信息安全管理是随着信息和信息安全的发展而发展的。在当今信息社会中,信息已成为人类的重要资产,而由于计算机及网络技术的迅猛发展带来的信息安全问题正变得日益突出,使得组织在业务运作过程中面临巨大的信息资产泄露风险,信息基础设施也面临着大量存在于组织内外的各种威协。因此,对信息系统需要加以严格管理和妥善维护,信息安全管理也随之产生。
信息安全是一个广泛而抽象的概念,不同的领域不同的方向对其概念的阐述都会有所不同。对建立在现代计算机及网络的基础之上的信息系统,比较明确的定义是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或恶意的侵犯而遭受破坏、更改和泄露;保证信息系统中信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Avai1ability)。从更为广义的概念来看,当前信息安全的主要内容或目标可能还需要包括不可否认性(Non-Repudiability)、可控性(Controllability)、真实性(Authenticity)和有效性(Uti1ity)等。为此,需要通过采用相应的计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,其机密性、完整性和可用性等不被破坏。
信息安全的构建是一个系统工程,需要对信息系统的各个环节进行统一的综合考虑、规划和构架,并随时兼顾系统内外的变化情况。因此,信息安全管理的引入,对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要的意义和作用,是信息安全保障体系建设的重要组成部分。信息安全管理则可定义为通过维护信息的机密性、完整性和可用性等来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。只有以有效的信息安全管理体系为基础,完善信息安全的管理结构,综合应用信息安全管理策略和信息安全技术产品,才有可能建立起一个真正意义上的信息安全防护体系。信息安全管理应当涉及信息安全的各个方面,包括制定信息安全策略、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全培训等一系列工作。
信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及完善这些目标所采用的方法和手段所构成的体系;信息安全管理体系是信息安全管理活动的直接结果,可表示为策略、原则、目标、方法、程序和资源等总的集合。以下从几个具体的方面做进一步的描述。
1、密码管理
为了保护计算机和信息系统中的敏感信息,有选择地采取技术上的和相关程序上的安全防护措施是各组织在信息安全管理体系中的迫切需求。使用基于密码机制的安全系统来保护敏感信息是行之有效的方法。被保护信息的机密性和完整性等安全特性由相应密码模块的功能来实现。因此,将密码模块置于信息安全系统中以及相应的密码管理就显得尤为重要。
在当今网络化、信息化的时代,密码技术的运用已经深入到各行各业以及人们的日常生活的各个方面。小到智能电话卡、银行信用卡,大到电子商务、电子政务,从个人到公司,从组织到政府,无一例外地越来越依赖密码技术所提供的保护。随着信息和信息技术的发展,电子数据交换逐步成为人们交换信息的主要形式。密码在信息安全领域中的应用将会不断拓宽,信息安全对密码的依赖也会越来越大。密码从最原始的利用一种变换来保护信息的秘密姓,发展到适应当今信息技术的现代密码学,不仅用于解决信息保护的秘密性,而且也用于解决信息的完整性、可用性、可控性和不可抵赖性等。因此,可以说密码技术是保护信息安全的最有效手段,也是保护信息安全的最关键技术。
