下面基于作者(_U2_)的工作实践,探讨一下信息安全建设方面的依据、方法论和交付成果。

一、依据

企业网络信息安全建设的主要依据有:

(1)企业的信息安全策略和安全态势,且安全策略随着安全态势与产业环境的变化而变化;

(2)来自管理层、业务部门的需求和期望;

(3)安全技术标准、规范;

(4)风险评估的结果;

(5)业界标准与最佳实践,如ISO 27001体系、业界的安全解决方案;

(6)现状,含安全基础设施现状、业界或自研的安全产品的现状。

二、方法论、工具与技术

1.信息安全管理体系

参考ISO 27001等国际标准,建立适应自己业务的信息安全管理体系(ISMS)、风险评估方法论。

2.安全技术架构

在这里,我把IT基础设施或应用系统中涉及到的安全技术技术分为以下6类:

(1)身份认证,即识别用户的身份,你是谁;

(2)授权与访问控制,赋予用户适当的角色和权限,用户只能访问业务规则允许其访问的数据;

(3)密码技术,包括对数据的加解密、传输通道的加解密、数字签名等;

(4)审计与取证,包括对操作日志的要求、审计接口、防泄密措施等;

(5)业务安全,这是传统安全经常将其视为业务功能导致安全和业务都轻易忽略的一部分,

业务安全要从设计上形成完整的证据链,能够防篡改、防抵赖、防重放,避免错误交易;

(6)完整性防护,主要是指针对病毒、木马、入侵等行为的基础性防护措施。

在规划、设计安全控制措施的时候,即可参考下表的安全技术进行相应的设计,并考虑安全与效率、成本的均衡。

层次 \ 安全技术

身份认证

授权与访问控制

密码技术

审计与取证

业务安全

完整性防护

应用层

SSO

OAuth

RBAC

HTTPS

配置文件字段加密


操作日志

审计接口

数据签名

证书验证

交易确认

WAF

漏洞扫描与修复

安全配置

中间件层

SSO

数据库视图

最小授权

SSL证书

数据库字段加密

访问日志

DLP

签名验证

重放检测

中间件补丁

安全配置

开源软件管理

系统层

AD

双因子认证

ACL


磁盘文件加密

系统日志

监控

DLP

N/A

防病毒

补丁

进程白名单

安全配置

网络层

Portal认证

802.1x

NAC

防火墙

上网行为管理

VPN

SSL加密

流量监控

DLP

上网行为管理

专线

IPS

网络防病毒

DDos防范

物理层

门禁卡

门禁系统

私钥保护

CCTV

即时打印

物理隔离

红外对射

3.安全开发生命周期管理

应用系统上线前,安全要融入其开发项目全过程,包括:

(1)需求阶段,基于组织的安全策略,将基本安全需求作为项目/产品的需求的一部分,纳入项目范围;

(2)方案阶段,基于组织的安全技术标准、规范,对产品/应用的方案安全性审核;

(3)验证阶段,对产品的代码进行白盒扫描检测,或者进行黑盒测试(渗透测试),发现高危风险并进行改进;

(4)验收阶段,对交付的产品/应用的安全性进行验收。

应用系统上线后,就要开始安全运营,进行事件监控、响应与改进恢复。

三、交付成果

企业的网络信息安全建设的成果包括:

(1)不断改进的信息安全管理体系(策略、组织、人员、流程等) ,即整个安全体系的PDCA;

(2)风险评估方法或指南;

(3)不断完善并适应新形势的IT安全基础设施,如基础的病毒/补丁管理体系、PKI、安全网关、IPS、认证、监控、加密服务,增强抵御外部入侵的防御能力,降低内部泄密事件;

(4)安全的应用环境,支撑业务正常高效的开展;

(5)组织过程资产,包括策略文件、标准规范文件、模板、Checklist、案例、账号/权限申请流程、事件处理流程等。