BlogJava-自由-自我-文章分类-信息安全

访问控制

JiangMin — Mon, 11 Sep 2006 04:20:00 GMT

访问控制是为了阻止未被授权的人员使用资源（硬件如：处理器、电脑、路由器之类；软件如：应用程序、系统软件；信息资源如：数据文档、系统文档；服务如：计算、通信、电源），同时访问控制也为了显示用户以一种未授权的方式使用资源（如：上班时间连接英特网）。
访问控制涉及到：策略的制定、具体的实施办法和强制手段。
如何才能制定出有效的访问控制呢？以下是信息安全人员需要充分考虑到的：
你手头上都有些什么资源？这些资源的保密级别都是怎么样的？对于每个资源都是哪些用户被授权访问？这些被授权的用户又具有什么样的访问权限（如只读、修改、全权限）？访问控制策略应该如何被实施？
制定访问控制策略往往是有制定一个资源清单开始的，这个清单同时还可以作为购买保险和风险管理的依据。资源清单需要列出所有的各式各样的资源，清单同时要对资源进行分类，分清各个资源的安全级别。
对于访问的控制一般有两种简单模式：
1、普遍允许所有的人访问，除了被列在黑名单上的人是不被允许访问的。
2、普遍禁止所有的人访问，除了被列在允许访问名单上的人可以访问资源。
很明显第二种访问控制更加安全一些。
作为常识，访问权限对于每一个用户都应该是不完全一样的，也不应该是永久不变的。访问权限有些时候是会被取消的，如：某职员不再在公司任职、升迁、换岗位或者被炒鱿鱼了？
有一种访问权限叫做分散式权限，其工作原理是不允许任何一个人员可以单独完成一项重要任务。举例：财务转账需要有两个分工人员共同完成：会计和出纳。如银行金库有外围安全人员和内卫安全人员。外面的不能完全进入金库，里面的人没有外面的人出不来。
有一种安全措施是通过保密来做到的，就是为了不被攻击，你不告诉别人你手头上到底有什么。这个听上去很不错，但是却不是我们要讨论的信息安全的方向。我们不建议这样做。
对于被授权了的用户也是有不同的使用权限的，如：
只读、写权利、执行权利、添加权利等。
对于使用权限的分发一般有三种方法：Mandatory访问控制、Discretionary访问控制、Role-based访问控制。
Mandatory访问控制对各个对象或者各个访问者进行进行授权。这种访问控制往往机遇对象和访问者制定了一系列的控制条令，在执行过程中严格执行这些条令。
Discretionary访问控制一般把访问权限赋予一些特定的管理人员，然后有这些人员决定哪些用户可以使用资源、哪些不可以。一般来讲这种控制方法没有固定的访问条例。
Role based访问控制的访问权限是基于用户的身份的，如学生只能够读学校服务器上的文档，老师就有写的权利。但是对于每个个体，是可以拥有多个身份的，对于一个身份可以对应很多个体的。如学生会主席小明又是学生又是学校工作人员，很显然，一般学校有副校长身份的人不止一个。
现实工作中Mandatory和Discretionary这两种访问控制是结合在一起使用的。这种结合的访问控制一般是这样工作的：Mandatory访问控制首先生效，被Mandatory允许的人继续被Discretionary访问控制系统审核，只有两种访问控制都被允许用户才被授权使用资源。这种做法的好处在于可以防止某些资源的拥有者私自把资源给未授权的用户使用，如公司职员把他的客户关系给公司竞争对手。当然，还有一个好处就在于如果Discretionary级别高于Mandatory的话，可以允许“特殊情况”的资源访问，如果某个用户不被条文允许但是却有这必要的话，这样充分体现灵活性。
访问控制的手段分为两大类：物理上的访问控制，逻辑上的访问控制。
物理访问控制是使用物理手段对资源进行保护，如：围墙、门禁、锁、警卫、身份识别牌等。这些方法确保未被授权的人员不能够损坏盗取设备，不允许他们访问敏感地点和数据。
逻辑访问控制使用一些程序对信息安全进行保护，如：密码、Pin、问答机制、强制使用访问策略。
逻辑访问控制可以在物理访问控制实效以后继续对资源进行保护，如飞天大盗打晕警卫把公司电脑弄回家但是发现自己没有密码不能解密文档，对公司造成的损失不会太大。
物理控制除了防止人为行为外，还肩负着对事故及自然灾害的防护，如：火灾、漏雨、断电、龙卷风、战争，抑或外星人入侵？
逻辑手段则是为了在物理保护实效后对资料继续保护和对付黑客的入侵。
一个用户如果要通过逻辑访问控制获得访问权限一般有两个步骤：1、用户首先要申明身份。2、用户的身份识别。例如：你首先向门卫说你是什么人，然后给他们看你的工作证，输入门禁密码等等。
之所以要对用户的身份进行验证是出于两个考虑的：
1、用户的真实身份是用来决定是否给这个人访问资源的前提条件。
2、用户的真实身份需要记录下来，以后一旦出了问题可以作为有效的法律依据。
基于以上两个原因，这个系统必须确保黑客不能乔装打扮成某个合法的用户。用户也必须被保证自己使用的系统确实是真真正正的系统而不是坏人做的鱼饵。
对于用户的身份验证一般是基于三个基础上的。
1、一些只有某个用户知道，别人都不知道的东西。
2、一些只有某个用户拥有，别人都不拥有的东西。
3、一些只有某个用户才拥有的特性。
当然现实工作中，往往都是以上三种措施的结合使用。
一些只有某个用户知道，别人不知道的东西，如：密码、Pin。这种方法的好处在于便宜且被广泛接受和使用，并且作废方法简单。缺点在于要求用户记忆下来这些密码，任何知道你密码的人就可以代替你行使你的权利，而且没有办法对用户进行控制，例如有些用户喜欢写下密码在纸上，这是不被允许的，还有就是有可能用户丢失了密码但是却不知道他已经丢失了密码。
一些只有用户拥有，别人不用户的东西，如：身份识别牌、钥匙、制服、磁卡、令牌（圣火令？）这种方法的好处在于这些东西是不被共享的，所以黑客的确需要有一个钥匙或者磁卡令牌才能允许访问，而且一旦丢失，用户马上可以发现问题然后采取措施。缺点在于额外花费，并且存在物品的管理问题，如：这些物品的分发、取代和挂失之类的问题。
一些只有某个用户才有的特性（一般为生物特性），如：声音特性、指纹、容貌、眼瞳扫描、手写签名等。
但是人们往往却很担心这种生物识别系统的出错情况。如温度、湿度工作环境、使用时间等都会对识别系统的正常工作带来影响。还有就是人员会存在感冒、手指受伤、模仿签名、眼睛不见了、易容（双面枭雄？）之类的问题。所以一旦出现问题，会带来两种类型的错误：FRR和FAR，意思是错误拒绝率和错误允许率。所以系统一般要在这两种率之间找一个平衡点，如：如果错误拒绝率设置要想设置的很低的话，错误允许率就会变高；错误允许率要低，错误决绝率就会很高。所以就存在这么一个EER等同错误率，意思是错误拒绝率等于错误允许率相等的比率。
生物识别系统的好处在于对用户的要求基本上没有什么，只要用户的确是他本人就可以了。缺点在于这种系统比其他两种系统要贵许多，而且识别信息是不保密的（如:每个人都知道bill gates长得那个傻样），有些时候会出错，用户的抵触情绪（如：很多人不愿意在美国出入境处像罪犯一样按手印），隐私问题。
现实工作中为了更加安全，一般是这三种手段的结合使用。
现在让我们来讨论一下密码的种类：
重复使用密码和一次性密码。

