1、信息安全管理实施案例16.1 案例一 企业内网安全管理案例l16.1.1 企业基本情况企业基本情况l1企业基本情况企业基本情况l企业名称:北京曲美家具集团有限公司。l企业地址:北京市朝阳区来广营西路93号。l公司网址:qumei。l邮编:10008516.1.1 企业基本情况l2公司介绍公司介绍l北京曲美家具集团有限公司创建于1987年,经过20余年的发展,l已发展成为集设计、生产、销售于一体的大型、规范化家具集团,现为中国家具协会副理事长单位,是中国家具行业的领军企业。l曲美集团本着“道德为本,能力为先”的理念,不断引进高水平的专业管理人才,拥有一支高效务实的团队。16.1.2 信息化应用总
2、体现状与规划l1信息化应用现状信息化应用现状l目前曲美拥有如下信息化系统:曲美家具制造ERP系统、曲美家具商业ERP系统、多项电子商务平台、集团OA系统、CHINASEC可信网络安全平台。l商业ERP系统为曲美集团商业管理水平的提高起到了卓越的贡献。实现了集团对全国各店的直接管控。l曲美集团的信息管理系统具备了从销售预知到送货后的客户反馈的管理模式。16.1.2 信息化应用总体现状与规划l2信息化规划信息化规划l目前曲美集团考虑完善如下的信息化建设:l(1)商业ERP系统的深入推广;l(2)加强制造ERP系统对质量管理环节的管控支持、细化绩效考核系统。16.1.3 内网安全管理l1安全需求分析
3、安全需求分析l(1)北京曲美集团内网安全管理现状l北京曲美集团为中型企业,公司计算机数量多、网络设施完善,分散在各个区域之间。l在进行信息网络建设的时候,对安全性做了成熟的考虑,l但是主要基于传统的网络安全,主要是边界防护设备、灾难备份、病毒防护等。l随着分散在各个内网主机和服务器上的有价值的信息越来越多,内网安全和保密成为信息中心不得不重视的问题;16.1.3 内网安全管理l另外区域的分散对于技术人员管理起来非常不方便,一旦计算机出了一点问题,都要到现场处理;l还有办公部门内部人员数量众多,所属部门,职责和权限各不相同,如果某个人员访问了其权限以外的信息资源,l如重要计算机,服务器等,将会对
4、内网的信息安全构成极大的威胁。16.1.3 内网安全管理l(2)网络中存在的隐患l在网络的日常运行中,存在如下安全隐患:l 员工可能通过 U 盘或者移动硬盘将数据复制出去,造成有意或无意的信息泄漏问题。l 员工可能将文件打印带出办公区的问题。l 员工可能将笔记本电脑带出公司,从而造成知识产权泄密问题。l 网络中共享信息的无授权访问、以及服务器的无授权连接。16.1.3 内网安全管理l 业务信息终端计算机相互之间的非加密通信。l 业务信息终端计算机中的非加密存储l 业务信息网络中的计算机无安全域的划分。l 系统终端有非授权人员的登录情况。l 非信任计算机的非法接入业务信息网络的问题。l 在工作中
5、处理一些与工作无关的事情(如:玩游戏、看小说、听音乐等)l 集团分部不能做到统一的管理等。16.1.3 内网安全管理l2解决方案解决方案l(1)设计原则l根据信息中心内网的规模和管理情况,本解决方案根据以下原则进行信息中心内网安全管理系统的设计:l 系统应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;l 系统与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩展;l 系统的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;16.1.3 内网安全管理l 系统应具有良好的可管理性和可维护性,有统一的管理中心;l 系统必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,l也不会
6、对系统的操作人员带来过多的习惯改变;l 系统应该符合国家制定的相关安全管理规范,取得相关资质。16.1.3 内网安全管理l(2)分域管理l 虚拟保密子网划分l通过保密子网的划分,可以在保障网络统一维护的前提下,对信息中心内部不同的部门等实现有效的数据隔离,l通过保密子网,还可以有效防止非法外连或者非法接入。l不同保密子网(VCN)之间可以设定信任关系,从而允许他们的计算机之间进行数据交换。16.1.3 内网安全管理l 移动存储设备管理lChinasec可信网络保密系统可以实现对移动存储设备的有效管理。l管理员可以设定没有注册的移动存储设备(U盘或者移动硬盘等)默认的使用策略,可选策略包括禁用(
