第一章、信息安全保障
一、信息安全保障 |
信息安全保障基础 | 安全保障框架模型 |
信息安全概念 信息安全属性 信息安全视角 信息安全发展阶段 信息安全保障新领域 | 基于时间的 PDR 与 PPDR 模型 信息安全保障技术框架 信息系统安全保障评估框架 企业安全架构 |
知识子域:信息安全保障基础
信息安全概念
ISO的定义
"为数据处理系统建立和采取技术、管理的安全保护,
保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露"
或者表述为:
(通过技术或管理手段防护信息系统的CIA不被破坏)
掌握不同的定义
(数据安全, 信息安全, 通信安全, 信息系统安全, 网络安全, 网络空间安全)的使用场景
狭义的(技术)
以IT技术为主的安全范畴
广义的(业务: 技术和管理)
目的:保证组织业务可持续性进行
综合考虑人、技术、管理、过程控制
综合考虑成本
是业务支撑:不,是命脉
根源
内因:脆弱性
外因:环境因素、人为因素(威胁, 信息价值越高,安全问题越高)
特征
系统性; 动态性; 无边界; 非传统
威胁情报
建立在大量的数据搜集和处理的基础上
通过对搜集数据的分析和评估,从而形成相应的结论
为管理人员提供行动和制定决策的依据
成为信息安全保障中的关键能力
态势感知
建立在威胁情报的基础上
利用大数据和高性能计算为支撑,综合网络威胁相关的形式化和非形式化数据进行分析
并形成对未来网络状态进行预判以便调整安全策略
信息安全属性
CIA:
保密性confidentiality:不可见(加密,访问控制)
授权主体可见, 非授权主体不可见
强调数据的不可见,但不代表数据是正确的
完整性integrity:不可改(hash,访问控制)
授权主体可以进行授权的修改
可用性Availability:(业务连续性)
确保数据能够被授权的主体访问到
完整性其他派生属性:
真实性,不可否认性,可问责性,可靠性等
信息安全的本质
保证信息资产的CIA不被破坏
黄金法则/IAAAA法则
事前认证 what are you | 事中授权 what can you do | 事后审计 what did you do |
认证: authentication 识别: identification | 授权: authorization | 审计: audit 问责: accounting |
信息安全视角
国家:网络战,关键基础设施保护,法律建设与标准化(立法, 立标准)
|-- 16.11《网络安全法》,定义了关键基础设施保护(公共通信和信息服务, 能源, 交通, 水利, 金融, 公共服务, 电子政府)
|-- 预防为主,防治结合
|-- 17.6.1《网络安全法》正式实施
|-- 威胁情报, 态势感知
适度安全,不可逆性
企业:业务连续性管理,资产保护,合规性(守法,守标准)
个人:隐私保护,个人资产保护,社会工程学(建立安全意识,人性的弱点)
信息安全发展阶段
通信安全 -- 电报,烽火传音,注重:机密,隐藏
1946年之前
关注: 传输过程中数据的保护
威胁: 搭线窃听,密码学分析
核心: 通过密码技术解决通信保密,保证数据的保密性和完整性
措施: 加密
计算机安全 -- 主机,病毒
20世纪, 70-90
关注: 数据处理和存储时的数据保护
威胁: 非法访问, 恶意代码, 脆弱口令
核心: 预防,检测,减小计算机系统用户执行的未授权活动所造成的后果
措施: 通过访问控制技术, 防止非授权用户的访问
信息系统安全 -- 操作系统,数据
20世纪, 90后
关注: 信息系统整体安全
威胁: 网络入侵, 病毒破坏, 信息对抗
核心: 重点在于保护比数据更精炼的信息
措施: 防火墙,防病毒,漏洞扫描,入侵检测,PKI,VPN
信息安全保障 -- 自媒体
96年, DoDD 5-3600.1首次提出
关注: 信息,信息系统对组织业务及使命的保障
信息安全概念的延伸, 实现全面安全
总体要求: 积极防御, 综合防范(预防为主,防治结合)
主要原则: 技术与管理并重, 正确处理安全与发展的关系
