免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2010年上半年 信息系统项目管理师 上午试卷 综合知识
  第18题      
  知识点:   信息安全系统和安全体系   安全管理   管理流程   管理体系   信息安全   信息安全管理   信息安全管理体系
  关键词:   安全管理体系   信息安全管理   安全   安全管理   信息安全        章/节:   信息安全系统工程       

 
在构建信息安全管理体系中,应建立起一套动态闭环的管理流程,这套流程指的是(18)。
 
 
  A.  评估—响应—防护—评估
 
  B.  检测—分析—防护—检测
 
  C.  评估—防护—响应—评估
 
  D.  检测—评估—防护—检测
 
 
 

 
  第17题    2014年下半年  
   39%
某信息系统采用了基于角色的访问机制,其角色的权限是由()决定的。
  第18题    2012年下半年  
   58%
关于入侵检测系统(IDS),下面说法不正确的是(18)。
  第15题    2013年下半年  
   64%
以下针对信息系统安全的说法中,(15)是错误的。
   知识点讲解    
   · 信息安全系统和安全体系    · 安全管理    · 管理流程    · 管理体系    · 信息安全    · 信息安全管理    · 信息安全管理体系
 
       信息安全系统和安全体系
        信息安全系统三维空间
        信息安全系统的三维空间中,X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”。
        安全空间的5大属性,即安全五要素为认证、权限、完整、加密和不可否认。
        1.OSI网络参考模型
        OSI七层结构从上到下分别为:
        .应用层:向应用程序提供服务。
        .表示层:为不同的用户端提供数据和信息的语法转换内码。
        .会话层:建立和维持会话,并能使会话获得同步。
        .传输层:源端到目的端对数据传送进行控制。
        .网络层:建立网络连接和为上层提供服务。
        .数据链路层:为网络层提供数据传送服务。
        .物理层:定义了所有电子及物理设备的规范,传输透明比特流。
        
