企業信息安全技術是當前行業內(nèi)最熱門的(de)話題之一(yī)。然而,以往我們對信息安全研究的(de)側重點往往都放在不同的(de)分支學(xué)科,諸如(rú)網絡安全、應用程序安全、栅格安全、Web安全、防火牆和(hé)整體入侵檢測等,但在對綜合企業信息安全體系結構、信息安全關鍵屬性以及信息安全管理(lǐ)等方面的(de)研究相對較弱。 随着信息技術的(de)普及,當前信息安全體系結構已經成為(wèi)了信息體系結構的(de)一(yī)個重要的(de)分支學(xué)科,信息安全體系結構在當今的(de)企業信息技術中起着越來越重要的(de)作用。企業信息安全體系結構是跨學(xué)科的(de)信息安全技術與信息體系結構,但在這方面的(de)研究重心仍然隻是局限于應用研究。少數信息安全公司已經開始涉足對企業信息安全體系結構的(de)利用,但他們提出的(de)解決方案隻是強調在日志管理(lǐ)和(hé)(或)事件管理(lǐ)的(de)基礎上提供一(yī)種商用的(de)綜合安全管理(lǐ)平台,而不是考慮将信息安全體系結構與企業信息體系結構相集成。 本文在分析了信息安全體系結構的(de)基礎上,對一(yī)種分層和(hé)面向服務的(de)智能企業信息安全體系結構進行了研究,有助于構建一(yī)個模型來系統和(hé)智能地(dì)對企業信息安全活動進行管理(lǐ),并與整體信息管理(lǐ)活動相結合;還着重對信息安全中最關鍵的(de)屬性以及信息安全管理(lǐ)等方面進行了研究,并探讨了采用最新的(de)國際ISO/IEC 27001标準的(de)信息安全和(hé)風險控制服務。必須“技術”與“管理(lǐ)”并重,才能保障企業的(de)信息安全,這将有助于提升企業信息安全管理(lǐ)和(hé)風險控制活動的(de)效率。
1
信息安全體系結構
計算機網絡信息安全體系結構是一(yī)個動态化的(de)概念,是在計算機技術、互聯網技術、信息通信技術、密碼技術、軟件技術、安全協議等多學(xué)科領域的(de)基礎上建立起來的(de),其結構要确保系統中的(de)硬件、軟件受到雙重保護,不被更改、洩露和(hé)破壞,能夠使整個網絡系統持續穩定地(dì)運行,并且有必要實施控制戰略來保持信息的(de)完整性、保密性和(hé)可(kě)用性。
所有的(de)信息安全體系結構都包括了以下組成部分:組織和(hé)基礎設施安全;策略、标準和(hé)程序安全;基線和(hé)風險評價安全;感知與訓練項目安全。
目前常用的(de)幾個計算機網絡信息安全基礎技術包括:SNMP協議、VLAN虛拟局域網、邊界防火牆、網絡用戶身份認證、路由訪問控制以及入侵檢測等。
計算機網絡的(de)應用及推廣,使得越來越多的(de)計算機病毒、網絡黑客的(de)惡意襲擊、網絡軟件漏洞等問題不斷湧現,加上網絡本身具有的(de)複雜性、開放性和(hé)共享性,同時網絡信息本身具有較低(dī)的(de)安全性,緻使網絡信息安全的(de)風險比較大。這是構建網絡安全體系有待解決的(de)問題。
(1)信息安全體系結構的(de)設計
構建堅固的(de)信息安全體系結構是企業自(zì)動、系統和(hé)智能地(dì)管理(lǐ)信息安全活動的(de)基礎。研究人員已經設計出了一(yī)種智能企業信息安全體系結構。其中,它的(de)底層基于數據倉庫/數據集市,安全服務總線用作集線器。其設計的(de)目的(de)是要通過利用業務過程管理(lǐ)(BPM)、規則引擎和(hé)業務情報(BI)技術為(wèi)企業信息安全活動提供綜合的(de)前瞻性管理(lǐ)和(hé)有效控制。它還使企業公司能夠将其信息安全管理(lǐ)提升至需要的(de)水平,還在相同層中嵌入了一(yī)個PDCA(規劃-實施-檢查-處置)适配器來确保信息安全管理(lǐ)與風險控制活動能夠提高(gāo)其自(zì)身優化的(de)能力。
