搜索
2020/1/241第四部分网络安全综合解决方案2020/1/242第十二章网络安全方案设计网络安全工程网络安全方案的编写框架实施案例3背景信息技术及Internet迅速发展,已经渗透到当今社会的各行各业。信息技术安全和基于信息技术的系统安全是其中至关重要的组成部分。今天,信息技术安全的概念已从过去政府或国防数据的保密范畴拓展到一般的组织和企业,涉及面也从保护数据的安全扩大到保证交易的安全和服务的安全等诸多方面。在这种情况下,信息技术安全不再是一个单纯的技术问题,而是应该加以系统化的考虑和处理,这就引发了系统安全工程这一新兴学科的蓬勃发展。国家信息安全主管部门对这一发展趋势极为重视,中国国家信息安全评测认证管理委员会已开始着手吸收采纳国际上一些系统安全工程方面的相关标准,这无疑将大大促进中国信息技术安全的发展和提高。4信息系统安全工程信息系统安全工程(InformationSystemSecurityEngineering,ISSE)的含义是为实现客户信息保护需求而进行的某种过程。ISSE是由美国国家安全局发布的《信息保障技术框架(IATF)》3.0版本中提出的设计和实施信息系统安全工程方法。5系统工程过程发掘需求定义系统设计系统实施系统有效性评估用户/用户代表行为间的信息流向对各行为的产物进行评估发掘信息保护需求定义系统功能设计系统实施系统有效性评估安全管理6安全工程(1)——安全需求安全需求的意义:合适的安全需求可以较小的代价控制风险,以满足信息资产的机密性、完整性、可用性和可审性。可以将需求定义成一个系统必须遵守的条件或能力。确定和管理网络信息安全需求对一个组织减少风险是至关重要的。7安全需求的框架资产威胁组织安全策略假设条件安全目标安全需求1)管理层面2)运行层面3)技术层面81)管理层面的安全需求信息分类经营业务影响的分析和风险评估人员安全安全意识和培训变更管理9信息分类等级定义公共属于可公共发布的信息,可通过合适的通道发布,诸如报纸、杂志、、匿名服务器。内部供内部人员知道的信息,不属于公共发布的信息。机密企业信息,如果泄露就会对企业、客户、厂商、员工产生有害影响。这些信息在正常经营下广泛用于员工,但仅限在企业内部控制范围,在未授权情况下,不得向公众发布。严格限制如果这些企业信息泄露,就会引起企业的财经、法律、法规或信誉的危害。这类信息是极为敏感的信息,对专门的、个别人员在访问以前需要得到批准。管理层面的安全需求(1)—信息分类处理10管理层面的安全需求(2)—经营业务影响的分析和风险评估在对一个大的企业定义安全需求时,首先应完成经营业务影响分析(BusinessImpactAnalysis,BIA),弄明白业务功能丢失或降低的影响。BIA标识最关键的资源以及对它们的威胁。风险评估应始于企业经营业务这个层面。通过信息搜集过程,对企业的每个经营单元,在数量和质量方面测量业务功能丢失的影响。信息等级分类处理、经营业务影响分析和风险评估处理是相互依赖的。这些处理对组织定义安全需求起着十分重要的作用。11管理层面的安全需求(3)—人员安全人员安全也是网络安全最关键的范围之一,因为员工是最终负责控制企业敏感信息的传播。对企业人员有以下一些要求:进行员工的审查,对于作为可信角色且有高级访问权限的员工,更必须严格审查;企业必须有合适的监管机制保证角色和责任的正确执行,对所有人员评估;企业必须使员工明白其安全责任;当员工注册、职责变更或离职时,其访问权限必须随之更改。12管理层面的安全需求(4)—安全意识和培训信息安全意识是企业培训课程不可缺少的一部分。设置和保持有效的安全意识课程,应得到各级管理的支持。员工应接受常规的安全培训和提醒,使得组织中的每个人都应关心安全。企业安全培训需求阐明,必须给企业员工提供原始的(新员工)和持续不断的培训,以保持员工的知识、技巧、能力和安全意识达到有效执行所需的水平。