安全生产_信息系统安全集成确定安全需求与目标概述

1 信息系统安全集成 确定安全需求与目标 2 本章摘要 本章从组织IT战略出发 根据业务特征 法律法规及合同要求 在充分考虑风险的基础上 确定组织的安全需求和目标 形成各方认可的安全需求文件 摘要 主要内容 一 概述 二 组织IT战略与安全需求 三 组织业务与安全需求 四 符合性的安全需求 五 基于风险的安全要求 六 确定组织的安全需求 七 确定信息安全目标 4 一 概述 1 组织与信息安全需求 从广义上说 组织是指由诸多要素按照一定方式相互联系起来的系统 从狭义上说 组织就是指人们为实现一定的目标 互相协作结合而成的集体或团体 如党团组织 工会组织 企业 军事组织等等 狭义的组织专门指人群而言 运用于社会管理之中 组织概述 5 一 概述 1 组织与信息安全需求 现代社会组织定义在现代社会生活中 组织是人们按照一定的目的 任务和形式编制起来的社会集团 组织是体现一定社会关系 具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体 组织概述 6 一 概述 1 组织与信息安全需求 组织安全需求 组织需要保护什么 信息安全的需求 是由于本身或类似组织经历了信息损失之后才有的需求 这些需求包括了从组织IT层面出发贯穿整个组织业务并符合法律法规 安全监管要求 合同业务要求等 提出复合组织的基于风险管理的安全需求 组织应该将信息安全集成到业务运作的每一个层面 7 一 概述 1 组织与信息安全需求 组织安全需求分析的层次 需求分析的层次 目标性需求 定义了整个系统需要达到的目标 功能性需求 定义了整个系统必须完成的任务 操作性需求 定义了完成每个任务的具体的人机交互 8 一 概述 1 组织与信息安全需求 组织安全需求挖掘的方法 挖掘需求的方法 分析特定客户的业务流程和模型 与特定客户进行讨论与交流 或联合成立需求组 包括 需求讨论会 与专家或代表讨论 通过调查获取需求 常见需求调查方式有 与用户交谈 向用户提问题等 9 一 概述 1 组织与信息安全需求 组织安全需求分析的方法 风险评估法 安全需求分析的方法 资产清册风险评估确定风险形成需求 10 一 概述 2 组织安全风险 安全威胁 引入相关数据图表介绍 组织正在遭受越来越多的安全威胁和攻击破坏 由于组织越来越依靠信息资源 安全事件不断增长 而安全事件造成的损失以及用于事件处理的财力 人力以及IT资源的投入需要不断增长 11 一 概述 2 组织安全风险 风险是指一个事件产生我们所不希望的后果可能性 组织的风险是指组织未来发生损失的不确定性 这些安全风险主要包括了业务的连续性 业务流程安全 法律安全要求 合同安全 隐私保护要求等 组织的风险 12 一 概述 3 组织信息安全目标 根据国际信息安全管理标准的描述 信息安全的目标是 通过防止和减小安全事故的影响 保证业务连续性 使业务损失最小化 需要进行IT规划和费用调整以保证适当的安全投入 部署有效的工具 来解决紧迫的安全问题 实现组织的安全目标 信息安全的目标 13 二 组织IT战略与安全需求 1 组织IT战略 组织战略 组织战略是指组织对有关全局性 长远性 纲领性目标的谋划和决策 14 二 组织IT战略与安全需求 1 组织IT战略 组织战略 组织战略是表明组织如何达到目标 完成使命的整体谋划 是提出详细行动计划的起点 但它又凌驾于任何特定计划的各种细节之上 战略反映了管理者对于行动 环境和业绩之间关键联系的理解 用以确保已确定的使命 愿景 价值观的实现 15 二 组织IT战略与安全需求 1 组织IT战略 组织IT战略 IT战略即信息技术战略 ITStrategy 是组织经营战略的有机组成部分 和财务战略 人力资源战略 运作战略等一样 是公司的职能战略 IT战是关于企业信息技术职能的目标及其实现的总体谋划 对于大的组织公司而言 子公司或大的业务单元也会有其相对独立的信息技术战略 16 二 组织IT战略与安全需求 1 组织IT战略 组织IT战略的部分组成 使命 Mission 阐述信息技术存在的理由 目的以及在企业中的作用 远景目标 Vision 信息技术的发展方向和结果 中长期目标 MediumtoLong termObjectives 远景目标的具体化 即企业未来2 3年信息技术发展的具体目标 17 二 组织IT战略与安全需求 1 组织IT战略 组织IT战略的要点 战略要点 是实现上述中长期目标的途径或路线 组织IT战略的规划主要围绕信息技术内涵的四个方面展开 硬件与组建网络与通信应用与数据组织与人员 18 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 组织信息资产 要进行信息安全建设 首先明确安全保护的对象 组织信息资产 19 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 