第17章 信息系统安全管理

17.1 信息安全管理 512
17.1.1 信息安全含义及目标 512

信息安全属性及目标

（1）保密性（Confidentiality）

是指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”
数据的保密性可以通过下列技术来实现：
① 网络安全协议
② 身份认证服务
③ 数据加密

（2）完整性（Integrity）

是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据。数据不应该被改变，这需要某种方法去进行验证。确保数据完整性的技术包括：
① CA认证
② 数字签名
③ 防火墙系统
④ 传输安全（通信安全）
⑤ 入侵检测系统

（3）可用性（Availability）

是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。可用性的技术如以下几个方面：
① 磁盘和系统的容错
② 可接受的登录及进程性能
③ 可靠的功能性的安全进程和机制
④ 数据冗余及备份

（4）其他属性及目标

(4)其他属性及目标。另外,信息安全也关注一些其他特性:真实性一般是指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的；而可靠性是指系统在规定的时间和给定的条件下，无故障地完成规定功能的概率，通常用平均故障间隔时间(MeanTime Between Failure, MTBF)来度量。

17.1.2 信息安全管理的内容 513
17.2 信息系统安全 519
17.2.1 信息系统安全概念 519

17.2.2 信息 系统 安全属性

1、保密性

保密性是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。应用系统常用的保密技术如下。
（1）最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。
（2）防暴露：防止有用信息以各种途径暴露或传播出去。
（3）信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而无法读懂有效信息。
（4）物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不被泄露。

2、完整性

完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下。
（1）协议
通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
（2）纠错编码方法
由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
（3）密码校验和方法
它是抗篡改和传输失败的重要手段。
（4）数字签名
保障信息的真实性。
（5）公证
请求系统管理或中介机构证明信息的真实性。

3、可用性

可用性是应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。
可用性还应该满足以下要求：
① 身份识别与确认
② 访问控制（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制）
③ 业务流控制（利用均分负荷方法，防止业务流量过度集中而引起网络阻塞）
④ 路由选择控制（选择那些稳定可靠的子网、中继线或链路等）
⑤ 审计跟踪（把应用系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任, 及时采取相应的措施。审计跟踪的信息主要包括事件类型、被管信息等级、事件时间、 事件信息、事件回答以及事件统计等方面的信息）

4、不可抵赖性

不可抵赖性也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的伯息。

17.2.3 信息系统安全管理体系 521

信息安全技术体系 技术体系

1）物理安全

（1）环境安全
（2）设备安全
（3）记录介质安全

2）运行安全

（1）风险分析
（2）信息系统安全性检测分析
（3）信息系统安全监控
（4）安全审计
（5）信息系统边界安全防护
（6）备份与故障恢复
（7）恶意代码防护
（8）信息系统的应急处理
（9）可信计算和可信连接技术

3）数据安全

（1）身份鉴别
（2）用户标识与鉴别
（3）用于主体绑定
（4）抗抵赖
（5）自主访问控制
（6）标记
（7）强制访问控制
（8）数据完整性保护
（9）用户数据保密性保护
（10）数据流控制
（11）可信路径
（12）密码支持

17.3 物理安全管理 527

17.3.1 计算机机房与设施安全 527
计算机机房
机房防静电的方式： （19年下案例）
（1）接地与屏蔽
（2）服装防静电
（3）温、湿度防静电
（4）地板防静电
（5）材料防静电
（6）维修MOS 电路保护
（7）静电消除要求
电源
计算机设备
通信线路
根据《电子计算机机房设计规范》第2.1.1条，电子计算机房在多层建筑或高层建筑物内宜设于第二、三层。
机房的安全等级
A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施
B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施
C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施

17.3.2 技术控制 530
检测监视系统
应建立门禁控制手段，任何进出机房的人员应经过门禁设施的监控和记录，应有防止绕过门禁设施的手段；门禁系统的电子记录应妥善保存以备查；进入机房的人员应佩戴相应证件；未经批准，禁止任何物理访问；未经批准，禁止任何人将移动计算机或相关设备带离机房。机房所在地应有专设警卫，通道和入口处应设置视频监控点，24小时值班监视；所有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以备查；禁止携带移动电话、电子记事本等具有移动互联功能的个人物品进入机房。
人员进出机房和操作权限范围控制
应明确机房安全管理的责任人，机房出入应由指定人员负责，未经允许的人员不准进入机房；获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同；机房钥匙由专人管理，未经批准，不准任何人私自复制机房钥匙或旅务器开机钥匙；没有指定管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带出机房，与工作无关的物品均不准带入机房；机房内严禁吸烟及带入火种和水源。所有来访人员需经过正式批准，登记记录应妥善保存以备查；获准进入机房的人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责和陪同。
17.3.3 环境与人身安全 530
17.3.4 电磁兼容 532
对需要防止电磁泄露的计算机设备应配备电磁干扰设备，在被保护的计算机设备工作时电磁干扰设备不准关机；必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门；不得在屏蔽墙上打钉钻孔，不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆；应经常测试屏蔽机房的泄露情况并进行必要的维护。

