(quán)，不允許將設(shè)備、信息或軟件帶離工作場(chǎng)所。如有必要，應(yīng)使設(shè)備處于注銷狀態(tài)，在歸還設(shè)備后在重新登錄?，F(xiàn)場(chǎng)檢查是否有未經(jīng)授權(quán)就移動(dòng)財(cái)產(chǎn)的行為。每個(gè)人都應(yīng)知道，隨時(shí)會(huì)進(jìn)行現(xiàn)場(chǎng)檢查。,.,38,.,38,4.具體設(shè)施案例【物理和環(huán)境安全的建設(shè)要點(diǎn)】：物理和環(huán)境安全包括三個(gè)控制目標(biāo)：安全區(qū)域、設(shè)備安全和一般控制措施?！鞍踩珔^(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。而“設(shè)備安全”的控制措施可以防止資產(chǎn)丟失、受損和受到威脅，防止業(yè)務(wù)活動(dòng)受到干擾，包括電信供應(yīng)和線路安全等等?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產(chǎn)清理等。【實(shí)施方法與形式】：物理和環(huán)境安全是認(rèn)證中心最基礎(chǔ)的安全保障。天威誠信針對(duì)物理和環(huán)境安全管理重點(diǎn)制定了物理安全策略，物理安全的重要性不僅在于其對(duì)認(rèn)證中心資產(chǎn)的明顯保護(hù)作用，而且還為認(rèn)證中心提供了一種安全的管理方法。天威誠信針對(duì)認(rèn)證（CA）中心制定了完善的物理安全系統(tǒng)。具體包括：CA設(shè)施的物理建設(shè)措施、CA設(shè)施的分層訪問控制措施、物理侵入檢測(cè)系統(tǒng)建設(shè)措施，設(shè)備、設(shè)施保障措施，運(yùn)營管理措施等：,.,39,.,39,天威誠信對(duì)建筑物如：整體建筑、墻壁、地板和天花板、入口門、其它門、窗口、其他孔口都制定詳細(xì)安全要求。天威誠信針對(duì)CA運(yùn)營的實(shí)際風(fēng)險(xiǎn)，建設(shè)了7個(gè)物理安全層次來保護(hù)CA中心特定的信息資產(chǎn)。7個(gè)物理安全層次一般可分為初級(jí)、敏感、高度敏感三個(gè)級(jí)別的區(qū)域。天威誠信配合物理層級(jí)的劃分，進(jìn)行了訪問系統(tǒng)及侵入檢測(cè)系統(tǒng)等安全措施的建設(shè)，將訪問控制系統(tǒng)是與控制各層門進(jìn)出的門禁系統(tǒng)相結(jié)合的設(shè)備方面結(jié)合前面所述資產(chǎn)等級(jí)的保護(hù)以及物理層級(jí)的劃分，天威誠信對(duì)于資產(chǎn)建立了明確的保護(hù)機(jī)制。電源方面，天威誠信采用雙路供電、配合UPS電源組、以及多臺(tái)大功率發(fā)電機(jī)。,.,40,.,40,關(guān)于設(shè)備其他保護(hù)，天威誠信采用FM200氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。對(duì)于特定要求的設(shè)備，天威誠信還采用了屏蔽室來加以保護(hù)。另外，天威誠信對(duì)于水災(zāi)害、化學(xué)效應(yīng)等威脅因素進(jìn)行實(shí)時(shí)的運(yùn)營控制與防護(hù)。對(duì)于一般的運(yùn)營控制，如對(duì)文件資料、各類機(jī)器設(shè)備以及屏幕保護(hù)的管理控制，天威誠信制定的安全管理規(guī)范來對(duì)實(shí)際運(yùn)營中的各種風(fēng)險(xiǎn)進(jìn)行控制管理。,.,41,.,41,六.通信與操作管理,1.操作程序和責(zé)任目標(biāo)：保證信息處理設(shè)施的操作安全無誤。 應(yīng)該建立所有信息處理設(shè)施的管理和操作的責(zé)任和程序。其中包括制定適當(dāng)?shù)牟僮髦噶詈褪鹿适录捻憫?yīng)程序。在適當(dāng)?shù)那闆r下進(jìn)行職責(zé)劃分，降低無意或有意造成的系統(tǒng)濫用風(fēng)險(xiǎn)。1.1明確的操作程序和操作變更控制應(yīng)對(duì)安全策略確定的操作程序進(jìn)行備案并維護(hù)。操作程序應(yīng)作為正式文檔來處理，對(duì)它進(jìn)行改動(dòng)需要得到管理層授權(quán)。應(yīng)該控制對(duì)信息處理設(shè)施和系統(tǒng)的變動(dòng)。