第六讲　通信与运行管理
通信和运行管理是IT建立IT基础架构及维护IT正常运行的重要内容，ISO17799中主要包括以下10个控制目标：
l

“运行程序和责任”――目标是确保信息处理设施运行的正确性和安全性，包括书面操作程序记录、变更管理、事件管理和职责分离等控制措施。
l
“第三方服务交付管理”
――目标是实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。
l
“系统规划和验收”――目标将系统故障的风险降低到最低水平。
l
“防范恶意代码和移动代码”――目标是保护软件和信息的完整性免受恶意软件的伤害。
l
“备份”――目标是维护信息处理和通信服务的完整性和可用性，控制措施包括信息备份。
l
“网络安全管理”――目标是保卫网络中的信息、保护支持性的基础架构。
l
“介质处理” ――对于目前移动性越来越高的企业IT环境来说具有特殊意义，其目标是防止资产受到破坏，防止商业活动受到干扰。
l
“信息和软件交换”――要求采取措施，防止信息在交流过程中丢失、被修改或者被误用。通信和运行管理是通常意义上的网络信息安全所主要考虑的内容，受到较高的重视。
l
“电子商务服务”――目标是确保电子商务的安全及他们的安全使用。
l
“监视”――目标是检测未经授权的信息处理活动。
10控制目标与相应控制措施详细描述如下：
（第六讲续）
（第六讲续）


1、控制目标－运行程序与职责



目标：确保信息处理设施的正确和安全运行



应建立所有信息处理设施的管理和运行职责和程序。这包括制订合适的操作程序。应在适当时实施责任分离，以减少疏忽或故意误用系统的风险。






l
控制措施－建立并实施文件化的作业程序



=>


制定的信息安全政策所指明的作业程序应加以文件化及维护。


组织根据安全方针的要求建立必要的操作程序，为执行具体工作的人员提供指导。操作程序应包含操作活动职责、内容、目的、时间、场所、方法等操作要求（5W1H），操作程序应履行审批手续，如需修改应获得管理者的授权。操作程序一经批准发布，就应严格实施。




l
控制措施－变更管理

=>


对信息处理设施及系统的变更应加以控制。


信息处理设备和系统的变更包括设备、软件、管理程序三方面的变更。这里软件变更主要是指操作系统、操作程序及应用软件的变更。
对信息处理设施和系统变更的不适当控制，是系统故障或安全故障产生的原因。因此，无论设备、操作系统软件，还是管理与控制程序均应进行严格的控制，只有得到审批手续后方可实施。为对上述实施有效控制，组织应建立变更控制程序




l
控制措施－职责分离
=>职务及负责范围应加以分离，以降低未经授权的修改或者滥用使用信息或服务的机会。
在组织中工作的人大多数都是诚实的，但总是会有一些不诚实的，例如，许多会计诈骗是由于同一个人在记帐系统里有太多的访问权限所致。职责分离是减少人员偶然或故意行为造成系统风险的很好的控制方法。即为减少出现非授权更改，或信息或服务的滥用的机会，应当考虑分开管理、分开执行某些任务或分开责任区。如会计与现金出纳由两个人担任，以防范资金风险。

l
控制措施－开发、测试与运营设施的分离


=>应分离开发、测试和运营设施，以降低未授权访问或对操作系统变更的风险。



软件开发和测试活动可能会造成严重问题，例如文件或系统环境的非预期的修改或系统故障。当开发和测试人员访问运行系统及其信息时，他们可能引入未授权的和未测试的代码、恶意的代码或者更改操作数据。
开发者与测试者还会威胁到运行信息的保密性。如果开发与测试活动共享相同的计算环境，会造成软件和信息的非授权更改。因此分离开发、测试和运行设备是减少意外更改风险及减少运行软件、业务数据被非授权访问的理想方法。
（第六讲续）
2、控制目标－第三方服务交付管理
目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。
组织应检查协议的实施，监视协议执行的一致性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。

? 控制措施－服务交付
　=>确保第三方实施、运行并保持第三方服务交付协议中包含的安全控制、服务定义和交付等级。
第三方的服务交付应包括约定的安全措施、服务定义和服务管理的方面。外包时，组织应策划必要的资产转移过程（信息、信息处理设施和其他需要移动的任何资产），并应确保在整个转移期间保持资产的安全。组织应确保第三方保持足够的服务能力和设计用来确保约定的服务在大的服务故障或灾难后继续得以保持的可使用的计划。

