信息安全管理体系研究.pdf

《信息安全管理体系研究.pdf》由会员分享，可在线阅读，更多相关《信息安全管理体系研究.pdf（67页珍藏版）》请在三一文库上搜索。

1、西安电子科技大学 硕士学位论文 信息安全管理体系研究 姓名：李慧 申请学位级别：硕士 专业：情报学 指导教师：刘东苏 20050101 摘要 捅要 本文研究信息安全管理体系，在介绍信息安全管理体系的定义、功能和构建 方法的基础上，分析比较已有的信息安全管理模型，并依据信息安全管理标准和 信息的安全特性提出一个新的信息安全管理模型。在此基础上，重点对信息安全 风险评估、信息安全策略、信息安全控制这三个方面中的一些问题进行了研究并 提出了解决方法。 在介绍风险评估与管理中的基本概念和风险评估过程，分析现有的定性和定 量风险评估方法的基础上，提出一种定性和定量相结合信息安全风险评估方法。 结台聚类技

2、术和A R T 2 神经网络技术提出一个基于A R T 2 神经网络的动态风险管理 模型。 在概述信息安全策略的概念、组成要素、框架的基础上运用O - T e l o s 语言描 述信息安全策略，形成信息安全策略知识库。为了消除信息安全策略之间存在的 差异和冲突，结合A g e n t 技术提出一个基于知识库的信息安全策略管理模型。 为了解决信息安全设备产生错误报告和重复信息的问题，在深入分析现有的 信息安全监控和检测设备的原理和它们之间的相互关系的基础上，运用A g e n t 技 术和聚类算法设计了一个基于A g e n t 的信息安全监控系统。 关键词：信息安全管理、风险评估、策略、监控

3、 A b s 廿a c t A b s t r a c t W i t hi n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e ma si t sr e s e a r c ht a r g e ta n db a s e do n e x p l o r i n gt h ed e f i n i t i o n ，f u n c t i o na n dc o n s t r u c t i o nt e c h n i q u e so fi n f o r m a t i o ns e c u r i t y

4、s y s t e m sa n da n a l y z i n ga n dc o m p a r i n gs e c u r i t ym a n a g e m e n tm o d e l s ，t h i s t h e s i sp r e s e n t s an e wi n f o r m a t i o ns e c u r i t ym a n a g e m e n tm o d e l B a s e do nt h i sm o d e l ，t h er e s e a r c ho f t h i sp a p e rp r i m a r i l yf o

5、 c u s e so nt h ep r o b l e m so fi n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t ， i n f o r m a t i o ns e c u r i t yp o l i c ya n dm o n i t o r i n go ni n f o r m a t i o ns e c u r i t ya n db r i n g sf o r w a r d s o m em e t h o d st os o l v et h e m B a s i cc o n c e

6、p t so f r i s ka s s e s s m e n ta n d p r o c e d u r e so f r i s ka s s e s s m e n t a r ei n t r o d u c e d C u r r e n t l y u s e d q u a l i t a t i v e a n d q u a n t i t a t i v ea p p r o a c h e s t or i s ka s s e s s m e n ta r e s u m m a r i z e d A ni n t e g r a t e da p p r o

7、a c ht oi n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ti sp r o p o s e d A nA R T 2 - b a s e dd y n a m i cr i s km a n a g e m e n tm o d e li sp r o p o s e db yu s i n go fc l u s t e r i n g t e c h n i q u ea n dn e u r a ln e t w o r kk n o w l e d g e B a s e do ns u m m a r

8、i z i n gt h ec o n c e p t s ，e l e m e n t sa n ds t r u c t u r eo fi n f o r m a t i o n s e c u r i t y p o l i c y , O T e l o sl a n g u a g e i su s e dt od e s c r i b ei n f o r m a t i o n s e c u r i t yp o l i c y a n da n i n f o r m a t i o n s e c u r i t yp o l i c yk n o w l e d g

