安全建设之安全体系

Author Avatar
xF0rk 9月 22, 2019

安全体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素集合。安全体系系列文章将结合 CISP 培训体系及业界企业公开分享的安全体系进行总结论述,首篇将介绍信息安全基础、信息安全保障模型及评估模型,从整体上描述安全体系相关内容。

安全体系概念

CISP 培训体系结合国内关键信息基础设施安全保障要求,以信息安全保障为核心,按照信息系统生命周期各阶段的工作,划分并构建了信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、信息安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发十大领域(如上图所示),基本覆盖信息安全工作的各个环节,构建信息安全保障工作的体系,避免信息安全工作中出现“木桶效应”。

信息安全概念

信息安全 是防止未经授权的访问、使用、披露、中断、修改、检查、记录和破坏信息的做法;其是一个可以用于任何形式数据的通用术语(美国法典第 3524 条)。

信息安全特征

信息安全是一个跨学科领域的安全问题,其根本目的是 保障组织业务可持续性运行 ,保证利益相关者生命、财产安全的延续;其应该建立在整个信息系统的生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部,而是一个整体;

信息安全需要考虑成本因素 ,保护成本必须和保护资产价值形成有效的比率;信息安全所维系的不仅仅是业务的支撑和辅助,而且是业务的命脉,信息安全管理必须了解业务及流程,保障其最终所应该实现的业务安全。

信息安全因素

信息安全问题产生因素有很多,包括技术故障、黑客攻击、病毒、漏洞等,从根源上来说可分为内因和外因。

  • 内因,信息系统复杂性(过程复杂性、结构复杂性、应用复杂性 …)导致漏洞的存在不可避免, 安全漏洞是客观存在的
  • 外因,环境因素和人为因素,自然灾害和极端天气容易引发信息安全问题,员工的误操作(有意、无意)和外部攻击也是影响信息安全的主要因素。

信息安全属性

信息安全三元组 CIA 安全策略开发模型用于识别安全领域问题并提供必要的解决方案

  • C(Confidentiality,保密性),对信息资源开放范围的控制,确保信息不被非授权的个体、组织和计算机程序访问;
  • I(Integrity,完整性),保证信息系统中的数据处于完整的状态,确保信息没有遭到篡改和破坏,合理情况下,修改应该是可逆的;
  • A(Availability,可用性),数据和系统随时可用,系统、访问通道和身份验证机制等必须正常工作;

CIA 三元组关注的重心在 信息安全 ;对于 信息系统安全 ,由于信息系统的复杂性,在制作安全策略时还需要考虑其他信息安全属性

  • 真实性,能对信息来源进行判断,对伪造来源进行鉴别;
  • 可问责性,承认、承担行动、产品、决策和政策责任,对造成后果负责;
  • 不可否认性,证明要求保护的事件或动作及其发起实体的行为;
  • 可靠性,信息系统在规定条件、规定时间内完成规定的功能;

信息安全保障

PPDR 安全保障模型

PPDR(Policy-Protection-Detection-Response、P2DR、策略-保护-检测-响应)模型核心思想是所有的防护、检测、响应都是依据安全策略实施。

  • 策略(Policy),PPDR 模型的核心,所有的防护、检测和响应都是依据安全策略实施的,安全策略分为总体安全策略和具体安全策略;
  • 保护(Protection),根据系统所有可能出现的安全问题而采取的预防措施,措施通过传统的静态安全技术实现,包括数据加密、身份认证、访问控制、授权和虚拟专用网、防火墙、安全扫描和数据备份等;
  • 检测(Detecetion),当攻击者穿透防护系统时,检测功能与防护系统形成互补,检测是动态响应的依据;
  • 响应(Response),系统一旦检测到入侵,响应系统启动,进行事件处理;响应包括应急响应、恢复响应,恢复处理又包括系统恢复和信息恢复;

