过程改进

您的位置:中国软件和信息服务业网 > 过程改进 > 详细内容>

浅议信息安全管理控制措施的选取原则

2015-07-03 15:01 作者:cssoadmin [ ]
   肖锟
   赛宝认证中心技术发展部,广东省广州市 510610
   摘要:随着社会发展,企业对信息资源的依赖程度越来越大,由此带来的信息安全问题也日益突出。为此,国际组织ISO提出通过构建信息安全管理体系控制企业信息安全风险。但该体系只描述了体系的构建方法,却未阐明选择安全控制措施的原则。为此,本文提出企业选择安全控制措施时应考虑成本、业务等因素,基于合规性、权限最小化、分权制衡、连续分层、纵深防御、互为补偿等原则来选取控制措施。从大量的企业案例来看,这些原则的提出对指导企业选取合适的控制措施起到了很好的作用,解决了众多企业无从下手选择控制措施的问题。
   关键词:控制措施;信息安全管理体系;选取原则
The Principle of Selection of Control Measures in The ISMS
Kun Xiao 
Technology Development Department, CEPREI Certification Body, Guangzhou Guangdong 510610, China
xiaok@ceprei.org
Abstract: With the social development, the enterprise depends more on the information technology resources. Accordingly, the information security issues have become increasingly prominent. Therefore, the ISO provides to control the enterprise information security with the Information Security Manager System (ISMS). However, the ISMS is not explicitly stated in how to choose the security control measures. From the cost and business of the enterprise, this paper proposes the selection measures based on compliance, privileges minimized, separation of powers, continuous layered, defense in depth and mutual compensation principle. From a large number of the business case, these principles play a certain role for the select of the enterprise.
Key Words: Information Security Management System; Control measures; The principle of selection
   1:引言
   随着时代的进步,企业对信息资源的依赖程度越来越大,由此带来的信息安全问题也日益突出。不论何种类型的企业,其生存、发展都离不开信息:(1)企业在研发、设计和生产产品或提供服务时必会伴随着信息流[1]。只有合理使用信息,才能最大程度发挥企业的生产能力;(2)企业为了生存,必然会有一些保密信息,如果这些信息被泄漏,会导致竞标失败等问题,构成企业的生存威胁;(3)在黑客和病毒日益猖獗的网络环境下,企业不仅要保护自身信息的安全,还要保护客户的信息。企业面对信息时存在两难:即需要对信息进行有效的保护,又需要很好的利用各种信息。企业需要在各种有利和无利的因素中仔细考虑各种控制措施及其对企业造成的正面和负面的影响。
   信息本身是无形的,它的流动需要附着于一定的载体。这些载体可称为信息介质,包括磁盘、磁体、纸张、电磁波等类型。同时,信息介质需要在一定的条件和环境下才能使用。因而,谈及信息安全时,谈论的不仅仅是信息本身,还包括信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器、无线网卡等)和环境等(例如员工、室内空调等)资产.
   为简单起见,可把信息、载体及其环境等统称为信息资产。要保护信息,就需要对这些信息资产都进行保护,若孤立的看待某一点,将容易造成信息保护的缺失,致使企业受损。
   2:信息资产的安全
   与上世纪末企业的信息安全着力与围绕信息系统本身所采用的技术手段解决不同,当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息资产的安全[2]。
   1.1 信息资产的安全属性
   信息是经过分析,可以共享和理解的数据或资料。信息资产的基本安全属性包括保密性、完整性和可用性,在此基础上又扩展出了可追溯性和不可否认性等特性[1]。
   (1)保密性是指信息不能被未经授权的个人、实体或者过程利用或知悉的特性。例如,生产控制参数的保密。信息安全的保密性要求尽可能少的人能接触到重要信息,也就是说,除了相关的工作人员外,其余人员不得接触。
   (2)完整性是指信息的准确和完整,不被冒充、伪造和篡改的特性。例如,生产控制参数的修改需要双人进行。信息的完整性要求所提供的信息必须是准确和全面的,不完整的信息会导致错误的决策,给企业带来损失。
   (3)可用性指根据授权实体的要求可访问和利用的信息特性。例如,设计方修改控制参数后及时通知生产方,生产方及时使用新的参数组织生产。信息的可用性要求在需要的时候信息能为相关部门所用,如果信息在需要的时候不可用,则难以保证企业生产的正常运作。
   (4)可追溯性指从一个实体的行为能够唯一追溯到该实体的特性。例如,对控制参数审批人的查询。
   (5)不可否认性又称真实性,是指一个实体不能否认其行为的特性,可用于责任追究等方面,例如合作伙伴不能否认他发送过的电子邮件。
   除上述特性外,信息安全还可以有一些其它特性,诸如可维护性等。但在信息安全中,保密性、完整性和可用性尤为重要,许多其它特性都可从中派生出来。因此,保密、完整和可用是信息安全的主要关注点。
   1.2 信息资产生命周期的安全
   与其它事物一样,信息也有从创建到消亡的整个生命过程。显然,在信息的整个生命周期中都存在着各种信息风险隐患,要很好的利用信息支持企业生产,就需要对信息生命的整个周期进行管理。信息生命周期从建立至废弃要经过建立、传送、使用、存储、处理和废弃六个阶段,
