论文部分内容阅读
摘 要:随着IPv6、三网融合、云计算、移动互联网和物联网等新计术的引移入、以及互联网业务的蓬勃发展,为促进互联网业务健康有序发展,维护国家安全和社会稳定,保障用户合法权益,加强互联网新技术新业务安全管理,工信部在2011年下发了《互联网新技术新业务信息安全评估管理办法(试行)》,各运营商也随之下发了各自的管理办法,也做了细化的明确要求。本文着重探讨对于“互联网新技术新业务信息安全评估”的一些理解和实践的方法。
关键词:电力建设 信息化管理
一、引言
随着安全服务市场的不断演变,在单纯的安全技术评估、安全加固的基础上,更希望能够通过安全建设保障其业务的持续、顺畅运行,保障其业务发展战略的实现。我们通过在信息安全评估中不断的探索,落实“以业务为中心、风险为导向”的评估思想,建立和推动信息安全评估理论、方法、操作流程和作业规范的完善和提升,彰显信息安全评估对保障客户业务顺畅运行的意义,提升安全服务的工作绩效以及安全服务的层次和水平。
二、互联网新技术新业务信息安全评估内容解读
1.互联网新技术新业务信息安全评估的主要内容。根据工信部与三大运营商对互联网新技术新业务信息安全评估的要求,评估内容主要包括:与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。
2.业务信息安全评估与“传统”安全评估的对比。虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是我们通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面的反应业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。
三、互联网新技术新业务信息安全评估主要方法
1.主要思路和理论。
1.1“业务为中心、风险为导向”的信息安全评估思路。互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。“以业务为中心,风险为导向”的信息安全评估是指以客户组织所提供的业务为中心,去了解实现其业务的一系列业务流程。然后,从管理流程的角度去了解其组织结构、部门职责、管理制度和规范、审计制度和规范,并评价和分析管控措施对风险的控制程度和能力,以及是否满足相关的标准规范要求;从IT系统角度去了解系统提供的业务功能,梳理其IT流程,并基于系统及网络结构对IT流程进行刻画和描述,并深入了解贯穿IT流程的数据处理活动,分析和评估价现有安全控制措施对IT风险、业务风险的控制程度和能力。最终全面、系统的分析业务信息系统面临的风险。
1.2基本概念。业务是什么?在组织层面上讲,业务一般是指基于自身的产品和能力为客户提供的有价值的产品或服务。一个组织通过业务的正常、有效运作,可以为客户创造价值,获取利润,并维持组织的有效运转和发展。从顾客的角度看,业务就是提供给顾客(内部、外部和第三方)的有价值的服务。业务的实现层面上讲,业务的本质就是由一系列业务活动所组成的业务流程。业务流程是一个技术术语,一般可以理解为一组将输入转化为输出的相互关联、相互作用的活动【ISO9000】。这些活动可以为特定的市场或顾客生产具有价值的输出。业务流在管理层面的表现是什么?从管理或组织的整体运行的角度看,业务流程表现为一系列的跨部门、跨岗位的业务活动组成,这可称为管理流程。通常客户会制定相应的管理办法、流程文件来对管理流程活动次序、人员职责、输入输出、绩效要求进行规范和明确。例如人员的入职流程、离职转岗流程等等,都表现为一系列跨部门的活动。业务流与IT系统是什么关系?在IT系统中的表现是什么?业务流程通常需要IT系统来支持和实现,而IT系统的建设通常是由业务驱动的。用一句话概括就是,业务流程决定了IT系统的需求、规划和设计。从概念上讲,IT系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。这里的“一定的应用目标”可理解为支持或实现特定的业务流程。从技术、IT角度看,业务流程表现出一系列的业务数据处理活动,这可称谓IT流程。在网络逻辑拓扑图上或系统应用结构图上,IT流程表现为一个或若干个业务数据流,贯穿整个数据流的是一系列的业务数据处理活动。数据处理活动是什么,如何描述?数据处理活动是描述IT流程的基本单元。一般通过数据处理模型或信息管理模型来描述【IATF】。数据处理活动通常由用户主体(人员角色)、处理过程和活动(访问过程和活动数据对象(访问对象)三个基本要素组成。数据处理活动可以跨越进程、主机、网络、系统的边界。例如,通常见到的跨主机、跨系统通信的情况。数据处理活动是业务调研和分析的基本单位,是进行信息保护的基本單位。
1.3主要流程对于互联网新技术新业务信息安全评估来说,我们认为能分为三大基本步骤:第一大步:深入业务,分析流程;第二大步:业务威胁分析、业务脆弱性识别和人工渗透分析;第三大步:风险分析和处置。
1.4深入业务,分析流程.目标是了解业务信息系统承载的业务使命、业务功能、业务流程等;客观准确的把握业务信息系统的体系特征。