,.,42,.,42,1.2事故處理程序應(yīng)該明確事故管理責(zé)任，制定相關(guān)程序，保證對(duì)安全事故反應(yīng)迅速、有效且有條不紊。制定針對(duì)各種可能存在的安全事故的措施，這些事故包括：信息系統(tǒng)故障和服務(wù)丟失；拒絕服務(wù)；適當(dāng)?shù)厥占瞳@得審查記錄和類似證據(jù)1.3責(zé)任劃分責(zé)任劃分是降低偶然或故意的系統(tǒng)濫用風(fēng)險(xiǎn)。為減少非法篡改或?yàn)E用信息或服務(wù)，應(yīng)考慮對(duì)某些管理或執(zhí)行責(zé)任或者責(zé)任范圍進(jìn)行劃分。,.,43,.,43,1.4開發(fā)設(shè)施與運(yùn)營設(shè)施分離開發(fā)設(shè)施、測(cè)試設(shè)施與操作設(shè)施分離對(duì)實(shí)現(xiàn)劃分職責(zé)的目的非常重要。應(yīng)制定軟件從開發(fā)向操作使用轉(zhuǎn)移的規(guī)則，并進(jìn)行備案。應(yīng)考慮以下控制措施：開發(fā)和操作軟件盡可能在不同的計(jì)算機(jī)處理器上運(yùn)行，或者在不同的域或目錄中。1.5外部設(shè)施管理使用外部合同商管理信息處理設(shè)施可能會(huì)造成潛在的安全暴露，例如在承包商的辦公地點(diǎn)可能危害、破壞數(shù)據(jù)安全或丟失數(shù)據(jù)。這些風(fēng)險(xiǎn)應(yīng)事先得到確認(rèn)，與承包商達(dá)成適當(dāng)?shù)目刂拼胧┎懭牒贤小?.,44,.,44,2.系統(tǒng)規(guī)范與驗(yàn)收目標(biāo)：最大限度降低系統(tǒng)故障的風(fēng)險(xiǎn)。預(yù)先規(guī)劃和準(zhǔn)備是必不可少，這樣可以確保有足夠的容量和資源。應(yīng)該制定未來容量要求的預(yù)算規(guī)劃，從而降低系統(tǒng)超載的風(fēng)險(xiǎn)。在驗(yàn)收和使用新的系統(tǒng)前，應(yīng)該建立系統(tǒng)的操作要求，并對(duì)這些要求進(jìn)行備案和檢測(cè)。2.1容量規(guī)劃容量需求需要進(jìn)行監(jiān)視，并且還應(yīng)該制定未來的容量要求的規(guī)劃，確保系統(tǒng)有足夠的處理能力和存儲(chǔ)空間。大型計(jì)算機(jī)尤其需要注意，因?yàn)樵黾哟笮蜋C(jī)的新容量成本會(huì)更加高昂并且交付周期也更長。大型機(jī)的管理員應(yīng)監(jiān)視主要系統(tǒng)資源的使用情況，使用這一信息來識(shí)別和避免可能出現(xiàn)的威脅系統(tǒng)安全或用戶服務(wù)的瓶頸，同時(shí)制定適當(dāng)?shù)难a(bǔ)救措施。,.,45,.,45,2.2系統(tǒng)驗(yàn)收建立新的信息系統(tǒng)、系統(tǒng)升級(jí)和新版本的驗(yàn)收標(biāo)準(zhǔn)，并在驗(yàn)收前履行適當(dāng)?shù)南到y(tǒng)測(cè)試。管理員應(yīng)確保明確制定新系統(tǒng)的驗(yàn)收要求和標(biāo)準(zhǔn)，并且這些標(biāo)準(zhǔn)和要求得到認(rèn)可、記錄和經(jīng)過檢驗(yàn)。應(yīng)考慮以下因素：性能和計(jì)算機(jī)容量要求；錯(cuò)誤恢復(fù)和重新啟動(dòng)的步驟，以及應(yīng)急計(jì)劃。對(duì)于重要的新技術(shù)發(fā)展，運(yùn)營部門和用戶應(yīng)關(guān)注發(fā)展過程的每個(gè)階段，確保被提議的系統(tǒng)設(shè)計(jì)具有很高的操作效率。執(zhí)行適當(dāng)?shù)臋z驗(yàn)測(cè)試可以確認(rèn)所有驗(yàn)收標(biāo)準(zhǔn)是否完全達(dá)到。,.,46,.,46,3.防止惡意軟件目標(biāo)：保護(hù)軟件和信息的完整性。軟件和信息處理設(shè)施易受惡意軟件的攻擊，比如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈。應(yīng)提醒用戶警覺未授權(quán)軟件或惡意軟件的危險(xiǎn)，并且管理員應(yīng)適當(dāng)?shù)匾胩厥獾目刂剖侄螜z測(cè)或防范這些軟件的侵襲。尤其是，采取防范措施檢查和預(yù)防個(gè)人計(jì)算機(jī)上的計(jì)算機(jī)病毒是必不可少的。