前言
第 8 章对应的内容选择题和案例分析都可能会进行考查,学习要以教材为准。
目录
8.1 信息安全管理
8.1.1 保障要求
网络与信息安全保障体系中的安全管理建设,通常需要满足以下5项原则:
①网络与信息安全管理要做到总体策划,确保安全的总体目标和所遵循的原则。
②建立相关组织机构,要明确责任部门,落实具体实施部门。
③做好信息资产分类与控制,达到员工安全、物理环境安全和业务连续性管理等。
④使用技术方法解决通信与操作的安全、访问控制、系统开发与维护,以支撑安全目标、安全策略和安全内容的实施。
⑤实施检查安全管理的措施与审计,主要用于检查安全措施的效果,评估安全措施执行的情况和实施效果。
网络安全与管理至少要成立一个安全运行组织,制定一套安全管理制度并建立一个应急响应机制。组织需要确保以下3个方面满足保障要求:
①安全运行组织应包括主管领导、信息中心和业务应用等相关部门,领导是核心,信息中心是实体,业务部门是使用者。
②安全管理制度要明确安全职责,制定安全管理细则,做到多人负责、任期有限、职责分离的原则。
③应急响应机制是主要由管理人员和技术人员共同参与的内部机制,要提出应急响应的计划和程序,提供对安全事件的技术支持和指导,提供安全漏洞或隐患信息的通告、分析和安全事件处理等相关培训。
8.1.2 管理内容
在ISO/IEC27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。
▲组织控制
在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。
▲人员控制
在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、安全纪律等。
▲物理控制
在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。
▲技术控制
在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄露预防、网络安全和信息备份等。
8.1.3 管理体系
这一小节简单了解即可。
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,主要包括:
●落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
●开发安全策略;
●实施风险管理;
●制订业务持续性计划和灾难恢复计划;
●选择与实施安全措施;
●保证配置、变更的正确与安全;
●进行安全审计;
●保证维护支持;
●进行监控、检查,处理安全事件;
●安全意识与安全教育;
●人员安全管理等。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括:
①配备安全管理人员
管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。
②建立安全职能部门
建立管理信息系统安全工作的职能部门,或者明确指定一个职能部门监管信息安全工作,并将此项工作作为该部门的关键职责之一。
③成立安全领导小组
在管理层成立信息系统安全管理委员会或信息系统安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。
④主要负责人出任领导
由组织机构的主要负责人出任信息系统安全领导小组负责人。
⑤建立信息安全保密管理部门
建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。
GB/T20269《信息安全技术信息系统安全管理要求》提出了对信息系统安全管理体系的要求,其信息系统安全管理要素如表8-1所示。
8.1.4 等级保护
国家市场监督管理总局、国家标准化管理委员会宣布网络安全等级保护制度2.0相关的国家标准正式发布,并于2019年12月1日开始实施。“等保1.0”体系以信息系统为对象,确立了五级安全保护等级,并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评工作等方面入手,形成了一套相对完整的、有明确标准的、涵盖了制度与技术要求的等级保护规范体系。“等保2.0”将“信息系统安全”的概念扩展到了“网络安全”,其中,所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
1 安全保护等级划分
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下5级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
2 安全保护能力等级划分
《信息安全技术网络安全等级保护基本要求》(GB/T22239)规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:略。
3 “等保2.0”的核心内容
其核心内容包括:
①将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;
②将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;
③将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。
4 “等保2.0”的技术变更
网络安全等级保护2.0技术变更的内容主要包括:
■物理和环境安全实质性变更:降低物理位置选择要求,机房可设置在建筑楼顶或地下室,但需要加强相应防水防潮措施。降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。降低了电力供应的要求,不再要求必须配备后备发电机。降低了电磁防护的要求,不再要求必须接地。降低了防盗和防破坏要求,可部署防盗系统或视频监控系统。