7、没有注册的磁盘禁止使用)、l只读(可以将没注册磁盘数据拷入到VCN网内的计算机,但不能拷出数据)或者加密读写。16.1.3 内网安全管理l 用户注册l内网安全管理平台对用户进行集中管理。用户通过网络申请获得合法的数字证书(载体为配发的硬件USB令牌)后,l可以远程注册到平台用户认证服务器上。l该注册过程由系统客户端代理自动完成,用户只需要将自己的USB令牌插入计算机,l并输入正确的PIN码,该用户令牌即会自动注册到安全支撑平台的用户认证服务器上。16.1.3 内网安全管理l 权限管理l用户注册成功后,管理员必须为用户赋予相应权限,以使用户获得在内部网络中的使用权。l权限管理的内容包括计算机登录
8、权限和服务器访问权限等。l如果用户具有特殊权限或者是一个权限的部门,则需要进行相应的权限设置,从而完成用户的授权管理工作。16.1.3 内网安全管理l 身份认证l内网安全管理平台的身份认证系统采用Chinasec可信网络认证系统进行集中的认证。l(3)主机监控l 实时监控l实时远程监视和控制客户端计算机的状态,这些状态包括:安装的应用程序、服务、驱动以及他们的运行状态;16.1.3 内网安全管理l 外设监控l外设监控策略运行管理员针对每台计算机进行外设端口使用的授权,比如允许或者禁止USB存储设备的使用等。l这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键
9、盘鼠标、光驱、软驱和1394端口等。16.1.3 内网安全管理l 应用监控l应用监控提供了管理员集中授权管理客户端应用的方法。l管理员可以黑名单或者白名单的方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管理。l自动记录计算机上的文件操作记录,包括创建、删除和复制等操作,并记录用户名、文件名和相应的时间等。16.1.3 内网安全管理l 网络监控l可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。l例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。16.1.3 内网安全管理l3方案效果方案效果l(
10、1)实现了有效的高强度用户身份认证,并在此基础上实现了有效的资源集中授权管理,保护内网终端的安全。l通过Chinasec可信网络认证系统(TIS),基于数字证书技术,为每个用户发放一个代表用户身份的硬件USB令牌。l每个令牌内置运算芯片,具有不可复制性,结合PIN码访问控制,具有锁定功能,安全强度高。16.1.3 内网安全管理l管理员可以指定某一个用户只能使用某一台或者某几台计算机,或者该用户能够访问那些研究所内部的服务器;l管理员也可以指定某一台计算机只能由那几个用户使用。l如果需要变更用户的权限,仅需要管理员在控制台进行简单的授权更改即可。16.1.3 内网安全管理l(2)有效实现了内网安
11、全保密,对网络和移动存储两个主要数据交换途径进行了有效的管理控制。l通过Chinasec可信网络保密系统,可以根据需要将信息中心内部网络按照业务群体分成不同的虚拟保密子网(VCN)。l同一个VCN内的计算机可以通过网络或者移动存储设备进行正常的数据交换,l但是如果处于不同VCN之间的计算机要进行数据交换,则需要管理员的授权。16.1.3 内网安全管理l这些保密措施使用了透明的数据加密和解密处理技术,对用户和应用程序都是不可见的,不改变用户的计算机使用习惯。l在同一个VCN之间计算机通信,每两台计算机直接的数据传输都使用了独特的密钥进行加密,所以可以有效防止恶意的Sniffer之类的网络监听软件
12、。16.1.3 内网安全管理l(3)实现了灵活有效的外设和应用管理,并可以结合用户进行授权。l可以对计算机所有通用的外设进行管理,不仅仅局限于常见的外设端口(如USB、红外、串并口、光驱软驱、打印机等),l计算机所有的设备都可以根据黑白名单和设备关键字进行控制。l对应用程序也可以进行有效的授权管理,允许或者禁止使用某种应用程序的执行。16.1.3 内网安全管理l(4)内网服务器访问认证l通过使用安全网关设备将内网运行的服务器统一管理起来,l只有经过认证的用户才有权利访问服务器上面的资源,保证了内网服务器数据安全性。16.1.3 内网安全管理l(5)提供详细的审计信息,并提供分日期查询功能l能够
