26安全管理技術(shù)

1、安全管理技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要內(nèi)容傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展安全管理的必要性基于ESM理念的安全管理機(jī)制安全管理系統(tǒng)的基本功能信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理的基本任務(wù)及時(shí)了解網(wǎng)絡(luò)拓?fù)渥兓皶r(shí)檢測(cè)網(wǎng)絡(luò)內(nèi)各條線(xiàn)路的流量，能統(tǒng)計(jì)各線(xiàn)路丟包率、錯(cuò)包率，為線(xiàn)路性能的分析提供科學(xué)依據(jù)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障發(fā)生點(diǎn)。記錄網(wǎng)絡(luò)設(shè)備、線(xiàn)路、終端、病毒、非法入網(wǎng)、違規(guī)操作、相關(guān)告警設(shè)置等各種嚴(yán)重和一般告警信息進(jìn)行設(shè)備的配置管理進(jìn)行日志管理，分門(mén)別類(lèi)記錄網(wǎng)絡(luò)的各種故障進(jìn)行安全管理傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展ISO的FCAPS模型故障管理（Fault Management）配置管理（Configurati

2、on Management）計(jì)費(fèi)管理（Accounting Management）性能管理（Performance Management）安全管理（Security Management）傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展故障管理網(wǎng)絡(luò)故障對(duì)網(wǎng)絡(luò)中故障進(jìn)行檢測(cè)、隔離、報(bào)告和修復(fù)。目標(biāo)是保證計(jì)算機(jī)網(wǎng)絡(luò)組件的穩(wěn)定性、可用性和可服務(wù)性，即Reliability，Availability and Serviceability，簡(jiǎn)稱(chēng)RAS?；竟δ軝z測(cè)被管對(duì)象的差錯(cuò)現(xiàn)象，接收被管對(duì)象的差錯(cuò)事件報(bào)告（也稱(chēng)故障單，Trouble Ticket）；執(zhí)行診斷測(cè)試、確定故障位置和性質(zhì)；當(dāng)存在備用設(shè)備或迂回路由時(shí)，提供新的網(wǎng)絡(luò)

3、資源用于服務(wù)；通過(guò)設(shè)備的維護(hù)或更換等措施進(jìn)行修復(fù)；維護(hù)差錯(cuò)日志文件，記錄差錯(cuò)信息，分析故障原因。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展配置管理配置管理是提供了標(biāo)識(shí)、收集、更改網(wǎng)絡(luò)配置數(shù)據(jù)的功能，目的是為了實(shí)現(xiàn)網(wǎng)絡(luò)的最優(yōu)化服務(wù)功能?；竟δ苁占W(wǎng)絡(luò)配置信息；修改網(wǎng)絡(luò)配置信息；安裝軟件；存取配置信息；發(fā)現(xiàn)和顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；生成配置報(bào)告。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展計(jì)費(fèi)管理計(jì)費(fèi)管理用來(lái)度量網(wǎng)絡(luò)資源的使用情況，目的是控制和監(jiān)測(cè)各類(lèi)網(wǎng)絡(luò)服務(wù)的費(fèi)用和成本?；竟δ苡涗浻脩?hù)使用網(wǎng)絡(luò)資源的情況和計(jì)算費(fèi)用；統(tǒng)計(jì)網(wǎng)絡(luò)利用率等效益數(shù)據(jù)，為網(wǎng)絡(luò)運(yùn)營(yíng)部門(mén)提供制定資費(fèi)政策的依據(jù)。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展性能管理性能管理的主要功能是以網(wǎng)

