信息安全管理与风险评估
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

3.2 BS 7799信息安全管理实施案例

3.2.1 信息安全管理体系认证实施案例

3.2.1.1 企业背景

Ibas公司成立于1978年,是世界公认的数据修复、销毁和计算机犯罪取证领域的领导者。集团总部位于挪威,目前在全球 10 多个国家和地区拥有分支结构和完善的营销与服务支持网络。凭借独创的先进科技,超过20年的专业经验和强大的研发能力,Ibas一直是政府、军队、金融、保险等高敏感应用客户的首选方案提供商,同时,在航空和海难事故、刑事案件、战争罪行等诸多知名案例调查过程中的出色表现,为Ibas赢得了崇高的声望和长期的市场领先地位。

3.2.1.2 客户需求

鉴于数据销毁和恢复业务的高敏感性,客户对于服务商在服务过程中保护客户隐私,防止敏感信息泄密方面的安全性和信誉度普遍存在不同程度的担忧,这不仅仅是领先的专业技术和市场知名度所能涵盖的,更重要的是企业如何体现对客户信息的安全保障水平。Ibas香港公司希望通过BS 7799项目的实施,建立起符合安全管理国际标准和业务运作要求的信息安全管理体系,获得权威机构的资质认证,从而在提高业务安全管理水平的同时,增强客户对Ibas专业安全服务的信心和品牌知名度。

3.2.1.3 实施过程

表 3-1 给出了项目时间规划表,包括四个大的阶段:准备阶段、计划阶段、体系运行阶段、复查和审计阶段,遵循BS 7799的PDCA过程模型。

BS 7799的两部分分别给出了组织安全管理体系的要求和最佳参考实践,但距离实际操作仍留下许多空白,这给安全顾问公司提供了价值发挥的空间。在项目实施过程中,主要的难点包括如下。

表3-1 项目时间规划表

1.如何确定ISMS 的范围

ISMS 范围的正确订立是整个实施的基础和成败关键。它界定了涵盖的业务流程、信息流和相关资产,因而也确定了BS 7799信息安全管理体系的边界和目标,这对于实施周期、实施受益的信息管理环节都将产生影响。

仅就认证目的而言,企业可以选择任何部门和系统,但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。在本项目中,最终选择了企业的核心业务系统作为此次认证的范围,其ISMS边界包括数据安全实验室及所有与“数据销毁和数据恢复服务”相关的信息资产,从而确保了BS 7799实施与预期目标的一致性。

2.如何进行风险评估

风险评估被公认为ISMS实施过程最关键和难以操作的环节,因此,BS 7799的实施并不限定客户使用什么风险评估方法。就我们的体会来说:

(1)风险评估成功与否的关键首先不在于技术问题,而在于良好的客户沟通和会议组织技巧,包括让管理层和业务人员理解风险评估的重要性、方法,予以必要的配合、支持,并通过高效的会议组织,获得较全面的和客观的调查反馈信息。

(2)应避免风险评估仅限IT部门和安全专家的参与。风险评估既然服务于企业的业务目标,就应当得到业务部门的支持,事实上,只有他们最理解需要保护什么,保护的程度如何,担心哪些安全问题,发生过什么安全事件,是否值得以特定成本实施安全控制而降低某项风险。因此,在一开始就应把业务骨干纳入到风险评估小组,通过培训让所有成员理解风险评估的目的、组织流程和方法。

(3)风险评估应始终围绕企业的目标和方针进行,比如说,在评估资产和威胁的影响时,都要做BIA(业务影响分析),其中制定的参考指标就应依据企业安全目标。当发生各成员评估结果不一致的情况时,项目经理也应参照安全目标的定义进行裁决。

(4)成功的风险评估还要避免片面性、主观性,避免与漏洞扫描或穿透测试混为一谈。客户可能认为只有后者才是值得尊重的专业服务,但事实上风险不仅来自技术脆弱性,还包括组织脆弱性,如业务流程、人员和资产管理等。此外,完整的风险评估应涵盖物理和逻辑两方面的因素。我们这个案例就很明显地体现了这点,由于既定的范围不包括复杂的网络和IT资产,因此,在脆弱性分析时主要考虑组织和物理方面的技术脆弱性,如客户介质在交递、保管、处理、返还等环节的安全隐患,以及安全实验室的实物与环境安全等。我们和客户讨论了各种细微的业务流程隐患,甚至以Ibas用户身份参观公司,以了解这项服务存在的外部隐患。如客户交来介质时如何接待,对包装如何检查、标记、存放,当实验室工作人员暂时离开时如何确保环境和客户介质的安全等。我们还检查了实验室的装修环境,与其他区域的分隔,以及门禁、监控等措施的有效性。脆弱性识别往往包括内、外两方面不同的观点,但在资产和威胁分析时,顾问公司只是教给客户标准和方法,让客户自己分析判断,记录和整理最终的结果。