9、eb a s e i st h u sf o r m e d I no r d e rt oe l i m i n a t e d i f f e r e n t i t a t i o na n dc o n f l i c t sa m o n gi n f o r m a t i o ns e c u r i t yp o l i c i e s ，ak n o w l e d g e b a s e d i n f o r m a t i o ns e c u r i t yp o l i c ym a n a g e m e n tm o d e lu s i n g A g e n

10、 tt e c h n i q u e si sp r o p o s e d I no r d e rt os o l v et h ep r o b l e mt h a ti n f o r m a t i o ns e c u r i t yd e v i e c e sm a y p r o d u c ef a l s e a l a r m sa n d r e p e t i t i v ei n f o r m a t i o n ，a na g e n t b a s e d i n f o r m a t i o n s e c u r i t ym o n i t o

11、r i n g s y s t e mi sd e s i g n e db yu s i n gt h eA g e n tt e c h n i q t e sa n dc l u s t e r i n ga l g o r i t h m K e y w o r d s ：i n f o r m a t i o ns e e u r i t ym a n a g e m e n t ，r i s ka s s e s s m e n t ，p o l i c y ，m o n i t o r 声明y - 6 9 5 8 4 6 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的

12、研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均己在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论

13、文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文( 保密的论文 在解密后遵守此规定) 。 本人签名 导师签名 屈苎 幽五垒 日期缝= 2 日期! 竺乡L 第一章绪论 第一章绪论 1 1 引言 信息是任何组织的一种重要资产。保持关键的信息资产的安全性在整个商业 领域内是至关重要的。信息安全是对信息、系统以及使用、存储和传输信息的硬 件的保护【2 】，即保持信息的保密性( C o n f i d e n t i a l i t y ) 、完整性( I n t e g r i t y ) 和可用性 ( A v a i l a b i l

14、 i t y ) 1 3 】。保密性是指保障信息仅仅为那些被授权使用的人获取。完整性是 指保护信息及其处理方法的准确性和完整性。可用性是指保障授权使用人在需要 时可以获取信息和使用相关的资产。 信息安全研究可分为安全理论研究、安全技术研究、安全管理研究和安全标 准研究一。信息安全技术是信息安全控制的重要手段，一些复杂的安全性要求高的 信息系统的安全性必须借助于技术手段来实现，但单独依靠技术手段实现安全的 能力是有限的，例如在网络安全控制方面，防火墙安全产品被广泛应用，要想更 好地发挥防火墙的安全防护的安全防护作用，组织必须考虑防火墙的安全镱略设 置以及对其进行物理保护与访问控制。安全技术应当有

15、适当的管理和程序来支持， 否则，安全技术发挥不了其应有的安全作用，或者当应用环境发生变化时，不做 适当的技术调整，其安全作用会打折扣。甚至丧失。因此，研究信息安全管理体 系对信息安全性的提高有重要的理论和现实意义。 1 2 目前的研究现状 对信息安全管理的研究在2 0 世纪9 0 年代才；l 起人们的重视。它的研究范围 包括安全标准、安全策略和安全测评。英国于1 9 9 5 年首次提出B S 7 7 9 9 1 ：1 9 9 5 信 息安全管理实旌细则I S l 随后美国和欧洲等一些国家也提出了相关的信息安全管 理标准。1 9 9 6 年，信息系统审计与控制基金会I S A C F 颁布了C

16、O B I T t 6 蠕准的第一 版，随后又颁布了第二版，现在使用的是由信息技术管理研究所颁布的C O B I T 第 三版。从1 9 9 6 年到2 0 0 0 年，I S O 提出了完整的G M I T S ( I T 安全管理方针) 【”。 1 9 9 9 年，美国和加拿大共同提出了一个用于系统可靠性的原则与标准 S y s T r u s t 惮J 。1 9 9 9 年，国际信息安全基金会提出G A S S P ( 普遍接受的系统安全准 则) 咿J 。1 9 9 9 年9 月，中国制定了计算机信息系统安全保护等级划分准则 ( G B l 7 8 5 9 1 9 9 9 ) t i o

17、 j 2 0 0 0 年1 2 月，B S 7 7 9 9 1 ：1 9 9 9 信息安全管理实施细则 通过了国际标准化组织I S O 的认可，正式成为国际标准_ l s O l E c17 7 9 9 1 ：2 0 0 0 信息技术一信息安全管理实施细则f 1 ”。但该国际标准只被英国、荷兰、丹麦、 信息安全管理体系研究 澳大利亚等几个国家使用，美国、德国等国家对该标准持反对态度。而且 1 S O L E C l 7 7 9 9 缺乏必要的安全控制技术措施，其信息安全管理框架也不完备。因 此，如何在现有的信息安全管理标准的基础上制定出全球通用的信息安全管理标 准还需要作进一步的研究。 安全策

18、略是安全系统设计、实施、管理和评估的依据。针对具体的信息和网络 的安全，应保护哪些资源，花费多大代价，采取什么措施，达到什么样的安全强 度，都是由安全策略决定的。2 0 0 0 年，英国I m p e r i a l 大学的N D a m i a n o u 等人提出 了一种P o n d e r 策略规范语言用于表示分布式系统安全和管理策略口硼”】。2 0 0 3 年。 希腊A e g e a n 大学的S p y r o sK o k o l a k i s 等人提出了一个用于安全簧略管理的基于知 识的存储模型。1 9 9 3 年，A n d r e w s 和M o s s 提出了用于风

19、险评估的F T A ”】方法。 1 9 9 6 年，E J H e n l e y 和H K u m a m o t o 提出了用于风险评估的C C A 法I l 刨和E T A 0 6 1 法。1 9 9 9 年6 月，美国卡内基梅隆大学的C h r i s t o p h e r A l b e r t s 和A u d r e yD o r o f e e 提 出了一种信息安全风险评估规范O C T A V E 框架H ”。2 0 0 2 年，挪威能源技术协会的 R u n eF r e d r i k s e n 等人提出了用于风险管理过程C O R A S 框架【1 8 】。2 0

20、0 2 年，南京师 范大学的钱钢提出了一种基于S S E C M M 的信息系统安全风险评估方法【1 9 】。2 0 0 3 年，墨西哥的G u s t a v o A S a n t a n a T o r r e l l a s 提出了一个用于安全评估的多- - A g e n t 系 统【2 0 。2 0 0 3 年，Y o n gC h e n 等人提出了一个基于聚类的风险可能性评估系统1 2 ”。 2 0 0 4 年，美国斯坦福大学的A r j e n L e n s t r a 和T i mV o s s 提出了一种用于信息安全风 险评估、聚合、缓解的方法【2 ”。2 0 0 4

21、年，北京邮电大学信息安全中心的朱而刚和 张素英提出了一个基于灰色评估的信息安全风险评估模型口3 1 。但这些研究成果只 适用于访问控制策略的制定和管理，不适用于构建层次化的信息安全策略。因此， 如何依据组织的信息安全需求制定出最优的安全策略并对其进行灵活有效的实施 与管理还需要进一步的研究。 安全测评是依据安全标准对安全产品或信息系统进行安全性评定。早在1 9 7 0 年美国就有了计算机保密模型( B e l l & P a d u l a 模型) 1 2 4 1 9 8 5 年，美国制定了基于 B e l l & l a 模型的“可信计算机系统安全评估准则( T C S E C ：T r u

22、 s t e dC o m p u t e rS e c u r i t y E v a l u a t i o nC r i t e r i a ) 【2 5 】”。1 9 8 7 年和1 9 9 1 年，又先后制定了关于网络系统、数据 库管理系统方面的系列安全解释( T N I 和T D l ) ，形成了计算机信息系统安全体系 的早期准则【2 6 】。1 9 9 1 年，英、法、德、荷四国针对T C S E C 准则的局限性，联合 提出了安全的信息系统的较完整的概念，并推出了“信息技术安全评价准则” ( I T S E C ) 【2 “。同年，美国政府出台了联邦评测准则( F c ) 草案

23、 2 7 】。1 9 9 9 年5 月， I S O 采纳了美、加、英、法、德、荷等国提出的“信息技术安全评价公共标准” ( c o m m o nC r i t e r i af o rI T S E C ) 【2 目牡9 】。在信息安全管理体系上，还没有人提出相应 的评估模型和评估方法。因此，如何对现有的几种信息安全管理模型进行量化的 评估还有待于进行研究。 第一章绪论 1 3 论文的研究意义和所做的工作 本文的研究对象是信息安全管理体系，重点是信息安全管理模型、信息安全 风险评估与管理、信息安全策略和信息安全监控。信息安全管理体系依据信息安 全管理模型和信息安全管理标准并结合信息安全技术

24、全面、高效地解决组织的信 息安全问题。完整的信息安全管理体系的构建、实施与保持可以使组织达到动态 的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低 的成本达到可接受的信息安全水平，从根本上保证业务的连续性。对信息安全管 理模型的研究有助于提高信息安全管理体系的完整性、灵活性和有效性。 本文首先在比较和分析现有的信息安全管理模型的基础上提出一个新的信息 安全管理模型，然后对其中的信息安全的风险分析与评估算法、信息安全策略的 优化与管理、信息安全监控系统的设计进行详细的研究，并提出一些新的观点和 模型。主要内容包括： 介绍建立信息安全管理体系的方法和步骤以及现有的信息安全管理

25、标准和 信息安全管理模型，详细讨论各种模型的优缺点，并提出一个新的信息安全管 理模型。 根据信息安全风险的特性，在比较和分析现有的定性和定量风险评估算法的基 础上，提出一种定性与定量相结合的风险评估方法，并构建一个基于A R T 2 神 经网络的动态风险管理模型。 依据最终的风险评估结果，从组织的最高安全目标出发制定层次化结构的信息 安全策略，用O T c l o s 语言形成信息安全策略的知识库，并构建一个基于知识 库的信息安全策略管理模型对信息安全策略的实施进行动态的管理并自动解 决策略冲突问题。 在分析入侵检测系统、防火墙、安全扫描器和容侵系统的功能、相关性和结合 点的基础上，运用A g

26、 e n t 技术设计一个基于A g e n t 的信息安全监控系统。与原 来的监控系统相比，该系统能及时地发现信息系统的漏洞、脆弱点和正在发生 的入侵，并且能通过降低系统的服务级别容忍一定程度的入侵和攻击。 1 4 论文的结构 本文的结构如下： 第一章绪论简述论文的研究对象、研究目的和所完成的工作等基本情况。 第二章信息安全管理体系概述信息安全管理标准和已有的信息安全管理模 型，在分析各种模型的优缺点的基础上提出个新的信息安全管理模型，介绍建 立信息安全管理体系的方法和步骤。 4 信息安全管理体系研究 第三章信息安全风险评估与管理介绍风险评估与管理的基本概念和风险评 估过程，对现有的风险评估

27、算法进行分析，依据信息安全风险的特性提出一个综 合的风险评估算法，提出一个基于A R T 2 神经网络的风险管理模型。 第四章信息安全策略介绍信息安全策略的概念和组成要素，描述信息安全 策略框架，提出一个基于知识库的信息安全策略管理模型。该模型可以及时输入 新的安全策略，并能自动解决策略冲突问题。 第五章信息安全监控系统在分析入侵检测系统、防火墙、安全扫描器和容 侵系统的功能、相关性和结合点的基础上，提出一个基于A g e n t 的信息安全监控 系统。 第二章信息安全管理体系 第二章信息安全管理体系 信息安全管理体系是实现组织的信息安全目标的全过程。本章概述信息安全 管理体系的定义、功能和构

28、建方法，介绍现有的信息安全管理标准，然后在比较 分析现有的信息安全管理模型的基础上提出一个新的信息安全管理模型。该模型 克服了已往模型的缺点，能更好地对组织的信息进行安全管理。 2 1 信息安全管理体系概述 信息安全的建设是一个系统工程它需要对整个网络中的各个环节进行统一 的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化。任何单个环节 的安全缺陷都会对系统的整体安全构成威胁。据权威机构统计表明：网络与信息 安全事件中大约由7 0 以上的问题都是由管理方面的原因造成的。这正应了人们 常说的“三分技术，七分管理”的箴言。因此，解决网络与信息安全的问题，不 仅应从技术方面着手，同时更应该加强

29、网络与信息安全的管理工作。 2 1 1 信息安全管理体系的定义与功能 信息安全管理 3 0 】【3 1 1 嘲是指导和控制组织的关于信息安全风险的相互协调活 动，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、 控制目标与方式选择、风险控制、安全保证等。而要对组织的信息的安全性进行 高效、动态的管理就必须依据信息安全管理模型和信息安全管理标准构建组织的 信息安全管理体系。 现在对信息安全管理体系( I n f o r m a t i o nS e c u r i t yM a n a g e m e n tS y s t e m ，I S M S ) 还 没有一个明确的定义

30、。在I S O I E C l 7 7 9 9 中信息安全管理体系可以被理解为是组织 管理体系的一部分，专门用于组织的信息资产风险管理，确保组织的信息安全， 包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、 程序、过程和资源。信息安全管理体系中包含很多的“反馈环路”。这些“反馈环 路”可以对系统的安全性进行监测和控制，以此使组织的残余风险最小化，确保 组织满足客户和法律的要求。 个有效的信息安全管理体系具有如下功能： 1 强化员工的信息安全意识，规范组织的信息安全行为。 2 对组织的关键信息资产进行全面系统的保护，维持竞争优势。 3 使组织本着预防和系统持续发展的观点处理

31、意外事件和损失，在信息系统 受到侵袭时，确保业务持续开展并将损失降到最低程度。 信息安全管理体系研究 4 使组织的生意伙伴和客户对组织充满信心。 5 使组织定期地考虑新的威胁和脆弱点，并对系统进行更新和控制。 6 促使管理层坚持贯彻信息安全保障体系。 总之，信息安全管理体系提供了考虑安全、维持安全、改进安全所必需的工 具，即管理安全的工具。 2 1 2 信息安全管理体系的构建 信息安全的基本目标就是保证网络和信息的保密性、完燕性和可用性。要构建 一个有效的信息安全管理体系，可以采取如下的方式： 1 建立信息安全管理框架 信息安全管理框架的搭建必须按照适当的程序来进行( 如图2 1 所示) 。首

32、先， 各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的信息安 全管理框架，并在正常的业务开展过程中具体实施构架的信息安全管理体系。同 时在信息安全管理体系的基础上，建立各种与信息安全管理框架相一致的相关文 档、文件，并对其进行严格的管理。对在具体实施信息安全管理体系过程中出现 的各种信息安全事件和安全状况进行严格的记录，并建立严格的反馈流程和制度。 ( 1 ) 信息安全策略 组织应制定信息安全策略( I n f o r m a t i o nS e c u r i t yP o l i c y ) 以对组织的信息安全 提供管理方向与支持。组织不仅要有一个总体的安全策略，而且，在

33、总体策略的 框架内，根据风险评估的结果，制定更加具体的安全方针，明确规定具体的控制 规则，如“清理桌面和清楚屏幕策略”、“访问控制策略”等。 ( 2 ) 范围 组织要根据组织的特性、地理位置、资产和技术对信息安全管理体系范围 ( s c o p e ) 进行界定。组织信息安全管理体系范围包括以下项目： 需保护的信息系统、资产、技术。 实物场所( 地理位置、部f - j ) 。 ( 3 ) 风险评估 组织需要选择一个适合其安全要求的风险评估和管理方案，然后进行合乎规范 的评估，识别目前面临的风险及风险等级；风险评估的对象是组织的信息资产， 评估考虑的因素包括资产所受的威胁、薄弱点及威胁发生后对组

34、织的影响。无论 采用何种风险评估工具方法，其最终评估结果应是一致的。 ( 4 ) 风险管理 组织应根据信息安全策略和所要求的安全程度，识别所要管理的风险内容。控 制风险包括识别所需的安全措施，通过降低、避免、转移将风险降至可接受的水 第二章信息安全管理体系 平。风险随着过程的更改、组织的变化、技术的发展及新出现的潜在威胁而变化。 第一步 第二步 第三步 第四步 第五步 第六步 图2 1 信息安全管理框架的建立流程 ( 5 ) 控制目标与控制方式的选择 风险评估之后，组织应从已有信息安全技术中选择适当的控制方法，包括额外 的控制( 组织新增加的和法律法规所要求的) ，降低己识别的风险。 ( 6

35、) 适用性声明 信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采 取的控制措施。它的准备，一方面是为了向组织内的员工声明对信息安全面对风 险的态度：另一方面也是为了向外界表明组织的态度和作为。 2 具体实施构架的I S M S I S M S 管理框架的建设只是建设I S M S 的第一步。在具体实施I S M S ”1 的过程 中，还必须充分考虑其他方面的因素，如实施的各项费用因素( 培训费、报告费 信息安全管理体系研究 等) 、与组织员工原有工作习惯的冲突、不同部门机构之间在实施过程中的相互协 作问题等。 组织要按照所选择的控制目标和控制方式进行有效的安全控制，即按照策略

36、、 程序等要求展开信息处理、安全管理等各项活动。实施的有效性包括两方面的含 义，一是控制活动应严格按要求执行；二是活动的结果应达到预期的目标要求， 即风险控制的结果是可接受的。 3 文档化 在I S M S 构建和实施的过程中，还必须建立起各种相关的文档、文件，如I S M S 管理范围中所规定的文档内容、对管理框架的总结、在I S M S 管理范围内规定的管 制采取过程、I S M S 管理和具体操作的过程等。文档可以以各种形式进行保存，但 必须划分为不同的等级和类型。同时，为了今后信息安全认证工作的顺利进行， 文档还必须能够非常容易地被指定的第三方访问和理解。信息安全管理体系的文 档层次结

37、构如图2 2 所示。 图2 2 文档层次结构 在建立起各种文档之后，组织还必须对它进行严格的管理，并结合组织业务和 规模的变化，对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组 织的信息安全策略需求时，就必须将其废止。 4 记录 组织应对实施I S M S 过程中发生的各种与信息安全有关的事件进行全面记录 【3 6 】。安全事件的记录对高效实现I S M S 具有很重要的作用，它为组织进行信息安 全策略的定义、安全管理措施的选择与修正等提供了现实的依据。安全事件记录 还必须清晰，并进行适当保存以及加以维护，使得当记录被破坏、损坏或丢失时 能够容易得到挽救。 第二章信息安全管理体系 9

38、 2 2 信息安全管理标准 信息安全管理标准是构建I S M S 的依据之一。它不仅提供了I S M S 的具体建立 方法，还提供了各种安全技术和控制措施。目前，很多国家和组织都提出了自己 的信息安全标准。这些标准就信息安全管理讨论的重点各不相同，而且应用的领 域也不一样。下面对B S 7 7 9 9 、C O B I T 、G M I T S 、G B l 7 8 5 9 1 9 9 9 做简单的介绍。 2 2 1B $ 7 7 9 9 英国标准B S 7 7 9 9 是目前世界上应用晟广泛的典型的信息安全管理标准，它是 在B S I D I S C 的B D D 2 信息安全管理委员会指导

