企業信息安全框架漫談
隨着數據泄露、******等安全事件在全球範圍內的不斷出現,信息安全工作的重要性已經爲全世界所接受,尤其是企業,目前都將信息安全工作提到了戰略性的高度。然而,企業信息安全究竟要做什麼?要關注哪些方面?如何來落實?這些問題一直困擾着各個企業的CSO、CIO和CEO們,因此,本文將從信息安全的定義出發,來對企業信息安全框架及其實施內涵進行討論。
1、傳統信息安全的定義
“信息安全”曾經僅是學術界所關心的術語,就像是五、六十年前“計算機”被稱爲“電算機”那樣僅被學術界所瞭解一樣。現在,“信息安全”因各種原因已經像公衆詞彙那樣被廣大公衆所熟知,儘管尚不能與“計算機”這個詞彙的知名度所比擬,但也已經具有廣泛的普及性。問題的關鍵在於人們對“計算機”的理解不會有什麼太大的偏差,而對“信息安全”的理解則往往各式各樣。種種偏差主要來自於從不同的角度來看信息安全,因此出現了“計算機安全”、“網絡安全”、“信息內容安全”之類的提法,也出現了“機密性”、“真實性”、“完整性”、“可用性”、“不可否認性”等描述方式。
關於信息安全的定義,以下是一些有代表性的定義方式:
1) 國內學者給出的定義是:“信息安全保密內容分爲:實體安全、運行安全、數據安全和管理安全四個方面。”
2) 我國相關立法給出的定義是:“保障計算機及其相關的和配套的設備、設施(網絡)的安全,運行環境的安全,保障信息安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全”。這裏面涉及了物理安全、運行安全與信息安全三個層面。
3) 英國BS7799信息安全管理標準給出的定義是:“信息安全是使信息避免一系列威脅,保障商務的連續性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報,涉及的是機密性、完整性、可用性。”
4) 美國國家安全局信息保障主任給出的定義是:“因爲術語‘信息安全’一直僅表示信息的機密性,在國防部我們用‘信息保障’來描述信息安全,也叫‘IA’。它包含5種安全服務,包括機密性、完整性、可用性、真實性和不可抵賴性。”
5) 國際標準化委員會給出的定義是:“爲數據處理系統而採取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露”。這裏面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看作是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。
從信息安全的作用層面來看,人們首先關心的是計算機與網絡的設備硬件自身的安全,就是信息系統硬件的穩定性運行狀態,因而稱之爲“物理安全”;其次人們關心的是計算機與網絡設備運行過程中的系統安全,就是信息系統軟件的穩定性運行狀態,因而稱之爲“運行安全”;當討論信息自身的安全問題時,涉及的就是狹義的“信息安全”問題,包括對信息系統中所加工存儲、網絡中所傳遞的數據的泄漏、仿冒、篡改以及抵賴過程所涉及的安全問題,稱之爲“數據安全”。因此,就信息安全作用點來看問題,可以稱之爲信息安全的層次模型,這也是國內學者普遍認同的定義方式,如圖1所示。
|
數據(信息)安全
|
|
運行(系統)安全
|
|
物理(實體)安全
|
圖1 一種信息安全的層次模型
從信息安全的基本屬性來看,機密性就是對抗對手的被動***,保證信息不泄漏給未經授權的人,或者即便數據被截獲,其所表達的信息也不被非授權者所理解。完整性就是對抗對手主動***,防止信息被未經授權的篡改。可用性就是確保信息及信息系統能夠爲授權使用者所正常使用。這三個重要的基本屬性被國外學者稱爲“信息安全金三角”(CIA,Confidentiality-Integrity-Avaliability),如圖2所示。
機密性(C)
完整性(I) 可用性(A)
圖2 信息安全金三角模型
2、當代信息安全的新內容
從信息安全的作用層次來看,前面已經介紹了人們所關注的三個層面,即物理安全層、運行安全層、及數據安全層。但是,還有兩個層面尚沒有人在同一個框架之下給出清晰地描述。一個是關於信息內容的安全問題,一個是關於信息對抗的問題,而這兩個層面的安全問題也是業界普遍關心的問題。所不同的是,內容安全更被文化、宣傳界人士所關注;而信息對抗則更被電子對抗研究領域的人士所關注。
