應(yīng)用動態(tài)安全模型構(gòu)建信息安全管理體系

文/梅春霖

1.傳統(tǒng)信息安全工作中面臨的挑戰(zhàn)

1.1 重技術(shù)、輕管理

各單位對信息系統(tǒng)的安全保護(hù)主要圍繞業(yè)務(wù)和技術(shù)兩個方面。很多單位普遍認(rèn)為，配備一定的技術(shù)防護(hù)手段，就能保障系統(tǒng)的安全。但對配套的管理規(guī)章制度缺乏執(zhí)行力度，使信息系統(tǒng)管理單位在安全檢查、查漏補(bǔ)缺、系統(tǒng)安全水平測試時，時常出現(xiàn)臨時抱佛腳、“應(yīng)試”“應(yīng)付”的現(xiàn)象。

1.2 缺乏“改進(jìn)”和“服務(wù)”思維

很多信息系統(tǒng)管理人員仍然抱著信息系統(tǒng)的安全防護(hù)，“不出問題”即可的思維。但在信息安全環(huán)境日益緊迫的情況下，信息安全工作不能等出了問題才去重視，還應(yīng)成為信息系統(tǒng)的發(fā)展和創(chuàng)新方向。信息安全工作應(yīng)該是一個動態(tài)的持續(xù)改進(jìn)過程，應(yīng)以動態(tài)和改進(jìn)的“促進(jìn)服務(wù)”思維方式開展信息安全工作。

1.3 信息安全制度未形成體系

各類信息安全工作，關(guān)鍵要素是人。許多信息安全管理單位對安全知識的宣傳和培訓(xùn)不足，人員的信息安全防范意識較差。

此外，很多單位缺乏相應(yīng)的安全方針，制定的管理制度未能成為體系。流程化、規(guī)范化的安全管理制度缺失，不能在日常的工作中嚴(yán)格執(zhí)行，給信息安全工作帶來了很多挑戰(zhàn)。

1.4 責(zé)任管理不到位

許多單位將安全管理員的職責(zé)分散到一線的技術(shù)運維人員身上，并未設(shè)置專職的安全管理員崗位。而普通的系統(tǒng)管理員在進(jìn)行安全工作時，一方面更關(guān)注設(shè)備和系統(tǒng)的運行情況，另一方面很難客觀地從信息安全的角度出發(fā)，評估系統(tǒng)的安全性，準(zhǔn)確落實信息安全的規(guī)章制度。

此外，隨著信息化程度的提高，設(shè)備不斷增加，運維服務(wù)等方面的需求也在不斷增加，許多單位開始采用

服務(wù)外包方式對系統(tǒng)進(jìn)行管理。而外包服務(wù)方的安全水平參差不齊，往往未采取有效的安全措施。

1.5 系統(tǒng)建設(shè)中對安全性重視不足

系統(tǒng)建設(shè)單位往往對功能性投入較大，卻對系統(tǒng)的安全性重視不足，這給后期的運維管理帶來了較大的安全隱患。在技術(shù)系統(tǒng)運維、管理和規(guī)章制度的建設(shè)方面，信息安全“缺位”較多，在信息業(yè)務(wù)和信息安全發(fā)生沖突時，信息安全往往要讓步于業(yè)務(wù)。

2.利用動態(tài)安全模型建立信息安全體系

要解決現(xiàn)有信息安全管理工作中存在的問題，構(gòu)建符合信息安全相關(guān)規(guī)定，適應(yīng)業(yè)務(wù)發(fā)展的安全體系，首先必須轉(zhuǎn)變思維，將信息安全工作從“嚴(yán)防死守”變?yōu)椤胺e極主動”的動態(tài)思維。為此，可參照安全評價分析模型，應(yīng)用管理分析方法和工具進(jìn)行分析，構(gòu)建符合信息安全的評價分析體系，從而客觀地描述在信息安全工作中所面臨的問題、解決方式和完善的環(huán)節(jié)。

2.1 基于P2DR2動態(tài)安全模型的信息安全管理框架

在信息安全管理中，人員組織、安全技術(shù)及運行操作是三 個主要的支撐體系，P2DR2動態(tài)安全模型的核心思想就是通過對這三個體系進(jìn)行構(gòu)建和管理，綜合利用技術(shù)和管理手段，構(gòu)建完整的信息安全管理框架。