PPDR 模型在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。保护、检测和响应组成一个完整、动态的安全循环,在安全策略的指导下保证信息系统的安全。

时间可证明的数学模型

信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为都要 消耗时间 ,可用时间来衡量一个体系的安全性和安全能力。假设系统防护、检测和响应时间分别为 Pt、Dt 和 Rt,系统被成功攻击后的时间为暴露时间 Et

  • Pt,保护安全目标设置各种保护后的防护时间(攻击者攻击安全目标所花费的时间)
  • Dt,攻击发动攻击开始,系统能够检测到攻击行为所花费的时间(发起攻击到检测的时间)
  • Rt,发现攻击行为开始,系统进行足够反应,将系统调整到正常状态所花费的时间(检测到攻击到处理完成时间)

系统 S 的防护时间 Pt、检测时间 Dt 和响应时间 Rt 可能存在如下数学关系

  • 若 Pt > Dt + Rt ,系统 S 未被攻破,即系统是安全的;
  • 若 Pt < Dt + Rt,Et = (Dt + Rt) - Pt;
  • 若 Pt = Dt + Rt,系统可以认为已被攻破,也可认为未被攻破;

PPDR 模型定义安全为 及时的检测和响应就是安全 ,而与 PPDR 相近 PDR(Protection-Detection-Response、保护-检测-响应)模型中缺少 P(Policy、安全策略),对系统的安全隐患和安全措施采取相对固定的前提假设,难以适应系统安全的动态性问题。

PPDR 更强调 控制和对抗 ,强调 系统安全的动态性 ,同时强调了 安全管理的持续性、安全策略的动态性 ,以实时监控网络活动、发现威胁和弱点来调整和填补网络漏洞;但 PPDR 忽略了内在的变化因素,人员的流动、人员的素质、策略贯彻的不稳定性 。PPDR 和 PDR 总体来说 局限于从技术上考虑信息安全问题 ,信息安全保障还需要从技术、管理、制度、人员和法律等方面来覆盖。

IATF 安全保障框架

IATF(Information Assurance Technical Framework、信息安全保障技术框架)由美国国家安全局发布,帮助定义和理解其技术需求并选择满足其需求的方案;IATF 的核心思想是 纵深防御 ,利用一个多层次的、纵深的安全措施来保障信息系统的安全。

核心要素

IATF 安全保障框架中提出深度防御战略(Defense In Depth Strategy)的三个核心要素为人(People)、技术(Technology)和操作(Operations),人通过技术支持来进行相关操作,信息安全保障工作(Information Assurance)依赖于人、技术和操作来实现组织的职能(Successful Organization Functions)。IATF 针对三个核心要素开展 纵深防御 的操作如下所示

  • ,信息系统中的主体,信息系统的拥有者、管理者和使用者,信息系统安全保障的核心,信息安全保障的第一要素
    • 策略和流程
    • 培训和意识
    • 物理安全
    • 人员安全
    • 系统安全管理
    • 设施措施
  • 技术 ,信息安全保障的重要手段,信息安全保障体系所需要的各项安全服务就是通过技术机制来实现的
    • IA 体系框架区域
    • IA 准则(安全、互操作性和 PKI)
    • 已评估产品的采购综合
    • 系统风险评估
  • 操作 ,信息系统安全保障的主动防御体系,与技术手段的被动防御不同,操作将各方面的技术结合在一起的主动的过程,包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等
    • 安全策略
    • 认证和认可
    • 准备性评估
    • 安全管理
    • 密钥管理
    • 攻击感知与告警响应
    • 恢复和重构

焦点领域

IATF 框架将信息安全保障技术层面划分为四个技术焦点领域分别为保护网络和基础设施(Defend the Network & Infrastructure)、保护区域边界(Defend the Enclave Boundary)、保护计算环境(Defend the Computing Environment)及支撑性基础设施(Supporting Infrastrus)

