本节书摘来自华章出版社《信息安全保障》一书中的第1章,第1.3节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看
1.3 信息系统安全保障概念与模型
满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和。与信息安全相比,信息系统安全更具有体系性、可设计性、可实现性和可操作性。
1.3.1 信息系统安全保障概念
信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
1.?信息系统
信息系统是具有集成性的系统,每一个组织中信息流动的总和都构成了一个信息系统。可以认为,信息系统是根据一定的需要来进行输入、系统控制、数据处理、数据存储与输出等活动所涉及的所有因素的综合体,如图1-5所示。现代信息系统是以计算机为基础,包括人员、硬件、软件、数据4种基本资源。
人员包括系统用户和系统专业人员。系统用户是信息系统的使用者,他们是利用信息系统或通过它产生信息的人;系统专业人员包括系统分析人员、程序编写人员与系统操作人员。系统分析人员根据用户的信息需求设计对应的信息系统;程序编写人员根据分析人员的说明书准备计算机程序;系统操作人员主要负责对信息系统的操作。
硬件资源包括计算机系统和载体。计算机系统包括中央处理器及其相关的外部设备,如图像监控、磁盘驱动器、打印机和扫描仪等;载体包括数据资源的存储介质材料,如硬盘、磁带和光盘等。
软件资源包括所有信息处理调用的指令,包括指示和控制计算机硬件的操作性指令(程序)和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
数据资源包括:由数字、字母以及其他字符组成,描述组织活动和其他事情的字母数字型数据;句子与段落组成的文本数据;图形和图表形式的图像数据;记录人与其他声音的音频数据。
满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础,它提高了社会各个行业和部门的生产和管理效率,方便了人类的日常生活,推动了社会的发展前进。
2.?信息系统安全保障
信息系统处于不断变化的过程,在任何一个时间点上,系统安全状态与其过去的历史密切相关,过去决定现在。因此,信息系统安全保障是与信息系统的规划、设计、实现和运行等生命周期密切相关的。这些活动包括覆盖系统全生命周期的管理活动,系统从无到有的工程活动,系统从概念到设计的架构活动等。
图1-6说明信息系统安全保障中相关概念之间的关系。
(1)风险
信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全问题和事件。
(2)保障
信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接受的范围和程度,从而实现其业务使命。
(3)使命
描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础,针对可能存在的各种威胁和自身弱点,采取有针对性的防范措施。信息安全不是追求绝对的安全,追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。信息系统防范措施不足会造成直接损失,会影响业务系统的正常运行,也会造成不良影响和损失。也就是说,信息安全保障的问题就是安全的效用问题,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。
1.3.2 信息系统安全保障模型
在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1—2006)中描述了信息系统安全保障模型,该模型包含保障要素、生命周期和安全特征3个方面,如图1-7所示。
其中,安全特征是指信息系统是信息产生、传输、存储和处理的载体,信息系统保障的基本目标就是保证其所创建、传输、存储和处理信息的保密性、完整性和可用性;生命周期是指信息系统安全保障应贯穿信息系统的整个生命周期,包括规划组织、开发采购、实施交付、运行维护和废弃5个阶段,以获得信息系统安全保障能力的持续性;保障要素是指信息系统安全保障需要从技术、工程、管理和人员4个领域进行综合保障,由合格的信息安全专业人员,使用合格的信息安全技术和产品,通过规范、可持续性改进的工程过程能力和管理能力进行建设及运行维护,保障信息系统安全。
由图1-7可以看出,该信息系统安全保障模型将风险和策略作为信息系统安全保障的基础和核心。首先,强调信息系统安全保障持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程;其次,强调综合保障的观念,信息系统的安全保障是通过综合技术、管理、工程与人员的安全保障来实施和实现信息系统的安全保障目标,通过对信息系统的技术、管理、工程和人员的评估,提供对信息系统安全保障的信心;第三,以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征,达到保障组织机构执行其使命的根本目的。
在这个模型中,更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息系统生命周期有各种各样的模型,信息系统安全保障模型中的信息系统生命周期模型是基于这些模型的一个简单、抽象的概念性说明模型,它的主要用途在于对信息系统生命周期模型及保障方法进行说明。在信息系统安全保障具体操作时,可根据实际环境和要求进行改动和细化。强调信息系统生命周期,是因为信息安全保障是要达到覆盖整个生命周期的、动态持续性的长效安全,而不是仅在某时间点下保证安全性。
1.?信息系统安全保障安全特征
信息安全保障的安全特征就是保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏。但信息安全保障的目标不仅仅是保护信息和信息处理设施等资产的安全,更重要的是通过保障资产的安全来保障信息系统的安全,进而来保障信息系统所支撑业务的安全,从而达到实现组织机构使命的目的。
2.?信息系统安全保障生命周期
在信息系统安全保障模型中,信息系统的生命周期和保障要素不是相互孤立的,它们相互关联、密不可分,图1-8为信息系统安全保障生命周期的安全保障要素。
信息系统的整个生命周期可以抽象成计划组织、开发采购、实施交付、运行维护和废弃五个阶段,在运行维护阶段变更,以产生反馈,形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。下面分别对这五个阶段进行简要介绍。
(1)计划组织阶段
单位的使命和业务要求产生了信息系统安全保障建设和使用的需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设开始就应该综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全建设同步规划、同步实施。
(2)开发采购阶段
开发采购阶段是计划组织阶段的细化、深入和具体体现。在此阶段,应进行系统需求分析、考虑系统运行要求、设计系统体系以及相关的预算申请和项目准备等管理活动,克服传统的、基于具体技术或产品的片面性,基于系统需求、风险和策略,将信息系统安全保障作为一个整体进行系统的设计和建设,建立信息系统安全保障整体规划和全局视野。组织可以根据具体要求,评估系统整体的技术、管理安全保障规划或设计,保证对信息系统的整体规划满足组织机构的建设要求和国家、行业或组织机构的其他要求。
(3)实施交付阶段
在实施交付阶段,单位可以对承建方的安全服务资格和信息安全专业人员资格有所要求,确保施工组织的服务能力,还可以通过信息系统安全保障的工程保障对施工过程进行监理和评估,确保最终交付系统的安全性。
(4)运行维护阶段
信息系统进入运行维护阶段后,需要对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,这是信息系统得以安全、正常运行的根本保证。此外,信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统的计划组织阶段。
(5)废弃阶段
当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。
通过在信息系统生命周期的所有阶段融入信息系统安全保障概念,确保信息系统的持续动态安全保障。
3.?信息系统安全保障要素
在空间维度上,信息系统安全需要从技术、工程、管理和人员4个领域进行综合保障。在安全技术方面,不仅要考虑具体的产品和技术,更要考虑信息系统的安全技术体系架构;在安全管理方面,不仅要考虑基本安全管理实践,更要结合组织特点建立相应的安全管理体系,形成长效和持续改进的安全管理机制;在安全工程方面,不仅要考虑信息系统建设的最终结果,更要结合系统工程的方法,注重工程过程各个阶段的规范化实施;在人员安全方面,要考虑与信息系统相关的所有人员(包括规划者、设计者、管理者、运行维护者、评估者、使用者等)所应具备的信息安全专业知识和能力。
(1)信息安全技术
常用信息安全技术主要包括以下类型。
1)密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别和秘密分享等。通过以密码学为核心的信息安全理论与技术来保证达到数据的机密性和完整性等要求。
2)访问控制技术:访问控制技术是在为用户提供系统资源最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。
3)网络安全技术:网络安全技术包括网络协议安全、防火墙、入侵检测系统/入侵防御系统(Intrusion Prevention System,IPS)、安全管理中心(Security Operations Cente,SOC)、统一威胁管理(Unified Threat Management,UTM)等。这些技术主要是保护网络的安全,阻止网络入侵攻击行为。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病毒网关对基于超文本传输协议(Hypertext Transfer Protocol,HTTP)、文件传输协议(File Transfer Protocol,FTP)、简单邮件传送协议(Simple Mail Transfer Protocol,SMTP)、邮局协议版本3(Post Office Protocol 3,POP3)、安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)等入侵网络内部的病毒进行过滤。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报的网络安全设备。入侵防御系统是监视网络传输行为的安全技术,它能够即时的中断、调整或隔离一些异常或者具有伤害性的网络传输行为。
4)操作系统与数据库安全技术:操作系统安全技术主要包括身份鉴别、访问控制、文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全功能,数据库完整性要求和备份恢复,以及数据库安全防护、安全监控和安全审计等。