在信息安全管理框架的構(gòu)建過程中，需首先確立整體的安全策略，運用各類型手段，了解和評估信息系統(tǒng)的狀態(tài)，采用適當(dāng)?shù)捻憫?yīng)和恢復(fù)，降低系統(tǒng)的安全風(fēng)險，減輕因安全事件所產(chǎn)生的風(fēng)險。

2.1.1 “防護(hù)”環(huán)節(jié)

確保網(wǎng)絡(luò)層面的結(jié)構(gòu)安全、訪問控制、邊界完整性檢查、惡意代碼和入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)。

在主機(jī)層面進(jìn)行入侵防護(hù)、惡意代碼防護(hù)、身份鑒別、系統(tǒng)訪問控制、系統(tǒng)資源控制、數(shù)據(jù)保護(hù)、安全特征標(biāo)記、網(wǎng)絡(luò)可信路徑等安全防護(hù)工作。

應(yīng)用層面包括身份鑒別、訪問控制、通信完整性、軟件容錯、通信保密性、資源控制、剩余信息保護(hù)、抗抵賴、安全標(biāo)記、可信路徑。

數(shù)據(jù)層面包括數(shù)據(jù)完整性和數(shù)據(jù)保密性?？梢允褂枚喙δ芊阑饓?、網(wǎng)絡(luò)交換和路由設(shè)備、入侵檢測系統(tǒng)、數(shù)據(jù)網(wǎng)關(guān)、補(bǔ)丁加固系統(tǒng)、防病毒系統(tǒng)、操作系統(tǒng)加固設(shè)備、數(shù)據(jù)庫加固設(shè)備等各種技術(shù)工具和方法，并以安全的配置作為必要的補(bǔ)充。

2.1.2 “監(jiān)測”環(huán)節(jié)

為保證信息系統(tǒng)免受安全事件的入侵和破壞，可以采用入侵檢測、漏洞掃描、安全審計、防病毒網(wǎng)關(guān)、安全管理中心監(jiān)控等手段。

2.1.3 “響應(yīng)”環(huán)節(jié)

安全響應(yīng)的內(nèi)容可分為網(wǎng)絡(luò)和系統(tǒng)安全管理、處理協(xié)調(diào)和配合機(jī)制、安全事件的具體處置、應(yīng)急響應(yīng)預(yù)案的修訂和演練等多項措施，可通過使用安全審計系統(tǒng)、網(wǎng)絡(luò)運維管理系統(tǒng)，結(jié)合專業(yè)的技術(shù)支持服務(wù)和應(yīng)急響應(yīng)服務(wù)等來實現(xiàn)。

2.1.4 “恢復(fù)”環(huán)節(jié)

在恢復(fù)環(huán)節(jié)，需要針對系統(tǒng)和數(shù)據(jù)進(jìn)行備份和恢復(fù)的冗余設(shè)計，以保證信息系統(tǒng)可以及時恢復(fù)運行。

2.2 利用管理系統(tǒng)性方法進(jìn)行安全情況評估

利用P2DR2模型構(gòu)建出適當(dāng)?shù)男畔踩芾砜蚣芎?，可利用管理系統(tǒng)性方法（ISMS）進(jìn)行安全情況評估。評估工作以風(fēng)險信息為基礎(chǔ)，將信息安全工作分為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)等若干階段。

在評估工作中，主要的工作原則包括:

（1）要覆蓋信息安全工作的各個環(huán)節(jié)，并制定相應(yīng)的規(guī)章制度和管理框架。同時，建立相應(yīng)的風(fēng)險評價機(jī)制，提高信息安全管理的主動性。

（2）科學(xué)分析信息安全管理框架中的各項內(nèi)容，綜合、全面地考慮各環(huán)節(jié)可能出現(xiàn)的問題。

（3）歸檔管理各類日志文件和流程化信息。

（4）信息安全的各類信息得到有效反饋。

2.3 使用PDCA方法建立信息安全管理體系

在完成了信息安全管理框架的建立和安全情況評估工作后，可以按照“規(guī)劃（Plan）-實施（Do）-檢查（Check）-改進(jìn)（Act）”的PDCA模型，構(gòu)建信息安全管理體系。

每個階段的工作內(nèi)容為:

2.3.1 P（策劃）

● 確定信息安全體系的范圍和方針

信息安全管理體系應(yīng)覆蓋信息安全工作中的各個階段，明確界定其作用范圍，制定與信息安全環(huán)境相關(guān)的安全方針，對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。

