信息安全規(guī)劃設(shè)計

　　隨著信息技術(shù)的不斷發(fā)展，全球業(yè)務(wù)鏈已經(jīng)越來越依賴信息技術(shù)。與信息技術(shù)相關(guān)的安全問題成為威脅業(yè)務(wù)鏈的重要構(gòu)成部分。傳統(tǒng)的信息安全保護在“木桶原理”的指導(dǎo)下，不斷修補短板，卻缺乏全面、系統(tǒng)的安全規(guī)劃設(shè)計。

　　理解CISP知識體系

　　CISP的核心在于將保障貫穿于整個知識體系。保障應(yīng)覆蓋整個信息系統(tǒng)生命周期，通過技術(shù)、管理、工程過程和人員，確保每個階段的安全屬性（保密性、完整性和可用性）得到有效控制，使組織業(yè)務(wù)持續(xù)運行。IT作為保障業(yè)務(wù)的重要手段和工具成為傳統(tǒng)保障目的的核心。由于風(fēng)險會影響業(yè)務(wù)的正常運行，因此，降低風(fēng)險對業(yè)務(wù)的影響是保障的主要目標(biāo)（如圖）。在建立保障論據(jù)的過程中，首先應(yīng)該考慮的是組織業(yè)務(wù)對IT的依賴程度；其次要考慮風(fēng)險的客觀性；第三要考慮風(fēng)險消減手段的可執(zhí)行度。CISP從體系結(jié)構(gòu)上提供了信息安全規(guī)劃設(shè)計的良好思路和方法論，在整個課程體系中涵蓋了從政策（戰(zhàn)略層）到模型、標(biāo)準(zhǔn)、基線（戰(zhàn)術(shù)層）的縱向線條，同時在兼顧中國國情的情況下，系統(tǒng)介紹國際常用評估標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和國家相關(guān)信息安全標(biāo)準(zhǔn)與政策。

　　根據(jù)CISP知識體系建立安全規(guī)劃設(shè)計

　　安全規(guī)劃是信息安全生命周期管理的起點和基礎(chǔ)，良好的規(guī)劃設(shè)計可以為組織帶來正確的指導(dǎo)和方向。根據(jù)國家《網(wǎng)絡(luò)安全法》“第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。”

　　1.通過保障的思想建立安全規(guī)劃背景

　　信息安全規(guī)劃設(shè)計可以根據(jù)美國信息保障技術(shù)框架（IATF）ISSE過程建立需求，本階段可對應(yīng)ISSE中發(fā)掘信息保護需求階段。根據(jù)“信息安全保障基本內(nèi)容”確定安全需求，安全需求源于業(yè)務(wù)需求，通過風(fēng)險評估，在符合現(xiàn)有政策法規(guī)的情況下，建立基于風(fēng)險與策略的基本方針。因此，安全規(guī)劃首先要熟悉并了解組織的業(yè)務(wù)特性，在信息安全規(guī)劃背景設(shè)計中，應(yīng)描述規(guī)劃對象的業(yè)務(wù)特性、業(yè)務(wù)類型、業(yè)務(wù)范圍以及業(yè)務(wù)狀態(tài)等相關(guān)信息，并根據(jù)組織結(jié)構(gòu)選擇適用的安全標(biāo)準(zhǔn)，例如國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全需要建立在信息安全等級保護基礎(chǔ)之上、第三方支付機構(gòu)可選CISP知識域簡圖擇PCI-DSS作為可依據(jù)的準(zhǔn)則等。信息系統(tǒng)保護輪廓（ISPP）是根據(jù)組織機構(gòu)使命和所處的運行環(huán)境，從組織機構(gòu)的策略和風(fēng)險的實際情況出發(fā)，對具體信息系統(tǒng)安全保障需求和能力進行具體描述。傳統(tǒng)的風(fēng)險評估可以基于GB/T20984《信息安全風(fēng)險評估規(guī)范》執(zhí)行具體的評估，評估分為技術(shù)評估與管理評估兩部分。從可遵循的標(biāo)準(zhǔn)來看，技術(shù)評估通過GB/T22240—2008《信息安全等級保護技術(shù)要求》中物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及數(shù)據(jù)安全五個層面進行評估；管理安全可以選擇ISO/IEC27001：2013《信息技術(shù)信息安全管理體系要求》進行，該標(biāo)準(zhǔn)所包含的14個控制類113個控制點充分體現(xiàn)組織所涉及的管理風(fēng)險。在工作中，可以根據(jù)信息系統(tǒng)安全目標(biāo)來規(guī)范制定安全方案。信息系統(tǒng)安全目標(biāo)是根據(jù)信息系統(tǒng)保護輪廓編制、從信息系統(tǒng)安全保障的建設(shè)方（廠商）角度制定的信息系統(tǒng)安全保障方案。根據(jù)組織的安全目標(biāo)設(shè)計建設(shè)目標(biāo)，由于信息技術(shù)的飛速發(fā)展以及組織業(yè)務(wù)的高速變化，一般建議建設(shè)目標(biāo)以1-3年為宜，充分體現(xiàn)信息安全規(guī)劃設(shè)計的可實施性，包括可接受的成本、合理的進度、技術(shù)可實現(xiàn)性，以及組織管理和文化的可接受性等因素。