        2.安全机制
        安全机制体系包括:
        .基础设施实体安全:机房、场地、设施、动力系统等的安全,灾难预防与恢复。
        .平台安全:操作系统、网络基础设施、通用基础应用程序的漏洞检测与修复以及网络安全产品部署。
        .数据安全:介质与载体安全保护、数据访问控制、数据完整性和可用性、数据监控和审计以及数据存储与备份安全。
        .通信安全:通信线路和网络基础设施的安全、网络协议安全、通信加密软件等。
        .应用安全:业务软件的安全性,业务资源的访问,业务数据的保密性、一致性,业务系统的可靠性、可用性等。
        .运行安全:应急处理机制、网络安全产品运行监测等。
        .管理安全:人员管理、培训管理、应用系统管理、软件管理、设备管理等。
        .授权和审计安全:向用户和应用程序提供权限管理和授权服务以及进行安全方面的审计。
        .安全防范体系:可发挥预警、保护、检测、反应、恢复和反击6项能力。
        3.安全服务
        安全服务包括:
        .对等实体认证服务:用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒。
        .数据保密服务:可提供链接方式和无链接方式两种数据保密,同时也可对用户可选字段的数据进行保护。
        .数据完整性服务:用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
        .数据源点认证服务:用于确保数据发自真正的源点,防止假冒。
        .禁止否认服务:防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据,由不得否认发送和不得否认接收两种服务组成。
        .犯罪证据提供服务:审计及使用历史数据进行取证、分析。
        4.安全技术
        安全技术包括:
        .加密技术:确保数据安全性的基本方法。
        .数字签名技术:确保数据真实性的基本方法,数字签名具有解决收发双方纠纷的能力。
        .访问控制技术:按事先确定的规则决定主体对客体的访问是否合法。
        .数据完整性技术:通过纠错编码和差错控制来应对信道干扰,通过报文认证来应对非法入侵者的主动攻击,通过病毒实时监测来应对计算机病毒。
        .认证技术:计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术。
        .数据挖掘技术:是及早发现隐患、将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系的重要技术。
        信息安全系统架构体系
        信息安全保障系统有3种不同的架构:MIS+S系统、S-MIS系统和S2-MIS系统。
        1.MIS+S系统
        MIS+S系统也称为“初级信息安全保障系统”或“基本信息安全保障系统”。这种系统的特点如下:
        .业务应用系统基本不变。
        .硬件和系统软件通用。
        .安全设备基本不带密码。
        2.S-MIS系统
        S-MIS系统也称为“标准信息安全保障系统”,它是建立在世界公认的PKI/CA标准的信息安全基础设施上的。这种系统的特点如下:
        .硬件和系统软件通用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。业务应用系统是必须按照PKI/CA的标准重新编制的“全新”的安全业务应用信息系统。
        .主要的通用硬件、软件也要通过PKI/CA认证。
        3.S2-MIS系统
        S2-MIS系统也称为“超安全的信息安全保障系统”,它是建立在“绝对”安全的信息安全基础设施上的,不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专有的安全产品。这种系统的特点如下:
        .硬件和系统软件都专用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。
        .主要的通用硬件、软件要通过PKI/CA认证。
        信息安全保障系统定义
        信息安全保障系统是一个在网络上集成各种硬件、软件和密码设备,以保障其他业务应用系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
        信息安全保障系统是业务应用信息系统成熟发展到一定阶段的必然结果。信息安全保障系统的核心就是保证信息、数据的安全。
        按照信息安全保障的定义,对MIS+S、S-MIS和S2-MIS体系结构的理解有:
        .MIS+S是一个初步的、低级的信息安全保障系统,它是在已有的业务应用信息系统基础不变的情况下,为防止病毒、黑客等增加一些安全措施和安全防范设备,如防火墙、防病毒、物力隔离卡、网闸、漏洞扫描、黑客防范、动态口令卡和VPN等。这些只能在局部或某个方面提高业务应用信息系统的安全强度,但不能从根本上解决业务应用信息系统的安全问题,尤其不能胜任电子商务、电子政务等实际需要解决的安全问题。
        .S-MIS将业务应用信息系统直接建立在PKI/CA的安全基础设施上,并且主要的硬件和系统软件需要PKI/CA认证。借助PKI/CA安全基础设施,业务应用信息系统能真正“以我为主”、“以安全为主”掌控计算机的硬件、系统软件、人员、数据和应用系统的方方面面。再加上与MIS+S同样的外围安全措施和安全防范设备,获得从里到外的安全保护,因此成为标准的业务应用信息系统的信息安全保障系统。
        .S2-MIS基本与S-MIS相同,只是系统硬件和系统软件都是专用的,从而增加了整个系统的安全强度。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       管理流程
        信息系统软件交付之后就进入了运维阶段,该阶段短则4~5年,长则可达10年以上。运维的目的是保证信息系统软件能正常而可靠地运行,并能使系统不断得到改善和提高,以充分发挥作用。运维的过程也就是不断满足用户各种维护需求的过程。用户的维护需求是不断变化的,所以需要持续地对信息系统软件进行修改和维护。这一过程从本质上来说是一个P、D、C、A(P-Plan,策划;D-Do,实施;C-Check,检查;A-Act,处理)循环,不停顿地周而复始地运转。按照戴明质量控制理论,信息系统软件运维的管理流程如下图所示。
        
        信息系统软件运维管理流程
        信息系统软件运维服务的四个关键要素是:人员、资源、技术和过程,每个要素通过关键指标反映运维服务的能力。在运维服务提供过程中,通过应用PDCA的方法论,在运维的策划、实施、检查、改进等不同阶段,通过对人员、资源、技术和过程四个服务要素的统一管理,来实现运维服务能力的持续提升。
 
