第5章 信息安全管理控制措施與網(wǎng)絡(luò)安全等級保護(hù)安全要求

第5章

信息安全管理控制措施

與

網(wǎng)絡(luò)安全等級保護(hù)安全要求5.1管理信息安全事件

5.2信息安全管理控制措施

5.3網(wǎng)絡(luò)安全等級保護(hù)安全要求5.1管理信息安全事件

信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。通常情況下，信息安全事件的發(fā)生是由于自然的、人為的或者軟硬件自身存在缺陷或故障造成的。信息安全事故由單個或一系列有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。5.1.1事件分類1．有害程序事件2．網(wǎng)絡(luò)攻擊事件3．信息破壞事件4．信息內(nèi)容安全事件5．設(shè)備設(shè)施故障6．災(zāi)害性事件7．其它信息安全事件5.1.2事件分級

對信息安全事件進(jìn)行分級主要考慮信息系統(tǒng)的重要程度、系統(tǒng)損失和對社會造成的影響等3個基本要素。1．特別重大事件2．重大事件3．較大事件4．一般事件5.1.3應(yīng)急組織機(jī)構(gòu)1．國內(nèi)外知名應(yīng)急組織機(jī)構(gòu)計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）中國教育和科研計(jì)算機(jī)網(wǎng)（ChinaEducationandResearchNetwork,CERNET）國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心（NationalComputerNetworkEmergencyResponseTechnicalTeam/CoordinationCenterofChina,CNCERT/CC）2．單位應(yīng)急響應(yīng)工作機(jī)構(gòu)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急工作小組應(yīng)急響應(yīng)小組5.1.4應(yīng)急處置流程1．事件上報(bào)和接報(bào)2．事件處置3．事件報(bào)告4．事件總結(jié)5.2信息安全管理控制措施

