梁艺军，高 强

（中国人民大学 网络与教育技术中心，北京 100872）

IT服务管理体系实践之信息安全管理

梁艺军，高 强

（中国人民大学 网络与教育技术中心，北京 100872）

本文在信息安全风险评估的基础上，对信息安全管理作出了有益的探索，除信息安全管理的原则外，文中还对信息安全管理的主要因素分别作出包括目标和方针的简要解释，并给出了与之相关的管理文档名称和应包含的主要内容。

信息安全；安全风险评估；信息安全因素

一、引言

随着计算机及网络技术与应用的不断发展，数字化校园方兴未艾，给学校的教学、科研和管理工作带来了诸多便捷，但是另一方面，伴随而来的计算机系统安全问题越来越引起人们的关注。信息安全管理不是一个简单的技术问题，而是一个复杂的系统工程，应把信息安全管理与信息安全技术手段结合起来，对高校系统中的各个环节进行统一的规划和综合考虑，并兼顾环境和系统内部不断发生的变化，建立系统化的管理体系。根据国家网络与信息安全等级保护的要求，网络与信息安全包括两大部分：技术问题和管理制度。据有关机构统计表明：网络与信息安全事件大约有70%以上的问题是由管理因素造成的，诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等，“三分技术，七分管理”。管理是贯穿信息安全整个过程的生命线。

二、安全管理的原则

为了保证对用户提供的服务和用户自身信息系统安全管理的一致性，在对信息系统的规划设计、开发建设、运行维护和变更废弃进行安全性考虑时，应充分遵循以下安全原则。

（1）全面统筹原则：信息安全保障工作贯穿于信息化全过程，坚持统筹规划、突出重点，安全与发展并进，管理与技术并重，应急防御与长效机制相结合；

（2）规范化原则：遵循国内、国际的信息安全标准及行业规范，对信息系统实行等级保护；

（3）责任制原则：对用户的计算机信息系统安全保护工作实行“谁主管谁负责”、“预防为主、综合治理”、“制度防范和技术防范相结合”的原则，加强制度建设，逐级建立计算机信息系统安全保护责任制；

（4）实用性原则：在确保信息安全的前提下，讲究实效，避免重复投资和盲目投资，积极采用国家法律法规允许的、成熟的先进技术和专业安全服务，降低成本，保障安全稳定运行。

以风险评估为基础选择控制目标与控制方式等，进一步分析建立信息安全管理体系应包括的因素。

三、安全风险评估

通过安全风险评估，在坚持科学、客观、公正原则的基础上，全面、完整地了解系统当前的安全状况，分析系统所面临的各种风险，根据测评结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。

其目标包括：了解系统的安全现状；分析系统的安全需求；制定安全策略和实施安全措施的依据。

方针包括：对重要信息资产进行威胁和弱点的分析和评估，并结合法律法规的要求，制定并执行适当的风险处理计划，以缓解所识别的信息安全风险。

主要工作任务包括：对需要评估的系统进行调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。评估人员要遵循相应的国家政策文件和实施指南，凭借对国家政策、理论的深刻理解和丰富的项目经验，对学校重要信息系统进行全面风险评估，及时、准确地掌握被评估信息系统的安全风险状况，为相关管理部门制定安全策略、采取安全措施提供决策支持。

测评依据的政策文件包括：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《北京市公共服务网络与信息系统安全管理规定》（2006)北京市政府令第163号；北京市《关于落实〈中共中央办公厅、国务院办公厅转发国家信息化工作领导小组关于加强信息安全保障工作意见通过〉的实施计划》（2004）3号。

四、安全管理因素分析

安全管理因素应包括人员安全、物理安全、网络安全、系统安全、数据安全、应用安全和恶意软件防护，所有这些构成了安全管理的基础。其中实现方式应从管理制度和技术两方面入手。以下分别对各个因素做一简要分析。

1．人员安全

目标：降低人为差错、盗窃、欺诈或滥用设施的风险。

方针：应制定并实施对员工与合同工等能访问部门IT资产人员的甄选、定位与监管的政策与规定。人员安全的目标是确保员工行为符合要求并能够忠于职守，提高对安全事务的认识程度。

为了加强学校信息安全保障能力，建立健全学校的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学校安全体系框架下，应制定《组织体系和职责》，主要描述学校各院、系，机关各部、处及直、附属单位安全组织体系的结构及其在安全组织体系中承担的职责。

另外，《安全岗位人员管理办法》是学校信息安全组织体系的重要组成部分，其详细描述了学校各安全岗位人员的管理考核办法；专、兼职安全管理员的岗位技能要求，及岗位工作内容；单位安全岗位人员的录用、审计、调动、离职等人员安全控制管理。

2．物理安全

目标：防止信息资产的损失、损坏或泄露及生产活动的中断；防止未经授权的活动对工作场所和信息的访问、干扰及破坏。

方针：重要生产设备，诸如服务器，路由器及防火墙等，应遵循信息资产管理方针被识别及管理，并被置于安全场所以减少物理及环境威胁。

《机房运行管理制度》主要规定了学校机房日常运行维护的职责、机房日常运行维护工作内容，包括机房人员管理、设备管理、日常巡检等内容。

3．网络安全

目标：通过对网络信息及其支持设施的保护，保护网络传输信息的机密性和完整性，并按要求维护网络服务的可用性。

方针：对网络设备、网络活动进行监控、管理和追踪，以确保网络传输信息的机密性，以及对所连接服务的授权访问。包括制定网络使用策略、安全策略及操作规程，以及相关规范等。