? 控制措施－第三方服务的监测和评审
　=>应对服务和第三方提交的报告定期进行监视和评审，并定期进行审核。
组织应对第三方访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和清晰的了解。组织应确保他们对第三方的安全活动留有可见度，例如变更管理、脆弱点识别和使用清晰定义的报告过程、格式及结构的信息安全事故报告和响应机制。

? 控制措施－管理第三方服务的变更
　=>应当对第三方服务提供的变更进行管理（包括包括保持和改进现有信息安全方针、程序和控制措施），考虑对业务系统的关键程度、涉及的过程和风险的再评估。
应当对第三方在下列方面的服务变更进行管理，以控制可能带来的风险：对网络的变更和加强、新技术的使用、新产品或新版本的采用、新的开发工具和环境、服务设施物理位置的变更、提供商的变更。

（第六讲续）





3、控制目标－系统规划与验收


目标：将系统故障的风险降低到最小。
为确保有足够的容量和资源可供利用，需要有先进的规划和准备工作。应当预测未来容量需求，以减少信息超载的风险。在新系统验收和使用前，应当确定它们的运行需要，并对其做记录和检测。
当网络系统的流量过大或主机系统超负荷运行的结果会使信息系统故障频繁；购入新系统或系统扩容后，不进行测试验收就投入运行，那么就不能保证系统可靠安全地运行。
为使系统的故障风险最小化，应对系统将来容量进行策划以保证足够的容量和资源的可用性，并建立新系统的运行要求，在使用之前进行测试与验收。




l
控制措施－容量管理
=>容量需求应加以监督，并要作出对未来容量需求的推测，以确保拥有合适的运算处理能力及储存空间。
不同的信息系统会有不同的容量指标，例如，一个计算机网络系统的容量包括数据存储能力、数据处理能力、线路传输带宽、交换机的接口数量等。一般地讲，系统在投入使用时的容量是富裕的、有保证的，但随着业务量的不断增加和新增业务的需求，容量增加是不可避免的。究竟在何时扩容，这就要求组织对容量需求进行监控并且为将来容量进行规划，在适当时机进行容量扩充，以保证有足够的处理能力和存储能力。这些规划应该考虑到新的业务和系统需求，以及组织信息处理现状和计划趋向。

l
控制措施－系统验收

=>应建立信息系统验收标准，并且在新系统投入使用前对其进行适当的测试。


管理者要确保对新系统的验收要求和准则被明确地被定义和约定，并形成正式文件，并要进行验收测试，合格后方可验收。新信息系统、升级和新版本只有在获得正式验收后，才能移植作为产品。

（第六讲续）





4、控制目标－防范恶意代码和移动代码



目标：保护软件和信息的完整性要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入。



软件和信息处理设施易受恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹）的攻击。要让用户了解恶意代码的危险。管理者应在适当的时间引入控制，以防范、检测并删除恶意代码，并控制移动代码。



l
控制措施－防范恶意代码
=>应实施防范恶意代码的检测、预防和恢复，以及适当的用户意识程序。
加强用户防范恶意软件意识，实施探测与预防控制手段。因为恶意软件具有隐蔽性、潜伏性和传染性，用户在进行某些操作时（如软盘复制、打开电子邮件）就会不知不觉地将恶意软件带进了你所使用的计算机。因此，防范恶意软件必须提高全体用户的安全意识，这可能通过适当的安全责任、方针，及防范恶意软件方法培训来获得。另一方面，组织应根据业务要求确定具体的探测与预防控制恶意软件方法并严格实施。


l
控制措施－防范移动代码


=>当使用移动代码获得授权时，配置管理应确保授权的移动代码按照明确定义的安全方针运行，并防止未经授权移动代码的执行。





移动代码是一种软件代码，它能从一台计算机传递到另一台计算机，随后自动执行并在很少或没有用户干预的情况下完成特定功能。移动代码与大量的中间件服务有关。除确保移动代码不包含恶意代码外，必须控制移动代码，以避免系统、网络或应用资源的未授权使用或破坏，以及其他违反信息安全的活动。
（第六讲续）





5、控制目标－备份



目标：保持信息和信息处理设施的完整性和可用性



应建立例行程序来执行商定的针对数据拷贝备份以及及时恢复演练的策略和战略。



l
控制措施－信息备份
=>应定期备份重要的企业运行信息和软件，并经常测试 。


应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求，并提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。





