广东电网亚运信息安全保障纲要
第三章 方法论
3.1 理念
广州中软公司从安全服务起家,在早期的安全实践中,就已经了解到安全理念、模型和方法的重要性。长期的安全实践使得广州中软相信,能够很好的运用于实践的安全理念、方法和模型才是最好的模型。
安全风险管理理念是中软一直坚持的一个安全理念,其来源于美国兰德公司为美国国防部做的安全调查报告,兰德公司在报告中提出了以风险管理为核心的安全理念,认为世界上没有绝对的安全,也没有永远不会被攻破的安全城堡,以最佳的投资回报去做应该做的和力所能及的事情才是合理的,最终根据金融等其它行业的风险管理经验,结合信息安全的科学和艺术,才确定安全风险管理理念。此理念一经推出立即获得世界范围的共鸣和认同,适应范围很广,在国外,主流国际标准已经全部以风险管理概念为其核心思想(例如:ISO27001),在国内,国家等级保护政策的核心思想也是风险评估。安全风险管理理念有力的破除了中国传统观念中的“绝对安全”的迷信思想,还以其自身的力量以及围绕其衍生的一系列方法、标准,在世界范围内极大的推动了信息安全的发展。
纵深防御理念是广州中软公司所遵从的另一个重要安全理念,其根据风险管理理念衍生而来,也是世界范围内所广泛认同的安全防御建设理念,纵深防御认为没有任何一次层次的安全防御可以解决所有问题,必须是多个层次的防御在优势互补的情况下形成洋葱圈式的防御体系,相互弥补缺点,共同形成强有力的整体防御能力。国际上众多的安全专家、厂商、以及美国国防部制定的信息安全保障技术框架都在各自的领域和范围内解释和运用着纵深防御理念。
从目前来看,深度防御的实践主要来源于美国国防部的研究,认为深度防御原理可应用于任何组织机构的信息网络安全中,涉及三个主要层面的内容:人、技术、操作。
人员 培训 广州中软
(依靠)技术 深度防御技术框架 (进行)操作 安全策略 6 广东电网亚运信息安全保障纲要
安全意识教育 物理安全 场所安全 人员安全 系统安全管理 信息保障要素 安全标准 风险分析(技术评估) 技术、产品及其部署 认证与委派 安全管理 证书、密匙、密码管理 风险分析(合规性检查) 应急响应(分析、监控、告警、恢复)
3.2 安全模型和标准
广州中软公司非常注意对安全理念、模型、方法的研究、积累和实践。注重在实践环境中能够得到很好应用的安全模型。
? CC公共准则提出的安全概念与相互关系,用来形式化的描述安全需求; ? ISO13335或者信息安全风险评估规范(国标)中的要素关系模型用来解
释要素之间的关系;
? ISO27001的PDCA信息安全工程生命周期模型; ? PDR“防护—监测—反应”模型;
? ISO27001、ISO17799信息安全管理体系框架以及最佳实践指导原则; ? 信息安全风险评估规范,国标中对信息安全风险评估的约束性要求; ? 信息系统安全等级保护基本要求,可以作为安全基线而广泛使用; ? IATF信息保障技术框架,信息安全工程与实践所遵从的建设体系。 广州中软采纳的每个安全理念、标准和框架都是在世界或者国内有着广泛的认同,经得起实践的检验。
3.2.1 CC安全概念与相互关系模型
CC给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言,互相之间就更容易理解沟通。例如,用户使用CC的语言表述自己的安全需求,开发者就可以更具针对性地描述产品和系统的安全性,评估者
广州中软
7 广东电网亚运信息安全保障纲要
也更容易有效地进行客观评估,并确保评估结果对用户而言更容易理解。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。这种特点也是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要。
CC的这种结构和表达方式具有内在完备性和实用性的特点,具体体现在“保护轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术类标准对待。其内容主要包括:对该类产品或系统的界定性描述,即确定需要保护的对象;确定安全环境,即指明安全问题——需要保护的资产、已知的威胁、用户的组织安全策略;产品或系统的安全目的,即对安全问题的相应对策——技术性和非技术性措施;信息技术安全要求,包括功能要求、保证要求和环境安全要求,这些要求通过满足安全目的,进一步提出具体在技术上如何解决安全问题;基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的;以及附加的补充说明信息。“保护轮廓”编制,一方面解决了技术与真实客观需求之间的内在完备性;另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略,进而确定应采取的安全措施,包括技术和管理上的措施,这样就有助于提高安全保护的针对性、有效性。“安全目标”在“保护轮廓”的基础上,通过将安全要求进一步针对性具体化,解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构,就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。
广州中软
8 广东电网亚运信息安全保障纲要
所有者希望最小化重视利用对策可能具有可能被减少减少可能意识到利用脆弱性威胁代理导致增加风险到增加威胁到资产希望利用或破坏
CC中的安全概念与相互关系
3.2.2 ISO3335风险要素关系模型
ISO13335风险要素关系模型可以方便的描述各要素之间的关系。
exploit THREATS protect against reduce SAFEGUARDS RISKS VULNERABILITIES increase increase expose ASSETS met by indicate increase have PROTECTION REQUIREMENTS VALUES (hence potential business impact)
广州中软
9 广东电网亚运信息安全保障纲要
3.2.3 PDR模型
PDR模型是美国为了适应建设防护体系、检测体系和响应体系而开发的。是可适应网络安全理论或称为动态信息安全理论的主要模型。PDR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。PDR模型包含三个主要部分: Protection(防护)、Detection(检测)和Response (响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
protection防护response响应detection检测
网络安全防范体系应该是动态变化的。安全防护是一个动态的过程, PDR是广州中软推崇的基于时间的动态安全体系。
3.2.4 ISO27001和ISO17799
源自于英国的BS7799标准,是在英国政府的支持下广泛收集各界组织、企业、机关的信息安全实践的基础上提炼出来的安全标准,后来吸收了ISO系列标准的PDCA生命周期并比照ISO系列标准做了适应性改造后成为国际标准ISO27001和ISO17799,其中ISO27001是信息安全管理体系框架,而ISO17799是实践指南,细化了ISO27001的各种控制措施。
广州中软
10