13、实时查看客户端的所有状态,包括应用程序安装运行情况、设备安装使用情况l以及用户桌面能够详细记录用户文件操作信息,包括文件的创建、删除、重命名等操作。l能够记录用户的违规行为。l能够记录用户每次登陆系统的信息。16.2 案例二 信息安全管理体系构建实例l16.2.1 企业背景企业背景lIBAS公司成立于1978年,是世界公认的数据修改、销毁和计算机犯罪取证领域的领导者,集团总部位于挪威,l目前在全球10多个国家和地区拥有分支机构和完善的营销与服务支持网络。16.2 案例二 信息安全管理体系构建实例l16.2.2 客户需求客户需求l鉴于数据销毁和恢复业务的高敏感性,客户对于服务商在服务过程中保护客
14、户隐私,l防止敏感信息泄露方面的安全性和信誉度普遍存在不同程度的担忧,l这不仅仅是领先的专业技术和市场知名度所能涵盖的,l更重要的是企业如何体现对客户信息的安全保障水平。16.2.2 客户需求lIBAS香港希望通过BS7799项目的实施,建立起符合安全管理国际标准和业务运作要求的信息安全管理体系,l获得权威机构的资质认证,从而在提高业务安全管理水平的同时,增强客户对IBAS专业安全服务的信心和品牌知名度。16.2.3 实施过程l表16-1给出了IBAS信息安全管理体系建设项目的规划时间表,l包括准备、设计、体系运行及复查和审计4个阶段,遵循BS7799的PDCA过程模型。l(表见 161 书P
15、264)16.2.3 实施过程lBS7799的两部分(BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2信息安全管理体系规范 )分别给出了组织安全管理体系的要求和最佳参考实践,l但距离实际操作仍留下许多空白,l这给安全顾问公司提供了价值发挥的空间。在项目实施过程中,主要的难点如下。16.2.3 实施过程l1如何确定如何确定ISMS的范围的范围lISMS范围的正确确定是整个ISMS建设过程的基础和成败关键。l仅就认证目的而言,企业可以选择任何部门和系统,l但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。16.2.3 实施过程l在本项目
16、中,最终选择了企业的核心业务系统作为此次认证的范围,l其ISMS边界包括数据安全实验室及所有与“数据销毁和数据恢复服务”相关的信息资产,l从而确保了BS7799实施与预期目标的一致性。l2如何进行如何进行风险评估风险评估l风险评估被公认为ISMS实施过程最关键和难以操作的环节,l因此,BS7799的实施并不限定客户使用什么风险评估方法。通过本项目,可以总结以下几点。16.2.3 实施过程l(1)风险评估成功与否的关键首先不在于技术问题,而在于良好的客户沟通和会议组织技巧,l包括让管理者和业务人员理解风险评估的重要性和方法,l予以必要的配合和支持,并通过高效的会议组织,获得较全面的和客观的调查反
17、馈信息。l(2)应避免风险评估仅限于IT部门和安全专家的参与。l风险评估既然服务于企业的业务目标,就应当得到业务部门的支持,16.2.3 实施过程l事实上,只有业务部的人员最理解需要保护什么,保护的程度如何,l担心哪些安全问题,发生过什么安全事件,是否值得以特定成本实施安全控制而降低某项风险。l因此,在一开始就应把业务骨干纳入到风险评估小组,l通过培训让所有成员理解风险评估的目的、组织流程和方法。16.2.3 实施过程l(3)风险评估应始终围绕企业的目标和方针进行,l比如说,在评估资产和威胁的影响时,都要进行业务影响分析,其中制定的参考指标就应参考企业安全目标。l当发生各成员评估结果不一致的情
18、况时,项目经理也应参照安全目标的定义进行裁决。16.2.3 实施过程l(4)成功的风险评估还要避免片面性、主观性,避免与漏洞扫描或渗透测试混为一谈。l客户可能认为只有后者才是值得尊重的专业服务,但事实上风险不仅来自技术弱点,l还包括组织弱点,如业务流程、人员和资产管理方向的问题等。16.2.3 实施过程l此外,完整的风险评估应涵盖物理和逻辑两方面的因素,本项目就很明显地体现了这点。l即使是IBAS这样的大型公司,也存在一些物理方面的技术弱点,l如客户介质在交递、保管、处理和返还等环节的安全隐患,以及安全实验室的实物与环境安全问题等。16.2.3 实施过程l(5)风险评估的好坏不局限于采用定性或
