《信息安全保障体系服务白皮书》由会员分享,可在线阅读,更多相关《信息安全保障体系服务白皮书(27页珍藏版)》请在金锄头文库上搜索。
1、文档从网络中收集,已重新整理排版.word版本可编辑.欢迎下载支持.信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二。二O年八月目录1.公司简介21 信息安全保障体系咨询服务31 .1.概述322 参考标准41 .3.信息安全保障体系建设的指导思想424 信息安全保障体系建设的基本原则51信息安全保障体系的内容61 .1.信息安全的四个领域632 信息安全策略体系632.1.1. 信息安全战略732.1.2. 信息安全政策标准体系框架733 信息安全管理体系834 4.信息安全技术体系框架935 信息安全运营体系11生信息安全保障体系的建设过程131 .1.信息安全保障体系的总体建
2、设方法1342 信息安全策略的定义131.1.1. 信息安全策略的通用性特征141.1.2. 信息安全策略的建立过程154.3. 企业信息安全管理体系的建设174.3.1. 安全管理体系总体框架174.3.2. 信息安全环境和标准体系框架184.3.3. 信息安全意识培养184.3.4. 信息安全组织214.3.5. 信息安全审计监督214.4. 企业信息安全运营体系的建设254.5. 企业信息安全技术体系的建设274.5.1. 安全技术设计目标274.5.2. 安全技术体系的建设271 为什么选择安恒信息281 .1.特性2852 优点285.3.效益281 .公司简介杭州安恒信息技术有限公
3、司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。安恒信息公司总部位于杭州高新区,在北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服务。公司成立以来安恒人始终以建立民族自主品牌为己任,秉承“精品创新,恒久品质”的理念,力争打造中国信息安全产业
4、应用安全与数据库安全第一品牌。多年来,安恒信息以其精湛的技术,专业的服务得到了广大客户的青睐,同时赢得了高度的商业信誉。其客户遍布全国,涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。安恒信息目前拥有明鉴、明御两大系列自主研发产品,是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。未来,安恒信息将继续秉承诚信和创新精神,继续致力于提供具有国际竞争力的自主创新产品和服务,全面保障客户应用与数据库的安全,为打造世界顶级的产品而不懈努力。作为200
5、8北京奥组委安全产品和服务提供商,安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。在2009年建国60周年全国网站安全大检查中,公安部和一匚信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。2010年,“安恒信息”作为上海世博会安全产品和服务的提供商,为上海世博会信息安全保驾护航。2010年,“安恒信息”作为广州亚运会安全产品和服务提供商,为亚运会信息安全保驾护航。2 .信息安全保障体系咨询服务2.1 .概述在信息系统介入企业商务运营的初期,企业的商务运营环境相对封闭,对信息数据的交互要求也不高,信息系统可以得到企业的完全控制。而如今的信息系统已经成为企业生产业务
6、系统的一部分,企业商务运营中的大量重要信息交互必须依赖于开放的、互联的网络环境进行。2 word版本可编辑.欢迎下载支持.文档从网络中收集,已重新整理排版.word版本可编辑.欢迎下载支持.自从网络和Internet万维网出现以来,新兴技术和数据信息量激增,虚拟化和云计算增加基础架构复杂性,新兴技术的应用导致安全违规和安全攻击事件的大量增加,数据量每隔18个月翻一番,围绕着信息上下文的存储、安全和发现技术变得越来越重要。信息安全问题越来越凸现出来使得企业规避信息安全风险的需求日趋紧迫。众所周知,即便是在信息安全国际标准和相关最佳实践的指导下,企业按照标准的安全实践方法,设计和实施信息安全解决方
7、案时,依然会遇到很多挑战。企业还必须考虑多平台,多组件架构集成的复杂性,实施安全解决方案的多样性等。信息安全保障体系建设是根据企业业务发展的需要,确立合理的信息安全需求、确立企业信息安全策略,选择安全功能组件,建立一个完整的由信息安全策略体系、信息安全组织体系、信息安全技术体系和信息安全运营体系组成的具备深度安全防御能力的信息安全保障体系。信息安全保障体系建设咨询是杭州安恒信息技术有限公司(以下简称为安恒信息)参考国际国内的信息安全保障体系标准,结合安恒信息在信息安全保障体系建设咨询的最佳实践,为企业打造一个量身定制信息安全保障体系的一个咨询服务解决方案。22参考标准 计算机信息系统安全等级保
8、护划分准则GB17859-1999 信息安全技术信息系统安全等级保护基本要求GB/T22239-2008 信息安全技术信息系统等级保护安全设计技术要求GB/TXXXXX-XXXX 信息保障技术框架(IATF:InformationAssuranceTechnicalFramework) 信息技术安全技术信息技术安全性评估准则GB/T18336-2008 系统安全工程能力成熟度模型(SSE-CMM:SystemSecurityEngineeringCapacityMaturityModel)1.3. 信息安全保障体系建设的指导思想将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以