组织信息资产 明确安全保护的对象 即明确组织信息资产 分析业务流程识别关键的业务资产确定业务资产的安全所有人和责任人明确安全保护责任 20 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 组织信息资产 建立组织信息资产目录并进行维护 帮助组织实施有效的信息资产安全保护 实现业务连续性和灾难恢复 在信息资产目录中应该定义资产的安全等级和安全责任人 21 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 组织信息资产 在以业务为核心的组织内部 信息资产包括 业务应用软件IT基础设施 硬件 组件 网络通讯等 相关的数据和信息关键业务流程和人员其他信息资产 22 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 安全风险的评估 安全风险评估的目的在于定义核心信息资产 并且分析应用环境中可能存在的风险 安全风险评估是定义安全需求 选择相应对策以及设计安全系统的基础 23 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 安全风险的评估 简易风险评估模型 从风险性质上 风险 威胁 弱点 影响考虑风险的影线 风险 威胁 弱点 影响风险三个要素 威胁 事件或行为 一般来自系统外部 可能在某些地方会影响固有的弱点 造成影响 弱点 系统内部考虑之中的弱点 可能在某些地方受到威胁所利用 影响 短期与长期组织影响 威胁碰巧利用弱点 24 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 安全风险的评估 通过安全风险评估 识别关键业务资产的安全威胁和风险 了解企业的安全现状和风险水平 分析安全需求和安全改进方向 安全需求必须基于风险评估 并且应该在设计阶段开始前确定 25 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 基于战略的信息安全需求的确定 组织需要制定与业务战略和IT战略一致的安全战略 明确企业的安全建设目标和安全建设原则 通过风险评估了解了组织的安全现状和风险水平 企业明确了各个层次的安全需求和改进方向 信息安全战略是组织在一定时期内的一整套安全决策 这一决策决定了企业的安全策略和制度 流程 行为和技术的建设 26 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 基于战略的信息安全需求的确定 制定组织信息安全战略的目标 支持组织战略 平衡的信息安全风险 谨慎而有效的信息安全投资 信息安全建设能够与业务发展和IT能力建设同步 促使信息安全成为业务发展的有力驱动 27 二 组织IT战略与安全需求 2 基于战略的组织信息安全需求 基于战略的信息安全需求的确定 基于战略的信息安全需求的内容 范围需求安全的目标需求 可用性 完整性 保密性 不可地耐性等要求 安全的组织需求安全的资源需求安全的管理流程需求 突发事件与持续改进 后续展开这些需求 28 三 组织业务与安全需求 1 组织业务描述模型 组织的分类方法有多种 这里讲的组织按组织的目标分类 可以把组织分为 互益组织 如工会 俱乐部 政党等 工商组织 如工厂 商店 银行等 服务组织 如医院 学校 社会机构等 公益组织 如政府机构 研究机构 消防队等 组织的分类 29 三 组织业务与安全需求 1 组织业务描述模型 组织的业务描述模型 业务模型是描述业务用例实现的对象模型 它是对业务角色和业务实体之间如何联系和协作以执行业务的一种抽象 30 三 组织业务与安全需求 1 组织业务描述模型 组织的业务描述模型 业务流程描述模型刻画以业务表单为中心的应用系统业务流程 解决其业务流程建模中的问题 包括 各类约束的严格描述 权限表示 流程关系 流程推进过程以及业务对象被调度和执行的全过程描述 采用业务流程描述模型的业务系统更容易扩展和维护 能较好地满足用户的需求 31 三 组织业务与安全需求 1 组织业务描述模型 业务描述模型例子 银行业务模型 业务事件 UML信号事件 指定的激励表格或文档 和过程 UML用例 32 三 组织业务与安全需求 1 组织业务描述模型 业务描述模型例子 银行业务模型 Customer 客户 Teller 出纳员 withdraw 取款 account 账户 BankDB 银行数据库 33 三 组织业务与安全需求 2 基于业务的组织安全需求 业务信息资产是企业信息安全保护的核心目标 因此要进行信息安全建设 首先明确安全保护的对象 组织需要通过分析业务流程 识别关键的业务资产 确定业务资产的安全所有人和认责人 明确安全保护责任 