密码是一门科学,作为运用于军事和政治斗争的一种技术,有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中,传递情报和指挥战争均离不开密码,外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展,密码技术的发展也非常迅速,应用领域不断扩展。密码除了用于信息加密外,也用于数据信息签名和安全认证。这样,密码的应用也不再只局限于为军事、外交斗争服务,它也广泛应用在社会和经济活动中。当今世界己经出现了密码应用的社会化和个人化趋势。例如:可以将密码技术应用在电子商务中,对网上交易双方的身份和商业信用进行识别,防止网上电子商务中的"黑客"和欺诈行为;应用于增值税发票中,可以防伪、防篡改,杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为,并大大方便了税务稽查;应用于银行支票鉴别中,可以大大降低利用假支票进行金融诈骗的金融犯罪行为;应用于个人移动通信中,大大增强了通信信息的保密性等等。
过去密码的研制、生产、使用和管理都是在封闭的环境下进行的。1970 年代以来,随着计算机、通信和信息技术的发展,密码领域也发生了新的变化。密码应用范围自益扩大,社会对密码的需求更加迫切,密码研究领域不断拓宽,密码研究也从专业机构走向社会和民间,密码技术得到了空前的发展。
基于密码的安全系统的设计和实现涉及密码模块的设计和实现。所谓密码模块就是一个硬件、软件、固件或其他相关组件的组合,用以实现密码的逻辑和处理。密码模块是提供密码服务(如加解密、签名、鉴别等)的系统或应用的一部分,也是整个安全系统的核心。
然而,密码学和密码机制不仅仅是一个与各个国家的外交和军事机构有关的问题,而且对于公民或个人与代表社会的国家之间的长久利益冲突有深远的影响。一方面,公民或公司通过有效的密码体制来保护公民的私人空间或公司商业利益,这是他们无可辩驳的权利。另一方面,国家又有法律所赋予的责任,必须保护国家的内外安全,而这又需要获取加密的消息来获得情报。因此,必然就会存在国家利益和个人利益的矛盾与冲突。
关于密码技术涉及的国家利益问题,各个国家的政策不尽相同。由于密码技术作为商品的特殊性,在美国,政府凭借其信息技术的优势,通过出口信息安全和密码产品来达到控制、获取别国信息的目的,并且在不同的时期适时的调整其密码管理政策。例如,美国政府最初限制40 位密钥长度以上的密码产品出口,继而同意具有密钥托管或密钥恢复功能的强密码出口,这些政策都是美国政府可以控制和解读的,更不用说在密码芯片和操作系统中还会隐藏着人们尚未发现的危险性更大的一些"限门"和"木马"。一旦国家利益发生冲突,那些隐藏的木马可能会在某些秘密指令下激活起来,破坏或篡改系统中的重要信息,或把这些重要信息通过网络秘密的发送出去。对此,我们必须有清醒的认识。
加强对商用密码管理是目前国际上通行的做法。例如美国政府对密码出口的严格管制,其目的之一便是控制密码技术外流,以免为执法机关和情报机构"非正常获取"信息增加困难;其二是监控密码市场的发展情况;最后则是出于外交政策的需要。
我国的商用密码管理原则,在中共中央办公厅1996年27号文中,明确了我国发展和管理商用密码实行"统一领导,集中管理,定点研制,专控经营,满足使用"的20字方针。
商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密,防止非法第三方获取信息内容;也可用于各种安全认证、网上银行、数字签名等。
根据1999 年10 月7 日国务院发布实施的《商用密码管理条例》第一章第二条规定:"本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品"。
如何来理解《条例》中对商用密码的定义呢?第一,它明确了商用密码是用于"不涉及国家秘密内容的信息"领域,即非涉密信息领域。商用密码所涉及的范围很广,凡是不涉及国家秘密内容的信息,又需要用密码加以保护的,均可以使用商用密码。第二,它指明了商用密码的作用,是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证,是现代密码的主要应用之一。第三,定义将商用密码归结为商用密码技术和商用密码产品,也就是说,商用密码是商用密码技术和商用密码产品的总称。而商用密码技术,则是指能够实现商用密码算法的加密、解密和认证等功能的技术(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
