我們知道,確保信息安全有兩大支柱:技術和管理。當我們日常談論信息安全時,多是在技術相關領域,如IDS入侵檢測技術、防火墻防火墻技術、防病毒殺毒技術、加密技術、CA認證技術等。這是因為信息安全技術和產品的采用能夠很快看到直接效益,同時技術和產品的發展水平也比較高。此外,技術廠商對市場的培育也不斷提高了人們對信息安全技術和產品的認知度。
隨著威脅的發展趨勢,安全技術的種類和數量越來越多,但是安全技術和產品的種類和數量越多越好。只有技術的積累而不註重管理,必然會導致很多安全疏漏。雖然大家在面對信息安全事件時總在感嘆:“道高壹尺,魔高壹丈”,在反思自身技術不足的同時,實質上人們此時忽略了另外兩個層面的保護。正如沈昌祥院士所指出的:“傳統的信息安全措施主要是堵漏洞、築高墻、防外來攻擊之類的,但最後的結果是防不勝防。”
技術需求和管理需求是保證信息系統安全不可分割的兩部分。它們既獨立又相互聯系。在某些情況下,技術和管理可以發揮各自的作用。在其他情況下,需要同時使用技術和管理來實現安全控制或更強的安全控制;在大多數情況下,技術和管理需要相互支持,以確保正確實現各自的功能。我們通常用水桶效應來描述分布式系統的安全問題,認為整個系統的安全取決於水桶中最薄弱的壹塊木頭。平臺就像這個桶的鐵環。有了這個箍,水桶就很難塌了。即使有個別漏洞,也不會對整個系統造成災難性的破壞。
信息安全管理系統是壹個組織在整體或特定範圍內建立信息安全政策和目標,以及用來實現這些目標的方法的系統。它是直接管理活動的結果,表現為原則、原理、目標、方法、過程、清單和其他要素的集合。系統是對傳統管理模式的重大變革。它對不同地點、不同安全系統的大量分散的單個安全事件進行匯總、篩選、收集和分析,從全局角度獲取安全風險事件,形成統壹的安全決策來應對和處理安全事件。
目前,各廠商和標準化組織基於各自的視角提出了各種信息安全管理的系統標準。這些基於產品、技術和管理的標準在壹些領域得到了很好的應用。然而,從組織信息安全和整個生命周期的角度來看,現有的信息安全管理制度和標準並不完備,尤其是忽略了組織中最活躍的因素——人的作用。縱觀國內外的各類信息安全事件,我們不難發現,在信息安全事件的表象背後,人的因素其實起著決定性的作用。不完整的安全系統不能保證日益復雜的組織信息系統的安全。
7.2.2信息安全管理架構
信息安全的建設是壹個系統工程,需要對信息系統的各個方面進行統壹的綜合考慮、規劃和框架,並始終考慮到組織的不斷變化。任何壹個環節的安全缺陷都會對系統造成威脅。這裏我們可以引用管理學中的康尼金定律來說明。坎尼金定律指的是:壹個木桶是由許多木板組成的。如果這些木板長短不壹,那麽壹個木桶的最大容量不是取決於最長的木板,而是取決於最短的木板。這壹原則也適用於信息安全。壹個組織的信息安全級別將由與信息安全相關的所有環節中最薄弱的環節決定。信息從產生到銷毀的生命周期包括產生、收集、處理、交換、存儲、檢索、歸檔和銷毀等多個事件,其形式和載體會發生各種變化,其中任何壹個事件都可能影響整體信息安全水平。壹個組織要實現信息安全的目標,必須讓組成安全防範體系“木桶”的所有木板都達到壹定的長度。從宏觀角度來看,我們認為信息安全管理體系結構可以用以下HTP模型來描述:人與管理、技術與產品、過程與框架。
其中,人是信息安全中最活躍的因素,人的行為是信息安全最重要的方面。人,尤其是內部員工,既是信息系統最大的潛在威脅,也是最可靠的安全防線。統計結果顯示,在所有信息安全事故中,只有20% ~ 30%是由黑客攻擊或其他外部原因造成的,70% ~ 80%是由內部員工的疏忽或故意泄密造成的。站在更高的層面看信息與網絡安全的全貌,會發現安全問題其實是人的問題,單靠技術是不可能從“最大威脅”變成“最可靠防線”的。以往的安全模型最大的缺陷就是忽略了對人的因素的考慮。在信息安全問題上,要以人為本,人的因素比信息安全技術和產品的因素更重要。與人相關的安全問題涉及面很廣,有國家角度的法律法規和政策;從組織的角度來看,有安全政策和程序、安全管理、安全教育和培訓、組織文化、應急計劃和業務連續性管理。從個人角度來說,有專業要求、個人隱私、行為、心理等問題。在信息安全技術防範措施方面,可以綜合采用商用密碼、防火墻、反病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、證據收集、網絡入侵陷阱、主動反擊等多種技術和產品。保護信息系統安全,但不應以部署所有安全產品和技術為目標,追求信息安全零風險。如果安全成本太高,安全就失去了意義。組織應采用“規模合理”(Rightsizing)的原則來實現信息安全,即在風險評估的前提下,引入適當的控制措施,將組織的風險降低到可接受的水平,確保組織業務的連續性並實現其商業價值的最大化,從而達到安全的目的。