重复使用密码的优点在于其被广泛接受和使用、便宜、作废简单。其缺点在于这种方法很不可靠、要求用户记忆下来、密码容易被猜到和窃取。

一次性密码可以是在一个很长的密码清单里随即选取也可以是同步实时产生的。一次性密码的好处在于其高度安全性。但是缺点在于其产生而外费用，而且使用同步实时产生密码机制需要用户携带特殊设备，而且存在主机和用户之间的时间同步的管理。
用户密码管理办法：
1、要求用户签署协议保证密码的安全，如果出了问题应该负相应责任。
2、确保最初始的密码是一个零时密码（可以把初始密码设置很奇怪，迫使用户修改）。
3、通过一个安全的方式给用户密码（不要通过第三方的电邮发送你的密码）。
关于给用户的密码管理的建议：
1、保证密码安全。
2、不要写在纸上，除非你保证这个纸可以保证安全，如：锁在密码箱保险柜里。
3、定期换密码。
4、采用不小于6位数的密码，密码要便于记忆、不容易被猜、到不要全是数字或者全是字符。
5、只要有一点怀疑泄密，马上换密码。
6、修改初始密码一旦你第一次登入系统后。
7、不要让选择记住密码这样的东西。
8、不要和别人共用密码（好像没听过这种说法）。
什么是PIN-Personal Identification Number是一组唯一的用户个人的数字。
Pin分为一般常规的Pin和Offset pin。PIN的标准有 ANSI x9.8,AS2805-2000
关于Pin值的产生：
Pin可以是随即产生的。用户自定义的。derived Pin。
随即产生的Pin的好处在于不容易被猜出来，但是缺点却在于这样的Pin很难被记住。
用户自定义的Pin好处在于容易记忆，但是却有很高的风险被猜出来。
被计算的Pin的好处如银行不需要记住所有的用户的Pin，但是缺点在于数据和Pin是一对一的关系，Pin不可以被修改。
Offset derived Pin用来克服derived pin的缺点，Pin可以被修改，只需要更具修改后的Pin重新计算出Offset然后储存在卡上，Offset不需要保密，因为Offset不不能给黑客猜出PIn任何提示。

JiangMin 2006-09-11 12:20 发表评论

国际标准 ISO/IEC 17799:2000

JiangMin — Mon, 14 Aug 2006 06:17:00 GMT

摘要: 前言 ISO( 国际标准化组织 ) 和 IEC （国际电工委员会）形成了一个专门体系，进行世界性的标准化工作。 ISO 或 IEC 成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推广，这些技术委员会要设法应对一些特殊领域的技术活动。 ISO ... 阅读全文

JiangMin 2006-08-14 14:17 发表评论

ISO/IEC17799介绍

JiangMin — Mon, 14 Aug 2006 06:06:00 GMT

ISO/IEC17799的目的是什么？
根据官方的报告，ISO/IEC17799的目的是"为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信"。