■网络和通信安全实质性变更:强化了对设备和通信链路的硬件冗余要求。强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带宽控制的要求,不再要求必须进行QoS控制。降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。
■设备和计算安全实质性变更:强化了访问控制的要求,细化了主体和客体的访问控制粒度要求。强化了安全审计的统一时钟源要求。强化了入侵防范的控制要求,包括终端的准入要求、漏洞测试与修复。降低了对审计分析的要求,不再要求必须生成审计报表。降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。提出了采用可信计算技术防范恶意代码的控制要求。
■应用和数据安全实质性变更:强化了对软件容错的要求,保障故障发生时的可用性。强化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。强化了安全审计的统一时钟源要求。降低了对资源控制的要求,包括会话连接数限制、资源监测、资源分配控制。降低了对审计分析的要求,不再要求必须生成审计报表。
5 “等保2.0”的管理变更
网络安全等级保护2.0管理变更的内容主要包括:
■安全策略和管理制度实质性变更:降低了对安全管理制度的管理要求,包括版本控制,收发文管理等,其中不再要求必须由信息安全领导小组组织制度的审定。
■安全管理机构和人员实质性变更:对安全管理和机构人员的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如记录和文档的操作要求、制度的制定要求等;另一方面对岗位配备、人员技能考核等要求也有实质性的删减。强化了对外部人员的管理要求,包括外部人员的访问权限、保密协议的管理要求。
■安全建设管理实质性变更:对安全建设管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制度的制定做细化要求;另一方面对安全规划管理、测试验收管理也有实质性的删减。强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。强化了对自行软件开发的要求,包括安全性测试、恶意代码检测、软件开发活动的管理要求。
■安全运维管理实质性变更:对安全运维管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制度的制定做细化要求;另一方面对介质管理、设备管理也有实质性的删减。将原有属于监控管理和安全管理中心的内容移到了“网络和通信安全”部分。将原有属于网络安全设备的部分内容移到了“漏洞和风险管理”部分。降低了对网络和系统管理的要求,包括安全事件处置管理、实施某些网络管理活动、网络接入策略控制。特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。强化了对账号管理、运维管理、设备报废或重用的管理要求。
6 网络安全等级保护技术体系设计通用实践
由于形态不同的等级保护对象面临的威胁有所不同,安全保护需求也有所差异,为了便于描述对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护,基于通用和特定应用场景,说明等级保护安全技术体系设计的内容。其中:
◎通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现,都应根据安全保护等级,实现相应级别的安全技术要求。
◎特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出,针对特定应用场景,实现相应网络安全保护级别的安全技术要求。
安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。其中:
◎“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏;
◎“通信网络安全防护”保护暴露于外部的通信线路和通信设备:
◎“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则;
◎“计算环境安全防护”即内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”;
◎“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
8.2 信息安全系统
我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及其组成,如图8-1所示。X轴是“安全机制”。安全机制可以理解为提供某些安全服务,利用各种安全技术和技巧,所形成的一个较为完善的结构体系。Y轴是“OSI网络参考模型”。Z轴是“安全服务”。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。
由X、、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。随着网络逐层扩展,这个空间不仅范围逐步加安全的内涵也更加丰富,具有认证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。
8.2.1 安全机制
安全机制包含基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系等。
8.2.2 安全服务