网络空间安全 -- 云计算,大数据,物联网
互联网已经将传统的虚拟世界与物理世界相互连接, 形成网络空间
风险: 工业控制系统, "云大物智移"
核心: 强调"威慑"概念(威胁情报,态势感知)
三位一体: 防御, 情报, 威慑
信息安全保障新领域
工控系统
基本结构: 分布式控制系统, 数据采集与监控系统, 可编程控制器
体系结构:
零级: 生产过程控制设备;
一级: 安全和保护系统/基本控制系统;
二级: 监控系统
三级: 运营管理系统
四级: 企业系统(业务规划和物流)
安全威胁:
缺乏足够的安全防护
安全可控性不高
缺乏安全管理标准和技术
安全架构
管理控制: 一是风险评价, 二是规划, 三是系统和服务采购, 四是认证、认可和安全评价
操作控制: 人员安全, 物理和环境保护,意外防范计划,配置管理,维护,
系统和信息完整性,媒体保护,事件响应, 意识和培训
技术控制:识别和认证, 访问控制, 审计和追责, 系统和通信保护
云计算
IaaS(云主机,云硬盘), PaaS(对象存储,云数据库), SaaS(各种软件)
5大特征: 资源池化, 按需自助服务, 快速伸缩性, 泛在接入, 服务可计量
责任共担
主要问题
开源工具安全(核心问题)
优先访问权风险
管理权限风险
数据所处风险
数据隔离风险
数据恢复风险
调查支持风险
长期发展风险
安全架构
是交叉领域, 物理安全到应用安全
云用户, 云提供者, 云承载者, 云审计者和云经纪人
三层架构
安全云基础设施/基础服务/应用服务
虚拟化
是云计算中核心的安全问题
确保虚拟化多租户之间的有效隔离
物联网
是什么
信息社会的基础设施
核心和基础仍是互联网
任何物品与物品之间
架构(四个层次)
(感知) - 传输 - (支撑, 应用)
安全措施
感知层: 解决温度传感,湿度传感,视频监控,红外监控,GPS模块,陀螺仪,测速仪,气体传感,声呐系统等感知(核心问题)
传输层: 解决GSM,GPRS,4G,5G,窄带通信,蓝牙,红外,NFC,卫星通信,wlan等安全问题(核心问题)
支撑层: 解决与传统平台融合的安全问题
应用层: 解决应用软硬件及管理安全问题
大数据
定义
具有数量大,来源多样,生成极快,价值密度低, 且多变等特征
并且难以用传统数据体系结构有效处理的包含大量数据集的数据
利用这些大数据, 实现数据隐藏信息的挖掘与展示
来源
人类: 在互联网, 移动互联网活动中产生的数据(文字,图片,视频)
机器: 计算机系统产生的数据(文件,数据库,多媒体形式)
物联网智能终端: 摄像头采集的视频, 物联网的交通流量, 可穿戴设备收集的信息
安全威胁
自身
数据自身声明周期安全: 收集/使用/分发/删除
环境
数据环境安全: 传统安全措施适配困难/平台安全机制有待改进/应用访问控制愈加复杂
法规策略
国外: <<通用数据保护条例>>(GDPR)
国内: <<全国人大常委会关于加强网络信息保护的决定>>
<<中华人民共和国网络安全法>>
<<国家网络空间安全战略>>
移动互联网
安全问题
AP: 假冒AP, 伪基站, 弱认证
系统: 不可控, 恶意软件
芯片: 不可控, 不自主
应用: 个人信息泄露, 垃圾广告, 账号泄露
隐私保护: 照片, 通信录, 通话记录, 文档, 行程记录
安全措施:
AP: 采用安全协议(WAPI/WPA2/WPA3),信息传输加密,双向认证
系统: 加固, 自主研发(核心问题)
芯片: 自主研发, 知识产权(核心问题)
应用: APP检测,安全浏览器, DNS解析, 信息采集授权, 垃圾过滤, 备份
隐私保护: 参考<<个人信息保护规范>>
知识子域:安全保障框架模型
基于时间的 PDR 与 PPDR 模型
PDR模型
Pt: 保护时间protection time; Dt:检测时间detection time; Rt:响应时间response time
当Pt>Dt+Rt, 系统是安全的
思想: 承认漏洞, 正视威胁, 采取适度防护, 加强检测工作, 落实响应, 建立对威胁的防护来保障系统的安全
出发点: 基于时间的可证明的安全模型; 任何安全防护措施都是基于时间的, 超过该时间段, 这种防护可能被攻破