ISO/IEC17799覆盖那些内容？
作为一个通用的信息安全管理指南，ISO/IEC17799的目的并不是告诉你有关"怎么做"的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是"制订一个机构自己的标准时的出发点"，并不是说它所包含的所有方针和控制策略都是放之四海而皆准的，也不是其它未列出的便不再要求。在这样的原则指导下，这份65页的文档简要地讨论了如下的主题：
* 建立机构的安全策略
* 机构的安全基础设施
* 资产分类和控制
* 人员安全
* 物理与环境安全
* 通讯与操作管理
* 访问控制
* 系统开发和维护
* 业务连续性管理
* 遵循性

ISO/IEC17799不涉及哪些内容？
ISO/IEC17799不是一篇技术性的信息安全操作手册，它讨论的主题很广泛，如上所列。但是，它对每一项内容的讨论都没有深入下去。所以，ISO/IEC17799没有提供关于任何安全主题的确定或专门的材料。
17799没有提供足够的信息以帮助一个机构进行深入的信息安全检查，它离认证项目也还差得远。但是，作为对各类信息安全主题的高级别概述，17799显然是非常有用的，它有助于人们在高级管理中理解每一类信息安全主题的基础性问题。
需要说明，目前已经有几个国家指出，17799的某些部分与其国家法律存在着冲突，尤其是在隐私领域。

ISO/IEC17799与密码、数字签名或PKI互操作性的关系是怎样的？
17799涉及到一些密码的事情。但是，17799中没有包含与密码项目的开发和管理--比如PKI互操作性--有关的足够信息。17799中谈论PKI的内容不过区区几句话。
NIST发布的800-21《密码实施准则》现在可以免费下载，这里面包含了建立各种与密码有关的安全项目时的实施准则，可见http://csrc.nist.gov/publications/nistpubs/index.html。

ISO/IEC17799与BS7799的关系怎样的？
BS7799是英国标准学会（BSI）开发的一篇由两部分组成的安全管理标准，在英国政府的支持下，它在英国得到了非常广泛的应用。BS7799的两部分如下：
* 7799-1（第一部分）：《信息安全管理操作规则》。它不是一个机构的信息安全管理项目的规范--这种规范称为"信息安全管理系统（ISMS）"，而且，到目前为止，7799-1还不能用于认证的目的。请注意，ISO/IEC17799的当前版本（不久它就会出新版本）是完全基于BS7799-1的。
* 7799-2（第二部分）：《信息安全管理系统规范》。该部分是安全控制的"核对表"（checklist）。英国方面认为，BS7799-2是ISMS，可以用于认证的依据。7799-2与ISO/IEC17799没有直接联系。
BSI在2000年初将BS7799-1交给了ISO/IEC JTC1（国际标准化组织和国际电工委员会的联合技术委员会），以供各成员国对其投票表决。根据ISO的规定，JTC1的永久成员或与JTC1有A类联系的组织，都可以将来自任何地方的已有标准直接提交给ISO/IEC JTC1，不用作任何修改，作为国际草案标准（DIS）接受投票。需要注明的是，BS7799的内容早在几年前就曾经以非正式方式交给过ISO/IEC JTC1，但在投票时遭到了否决。这一次提交的版本是修改过的。

ISO/IEC17799与ISO/IEC15408（即CC，《IT安全评估公共准则》）的关系是怎样的？
简单地说，这两个标准之间没有任何紧密联系，它们没有相同或类似的主题。 ISO/IEC15408旨在支持产品（最终是指已经在系统中安装了的产品，虽然目前指的是一般产品）中IT安全特征的技术性评估。ISO/IEC15408标准还有一个重要作用，即它可以用于描述用户对安全性的技术需求。
ISO/IEC17799则不同，它不是一篇技术标准，而是管理标准。它处理的是对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。
一般说来，经过ISO/IEC15408评估的IT安全产品有助于确保一个机构安全项目的成功，这些IT产品的使用能够极大地减少机构所面临的安全风险。如有兴趣知道一个机构如何使用ISO/IEC15408来迎接安全挑战，可以参考NIST 800-23《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》，该文献可以见于：http://csrc.nist.gov/publications/nistpubs/index.html。

ISO/IEC17799有没有第二部分，就像BS7799一样？
BSI没有提交BS7799-2，可能的原因会在后面的问题回答中有所暗示。目前没有迹象表明BSI是否会在将来提交第二部分。ISO/IEC JTC1还没有计划去制定ISO/IEC17799-2。ISO有没有类似于ISO9000过程质量认证项目的ISO/IEC17799系统安全认证项目：ISO/IEC17799是一种操作规则，或称之为信息安全管理方针，它没有达到必要的详细级别，无法支持这种认证。正如上面说述，没有人计划去制定ISO/IEC17799-2，去为一个机构的信息安全管理项目提供足够详细的参照规范。在类似于ISO/IEC17799-2的标准被ISO/IEC JTC1接受以前，不可能有"官方"的ISO/IEC17799认证项目。当然，人们可以去选择BS7799-2，与ISO/IEC17799一起非正式使用（更确切地说，是与BS7799-1一起使用），以完成某种形式的系统安全"认证"，但这不能等同于ISO认证。要着重指出，到目前为止，已知的正式认可的认证方案是根据7799-2实施的，而不是根据ISO/IEC17799。
围绕ISO/IEC17799被国际标准化组织的采纳过程，人们对它的"不正常现象"存在哪些争议？
ISO/IEC17799是在很多国家的反对声中被采纳的。ISO/IEC JTC1 SC27（联合技术委员会下的第27分委员会：IT安全技术组）内安全标准化工作的很多积极参与国对2000年夏季的DIS（国际草案标准）投票议论纷纷，由"不正常现象"引发的争议包括：对于迟到选票的接受、把明显的反对票记为赞成票、对DIS投票方案（该方案要求开会考虑投票中提交的大量技术评论）的拒绝、投票结束后ISO/IEC JTC1标准就以不正常的速度迅速发布……。成员国中，德国、法国、加拿大已经就这些不正常现象向ISO/IEC权力机关提出了抗议。加拿大最近提出了17799内容中的28处"缺陷报告"。美国也曾考虑提出类似的抗议，但最终没有行动，但他支持其他国家的抗议。