①安全數據庫層。體系結構的(de)底層是整個體系結構的(de)基礎層。這是因為(wèi)安全數據更易用于其他應用和(hé)服務。在該層的(de)數據被分成兩個部分:操作數據和(hé)分析數據(決策支持)。操作數據不僅包括了戰略企業數據,諸如(rú)CMDB(配置管理(lǐ)數據庫)和(hé)EIF(企業信息文件),還包括了應用操作數據庫。這兩部分之間的(de)差異是,應用數據庫僅由應用來使用。建立了戰略企業數據在各應用之間共享數據。分析數據包括了數據倉庫、數據集市和(hé)維立方體。在定義好的(de)規則的(de)基礎上,由操作環境近乎實時地(dì)或以批處理(lǐ)模式通過ETL(提取、轉換和(hé)加載)過程來提供分析數據。
②安全應用層。應用層包含了各種應用的(de)混合,并且該層包括了所有信息安全系統,像防火牆、IPS(入侵防護系統)、反病毒系統以及受保護的(de)設備,諸如(rú)網絡設備、服務器和(hé)桌面設備。它還包括了通過這些設備建立的(de)不同操作系統。
③安全服務總線。在該層定義了SOA服務總線結構和(hé)所需的(de)不同信息安全服務。在面向服務的(de)信息安全體系結構中,我們可(kě)以将當前和(hé)未來的(de)安全需求作為(wèi)安全服務來定義,但這些服務的(de)實施是隐藏的(de),對新的(de)安全服務來說易于重用當前的(de)服務。“通過提出一(yī)種全新的(de)解決方案來解決信息安全有關的(de)所有問題”是不可(kě)行的(de),因此研究人員已經嘗試對企業信息技術與安全技術進行集成。至于SOA體系結構的(de)嵌入的(de)安全性,可(kě)以通過正确的(de)訪問控制和(hé)授權來實現某種控制。可(kě)以用一(yī)種能保證所傳輸信息完整性的(de)方式來完成各項服務之間信息的(de)加密傳輸,确保在此交互活動中僅有發送方和(hé)接收方參與。
④集成與智能層。該層是體系結構區域,其中數據、過程和(hé)應用被維系在一(yī)起用來解決業務問題,以适應快速變化的(de)環境。設計了四個模型:BPM(用來完成不同安全過程之間的(de)管理(lǐ)和(hé)配置);業務情報模型(提供了各種服務,諸如(rú)報告、查詢、數據挖掘和(hé)多維分析);規則引擎(屬于工作流的(de)一(yī)部分,可(kě)以整合進BPM模型中);PDCA适配器(采用人工智能的(de)一(yī)種特殊工具,有助于企業在信息安全管理(lǐ)中實現持續進步與自(zì)我優化目标)。
⑤信息安全門戶。信息安全門戶層提供了與安全人員、風險分析員以及管理(lǐ)團隊的(de)交互。它包括了交互設備、交互機制、交互接口(諸如(rú)SMS(短(duǎn)報文服務)接口)和(hé)電郵連接器等。它還提供了一(yī)個門戶以及關鍵風險指示器和(hé)IT風險與控制的(de)控制面闆。必要時,它可(kě)以提供在線平衡記分卡,用于管理(lǐ)審查。
概括地(dì)講,這種智能企業信息安全體系結構具有集成、可(kě)重用性、面向服務、集成數據環境、業務情報和(hé)開放式體系結構等特征。
2
信息可(kě)用性
信息可(kě)用性是信息安全的(de)重要支柱之一(yī),也是信息安全中最關鍵的(de)屬性。信息可(kě)用性指的(de)是經過授權的(de)用戶擁有享受網絡信息服務的(de)權力。
在計算機科學(xué)、信息技術和(hé)應用中,可(kě)用性含義是各不相同的(de)。在過去(qù)幾十年(nián)裏,研究人員已經在其功能性和(hé)性能方面(即計算機網絡、信息處理(lǐ)系統、數據庫、文件系統和(hé)數據存儲等)做(zuò)了大量研究,而最終确認了一(yī)個事實就是,可(kě)用性是提供信息安全的(de)一(yī)個關鍵支柱,并且都認同了以下共同目标。