　　2.信息系統(tǒng)安全保障評估框架下的概要設(shè)計

　　概要設(shè)計的主要任務(wù)是把背景建立階段中所獲得的需求通過頂層設(shè)計進行描述。本階段可對應(yīng)ISSE中定義信息保護系統(tǒng)，通過概要設(shè)計將安全規(guī)劃設(shè)計基于GB/T20274-1：2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》進行模塊化劃分，并且描述安全規(guī)劃設(shè)計的組織高層愿景與設(shè)計內(nèi)涵；在概要設(shè)計中，還應(yīng)該描述每個模塊的概要描述與設(shè)計原則。設(shè)計思路是從宏觀上描述信息安全規(guī)劃設(shè)計的目的、意義以及最終目標(biāo)并選擇適用的模型建立設(shè)計原則。本部分主要體現(xiàn)信息安全保障中信息系統(tǒng)安全概念和關(guān)系。根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，頂層設(shè)計可以建立在信息安全等級保護的基礎(chǔ)上，綜合考慮諸如建立安全管理組織、完善預(yù)警與應(yīng)急響應(yīng)機制、確保業(yè)務(wù)連續(xù)性計劃等方面GB/T20274-1：2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》提供了一個優(yōu)秀的保障體系框架。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型，并建立了信息系統(tǒng)安全保障框架。該標(biāo)準(zhǔn)詳細給出了信息系統(tǒng)安全保障的一般模型，包括安全保障上下文、信息系統(tǒng)安全保障評估、信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標(biāo)的生成、信息系統(tǒng)安全保障描述材料；信息系統(tǒng)安全保障評估和評估結(jié)果，包括信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標(biāo)的要求、評估對象的要求、評估結(jié)果的聲明等。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。策略體現(xiàn)的是組織的高層意旨，模型與措施作為戰(zhàn)術(shù)指標(biāo)分別為中層和執(zhí)行層提供具體的工作思路和方法，以完成設(shè)計的具體實現(xiàn)。當(dāng)信息安全滿足所定義的基本要素后，為每個層面的設(shè)計提出概要目標(biāo)，并在具體的設(shè)計中將其覆蓋整個安全規(guī)劃中。

　　3.實現(xiàn)建立在宏觀角度的合規(guī)性通用設(shè)計

　　通用設(shè)計可對應(yīng)ISSE中設(shè)計系統(tǒng)體系結(jié)構(gòu)，本階段是整個安全規(guī)劃設(shè)計的核心部分，本階段必須全面覆蓋背景建立階段所獲得的安全需求，滿足概要設(shè)計階段所選擇的模型與方法論，全面、系統(tǒng)的描述安全目標(biāo)的具體實現(xiàn)。通用安全設(shè)計是建立在宏觀角度上的綜合性設(shè)計，設(shè)計首先將各個系統(tǒng)所產(chǎn)生的共同問題及宏觀問題統(tǒng)一解決，有效降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空問題。在通用設(shè)計中，重點針對組織信息安全管理體系和風(fēng)險管理過程的控制元素，從系統(tǒng)生命周期考慮信息安全問題。