分别是哪些成员国投了DIS 17799的赞成票和反对票？
英国显然要投赞成票。他的支持者有澳大利亚、新西兰、巴西以及其他14个成员国。反对国则包括比利时、加拿大、法国、德国、意大利、日本以及美国。有一个特点值得注意：7大经济强国中，除了英国，其他6个国家反对通过DIS 17799。

美国对ISO/IEC17799的态度如何？
美国在2000年6月提交的DIS 17799意见中，反对其成为ISO/IEC17799。JTC1以及SC27（第27分委会）的美国技术顾问组（TAG）中的大多数成员可以说代表了美国工业界，虽然美国政府的官方立场还未表达过，但来自商业部（通过NIST）和国防部（通过DISA--国防信息系统局）的美国技术顾问组成员们支持美国代表的立场。现在，美国强烈希望对这篇文档早做大的修改，并希望能正确考虑2000年夏人们提出的那些持反对立场的技术评论。

为什么美国反对ISO/IEC17799？
下面是2000年6月美国代表对17799提出的评论中的主要观点：
  1.当前，尚未看到有任何迫切需要使得必须在一个计算机安全"操作规则"这样一个难以量化的领域中制定国际标准。"操作规则"所涉及的领域最好交由方针文档来处理，比如现有的"ISO13335《IT安全管理方针》（GMITS）"系列。
  2.虽然DIS 17799作为自我评估和改良工具时是很有价值的，但它不能成为一种标准，因为它不包含技术标准所必需的测量精度。
  3.虽然DIS 17799看起来是一篇不错的文档，它描述了一种有用的安全方法，但并不能看出它比其它的"操作规则"--类似的"操作规则"很多，某些也已经是ISO的文档（其它很多则被广泛接受为安全管理文档，包括NIST发布的安全管理文档）--在技术上有何更加合理之处，或更适于提供安全管理的普遍方针。
  4. 很多其它安全管理文档中列出的大量有用的安全管理信息却没有包含在DIS 17799之中，所以如果DIS 17799能成为国际标准的话，它无疑是不全面的，这种不全面已到了使人无法接受的地步。
  5.17799试图成为国际标准的评审时间太短，不足以全面分析其不足。与此对照的是，同样也是讨论安全管理的ISO13335:《IT安全管理方针》系列（第一至第五部分），已经在国际社会中开发了很多年，其间经历了相当多的讨论和评估。

NIST对ISO/IEC17799持什么立场？
NIST一直支持美国代表以前以及现在的立场，JTC1以及SC27的美国技术顾问组中的相当多数美国政府及工业界人士也支持美国代表的立场。
  除了上述的保留意见外，美国代表还觉得ISO/IEC17799太贵了。相反，NIST一直在开发大量非常有用的文档，这些文档能够有效支持一个机构的信息安全项目，但它们是免费的。

  NIST的哪些文档可以用于替代ISO/IEC17799？
  NIST网站上有各类非常有用的安全文档，可见于：
  http://csrc.nist.gov/publications/nistpubs/index.html。
  美国代表认为，在NIST的SP 800系列（Special Publication 800-series）中，下列文档对一个机构的信息安全管理意义很大：
* SP 800-12，《计算机安全手册》（Computer Security Handbook）
* SP 800-14，《公认[安全]原则和操作》（Generally Accepted [Security] Principles & Practices）
* SP 800-18，《安全计划开发指南》，（Guide for Developing Security Plans）
  SP 800系列中，还有些文档也会对信息安全管理有帮助：
* SP 800-23，《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》，（Guide to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products）
* SP 800-26，《IT系统自我评估指南》，（Self-Assessment Guide for IT
Systems）

  还有哪些ISO/IEC文档可以替代ISO/IEC17799？
  ISO/IEC13335《IT安全管理方针》（GMITS）系列用处非常大，可以作为替代。13335分5个部分组成，分别如下：
* ISO/IEC13335-1:1996《IT安全的概念与模型》
* ISO/IEC13335-2:1997《IT安全管理和计划制定》
* ISO/IEC13335-3:1998《IT安全管理技术》
* ISO/IEC13335-4:2000《安全措施的选择》
* ISO/IEC13335-5（目前尚未正式公布）《网络安全管理方针》
  这些文档中，某些正在更新，关于更新的信息可以见于：http://www.ncits.org/tc_home/t4htm/index.htm。

