信息安全管理
信息安全比较明确的定义是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或恶意的侵犯而遭受破坏、更改和泄露;保证信息系统中信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、不可否认性(Non-Repudiability)、可控性(Controllability)、真实性(Authenticity)和有效性等计算机软硬件技术、网络技术、密码技术等
信息安全的构建是一个系统工程
密码管理
“统一领导,集中管理,定点研制,专控经营,满足使用”的20字方针
国家密码管理局于2006年1月6日发布公告,公布了“无线局域网产品须使用的系列密码算法”,
包括:
对称密码算法:SMS4;
签名算法:ECDSA;
密钥协商算法:ECDH;
杂凑算法:SHA-256;
随机数生成算法:自行选择。
网络管理
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。
防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。
网络管理体系结构应该包括以下四个方面:
(1)协议:以SNMP为主。因为SNMP属于应用层,因而可方便的支持全网性远程管理,前提是物理上的可达性。
(2)表示:使用面向对象式的表示方法,例如SNMP所使用的ASN.1定义方法,用于定义管理对象库(MIB),并需针对新的管理需求(如业务管理)定义新的MIB库。
(3)安全:管理者和被管理者之间要有认证和加密协议,管理和被管理对象之间一定要建立安全联系,保证管理动作万无一失。
(4)对象:包括设备、各种协议、业务和交易过程。这将是管理的目标所在。网管的目的不仅在于提供网络单元和网络功能的透明性,更重要的是,使得网络各组成部分协调统一地支持用户需求和各种业务。这部分工作有两个方面:其一是定义被管对象的属性及其操作方法,其二是对其进行表示化工作。这很像是对网络进行面向对象的分析和设计。
在一个网络管理体系的四个部分,即:被管理对象本身、被管理对象的表示方法、管理协议和上层管理操作中,被管理信息的表示方法和网络管理通信协议是最容易做到标准化的,发展变化余量较小;被管理对象和管理操作虽然可以部分做到标准化,但受具体网络技术和业务、政策的影响比较大,总是处于变化之中。
网络管理的4个确定性特征是:统一化、智能化、安全化和主动化。
网络管理的多个发展方向:网管系统、应用性能管理、桌面管理、员工行为管理、安全管理
网管系统
主要是针对网络设备进行监测、配置和故障诊断。
主要功能有自动拓扑发现、远程配置、性能参数检测、故障诊断
通用软件供应商开发的NMS系统是针对各个厂商网络设备的通用网管系统
应用性能管理
主要指对企业的关键业务应用进行检测、优化,提高企业应用的可靠性和质量,保证用户得到良好的服务,降低IT总拥有成本。
应用性能管理主要功能如下:
监测企业关键应用性能:
过去,企业的IT部门在测量系统性能时,一般重点测量为最终用户提供服务的硬件组件的利用率,如CPU利用率以及通过网络传输的字节数。虽然这种方法也提供了一些宝贵的信息,但却忽视了最重要的因素————最终用户的响应时间。现在通过事务处理过程监测、模拟等手段可真实测量用户响应时间,此外可以报告谁正在使用某一应用、该应用的使用频率以及用户所进行的事务处理过程是否成功完成。
快速定位应用系统性能故障:
通过对应用系统各个组件(数据库、中间件)的监测,迅速定位系统故障,如发生数据库死锁等问题。
优化系统性能:
精确分析系统各个组建占用系统资源情况,中间件、数据库执行效率,根据应用系统性能要求提出专家建议,保证应用在整个寿命周期内使用的系统资源要求最少,节约IT总拥有成本。
桌面管理系统
桌面管理是对计算机及其组件管理,内容比较多,目前主要关注在资产管理、软件派送和远程控制。一方面减少了网管员的劳动强度,另一方面增加系统维护的准确性、及时性。这类系统通常分为两部分————管理端和客户端
员工行为管理
员工行为管理包括两部分,一部分是员工网上行为管理(EIM),另一部分是员工桌面行为监测。一般在Internet应用层、网络层对信息控制
安全管理
网络安全管理指保障合法用户对资源安全访问,防止并杜绝黑客蓄意攻击和破坏。包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。选择产品考虑以下几个方面:系统自身性能稳定;系统协议分析检测能力及解码速率;系统升级服务等。
设备管理
设备安全管理包括设备的选型、检测、安装、登记、使用和存储管理等多方面的内容
为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173-1993《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-1988《计算站场地安全要求》。网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期的进行检查。
信息系统采用有关信息安全技术措施和采购相应的安全设备时,应遵循以下原则:
(1)严禁使用未经国家信息安全测评机构认可的信息安全产品
(2)尽量避免直接使用境外的密码设备,必须采用境外的信息安全产品时,该产品须通过国家信息安全测评机构的认可
(3)严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备
设备的使用和维护须严格按照预先制定的信息系统安全管理规定执行。对设备进行维护维修时,至少应该做到以下几点:
(1)应根据设备的资质情况及系统的可靠性等级,制定相关的预防性维护维修计划;
(2)对系统进行设备维护维修时应采取相关的数据保护措施,对维护维修的情况进行记录并有专人管理;
(3)对折旧设备的处理或严重故障无法维修的设备处理,须由专业人士或机构对其进行鉴定并对其中的敏感数据进行处理、登记,提出报告和处理意见报管理机构备案和批准后方可进行报废处理
人员管理
制定安全措施、标准、原则和实施过程,仅仅是有效的信息安全计划的开始。
信息安全人员管理的安全教育对象,应当包括信息安全相关的所有人员,可能包括:领导和管理人员;信息系统的工程技术人员,包括系统研发和维护人员;一般用户;其他相关人员等。