由原国家密码管理委员会办公室变更而来的国家密码管理局,履行对全国的密码管理职能,自成立以来,先后发布了《电子认证服务密码管理办法》及相应的《证书认证系统密码及其相关安全技术规范》。并于2006年1月1日起,施行《商用密码科研管理规定》、《商用密码产品生产管理规定》和《商用密码产品销售管理规定》。
国家密码管理局于2006 年1 月6 日发布公告,公布了“无线局域网产品须使用的系列密码算法”包括:
· 对称密码算法:SMS4;
· 签名算法:ECDSA;
· 密钥协商算法:ECDH;
. 杂凑算法:SHA-256;
· 随机数生成算法:自行选择。
其中, ECDSA和ECDH密码算法须采用国家密码管理局指定的椭圆曲线和参数。
这是国内官方公布的第一个商用密码算法系列。经过曲折和艰难的历程,我国商用密码终于掀开了神秘的面纱。该系列算法的公布是我国密码管理的突破性进展,对我国信息化安全和信息安全产业的健康发展必将起到关键性作用,对电子商务的发展也将起到推动作用,在我国信息化发展史上,具有里程碑的性质。
虽然公布的算法仅是指定给无线局域网产品使用的算法,但是它的公布在某种意义上代表了商用密码发展方向,将开辟我国密码管理的新航道。在其后的发展中,会有适合于更广泛范围应用的、种类更加丰富的密码算法公布于众。
有了公开的密码算法,密码和信息安全产品的研制者将有统一的标准和规范可以依循,可以将更多的精力放在产品技术和服务质量的竞争上;密码和信息安全产品的使用者可以不再担心由于产品的互操作性和可替代性差引起的另类安全问题;密码研究者可以有更加令人兴奋、更具现实意义和更具挑战性的研究课题。具有政治意义的是,此举向国际上展示了我国密码研究的实力和密码管理的胆略。此外,有了我国自己的普适性(指的是适用于高、中、低端软硬平台)的密码标准,密码使用者将不再面临不得不违背管理部门的要求而使用国外密码算法的尴尬。
根据国家密码管理局的最新公告,于2007年12月29日起施行《可信计算密码支撑平台功能与接口规范》于2008年1月8日起施行《IPSec VPN 技术规范》。
2、网络管理
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN 、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的"安全孤岛";各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。
但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。
另一方面,应用系统是为业务服务的。企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。
因此,比较理想的网络管理需要建立一种新型的整体网络安全管理解决方案一一统一安全管理平台,来总体配置、调控整个网络多层面 、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。
网络管理最突出的特点是对网络组成成分管理的统一性和远程性。利用统一的入口,无论身处何处,管理员都能够实现对网络的勘查和控制。这是以保证网络传输的性能和安全性为前提的。为此,网络管理体系结构应该包括以下四个方面:
(1)协议:以SNMP为主。因为SNMP属于应用层,因而可方便地支持全网性远程管理,前提是物理上的可达性。
(2)表示:适用面向对象式的表示方法,例如SNMP 所使用的ASN.l 定义方法,用于定义管理对象库(MIB) ,并需针对新的管理需求(如业务管理)定义新的MIB 库。
(3)安全:管理者和被管理者之间要有认证和加密协议。管理和被管理对象之间一定要建立安全联系,保证管理动作万无一失。
(4)对象:包括设备、各种协议、业务和交易过程。这将是管理的目标所在。网管的目的不仅在于提供网络单元和网络功能的透明性,更重要的是,使得网络各组成部分协调统一地支持用户需求和各种业务。这部分工作有两方面:其一是定义被管对象的属性及其操作方法,其二是对其进行表示化工作。这很像是对网络进行面向对象的分析和设计。