(5)风险评估的好坏不局限于采用定性或定量的风险评估方法,而在于能否为安全控制提供足够的决策参考依据。如果一定要对资产价值、安全威胁和脆弱性对企业业务的影响等评估活动的结果严格数字化,以提供更好的财务决策,不仅可能导致实施进度失控,而且可能因为缺乏足够的参考标准和过于繁复的过程而导致不可操作。在此情况下,基于特定的指标进行范围分级往往是值得推荐的评估方法。此外,为了提高评估的效率,还可以采用专业化的评估软件以减少评估的人为失误和文档编制时间。

3.如何发挥人的主观能动性

人是安全管理体系的灵魂,而不是没有生命力的产品或文档体系。安全管理体系的良好运作,依赖于制度和组织机制,更依赖于各种角色人员的安全意识,和对安全策略的理解与遵守程度。所有这些,需要有效的培训和管理层的支持。

在这个案例中,由于客户缺乏安全策略开发的能力,安全顾问帮助公司开发了完整的安全策略手册。这些成果,最终通过高层批准成为企业制度的一部分。

在接下来的实施阶段,首先进行员工培训,然后根据安全控制实施计划逐条落实相关的措施,包括组织建设,资产分类,增强的门禁,实验室装修,区域划分,改善的介质处理流程、方式,以及业务可持续性计划的编制、模拟和演练等。

在评审阶段,由于安全顾问派出的独立审计员预先对已建立的文件体系和实施成果进行了检查,提出了评审意见和不符合项的纠正措施,然后帮助Ibas进行了改善,因此,正式外审非常顺利获得了通过。目前,这套系统正等待正式证书的下达。

3.2.1.4 实施效果

通过实施BS 7799,Ibas香港公司获得了以下几方面的成功和收益。

(1)建立了完整的文件化的信息安全管理体系,为企业各项安全相关活动的开展提供了明确的目标和操作指引。

(2)进一步明确了安全管理对于业务促进的重要作用,使安全风险和责任意识从传统的IT部门扩展到企业每个员工,提高了安全管理的整体效率。

(3)通过PDCA过程方法和相应的组织保障体系,使企业安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态。

(4)通过把BS 7799的要求引入业务流程,使现有的业务运作更加安全规范,减少了流程和操作过程带来的安全风险;另外,通过完善的资产管理,增强的物理环境安全,以及业务连续性计划的制定、模拟和定期演练,极大提高了企业对突发事件和外部威胁的风险防范能力。

(5)通过BS 7799认证,意味着企业对安全风险的管理能力获得国际权威机构的认可,有助于消除客户对于服务过程中隐私和敏感数据泄密的担忧,从而巩固在数据安全服务领域的专业形象和市场号召力。随着国家、地区和行业法规在安全要求方面的日益注重和完善,这种竞争优势将不断扩大。

3.2.1.5 经验总结

BS 7799信息安全管理体系的实施,最大意义不在于显著改善企业的安全风险水平,而在于让企业拥有可控的风险管理架构、方法和保障落实机制。正是因为拥有这套机制,才确保企业在不断变化的安全风险环境中,始终能够通过科学的方法和持续的改进,达到管理者可接受的安全风险水平。

3.2.2 BS 7799框架下安全产品与技术的具体实现

下面介绍如何利用冠群电脑(中国)有限公司(以下简称 CA)公司的产品和服务来满足BS 7799信息安全管理体系(ISMS)建设方面的需求,并通过BS 7799的认证。

3.2.2.1 BS 7799执行目标与措施

BS 7799定义了安全管理的10个主要领域,它们分别是:安全策略、安全组织、资产分类及控制、人员安全、物理与环境安全、通信与运行管理、系统访问控制、系统开发与维护、业务持续性管理和符合性。它将每个主要领域分解为若干个安全执行目标(共36个执行目标),每个目标又由若干个控制措施来支持(共127个控制措施)。可以看到,这10个领域覆盖了安全管理活动中的大部分内容,从物理安全到人员组织,从运行维护到系统开发,从安全策略到各种具体的控制措施。企业可以根据自己的实际业务和IT环境,来决定是否采用其定义的安全措施(SOA声明)。