4、絡(luò)性能為準(zhǔn)收集、分析和調(diào)整被管對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)提供可靠、連續(xù)的服務(wù)?；竟δ軓谋还軐?duì)象中收集、統(tǒng)計(jì)與性能有關(guān)的數(shù)據(jù)，并產(chǎn)生相應(yīng)記錄分析性能信息，檢測(cè)性能故障，產(chǎn)生性能告警等報(bào)告預(yù)測(cè)性能的長(zhǎng)期變化趨勢(shì)控制被管對(duì)象，保證網(wǎng)絡(luò)的性能指標(biāo)傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展安全管理網(wǎng)絡(luò)安全管理包括進(jìn)網(wǎng)安全防護(hù)，限制非法入侵者入網(wǎng)；應(yīng)用軟件訪問(wèn)的安全防護(hù)，檢查用戶(hù)訪問(wèn)軟件的權(quán)限；網(wǎng)絡(luò)傳輸信息的安全防護(hù)，對(duì)網(wǎng)絡(luò)傳輸信息的加密、防竊聽(tīng)、防破壞和篡改等等?；竟δ馨踩胧┬畔⒌墓芾恚缬脩?hù)口令、密鑰、訪問(wèn)權(quán)限的管理，并根據(jù)安全措施信息判斷非法操作，拒絕非法操作。安全審查，檢查網(wǎng)絡(luò)各種潛在安全漏洞；安全報(bào)告，對(duì)

5、影響網(wǎng)絡(luò)安全事件進(jìn)行記錄、形成報(bào)告網(wǎng)絡(luò)操作事件的記錄，記錄用戶(hù)登錄、退出，記錄涉及網(wǎng)絡(luò)安全的網(wǎng)絡(luò)操作，以便進(jìn)行安全追查等事后分析。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理實(shí)體網(wǎng)絡(luò)管理協(xié)議管理代理管理信息庫(kù)傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理實(shí)體（Entity）即網(wǎng)絡(luò)管理系統(tǒng)進(jìn)程，它向運(yùn)行在各網(wǎng)絡(luò)設(shè)備上的網(wǎng)絡(luò)管理代理（Agent）程序發(fā)出指令，對(duì)各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源進(jìn)行監(jiān)控和控制。網(wǎng)絡(luò)管理協(xié)議是網(wǎng)絡(luò)管理實(shí)體與網(wǎng)絡(luò)管理代理程序間進(jìn)行通信所遵守的規(guī)則和約定。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理代理是駐留在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源等網(wǎng)絡(luò)實(shí)體上的，被網(wǎng)絡(luò)管理實(shí)體控制的進(jìn)程。接

6、收網(wǎng)絡(luò)管理實(shí)體發(fā)來(lái)的指令；從管理信息庫(kù)中讀取或修改被管理對(duì)象的各種配置信息；以通知的形式向網(wǎng)絡(luò)管理實(shí)體報(bào)告被管理對(duì)象上發(fā)生的重要事件。管理信息庫(kù)（Management Information Base，MIB）是被管理對(duì)象的信息集合。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展SNMP協(xié)議全稱(chēng)：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）使管理者通過(guò)輪詢(xún)被管代理，和被管代理自動(dòng)發(fā)給管理者的陷阱（trap）信息，來(lái)設(shè)置被管對(duì)象的屬性和監(jiān)控網(wǎng)絡(luò)事件的發(fā)生，從而達(dá)到網(wǎng)絡(luò)管理目的SNMP是基于TCP/IP協(xié)議的應(yīng)用層協(xié)議，采用無(wú)連接的傳輸層協(xié)議UDP傳送網(wǎng)絡(luò)管理報(bào)文傳統(tǒng)網(wǎng)絡(luò)管理

7、技術(shù)及其發(fā)展SNMP協(xié)議SNMP的結(jié)構(gòu)分為SNMP管理者（SNMP Manager）和SNMP代理（SNMP Agent）每一個(gè)支持SNMP的網(wǎng)絡(luò)設(shè)備中包含一個(gè)SNMP Agent，它隨時(shí)記錄網(wǎng)絡(luò)設(shè)備的各種情況SNMP提供的管理操作管理進(jìn)程從代理處獲取被管對(duì)象的信息；管理進(jìn)程通過(guò)代理設(shè)置或修改被管對(duì)象的屬性傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理（Web-Based Management，WBM）使用Web瀏覽器作為客戶(hù)端使用HTTP協(xié)議傳輸數(shù)據(jù)優(yōu)點(diǎn)網(wǎng)管終端的可移動(dòng)性地理上脫離了網(wǎng)管中心跨硬件平臺(tái)和操作系統(tǒng)統(tǒng)一的管理界面平臺(tái)獨(dú)立性（適應(yīng)不同的操作系統(tǒng)、體系結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議）互操作性（通過(guò)瀏覽