39、下制定完成的。B S 7 7 9 9 标准于 1 9 9 3 年由英国贸易工业部立项，于1 9 9 5 年英国首次出版B S 7 7 9 9 1 ：1 9 9 5 信息安 全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实施规则， 其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准， 并且适用于大中小组织。1 9 9 8 年英国公布标准第二部分信息安全管理体系规范， 它规定了信息安全管理体系要求与信息安全控制要求。它是一个组织的全面或部 分信息安全管理体系评估的基础，它可以作为正式认证方案的依据。B S 7 7 9 9 1 与 B S 7 7 9 9 - 2 m

40、】经过修订于1 9 9 9 年重新予以发布。2 0 0 0 年1 2 月，B S 7 7 9 9 1 ：1 9 9 9 信 息安全管理实施细则通过了国际标准化组织I S O 的认可，正式成为国际标准一 I S O I E C l 7 7 9 9 1 ：2 0 0 0 信息技术一信息安全管理实施细则。 B S 7 7 9 9 1 是组织建立并实施信息安全管理体系的一个指导性的准则，主要为 组织制定其信息安全标准和进行有效的信息安全控制提供一个大众化的最佳惯 例，推进企业间的贸易往来，尤其是使用电子商务的企业对共享的信息的安全问 题提供信任。它提供了1 0 个主要安全领域的1 2 7 个控制的信息

41、，如图2 3 所示。 内容概要 信息安全策略 组织安全 资产分类与控制 人员安全 实物与环境安全 6 通信与运作管理 7 访问控制 8 系统开发与维护 9 商务持续性管理 1 0 依从 图2 3B S 7 7 9 9 - l 韵l O 个组成部分 B S 7 7 9 9 2 提供了如何实施B S 7 7 9 9 一I 的信息，并且提供了如何建立信息安全管 理体系方面的信息。这个过程的总体方法和它的主要步骤在图2 4 中进行了说明。 它的管理思想遵循了P D C A ( P l a n - D o C h e c k - A c t i o n ，计划一执行一检查一行动) 的持 信息安全管理体系

42、研究 续改进的管理模式。 图2 4B S 7 7 9 9 - 2 主要过程与步骤 虽然B S 7 7 9 9 1 已成为国际信息安全管理标准，但包括美国、德国以及E t 本在 内的一些国家并没有采用I S O I E C l 7 7 9 9 。他们认为I S O I E C l 7 7 9 9 存在以下一些基 本问题： 1 ) 全球信息安全团体没有对I S O I E C l 7 7 9 9 中的实践规则进行确定。 2 11 S O I E C l 7 7 9 9 缺乏“技术标准需要的测量准确度”。 3 ) 没有理由相信I S O I E C l 7 7 9 9 比任何其他当前使用的方法更有效

43、。 I S O I E C l 7 7 9 9 不如其他正在使用的标准完整。 5 1I S O I E C l 7 7 9 9 准备不充分，采用它会对企业信息安全控制产生很大的影 响。 2 2 2C O B I T C O B I T ( C o n t r o lO b j e c t i v e sf o rI n f o r m a t i o na n dR e l a t e dT e c h n o l o g y ) 是一个信 息技术管理模型，它可以帮助人们了解并管理与信息技术相关的风险。1 9 9 6 年， 信息系统审计与控制基金会I S A C F 颁布了C O B I T

44、第一版，随后又颁布了第二版， 现在使用的是由信息技术管理研究所颁布的C O B I T 第三版。C O B I T 第三版由六部 分组成：框架、执行摘要、控制目标、执行工具集、管理指南和审计指南。 第二章信息安全管理体系 C O B I T 是以组织的业务目标为核心，为组织提供其他所需的信息，同时，平 衡在信息技术领域的投资与风险，把握技术发展带来的机会，以达到利益最大化， 机会资本化，获取竞争优势。为了实现这些目标，C O B I T 采用了层次结构的管理 方法，把I T 过程按其性质化分为四个域，分别为： 计划和组织。该域涵盖了实施I T 的战略与策略，判别哪些I T 策略最有助于业 务目