PPDR模型
Policy 策略(核心)
暴露时间: Et=(Dt+Rt)-Pt
核心: 所有的防护,检测,响应都是依据安全策略实施
定义: 及时的检测和响应就是安全
更强调: 控制和对抗,考虑了管理的因素,强调安全管理的持续性,安全策略的动态性等
信息安全保障技术框架IATF(不是国际标准)
制定: 美国国家安全局NSA制定, 为保护美国政府和工业界的信息与信息技术设施提供的技术指南
核心: 深度防御
三要素/四领域 | 目的 |
不同的人 | 在不同的领域 | 使用不同的技术 | 做出不同的操作 | 增强保护的时间/缩短检测和响应的时间 |
三要素: 人, 技术, 操作
people:
是核心, 是第一位要素, 是最脆弱的
包括: 意识培训, 组织管理, 技术管理, 操作管理
technology
是实现信息保障的重要手段
动态的技术体系: 防护, 检测, 响应, 恢复
operation
也叫运行, 构成主动防御体系
将各方面技术紧密结合在一起的主动的过程, 包括
风险评估,安全监控,安全审计
跟踪告警,入侵检测,响应恢复
四领域: 要保护 1,网络和基础设施, 2,区域边界, 3,计算环境, 4,支撑性基础设施
1, 保护网络和基础设施
目标: 网络和支持它的基础设施必须
防止数据非法泄露
防止受到拒绝服务的攻击
防止受到保护的信息在发送过程中的时延,误传或未发送
方法:
骨干网可用性
无线网络安全框架
系统高度互联和虚拟专用网
2, 保护区域边界
区域边界: 区域的网络设备与其他网络设备的接入点
目标: 对进出某区域(物理区域或逻辑区域)的数据流进行有效的控制与监视
方法: 病毒, 恶意代码防御
防火墙
入侵检测
远程访问
多级别安全
3, 保护计算环境
目标: 使用信息保障技术确保数据在进入,离开或驻留客户机和服务器时具有保密性,完整性和可用性
方法: 使用安全的操作系统
使用安全的应用程序
主机入侵检测
防病毒系统
主机脆弱性扫描
文件完整性保护
4, 支撑性基础设施
目标: 为安全保障服务提供一套相互关联的活动与基础设施
秘钥管理基础设施KMI
提供一种通用的联合处理方式, 以便安全地创建, 分发和管理公钥证书和传统的对称密钥
使他们能够为网络, 区域和计算环境提供安全服务
检测和响应基础设施
能够迅速检测并响应入侵行为,需要入侵检测与监视软件等技术解决方案及训练有素的专业人员的支持
安全原则
保护多个位置, 分层防御, 安全强健性
IATF特点
全方位防御, 纵深防御将系统风险降到最低
信息安全不纯粹是技术问题, 而是一项复杂的系统工程
提出"人"这一要素的重要性, 人即管理
成功的组织能力 |
信息安全保障(IA) |
深度防御战略 |
人 | 通过 | 技术 | 进行 | 操作 |
计算环境 | 区域边界 | 网络 基础设施 | 支撑性基础设施 秘钥管理/检测响应 |
信息系统安全保障评估框架
基本概念
信息系统
用于采集,处理,存储,传输,分发和部署信息的整个基础设施,组织结构,机构人员和组件的总和
信息系统安全风险
是具体的风险
产生风险的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁
信息系统运行环境存在特定威胁动机的威胁源
信息系统安全保障(内容)
1, 在信息系统的整个生命周期中,
2, 通过对信息系统的风险分析,
3, 制定并执行相应的安全保障策略
4, 从技术,管理,工程和人员等方面提出信息安全保障要求,
5, 确保信息系统的保密性,完整性和可用性
6, 把安全风险控制到可接受的程度,
7, 从而保障系统能够顺利实现组织机构的使命
信息系统安全保障评估 - 概念和关系
信息系统安全保障 | 技术保障 |
| 信息系统安全保障评估 |
|
|
管理保障 |
|
|
|
工程保障 |
|
|
|
人员保障 |
|
|
|
产生→ | 保障 | ←给出证据 |
|
|
| 提供↓ |
|
|
|
所有者需要→ | 信心 |
|
|
|
|
| 那么→ | 信息系统安全保障控制 | 能力成熟度级别 |
