笔记-信息安全管理-11.2 监理在信息安全管理中的作用
11.2 监理在信息安全管理中的作用
监理在信息系统安全管理的作用如下:
(1)保证建设单位在信息系统工程项目过程中,保证信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突;
(2)在成本控制的前提下,确保信息系统安全设计上没有漏洞;
(3)督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理,建立安全意识;
(4)监督承建单位按照技术标准和建设方案施工,检查承建单位是否存在设计过程中非安全隐患行为或现象等,确保整个项目建设过程中的安全建设和安全应用。
11.2.1 监理督促建设单位进行信息安全管理的教育
为了保证信息系统安全,我们要防范计算机犯罪,需要从技术、法律、管理和教育等几方面着手。信息系统安全教育是建设单位或承建单位保证信息系统安全的重要组成部分,是信息安全体系建设不可缺少的一项重要工作内容。
安全观念先行,抓好安全教育是增强人们安全意识、提高人员安全素质的有效方法,是做好信息系统安全的基础。众所周知,信息系统是人建造的,是为人服务的,除了少数难以预知和抗拒的天灾,很多灾害都是人为的。人,始终是信息系统安全工作的核心因素。所以,增强对人的信息系统安全意识教育是信息系统安全体系中的重中之重。
1. 教育的特点和对象
1)信息系统安全教育的特点
(1)信息系统安全教育是涉及自然科学和社会科学的多学科方面。
目前其教育所涉及的主要有:计算机硬件、计算机软件、电磁泄漏和屏蔽、通信、密码学、电磁材料、工程生理学、管理学、社会心理学、法学、审计学和安全保卫等。
(2)信息系统安全教育是一种特殊教育。
人们很容易忽视下列现象:对计算机病毒的分析、防治,病毒的制造与传播,同时对于病毒在技术上并无确定界限;会加密,同时也具备破译的条件;掌握加密技术的人员给信息系统安全管理工作增加了一份力量;反过来,也可以认为是多了一份信息系统安全的潜在威胁。由此决定了信息系统安全教育不能是任何单位与个人都可以进行的,必须在有关部门统一管理下,目标明确,有领导、有组织、有计划、有步骤地开展。包括在教育的形式上,如安全技术专业的设置、课程的开设、培训班的开办等。一哄而上,良荞不分,会给社会信息系统安全体系增加极大的潜在威胁。
2)信息系统安全教育的对象
凡是与信息系统安全有关的所有人员都可以列为信息系统安全教育的对象:
- 领导与管理人员
- 计算机工程人员,包括研究开发人员和维护应用人员
- 计算机厂商的有关人员
- 一般用户
- 计算机安全管理部门的工作人员
- 法律工作人员
- 其他有关人员
2. 教育的主要内容
信息系统安全教育的内容比较多,主要包括法规教育、安全基础知识教育和职业道德教育。
1)法规教育
在现代社会中,计算机的社会化程度正在迅速提高。一方面大量与国计民生、国家安全有关的重要数据信息,迅速地向信息系统集中,并被广泛地用于各个领域。另一方面,计算机系统又处在高科技下非法的以至敌对的渗透、窃取、篡改或破坏的复杂环境中,面临着计算机犯罪、攻击和计算机故障的威胁。事实上,计算机的脆弱性所导致的诈骗犯罪,己经给信息化发达国家和公众带来严重损失和危害,成为社会关注的焦点。因此,许多国家在走过一段弯路后,都纷纷采取技术、行政和法律措施,加强对计算机的安全保护,至今己有许多国家制定了计算机安全法准则。
法规教育是信息系统安全教育的关键环节。无论是作为一名计算机工作人员,还是国家公务员,都应该接受信息系统安全法规教育并熟知有关章节的要点。因为法规是我们保证信息系统安全的准则。
2)安全基础知识
安全基础知识教育包括网络安全教育、运行安全教育、实体安全教育、安全技术基础知识等。
(1)安全技术教育
熟练掌握使用一般的安全工具;了解计算机的硬件参数与软件参数、一般信息系统的薄弱点和风险等。
(2)网络安全教育
熟练掌握计算机网络安全方法学、可信网络指导标准、网络安全模型、计算机网络安全设计方法。
(3)运行安全教育
保障信息系统功能的实现,提供一套安全措施来保护信息处理过程的安全。运行安全教育应该了解:信息系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障的维修、风险分析、应急、恢复与备份。
(4)实体安全教育
保护信息、系统设备、设施以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施。实体安全教育应该了解计算机机房的安全技术要求、实体访问控制、计算机系统的静电防护等。
3)职业道德教育
道德是社会意识形式之一,是一定社会条件下,调整人与人之间以及个人和社会之间的关系的行为规范的总和。
道德属于形态范畴,它是人们的信念或信仰,也是规范行为的准则。全社会良好的道德规范是文明社会的标志之一。道德与法律不同,法律对人们行为的判定只有违法和不违法,而不违法的行为视为正确。法律适合于每一个人,是强制执行,尽管某人可能不同意某一法律工作条文,但必须按照法律的要求去做。法律不可能规定所有符合社会的准则,也不可能处理所有不符合社会行为的事件。而道德是一种人们行为正确和错误的客观标准,社会根据伦理道德标准,规定可接受的行为准则并由社会舆论来监督执行职业道德。首先,应尊重事实,任何不确定的情况应首先了解清楚;其次,所遵循的职业准则应包括诚实、努力工作、适当补偿、尊重隐私权等内容;最后,种种道德准则在特定的情况下会有冲突,有时需要比较、分析而坚持最合理的准则。计算机人员要加强思想道德修养教育,提高其思想认识水平;树立为客户服务,为社会做贡献的思想观念。
