信息安全等级保护体系设计.

信息安全等级保护体系设计

《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。

通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。

设计思路与原则

信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则:

清晰定义安全模型;

合理划分安全等级;

科学设计防护深度;

确保可实施易评估。

具体来说:

1. 清晰定义安全模型

面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。

政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。

解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。

在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架,通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。

2. 合理划分安全等级

面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。

因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。

解决方法:针对保护对象和保障措施划分安全等级。

首先进行信息系统的等级化:

通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。

等级化安全保障体系为用户提供以下价值:

满足大型组织中不同分支机构的个性化安全需求;

可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;

可综合平衡安全成本与风险,能优化信息安全资源配置;

可清晰地比对目标与现状,能准确、完备地提取安全需求。

3. 科学设计防护深度

面对的难题:现有安全体系大多属于静态的单点技术防护,缺乏多重深度保障,缺乏抗打击能力和可控性。

信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效,整个安全体系将会失效,从而威胁将影响到整个信息系统,后果是灾难性的。

解决方法:设计多重深度保障,增强抗打击能力。

国家相关指导文件提出“坚持积极防御、综合防范的方针”,《美国国家安全战略》中也指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。我们在设计安全体系时,将安全组织、策略和运作流程等管理手段和安全技术紧密结合,从而形成一个具有多重深度保障手段的防护网络,构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。

4. 确保可实施易评估

面对的难题:许多安全体系缺乏针对性,安全方案不可实施,安全效果难以评估。

我国许多安全项目在安全体系框架设计方面,由于缺乏深入和全面的需求调研,往往不能切实反映信息系统的业务特性和安全现状,安全体系框架中缺乏可行的实

施方案与项目规划,在堆砌安全产品的过程中没有设计安全管理与动态运维流程,缺乏安全审计与评估手段,因此可实施性和可操作性不强。

解决方法:综合运用用户访谈、资产普查、风险评估等手段,科学设计安全体系框架,确保可实施易评估。

我们在设计安全体系时,充分考虑到了上述问题,采取如下措施:

在设计安全体系前,通过对目标信息系统的各方面进行完整和深入调研,采取的手段包括选取典型抽样节点的深入调查和安全风险评估,以及全范围的信息资产和安全状况普查。综合两种手段,得出反映现状的安全保护对象框架及下属的信息资产数据库,以及全面的安全现状报告。

在体系框架设计的同时设计工程实施方案和项目规划;安全体系本身具有非常详尽的描述,具备很强的可工程化能力。在描述安全对策时,不是原则性的,而应是可操作和可落实的。

设计方法

1. 总体设计方法

设计政府/大型企业组织安全体系的具体内容包括:

安全保护对象框架

信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查,参照信息保障体系的建模方法,按照威胁分析,将信息资产划分为若干保护对象。

安全保护对策框架

信息系统安全保护对策框架是参照国内外先进的信息安全标准,参考业界通用的最佳实施,并结合大型政府/企业组织的实际情况和现实问题进行定制,对大量可行的安全对策进行等级划分。

信息系统安全体系

信息系统安全体系是以保护对象为经,以安全等级框架为纬,对保护对象逐个进行威胁和风险分析,从而形成信息系统安全体系,其表现形式示意图如图1所示。

2. 等级化安全保护对象框架设计

由于政府/大型企业组织的信息系统规模庞大,各分支机构的信息系统之间存在差异,因此必须对信息系统进行抽象,形成统一的保护对象框架。

安全保护对象框架模型的设计(以银行业为例如图2所示。

3. 等级化安全对策框架设计

根据组织的特点设计和定制等级化安全对策框架,并针对组织的现状选择安全对策及其等级。

(1 安全框架层次结构和分类

大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架,分别包括一系列对策类,对策类可进一步细分对策子类,甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合,将对策分级。

(2 安全对策框架等级划分

每个安全对策可分为三个等级,每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安