不少企业或机构的负责人很容易有这样的疑惑:企业或机构的信息系统里安装了大量的杀毒软件、防火墙,也采用了最新的密码技术,但为什么安全事故还是时有发生?他们一般认为使用的安全产品越多越新,效果越好,相当于所有的安全问题都能用安全技术解决。持这种观点的管理者大都过于相信安全产品的作用,甚至认为信息安全就是靠技术和产品支撑。
同时,以下观点也非常流行:安全系统并不需要自己设计,只需去买别人已经设计好的产品直接使用。这种观点认为安全技术只是一种基础设施,对机构的业务与运作不具备特殊性和针对性,所以只需采用现成的最新技术。持这种观点的机构管理者,大多只是为了使信息系统满足国家法规和信息安全标准要求,忽略了信息安全问题对机构的影响,从而也就缺少对机构信息安全需求的考虑。
正是基于这两种观点,很多机构管理者认为只要买来产品直接用,很少考虑这些产品是否真正有效地控制了风险,是否满足了系统以及机构的安全需求。机构管理者对信息安全的认识,一定程度上影响了当前信息安全保障的业务发展,以致存在很多问题。
·机构管理者的信息安全意识不足,机构本身缺乏对信息安全的自发性需求,相当多的信息安全建设是为了满足国家法规和行业标准,使得安全服务人员较少从客户自身的业务需求和发展需要出发,没有考虑不同机构的业务差异。
·客户片面注重系统运维阶段的安全,忽略前期的系统立项和设计,使得安全保障服务大多在客户出现安全问题或紧急事件后才介入,系统预警服务较为薄弱,主动性不足。
·安全保障服务以事件的应急响应,解决当前客户的信息系统所面临的信息安全漏洞为主,缺乏与客户机构业务发展相符的长期性规划,与客户的业务关联度低。
·安全服务业务以分散孤立的咨询服务为主,缺乏系统完整规范的整体安全解决方案服务。
·客户实施信息安全控制时,注重信息安全技术的简单组合和产品堆积,忽视了信息安全管理体系的建设与实施,较少考虑安全控制措施是否有效运行,信息系统的安全程度是否符合机构的业务目标,造成安全控制过度保护或者保护不足。
以上问题主要是源于两个因素。
一是客户对信息安全的重要性认识不足。客户认为当前国内的安全服务主要是为了满足国家法规和行业标准,缺乏对信息安全的自发性需求,抑制了安全服务业务的发展,使得当前信息安全保障呈现以事件响应为主的事后补救或应急状况,没有建立起面向业务的持续性安全保障体系。
二是传统的信息安全保障主要是为客户处理突发的信息安全事件、完善信息安全保障(包括技术和管理)以及提供各种信息安全方面的咨询和培训。安全服务的基础是客户机构的信息安全现状,特别是各种风险、漏洞和技术性缺陷。机构本身的业务需求和长期发展战略对安全需求的影响,缺少深入研究。
第一个原因是根本,第二个原因是第一个原因的延伸。这两个原因导致了当前的安全服务呈现被动性、分散性,对不同业务的信息安全缺少针对性,由此出现安全保障服务并不完全符合客户的业务需求,安全服务赢利增长也迟迟不能得到拓展。
此外,以电子商务为主要业务的企业或其他IT机构,随着业务发展有更多安全需求。企业将决定是否在信息安全方面进行投资,整个决策过程也需要安全专家提供咨询服务,这也是安全服务行业应关注的重点。决策过程会涉及到相当多的利益相关者,例如机构的管理人员、财务人员、技术人员和信息安全专家等等。在这些具有不同专业背景,来自不同岗位和部门,有着不同需求的人员之间进行沟通,也需要有共同的沟通工具,使得他们能对机构的安全目标达成共识,并使每一方的需求能正确清晰地被其他人理解。
为了解决以上传统信息安全保障的问题,我们提出了一种基于业务的信息安全服务体系(Business-based Information Security Service System,BISSS),BISSS利用企业架构(Enterprise Architecture,EA)来进行对客户业务和信息系统的深入分析,并了解客户的业务流程与相关需求。以信息系统开发生命周期的安全考虑(Security Consideration of Information System Development Life Cycle,SC-SDLC)为基础框架,将业务领域从后期的系统运维阶段扩展到整个信息系统生命周期,在系统初始立项阶段就介入,在利用EA对机构业务及信息系统全面分析的基础上,以客户的业务需求作为制定各种安全措施和提供服务的出发点,并为客户的业务发展提供有力保障。
