信息安全管理完全手冊(cè)

1、信息安全管理完全手冊(cè)一、信息安全管理的范圍 網(wǎng)絡(luò)信息的安全管理包括以下四類活動(dòng)： 1 系統(tǒng)安全管理，涉及安全管理的各個(gè)方面，典型活動(dòng)為： （1） 總體安全策略的管理，包括一致性的修改與維護(hù); （2） 與其他管理功能的相互作用; （3） 與安全服務(wù)管理和安全機(jī)制管理的交互作用; （4） 事件處理管理; （5） 安全審計(jì)管理; （6） 安全恢復(fù)管理。 2安全服務(wù)管理，涉及特定安全服務(wù)管理的各個(gè)方面，典型活動(dòng)為： （1）為某種安全服務(wù)決定與指派安全保護(hù)目標(biāo); （2）在可選情況下，指定并維護(hù)選擇規(guī)則，選取安全服務(wù)使用的特定的安全機(jī)制; （3） 對(duì)那些需要事先取得管理同意的可用安全機(jī)制進(jìn)行協(xié)商（本地的與

2、遠(yuǎn)程的）; （4） 通過適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定的安全機(jī)制（例如提供行政管理強(qiáng)加的 安全服務(wù)）; （5） 與其他安全服務(wù)管理功能和安全機(jī)制管理功能的交互作用。 3安全機(jī)制管理，涉及特定安全機(jī)制的管理，典型活動(dòng)為： （1）密鑰管理; （2）加密管理; （3）數(shù)字簽名管理; （4）訪問控制管理; （5）數(shù)據(jù)完整性管理; （6）路由選擇控制管理。 4安全管理本身涉及信息的安全。這也是網(wǎng)絡(luò)信息安全管理的重要部分。這一類安全管理將借助選擇適當(dāng)?shù)陌踩?wù)和安全機(jī)制來(lái)確保安全管理協(xié)議和信息獲得足夠的保護(hù)。 二、信息安全管理規(guī)范 信息管理部門應(yīng)根據(jù)管理原則和各部門具體情況，制訂相應(yīng)的管理制度或采用相應(yīng)的

3、規(guī)范。具體工作是： 1 根據(jù)工作的重要程度，確定該系統(tǒng)的安全需求。 2 根據(jù)確定的安全需求，確定安全管理的范圍。 3 制訂相應(yīng)的機(jī)房出入管理制度。對(duì)于安全要求較高的系統(tǒng)，實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。 4 制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。 5 制訂完備的系統(tǒng)維護(hù)制度。對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。 6 制

4、訂應(yīng)急措施。要制訂系統(tǒng)在緊急情況下盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。 三、人員管理機(jī)制 在以下活動(dòng)中，需要規(guī)范的人員管理機(jī)制來(lái)保障網(wǎng)絡(luò)應(yīng)用系統(tǒng)的信息安全： 1 訪問控制證件的發(fā)放與回收; 2 信息處理系統(tǒng)使用的媒介發(fā)放與回收; 3 處理保密信息; 4 硬件和軟件的維護(hù); 5系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改; 6 重要程序和數(shù)據(jù)的刪除和銷毀等。 人員管理方面可以采用以下原則： 1多人負(fù)責(zé)原則。每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已

5、得到保障。 2任期有限原則。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行作假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。 3職責(zé)分離原則。在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開： （1） 計(jì)算機(jī)操作與計(jì)算機(jī)編程; （2） 機(jī)密資料的接收和傳送; （3） 安全管理和系統(tǒng)管理; （4） 應(yīng)用程序和系統(tǒng)程序的編制; （5） 訪問證件的管理與其他工作; （6） 計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。 四、物理設(shè)施的管理 為獲得系統(tǒng)安全的完全保護(hù)，物理安全措

6、施總是必需的。但物理安全的代價(jià)通常較高，一般力求通過使用更廉價(jià)的技術(shù)把對(duì)它的需要降到最低限度。 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的物理設(shè)施包括： 1機(jī)房場(chǎng)地環(huán)境; 2通信線路和網(wǎng)絡(luò)設(shè)備; 3存儲(chǔ)媒體; 4主機(jī)、服務(wù)器、終端及各類外設(shè)。 五、系統(tǒng)配置的管理 系統(tǒng)配置包括: 1 網(wǎng)絡(luò)的拓?fù)溥x擇、構(gòu)件的選型與裝配，布線設(shè)計(jì)和參數(shù)設(shè)置; 2 主機(jī)、服務(wù)器、終端及各類外設(shè)的選型與參數(shù)設(shè)置; 3操作系統(tǒng)、編譯系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、系統(tǒng)工具的選擇、安裝與參數(shù)設(shè)置; 4 業(yè)務(wù)應(yīng)用系統(tǒng)的安裝與參數(shù)設(shè)置。 六、事件處理管理 事件處理管理包括: 1遠(yuǎn)程報(bào)告那些明顯企圖威脅系統(tǒng)安全的行為; 2修改用來(lái)觸發(fā)事件報(bào)告的閾值。 七、安全審計(jì)管

7、理 安全審計(jì)管理包括: 1選擇將被記錄和被遠(yuǎn)程收集的事件; 2授予或取消對(duì)所選事件進(jìn)行審計(jì)跟蹤日志記錄的能力; 3對(duì)所選審計(jì)記錄的遠(yuǎn)程收集; 4準(zhǔn)備安全審計(jì)報(bào)告。 八、安全恢復(fù)管理 安全恢復(fù)管理包括： 1維護(hù)那些用來(lái)對(duì)實(shí)有的或可疑的安全事故做出反應(yīng)的規(guī)則; 2遠(yuǎn)程報(bào)告明顯威脅系統(tǒng)安全的行為; 3安全管理者的交互作用。 九、密鑰管理 密鑰管理包括： 1 產(chǎn)生與所要求安全級(jí)別相稱的合適密鑰; 2根據(jù)訪問控制的要求，對(duì)于每個(gè)密鑰決定哪個(gè)實(shí)體應(yīng)該接受密鑰的拷貝；3 用可靠辦法使這些密鑰對(duì)開放系統(tǒng)中的實(shí)體是可用的，或?qū)⑦@些密鑰分配給它們。 某些密鑰管理功能將在網(wǎng)絡(luò)應(yīng)用實(shí)現(xiàn)環(huán)境之外執(zhí)行，包括用可靠手段對(duì)密鑰進(jìn)行物理的分配。用于一次聯(lián)系中的工作密鑰的交換是一種正常的協(xié)議功能。工作密鑰的選取也可以通過訪問密鑰分配中心來(lái)完成，或經(jīng)管理協(xié)議作事先的分配。 十、訪問控制管理 訪問控制管理可涉及到: