信息安全保障体系服务白皮书.docx

1、信息安全保障体系服务白皮书信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二二年八月1. 公司简介杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安 全前沿趋势的研究和分析，核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致 力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。安恒信息公司总部位于杭州高新区，在北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够

2、为用户提供精准、 专业的服务。公司成立以来安恒人始终以建立民族自主品牌为己任，秉承“精品创新，恒久品质”的理念，力争打造中国信息安全产业应用安全与数据库安全第一品牌。 多年来，安恒信息以其精湛的技术，专业的服务得到了广大客户的青睐，同时赢得了高度的商业信誉。其客户遍布全国，涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。 安恒信息目前拥有明鉴、明御两大系列自主研发产品，是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。 未来，安恒信息将继续秉

3、承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新产品和服务，全面保障客户应用与数据库的安全，为打造世界顶级的产品而不懈努力。 作为2008北京奥组委安全产品和服务提供商，安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。在2009年建国60周年全国网站安全大检查中，公安部和工信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。 2010年，“安恒信息”作为上海世博会安全产品和服务的提供商，为上海世博会信息安全保驾护航。2010年，“安恒信息”作为广州亚运会安全产品和服务提供商，为亚运会信息安全保驾护航。2. 信息安全保障体系咨询服务2.1. 概述在信息系统介入

4、企业商务运营的初期，企业的商务运营环境相对封闭，对信息数据的交互要求也不高，信息系统可以得到企业的完全控制。而如今的信息系统已经成为企业生产业务系统的一部分，企业商务运营中的大量重要信息交互必须依赖于开放的、互联的网络环境进行。自从网络和Internet万维网出现以来，新兴技术和数据信息量激增，虚拟化和云计算增加基础架构复杂性，新兴技术的应用导致安全违规和安全攻击事件的大量增加，数据量每隔18个月翻一番，围绕着信息上下文的存储、安全和发现技术变得越来越重要。信息安全问题越来越凸现出来使得企业规避信息安全风险的需求日趋紧迫。众所周知，即便是在信息安全国际标准和相关最佳实践的指导下，企业按照标准的

5、安全实践方法，设计和实施信息安全解决方案时，依然会遇到很多挑战。企业还必须考虑多平台，多组件架构集成的复杂性，实施安全解决方案的多样性等。信息安全保障体系建设是根据企业业务发展的需要，确立合理的信息安全需求、确立企业信息安全策略，选择安全功能组件，建立一个完整的由信息安全策略体系、信息安全组织体系、信息安全技术体系和信息安全运营体系组成的具备深度安全防御能力的信息安全保障体系。信息安全保障体系建设咨询是杭州安恒信息技术有限公司（以下简称为安恒信息）参考国际国内的信息安全保障体系标准，结合安恒信息在信息安全保障体系建设咨询的最佳实践，为企业打造一个量身定制信息安全保障体系的一个咨询服务解决方案。

6、2.2. 参考标准 计算机信息系统安全等级保护划分准则GB 17859-1999 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术信息系统等级保护安全设计 技术要求GB/T XXXXX-XXXX 信息保障技术框架（IATF：Information Assurance Technical Framework） 信息技术 安全技术 信息技术安全性评估准则GB/T 18336-2008 系统安全工程能力成熟度模型（SSE-CMM：System Security Engineering Capacity Maturity Model）2.3. 信息安全保障体系建设

7、的指导思想将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。以风险管理为核心，预防为主，技术手段为支撑，围绕信息和信息系统生命周期，逐步建立由信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全构成的安全保障体系。2.4. 信息安全保障体系建设的基本原则信息系统等级保护原则：企业信息保障体系的建设应该遵从国家信息系统等级保护基本政策，将等级保护的思想融入到信息安全保障体系建设工程中去。多重深度防御战略原则：所谓深层防御战略就是采用一个多层次的、纵深

8、的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。管理与技术并重原则：“三分技术，七分管理”是信息安全管理的公认的常识，其意义在于指出了信息安全的关键所在：光靠信息安全技术（产品）是很难实现信息安全的目标，加强信息安全管理才是信息安全的解决之道。统一规划，分步实施原则：信息安全是一个牵涉面极广的系统工程，需要进行整体的风险评估和安全策略体系设计、安全组织体系设计、安全技术体系设计以及安全运营体系设计才能从整体上提高信息安全保障的水平，反之任何一个信息安全保障体系的模块失效，则会产生所谓的“短板效应”而造成信息

