電子信息安全

電子信息安全政策S027001信息安全管理體系10大安全管理要素1） 安全策略2） 信息安全的組織3） 資產(chǎn)管理4） 人力資源安全5） 物理和環(huán)境安全6） 通信和操作管理7） 訪問控制8） 系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù)9） 信息安全事故管理10） 業(yè)務(wù)連續(xù)性管理信息安全管理體系發(fā)展軌跡對(duì)于信息安全管理問題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國(guó)家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國(guó)分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)泄信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范用的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國(guó)際電工委員會(huì)（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO./IEC17799《信息安全管理體系實(shí)施細(xì)則》和ISO./IEC27001《信息安全管理體系要求》，并向全世界推廣。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（SAC）于1999年發(fā)布了GB/T17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全後理劃分為五個(gè)等級(jí)，分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)、國(guó)家危害程度大小進(jìn)行了不同等級(jí)的劃分，并提出了監(jiān)管方法。2007年3月份制訂了與ISO/IEC17799和ISO/IEC27001相對(duì)應(yīng)的《信息安全管理體系實(shí)用規(guī)則（征求意見稿）》和《信息安全管理體系要求（征求意見稿）》，預(yù)訃在今明兩年內(nèi)發(fā)布。信息系統(tǒng)安全的等級(jí)為加快推進(jìn)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提髙信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)徒和公共利益，保障和促進(jìn)信息化建設(shè)，國(guó)家公安部、保密局、密碼管理局和國(guó)務(wù)院信息化工作辦公室等，于2007年聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》，就全國(guó)機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題，進(jìn)行了行政法規(guī)方而的規(guī)范，并組織和開展對(duì)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)左級(jí)工作。同時(shí)，制訂了《信息系統(tǒng)女全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范（國(guó)家標(biāo)準(zhǔn)審批稿），來指導(dǎo)國(guó)內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。在《信息安全等級(jí)保護(hù)管理辦法》中，對(duì)信息安全保護(hù)按照信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，在信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確左等級(jí)，英等級(jí)見下表1。表1信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)危害程度行政法規(guī)行政監(jiān)督第一級(jí)對(duì)公民、法人和其他組織的合i?去權(quán)益造成揭害，但不扌負(fù)害國(guó)家安全.