信息安全管理结构

中山大学信息与网络中心李磊博士@mail.sysu.edu.cn2009年5月信息安全管理体系结构InformationSecurityManagementSystem信息化建设最被关注的问题功能费用时间界面性能安全，往往是最容易被忽略的问题为什么安全问题容易被忽略？缺乏意识缺乏目标缺乏策略缺乏组织缺乏技术技术与管理的关系技术：道高一尺，魔高一丈，没有绝对的安全，安全问题总是在意想不到的时间和地方发生的。管理：风险必须是可评估的，安全问题必须是可管理的，资产必须得到足够的保护。•一台计算机的安全问题可以只是个技术问题，一个组织的安全问题首先是个管理问题。•管理必须以技术为依托安全内容的视角安全内容管理实践物理安全人员安全主机安全网络安全通信安全操作安全信息安全涉及的各方面保护内容。目的是保护组织的资产。安全属性的视角安全属性保密性完整性可用性真实性可靠性可核查性不可否认性信息安全的目标是保证信息的一系列安全属性，从而达到对组织运行能力的支撑作用。这个目标是通过一系列的控制措施来实现的，这些措施应该覆盖信息安全相关的各个方面。信息安全的内涵与定义内涵：保障企业各类信息资产免于〝不可承受的风险〞的所有战略、程序与机制定义：考虑所有信息资产的保密性(Confidentiality)完整性(Integrity)可用性(Availability)范围：总/分/子公司、信息系统设备、人员、信息记录、服务保密性完整性可用性信息资产的三大要素可用性availability根据授权实体的要求可访问和利用的特性。保密性confidentiality信息不能被未授权的个人，实体或者过程利用或知悉的特性。完整性integrity保护资产的准确和完整的特性。信息安全体系的范围信息安全策略信息安全组织信息安全运作信息安全技术企业内信息安全的责任划分安全策略的制订者信息资产的所有者信息资产的维护者信息资产的使用者信息安全的检查者信息安全策略体系总体企业的信息安全策略与目标，以及配合的标准／规范／规定信息安全的运作范围PDCA的循环持续强化模式(制订安全策略-信息安全的实施与培训-运维事件监查-纠正改善)事前预防，事中应变，事后追踪考核的完整作业来完善企业安全的持续运作员工安全意识的提升与奖惩机制的搭配来落实信息安全的策略作业的合规性及日常管理的检查点来检验日常作业的安全状况信息资产的可视化与信息安全事件的响应机制来反应各类突发事件技术解决方案及业务流程的相互搭配产品导向型信息安全方案的问题需求未必明确和完整•保护什么？保护对象边界到哪里？保护到什么程度？……管理和服务跟不上•对采购产品运行的效率和效果缺乏评价被动式的安全应对策略很难实现整体安全不同厂商不同产品之间的协调很困难如何进行信息安全管理如何制订安全方针和策略？如何对信息资产进行安全管理？如何进行风险评估？如何采取合适的安全措施？如何使用合适的安全技术？如何进行安全审计、监控和跟踪?如何建设安全管理团队？如何培训全部组织成员的安全意识？„„网络安全的体系结构网络安全的体系结构的意义P2DR动态可适应安全模型PDRR模型WPDRRC模型网络安全的体系结构的意义无论是OSI参考模型还是TCP／IP参考模型，它们在设计之初都没有充分考虑网络通信中存在的安全问题。因此，只要在参考模型的任何一个层面发现安全漏洞，就可以对网络通信实施攻击。在开放式网络环境中，网络通信会遭受两种方式的攻击：主动攻击和被动攻击。主动攻击包括对用户信息的篡改、删除及伪造，对用户身份的冒充和对合法用户访问的阻止。被动攻击包括对用户信息的窃取，对信息流量的分析等。因此，需要建立网络安全体系结构，以实现数据加密、身份认证、数据完整性鉴别、数字签名、访问控制等方面的功能。P2DR动态可适应安全模型P2DR模型是美国国际互联网安全系统公司ISS最先提出的，即Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）按照P2DR的观点，一个完整的动态安全体系，不仅需要恰当的防护（如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（如入侵检测、漏洞扫描等），在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。P2DR动态可适应安全模型策略PP2DR动态可适应安全模型P2DR模型是建立在基于时间的安全理论基础之上的：Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间Rt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间Et：系统暴露时间，即系统处于不安全状况的时间（Et=Dt+Rt-Pt）Pt：攻击成功所需时间被称作安全体系能够提供的防护时间要实现安全，必须让防护时间大于检测时间加上响应时间，即：PtDt+RtP2DR动态可适应安全模型P2DR模型基本上体现了比较完整的信息安全体系的思想，勾画出信息安全体系建立之后一个良好的表现形态。近十年来，该模型被普遍使用。不过，P2DR也有不够完善或者说不够明确的地方，那就是对系统恢复的环节没有足够重视。在P2DR模型中，恢复（Recovery）环节是包含在响应（Response）环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其是911恐怖事件发生之后，人们对P2DR模型的认识也就有了新的内容，于是，PDRR模型就应运而生了。PDRR模型PDRR模型，或者叫PPDRR（或者P2DR2），与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中，安全策略、防护、检测、响应和恢复共同构成了完整的安全体系。