1.4.1管理层面调研和分析。围绕“业务”,管理调研的内容主要为组织架构、部门职责、岗位设置、人员能力、管理流程、审计流程等等,其调研核心是一系列的管理流程。通常,组织中有多种类型的管理流程,管理调研的重点是与信息安全有关的流程、制度及其落实、执行和效果情况。管理措施通常贯穿于整个管理流程之中,目的是保证管理流程的有效流传或者不出现意外的纰漏。管控措施的设计一般都遵循一定的原则,如工作相关、职责分析、最小授权等等。 1.4.2业务系统层面调研和分析。业务系统提供的功能一般是指被外界(例如客户、用户)所感知的服务项目或内容,是IT系统承载、支持的若干个业务流程所提供功能的总汇。一个具体的业务功能常常与多个业务流程相关,一种(个)业务功能,常常需要若干个业务流程来实现。对于一个具体的信息系统来说,可以通过其提供的业务功能,对业务流程进行全面地梳理、归纳,并验证业务流程分析的完备性、系统性。一个具体的业务流程也常常跨越多个系统,某个具体的IT系统可能仅完成整个IT流程中的某一个活动。因此,业务功能通常是对业务系统进行调研的最佳切入点,并将业务流程简化成为单纯的数据处理过程,将各个应用软件之间的数据传输简化成为点对点的流。然后基于数据流分析,建立信息视图,明确信息的流转、分布、出入口把业务系统简化成为数据流的形式,可以更好地分析数据在各个阶段所面临的风险。
1.5脆弱性识别。系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图 ; 从網络的稳定性、 安全性、 扩展性、( 易于) 管理性、 冗余性几个。管理层脆弱性识别。识别和分析安全组织、 安全管理制度、 流程以及执行中存在的安全弱点。
1.6业务威胁分析。于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。如何能将安全威胁很好的列出来呢?我们可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。识别和构造威胁路径依据自身(企业或部门级)的业务特点,进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。
1.7业务渗透测试和攻击路径分析。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有问题;且业务的个性化,在业务逻辑、接口等安全测评中,必须要有人工参与。利用业务流程分析、威胁分析和脆弱性分析的相关数据,实现渗透测试。
1.8风险分析。主要工作任务包括:数据整理:整理现场实施阶段获得的各种风险要素数据,以及相应的评估报告。风险计算与分析:风险计算风险量化、分析编制风险分析报告。风险处置与建议:风险处置准则确定、风险处置决策、风险控制目标确定和控制措施选择、编制安全建议。
关键词:电力建设 信息化管理
一、引言
随着安全服务市场的不断演变,在单纯的安全技术评估、安全加固的基础上,更希望能够通过安全建设保障其业务的持续、顺畅运行,保障其业务发展战略的实现。我们通过在信息安全评估中不断的探索,落实“以业务为中心、风险为导向”的评估思想,建立和推动信息安全评估理论、方法、操作流程和作业规范的完善和提升,彰显信息安全评估对保障客户业务顺畅运行的意义,提升安全服务的工作绩效以及安全服务的层次和水平。
二、互联网新技术新业务信息安全评估内容解读
1.互联网新技术新业务信息安全评估的主要内容。根据工信部与三大运营商对互联网新技术新业务信息安全评估的要求,评估内容主要包括:与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。
2.业务信息安全评估与“传统”安全评估的对比。虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是我们通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面的反应业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。
三、互联网新技术新业务信息安全评估主要方法
1.主要思路和理论。
1.1“业务为中心、风险为导向”的信息安全评估思路。互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。“以业务为中心,风险为导向”的信息安全评估是指以客户组织所提供的业务为中心,去了解实现其业务的一系列业务流程。然后,从管理流程的角度去了解其组织结构、部门职责、管理制度和规范、审计制度和规范,并评价和分析管控措施对风险的控制程度和能力,以及是否满足相关的标准规范要求;从IT系统角度去了解系统提供的业务功能,梳理其IT流程,并基于系统及网络结构对IT流程进行刻画和描述,并深入了解贯穿IT流程的数据处理活动,分析和评估价现有安全控制措施对IT风险、业务风险的控制程度和能力。最终全面、系统的分析业务信息系统面临的风险。