　　（1）管理設(shè)計在信息安全管理體系ISMS過程方法論中，可遵循的過程方法是PDCA四個階段：首先，需要在P階段解決信息系統(tǒng)安全的目標(biāo)、范圍的確認(rèn)，并且獲得高層的支持與承諾。安全管理的實質(zhì)就是風(fēng)險管理，管理設(shè)計應(yīng)緊緊圍繞風(fēng)險建立，所以，本階段首要的任務(wù)是為組織建立適用的風(fēng)險評估方法論。其次，管理評估中所識別的不可接受風(fēng)險是本階段主要設(shè)計依據(jù)。通過D環(huán)節(jié)，需要解決風(fēng)險評估的具體實施以及風(fēng)險控制措施落實，風(fēng)險評估僅能解決當(dāng)前狀態(tài)下的安全風(fēng)險問題，因此，必須建立風(fēng)險管理實施規(guī)范，當(dāng)組織在一定周期（例如1年）或者組織發(fā)生重大變更時重新執(zhí)行風(fēng)險評估，風(fēng)險評估可以是自評估，也可以委托第三方進行。本環(huán)節(jié)的設(shè)計必須涵蓋管理風(fēng)險中所有不可接受風(fēng)險的具體處置，從實現(xiàn)而言，重點關(guān)注管理機構(gòu)的設(shè)置與體系文件的建立和落實。第三個環(huán)節(jié)是建立有效的內(nèi)審機制和監(jiān)測機制，沒有檢測就沒有改進，通過設(shè)計審計體系完成對信息安全管理體系的動態(tài)運行。第四個環(huán)節(jié)，即A環(huán)節(jié)，是在完成審計之后針對組織是否有效執(zhí)行糾正措施的落實設(shè)計審計跟蹤和風(fēng)險再評估過程。A環(huán)節(jié)既是信息安全管理體系的最后一個環(huán)節(jié)，也是新的PDCA過程的推動力。

　　（2）技術(shù)設(shè)計技術(shù)設(shè)計主要是建立在組織平均安全水平基礎(chǔ)上，應(yīng)可適用于組織所有的系統(tǒng)和通用的技術(shù)風(fēng)險。設(shè)計可遵循多種技術(shù)標(biāo)準(zhǔn)體系，首先建立基于信息安全等級保護的五個層面技術(shù)設(shè)計要求。通過美國信息保障技術(shù)框架建立“縱深防御”原則，其具體涉及在訪問控制技術(shù)和密碼學(xué)技術(shù)支撐下的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全。技術(shù)設(shè)計可在原有的技術(shù)框架下建立云安全、大數(shù)據(jù)安全等專項技術(shù)安全設(shè)計，也可在網(wǎng)絡(luò)安全中增加虛擬網(wǎng)絡(luò)安全設(shè)計等方式，應(yīng)對新技術(shù)領(lǐng)域的安全設(shè)計。技術(shù)設(shè)計可以包括兩個主要手段：第一，技術(shù)配置。技術(shù)配置是在現(xiàn)有的技術(shù)能力下通過基于業(yè)務(wù)的安全策略和合規(guī)性基線進行安全配置。常見的手段包括補丁的修訂、安全域的劃分與ACL的設(shè)計、基于基線的系統(tǒng)配置等手段；第二，技術(shù)產(chǎn)品。技術(shù)產(chǎn)品是在現(xiàn)有產(chǎn)品不能滿足控制能力時通過添加新的安全產(chǎn)品結(jié)合原有的控制措施和產(chǎn)品統(tǒng)一部署、統(tǒng)一管理。在技術(shù)設(shè)計中，必須明確的原則是產(chǎn)品不是安全的唯一，產(chǎn)品也不是解決安全問題的靈丹妙藥，有效的安全控制是通過對產(chǎn)品的綜合使用和與管理、流程、人員能力相互結(jié)合，最終形成最佳的使用效果。

　　（3）工程過程設(shè)計工程過程設(shè)計重點考慮基于生命周期每個階段的基于安全工程考慮的流程問題，在信息系統(tǒng)生命周期的五個層面。信息安全問題應(yīng)該從計劃組織階段開始重視，在信息系統(tǒng)生命周期每個階段建立有效的安全控制和管理。工程過程包括計劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段，本階段的設(shè)計主要通過在每個階段建立相應(yīng)的流程，通過流程設(shè)計控制生命周期各個階段的安全風(fēng)險。在計劃組織（需求分析）階段，體現(xiàn)信息安全工程中明確指出的系統(tǒng)建設(shè)與安全建設(shè)應(yīng)“同步規(guī)劃、同步實施”，體現(xiàn)《網(wǎng)絡(luò)安全法》中“三同步”的要求。在開發(fā)采購階段，通過流程設(shè)計實現(xiàn)軟件安全開發(fā)的實現(xiàn)和實現(xiàn)供應(yīng)鏈管理。實施交付階段，關(guān)注安全交付問題，應(yīng)設(shè)計安全交付流程和安全驗收流程。運行維護階段要體現(xiàn)安全運維與傳統(tǒng)運維差異化，安全運維起于風(fēng)險評估，應(yīng)更多關(guān)注預(yù)防事件的發(fā)生，事前安全檢查的基線設(shè)計、檢查手段及工具的選擇和使用根據(jù)設(shè)備的不同重要程度建立不同的檢查周期；當(dāng)系統(tǒng)產(chǎn)生缺陷或者漏洞時，設(shè)計合理的配置管理、變更管理及補丁管理等流程解決事中問題；當(dāng)事件已經(jīng)產(chǎn)生影響時，可以通過預(yù)定義的應(yīng)急響應(yīng)機制抑制事件并處置事件；當(dāng)事件造成系統(tǒng)中斷、數(shù)據(jù)丟失以及其他影響業(yè)務(wù)連續(xù)性后果時，能夠通過規(guī)劃中的災(zāi)難恢復(fù)及時恢復(fù)業(yè)務(wù)。廢棄階段通過流程控制用戶系統(tǒng)在下線、遷移、更新過程中對包含有組織敏感信息的存儲介質(zhì)建立保護流程和方法，明確廢棄過程中形成的信息保護責(zé)任制，并根據(jù)不同的敏感采取不同的管理手段和技術(shù)手段對剩余信息進行有效處置。