  作为国际标准，ISO/IEC17799目前的情况怎样？
  虽然很多国家将ISO/IEC17799视为合法的国际标准，但也有些国家持不同意见。上面所谈到的那些技术或处理程序方面的抱怨还没有被ISO/IEC的权力机关充分考虑。因此，在当前的情况下，对17799的看法尚未出现一致。
  ISO/IEC JTC1正在对一个得到强有力支持的提议进行投票，该提议希望考虑以前的那些持反对立场的技术性意见，立即开始对17799进行修改。这份提议包括：
* 请求第27分委会（SC27）秘书处在成员国之间发起一次投票信（letter ballot）活动，以征求各成员国对尽早修订17799的支持意见。
* 确保当改写17799时，能够认真考虑加拿大提出的缺陷报告以及其他成员国代表的评论。
* 要求第27分委会秘书处发布组稿号召（call），以及对编辑的提名号召（即SC27发布号召来征集17799改版后的文稿以及号召相关方面对编辑进行提名）。
  也许，只有这一种办法才能够平息人们对17799的争论。值得人兴奋的是，ISO/IEC JTC1 SC27的成员最近批准由来自德国的Oliver Weisman担任提交的17799修订计划的代主编，并且还将在未来通过开放的方式选择一名正式的主编。
  总的来说NIST发布的17799 FAQ为我们更深入地了解17799而提供了宝贵的资料，重要的是，它阐述了几个权威机构对信息安全管理标准的看法--尤其是对于这类管理标准的本质的认识。安全标准的制定是在几个不从层次上展开的--产品、系统、管理等。到目前为止，人们对产品标准的争议一般是围绕具体的测评指标和所参照的评估体系（TCSEC和CC）而展开，但对由不同产品有机组合而成的信息系统的安全标准以及信息安全的管理标准的争议的重点还在方法学上，而且，这些争论在短时间内将不会有确定的结果，待研究的内容还很多。如果不考虑政治或集团利益因素的话，所有的这些争论和研究工作无疑将大大促进信息安全的发展。
  根据英国方面发布的资料，在1999年被调查的1000家公司中，有超过50%的公司已经准备或正在采纳BS7799，超过40%的公司对BS7799在促进商业信息安全、建立信息安全框架方面的作用深信不疑。但BS7799/ISO17799在其他国家中显然没有受到这样热烈的欢迎。原因是很容易从上文看出的。而我们的很多单位却在盲目地摘抄7799/17799,一些媒体甚至曾大力报道我国"成为继英国、瑞典之后，第三个使用BS7799标准进行信息安全管理体系认证的国家，从而使中国的信息安全管理和认证工作，跨入了世界前列"。跨入世界前列是我们希望实现的，但这种跨入却没有丝毫必要去沾沾自喜。也许，对国际信息安全发展形成全面的认识、踏踏实实做好基础性理论研究，形成我们自己的看法，拿出我们自己的东西，才是我们更应该做的。

JiangMin 2006-08-14 14:06 发表评论

解析ISO17799方法

JiangMin — Sun, 13 Aug 2006 12:09:00 GMT

解析ISO17799方法

■ 林祖宁

BS7799/ISO17799目前是建立信息安全体系公认的国际标准，内容涉及信息安全技术、管理和法律问题。依据BS7799/ISO17799的实施原则，企业可以检测、分析和降低信息安全风险。该标准涉及内容颇多，本文约请行业内的专家，提纲挈领地阐述了该国际标准的具体实施步骤，以帮助企业信息安全管理人员建立有效的信息安全管理机制。

1 实施ISO17799前的准备工作

这是成功建立信息安全管理体系的关键，主要包括以下的内容。

（1）企业主要管理人员参与

项目实施的成功需要企业主要管理人员对信息安全管理体系框架及功能的确认、审批，没有主要管理人员的参与，项目的运作可能会遇到困难并可能被无限地延期，主要管理人员包括企业的各个层面：运营、技术、预算等人员。

（2）成立项目管理委员会

委员会中必须有企业的主要管理人员，实施的项目经理必须来自企业的不同管理部门。

项目经理通常是企业负责运营的人并且能把项目放在优先位置上；他必须熟悉实施流程并能把握实施的有效性。在一些大型企业里，首席信息安全官应该担当这个职位。

图1 与项目有关的其他委员会和小组

与项目有关的其他委员会和小组在图1中说明。

在大多数情况下，ISO17799标准在一个企业内部的实施需要企业内各个管理部门的介入，表1列出了ISO17799在实施过程中涉及的企业管理部门。

表1 ISO17799在实施过程中涉及的企业管理部门

2 定义信息安全管理体系（ISMS）

当项目管理委员会成立后，必须立足企业基本情况定义信息安全管理体系框架。安全的范围扩展到整个企业，信息安全管理体系必须在企业管理的控制之下。如果企业不能控制信息安全管理体系，信息安全管理体系就不能有效发挥作用。

（1）定义ISMS

为了能更好更准确地定义企业的ISMS，首先要清晰地定义以下内容。

● 目标：建立ISMS是为了考核企业符合ISO17799标准或企业希望获得BS7799-2审核认证；

● 范围：定义建立ISMS涉及的管理部门、需要采取的措施、措施的优先级别及对部门的重要性；

● 限制条件：ISMS范围限制的定义依据是：企业的特点、企业的地理位置、资产（关键数据的库存）、技术等；

● 界面：企业在建立ISMS时必须考虑企业信息系统同其他系统、其他组织和外部供应者的界面。注意: 在ISMS定义限制中不可能完全包括所有外界提供服务和活动的界面,但在ISMS认证时必须考虑，并应该是企业信息安全风险评估的一部分，例如，向合作方共享计算机、通信系统等设备;