社會(huì)秩序和公井利益國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)運(yùn)営、使用單位目行監(jiān)督、檢查第二級(jí)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)P害，或者對(duì)社會(huì)秩厚和公共利益造成損害"但不扌員害國(guó)家安全國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)國(guó)家信息安全監(jiān)管部門進(jìn)行指導(dǎo)第三級(jí)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害國(guó)家有關(guān)管理規(guī)荊和技術(shù)標(biāo)準(zhǔn)國(guó)家信息安全監(jiān)管部門進(jìn)行監(jiān)督、檢查第四級(jí)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重揭害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害國(guó)涼有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求國(guó)涼信息安全監(jiān)管部門逬行強(qiáng)制」監(jiān)督、檢查第五級(jí)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害國(guó)家育理規(guī)范、技術(shù)標(biāo)淮和業(yè)務(wù)特殊安全需求國(guó)家指定專門部門進(jìn)行專門監(jiān)督、嗨9在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)擄的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對(duì)信息流進(jìn)行不同等級(jí)的劃分，從而達(dá)到有效保護(hù)的目的。電子文件在信息安全中的狀態(tài)電子文件（包括文檔、圖片、數(shù)據(jù)包等）是企業(yè)體現(xiàn)數(shù)據(jù)流的主要表現(xiàn)，記載著大量的敏感信息，始終處于被瀏覽、復(fù)制、修改、打印過程中。通過網(wǎng)絡(luò)，文件可以被轉(zhuǎn)移和復(fù)制。因此，電子文件的安全環(huán)境是信息安全范疇的薄弱環(huán)節(jié)，是防范的重點(diǎn)。在沒有進(jìn)行安全防護(hù)的環(huán)境下，電子文件將通過以下渠道被泄露：1） 內(nèi)部網(wǎng)絡(luò)：任何人可以通過內(nèi)部網(wǎng)絡(luò)獲取任何文件。2） 外部網(wǎng)絡(luò)：外部人員可以通過外部網(wǎng)絡(luò)的合法或非法訪問主機(jī)、或者通過電子郵件獲取文件。3）存儲(chǔ)介質(zhì)：任何人可以通過移動(dòng)介質(zhì)（如U盤）獲取文件。由于存在這些泄歸渠道，在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中通過用戶角色、訪問控制和介質(zhì)管理等手段對(duì)電子文件進(jìn)行控制，但仍然無法對(duì)文件的內(nèi)容進(jìn)行控制，文件內(nèi)容的泄露成為整個(gè)信息安全的漏洞源頭。電子文件安全系統(tǒng)的用途隨著企業(yè)信息化應(yīng)用技術(shù)的普及，通過計(jì)算機(jī)，產(chǎn)生大量的電子信息并存儲(chǔ)在企業(yè)計(jì)算機(jī)中，徹底改變了過去以“紙”作為存儲(chǔ)介質(zhì)的文件管理模式，取而代之的是電子文件或數(shù)據(jù)。如何來管理這些電子文件或數(shù)據(jù)，社會(huì)上岀現(xiàn)了以下幾種模式：1） PC機(jī)分散管理：大部分企業(yè)通過個(gè)人，按照Windows文件夾的形式進(jìn)行管理。這種管理模式處于電子文件管理的初試階段，完全憑借個(gè)人的喜好進(jìn)行管理，完全沒有信息安全之感，文件基本上處于泄露狀態(tài)。2） 文件服務(wù)器集中管理：隨著電子文件的增多，信息安全意識(shí)的增強(qiáng)，依靠PC機(jī)分散管理已經(jīng)不能適應(yīng)企業(yè)管理的需要。許多企業(yè)采用計(jì)算機(jī)進(jìn)行集中管理文件，將正式的電子文件（有效）放巻到服務(wù)器上，通過分類進(jìn)行管理。這種模式雖然解決了分散管理的一些弊病，但無法控制文件的安全，同時(shí)，增加了文件被批疑破壞的幾率。3） 管理軟件強(qiáng)制管理：PDM、ERP和0A的應(yīng)用，集中了文件服務(wù)器集中管理的優(yōu)點(diǎn),使文件管理趨于規(guī)范化，是當(dāng)前許多具有信息化管理意識(shí)的企業(yè)常采用的模式。但是，這種管理模式雖然加入了角色、權(quán)限、版本等內(nèi)容，仍無法解決文件內(nèi)容的安全性和機(jī)密性，并沒有完全堵住文件內(nèi)容彼泄露的渠道，不能真正達(dá)到信息安全保護(hù)的目的。泄密行為概述在很多涉及工程設(shè)計(jì)的單位（如建筑、模具、電路、廣告、機(jī)械等），電子圖紙的應(yīng)用極為普遍，而電子圖紙的丟失、彼盜對(duì)企業(yè)利益的影響是顯而易見的，如果被競(jìng)爭(zhēng)對(duì)手獲取，甚至可能造成致命的打擊。因此，對(duì)于這類企業(yè)，電子圖紙的保密顯得至關(guān)重要。