安全管理·十七

第19章 信息安全管理

关键词：系统集成，信息安全管理，物理安全，应用系统安全管理，人员安全管理

1 信息安全管理

（1）信息安全定义

保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特征也经常被称为信息安全三元组，这也是信息安全通常所强调的目标。另外也包括其他属性，如：真实性、可检查性、不可抵赖性和可靠性。

（2）信息安全属性及目标

保密性：是指“信息不被泄露给未授权的人、实体和过程不被其使用的特性”。

完整性：指“保护资产的正确和完整的特性。”

可用性：是指“需要时，授权实体可以访问和使用的特性。”

其它属性及目标：如真实性一般指是对信息的来源进行判断，能对伪造来源的信息予以鉴别。可检查性是指系统实体的行为可以被独一无二地追溯到该实体的特性，这个特性就是要求该实体对其行为负责，可检查性也为探测和调查安全违规事件提供了可能性。不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和条件下，无故障完成规定功能的概率，通常用平均故障时间（Mean Time Between Failure，MTBF）。

（3）信息安全管理的内容

主要包括：

信息安全方针与策略、组织信息安全、资产管理、人力资源安全、

物理和环境安全、通信和操作安全、访问控制、信息系统的获取开发和保持、

信息安全事件管理、业务持续性管理、符合性

2 信息系统安全管理体系

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。而信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的和配套的设备、设施（或网络）的安全，保障信息的安全，以保障信息系统功能的正常发挥，以维护信息系统的安全运行。

（1）配备安全管理人员

（2）建立安全职能部门（在（1）的基础上）

（3）成立安全领导小组（在（2）的基础上）

（4）主要领导人出任领导（在（3）的基础上）

（5）建立信息安全保密管理部门（在（4）的基础上）

总的信心安全层面包括四个方面：确保硬件系统安全的物理安全；确保数据网上传输、交换安全的网络安全；确保操作系统和数据库管理系统安全的系统安全（含系统安全运行和数据安全保护）；确保应用软件安全运行的应用系统安全（含应用系统安全运行和数据安全保护）。这四个层面的安全，再加上为保证其安全功能达到应有的安全性而必须才去的管理措施，构成了信息系统安全的五个层面的安全。

3 物理安全

（1）机房安全

幅会计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护等。

（2）电源

包括：分开供电、紧急供电、备用供电、稳压供电、电源保护、不间断供电、电器噪声防护、突然事件防护。

（3）计算机设备

包括：设备的防盗和被毁，设备的安全可用。

（4）通信线路

包括：确保线路畅通、发现线路截获并及时报替、防止线路截获

（5）技术控制手段

检测监视系统、人员进出机房和操作权限范围控制、环境与人身安全、电磁兼容。

4 人员安全管理

（1）安全组织

安全组织的目的在于通过建立框架，以启动和控制组织范围内的信息安全的措施。

组织可建立信息安全领导小组，负责本机构的信息系统安全工作，并至少履行以下职能：安全管理的领导职能、保密监督的管理职能。

组织可建立信息安全职能部门，在信息安全领导小组的监管下，负责本组织机构信息系统安全的具体工作，至少履行以下管理职能之一：基本的安全管理职能或集中的安全管理职能。

（2）岗位安全考核与培训

（3）离岗人员安全管理

5 应用系统安全管理

（1）建立应用系统的安全需求管理

（2）严格应用系统的安全监测与验收

（3）加强应用系统的操作安全控制

（4）规范变更管理

（5）防止信息泄露

（6）严格访问控制

（7）信息备份

（8）应用系统的使用监视

参考文献

 薛大龙，刘春淼.系统集成项目-管理工程师教程[M].电子工业出版社2012.7:1-382