信息安全管理与使用技术知识第二章，信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题，从BISS公布的数据看，超过70%的信息安全事故如果事先加强管理都是可以得到避免的，也就是三分技术，七分管理，二者并重。
        一、信息安全管理组织、人员和制度
        第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的，必要时，应与外部相关组织进行沟通协调，各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。
        主要体现如图所示的三个层次。符合性（合规性）管理：是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。
        信息安全的人员管理，人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。
        事实证明，许多安全事件都是由内部人员造成的，因些对于关键岗位必须建立严格的人员安全审查制度，把好人员安全管理的第一关，各单位的信息系统和内部资源应跟极其敏感程度和重要程度进行密集划分，信息资源的密集直接决定了接触和管理试信息资源的岗位对人员安全等级的要求，因依此要求建立相应的人员安全审查的标准，人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，应试具有政治可靠、思想进步、作风正派、技术合格等基本素质，关键岗位人员的审查标准。
        信息系统的关键岗位人员的审查标准应具有以下几个方面，一般必须是单位组织的正式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员签订保密协议，通过保密协议约定工作范围、工作期限以及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。
        培训内容主要有三个方面，第一基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面，安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。
        定期的考核，岗位安全考核，主要是从思想政治和业务表现两方面进行。对于离岗人员安全管理，应该按照离岗的不同原因，建立技术人员离岗的安全管理制度：一、正常离岗人员。正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移交。相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申安全保密责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。第三种情况，因工作问题被解聘人员，应该严格审查其工作问题，严格执行相关处罚，若有触犯法律、法规的行为，应依法追究其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情况，编制完整的、全面的、分层次的信息安全的制度管理制度和规范，并加以认真贯彻落实。
        下面列举三个信息安全管理制度：一、物理环境安全管理规范，它包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。二、终端计算机安全使用规范，包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范，包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响应处理等。
        二、互联网、重点单位信息安全管理
        第二个问题，互联网、重点单位信息安全管理。《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》的国家现行的法律法规，在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等方面对互联网服务提供者、互联网数据中心 、联网使用单位做出明确的规定和要求。
        其中，《计算机信息网络国际联网管理暂行规定》第13条规定，从事国际联网业务的单位和个人应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动；不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。
        《计算机信息网络国际联网安全保护管理办法》第5条、第6条，对禁止在互联网上发布的信息内容、禁止互联网活动行为分别做出强劲的规定。《计算机信息网络国际联网安全保护管理办法》第10条还规定，互联网单位、接入单位及国际联网的法人和其他组织应当履行，一、建立健全安全保护管理制度；二、落实安全保护技术措施；三、开展安全教育和培训；四、对发布信息的单位和个人登记、对发布内容进行审核；五、建立电子公告系统的用户登记和信息管理制度；六、对违反法律法规的行为保留有关原始记录并及时报案；七、及时删除违反法律法规的内容、地址、目录或者关闭服务器。