3.1惡意軟件的控制和措施應(yīng)執(zhí)行防范惡意軟件的檢測(cè)和預(yù)防控制措施以及適當(dāng)?shù)耐ㄖ脩舻姆椒ā阂廛浖姆婪洞胧?yīng)根據(jù)安全意識(shí)、適當(dāng)?shù)南到y(tǒng)訪問和變更管理控制來制定。應(yīng)考慮以下控制措施：一個(gè)正式策略，要求遵守軟件許可，禁止使用未授權(quán)的軟件；安裝并定期更新抗病毒的檢測(cè)和修復(fù)軟件來檢查計(jì)算機(jī)和其它介質(zhì)，將它作為一種預(yù)防控制手段或者常規(guī)手段。,.,47,.,47,4.內(nèi)務(wù)處理目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性。4.1信息備份應(yīng)定期備份數(shù)個(gè)核心業(yè)務(wù)信息和軟件的副本。擁有足夠的備份設(shè)備可以確保在發(fā)生災(zāi)難或介質(zhì)故障后能夠恢復(fù)所有關(guān)鍵業(yè)務(wù)信息和軟件。應(yīng)定期檢測(cè)各個(gè)系統(tǒng)的備份安排，確保他們符合業(yè)務(wù)連續(xù)性計(jì)劃的要求。應(yīng)考慮以下指導(dǎo)方針：最基本的備份信息以及完整準(zhǔn)確的備份副本記錄和文檔化的恢復(fù)步驟應(yīng)儲(chǔ)存在一個(gè)很遠(yuǎn)的位置，這個(gè)位置足可以避免受主站點(diǎn)的災(zāi)難波及。對(duì)于重要的業(yè)務(wù)應(yīng)用程序應(yīng)保留至少三代或三個(gè)周期的備份信息。 備份信息應(yīng)給予適當(dāng)級(jí)別的物理和環(huán)境保護(hù)（參見條款 7），這個(gè)級(jí)別和主站點(diǎn)應(yīng)用的標(biāo)準(zhǔn)一致。對(duì)主站點(diǎn)應(yīng)用的控制應(yīng)擴(kuò)展到覆蓋備份站點(diǎn)。,.,48,.,48,4.2操作人員日志和錯(cuò)誤日志記錄操作人員應(yīng)保留他們活動(dòng)的日志記錄，應(yīng)有一個(gè)明確的處理報(bào)告的錯(cuò)誤的規(guī)則。根據(jù)需要，日志記錄應(yīng)包括：系統(tǒng)啟動(dòng)和結(jié)束時(shí)間；系統(tǒng)錯(cuò)誤和采取的糾正措施；審查錯(cuò)誤日志，確保錯(cuò)誤已經(jīng)得到滿意的解決； 審查糾正措施，確保沒有違反控制措施，并且采取的行動(dòng)都得到充分的授權(quán)。應(yīng)根據(jù)操作步驟對(duì)操作人員的日志記錄定期進(jìn)行獨(dú)立的檢查。,.,49,.,49,5.網(wǎng)絡(luò)管理目標(biāo)：保證網(wǎng)絡(luò)信息安全，保護(hù)支持性的體系結(jié)構(gòu)。5.1網(wǎng)絡(luò)控制措施獲得并維護(hù)網(wǎng)絡(luò)安全需要一系列控制措施。網(wǎng)絡(luò)管理員應(yīng)執(zhí)行控制措施確保網(wǎng)絡(luò)中的數(shù)據(jù)安全，并保護(hù)連接的服務(wù)避免非法訪問。尤其，應(yīng)考慮以下各項(xiàng)：根據(jù)需要，應(yīng)將網(wǎng)絡(luò)的操作職責(zé)和計(jì)算機(jī)的操作職責(zé)分離； 應(yīng)制定遠(yuǎn)程設(shè)備（包括用戶區(qū)域的設(shè)備）的管理職責(zé)和程序。,.,50,.,50,6.介質(zhì)處理與安全目標(biāo)：防止資產(chǎn)受損以及應(yīng)制定適當(dāng)?shù)牟僮鞑襟E來保護(hù)文檔、計(jì)算機(jī)介質(zhì)（磁帶、磁盤和盒式磁帶）、輸入/輸出數(shù)據(jù)和系統(tǒng)文檔避免損壞、盜竊和非法訪問。業(yè)務(wù)活動(dòng)中斷。應(yīng)控制介質(zhì)并對(duì)其進(jìn)行物理保護(hù)。6.1計(jì)算機(jī)活動(dòng)介質(zhì)的管理應(yīng)該制定對(duì)計(jì)算機(jī)活動(dòng)介質(zhì)（如磁帶、磁盤、盒式磁帶以及打印報(bào)告）的管理的方法。應(yīng)考慮以下指導(dǎo)方針。如果不再需要，應(yīng)該清除再可重復(fù)使用的介質(zhì)上要?jiǎng)h除的內(nèi)容。 