1.2基本概念。业务是什么?在组织层面上讲,业务一般是指基于自身的产品和能力为客户提供的有价值的产品或服务。一个组织通过业务的正常、有效运作,可以为客户创造价值,获取利润,并维持组织的有效运转和发展。从顾客的角度看,业务就是提供给顾客(内部、外部和第三方)的有价值的服务。业务的实现层面上讲,业务的本质就是由一系列业务活动所组成的业务流程。业务流程是一个技术术语,一般可以理解为一组将输入转化为输出的相互关联、相互作用的活动【ISO9000】。这些活动可以为特定的市场或顾客生产具有价值的输出。业务流在管理层面的表现是什么?从管理或组织的整体运行的角度看,业务流程表现为一系列的跨部门、跨岗位的业务活动组成,这可称为管理流程。通常客户会制定相应的管理办法、流程文件来对管理流程活动次序、人员职责、输入输出、绩效要求进行规范和明确。例如人员的入职流程、离职转岗流程等等,都表现为一系列跨部门的活动。业务流与IT系统是什么关系?在IT系统中的表现是什么?业务流程通常需要IT系统来支持和实现,而IT系统的建设通常是由业务驱动的。用一句话概括就是,业务流程决定了IT系统的需求、规划和设计。从概念上讲,IT系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。这里的“一定的应用目标”可理解为支持或实现特定的业务流程。从技术、IT角度看,业务流程表现出一系列的业务数据处理活动,这可称谓IT流程。在网络逻辑拓扑图上或系统应用结构图上,IT流程表现为一个或若干个业务数据流,贯穿整个数据流的是一系列的业务数据处理活动。数据处理活动是什么,如何描述?数据处理活动是描述IT流程的基本单元。一般通过数据处理模型或信息管理模型来描述【IATF】。数据处理活动通常由用户主体(人员角色)、处理过程和活动(访问过程和活动数据对象(访问对象)三个基本要素组成。数据处理活动可以跨越进程、主机、网络、系统的边界。例如,通常见到的跨主机、跨系统通信的情况。数据处理活动是业务调研和分析的基本单位,是进行信息保护的基本單位。
1.3主要流程对于互联网新技术新业务信息安全评估来说,我们认为能分为三大基本步骤:第一大步:深入业务,分析流程;第二大步:业务威胁分析、业务脆弱性识别和人工渗透分析;第三大步:风险分析和处置。
1.4深入业务,分析流程.目标是了解业务信息系统承载的业务使命、业务功能、业务流程等;客观准确的把握业务信息系统的体系特征。
1.4.1管理层面调研和分析。围绕“业务”,管理调研的内容主要为组织架构、部门职责、岗位设置、人员能力、管理流程、审计流程等等,其调研核心是一系列的管理流程。通常,组织中有多种类型的管理流程,管理调研的重点是与信息安全有关的流程、制度及其落实、执行和效果情况。管理措施通常贯穿于整个管理流程之中,目的是保证管理流程的有效流传或者不出现意外的纰漏。管控措施的设计一般都遵循一定的原则,如工作相关、职责分析、最小授权等等。 1.4.2业务系统层面调研和分析。业务系统提供的功能一般是指被外界(例如客户、用户)所感知的服务项目或内容,是IT系统承载、支持的若干个业务流程所提供功能的总汇。一个具体的业务功能常常与多个业务流程相关,一种(个)业务功能,常常需要若干个业务流程来实现。对于一个具体的信息系统来说,可以通过其提供的业务功能,对业务流程进行全面地梳理、归纳,并验证业务流程分析的完备性、系统性。一个具体的业务流程也常常跨越多个系统,某个具体的IT系统可能仅完成整个IT流程中的某一个活动。因此,业务功能通常是对业务系统进行调研的最佳切入点,并将业务流程简化成为单纯的数据处理过程,将各个应用软件之间的数据传输简化成为点对点的流。然后基于数据流分析,建立信息视图,明确信息的流转、分布、出入口把业务系统简化成为数据流的形式,可以更好地分析数据在各个阶段所面临的风险。
1.5脆弱性识别。系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图 ; 从網络的稳定性、 安全性、 扩展性、( 易于) 管理性、 冗余性几个。管理层脆弱性识别。识别和分析安全组织、 安全管理制度、 流程以及执行中存在的安全弱点。
1.6业务威胁分析。于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。如何能将安全威胁很好的列出来呢?我们可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。识别和构造威胁路径依据自身(企业或部门级)的业务特点,进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。
1.7业务渗透测试和攻击路径分析。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有问题;且业务的个性化,在业务逻辑、接口等安全测评中,必须要有人工参与。利用业务流程分析、威胁分析和脆弱性分析的相关数据,实现渗透测试。
1.8风险分析。主要工作任务包括:数据整理:整理现场实施阶段获得的各种风险要素数据,以及相应的评估报告。风险计算与分析:风险计算风险量化、分析编制风险分析报告。风险处置与建议:风险处置准则确定、风险处置决策、风险控制目标确定和控制措施选择、编制安全建议。