信息安全保障体系服务白皮书.docx
信息平安保障体系询问服务技术白皮书杭州安恒信息技术有限公司二。二四年八月1 .公司简介32 .信息平安保障体系询问服务42.1. 概述42.2. 参考标准42.3. 信息平安保障体系建设的指导思想52.4. 信兑平安保障体系建设的基本原则53 .信息平安保障体系的内容73.1. 信息平安的四个额域73.2. 信息平安策珞体系83.2.1. 信息平安战略83.2.2. 信息平安政策标准体系框架83.3. 信息平安管理体系93.4. 信息平安技术体系框架I1.3.5. 信息平安运营体系144 .信息平安保障体系的建设过程114.1. 信息平安保障体系的总体建设方法174.2. 信息平安策珞的定义174.2.1. 信息平安策略的通用性特征184.2.2. 信息平安策略的建立过程194.3. 企业信息平安管理体系的建设224.3.1. 平安管理体系总体框架224.3.2. 信息平安环境和标准体系框架234.3.3. 信息平安意识培育234.3.4. 信息平安组织254.3.5. 信息平安审计监督264.4. 企业信息平安运营体系的建设304.5. 企业信息平安技术体系的建设324.5.1. 平安技术设计目标324.5.2. 平安技术体系的建设325 .为什么选择安忸信息335.1. 特性335.2. 优点335.3. 效益331 .公司简介杭州安恒信息技术有限公司(DBAPPSeCUrity),简称“安恒信息”,是业界领先的应用平安及数据库平安整体解决方案供应商,专注于应用安全前沿趋势的探讨和分析,核心团队拥有多年应用平安和数据库平安的深厚技术背景以及最佳平安攻防实践阅历,以全球领先具有完全自主学问产权的专利技术,致力于为客户供应应用平安、数据库平安、不良网站监测、平安管理平台等整体解决方案.安恒信息公司总部位于杭州高新区,在北京、上海、广东、四川、美国硅谷等地都设仃分支机构、遍布全国的代理商体系以及销隹与服务网络能够为用户供应精准、专业的服务。公司成立以来安恒人始终以建立民族自主品牌为己任,乘承“精品创新,恒久品质”的理念,力争打造中国信息平安产业应用平安与数据库平安第一品牌。多年来,安恒信息以其精湛的技术,专业的服务得到了广阔客户的青睐,同时赢得了高度的商业信誉。其客户遍布.全国,涉及金融、运营商、政府、公安、能源、教化、医疗、税务/工商、社保、等保评估/平安服务机构、电子商务企业等众多行业。安恒信息目前拥有明鉴、明御两大系列自主研发产品,是应用平安、数据库审计、不良网站监测等领域的市场肯定领导者.其中明鉴系列应用扫描器被公安部三所测评中心等国内权成等级爱护测评机构广泛运用。将来,安恒信息将接着乘承诚信和创新精神,接着致力于供应具有国际竞争力的自主创新产品和服务,全面保障客户应用与数据库的平安,为打造世界顶级的产品而不懈努力。作为2008北京奥组委平安产品和服务供应商,安恒信息被奥组委授予“奥运信息平安保障杰出贡献奖在2009年建国60周年全国网站平安大检查中,公安部和工信部平安中心均选用安恒信息明鉴应用弱点扫描作为平安检查工具并发挥J,重大作用.2010年,“安恒信息”作为上海世博会平安产品和服务的供应商,为上海世博会信息平安保村护航。2010年,“安恒信息”作为广州亚运会平安产品和服务供应商,为亚运会信息平安保驾护航。2 .信息平安保障体系询问服务2.1. 概述在信息系统介入企业商务运营的初期,企业的商务运营环境相对封闭,对信息数据的交互要求也不高,信息系统可以得到企业的完全限制。而如今的信息系统已经成为企业生产业务系统的一部分,企业商务运营中的大量重要信息交互必需依靠于开放的、互联的网络环境进行。臼从网络和InIerne1.万维网出现以来,新兴技术和数据信息量激增,虚拟化和云计算增加基础架构困难性,新兴技术的应用导致平安违规和平安攻击事务的大量增加,数据量每隔18个月翻一番,围围着信息上下文的存储、平安和发觉技术变得越来越重要。信息平安问题越来越凸现出来使得企业规避信息平安风险的需求日趋紧迫。众所周知,即便是在信息平安国际标准和相关最佳实践的指导下,企业依据标准的平安实践方法,设计和实施信息平安解决方案时,依旧会遇到很多挑战。企业还必需考虑多平台,多组件架构集成的困难性,实施平安解决方案的多样性等。