|
|
| 信息系统生命周期 | 安全技术保障控制要求 | 安全技术架构能力成熟度要求 |
|
|
| 安全管理保障控制要求 | 安全管理能力成熟度要求 |
|
|
| 安全工程保障控制要求 | 安全工程能力成熟度要求 |
|
|
| 人员要求 |
|
|
| 最小化风险→到资产→到使命 |
信息安全需求开发
信息安全需求是安全方案设计和安全措施实施的依据
准确地提取安全需求
一方面可以保证安全措施可以全面覆盖信息系统面临的风险,
是安全防护能力达到业务目标和法规政策的要求的基础
另一方面可以提高安全措施的针对性
避免不必要的安全投入, 防止浪费
还要考虑一些非功能性的问题: 文化, 宗教, 操作风俗, 知识产权
(法规符合性)(业务需求)(风险评估) - (信息系统安全保障需求描述)
信息系统保护轮廓(ISPP)
对具体信息系统安全保障需求和能力进行具体描述
表达一类产品或者系统的安全目的和要求
是所有者(用户)的角度
信息系统安全目标(ISST)
根据ISPP编制的信息系统安全保障方案(可以有1-n个)
某一特定产品或系统的安全需求
是建设方(厂商)的角度
信息系统安全保障评估
1, 进行ISPP 2, 对ISPP评估
3, 进行ISST 4, 对ISST评估
5, STOE评估
5.1, 技术保障 TCML(1-5)安全技术能力成熟度
5.2, 管理保障 MCML(1-5)安全管理能力成熟度
5.3, 工程保障 ECML(1-5)安全工程能力成熟度
6,信息系统安全保障级(ISAL)评定
7, 信息系统安全保障评估方法
信息安全规划设计
以风险评估和法规要求得出的安全需求为依据
考虑业务的功能和价值
考虑系统风险哪些是必须处置的, 哪些是可接受的
贴合实际具有可实施性
可接受的成本
合理的进度
技术可实现
组织管理和文化的可接受性
信息系统安全保障评估框架 - 评估模型(模型特点)
特点: 将风险和策略作为核心和基础
强调: 系统生命周期
强调: 综合保障观念
以风险和策略为基础, 在整个信息系统的生命周期中(规划组织,开发采购,实施交付,运行维护,废弃)
实施(技术,管理,人员,工程)保障要素,
通过信息系统安全保障实现安全的安全特征: 信息的(保密性, 完整性, 可用性)
从而达到保障组织机构执行其使命的根本目的
保障要素 | 生命周期 | 安全特性 |
人员, 技术, 管理, 工程 | 规划组织 开发采购 实施交付 运行维护 废弃 | 保密性, 完整性, 可用性 |
信息安全技术
密码
访问控制
审计和监控
网络安全
操作系统
数据库安全
安全漏洞与恶意代码
软件安全开发
信息安全管理
管理体系
风险管理
信息安全工程
涉及系统和应用的开发,集成,操作,管理,维护,进化
以及产品的开发,交付,升级
信息安全人才
人是最关键, 最活跃的要素
攻防对抗, 最终较量的是攻防两端的人, 而不是设备
企业安全架构
舍伍德SABSA的商业应用安全架构(六层)
背景层(业务视图)
概念层(架构视图)
逻辑层(设计视图)
物理层(建设视图)
组件层(实施者视图)
运营层(服务和管理视图)
(PDCA循环, 战略与规划, 设计, 实施, 管理与测量 plan, do, check, act)
信息安全工作流程
1, 需求(来源要全面: 合规, 业务, 风险评估): 使用ISPP方法
2, 设计: 使用ISST方法
3, 工程实施: 信息安全实施与工程
架构实现, 技术实现, 产品研发, 系统部署, 安全调试, 试运行
系统安全工程能力成熟度模型SSE-CMM
SW-CMM软件开发
CMMI软件成熟度继承模型
ISO/IEC21827, SSE-CMM 1-5
4, 评测
信息产品安全测评: 基于ISO/IEC15408(CC)(GB/T18336)标准EAL1-7
信息系统保障测评: TCML/MCML/ECML 1-5
系统登记保护测评: 等级保护1-5
工程服务能力测评: SSE-CMM 1-5
信息安全人员测评: CISE/CISO/CISM
5, 维护: 主要是风险管理
风险是动态变化的, 安全保障要持续改进
6, 废弃