   信息在其生命周期中,需要借助多种信息资产来体现其价值。但恶意或不当的行为又在有意或无意的损害着信息资产,为了保护信息,需要妥善的处理各种信息资产。
   3:信息资产的保护
   为了保护企业的信息资产,ISO组织在总结诸多企业信息安全成功实践的基础上提出了信息安全管理体系ISO/IEC 27001:2005,又称ISMS。
   2.3 信息安全管理体系模型介绍
   企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。因此,在构建企业信息安全管理体系时,需要综合考虑各个方面的安全[3, 4],做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台[5]。ISO组织提出的信息安全管理体系模型将这些方面进行归纳总结,提出了安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统的获取、开发和维护、信息安全事件管理、业务连续性管理、符合性等企业构建信息安全时应注意的11个领域,如图3示。这些领域又可延伸出内部组织、外部各方措施等39个控制目标和信息安全方针文件等133项控制措施[4]。
   但该标准只规定了要基于业务风险评估去建立体系,并未描述采用何种方法去选择相关的控制措施。为此,企业应立足自身实际,依据一定的原则去选择控制措施控制信息安全。
2.4 信息资产安全属性的特性
   信息资产最重要的三个属性是可用性、保密性和完整性。其中可用性和保密性有如图4所示的特性。
   对于可用性,硬件平台的要求是最高的,如果平台不可用,那么会导致信息不可用;对于保密性,信息自身的要求是最高的,如果信息保护妥当,纵使入侵者入侵了硬件平台,也未必就一定能获取所需信息。
   2.5 控制措施选择的多重压力
   企业在实际的运行管理中,选择控制措施时面临着多重压力:
   (1)资金投入平衡点。资产保护到达临界点时组织的盈利能力达到最强,但是在此基础上加大资产控制措施的投入,一般不会再增加组织的盈利能力,而且由于成本的增加,会导致盈利能力下降,
   (2)保护力度的选择。如对信息资产的保护力度过大,将会影响企业对信息的利用,信息流转不便,不能最大化信息的价值;如对信息资产的保护力度不足,又易造成对信息的失控。
   (3)信息安全属性的两重性。从图4可以看出,保密性和可用性虽同属于信息安全的二个基本属性,但在表现方式上差异较大。保密性高的信息,应比保密性低的信息有更强大的访问措施。然而,保密措施越强大,对信息的访问控制通常也就会更严格,相应的,拒真的可能性也就越大。以口令设计为例,强健的口令可以有效的阻止非授权人员的访问,但同时又使得合法人员难以记住口令,导致合法人员有效使用信息的可行性降低。
   3控制措施的选取原则
   虽然ISMS提出了基于风险评估来构建企业信息安全管理体系,但未指出企业在成本、人员、业务等众多受限因素下选取安全控制措施的办法和原则,企业在实际中仍面临着如何选择控制措施的问题。为确保企业信息的可用性、完整性和机密性,企业在日常运作时可遵守以下原则:
   3.1 合规性原则
   企业在市场竞争中必须符合一定的规范。其信息安全合规性大致有以下几点:(1)符合法律法规的要求。法律法规是强制执行的,企业应遵照法律法规的要求合法开展业务,选择信息安全控制措施。(2)符合客户和第三方的要求。企业在选择控制措施时应考虑贸易伙伴、承包方等客户和第三方的合同要求。(3)符合企业业务的要求。企业的整体业务策略与目标需要遵循一定的内部业务流程,合理的控制措施应在其上开展。
   3.2 权限最小化原则
   受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。
   3.3 分权制衡原则
   对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时可采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员和系统管理员通常不应被授权于同一员工。
   3.4 连续分层原则
   没有一种特定的控制措施可以对抗所有可能存在的威胁。通常情况下,威胁作用于信息资产需要经过一条攻击路径。为保护信息资产,可识别该条攻击路径上必经的节点,将每个节点上采取的安全措施视为一个安全控制层。这样,一条攻击路径上的多个连续节点形成连续的层级,当某一安全控制措施失败时就不会出现信息安全管理体系整体崩溃的状况。
   3.5 纵深防御原则
   对信息资产的安全保护采取多种不同的保护措施,以确保其中某一个或几个安全措施失效时,信息仍能受到有效保护。它是建立在不同信息保护类型基础上的综合保护。例如,对公司存放在服务器上源代码,为防范源代码的窃取,应有网络流量监控、服务器访问控制、源代码加密等措施。
   3.6 互为补偿原则
   许多企业受限于规模、场地等客观条件限制,难以采用上述机制选取控制措施,此时,应选用其它措施以对某些措施未能实施的补偿。通过补偿机制,可以弥补控制措施方面的一些缺陷。例如,受限于人员和成本因素,对许多小型企业,由同一人担当网络管理员和系统管理员的情况比较常见。此时,可安排另一员工,负责网络管理员和系统管理员日志的定期审计工作,通过定期审计来制约可能存在的信息安全破坏。
   4 结论
   信息安全管理体系的构建对企业高效运行具有重要意义。信息安全控制措施的选取是体系构建的重要一环。但信息安全管理体系只描述了要遵从风险评估来构建体系,却并未阐明企业应如何选择安全控制措施。事实上,企业选择控制措施时要考虑成本、业务等因素。为此,企业应立足自身实际,从合规性、权限最小化、分权制衡、连续分层、纵深防御、互为补偿等原则出发来选取控制措施。从大量的企业案例来看,企业参照这些原则可以较好的选取合适的控制措施,解决了众多企业无从下手选择控制措施的问题。
   5参考文献
   [1]. 肖锟, 基于风险驱动的企业信息安全管理体系构建. 计算机安全, 2010,4. p. 39-41
   [2]. 信息安全风险管理指南(征求意见稿).
   [3]. 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会, 信息技术  安全技术. 信息安全管理体系要求, 2008.
   [4]. 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会, 信息技术  安全技术. 信息安全管理实用规则, 2008.
   [5]. 肖锟, 浅议网络环境下的企业信息安全管理. 计算机安全, 2010,8. p. 20-23.
   作者简介:肖锟,男,1976生,工学博士,软件工程专业,信息系统项目管理师、系统分析师,研究方向为信息安全管理、IT服务、IT治理和风险管理。
(2012.12)