刪除介質(zhì)中的組織內(nèi)容需要得到批準(zhǔn)，并且為維護(hù)審計(jì)追蹤應(yīng)該保留所有這類刪除的記錄。,.,51,.,51,6.2介質(zhì)處理介質(zhì)不再需要使用時(shí)應(yīng)對(duì)其進(jìn)行安全可靠的處置。介質(zhì)處置不認(rèn)真可能會(huì)將敏感信息泄露給外人。為減少風(fēng)險(xiǎn)，應(yīng)建立安全處置介質(zhì)的正式步驟。6.3信息處理程序?yàn)榱吮Ｗo(hù)此類信息免遭受非法公開或?yàn)E用，應(yīng)該制定信息處理和存儲(chǔ)程序。6.4系統(tǒng)文檔的安全系統(tǒng)文檔可以包含一系列的敏感信息，例如：對(duì)應(yīng)用程序進(jìn)程、過程、數(shù)據(jù)結(jié)構(gòu)和授權(quán)程序的說明，應(yīng)考慮以下控制措施來保護(hù)系統(tǒng)文檔不受非法訪問。應(yīng)安全儲(chǔ)存系統(tǒng)文檔。系統(tǒng)文檔的訪問列表應(yīng)讓少數(shù)知道，使用需經(jīng)過應(yīng)用程序所有者授權(quán)。,.,52,.,52,7.信息和軟件交換目標(biāo)：防止組織間交換信息時(shí)信息受損、修改或?yàn)E用。應(yīng)控制組織間的信息和軟件的交換，并且交換應(yīng)符合有關(guān)立法。7.1信息和軟件交換的協(xié)議為了便于組織間以電子方式或手工方式交換信息和軟件，應(yīng)該簽署協(xié)議，有些協(xié)議可以為正式協(xié)議，適當(dāng)?shù)臅r(shí)候還包括軟件第三方協(xié)議。這些協(xié)議的內(nèi)容應(yīng)反映有關(guān)業(yè)務(wù)信息的敏感度。7.2傳輸中介質(zhì)的安全在實(shí)際傳輸過程中，信息容易受到非法訪問、濫用或破壞，比如在通過郵局服務(wù)或速遞公司發(fā)送介質(zhì)的時(shí)候。應(yīng)使用以下控制措施來保護(hù)在站點(diǎn)之間傳送的計(jì)算機(jī)介質(zhì)。,.,53,.,53,7.3電子商務(wù)安全電子商務(wù)包括使用電子數(shù)據(jù)交換（EDI）、電子郵件和通過公共網(wǎng)絡(luò)如 Internet 在線交易。電子商務(wù)易受網(wǎng)絡(luò)威脅的攻擊，可能會(huì)導(dǎo)致欺詐活動(dòng)、合同糾紛以及泄露或修改信息。應(yīng)使用控制措施保護(hù)電子商務(wù)不受這類威脅。7.4電子郵件安全和策略電子郵件正在用于業(yè)務(wù)通信交流，正在取代傳統(tǒng)的交流形式例如電傳和信函。應(yīng)考慮采取控制措施來減少電子郵件帶來的安全風(fēng)險(xiǎn)。公司應(yīng)制定關(guān)于使用電子郵件的策略。對(duì)電子郵件的攻擊，例如病毒、攔截；電子郵局附件保護(hù)；,.,54,.,54,7.5電子辦公系統(tǒng)安全應(yīng)該制定并實(shí)施策略和指導(dǎo)原則，控制與電子辦公系統(tǒng)相關(guān)的業(yè)務(wù)和安全風(fēng)險(xiǎn)。通過結(jié)合以下各項(xiàng)，這些方法提供了快速傳播和共享業(yè)務(wù)信息的機(jī)會(huì)：文檔、計(jì)算系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)計(jì)算、移動(dòng)通信、郵件、語音郵件、一般語音通信、多媒體、郵寄服務(wù)/設(shè)施、傳真機(jī)。7.6信息公布系統(tǒng)應(yīng)小心保護(hù)電子公布信息的完整性防止非法進(jìn)行修改，因?yàn)檫@類修改可能會(huì)損害發(fā)布組織的聲譽(yù)。信息公布系統(tǒng)上的信息（例如通過 Internet 可以訪問的 Web 服務(wù)器上的信息）必須符合司法部門制定有關(guān)安裝系統(tǒng)或進(jìn)行交易的法規(guī)。在將信息公布以前，應(yīng)該有一個(gè)正式的授權(quán)過程。,.,55,.,55,7.7其他信息交換形式應(yīng)該制定程序和控制措施，保護(hù)通過使用語音、傳真和視頻通信設(shè)施進(jìn)行的信息交換。在使用這些設(shè)施時(shí)由于缺乏意識(shí)、策略或方法，信息可能遭到破壞，例如在公共場(chǎng)所使用移動(dòng)電話被偷聽，應(yīng)答機(jī)器被偷聽，非法訪問撥入語音郵件系統(tǒng)或者使用傳真設(shè)備錯(cuò)誤將傳真發(fā)給另外一個(gè)人等。