6、控制目标－网络管理


目标：确保对网络信息及网络基础设施的保护。
组织需要注意可能跨越组织界线的网络的安全问题，对于经过公众网的敏感信息可能还要加上另外的管理保护措施。





l

控制措施－网络控制




=>应对网络进行充分的管理和控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输施。



为了达到和保持计算机网络的安全，需要采取各种管理措施，以确保网络上信息的安全，并确保从未经授权的途径接入服务时，需对网络加以保护。尤其应当考虑以下的管理措施：
?
网络的运营责任应当和计算机操作在适当的地方分开。
?
应当建立对远程设备的管理责任和管理程序，其中远程设备也包括在用户区的设备。
?
如果需要，应当设立专门措施保护经过公众网的信息的保密性和完整性，并保护所连接的系统。可能还需要专门措施维护网络服务和计算机连接的有效性。
?
安全管理活动不但应当与组织业务紧密协作，还应当确保这些管理措施在整个信息处理的基础架构上都能得到一致的应用。



l
控制措施－网络服务安全



=>应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。



应确定并定期监视网络服务提供商以安全方式管理约定服务的能力，并协调并确定对服务商进行审计的权力。应识别特殊服务的安全措施，例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些安全措施。

（第六讲续）





7、控制目标－备份介质处理与安全


目标：防止对信息资产的毁坏和对业务活动的扰乱。
备份介质应当得到妥善的管理和物理上的保护。应当建立适当的操作程序来保护文件档案、计算机存储介质（磁带，磁盘，盒式磁带）、输入/输出数据和系统文件，使它们免遭破坏、偷盗和未经授权的访问。





l
控制措施－对移动存储介质的管理



=>应建立可移动介质的管理程序。


应当有对可移动的计算机存储介质的管理程序。这些存储介质有多种，例如磁带、磁盘、盒式磁带和打印出的报告。所有的程序和授权等级都应当清楚地记录在案。





l
控制措施－存储介质的销毁






=>不再需要的储存介质，应可靠并安全地进行销毁。


存储介质在不用的时候应当安全地存放。存储介质上的敏感信息可能会由于随意放置而泄露给外人。应当建立存储介质安全存放的正式程序，把这种风险降低到最小：



l
控制措施－信息处理程序




=>应建立信息的处理及储存程序，以防止信息未经授权的泄漏或不当使用。


应当建立处理和储存信息的程序，来保护信息免受未经授权的泄露或误用。这些处理信息程序的建立应当与对信息的分类相一致。
处理信息程序可以针对以下范围进行制定：文档、计算系统、网络、移动计算、移动通信、信件、声音邮件、一般的声音联络、多媒体、邮政服务/设备、传真机的使用和任何其它敏感物品，例如空白支票、配货单等。



l
控制措施－系统文件的安全





=>应保护系统文件以防未经授权的访问。


系统文件可能保护有多种的敏感信息，例如对应用软件运行、程序、数据结构、授权程序等的描述，应当考虑采用适当的管理措施来保护文件免受未经授权访问的侵害。

（第六讲续）





8、控制目标－信息交换



目标：应保持组织内部或组织与外部组织之间交换信息和软件的安全



组织间信息和软件的交换应基于一个正式的交换策略，按照交换协议执行，还应服从任何相关法律。要建立程序和标准，以保护信息和在传输中包含信息的物理介质。






l
控制措施－信息交换策略和程序




=>应建立正式的交换策略、程序和控制，以保护通过所有类型的通讯设施交换信息的安全。



信息交换可能通过使用很多不同类型的通信设施发生，例如电子邮件、声音、传真和视频。软件交换可能通过很多不同类型的媒体发生，包括从互联网下载和从出售现货的供应商处获得。



应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全问题。如果对使用这些设施缺乏意识、策略或程序，就有可能造成机密信息的泄露。例如，在公开场所的移动电话被偷听、电子邮件消息的指示错误、应答机被偷听，未授权访问拨号语音邮件系统或使用传真设备偶然地将传真发送到错误的传真设备上。






l
控制措施－信息和软件交换协议




=>以电子化或人工方式在组织间交换信息及软件时，应签订保密协议。


应当在组织之间（无论是以电子形式，还是以手工形式）交换信息和软件时，建立保密协议。保密协议的安全内容应当反映出相关业务的敏感性。





l
控制措施－运送存储介质时的安全




=>运送存储介质时应保护其不遭受未经授权的泄漏、不当使用或毁坏。


在运送存储介质时，要从物理上加以保护，例如通过邮政服务或者通过信使递送信息存储介质的时候，信息容易受到未经授权的访问、盗用或者讹误的伤害，因此要采取措施（比如加密、锁等措施）以减少风险。






