最近会需要用到企业信息安全的相关的一些工作内容,写一些文章记录一下,补补课。
目录:什么是企业信息安全
这里分了几个小节,大概介绍了一下企业信息安全到底做了什么事情,有什么样的内容。
第一点:企业信息安全的范围
第二点:CIA的一个属性准则,这个比较重要,也是现在经常提起的一个金三角。
第三点:企业中CIA怎么样落地
一:企业信息安全的范围。
企业信息安全的领域大致其实可以分为三个大领域,包括了技术控制,管理控制和物理控制。在一般企业当中,基本上这三个领域就包含了企业安全的所有的内容。
①:技术控制
访问控制是什么意思
比较常见的就是例如说我们账号控制账号,某个帐号能访问哪一个系统,或者某个账号不能访问哪一个系统,对账号的控制,权限的控制都是属于访问控制这里。
然后是网络安全,网络安全的话,这里有分几个模块,例如说局域网安全,广域网安全,城域网安全,真正企业里面可能用的比较多的,可能就涉及一些交换机的网络配置、路由器网络的配置、防火墙的安全的配置,这都是属于网络安全里面
其实是系统安全,系统安全比较容易理解,例如说我们现在Windows有没有打补丁,Windows的环境变量有没有做好,该开放的一些权限有没有开放,这些都是系统安全里面的,Linux也是一样的。
还有开发安全,例如说我们开发的模型是不是合理,或者开发时设计架构是不是有逻辑上面的一些不合规的地方,或者开发的时候运用每个脚本工具是不是安全的,是不是有后门或者说开发里面的中间件,中间件的安全这些都是属于开发安全。
然后是密码学,密码学在各个领域可能都会用到,例如说我们的公钥基础设施PKI,对称性密钥跟非对称秘性密钥,这些都是密码学里面的知识。
然后是架构设计,架构设计的意思拓扑的安全,例如我们网络,拓扑结构是不是符合安全的标准,或者是说服务器的拓扑是不是达到冗余的效果,这都是架构里面需要考虑到的安全,也是属于技术控制领域。
②:管理控制
管理控制是一个很广度的范围,首先是安全治理,所谓的安全治理,我们怎么样理解呢?我理解治理的意思,其实是管理和执行。
治理其实是一个框架性、概念性的东西,治理主要分为三件事情:
①:管理层需要对我们现在企业里面要达到什么安全的级别做方向性的定位,比如现在公司要做安全的等保,要把公司的整个安全级别提高到国家安全等保的最高级别,这个是管理层需要做的方向性定位。
②:中间的管理层、执行层部门经理,就需要做一些战略战术,为了完成管理层的方向,要做到等保的这个目标,要做一些方案,要做一些呃制度,可能要想一些策略出来,想一些战术出来,要怎样完成管理层下达的目标。
③:接着下面的执行者,执行者要为了满足方案,要做一些执行上的东西,比如采购设备,编写脚本,完成中层的目标。
治理其实是一个框架性的东西,这个框架性的东西其实是包括了管理层定方向,中层定战略战术,执行层真正执行上的一些事情,这个就是所谓的治理工作。
然后风险管理,所谓的风险管理,就是评估一下现在的设备不是有没有达到安全风险的标准,这些标准从何而来呢?我们可以参考国际上面的标准或者民间的一些要求啊,或者是我们自己做安全的评估,例如定量的计算的公式,定性的计算公式,去计算出我们现在风险值,然后做风险的管理。
然后操作安全,这个比较容易理解,就是指我们现在标准执行的内容。
然后是业务连续性的控制,所谓的业务连续性的控制,是跟灾难恢复计划是连贯在一起的,你怎么样保证一个业务在达到你的业务需求的连续性不可中断,然后你要达到一个业务是不可中断的,首先有灾难恢复的制度,有灾难恢复的设备,冗余的设备,所以业务连续性的控制和灾难恢复的计划是连在一起的。
然后是法律法规,例如说我们在做金融行业的,要符合金融的一些要求,做银行的要符合银监会,证监会的要求,还有保险和一些行规都要符合他们的一些要求,根据他们的要求去做一些管理的制度,还有就是国家的法律法规
以上这些我们可以归结为管理控制
③:物理控制
然后是物理的控制,包括环境的安全,工作区的分离等
环境的安全怎么理解?例如说我们现在的这个办公室,它的位置是不是离警察局比较近,或者是离机场比较近,有没有噪音,有没有干扰等等,实际过程中我们要看一下到底我们真正的企业需要做到的什么样的效果,什么样的需求。
然后布线,布线为什么单独拿出来说一下,因为现在企业都是信息化网络,是需要网络来做支撑支持的,线路的安全要求,这是非常必要的
然后数据的备份,数据备份这里主要指一些硬件。比如磁带的数据备份,这也是属于物理安全的,也是属于物理安全控制的范围。
所以总结的来说,企业信息安全的范围到底是什么呢?一句话,保护企业信息安全资产的相关工作,我们就可以理解为是企业信息安全的范围。
二:国际通用的信息安全CIA准则
CIA准则不管去到哪里都适用,因为信息安全说得最多的就是这三点,保密性、完整性、可用性,我们说一下这三点到底说了什么样的内容:
保密性信息不能泄露给未授权者,保证适合的人可以看到信息,意思就是你信息要保密。信息怎么样保密呢?通过介质,介质怎么样保密呢?可能是物理的一些方式,最终就是让信息不给未授权的人看到,达到这个效果,这叫做保密性。
完整性,完整性的意思就是防止文件未授权的更改。比如说我这个文件发给了B,但是忘记把这个权限调为只可读,然后B就把文件更改了,那他就是未授权的更改。
可用性 可用性的意思就是根据用户要求访问使用的需求去订做的一个方案
在企业中CIA应该如何落地:
在企业当中CIA到底应该怎样落地的呢?有很关键的三点:
依据范围,参考属性,安全计划
首先是依据现在的范围,参考属性,然后再定制安全的计划。依据什么样的范围:就是我们现在要做什么样的事情。比如说去到一个企业里面,客户说他们要做一个系统放在云上面,这就是他们的一个需求,这也就是他们的一个范围,那信息安全的人员要怎么样才保证云上面这个系统安全呢,,那我们就可以参考CIA的属性,看一下它首先满不满足这个系统在云上面是不是24小时都能用,24小时能用是不是满足我们业务的需求呢?怎么保证这个24小时能用呢?放在云上会不会断电?怎么保证它不会出故障?这些都是可用性的要求
然后保密性,云上面的传输的数据是否达到安全的加密的要求呢?怎么保证未授权的人不能访问这个数据,可以检查一下前端的页面是否加密处理过。前端页面是用HTTP还是HTTPS的,这个都是保密性
然后完整性。访问控制,怎么保证什么人什么账号才能访问这个系统,什么人什么账号不能访问这个系统,然后我们根据这些告诉客户,你要在云上做这个系统,你要满足这一些需求,现在需求也下来了,我们接着就是做安全的计划,去实现需求。
这个就是在企业里面CIA到底怎么样落地的一个工作。