7.2.3信息安全管理體系的功能
6.5438+0安全策略
安全策略管理可以說是整個安全管理平臺的中心,它根據組織的安全目標制定和維護組織的各種安全策略和配置信息。安全策略是指在特定環境中確保壹定安全保護級別所必須遵循的規則。網絡安全的實現不僅依靠先進的技術,還需要嚴格的安全管理、法律約束和安全教育。
安全策略基於授權行為的概念。安全策略壹般包括“未經授權的實體,信息不能被給出、訪問、引用或修改”等要求,就是根據授權來區分不同的策略。根據授權的性質,可以分為基於規則的安全策略和基於身份的安全策略。授權服務分為兩種類型:管理強制和動態選擇。安全策略將決定必須實施哪些安全措施,以及可以根據用戶的需要選擇哪些安全措施。大多數安全策略都應該強制執行。
(1)基於身份的安全策略。基於身份的安全策略的目的是過濾對數據或資源的訪問。也就是說,用戶可以訪問他們的部分資源(訪問控制列表),或者系統授予用戶特權標記或權限。在這兩種情況下,數據項的數量都會發生很大的變化。
(2)基於規則的安全策略。基於規則的安全策略是系統用相應的安全標簽標記主體(用戶、進程)和客體(數據),並制定訪問權限,這個標簽作為數據項的壹部分。
兩種安全策略都使用標簽。標記的概念在數據通信中很重要。身份認證、管理、訪問控制等等都需要對主客體進行相應的標記,並對其進行相應的控制。在通信時,數據項、通信過程和實體、通信信道和資源都可以用它們的屬性來標記。安全策略必須指定如何使用屬性來提供必要的安全性。
根據系統的實際情況和安全需求,合理地確定安全策略是復雜而重要的。因為安全是相對的,安全技術是不斷發展的,所以對安全應該有壹個合理明確的要求,主要體現在安全策略上。網絡系統的安全要求主要是完整性、可用性和保密性。完整性和可用性是由網絡的開放性和享用性決定的。根據用戶的需求提供相應的服務是網絡最基本的目的。機密性對不同的網絡有不同的要求,即網絡不壹定是安全的網絡。因此,每個內部網都應該根據自己的要求確定自己的安全策略。現在的問題是,大部分軟硬件都很先進,很龐大,很齊全,但是在安全方面卻沒有明確的安全策略。壹旦投入使用,存在諸多安全漏洞。在整體設計中,如果根據安全需求制定網絡安全策略,並分步實施,系統漏洞會更少,運行效果會更好。
在工程設計中,根據安全策略構建壹系列安全機制和具體措施,確保安全第壹。多重保護的目的是使各種保護措施相輔相成。底層依靠安全操作系統本身的安全保護功能,上層有防火墻、訪問控制列表等措施,防止第壹層措施被攻破後安全受到威脅。最少授權原則是指采取限制性措施,限制超級用戶的權力,使用全部壹次性密碼。全面保護需要在物理、軟硬件、管理上采取多種措施,分層保護,確保系統安全。
7.2.3.2安全機制
在信息安全管理系統中,安全機制是保證安全策略實施和實現的機制和系統,通常實現三個功能:預防、檢測和恢復。典型的安全機制如下:
(1)數據安全改造。數據安全轉換,即密碼技術,是許多安全機制和安全服務的基礎。密碼是實現秘密通信的主要手段,是隱藏語言、文字和圖像的特殊符號。任何按照雙方約定的方法,使用特殊符號隱藏消息原型,且不被第三方認可的通信方式,稱為密碼通信。在計算機通信中,通過密碼技術將信息隱藏起來,然後將隱藏的信息進行傳輸,這樣即使信息在傳輸過程中被竊取或截獲,竊取者也無法知道信息的內容,從而保證了信息傳輸的安全性。使用密碼技術可以有效防止對信息的非授權觀察和修改、否認、模仿、通信流量分析等。
(2)數字簽名機制。數字簽名機制用於實現特殊的安全服務,如抗抵賴和認證。數字簽名是公鑰加密技術的壹種應用,就是用發送方的私鑰對消息摘要進行加密,然後附加在原始信息上,稱為數字簽名。
