企业信息安全框架漫谈
      
随着数据泄露、黑客攻击等安全事件在全球范围内的不断出现,信息安全工作的重要性已经为全世界所接受,尤其是企业,目前都将信息安全工作提到了战略性的高度。然而,企业信息安全究竟要做什么?要关注哪些方面?如何来落实?这些问题一直困扰着各个企业的CSO、CIO和CEO们,因此,本文将从信息安全的定义出发,来对企业信息安全框架及其实施内涵进行讨论。
1、传统信息安全的定义
“信息安全”曾经仅是学术界所关心的术语,就像是五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在,“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知,尽管尚不能与“计算机”这个词汇的知名度所比拟,但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全”的理解则往往各式各样。种种偏差主要来自于从不同的角度来看信息安全,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
关于信息安全的定义,以下是一些有代表性的定义方式:
1)        国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。”
2)        我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
3)        英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。”
4)        美国国家安全局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘IA’。它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。”
5)        国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
从信息安全的作用层面来看,人们首先关心的是计算机与网络的设备硬件自身的安全,就是信息系统硬件的稳定性运行状态,因而称之为“物理安全”;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,因而称之为“运行安全”;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括对信息系统中所加工存储、网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全”。因此,就信息安全作用点来看问题,可以称之为信息安全的层次模型,这也是国内学者普遍认同的定义方式,如图1所示。

数据(信息)安全
运行(系统)安全
物理(实体)安全
图1 一种信息安全的层次模型
从信息安全的基本属性来看,机密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是确保信息及信息系统能够为授权使用者所正常使用。这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Avaliability),如图2所示。
 
机密性(C)
完整性(I)               可用性(A)
图2 信息安全金三角模型
 
2、当代信息安全的新内容
从信息安全的作用层次来看,前面已经介绍了人们所关注的三个层面,即物理安全层、运行安全层、及数据安全层。但是,还有两个层面尚没有人在同一个框架之下给出清晰地描述。一个是关于信息内容的安全问题,一个是关于信息对抗的问题,而这两个层面的安全问题也是业界普遍关心的问题。所不同的是,内容安全更被文化、宣传界人士所关注;而信息对抗则更被电子对抗研究领域的人士所关注。
信息内容安全的问题已经深刻地展现在现实社会的面前,主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散,其信息内容或者像脚本病毒那样给接收的信息系统带来破坏性的后果,或者像垃圾邮件那样给人们带来烦恼,或者像谣言那样给社会大众带来困惑,从而成为社会不稳定因素。但是,就技术层面而言,信息内容安全技术的表现形式是对信息流动的选择控制能力,换句话说,表现出来的是对数据流动的攻击特性。
信息对抗严格上说是信息谋略范畴的内容,是讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。从本质上来看,信息对抗是在信息熵的保护或打击层面上讨论问题,也就是围绕着信息的利用来进行对抗。
业界著名的信息安全专家方滨兴院士在深入分析和继承了传统信息安全的定义前提下,根据当前国际信息安全的发展现状,给出了信息安全四要素,并重新概括和界定了新线圈的内涵和外延。
在诸多信息安全的属性中,分析可见,机密性、真实性、可控性、可用性属于基本属性,相互不能蕴涵。其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。而其它属性,包括实用性、完整性、合法性、唯一性、不可否认性、特殊性、占有性、可追溯性、生存性、稳定性、可靠性等,则属于上述四个基本属性的某个侧面的突出反映,因此可以归结为这四个基本属性之中。其中实用性反映的是机密性在密钥依赖方面的机密属性;完整性、合法性、唯一性、不可否认性、特殊性分别反映的是真实性在信息内容本身、信息来源、信息系统行为主体、信息的发布行为、信息熵方面的真实属性;占有性、可追溯性分别反映的是可控性在对信息资源的保护、对信息及信息系统行为的审计能力的反映;生存性、稳定性、可靠性分别反映的是可用性在信息系统的容灾能力、信息系统的健壮能力、信息系统的可靠能力方面的可用属性。由此,机密性、真实性、可控性、可用性这四个基本属性实际上就是信息安全的四个核心属性,可以反映出信息安全的基本概貌。相对信息安全金三角而言,可称之为信息安全四要素,简称CACA,如图3所示。
机密性(Cf)            真实性(Au)
 