● 依赖关系：ISMS必须遵循特定的安全需求，这些需求可能是法律方面的或是商业方面的，例如：国际医疗组织必须遵循HIPPA；中国必须遵循公安部等级保护制度；

● 例外情况：任何被SGSI定义的要素或域（网络的一部分或管理单元），如果没有进行过安全测试或被安全策略覆盖，必须作出例外说明；

● 组织内容：为满足特定目标在企业环境中实施的加强措施，例如：从企业外部访问内部资源需要采用特殊的安全措施。

（2）获得企业内已经存在的文档资料

为了评估已经实施的安全措施，检查已经存在的文档资料是非常必要的。例如：ISO9000质量管理手册、ISO14001环境管理手册和信息安全策略手册等。涉及到ISMS定义的每个部门的管理人员必须列出在他们部门内与数据安全相关的文档资料库清单。

可能涉及的资料有：

● 安全策略文档资料；

● 策略制定相关的标准和审批手续（管理和技术方面）；

● 风险评估报告；

● 风险处置计划；

● 目前ISMS中存在的信息安全控制和管理方面的说明文档，例如：审计日志、审计跟踪记录、计算机安全事件报告等等。

3 风险评估

（1）为什么要进行风险评估？

无论企业的大小和类型，对所有企业来说，脆弱点的存在都将威胁企业信息的保密性、完整性和可用性。保护措施采取得越及时，安全就变得越有效和廉价。为了更容易定义和选择安全控制措施，以便更好地管理企业人力和财务资源，必须识别目前企业存在的威胁。

（2）初期检测

首先应该根据ISO17799需求的控制点、过程和程序对企业信息安全管理框架状态做一次评估。另外必须提高企业对安全标准和实践（如从每个安全问题的分析中学习）的认识。在ISMS实施前要做调查，而且在实施后也要做调查，目的在于检查原来的漏洞是否弥补，检查改进的程度。需要产生一个ISO17799符合情况报告。

（3）资产定义和评估

信息安全风险评估的初期过程是对企业敏感和关键数据的定义。企业必须对指导业务运营、财务运营和相关市场战略的信息等建立信息库，根据信息和其重要等级做相应的处理（保密、内部使用、公开等等）。

（4）定义和评估环境资产

因为数据是一个无形资产，它必须以有形的形式来掌握、处理、存储、打印、披露和通信。因此，企业的无形资产需要针对CIAL（保密性、完整性、可用性、合法性）进行定义和价值说明。例如：在硬盘中存储的财务数据具有高保密性要求、中等完整性要求和中等可用性要求。

可根据以下内容进行分类：建筑和设备、文档资料、软件、计算机设备、人力资源和服务。

（5）定义和评估威胁和脆弱性

脆弱性可能被威胁利用对数据产生负面影响（如数据信息披露、腐蚀、毁坏、法律纠纷等）。对企业面临的商业约束、地域的法律约束、环境约束都必须作出明确定义。

4 处置风险

当风险已经定义后，必须决定如何管理这些风险。下面的内容可以描述如何管理风险：初始的安全策略；保障需求的等级；风险评估结果；存在的商业、法律和管理规定约束。

（1）通常有四种风险处置的方法

● 降低风险：实施控制措施将风险降低到可接受的等级；

● 接受风险：计算出风险值并知道如何承担风险的后果；

● 回避风险：忽略风险不是正确的解决办法.然而风险可以通过将资产移出风险区域而避免风险发生或完全放弃可能产生安全弱点的商业活动来回避风险；

● 转移风险：通过购买、保险或外包来转移风险。

（2）选择控制项

在大多数情况下，必须选择控制项降低风险。

在完成风险评估之后，企业需要在每一个目标信息环境中，对选择的控制项进行实施，以便遵从ISO17799标准。企业选择能够承受（经济上）防护措施来防护面临的威胁。在最终风险处置计划出来前，企业可以接受或拒绝建议的保护方案。

（3）风险处置计划

风险处置计划包含所有相关信息：管理任务和职责、管理责任人、风险管理的优先等级等等。

对企业来讲，有一些附加控制在标准中没有描述，但也是需要的。一个由外部咨询顾问协助的风险评估会很有帮助。

（4）控制项的实施

现在可以开始实施风险处置计划了。企业应该尽其所能在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如表2所示。

表2 从各个方面采取措施实施控制

（5）控制措施及其定义的原则

● 劝止：降低威胁的可能性；

● 防止：保护或降低资产的脆弱性；

● 纠正：降低风险和影响的损失；

● 检测：检测攻击和安全的脆弱性，针对攻击建立防护和纠正措施；

● 恢复：恢复资源和能力；

● 补偿：对控制措施的替代方案。

应该咨询信息安全专家和法律专家，确保控制措施的选择和实施是正确的。

5 培训和提高意识

确信在ISMS中的企业员工有能力并能保证质量地完成他们的任务。在这种情况下企业要：

● 明确在企业中涉及信息安全工作的人员需要掌握的技术；

● 提供适当的培训，如果必要可以雇佣有经验能够胜任工作的员工；

● 评估培训和培训后工作的有效性；

● 维护每个员工的教育、培训情况，掌握他们的能力、经验和资格。

企业必须确信在ISMS中的相关人员知道达到ISMS目标的方法并知道他们所做的相关信息安全活动的重要性。

开发一个企业内部的信息安全培训计划，教育企业内部员工是很重要的。

企业员工是抵制信息安全侵害的最廉价的代表。通常，他们首先受到信息安全事件影响，能够防止和降低安全事件发生时产生的影响。安全控制中人员因素是非常重要的，其中可以说员工对安全意识的理解尤其重要。认识和报告可能产生安全事故的事件应该成为员工的本能，这也必须成为安全意识培训的目标。员工每时每刻的信息安全意识必将是企业信息资产的最好保护伞。

