下面基于作者(_U2_)的工作实践,探讨一下信息安全建设方面的依据、方法论和交付成果。
一、依据
企业网络信息安全建设的主要依据有:
(1)企业的信息安全策略和安全态势,且安全策略随着安全态势与产业环境的变化而变化;
(2)来自管理层、业务部门的需求和期望;
(3)安全技术标准、规范;
(4)风险评估的结果;
(5)业界标准与最佳实践,如ISO 27001体系、业界的安全解决方案;
(6)现状,含安全基础设施现状、业界或自研的安全产品的现状。
二、方法论、工具与技术
1.信息安全管理体系
参考ISO 27001等国际标准,建立适应自己业务的信息安全管理体系(ISMS)、风险评估方法论。
2.安全技术架构
在这里,我把IT基础设施或应用系统中涉及到的安全技术技术分为以下6类:
(1)身份认证,即识别用户的身份,你是谁;
(2)授权与访问控制,赋予用户适当的角色和权限,用户只能访问业务规则允许其访问的数据;
(3)密码技术,包括对数据的加解密、传输通道的加解密、数字签名等;
(4)审计与取证,包括对操作日志的要求、审计接口、防泄密措施等;
(5)业务安全,这是传统安全经常将其视为业务功能导致安全和业务都轻易忽略的一部分,
业务安全要从设计上形成完整的证据链,能够防篡改、防抵赖、防重放,避免错误交易;
(6)完整性防护,主要是指针对病毒、木马、入侵等行为的基础性防护措施。
在规划、设计安全控制措施的时候,即可参考下表的安全技术进行相应的设计,并考虑安全与效率、成本的均衡。
层次 \ 安全技术 | 身份认证 | 授权与访问控制 | 密码技术 | 审计与取证 | 业务安全 | 完整性防护 |
应用层 | SSO OAuth | RBAC | HTTPS 配置文件字段加密 | 操作日志 审计接口 | 数据签名 证书验证 交易确认 | WAF 漏洞扫描与修复 安全配置 |
中间件层 | SSO | 数据库视图 最小授权 | SSL证书 数据库字段加密 | 访问日志 DLP | 签名验证 重放检测 | 中间件补丁 安全配置 开源软件管理 |
系统层 | AD 双因子认证 | ACL | 磁盘文件加密 | 系统日志 监控 DLP | N/A | 防病毒 补丁 进程白名单 安全配置 |
网络层 | Portal认证 802.1x | NAC 防火墙 上网行为管理 | VPN SSL加密 | 流量监控 DLP 上网行为管理 | 专线 | IPS 网络防病毒 DDos防范 |
物理层 | 门禁卡 | 门禁系统 | 私钥保护 | CCTV | 即时打印 | 物理隔离 红外对射 |
3.安全开发生命周期管理
应用系统上线前,安全要融入其开发项目全过程,包括:
(1)需求阶段,基于组织的安全策略,将基本安全需求作为项目/产品的需求的一部分,纳入项目范围;
(2)方案阶段,基于组织的安全技术标准、规范,对产品/应用的方案安全性审核;
(3)验证阶段,对产品的代码进行白盒扫描检测,或者进行黑盒测试(渗透测试),发现高危风险并进行改进;
(4)验收阶段,对交付的产品/应用的安全性进行验收。
应用系统上线后,就要开始安全运营,进行事件监控、响应与改进恢复。
三、交付成果
企业的网络信息安全建设的成果包括:
(1)不断改进的信息安全管理体系(策略、组织、人员、流程等) ,即整个安全体系的PDCA;
(2)风险评估方法或指南;
(3)不断完善并适应新形势的IT安全基础设施,如基础的病毒/补丁管理体系、PKI、安全网关、IPS、认证、监控、加密服务,增强抵御外部入侵的防御能力,降低内部泄密事件;
(4)安全的应用环境,支撑业务正常高效的开展;
(5)组织过程资产,包括策略文件、标准规范文件、模板、Checklist、案例、账号/权限申请流程、事件处理流程等。