 
可控性(Ct)            可用性(Av)
 
 
图3 信息安全四要素
根据这一思路,重新定义信息安全的概念如下:信息安全是对信息系统、信息与信息的利用的固有属性(即“序”)攻击与保护的过程。它围绕着信息系统、信息及信息熵的机密性、真实性、可控性、可用性这四个核心安全属性,具体反映在物理安全、运行安全、数据安全、内容安全、信息对抗等五个层面上。
综合信息安全的层次性特性与安全属性特性,可以形成一个信息安全概念的经纬线,如表1所示:
                                        表1 信息安全概念的经纬线
 
机密性
真实性
可控性
可用性
物理安全
 
运行安全
 
数据安全
 
内容安全
信息对抗
 
 
3、企业信息安全框架及其实施内涵
从上一节的介绍不难看出,当代信息安全定义在企业信息安全中的使用还存在如下几个问题,需要进行进一步改进:
l         概念含糊不清,且没有给出实施的可用参考:只是列出了信息安全需要关注的协议层面、系统单元和牵涉到的几个安全属性;而在安全属性中,流量机密性和机密性本来就是同一回事,所采用的技术也是大同小异,并没有给出企业在信息安全的保障实施过程中的任何可行性建议和手段;
l         忽略了管理安全:该框架只强调技术,而忽略了管理在企业信息安全保障中的重要作用和地位。所谓“三分技术,七分管理”,没有管理的技术难以落到实处,缺乏管理的指导性,盲目的使用技术也是不合理的。
所以,为了根据企业的自身特点来制定可行的企业信息安全框架,我们可以回顾一下方滨兴院士提出的信息安全定义。方滨兴院士提出的信息安全新的定义和内涵有普遍的适用性和实践指导意义,它尤其适用于国家信息安全工作的指导和规范。而企业在参照该定义的前提下,结合企业在信息安全工作的特点,将其中的“信息对抗”改进为“管理安全”,这主要是因为如下2个重要原因:
l         企业的信息安全工作主要是“防”,以防为主,立足自身,基本上不会采取信息对抗的方式来还击外部黑客和不法用户;
l         企业的信息安全工作很大一部分在于满足外部对企业的审核要求,企业对自身员工、资源等的管理要求,这就依赖于管理安全,他们需要参考和遵循许多业界成熟的标准和制度,比如ISO/IEC 27001、萨班斯法案等。
因此,我们形成了企业信息安全框架。其本质是:企业信息安全从技术角度来看是对信息与信息系统的固有属性的攻击与保护的过程。它围绕着信息系统、信息自身及信息利用的机密性、真实性、完整性、可控性、可用性、不可抵赖性这六个核心安全属性,具体反映在物理安全、运行安全、数据安全、内容安全、管理安全五个层面上。如图4所示:
1)        物理安全:是指对网络与信息系统的物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性、生存性、稳定性、可靠性等基本属性。所面对的威胁主要包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障等;主要的保护方式有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。
2)        运行安全:是指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等;所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等;主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。
3)        数据安全:是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等;所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等;主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。
4)        内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象可以是通过内容可以判断出来的可对系统造成威胁的脚本病毒;因无限制扩散而导致消耗用户资源的垃圾类邮件;导致社会不稳定的有害信息,等等。主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等;所面对的难题包括信息不可识别(因加密)、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等;主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制等。
5)        管理安全:是指在信息安全的保障过程中,除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施,以及企业应对外部合规要求、行业要求等所需采取的管理方法和手段等。
图4 企业信息安全框架
而根据图4的企业信息安全框架,在实践的过程中,需要采用各种各样的技术来完成多个安全任务,并参照相应的业界成熟的法规和制度来进行检查,从而完成企业信息安全工作,具体的内容请见表2。
表2 企业信息安全工作内容详表