13管理层面的安全需求(5)—变更管理应该有一个充分的过程来保证对企业资源的变更全程进行正确的实施和测试。企业变更管理有如下需求:企业系统资源(包括硬件和软件)和支持系统必须建立文档、经过测试系统测试,并在执行以前进行授权;所有的变更请求和系统维护必须标准化,并遵照正式的变更管理过程执行;所有的变更请求必须用结构化方法来评估对资源功能可能的影响;变更管理系统必须提供合适的审计跟踪设施,以跟踪事故及其发生原因。142)运行层面的安全需求运行安全需求致力于支撑正常业务运行所需的控制。运行安全涉及以下一些问题:物理和环境安全控制的实施,用以保护支持企业运行的系统资源的企业设施。应急和灾难恢复计划的制定,用于关键功能的连续运行。应用软件、硬件和系统的维护控制。15物理与环境保护对企业系统资源设施的保护控制是必需的,可以抵御物理和环境的威胁,保持连续运行。必须保证企业数据中心、网络、系统的可用性和连续运行。有专门手段和设备用来保护环境的各种因素(防火、防尘、电力、温度、湿度等)。必须有监控器、火警系统设备测试的设施管理过程,至少每6个月进行一次测试,且建立测试结果文档。数据中心的人员必须进行培训,能对物理安全问题正确响应。有关人员健康、安全的条件要符合国家或地区的法律、法规。数据中心必须使用不间断电源UPS和紧急使用电源EPS,并应定期测试和维护这些设备。任何时间禁止将食品和饮料带入数据中心。必须备有专门的废物存放处并定期清除。必须将各种液体远离设备。在任何时间出口和通道必须畅通。16物理访问控制所有的企业信息设施(包括数据中心、计算机房、网络控制中心以及其他有关的区域)应有适当的物理访问控制,防止非授权访问。数据处理设备的每个组件都必须是安全的,包括计算机、外围设备、终端、控制器以及其他相关设备。必须防止对计算机设备的非授权使用,可用门锁或门卡。应有访问日志。非本单位的人员需要访问数据中心应有书面的许可,这些访问需登记在册,且至少保持一年的记录。防护门的钥匙应由负责安全的部门定期更换。17定期由第三方对访问控制进行考查,审计部门应考查访问控制和访客记录。除了计算机机房的安全,还必须提供合适的大楼安全,如警卫和警门,在下班时间保护所有的设施。提供报警、闭路电视监视器、警卫、标记、仿生网络安全等,以阻止对大楼和控制区的非授权物理访问。所有网络设施必须有访问控制系统的实时监控器。所有安全系统必须有自带的电池后备,应工作在联网环境中,必要时应有独立环境。每个系统必须有可检索的数据存档能力。18经营业务连续性与灾难恢复服务经营业务连续性计划(BusinessContinuityPlanning,BCP)与灾难恢复计划(DisasterRecoveryPlanning,DRP)能使企业在发生重大破坏事件时保持正常的经营业务的运行。BCP在防止可能的偶然事件以及减少由于这些偶然事件引起的对组织的危害方面起着重要的作用,它能及早采取措施以控制这些事件。DRP在灾难发生后,标认恢复所需的关键信息,如技术应用程序、操作系统、人员、数据文件以及时间表,并选择最后采用的变更方案。19BCP和DRP有下面一些要求:必须制订BCP和DRP,且要定期测试;对后备和恢复必须实施综合策略管理,以保证经营业务的需求。数据中心的备份要建文档,包括每天每个服务器的增量备份以及每周的完全备份。灾难恢复框架必须定义其角色和责任、所采用的方案以及计划的结构。所有在场的和离线的关键人员必须有当前的DRP版本,电子版本应离线存储。DRP应覆盖计划和过程两个方面,包括建立通信和网络服务的过程。用来在灾难发生后,重建信息技术场地,重新开始正常的运行,且和保证员工安全的紧急过程相配合。20系统与应用维护系统与应用的维护控制用来监控系统和应用软件的安装和升级。这些控制包括以下方面:系统软件选择;版本控制;移到生产环境前的新系统软件或现有系统软件升级的测试;一旦升级失败退回到以前的版本。