l
控制措施－电子消息



=>应建立电子消息的使用策略，并应有降低电子消息所造成的安全风险的适当控制方法。电子消息（例如电子邮件、电子数据交换（EDI）、即时消息）在业务通信中充当一个



日益重要的角色。电子消息在很多方面与传统通讯方式不同，比如它的传播速度快、内容方式多样，但电子消息又具有易丢失及易伪造的特点。


特别是现在通过电子邮件夹带恶意代码很容易对组织的信息系统造成损害，因此应当采取措施减少电子消息造成的信息安全风险。





l
控制措施－业务信息系统


=>应开发并实施策略和程序，以保护与业务信息系统互联的信息。
为了控制与业务信息系统相关的业务风险和安全风险，应当准备并实施相应的策略和规则。通过控制下列与业务信息系统相关的资产与服务的安全，包括文档、计算机、移动计算、移动通信、邮件、声音邮件、一般语音通信、多媒体、邮政服务/设备和传真机，从而降低组织中电子办公系统的风险。

（第六讲续）







9、控制目标－电子商务服务



目标：确保电子商务的安全及他们的安全使用



应考虑与使用电子商务服务相关的安全蕴涵，包括在线交易和控制要求。还应考虑通过公开可用系统以电子方式公布的信息的完整性和可用性。






l
控制措施－电子商务安全



=>应保护电子商务以减少被诈欺、合同争议、信息被泄漏及修改的风险。


电子商务与电子数据交换（EDI）、电子邮件及通过Internet的在线交易的使用相关。许多网络威胁都可能导致针对电子商务的欺诈行为、合同争议和信息泄露、信息更改等。应当用合约的方式来保护电子商务免受这些威胁的危害，合约把交易各方置于得到认可的协议条款的约束之下。




控制措施－在线交易




=>应保护在线交易中的信息，以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未经授权的消息复制或回复。



要采取必要的安全控制措施(例如：网络安全技术、应用安全技术)来保证在线交易。所采用控制的程度要对应于在线交易的每个形式相关的风险级别。交易需要符合交易产生、处理、完成或存储的管理区域的法律、规则和法规。






l
控制措施－公共可用信息




=>应保护公共可用系统中信息的完整性，以防止未经授权的修改。


应当认真保护以电子形式发布的信息的完整性，防止未经授权的改动，这些改动可能会影响该信息发布组织的声誉。
在一个公众可访问的系统上的信息，例如一个可以通过互联网访问的Web服务器上的信息，需要符合相应法律法规。在信息被公开发布之前应当有一个正式的授权程序。
软件、数据和其它一些需要具备较高完整性的信息，如果要在公众可访问的系统上发布，应当有相应的保护机制，例如：数字签名。对于电子公告系统，特别是那些允许信息反馈和直接访问信息的系统，应当认真地加以管理。

（第六讲续）

10、控制目标－监测



目标：检测未经授权的信息处理活动



应监视系统，记录信息安全事件。应使用操作员日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。









l
控制措施－审计日志




=>应当对用户活动、意外事件和信息安全事件产生记录日志，并按照约定的期限进行保留，以支持将来的调查和对访问控制的监测。



审计日志包含入侵者信息和使用者的敏感信息，应采取适当的保护措施。在必要时系统管理员不应有删除或停用他们自己活动日志的权利。





l
控制措施－监视系统的使用



=>应建立监视信息处理系统使用的程序，并定期评审监视活动的结果。



必须使用监视程序以确保用户只执行被明确授权的活动。各个设施的监视级别应由风险评估决定。一个组织应符合所有相关的适用于监视活动的法律要求。





l
控制措施－保护日志信息



=>应保护日志设施和日志信息免受破坏和未授权的访问。



应实施控制以防止对日志信息所做的非授权变更及避免出现操作问题。一些审核日志可能需要作为记录保持策略或由于收集和保持证据的要求的一部分进行存档。





l
控制措施－管理员和操作者日志




=>应记录系统管理员和系统操作者的活动。



这类日志通常要包括事件（成功的或失败的）发生的时间、关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施）的信息、相关的帐号和管理员或操作员、涉及的过程。系统操作员和操作员日志须定期评审。





l
控制措施－错误日志



=>应记录并分析错误日志，并采取适当的措施。



由与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录。对于



处理所报告的故障要有明确的规则。





l
控制措施－时钟同步



=>组织内或同一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。






正确设置计算机时钟对确保审核记录的准确性是重要的，审核日志可用于调查或作为法



律、法律案例的证据。不准确的审核日志可能妨碍调查，并损害这种证据的可信性。链接到



国家原子钟无线电广播时间的时钟可用于保持所有服务器与主时钟同步。


l