信息平安保障体系建设是依据企业业务发展的须要,确立合理的信息平安需求、确立企业信息平安策略,选择平安功能组件,建立一个完整的由信息平安策略体系、信息平安组织体系、信息平安技术体系和信息平安运营体系组成的具备深度平安防卫实力的信息平安保障体系。信息平安保障体系建设询问是杭州安恒信息技术有限公司(以下简称为安恒信息)参考国际国内的信息平安保障体系标准,结合安恒信息在信息平安保障体系建设询问的最佳实践,为企业打造一个属身定制信息平安保障体系的一个询问服务解决方案。22参考标准 计算机信息系统平安等级爱护划分准则BGB178591999 信息平安技术信息系统平安等级爱护基本要求GB/T22239-2008 信息平安技术信息系统等级爱护平安设计技术要求GB/Txxxxx-xxxx 8信息保障技术框架(IATF:InformationAssuranceTechnica1.Fmmework) 信息技术平安技术信息技术平安性评估准则GB/T18336-2008 系统平安工程实力成熟度模型3(SSE-CM.M:SystemSecurityEngineeringCapacityMaturityMode1.)2.3. 信息平安保障体系建设的指导思想招来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的平安需求,使具有相同平安爱护等级的信息系统能锅达到相应等级的基本的受护水平和爱护实力.以风险管理为核心,预防为主,技术手段为支撑,圉绕信息和信息系统生命周期,逐步建立由信息平安策略体系、信息平安组织体系、信息平安技术体系、信息平安构成的平安保障体系.2.4. 信息平安保障体系建设的基本原则侑息系统等爱护原则:企业信息保障体系的建设应当遵从国家信息系统等级爱护基本政策,聘等级爱护的思想融入到信息平安保障体系建设工程中去。多篁深度防卫故略原则:所谓深层防丑故略就是采纳一个多以次的、纵深的平安措施来保障用户信息及信息系统的平安。在纵深防卫战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的平安,三者缺不行。管理与技术并重原则:“三分技术,七分管理”是信息平安管理的公认的常识,其意义在于指出了信息平安的关键所在:光靠信息平安技术(产品)是很难实现信息平安的目标,加强信息平安管理才是信息平安的解决之道。统一规划,分步实施原则:信息平安是一个牵涉面极广的系统工程,须要进行整体的风险评估和平安策略体系设计、平安组织体系设计、平安技术体系设计以及平安运营体系设计才能从整体上提高信息平安保隙的水平,反之任何一个信息平安保障体系的模块失效,则会产生.所谓的“短板效应”而造成信息平安保障水平的降低。但是,信息平安保障体系的投入往往不能步到位,信息平安建设工作也不能在短期内完成,更难于在业务系统的运用中推广。因此,信息平安保障体系建设须要遵守统一规划,分步实施的原则。在规划阶段须要将信息平安保障体系的整体目标、平安需求、平安模型、技术架构、平安原则等设计出来,以指导信息平安的建设工作,识别出信息平安需求的紧迫性,并依据信息平安需求紧迫性的依次规划信息平安建设的依次,以实施信息平安建设的分步实施.风险管理和风险限制原则:风险管理是一种有效的信息平安管理和决策技术。股来说,没有肯定的信息平安,也就是信息平安的风险不行能为零。因此正确的识别风险、合理的管理风险,让信息平安的风险降低可以接受的水平以内,是信息平安管理的指标体系。平安性与成本、效率之间平衡原则:信息平安保障的目标过高,须要的成本将成几何级数的形式上升,并且可能会影响信息运用的效率,但是信息平安保障的目标过低,信息平安事务发生的可能性将增大,信息平安事务的损失将可能增多,因此信息平安保障须要将平安性与成本和效率间进行平衡,以达到信息平安的水平可以接受,但是又不至于让成本上升太多,以及对信息运用的效率影响太大。3.信息平安保障体系的内容3.1. 