9、安全保障水平的降低。但是，信息安全保障体系的投入往往不能一步到位，信息安全建设工作也不能在短期内完成，更难于在业务系统的运用中推广。因此，信息安全保障体系建设需要遵守统一规划，分步实施的原则。在规划阶段需要将信息安全保障体系的整体目标、安全需求、安全模型、技术架构、安全原则等设计出来，以指导信息安全的建设工作，识别出信息安全需求的紧迫性，并根据信息安全需求紧迫性的顺序规划信息安全建设的顺序，以实施信息安全建设的分步实施。风险管理和风险控制原则：风险管理是一种有效的信息安全管理和决策技术。一般来说，没有绝对的信息安全，也就是信息安全的风险不可能为零。因此正确的识别风险、合理的管理风险，让信息安全

10、的风险降低可以接受的水平以内，是信息安全管理的指标体系。安全性与成本、效率之间平衡原则：信息安全保障的目标过高，需要的成本将成几何级数的形式上升，并且可能会影响信息使用的效率，但是信息安全保障的目标过低，信息安全事件发生的可能性将增大，信息安全事件的损失将可能增多，因此信息安全保障需要将安全性与成本和效率间进行平衡，以达到信息安全的水平可以接受，但是又不至于让成本上升太多，以及对信息使用的效率影响太大。3. 信息安全保障体系的内容3.1. 信息安全的四个领域信息安全包括以下四个领域：信息安全策略、信息安全管理、信息安全运营和信息安全技术，如图3-1所示：图3-1 信息安全的四个领域其中，信息安

11、全策略包括信息安全的战略和信息安全的政策和标准，而信息安全管理、信息安全运营和信息安全技术则是“企业-人-系统”的三元关系： 管理是企业管理的行为（包括安全意识、组织结构和审计监督）； 运营是日常管理的行为（包括运营流程和对象管理）； 技术是信息系统的行为（包括安全服务和安全基础设施）。可以概述为：信息安全是在企业管理机制下，通过运营机制借助技术手段实现的。信息安全运营是信息安全管理和信息安全技术手段在日常工作中的执行，是信息安全工作的关键，即“七分管理，三分技术，运营贯穿始终”。3.2. 信息安全策略体系信息安全策略体系处于企业信息安全保障体系的最顶层，是业务驱动安全的出发点。主要包括企业战

12、略和治理框架、风险管理框架、合规策略遵从。通过对企业业务和运营风险的评估，确定其战略和治理框架、风险管理框架，定义合规和策略遵从，确立信息安全文档管理体系。3.2.1. 信息安全战略信息安全战略分为企业信息安全战略概述、企业信息安全战略需求分析、企业信息安全战略目标、企业信息安全工作基本原则5个部分。信息安全策略是企业信息安全保障体系的核心，是企业信息安全工作的原则、宗旨、指导，为企业信息安全工作指明了方向。企业信息安全工作是针对企业各信息系统中存在的信息安全风险而开展的。企业的信息安全战略的制定坚持3大原则： 为企业业务发展提供支持和保障信息安全工作的最终目标是要为企业的业务发展提供必要的保

13、障和支持。 在企业信息技术战略规划的基础上制定企业的信息技术远景规划报告是企业现行的信息技术工作开展的最高指导性文件，而信息技术又是企业信息安全工作开展的必不可少的重要基础，因此企业信息安全战略必须在其信息技术规划的基础上制定。 遵从风险管理的理念信息安全是风险管理中的一个特殊的课题。企业信息安全战略的制定也必须在风险管理的原则下，从风险的角度看待信息安全问题，以风险防范、风险控制的方法开展信息安全工作。3.2.2. 信息安全政策标准体系框架企业信息安全政策与标准体系是信息安全管理、运营、技术体系标准化、制度化后形成的一整套企业对信息安全的管理规定，其体系框架可以分为横向和纵向两个维度，如图3

14、-2所示：图3-2 信息安全政策标准体系框架 纵向是企业制度/规定的层次化结构，分为信息安全政策、信息安全标准与规范、信息安全指南和细则三个层面。通过信息安全政策、信息安全标准与规范、信息安全指南和细则将信息安全战略逐步细化、落实，指导企业的信息安全工作： 信息安全政策是在信息安全战略下提出的各信息安全领域的工作目标；是从整个企业管理的高度提出的信息安全工作的方向和原则；是其下信息安全标准与规范、信息安全指南与细则的指导纲领。 信息安全标准与规范是在信息安全政策的思想指导下，制定的信息安全管理制度。其中信息安全标准是针对信息安全的管理和技术标准，是指导性的，不具强制效力。而信息安全规范则是针对

15、信息安全工作开展中的管理规定，具有强制效力，必须遵守。 信息安全指南与细则是为了贯彻、落实信息安全标准与规范而制定的，信息安全标准与规范与具体情况相结合的详细规定。 横向是信息安全对象。根据针对对象的不同，在纵向的每个层次中应当分别制定相应的政策、标准或规范等，图中只是给出了一些示例。3.3. 信息安全管理体系信息安全管理体系是信息安全保障体系的一个重要组成部分。信息安全管理体系框架是从企业管理的层面出发，按照多层防护的思想，为实现信息安全战略而搭建的。信息安全管理体系的三层防护结构如图3-3：图3-3 信息安全管理的三层防护结构 认知宣传教育员工在信息安全方面的自我约束、自我控制，是信息安全

16、管理体系的第一个层次。认知是信息安全管理控制的基础，实际工作中大部分的信息安全控制需要依靠员工的主观能动性。 组织管理控制信息安全管理控制是信息安全管理体系的第二个层次，其目的主要是通过完善组织架构，明确不同安全组织、不同安全角色的定位和职责以及相互关系，对信息安全风险进行控制管理。这里包含了“管理”和“监控”两方面的含义，特别是对专职的信息安全管理部门而言，“监控”是极其重要的职责。管理控制的落实需要通过认知和审计工作进行保障和监督，同时它又是信息安全认知和审计工作开展的重要对象。 审计二次监督审计监督是企业内部风险控制的重要组成部分。内部审计是企业内部控制的一种自我监督机制。信息安全审计一

17、般是在信息安全管理控制的基础上，由企业内部相对独立的专职部门对信息安全管理控制的效果进行监督。为与管理控制中的“监控”职能区别，通常将属于企业内部控制范畴中相对独立的内部审计工作的监督功能称为二次监督。如前所述，该体系框架分别从自我防范、管理保障和二次监督3个层次对信息安全管理进行保障。3.4. 信息安全技术体系框架安恒信息将信息安全的通用技术手段（或安全服务）分为身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等八类，如图3-4所示：图3-4 信息安全技术手段如前所述，信息安全保护的是主体对客体的访问过程。其中，对于主体和客体都需要进行身份认证，而对于整个访问过程需要进行

18、访问管理，并辅以加密、防恶意代码和加固等技术手段。为提高整体的安全等级，对于整个访问过程需要进行审核跟踪和监控，并对意外安全事件进行响应和恢复。以下是对各类技术手段的详细说明：1. 身份认证（Identity and Authentication Management）认证是通过对信息系统使用过程中的主客体进行鉴别，确认主客体的身份，并且给这些主客体赋予恰当的标志、标签、证书等。认证为下一步的授权工作打下基础。认证解决了主体本身的信用问题和客体对主体的访问的信任问题。是对用户身份和认证信息的生成、存储、同步、验证和维护的全生命周期的管理。2. 访问管理（Access Management）指对

19、各类系统资源的授权管理和访问控制。其中授权是指根据认证得到的主体的信息来判断该主体拥有怎样相应的权限，并将该权限赋予主体称之为授权。认证是授权的基础和依据，而主体经过了第一步的身份认证之后，都应遵循“不可旁路”的要求，必须通过授权这个关口才能进行任何的访问。访问控制是指在主体访问客体的过程中，根据预先设置好的访问控制手段或规则，对访问过程中可能出现的安全问题加以有效地控制。保证主体对客体访问过程中的安全性。3. 加密（Cryptography）加密是指通过使用对称加密、公钥加密、单向散列等手段，对各系统中数据的机密性、完整性进行保护，并提高应用系统服务和数据访问的抗抵赖性。4. 防恶意代码（A

20、nti-Malicode）恶意代码泛指能够在某个信息系统上执行未被授权操作的软件或固件。恶意代码可以分为五大类：病毒、蠕虫、特洛伊木马、移动代码、逻辑炸弹。各类恶意代码有不同的特点。防恶意代码就是通过建立预防、检测、隔离和清除机制，保护系统的安全。5. 加固（Hardening）加固是指对客体（信息系统自身）的弱点进行加固的一种安全保护手段，是通过实施安全漏洞扫描、渗透性测试、安全补丁、关闭不必要的服务、对特定的攻击防范等技术或管理方法确保和增强系统自身的安全。加固的目的是尽量将系统自身弱点造成安全事故的可能性降至最低。6. 监控（Monitoring）监控是指管理主体对客体的访问过程中，通过

