第九章信息安全風(fēng)險(xiǎn)管理計(jì)算機(jī)犯罪二重要的信息安全法律三案例引入一信息安全管理的具體方法四防火墻能解決這樣的問題嗎？防火墻能解決這樣的問題嗎？精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)信息安全管理需求：人在信息系統(tǒng)中具有重要的作用。信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過(guò)程應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過(guò)程三分技術(shù)，七分管理?yè)?jù)有關(guān)統(tǒng)計(jì)，信息安全事件中大約有70%以上的問題都是由于管理方面的原因造成的。數(shù)據(jù)來(lái)源CNCERT/CC僅通過(guò)技術(shù)手段實(shí)現(xiàn)的安全能力是有限的，只有有效的安全管理，才能確保技術(shù)發(fā)揮其應(yīng)有的安全作用，真正實(shí)現(xiàn)設(shè)備、應(yīng)用、數(shù)據(jù)和人這個(gè)整體的安全。結(jié)論：要實(shí)現(xiàn)良好的信息安全，需要信息安全技術(shù)和信息安全管理有效地配合

信息安全研究的內(nèi)容主要分為信息安全技術(shù)和信息安全管理。信息安全技術(shù)層面建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，包括物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全等配備一定的安全技術(shù)和產(chǎn)品，如數(shù)據(jù)加密產(chǎn)品、數(shù)據(jù)存儲(chǔ)備份產(chǎn)品、系統(tǒng)容錯(cuò)產(chǎn)品、防病毒產(chǎn)品、安全網(wǎng)關(guān)產(chǎn)品等信息安全管理層面構(gòu)建信息安全管理體系信息安全管理(InformationSecurityManagement)