(3)訪問控制機制。訪問控制機制的實現是壹種限制資源訪問的策略。也就是規定了不同主體對不同客體的操作權限,只允許授權用戶訪問敏感資源,拒絕未授權用戶訪問。首先要對想要訪問某個資源的實體進行成功的認證,然後訪問控制機制會對實體的訪問請求進行處理,看實體是否有權訪問所請求的資源,並做出相應的處理。使用的技術包括訪問控制矩陣、密碼、能力級別和標簽,這些技術可以解釋用戶的訪問權限。
(4)數據完整性機制。為了防止數據被未經授權的修改,這種機制可以通過使用單向不可逆函數-散列函數來計算消息摘要並對消息摘要進行數字簽名來實現。
(5)身份交換機制。認證交換機制是指信息交換雙方(如內網和互聯網)之間的相互認證。交換身份驗證是壹種通過交換信息來確認實體身份的機制。用於交換認證的技術包括:密碼,由發送實體提供並由接收實體檢測;密碼學技術,即將交換的數據加密,只有合法用戶才能解密,得到有意義的明文;利用實體的特征或所有權,如指紋識別和身份證。
(6)路由控制機制。用於指定數據通過網絡的路徑。這樣就可以選擇壹條路徑,這條路徑上的所有節點都是可信的,保證發送的信息不會因為經過不安全的節點而受到攻擊。
(7)公證機制。由所有通信方信任的第三方提供。第三方確保數據完整性和數據源、時間和目的地的正確性。
還有物理環境安全機制,人員審核和控制機制。其實防護措施離不開人的掌握和執行,系統安全最終還是由人來控制。因此,安全離不開對人員的考核、控制、培訓和管理,要通過制定和實施各種管理制度來實現。
7.2.3.3的風險和安全預警管理
風險分析是了解計算機系統安全狀況,識別系統漏洞並提出對策的科學方法。進行風險分析時,首先要明確分析的對象。如果對象應該是整個系統的明確範圍和安全敏感區域,確定分析內容,找出安全漏洞,確定重點分析方向。然後認真分析重點保護對象,分析風險產生的原因、影響、潛在威脅和後果,並有壹定的量化評估數據。最後,根據分析結果,提出了有效的安全措施以及這些措施可能帶來的風險,並證實了資金投入的合理性。
安全預警是壹種有效的預防措施。結合安全漏洞跟蹤研究,及時發布相關安全漏洞信息和解決方案,督促指導各級安全管理部門及時做好安全防範工作,防患於未然。同時,通過安全威脅管理模塊掌握的全網安全動態,指導各級安全管理機構做好安全防範工作,尤其是針對當前的高頻攻擊。
7.2.4信息安全管理體系標準和認證
信息安全管理體系標準的制定始於1995,經過10多年的修訂和完善,形成了現在廣泛使用的ISO27001:2005認證標準。英國標準協會(BSI)於1995年2月提出BS7799,並於1995和1999年兩次修訂。BS7799分為兩部分:BS7799-1,信息安全管理實施細則;BS7799-2,信息安全管理系統規範。
第壹部分為在其組織中負責啟動、實施或維護安全的人員提供了有關信息安全管理的建議;第二部分解釋了建立、實施和記錄信息安全管理系統(ISMS)的要求,並根據獨立組織的需要規定了實施安全控制的要求。
2000年,國際標準化組織(ISO)在BS7799-1的基礎上采用了ISO17799標準。ISO/IEC 17799:2000(BS 7799-1)包含127安全控制措施,幫助組織識別在運營期間對信息安全有影響的元素。組織可以根據適用的法律、法規和公司章程選擇和使用它們,或者添加其他額外的控制措施。BSI在2002年也修訂了BS7799-2。2005年,ISO再次修訂ISO17799,BS7799-2也在2005年被采用為ISO27001:2005。修訂後的標準是ISO27000標準系列-ISO/IEC 27001的第壹部分,新標準中刪除了九項控制措施。並修改了壹些控制措施措辭。
但由於ISO17799不是基於認證框架,不具備通過認證所必須的信息安全管理體系要求。ISO/IEC27001包含這些詳細的管理體系認證要求。從技術的角度來看,這表明壹個正在獨立使用ISO17799的組織完全符合《實踐指南》的要求,但這不足以讓外界認可其達到了認證框架所設定的認證要求。不同的是,壹個同時在使用ISO27001和ISO17799標準的組織,可以建立壹個完全符合認證具體要求的ISMS,同時這個ISMS也符合實務指南的要求,那麽這個組織就可以獲得外部的認可,也就是獲得認證。