构建信息安全保障体系 —— 使命、原则、框架、执行和实践

• 子网和边界分析
• 路径和节点分析
中国移动2004年的6个试点项目
• • • • • • 安全域划分与边界整合 服务与端口管理 生产终端统一管理 安全帐号口令 安全补丁与版本管理 安全预警
通过安全域理解6个试点项目的安排
边界接入域
生产终端统一管理
互联网接入区 外联网接入区 内部网接入区 内联网接入区
• 内部威胁和物理威胁
– 系统的环境越来越复杂 – 系统自身的结构越来越 复杂 – 内部发生恶意和非恶意 的可能性越来越大 – 威胁传递和放大的情况 更加严重
威胁的总结
• 恶意代码
– 人为发起的越权和入 侵类 – 病毒、蠕虫等传播类 – 发起的拒绝服务攻击 类
• 恶意信息
– 恶意传播有害信息 – 垃圾信息（垃圾短信、 垃圾邮件等） – 信息泄漏
教育培训 组织
保障措施 运营和管理 管理咨询
威胁
策略
MSS 安全集成运营
技术
认证 内容安全
评估加固 防御
监控
风险评估
应急 应急响应
审计
体系设计方案的框架分析
资产和业务 人和组织 保障措施 运营和管理 威胁
组织
技术
安全管理体系
策略 运营
安全监控体系
认证
网络信任体系
安全防护体系
防御
监控
内容安全
应急 应急恢复体系
某涉密广域网的特色
• 业务
– 没有基于大型的信息系统业务 – 小型业务部门自成业务单元 – 各个业务部门之间主要是一些协同数据共享
• 业务安全特色
– 强调小网安全，自成小型防护体系 – 内部大网强调全局监控，提供承载 – 规范数据共享，保证安全防止泄密
某涉密办公网的特色
• 将系统和网络进行一个典型分割，分别 解决安全问题
公共网络 广域网络
机构内网
对外发布 核心业务 对外业务渠道
异地内网
内部业务 OA、财务等
业务支撑 异地灾备
安全保障
ITA分析初探-层次
使命和价值
人员和组织
数据和介质
应用和业务
主机和系统 网络与通信 物理和环境
ITA分析初探-分布式
• 从安全角度梳理网络结构的主要方法
– 节点路径法 – 子网边界法 – 安全域方法
• 怎么实施信息安全建设？
问题
• 什么是信息安全？
– 通过回答最根本的问题，帮助我们探究事物 的本原。
• 到底要解决那些问题？
– 明确工作的目标和要求，从一个大的广泛的 概念中寻找自身的定位。
• 怎么实施信息安全建设？
– 通过回答最实际的问题，帮助我们获得需要 的实效。
三法则
• Q3-WWH • 三问题：什么/为什么/怎么
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
怎么了解资产和业务（IT相关）
• 分析信息体系架构ITA
– – – – – – – 业务系统 网络分布形态 系统的层次性 技术和管理 时间（生命周期） 价值（资产价值、影响价值、投入） ……
机构典型的ITA及其安全思维
原则
原则——风险管理
• • • • 风险管理 了解威胁 了解资产和业务 了解保障措施
安全的三个相对性原则
• 安全没有绝对，没有100% • 实践安全相对性的三个原则
– 风险原则——适合商业机构 – 生存原则——适合强力机构 – 保镖原则——适合涉密机构
风险管理
• 风险管理的理念从90年代开始，已经逐 步成为引导信息安全技术应用的核心理 念
– 边界（物理隔离、防火墙、防病毒网关、入 侵检测…） – 内网（VLAN、流量监控、异常监控…） – 客户端接入区/OA区（非法外联、补丁管理、 PC防病毒、内网综合治理…） – 服务器区（服务器加固、入侵检测…） – 安全支撑（漏洞扫描…）
银行的业务特征
• 内部经营决策分析系统—OLAP • 对外核心业务系统—OLTP
构建信息安全保障体系
——使命、原则、框架、执行和实践
2006年11月
三观论
宏观
中观 微观
摘要
• • • • 使命——27号文 原则——风险管理 框架——信息安全保障框架 执行
– IT风险管理的业务化 – 从风险管理到合规性管理
• 实践
– 安全域 – 安全管理平台
使命
问题
• 什么是信息安全？
• 到底要解决那些问题？
加强信息安全保障工作-九项任务