       管理体系
        灾备管理体系主要是指组织机构的各个层面,在日常状态和灾难状态下的各种管理工作,至少包括以下5个方面。
        (1)灾难恢复组织机构。商业银行应结合本行机构设置的具体情况,设立灾难恢复组织机构,包括灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职,关键岗位的人员应有备份。商业银行可以参考《JR/T0044 2008银行业信息系统灾难恢复管理规范》,设置灾难恢复组织机构,包括决策层、管理层和执行层,各层之间分工明确、职责清晰。
        (2)岗位与培训管理。灾备中心的应急生产岗位应与生产中心对等,只不过可以按照人员复用的原则,由灾备管理人员、开发测试人员或系统运维人员专职或兼职担任。对不同层次、不同部门的岗位,在灾难恢复策略规划、系统建设与运维、预案制定、演练和更新维护等不同阶段,应按照不同的培训目标,安排不同的培训计划。
        (3)灾难恢复预案管理与演练。灾难恢复预案要长期保持有效性,必须在灾难恢复策略发生变化、演练发现问题、生产系统发生变更、人员出现调整等情况下,及时修订维护预案,做好变更管理、版本管理,以及发布管理等,确保合适的人员及时获得最准确、最合适的信息。演练验证灾难恢复预案有效性的最佳手段。演练管理就是要对演练的计划、场景、人员、过程、总结评估和后续完善调整等进行全面管理,通过演练来培养灾难恢复团队面对复杂环境的信心和冷静心态,验证灾难恢复能力,改进灾难恢复流程,发现并纠正灾备体系中的缺陷。
        (4)灾备中心日常运维、灾难响应与重续运行管理。灾备中心应随时做好接替生产中心的准备,因此,必须像生产中心一样,对灾备中心的系统、网络和环境等基础资源进行运行维护,按照备份策略按时完成数据备份,完成灾备系统与生产系统的同步。当灾难发生后,灾难恢复组织机构的各层人员立即响应,在指挥报告、协调、联络、保障等工作机制的保障下,按照灾难恢复流程步骤,一步步地恢复信息系统及其支撑的关键业务功能。在生产系统成功切换到灾备中心运行后,要按照生产中心的规章制度、操作流程、技术规范来管理,保障生产系统安全稳定运行,直至生产中心重建并恢复了生产运行能力。
        (5)外部资源管理。外部资源主要指商业银行的合作伙伴、服务商、设备商和外协人员等。当发生灾难时,可能需要这些外部资源的支持才能完成灾难恢复,比如,从设备供应商紧急采购灾备生产设备,从电信运营服务商紧急租用通信线路,从银联借调交易流水等。因此,需要与这些外部资源建立日常联系或签订协议,并不定期地测试其支持能力,以保证在灾难恢复期间,外部资源可以提供有效的支持。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
 