        互联网管理中的安全管理制度，健全的互联网安全管理制度应包含：新闻组、BBS等交互式栏目及个人主页等信息服务栏目的安全管理制度、信息发布审核和登记制度、信息巡查、保存、清除和备份制度等其他与安全保护有关的管理制度。
        安全保护技术措施。《互联网安全保护技术措施》规定，互联网服务的提供者、联网使用者和单位应当建立和落实基本的安全技术措施，包括防病毒、防网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施，重要数据库和系统主要设备的冗灾备份措施，记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。
        重点单位及其确定原则，《计算机信息系统安全保护条例》第4条明确规定：“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”加强网络安全保护工作，首先要抓好重点单位及其确定原则，加强信息网络安全保护工作，首先要抓好重点抓好国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全，这些重要领域的信息网络安全直接关系到国家安全、社会稳定以及经济建设的健康发展，凡是涉及这些要领域的信息网络的单位均属于重点单位。
        我国信息网络重点单位列举，我国根据安全需要，从实际出发，全面权衡后，确定了信息网络重点单位一共有12类，我国根据安全需要，从实际出发，全面权衡后，将下列单位列入信息网络重点单位：1、国家各级党政机关单位，2、银行、保险、证券等金融机构，3、电力、热力、燃气、煤炭、油料等能源单位，4、铁路、公路、水路、海运等交通运输单位，5、医疗、消防、紧急救援等社会应急服务单位，6、经济建设的重点工程建设单位，7、其他重要领域和单位，8、互联网管理中心及其重要网站，9、重要物资储备单位，10、水利及水资源供给部门，11、航空、航天等尖端科技企业和研究单位。12、邮政、电信、广播电视部门等。
        重点单位信息安全管理。重点单位信息安全管理，要从建立安全管理机构、完善安全管理制度、落实安全管理措施、涉密安全管理等四个主要着手。管理机构应该明确机构的职责、配备专职的人员、明确人员职责。管理制度应该包括安全保密制度、 登记备案制度、等级保护制度、案件报告制度。落实安全管理措施包括人员管理措施、权限分散措施、系统分离措施、应急备份措施、 通信管理措施，信息安全管理下一节会讲到。
        三、涉密信息安全管理
        第三题，涉密信息安全管理。涉密信息、载体和系统。涉密信息主要是国家秘密和商业秘密，国家秘密关系国家安全和利益，其内容涉及国家的政法、军事、外交和外事、国民经济和社会发展、科技技术、国家安全和刑事司法等领域。商业秘密仅仅是涉及权利人的经济利益和竟争优势的信息，其内容也局限于科研、生产、经营有关的技术信息和经济信息，商业秘密与经济、科技领域中的国家秘密都是具有保密价值的信息，二者是相互关系、互可转变的。
        涉密载体，涉密载体是指，以各类计算机硬盘、软盘、U盘、光盘、闪存盘、磁带及其他数码存储设备为介质，通过文字、数据、符号、图形、图像、声音等方式存储国家秘密信息、工作秘密信息以及商业秘密信息的各类存储载体。涉密系统，系统里的信息涉及国家秘密的信息系统，不论其中的涉密信息是多还是少，只要是有存储、处理或传输了涉密信息的信息系统就是涉密信息系统。涉密单位主要是指用于采集、存储、处理、传递国家秘密信息的信息网络单位；涉密信息和系统的管理。涉密系统安全管理规定有：1、建立信息网络时，同步规划落实相应系统保密设施；2、信息网络的研制、安装和使用符合保密要求；3、采取有效保密措施，配置合格保密专用设备；4、采取系统访问控制、数据保护和系统安全保密监控管理等技术措施；5、权限控制；6、不得直接或间接连接国际互联网或其他公共信息网络，必须物理隔离。
        涉密信息的管理：1、必须按照保密规定进行采集、存储、处理、传递、使用和销毁；2、要有相应的密级标识，密级标识不能与正文分离；3、保密审查批准制度，健全上网信息保密审批领导则认真；4、处理、存储和传输绝密信息的计算机，必须采取必要的防止非法调阅机内信息的技术措施；5、不得在与国际网络互联的信息网络中存储、处理和传递；对涉密载体、涉密场所和涉密人员管理也有相关的规定。
        四、应急事件处置
        第四题，应急事件处置。网络与信息系统运行所面临的安全威胁重要来自于五个方面：1、计算机病毒，2、网络入侵3、软硬件故障，4、人员误操作，5、不可抗灾难事件。
        应急事件的风险分析和处置方法。病毒有最高的风险，预防措施是全面部署网络病毒查杀系统、建立集中的病毒管理中心、加强管理，教育与培训，应急方案是迅速响应和处理，必要时进行相关系统和数据的恢复处理；网络入侵有较高的风险，预防措施是加强边界管理与控制，加强安全系统的维护管理，应急处理方案是及时报警，切断连接；弥补漏洞；软硬件故障的风险较小，预防措施是双机热备，冗余配置，应急处理的方式是对硬件及时检修和更换，对软件是及时更新和修改；人员误操作的风险次之，预防措施是安全操作的教育与培训，同时采取分权机制，应急处理的措施是及时恢复；不可抗灾难事件风险最小，预防措施是系统和数据备份机制，并且建立异地容灾备份中心，应急处理方案即灾难恢复处理。