  • 保护网络和基础设施 ,整个信息系统安全的基础,需采取措施确保网络和基础设施稳定可靠运行
    • 合理规划以确保骨干网可用性
    • 使用安全的技术架构
    • 使用冗余设备提高可用性
    • 使用 VPN 保护通信
  • 保护区域边界 ,根据信息系统业务、管理和安全等级划分不同的安全区域,明确不同网络区域数据传输,对进出区域边界的数据流进行有效的控制与监视
    • 区域边界设置身份认证和访问控制措施
    • 区域边界部署入侵检测系统
    • 区域边界部署防病毒网关
    • 使用 VPN 确保安全的接入
    • 部署抗拒绝服务设置
    • 流量、行为管理
  • 保护计算环境 ,采用身份鉴别、访问控制、加密等一系列技术确保计算环境内的数据保密性、完整性、可用性、不可否认性
    • 使用安全的操作系统和应用软件
    • 部署主机入侵检测系统、防病毒软件及其他安全防护软件
    • 定期对系统进行漏洞扫描、补丁加固
    • 定期对系统进行安全配置检查
    • 部署和配置对文件完整性保护
    • 定期对系统和数据进行备份
  • 支撑性基础设施 ,提供安全服务的基础设施及与之相关的一系列活动的综合体
    • KMI/PKI ,提供支持密钥、授权和证书管理的密码及基础设施并能实现使用网络服务人员确实的身份认证;
    • 检测与响应,提供入侵检测、报告、分析、评估和响应基础设施,能迅速检测和响应入侵、异常事件并提供运行状态情况;

安全原则

IATF 安全保障框架除了提出 纵深防御 还包含一些其他安全原则

  • 保护多个位置(横向防御),保护多个位置包括网络和基础设施、区域边界、计算环境等,仅仅在信息系统中重要敏感区域设置保护装置是不够的,需要在信息系统中各个方位部署全面的防御机制;
  • 分层防御(纵向防御),在攻击者和保护目标中部署多层防御机制,每层防御机制都对攻击者形成一道屏障,迫使攻击者在高昂的攻击代价中放弃攻击行为;
  • 安全强健性,信息系统中每一个信息安全组件设置的强健性取决于被保护信息的价值以及遭受威胁程度,设计信息安全保障体系时,必须考虑信息价值和安全管理成本的平衡;

IATF 信息安全保障框架重点是讨论技术因素,但也提出“人”(管理)在信息安全保障体系中重要性;但框架缺乏流程化的管理要求和对业务相关性在信息安全管理体系中的体现,在框架中注重技术消减策略,将管理局限于人的因素,难以有效体现业务与安全的平衡概念。

信息系统安全保障评估

信息系统安全保障 是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出信息安全保障要求,确保信息系统的保密性、完整性和可用性,把安全风险降到可接受的程度,从而保障系统能够顺利实现组织机构的使命。

信息系统安全保障工作的基础和前提是 风险管理 信息安全策略必须以风险管理为基础,采取有针对性的防范措施;最适宜的信息安全策略是最优的风险管理对策,在一个有限资源前提下的最优选择问题,防范不足会造成直接损失,防范过多又会造成间接的损失。

信息系统安全保障评估

信息系统安全保障评估 在信息系统中所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。信息系统安全保障评估的对象是信息系统,不仅仅包括信息技术系统,还包括信息系统所处的运行环境相关的人和管理等领域。

如上图所示,信息系统安全保障评估,是在信息系统的生命周期内,根据组织机构的要求,在信息系统的 安全技术 安全管理 安全工程 领域内对信息系统的 安全技术控制措施 技术架构能力 安全管理控制措施 管理能力 以及 安全工程实施控制措施 工程实施能力 进行评估综合,最终得出 信息系统安全保障措施在其运行环境中满足其安全保障要求的符合性以及信息系统安全保障能力的评估