綠盾信息安全管理軟件充分考慮了電子圖紙的各種可能傳播途徑，制定了針對(duì)性的解決方案，從而保證了電子圖紙的安全。我總結(jié)了電子圖紙的各種傳播途徑以及相應(yīng)的對(duì)策，有如下幾點(diǎn)：1、移動(dòng)存儲(chǔ)器復(fù)制問題:I；盤、移動(dòng)硬盤、手機(jī)存儲(chǔ)卡等一切通過USB口及串口接入的移動(dòng)存儲(chǔ)設(shè)備都很常見，也是最容易將圖紙整批復(fù)制總的工具。就算USB端口屏蔽也極易破解，采取物理破壞CSB口方式既不方便，也不能解決員工用其他端口接入問題。解決辦法：（1）軟件封堵USB接口，打印端口，相關(guān)網(wǎng)絡(luò)設(shè)備接口困惑:公司內(nèi)部交流不便，員工心理工作心理壓力大，且管理麻煩，不能很好的統(tǒng)一管理，特別對(duì)于一定數(shù)雖:電腦的公司更為顯現(xiàn)。硬件封堵，采用破壞外接端口，安裝網(wǎng)絡(luò)攝像頭監(jiān)視員工行為等，更有用大鐵柜鎖起電腦主機(jī)困惑:不尊重人權(quán)，造成員工心理負(fù)擔(dān)加重。物極必反。建議:軟件封堵硬件接口，行政管理，規(guī)范外接設(shè)備使用權(quán)限，明確人員、時(shí)間、地點(diǎn)、權(quán)限。2、 網(wǎng)絡(luò)工具傳輸問題:通過QQ、MSN.E-mail.網(wǎng)絡(luò)U盤、BT、FTP等各種網(wǎng)絡(luò)工具向外發(fā)送圖紙文件，只要有網(wǎng)絡(luò)，想用屏蔽軟件或端口根本無法解決文件通過網(wǎng)絡(luò)發(fā)送的問題，除非 在完全沒有網(wǎng)絡(luò)的環(huán)境里工作。沒有網(wǎng)絡(luò)的工作環(huán)境又對(duì)工作帶來不便。解決辦法：監(jiān)控軟件優(yōu)點(diǎn):監(jiān)控員工實(shí)時(shí)行為，詳細(xì)報(bào)表說明，價(jià)格相對(duì)便宜。缺點(diǎn):不尊重人權(quán)，響應(yīng)時(shí)間幔，往往不能作為防泄密主要手段，不失為做事后追査手段。安裝實(shí)施及維護(hù)較麻煩。加密軟件安裝加密軟件后，圖紙發(fā)送岀去后，文件打開是亂碼或根本打不開，但不影響正常上網(wǎng)。上網(wǎng)行為管理設(shè)備優(yōu)點(diǎn):部屬方便，應(yīng)用范圍廣，適合成熟網(wǎng)絡(luò)壞境，價(jià)格相對(duì)較高，國(guó)內(nèi)最早產(chǎn)品-網(wǎng)康，國(guó)內(nèi)最大客戶應(yīng)用產(chǎn)品-深信服，臺(tái)灣最大品牌-守內(nèi)安。缺點(diǎn):產(chǎn)品價(jià)格較髙，后續(xù)費(fèi)用較軟件髙。建議:近兩年上網(wǎng)行為管理設(shè)備明顯優(yōu)于監(jiān)控軟件，相對(duì)簡(jiǎn)單的部屬方式著實(shí)讓不少CIO省心，且具有強(qiáng)大的應(yīng)用功能，強(qiáng)大的行為識(shí)別能力，能從容應(yīng)對(duì)各種實(shí)際企業(yè)需求。但這還不能解決泄密問題，作為輔助行政管理手段及事后追查還是不錯(cuò)的。建議要配合加密軟件來使用，當(dāng)然各企業(yè)可根據(jù)自身實(shí)際情況使用。3、 系統(tǒng)截圖發(fā)送問題:采用無盤站或集中存儲(chǔ)的圖紙，看上去很安全，英實(shí)員工可以利用系統(tǒng)截圖的方式將存儲(chǔ)或通過網(wǎng)絡(luò)方式將截圖發(fā)送出去。建議:如果應(yīng)用監(jiān)控系統(tǒng)或上網(wǎng)上行為管理設(shè)備，可制泄詳細(xì)策略，禁止使用截圖，或錄像專家等應(yīng)用。做到事前防御，安裝加密軟件后：當(dāng)打開加密過的圖紙文件，截圖功能被屏蔽或屏下的圖片文件仍為加密，做到無法泄密功能。，無法從加密文件截圖。4、 圖紙打印帶走在中小企業(yè)里，圖紙打印有時(shí)候是很隨意的，員工可以趁老板或高層不在時(shí)，有意打印一些關(guān)鍵圖紙，日積月累地帶走。安裝加密軟件后:可以禁止特宦電腦對(duì)加密圖紙打印，對(duì)于關(guān)鍵圖紙實(shí)行集中打印管理。5、 直接拆走硬盤在端口被屏蔽、互聯(lián)網(wǎng)切斷的情況下，某些員工采取極端方式拆疋硬盤，不辭而別地離職，這樣能一次性帶走所有資料。安裝加密軟件后:軟硬件聯(lián)介加密，拆走的硬盤安裝到其他電腦上，圖紙文件自動(dòng)鎖定無法打開。6、 偷走電腦主機(jī)在端口被屏蔽、互聯(lián)網(wǎng)切斷的情況下，員工可能沒有足夠時(shí)間拆取硬盤，而直接盜取電腦主機(jī)，然后不辭而別地離職。根據(jù)中國(guó)法律，電腦主機(jī)價(jià)值不能構(gòu)成職務(wù)侵占罪立案條件，企業(yè)無法通過法律途徑制裁員工，資料被盜卻無法衡量。安裝加密軟件后：'3電腦被盜后，被盜電