概括而言,在一个网络管理体系的四个部分,即:被管理对象本身、被管理对象的表示方法、管理协议和上层管理操作中,被管理信息的表示方法和网络管理通信协议是最容易做到标准化的,发展变化余量较小;被管理对象和管理操作虽然也可以部分做到标准化,但受具体网络技术和业务、政策的影响比较大,总是处于变化之中。总体而言,网络管理的4 个确定性特征是:统一化、智能化、安全化和主动化。
目前,针对不同的网络管理内容,形成了网络管理多个发展方向。其中主要的几个开发方向有:网管系统、应用性能管理、桌面管理、员工行为管理、安全管理。
2.1、网管系统
(1)主要是针对网络设备进行监测、配置和故障诊断。主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断。网管系统主要由两类公司开发,一类是适用软件供应商,另一类是各个设备厂商。
(2)通用软件供应商开发的NMS系统是针对各个厂商网络设备的通用网管系统。各个设备厂商为自己产品设计的专用NMS系统对自己的产品监测、配置功能非常全面,可监测一些通用网管系统无法监测的重要性能指标,还有一些独特配置功能。但是对其他公司生产的设备基本上就无能为力了。
2.2、应用性能管理
(1)应用性能管理是一个比较新的网络管理方向,主要指对企业的关键业务应用进行监测、优化,提高企业应用的可靠性和质量,保证用户得到良好的服务,降低IT总拥有成本。一个企业的关键业务应用的性能强大,可以提高竞争力,并取得商业成功,因此,加强应用性能管理(APM) 可以产生巨大商业利益。
(2)应用性能管理主要功能如下。
· 监测企业关键应用性能:过去,企业的IT部门在测量系统性能时,一般重点测量为最终用户提供服务的硬件组件的利用率,如CPU利用率以及通过网络传输的字节数。虽然这种方法也提供了一些宝贵的信息,但却忽视了最重要的因素——最终用户的响应时间。现在通过事务处理过程监测、模拟等手段可真实测量用户响应时间,此外还可以报告谁正在使用某一应用、该应用的使用频率以及用户所进行的事务处理过程是否成功完成。
· 快速定位应用系统性能故障:通过对应用系统各种组件(数据库、中间件)的监测 ,迅速定位系统故障,如发生数据库死锁等问题。
· 优化系统性能:精确分析系统各个组件占用系统资源情况,中间件、数据库执行效率,根据应用系统性能要求提出专家建议,保证应用在整个寿命周期内使用的系统资源要求最少,节约IT总拥有成本。
2.3、桌面管理系统
桌面管理环境是由最终用户的电脑组成,这些电脑运行Windows 、MAC等系统。桌面管理是对计算机及其组件管理,内容比较多,目前主要关注在资产管理、软件派送和远程控制。桌面管理系统通过以上功能,一方面减少了网管员的劳动强度,另一方面增加系统维护的准确性、及时性。这类系统通常分为两部分一一管理端和客户端。
2.4、员工行为管理
员工行为管理包括两部分,一部分是员工网上行为管理(EIM),另一部分是员工桌面行为监测。它一般在Internet应用层、网络层对信息控制,对数据根据EIM数据库进行过滤;定制因特网访问策略,根据用户、团组、部门、工作站或网络设置不同的因特网访问策略。
2.5、安全管理
网络安全管理指保障合法用户对资源安全访问,防止并杜绝黑客蓄意攻击和破坏。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。在选择产品时可以考虑以下方面:系统自身性能稳定;系统协议分析检测能力及解码速率;系统升级服务等。
3、设备管理
对设备的安全管理是保证信息系统安全的重要条件。设备安全管理包括设备的选型、检测、安装、登记、使用、维护和存储管理等多方面的内容。
设备管理的不安全可能会带来灾难性的后果,在一些重要的部门尤为如此。由于设备管理的安全缺陷可能带来的严重后果有:
如果系统的存储设备丢失或损坏,存错在其上的所有数据就都丢失了。即使事先有一定的备份,也将造成在备份数据恢复到替代设备上的过程中不能对数据进行及时访问。而如果丢失的数据没有加密,即使有备份可以进行数据的恢复,也很难确定丢失的重要数据没有被恶意的复制。如果是在商业上的一个竞争对手通过设备管理的缺陷获取了存储设备上的重要商业数据,那么通过备份进行的数据恢复也就没有很大的实际意义。