(1)允許那些需要的(de)人對授權信息或資源的(de)訪問。
(2) 授權用戶及時、可(kě)靠地(dì)訪問數據和(hé)信息服務。
(3)不應阻止一(yī)個授權方對他/她可(kě)以合法訪問的(de)對象進行訪問。
(4)需要保證系統能夠立即工作并且不會對授權用戶拒絕服務。
但人們在探讨信息系統安全的(de)時候并未對信息可(kě)用性引起足夠的(de)重視(shì)。當今的(de)拒絕服務(DoS)攻擊通過對信息安全造成威脅來持續以更大和(hé)更具破壞性的(de)DoS形式來構成威脅。DoS攻擊的(de)主要目标是使一(yī)個信息資源變得不可(kě)用,或用更簡明的(de)術語來描述其主要的(de)威脅目标就是“信息可(kě)用性”。由于DoS威脅的(de)存在,需要對信息可(kě)用性進行研究與分析,以便更好地(dì)将“可(kě)用性”作為(wèi)一(yī)個安全屬性來加以理(lǐ)解。
事實上,信息可(kě)用性在确定信息安全的(de)其他屬性(保密性和(hé)完整性)的(de)過程中起着重要的(de)作用,因為(wèi)這兩個屬性直接是由可(kě)用性來決定的(de)。
由保密性、完整性和(hé)可(kě)用性組成的(de)CIA三元組是信息安全的(de)心髒。信息安全中的(de)每個領域都是圍繞着這三個安全屬性來解決的(de),但保密性和(hé)完整性都取決于可(kě)用性。可(kě)用性構成了其他兩個安全屬性的(de)基礎,沒有它就無法應用安全屬性。
信息可(kě)用性所依賴的(de)各種因素,從信息(和(hé)有關資源)的(de)角度來看,一(yī)個組織中信息可(kě)用性相比所有其他資源來說有多麽的(de)重要。我們重點關注的(de)是資源在4級和(hé)2級發生了什麽,而對其他資源的(de)關注點是“這些資源可(kě)以對4級和(hé)2級資源的(de)可(kě)用性産生影響”。這兩個級别在一(yī)個組織推動勞動力向前發展的(de)過程中起到了骨幹作用。
在保障信息安全時,安全利益相關者應根據三個安全屬性各自(zì)适用的(de)領域來對這三個安全屬性(即保密性、完整性和(hé)可(kě)用性)進行平等處理(lǐ)。可(kě)用性是三個屬性中最為(wèi)關鍵的(de)屬性,其他兩個屬性直接依賴于可(kě)用性。沒有信息系統/資源可(kě)用性的(de)話,就好比沒有可(kě)用信息的(de)話,就無法應用保密性和(hé)完整性方法。由于可(kě)用性依賴軟件、硬件和(hé)網絡,可(kě)以在所有這三種情況中完成有關系統可(kě)用性的(de)系統級和(hé)獨立部件級測量。關鍵信息處理(lǐ)系統往往會嘗試實現持續可(kě)用性,這是非常難以維持的(de)。基礎可(kě)用性是可(kě)實現可(kě)用性的(de)最低(dī)級别的(de)形式。
3
信息安全管理(lǐ)系統(ISMS)
信息安全管理(lǐ)尋求建立控制與措施來最大程度地(dì)降低(dī)丢失信息和(hé)系統資源、數據崩潰,破壞數據訪問以及未經授權的(de)信息洩露等風險。通過有效的(de)策略、标準和(hé)步驟來實現安全管理(lǐ),确保授權用戶的(de)信息、應用、系統和(hé)網絡的(de)保密性、完整性和(hé)可(kě)用性。
信息安全管理(lǐ)系統包括:風險管理(lǐ),基于保密性、完整性和(hé)可(kě)用性度量;應用的(de)總體質量管理(lǐ)(TQM),基于效率和(hé)有效性度量;一(yī)個監控與報告模型,基于抽象層;一(yī)種架構的(de)方法,包含了人、過程和(hé)技術;一(yī)種擴展的(de)框架,通過該框架對信息安全依從性進行管理(lǐ)。