二、基于业务的信息安全服务体系(Business-based Information Security Service System,BISSS)
传统信息安全保障服务通常包括安全改造、安全咨询、安全维护、安全培训等内容。服务的最终对象是客户、企业以及企业的信息系统,但目前却大多集中于系统、网络及人员管理等比较分散狭窄的目标,不成体系,也缺少标准规范,并没有真正融入到企业本身的业务流程。利用EA可以将企业业务及支撑业务的信息系统分解为多类安全服务的对象,通过对每一类对象进行安全需求分析,根据其需求提供相应的安全服务,由此达到了基于业务的企业全方位安全保障的目标。。
2.1 EA基本概念与视角
企业架构(Enterprise Architecture,EA)是一种在信息管理领域受到广泛重视的概念,也是用于帮助机构理解其自身构造及运作方式的管理工具。EA一般用于机构应对日益增长的复杂性,优化机构所拥有的技术资源。从安全角度考虑,EA的建立有助机构深入了解内部的每一个子系统,子系统之间乃至与其它机构之间的交互和安全影响。
EA包含四层架构,这四层体系结构也可视为对机构信息系统分析的视角或层次,分为业务架构(Business Architecture)、信息架构(Information Architecture)、解决方案架构(Solution Architecture)以及信息技术架构(Information Technology Architecture)。根据研究,EA的4个视角将机构及信息系统分为4大类8种抽象概念,即业务架构的组织单元(Organizational Unit)、人员角色(Role)、业务流程(Business Process)以及业务活动(Activity);信息架构的信息(Information);解决方案架构的解决方案(Solusion Component);信息技术架构的处理器(Processor)和通道(Channel)。各对象之间存在关联,相关联的对象间会产生安全影响。当实现了所有对象的安全及其之间联系的安全后,机构信息系统的整体安全也就随之实现。
2.2 基于业务的信息安全服务体系
针对现有安全服务业务的不足,利用EA对机构及信息系统进行分析,基于信息系统开发生命周期的安全考虑(Security Consideration of Information System Development Life Cycle,SC-SDLC),本文为此就提出了基于业务的信息安全服务体系(Business-based Information Security Service System,BISSS),它以SC-SDLC为基础的业务内容如图1所示:
图1:基于SC-SDLC的BISSS业务内容
其中*号注明的是现有的安全服务内容,这些业务主要集中在SDLC第四阶段运营维护阶段。其中解决方案和信息技术的安全需求分析也已部分实现。
2.2.1 初始阶段
①信息安全投资咨询服务
面向业务的核心是从客户的角度出发,在开发信息系统之前,安全服务机构应先从客户角度出发,在深入了解客户的业务领域、发展规划和需求之后,提供相应的安全投资咨询服务,便于客户决定是否在信息安全方面进行投资及投资规模。信息安全投资咨询服务至少要了解以下信息:客户业务领域及发展规划、主要业务流程、业务的安全目标、信息系统现状、可选的信息安全解决方案。
②业务的安全需求分析
