信息安全等级保护体系设计
来源:硅谷动力 更新时间:2012-04-13

 
 
    《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。如何设计信息安全等级保护体系是大家关心的热点话题,本报特地约请这方面的专家来谈一谈—

  通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。

  设计思路与原则

  信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则:

  清晰定义安全模型;

  合理划分安全等级;

  科学设计防护深度;

  确保可实施易评估。

  具体来说:

  1. 清晰定义安全模型

  面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。

  政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。

  解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。

  在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架),通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。

  2. 合理划分安全等级

  面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。

  因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。

  解决方法:针对保护对象和保障措施划分安全等级。

  首先进行信息系统的等级化: 通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。

  等级化安全保障体系为用户提供以下价值:

  满足大型组织中不同分支机构的个性化安全需求;

  可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;

  可综合平衡安全成本与风险,能优化信息安全资源配置;

  可清晰地比对目标与现状,能准确、完备地提取安全需求。 

 3. 科学设计防护深度

  面对的难题:现有安全体系大多属于静态的单点技术防护,缺乏多重深度保障,缺乏抗打击能力和可控性。

  信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效,整个安全体系将会失效,从而威胁将影响到整个信息系统,后果是灾难性的。

  解决方法:设计多重深度保障,增强抗打击能力。

  国家相关指导文件提出 “坚持积极防御、综合防范的方针”,《美国国家安全战略》中也指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。我们在设计安全体系时,将安全组织、策略和运作流程等管理手段和安全技术紧密结合,从而形成一个具有多重深度保障手段的防护网络,构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。

  4. 确保可实施易评估

  面对的难题:许多安全体系缺乏针对性,安全方案不可实施,安全效果难以评估。

  我国许多安全项目在安全体系框架设计方面,由于缺乏深入和全面的需求调研,往往不能切实反映信息系统的业务特性和安全现状,安全体系框架中缺乏可行的实施方案与项目规划,在堆砌安全产品的过程中没有设计安全管理与动态运维流程,缺乏安全审计与评估手段,因此可实施性和可操作性不强。

  解决方法:综合运用用户访谈、资产普查、风险评估等手段,科学设计安全体系框架,确保可实施易评估。

  我们在设计安全体系时,充分考虑到了上述问题,采取如下措施:

  在设计安全体系前,通过对目标信息系统的各方面进行完整和深入调研,采取的手段包括选取典型抽样节点的深入调查和安全风险评估,以及全范围的信息资产和安全状况普查。综合两种手段,得出反映现状的安全保护对象框架及下属的信息资产数据库,以及全面的安全现状报告。

  在体系框架设计的同时设计工程实施方案和项目规划;安全体系本身具有非常详尽的描述,具备很强的可工程化能力。在描述安全对策时,不是原则性的,而应是可操作和可落实的。

  设计方法

  1. 总体设计方法

  设计政府/大型企业组织安全体系的具体内容包括:

  安全保护对象框架

  信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查,参照信息保障体系的建模方法,按照威胁分析,将信息资产划分为若干保护对象。

  安全保护对策框架

  信息系统安全保护对策框架是参照国内外先进的信息安全标准,参考业界通用的最佳实施,并结合大型政府/企业组织的实际情况和现实问题进行定制,对大量可行的安全对策进行等级划分。

  信息系统安全体系

  信息系统安全体系是以保护对象为经,以安全等级框架为纬,对保护对象逐个进行威胁和风险分析,从而形成信息系统安全体系,其表现形式示意图如图1所示。

  

 2. 等级化安全保护对象框架设计

  由于政府/大型企业组织的信息系统规模庞大,各分支机构的信息系统之间存在差异,因此必须对信息系统进行抽象,形成统一的保护对象框架。

  安全保护对象框架模型的设计(以银行业为例)如图2所示。

  



  3. 等级化安全对策框架设计

  根据组织的特点设计和定制等级化安全对策框架,并针对组织的现状选择安全对策及其等级。

  (1) 安全框架层次结构和分类

  大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架,分别包括一系列对策类,对策类可进一步细分对策子类,甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合,将对策分级。

  (2) 安全对策框架等级划分

  每个安全对策可分为三个等级,每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时,可认为已达到该等级的对策。安全对策的等级划分,大体参考了GB 17859、GB/T 18336、TCSEC、SP800-53等国内外信息安全标准。不同框架的对策,参照的标准有所不同。

  4. 等级化安全保障体系设计

  安全保障体系的深度防御战略模型将防御体系分为组织、技术和运作三个要素。信息安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。

  安全策略体系指的是从信息资产安全管理的角度出发,为了保护信息资产,消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。

  安全组织体系作为安全工作的管理和实施体系,主要负责安全策略、制度、规划的制订和实施,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。

  安全运作体系,包括安全生命周期中各个安全环节的要求,包括:安全工程管理机制,安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。

  安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分内容。

  总结

  等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性,需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施,并同时设计实施方案和建设规划;通过将安全体系指标和安全现状的对比,产生安全需求,并将类似的一组安全需求打包并设计解决方案;然后将一组类似的解决方案打包成可以工程化实施的项目,并通过规划,排出实施的先后顺序,从而分步进行实施。