信息安全等級保護(hù)體系設(shè)計(jì)

信息安全等級保護(hù)體系設(shè)計(jì)《關(guān)于加強(qiáng)信息安全保障工作的意見》指出,實(shí)行等級保護(hù)是信息安全保障的基本政策,各部門、各單位都要根據(jù)等級保護(hù)制度的要求,結(jié)合各自的特點(diǎn),建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施。通過將等級化方法和安全體系方法有效結(jié)合,設(shè)計(jì)一套等級化的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決大型組織信息安全問題的一個非常有效的方法。設(shè)計(jì)思路與原則信息安全保障是一個極為復(fù)雜、系統(tǒng)性和長期性的工作。設(shè)計(jì)信息系統(tǒng)安全體系及實(shí)施方案時一般應(yīng)遵循以下四條原則:清晰定義安全模型合理劃分安全等級科學(xué)設(shè)計(jì)防護(hù)深度確?？蓪?shí)施易評估。具體來說:清晰定義安全模型面對的難題:政府或大型企業(yè)組織的信息系統(tǒng)結(jié)構(gòu)復(fù)雜,難以描述。政府或大型企業(yè)的信息系統(tǒng)往往覆蓋全國范圍內(nèi)的各省、市、縣和鄉(xiāng)鎮(zhèn),地域遼闊,規(guī)模龐大各地信息化發(fā)展程度不一,東西部存在較大差別前期建設(shè)缺乏統(tǒng)一規(guī)劃,各區(qū)域主要業(yè)務(wù)系統(tǒng)和管理模式往往都存在較大的差別。這樣就造成難以準(zhǔn)確、清晰地描述大型信息系統(tǒng)的安全現(xiàn)狀和安全威脅。因此,設(shè)計(jì)保障體系時也就無的放矢,缺乏針對性,也不具備實(shí)用性。解決方法:針對信息系統(tǒng)的安全屬性定義一個清晰的、可描述的安全模型,即信息安全保護(hù)對象框架。在設(shè)計(jì)信息安全保障體系時,首先要對信息系統(tǒng)進(jìn)行模型抽象。我們把信息系統(tǒng)各個內(nèi)容屬性中與安全相關(guān)的屬性抽取出來參照IATF美國信息安全保障技術(shù)框架,通過建立“信息安全保護(hù)對象框架”的方法來建立安全模型,從而相對準(zhǔn)確地描述信息系統(tǒng)的安全屬性。保護(hù)對象框架是根據(jù)信息系統(tǒng)的功能特性、安全價值以及面臨威脅的相似性,將其劃分成計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類信息資產(chǎn)組作為保護(hù)對象。合理劃分安全等級面對的難題:如何解決在設(shè)計(jì)安全保障措施時所面對的需求差異性與經(jīng)濟(jì)性難題。因?yàn)樾畔⑾到y(tǒng)的差異性,從而其安全要求的屬性和強(qiáng)度存在較大差異性又因?yàn)榻?jīng)濟(jì)性的考慮,需要考慮信息安全要求與資金人力投入的平衡。設(shè)計(jì)安全保障措施時不能一刀切,必須考慮差異性和經(jīng)濟(jì)性。解決方法:針對保護(hù)對象和保障措施劃分安全等級。首先進(jìn)行信息系統(tǒng)的等級化:通過將保護(hù)對象進(jìn)行等級化劃分,實(shí)現(xiàn)等級化的保護(hù)對象框架,來反映等級化的信息系統(tǒng)。其次,設(shè)計(jì)等級化的保障措施:根據(jù)保護(hù)對象的等級化,有針對性地設(shè)計(jì)等級化的安全保障措施,從而通過不同等級的保護(hù)對象和保障措施的一一對應(yīng),形成整體的等級化安全保障體系。等級化安全保障體系為用戶提供以下價值:滿足大型組織中不同分支機(jī)構(gòu)的個性化安全需求可動態(tài)地改變保護(hù)對象的安全等級,能方便地調(diào)整不同階段的安全目標(biāo)可綜合平衡安全成本與風(fēng)險,能優(yōu)化信息安全資源配置可清晰地比對目標(biāo)與現(xiàn)狀,能準(zhǔn)確、完備地提取安全需求。