在席卷全球的信息化浪潮中,我国的信息化建设也获得了较大的进步,从“政府上网办公―电子政务”到“企业上网交易―电子商务”,信息网络已经渗透到各行各业和人民的生活,正逐步改变着人们的生产和生活方式,推动着社会进步和体制、机制的不断改革。而信息和网络技术的高速发展,呈现出了诸多安全问题,如电脑“黑客”的入侵、信息的泄密、数据的窃听、网络病毒的传播等。特别是2001年美国“9.11”事件的发生,意味着信息安全问题面临着前所未有的挑战,世界各国也对信息安全愈发重视。
目前,我国的企事业单位对信息安全的认识逐步深入,在信息化建设的同时也在考虑安全问题,并加大了对信息安全的投入。信息安全标准是企事业单位安全行为的指南,它可以指导企事业单位制定合理的安全策略、进行科学的安全评估、选择更好的安全产品、衡量并改善安全工程的实施、进行规范化安全管理。然而,人们对信息安全标准的认识还不够,还没有普遍采用信息安全标准来指导信息安全的建设。我认为企事业单位的信息安全建设要在安全策略、安全评估、安全产品选型、安全工程实施、安全管理等方面标准化。
1.安全策略的标准化
安全策略是企事业单位信息安全工作的依据,是所有安全行为的准则。信息安全不是某个安全技术措施,而是围绕安全策略的具体需求有序地组织在一起,架构一个动态的安全防范体系。如果说信息安全的目标是一座大厦的话,那么相应的安全策略就是施工的蓝图,它可使网络及应用系统的建设和管理过程中的安全工作避免盲目性。
在安全策略的制定及实施过程中,可以参考的主要信息安全标准为BS7799/ISO17799。该标准是信息安全管理标准,包含安全策略在内的10个控制方面。BS7799/ISO17799主要提供了有效地实施信息系统安全管理的建议,并介绍了安全管理的方法和过程。企事业单位可以参照该标准制定出自己的安全策略和实施步骤。
2.安全评估的标准化
安全评估是对企事业单位的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、业务系统的配置、防火墙的策略配置等进行全面的安全分析,并提出安全风险分析报告和改进建议书。通过对信息系统的安全评估,企事业单位可以了解目前信息系统的安全状况以及系统中存在的各种安全风险,并以此为依据有针对性地制定安全解决方案,对整个业务系统的安全进行统一的规划和建设,并根据安全评估的结果指导下一步的信息化建设。
在安全评估中,可以参考的主要信息安全标准为ISO13335。该标准提出了以风险为核心的安全模型:企事业单位的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企事业单位资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响);风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企事业单位信息系统安全风险的分析,就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。该安全模型阐述了安全评估的思路,对企事业单位的安全评估工作具有指导意义。
3.安全产品选型的标准化
遵守国家标准、行业标准以及相关的国际安全标准,是构建企事业单位信息系统安全的保障和基础。安全产品选型可从两方面进行考虑:一是安全等级的考虑。使用不同等级的安全产品构建安全体系,在不同的网络环境使用与之相应等级的安全产品,这样可以有效地减少系统投资;二是安全产品的互操作性考虑。选择互操作性强的安全产品,能与其它同类产品互联互通,并为今后实施统一的安全监控打下基础。
安全产品安全等级的评价可以参考ISO15408/CC标准。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。
安全产品的互操作根据技术产品的不同所参考的标准也不同。如:对称加密标准有DES、3DES、AES等;非对称加密标准有RSA、ECC等;传输层加密标准有SSL、TLS等;安全电子邮件标准有S-MIME等;PKI(CA)的标准有证书格式标准(X.509 V3、V4等)、证书策略协议(RFC2527等)、证书操作协议(RFC2559、RFC2560、RFC2585、RFC2587、RFC2875等)、证书管理协议(RFC2510、RFC2511、RFC2797等)、时间戳协议(RFC3161等)。
4.安全工程实施的标准化
企事业单位在安全工程的实施过程中,可以参考的主要安全标准为系统安全工程能力成熟模型(SSE-CMM)。该标准可以用于确认一个安全工程组织中某安全工程过程的成熟度,它确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程应用情况的方法。
5.安全管理的标准化
“三分技术,七分管理”充分说明了管理在信息安全中的作用。安全管理一般包括组织保证、管理制度以及安全培训等。组织保证就是要形成安全工程的决策层、管理层、执行层等机构,确保人员的配置,安全责任制的落实;管理制度就是要制定或完善各项安全管理制度如人员管理、机房管理、文档管理、操作管理、开发与维护管理、应急事件管理等;安全培训就是要对所有人员进行信息安全基本知识、信息系统安全标准以及相关法律法规、实际使用安全产品的工作原理、安装、使用、维护和故障处理等进行培训,以强化他们的安全意识、提高他们的技术水平和管理水平。安全管理是企事业单位信息安全的重要保障,可以保障安全技术措施的实施和安全策略的执行,确保达到预期设计的安全目标。
企事业单位在进行安全管理过程中,可以参考BS7799/ISO17799和ISO13335等信息安全标准制定管理制度和实施步骤。
