7.2.1 信息安全管理体系概述
我们知道保障信息安全有两大支柱:技术和管理。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术CA认证技术等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高。此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。
伴随着威胁的发展趋势,安全技术部署的种类和数量不断增加,但并不是安全技术、安全产品种类、数量越多越好,只有技术的堆积而不讲究管理,必然会产生很多安全疏漏。虽然大家在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时戚塌忽视的是另外两个层面的保障。正如沈昌祥院士所指出的:“传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样,但最终的结果是防不胜防。”
技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,在一些情况下,技术和管理能够发挥它们各自的作用;在另一些情况下,需要同时使用技术和管理两种手段,实现安全控制或更强的安全控制;在大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的那块木条。平台就像是这个水桶的箍,有了这个箍简仔运,水桶就很难崩溃。即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。
信息安全管理体系(Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、过程、核查表等要素的集合。体系是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、搜集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策,对安全事件进行响应和处理。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素——人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。
7.2.2 信息安全管理体系结构
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于最长的木板,而取决于最短的那块木板。这个原理同样适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体拦梁系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全管理体系结构可以由以下 HTP模型来描述:人员与管理(Human and Management)、技术与产品(Technology and Products)、流程与体系(Process and Framework)。
其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有 20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织业务的连续性和商业价值最大化,就达到了安全的目的。
7.2.3 信息安全管理体系功能
7.2.3.1 安全策略
安全策略管理可以说是整个安全管理平台的中心,它根据组织的安全目标制订和维护组织的各种安全策略以及配置信息。安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不但靠先进的技术,而且也得靠严格的安全管理、法律约束和安全教育。
安全策略建立在授权行为的概念上。在安全策略中,一般都包含“未经授权的实体,信息不可给予、不被访问、不允许引用、不得修改”等要求,这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行,哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。
(1)基于身份的安全策略。基于身份的安全策略目的是对数据或资源的访问进行筛选。即用户可访问他们的资源的一部分(访问控制表),或由系统授予用户特权标记或权力。两种情况下,数据项的多少会有很大变化。
(2)基于规则的安全策略。基于规则的安全策略是系统给主体(用户、进程)和客体(数据)分别标注相应的安全标记,制定出访问权限,此标记作为数据项的一部分。
两种安全策略都使用了标记。标记的概念在数据通信中是重要的,身份鉴别、管理、访问控制等都需要对主体和客体做出相应的标记并以此进行控制。在通信时,数据项、通信的进程与实体、通信信道和资源都可用它们的属性做出标记。安全策略必须指明属性如何被使用,以提供必要的安全。
根据系统的实际情况和安全要求,合理地确定安全策略是复杂而重要的。因为安全是相对的,安全技术也是不断发展的,安全应有一个合理和明确的要求,这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。其中完整性、可用性是由网络的开放和共享所决定的。按照用户的要求,提供相应的服务,是网络最基本的目的。机密性则对不同的网络有不同的要求,即网络不一定都是保密网。因此,每个内部网要根据自身的要求确定安全策略。现在的问题是硬、软件大多很先进,大而全,而在安全保密方面没有明确的安全策略,一旦投入使用,安全漏洞很多。而在总体设计时,按照安全要求制定出网络的安全策略并逐步实施,则系统的漏洞少、运行效果好。
在工程设计中,按照安全策略构造出一系列安全机制和具体措施,来确保安全第一。多重保护的目的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能,上层有防火墙、访问控制表等措施,防止一层措施攻破后,安全性受到威胁。最少授权原则是指采取制约措施,限制超级用户权力并全部使用一次性口令。综合防护要求从物理上、硬件和软件上、管理上采取各种措施,分层防护,确保系统安全。
7.2.3.2 安全机制
信息的安全管理体系中,安全机制是保证安全策略得以实施的和实现的机制和体制,它通常实现三个方面的功能:预防、检测、恢复。典型的安全机制有以下几种:
(1)数据保密变换。数据保密变换,即密码技术,是许多安全机制和安全服务的基础。密码是实现秘密通讯的主要手段,是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。采用密码技术,可有效地防止:信息的未授权观察和修改、抵赖、仿造、通信业务流分析等。
(2)数字签名机制。数字签名机制用于实现抗抵赖、鉴别等特殊安全服务的场合。数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。
(3)访问控制机制。访问控制机制实施是对资源访问加以限制的策略。即规定出不同主体对不同客体对应的操作权限,只允许被授权用户访问敏感资源,拒绝未经授权用户的访问。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。采用的技术有访问控制矩阵、口令、权能等级、标记等,它们可说明用户的访问权。
(4)数据完整性机制。用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要(Message Digest),并对消息摘要进行数字签名来实现。
(5)鉴别交换机制。鉴别交换机制指信息交换双方(如内部网和互联网)之间的相互鉴别。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:口令,由发送实体提供,接收实体检测;密码技术,即将交换的数据加密,只有合法用户才能解密,得出有意义的明文;利用实体的特征或所有权,如指纹识别和身份卡等。
(6)路由选择控制机制。用来指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的节点都是可信任的,确保发送的信息不会因通过不安全的节点而受到攻击。
(7)公证机制。由通讯各方都信任的第三方提供。由第三方来确保数据完整性以及数据源、时间及目的地的正确。
还有物理环境的安全机制、人员审查与控制机制等。其实防护措施均离不开人的掌握和实施,系统安全最终是由人来控制的。因此,安全离不开人员的审查、控制、培训和管理等,要通过制定、执行各项管理制度等来实现。
7.2.3.3 风险与安全预警管理
风险分析是了解计算机系统安全状况和辨别系统脆弱性并提出对策的科学方法。在进行风险分析时,应首先明确分析的对象。如对象应是整个系统明确范围和安全敏感区,确定分析的内容,找出安全上的脆弱点,并确定重点分析方向。接着仔细分析重点保护目标,分析风险的原因、影响、潜在的威胁、造成的后果等,应有一定的定量评估数据。最后根据分析的结果,提出有效的安全措施和这些措施可能带来的风险,确认资金投入的合理性。
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理组织,做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
7.2.4 信息安全管理体系标准和认证
信息安全管理体系标准的制定开始于1995年,经过10多年的修改与完善,形成了现在广泛应用的ISO27001:2005认证标准。英国标准协会(BSI)于1995年2月提出了BS7799,并于1995年和1999年两次修订。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在 BS7799-1的基础上制定通过了ISO17799标准。ISO/IEC17799:2000(BS7799-1)包含了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。BS7799-2在2002年也由BSI进行了重新的修订。2005年,ISO组织再次对ISO17799进行了修订,BS7799-2也于2005年被采用为ISO27001:2005,修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。
然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/IEC27001则包含这些具体详尽的管理体系认证要求。从技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。
标签:信息安全,管理体系