8、器在不同管理系統(tǒng)之間切換）傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理的實(shí)現(xiàn)方案基于代理管理器的方案在網(wǎng)絡(luò)管理平臺(tái)上疊加一個(gè)Web服務(wù)器，使其成為瀏覽器用戶(hù)的網(wǎng)絡(luò)管理代理管理器傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理的實(shí)現(xiàn)方案嵌入式方案將Web能力嵌入到被管設(shè)備中每個(gè)設(shè)備都有自己的Web地址，使管理人員可以通過(guò)瀏覽器和HTTP協(xié)議直接進(jìn)行訪問(wèn)和管理傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理CORBA（Common Object Request Broker Architecture，公共對(duì)象請(qǐng)求代理體系結(jié)構(gòu)）OMG（Object Management Group）為解決分布式處理環(huán)境

9、下硬件和軟件系統(tǒng)的互聯(lián)互通而提出的一種解決方案利用對(duì)象請(qǐng)求代理（ORB）作為組件通信的軟總線(xiàn)，用戶(hù)可以透明地訪問(wèn)信息，而不必知道目標(biāo)所在的軟硬件平臺(tái)或所在網(wǎng)絡(luò)的具體位置傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理CORBA的特性獨(dú)立于網(wǎng)絡(luò)協(xié)議獨(dú)立于編程語(yǔ)言獨(dú)立于軟硬件平臺(tái)為可移植的、面向?qū)ο蟮姆植际接?jì)算應(yīng)用程序提供了不依賴(lài)于平臺(tái)的編程接口和模型基于CORBA的網(wǎng)絡(luò)管理利用CORBA實(shí)現(xiàn)管理系統(tǒng)利用CORBA定義被管對(duì)象利用CORBA實(shí)現(xiàn)完整的網(wǎng)絡(luò)管理系統(tǒng)傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理SNMP/CORBA網(wǎng)關(guān)模型發(fā)揮現(xiàn)有網(wǎng)管模型在管理信息定義和通信協(xié)議方面的優(yōu)勢(shì)利用CORB

10、A分布式和編程簡(jiǎn)單的特點(diǎn)，實(shí)現(xiàn)管理系統(tǒng)被管系統(tǒng)仍然采用傳統(tǒng)模式安全管理的必要性通常的信息安全建設(shè)方法采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，IDS，Scanner，VPN等通常由IT部門(mén)的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒(méi)有日常維護(hù)是一種以產(chǎn)品為核心的信息安全解決方案存在眾多不足：難以確定真正的需求：保護(hù)什么？保護(hù)對(duì)象的邊界？保護(hù)到什么程度？管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià)通常用漏洞掃描代替風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題安全管理的必要性真正有效地信息安全建設(shè)技術(shù)和產(chǎn)品是基礎(chǔ)

11、，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全根本上說(shuō)，信息安全是個(gè)管理過(guò)程，而不是技術(shù)過(guò)程三分技術(shù)，七分管理安全管理的必要性傳統(tǒng)網(wǎng)絡(luò)管理中的安全管理功能不足傳統(tǒng)網(wǎng)絡(luò)管理架構(gòu)不能完全滿(mǎn)足需要某些安全設(shè)備不支持SNMP協(xié)議某些安全設(shè)備不具備完整的MIB庫(kù)SNMP協(xié)議本身不適合傳輸安全事件和安全日志信息SNMP不支持聯(lián)動(dòng)和協(xié)同難以實(shí)現(xiàn)安全事件的定位和追溯難以實(shí)現(xiàn)全網(wǎng)安全策略的部署安全管理的