（1）在开始信息安全意识培训前

要理解提高信息安全意识、培训和教育三者之间的不同，如表3所示。

表3 理解提高信息安全意识、培训和教育的不同

（2）在提高信息安全意识中的一些关键因素

● 建立企业文化，员工在企业环境和文化中得到洗礼；

● 明确企业主管的参与；

● 理解员工在安全方面的重要性；

● 利用企业内部的共同媒介充分利用内部人员的力量：传统的方法有企业网站、内部邮件；

● 挖掘现有的资源；

● 建立策略、流程、表格和相关检查表；

● 定义希望的最终结果：需要撰写的文档、需要编写的手册、编写Email、组织网站内容、定义外部网络资源、确认新老员工能够遵循规则。

（3）在提高意识培训期间

● 定义意识培训计划的目标，目标必须符合企业发展战略。例如：让员工理解安全威胁，使员工能在行动中尽能力保护企业的信息系统。

● 定义企业的目标组（主要的、次要的），例如：普通员工、技术和管理;

● 根据组定义信息的使用；

● 了解企业组织的现状；

● 详细描述计划中要采取的行动；

● 文档资料的分发;

● 策略、标准和流程必须电子化;

● 如果可能为信息安全部门设计一个LOGO（这样可以很快地确定部门的性质）；

● 培训通常内容为：风险、基本原则（介绍、CIA概念、好习惯等）、开发、特殊信息、演示、处理威胁、风险和脆弱性的解决方案、职责，让员工签署保密协议，按年度执行。

（4）意识培训实施以后

● 评估培训的满意度；

● 评估培训的贡献；

● 确认知识得到传递；

● 记录和更新培训后工作中发生的变化和新的措施。

6 审计准备

（1）ISMS符合情况诊断

BS7799-2认证需要对信息安全管理体系实施详细情况的符合性进行证实。完成调查表将有利于搞清企业管理中针对ISMS的开发、控制、检查、维护和改进是不是确实在进行。同时也验证企业管理BS7799-2认证需要文档的能力和履行安全需求要求的能力。

（2）应用状态

在审计前必须总结目前的应用状态。这个文档提供每个ISO1779控制点的应用和不应用的情况，包括在哪里应用及每个控制点的实施状态。

针对控制目标选择、控制点选择和控制地点的选择理由作出简短的解释，包括在ISO17799标准中列出的但被企业拒绝实施的控制措施的理由。

7 审计——BS7799-2认证

BS7799-2的认证目前是完全自愿的。企业如果成功完成BS7799-2认证说明它们具备管理信息安全的能力，能够确保企业的信息安全；而且，这个企业更容易找到合作伙伴和投资人。BS7799-2认证的信誉已经是一个公认的事实，通过认证的企业能够通过信息安全控制措施确保企业信息的安全和保密。

认证机构对企业的ISMS认证不少于两个阶段，除非有可以理解的特殊说明（如对一个很小的组织的认证），认证审计有两个部分。

(1) 文档资料审计

文档资料审计的一个目标是能够让认证机构认识到组织在建立ISMS内容方面的情况包括安全策略、安全目标、风险管理的方法。同时也可以作为下一次审计的参照点并说明企业针对审计所开展准备的情况。

文档资料审计包括文档资料检查，这些工作必须在控制实施审计前完成。审计认证机构必须对ISMS设计和实施相关文档资料做全面的检查，包括：安全策略状态、ISMS的范围定义、ISMS的所有流程和控制支持、风险评估报告、风险处置计划、有关信息安全处理的计划运营和有效控制的流程、ISMS一致和有效运营的确认记录、应用的状态。

文档资料审计结果必须形成报告。报告可以帮助确定什么时候进行下一阶段审计。同时也被用于选择下一步审计小组的成员，这些人掌握技术，能处理ISMS中的特殊情况。在进入到审计的下一个阶段时，认证机构需要通知在控制实施审计阶段需要的特殊文档资料、信息和报告。

（2）控制实施审计

控制实施审计依据文档资料审计报告的结论进行。认证机构根据文档资料审计结论制定审计计划，然后方能开始控制实施审计。审计的地点是企业ISMS实施的地点。

审计包括：

● 确认企业对自己制定安全策略、目标和流程的遵循情况；

● 确认企业ISMS针对BS7799-2要求的符合情况和企业自己制定策略目标的达到情况（检查企业有一个处理系统能满足BS7799 clauses4-7的要求），ISMS的符合性诊断可以利用Callio 17799工具来完成；

● 信息安全相关风险的评估和ISMS的设计结果，包括：风险评估方法、风险定义、风险评估、风险处置、控制目标和风险处置控制的选择、应用状态的准备；

● 检查目标和目标处理的结果；

● 根据目标和预定的结果进行监控、测试、报告和检查。

（3）审计者的报告

认证机构希望公布审计结果的报告和流程可以多样化。包括可以在审计会议上以书面的或口头的形式，在最后审计结束时给出正式的书面报告，报告描述企业是否符合BS7799-2需求。