信息平安的四个领域信息平安包括以下四个领域:信息平安策略、信息平安管理、信息平安运营和信息平安技术,如图3-1所示:图37信息平安的四个领域其中,信息平安策略包括信息平安的战略和信息平安的政策和标准,而信息平安管理、信息平安运营和信息平安技术则是“企业-人-系统”的三元关系: 管理是企业管理的行为(包括平安意识、组织结构和审计监督): 运营是日常管理的行为(包括运营流程和对级管理): 技术是信息系统的行为(包括平安服务和平安基础设施)。可以概述为:信息平安是在企业管理机制下,通过运营机制借助技术手段实现的。信息平安运营是信息平安管理和信息平安技术手段在日常工作中的执行,是信息平安工作的关键,即“七分管理,三分技术,运营贯穿始终”。3.2. 信息平安策略体系信息平安策略体系处企业信息平安保障体系的最顶乂,是业务驱动平安的动身点。主要包括企业战略和治理框架、风险管理框架、合规策略遵从。通过对企业业务和运营风险的评估,确定其故略和治理框架、风险管理框架,定义合规和策略遵从,确立信息平安文档管理体系.3.2.1. 信息平安战略信息平安战略分为企业信息平安战略概述、企业信息平安战略需求分析、企业信息平安战略H标、企业信息平安工作基本原则5个部分。信息平安策略是企业信息平安保障体系的核心,是企业信息平安工作的原则、宗旨、指导,为企业信息平安工作指明白方向。企业信息平安工作是针对企业各信息系统中存在的信息平安风险而开展的。企业的信息平安战略的制定坚持3大原则: 为企业业务发展供应支持和保障信息平安工作的最终目标是要为企业的业务发展供应必要的保障和支持。 在企业信息技术战略规划的基础上制定企业的信息技术远景规划报告是企业现行的信息技术工作开展的最高指导性文件,而信息技术乂是企业信息平安工作开展的必不行少的重要基础,因此企业信息平安战略必需在其信息技术规划的基础上制定。 遵从风险管理的理念信息平安是风险管理中的个特殊的课题。企业信息平安战略的制定也必需在风险管理的原则下,从风险的角度看待信息平安问网,以风险防范、风险限制的方法开展信息平安工作。3.2.2. 信息平安政策标准体系框架企业信息平安政策与标准体系是信息平安管理、运营、技术体系标准化、制度化后形成的整套企业对信息平安的管理规定.其体系框架可以分为横向和纵向两个维度,如图3-2所示:图3-2信息平安政策标准体系框架纵向是企业制度/规定的层次化结构,分为信息平安政策、信息平安标准与规范、信息平安指南和细则三个层面。通过信息平安政策、信息平安标准与规范、信息平安指南和细则将信息平安战略逐步细化、落实,指导企业的信息平安工作:工信息平安政策是在信息平安战略下提出的各信息平安领域的工作目标;是从整个企业管理的高度提出的信息平安工作的方向和原则:是其卜.信息平安标准与规范、信息平安指南与细则的指导纲领。工信息平安标准与规范是在信息平安政策的思想指导下,制定的信息平安管理制度。其中信息平安标准是针对信息平安的管理和技术标准,是指导性的,不具强制效力。而信息平安规范则是针对信息平安工作开展中的管理规定,具有强制效力,必需遵守.信息平安指南与细则是为了贯彻、落实信息平安标准与规范而制定的,信息平安标准与规范与具体状况相结合的具体规定。横向是信息平安对缴。依据针对对象的不同,在纵向的每个层次中应当分别制定相应的政策、标准或规范等,图中只是给出了一些示例。3.3. 信息平安管理体系信息平安管理体系是信息平安保障体系的一个重要组成部分。信息平安管理体系框架是从企业管理的层面动身,依据多层防护的思想,为实现信息平安故略而搭建的。信息平安管理体系的三层防护结构如图3-3:图3-3信息平安管理的三层防护结构 认知宣扬教化员工在信息平安方面的自我约束、自我限制,是信息平安管理体系的第一个层次。认知是信息平安管理限制的基础,实际工作中大部分的信息平安限制须耍依靠历工的主观能动性。 组织管理限制信息平安管理限制是信息平安管理体系的其次个层次,其目的主要是通过完善组织架构,明确不同平安组织、不同平安角色的定位和职责以及相互关系,对信息平安风险进行限制管理。这里包含了“管理”和“监控”两方面的含义,特殊是对专职的信息平安管理部门而言,“监控”是极其重要的职货.管理限制的落实须要通过认知和审计工作进行保障和监督,同时它又是信息平安认知和审计工作开展的重要对象, 审计二次监督审计监督是企业内部风险限制的重要组成部分。内部审计是企业内部限制的种自我监督机制。信息平安审计般是在信息平安管理限制的基础上,由企业内部相对独立的专职部门对信息平安管理限制的效果进行监督。