一文读懂信息安全工程
在数字化浪潮席卷全球的当下,信息安全已成为关乎企业生存、社会稳定的关键要素。信息安全工程作为守护信息安全的核心手段,其涵盖的内容丰富且复杂。接下来,我们将深入剖析信息安全工程的各个核心概念,并结合实际案例,帮助大家更好地理解其在现实场景中的应用与实践。
一、安全工程的核心要素
(一)安全工程的生命周期
安全工程的生命周期是一个环环相扣、循序渐进的过程,具体可拆解为以下六个关键环节:
- 发掘信息保护需求:通过深入调研业务场景,全面梳理信息资产,精准定位需要保护的信息内容与范围。
- 定义系统安全需求:依据发掘出的保护需求,明确系统应具备的安全功能与性能指标,为后续工作奠定基础。
- 设计系统安全体系结构:构建整体安全架构,规划防火墙、入侵检测系统等各安全组件的布局与协作方式。
- 开展详细的安全设计:进一步细化安全体系结构,确定具体的安全技术与实现方案,确保设计的可操作性。
- 实现系统安全:将设计方案落地实施,部署安全设备与软件,配置安全策略,让安全防护从蓝图变为现实。
- 评估信息保护的有效性:运用模拟攻击、漏洞扫描等多种方式对安全系统进行测试与评估,验证其是否满足保密性、完整性、可用性、鉴别和不可否认性。
(二)安全工程的特点
安全工程具备六大显著特点,这些特点决定了其在实际应用中的独特运行规律:
- 全面性:覆盖信息系统的硬件、软件、数据、人员等各个层面,确保无安全死角。
- 过程性与周期性:一个完整的安全工程包含安全目标与原则确定、风险分析等多个环节,且需循环优化。
- 动态性:能够随着技术的迭代更新与威胁的不断演变,及时调整与优化安全策略。
- 层次性:从宏观的整体架构到微观的具体操作,划分不同安全层次,实现分级精准保护。
- 相对性:不存在绝对的安全,需要根据实际需求与成本,权衡并制定合理的安全措施。
- 继承性:善于借鉴以往安全工程的成功经验与失败教训,持续优化现有方案。
二、信息安全系统工程详解
(一)基本概念
- 信息系统:是信息处理与存储的核心载体,又叫信息应用系统、信息应用管理系统、管理信息系统(MIS)等多种类型。
- 信息系统工程:旨在构建信息系统,涵盖信息安全系统工程和业务应用信息系统工程。其中,业务应用信息系统负责支撑业务运营,业务应用信息系统工程则为其建设提供支持;信息安全系统独立存在,专门保障信息系统的整体安全。
- 信息系统安全工程:信息安全系统工程是信息系统工程一部分。信息系统安全工程不是信息1安全系统工程。
(二)工程目标
- 获得对企业安全风险的理解。
- 依据识别出的安全风险,制定平衡的安全需求。
- 将安全需求转化为具体、可操作的安全策略,并深度融入信息系统建设的各个环节。
- 建立高效、可靠的安全机制,有效抵御各类安全威胁,保障系统的正常稳定运营。
- 实时动态检测系统运行中的安全隐患,一旦发现问题,及时按预先制定的方案启动紧急事故处理程序,进行快速处理和持续追踪。
(三)相关组织
信息安全系统工程是一项庞大的系统工程,需要多方组织协同合作,主要包括:业主及客户、集成商、信息安全专家、安全产品开发者、密码和密码产品运行许可权批准者、可信第三方、紧急事故应急处理中心、安全评估组织、咨询服务组织等,各方在工程中发挥着不可或缺的独特作用。
(四)工程活动
信息安全系统工程包含众多相互关联的活动,具体有:信息安全风险评估、策略制定、需求确定、人员组织与培训、岗位制度策划、系统设计、设备选型、招投标、密钥机制确定、资源界定和授权等,这些活动共同推动工程的顺利实施。
三、SSE-CMM(系统安全工程能力成熟度模型)解析
(一)模型概述
SSE-CMM 是面向系统安全工程的能力成熟度模型,它采用面向工程过程的方法,为衡量系统安全工程的实施能力提供了科学、客观的标准和依据。
(二)用户群体
- 工程组织:如系统集成商、应用开发商、产品提供商和服务提供商等,主要负责安全工程的具体设计、开发和实施工作。
- 获取组织:包括采购系统、产品,以及从内外部获取服务的组织,它们对安全工程的成果提出需求和验收标准。
- 评估组织:例如认证组织、系统授权组织、系统和产品评估组织等,承担着对安全工程进行评估与认证的重要职责,确保工程质量和安全性符合相关标准。
(三)系统安全工程过程
系统安全工程过程主要由风险过程、工程过程、保证过程三个关键部分组成。风险过程负责评估风险(威胁脆弱性影响),准确确定安全需求;工程过程将安全需求转化为实际的解决方案,并产生详细的配置信息;保证过程则致力于建立解决方案的可信度,并向用户有效传达这种安全可信性,三者相互协作,共同保障系统的安全稳定运行。
(四)能力级别
SSE-CMM 将能力划分为五个不同级别,每个级别代表着不同的成熟度和能力水平:
- 1 级:非正规实施级:组织或项目仅执行一些基本的安全实施过程,缺乏系统性和规范性。
- 2 级:规划和跟踪级:侧重于在项目层面进行安全活动的定义、规划和执行问题,开始具备一定的管理意识。
- 3 级:充分定义级:定义了标准化的安全过程,执行已定义的过程,协调安全实施工作。
- 4 级:量化控制级:建立了可测度的质量目标,通过客观的数据和指标对安全工程的执行情况进行管理和控制。
- 5 级:持续改进级:致力于持续提升组织能力和过程效能。
(五)安全评估阶段
安全评估是保障信息安全的重要环节,主要分为规划、准备、现场、报告四个阶段:规划阶段确定评估的范围、依据和计划,为评估工作搭建基本框架;准备阶段组建专业的评估队伍,收集相关资料;现场阶段通过各种技术手段深入分析系统数据,发现潜在的安全问题;报告阶段总结评估结果,向相关方汇报,并反馈经验教训,为后续改进提供参考。
四、风险评估核心内容
(一)基本概念
风险评估涉及资产、威胁、脆弱点和风险四个核心概念。资产是指对组织具有价值的任何事物,包括数据、设备、人员等;威胁是可能对资产或组织造成损害的潜在原因,如黑客攻击、自然灾害等;脆弱点是资产或资产组中能够被威胁利用的弱点,例如系统漏洞、安全策略不完善等;风险则是特定的威胁利用资产的一个或一组薄弱点,导致资产丢失或损害的潜在可能性。风险评估就是对威胁、影响、脆弱点及其发生可能性进行综合评估的过程。
(二)基本特点
风险评估具有决策支持性、比较分析性、前提假设性、时效性、主客观集成性和目的性等六大特点。
(三)基本步骤
- 风险评估准备:明确评估范围,组建专业的评估小组,确定评估目标,选择合适的评估工具和方法。
- 风险因素评估:对信息资产、威胁、脆弱性进行全面、深入的评估,分析其价值、潜在威胁和薄弱环节。
- 风险确定:梳理已有的控制措施,结合评估结果计算风险值,量化风险程度。
- 风险评价:将计算出的风险值与预先设定的风险准则进行对比,划分风险等级,明确风险的严重程度。
- 风险决策:根据风险等级判断是否接受风险,若不接受则制定并实施相应的风险控制措施,并将整个过程文档化,进行持续监控和定期咨询。
(四)评估方法
- OCTAVE 法:即可操作的关键威胁、资产、弱点评估法,以自主原则为核心,由组织内部人员主导评估过程,分三个阶段建立威胁配置文件、识别弱点、开发安全策略。威胁配置文件:通过访问(网络访问物理访问)、主角(组织内部外部)、动机(意外故意的)、违反资产的安全需求(泄密,修改,损失,中断)所产生的直接结果四个方面来表示。
实际案例:某高校在评估校园网络信息安全风险时采用 OCTAVE 法。第一阶段,学校 IT 部门联合各院系师生代表,基于教学资源、科研数据、学生信息等关键资产,构建威胁配置文件,广泛收集各方对信息安全风险的认知。第二阶段,针对校园网络核心交换机、服务器等组件,运用专业工具检测,发现部分设备存在配置漏洞、软件未及时更新等问题。第三阶段,通过风险分析,制定出加强网络访问控制、定期更新系统补丁、组建应急响应小组等安全策略,有效提升了校园网络安全水平。
- 威胁分析法:使用等级评估方式,确定威胁影响值与发生可能性,通过计算得出风险值。风险值=影响值*威胁发送可能性。
实际案例:某连锁零售企业对门店收银系统进行风险评估,运用威胁分析法。企业梳理出收银系统面临黑客窃取支付信息、员工篡改交易数据、系统受病毒攻击等威胁。以黑客窃取支付信息为例,评估其影响值为 5 级(最高级),发生可能性为 3 级,风险值为 15。根据风险值,企业优先对支付信息加密、加强员工权限管理等风险高的环节进行加固,保障了收银系统安全。
- 风险综合评估:做好对威胁类型的识别,建立一个威胁列表,从资产识别开始,由威胁的可能性和威胁的影响,相加为影响值。由已采用的控制措施,将影响值减去该值则为风险度量,越小的越安全。
- 评估实施的原则:目标一致、关注重点资产、用户参与、重视质量管理和过程。
实际案例:某小型电商企业在评估网站安全风险时采用风险综合评估法。先识别出 SQL 注入攻击、DDoS 攻击、用户数据泄露等威胁,确定各项威胁的可能性和影响并相加得出影响值。再结合企业已部署的防火墙、数据备份等控制措施,计算出风险度量。针对风险度量较高的 SQL 注入攻击,企业增加了代码安全审计和输入验证机制,降低了风险。
五、信息安全策略
(一)策略概述
信息安全策略是一组规则,定义一个组织要实现的安全目标和实现这些安全目标的途径,目标是减少信息安全事故的发生,将信息安全事故的影响与损失降低到最小,分为问题策略(IP)和功能策略(FP)。
(二)特点