科學(xué)設(shè)計(jì)防護(hù)深度面對的難題:現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),缺乏多重深度保障,缺乏抗打擊能力和可控性。信息安全問題包含管理方面問題、技術(shù)方面問題以及兩者的交叉,它從來都不是靜態(tài)的,隨著組織的策略、組織架構(gòu)、業(yè)務(wù)流程和操作流程的改變而改變?，F(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),單純部署安全產(chǎn)品是一種靜態(tài)的解決辦法,單純防范黑客入侵和病毒感染更是片面的。一旦單點(diǎn)防護(hù)措施被突破、繞過或失效,整個安全體系將會失效,從而威脅將影響到整個信息系統(tǒng),后果是災(zāi)難性的。解決方法:設(shè)計(jì)多重深度保障,增強(qiáng)抗打擊能力。國家相關(guān)指導(dǎo)文件提出“堅(jiān)持積極防御、綜合防范的方針”,《美國國家安全戰(zhàn)略》中也指出,國家的關(guān)鍵基礎(chǔ)設(shè)施的“這些關(guān)鍵功能遭到的任何破壞或操縱必須控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小這樣一個規(guī)模上”。兩者都強(qiáng)調(diào)了抗打擊能力和可控性,這就要求采用多層保護(hù)的深度防御策略,實(shí)現(xiàn)安全管理和安全技術(shù)的緊密結(jié)合,防止單點(diǎn)突破。我們在設(shè)計(jì)安全體系時,將安全組織、策略和運(yùn)作流程等管理手段和安全技術(shù)緊密結(jié)合,從而形成一個具有多重深度保障手段的防護(hù)網(wǎng)絡(luò),構(gòu)成一個具有多重深度保障、抗打擊能力和能把損壞降到最小的安全體系。確?？蓪?shí)施易評估面對的難題:許多安全體系缺乏針對性,安全方案不可實(shí)施,安全效果難以評估。我國許多安全項(xiàng)目在安全體系框架設(shè)計(jì)方面,由于缺乏深入和全面的需求調(diào)研,往往不能切實(shí)反映信息系統(tǒng)的業(yè)務(wù)特性和安全現(xiàn)狀,安全體系框架中缺乏可行的實(shí)施方案與項(xiàng)目規(guī)劃,在堆砌安全產(chǎn)品的過程中沒有設(shè)計(jì)安全管理與動態(tài)運(yùn)維流程,缺乏安全審計(jì)與評估手段,因此可實(shí)施性和可操作性不強(qiáng)。解決方法:綜合運(yùn)用用戶訪談、資產(chǎn)普查、風(fēng)險評估等手段,科學(xué)設(shè)計(jì)安全體系框架,確?？蓪?shí)施易評估。我們在設(shè)計(jì)安全體系時,充分考慮到了上述問題,采取如下措施:在設(shè)計(jì)安全體系前,通過對目標(biāo)信息系統(tǒng)的各方面進(jìn)行完整和深入調(diào)研,采取的手段包括選取典型抽樣節(jié)點(diǎn)的深入調(diào)查和安全風(fēng)險評估,以及全范圍的信息資產(chǎn)和安全狀況普查。綜合兩種手段,得出反映現(xiàn)狀的安全保護(hù)對象框架及下屬的信息資產(chǎn)數(shù)據(jù)庫,以及全面的安全現(xiàn)狀報告。在體系框架設(shè)計(jì)的同時設(shè)計(jì)工程實(shí)施方案和項(xiàng)目規(guī)劃安全體系本身具有非常詳盡的描述,具備很強(qiáng)的可工程化能力。在描述安全對策時,不是原則性的,而應(yīng)是可操作和可落實(shí)的。