　　（4）人員設(shè)計人員安全是信息安全領(lǐng)域不可或缺的層面，長期以來，過于關(guān)注IT技術(shù)的規(guī)劃設(shè)計而忽略了人的安全問題，內(nèi)部人員安全問題構(gòu)成了組織安全的重要隱患，人為的無意失誤造成的損害往往遠大于人為的惡意行為。人員設(shè)計重點關(guān)注人員崗位、技術(shù)要求、背景以及培訓(xùn)與教育，充分體現(xiàn)最小特權(quán)、職責(zé)分離及問責(zé)制等原則。根據(jù)《網(wǎng)絡(luò)安全法》第四章要求，關(guān)鍵基礎(chǔ)設(shè)施應(yīng)建立信息安全管理機構(gòu)，并設(shè)置信息安全專職人員。在人員設(shè)計中還應(yīng)充分考慮到第三方代維人員的管理及供應(yīng)商管理等新問題的產(chǎn)生。

　　4.構(gòu)建等級化保護的層面間設(shè)計

　　在通用設(shè)計中，可以基于組織平均安全水平建立規(guī)劃設(shè)計，而本階段主要為滿足不同等級化業(yè)務(wù)系統(tǒng)的強化安全保護要求。層面間設(shè)計可以基于系統(tǒng)的具體特征有針對性地對系統(tǒng)安全性進行深度分析。本階段的設(shè)計可以建立在信息安全等級保護的符合性原則之上。5.合理安排工程實施計劃工程實施計劃必須根據(jù)背景建立階段中的建設(shè)目標(biāo)，將信息安全規(guī)劃設(shè)計根據(jù)組織風(fēng)險優(yōu)先級及成本投入等因素分期實施。安全規(guī)劃設(shè)計通過技術(shù)（技術(shù)產(chǎn)品、技術(shù)配置）、管理（組織建設(shè)與體系文件建設(shè)）、工程過程（流程建設(shè)、流程梳理與流程控制）及人員（崗位設(shè)置、崗位原則、職責(zé)劃分）四個方面設(shè)計，在每個階段可根據(jù)組織實際情況分期實施，并合理分配工程預(yù)算。信息安全規(guī)劃設(shè)計不用拘泥于某一種模式或者類型，CISP知識體系建立基于生命周期的信息安全保障體系，為信息系統(tǒng)安全規(guī)劃設(shè)計提供了良好的參考和依據(jù)，靈活運用各種標(biāo)準(zhǔn)與模型，充分融合技術(shù)與技術(shù)產(chǎn)品，堅持技術(shù)與管理并重的原則，通過流程有效控制工程過程并合理部署和利用人員，實現(xiàn)人、技術(shù)和操作的有機結(jié)合。同時，綜合運用CISP知識體系，不但可以豐富信息安全規(guī)劃設(shè)計的具體實現(xiàn)，也可以為日常運維工作提供必要的參考。

【信息安全規(guī)劃設(shè)計】相關(guān)文章：

《信息技術(shù)的安全使用》教學(xué)設(shè)計07-04

《信息技術(shù)的安全使用》的教學(xué)設(shè)計07-04

學(xué)生信息安全道德培養(yǎng)設(shè)計簡報12-21

《信息安全及系統(tǒng)維護措施》教學(xué)設(shè)計07-05

學(xué)生信息安全道德培養(yǎng)設(shè)計簡報(15篇)01-18

學(xué)生信息安全道德培養(yǎng)設(shè)計簡報15篇01-12

職業(yè)規(guī)劃設(shè)計06-22

設(shè)計職業(yè)規(guī)劃03-24

規(guī)劃設(shè)計招標(biāo)公告11-18

《信息和信息技術(shù)》教學(xué)設(shè)計07-04