安全层面
含义
安全任务列表
安全管理依据的相关制度和法规
物理安全
指对网络与信息系统物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性等属性
(1)加扰处理、电磁屏蔽:防范电磁泄露
(2)容错、容灾、冗余备份、生存性技术:防范随机性故障
(3)信息验证:防范信号插入
(4)机房管理:防范非法用户接触和破坏物理设备
(1)GB50174-93《电子计算机机房设计规范》
(2)GA/T390-2002《计算机信息系统安全等级保护通用技术要求》
(3)GB2887-2000《电子计算机场地通用规范》
(4)GB9361-88《计算站场地安全要求》
运行安全
指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性等
(1)建立风险评估体系、安全测评体系:支持系统评
(2)部署漏洞扫描、采用安全协议:支持对安全策略的评估与保障
(3)实施防火墙、物理隔离系统、访问控制技术、防恶意代码技术:支持访问控制
(4)建立入侵检测、入侵防护及预警系统、部署安全审计技术:支持入侵检测和防护
(5)采用反制系统、容侵技术、审计与追踪技术、取证技术:支持应急响应
(6)采用防网络攻击技术,包括Phishing、Botnet、DDoS、木马、社会工程学等防护技术
(7)采用可信计算技术、安全操作系统技术、安全数据库技术:保证基础平台运行安全
(8)采用VLAN、网段隔离技术:支持细粒度的安全控制和策略
(9)采用数据备份和灾难恢复技术:支持重要数据的备份和在灾难情况下的恢复
(1)GA/T 681-2007 信息安全技术 网关安全技术要求
(2)GA/T 682-2007 信息安全技术 路由器安全技术要求
(3)GA/T 683-2007 信息安全技术 防火墙安全技术要求
(4)GA/T 684-2007 信息安全技术 交换机安全技术要求
(5)GA/T 685-2007 信息安全技术 交换机安全评估准则
(6)GA/T 697-2007 信息安全技术 静态网页恢复产品安全功能要求
(7)GA/T 698-2007 信息安全技术 信息过滤产品安全功能要求
(8)GA/T 699-2007 信息安全技术 计算机网络入侵报警通讯交换技术要求
(9)GA/T 700-2007 信息安全技术 计算机网络入侵分级要求
(10)GB/T 20008-2005 信息安全技术 操作系统安全评估准则
(11)GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法
(12)GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
(13) GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求
数据安全
指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等
(1)采用对称与非对称密码技术及其硬化技术、×××等技术:防范信息泄密
(2)采用认证、鉴别、PKI等技术:防范信息伪造
(3)采用完整性验证技术:防范信息篡改
(4)采用数字签名技术:防范信息抵赖
(5)采用秘密共享技术:防范信息破坏
(6)采用隐写技术、水印技术:保护信息
(1)GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式
(2)GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范
(3)GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范
(4)GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求
(5)GB/T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则
(6)GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求
内容安全
指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。主要涉及信息的机密性、真实性、可控性、可用性等
(1)采用文本识别、图像识别、流媒体识别、群发邮件识别等:用于对信息的理解与分析
(2)采用面向内容的过滤技术(CVP)、面向URL的过滤技术(UFP)、面向DNS的过滤技术等:用于对信息的过滤
(3)运用数据挖掘技术:发现信息
(4)部署针对即时通、MSN等应用协议的分析技术:对特定协议的理解
(5)采用VoIP识别技术:对数字化语音信息的理解和分析
(6)采用音频识别与按内容匹配:锁定音频目标进行
目前国家暂无内容安全相关的制度和标准,只有与音、视频,网络协议相关的网络标准,如RFC等
管理安全
在信息安全的保障过程中,除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施
(1)设置独立的安全管理和审计人员:设置安全人员有助于安全工作的开展和全局安全掌控
(2)权限分离:对不同的系统和应用设定与业务无关的安全人员参与,作到权限分离,最大程度地保证企业安全运维
(3)安全制度:设立健全的企业安全管理和运维制度,保证企业安全运维
(4)安全培训:通过培训提高企业人员的安全意识和安全技能,做到有备无患
(5)合规、行业规范满足措施
(1)BS7799
(2)ISO/IEC17799
(3)ISO/IEC27001等