业务信息资产安全是组织信息安全保护的核心 34 三 组织业务与安全需求 2 基于业务的组织安全需求 组织业务信息资产保护内容 在以业务为核心的组织内部 信息资产包括业务硬件与组件 系统与网络通信 应用软件 相关的数据和信息 还包括相关的关键业务流程和人员 35 三 组织业务与安全需求 2 基于业务的组织安全需求 基于业务的组织安全需求 对业务相关信息资产清册 包括硬件与组件 系统与网络通信 应用软件 相关的数据和信息 关键业务流程和人员 建立组织信息资产目录并进行维护 可以帮助企业实施有效的信息资产安全保护 业务连续性和灾难恢复 在信息资产目录中应该定义资产的安全等级和安全责任人 36 三 组织业务与安全需求 2 基于业务的组织安全需求 基于业务的组织安全需求 通过安全风险评估 识别关键业务信息资产的安全威胁和风险 将安全需求列表并排出优先级 确定基于业务的组织安全需求和安全改进方向 37 四 符合性的安全需求 1 符合性概述 符合性需求的意义 为了避免任何违反法律 法令 法定的或者合同的义务 使信息系统安全集成和运行置于法律 法规或者合同的约定的要求之下 以避免或减少安全风险 38 四 符合性的安全需求 1 符合性概述 符合性是指符合现行法规 规章 制度 技术规范等 符合性要求组织所有行为必须合法 符合相关的规章制度及规则 就是不但要遵守法律 而且也要符合组织内部 行业等的规章制度 符合性与遵守组织适用的法律和法规有关 它们依赖于外部因素 如环境法规 在某些方面对于整个组织 或整个行业是类似的 什么是符合性 39 四 符合性的安全需求 2 法律法规要求 法律法规的识别 识别收集与安全集成有关的法律法规并对适应性进行评价 确定其适用范围和具体适应条款 形成适应的法律法规清单 40 四 符合性的安全需求 2 法律法规要求 法律法规的识别 评估法律法规复合性的需要定期评估 保持适应的法律 法规的有效最新版本 法律法规复合性的需要定期评价 保持适应的法律 法规的符合性 41 四 符合性的安全需求 2 法律法规要求 知识产权保护需求 严格执行国家有关知识产权方面的法律法规 保证使用合法的正版地软件 这些需要 确定合法获得软件的途径合法 审查软件资产清单 确保使用的软件已经被授权 列出需要的软件或未被授权软件清单 确保用户数不超出允许的上限 严禁员工私自安装任何软件 42 四 符合性的安全需求 2 法律法规要求 记录的保护需求 应按照法律法规要求和组织规定 明确重要记录的保存期限并适当保护 防止丢失 损坏和伪造 处理与个人数据与信息应按照国家法律法规的规定和相关合同约束 对个人信息进行妥善管理与保护 防止丢失或泄漏个人信息 将需要保护记录和个数据与人信息列出清单 并明确保护要求 43 四 符合性的安全需求 3 安全监管要求 安全监管是为预防和遏制组织内信息系统缺陷 或用户滥权 或管理不善导致信息安全事件的发生 并保证及时处理由此引起的各类安全事件 减轻或消除信息安全事件造成的经济损失或信誉损失 确保组织业务的连续性 44 四 符合性的安全需求 3 安全监管要求 安全监管的要求主要分为 国家要求 行业要求 组织内部 其他监管要求 45 四 符合性的安全需求 3 安全监管要求 信息安全等级保护管理的要求 什么是信息安全等级保护信息安全等级保护是指国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 46 四 符合性的安全需求 3 安全监管要求 信息安全等级保护管理的要求 组织对信息和信息系统分等级进行保护的需求 信息安全等级保护管理要求信息和信息系统分等级进行保护 按组织的利益 社会公众利益 对国家安全的影响一共分为五级 第一级是最低的 第五级是最高 确定组织是否强制或自愿纳入信息安全等级保护管理 明确纳入分级保护的级别 47 四 符合性的安全需求 3 安全监管要求 信息安全等级保护管理的要求 组织对信息系统安全专用产品分等级的需求 信息安全等级保护管理要求对信息系统安全专用产品分等级进行管理 根据可控性 可靠性 安全性和可监督性这四个属性确定信息系统使用的安全产品等级 各个单位使用的安全产品应该是分等级的 定了三级的系统不能使用二级以下的安全产品 确定组织纳入分级保护的级别 明确使用信息安全产品的等级需求 48 四 符合性的安全需求 3 安全监管要求 信息安全等级保护管理的要求 组织对所发生的信息安全事件分等级进行响应和处置的需求 信息安全等级保护管理要求 对所发生的信息安全事件分等级进行响应和处置 对不同的信息安全事件 由监管部门牵头组织全社会的应急响应和单位的应急响应相结合 最大限度的减轻信息安全事件造成的损失 确定组织纳入分级保护的级别 明确信息安全事件响应的等级需求 49 四 符合性的安全需求 3 安全监管要求 组织内部信息安全监管要求 监管范围与内容 定义监管范围 明确定义组织物理边界 信息系统部署的物理边界 