8.具體實(shí)施案例【通訊和操作管理的建設(shè)要點(diǎn)】：通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和接收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流。“操作程序和責(zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施。,.,56,.,56,“系統(tǒng)計(jì)劃和接收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險(xiǎn)降低到最低水平。“惡意軟件防護(hù)”的目標(biāo)是保護(hù)軟件和信息的完整性免受惡意軟件的傷害。“內(nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措施包括信息備份、操作日志和錯(cuò)誤日志。“網(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護(hù)支持性的基礎(chǔ)架構(gòu)?！敖橘|(zhì)處理與安全”對(duì)于目前移動(dòng)性越來越高的企業(yè)IT環(huán)境來說具有特殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動(dòng)受到干擾。“信息和軟件交換”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。,.,57,.,57,【實(shí)施方法與形式】：為了確保天威誠信CA中心各項(xiàng)信息處理操作的正確性和安全性，我們一方面制定了系統(tǒng)操作運(yùn)行指南，另一方面采用了世界領(lǐng)先的網(wǎng)絡(luò)管理平臺(tái)并集成了安全管理模塊。該平臺(tái)一方面實(shí)現(xiàn)了網(wǎng)絡(luò)管理，另一方面可基于角色地從網(wǎng)絡(luò)及安全兩個(gè)方面確保通信和運(yùn)行的安全。專用網(wǎng)管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題。專用安全管理平臺(tái)模塊的采用很好解決了多種安全產(chǎn)品的有機(jī)結(jié)合的問題，為風(fēng)險(xiǎn)管理提供了有效的技術(shù)機(jī)制。該機(jī)制使得風(fēng)險(xiǎn)要素可準(zhǔn)確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測(cè)、審計(jì)）進(jìn)行采集，并最終匯總到管理平臺(tái)進(jìn)行事件間的關(guān)聯(lián)分析，從而以更為準(zhǔn)確、適用的方式呈現(xiàn)在管理者面前。,.,58,.,58,對(duì)于惡意軟件防護(hù)方面，我們?cè)谙到y(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。在應(yīng)用方面我們采用專用內(nèi)容過濾技術(shù)防止各種惡意內(nèi)容到達(dá)企業(yè)內(nèi)部。另外，考慮到安全的動(dòng)態(tài)性，我方采用定期的、持續(xù)性的專業(yè)風(fēng)險(xiǎn)評(píng)估服務(wù)對(duì)系統(tǒng)進(jìn)行定期評(píng)估以便及時(shí)發(fā)現(xiàn)新的安全風(fēng)險(xiǎn)。最后，建立了一個(gè)完善的備份系統(tǒng)，確保系統(tǒng)的全面?zhèn)浞莺图皶r(shí)恢復(fù)。,.,59,.,59,七.訪問控制,1.訪問控制的業(yè)務(wù)要求目標(biāo)：控制對(duì)信息的訪問。應(yīng)該根據(jù)業(yè)務(wù)要求和安全要求對(duì)信息訪問與業(yè)務(wù)流程加以控制。1.1訪問控制策略策略要求與業(yè)務(wù)要求應(yīng)該明確訪問控制的業(yè)務(wù)要求并記錄在案。應(yīng)該在訪問策略陳述中明確規(guī)定每個(gè)用戶或用戶組的訪問控制規(guī)則與權(quán)限。應(yīng)該向用戶和服務(wù)提供商明確說明訪問控制應(yīng)該達(dá)到的業(yè)務(wù)要求。該策略應(yīng)該考慮以下內(nèi)容：各個(gè)業(yè)務(wù)應(yīng)用的安全要求。