- 必须制定成书面形式,不然无法定义和委派信息安全责任,也无法进行审核。
- 只描述一个组织保证信息安全的途径的指导性文件,只需指出要完成的目标,具有原则性,非技术性,是一个全局性框架。
(三)策略的框架
主要包括加密策略、使用策略、线路连接策略、反病毒策略、应用服务提供策略、审计策略、数据库策略等 17 类策略,为信息安全提供全面指导。
(四)环境与系统安全策略
- 环境安全策略:包括环境保护机制(如空调系统、防静电系统、防火机制)、电源保护和硬件保护机制。
- 系统安全策略:针对 www 服务、电子邮件、数据库、应用服务器等系统,制定相应安全策略,防范漏洞与威胁。
(五)病毒防护与安全教育策略
- 病毒防护策略:主要防止病毒通过电子邮件等媒介进行传播,在安全操作中心实现全面的监控功能和事件反应功能,建立分层防护体系,明确病毒保护类型和相关要求。
- 安全教育策略:对所有人员培训其他技术安全策略涉及的操作规范和技术知识,内容主要是安全意识和安全技能的教育。
实际案例:某大型制造企业制定信息安全策略体系。在环境安全策略上,机房配备恒温恒湿空调、防静电地板及自动灭火装置;系统安全策略中,www 服务采用 HTTPS 加密,电子邮件使用数字签名和加密传输,数据库设置严格的用户权限;病毒防护策略建立了防火墙、入侵检测、邮件过滤、漏洞扫描、终端杀毒软件的分层防护体系;安全教育策略定期开展培训,内容涵盖数据保密、硬件规范使用、互联网安全操作等,有效提升了企业整体信息安全水平。
六、信息安全等级保护
(一)原则
明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。
(二)划分
(1)用户自主保护级:用户具有自主安全保护能力。适用于受到破坏后,造成一定影响,不危害国家安全等。通过自主完整性策略,组织无权用户修改或破坏敏感信息。
(2)系统审计保护级:自主访问控制级。增加客体重用和审计功能。
(3)安全标记保护级:在系统审计保护级基础之上提供基本的强制访问。要求提供有关安全策略的模型、主体对客体强制访问的非形式化描述,没有对多级安全形式化模型的要求。
(4)结构化保护级:可信计算基必须结构化为关键保护元素和非关键保护元素。将自主和强制访问扩展到所有主体和客体。
(5)访问验证保护级:可信计算基可以将安全事件比较严重向安全管理员发出警报。
(三)流程
确定定级对象
确定业务信息安全受到破坏时所侵害的客体
综合评定对客体的侵害程度
业务信息安全等级
确定系统服务安全受到破坏时所侵害的客体
综合评定对客体的侵害程度
系统服务安全等级
定级对象的安全保护等级
七、信息安全管理模型
(一)管理模型概述
信息安全管理从信息系统安全需求出发,以信息安全管理相关标准为指导,结合组织的信息系统安全建设情况构建的信息安全管理体系,是保障信息安全管理的各个环节、各个对象正常动作的基础,在信息安全保障过程中,实施信息安全工程。常见的包括质量管理体系(QMS)、环境管理体系(EMS)、信息安全管理体系(ISMS) 。
(二)ISMS 核心方法 - PDCA 过程方法
ISMS 建立是基于过程的,需要使用过程方法识别管理过程,通过度量、反馈等方法规划并优化这些过程以及过程之间的相互作用,该过程需以文件形式记录,遵循 Plan(规划)、do(实施)、check(检查)、act(处置)循环。
- 规划:规定应该做什么且形成文件。
- 实施:做文件规定的事项并形成记录。
- 检查:评审所做事情的符合性,包括组织要求、需求、法律法规等。
- 执行:采取纠正和预防措施,持续改进信息安全管理体系。
实际案例:某金融机构运用 ISMS 的 PDCA 方法提升信息安全管理水平。规划阶段,依据行业标准和自身业务需求,制定信息安全方针、目标和管理计划,明确各部门职责;实施阶段,按照计划部署防火墙、入侵检测系统,开展员工培训;检查阶段,定期进行内部审计和漏洞扫描,评估安全措施有效性;处置阶段,针对发现的问题,优化安全策略,改进管理流程。通过不断循环 PDCA,该机构信息安全管理体系持续完善,安全事件发生率显著降低。
八、容灾备份
(一)、等级和关键技术
(1)第0级:没有备援中心,本地进行数据备份,没有送往异地。
(2)第1级:本地磁带备份,异地保存。
(3)第2级:热备份站点备份:异地网络数据备份。
(4)第3级:活动备援中心,镜像传输。镜像和快照互联技术。
(二)、技术指标
数据恢复点目标(RPO):业务系统所能容忍的数据丢失量。
恢复时间目标(RTO):所能容忍业务停止服务最长时间。
数据恢复在分区、删除、文件分配表、格式化、覆盖这几个点。防止将文件数据保存在同一驱动盘中,定期备份,堤防用户错误。