• • • • • • • • • 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信 息安全管理责任制
• 违规操作
– 误操作 – 违规业务
• 物理问题
– 设备故障 – 环境事故 – 自然灾害
针对威胁的主要技术
• 针对恶意代码
– 防火墙、防病毒、入侵检测、漏洞扫描…
• 违规操作
– 流量监控、审计、应用系统安全措施…
• 恶意信息
– 内容监控、内容过滤、加密…
• 物理问题
– 容灾、备份…
了解资产和业务
加强信息安全保障工作-主要原则
• 主要原则：
– 立足国情，以我为主， – 坚持管理与技术并重； – 正确处理安全与发展的关系，以安全保发展， 在发展中求安全； – 统筹规划，突出重点，强化基础性工作； – 明确国家、企业、个人的责任和义务，充分 发挥各方面的积极性，共同构筑国家信息安 全保障体系。
框架
框架
客户信息安全保障体系
资产和业务
保障措施
威胁
了解 资产和业务
提供 保障措施
了解威胁
启明星辰提供的信息安全保障
最精简的风险管理３要素：R3-AST
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
信息安全保障框架
信息安全保障框架VISAF
资产和业务
• 保障措施 资产清单 威胁 • 面向网络拓扑 • 基于安全域/业务域 • 基于业务流分析 • ……
信息安全保障框架
信息安全保障框架VISAF
资产和业务
• • • • • • …… 威 胁 管 理 预 警 管 理
事 件 管 理
保障措施
告 警 管 理
脆 弱 性 管 理
威胁
信息安全保障框架
保障框架-措施
资产和业务 人和组织 保障措施 运营和管理 威胁
组织
技术
策略 运营 防御 应急 监控 审计
认证 内容安全
27号文的框架分析
等级保护 资产和业务 风险评估
保障措施 运营和管理
威胁
法制建设 标准化建设 策略
人和组织
人才培养 全民意识 组织 责任制
技术和产业 技术
运营 保证资金 监控
监控体系
审计 安全审计体系
最佳实践建议
• 教育和培训 • 成熟产品
– 防病毒、防火墙、VPN、入侵检测、漏洞扫描
• • • • • •
风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系
执行
执行——风险管理的落实
• IT风险管理的业务化
– 将IT风险管理（信息安全）融合到业务安全 中去
技术环境 ——当前主流的基本安全服务
• 咨询服务
• 整体框架规划和设计
• 评估加固服务
• 对于主机和网络进行技术评估和加固
• 风险评估服务
• 对系统的整体风险进行评估并对风险管理提供设 计
• 渗透性测试服务 • 安全教育和培训 • ……
安全管理平台成为一个值得考虑的选择
人工审计 Scanner
其他状态 检测系统
加
安全管理平台中 实时风险监控
演变成
威胁
增加
抗击
风险
残留
导出
安全需求
被满足
降 低
的理论基础 事件
可能诱发
残余风险
未控制
安全措施
德国ITBPM
德国信息安全局发布的ITBPM
IT Components
IT部件
Safeguards 保障措施
Threats 威胁
最精简的风险管理３要素
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
三法则
• Q3-WWH • R3-AST • 三问题：什么/为什么/怎么 • 风险三要素：资产业务/保障措施/威胁
了解威胁
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
威胁趋势
• 外部威胁环境
– 危害的频度、范围越来越 大 – 威胁的方面越来越综合 – 攻击的技术含量越来越大 – 攻击的技术成本越来越低 – 攻击的法律风险还难于真 正体现 – ……
认证
信任体系
防御
应急体系
内容安全
应急
审计
产品的框架分析
资产和业务 人和组织 保障措施 运营和管理 威胁
组织
技术
双因子
策略
安全管理中心 运营 IPS
认证
PKI
防火墙 防御
IDS 监控
防病毒
内容安全
防垃圾
加密机
应急
