企業(yè)通用信息安全
一、企業(yè)信息安全的需求
目標:構建信息安全體系,支撐企業(yè)發(fā)展戰(zhàn)略隨著國內大部分企業(yè)信息化程度的提升,企業(yè)的信息資產與業(yè)務運營所面臨的安全威脅也在日益加劇。雖然企業(yè)對于安全防護的投入逐年遞增,但在面對愈來愈頻繁和復雜的病毒 破壞與黑客攻擊等安全問題時,仍停留在兵來將擋的被動應付階段。安全需求來自于業(yè)務本身,而非 IT 技術驅動,安全問題貫穿于整個企業(yè)的運作。
企業(yè)信息安全概述
l商業(yè)機密信息安全
企業(yè)的商業(yè)秘密的泄露會使企業(yè)喪失競爭優(yōu)勢,失去市場;企業(yè)必須防止商業(yè)信息泄露或篡改的現象發(fā)生。
l保障業(yè)務持續(xù)運轉
防止企業(yè)經營或商務活動的中斷,保護關鍵商務過程免受重大故障或災難的影響,建立和管理安全強壯的信息系統必不可少。
l新技術帶來的安全隱患
虛擬化和云計算增加基礎架構復雜性,新興技術的應用導致安全違規(guī)和安全攻擊事件的大量增加,數據量每隔 18 個月翻一番,圍繞著信息上下文的存儲、安全和發(fā)現技術變得越來越重要。信息安全問題越來越凸現出來 使得企業(yè)規(guī)避信息安全風險的需求日趨緊迫。
l保護企業(yè)客戶信息和內部員工信息
企業(yè)的內部組織信息,員工信息,以及企業(yè)的客戶信息,商務伙伴的資料與數據等,是企業(yè)賴以生存的基礎,都是需要保護的重要資產。
l完善安全管理策略,降低企業(yè)風險
為了實現有效的安全策略,構建企業(yè)安全平臺,企業(yè)必須建立一個基于風險分析,策略定義,方案實施,管理和審計的循環(huán)往復的流程周期。
二、企業(yè)信息安全的歷程
l通信安全
在早期,通信技術還不發(fā)達,電腦只是零散的位于不同的地點,信息系統的安全僅限于保證電腦的物理安全以及通過密碼(主要是序列密碼)解決通信安全保密問題。如果一臺電腦上的數據需要讓別人讀取,而需要數據的人卻在異地,只有將數據拷貝在介質上,派專人秘密的送到目的地,拷貝進電腦再讀取出數據。這個階段人們強調的信息系統安全性是指信息的保密性,對安全理論和技術的研究也僅限于密碼學。
l信息安全
60年代,對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段,主要保證動態(tài)信息在傳輸過程中不被竊取,即使竊取了也不能讀出正確的信息;還要保證數據在傳輸過程中不被篡改,讓讀取信息的人能夠看到正確無誤的信息。
l信息保障
90年代,信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標。信息安全也轉化為從整體角度考慮其體系建設的信息保障階段。
l面向服務的安全保障
現在,隨著“軟件定義”的出現,網絡架構和應用架構都出現了不同程度的發(fā)展,安全保障不僅是組件間的環(huán)節(jié)控制,對組件本身的安全同樣需要。對單個業(yè)務的安全保障需求演變?yōu)閷Χ鄠€業(yè)務交叉系統的綜合安全需求,IT基礎設施與業(yè)務之間的耦合層度逐漸降低,安全也分解為若干單元,安全不再面對業(yè)務本身,而是面對使用業(yè)務的客戶,具體地說就是用戶在使用IT平臺承載業(yè)務的時候,涉及該業(yè)務安全保障,由此,安全保障也從面向業(yè)務發(fā)展到面向服務。
三、企業(yè)信息安全體系架構解決方案
企業(yè)信息安全框架從上到下由安全治理、風險管理及合規(guī)層,安全運維層和基礎安全服務和架構層三個層次構成。安全治理、風險和合規(guī)作為ESF 架構頂層的核心內容,是第二層安全運維的服務對象,同時,它們也是企業(yè)信息安全策略制定的基礎和依據,此外,這一層也為最下層,基礎安全服務和架構層中的各個子系統提供選擇和建設的依據。
l基礎安全服務和架構層
基礎安全服務和架構定義了企業(yè)信息安全框架中的五個核心的基礎技術架構和相關服務:物理安全、基礎架構安全、身份/訪問安全、數據安全和應用安全?;A安全服務和架構是安全運維和管理的對象,其功能由各自的子系統提供保證。
l安全運維
在安全策略的指導下,安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。
l安全治理、風險管理和合規(guī)
安全治理和風險管理及合規(guī)的內容主要包含企業(yè)信息安全建設的戰(zhàn)略和治理框架、風險管理框架以及合規(guī)和策略遵從。安全治理、風險管理合規(guī)是企業(yè)信息安全框架的最頂層,是業(yè)務驅動安全的出發(fā)點。通過對企業(yè)業(yè)務和運營風險的評估,確定其戰(zhàn)略和治理框架、風險管理框架,定義合規(guī)和策略遵從,確立信息安全文檔管理體系。
四、總結
企業(yè)信息安全框架參考了眾多企業(yè)所積累的經驗,充分吸取行業(yè)中的最佳實踐。在具體運用中可結合信息安全相關方法論、模型及標準,將所有的內容與要求基于企業(yè)的業(yè)務需求和的現狀轉化到信息安全設計與規(guī)劃的具體項目中分別予以實現并提供了可參照執(zhí)行的演進思路。從企業(yè)需求出發(fā),參照企業(yè)信息安全管理框架,通過評估和風險分析等方法,定義企業(yè)安全需求,根據企業(yè)的安全需求定義企業(yè)信息安全建設的內容和方向。
l可審查
對出現的網絡安全問題提供調查的依據和手段。
l可控性
可以控制授權范圍內的信息流向及行為方式。
l完整性
只有得到允許的人才能修改數據,并且能夠判別出數據是否已被篡改。
l機密性
確保信息不暴露給未授權的實體或進程。
l可用性
得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。