確定與業(yè)務(wù)應(yīng)用有關(guān)的所有信息。,.,60,.,60,訪問控制規(guī)則制定訪問控制規(guī)則時(shí)，應(yīng)該謹(jǐn)慎考慮以下情況：區(qū)分必須始終實(shí)施的規(guī)則和有選擇、有條件地實(shí)施的規(guī)則。2.用戶訪問管理目標(biāo)：防止對(duì)信息系統(tǒng)的非法訪問。2.1用戶注冊(cè)應(yīng)該制定正式的用戶注冊(cè)和取消注冊(cè)程序，規(guī)范對(duì)所有多用戶信息系統(tǒng)與服務(wù)的訪問授權(quán)。應(yīng)該通過正式的用戶注冊(cè)程序來控制多用戶信息服務(wù)的訪問權(quán)限。該程序應(yīng)該包括以下內(nèi)容：使用唯一用戶 ID，以便將用戶與其操作聯(lián)系起來，使用戶對(duì)其操作其責(zé)。組 ID 只有適合所進(jìn)行的工作，才允許使用。,.,61,.,61,2.2權(quán)限管理應(yīng)該嚴(yán)格限制權(quán)限（用戶能借此越過系統(tǒng)或應(yīng)用程序控制措施的任何多用戶信息系統(tǒng)的功能或設(shè)施）的分配和使用。系統(tǒng)權(quán)限使用不當(dāng)常常是系統(tǒng)出現(xiàn)故障的主要作用因素，結(jié)果導(dǎo)致系統(tǒng)遭到破壞。對(duì)于要求防范非法訪問的多用戶系統(tǒng)，應(yīng)該制定正式的授權(quán)程序，對(duì)權(quán)限分配進(jìn)行控制。應(yīng)該考慮采取以下步驟：應(yīng)該確定與每個(gè)系統(tǒng)產(chǎn)品（如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和各個(gè)應(yīng)用程序）相關(guān)的權(quán)限，還應(yīng)該確定需要為其分配這些權(quán)限的員工類別。2.3用戶口令管理口令是在用戶訪問信息系統(tǒng)和服務(wù)時(shí)對(duì)其身份進(jìn)行驗(yàn)證的一種方法。應(yīng)該通過正式的管理程序來控制口令的分配。采用這種方法就應(yīng)該：要求用戶簽署聲明，保證個(gè)人口令安全，確保工作組口令僅在本組成員間共享。,.,62,.,62,2.4用戶訪問權(quán)限檢查為了保證對(duì)訪問數(shù)據(jù)和信息服務(wù)進(jìn)行有效控制，管理層應(yīng)該制定正式的程序，定期對(duì)用戶訪問權(quán)限進(jìn)行檢查3.用戶責(zé)任目標(biāo)：防止非法的用戶訪問。授權(quán)用戶的合作態(tài)度對(duì)有效地保障安全至關(guān)重要。3.1口令的使用選擇使用口令時(shí)，用戶應(yīng)該按照安全可靠的措施進(jìn)行?？诹钍且环N用戶身份驗(yàn)證方法，并因此確定對(duì)信息處理設(shè)施或服務(wù)的訪問權(quán)限。建議所有用戶：保證口令安全，選用高質(zhì)量的口令，最少要有 68個(gè)字符。如果不能安全保存，應(yīng)避免在紙上記錄口令。,.,63,.,63,3.2無人值守的設(shè)備用戶應(yīng)該確保對(duì)無人值守的設(shè)備進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。4.網(wǎng)絡(luò)訪問控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化服務(wù)。應(yīng)該控制對(duì)內(nèi)外網(wǎng)絡(luò)服務(wù)的訪問。4.1網(wǎng)絡(luò)服務(wù)的使用策略與網(wǎng)絡(luò)服務(wù)的連接如果不安全，就會(huì)影響整個(gè)組織。只應(yīng)該向用戶提供對(duì)專門授權(quán)使用的服務(wù)的直接訪問權(quán)限。與敏感或重要業(yè)務(wù)應(yīng)用或與處于高風(fēng)險(xiǎn)區(qū)域（如組織無法進(jìn)行安全管理和控制的公共或外部區(qū)域）的用戶進(jìn)行網(wǎng)絡(luò)連接時(shí)，這種控制措施顯得尤其重要。4.2實(shí)施控制的路徑從用戶終端到計(jì)算機(jī)服務(wù)的路徑需要進(jìn)行控制。,.,64,.,64,4.3外部連接的用戶身份驗(yàn)證外部連接為非法訪問業(yè)務(wù)信息提供了可能，如撥號(hào)訪問方法。