21、各类技术手段，对于主体的各种访问行为进行监控。确保主体在对客体的访问过程中的安全。7. 审核跟踪（Audit Trail）审核跟踪是指一系列关于操作系统、应用和用户活动相关的计算机事件。它能够增进计算机系统的可审计性。对于一个计算机系统可能有几个审核跟踪，每个都针对特定的相关活动类型。对审核跟踪的记录可以保存在日志文件或相关的日志数据库中。8. 备份恢复（Backup and Recovery）信息安全的预防、保护控制措施不可能完全避免意外安全事件的发生，企业必须采取相应的措施最大限度地降低一旦发生的信息安全事件对业务造成的影响。企业应根据不同的业务需求和不同的信息资产价值，建立相应的响应恢复

22、机制。这方面的技术主要表现在冗余、备份、容错等方面。借用信息安全业务价值链的概念，我们可以将信息安全的技术手段分为预防保护类、检测跟踪类和响应恢复类等三大类，如图3-5所示：图3-5 信息安全技术手段其中：1. 预防保护类包括在客体独立于主体存在时（即主体访问客体之前），确认所有潜在的主体的身份和相应的访问权限的手段，即身份认证和访问管理；以及在明确了所有潜在的访问者(主体)之后，通过保护客体（信息技术相关对象）本身的安全性，防止由于客体本身的安全问题而产生的安全事故的手段，即加密、防恶意代码和加固。2. 检测跟踪类在明确了潜在的访问者身份并对受访问的客体进行保护之后，确保主体对客体进行访问过

23、程中的安全，对于主体对客体的访问行为进行监控和事件记录，避免在访问过程中可能产生的安全事故的手段，包括监控和审核跟踪两部分内容。3. 响应恢复类当一旦安全事件发生，确保在最短的时间内进行对事件进行响应和恢复。将事件的影响降至最低的阶段。综上所述，在信息安全的技术手段中，有身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复这8种通用的保护措施。同时，结合信息安全的对象层次，信息安全技术体系框架如图3-6所示：图3-6 信息安全技术体系框架因此信息系统的技术安全性就可以通过对信息系统中的受保护对象加以相应的保护措施的方法来保证。我们可以将企业的信息系统安全管理框架理解为，将各种适

24、合企业特定业务需求或管理需求的安全技术手段，分门别类的应用到企业的信息安全受保护对象的5个层次中，从技术的角度有效的支撑企业信息安全运营体系，从而有效的确保信息安全。3.5. 信息安全运营体系安全运营是指在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程。主要包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理、安全外包服务。安全运营与IT运营相辅相成、互为依托、共享资源与信息，它与安全组织紧密联系，融合在业务管理和IT管理体系中。信息安全运营体系框架的目标是构建企业信息安全的核心运营模式。运营框架的基础是风险管理的理念和持续改进的模式。风险管理的理念强调以可

25、接受的成本识别、控制、降低或消除可能影响信息系统的各种安全风险。持续改进的模式要求企业动态地的管理信息安全相关的风险，遵循规划-实施-监控-改进的PDCA循环，不断地适应动态变化的环境。与传统的信息安全运营模式相比，基于风险管理理念和持续改进模式的信息安全运营模式是一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的运营管理模式；最大的优点是可以从根本上避免、降低各类风险，能降低信息安全故障导致的综合损失。信息安全运营是实现信息安全目标的重要机制。信息安全技术只是实现信息安全控制的一个手段，必须依赖于有效的信息安全运营模式加以综合利用，才能实现企业的信息安全目标。如下图所示，整个运营

26、体系框架由两大部分组成。顶部的四个箭头块代表了信息安全运营的目标模式和概念性流程。它以风险管理的四个环节作为运营的主线，描述了信息安全业务的基本运营模式。在其图3-7所示罗列了信息安全运营中的一些具体事物，是概念性流程在具体对象层次上的实现。图3-7 信息安全运营体系框架运营框架上半部分的概念性流程包括风险评估、规划实施、安全监控、响应恢复四个主要步骤。风险评估阶段确定企业的信息安全需求和可接受的残余风险；规划实施阶段将这些信息安全需求用具体的安全控制措施加以实现，将风险减少到可接受的程度；安全监控阶段对安全控制措施的有效运行进行监控跟踪，确保其能够持续地满足企业的信息安全需求，同时对残余风险