● 定義進(jìn)行風(fēng)險評估的方法

在進(jìn)行風(fēng)險評估的過程中，要選擇適當(dāng)?shù)脑u估方法，并確定等級準(zhǔn)則。一方面，制定風(fēng)險評估文件，解釋所采用的方法、技術(shù)和工具，以及應(yīng)用的業(yè)務(wù)環(huán)境。另一方面，對作用范圍內(nèi)的各類資產(chǎn)和薄弱點進(jìn)行準(zhǔn)確估算，評估出現(xiàn)安全事故時可能造成的影響。

● 對風(fēng)險進(jìn)行識別，評估和控制

這一階段的主要任務(wù)是對各類資產(chǎn)的薄弱性、保密性、完整性和可用性缺失時，所造成的影響進(jìn)行等級劃分，從而正確評估風(fēng)險所造成的損失。同時，還要選擇控制風(fēng)險的方式，以實現(xiàn)風(fēng)險的控制目標(biāo)，預(yù)防、制止和限制風(fēng)險，實現(xiàn)恢復(fù)控制。

● 統(tǒng)一的管理規(guī)劃

在信息安全管理體系建立的過程中，需要有統(tǒng)一的規(guī)劃和明確的任務(wù)目標(biāo)，并能得到相應(yīng)的管理授權(quán)，以便于體系建設(shè)工作的正常進(jìn)行。

2.3.2 D（實施）

● 信息安全管理體系的建立

在這一過程中，主要完成的是進(jìn)行管理流程、管理規(guī)章，管理策劃方面的具體運作。通過對風(fēng)險評估、風(fēng)險識別和風(fēng)險控制的具體分析，分配適當(dāng)?shù)馁Y源（人員，時間和資金），有針對性地對各類風(fēng)險制定相應(yīng)的響應(yīng)措施。

● 進(jìn)行管理體系的推廣和應(yīng)用

在信息安全管理體系的推廣和應(yīng)用過程中，應(yīng)落實各項規(guī)章制度，加強(qiáng)對相關(guān)人員的安全培訓(xùn)，了解各崗位所處的位置和擔(dān)負(fù)的責(zé)任。通過不斷加強(qiáng)安全意識，保證各方均能按照要求完成任務(wù)。

2.3.3 C（檢查）

檢查階段，是PDCA循環(huán)過程中的關(guān)鍵階段，是分析運行效果、尋求改進(jìn)機(jī)會的階段。其目的是及時糾正實施過程中不合理、不充分或難以推進(jìn)的措施。具體內(nèi)容包括:

檢查實施過程中的錯誤；能否使各項信息安全管理工作達(dá)到預(yù)期的結(jié)果；接受第三方的安全檢查。

評估信息安全管理體系的有效性；收集各類相關(guān)的建議和反饋，定期對管理體系進(jìn)行有效性評審。

確定可風(fēng)險影響范圍和程度，進(jìn)行風(fēng)險控制。

對照相關(guān)的信息安全管理體系標(biāo)準(zhǔn)，評估技術(shù)和管理工作是否適當(dāng)、是否符合標(biāo)準(zhǔn)以及是否按照預(yù)期的目的進(jìn)行工作。根據(jù)需要對內(nèi)容進(jìn)行修訂。

2.3.4 A（改進(jìn)）

在改進(jìn)階段須對準(zhǔn)備實施的方案給出結(jié)論，判斷信息安全管理體系的可用性和持續(xù)性，并對管理體系的推廣和頒布做出計劃。

2.4 建立信息安全管理體系時需注意的其他問題

2.4.1 補(bǔ)充PDCA中對信息安全管理體系的改進(jìn)環(huán)節(jié)

縱觀整個通過動態(tài)安全模型建立信息安全管理體系的技術(shù)和管理等各方面內(nèi)容，雖然在PDCA方法中的P（策劃），D（實施），C（檢查）環(huán)節(jié)均得以較好的進(jìn)行。但在A（改進(jìn)）環(huán)節(jié)可能缺乏一定的手段和具體措施，不利于對信息安全管理體系的糾正和改進(jìn)。

因此，在建立新型安全管理體系的改進(jìn)環(huán)節(jié)，還需要與實際的運行部門充分進(jìn)行交流，注意發(fā)現(xiàn)問題，提出解決問題的方法和思路，為體系的改進(jìn)提供基礎(chǔ)。

