設(shè)計思路與原則
信息安全保障是一個極為復(fù)雜、系統(tǒng)性和長期性的工作。設(shè)計信息系統(tǒng)安全體系及實(shí)施方案時一般應(yīng)遵循以下四條原則:
清晰定義安全模型;
合理劃分安全等級;
科學(xué)設(shè)計防護(hù)深度;
確保可實(shí)施易評估。
1.清晰定義安全模型
面對的難題:政府或大型企業(yè)組織的信息系統(tǒng)結(jié)構(gòu)復(fù)雜,難以描述。
政府或大型企業(yè)的信息系統(tǒng)往往覆蓋全國范圍內(nèi)的各省、市、縣和鄉(xiāng)鎮(zhèn),地域遼闊,規(guī)模龐大;各地信息化發(fā)展程度不一,東西部存大較大差別;前期建設(shè)缺乏統(tǒng)一規(guī)劃,各區(qū)域主要業(yè)務(wù)系統(tǒng)和管理模式往往都存在較大的差別。這樣就造成難以準(zhǔn)確、清晰地描述大型信息系統(tǒng)的安全現(xiàn)狀和安全威脅。因此,設(shè)計保障體系時也就無的放矢,缺乏針對性,也不具備實(shí)用性。
解決方法:針對信息系統(tǒng)的安全屬性定義一個清晰的、可描述的安全模型,即信息安全保護(hù)對象框架。
在設(shè)計信息安全保障體系時,首先要對信息系統(tǒng)進(jìn)行模型抽象。我們把信息系統(tǒng)各個內(nèi)容屬性中與安全相關(guān)的屬性抽取出來,參照IATF(美國信息安全保障技術(shù)框架),通過建立“信息安全保護(hù)對象框架”的方法來建立安全模型,從而相對準(zhǔn)確地描述信息系統(tǒng)的安全屬性。保護(hù)對象框架是根據(jù)信息系統(tǒng)的功能特性、安全價值以及面臨威脅的相似性,將其劃分成計算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類信息資產(chǎn)組作為保護(hù)對象。
2.合理劃分安全等級
面對的難題:如何解決在設(shè)計安全保障措施時所面對的需求差異性與經(jīng)濟(jì)性難題。
因?yàn)樾畔⑾到y(tǒng)的差異性,從而其安全要求的屬性和強(qiáng)度存在較大差異性;又因?yàn)榻?jīng)濟(jì)性的考慮,需要考慮信息安全要求與資金人力投入的平衡。設(shè)計安全保障措施時不能一刀切,必須考慮差異性和經(jīng)濟(jì)性。
解決方法:針對保護(hù)對象和保障措施劃分安全等級。
首先進(jìn)行信息系統(tǒng)的等級化:通過將保護(hù)對象進(jìn)行等級化劃分,實(shí)現(xiàn)等級化的保護(hù)對象框架,來反映等級化的信息系統(tǒng)。其次,設(shè)計等級化的保障措施:根據(jù)保護(hù)對象的等級化,有針對性地設(shè)計等級化的安全保障措施,從而通過不同等級的保護(hù)對象和保障措施的一一對應(yīng),形成整體的等級化安全保障體系。
等級化安全保障體系為用戶提供以下價值:
滿足大型組織中不同分支機(jī)構(gòu)的個性化安全需求;
可動態(tài)地改變保護(hù)對象的安全等級,能方便地調(diào)整不同階段的安全目標(biāo);
可綜合平衡安全成本與風(fēng)險,能優(yōu)化信息安全資源配置;
可清晰地比對目標(biāo)與現(xiàn)狀,能準(zhǔn)確、完備地提取安全需求。
3.科學(xué)設(shè)計防護(hù)深度
面對的難題:現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),缺乏多重深度保障,缺乏抗打擊能力和可控性。