        灾难恢复处理，灾难恢复是指当信息系统受到损害，如地震、火灾、非正常人为破坏等造成的系统或数据损坏或丢失，应用事先制定好的相应处理策略，进行尽可能的修复或弥补。事故处理及应急事件响应策略应用于此，是单位组织的整个程流中最为重要的核心成员。
        灾难恢复的级别和指标。灾难恢复的RPO指标是用以量化描述灾难恢复目标的最常用指标，其中RPO及恢复点目标是指灾难发生后系统和数据必须到恢复时间点要求，代表在灾难发生时引起丢失的数据量，PTO、RPO和RPP一起确定了灾难恢复时间范围目标。
        灾难恢复等级划分的通用国际标准有，关于冗余等级用户的国际标准是，国际标准将冗余等级划分为七级，从低到高提出七种不同层次的灾难恢复解决方案，0级：本地冗余备份，1级：数据介质转移，2级：应用系统冷备，3级：数据电子传送，4级：应用系统温备，5级：应用系统热备，6级：数据零丢失。这七个层次对你的冗余方案在功能、使用范围等方面都有所不同，所以用户应分清层次。
        灾难恢复等级划分的国家标准，我国冗余方面跃然起步晚，但是国家十分重视，制定了相应的冗余等级划分方案，重要信息系统灾难恢复指南将我国的灾难恢复数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术知识能力、运行维护管理能力和灾难恢复这七个要素划分为六个等级：1级、基础支持，2级、备用场地支持，3级、电子传输和部分设备支持，4级、电子传输和完整设备支持，5级、实时数据传输和完整设备支持，6级、数据零丢失和远程集群支持，更加符合我国现阶段的实际情况，这样的划分和考虑更加符合我国现阶段的实际情况。
        灾难恢复的策略。灾难恢复的管理过程主要有以下四部分：一、灾难恢复需求分析，二、灾难恢复策略制定，三、灾难恢复策略实现，四、灾难恢复预案制定和管理。在灾难恢复需求分析中，包括风险分析、业务影响分析和确定灾难恢复目标三个子步骤，通过这三个子步骤了解信息系统的风险，综合业务的需求分析，并确定关键业务功能及恢复的优先顺序。
        灾难恢复策略的主要内容订要包含损害限制，通过提前计划和完美的处置步骤进行一些灾难限制，可以减少企业的成本。第二个内容是准备工作，即使进行了损害限制，企业仍然可能遭受灾难，灾难恢复策略中，应对各种灾难，进描述为各种不测事件做准备，例如，软硬件的备份，场地的备份，计算恢复时间，恢复程序等，为各种灾难做准备意味着可以及时恢复必要的系统，是系统恢复策略的主要内容。第三、数据的完整性，对重要数据确保数据完整性是一项日常工作，在灾难恢复必须创建完整、正确的数据备份，以便恢复系统，同时，还兼顾数据的最新性、一致性，能够与所有数据同步。第四个内容是备份服务中心，如果一个企业把高可靠性看得很重要，建立备份服务中心是十分必要的，甚至建立异地的备份服务中心，在遇到灾难时受到的影响就会大大减小，备份的方式有冗余备份、热备份和异地备份等。
        五、信息安全监管
        第五节，信息安全监管。实施计算机信息的系统安全保护主要由两方面构成：一是国家实施安全监督管理，二是使用单位实施安全保护措施。因此，实施信息安全的有效保护国家拥有对信息安全监管的权利和职能，各使用单位不仅有在本单位内范围内实施安全保护措施的职责和义务，还有配合国家机关有效完成信息安全监督的职责和义务。《计算机信息系统安全保护条例规定》，公安部主管全国计算机信息安全保护工作。
        信息安全案件。凡是违反国家法律、法规的规定，危害计算机信息系统安全以及利用计算机信息系统实施的违法犯罪活动，统称为计算机案件。计算机案件主要分为刑事案件和行政案件两类。
        一、治安案件和一般行政案件，指违反治安处罚法所构成的计算机安全案件称为治安案件，包括危害计算机信息系统安全，如违反国家规定，侵入计算机信息系统和制作、传播计算机病毒等危害性。利用计算机系统实施的违法案件，如利用计算机网络传播淫秽信息，在计算机网络中刊载有民族歧视、侮辱内容的信息。
        第二方面，违反了行政法规所构成的计算机案件称为行政案件，主要是凡是违反《计算机信息系统安全保护条例》有关规定和制度的违法行为 ，都要追究行政法律责任。
        刑事案件主要是指触犯行例所构成的计算机案件，被称为计算机刑事案件，我国刑法关于计算机犯罪的三个专门条款规定了三种计算机刑事案件：即非法侵入计算机信息系统罪，破坏计算机信息系统罪和利用计算机作为工具实施的犯罪。其中非法侵入计算机信息系统罪和破坏计算机信息系统罪是纯粹的计算机犯罪，刑法为其当立罪名，而利用计算机作为工具实施犯罪的不是纯粹的计算机犯罪，只是传统犯罪使用了与计算机有关的犯罪工具而已，刑法不为其立罪名。
        计算机案件性质界定，在我国法律责任体系中，行政案件和刑事案件两者在内容和性质上有许多不同，必须正确界定计算机案件的性质并依法进行制裁，界定依据主要有根据违法行为的情节和造成的后果，二、违法行为的类别，三、违法行为所违反的法律规范。
