摘要:人们对信息网络的依赖日益增强,信息安全管理成了严重的问题。信息安全管理是一个复杂的系统工程必须遵循一定的标准。文章介绍了国内外主要的信息安全管理相关标准的内容和发展,并对其进行比较;描述了综合应用几种主要标准进行信息安全管理的过程和方法;得出了信息安全管理标准的合理应用,要发掘组织(政府或企业)的真正需求,结合组织战略,对现有标准进行整合,综合应用,才能取得良好效果的结论。
关键词:信息安全管理;标准;应用
一、引言
随着Intemet应用的不断深入和电子商务、电子政务的不赠f发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。然而,安全一直是信息系统面临的严重问题。早期,信息安全关注于技术方面,如:加密算法、访问控制、入侵检测等,最近,信息安全的风险管理,信息系统资金方面的经济因素越来越多受到CEO、ClO、CISO、CFO的关注。甚至,对信息安全管理的关注超出了对信息安全技术的关注。信息安全管理是和组织战略,组织文化,组织的高层管理和基层管理都有密切关系,是目前信息安全领域里最热门的话题之一。在这样的背景下,信息安全管理的标准越来越受到国际和国内的重视。
信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息安全管理占有重要的地位,信息安全管理体系标准的确立是信息安全管理的基础和前提。
二、信息安全管理概述
信息安全是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划,同时要注意监控系统内外环境的变化,很可能某一环节上的安全缺陷就会对整个系统组织构成威胁。美国国家标准技术组织,提出了信息安全由各种技术和非技术的要素连接在一起组成安全链的概念,攻击者往往从最薄弱的环节突破如。
因而信息安全是一个多层面、多因素、综合的动态过程,是一个需要系统体系来保证的持续发展过程。如果凭一时的需要,对某些方面加强控制,而没有整体全面的考虑,都难免存在顾此失彼的问题,使信息安全链在某个薄弱环节断裂。所以,信息安全管理是,用于指导、管理和控制信息安全风险的、一系列相互协调的活动,要尽可能做到,应用有限的资源,保证安全“滴水不漏”。
三、信息安全管理标准介绍
拥有全面的信息安全管理,政府和企业可以采用有效的机制,合理利用信息资源,管理与信息相关的风险,使得信息系统能够保持与战略目标一致,推动业务发展。合理地应用信息安全管理体系标准能够有效提高信息安全管理水平,满足组织对信息系统应用的高效、优质、可信和安全的需求,全面提高组织的综合竞争能力。在信息安全管理领域.各国的专家、各种的机构,根据不同的方面安全管理的需求制定了众多标准,下面介绍其中比较典型的标准。
1.CC标准。1993年6月,美国、加拿大及欧洲4国协商同意起草信息技术安全评估公共标准CClTSE(commoncfiteda Of information technical security evaluation),简称CC(1SO/IECl5408—1),是国际标准化组织统一现有多种准则的结果。1998年经90认可成为国际标准(ISO/IEC15408)。
CC源于TCSEC,但完全改进了TCSEC,的主要思想和框架都取自ITSEC(欧)和FC(美)。
CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性评估,另一方面描述了用户对安全性的技术需求。然而,CC没有包括对物理安全、行政管理措施、密码机制要方面的评估,且仍然未能体现动态的安全要求。因此CC标准主要还是一套技术标准。
2.BS--7799标准。BS7799标准是由英国标准协会(BSl)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS7799—1:1999(信息安全管理实施细则)是组织建立并实施信息安全管理体系的一个指导性的准则,BS7799--2:2002以BS7799—1:1999为指南,详细说明按照PDCA模型,建立、实施及文件化信息安全管理体系(1SMS)的要求。
ISO/IECl7799--2:2005年第2版的改版中,最主要的变动是以层次结构化形式提供:信息安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具体控制措施,以规范组织机构信息安全管理建设的内容。
3.COBIT标准。美国信息系统审计与控制协会ISACA协会的COBIT管理标准,是一个比较完整的IT审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目标、实施办法和审计指南等。2005年,已更新为第四版。
新版本的COBIT更加关注组织战略和效果评估,从4个方面:PO(Planning&Organization)、AI(Acquisition&Implementation)、DS(Delivery&Support)和ME(Monitoring&Evaluation)对信息系统进行管理和控制,可进一步细分为34个管理流程。
4.ITIL标准。该标准由由英国政府部门CCTA于20世纪80年代末制订,2001年英国国家标准协会(BSI)正式发布了基于ITIL的标准BSl5000,2002年此标准为国际标准化组织(ISO)所接受。
其内容描述的是,IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。
在ITIL框架中,安全管理,作为组织机构进行IT服务的一个组成部分,专门进行了讨论。因此,信息安全管理是ITIL框架的一个有机组成部分,它对规范化信息技术服务、保障信息技术服务有重要的意义。
5.ISO/IECl3335标准。这套标准提供了安全管理的基本概念、模型以及风险管理实践等内容,它可以用于指导如何实现IT安全管理。ISO/IECl3335标准由5个系列标准组成:ISO/IECl3335—1:2004《IT安全的概念与模型》;ISO/IECl3335—2:1997(IT安全管理与策划》;ISO/IECl3335—3:1998《IT安全管理技术》;ISO/IECl3335—4:
2000《防护措施的选择》;ISO/IECl3335—5:2001<网络安全管理指南》。
ISO/IECl3335标准关注组织的安全,对安全管理的过程和风险分析有非常细致的描述。在安全管理实践中有参考价值。
6.SSE—CMM标准。系统安全工程一成熟度模型,SSE—CMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。SSE—CMM第一版于1996年10月出版,1999年4月,SSE—CMM模型和相应评估方法2.0版发布。2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程一成熟度模型》。但是需要注意的是目前SSE—CMM已经更新为V3.0。
7.NIST标准。美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。目前,NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料,成为美国和国际安全界得到广泛认可的事实标准和权威指南。
2005年,NISTSP 800系列最主要的发展是配合FIS-MA 2002年的法案,建立以800--53等标准为核心的一系列认证和认可的标准指南。该标准,提供了安全控制的层次化、结构化的控制措施要求:意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。
8.我国的标准。1999年9月我国参照CC标准颁布了国家标准《计算机信息系统安全保护等级划分准则》GBl7859系列。
2003年7月,国信办启动了信息安全管理相关标准的编制工作,2006年将出台新的<信息安全风险管理指南)。该标准,针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述并制定了规范,对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。
四、综合应用
信息安全是一门综合的交叉学科。一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的控制方法、定性分析和定量度量的信息安全测评。同时,信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的信息系统运行维护管理体系,以真正达到保护组织机构的信息和信息资产安全,保证业务持续性要求。
做好信息安全管理工作,要对组织战略、组织文化、业务流程、外部环境、技术应用展开全方位的、深度的探讨,以期重新认识IT的定位、作用和价值,共同促进建设高效益的、可持续发展的信息化。作为全球公认的BS7799标准、COBIT标准、ITIL标准、13335标准、SSE-CMM标准综合应用可帮助我们做好信息安全管理工作。
然而,这些标准并不是灵丹妙药,它们的应用必须与组织的实际需要相结合,才可能产生良好效果。在信息安全管理中,每个组织都需要整合一系列标准,综合应用来适应自己的需要。在管理实践中可按如下步骤进行:
1.建立系统的框架,作为为信息安全管理的开始,明确目标、责任和对象。
2.将IT战略和组织目标组成联盟,正确理解业务环境、风险偏好、组织战略和IT建设的关系。包括:应用COBIT标准确定IT目标;应用SSE—CMM标准定义软件开发的需求;应用ITIL标准定义最终用户的需求。
3.理解和定义风险,在给定的业务目标下,明确防范哪些IT风险。要了解信息系统过去和当前的状况,信息系统的规模和复杂程度,当前IT环境内部的薄弱环节,信息系统的变动等。包括:应用COBIT标准定义风险控制;应用SSE—CMM标准清除软件设计的风险;应用ITIL标准清除操作风险;应用ISO17799标准清除安全风险。
4.定义风险管理的目标。包括:应用COBIT标准定义基础框架;应用SSE—CMM标准定义软件生产过程;应用ITIL标准定义主要的服务程序;应用ISO17799标准定义安全目标。
5.分析当前的安全能力,寻找最值得改进的地方。包括:应用COBIT标准做基础分析;应用SSE—CMM、ITIL、1S017799标准做细节分析。
6.实施改进战略,通过关注主要的IT流程和组织的核心竞争能力来确定最有效的改进措施。包括:应用CO-BIT标准定义控制目标;应用SSE—CMM、ITIL、ISO17799标准支持实施细节。
7.评估结果,对当前的状况和改进后的效果建立一个可量化的评估机制。
从如下几方面评估信息安全管理效果:(1)信息系统是否支持组织战略?(2)信息系统风险管理的责任是否由组织相应部门承担?(3)信息系统是否能安全有效的支持关键的信息流程?(4)组织中的有关人员是否明确安全管理的规定和目标?
应用COBIT标准:在安全管理的应用实践中重复2步~7步如图。
在信息安全管理的实践中,同时要注意:
1.信息安全管理要有明确的目标,并同组织战略相结合。
2.信息安全管理是一个持续循环的过程,不可能一挥而就。
3.信息安全管理的实施要和组织文化相吻合。
4.信息安全管理要得到高层领导,尤其是一把手的支持。
参考文献;
1.Dr Walter Fumy.Network Security.IT secu-rity standardization,2004,(12):6-11.
2.冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004,(7):10-18.
3.孙强,陈伟大,王东红.信息安全管理.北京:清华大学出版社,2004:39-41.
4.范红.国家信息安全风险评估标准编制和试点工作进展.信息技术与标准化,2005,(7):12-14.
作者简介:李天目,东南大学博士生。
收稿日期:2006—05—03。