为与管理限制中的“监控”职能区分,通常将属于企业内部限制范畴中相对独立的内部审计工作的监督功能称为二次监督,如前所述,该体系框架分别从自我防范、管理保障和二次监督3个层次对信息平安管理进行保障。3.4. 信息平安技术体系框架安恒信息将信息平安的通用技术手段(或平安服务分为身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份更原等八类,如图3-4图3-4信息平安技术手段如前所述,信息平安爱护的是主体对客体的访问过程。其中,对于主体和客体都须要进行身份认证,而对于整个访问过程须要进行访问管理,并辅以加密、防恶意代码和加固等技术手段。为提高整体的平安等级,对于整个访问过程须要进行审核跟踪和监控,并对意外平安事务进行响应和第原。以卜一是对各类技术手段的具体说明:1 .身份认证(IdentityandAuthenticationManagement)认证是通过对信息系统运用过程中的主客体进行鉴别,确认主客体的身份,并且给这些主客体给予恰当的标记、标签、证书等。认证为下一步的授权工作打卜基础,认证解决了主体本身的信用问题和客体对主体的访问的信任问题.是对用户身份和认证信息的生成、存储、同步、验证和维护的全生命周期的管理。2 .访问管理(ACCeSSManagement)指对各类系统资源的授权管理和访问限制。其中授权是指依据认证得到的主体的信息来推断该主体拥有怎样相应的权限,并将该权限绐予主体称之为授权。认证是授权的基础和依据,而主体经过了第步的身份认证之后,都应遵循“不行旁路”的要求,必需通过授权这个关门才能进行任何的访问。访问限制是指在主体访问客体的过程中,依据预先设置好的访问限制手段或规则,对访问过程中可能出现的平安问题加以有效地限制“保证主体对客体访问过程中的平安性。3 .加密(Cryptography)加密是指通过运用对称加密、公钢加密、单向散列等手段,对各系统中数据的机密性、完整性进行爱护,并提高应用系统服务和数据访问的抗抵赖性。1.防恶意代码(Anti-Ma1.icode)恶意代码泛指能够在某个信息系统上执行未被授权操作的软件或固件。恶意代码可以分为五大类:病毒、娴虫、特洛伊木马、移动代码、逻辑炸弗。各类恶意代码有不同的特点。防恶意代码就是通过建立预防、检测、隔离和清除机制,爱护系统的平安。5 .加固(Hardening)加固是指对客体(信息系统自身)的弱点进行加固的一种平安爱护手段,是通过实施平安漏洞扫描、渗透性测试、平安补、关闭不必要的服务、对特定的攻击防范等技术或管理方法确保和增加系统自身的平安。加固的目的是尽量聘系统自身弱点造成平安事故的可能性降至最低。6 .监控(Monitoring)监控是指管理主体对客体的访问过程中,通过各类技术手段,时T主体的各种访问行为进行监控。确保主体在对客体的访问过程中的平安。7 .审核跟踪(AuditTrai1.)审核跟踪是指一系列关于操作系统、应用和用户活动相关的计算机事务.它能够增进计算机系统的可审计性。对于一个计算机系统可能有几个审核跟踪,每个都针对特定的相关活动类型。对审核跟踪的记录可以保存在日志文件或相关的日志数据库中。8 .备份复原(BaCkUPandRecovery)信息平安的预防、爱护限制措施不行能完全避开意外平安事务的发生,企业必需次行相应的措施最大限度地降低一旦发生的信息平安事务对业务造成的影响,企业应依据不同的业务需求和不同的信息资产价值,建立相应的响应纪原机制。这方面的技术主要表现在冗余、备份、容错等方面。借用信息平安业务价值链的概念,我们可以将信息平安的技术手段分为预防爱护类、检测跟踪类和响应笑原类等一大类,如图3-5所示:图3-5信息平安技术手段其中:1 .预防爱护类包括在客体独立于主体存在时(即主体访问客体之前),确认全部港在的主体的身份和相应的访问权限的手段,即身份认证和访问管理:以及在明确了全部潜在的访问者(主体)之后,通过爱护客体(信息技术相关对象)本身的平安性,防止由于客体本身的平安问题而产生的平安事故的手段,即加密、防恶意代码和加固.2 .