信息安全等級(jí)保護(hù)體系設(shè)計(jì)

1、信息安全等級(jí)保護(hù)體系設(shè)計(jì)關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)指出,實(shí)行等級(jí)保護(hù)是信息安全保障的基本政策,各部門、各單位都要根據(jù)等級(jí)保護(hù)制度的要求,結(jié)合各自的特點(diǎn),建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施。通過(guò)將等級(jí)化方法和安全體系方法有效結(jié)合,設(shè)計(jì)一套等級(jí)化的信息安全保障體系,是適合我國(guó)國(guó)情、系統(tǒng)化地解決大型組織信息安全問(wèn)題的一個(gè)非常有效的方法。設(shè)計(jì)思路與原則信息安全保障是一個(gè)極為復(fù)雜、系統(tǒng)性和長(zhǎng)期性的工作。設(shè)計(jì)信息系統(tǒng)安全體系及實(shí)施方案時(shí)一般應(yīng)遵循以下四條原則:清晰定義安全模型;合理劃分安全等級(jí);科學(xué)設(shè)計(jì)防護(hù)深度;確?？蓪?shí)施易評(píng)估。具體來(lái)說(shuō):1. 清晰定義安全模型面對(duì)的難題:政府或大型企業(yè)組織的信息系統(tǒng)

2、結(jié)構(gòu)復(fù)雜,難以描述。政府或大型企業(yè)的信息系統(tǒng)往往覆蓋全國(guó)范圍內(nèi)的各省、市、縣和鄉(xiāng)鎮(zhèn),地域遼闊,規(guī)模龐大;各地信息化發(fā)展程度不一,東西部存在較大差別;前期建設(shè)缺乏統(tǒng)一規(guī)劃,各區(qū)域主要業(yè)務(wù)系統(tǒng)和管理模式往往都存在較大的差別。這樣就造成難以準(zhǔn)確、清晰地描述大型信息系統(tǒng)的安全現(xiàn)狀和安全威脅。因此,設(shè)計(jì)保障體系時(shí)也就無(wú)的放矢,缺乏針對(duì)性,也不具備實(shí)用性。解決方法:針對(duì)信息系統(tǒng)的安全屬性定義一個(gè)清晰的、可描述的安全模型,即信息安全保護(hù)對(duì)象框架。在設(shè)計(jì)信息安全保障體系時(shí),首先要對(duì)信息系統(tǒng)進(jìn)行模型抽象。我們把信息系統(tǒng)各個(gè)內(nèi)容屬性中與安全相關(guān)的屬性抽取出來(lái),參照IATF(美國(guó)信息安全保障技術(shù)框架,通過(guò)建立“信息

3、安全保護(hù)對(duì)象框架”的方法來(lái)建立安全模型,從而相對(duì)準(zhǔn)確地描述信息系統(tǒng)的安全屬性。保護(hù)對(duì)象框架是根據(jù)信息系統(tǒng)的功能特性、安全價(jià)值以及面臨威脅的相似性,將其劃分成計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類信息資產(chǎn)組作為保護(hù)對(duì)象。2. 合理劃分安全等級(jí)面對(duì)的難題:如何解決在設(shè)計(jì)安全保障措施時(shí)所面對(duì)的需求差異性與經(jīng)濟(jì)性難題。因?yàn)樾畔⑾到y(tǒng)的差異性,從而其安全要求的屬性和強(qiáng)度存在較大差異性;又因?yàn)榻?jīng)濟(jì)性的考慮,需要考慮信息安全要求與資金人力投入的平衡。設(shè)計(jì)安全保障措施時(shí)不能一刀切,必須考慮差異性和經(jīng)濟(jì)性。解決方法:針對(duì)保護(hù)對(duì)象和保障措施劃分安全等級(jí)。首先進(jìn)行信息系統(tǒng)的等級(jí)化:通過(guò)將保護(hù)對(duì)象進(jìn)行等級(jí)

4、化劃分,實(shí)現(xiàn)等級(jí)化的保護(hù)對(duì)象框架,來(lái)反映等級(jí)化的信息系統(tǒng)。其次,設(shè)計(jì)等級(jí)化的保障措施:根據(jù)保護(hù)對(duì)象的等級(jí)化,有針對(duì)性地設(shè)計(jì)等級(jí)化的安全保障措施,從而通過(guò)不同等級(jí)的保護(hù)對(duì)象和保障措施的一一對(duì)應(yīng),形成整體的等級(jí)化安全保障體系。等級(jí)化安全保障體系為用戶提供以下價(jià)值:滿足大型組織中不同分支機(jī)構(gòu)的個(gè)性化安全需求;可動(dòng)態(tài)地改變保護(hù)對(duì)象的安全等級(jí),能方便地調(diào)整不同階段的安全目標(biāo);可綜合平衡安全成本與風(fēng)險(xiǎn),能優(yōu)化信息安全資源配置;可清晰地比對(duì)目標(biāo)與現(xiàn)狀,能準(zhǔn)確、完備地提取安全需求。3. 科學(xué)設(shè)計(jì)防護(hù)深度面對(duì)的難題:現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),缺乏多重深度保障,缺乏抗打擊能力和可控性。信息安全問(wèn)題包