27、可能引致的安全事件进行实时地监控；响应恢复阶段对已经发生的安全事件和突发事件以及重大灾难性事故进行快速响应和恢复，减少对企业业务的负面影响。运营框架下半部分列举了具体对象层次上的主要的运营事务，是概念性流程的具体实现。信息安全的具体对象大致包括人员层、数据层、应用层、系统层、网络层和物理层等六个层次。信息安全运营的日常事务就发生这些对象层次上。具体对象层次上的运营管理应该符合概念性流程的框架，同时反应具体对象的特殊需求。信息安全运营的具体事务会有很多，在这个框架里只是罗列一部分主要的运营事务。4. 信息安全保障体系的建设过程4.1. 信息安全保障体系的总体建设方法企业信息安全保障体系框架参考了

28、众多企业所积累的经验，充分吸取行业中的最佳实践。在具体运用中可结合信息安全相关方法论、模型及标准，将所有的内容与要求基于企业的业务需求和的现状转化到信息安全设计与规划的具体项目中分别予以实现并提供了可参照执行的演进思路。从企业需求出发，参照企业信息安全管理框架，通过评估和风险分析等方法，定义企业安全需求，根据企业的安全需求定义企业信息安全建设的内容和方向（如图4-1所示）。图4-1 企业信息安全建设思路4.2. 信息安全策略的定义信息安全策略根据企业的业务需求定义所需具备的安全能力和功能。信息安全策略帮助企业相关人员在信息安全建设方面在战略层和操作层做出正确的选择。它帮助企业在业务安全需求和信

29、息安全能力之间建立起联系。信息安全策略必须是战略层次的定义，必须可以有较长的生命周期以指导信息安全体系的建设；信息安全策略不宜具体到某一特定的解决方案，拓扑或配置。信息安全策略是辅助企业在IT建设的整个生命周期，包括选择、采购、设计、实施和运行的各个阶段进行决策的工具。信息安全策略着眼于在整个企业组织架构中贯彻信息安全策略，而非针对单独特定应用系统的具体功能性组件和运维节点，致力于建设一套能平衡企业组织架构中复杂业务流程、应用和系统相关风险的战略性架构设计。信息安全策略设计具有战略意义，它将比设计规范、拓扑图或拓扑配置拥有更长的生命周期，它可发展成特定的方案。如果太过具体，它就会受限于当前的环

30、境；如果太过广泛，它就不能起到提供指引的作用。应谨慎以防止架构变成某个具体实施的蓝图。信息安全策略有以下作用： 信息安全策略通过提供安全功能要求和实施方法来确保企业内实施一致的安全解决方案。 根据业务需求事先定义所需的安全技术和解决方案。 确保安全解决方案的相互可集成性以及相关的安全管控措施的到位和配合。 确保安全组件的可重复利用，保护投资。4.2.1. 信息安全策略的通用性特征信息安全策略具备以下特点：信息安全策略是一项长远的控制观点，而不是一个战术观点。目前企业的信息安全建设面临着大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施。而各种异构的解决方案的重复建设和低效率将成为

31、信息安全策略需着手解决的问题。总的趋势是为特定的执行情况而部署这些机制作为战术上解决方案。而为了提供一个统一的观点和基于成本的考虑，优秀的企业信息安全策略的设计是具有战略意义；意味着信息安全策略比规划蓝图，设计规范、拓扑图和配置等具有更长的生命周期。如果是过于具体，反而将制约当前的情况。如果是过于空泛或一般，则无法提供决策和指导。在企业整体技术环境下，信息安全策略将为相关鉴别、选择、采集、设计、实施、部署和运维提供决策依据。 信息安全策略的目标是共同的。一个企业的信息安全策略应该支持多组织，多部门和多业务单元，描述安全控制及措施的长期技术趋势。它允许多种具体实现取决于现实的时刻，应小心避免安全

32、体系成为特定实施的蓝图。信息安全策略应该为整个组织机构提供一个全面风险管理的指导。 信息安全策略提供了一个统一的共享安全控制的远景。通过提供共享服务的模型，企业的信息安全策略着眼于从整体的角度来检查安全控制措施，识别出已有安全控制措施下的潜在风险，提供一个长远的改进计划。同时，这也是一个安全管理最佳实践的基本组成。 信息安全策略提供了一个灵活的方式来处理当前和未来的威胁。信息安全策略的所有基础组件的开发和部署只需要做一次。在基础结构已经确定的前提下，其它架构组件就可以更容易处理。如果基础架构引入新的举措，是不会引入新的弱点的。如果外部新的弱点被引入，则信息安全策略需要通过风险评估重新评估。总而言之，信息安全策略应该符合下述相关论述：一个有效的安全规划是承认随着时间的推移所有的信息资产的价值和风险