此外，還應(yīng)通過試點推廣、調(diào)查反饋以及數(shù)據(jù)統(tǒng)計等各種手段，獲得管理體系實際運行效果的資料，評估其在實際工作中的作用。針對實際效率不高，與業(yè)務(wù)工作不相符合以致難以推進(jìn)的內(nèi)容，予以修訂或去除。

2.4.2 建立多元化的信息安全聯(lián)動機(jī)制

在信息安全管理體系的建設(shè)和推進(jìn)過程中，還存在多個層面、多個系統(tǒng)間的多元化的管理協(xié)同機(jī)制。為此，要以信息安全管理體系為基礎(chǔ)，建立多元化的安全聯(lián)動機(jī)制。主要包括監(jiān)測通報機(jī)制、指揮協(xié)調(diào)機(jī)制、信息反饋機(jī)制、應(yīng)急處理機(jī)制等。針對各類型的突發(fā)事件，還需建立詳細(xì)可行的安全事件處理流程，按照統(tǒng)一指揮、統(tǒng)一協(xié)調(diào)、統(tǒng)一接口、統(tǒng)一匯報、統(tǒng)一反饋的原則進(jìn)行處理，并定期進(jìn)行安全應(yīng)急演練。

2.4.3 注重專職安全人員培養(yǎng)機(jī)制

在進(jìn)行信息安全管理體系建設(shè)的同時，還應(yīng)大力加強(qiáng)對專職安全人員的培養(yǎng)機(jī)制建設(shè)。

加強(qiáng)對信息安全人才的培養(yǎng)。除一線的技術(shù)人員要掌握各種安全攻防的技術(shù)，具備檢測和防范攻擊、保護(hù)和恢復(fù)系統(tǒng)的能力外，安全管理人員還需具備系統(tǒng)安全規(guī)劃、風(fēng)險分析、應(yīng)急響應(yīng)、安全審計等能力，從機(jī)構(gòu)層面制定信息安全規(guī)劃，并組織和指揮實施。

2.4.4 建立評價信息安全管理體系的方法

如何對已建立的信息安全管理體系進(jìn)行績效衡量，評價體系在實際載體中的運行效果，是在信息安全管理體系的建設(shè)和推廣過程中需要考慮的問題。

（1）能否滿足組織的信息安全管理需求

建立信息安全管理體系的目的是要理順組織內(nèi)的安全管理機(jī)制，有效應(yīng)對各類突發(fā)事件，提高信息安全的管理水平，增強(qiáng)對各類信息安全風(fēng)險的管控能力。因此，可對照信息安全工作中的實際需求，逐條進(jìn)行梳理，并在工作中進(jìn)行修正，以滿足管理工作的現(xiàn)實需要。

（2）采用綜合評價的衡量指標(biāo)

由于信息安全管理體系的建立、推廣和使用中不會產(chǎn)生效益，因此，可以根據(jù)組織本身的特點，對信息安全管理體系中的各個環(huán)節(jié)采用綜合評價的方法，客觀地對信息安全管理體系的效果進(jìn)行評價。例如，收集取各部門、管理人員、技術(shù)人員和使用人員的意見；對比季度或年度的信息安全管理體系運行情況和統(tǒng)計數(shù)據(jù)；在運行體系后，安全工作的效率和人員工作量的對比情況等。

（3）建立人員考核和評價體系

人員安全素養(yǎng)的提高與信息安全管理能力、核心防護(hù)能力、預(yù)防風(fēng)險能力密切相關(guān)。因此，可定期組織對人員的素質(zhì)進(jìn)行檢查和考核，綜合評價安全技術(shù)的運用、管理流程的掌控以及協(xié)調(diào)工作的處理等內(nèi)容，并根據(jù)考核評價情況對問題進(jìn)行糾正，從而增強(qiáng)組織的運行效率，提高各類人員的職業(yè)技能，推動組織的良性發(fā)展。

[1]謝宗曉.信息安全管理體系實施指南[M].北京:中國標(biāo)準(zhǔn)出版社.2012.

[2]張澤虹，趙冬梅.信息安全管理與風(fēng)險評估[M].北京:電子工業(yè)出版社.2010.

[3]王禎學(xué)，周安民，方勇等.信息系統(tǒng)安全風(fēng)險估計與控制理論[M].北京:科學(xué)出版社.2011.

[4]劉曉敏，許磊.信息安全管理體系的定義、功能和構(gòu)建方法分析[J].北京:信息通信.2013（1）.