21在系统和应用的维护中,企业应提出如下要求:在没有书面授权情况下,用于特定计算机或场地的有版权许可证的产品不应复制到其他计算机或场地;只有授权的并得到企业许可的软件、硬件和设备才可使用、安装或引入企业生产环境;企业的系统和应用软件应根据厂商推荐的安全补丁保持更新。系统和应用软件的当前版本具有处理和安全增强功能。校正缺陷的安全补丁由厂商通知;数据中心系统软件的问题记录应标识问题的严重程度、委托专门人员分析和解决的记录以及问题的及时解决记录等。223)技术层面的安全需求技术安全需求集中在对计算机系统、网络系统及其应用程序的控制。技术安全控制的主要目标是保护组织信息资产的机密性、完整性和可用性。23基本安全属性需求机密性需求保证信息与信息系统不被非授权者获取与使用。信息等级机密性需求公共无内部公共通信上(Internet,拨号)传输需加密,鉴别凭证必须加密。机密所有通信必须加密,用户工作站、桌面机上的文件必须加密。严格限制所有通信必须加密,用户工作站、桌面机上的文件必须加密,仅限于授权用户在企业内部通信。24数据完整性需求必须保证在系统内(操作系统、硬件设备、应用系统、数据库)数据值的一致性;要保持送到系统内部的信息和来自外部系统的信息一致性;必须保证发生系统故障时,能将信息恢复至稳定的状态;还必须保证只有授权用户和授权系统可修改数据。25可用性需求保证信息与信息系统可由授权人正常使用,确保信息与信息系统处于一个可靠的运行状态之下。信息等级可用性需求公共病毒扫描和故障在线恢复后备内部病毒扫描和后备/恢复机密病毒扫描,强的系统配置和变更管理,后备/恢复严格限制病毒扫描,强的系统配置和变更管理,后备/恢复26系统可用性(高、中、低)工程网络及系统高Internet连接高人力资源和工资单高内部网应用高销售和分销高电子邮件、日程中市场中远程访问和控制中技术支持中公司电话簿低基于系统各部分的可用性需求27标识和鉴别需求信息等级标识与鉴别需求公共无内部用户ID和口令(加密的用户名,口令)机密强的鉴别(加密用户名,口令,标记,证书)严格限制强的鉴别(加密用户名,口令,标记,证书)28不可否认需求信息等级不可否认需求公共需要变更控制内部需要变更控制,最少文本变更历史必须保持。机密需要严格的变更控制,系统级文件变更历史必须保持。严格限制需要严格的变更控制,字段级文件变更历史必须保持。需要对生成者和检查者进行数字签名。29授权与访问控制需求信息等级授权与访问控制需求公共需要可选的访问控制内部由经营业务单元或功能授权,需要访问控制机密由经营业务单元或功能授权,需要详细的基于角色的访问控制严格限制由经营业务单元或功能授权,需要详细的基于角色/用户的访问控制30网络安全需求企业应该根据其自身的价值,定义与之相适应的网络资源有效保护水平,使网络安全与网络支持的经营业务处理一致。企业网络安全需求的内容企业网络安全应提供对分布系统的集中管理控制,在网络运行中心对多个数据中心和企业的各个场地实施安全管理;企业网络进入点必须提供一个系统标题,说明系统的使用仅限于授权用户并应指出对非授权用户进入系统的企图会采取的行动。系统标题必须对所有试图访问企业计算机系统的用户显示;所有生产网络设备,包括LAN服务器、路由器和交换器,必须存放在物理安全的区域,并将房间加锁,以防非授权者进入;所有同企业外公司的直接连接或专用网络连接必须得到信息安全部门的批准;所有从Internet或外部网伙伴到企业内部网的通信必须通过企业设置的防火墙。31防火墙安全需求(从工程角度阐述其安全需求)必须通过防火墙在内部网和外联网之间控制访问;必须在不同级别的安全和访问需求的内部网络之间控制访问;内部网络的地址对外部网络必须隐藏起来;必须建立防火墙的文档,至少应包括防火墙的策略及包括每个规则的推理;防火墙和所有网络设备必须提供合适的标识与鉴别控制;防火墙的配置必须能加强内部网的安全,所有