保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。PDRR模型保护检测恢复响应信息保障采用一切手段（主要指静态防护手段）保护信息系统的五大特性。及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击PDRR模型PDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。WPDRRC模型人员策略技术响应R恢复R保护P预警W检测D反击CWPDRRC安全体系模型我国863信息安全专家组博采众长推出该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。人——核心政策（包括法律、法规、制度、管理）——桥梁技术——落实在WPDRRC六个环节的各个方面，在各个环节中起作用WPDRRC模型Warning：采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。Protect：采用一系列的手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性，完整性、可用性、可控性和不可否认性等。Detect：利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。即检测系统脆弱性检测；入侵检测，病毒检测。WPDRRC模型Respond：对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。包括审计跟踪；事件报警；事件处理Restore：一旦系统遭到破坏，将采取的一系列的措施如文件的备份、数据库的自动恢复等，尽快恢复系统功能，提供正常服务。Counterattack：利用高技术工具，取得证据，作为犯罪分子犯罪的线索、犯罪依据，依法侦查处置犯罪分子。什么是ISMSISMS（InformationSecurityManagementSystem,信息安全管理体系）是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。ISMS的相关标准标准名称类别ISO/IEC27000信息安全管理体系基础和术语词汇标准ISO/IEC27001信息安全管理体系要求要求标准ISO/IEC27002信息安全管理最佳实践指南标准ISO/IEC27003信息安全管理体系实施指南指南标准ISO/IEC27004信息安全管理测量指南标准ISO/IEC27005信息安全风险管理指南标准ISO/IEC27006信息安全体系认证机构的认可要求相关标准ISO/IEC27007信息安全管理体系审核指南指南标准英国DTI英国BSI1993.91995.21998.21999.4BS7799-2:1999BS7799-part1CodeofpracticeBS7799-part2BS7799-1:1999ISO/IECJTC1/SC27ISO/IECJTC1/SC27ISO/IECJTC1/SC27ISO17799:2000ISO17799:FDISISO17799:2005ISO27002:2005BS7799part2VersionCBS7799part2:2002ISO270001:20052000.1220052001.62004.102005.6.152007.42002.92005.10.15ISMS与ISO/IEC27001:2005ISO/IEC27001:2005标准用于为建立、实施、运行、监视、评审、保持和改进ISMS提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。ISO/IEC27001:2005标准期望按照组织的需要实施ISMS。ISMS的内容和目标内容从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了详细的要求。为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。目标确保适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。ISMS是基于组织的整体业务风险角度建立的，风险评估在体系的建立过程中起到至为重要的作用。ISMS的过程方法ISO/IEC27001:2005标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。ISMS的过程方法与PDCA模型ISMS的过程方法鼓励其用户强调以下方面的重要性：1.理解组织的信息安全要求和建立信息安全方针与目标的需要；2.从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；3.监视和评审ISMS的执行情况和有效性；4.基于客观测量的持续改进。ISO/IEC27001:2005标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型可应用于所有的ISMS过程。PDCA模型(1)PDCA模型(2)过程说明规划（建立ISMS）建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。实施（实施和运行ISMS）实施和运行ISMS方针、控制措施、过程和程序。检查（监视和评审ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情