信息內容安全的問題已經深刻地展現在現實社會的面前,主要表現在有害信息利用互聯網所提供的自由流動的環境肆意擴散,其信息內容或者像腳本病毒那樣給接收的信息系統帶來破壞性的後果,或者像垃圾郵件那樣給人們帶來煩惱,或者像謠言那樣給社會大衆帶來困惑,從而成爲社會不穩定因素。但是,就技術層面而言,信息內容安全技術的表現形式是對信息流動的選擇控制能力,換句話說,表現出來的是對數據流動的***特性。
信息對抗嚴格上說是信息謀略範疇的內容,是討論如何從多個角度或側面來獲得信息並分析信息,或者在信息無法隱藏的前提下,通過增加更多的無用信息來擾亂獲取者的視線,以掩藏真實信息所反映的含義。從本質上來看,信息對抗是在信息熵的保護或打擊層面上討論問題,也就是圍繞着信息的利用來進行對抗。
業界著名的信息安全專家方濱興院士在深入分析和繼承了傳統信息安全的定義前提下,根據當前國際信息安全的發展現狀,給出了信息安全四要素,並重新概括和界定了新線圈的內涵和外延。
在諸多信息安全的屬性中,分析可見,機密性、真實性、可控性、可用性屬於基本屬性,相互不能蘊涵。其中機密性反映了信息與信息系統的不可被非授權者所利用;真實性反映了信息與信息系統的行爲不被僞造、篡改、冒充;可控性反映了信息的流動與信息系統可被控制者所監控;可用性反映了信息與信息系統可被授權者所正常使用。而其它屬性,包括實用性、完整性、合法性、唯一性、不可否認性、特殊性、佔有性、可追溯性、生存性、穩定性、可靠性等,則屬於上述四個基本屬性的某個側面的突出反映,因此可以歸結爲這四個基本屬性之中。其中實用性反映的是機密性在密鑰依賴方面的機密屬性;完整性、合法性、唯一性、不可否認性、特殊性分別反映的是真實性在信息內容本身、信息來源、信息系統行爲主體、信息的發佈行爲、信息熵方面的真實屬性;佔有性、可追溯性分別反映的是可控性在對信息資源的保護、對信息及信息系統行爲的審計能力的反映;生存性、穩定性、可靠性分別反映的是可用性在信息系統的容災能力、信息系統的健壯能力、信息系統的可靠能力方面的可用屬性。由此,機密性、真實性、可控性、可用性這四個基本屬性實際上就是信息安全的四個核心屬性,可以反映出信息安全的基本概貌。相對信息安全金三角而言,可稱之爲信息安全四要素,簡稱CACA,如圖3所示。
機密性(Cf) 真實性(Au)
可控性(Ct) 可用性(Av)
圖3 信息安全四要素
根據這一思路,重新定義信息安全的概念如下:信息安全是對信息系統、信息與信息的利用的固有屬性(即“序”)***與保護的過程。它圍繞着信息系統、信息及信息熵的機密性、真實性、可控性、可用性這四個核心安全屬性,具體反映在物理安全、運行安全、數據安全、內容安全、信息對抗等五個層面上。
綜合信息安全的層次性特性與安全屬性特性,可以形成一個信息安全概念的經緯線,如表1所示:
表1 信息安全概念的經緯線
|
|
機密性
|
真實性
|
可控性
|
可用性
|
|
物理安全
|
√
|
√
|
|
√
|
|
運行安全
|
|
√
|
√
|
√
|
|
數據安全
|
√
|
√
|
|
√
|
|
內容安全
|
√
|
√
|
√
|
√
|
|
信息對抗
|
√
|
√
|
|
|
3、企業信息安全框架及其實施內涵
從上一節的介紹不難看出,當代信息安全定義在企業信息安全中的使用還存在如下幾個問題,需要進行進一步改進:
l 概念含糊不清,且沒有給出實施的可用參考:只是列出了信息安全需要關注的協議層面、系統單元和牽涉到的幾個安全屬性;而在安全屬性中,流量機密性和機密性本來就是同一回事,所採用的技術也是大同小異,並沒有給出企業在信息安全的保障實施過程中的任何可行性建議和手段;
l 忽略了管理安全:該框架只強調技術,而忽略了管理在企業信息安全保障中的重要作用和地位。所謂“三分技術,七分管理”,沒有管理的技術難以落到實處,缺乏管理的指導性,盲目的使用技術也是不合理的。
所以,爲了根據企業的自身特點來制定可行的企業信息安全框架,我們可以回顧一下方濱興院士提出的信息安全定義。方濱興院士提出的信息安全新的定義和內涵有普遍的適用性和實踐指導意義,它尤其適用於國家信息安全工作的指導和規範。而企業在參照該定義的前提下,結合企業在信息安全工作的特點,將其中的“信息對抗”改進爲“管理安全”,這主要是因爲如下2個重要原因:
l 企業的信息安全工作主要是“防”,以防爲主,立足自身,基本上不會採取信息對抗的方式來還擊外部***和不法用戶;
l 企業的信息安全工作很大一部分在於滿足外部對企業的審覈要求,企業對自身員工、資源等的管理要求,這就依賴於管理安全,他們需要參考和遵循許多業界成熟的標準和制度,比如ISO/IEC 27001、薩班斯法案等。
因此,我們形成了企業信息安全框架。其本質是:企業信息安全從技術角度來看是對信息與信息系統的固有屬性的***與保護的過程。它圍繞着信息系統、信息自身及信息利用的機密性、真實性、完整性、可控性、可用性、不可抵賴性這六個核心安全屬性,具體反映在物理安全、運行安全、數據安全、內容安全、管理安全五個層面上。如圖4所示:
1) 物理安全:是指對網絡與信息系統的物理裝備的保護。主要涉及網絡與信息系統的機密性、可用性、完整性、生存性、穩定性、可靠性等基本屬性。所面對的威脅主要包括電磁泄露、通信干擾、信號注入、人爲破壞、自然災害、設備故障等;主要的保護方式有加擾處理、電磁屏蔽、數據校驗、容錯、冗餘、系統備份等。
2) 運行安全:是指對網絡與信息系統的運行過程和運行狀態的保護。主要涉及網絡與信息系統的真實性、可控性、可用性、合法性、唯一性、可追溯性、佔有性、生存性、穩定性、可靠性等;所面對的威脅包括非法使用資源、系統安全漏洞利用、網絡阻塞、網絡病毒、越權訪問、非法控制系統、******、拒絕服務***、軟件質量差、系統崩潰等;主要的保護方式有防火牆與物理隔離、風險分析與漏洞掃描、應急響應、病毒防治、訪問控制、安全審計、***檢測、源路由過濾、降級使用、數據備份等。
3) 數據安全:是指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護,使得在數據處理層面保障信息依據授權使用,不被非法冒充、竊取、篡改、抵賴。主要涉及信息的機密性、真實性、實用性、完整性、唯一性、不可否認性、生存性等;所面對的威脅包括竊取、僞造、密鑰截獲、篡改、冒充、抵賴、***密鑰等;主要的保護方式有加密、認證、非對稱密鑰、完整性驗證、鑑別、數字簽名、祕密共享等。
4) 內容安全:是指對信息在網絡內流動中的選擇性阻斷,以保證信息流動的可控能力。在此,被阻斷的對象可以是通過內容可以判斷出來的可對系統造成威脅的腳本病毒;因無限制擴散而導致消耗用戶資源的垃圾類郵件;導致社會不穩定的有害信息,等等。主要涉及信息的機密性、真實性、可控性、可用性、完整性、可靠性等;所面對的難題包括信息不可識別(因加密)、信息不可更改、信息不可阻斷、信息不可替換、信息不可選擇、系統不可控等;主要的處置手段是密文解析或形態解析、流動信息的裁剪、信息的阻斷、信息的替換、信息的過濾、系統的控制等。
5) 管理安全:是指在信息安全的保障過程中,除上述技術保障之外的與管理相關的人員、制度和原則方面的安全措施,以及企業應對外部合規要求、行業要求等所需採取的管理方法和手段等。
圖4 企業信息安全框架
而根據圖4的企業信息安全框架,在實踐的過程中,需要採用各種各樣的技術來完成多個安全任務,並參照相應的業界成熟的法規和制度來進行檢查,從而完成企業信息安全工作,具體的內容請見表2。
表2 企業信息安全工作內容詳表
|
安全層面
|
含義
|
安全任務列表
|
安全管理依據的相關制度和法規
|
|
物理安全
|
指對網絡與信息系統物理裝備的保護。主要涉及網絡與信息系統的機密性、可用性、完整性等屬性
|
(1)加擾處理、電磁屏蔽:防範電磁泄露
(2)容錯、容災、冗餘備份、生存性技術:防範隨機性故障 (3)信息驗證:防範信號插入 (4)機房管理:防範非法用戶接觸和破壞物理設備 |
(1)GB50174-93《電子計算機機房設計規範》
(2)GA/T390-2002《計算機信息系統安全等級保護通用技術要求》 (3)GB2887-2000《電子計算機場地通用規範》 (4)GB9361-88《計算站場地安全要求》 |
|
運行安全
|
指對網絡與信息系統的運行過程和運行狀態的保護。主要涉及網絡與信息系統的真實性、可控性、可用性等
|
(1)建立風險評估體系、安全測評體系:支持系統評
(2)部署漏洞掃描、採用安全協議:支持對安全策略的評估與保障
