CISP官方教材解讀之第一章——信息安全保障
2022-03-14閱讀 296

我們大家都知道未來所有企業(yè)都要進行不同程度的數字化轉型,也就是所有企業(yè)都在信息化的路上。企業(yè)的業(yè)務對于信息化的依賴逐年提高,企業(yè)對信息化的依賴和信息資產自身的復雜性不斷加大和催生眾多信息安全問題。根據不完全統計,軟件信息系統的缺陷的增長速度趨向于與軟件代碼行數的平方成正比關系。也就是越是復雜系統,其由于自身缺陷所帶來的脆弱性越加嚴重。而脆弱性是風險發(fā)生的關鍵要素,從安全的視角,風險就是威脅利用資產或一組資產的脆弱性對組織機構造成傷害的潛在可能。而這種威脅可以來自業(yè)務資產所屬企業(yè)的內部或外部,故而需要考慮對企業(yè)資產的信息安全采取保障措施。


 CISP
認證的指定教材《注冊信息安全專業(yè)人員培訓教材》的第一章系統介紹

了信息安全的意義,以及信息安全保障所涉及的方方面面。

       

在教材的第35頁,我們可以看到一個符合國標的信息系統安全保障模型。該模型強調信息系統安全保障應貫穿于整個信息系統生命周期的全過程。通過綜合技術、管理、工程和人員的安全保障要求來實施和實現信息系統的安全保障目標。技術涉及到教材的第7-10章的內容,分別介紹了密碼學、物理與網絡通信安全、操作系統安全和軟件安全開發(fā)等相關事宜。管理涉及到教材的第2-4章的,涉及網絡安全法、安全管理和業(yè)務連續(xù)性管理等核心內容。工程涉及第5章,安全工程與運營。人員涉及安全文化的建立、安全意識的培養(yǎng)和持續(xù)培訓,并關聯網絡安全道德準則。

 

   第一章的信息安全保障所涉及的核心內容總結如下:

 

   1、信息安全的障目標是對組織機構有價值的信息資產的CIA三要素不被破壞;

   2、CIA是指保密性(Confidentiality)、完整性(Integrity)和可用性(Availability);

   3、保密性:也稱機密性,保護敏感的信息不被非授權的泄漏或竊聽。比如說公司的保密性的郵件或你自己私密的照片不能被不相關的人看到;

   4、完整性:確保數據、信息或軟件的精確和完備。它強調的是系統相關數據的完整性,沒有被篡改。通常指數據庫的數據交易失敗的回滾機制,還有交易的一致性,比如說你在ATM機上取錢,你所取的金額和實際上銀行扣除的金額要相符;

   5、可用性:確保信息和重要的IT服務是在有訪問需求的時候總是可用的,沒有被惡意破壞。我們都希望當你每次想在ATM機上取錢都能夠取到,尤其是在過節(jié)或過年的時候,ATM一定要有錢可以?。?/span>

   6、我們都知道一個系統的保密性通常與可用性是一對矛盾共同體。要想提升保密性,有時就需要犧牲系統的可用性或訪問的便捷性。比如企業(yè)設置多重防火墻和嚴格近乎苛刻的訪問策略(比如只開特定的網絡訪問端口)就是在提升保密性,但是也無形中降低了一定系統可用性和訪問的便捷性;

7、如果我們把保密性和可用性比喻成蹺蹺板兩頭,那么完整性是蹺蹺板的支點。由完整性引申出更多的安全要素,如真實性、可問責性、不可否認性和可靠性等;

8、針對安全,國家倡導技術和管理并重,保護和震懾并舉的戰(zhàn)略指導原則。企業(yè)可以通過建立威脅情報和態(tài)勢感知平臺,對潛在入侵等信息安全事件進行主動管理,并起到一定的威懾作用。我們也需要做好針對企業(yè)員工的安全教育,逐步降低社會工程學攻擊所帶來的任何負面影響;

9、社會工程學是一種通過對受害者心理弱,如本能反應、好奇心、信任、貪婪等進行利用,實現對受害者進行欺騙以獲得自身利益的方法;

10、通過信息安全保障框架的諸多模型來對企業(yè)人員進行有針對性的安全教育。比如PDR(保護-檢測-響應)模型是基于時間的安全模型,強調系統能夠支持的防護時間(Pt)一定要大于檢測時間(Dt)和響應時間(Rt)之和。檢測時間是從發(fā)起攻擊到檢測到攻擊的時間。響應時間是從發(fā)現攻擊到做到有效處置的時間。只有Pt>Dt+Rt,才能證明系統是安全的;

11、信息系統的安全防護是一個全方位的系統工程,比如在信息安全保障技術框架(IATF)中就提到需要關注三個核心要素和四個焦點領域。三個核心要素分別是指人、技術和操作。人作為信息系統的主體,是第一要素。人針對安全需要做到主動管理,即操作的要素。比如在企業(yè)內部設置必要的安全策略、發(fā)起安全審計、定期的風險評估和信息安全事件的應急演練等。

12、安全需要從企業(yè)的戰(zhàn)略和架構層面來考量。企業(yè)架構我們可以參考開放組織(Open Group)推出的TOGAF架構體系,而安全架構可以參考舍伍德商業(yè)應用安全架構,即SABSA。

 

總之,CISP認證的指定教材的第一章介紹了信息安全保障工作的方方面面,對我們后續(xù)學習其他章節(jié)有一個提綱挈領和宏觀的指引作用。