法律虽然规定了对社会公物破坏者行为的制裁,但仅仅依靠法律的力量不是惟一的解决办法。重要的是信息系统工程的行业人员和社会都能普遍地认识到安全管理的重要性。从事信息系统工程建设和应用的企业或政府部门要鼓励其员工培养认真、负责的职业作风,道德标准和责任心问题必须寓于教育体系中,尤其在计算机安全教育课程中加以强调。
11.2.2 监理督促建设单位进行信息安全规划
监理工程师有义务建议建设单位在信息系统安全管理上有应对的措施和规划,在制定信息安全规划方面,应建议建设单位从以下几个方面进行。
1. 人员安全管理
任何系统都是由人来控制的,除了对于重要岗位的工作人员要进行审查之外,建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中,监理工程师要建议建设单位遵循以下原则:
(1)授权最小化。只授予操作人员为完成本职工作所必需的最小授权,包括对数据文件的访问、计算机和外设的使用等。
(2)授权分散化。对于关键的任务必须在功能上进行划分,由多人共同承担,保证没有任何个人具有完成任务的全部授权或信息。
(3)授权规范化。建立申请、建立、发出和关闭用户授权的严格的制度,以及管理和监督用户操作责任的机制。
2. 物理与环境保护
对物理与环境保护,监理工程师要建议建设单位主要从以下几个方面考虑:
(1)物理访问控制。在重要区域限制人员的进出。重要区域不仅包括机房,也应包括能够接触到内部网络的区域,供电系统备份介质存放的地点等。
(2)建筑物安全。要考虑建筑物防火、地震、漏水等造成的风险。
(3)公用设施的保证。为了使系统能够不间断地提供服务及硬件设备不受损害,评价供电、供水、空调等设施的可用性,并提出相应的措施。
(4)数据安全。数据泄露一般有三种途径:直接获取,在传输中截获,通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度,如果其中保存了敏感数据应进行加密,避免丢失或被盗时造成数据泄露。
3. 输入/输出控制
监理工程师要建议、提醒建设单位对系统的输入/输出信息或介质必须建立管理制度,只有经过授权的人员方可提供或获得系统的输入/输出信息。
4. 制定突发事件的应急计划
监理工程师要建议、提醒建设单位必须针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。
5. 应用软件维护控制
在应用软件的维护过程中,监理工程师要建议、提醒建设单位需要对所使用的商业软件的版权、来源,应用软件的文档在维护过程是否修改,测试数据的产生与测试结果,是否留有软件测试所建立的后门或热键等问题进行规划和评估。
6. 数据完整性与有效性控制
数据完整性与有效性控制要保证数据不被更改和破坏。监理工程师要建议、提醒建设单位需要规划和评估的内容包括:系统的备份与恢复措施;计算机病毒的防范与检测制度;是否有实时监控系统日志文件、记录与系统可用性相关的问题,如对系统的主动攻击,处理速度下降和异常停机等。
7. 文档管理
监理工程师要建议、提醒建设单位文档管理对信息安全管理文档的协同性的重要,文档是信息安全管理的一部分。文档在安全管理中用于说明系统的工作机制,并且规范系统的安全与操作的特定过程。系统文档包括软件、硬件、政策、标准、过程的描述,以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施、突发事件对策以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调,以保证运行管理与操作的一致性。
8. 安全教育与培训
监理要建议、提醒建设单位必须建立定期进行信息系统的安全教育与培训的制度,对于与重要应用系统相关的工作人员还应以多种方式,针对特定系统进行安全教育与培训。
11.2.3 安全管理制度与监理实施
通常情况下信息系统实施安全管理的有关制度包括:
(1)计算机信息网络系统出入管理制度;
(2)计算机信息网络系统各工作岗位的工作职责、操作规程;
(3)计算机信息网络系统升级、维护制度;
(4)计算机信息网络系统工作人员人事管理制度;
(5)计算机信息网络系统安全检查制度;
(6)计算机信息网络系统应急制度:
(7)计算机信息网络系统信息资料处理制度;
(8)计算机信息网络系统工作人员安全教育、培训制度;
(9)计算机信息网络系统工作人员循环任职、强制休假制度等。
这里,不但要意识到制度的重要性,更要意识到制度的执行和执行程度的重要性。制度本身具备约束、限制的作用,但在执行过程中如何坚决的执行制度,这需要建设单位、监理、承建单位三方人员共同遵照执行,而不只是建设单位制定出来就万事大吉。执行到什么程度,是否严格地遵照各个条款做到位了,是保证信息系统工程建设过程中,乃至应用过程中安全管理成功实施的关键所在。
作为信息系统工程监理,在进行信息系统工程安全管理方面,要树立这样一个思想:监理不但有责任协助建设单位制定安全管理制度,也有义务建议建设单位遵照制度执行,并养成一种职业习惯,确保整个项目建设实施和应用过程中的信息系统安全;同时,监理也要严格自律,在项目建设过程中,按照建设单位的有关制度和规章要求,遵照执行;另外,监理也要协助建设单位,严格要求承建单位和其他有关单位或人员,在项目建设过程中,按照建设单位的有关制度和规章要求,遵照执行。只有三方共同遵守制度的要求做到位了,才能保证信息系统工程建设的安全管理工作的有效成果。这个意识要让建设单位理解,更要让承建单位知道,同时,监理自己一定要以身作则。