5)安全漏洞与恶意代码防护技术:安全漏洞与恶意代码防护技术包括减少不同成因和类别的安全漏洞,发现和修复这些漏洞的方法;针对不同恶意代码加载、隐藏和自我保护技术的恶意代码的检测及清除方法等。
6)软件安全开发技术:软件安全开发技术包括软件安全开发各关键阶段应采取的方法和措施,减少和降低软件脆弱性以应对外部威胁,确保软件安全。
(2)信息安全管理
信息安全管理主要包含以下内容。
1)信息安全管理体系。信息安全管理体系是整体管理体系的一部分,也是组织在整体或特定范围内建立信息安全方针和目标,并完成这些目标所用方法的体系。基于对业务风险的认识,信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进信息安全等一系列管理活动,它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
2)信息安全风险管理。信息安全管理就是依据安全标准和安全需求,对信息、信息载体和信息环境进行安全管理以达到安全目标。风险管理贯穿于整个信息系统生命周期,包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。其中,背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤的始终。
3)信息安全控制措施。信息安全控制措施是管理信息安全风险的具体手段和方法。将风险控制在可接受的范围内,这依赖于组织部署的各种安全措施。合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法,威慑安全违规人员甚至犯罪人员,预防、检测安全事件的发生,并将遭受破坏的系统恢复到正常状态。确定、部署并维护这种综合全方位的控制措施是组织实施信息安全管理的重要组成部分。通常,组织需要从安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个方面,综合考虑部署合理的控制措施。
4)应急响应与灾难恢复。部署信息安全控制措施的目的之一是防止发生信息安全事件,但由于信息系统内部固有的脆弱性和外在的各种威胁,很难彻底杜绝信息安全事件的发生。所以,应及时有效地响应与处理信息安全事件,尽可能降低事件损失,避免事件升级,确保在组织能够承受的时间范围内恢复信息系统和业务的运营。应急响应工作管理过程包括准备、检测、遏制、根除、恢复和跟踪总结6个阶段。信息系统灾难恢复管理过程包括灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现及灾难恢复预案制定与管理4个步骤。应急响应与灾难恢复关系到一个组织的生存与发展。
5)信息安全等级保护。信息安全等级保护是我国信息安全管理的一项基本制度。它将信息系统按其重要程度以及受到破坏后对相应客体(即公民、法人和其他组织的)合法权益、社会秩序、公共利益和国家安全侵害的严重程度,将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求,落实相关安全措施,以获得相应级别的安全保护能力,对抗各类安全威胁。信息安全等级保护的实施包括系统定级、安全建设整改、自查、等级测评、系统备案、监督检查6个过程。
(3)信息安全工程
规范的信息安全工程过程包括发掘信息保护需要、定义信息系统安全要求、设计系统安全体系结构、开发详细安全设计和实现系统安全5个阶段及相应活动,同时还包括对每个阶段过程信息保护有效性的评估。
信息系统安全工程(Information System Security Engineering,ISSE)是一种信息安全工程方法,它从信息系统工程生命周期的全过程来考虑安全性,以确保最终交付的工程的安全性。
系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征,这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。应用SSE-CMM可以度量和改进工程组织的信息安全工程能力。
信息安全工程监理,是信息安全工程实施过程中一种常见的保障机制。
(4)信息安全人员
在信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防双方人员的能力。组织机构应通过以下几方面的努力,建立一个完整的信息安全人才体系。
对所有员工,进行信息安全保障意识教育,诸如采取内部培训、在组织机构网站上发布相关信息等方式,增强所有员工的安全意识;对信息系统应用岗位的员工,进行信息安全保障基本技能培训;对信息安全专业人员,应通过对信息安全保障、管理、技术、工程,以及信息安全法规、政策与标准等知识的学习,全面掌握信息安全的基本理论、技术和方法,丰富的信息安全经验需要通过该岗位的长期工作积累获得;信息安全研发人员,除了需要具备信息安全基本技能外,还应培训其安全研发相关知识,包括软件安全需求分析、安全设计原则、安全编码、安全测试等内容;信息安全审计人员,则需要通过培训使其掌握信息安全审计方法、信息安全审计的规划与组织、信息安全审计实务等内容。
思考题
1.?在各个信息安全发展阶段,组织面临的主要威胁与采取的主要防护措施有什么不同?信息安全的发展趋势是怎样的?
2.?信息安全问题产生的根本原因有哪些?这些原因之间的关系如何?
3.?信息安全保障要素有哪些?这些保障要素与信息系统生命周期之间的关系如何?
4.?利用P2DR模型进行信息安全保障的思想和原理是什么?
5.?如何理解信息安全保障技术框架的深度防御战略?