設(shè)計(jì)方法總體設(shè)計(jì)方法設(shè)計(jì)政府/大型企業(yè)組織安全體系的具體內(nèi)容包括:安全保護(hù)對象框架信息系統(tǒng)保護(hù)對象框架是根據(jù)對大型政府/企業(yè)組織總部及各省的評估調(diào)查和普查,參照信息保障體系的建模方法,按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對象安全保護(hù)對策框架信息系統(tǒng)安全保護(hù)對策框架是參照國內(nèi)外先進(jìn)的信息安全標(biāo)準(zhǔn),參考業(yè)界通用的最佳實(shí)施,并結(jié)合大型政府/企業(yè)組織的實(shí)際情況和現(xiàn)實(shí)問題進(jìn)行定制,對大量可行的安全對策進(jìn)行等級劃分。信息系統(tǒng)安全體系信息系統(tǒng)安全體系是以保護(hù)對象為經(jīng),以安全等級框架為緯,對保護(hù)對象逐個進(jìn)行威脅和風(fēng)險分析,從而形成信息系統(tǒng)安全體系,其表現(xiàn)形式示意圖如圖1所示。等級化安全保護(hù)對象框架設(shè)計(jì)由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大,各分支機(jī)構(gòu)的信息系統(tǒng)之間存在差異,因此必須對信息系統(tǒng)進(jìn)行抽象,形成統(tǒng)一的保護(hù)對象框架。安全保護(hù)對象框架模型的設(shè)計(jì)(以銀行業(yè)為例如圖2所示。等級化安全對策框架設(shè)計(jì)根據(jù)組織的特點(diǎn)設(shè)計(jì)和定制等級化安全對策框架,并針對組織的現(xiàn)狀選擇安全對策及其等級。(1安全框架層次結(jié)構(gòu)和分類大型政府/企業(yè)組織安全對策框架體系包括安全策略、安全組織、安全運(yùn)作和安全技術(shù)四個子安全對策框架,分別包括一系列對策類,對策類可進(jìn)一步細(xì)分對策子類,甚至對策子類也可以再次細(xì)分為對策子類。細(xì)分到最后的對策類和對策子類由對策構(gòu)成。對策中則是一些較為具體的安全控制。通過對不同強(qiáng)度和數(shù)量安全控制的組合,將對策分級。(2安全對策框架等級劃分每個安全對策可分為三個等級,每一等級由若干條安全控制細(xì)則組成。一般通過安全控制細(xì)則的增強(qiáng)、增加來提高對策的等級。當(dāng)安全對策某一等級中的所有安全控制細(xì)則均已實(shí)現(xiàn)時,可認(rèn)為已達(dá)到該等級的對策。安全對策的等級劃分,大體參考了GB17859、GB/T18336、TCSEC、SP800-53等國內(nèi)外信息安全標(biāo)準(zhǔn)。不同框架的對策,參照的標(biāo)準(zhǔn)有所不同。等級化安全保障體系設(shè)計(jì)安全保障體系的深度防御戰(zhàn)略模型將防御體系分為組織、技術(shù)和運(yùn)作三個要素。信息安全管理就是通過一系列的策略、制度和機(jī)制來協(xié)調(diào)這三者之間的關(guān)系,明確技術(shù)實(shí)施和安全操作中相關(guān)人員的安全職責(zé),從而達(dá)到對安全風(fēng)險的及時發(fā)現(xiàn)和有效控制,提高安全問題發(fā)生時的反應(yīng)速度和恢復(fù)能力,增強(qiáng)網(wǎng)絡(luò)的整體安全保障能力。安全策略體系指的是從信息資產(chǎn)安全管理的角度出發(fā),為了保護(hù)信息資產(chǎn),消除或降低風(fēng)險而制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程的總和。安全組織體系作為安全工作的管理和實(shí)施體系,主要負(fù)責(zé)安全策略、制度、規(guī)劃的制訂和實(shí)施,確定各種安全管理崗位和相應(yīng)的安全職責(zé),/r/