最近會需要用到企業信息安全的相關的一些工作內容,寫一些文章記錄一下,補補課。
目錄:什麼是企業信息安全
這裡分瞭幾個小節,大概介紹瞭一下企業信息安全到底做瞭什麼事情,有什麼樣的內容。
第一點:企業信息安全的范圍
第二點:CIA的一個屬性準則,這個比較重要,也是現在經常提起的一個金三角。
第三點:企業中CIA怎麼樣落地
一:企業信息安全的范圍。
企業信息安全的領域大致其實可以分為三個大領域,包括瞭技術控制,管理控制和物理控制。在一般企業當中,基本上這三個領域就包含瞭企業安全的所有的內容。
①:技術控制
訪問控制是什麼意思
比較常見的就是例如說我們賬號控制賬號,某個帳號能訪問哪一個系統,或者某個賬號不能訪問哪一個系統,對賬號的控制,權限的控制都是屬於訪問控制這裡。
然後是網絡安全,網絡安全的話,這裡有分幾個模塊,例如說局域網安全,廣域網安全,城域網安全,真正企業裡面可能用的比較多的,可能就涉及一些交換機的網絡配置、路由器網絡的配置、防火墻的安全的配置,這都是屬於網絡安全裡面
其實是系統安全,系統安全比較容易理解,例如說我們現在Windows有沒有打補丁,Windows的環境變量有沒有做好,該開放的一些權限有沒有開放,這些都是系統安全裡面的,Linux也是一樣的。
還有開發安全,例如說我們開發的模型是不是合理,或者開發時設計架構是不是有邏輯上面的一些不合規的地方,或者開發的時候運用每個腳本工具是不是安全的,是不是有後門或者說開發裡面的中間件,中間件的安全這些都是屬於開發安全。
然後是密碼學,密碼學在各個領域可能都會用到,例如說我們的公鑰基礎設施PKI,對稱性密鑰跟非對稱秘性密鑰,這些都是密碼學裡面的知識。
然後是架構設計,架構設計的意思拓撲的安全,例如我們網絡,拓撲結構是不是符合安全的標準,或者是說服務器的拓撲是不是達到冗餘的效果,這都是架構裡面需要考慮到的安全,也是屬於技術控制領域。
②:管理控制
管理控制是一個很廣度的范圍,首先是安全治理,所謂的安全治理,我們怎麼樣理解呢?我理解治理的意思,其實是管理和執行。
治理其實是一個框架性、概念性的東西,治理主要分為三件事情:
①:管理層需要對我們現在企業裡面要達到什麼安全的級別做方向性的定位,比如現在公司要做安全的等保,要把公司的整個安全級別提高到國傢安全等保的最高級別,這個是管理層需要做的方向性定位。
②:中間的管理層、執行層部門經理,就需要做一些戰略戰術,為瞭完成管理層的方向,要做到等保的這個目標,要做一些方案,要做一些呃制度,可能要想一些策略出來,想一些戰術出來,要怎樣完成管理層下達的目標。
③:接著下面的執行者,執行者要為瞭滿足方案,要做一些執行上的東西,比如采購設備,編寫腳本,完成中層的目標。
治理其實是一個框架性的東西,這個框架性的東西其實是包括瞭管理層定方向,中層定戰略戰術,執行層真正執行上的一些事情,這個就是所謂的治理工作。
然後風險管理,所謂的風險管理,就是評估一下現在的設備不是有沒有達到安全風險的標準,這些標準從何而來呢?我們可以參考國際上面的標準或者民間的一些要求啊,或者是我們自己做安全的評估,例如定量的計算的公式,定性的計算公式,去計算出我們現在風險值,然後做風險的管理。
然後操作安全,這個比較容易理解,就是指我們現在標準執行的內容。
然後是業務連續性的控制,所謂的業務連續性的控制,是跟災難恢復計劃是連貫在一起的,你怎麼樣保證一個業務在達到你的業務需求的連續性不可中斷,然後你要達到一個業務是不可中斷的,首先有災難恢復的制度,有災難恢復的設備,冗餘的設備,所以業務連續性的控制和災難恢復的計劃是連在一起的。
然後是法律法規,例如說我們在做金融行業的,要符合金融的一些要求,做銀行的要符合銀監會,證監會的要求,還有保險和一些行規都要符合他們的一些要求,根據他們的要求去做一些管理的制度,還有就是國傢的法律法規
以上這些我們可以歸結為管理控制
③:物理控制
然後是物理的控制,包括環境的安全,工作區的分離等
環境的安全怎麼理解?例如說我們現在的這個辦公室,它的位置是不是離警察局比較近,或者是離機場比較近,有沒有噪音,有沒有幹擾等等,實際過程中我們要看一下到底我們真正的企業需要做到的什麼樣的效果,什麼樣的需求。
然後佈線,佈線為什麼單獨拿出來說一下,因為現在企業都是信息化網絡,是需要網絡來做支撐支持的,線路的安全要求,這是非常必要的
然後數據的備份,數據備份這裡主要指一些硬件。比如磁帶的數據備份,這也是屬於物理安全的,也是屬於物理安全控制的范圍。
所以總結的來說,企業信息安全的范圍到底是什麼呢?一句話,保護企業信息安全資產的相關工作,我們就可以理解為是企業信息安全的范圍。
二:國際通用的信息安全CIA準則
CIA準則不管去到哪裡都適用,因為信息安全說得最多的就是這三點,保密性、完整性、可用性,我們說一下這三點到底說瞭什麼樣的內容:
保密性信息不能泄露給未授權者,保證適合的人可以看到信息,意思就是你信息要保密。信息怎麼樣保密呢?通過介質,介質怎麼樣保密呢?可能是物理的一些方式,最終就是讓信息不給未授權的人看到,達到這個效果,這叫做保密性。
完整性,完整性的意思就是防止文件未授權的更改。比如說我這個文件發給瞭B,但是忘記把這個權限調為隻可讀,然後B就把文件更改瞭,那他就是未授權的更改。
可用性 可用性的意思就是根據用戶要求訪問使用的需求去訂做的一個方案
在企業中CIA應該如何落地:
在企業當中CIA到底應該怎樣落地的呢?有很關鍵的三點:
依據范圍,參考屬性,安全計劃
首先是依據現在的范圍,參考屬性,然後再定制安全的計劃。依據什麼樣的范圍:就是我們現在要做什麼樣的事情。比如說去到一個企業裡面,客戶說他們要做一個系統放在雲上面,這就是他們的一個需求,這也就是他們的一個范圍,那信息安全的人員要怎麼樣才保證雲上面這個系統安全呢,,那我們就可以參考CIA的屬性,看一下它首先滿不滿足這個系統在雲上面是不是24小時都能用,24小時能用是不是滿足我們業務的需求呢?怎麼保證這個24小時能用呢?放在雲上會不會斷電?怎麼保證它不會出故障?這些都是可用性的要求
然後保密性,雲上面的傳輸的數據是否達到安全的加密的要求呢?怎麼保證未授權的人不能訪問這個數據,可以檢查一下前端的頁面是否加密處理過。前端頁面是用HTTP還是HTTPS的,這個都是保密性
然後完整性。訪問控制,怎麼保證什麼人什麼賬號才能訪問這個系統,什麼人什麼賬號不能訪問這個系統,然後我們根據這些告訴客戶,你要在雲上做這個系統,你要滿足這一些需求,現在需求也下來瞭,我們接著就是做安全的計劃,去實現需求。
這個就是在企業裡面CIA到底怎麼樣落地的一個工作。