       信息安全管理体系
        发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即:British Standard 7799信息安全管理体系(ISO/IEC 17799)指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术+人+制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。
        British Standard 7799提出的信息管理过程如下。
        确定信息安全管理方针和信息安全管理体系的范围。
        进行风险分析。
        根据风险分析,建立信息安全管理体系(制度和技术体系)。
        建立业务持续计划并实施安全管理体系。
        企业应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的回馈流程和制度。为确保信息系统的安全,必须从管理角度确定应采取的主要控制方法和措施,并将管理要求落实。
               确定信息安全管理方针和信息安全管理体系的范围
               信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。
               进行风险分析
               信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
               在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
               组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
               根据风险分析,建立信息安全管理体系(制度和技术体系)
               管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量(如商誉的损失等)。由于信息安全是一个动态的系统工程,组织应时时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
               准备信息安全适用性申明:信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
               信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施。一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。
               安防制度是安全防护体系的基础。安防制度是这样一份或一套文档:它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标,它在企业里起的作用主要有3点。
               明确员工的法律责任;
               对保密信息和无形资产加以保护,使之免于盗窃、误用、非授权公开或修改;
               防止浪费企业的计算机资源。
               写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布,正式发布的规章制度才能作为法律证据。
               规章制度的生命周期(即制度的制定→推行→监督实施)是在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们,不要弄得过于复杂。规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配,对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格,安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复进行,必须要确保它们能够跟上企业的发展和变化。
               规章制度的制定,从全局的角度看,规章制度的制定工作包括以下几个方面:明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权利和义务。也可以以British Standard 7799信息安全管理体系(ISO/IEC 17799)为蓝本,这套标准把安防制度分为十大部分,内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用如下。
               (1)商务活动减灾恢复计划。从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。
               (2)系统访问权限控制。
               对信息的访问加以控制。
               防止出现针对信息系统的非授权访问。
               保护网络上的服务切实有效。
               防止出现计算机硬件设备的非授权访问。
               检测有无非授权访问。
               保证人员旅行时或电信线路上的信息安全。
               (3)系统开发和维护。
               确保可以让人们操控的系统上都已建好安全防护措施。
               防止应用系统里出现用户数据的丢失、修改和滥用现象。
               保护信息的保密性。与用户身份的对应性和完整性。
               确保IT项目及其支持性活动以一种受保护的方式来开发进行。
               维护应用系统中的软件和数据的安全性。
               (4)物理和环境的安防考虑。
               防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。
               防止企业资产出现丢失、损坏、不正当使用,防止业务活动出现中断。
               防止信息和信息处理设备的不正当使用和盗窃。
               (5)遵守法律和规定。
               避免违反一切刑事和民事法律。
               避免违反法令性、政策性及合同性义务。
               避免违反安防制度要求。
               保证企业的安防制度符合国际、国内的相关标准。
               最大限度地发挥企业监督机制的效能,减少它带来的不便。
               (6)人为因素的安防考虑。
               减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险。
               确保用户明白信息安全方面的威胁和关注重点,在其日常工作过程中懂得使用必要的设备来支持公司的安防制度。
               把安防事故和意外的损失减少到最小,并从这类事件中吸取教训。
               (7)企业组织的安防考虑。
               加强企业内部的信息安防管理。
               对允许第三方访问的企业信息处理设备和信息资产进行安全防护。
               对外包给其他公司信息处理业务所涉及的信息进行安全防护。
               (8)计算机和网络管理。
               确保对信息处理设备的操作是正确和安全的。
               减少系统故障方面的风险。
               保护软件和信息的完整性。
               注意维护在处理和通信过程中的完整性和可用性。
               确保网上信息的安防监控以及相关支持体系的安全防护。
               防止出现损坏企业资产和中断公司业务活动的行为。
               防止企业之间的交流信息被丢失、修改或滥用。
               (9)资产分类和控制。
               对公司资产加以适当的保护措施,确保无形资产都能得到足够级别的保护。
               (10)安防制度。
               提供信息安防方面的管理方针和支持服务。
               严格的信息安防制度必须包括以下几项重点内容。
               必须有明晰信息所有权的条款。
               必须规定员工/用户在保护信息资产方面的责任。
               必须制定出对不遵守制度现象的惩罚措施。
               为避免出现漏洞而给出了以下几条建议。
               在制定信息安防制度时要注意考虑企业文化,许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。
               规章制度必须有现实意义,必须由管理层明确签发——在正式发布规章制度之前,应该先调查清楚用户对这套制度的接受程度如何,还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用。要想让员工自觉地遵守规章制度,就必须先把制定规章制度的道理向他们讲清楚。举办学习会,在会上宣布开始执行这套规章制度,并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候,必须写明其监督实施办法,制定出正式执行这套规章制度的时间表。要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚,这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品,甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制,必须有对不遵守现象的纪律处罚手段,为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象,安防制度里必须有相应的监督实施办法,企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查,就必须有一个定期的常规检查计划——对恶性事故的原因和责任必须做正式的追查;违反规定的行为要视情节轻重进行处罚;纪律面前,人人平等,事故处理办法里应该说明怎样来调查和收集证据,在什么情况下需要提请司法机关介入。最后,应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流,让他们了解制度的执行情况,支持你的工作。要想制定出一套成功的信息安防制度,其关键在于以下几个问题的答案:员工理解正确使用情况和不正确使用情况之间的区别吗?对明显违反制度的行为,员工会报告吗?对明显违反制度的行为,员工知道应该怎样报告吗?
               以下内容是安防制度里的几个重要组成部分。
               计算机上机管理制度。计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在计算机里的信息资料,这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题。
               用户能否查阅和复制自己有访问权但不属于他们的文件。
               用户能否修改自己有写权限但不属于他们的文件。
               用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人。
               用户能否使用.rhosts文件。可以设置使用哪几个数据项。
               用户能否共享账户。