检测践踪类在明确了潜在的访问者身份并对受访问的客体进行爱护之后,确保主体对客体进行访问过程中的平安,对F主体时客体的访问行为进行监控和事务记录,避开在访问过程中可能产生的平安事故的手段,包括监控和审核跟踪两部分内容。3 .响应复原类当一旦平安事务发生,确保在最短的时间内进行对事务进行响应和复原。将事务的影响降至最低的阶段.综上所述,在信息平安的技术手段中,有身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份复原这8种通用的爱护措施。同时,结合信息平安的对象层次,信息平安技术体系框架如图3-6所示:应用层系观层网络层身份认证ItA访问管理AM加密Crypto防毒Anti-Ma1.加9HardoningMonitor*ttjAuditTrai1.4H*MBAR图3-6信息平安技术体系框架因此信息系统的技术平安性就可以通过对信息系统中的受爱护对级加以相应的爱护措施的方法来保证。我们可以将企业的信息系统平安管理框架理解为,将各种适合企业特定业务需求或管理需求的平安技术手段,分门别类的应用到企业的信息平安受爱护对象的5个层次中,从技术的角度有效的支撑企业信息平安运营体系,从而有效的确保信息平安。3.5.信息平安运营体系平安运营是指在平安策略的指导下,平安组织利用平安技术来达成平安爱护目标的过程.主要包括平安事务监控、平安事务响应、平安事务审计、平安策略管理、平安绩效管理、平安外包服务。平安运营与IT运营相辅相成、比为依托、共享资源与信息,它与平安组织紧密联系,楸合在业务管理和IT管理体系中。信息平安运营体系框架的目标是构建企业信息平安的核心运营模式。运营框架的基础是风险管理的理念和持续改进的模式.风险管理的理念强调以可接受的成本识别、限制、降低或消退可能影响信息系统的各种平安风险。持续改进的模式要求企业动态地的管理信息平安相关的风险,遵循规划-实施-监控-改进的PDCA循环,不断地适应动态变更的环境。与传统的信息平安运营模式相比,基于风险管理理念和持续改进模式的信息平安运营模式是一种全局的、全员参加的、事先预防、事中限制、事后订正的、动态的运营管理模式:最大的优点是可以从根本上避开、降低各类风险,能降低信息平安故障导致的综合损失。信息平安运营是实现信息平安目标的重要机制。信息平安技术只是实现信息平安限制的个手段,必需依苑于有效的信息平安运营模式加以综合利用,才能实现企业的信息平安目标。如卜.图所示,整个运营体系框架由两大部分组成。顶部的四个福头块代表/信息平安运营的目标模式和概念性流程它以风险管理的四个环节作为运营的主线,描述了信息平安业务的基本运营模式。在其图3-7所示排列了信息平安运营中的些具体事物,是概念性流程在具体对象层次上的实现,风险评估规划实施安全监控用户管理资产管理数据和文档管理应用开发和维护管理系簪全捶作管理网络安全运作管理物理安全运作管理图3-7信息平安运营体系框架运营框架上半部分的概念性流程包括风险评估、规划实施、平安监控、响应复原四个主要步骤。风险评估阶段确定企业的信息平安需求和可接受的残余风险:规划实施阶段将这些信息平安需求用具体的平安限制措施加以实现,将风险削减到可接受的程度:平安监控阶段对平安限制措施的有效运行进行监控跟踪,确保其能够持续地满意企业的信息平安需求.同时对残余风险可能引致的平安事务进行实时地监控:响应夏原阶段对已经发生的平安事务和突发事务以及重大灾难性事故进行快速响应和复原,削减对企业业务的负面影响,运营框架下半部分列举了具体对象层次上的主要的运营事务,是概念性流程的具体实现。信息平安的具体对象大致包括人员层、数据层、应用层、系统层、网络层和物理层等六个层次。信息平安运营的日常事务就发生这些对象层次上。具体对象乂次上的运营管理应当符合概念性流程的框架,何时反应具体对象的特殊需求。信息平安运营的具体事务会有很多,在这个框架里只是排列一部分主要的运营事务.4.信息平安保障体系的建设过程4.1. 信息平安保障体系的总体建设方法企业信息平安保障体系框架参考了众多企业所积累的阅历,充分吸取行业中的最佳实践。在具体运用中可结合信息平安相关方法论、模型及标准,将全部的内容与要求基于企业的业务需求和的现状转化到信息平安设计与规划的具体项目中分别予以实现并供应了可参照执行的演进思路.