如上图所示,信息系统安全保障评估可分为

  • 安全保障控制相对于安全保障要求的符合性的评估 ,是与信息系统保护轮廓(Information System Protect Profile,ISPP)和信息系统安全目标(Information System Security Target,ISST)相关的内容。
    • ISPP 是从信息系统的所有者角度描述安全保障的规范化要求描述,ISPP 评估是评估信息系统保护轮廓是否符合 ISPP 规范化描述的要求、是否反映信息系统所有者的真实安全保障要求;
    • ISST 是从信息系统安全保障的建设角度来描述安全保障方案,ISST 评估就是评估所制定的信息系统安全目标是否符合 ISST 规范化描述的要求、是否能够真正解决和满足信息系统保护轮廓的信息系统安全保障要求。
  • 信息系统安全保障级的评估(Information Systems Assurance Level,ISAL),评估各项信息安全保障及其成熟度,强调保障方案具体实施情况
    • 技术保障、安全技术能力成熟度
    • 管理保障,安全管理能力成熟度
    • 工程保障,安全工程能力成熟度

信息系统安全保障评估模型

GB/T 20274.1 - 2006 《信息安全技术 信息系统安全保障评估框架第一部分:简介和一般模型》中描述信息系统安全保障模型包含保障要素、生命周期和安全特征,如下图所示。 信息系统安全保障模型 强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念

生命周期

在信息系统生命周期模型中,可将生命周期抽象成计划组织、开发采购、实施交付、运行维护、废弃,同时还包括在运行维护阶段的变更产生的反馈,构成信息系统生命周期完整的闭环结构;在生命周期的任何时间节点上,需要综合信息安全保障的技术、管理、工程和人员保障要素。

  • 计划组织,根据组织机构业务要求、法律法规要求、系统安全风险等因素,产生信息系统安全保障要求;从信息系统建设开始,应综合考虑系统的安全保障要求,确保信息系统建设和信息系统安全保障建设同步规划、同步实施;
  • 开发采购,计划组织阶段细化和实际体现,需进行系统安全需求分析、系统安全体系设计以及相关预算申请和项目准备等活动;避免拘泥于技术,需综合考虑系统风险和安全策略,将信息系统作为一个整体,对系统进行整体规划以满足组织架构建设要求和相关国家与行业的要求;
  • 实施交付,对信息系统承建方进行信息安全服务资格要求和人员专业资格要求检查,还可通过信息系统安全保证工程保障对实施过程进行评估,确保所交付系统的安全性;
  • 运行维护,对信息系统的管理、运行维护和使用人员能力等方面进行综合保障,保障信息系统安全正常运行;
  • 变更,随着业务和需求的变更、环境的变更产生新的需求或增强原有要求,重新进入信息系统组织计划阶段;
  • 废弃,信息系统不再满足业务需求时,信息系统进入废弃阶段,同时需重新考虑信息安全销毁等操作;

保障要素

  • 信息安全技术
    • 密码技术,涵盖数据处理过程的各个环节,包括数据加密、密码分析、数字签名、身份认证等,保障数据的机密性和完整性要求;
    • 访问控制技术,为用户对系统资源提供最大限度的共享基础上,对用户的访问权进行管理,防止对信息的非授权和滥用;
    • 审计和监控技术,审计是事后认定违反安全规则行为的分析技术;
    • 网络安全设计,网络协议安全、防火墙技术、入侵检测系统、入侵防御系统、安全管理平台、统一威胁管理等;
    • 操作系统与数据库安全技术,操作系统包括身份鉴别、访问控制、文件系统安全、安全审计等方面;数据库安全技术包括数据库安全特性、数据库完整性和备份恢复、数据库安全防护、数据库安全监控等;
    • 安全漏洞与恶意代码,安全漏洞成因、分类以及如何修复等;恶意代码加载、隐藏和自我保护技术,恶意代码检测原理及清除方法;
    • 软件安全开发,包括软件安全开发模型、软件安全开发关键阶段的安全措施等
  • 信息安全管理
    • 信息安全管理体系的一部分,组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。
    • 风险管理是指以风险为主线进行信息安全与管理,根据安全标准和信息系统的安全需求,对信息、信息载体、信息环境进行安全管理,以达到安全目的。风险管理贯穿于整个信息系统生命周期,包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等六个方面内容。
  • 信息安全工程
    • 信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征;基本特征是完善的安全工程的保障,是系统安全工程实施的度量标准,同时也是一个易于理解的评估系统安全工程实施的框架。
  • 信息安全人才
    人是信息安全保障要求中最为关键也是最为活跃的要素;网络攻防对抗最终较量的是人,对于组织机构来说,应建立一个完整的信息安全人才体系。
    • 所有员工,进行信息安全保障意识教育,可采用内部培训、机构发布相关信息来增强所有员工的安全意识
    • 涉及信息系统的岗位和职责员工,进行对应的信息安全保障的基本技能培训
    • 信息安全专业人员,建立更全面、更专业的信息安全保障知识和经验

