学习篇:企业信息安全框架及其实施内涵

温故知新后,我们该进入具体的学习阶段。本文将介绍企业信息安全框架的具体内容,帮助企业正确地实施信息安全保护。

3、企业信息安全框架及其实施内涵

从上一节的介绍不难看出,当代信息安全定义在企业信息安全中的使用还存在如下几个问题,需要进行进一步改进:

概念含糊不清,且没有给出实施的可用参考:只是列出了信息安全需要关注的协议层面、系统单元和牵涉到的几个安全属性;而在安全属性中,流量机密性和机密性本来就是同一回事,所采用的技术也是大同小异,并没有给出企业在信息安全的保障实施过程中的任何可行性建议和手段;

忽略了管理安全:该框架只强调技术,而忽略了管理在企业信息安全保障中的重要作用和地位。所谓“三分技术,七分管理”,没有管理的技术难以落到实处,缺乏管理的指导性,盲目的使用技术也是不合理的。

为了根据企业的自身特点来制定可行的企业信息安全框架,我们可以回顾一下信息安全定义。结合企业在信息安全工作的特点,将其中的“信息对抗”改进为“管理安全”,这主要是因为如下2个重要原因:

企业的信息安全工作主要是“防”,以防为主,立足自身,基本上不会采取信息对抗的方式来还击外部黑客和不法用户;

企业的信息安全工作很大一部分在于满足外部对企业的审核要求,企业对自身员工、资源等的管理要求,这就依赖于管理安全,他们需要参考和遵循许多业界成熟的标准和制度,比如ISO/IEC 27001、萨班斯法案等。

因此,我们形成了企业信息安全框架。其本质是:企业信息安全从技术角度来看是对信息与信息系统的固有属性的攻击与保护的过程。它围绕着信息系统、信息自身及信息利用的机密性、真实性、完整性、可控性、可用性、不可抵赖性这六个核心安全属性,具体反映在物理安全、运行安全、数据安全、内容安全、管理安全五个层面上。如图4所示:

企业信息安全框架

图4 企业信息安全框架

而根据图4的企业信息安全框架,在实践的过程中,需要采用各种各样的技术来完成多个安全任务,并参照相应的业界成熟的法规和制度来进行检查,从而完成企业信息安全工作,具体的内容请见表2。

安全层面

含义

安全任务列表

安全管理依据的相关制度和法规

物理安全

指对网络与信息系统物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性等属性

(1)加扰处理、电磁屏蔽:防范电磁泄露
(2)容错、容灾、冗余备份、生存性技术:防范随机性故障
(3)信息验证:防范信号插入
(4)机房管理:防范非法用户接触和破坏物理设备

(1)GB50174-93《电子计算机机房设计规范》
(2)GA/T390-2002《计算机信息系统安全等级保护通用技术要求》
(3)GB2887-2000《电子计算机场地通用规范》
(4)GB9361-88《计算站场地安全要求》

运行安全

指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性等

(1)建立风险评估体系、安全测评体系:支持系统评
(2)部署漏洞扫描、采用安全协议:支持对安全策略的评估与保障
(3)实施防火墙、物理隔离系统、访问控制技术、防恶意代码技术:支持访问控制
(4)建立入侵检测、入侵防护及预警系统、部署安全审计技术:支持入侵检测和防护
(5)采用反制系统、容侵技术、审计与追踪技术、取证技术:支持应急响应
(6)采用防网络攻击技术,包括Phishing、Botnet、DDoS、木马、社会工程学等防护技术
(7)采用可信计算技术、安全操作系统技术、安全数据库技术:保证基础平台运行安全
(8)采用VLAN、网段隔离技术:支持细粒度的安全控制和策略
(9)采用数据备份和灾难恢复技术:支持重要数据的备份和在灾难情况下的恢复

(1)GA/T 681-2007  信息安全技术 网关安全技术要求 
(2)GA/T 682-2007  信息安全技术 路由器安全技术要求
(3)GA/T 683-2007  信息安全技术 防火墙安全技术要求
(4)GA/T 684-2007  信息安全技术 交换机安全技术要求
(5)GA/T 685-2007  信息安全技术 交换机安全评估准则
(6)GA/T 697-2007  信息安全技术 静态网页恢复产品安全功能要求
(7)GA/T 698-2007  信息安全技术 信息过滤产品安全功能要求
(8)GA/T 699-2007  信息安全技术 计算机网络入侵报警通讯交换技术要求
(9)GA/T 700-2007  信息安全技术 计算机网络入侵分级要求
(10)GB/T 20008-2005  信息安全技术 操作系统安全评估准则
(11)GB/T 20275-2006  信息安全技术 入侵检测系统技术要求和测试评价方法 
(12)GB/T 20273-2006  信息安全技术 数据库管理系统安全技术要求
(13) GB/T 20278-2006  信息安全技术 网络脆弱性扫描产品技术要求

数据安全

指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等

(1)采用对称与非对称密码技术及其硬化技术、VPN等技术:防范信息泄密
(2)采用认证、鉴别、PKI等技术:防范信息伪造
(3)采用完整性验证技术:防范信息篡改
(4)采用数字签名技术:防范信息抵赖
(5)采用秘密共享技术:防范信息破坏
(6)采用隐写技术、水印技术:保护信息

(1)GB/T 20518-2006  信息安全技术 公钥基础设施 数字证书格式
(2)GB/T 20519-2006  信息安全技术 公钥基础设施 特定权限管理中心技术规范
(3)GB/T 20520-2006  信息安全技术 公钥基础设施 时间戳规范
(4)GB/T 21053-2007  信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 
(5)GB/T 21054-2007  信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则
(6)GA/T 686-2007  信息安全技术 虚拟专用网安全技术要求

内容安全

指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。主要涉及信息的机密性、真实性、可控性、可用性等

(1)采用文本识别、图像识别、流媒体识别、群发邮件识别等:用于对信息的理解与分析
(2)采用面向内容的过滤技术(CVP)、面向URL的过滤技术(UFP)、面向DNS的过滤技术等:用于对信息的过滤
(3)运用数据挖掘技术:发现信息
(4)部署针对即时通、MSN等应用协议的分析技术:对特定协议的理解
(5)采用VoIP识别技术:对数字化语音信息的理解和分析
(6)采用音频识别与按内容匹配:锁定音频目标进行

目前国家暂无内容安全相关的制度和标准,只有与音、视频,网络协议相关的网络标准,如RFC等

管理安全

在信息安全的保障过程中,除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施

(1)设置独立的安全管理和审计人员:设置安全人员有助于安全工作的开展和全局安全掌控
(2)权限分离:对不同的系统和应用设定与业务无关的安全人员参与,作到权限分离,最大程度地保证企业安全运维
(3)安全制度:设立健全的企业安全管理和运维制度,保证企业安全运维
(4)安全培训:通过培训提高企业人员的安全意识和安全技能,做到有备无患
(5)合规、行业规范满足措施

(1)BS7799 
(2)ISO/IEC17799
(3)ISO/IEC27001等 

表2 企业信息安全工作内容详表