SAN
审计
Scanner
应用审计
远程数据热备
安全服务体系的框架分析
资产和业务 人和组织
安全补丁与版本管理
计算环境 一般服务区
计算环境 重要服务区
服务与端口管理
安全帐号口令
计算环境 核心区
计 算 环 境 域
其它支 撑系统
网络基础设施域
安全域划分与边界整合
骨干区 汇集区 接入区
支撑性设施域
系统
安全预警 安全
网管 系统
运营商的业务特色
承载网
支撑系统 经营分析决策系统 内部后勤式系统
电力系统二次安防的思路
• 从风险管理到合规性管理
国际风险管理趋势——业务化
• IT安全风险成为企业运营风险中最为重要的一个组成部分，业务 连续性逐渐与安全并行考虑
来源：Gartner
案例分析：瑞士联合银行UBS的风险观点
瑞士联合银行UBS的风险观点
UBS风险包
原始风险
ቤተ መጻሕፍቲ ባይዱ
间接风险
信用风险
交易过程风险
合规风险
市场风险
流动性和 融资风险
法律风险
税收风险
安全风险
责任风险
UBS－将机构安全问题组织化
UBS－策略和组织的保证
UBS－风险管理组织
UBS －风险报告
合规性管理——需求驱动力的变化
需求筐架 来自内部 来自外部
主动引导
体系化
Systematic
政策性 Policy
合规性 Compliance
被动要求
问题型 Problem
ISO13335中的风险管理的关系图
ISO13335以风险为核心的安全模型
威胁
抗击 增加 利用
漏洞
一般风险评估的
增加 暴露
理论基础
防护措施 降低
风险
引出 增加
信息资产
被满足
拥有
防护需求
价值
风险评估的国家标准
国信办报告中的风险９要素关系图
使命
依赖
脆弱性
利用
暴露
资产
满足
拥有
资产价值
成本
增
未被
加
增
问题型需求驱动的特点
• • • • • • 问题常常来源于客户实际 问题常常是不成体系的（看起来） 需求满足常常是“头痛医头，脚痛医脚” 问题解决要求很快，追求速效 问题所带来的需求都非常实在 问题解决办法常常体现为
– 面向脆弱性安全 – 比如：防病毒、入侵检测、防火墙等
体系化需求驱动的特点
• 常常来源于
– 从专家和厂商而来的技术推动 – 客户零散的问题，被内外部专家提炼
• 看起来成体系，但是因为有抽象，和实 际总是有些差别 • 常常表现为：面向结构性安全
中办发[2003]27号
国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日）
加强信息安全保障工作-总体要求
• 总体要求：
– – – – – – 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全。
• 通过S3-PPT方法展开保障措施
技术功能是T3-PDR的衍生
三法则
• • • • • • Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR • • • • • • 三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台 三观论：宏观/中观/微观 保障：人员组织/过程/技术 技术：防护/检测/响应
渠道 后台核心计算
服务界面
了解保障措施
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
保障体系的实际组成
解决方案/最佳实践 产品 服务 技术积累 平台
技术环境 ——当前主流的基本安全产品
• • • • • • • •
加密 防病毒 防火墙 入侵检测 漏洞扫描 身份认证 VPN ……
显示
报告
漏洞评估中心 IDS 事件监控中心 FW AV 主机与网 络设备
其他事件 检测系统
风险分析 决策支持 与预警系统
响 应 管 理 系 统
外部响应 系统 （安全设 备管理系 统与网 管）
策略管理平台
资产管理平台
资源管理平台 外部 协同
自身安全
用户管理
安全知识管 理平台
知识库
三法则
• Q3-WWH • R3-AST • P3-CSP • 三问题：什么/为什么/怎么 • 风险三要素：资产业务/保障措施/威胁 • 产品三形态：部件产品/服务/平台