        信息安全行政违法责任，行政违法行为是指行政法律关系的主体违反有关计算机信息网络安全的法律、行政法规、侵害计算机信息网络系统的安全而尚未构成犯罪的行为。违法主体包括计算机信息网络的安全监督管理机关及其工作人员，以及作为行政相对方的公民、法人和其他组织。构成行政违法，应当承担相应的行政法律责任。
        行政法律责任是指计算机信息网络安全法律关系的主体违法计算机信息网络安全法律所规定的义务而构成行政违法所应承担的法律责任。
        二、行政处罚。行政处罚是行政执法过程中最常采用的手段，也是对行政违法行为人给予惩戒的必要措施。具体到计算机信息网络安全领域，行政处罚是公安机关根据法律规定，对违反计算机信息网络安全法律、法规的行为人给予的行政制裁。其具有以下特点，实施主体是公安机关；实施对象是行政违法的公民、法人或其他组织；必须有确定的行政违法行为；具有行政强制性。
        在计算机信息网络安全管理的实际执法中，违反信息管理条例相关规定的行政处罚主要有：一、人身自由罚，即对违法行为人的人身自由权利进行限制或者剥夺的行政处罚，如拘留；二、声誉罚，也就是对违法行为人的名誉、信誉或者精神上造成一定损害的行政处罚，如警告、通报批评；三、财产罚，也就是对被处罚人的财产权利和权益造成损害的行政处罚，如罚款或者没收违法所得；四、资格罚，也就是指以剥夺或限制被处罚人的资格为内容的行政处罚，如吊销许可证、取消联网资格；五、责令作为与不作为罚，也就是指直接要求被处罚人做出某种行为或不得做出某种行为，如停止生产、停机整顿、停止联网等。
        信息安全刑事犯罪类型主要的三类，一、非法侵入计算机信息系统罪，二、破坏计算机信息系统罪，三、利用计算机作为工作实施的犯罪。在发生案件时应及时报案并配合公安机关的调查。
        刑事责任。信息安全刑事违法责任主要是指行为人因其实施了违反计算机信息网络安全法律的犯罪行为所应承担的法律后果。由于犯罪嫌疑人的违法行为是所有违反计算机信息网络安全法律行为中对社会危害性最大的违法行为，按照法律责任和违法行为相适应的原则，将刑事责任确立为最严厉的法律责任。
        信息安全刑事违法责任，我国刑法关于计算机犯罪三个专门条款规定了三种计算机刑事案件：一、非法侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术等领域的计算机信息系统的行为。这些重要领域的计算机信息系统在保障国家安全、经济发展以及人民生命财产安全等方面起着非常重要的作用，任何侵入行为都要承担刑法规定的刑事责任。二、破坏计算机信息系统罪：刑法第286条对破坏计算机信息系统罪进行了规定，是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰或对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的操作或故意制作、传播计算机病毒等破坏程序，影响计算机系统正常运行，后果严重的行为。适用任何领域内的计算机信息系统，造成严重后果的，都要承担刑法规定的刑事责任。三、利用计算机作为工具实施的犯罪：我国刑法第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”，即计算机作为新的犯罪工具，在犯罪手段上有所变化，但犯罪构成与传统犯罪没有本质区别，依照刑法有关规定，按照金融诈骗罪、盗窃罪、贪污罪、挪用公款罪、窃取国家秘密罪或者其他犯罪进行定罪处罚。
        信息安全案件报案与配合调查，公安机关是唯一的管辖部门。《计算机信息系统安全保护条例》第14条规定：“对计算机信息中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”。
        现场保护工作。保护现场是分析原因和采取措施的重要条件。因此，当发现本单位的网络信息系统发生信息安全案件时，系统管理员在及时向当地公安机关报警的同时。应立即采取必要的现场保护措施，如及时做好详细的现场原始记录，在保证不损坏设备情况下保持系统原始状态等。在没有查明原因的情况下，不得对系统作任何处理。发生重大信息安全问题时，除采取以上措施外，应尽可能掌握受损信息的密级、解密期限和可能造成的危害、影响程度等情况，及时上报上级主管部门。切忌在未搞清原因的情况下，擅自对系统作任何处理。
        调查，公安机关对信息安全刑事和治安案件的调查过程，主要包括现场勘查、询问情况、提取证据、设备封存、拍照录像等。调查的目的是查明信息安全事件发生的原因、经过以及危害程度，分析和确定事件的性质，为案件责任界定和量刑提供证据。
        取证，根据信息安全案件自身的特点，其证据形式和取证方式具有特殊性，信息安全案件的相关证据一般为电子证据。
        由于电子证据自身的特点以及法庭对于电子证据的要求，电子证据的取证过程往往专业技术要求高，需要使用专用的取证设备，按照规范化的操作流程完成。因此，报案单位在发现信息安全案件之后，应当立即保护现场环境，不得进行开机、关机、日志察看等操作，在公安机关的办案人员对保存原始电子证据的介质进行映像处理之前，保证系统、介质以及其中数据的状态不发生任何改变，才能保证电子证据的真实性和有效性。