12、必要性加入全面安全管理職能單元的必要性實(shí)現(xiàn)各類(lèi)計(jì)算機(jī)安全技術(shù)、產(chǎn)品之間的協(xié)調(diào)與聯(lián)動(dòng)，實(shí)現(xiàn)有機(jī)化充分發(fā)揮各類(lèi)安全技術(shù)和產(chǎn)品的功能整體安全能力大幅度提高實(shí)現(xiàn)計(jì)算機(jī)安全手段與現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的一體化使全網(wǎng)安全事件準(zhǔn)確定位以及全網(wǎng)安全策略制定成為可能基于ESM理念的安全管理機(jī)制ESM（Enterprise Security Management）一種整體安全框架，其主要思想是采用多種智能Agent和安全控制中心，在同一安全策略（Security Policy）的指導(dǎo)下，將系統(tǒng)中的各個(gè)安全部件協(xié)同起來(lái)，實(shí)現(xiàn)總體的安全策略，并且能夠在多個(gè)安全部件協(xié)同的基礎(chǔ)上實(shí)現(xiàn)監(jiān)控、報(bào)表處理、統(tǒng)計(jì)分析等。主要是為了

13、解決各類(lèi)安全產(chǎn)品各自為戰(zhàn)、難以組成一個(gè)整體安全防御體系的問(wèn)題。ESM具有適應(yīng)性強(qiáng)、可擴(kuò)充性強(qiáng)、集中化安全管理等優(yōu)點(diǎn)。安全管理系統(tǒng)的基本功能統(tǒng)一監(jiān)控和管理收集各類(lèi)信息性能資源日志監(jiān)控信息系統(tǒng)運(yùn)行狀況信息服務(wù)系統(tǒng)信息安全系統(tǒng)發(fā)現(xiàn)異常情況向各種安全機(jī)制發(fā)布相應(yīng)的總體安全策略實(shí)現(xiàn)對(duì)安全機(jī)制的實(shí)時(shí)操控收集各種安全機(jī)制執(zhí)行安全策略的結(jié)果安全管理系統(tǒng)的基本功能安全協(xié)同利用原有設(shè)備之間的互動(dòng)功能，部署安全聯(lián)動(dòng)策略，并監(jiān)視聯(lián)動(dòng)執(zhí)行情況收集安全系統(tǒng)產(chǎn)生的數(shù)據(jù)，采用自動(dòng)或手動(dòng)響應(yīng)引擎，根據(jù)事先定義的安全策略及規(guī)則，對(duì)相關(guān)安全系統(tǒng)進(jìn)行設(shè)置和操控，實(shí)現(xiàn)安全系統(tǒng)之間的間接聯(lián)動(dòng)安全管理系統(tǒng)的基本功能基于權(quán)限控制的統(tǒng)一管理和

14、區(qū)域自治提供統(tǒng)一管理功能為不同級(jí)別和性質(zhì)的管理員提供其對(duì)應(yīng)權(quán)限的管理視圖提供區(qū)域自治能力對(duì)特定管轄區(qū)域的安全設(shè)備和安全系統(tǒng)實(shí)現(xiàn)自治管理對(duì)分布在整網(wǎng)中的某個(gè)單一安全子系統(tǒng)實(shí)現(xiàn)整體安全策略的發(fā)布和狀態(tài)監(jiān)控安全管理系統(tǒng)的基本功能安全事件的處理對(duì)重復(fù)安全事件的合并處理對(duì)相互管理的安全事件進(jìn)行合并處理根據(jù)相近零碎的歷史事件集合對(duì)安全事件進(jìn)行確認(rèn)智能判斷事件的真正起因，并提供人工修正判斷的機(jī)制根據(jù)管理人員的職責(zé)，將合并與確認(rèn)后的事件通知相應(yīng)責(zé)任人，并提供處理建議根據(jù)責(zé)任人處理事件的情況以及結(jié)果，確定是否對(duì)事件性質(zhì)進(jìn)行升級(jí)安全管理系統(tǒng)的基本功能告警管理控制臺(tái)告警聲音管理界面消息通知Email手機(jī)短信即時(shí)通信