信息安全被确定為(wèi)保護信息和(hé)信息資源的(de)過程,目的(de)是要保持信息的(de)保密性、完整性和(hé)可(kě)用性。
(1)信息安全管理(lǐ)系統(ISMS)組成部分
ISMS包括了以下基本的(de)組成部分:管理(lǐ)原則、資源、人員、信息安全過程。
(2)信息安全管理(lǐ)系統領域
信息安全管理(lǐ)系統标準包含了11個安全領域、39個控制目标和(hé)133個控制。
(3)風險管理(lǐ)
風險管理(lǐ)被定義“在組織框架內(nèi)對脆弱性和(hé)威脅進行确認的(de)過程,以及生成某些對策來最大程度減少對信息資源産生影響的(de)過程”。風險評估是風險管理(lǐ)過程的(de)一(yī)部分。風險管理(lǐ)是一(yī)項複雜性活動,對實施的(de)測量和(hé)執行的(de)安全策略的(de)分析、規劃、實施、控制與監控進行處理(lǐ)。相反,風險評估是在離(lí)散時間點上執行的(de)(例如(rú),按需一(yī)年(nián)一(yī)次等),并且在下一(yī)次評估實施之前提供已評估的(de)風險的(de)臨時視(shì)圖,同時用參數來表示整個風險管理(lǐ)過程。
風險管理(lǐ)包含了兩個過程:
①風險分析:确認對信息安全産生的(de)影響因素的(de)過程。
②風險評估包含了四種結果:确定威脅;根據風險級别對這些威脅進行優先化;定義控制與防護措施;這些措施實施的(de)開發計劃。
企業通過信息安全風險管理(lǐ)的(de)實施,能夠确定長(cháng)時間的(de)安全風險管理(lǐ)計劃,并且可(kě)以有效緩解企業信息系統中的(de)安全風險,提高(gāo)工作人員對信息安全風險的(de)認識。建議企業在實施風險管理(lǐ)的(de)同時,及時建立信息安全風險預警系統,特别要加強網絡與信息系統安全管理(lǐ),充分發揮技術支撐、機制保障等,有效預防和(hé)減少信息系統安全事故的(de)發生。
(4)ISO/IEC 27001
ISO 27001是一(yī)個信息安全管理(lǐ)系統(ISMS),它有助于各組織對資源的(de)安全性進行管理(lǐ)。ISO 27001是為(wèi)信息安全管理(lǐ)系統(ISMS)提供需求的(de)最著名的(de)标準。
ISO/IEC 27001引入了“規劃-實施-檢查-處置”(PDCA)模型,旨在建立、實現、監控并提高(gāo)組織的(de)ISMS的(de)效率。
實際上,信息安全管理(lǐ)體系建設最核心和(hé)最關鍵的(de)部分,就是把建立(P規劃)、實施和(hé)運行(D實施)、監視(shì)和(hé)評審(C檢查)以及保持和(hé)改進(A處置)四個重要環節形成PDCA的(de)動态閉環的(de)管理(lǐ)流程,這種管理(lǐ)方法就是PDCA循環。隻有按照P-D-C-A的(de)順序持續循環,體系才能高(gāo)效運轉和(hé)不斷完善。
結語
計算機網絡信息安全體系結構的(de)建設是一(yī)項複雜而系統的(de)工程,不僅涉及較多的(de)學(xué)科,而且知識的(de)延伸性較強。對比傳統的(de)信息安全體系結構設計,我們所介紹的(de)體系結構設計具備多個優勢,包括開放、集成、可(kě)重用性、面向服務、集成數據平台和(hé)業務情報等。這些都有益于企業通過建立有效的(de)智能信息安全體系結構、集成衆多安全應用、消除人工操作等來簡化安全管理(lǐ),并提供更為(wèi)有效的(de)風險控制。與此同時,我們注重對相關領域(信息安全中最重要的(de)屬性以及信息安全管理(lǐ)系統等)的(de)研究。我們相信這些将有助于企業信息安全管理(lǐ)和(hé)風險控制的(de)實施。