5、含管理方面問(wèn)題、技術(shù)方面問(wèn)題以及兩者的交叉,它從來(lái)都不是靜態(tài)的,隨著組織的策略、組織架構(gòu)、業(yè)務(wù)流程和操作流程的改變而改變?，F(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),單純部署安全產(chǎn)品是一種靜態(tài)的解決辦法,單純防范黑客入侵和病毒感染更是片面的。一旦單點(diǎn)防護(hù)措施被突破、繞過(guò)或失效,整個(gè)安全體系將會(huì)失效,從而威脅將影響到整個(gè)信息系統(tǒng),后果是災(zāi)難性的。解決方法:設(shè)計(jì)多重深度保障,增強(qiáng)抗打擊能力。國(guó)家相關(guān)指導(dǎo)文件提出“堅(jiān)持積極防御、綜合防范的方針”,美國(guó)國(guó)家安全戰(zhàn)略中也指出,國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施的“這些關(guān)鍵功能遭到的任何破壞或操縱必須控制在歷時(shí)短、頻率小、可控、地域上可隔離以及對(duì)美國(guó)的利益損害最小這樣一個(gè)規(guī)模

6、上”。兩者都強(qiáng)調(diào)了抗打擊能力和可控性,這就要求采用多層保護(hù)的深度防御策略,實(shí)現(xiàn)安全管理和安全技術(shù)的緊密結(jié)合,防止單點(diǎn)突破。我們?cè)谠O(shè)計(jì)安全體系時(shí),將安全組織、策略和運(yùn)作流程等管理手段和安全技術(shù)緊密結(jié)合,從而形成一個(gè)具有多重深度保障手段的防護(hù)網(wǎng)絡(luò),構(gòu)成一個(gè)具有多重深度保障、抗打擊能力和能把損壞降到最小的安全體系。4. 確?？蓪?shí)施易評(píng)估面對(duì)的難題:許多安全體系缺乏針對(duì)性,安全方案不可實(shí)施,安全效果難以評(píng)估。我國(guó)許多安全項(xiàng)目在安全體系框架設(shè)計(jì)方面,由于缺乏深入和全面的需求調(diào)研,往往不能切實(shí)反映信息系統(tǒng)的業(yè)務(wù)特性和安全現(xiàn)狀,安全體系框架中缺乏可行的實(shí)施方案與項(xiàng)目規(guī)劃,在堆砌安全產(chǎn)品的過(guò)程中沒(méi)有設(shè)計(jì)安全管

7、理與動(dòng)態(tài)運(yùn)維流程,缺乏安全審計(jì)與評(píng)估手段,因此可實(shí)施性和可操作性不強(qiáng)。解決方法:綜合運(yùn)用用戶訪談、資產(chǎn)普查、風(fēng)險(xiǎn)評(píng)估等手段,科學(xué)設(shè)計(jì)安全體系框架,確?？蓪?shí)施易評(píng)估。我們?cè)谠O(shè)計(jì)安全體系時(shí),充分考慮到了上述問(wèn)題,采取如下措施:在設(shè)計(jì)安全體系前,通過(guò)對(duì)目標(biāo)信息系統(tǒng)的各方面進(jìn)行完整和深入調(diào)研,采取的手段包括選取典型抽樣節(jié)點(diǎn)的深入調(diào)查和安全風(fēng)險(xiǎn)評(píng)估,以及全范圍的信息資產(chǎn)和安全狀況普查。綜合兩種手段,得出反映現(xiàn)狀的安全保護(hù)對(duì)象框架及下屬的信息資產(chǎn)數(shù)據(jù)庫(kù),以及全面的安全現(xiàn)狀報(bào)告。在體系框架設(shè)計(jì)的同時(shí)設(shè)計(jì)工程實(shí)施方案和項(xiàng)目規(guī)劃;安全體系本身具有非常詳盡的描述,具備很強(qiáng)的可工程化能力。在描述安全對(duì)策時(shí),不是原則

8、性的,而應(yīng)是可操作和可落實(shí)的。設(shè)計(jì)方法1. 總體設(shè)計(jì)方法設(shè)計(jì)政府/大型企業(yè)組織安全體系的具體內(nèi)容包括:安全保護(hù)對(duì)象框架信息系統(tǒng)保護(hù)對(duì)象框架是根據(jù)對(duì)大型政府/企業(yè)組織總部及各省的評(píng)估調(diào)查和普查,參照信息保障體系的建模方法,按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對(duì)象。安全保護(hù)對(duì)策框架信息系統(tǒng)安全保護(hù)對(duì)策框架是參照國(guó)內(nèi)外先進(jìn)的信息安全標(biāo)準(zhǔn),參考業(yè)界通用的最佳實(shí)施,并結(jié)合大型政府/企業(yè)組織的實(shí)際情況和現(xiàn)實(shí)問(wèn)題進(jìn)行定制,對(duì)大量可行的安全對(duì)策進(jìn)行等級(jí)劃分。信息系統(tǒng)安全體系信息系統(tǒng)安全體系是以保護(hù)對(duì)象為經(jīng),以安全等級(jí)框架為緯,對(duì)保護(hù)對(duì)象逐個(gè)進(jìn)行威脅和風(fēng)險(xiǎn)分析,從而形成信息系統(tǒng)安全體系,其表現(xiàn)形式示意圖如圖1