17.4 人员安全管理 533
17.4.1 安全组织 533

17.4.2 岗位安全考核与培训

对信息系统岗位人员的管理，应根据其关键程度建立相应的管理要求。（20年 / 21年上）
（1）对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理 ；
允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；
关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识。
（2）兼职和轮岗要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采取定期轮岗制度。（19年上）
（3）权限分散要求：在上述基础上，应坚持关键岗位“权限分散、不得交叉覆盖” 的原则，系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。
（4）多人共管要求：在上述基础上，关键岗位人员处理重要事务或操作时，应保持二人同时在场，关键事务应多人共管。
（5）全面控制要求：在上述基础上，应采取对内部人员全面控制的安全保证措施， 对所有岗位工作人员实施全面安全管理。

17.4.3 离岗人员安全管理

对人员离岗的管理，可以根据离岗人员的关键程度，采取下列控制措施。
（1）基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；收回所有相关证件、徽章、密钥和访问控制标记等；收回机构提供的设备等。
（2）调离后的保密要求：在上述基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺其调离后的保密要求。
（3）离岗的审计要求：在上述基础上，涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离。
（4）关键部位人员的离岗要求：在上述基础上，关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理。

17.5 应用系统安全管理 535
17.5.1 应用系统安全管理的实施 535
17.5.2 应用系统运行中的安全管理 536

系统运行安全和保密的层次构成

（1）系统级安全

企业应用系统越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问题的基础。应通过对现行系统安全技术的分析，制定系统级安全策略，策略包括敏感系统的隔离、访问 IP 地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等，系统级安全是应用系统的第一道防护大门。

（2）资源访问安全

对程序资源的访问进行安全控制，在客户端上，为用户提供与其权限相关的用户界面，仅出现与其权限相符的菜单和操作按钮；在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。

（3）功能性安全

功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在一定程度上影响程序流程的运行。

（4）数据域安全（行级、字段级）

数据域安全包括两个层次，其一，是行级 数据域安全，即用户可以访问 哪些业务记录，一般以用户所在单位为条件进行过滤；其二，是字段级 数据域安全，即用户可以访问 业务记录的 哪些字段。不同的应用系统数据域安全的需求存在很大的差别，业务相关性比较高。对于行级的数据域安全，大致可以分为以下几种情况：
(1)应用组织机构模型允许用户访问其所在单位及下级管辖单位的数据。
(2)通过数据域配置表配置用户有权访问的同级单位及其他行政分支下的单位的数据。
(3)按用户进行数据安全控制，只允许用户访问自己录入或参与协办的业务数据。
(4)除进行按单位过滤之外，比较数据行安全级别和用户级别，只有用户的级别大于等于行级安全级别，才能访问到该行数据。

企业要加强对应用系统安全运行管理工作的领导，**每年至少组织有关部门对系统运行工作进行一次检查。部门每季度进行一次自查。**要加强对所辖范围内应用系统运行工作的监督检查。检查可采取普査、抽查、专项检查的方式定期或不定期地进行。

安全组织 由单位 主要领导人 领导，不能隶属于计算机运行或应用部门。

安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分为三级，对可靠性要求最高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。

系统运行的安全管理中关于用户管理制度的内容包括建立用户身份识别与验证机制,防止非法用户进入应用系统;对用户及其权限的设定进行严格管理，用户权限的分配遵循"最小特权”原则；用户密码应严格保密，并及时更新；重要用户密码应密封交安全管理员保管，人员调离时应及时修改相关密码和口令。

17.6 信息安全等级保护

《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级。
第一级：对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级：会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导

第三级：会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查

第四级：会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级：会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

计算机系统安全保护能力的五个等级，即：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。