同时,我们应该注意到,BS 7799定义了安全管理活动中的目标和措施,但是并没有规定如何去实现这些措施,如何通过工具和信息技术手段来保障,而把这些过程留给了企业和安全专业厂家。

3.2.2.2 利用CA的产品和服务设计ISMS

下面将针对BS 7799定义的10个安全管理领域分别阐述CA的产品和服务解决方案。

1.安全策略

安全策略为信息安全活动提供了管理的方向以及所需的支持手段和管理层的承诺,同时安全策略还应该明确定义企业机构中安全策略的维护责任。典型的安全策略内容非常广泛,包括信息安全的定义和目的,以及在信息共享运转机制中安全防范的领域和重要性;管理意图的阐述,信息安全目标和原则的支持;安全策略、原则和标准的简要说明以及对机构尤其重要的规范实施条件的解释;阐述信息安全的职责等。同时,安全策略的建设和维护还有以下若干个特点:

(1)安全策略应该在企业范围内为广大用户所了解和接受;

(2)安全策略应该纳入正式的变更、配置和发布管理过程中,定期的、持续性的评审和检查非常重要。

(3)安全策略作为指导信息安全活动的“宪法”,企业中其他的各种规定制度等不应该与之冲突。

(4)一般情况下,安全策略需要若干支持性文档和配套规范。安全策略和这些文档一起需要基于角色的访问控制,来保证它们在广泛获知的同时,还能够处于良好的管理维护之下。

CA解决方案如下:

(1)CA 专业咨询可以帮助识别安全策略方面的需求,提供业界的最佳实践参考,帮助开发适合的安全策略。

(2)CA eTrust Security Command Center(eSCC)可以帮助建立完备的安全信息平台,实现安全策略及其支持性文档的发布、共享、查询和评论等。另外 eSCC 提供的各种报表、实时监控等可以提供很好的安全策略审计和评估手段。

2.安全组织

安全组织包含3个执行目标:信息安全基础设施、第三方访问安全以及外包。安全组织要求定义企业机构内部与信息安全有关的组织和协作,如何落实安全责任,与安全有关的授权过程,同时,要求管理者能够识别第三方合作和外包过程中的风险,并通过相关的合同控制安全风险。

CA解决方案如下:

(1)CA 专业咨询可以帮助识别安全组织和企业安全方面的需求,提供业界的最佳实践参考,帮助设计适合的安全组织架构。

(2)CA eTrust Identity & Access Management套件可以提供全生命周期的用户管理以及访问权限管理,严格保证第三方访问过程中的安全风险,同时保证正常的业务关系。

(3)CA eSCC可以提供覆盖第三方和外包方的全方位监控和审计手段,并且提供基于角色的视图。

3.资产分类及控制

资产分类及控制包括2个执行目标:资产的可核查性和信息分类。资产的可核查性要求建立起翔实、全面的资产目录;而信息分类则要求建立企业的信息分类原则,通过信息标准和相关处理确保信息资产能够得到适当等级的保护。

CA解决方案如下:

(1)CA 专业咨询可以帮助企业开发信息资产分类、标志、资产目录等方面的策略和实施方法。

(2)CA Unicenter Asset Management 可以帮助IT管理者收集、展示、实时监视企业范围内的信息资产,并进行配置管理。

4.人员安全

人员安全包括3个执行目标:岗位设定和人力资源的安全、用户培训、对安全事件和故障的响应。该部分与安全组织一道,构成了企业安全管理的基础。“岗位设定和人力资源的安全”要求采取有效措施减少人员失误、盗窃、欺诈以及对设施的滥用。“用户培训”要求确保员工理解安全策略、制度、安全威胁等,有效地支持企业安全策略的执行。“对安全事件和故障的响应”要求采取措施将安全事件和故障造成的损害降低到最低水平,对此类事件进行监控并从中汲取知识和吸取经验。安全响应需要有效的流程体系和工具来保障其质量。

CA解决方案如下:

(1)CA 专业咨询可以提供企业在人员安全、保密协议、岗位职责、事件报告和身份管理等方面的经验和业界最佳实践。

(2)CA eTrust Identity Management可以帮助建立跨平台、复杂异构环境下的用户、角色、账号等的统一管理。

(3)CA eTrust Security Command Center可以提供集中统一的安全事件收集、过滤、相关、监视、报表等管理服务。

(4)CA Unicenter Service Desk可以提供符合ITIL(Information Technology Infrastruc ture Library, 信息技术基础设施库)最佳实践的事件报告、响应跟踪,实现工作流程和服务台功能,并且帮助建立知识库,积累和共享在安全管理活动中的经验教训。