业务的安全需求分析在客户决定信息安全投资后进行,主要对业务架构的4种概念进行分析,即组织单元、人员角色,业务流程以及业务活动。每个对象都有其业务属性。业务属性是指每个对象的业务具体特征,不同的需求对象有不同的属性。例如业务流程类别的业务属性为业务类别、集成性;业务活动类别的业务属性为业务功能、逻辑位置、责任追究属性、非常态使用属性。每种概念的安全需求都要从保密性、完整性、可用性、不可认性等安全属性进行分析。对象的业务属性决定了其安全属性,根据安全属性确定安全需求,根据安全需求实施安全控制。以业务活动为例,其业务属性简要建模如图2所示。
图2:业务活动的业务属性模型
·业务功能(Function,F):该属性描述了该业务活动的主要功能。该属性决定了业务活动的重要级别和保密性。业务功能的具体级别划分由管理人员决定。
·关联程度(Relation,R):该属性描述了该业务活动与其他业务活动的关联程度。业务活动与越多的其他活动相关联,R取值越高,对可用性的要求也就越高。
·责任追究属性(Accountability,Ac):该业务活动是否需要责任追究,该属性使得业务活动与角色相关联,主要考虑该业务活动对不可否认性的要求。
·非常态使用属性(Abnormity,Ab):该属性描述了该业务活动有无备用措施或应对误操作的措施,体现了该业务活动对可用性的要求程度,也与该业务活动的价值相关。
·跨界属性(Crossover,Cr):该属性描述了该业务活动是否跨部门,即该活动的输入输出信息是否都在同一个部门内。当该活动的输入输出信息由不同部门使用时,要实现操作日志记录等措施。同时,业务活动的保密性受业务功能影响,可用性受关联程度和非常态使用属性影响,不可否认性受责任追究属性、非常态使用属性、跨界属性等因素影响,业务活动一般不存在完整性的安全需求。
2.2.2 开发设计阶段
信息系统开发设计阶段的部分安全服务已在运维阶段实施,但多属于出现安全问题后的补救,有必要在设计阶段提前进行类似安全保障措施。风险评估,信息安全架构设计、解决方案的安全需求分析、信息技术的安全需求分析都属于这类情况,对此本文不再详述。
①信息的安全需求分析
信息的安全属性主要是保密性和完整性,但某些信息对可用性,不可否认性也有要求。下面对信息的业务属性进行业务属性简要建模,如图3所示。
图3:信息的业务属性模型
·信息类别(Information Type,InfoT):该属性是根据信息的主要应用领域设定,分类可主要参考NISTSP800-60。业务类型影响信息的保密性和价值,具体数值由管理人员和信息安全专家共同决定。
·公开程度(Public Level,PL):该属性决定了该信息能在多大范围内公开及访问权限级别。例如,可将公开程度分为三类或四类:完全公开(所有人都可以访问该信息,PL取值为0)、组织内公开(机构内所有人可以访问,PL取值为2),组织内部分公开(机构内某些部门可以访问,PL取值为3)以及组织间公开(该等级适用于机构信息与其他机构复用,该信息在这些机构内公开,但这些机构外的人无法访问,PL取值为1)。该属性决定信息对保密性的要求。
·复用程度(Reuse Degree,RD):该属性与EA中两个概念相关联,业务层的业务活动(Business Activity)和技术层的通道(Channel)。信息在业务层是以业务活动的输入(Input)或输出(Output)存在,需要分析该信息是多少个业务活动的输入。所涉业务活动越多,该信息对完整性的要求程度就越高。系统里的信息在通道中传输,信息流过的通道越多,信息对保密性和完整性的要求就越高。如输入该信息的业务活动为a,信息流经的通道数为b,RD=a+b。
·人物属性(Role Property,RP):该属性描述了信息的所有权和使用权情况,主要为两种情况,该信息属于该组织,也由该组织使用,RP取值为0;该信息不属于该组织,但由该组织使用RP取值为1。人物属性对信息权限、责任追究以及隐私都会产生影响。例如当信息不属于组织却由组织使用时,组织在使用过程中滥用或泄露有可能造成隐私问题。RP取值还可再根据是否授权细分。
