一、信息系统安全保障相关概念
信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。随着当前社会信息化程度的不断提高,各类信息系统越来越成为其所从属的组织机构生存和发展的关键因素,信息系统的安全风险也成为组织风险的一部分。同时,信息系统受来自于组织内部与外部环境的约束,信息系统的安全保障除了要充分分析信息系统本身的技术、业务、管理等特性,还要考虑这些约束条件所产生的要求。为了保障组织机构完成使命,系统安全管理人员必须针对信息系统面临的各种各样的风险制定相应的策略。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出信息安全保障要求,确保信息系统的保密性、完整性和可用性,把安全风险降到可接受的程度,从而保障系统能够顺利实现组织机构的使命。
信息系统安全保障工作就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略体系,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险降至预定可接受的程度,从而保障其使命要求。策略体系是组织机构在对风险、资产和使命综合理解的基础上所做出的指导文件。策略体系的制定,反映了组织机构对信息系统安全保障及其目标的理解,它的制定和贯彻执行对组织机构信息系统安全保障起着纲领性的指导作用。
信息系统安全保障工作的基础和前提是风险管理。信息安全策略必须以风险管理为基础,针对可能存在的各种威胁和自身存在的弱点,采取有针对性的防范措施。
二、信息系统安全保障模型
信息系统安全保障模型包含保障要素、生命周期和安全特征3个方面。
信息系统安全保障模型的主要思路是以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的。
模型特点:
- 将风险和策略作为信息系统安全保障的基础和核心。
- 强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程。
- 强调综合保障的观念。通过综合技术、管理、工程和人员要素来保障信息系统安全。
1、基于信息系统生命周期的信息安全保障
信息系统的生命周期层面和保障要素层面不是相互孤立的,而是相互关联、密不可分的。
在信息系统生命周期模型中,将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃5个阶段,加上在运行维护阶段的变更产生的反馈,形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。
- 计划组织阶段 :根据组织机构的业务要求、法律法规的要求、系统所存在的风险等因素,产生了信息系统安全保障需求。在此阶段,信息安全策略应加入信息系统建设和使用的决策中。从信息系统建设开始,就应该综合考虑系统的安全保障要求,确保信息系统建设和信息系统安全保障建设同步规划、同步实施。也就是我们平时讲的信息系统和安全保障要“三同步”--同步规划、同步建设、同步使用。
- 开发采购阶段:此阶段是计划组织阶段的细化和具体体现。在此阶段中,进行系统安全需求分析、系统安全体系设计以及相关预算申请和项目准备等活动。在此阶段,应克服传统拘泥于具体技术的片面性,要综合考虑系统的风险和安全策略,将信息系统安全保障作为一个个整体,进行系统地设计,建立信息系统安全保障整体规划和全局视野。组织机构可根据具体要求,对系统整体的技术、管理安全保障规划或设计进行评估,以保证对信息系统的整体规划满足组织机构的建设要求和相关国家与行业的要求。
- 实施交付阶段:在此阶段,组织机构可通过对承建方进行信息安全服务资格要求和人员专业资格要求以确保施工组织的服务能力;组织机构还可通过信息系统安全保障工程保障对实施施工过程进行监理和评估,最终确保所交付系统的安全性。
- 运行维护阶段:信息系统进人运行维护阶段后,对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,是信息系统得以安全正常运行的根本保证。
- 变更:信息系统投入运行后并不是- - 成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进人信息系统组织计划阶段(即规划阶段)。
- 废弃阶段:当信息系统不再满足业务要求时,信息系统进入废弃阶段,在这个阶段,需要考虑信息安全销毁等要素。
这样,通过在信息系统生命周期所有阶段融人信息系统安全保障概念,确保了信息系统的持续动态安全保障。
2、信息安全保障要素
1)信息安全技术
信息安全技术体系包括以下几个方面。
- 密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别、秘密分享等。通过以密码学为核心的信息安全理论与技术保证数据的机密性和完整性等要求。
访问控制技术:在为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。 - 审计和监控技术:审计是事后认定违反安全规则行为的分析技术,在检测违反安全规则方面、准确发现系统发生的事件以及对事件发生的事后分析方面,审计都发挥着巨大的作用。审计技术的发展,来源于对访问的跟踪,这些访问包括对保存在计算机系统中敏感及重要信息的访问和对计算机系统资源的访问。网络安全监控包括主动监控和被动监控。它依赖于在任何给定时间内网络组件和检测器记录下已经发生的事情,接收日志信息,并对它进行分析。
- 网络安全技术:这些技术包括网络协议安全、防火墙技术、人侵检测系统/人侵防御系统( Intrusion Detection System/Intrusion Prevention System, IDS/IPS )安全管理平台( Security Operations Center, SOC )、统一威胁管理( Unified Threat Management, UTM )等。网络安全技术主要是保护网络的安全,防止入侵攻击行为的发生。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病毒网关防止基于HTTP/FTP/SMTP/POP3/HTTPS等网络协议侵人网络内部的病毒进行过滤。人侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报措施的网络安全设备。人侵防御系统是监视网络传输行为的安全技术,它能够即时地中断、调整或隔离一些异常或是具有伤害性的网络传输行为。
- 操作系统与数据库安全技术:操作系统安全技术主要包括身份鉴别、访问控制 、文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全功能,数据库完整性要求和备份恢复,以及数据库安全防护、安全监控和安全审计等。
- 安全漏洞与恶意代码:包括安全漏洞的成因、分类、发掘方法,以及如何修复等;以及恶意代码的加载、隐藏和自我保护技术,恶意代码的检测原理及清除方法等。
- 软件安全开发:包括软件安全开发模型、软件安全开发关键阶段的安全控制措施等内容。
2)信息安全管理
信息安全管理体系,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识、ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管 理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
风险管理是指以风险为主线进行信息安全的管理,它的实施目标就是要依据安全标准和信息系统的安全需求,对信息、信息载体、信息环境进行安全管理,以达到安全目标。
风险管理贯穿于整个信息系统生命周期,包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等6个方面的内容。其中,对象确立、风险评估、风险控制和审核批准是信息安全风险管理的4个基本步骤,监控与审查、沟通与咨询则贯穿于这4个基本步骤中。
3)信息安全工程
信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。
系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征。这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。
4)信息安全人才
信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防两端的人,而不是设备。对组织机构来说,应建立一个完整的信息安全人才体系。
信息安全人才体系应包括以下方面。
- 所有员工:需要进行信息安全保障意识教育,具体可以采用内部培训、在组织机构网站上发布相关信息等措施来增强所有员工的安全意识。
- 涉及信息系统的岗位和职责的员工:需要进行相应的信息安全保障的基本技能培训。
- 信息安全专业人员:应建立更全面、更专业的信息安全保障知识和经验。
本文节选自:
《信息安全技术 信息系统安全保障评估框架:简介和一般模型》GB_T 20274.1 200
《CISP培训教材》