9、所示。2. 等級(jí)化安全保護(hù)對(duì)象框架設(shè)計(jì)由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大,各分支機(jī)構(gòu)的信息系統(tǒng)之間存在差異,因此必須對(duì)信息系統(tǒng)進(jìn)行抽象,形成統(tǒng)一的保護(hù)對(duì)象框架。安全保護(hù)對(duì)象框架模型的設(shè)計(jì)(以銀行業(yè)為例如圖2所示。3. 等級(jí)化安全對(duì)策框架設(shè)計(jì)根據(jù)組織的特點(diǎn)設(shè)計(jì)和定制等級(jí)化安全對(duì)策框架,并針對(duì)組織的現(xiàn)狀選擇安全對(duì)策及其等級(jí)。(1 安全框架層次結(jié)構(gòu)和分類大型政府/企業(yè)組織安全對(duì)策框架體系包括安全策略、安全組織、安全運(yùn)作和安全技術(shù)四個(gè)子安全對(duì)策框架,分別包括一系列對(duì)策類,對(duì)策類可進(jìn)一步細(xì)分對(duì)策子類,甚至對(duì)策子類也可以再次細(xì)分為對(duì)策子類。細(xì)分到最后的對(duì)策類和對(duì)策子類由對(duì)策構(gòu)成。對(duì)策中則是一些較為具

10、體的安全控制。通過(guò)對(duì)不同強(qiáng)度和數(shù)量安全控制的組合,將對(duì)策分級(jí)。(2 安全對(duì)策框架等級(jí)劃分每個(gè)安全對(duì)策可分為三個(gè)等級(jí),每一等級(jí)由若干條安全控制細(xì)則組成。一般通過(guò)安全控制細(xì)則的增強(qiáng)、增加來(lái)提高對(duì)策的等級(jí)。當(dāng)安全對(duì)策某一等級(jí)中的所有安全控制細(xì)則均已實(shí)現(xiàn)時(shí),可認(rèn)為已達(dá)到該等級(jí)的對(duì)策。安全對(duì)策的等級(jí)劃分,大體參考了GB 17859、GB/T 18336、TCSEC、SP800-53等國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)。不同框架的對(duì)策,參照的標(biāo)準(zhǔn)有所不同。4. 等級(jí)化安全保障體系設(shè)計(jì)安全保障體系的深度防御戰(zhàn)略模型將防御體系分為組織、技術(shù)和運(yùn)作三個(gè)要素。信息安全管理就是通過(guò)一系列的策略、制度和機(jī)制來(lái)協(xié)調(diào)這三者之間的關(guān)系,明

11、確技術(shù)實(shí)施和安全操作中相關(guān)人員的安全職責(zé),從而達(dá)到對(duì)安全風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)和有效控制,提高安全問(wèn)題發(fā)生時(shí)的反應(yīng)速度和恢復(fù)能力,增強(qiáng)網(wǎng)絡(luò)的整體安全保障能力。安全策略體系指的是從信息資產(chǎn)安全管理的角度出發(fā),為了保護(hù)信息資產(chǎn),消除或降低風(fēng)險(xiǎn)而制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程的總和。安全組織體系作為安全工作的管理和實(shí)施體系,主要負(fù)責(zé)安全策略、制度、規(guī)劃的制訂和實(shí)施,確定各種安全管理崗位和相應(yīng)的安全職責(zé),并負(fù)責(zé)選用合適的人員來(lái)完成相應(yīng)崗位的安全管理工作,監(jiān)督各種安全工作的開(kāi)展,協(xié)調(diào)各種不同部門在安全實(shí)施中的分工和合作,保證安全目標(biāo)的實(shí)現(xiàn)。安全運(yùn)作體系,包括安全生命周期中各個(gè)安全環(huán)節(jié)的要求,包括:安全工程管理機(jī)制,安全預(yù)警機(jī)制、定期的安全風(fēng)險(xiǎn)識(shí)別和控制機(jī)制、應(yīng)急響應(yīng)機(jī)制和定期的安全培訓(xùn)機(jī)制等。安全技術(shù)體系包含鑒別和認(rèn)證、訪問(wèn)控制、內(nèi)容安全、冗余和恢復(fù)以及審計(jì)響應(yīng)五個(gè)部分內(nèi)容?？偨Y(jié)等級(jí)化安全體