所以，遠(yuǎn)程用戶訪問應(yīng)該進(jìn)行身份驗(yàn)證。遠(yuǎn)程用戶的身份驗(yàn)證可以通過使用加密技術(shù)、硬件標(biāo)記或問答協(xié)議等等來完成。專線或網(wǎng)絡(luò)用戶地址檢查工具也可用來對(duì)連接源提供安全保障。4.4節(jié)點(diǎn)驗(yàn)證可以使用與遠(yuǎn)程計(jì)算機(jī)進(jìn)行自動(dòng)連接的工具對(duì)業(yè)務(wù)應(yīng)用進(jìn)行非法訪問。4.5遠(yuǎn)程診斷端口的保護(hù)對(duì)診斷端口的訪問應(yīng)該嚴(yán)加控制。這些診斷端口如果不予以保護(hù)就會(huì)提供一條非法訪問途徑。,.,65,.,65,4.6網(wǎng)絡(luò)劃分隨著商業(yè)合作伙伴關(guān)系的建立，要求對(duì)信息處理和連網(wǎng)設(shè)施進(jìn)行互連或共享。因此，網(wǎng)絡(luò)在不斷地?cái)U(kuò)充，超越了傳統(tǒng)的組織界限?？刂拼笮途W(wǎng)絡(luò)安全的一種方法是將其分割成不同的邏輯網(wǎng)絡(luò)域（如組織的內(nèi)部網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域），每個(gè)域都使用一個(gè)明確的安全界限來加以保護(hù)。4.7網(wǎng)絡(luò)連接控制共享網(wǎng)絡(luò)，特別是跨組織共享網(wǎng)絡(luò)的訪問控制策略要求，可能要求采用控制措施以限制用戶連接權(quán)限。此類控制措施可以通過過濾通信量的網(wǎng)關(guān)采用預(yù)定義表或規(guī)則的方法加以實(shí)施。,.,66,.,66,4.9網(wǎng)絡(luò)服務(wù)安全使用網(wǎng)絡(luò)服務(wù)的組織應(yīng)該確保所有服務(wù)的安全性都有明確說明。5.操作系統(tǒng)訪問控制目標(biāo)：防止非法的計(jì)算機(jī)訪問。應(yīng)該使用操作系統(tǒng)級(jí)別的安全設(shè)施限制對(duì)計(jì)算機(jī)資源的訪問。5.1終端自動(dòng)識(shí)辨功能應(yīng)該考慮使用終端自動(dòng)識(shí)別功能來驗(yàn)證與具體位置和便攜設(shè)備的連接。如果會(huì)話必須從某一位置或計(jì)算機(jī)終端開始，則可以使用終端自動(dòng)識(shí)別技術(shù)。,.,67,.,67,5.2終端登錄程序通過安全的登錄程序應(yīng)該能夠訪問信息服務(wù)。計(jì)算機(jī)系統(tǒng)登錄程序按其設(shè)計(jì)應(yīng)該最大限度地降低非法訪問的幾率。因而，登錄程序應(yīng)該最大限度地減少公開的系統(tǒng)信息，避免為非法用戶提供方便。5.3用戶身份識(shí)別和驗(yàn)證所有用戶（包括技術(shù)支持員工，如操作員、網(wǎng)絡(luò)管理員、系統(tǒng)程序員和數(shù)據(jù)庫管理員）都應(yīng)該有一個(gè)個(gè)人專用的唯一標(biāo)識(shí)符（用戶 ID），以便操作能夠追溯到具體責(zé)任人。5.4口令管理系統(tǒng)口令是驗(yàn)證用戶是否具有計(jì)算機(jī)服務(wù)訪問權(quán)限的主要方法之一?？诹罟芾硐到y(tǒng)應(yīng)該提供有效的交互手段，保證使用高質(zhì)量的口令。,.,68,.,68,5.5系統(tǒng)實(shí)用程序的使用大多數(shù)計(jì)算機(jī)系統(tǒng)都有一個(gè)或多個(gè)能夠越過系統(tǒng)和應(yīng)用控制措施的系統(tǒng)實(shí)用程序。要對(duì)其使用嚴(yán)加限制和控制。5.6保護(hù)用戶的威脅報(bào)警應(yīng)該考慮為可能受到威脅的用戶提供威脅報(bào)警功能。6.應(yīng)用程序訪問控制目標(biāo)：防止對(duì)信息系統(tǒng)中信息的非法訪問。6.1信息訪問限制和敏感系統(tǒng)的隔離,.,69,.,69,7.監(jiān)控系統(tǒng)的訪問和使用目標(biāo)：檢測(cè)非法活動(dòng)。應(yīng)該對(duì)系統(tǒng)進(jìn)行進(jìn)行監(jiān)控，檢測(cè)與訪問控制策略不符的情況，將可以監(jiān)控的事件記錄下來，在出現(xiàn)安全事故時(shí)作為證據(jù)使用。