45、标的实现。应设置何种组织结构，建立何种技术基础结构，如何对I T 策 略的实现进行计划、协调与管理。 获取和实施。为了实现I T 战略，如何定义、开发、获取、实施I T 解决方案， 并把这一方案集成到业务过程中。如何解决系统的变迁与维护，以使系统的生 命周期得以延续。 交付和支持。该域涵盖系统交付所需的服务，包括操作安全性、连续性、人员 培训以及需建立的支持过程，还包括实际数据处理，通常按应用控制进行分类。 监控。评估I T 过程质量，评估I T 过程与控制需求相符的程度。 在四个域下定义了3 4 个高层控制目标，每个高层控制目标下又定义了若干具 体的子目标，共计3 1 8 个控制子目标。这四

46、个域围绕着一个目的及时提供业 务所需的准确信息，但信息的提供依赖于I T 资源，同时，所提供的信息也应有一 定的衡量标准。这样，组织在进行I T 管理时，必然从I T 过程、信息标准、I T 资 源三个维度来综合考虑。C O B I T 给出了这样一个综合考虑的框架，同时，如何评 价I T 过程给出了测度和标准。图2 5 描述了C O B I T 的体系结构。其中C O B I T 把 信息标准定义为7 种：有效性、效率、机密性、完整性、可用性、一致性和可靠 性；l T 资源定义为5 类：人员、应用、技术、设施和数据。 C O B I T 的管理指南中给出了度量I T 过程的指标体系，度量的尺

47、度以及度量的 基准点。C O B I T 从两个层次来定义度量的基准点。首先，它定义一般的成熟度模 型M M ，以及关键成功因素C S F 、关键目标指标K G I 、关键性能指标K P I 的概念。 然后，针对3 4 个I T 过程，分别定义了它们的成熟度模型M M 、关键目标指标K G I 和关键性能指标K P I 。 模仿软件工程中的C M M 模型，C O B I T 提供了衡量I T 过程的成熟度模型。该 模型把I T 过程的管理划分为0 级到5 级共6 个级别： 不存在级( 0 级) 。组织尚未意识到要进行I T 过程管理。 初始级( 1 级) 。组织已经意识到1 T 过程中存在的

48、问题，但是没有标准化的I T 过程，个别案例中采用了一些特殊的方法，但不适用于全局。 可重复级( 2 级) 。从事同一项I T 工作的不同的人采用类似的I T 过程，但这 是自发的，没有对标准过程进行正规培训。工作责任由个人承担，对个人的知识 水平高度依赖，因此可能出现不可预测的错误。 定义级( 3 级) 。I T 过程己被标准化和文档化，并对人员进行了培训，但每个 2 信息安全管理体系研究 人进行的处理存在难以察觉的偏差。r r 过程是现存惯例的形式化体系，本身并不 完善。 管理级( 4 级) 。监控和测定1 1 r 过程是否与规范一致，并可以采取措施调节无 效的规范。l T 过程不断完善，

49、好的惯例不断出现。但自动化工具的使用是有限和 局部的。 图2 5C O B I T 的体系结构 优化级( 5 级) 。基于I T 过程的持续完善和其他组织的成熟模型，I T 过程己 被提炼到最切实际的状态。I T 过程与业务流程完美结合，使用高质、高效的自动 化工具，组织对外界具有更快的适应能力。 上述模型是一个渐进的模型，上一级对下一级的改善是：对风险和控制问题的 理解和认识；适用于该问题的培训和交流；I T 过程采用的惯例；使I T 过程具有更 有效、高效的自动控制技术：与规范的一致程度：应用专业技能的类型和范围。 2 2 - 3G M I T S G M I T S H P l S O I E C l 3 3 3 5 I T 安全管理方针是现在国际上通用的I T 安全管理标 准，可以作I s o , q E C l 7 7 9 9 替代。G M I T S 旨在为l T 安全管理提供指导而不是解 决方案。它的主要目标如下： 定义并描述了有关I T 安全管理的概念。 第二章信