解决方案

信息安全保障解决方案是一个动态的风险管理过程,通过信息系统生命周期内的 风险实施控制 ,来解决在运行环境中信息系统安全建设所面临的各种问题,从而有效保障业务系统及应用的持续发展。在实施信息安全保障方案时,须以方案为依据,覆盖方案所提出的建设目标和建设内容;在实施过程中,需注意规范的实施过程,实施的质量、进度和成本受控,实施过程中出现的变更需受控,充分考虑实施风险,如资源不足、组织文化抵触情绪、对正常业务造成的影响、信息泄漏或破坏等。

企业安全架构

企业安全架构定义了信息安全战略,包括分层级的解决方案、流程和规程,以及与整个企业的战略、战术和运营链接的方式,用全面的、严格的方法描述了组成完整的信息安全管理体系所有组件的结构和行为。

企业安全视角

  • 业务连续性管理(Business Continuity Manager, BCM) 是企业安全保障中的重要环节,知识产权侵犯、无形资产损失等业务影响,都无法与信息系统中断导致组织业务重大中断相比,企业应针对性制定业务连续性恢复计划,提高企业的风险防范能力;
  • 资产保护 是安全保障的前提,实施有效的安全保障首先需明确需要保护的资产
    • 组织机构有哪些资产?
    • 资产对组织的价值在哪?
    • 是否需要对资产进行保护?
  • 合规性 是企业安全保障关键点,合规性可分为法律法规合规、标准合规
    • 法律法规合规是企业遵守相关法律法规及政策,以满足所有必要的治理要求
    • 标准合规是企业技术、管理等标准符合要求,例如信息安全等级保护等

企业安全体系

笔者收集了部分会议安全建设分享及产品安全白皮书报告【查看更多】,并从中提找出了几个有代表性的体系框架模型,如下所示

平安科技

VIPKID

连连支付

上述的安全体系框架基本都覆盖了 信息系统安全保障评估模型 中所涉及到几个关键点,同时各企业根据自身实际情况将信息系统安全保障评估模型重新划分为

  • 安全治理:信息安全保障、安全工程与运营(安全工程部分)
  • 安全管理:信息安全管理、业务连续性
  • 安全运营:安全工程与运营(安全运营部分)
  • 安全技术:计算环境安全、物理与网络通信安全、信息安全支撑技术、软件安全开发
  • 安全合规:网络安全监管
  • 安全评估:安全评估

安全治理是指最高管理层用来监督管理层在信息安全战略上、架构及业务的关系,确保信息安全战略与组织业务目标一致;安全管理是指提供管理程序、技术及保证措施,是业务管理者确保业务交易的可信性、管理技术服务的可用性,适当防御不正当操作、蓄意攻击或者自然灾害等并从故障中尽快恢复,确保拒绝未授权访问。

参考文档

  1. 美国网络安全体系架构介绍 查看原文
  2. 《注册信息安全专业人员培训教材》朱胜涛