温故知新后,我们该进入具体的学习阶段。本文将介绍企业信息安全框架的具体内容,帮助企业正确地实施信息安全保护。
3、企业信息安全框架及其实施内涵
从上一节的介绍不难看出,当代信息安全定义在企业信息安全中的使用还存在如下几个问题,需要进行进一步改进:
概念含糊不清,且没有给出实施的可用参考:只是列出了信息安全需要关注的协议层面、系统单元和牵涉到的几个安全属性;而在安全属性中,流量机密性和机密性本来就是同一回事,所采用的技术也是大同小异,并没有给出企业在信息安全的保障实施过程中的任何可行性建议和手段;
忽略了管理安全:该框架只强调技术,而忽略了管理在企业信息安全保障中的重要作用和地位。所谓“三分技术,七分管理”,没有管理的技术难以落到实处,缺乏管理的指导性,盲目的使用技术也是不合理的。
为了根据企业的自身特点来制定可行的企业信息安全框架,我们可以回顾一下信息安全定义。结合企业在信息安全工作的特点,将其中的“信息对抗”改进为“管理安全”,这主要是因为如下2个重要原因:
企业的信息安全工作主要是“防”,以防为主,立足自身,基本上不会采取信息对抗的方式来还击外部黑客和不法用户;
企业的信息安全工作很大一部分在于满足外部对企业的审核要求,企业对自身员工、资源等的管理要求,这就依赖于管理安全,他们需要参考和遵循许多业界成熟的标准和制度,比如ISO/IEC 27001、萨班斯法案等。
因此,我们形成了企业信息安全框架。其本质是:企业信息安全从技术角度来看是对信息与信息系统的固有属性的攻击与保护的过程。它围绕着信息系统、信息自身及信息利用的机密性、真实性、完整性、可控性、可用性、不可抵赖性这六个核心安全属性,具体反映在物理安全、运行安全、数据安全、内容安全、管理安全五个层面上。如图4所示:
图4 企业信息安全框架
而根据图4的企业信息安全框架,在实践的过程中,需要采用各种各样的技术来完成多个安全任务,并参照相应的业界成熟的法规和制度来进行检查,从而完成企业信息安全工作,具体的内容请见表2。
安全层面 |
含义 |
安全任务列表 |
安全管理依据的相关制度和法规 |
物理安全 |
指对网络与信息系统物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性等属性 |
(1)加扰处理、电磁屏蔽:防范电磁泄露 |
(1)GB50174-93《电子计算机机房设计规范》 |
运行安全 |
指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性等 |
(1)建立风险评估体系、安全测评体系:支持系统评 |
(1)GA/T 681-2007 信息安全技术 网关安全技术要求 |
数据安全 |
指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等 |
(1)采用对称与非对称密码技术及其硬化技术、VPN等技术:防范信息泄密 |
(1)GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 |
内容安全 |
指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。主要涉及信息的机密性、真实性、可控性、可用性等 |
(1)采用文本识别、图像识别、流媒体识别、群发邮件识别等:用于对信息的理解与分析 |
目前国家暂无内容安全相关的制度和标准,只有与音、视频,网络协议相关的网络标准,如RFC等 |
管理安全 |
在信息安全的保障过程中,除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施 |
(1)设置独立的安全管理和审计人员:设置安全人员有助于安全工作的开展和全局安全掌控 |
(1)BS7799 |
表2 企业信息安全工作内容详表