7.1事件日志記錄應(yīng)該創(chuàng)建記錄異常事件和安全相關(guān)事件的審計(jì)日志并按照協(xié)商認(rèn)可的保留期限將其保留一段時(shí)間。7.2程序和風(fēng)險(xiǎn)領(lǐng)域和時(shí)鐘同步應(yīng)該制定信息處理設(shè)施使用情況的監(jiān)控程序，計(jì)算機(jī)時(shí)鐘的正確設(shè)置十分重要。它可以保證審計(jì)日志的準(zhǔn)確性。8.移動(dòng)計(jì)算和遠(yuǎn)程工作目標(biāo)：保證在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)信息的安全性。,.,70,.,70,9.具體實(shí)施案例【系統(tǒng)訪問控制的建設(shè)要點(diǎn)】：系統(tǒng)訪問控制包括八個(gè)控制目標(biāo)：訪問控制策略、用戶訪問管理、用戶責(zé)任、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用訪問控制、監(jiān)控系統(tǒng)的訪問和使用、以及移動(dòng)計(jì)算和遠(yuǎn)程辦公?！霸L問控制策略”要求建立覆蓋公司核心業(yè)務(wù)的系統(tǒng)訪問策略，以指導(dǎo)相關(guān)的IT活動(dòng)?！坝脩粼L問管理”則要求建立用戶身份注冊(cè)、權(quán)限管理、口令管理以及訪問控制審查手段?！坝脩糌?zé)任”要求明確用戶在口令和信息設(shè)備使用方面的責(zé)任?！熬W(wǎng)絡(luò)訪問控制”、“操作系統(tǒng)訪問控制”、“應(yīng)用訪問控制”包括非常多的內(nèi)容，分別從網(wǎng)絡(luò)層、操作系統(tǒng)層和應(yīng)用層，提出要求，目標(biāo)是在不同層面建立身份與口令管理、隔離、訪問控制、認(rèn)證、超時(shí)、敏感信息保護(hù)、審計(jì)、以及路由、執(zhí)行路徑等安全保護(hù)手段?！氨O(jiān)控系統(tǒng)的訪問和使用”要求采取手段，保證時(shí)鐘同步，記錄監(jiān)控系統(tǒng)的使用和各種事件?！耙苿?dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全。,.,71,.,71,【實(shí)施方法與形式】：天威誠信根據(jù)自身業(yè)務(wù)運(yùn)營特點(diǎn)，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、數(shù)據(jù)信息五個(gè)層面制定了全面的、有效的天威誠信系統(tǒng)訪問控制安全策略，并在該策略的指導(dǎo)下來實(shí)現(xiàn)整體的、全面的、有效的訪問控制機(jī)制。在網(wǎng)絡(luò)訪問控制層面，我們采用防火墻在各安全域間建立安全的網(wǎng)絡(luò)邊界，同時(shí)對(duì)關(guān)鍵的業(yè)務(wù)進(jìn)行了更多層次的、不同級(jí)別的縱深防護(hù)；在系統(tǒng)訪問控制層面，我們對(duì)系統(tǒng)層面除了啟用系統(tǒng)自身的訪問控制機(jī)制外，我們對(duì)關(guān)鍵業(yè)務(wù)主機(jī)部署了超越操作系統(tǒng)的、更為強(qiáng)大細(xì)化的專業(yè)訪問控制產(chǎn)品；在用戶訪問管理方面，一方面專門制度了帳戶口令管理制度，另一方面采用一次性口令認(rèn)證機(jī)制和雙因素認(rèn)證機(jī)制來實(shí)現(xiàn)系統(tǒng)及應(yīng)用的安全訪問，這一系列的訪問均有用戶訪問控制策略做指導(dǎo)。,.,72,.,72,在用戶責(zé)任方面我們?cè)诎踩呗灾忻鞔_了不同主體在使用客體時(shí)的責(zé)任。在應(yīng)用層面，我們采用專用的中間件產(chǎn)品進(jìn)行安全及邏輯控制；在數(shù)據(jù)庫方面一方面采用專用訪問控制產(chǎn)品來嚴(yán)格限制訪問邊界，另一方面嚴(yán)格限制了數(shù)據(jù)庫中各對(duì)象的訪問權(quán)限。對(duì)于數(shù)據(jù)信息的訪問控制，我們采用了加密、完整性校驗(yàn)等技術(shù)，另外對(duì)于屬于最高安全性的數(shù)據(jù)信息，我們對(duì)其所屬的網(wǎng)絡(luò)和環(huán)境采用了最嚴(yán)格的物理隔離措施，使其與其它工作區(qū)及外部網(wǎng)絡(luò)進(jìn)行完全物理隔離。最后，我們對(duì)各項(xiàng)訪問控制