信息安全問題包含管理方面問題、技術(shù)方面問題以及兩者的交叉,它從來都不是靜態(tài)的,隨著組織的策略、組織架構(gòu)、業(yè)務(wù)流程和操作流程的改變而改變。現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),單純部署安全產(chǎn)品是一種靜態(tài)的解決辦法,單純防范黑客入侵和病毒感染更是片面的。一旦單點(diǎn)防護(hù)措施被突破、繞過或失效,整個安全體系將會失效,從而威脅將影響到整個信息系統(tǒng),后果是災(zāi)難性的。
解決方法:設(shè)計多重深度保障,增強(qiáng)抗打擊能力。
4.確保可實(shí)施易評估
面對的難題:許多安全體系缺乏針對性,安全方案不可實(shí)施,安全效果難以評估。
我國許多安全項(xiàng)目在安全體系框架設(shè)計方面,由于缺乏深入和全面的需求調(diào)研,往往不能切實(shí)反映信息系統(tǒng)的業(yè)務(wù)特性和安全現(xiàn)狀,安全體系框架中缺乏可行的實(shí)施方案與項(xiàng)目規(guī)劃,在堆砌安全產(chǎn)品的過程中沒有設(shè)計安全管理與動態(tài)運(yùn)維流程,缺乏安全審計與評估手段,因此可實(shí)施性和可操作性不強(qiáng)。
解決方法:綜合運(yùn)用用戶訪談、資產(chǎn)普查、風(fēng)險評估等手段,科學(xué)設(shè)計安全體系框架,確保可實(shí)施易評估。
我們在設(shè)計安全體系時,充分考慮到了上述問題,采取如下措施:
在設(shè)計安全體系前,通過對目標(biāo)信息系統(tǒng)的各方面進(jìn)行完整和深入調(diào)研,采取的手段包括選取典型抽樣節(jié)點(diǎn)的深入調(diào)查和安全風(fēng)險評估,以及全范圍的信息資產(chǎn)和安全狀況普查。綜合兩種手段,得出反映現(xiàn)狀的安全保護(hù)對象框架及下屬的信息資產(chǎn)數(shù)據(jù)庫,以及全面的安全現(xiàn)狀報告。
在體系框架設(shè)計的同時設(shè)計工程實(shí)施方案和項(xiàng)目規(guī)劃;安全體系本身具有非常詳盡的描述,具備很強(qiáng)的可工程化能力。在描述安全對策時,不是原則性的,而應(yīng)是可操作和可落實(shí)的。
設(shè)計方法
1.總體設(shè)計方法
設(shè)計政府/大型企業(yè)組織安全體系的具體內(nèi)容包括:
安全保護(hù)對象框架
信息系統(tǒng)保護(hù)對象框架是根據(jù)對大型政府/企業(yè)組織總部及各省的評估調(diào)查和譜查,參照信息保障體系的建模方法,按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對象。
安全保護(hù)對策框架
信息系統(tǒng)安全保護(hù)對策框架是參照國內(nèi)外先進(jìn)的信息安全標(biāo)準(zhǔn),參考業(yè)界通用的最佳實(shí)施,并結(jié)合大型政府/企業(yè)組織的實(shí)際情況和現(xiàn)實(shí)問題進(jìn)行定制,對大量可行的安全對策進(jìn)行等級劃分。
信息系統(tǒng)安全體系
信息系統(tǒng)安全體系是以保護(hù)對象為經(jīng),以安全等級框架為緯,對保護(hù)對象逐個進(jìn)行威脅和風(fēng)險分析,從而形成信息系統(tǒng)安全體系,其表現(xiàn)形式示意圖如圖1所示。
圖1 安全對策框架
2.等級化安全保護(hù)對象框架設(shè)計
由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大,各分支機(jī)構(gòu)的信息系統(tǒng)之間存在差異,因此必須對信息系統(tǒng)進(jìn)行抽象,形成統(tǒng)一的保護(hù)對象框架。
安全保護(hù)對象框架模型的設(shè)計(以銀行業(yè)為例)如圖2所示。
3.等級化安全對策框架設(shè)計