·时间敏感度(Time-sensitive,Te):该属性描述了信息对时间的敏感程度。主要分为三种情况,该信息对时间毫不敏感,Te的值为0;信息在一定时间段内敏感,Te的值为1;以及信息在所有时间段内敏感,Te的值为n(n不为0且不为1)。所有时间段一般不超过机构的生存时间段,Te值可以由机构的首席信息安全官(CISO)决定。时间敏感度对信息的保密性和价值有影响。
②代码安全检测
代码安全检测主要为SC—SDLC第二阶段的“开发的安全测试和评估”提供代码检测服务。虽然目前已有一些代码安全检测技术和工具用于部分安全服务机构所提供的业务,业内却还没有形成“代码安全检测是安全服务体系的必要组成部分”这一共识。为了实现机构及信息系统的安全,作为基础的代码安全是必须的。代码安全检测可以在遵从国家或行业的相关技术标准的前提下,由信息系统开发方或具备一定的检测能力和资格的可信第三方实施。在系统运维阶段也可进行该项安全措施。
③安全控制措施咨询
安全控制措施咨询主要为SC—SDLC第二阶段的安全规划、安全控制开发等提供服务。在充分了解客户的安全需求和现状的基础上,安全规划可由安全服务机构完成;安全控制开发在完成安全规划后进行,技术性的安全控制措施可以由客户采购、自行或外包开发实现,管理性的安全控制措施需要安全服务机构提供各种建议和实施规划。安全控制措施咨询并非仅限于系统开发设计阶段,将延续到系统运维阶段。
2.2.3 实施阶段
实施阶段包括系统验收、安装、正式启动等一系列活动。安全服务机构可提供第三方安全认证与评审。安全认证应在系统最终部署安装之前实施,以此来确定安全控制已按照安全需求实现,即对安全控制进行有效性评估,描述了信息系统真实的脆弱程度。安全控制有效性和信息系统脆弱程度的判断为客户提供了基本信息,以便做出基于风险的决断。
安全评审是由安全服务机构基于已验证的安全控制有效性结果与机构的资产或业务的残余风险评估结果的判断过程,以授权机构能否开始运行信息系统和可以接受系统运行的残余风险。安全认证的判断要严格依赖于风险评估的结果。
安全服务机构主要依赖于完整的安全规划、安全测试与评估的结果、安全控制的规划与方案等因素,以决定是否授权客户的信息系统运作。安全评审由具有一定的评审资格、专业水平和法律依据的机构进行。
2.2.4 最终处理阶段
最终处理是SDLC的最后一个阶段,规定了系统的处置,在这一阶段也不能忽视信息安全。安全服务机构可为信息系统的安全处理和安全改造升级提供服务。
①信息系统的安全处理
当信息系统被转让,淘汰,或不再使用时,必须要确认机构资源和资产已受保护。安全服务机构可以为系统关键信息存档、清理存储设备、处理硬/软件等提供安全咨询,从而使客户进行系统处理时,既保护了机构资产和敏感信息不被泄露,同时也使处理过程符合国家及行业的相关法律和标准规定。
②信息系统的安全升级与改造
当需求变更或者技术改进后,信息系统会演变或转型到下一代。安全服务机构应为客户提供与之相应的安全计划。后续系统的安全开发与当前大部分的技术环境、管理方式、操作信息存在关联。安全服务机构应提供建议或服务,使得客户有序终止当前系统,储存系统的各种虚拟信息,以便于系统信息在未来可以重新利用。同时,安全服务机构有必要针对即将升级改造后的系统提前进行安全规划,规划可以遵从BISSS第一阶段的内容。
三、结语
本文将EA用于客户机构及信息系统分析,以信息系统开发生命周期的安全考虑为基础,提出了覆盖整个信息系统生命周期的基于业务的信息安全服务体系BISSS。BISSS利用EA划分信息系统的各种关键对象,以业务活动和信息为例,进行业务属性建模,确定其安全属性,由此为安全服务提供依据。BISSS将安全服务从传统的系统运维阶段扩展到整个信息系统生命周期,从而使安全服务的业务领域更为广阔。
CIO之家 www.ciozj.com 公众号:imciow