从企业需求动身,参照企业信息平安管理框架,通过评估和风险分析等方法,定义企业平安需求,依据企业的平安需求定义企业信息平安建设的内容和方向(如图4-1所示)信息安全管理体系安全需求信息安全运维体系信息安全技术体系图47企业信息平安建设思路4.2. 信息平安策略的定义信息平安策略依据企业的业务需求定义所需具备的平安实力和功能。信息平安策略帮助企业相关人员在信息平安建设方面在战略匕和操作乂做出正确的选择。它梢助企业在业务平安需求和信息平安实力之间建立起联系.信息平安策略必需是战略层次的定义,必需可以有较长的生命周期以指导信息平安体系的建设;信息平安策略不宜具体到某一特定的解决方,太,拓扑或配置,信息平安策略是协助企业在IT建设的整个生命周期,包括选择、选购、设计、实施和运行的各个阶段进行决策的工具信息平安策略着眼于在整个企业组织架构中贯彻信息平安策略,而非针对单独特定应用系统的具体功能性组件和运维节点,致力于建设一套能平衡企业组织架构中困难业务流程、应用和系统相关风险的战略性架构设计。信息平安策略设计具有战略意义,它将比设计规范、拓扑图或拓扑配置拥有更长的生命周期,它可发展成特定的方案。假如太过具体,它就会受限了当前的环境:假如太过广泛,它就不能起到供应指引的作用。应诬慎以防止架构变成某个具体实施的蓝图。信息平安策略有以下作用: 信息平安策略通过供应平安功能要求和实施方法来确保企业内实施一样的平安解决方案。 依据业务需求事先定义所需的平安技术和解决方案。 确保平安解决方案的相互可集成性以及相关的平安管控措施的到位和协作. 确保平安组件的可重更利用,爱护投资。4.2.1. 信息平安策略的通用性特征信息平安策略具备以下特点:信息平安策略是一项长远的限制观点,而不是一个战术观点。目前企业的信息平安建设面临着大量的供应商所供应的各种各样的技术可以实现各种困难的平安限制措施(而各种异构的解决方案的重登建设和低效率将成为信息平安策略需着手解决的问邀。总的趋势是为特定的执行状况而部署这些机制作为战术上解决方案。而为了供应个统的观点和基于成本的考虑,优秀的企业信息平安策略的设计是具有战略意义:意味着信息平安策略比规划蓝图,设计规范、拓扑图和配置等具有更长的生命周期。假如是过于具体,反而将制约当前的状况。假如是过于空泛或般,则无法供应决第和指导。在企业整体技术环境下,信息平安策略将为相关鉴别、选择、采集、设计、实施、部署和运维供应决策依据。 信息平安策略的目标是共同的.一个企业的信息平安策略应当支持多组织,多部门和多业务单元,描述平安限制及措施的长期技术趋势。它允很多种具体实现取决于现实的时刻,应当心避开平安体系成为特定实施的蓝图。信息平安策略应当为整个组织机构供应一个全面风险管理的指导。 信息平安策略供应了个统一的共享平安限制的远景。通过供应共享服务的模型,企业的信息平安策略着限于从整体的角度来检查平安限制措施,识别出己有平安限制措施卜的潜在风险,供应一个长远的改进安排。同时,这也是一个平安管理最佳实践的基本组成. 信息平安策略供应了一个故捷的方式来处理当前和将来的威逼。信息平安策略的全部基础组件的开发和部署只须要做次。在基础结构已经确定的前提下,其它架构组件就可以更简洁处理。假如基础架构引入新的举措,是不会引入新的弱点的。假如外部新的弱点被引入,则信息平安策略须要通过风险评估重新评估。总而言之,信息平安策略应当符合下述相关论述:一个有效的平安规划是承认随着时间的推移全部的信息资产的价值和风险是不相等或恒定不变的。一个有效的平安方案运用最合适的技术来爱护相关的资产,并结合执行和质量保障安排把风险削减到可接受的水平。高品侦的平安规划,包括常常性的管理审查和技术评估以确保平安限制措施的有效并供应相关的反馈,使技术和方法适应资产的价值和风险随着时间的变更。4.2.2. 信息平安策略的建立过程信息平安策略首先应当确定企业业务方面的平安需求,然后平衡商业驱动因素和可接受的风险。这种业务方面的平安需求的确定来源于内部和外部因素的分析.因此信息平安策略首先应从以保降业务目标而所需具备的平安实力进行识别,还必需符合业务方面的需求,并供应法律和规章方面的遵守。对于如何通过供应个全面的方法来构建新代平安解决方案、供应基于风险分析的方法来实施平安解决方案,企业信息平安策略以文件的方式供应指导,并用于支持企业平安体系结构和平安解决方案。