根據(jù)組織的特點(diǎn)設(shè)計和定制等級化安全對策框架,并針對組織的現(xiàn)狀選擇安全對策及其等級。
(1)安全框架層次結(jié)構(gòu)和分類
大型政府/企業(yè)組織安全對策框架體系包括安全策略、安全組織、安全運(yùn)作和安全技術(shù)四個子安全對策框架,分別包括一系列對策類,對策類可過一步細(xì)分對策子類,甚至對策子類也可以再次細(xì)分為對策子類。細(xì)分到最后的對策類和對策子類由對策構(gòu)成。對策中則是一些較為具體的安全控制。通過對不同強(qiáng)度和數(shù)量安全控制的組合,將對策分級。
(2)安全對策框架等級劃分
每個安全對策可分為三個等級,每一等級由若干條安全控制細(xì)則組成。一般通過安全控制細(xì)則的增強(qiáng)、增加來提高對策的等級。當(dāng)安全對策某一等級中的所有安全控制細(xì)則均已實(shí)現(xiàn)時,可認(rèn)為已達(dá)到該等級的對策。安全對策的等級劃分,大體參考了GB 17859、GB/T /T18366、TCSEC、SP800-53等國內(nèi)外信息安全標(biāo)準(zhǔn)。不同框架的對策,參照的標(biāo)準(zhǔn)有所不同。
4.等級化安全保障體系設(shè)計
安全保障體系的深度防御戰(zhàn)略模型將防御體系分為組織、技術(shù)和運(yùn)作三個要素。信息安全管理就是通過一系列的策略、制度和機(jī)制來協(xié)調(diào)這三者之間的關(guān)系,明確技術(shù)實(shí)施和安全操作中相關(guān)人中的安全職責(zé),從而達(dá)到安全風(fēng)險的及時發(fā)現(xiàn)和有效控制,提高安全問題發(fā)生時反應(yīng)速度和恢復(fù)能力,增強(qiáng)網(wǎng)絡(luò)的整體安全保障能力。
安全策略體系指的是從信息資產(chǎn)安全管理的角度出發(fā),為了保護(hù)信息資產(chǎn),消除或降低風(fēng)險而制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程的總和。
安全組織體系作為安全工作的管理和實(shí)施體系,主要負(fù)責(zé)安全策略、制度、規(guī)劃的制訂和實(shí)施,確定各種安全管理崗位和相應(yīng)的安全職責(zé),并負(fù)責(zé)選用合適的人員來完成相應(yīng)崗位的安全管理工作,監(jiān)督各種安全工作的開展,協(xié)調(diào)各種不同部門在安全實(shí)施中的分工和合作,保證安全目標(biāo)的實(shí)現(xiàn)。
安全運(yùn)作體系,包括安全生命周期中各個安全環(huán)節(jié)的要求,包括:安全工程管理機(jī)制,安全預(yù)警機(jī)制、定期的安全風(fēng)險識別和控制機(jī)制、應(yīng)急響應(yīng)機(jī)制和定期的安全培訓(xùn)機(jī)制等。
安全技術(shù)體系包含鑒別和認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)以及審計響應(yīng)五個部分內(nèi)容。
總結(jié)
等級化安全體系的設(shè)計需要充分考慮信息系統(tǒng)的復(fù)雜性和信息安全保障的系統(tǒng)性與長期性,需要系統(tǒng)化的統(tǒng)一規(guī)劃設(shè)計。在安全體系設(shè)計時應(yīng)該考慮如何有效實(shí)施,并同時設(shè)計實(shí)施方案和建設(shè)規(guī)劃;通過將安全體系指標(biāo)和安全現(xiàn)狀的對比,產(chǎn)生安全需求,并將類似的一組安全需求打包并設(shè)計解決方案;然后將一組類似的解決方案打包成可以工程化實(shí)施的項(xiàng)目,并通過規(guī)劃,排出實(shí)施的先后順序,從而分步進(jìn)行實(shí)施。