9、及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全构成的安全保障体系。1.4. 信息安全保障体系建设的基本原则信息系统等级保护原则:企业信息保障体系的建设应该遵从国家信息系统等级保护基本政策,将等级保护的思想融入到信息安全保障体系建设工程中去。多重深度防御战略原则:所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中,人、技术和操作是
10、三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。管理与技术并重原则:“三分技术,七分管理”是信息安全管理的公认的常识,其意义在于指出了信息安全的关键所在:光靠信息安全技术(产品)是很难实现信息安全的目标,加强信息安全管理才是信息安全的解决之道。统一规划,分步实施原则:信息安全是一个牵涉面极广的系统工程,需要进行整体的风险评估和安全策略体系设计、安全组织体系设计、安全技术体系设计以及安全运营体系设计才能从整体上提高信息安全保障的水平,反之任何一个信息安全保障体系的模块失效,则会产生所谓的“短板效应”而造成信息安全保障水平的降低。但是,信息安全保障体系的投入往往不能一步到位,信息安全建
11、设工作也不能在短期内完成,更难于在业务系统的运用中推广。因此,信息安全保障体系建设需要遵守统一规划,分步实施的原则。在规划阶段需要将信息安全保障体系的整体目标、安全需求、安全模型、技术架构、安全原则等设计出来,以指导信息安全的建设工作,识别出信息安全需求的紧迫性,并根据信息安全需求紧迫性的顺序规划信息安全建设的顺序,以实施信息安全建设的分步实施。风险管理和风险控制原则:风险管理是一种有效的信息安全管理和决策技术。一般来说,没有绝对的信息安全,也就是信息安全的风险不可能为零。因此正确的识别风险、合理的管理风险,让信息安全的风险降低可以接受的水平以内,是信息安全管理的指标体系。安全性与成本、效率之
12、间平衡原则:信息安全保障的目标过高,需要的成本将成几何级数的形式上升,并且可能会影响信息使用的效率,但是信息安全保障的目标过低,信息安全事件发生的可能性将增大,信息安全事件的损失将可能增多,因此信息安全保障需要将安全性与成本和效率间进行平衡,以达到信息安全的水平可以接受,但是乂不至于让成本上升太多,以及对信息使用的效率影响太大。3 .信息安全保障体系的内容3.1. .信息安全的四个领域信息安全包括以下四个领域:信息安全策略、信息安全管理、信息安全运营和信息安全技术,如图3-1所示:图3-1信息安全的四个领域其中,信息安全策略包括信息安全的战略和信息安全的政策和标准,而信息安全管理、信息安全运营
13、和信息安全技术则是“企业人-系统”的三元关系: 管理是企业管理的行为(包括安全意识、组织结构和审计监督); 运营是日常管理的行为(包括运营流程和对象管理); 技术是信息系统的行为(包括安全服务和安全基础设施)。可以概述为:信息安全是在企业管理机制下,通过运营机制借助技术手段实现的。信息安全运营是信息安全管理和信息安全技术手段在日常工作中的执行,是信息安全工作的关键,即“七分管理,三分技术,运营贯穿始终”。3.2. 信息安全策略体系信息安全策略体系处于企业信息安全保障体系的最顶层,是业务驱动安全的出发点。主要包括企业战略和治理框架、风险管理框架、合规策略遵从。通过对企业业务和运营风险的评估,确定
14、其战略和治理框架、风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系。3.2.1. 信息安全战略信息安全战略分为企业信息安全战略概述、企业信息安全战略需求分析、企业信息安全战略目标、企业信息安全工作基本原则5个部分。信息安全策略是企业信息安全保障体系的核心,是企业信息安全工作的原则、宗旨、指导,为企业信息安全工作指明了方向。企业信息安全工作是针对企业各信息系统中存在的信息安全风险而开展的。企业的信息安全战略的制定坚持3大原则: 为企业业务发展提供支持和保障信息安全工作的最终目标是要为企业的业务发展提供必要的保障和支持。 在企业信息技术战略规划的基础上制定企业的信息技术远景规划报告是企业
15、现行的信息技术工作开展的最高指导性文件,而信息技术乂是企业信息安全工作开展的必不可少的重要基础,因此企业信息安全战略必须在其信息技术规划的基础上制定。 遵从风险管理的理念信息安全是风险管理中的一个特殊的课题。企业信息安全战略的制定也必须在风险管理的原则下,从风险的角度看待信息安全问题,以风险防范、风险控制的方法开展信息安全工作。3.2.2. 信息安全政策标准体系框架企业信息安全政策与标准体系是信息安全管理、运营、技术体系标准化、制度化后形成的一整套企业对信息安全的管理规定,其体系框架可以分为横向和纵向两个维度,如图3-2所示:图3-2信息安全政策标准体系框架纵向是企业制度/规定的层次化结构,分为信息安全政策、信息安全标准与规范、信息安全指南和细则三个层面。通过信息安全政策、信息安全标准与规范、信息安全指南和细则将信息安全战略逐步细化、落实,指导企业的信息安全工作:4-信息安全政策是在信息安全战略下提出的各信息安全领域的工作目标;是从整个企业管理的高度提出的信息安全工作的方向和原则;是其下信息安全标准与规范、信息安全指南与细则的指导纲领。*信息安全标准与规范是在信息安全政策的思想指导下,制定的信息安全管理制度。其中信息安全标准是针对信息安全的管理和技术标准,是指导性的,不具强制效力。而信息安全规范则是针对信息安全