5.2.1控制措施的選擇1．選擇控制措施的原則在法律需求、業(yè)務(wù)需求和風(fēng)險(xiǎn)評估結(jié)果基礎(chǔ)上，確定并評估能滿足這3種安全需求的控制措施，使這些控制措施與業(yè)務(wù)環(huán)境保持一致，并能應(yīng)對可能出現(xiàn)的后果，要求選擇的控制措施最好地滿足相關(guān)業(yè)務(wù)準(zhǔn)則。2．影響選擇控制措施的因素和條件成本可用性實(shí)施與維護(hù)已存在的控制措施所有的控制目標(biāo)與安全需求是否已滿足5.2.1控制措施的選擇3．選擇控制措施的過程來自法律、法規(guī)、合同的需求來自業(yè)務(wù)需求來自風(fēng)險(xiǎn)的安全需求5.2.1控制措施的選擇3．選擇控制措施的過程5.2.2標(biāo)準(zhǔn)中控制措施的描述結(jié)構(gòu)14個方面114項(xiàng)信息安全控制措施ISO/IEC27001附錄A信息安全控制措施域控制目標(biāo)控制措施A5信息安全策略12（2）A6信息安全組織27（5+2）A7人力資源安全36（2+3+1）A8資產(chǎn)管理310（4+3+3）A9訪問控制414（2+6+1+5）A10密碼12（2）A11物理和環(huán)境安全215（6+9）A12運(yùn)行安全714（4+1+1+4+1+2+1）A13通信安全27（3+4）A14系統(tǒng)獲取、開發(fā)和維護(hù)313（3+9+1）A15供應(yīng)商關(guān)系25（3+2）A16信息安全事件管理17（7）A17業(yè)務(wù)連續(xù)性管理的信息安全方面24（3+1）A18符合性28（5+3）合計(jì)351145.2.3控制目標(biāo)與控制措施詳述Ａ.5信息安全策略Ａ.5.1信息安全的管理方向Ａ.6信息安全組織Ａ.6.1內(nèi)部組織Ａ.6.2移動設(shè)備和遠(yuǎn)程工作Ａ.7人力資源安全Ａ.7.1任用之前Ａ.7.2任用中Ａ.7.3任用的終止或變更Ａ.8資產(chǎn)管理Ａ.8.1對資產(chǎn)負(fù)責(zé)Ａ.8.2信息分類Ａ.8.3介質(zhì)處置Ａ.9訪問控制Ａ.9.1訪問控制的業(yè)務(wù)要求Ａ.9.2用戶訪問管理Ａ.9.3用戶職責(zé)Ａ.9.4系統(tǒng)和應(yīng)用訪問控制5.2.3控制目標(biāo)與控制措施詳述Ａ.10密碼學(xué)Ａ.10.1密碼控制Ａ.11物理和環(huán)境安全Ａ.11.1安全區(qū)域Ａ.11.2設(shè)備Ａ.12操作安全Ａ.12.1操作規(guī)程和職責(zé)Ａ.12.2惡意軟件防護(hù)Ａ.12.3備份Ａ.12.4日志和監(jiān)視Ａ.12.5運(yùn)行軟件的控制Ａ.12.6技術(shù)脆弱性管理Ａ.12.7信息系統(tǒng)審計(jì)考慮Ａ.13通信安全Ａ.13.1網(wǎng)絡(luò)安全管理Ａ.13.2信息傳遞5.2.3控制目標(biāo)與控制措施詳述Ａ.14系統(tǒng)獲取、開發(fā)和維護(hù)Ａ.14.1信息系統(tǒng)的安全要求Ａ.14.2開發(fā)和支持過程中的安全Ａ.14.3測試數(shù)據(jù)Ａ.15供應(yīng)商關(guān)系Ａ.15.1供應(yīng)商關(guān)系的信息安全Ａ.15.2供應(yīng)商服務(wù)交付管理Ａ.16信息安全事件管理Ａ.16.1信息安全事件和改進(jìn)的管理Ａ.17業(yè)務(wù)連續(xù)性管理的信息安全方面Ａ.17.1信息安全連續(xù)性Ａ.17.2冗余Ａ.18符合性Ａ.18.1符合法律和合同要求Ａ.18.2信息安全評審5.3網(wǎng)絡(luò)安全等級保護(hù)安全要求5.3.1保護(hù)對象整體安全保護(hù)能力總體要求構(gòu)建縱深的防御體系；采取互補(bǔ)的安全措施；保證一致的安全強(qiáng)度；建立統(tǒng)一的支撐平臺；進(jìn)行集中的安全管理。5.3.2安全要求的選擇與使用5.3.2安全要求的選擇與使用技術(shù)/管理分類安全控制點(diǎn)安全技術(shù)要求安全物理環(huán)境物理位置選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證5.3.2安全要求的選擇與使用技術(shù)/管理分類安全控制點(diǎn)安全技術(shù)要求安全區(qū)域邊界邊界防護(hù)訪問控制入侵防范惡意代碼和垃圾郵件防范安全審計(jì)可信驗(yàn)證安全計(jì)算環(huán)境身份鑒別訪問控制安全審計(jì)入侵防范惡意代碼防范可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個人信息保護(hù)5.3.2安全要求的選擇與使用技術(shù)/管理分類安全控制點(diǎn)安全管理要求安全管理中心系統(tǒng)管理審計(jì)管理安全管理集中管控安全管理制度安全策略管理制度制定和發(fā)布評審和修訂安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查5.3.2安全要求的選擇與使用技術(shù)/管理分類安全控制點(diǎn)安全管理要求安全管理人員人員錄用人員離崗安全意識教育和培訓(xùn)外部人員訪問管理安全建設(shè)管理定級和備案安全方案設(shè)計(jì)產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測試驗(yàn)收系統(tǒng)交付等級測評服務(wù)供應(yīng)商選擇5.3.2安全要求的選擇與使用技術(shù)/管理分類安全控制點(diǎn)安全管理要求安全運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備維護(hù)管理漏洞和風(fēng)險(xiǎn)管理網(wǎng)絡(luò)與系統(tǒng)安全管理惡意代碼防范管理配置管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理外包運(yùn)維管理思考題（1）歸納“信息安全事件分類、分級的主要內(nèi)容”。（2）敘