为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173 -1993《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-1988《计算站场地安全要求》。网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
信息系统采用有关信息安全技术措施和采购相应的安全设备时,应遵循以下原则:
(1)严禁使用未经国家信息安全测评机构认可的信息安全产品;
(2)尽量避免直接使用境外的密码设备,必须采用境外的信息安全产品时,该产品须通过国家信息安全测评机构的认可;
(3)严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备。
设备的使用和维护须严格按照预先制定的信息系统安全管理规定执行。对设备进行维护维修时,至少应该做到以下几点:
(1)应根据设备的资质情况及系统的可靠性等级,制定相关的预防性维护维修计划;
(2)对系统进行设备维护维修时应采取相关的数据保护措施,对维护维修的情况进行记录并有专人管理;
(3)对折旧设备的处理或严重故障无法维修的设备处理,须由专业人士或机构对其进行鉴定并对其中的敏感数据进行处理、登记,提出报告和处理意见报管理机构备案和批准后方可进行报度处理。
4、人员管理
信息系统是由人来开发的,也是为人类服务的。影响信息系统安全的因素,除了少数难以预知和不可抗力的自然因素以外,绝大多数的安全威胁来自于人类自己。如有意对信息系统进行攻击和破坏的黑客、计算机病毒,以及无意的操作失误等。因此,人始终是影响信息系统安全的最大因素,人员管理也就成为信息系统安全管理的关键。全面提高信息系统相关人员的技术水平、道德品质和安全意识等是信息系统安全的重要保证。
制定安全措施、标准、原则和实施过程,仅仅是有效的信息安全计划的开始。如果不能切实保证参与人员都能意识到自己的权利和责任,再强大的安全体系也是徒劳的。有效的安全计划是管理层为保护其关键信息资源而采取的最为有效的办法。实施有效的安全意识计划,将有助于员工懂得为什么要认真保护信息资源,他们会得到什么好处,安全计划对员工完成工作有何帮助。安全意识计划的实施要覆盖到所有层次的所有员工。
许多安全事件都是由内部人员引起的,因此,人员的素质和人员的管理是十分重要的。人员管理的核心是要确保有关业务人员的思想素质、职业道德和业务素质。
人员管理的第一关要求加强人员审查,主要从人员的安全意识、法律意识和安全技能等几个方面进行审查。
有关人员的安全等级与信息密切相关,因此人员审查必须根据信息系统所规定的安全等级确定审查标准。所有人员应明确其在安全系统中的职责和权限。所有人员的工作、活动范围应当被限制在完成其任务的最小范围内。
对于人员管理的人事安全审查,要求对某人是否适合参与信息安全保障和接触敏感信息进行审查以判断是否值得信任。
来自人员的信息安全威胁,通常是由于安全意识淡薄,对信息安全方针不理解或专业技能不足等原因造成的。因此,为确保工作人员意识到信息安全的威胁和隐患,并在他们正常工作时遵守组织的信息安全方针,组织需要提供必要的信息安全教育和培训。
信息安全人员管理的安全教育对象,应当包括信息安全相关的所有人员,可能包括:领导和管理人员;信息系统的工程技术人员,包括系统研发和维护人员;一般用户;其他相关人员等。
信息安全教育和培训的具体内容和要求因对象不同而不同,主要包括法规教育,安全技术教育和安全意识教育等。
法规教育是信息安全教育的核心,只要与信息系统相关的人员都应该接受信息安全的法规教育。信息及信息安全技术,是信息安全的技术保障。常用的信息安全技术包括加密技术、防火墙技术、入侵检测技术、漏洞扫描技术、备份技术、计算机病毒防御技术和反垃圾邮件技术等。为了防止信息安全相关人员在操作信息系统时,由于误操作等引入安全威胁,对信息安全造成影响,应当对相关人员进行安全技术教育和培训。此外,作为安全技术教育的一部分,还必须了解信息系统的脆弱点和风险,以及与此有关的风险防范措施和技术。
所有信息系统相关人员都应当接受信息安全意识教育。安全意识教育主要包括:组织信息安全方针与控制目标;安全职责、安全程序及安全管理规章制度;适用的法律法规;防范恶意软件以及其他与安全有关的内容等。