15、安全管理系統(tǒng)的基本功能統(tǒng)計(jì)分析與決策支持對(duì)安全事件的類(lèi)型、來(lái)源、目的、產(chǎn)生的效果、起因、發(fā)生的時(shí)間段進(jìn)行綜合分析，得到宏觀的規(guī)律對(duì)重要事件的來(lái)源進(jìn)行綜合查證，精確定位對(duì)相近時(shí)間段發(fā)生的各種事件進(jìn)行相關(guān)性分析，得出各類(lèi)不同事件相互聯(lián)系的規(guī)律，并指導(dǎo)自動(dòng)聯(lián)動(dòng)規(guī)則和安全策略的制定根據(jù)宏觀統(tǒng)計(jì)的結(jié)果，提供決策支持，并進(jìn)行知識(shí)積累，為各類(lèi)安全事件提供處理建議安全管理系統(tǒng)的基本功能支持應(yīng)急響應(yīng)系統(tǒng)自身考慮備份和應(yīng)急措施支持應(yīng)急響應(yīng)預(yù)案，可以定義應(yīng)急情況和應(yīng)急響應(yīng)措施能通過(guò)綜合分析，及時(shí)發(fā)現(xiàn)系統(tǒng)的嚴(yán)重異常情況，并及時(shí)以實(shí)現(xiàn)定義的措施通知責(zé)任人員在確認(rèn)處于緊急情況的前提下，系統(tǒng)自動(dòng)執(zhí)行應(yīng)急預(yù)案中設(shè)定的批量操作

16、，并進(jìn)行全程跟蹤和記錄信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 13335舊版被稱(chēng)作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱(chēng)作“信息和通信技術(shù)安全管理”（Management of Information and Communications Technology Security，MICTS）是ISO/IEC JTC1 制定的技術(shù)報(bào)告，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT安全管理提供建議和支持。由5部分標(biāo)準(zhǔn)組成ISO/IEC13335-1:1996IT安全的概念與模型ISO/IEC1

17、3335-2:1997IT安全管理和策劃ISO/IEC13335-3:1998IT安全管理技術(shù)ISO/IEC13335-4:2000安全措施的選擇ISO/IEC13335-5:2001網(wǎng)絡(luò)安全管理指南信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 13335目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開(kāi)發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風(fēng)險(xiǎn)管理）取代。ISO/IEC TR 13335 只是一個(gè)技術(shù)報(bào)告和

18、指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)參考BS 7799，具體實(shí)踐可以參考ISO/IEC 13335信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介BS7799被信息界喻為“滴水不漏的信息安全管理標(biāo)準(zhǔn)”BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)BS7799分兩個(gè)部分BS7799-1(ISO/IEC17799)：信息安全管理實(shí)施細(xì)則BS7799-2(ISO/IEC27001)：信息安全管理系統(tǒng)規(guī)范信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介BS7799BS7799-1信息安全管理實(shí)施細(xì)則2000年被ISO組織采納，正式成為ISO/IEC 1779

19、9標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過(guò)最新改版，發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全BS7799-2信息安全管理系統(tǒng)規(guī)范于2005年成為正式的ISO標(biāo)準(zhǔn)，即ISO/IEC 27001:2005詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂菩畔踩芾順?biāo)準(zhǔn)簡(jiǎn)介1992年在英國(guó)首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息安全管理提供了一個(gè)依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國(guó)工貿(mào)部、英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)（BSI）組織的相關(guān)專(zhuān)家共同開(kāi)發(fā)制定的BS7

20、799BS7799-1BS7799-2在1998年、1999年經(jīng)過(guò)兩次修訂之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO270012000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過(guò)成為ISO/IEC17799：2000版。2005年對(duì)ISO/IEC17799：2000版進(jìn)行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對(duì)BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS

21、7799-2：2002版本成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC27001：2005版。信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問(wèn)控制信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及11個(gè)方面，包括39個(gè)控制目標(biāo)和133項(xiàng)控制措施,可作為參考文件使用，但并不是認(rèn)證評(píng)審的依據(jù)。ISO17799:2005信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 17799:2005安全策略 Security policy人力資源安全 Human resources security物理與