(3)實施防火牆、物理隔離系統、訪問控制技術、防惡意代碼技術:支持訪問控制 (4)建立***檢測、***防護及預警系統、部署安全審計技術:支持***檢測和防護 (5)採用反制系統、容侵技術、審計與追蹤技術、取證技術:支持應急響應 (6)採用防網絡***技術,包括Phishing、Botnet、DDoS、***、社會工程學等防護技術 (7)採用可信計算技術、安全操作系統技術、安全數據庫技術:保證基礎平臺運行安全 (8)採用VLAN、網段隔離技術:支持細粒度的安全控制和策略 (9)採用數據備份和災難恢復技術:支持重要數據的備份和在災難情況下的恢復 |
(1)GA/T 681-2007 信息安全技術 網關安全技術要求
(2)GA/T 682-2007 信息安全技術 路由器安全技術要求 (3)GA/T 683-2007 信息安全技術 防火牆安全技術要求 (4)GA/T 684-2007 信息安全技術 交換機安全技術要求 (5)GA/T 685-2007 信息安全技術 交換機安全評估準則 (6)GA/T 697-2007 信息安全技術 靜態網頁恢復產品安全功能要求 (7)GA/T 698-2007 信息安全技術 信息過濾產品安全功能要求 (8)GA/T 699-2007 信息安全技術 計算機網絡***報警通訊交換技術要求 (9)GA/T 700-2007 信息安全技術 計算機網絡***分級要求 (10)GB/T 20008-2005 信息安全技術 操作系統安全評估準則 (11)GB/T 20275-2006 信息安全技術 ***檢測系統技術要求和測試評價方法 (12)GB/T 20273-2006 信息安全技術 數據庫管理系統安全技術要求 (13) GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求 |
|
數據安全
|
指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示、擴散等過程中的保護,使得在數據處理層面保障信息依據授權使用,不被非法冒充、竊取、篡改、抵賴。主要涉及信息的機密性、真實性、完整性、不可抵賴性等
|
(1)採用對稱與非對稱密碼技術及其硬化技術、×××等技術:防範信息泄密
(2)採用認證、鑑別、PKI等技術:防範信息僞造 (3)採用完整性驗證技術:防範信息篡改 (4)採用數字簽名技術:防範信息抵賴 (5)採用祕密共享技術:防範信息破壞 (6)採用隱寫技術、水印技術:保護信息 |
(1)GB/T 20518-2006 信息安全技術 公鑰基礎設施 數字證書格式
(2)GB/T 20519-2006 信息安全技術 公鑰基礎設施 特定權限管理中心技術規範 (3)GB/T 20520-2006 信息安全技術 公鑰基礎設施 時間戳規範 (4)GB/T 21053-2007 信息安全技術 公鑰基礎設施 PKI系統安全等級保護技術要求 (5)GB/T 21054-2007 信息安全技術 公鑰基礎設施 PKI系統安全等級保護評估準則 (6)GA/T 686-2007 信息安全技術 虛擬專用網安全技術要求 |
|
內容安全
|
指對信息在網絡內流動中的選擇性阻斷,以保證信息流動的可控能力。主要涉及信息的機密性、真實性、可控性、可用性等
|
(1)採用文本識別、圖像識別、流媒體識別、羣發郵件識別等:用於對信息的理解與分析
(2)採用面向內容的過濾技術(CVP)、面向URL的過濾技術(UFP)、面向DNS的過濾技術等:用於對信息的過濾 (3)運用數據挖掘技術:發現信息 (4)部署針對即時通、MSN等應用協議的分析技術:對特定協議的理解 (5)採用VoIP識別技術:對數字化語音信息的理解和分析 (6)採用音頻識別與按內容匹配:鎖定音頻目標進行 |
目前國家暫無內容安全相關的制度和標準,只有與音、視頻,網絡協議相關的網絡標準,如RFC等
|
|
管理安全
|
在信息安全的保障過程中,除上述技術保障之外的與管理相關的人員、制度和原則方面的安全措施
|
(1)設置獨立的安全管理和審計人員:設置安全人員有助於安全工作的開展和全局安全掌控
(2)權限分離:對不同的系統和應用設定與業務無關的安全人員參與,作到權限分離,最大程度地保證企業安全運維 (3)安全制度:設立健全的企業安全管理和運維制度,保證企業安全運維 (4)安全培訓:通過培訓提高企業人員的安全意識和安全技能,做到有備無患 (5)合規、行業規範滿足措施
|
(1)BS7799
(2)ISO/IEC17799 (3)ISO/IEC27001等
|