信息平安策略既供应功能图也供应功能部署图。信息平安策略完整地覆盖了企业信息平安工作的全部内容,并具体说明在今后的活动里.可以如何利用这些架构指导工作。信息平安策略概述了每个关键要素。设计该企业信息平安策略是用丁供应必耍的平安概念来窟护企业的业务流程和业务信息免受来自内部和外部的威逼,通过开发与应用适当的技术来爱护最重要的资产,结合质量流程把风险降低到可接受的水平。它通过供应架构指南和为平安方案设计供应帮助来实现此目标。一、平安战略平安战略体现J'企业高乂经理对信息平安策略的需求,体现J'业务对平安的要求,反映了信息平安的价值。平安原则对将来平安方面的选择供应了依据。通常业界通用的平安原则如下,企业须耍依据通用平安原则和本企业的业务需求明确企业自身的平安原则。 最少准入特权(1.eaStPrivi1.ege) 深化防卫(DefenSeinDepth) 狭窄进入通道(ChOkePoint) 最弱点原则(Weakest1.ink) 故障无碍位置(FaiI-SHfeStance) 全面参加平安限制(UniVerSa1.Participation) 防卫手段多样化(DiVerSi1.yofDefense) 防卫机制简洁化(SimP1.iCity) 平安机制区域划分(ComPart.menta1.ization) 内外平安防卫实力(PrOIeC1.againstinsideraswe1.1.asoutsiderthreats)二、信息平安政策信息平安政策从业务的角度定义一系列的平安准则,为信息平安管理供应方向和指南。信息平安政策定义信息平安目标并通过定义必需遵守的平安要求来为管理以、用户、应用开发者等相关人i供应指南。三、平安模块平安模块是构成信息平安策略的基本平安元素。平安模块分为两种:平安流程模块和平安功能模块。每个模块定义基本的功能或流程。 平安流程模块信息平安的目标是确保业务的连续性,削减平安事故的影响.信息平安管理和信息平安技术同样重要。信息平安流程模块的定义将参见IS027001标准,依据企业的特点,结合IS027001定义企业的信息平安管理体系和流程。IS027001从十一个方面阐述一个企业信息平安管理体系(ISMS)应当具备的管理和限制措施。共包括了39个限制目标和133个限制措施。 平安功能模块全部的平安功能模块按功能区分,可以分为接入限制、信任管理、信息流限制、审计和完整性5个子系统,如图4-2所示:接入接入控制信任关某库信任管理审计管理审计事件产生完铮性事件汇总审计今吉生成实时事件分析图4-2平安功能模块功能区五个子系统的每个子系统相关的组件在下面列出。这些组件来自基础功能构建模块,并在每个独立的平安子架构运用。在设计信息平安策略时,须要依据企业的环境来定义5个子系统的具体功能。这些平安功能模块共同工作,构成了企业的信息平安系统。四、信息资产库信息资产库帮助企业理解哪些信息资产对于企业是最关键的,这些资产现有的爱护措施如何,还存在哪些平安风险。信息资产库关注每个资产的保密性,完整性和可用性。从而了解每个资产的平安需求,以供应合适的风险管控措施“五、平安服务平安服务定义了企业可以供应的平安功能和流程,它是由不同的平安模块组成的。六、CI"服务矩阵CIA/服务矩阵将平安服务映射到资产的三个属性:保密性、完整性、可用性。此服务矩阵帮助理解和选择相关的平安限制。4.3. 企业信息平安管理体系的建设4.3.1. 平安管理体系总体框架信息平安管理体系是信息平安保障体系的个重要组成部分。信息平安管理体系框架是从企业管理的必面动身,依据多所防护的思想,为实现信息平安战略而搭建的。信息平安管理体系由几下儿部分组成: 平安政策,标准一一管理规定:信息平安政策与标准是信息平安管理、运营、技术体系标准化、制度化后形成的一整套对信息平安的管理规定,是平安意识培育的内容来源,是组织管理限制和审计的依据,是技术方案必需遵从的基础要求。 平安意识培育一一宣扬教化:员工在信息平安方面的自我约束、自我限制,是信息平安管理体系的一个重要层次.平安意识培育是信息平安管理限制的基础,实际工作中大部分的信息平安限制须要依靠员工的主观能动性。 平安组织管理限制:通过完善的组织架构,明确不同平安组织、不同平安用色的定位和职货以及相比关系,对信息平安风险进行限制管理.