本文提出了信息安全保障工作的7+7安全属性,并通过对于其中的7个信息安全管理属性来分析等级保护工作的实现思路。
本文认为信息安全的属性实际上是信息安全目标的抽象体现,而相关的信息安全措施的抽象体现就是信息安全机制。比如,加密技术(算法)是一个信息安全机制,这个机制的不同实现方式,可以满足不同的信息安全属性;加密技术用在数据的存储和传输上,可以满足数据的保密性和完整性的要求;加密技术用在数字签名的机制上,可以满足对于一个过程和操作的不可否认性要求。抽象的属性附着在具体的系统或者实体上的时候,就成为一个具体系统的安全目标;而抽象的机制以某种方式具体实现,那么就是一个信息安全产品或者措施了。
7+7安全属性是对于CIA(保密性、完整性、可用性)三性的扩展。将CIA三性扩展为:保密性、完整性、可用性、真实性、不可否认性、可追究性、可控性等7个信息安全技术属性(目标)。其中所增加的真实性、不可否认性、可追究性、可控性可以认为是完整性的扩展和细化。
同时,从管理的角度看,还应当存在一些纯管理的属性,可以作为实施信息安全管理工作,实现“技术与管理并重”要求的参考目标。我们把信息安全管理属性归纳为:目标性、执行性、效益性、时效性、适应性、整体性和符合性等7个属性。同样,各种各样的管理措施或者技术措施也会对于达成信息安全管理的属性(目标)有帮助。比如:一个应急响应体系,作为一个机制(措施),可以满足管理上的时效性和适应性的要求;再比如构建一个符合等级保护指南要求的信息安全管理体系,作为一些机制的组合,可以满足管理上的符合性等要求。
下面结合等级保护工作,来分析阐述这些与信息安全管理属性密切相关的原则、方法和建议。
一、目标性原则
信息安全要达到一个机构、一个单位、一个地区、一个行业乃至我国整体的信息安全保障目标,各项安全工作要有很好的针对性和目标性。由于信息安全工作非常复杂,通过等级保护的思路,可以帮助机构明确保护的重点和适当的强度。因此,在实施等级保护中,并不是为了等级而等级,而是能够促进将自身业务工作的、真正的安全要求明确出来。为了明确恰当的安全目标,运用风险评估的方法是一个比较可行的途径。风险评估方法的根本要义,实际上就是将安全问题和实际业务相结合,将业务及承载它的系统的风险识别出来,进而制定出等级。
二、执行性原则
也可称为实效性原则。等级保护工作的实施中,要能够切实帮助达成信息安全目标。因此,等级保护工作并不是要将信息安全保障工作变得复杂,而是力图将整个工作变得简单明确,提高可操作性。要想提高整体的可操作性,就要遵循工作的执行规律。用三观论(宏观、中观、微观)的思路分析整个工作的可执行性是非常好的思路之一,也就是等级保护工作要贯穿宏观的业务/价值层面、微观的技术/实现(产品和服务)层面,以及中观的管理/运营层面。使得等级保护工作不是一个形象工程或者单纯的政策,而是能够自上而下推进和自下而上贯彻的实效工作。
三、效益性原则
信息安全工作是做不到100%的。如果要过度地追求接近100%的绝对安全,会导致信息安全工作的成本急剧地升高。如果能够合适地把握这个度,就需要等级保护工作中的“级别”来帮助。也就是根据自身情况和外部要求制定合适的级别,并且采取相应级别的合适的措施(包括管理措施和技术措施)来达到恰当的安全度。这其中实际上是要考虑投入产出的,投入的是人力、资金、资源、时间等等,产出的安全保障或者说安全问题损失的减小。所以这里不仅仅有经济性问题,所以更加广泛地称之为效益性。要想能够更好地把握效益性,通过实施风险评估和风险管理的理论和方法可以说是最佳实践,再进一步可以引进RoI(投资回报)的分析方法。
四、时效性原则