               用户账户管理制度。用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。用户账户管理制度需要问答以下几个问题。
               谁有权批准开设账户的申请?
               谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源?
               用户能否在一个系统上开设多个账户?
               用户能否共享账户?
               用户都有哪些权利和义务?
               账户都会在什么时候被禁用和归档?
               远程访问管理制度。远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题。
               哪些人有权使用远程访问服务?
               公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号)?
               内部网络上是否允许使用向外拨号的调制解调器?
               远程系统上有没有额外的使用要求——比如强制性的杀毒软件和安防软件?
               员工家庭里的其他成员能否使用公司的网络?
               对被远程访问的数据是否有限制?
               信息保护管理制度。信息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法。这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题。
               信息的敏感级别是如何设定的?
               哪些人可以访问到敏感的信息?
               敏感信息是如何保存和传输的?
               哪个级别敏感信息允许在公共打印机上打印出来?
               如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)?
               防火墙管理制度。防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置时的审批手续,这项制度需要问答以下几个问题。
               哪些人有防火墙系统的访问权?
               如果需要改变防火墙的配置情况,需要向谁提出申请?
               如果需要改变防火墙的配置情况,申请将由谁来批准?
               哪些人可以看到防火墙的配置规则和它的访问清单?
               防火墙配置情况的检查周期是多长时间?
               特殊访问权限管理制度。特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题。
               特殊访问权限需要向谁提出申请?
               特殊访问权限需要由谁来批准?
               特殊访问权限的口令字规则是什么?
               多长时间改变一次口令?
               什么理由或情况会导致用户的特殊访问权限被取消?
               网络连接设备管理制度。网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题。
               哪些人有权在网络上安装设备?
               安装新设备需要由谁来批准?
               安装新设备时应该通知哪些人?
               网络设备的增减情况由谁来记录?
               对网络上新增加的设备有没有安防要求?
               商业伙伴管理制度。商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题。
               是否要求每一个商业伙伴公司都必须有一份书面的安防制度?
               是否要求每一个商业伙伴公司都必须有个防火墙或其他网络边界安防设备?
               通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线等)?
               如果想访问商业伙伴的信息资源,应该如何提出申请?
               其他重要规定。你可能还需要制定其他几项规章制度,比如说:
               无线网络管理制度——帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪些安防措施,等等;
               实验室管理制度——如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的因特网连接,使它与公司内部的业务网络没有什么连接通路。
               个人数字助理(PDA)管理制度——这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。
               顾客管理制度。有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。
               信息安全管理系统基本技术框架。面向数据的安全概念是数据的保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。
               信息安全管理系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库;其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。
               基本安全环节。用户身份标识和鉴别。计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。
               身份鉴别可以是只对主体进行鉴别,某些情况下,则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素:你知道什么(秘密的口令)、你拥有什么(令牌或密钥)、你是谁(生理特征)。
               仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险,包括利用字典的口令破解;冒充合法计算机的登录程序欺骗登录者泄露口令等。
               任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式,这种方式在检查用户口令的同时,验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令,通过与验证方同步获得验证。
               基于生理特征的验证是一项始终处于研究阶段的技术,验证的依据种类繁多,常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵,并且出错率和性能还没有被广泛认可。
               访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。
               自主访问控制(DAC)是商用系统中最常见的一种类型,UNIX和NT操作系统都使用DAC。在基于DAC的系统中,主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。
               强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性,而且这些安全属性不像由客体拥有者制定的ACL(访问控制列表)那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
               审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。
               上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。
               对基本安全环节的增强机制。可以采取一些可行的技术手段以强化基本安全机制的作用,这些手段如下。
               在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。
               在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。
               独立的网络和主机审计系统。
               利用密码技术建立的身份鉴别体系:基于公钥算法和PKI的认证系统。
               扩充的安全机制。这些安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
               (1)安全审核。其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作,通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的,典型的产品如网络扫描器。
               (2)实时监控。实时监控系统依据系统积累的关于异常和入侵的知识(一组行为模式),实时监控系统中的事件,并可以在发生危害系统的事件发生时,产生预先定义的动作,终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识,并对典型行为敏感,因而又被称为“入侵检测”。它强化了系统中的访问控制(产生动作)和审计机制(记录危险事件)。
               (3)防病毒。防病毒系统利用病毒的已知特征发现病毒,并将其从系统中清除。
               (4)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
               (5)安全系统的灾难恢复。数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份,那么在系统出现故障时,仍然能保证重要数据准确无误。
               以上介绍的这些技术环节,有些是基本的,有些则并不一定都要部署,企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。
               建立业务持续计划并实施安全管理体系
               信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
               在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等。文档可以按各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。
               组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。
               必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。
               信息安全管理体系标准(如BS 7799国际信息安全管理标准体系)毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
   题号导航      2010年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第18题    在手机中做本题