这里包含J'“管理”和“监控”两方面的含义,特殊是对专职的信息平安管理部门而言,“监控”是极其重要的职责。管理限制的落实须要通过标准、平安意识培育和审计工作进行保障和监督.同时它又是信息平安标准、平安意识培育和审计工作开展的重耍对象. 审计一一监督:审计监督是企业内部风险限制的重要组成部分。内部审计是企业内部限制的种自我监督机制。信息平安审计般是在信息平安管理限制的基础上,由企业内部相对独立的专职部门对信息平安管理限制的效果进行监督。 风险评估一一发觉问题:信息平安风险评估的目标是了解支掾企业关键业务运营的信息系统的平安状况,评估核心信息资产所面临的风险,发觉信息平安实践中的薄弱环节和改进机会,明确信息系统的平安需求,提出信息平安限制措施改进方案.4.3.2. 信息平安环境和标准体系框架企业的信息并不是存在于真空中的,而是和困难的企业在法律和财务方面的要求相关。企业的每一位员工都应当了解自身所担负的信息系统平安职贪。对于任何能够正常运营的企业来说,必需制定能够满意企业要求的相应的平安政策和标准并付诸丁实施来防范一切可能出现的平安隐患。平安环境和标准体系的建设应充分考虑以下几个方面的因素: 对企业环境的理解 参考国际标准,kIS027001.信息平安策略(IS07984-2) 遵守中国的平安法律法规,如:计和机系统平安爱护条例4.3.3. 信息平安意识培育信息平安意识培仔是信息平安工作中特别至要的一个环节,对信息平安工作来说,信息平安意识教化主要是要发挥员工在信息平安方面的主观能动性,通过自律的方式来实现平安保障.在实际工作中,大部分的信息平安风险须要在这一层面得以限制。信息平安意识培育工作主要是针对人的工作,而其范闹特别广泛。由于几乎全部的员工都可以干脆或间接的接触信息系统,或信息系统中的信息,因此依据全员参加原则,信息平安意识培育工作涉及企业内部的全部员工。信息平安意识培育工作是通过宣扬教化来达到以下三个目标的: 提升员工信息平安意识 保证员工了解自己的信息平安职责 保证员工驾驭必要的信息平安方面的专业技能和理论人的因素始终是信息平安系统中相当薄弱的一个环节,由于人为因素而造成的信息平安方面的损失要远高于其他非人为因素的损失。而通常状况下,在人为因素造成的损失中由于企业内部人员所造成的损害又占了大部分。内部员工造成的损失从缘由来看主要有:过失和失误、欺诈犯罪以及不满员工的破坏行为。信息平安意识培育和专业技能培训主要是为了降低过失和失误这方面人为因素所造成的损失。同时,通过向员工宣扬和教化他们担当的货任以及违规惩罚的措施,也可以有效地抑制内部员工欺诈和破坏等状况的出现。信息平安意识培育工作的开展主要依靠三种手段:信息平安宣扬、信息平安培训和信息平安教化。信息平安宣扬的目的主要是让每个员工相识到信息平安方面的关注问题,了解信息平安的重要性,明确信息平安工作的目标和宗旨,提升员工的信息平安意识。一般信息平安宣扬至少应包含以下些基本内容: 平安事务对企业内用户和企业的影响: 信息平安战略目标和原则的意义: 企业信息平安方面政策标准的说明说明及其背后的限制目的: 企业的信息平安安排和目标; 信息的分类分级基本状况: 各人担当的信息平安方面职费以及违反相关规定的行为后果:信息平安宣扬的对象是全体员工,因此在选择实施方式和渠道时一般采纳那些能够在短时间内快速接触到广阔员工的方法,同时经过肯定的包装使之更易于为人所接受。通常采纳的方法有: 平安意识宣扬的录像和广播 海报和传单 内部刊物或企业网站 用户登陆时出现的提示和宣扬信息 各种形式的讲座和探讨 有大批员工参加的各种会议信息平安培训的目的主要是为了传授一些必需的平安技能和实力,使学习者能完成某一方面的工作。相对宣扬,培训的形式更为正规,同时相比宣扬的一次性的活动,培训更注意经过一段时间更具体地将某个特定角色或岗位所须要的学问和技能教给相关人员。因此培训的内容更加有针对性,企业中和信息系统相关的不同角色其培训的内容也各不相同。信息平安教化是指将很多不同特性的平安技能和实力整合成个学问体系,通过加入各种学科的概念、基本原理等内容,为企业培育信息平安方面有远见的专家和专业人员。在平安教化中不再像培训一样只关注实际工作中的技