22、環(huán)境安全 Physical and environmental security通信與操作管理 Communications and operations management信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) Information systems acquisition, development and maintenance組織信息安全 Organizing information security資產(chǎn)管理 Asset management訪問(wèn)控制 Access control信息安全事件管理 Information security incident management業(yè)務(wù)連續(xù)性管理 Busi

23、ness continuity management符合性 Compliance信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 17799:200511個(gè)方面39個(gè)目標(biāo)133個(gè)控制措施10個(gè)方面36個(gè)目標(biāo)127個(gè)控制措施對(duì)比ISO17799:2000舊版信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 27001:2005簡(jiǎn)介概要過(guò)程方法與其他管理體系的兼容性范圍1.1 概要1.2 應(yīng)用標(biāo)準(zhǔn)引用術(shù)語(yǔ)和定義信息安全管理體系4.1 一般要求4.2 建立并管理ISMS4.2.1 建立ISMS4.2.2 實(shí)施和運(yùn)行ISMS4.2.3 監(jiān)督和評(píng)估ISMS4.2.4 維護(hù)和改進(jìn)ISMS4.3 文件要求4.3.1 概要4.3.2 文

24、件控制4.3.3 記錄控制ISO27001:20055 管理責(zé)任5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓(xùn)、意識(shí)和資格6 內(nèi)部ISMS審計(jì)7 對(duì)ISMS的管理評(píng)審7.1 概要7.2 評(píng)審輸入7.3 復(fù)審輸出8 ISMS改進(jìn)8.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施ISO27001:2005附錄A 控制目標(biāo)和控制A.5 安全策略A.6 組織信息安全A.7 資產(chǎn)管理A.8 人力資源管理A.9 物理和環(huán)境安全A.10 通信和操作管理A.11 訪問(wèn)控制A.12 信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)A.13 信息安全事件管理A.14 業(yè)務(wù)連續(xù)性管理A.15 符合性附錄B OECD原則

25、與本標(biāo)準(zhǔn)附錄C ISO 9001:2000，ISO 14001:1996和本標(biāo)準(zhǔn)ISO27001:2005信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISO/IEC 27001:2005ISO27001標(biāo)準(zhǔn)對(duì)信息安全管理體系（ISMS）并沒(méi)有一個(gè)十分明確的定義，可以將其理解為組織管理體系的一部分。ISMS涉及到的內(nèi)容：用于組織信息資產(chǎn)風(fēng)險(xiǎn)管理、確保組織信息安全的、包括為制定、實(shí)施、評(píng)審和維護(hù)信息安全策略所需的組織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過(guò)程和資源。標(biāo)準(zhǔn)要求的ISMS建立過(guò)程：制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式。遵循PDCA。體系一旦建立，組織應(yīng)該按規(guī)定要求進(jìn)行運(yùn)作，保持體

26、系的有效性。信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISMS（信息安全管理體系，Information Security Management System）在信息安全方面指導(dǎo)和控制組織，用以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相關(guān)作用的一組要素。通常包括：信息安全組織結(jié)構(gòu)各種活動(dòng)和過(guò)程信息安全管理體系文件信息安全控制措施人力物力等資源信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISMS的重要原則管理層足夠重視組織保障指明方向和目標(biāo)權(quán)威預(yù)算保障，提供所需的資源監(jiān)督檢查需要全員參與信息安全不僅僅是IT部門(mén)的事情每個(gè)員工都應(yīng)明白隨時(shí)可能出現(xiàn)的安全問(wèn)題每個(gè)員工都應(yīng)具備相關(guān)的安全意識(shí)和能力讓每個(gè)員工都明確自己承擔(dān)的安全責(zé)任遵循過(guò)程的方法信息安全是個(gè)管理過(guò)程應(yīng)該系統(tǒng)地識(shí)別每項(xiàng)管理活動(dòng)并加以控制信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介ISMS的重要原則需要持續(xù)改進(jìn)實(shí)現(xiàn)