《网络安全管理规范》阐述了在对网络进行设计时需要遵守的安全规范。包括在网络冗余、地址分配、网络传输、路由控制方面需要执行的安全标准。

4.系统安全

目标：数据安全管理旨在降低由于未授权的访问、信息泄露、数据损坏对部门数据造成的威胁。

方针：数据安全管理包括访问、存储、传输、处理和借用数据的安全管理，应针对基于风险分析的数据分级制定安全规范与策略。根据不同数据类型的不同机密性要求，进行不同程度的机密性保护，确保数据不被泄漏和窃取。

《主机操作系统安全规范》的目的是指导主机操作系统的安全配置。各类主机操作系统由于设计缺陷，不可避免地存在着各种安全漏洞而带来安全隐患。如果没有对操作系统进行安全配置，操作系统的安全性远远不能达到它的安全设计级别。绝大部分的入侵事件都是利用操作系统的安全漏洞和不安全配置的隐患得手的。为提高操作系统的安全性，确保系统安全高效运行，必须对操作系统进行安全配置。各业务系统管理员可根据规范和业务情况制定各主机操作系统的安全配置规程。从而规范主机操作系统的安全配置，提高主机操作系统的抗攻击能力，提高主机操作系统的性能，提高主机操作系统的稳定性。

《运行维护管理办法》规范了系统管理员的组织职责、操作程序和操作记录、登录规程和口令管理，并定期进行安全巡查。

5．数据安全

目标：为确保环境数据（包括数据库系统、用户数据和数据传输）的安全，对各级数据系统用户进行统一安全管理。

方针：加强和完善对系统数据库及数据的日志管理。实现数据备份的完整性和可用性，通过采用最小化原则加强对各级数据库用户的权限访问进行严格审查和控制。

《数据安全规范》应阐述学校数据的分级、标注及处置；数据的存储安全、数据传输的安全、数据安全等级变更；数据备份和恢复；以及与数据保护密切相关的密码和密钥安全。根据数据资产的特点，学校所属数据信息资产的安全等级划分遵循和参考以下原则：

（1）数据的保密性原则，即访问数据所需要的授权和认证。

（2）数据的完整性原则，即只有在获得认证和授权的情况下才能对数据进行修改和变更。

（3）数据的可用性原则，即能在任何需要的时候获取所需数据。

6．应用安全

目标：通过规范单位应用系统从需求、设计、开发、测试、验收过程中的安全问题，以及应用系统使用中的安全问题，达到提高单位应用安全水平的目的。

方针：网络与信息系统的安全控制或安全性是通过系统的开发设计予以实现的，在设计阶段采取控制措施远比在实施过程中或者实施结束之后落实控制措施更廉价。若在系统设计阶段未充分考虑系统的安全性，则系统本身就存在着先天不足。因此，应在网络基础设施、应用系统（包括为最终用户开发的程序）的开发与维护阶段，正确识别、确认、批准所有安全需求（包括备用安排，如手工方式），并将之文档化。

《应用系统安全规范》涉及的主要内容包括：单位应用系统的需求、设计、开发、测试、验收过程注意的安全问题；单位应用系统在用户管理和访问控制方面应该注意的问题；以及单位应用系统安全审计等。其依据以下原则：

（1）在安全体系设计时，要充分考虑“应用安全实现的可控性”，以便尽可能地降低安全系统与应用系统结合过程的风险。

（2）保持安全系统与应用系统的相互独立性，避免功能实现上的交叉或跨越。

（3）避免程序级别的低层接口，免除两者结合时应用系统的二次编程开发。

（4）增强安全系统的适用性，最大程度地提供便捷可靠的结合方式。

（5）建立完善的安全控制机制，包括：用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。

7．恶意软件防护

目标：恶意软件包括但不限于木马、蠕虫，间谍软件以及计算机病毒。恶意软件管理旨在提高工作人员对恶意软件的安全意识，以降低恶意软件的危害。

方针：建立有效的计算机及其他移动设备软件病毒防护、发现及查杀机制。应实施防止恶意软件的侦查监控与防护控制，并提高相关用户防范意识。

《病毒防护管理办法》规范学校病毒防护的安全管理，加强各单位信息服务器及办公终端病毒的防护，确保系统的安全。

《安全策略管理办法》规范学校安全策略的制定、发布、修改、废止、检查和监督落实，建立科学、严谨的管理办法。

《安全补丁管理办法》规范信息系统安全补丁的识别和安装过程，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力。安全补丁的管理流程包括补丁的跟进和通告、补丁的获取、补丁的测试、补丁的加载、补丁的验证和补丁的归档，必须按照流程逐步落实。

五、结束语

制度建设是安全前提。通过推行规范化管理，克服传统管理中凭借个人的主观意志驱动管理模式，不会因为人员的去留而改变，先进的管理方法和经验可以得到很好的继承。☉

[1]Gad JSelig著，中治研国际信息技术研究院译.实施IT治理：方法论、模型、全球最佳实践[M].中国经济出版社.

[2]信息安全管理体系.http://baike.baidu.com/view/ 2944243.htm[DB/OL].

[3]GBT 22239-2008:信息安全技术 信息系统安全等级保护基本要求[S].

[4]GBT 22240-2008.信息安全技术 信息系统安全等级保护定级指南[S].

[5]ISO/IEC17799:Information technology-Code of practice for information security management[S].

[6]BS7799-2:Information security management-Specification for information security management systems[S].

[7]GB 17859-1999:计算机信息系统安全保护等级划分准则[S].

[8]信息保障技术框架.Information Assurance Technical Framework（IATF）[S].

（编辑：杨馥红）

G647

B

1673-8454(2011)17-0063-03