：組織為了實(shí)現(xiàn)信息安全目標(biāo)和信息資產(chǎn)保護(hù)，用來(lái)指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的、一組相互協(xié)調(diào)的活動(dòng)。信息安全管理對(duì)象：組織的信息及相關(guān)資產(chǎn)，包括信息、人員、軟件等，同時(shí)還包括信息安全目標(biāo)、信息安全組織架構(gòu)、信息安全策略規(guī)則等。信息安全管理最終目標(biāo)：將系統(tǒng)（即管理對(duì)象）的安全風(fēng)險(xiǎn)降低到用戶可接受的程度，保證系統(tǒng)的安全運(yùn)行和使用。12.1信息安全管理體系為了構(gòu)建良好的信息安全管理體系(InformationSecurityManagementSystem,ISMS)，我們通常采用PDCA信息安全管理模型。PDCA管理模型是由美國(guó)著名質(zhì)量管理專家戴明博士提出，故又稱為“戴明循環(huán)”或“戴明環(huán)”。安全管理模型遵循管理的一般循環(huán)模式，但是隨著新的風(fēng)險(xiǎn)不斷出現(xiàn)，系統(tǒng)的安全需求也在不斷變化，安全問題是動(dòng)態(tài)的。因此，安全管理應(yīng)該也是一個(gè)不斷改進(jìn)的持續(xù)發(fā)展過(guò)程。信息安全管理模型PDCA管理模型實(shí)際上是指有效地進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。它包括計(jì)劃(Plan)、執(zhí)行(Do)、檢查(Check)和行動(dòng)(Action)的持續(xù)改進(jìn)模式。每次循環(huán)都會(huì)通過(guò)檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活動(dòng)的螺旋式提升。APCDPDCA12（3）信息安全管理模型APCD根據(jù)法律、法規(guī)的要求和組織內(nèi)部的安全需求制定信息安全方針、策略，進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定風(fēng)險(xiǎn)控制目標(biāo)與控制方式，制定信息安全工作計(jì)劃等內(nèi)容，明確責(zé)任分工，安排工作進(jìn)度，形成工作文件。按照所選擇的控制目標(biāo)與控制方式進(jìn)行信息安全管理實(shí)施，包括建立權(quán)威安全機(jī)構(gòu)，落實(shí)各項(xiàng)安全措施，開展全員安全培訓(xùn)等。在實(shí)踐中檢查、評(píng)估工作計(jì)劃執(zhí)行后的結(jié)果，包括：制定的安全目標(biāo)是否合適，是否符合安全管理的原則，是否符合安全技術(shù)的標(biāo)準(zhǔn)，是否符合法律法規(guī)的要求，是否符合風(fēng)險(xiǎn)控制的指標(biāo)，控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn)等，并報(bào)告結(jié)果。檢查階段就是明確效果，找出問題。行動(dòng)階段也可以稱之為處理階段，依據(jù)上述檢查結(jié)果，對(duì)現(xiàn)有信息安全管理策略的適宜性進(jìn)行評(píng)審與評(píng)估，評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性。對(duì)成功的經(jīng)驗(yàn)加以肯定并予以規(guī)范化、標(biāo)準(zhǔn)化，指導(dǎo)今后的工作，對(duì)于失敗的教訓(xùn)也進(jìn)行總結(jié)，避免再出現(xiàn)。信息安全管理體系(InformationSecurityManagementSystem,ISMS)組織以信息安全風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的系統(tǒng)化、程序化和文件化的管理體系，包括建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全等一系列的管理活動(dòng)。信息安全管理的原則（1）規(guī)范化原則：各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)組織安全需求，制定安全策略。（2）系統(tǒng)化原則：根據(jù)安全工程的要求，對(duì)系統(tǒng)各階段，包括以后的升級(jí)、換代和功能擴(kuò)展進(jìn)行全面統(tǒng)一地考慮。（3）綜合保障原則：人員、資金、技術(shù)等多方面綜合保障；（4）以人為本原則：技術(shù)是關(guān)鍵，管理是核心，提高管理人員的技術(shù)素養(yǎng)和道德水平。（5）首長(zhǎng)負(fù)責(zé)原則：只有首長(zhǎng)負(fù)責(zé)才能把安全管理落到實(shí)處；信息安全管理的原則（6）預(yù)防原則：安全管理以預(yù)防為主，并要有一定的超前意識(shí)；（7）風(fēng)險(xiǎn)評(píng)估原則：根據(jù)實(shí)踐對(duì)系統(tǒng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以改進(jìn)系統(tǒng)的安全狀況；（8）動(dòng)態(tài)原則：根據(jù)環(huán)境的改變和技術(shù)的進(jìn)步，提高系統(tǒng)的保護(hù)能力（9）成本效益原則：根據(jù)資源價(jià)值和風(fēng)險(xiǎn)評(píng)估結(jié)果，采用適度的保護(hù)措施。（10）均衡防護(hù)原則：根據(jù)“木捅原理”，整個(gè)系統(tǒng)的安全強(qiáng)度取決員弱的一環(huán)，片面追求某個(gè)方面的安全強(qiáng)度對(duì)整個(gè)系統(tǒng)沒有實(shí)際意義。信息安全管理是一個(gè)過(guò)程，而不是一個(gè)產(chǎn)品，其本質(zhì)是風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理可以看成是一個(gè)不斷降低安全風(fēng)險(xiǎn)的過(guò)程，最終目的是使安全風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，使用戶和決策者可以接受剩余的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。信息系統(tǒng)生命周期包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。每個(gè)階段都存在相關(guān)風(fēng)險(xiǎn)，需要采用同樣的信息安全風(fēng)險(xiǎn)管理的方法加以控制。1.信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理是為保護(hù)信息及其相關(guān)資產(chǎn)，指導(dǎo)和控制一個(gè)組織相關(guān)信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。我國(guó)《信息安全風(fēng)險(xiǎn)管理指南》指出，信息安全風(fēng)險(xiǎn)管理包括對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查、溝通與咨詢六個(gè)方面，其中前四項(xiàng)是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，監(jiān)控與審查和溝通與咨詢則貫穿于前四個(gè)步驟中。1.信息安全風(fēng)險(xiǎn)管理設(shè)施的安全管理包括網(wǎng)絡(luò)的安全管理、保密設(shè)備的安全管理、硬件設(shè)施的安全管理、場(chǎng)地的安全管理等。管理網(wǎng)絡(luò)的安全管理。信息管理網(wǎng)絡(luò)是一個(gè)用于收集、傳輸、處理和存儲(chǔ)有關(guān)信息系統(tǒng)與網(wǎng)絡(luò)的維護(hù)、運(yùn)行和管理信息的、高度自動(dòng)化網(wǎng)絡(luò)化的綜合管理系統(tǒng)。它包括性能管理、配置管理、故障管理、計(jì)費(fèi)管理、安全管理等功能。而安全管理又包括系統(tǒng)的安全管理、安全服務(wù)管理、安全機(jī)制管理、安全事件處理管理、安全審計(jì)管理、安全恢復(fù)管理等。2、設(shè)施的安全管理根據(jù)信息化建設(shè)發(fā)展的需要，信息包括三個(gè)層次的內(nèi)容：一是在網(wǎng)絡(luò)和系統(tǒng)中被采集、傳輸、處理和存儲(chǔ)的對(duì)象，如技術(shù)文檔、存儲(chǔ)介質(zhì)、各種信息等；二是指使用的各種軟件；三是安全管理手段的密鑰和口令等信息。存儲(chǔ)介質(zhì)的安全管理。存儲(chǔ)介質(zhì)包括：紙介質(zhì)、磁盤、光盤、磁帶、錄音/錄像帶等，它們的安全對(duì)信息系統(tǒng)的恢復(fù)、信息的保密、防病毒起著十分關(guān)鍵的作用。對(duì)不同類別的存儲(chǔ)介質(zhì)，安全管理要求也不盡相同。對(duì)存儲(chǔ)介質(zhì)的安全管理主要考慮存儲(chǔ)管理、使用管理、復(fù)制和銷毀管理、涉密介質(zhì)的安全管理。3、信息的安全管理3、信息的安全管理