5.物理与环境安全

物理与环境安全包括3个执行目标:安全区域、设备安全和一般控制。“安全区域”目的是防止业务设施和信息受到未经授权的物理访问、损害和干扰。而“设备安全”的控制措施可以防止资产丢失、受损和受到威胁,防止业务活动受到干扰,包括电信供应和线路安全等。“一般控制”包括清理桌面和屏幕,以及资产清理等。

CA解决方案如下:

(1)CA 专业咨询可以提供在物理环境安全方面如何制定安全策略、设置安全措施等的帮助。

(2)CA eTrust 20/20与eTrust Security Command Center的联合可以提供对物理安全系统的监控,以及物理安全系统和IT安全系统之间的联动、相关。

(3)CA Unicener NSM可以帮助监视IT系统的电力供应等,并将事件报告给响应中心(可能是帮助台系统)。

(4)CA Unicenter Asset Management可以提供跨平台、复杂异构环境下的IT资产管理、桌面系统的统一控制。

(5)CA Unicenter Argis则提供了IT系统的全面财务管理,在IT系统的整个生命周期上进行跟踪、控制投资回报。

6.通信与运行管理

通信与运行管理包括7个执行目标:操作规程和职责、系统规划和验收、防范恶意软件、内务管理、网络管理、媒体处理和安全,以及信息和软件交换。“操作规程和职责”目标是确保信息处理设施操作的正确性和安全性,包括书面操作程序记录、变更管理、事件管理和职责分离等控制措施。“系统规划和验收”的控制措施包括容量规划和系统接收,目标是将系统故障的风险降低到最低水平。“防范恶意软件”的目标是保护软件和信息的完整性免受恶意软件的伤害。“内务管理”的目标是维护信息处理和通信服务的完整性和可用性,控制措施包括信息备份、操作日志和错误日志。“网络管理”目标是保卫网络中的信息、保护支持性的基础架构。“媒体处理与安全”对于目前移动性越来越高的企业IT环境来说具有特殊意义,其目标是防止资产受到破坏,防止商业活动受到干扰。“信息和软件交换”则要求采取措施,防止信息在交流过程中丢失、被修改或者被误用。通信和运行管理是通常意义上的网络信息安全所主要考虑的内容,受到较高的重视。

CA解决方案如下。

(1)CA Unicenter Service Desk与eTrust Security Command Center一起提供了业界领先的故障报告和工作流程管理工具,收集并记录各种各样的网络和安全事件,实现基于角色的主动安全管理,更进一步的信息还可以参加CA公司技术白皮书《CA安全总控中心与实时安全体系》。

(2)CA eTrust Access Control可以提供超越操作系统的、更为强大细化的访问权限管理,从数据(文件)、进程、网络连接等层面上进行严格的管理,实现职责分离以及介质访问控制。

(3)CA eTrust Web Access Control则提供了Web环境下的访问控制和职责分离。

(4)CA eTrust Secure Content Manager可以防止各种恶意内容到达企业内部,包括电子邮件、网络浏览、FTP等各种网络服务。

(5)CA eTrust Policy Compliance Management可以用来对新系统的漏洞进行测试,帮助完成新系统在安全策略审计方面的验收。

(6)CA Unicenter Performance Management可以提供在操作系统、数据库、应用等性能方面的翔实数据,帮助管理者进行容量方面的规划。

(7)CA AllFusion Harvest Change Manager的变更控制功能可以在接受新系统之前定义、授权和执行适当的测试。

(8)CA BrightStor Storage Management工具可以提供一个完善的备份系统,对整个企业范围内的商业信息和软件进行备份。

另外,eTrust Intrusion Detection、eTrust Network Forensics等可以提供入侵检测、安全事件分析等防护功能,帮助建立全方位的安全体系。