安全服务包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。
8.3 工程体系架构
8.3.1 安全工程基础
信息安全系统的建设是在OSI网络参考模型的各个层面进行的,因此信息安全系统工程活动离不开其他相关工程,主要包括硬件工程、软件工程、通信及网络工程、数据存储与灾备工程、系统工程、测试工程、密码工程和组织信息化工程等。
8.3.2 ISSE-CMM基础
信息安全系统工程能力成熟度模型(ISSE Capability Maturity Model,ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法。ISSE-CMM是建立在统计过程控制理论基础上的。ISSE-CMM模型是信息安全系统工程实施的度量标准,它覆盖了:
○全生命期,包括工程开发、运行、维护和终止;
○管理、组织和工程活动等的组织:
○与其他规范(如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等)并行的相互作用:
○与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用。
ISSE-CMM主要适用于工程组织(Engineering Organizations)、获取组织(Acquiring Organizations)和评估组织(Evaluation Organizations)。
信息安全的工程组织包含系统集成商、 应用开发商、产品提供商和服务提供商等,这些组织可以使用ISSE-CMM对工程能力进行自我评估。
信息安全的获取组织包含采购系统、产品,以及从外部/内部资源和最终用户处获取服务的组织,这些组织可以使用ISSE-CMM来判别一个供应者组织的信息安全系统工程能力,识别该组织供应的产品和系统的可信任性,以及完成一个工程的可信任性。
信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等,这些组织可以使用ISSE-CMM作为工作基础,以建立被评组织整体能力的信任度。
8.3.3 ISSE过程
ISSE过程的目标是提供一个框架,每个工程项目都可以对这个框架进行裁剪以符合自己特定的需求。ISSE将信息安全系统工程实施过程分解为工程过程(Engineering Process)、风险过程(Risk Process)和保证过程(Assurance Process)3个基本的部分。它们相互独立,但又有着有机的联系。
1 工程过程
信息安全系统工程过程与其他工程活动一样,是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程,如图8-4所示。
2 风险过程
ISSE-CMM过程域包括实施组织对威胁、脆弱性、影响和相关风险进行分析的活动保证。
3 保证过程
ISSE-CMM的可信程度来自于信息安全系统工程实施过程可重复性的结果质量。
8.3.4 ISSE-CMM体系结构
ISSE-CMM的体系结构可以在整个信息安全系统工程范围内决定信息安全工程组织的成熟性。该模型采用两维设计,其中的一维是“域”(Domain),另一维是“能力”(Capability)。
1 域维/安全工程过程域
域维汇集了定义信息安全系统工程的所有实施活动,这些实施活动被称为过程域。能力维代表组织能力,它由过程管理能力和制度化能力构成,这些实施活动被称作公共特性,可在广泛的域中应用。
ISSE包括6个基本实施,这些基本实施被组织成11个信息安全工程过程域,这些过程域覆盖了信息安全系统工程的所有主要领域。
一个过程域通常需要满足:
■汇集一个域中的相关活动,以便于使用;
■有关有价值的信息安全工程服务;
■可在整个组织生命周期中应用;
■能在多个组织和多个产品范围内实现;
■能作为一个独立过程进行改进:
■能够由类似过程兴趣组进行改进;
■包括所有需要满足过程域目标的基本实施(Base Practices,BP)。
基本实施的特性包括:
■应用于整个组织生命周期;
■和其他BP互相不覆盖;
■代表安全业界“最好的实施”;
■不是简单地反映当前技术;
■可在业务环境下以多种方法使用;
■不指定特定的方法或工具。
由基本实施组成的11个安全工程过程域包括:PA01实施安全控制、PA02评估影响、PA03评估安全风险、PA04评估威胁、PA05评估脆弱性、PA06建立保证论据、PA07协调安全、PA08监控安全态、PA09提供安全输入、PA10确定安全需求、PA11验证和证实安全。
ISSE-CMM还包括11个与项目和组织实施有关的过程域:PA12保证质量、PA13管理配置、PA14管理项目风险、PA15监测和控制技术工程项目、PA16规划技术工程项目、PA17定义组织的系统工程过程、PA18改进组织的系统工程过程、PA19管理产品线的演变、PA20管理系统工程支持环境、PA21提供不断更新的技能和知识、PA22与供应商的协调。
2 能力维/公共特性
通用实施(Generic Practices,GP)由被称为公共特性的逻辑域组成。公共特性分为5个级别,依次表示增强的组织能力。与域维的基本实施不同的是,能力维的通用实施按其成熟性排序,因此高级别的通用实施位于能力维的高端。公共特性的成熟度等级定义如表8-2所示。
3 能力级别
业务目标是使用ISSE-CMM模型的主要驱动力。但是,对典型的改进活动,也存在着基本活动次序和基本的原则。这个活动次序在ISSE-CMM结构中通过公共特性和能力级别加以定义。能力级别代表工程组织的成熟度级别的5级模型如图8-7所示。5级能力级别的重点及能力特点如表8-3所示。
8.4 本章练习
◆ 练习题
至此,本文分享的内容就结束啦!!!💛 💙 💜 ❤️ 💚 💛 💙 💜 ❤️ 💚