企业被邀请参与审计报告注释的编写，需要描述他们将要采取的纠正计划，列出在审计期间需要遵循的标准。如果需要重新评估;认证机构必须正式通知企业。

（4）认证决策

认证决策必须由认证机构最后给出。决策的依据是审计过程中收集到的信息和其他相关的信息。参与者的意见不能作为认证决策的意见。

认证企业最终从认证机构那里获得BS7799-2证书。证书中的信息包括认证的范围、认证的有效日期、应用状态的版本说明和认证机构名称、LOGO和认证标志。

（5）再评估和监控流程

认证机构必须对ISMS认证企业进行周期性的监控审计，频率由认证机构把握，通常情况下每六个月做一次，这样的监控和审计的目的是验证企业能够持续地符合认证要求和BS7799-2标准。

ISMS本身的再评估每三年执行一次。因此，企业至少三年要做一次BS7799-2认证。

8 控制持续改善

无论你是否获得BS7799-2认证，最重要的是正式通过ISMS的实施管理体系改善信息安全。检查更新需要定期执行，因为安全是在随时发生变化的。例如：过期的防病毒软件是没有什么用处的。

（1）PDCA管理模式

BS7799-2标准适合Plan-do-Check-Act模式，这样便能同其他ISO标准一致，如ISO9001和ISO14001。

这种模式强调循环的风险管理和持续改善所带来的成就。如图2所示。

图2 PDCA模型

表4是PDCA模型四个阶段的陈述。

表4 PDCA模型的4个阶段解释

（2）持续的改进

在这一点上，启动两个循环步骤：监控和改进ISMS。

● 实施监控程序和其他控制，允许：快速检测处理结果中的错误；根据安全规则快速定义不符合情况，并能及时报告安全事件；确认所有的安全任务无论是个人承担的还是有信息技术部门实施的都在按照计划进行；根据企业确定优先级别和安全规则，定义不符合情况需要采取的行动。

● 基于审计结果、安全事件、关注方提出的建议和意见指导周期性的有效ISMS检查（包括安全目标、安全策略和安全措施）。

● 检查剩余风险和接受风险的等级，并考虑它们发生的变化：组织机构的变化；技术的变化；业务目标和流程的变化；外部事件变化，例如法律、法规和公共观念等。

● 考核ISMS管理规则（至少一年一次），确认ISMS的范围是合适的并有改进意见。ISMS管理检查的更多信息。

● 对可能影响ISMS有效性和执行的活动和事件的关注。

维护和改进ISMS，确定ISMS运营是持续不断的，企业必须：

● 实施定义的改进；

● 采取必要的纠正和防护措施，从企业过去的安全经验或其他经验中学习，收集更多的ISMS改进信息；

● 在协议范围内分享结果；

● 确保针对目标的改进在计划中。

（3）ISMS管理检查

通则：从管理的角度讲必须定期检查ISMS以便确保充分、能力和有效。检查必须为目标和策略变化的改进和评估创造机会。检查的结果必须是文档化的，有记录并妥善保管。

检查的输入：

● ISMS审计和检查结果；

● 关注方提供的共享信息；

● 改善ISMS执行和效率的技术、产品和流程信息；

● 防护和纠正措施的状态；

● 前期风险评估没有关注的威胁和漏洞；

● 前期管理检查的后续活动；

● 影响ISMS的修改；

● 改进建议。

检查的输出：

● ISMS的有效改进工作

● 影响ISMS的内部和外部事件，如：业务需求的变化、安全需求变化、影响目前业务需求的业务流程变化、法律和管理环境变化、风险级别和/或风险接受级别的变化；

● 资源的需求变化。

（4）内部ISMS审计

企业必须定期实施ISMS内部审计，时间应该根据控制目标、控制项、流程和手续来确定。

（5）持续改进

企业通过信息安全策略的落实、安全目标实现、审计结果利用、监控事件的分析、管理检查的安全防范和纠正活动，确保持续改进ISMS的有效性。

（6）纠正活动

企业要采取行动消除实施和运营过程中的不符合结果，防止再次发生错误。纠正措施必须包括下面信息：

● 定义实施和运营中的不符合部分；

● 定义不符合的原因；

● 确定消除重新发生需要采取的行动；

● 定义和实施需要采取的纠正措施。

（7）防护措施

企业必须对未来可能发生的不符合情况采取措施并防止再次发生。防护措施对潜在的不符合影响是合适的。防护措施的流程应该包括如下信息：

● 定义潜在的不符合情况及原因；

● 定义和实施需要的防护措施；

● 获得纠正措施的结果；

● 检查防护措施；

● 风险发展的定义和描述控制风险的步骤。

（8）记录控制

记录的创建和保存是企业符合ISMS需求和有效运营的证据。记录需要控制，必须考虑相关的法律。记录必须是合法的、可辨别的和可访问的。控制需要明确定义，存储、保护、访问、保存时间和记录放置必须文档化。必须对记录的范围和需求做管理规定。

流程处理和相关安全事件需要记录，如：访问者的签名记录、审计报告、访问授权请求，等等。

（本文作者为北京思源新创信息安全资讯有限公司信息安全高级咨询专家）

（计算机世界报 2005年09月05日第34期 D8、D9、D10）

JiangMin 2006-08-13 20:09 发表评论