軟件設(shè)施的安全管理。對(duì)軟件設(shè)施的安全管理主要考慮配置管理、使用和維護(hù)管理、開發(fā)管理、病毒管理。軟件設(shè)施主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)管理軟件以及網(wǎng)絡(luò)協(xié)議等。密鑰和口令的安全管理。密鑰是加密解密算法的關(guān)鍵，密鑰管理就是對(duì)密鑰的生成、檢驗(yàn)、分配、保存、使用、注入、更換和銷毀等過(guò)程所進(jìn)行的管理?？诹钍沁M(jìn)行設(shè)備管理的一種有效手段，對(duì)口令的產(chǎn)生、傳送、使用、存儲(chǔ)、更換均需要有效的管理和控制。

4、運(yùn)行的安全管理信息系統(tǒng)和網(wǎng)絡(luò)在運(yùn)行中的安全狀態(tài)也是需要考慮的問題，目前常常關(guān)注安全審計(jì)和安全恢復(fù)兩個(gè)安全管理問題。安全審計(jì)。安全審計(jì)是指對(duì)系統(tǒng)或網(wǎng)絡(luò)運(yùn)行中有關(guān)安全的情況和事件進(jìn)行記錄、分析并采取相應(yīng)措施的管理活動(dòng)。目前主要對(duì)操作系統(tǒng)及各種關(guān)鍵應(yīng)用軟件進(jìn)行審計(jì)。安全審計(jì)工作應(yīng)該由各級(jí)安全機(jī)構(gòu)負(fù)責(zé)實(shí)施管理，采用人工、半自動(dòng)或自動(dòng)智能三種方式。人工審計(jì)一般通過(guò)審計(jì)員查看、分析、處理審計(jì)記錄；半自動(dòng)審計(jì)一般由計(jì)算機(jī)自動(dòng)分析處理，滿足不同應(yīng)用環(huán)境的需求。

4、運(yùn)行的安全管理安全恢復(fù)。安全恢復(fù)是指網(wǎng)絡(luò)和信息系統(tǒng)在收到災(zāi)難性打擊或破壞時(shí)，為使網(wǎng)絡(luò)和信息系統(tǒng)迅速恢復(fù)正常，并使損失降低到最小而進(jìn)行的一系列活動(dòng)。安全恢復(fù)的管理主要包括安全恢復(fù)策略的確立、安全恢復(fù)計(jì)劃的制定、安全恢復(fù)計(jì)劃的測(cè)試和維護(hù)、安全恢復(fù)計(jì)劃的執(zhí)行。信息安全管理的方法包括法律方法、行政方法、經(jīng)濟(jì)方法和宣傳教育方法。四者相互結(jié)合，形成完整的管理方法體系。1、法律方法信息安全管理的方法包括法律方法、行政方法、經(jīng)濟(jì)方法和宣傳教育方法。四者相互結(jié)合，形成完整的管理方法體系。指通過(guò)國(guó)家制定和實(shí)施各種法規(guī)以進(jìn)行管理的方法。這里的法規(guī)包括國(guó)家頒布的法律、國(guó)家及軍隊(duì)的各級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)以及各個(gè)管理系統(tǒng)所制定的法令、條例、制定等各種具有法律效力的規(guī)范。行政方法信息安全管理的方法包括法律方法、行政方法、經(jīng)濟(jì)方法和宣傳教育方法。四者相互結(jié)合，形成完整的管理方法體系。指行政組織機(jī)構(gòu)和領(lǐng)導(dǎo)者運(yùn)用權(quán)力，通過(guò)強(qiáng)制性的行政命令、規(guī)定、指示等行政手段，按照行政系統(tǒng)和層次，直接指揮下屬工作以實(shí)施管理的方法。經(jīng)濟(jì)方法根據(jù)客觀經(jīng)濟(jì)規(guī)律，運(yùn)用各種經(jīng)濟(jì)手段，調(diào)節(jié)各方面經(jīng)濟(jì)利益之間的關(guān)系，以獲取較高的社會(huì)效益與經(jīng)