应用运行的区域 明确监管设备 包括防火墙 入侵检测系统 鉴权系统 服务器 路由器 交换机等 50 四 符合性的安全需求 3 安全监管要求 组织内部信息安全监管要求 监管范围与内容 操作系统与应用系统日志 包括操作系统 数据库管理系统 应用系统及设备运行域操作日志的监管要求 网站内容监管 网站内容发布的监控与审计要求 非法 敏感类信息以及克访问性的适时监管要求 51 四 符合性的安全需求 3 安全监管要求 组织内部信息安全监管要求 监管职责 内部监管机构的指定与监管责任的定义 如谁分管 哪个部门承担监管责任 对监管对象 安全事件处理 上下协调等责任的定义 监管人员的监管职责的明确 日常监管要求 问题处理方式与报告流程 事件分类及事件处理流程定义 52 四 符合性的安全需求 4 合同业务要求 合同受到法律保护 合同是当事人之间设立 变更 终止民事关系的协议 依法成立的合同 受法律保护 组织明确双方合同协议中对信息安全的要求 组织在合同业务中对信息安全的要求 53 四 符合性的安全需求 4 合同业务要求 将双方合同协议中对信息安全的要求列出作为安全集成中的需求管理 组织也需要明确提出第三方机构及人员的信息安全要求 涉及第三方接触本组织的信息处理设备应当基于正式的合同提出所有的基于信息安全的要求 以便确保符合组织的安全政策和标准 组织在合同业务中对信息安全的要求 54 五 基于风险的安全要求 1 风险管理综述 风险的定义 风险大致有两种定义 一种定义强调了风险表现为不确定性 而另一种定义则强调风险表现为损失的不确定性 学术界对风险的内涵还没有统一的定义 由于对风险的理解和认识程度不同 或对风险的研究的角度不同 不同的学者对风险概念有着不同的解释 55 五 基于风险的安全要求 1 风险管理综述 信息安全风险 在信息安全领域来讲我们这样来定义风险 风险就是发生损失事件的概率 也可以说是损失发生的不确定性 即信息资产遭受破坏或被非正常利用给组织带来损失的可能性 56 五 基于风险的安全要求 1 风险管理综述 风险管理 风险管理是指通过风险识别 风险评估与分析 风险处置 风险监控等一系列活动来消除或减少风险的管理过程 风险识别 风险评估与分析 风险处置 风险监控 57 五 基于风险的安全要求 1 风险管理综述 风险管理 风险管理必须识别 分析风险 风险识别是确定何种风险可能会对组织产生影响 最重要的是量化不确定性的程度和每个风险可能造成损失的程度 风险管理要着眼于风险控制 组织通常采用积极的措施来控制风险 通过降低其损失发生的概率 缩小其损失程度来达到控制目的 风险管理要学会规避风险 在既定目标不变的情况下 改变方案的实施路径 从根本上消除特定的风险因素 58 五 基于风险的安全要求 1 风险管理综述 风险评估 对信息和信息处理设施面临的威胁 受到的影响 存在的弱点以及威胁发生的可能性的评估 风险评估是确定风险优先级的方法 大多数风险评估都基于定量风险评估和定性风险评估这两种方法或这两种方法的组合 59 五 基于风险的安全要求 2 风险与安全需求 组织需要根据对信息资产风险评估的结果 结合业务需求来确定组织安全需求 安全需求中不仅包括具体信息资产对安全的要求 还应包括软件功能方面的安全需求 以及物理安全 管理流程 系统管理等非软件方面的需求 风险评估与安全需求 60 五 基于风险的安全要求 2 风险与安全需求 组织根据应用以及关键数据的重要程度 确定所需要采用的安全机制 通过安全风险评估明确存在风险的关键的业务资产和业务流程 识别其安全需求和安全现状 风险评估与安全需求 61 五 基于风险的安全要求 2 风险与安全需求 安全风险的可接受水平以及安全需求的确认 需要业务人员和管理层来确认 应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑 对安全建设的方向和目标进行决策 风险评估与安全需求 62 六 确定组织的安全需求 1 安全需求的协商 协商 协商是利益关系者共同商量以便取得一致意见 63 六 确定组织的安全需求 1 安全需求的协商 安全需求的协商 对于信息安全的需求 在符合国家法律 行业规定 以及上级主管部门 组织内部不同机构 以及客户等的需求重点不一样 同时组织建设信息系统 保证信息安全还受投资限制 因此需要对信息安全的需求进行商量 以最终求得各方一致认同的适合组织建设的安全需求 需求平衡 投资平衡 64 六 确定组织的安全需求 1 安全需求的协商 整理需求 有优先顺序的安全需求清单 业务的组织安全需求 符合性的安全需求 合同业务要求 风险的安全要求 65 六 确定组织的安全需求 1 安全需求的协商 利益关系者间沟通 沟通是为了一个设定的目标 把信息 思想和情感在个人或群体间传递 并且达成共同协议的过程 信息安全需求的沟通 是将将组织业务的组织安全需求 符合性的安全需求 合同业务要求 以及