7.访问控制

访问控制包括8个执行目标:访问控制的业务要求、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、对系统访问和使用的监督,以及移动计算和远程工作。“访问控制的业务要求”要求建立覆盖公司核心业务的系统访问策略,以指导相关的IT活动。“用户访问管理”则要求建立用户身份注册、权限管理、口令管理以及访问控制审查手段。“用户责任”要求明确用户在口令和信息设备使用方面的责任。“网络访问控制”、“操作系统访问控制”、“应用访问控制”包括非常多的内容,分别从网络层、操作系统层和应用层,提出要求,目标是在不同层面建立身份与口令管理、隔离、访问控制、认证、超时、敏感信息保护、审计,以及路由、执行路径等安全保护手段。“对系统访问和使用的监督”要求采取手段,保证时钟同步,记录监控系统的使用和各种事件。“移动计算和远程工作”的目标是保证使用移动计算和远程办公设施时的安全。

作为世界范围内访问控制领域的领导者,CA 专业咨询可以在访问控制方面提供多方位的咨询帮助,帮助建立相关的各种策略、建设方案和路线。

CA解决方案如下:

(1)CA eTrust Identity and Access Management套件提供了世界范围内安全管理领域的领先产品,覆盖了各种复杂环境下、不同层面的身份、口令、登录、访问权限等管理功能。

(2)CA eTrust Firewall则可以提供网络层面上的隔离和访问控制。

(3)CA eTrust Single-Sign-On一次性登录工具帮助加强口令强度,维护统一的终端安全,提高工作效率。

(4)CA BrightStor还可以提供覆盖从大型机到服务器到桌面机,直到各种移动设备的数据和系统备份能力。

8.系统开发与维护

系统开发与维护包括5个执行目标:系统的安全要求、应用系统的安全、密码控制、系统文件的安全,以及开发和支持过程中的安全。“系统的安全要求”是指保证在开发的信息系统中已经建立了安全机制。“应用系统的安全”要求在输入数据验证、内部处理、消息认证、输出数据验证等方面采取安全措施。“密码控制”要求建立开发维护过程中关于密码使用的策略,采取有效的密码、密钥管理、数字签名等技术。“系统文件的安全”要求采取措施,保护运行软件、系统测试数据以及源程序库的安全。“开发和支持过程中的安全”要求在软件工程生命周期的各个环节的活动中都考虑到安全因素,在变更控制的程序、操作系统变更评审、软件包变更控制、隐蔽通道和后门,以及软件开发外包等方面采取安全控制。

CA解决方案如下:

(1)CA专业咨询可以帮助建立整个软件工程生命周期的管理流程和支撑环境。

(2)CA eTrust PKI可以提供密钥基础设施方面的各种手段。

(3)CA eTrust Access Control可以提供关键敏感数据的细粒度的强制性安全保护。

(4)CA AllFusion Change and Configuration Management提供了软件过程中变更和配置管理领域内的世界领先产品。

(5)CA AllFusion Erwin提供了业界领先的数据建模、组件建模、流程建模等各种建模工具,帮助建立并分析软件后面的结构和动力,消除安全隐患。

(6)CA Unicenter Software Delivery则可以帮助建立可信软件库(Definitive Software Library),并且在企业范围内自动分发软件包,消除病毒和恶意修改威胁。

9.业务持续性管理

业务持续性管理只有1个执行目标:业务连续性管理的各个方面,要求制定相应策略和管理制度,消除商业活动受到的干扰,保护关键的商业程序不受重大故障或者灾难的影响。

CA解决方案如下:

(1)CA专业咨询可以提供业务持续性计划和管理方面的经验及最佳实践帮助。

(2)CA BrightStor系列产品可以提供跨越各种平台和应用的高可靠性、备份恢复能力。

(3)CA Unicenter Service Desk可以提供业务持续性计划执行过程中的监督和审计、考核。

10.符合性

符合性包括3个执行目标:符合法律要求、安全策略和技术符合性的评审、系统审核考虑。“符合法律要求”要求的内容覆盖了明确适用的法律、知识产权保护、企业记录保护、个人隐私和数据保护、防止信息设施滥用、证据收集等。“安全策略和技术符合性的评审”要求采取审计监督措施来保证企业的安全策略得到了遵守、各种技术活动处于合法状态。“系统审核考虑”的目标是将系统审计程序的效力提升到最高,将其对系统的影响降到最低。

CA解决方案如下:

(1)CA专业咨询可以提供在法律、法规符合性以及安全策略符合性方面的帮助。

(2)CA eTrust Identity Management套件可以帮助建立企业范围内的身份、角色和权限管理,防止滥用,保护各种关键敏感数据。

(3)CA eTrust Network Forensics可以收集从网络数据到各种日志证据,并且以非常直观地多视角展现出来,通过组合和重放帮助事件分析专家重建和分析事件过程。