信息安全保障工作是一项非常特殊的工作,其特殊性之一就表现在其密切的时间相关性。离开时间来阐述和分析安全问题是没有意义的,是会有偏颇的。比如,没有破不了的加密算法,只有在有限的计算资源和时间之内破解概率接近零的算法。再比如:安全问题的一个非常根本的属性就是潜在性,安全事件没有发生之前都是潜在的隐性的,而当问题真的发生的时候,又需要在有限的时间内马上解决,尽量避免更大的损失。在我国获得广泛认可的PDR模型就是一个基于时间的安全模型。在考虑等级保护的策划和实施过程中,不能忽视时间因素,或者说时间因素应当作为一个重要的要素考虑在等级的确定和安全措施的要求上。具体应当会体现在应急等时效性要求非常明显的安全要求方面。
五、适应性原则
信息安全工作要面临不断变化的内外部环境,外部的威胁在变化,内部的组织结构在调整,自身的业务在发展,新的技术漏洞在不断被发现,性能更高功能更强的安全产品在频频推出,等等。总之,变化在所难免,我们必须主动去适应变化和利用变化。实际上,具体到一个入侵事件的处理,就是对于一个局部安全状态变化的一个应变、调整。在实施等级保护的过程中,这种适应性至少会体现在两个方面:一方面就是当确定了一个系统的安全等级后,当破坏这个系统安全等级状态的情况出现时,安全体系的响应、被攻击系统的恢复以及针对攻击源的反击都力图将系统调整会原来应有的状态;另一方面就是根据情况的变化和发展,一个系统的等级可能是需要变化的,以适应安全要求的提升或者降低,这都需要适当的管理流程来具体落实。
六、整体性原则
信息安全保障工作,是不能够仅仅通过局部的安全产品和服务等能力来实现的,必须有一个整体的部署和安排。而且这个整体性必须要体现在一些框架、结构、规划等上面。等级保护给出了分析和构建信息安全整体框架的一个角度,这个角度就是等级。等级关系是一个非常简单可操作的构造,在数学上,可以对应到一个数据结构“格”;这个结构比数学上的图结构(网状结构,也是更接近我们系统形态的结构)要简单的多。等级保护工作所体现的这种框架性、结构性和规划性,不仅仅给我们带来了信息安全保障工作的整体感,同时反而可以让我们有可能有计划地实现局部防护和分阶段实施。比如:对于一个机构高等级系统的重点防护。再比如:一个机构可以分阶段逐级提高系统的防护等级。
七、符合性原则
我们建议应当将等级保护的思路贯彻到具体的要求上去,甚至于可以说在某些环境和级别上应当体现出一定的强制性。这种要求的落实,就一定要体现在对于符合性的检查上。因此,在等级保护工作的落实工作中,要切实体会这项工作的严肃性。借鉴国际标准ISO17799中对于符合性的描述思路:等级保护作为一项基本制度要从法规和标准的高度去理解并且遵守,等级保护工作中的定级和检查工作要有适当的独立性并受到保护,等级保护工作相关的资料也要注意保密并受到保护,等级保护工作自身也不能过当。
在实际的信息安全工作中,有效地应用这7+7信息安全属性的原则和思考方法,可以帮助我们落实等级保护相关规范和要求的工作。比如,在风险评估的过程中,针对7+7属性进行评估,在传统的CIA三性之外,能够给出更加具体和细化的安全要求和定级依据。而且这样的定级还能体现出管理在级别中的特色。再比如,根据等级进行技术措施和管理措施的选择和组合的时候,可以更加清晰地分析不同的措施对于7+7这不同的安全目标的满足程度和支持程度;仿照国际上ISO13335-4和NIST SP800-37等安全控制措施选择指南,结合7+7属性原则,形成更加细致的控制措施选择的指南性规范。
一个机构、单位、地区、行业如果能够在落实等级保护工作的过程中,参考、借鉴上面这七个信息安全管理属性所对应的原则,相信一定可以更好地帮助把握等级保护工作的精髓和重点。 |