19、定量的风险评估方法,l而在于能否为安全控制提供足够的决策参考依据。l如果一定要对资产价值、安全威胁和弱点,以提供更好的财务决策,l不仅可能导致实施进度失控,而且可能因为缺乏足够的参考标准和过于繁复的过程而导致不可操作。16.2.3 实施过程l3如何发挥人的主观能动性如何发挥人的主观能动性l人才是安全管理体系的灵魂,而不是没有生命力的产品或文档体系。l安全管理体系的良好运作,依赖于制度和组织机制,更依赖于各种角色人员的安全意识和对安全方针的理解与遵守程度。l所有这些,需要有效的培训和管理层的支持。l办好培训,其实有很多方式,最好的方式是案例分析,其次是高层动员。16.2.3 实施过程l在本案例中
20、,由于客户缺乏安全策略开发的能力,安全顾问帮助公司开发了完整的安全方针手册,l这些成果最终通过高层批准成为企业制度的一部分。l在接下来的实施阶段,首先要进行员工培训,然后根据安全控制实施计划逐条落实相关的措施。16.2.3 实施过程l在评审阶段,由于安全顾问公司派出的独立审计员l预先对已建立的文件体系和实施成果进行了检查,l提出了评审意见和不符合项的纠正措施,l然后帮助IBAS进行了改善,因此,正式外审顺利获得通过。16.2.4 实施效果l通过实施BS7799,IBAS获得了以下方面的成功和收益。l(1)建立了完整的文件化的信息安全管理体系,l(2)进一步明确了安全管理对于业务促进的重要作用,
21、提高了安全管理的整体效率。l(3)企业安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态。16.2.4 实施效果l(4)通过把BS7799的要求引入业务流程,现有的业务运作更加安全规范,减少了流程和操作过程带来的安全风险;l另外,完善的资产管理、增强的物理环境安全以及业务连续性计划的制定、模拟和定期演练,l极大提高了企业对突发事件和外部威胁的风险防范能力。16.2.4 实施效果l(5)通过BS7799认证,意味着企业对安全风险的管理能力获得国际权威机构的认可,l有助于消除客户对于服务过程中隐私和敏感数据泄密的担忧,l从而巩固在数据安全服务领域的专业形象和
22、市场号召力。16.2.5 经验总结lBS7799信息安全管理体系的实施,最大意义不在于显著改善企业的安全风险水平,l而在于让企业拥有可控的风险管理架构、方法和保障落实机制。16.3 案例三 信息安全风险评估之资产评估案例实施l信息安全风险评估过程,l是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析和评价,l然后综合这些风险要素的评估结果,得出风险的评估结果。l资产是风险的第一评估要素,其他要素的评估都是以资产为前提的。l本节将给出一个具体的示例,阐述在信息安全风险评估中,如何进行资产评估。16.3.1 资产识别方法研究l信息资产作为信息系统的构成元素,分布十分广泛;不同信息资产的功
23、能、重要程度也互不相同。l这一部分的主要工作是在评估实施方案确定的范围之内,按照评估方案约定的方式,进行如下四项工作。l(1)回顾评估范围之内的业务l回顾这些信息的主要目的是:l帮助资产识别小组对其所评估的业务和应用系统有一个大致了解,为后续的资产识别活动准备。16.3.1 资产识别方法研究l(2)识别信息资产,进行合理分类l资产分类的目的是降低后续分析和赋值活动的工作量。l(3)确定每类信息资产的安全需求l在对资产进行合理分类之后,便可对每个资产类别进行安全需求分析(从机密性、完整性、可用性三个方面进行。l(4)为每类资产的重要性赋值l在上述安全需求分析的基础上,按照一定方法,确定资产的价值
24、或重要程度等级。16.3.2 资产赋值方法研究l对资产进行赋值不仅需要考虑它本身的财物价值,l还需要考虑他的损失可能会对业务造成的影响。l更重要的是要考虑资产的安全状况,l即资产的机密性、完整性、可用性等安全属性,对组织信息安全性的影响程度。16.3.2 资产赋值方法研究l1机密性赋值机密性赋值l根据资产在机密性上的不同要求,将其分为5个不同的等级,l分别对应资产在机密性缺失时对整个组织的影响。l表16-2提供了一种机密性赋值的参考。赋值赋值标识标识定义定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄
25、露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息、公用的信息处理设备和系统资源等表16-2 资产机密性赋值表16.3.2 资产赋值方法研究l2完整性赋值完整性赋值l根据资产在完整性上的不同要求,将其分为5个不同的等级,l分别对应资产在完整性缺失时对整个组织的影响。l表16-3提供了一种完整性赋值的参考。赋值赋值标识标识定义定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业
26、务中断,损失难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,损失较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但损失可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,损失容易弥补1很低完整性价值非常低,未经授权的修改或破坏会对组织造成影响可以忽略,对业务冲击可以忽略表16-3 资产完整性赋值表16.3.2 资产赋值方法研究l3可用性赋值可用性赋值l根据资产在可用性上的不同要求,将其分为5个不同的等级,l分别对应资产在可用性缺失时对整个组织的影响。l表16-4提供了一种可用性赋值的参考
27、。赋值赋值标识标识定义定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值非常高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10 分钟3中等可用性价值较高,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30 分钟2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60 分钟1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%表16-4 资产可用性赋值表16.3.2 资产赋值
28、方法研究l 4资产重要性等级资产重要性等级l资产价值应依据资产在机密性、完整性、可用性上的赋值等级,经过综合评定得出。综合评定方法有两种:l(1)选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果。16.3.2 资产赋值方法研究l(2)根据资产的机密性、完整性、可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。l因此,通常资产赋值也可以划分为5个等级(如表16-5所示)。l评估者可以根据资产赋值的结果,确定重要资产的范围,并围绕重要资产,进行下一步的风险评估。赋值赋值标识标识描述描述5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4高重要,
29、其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计表16-5 资产等级及含意描述16.3.3 应用举例l本节将按照上面的方法和步骤,对一个电子邮件系统进行资产评估,l完成从业务识别到资产识别,最后完成对资产识别的整个过程。l1网络拓扑结构网络拓扑结构l该系统为一个电子邮件系统,服务器软件版本为SendMail 8.9.3,l该系统使用电子邮件系统作为信息传递与共享的工具和手段,网络拓扑结构如图16-1所示。图16-1 M
30、ail系统网络拓扑结构示意图16.3.3 应用举例l2业务识别业务识别l该系统采用以电子邮件作为统一入口的设计思想,l电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。l因此电子邮件系统作为本系统的通信基础设施,为各种业务提供通用的通信平台。16.3.3 应用举例l3资产识别与分类资产识别与分类l对该电子邮件系统风险评估中进行的资产识别的资产,l主要分为硬件资产、文档和数据、人员、管理制度等,其中着重针对硬件资产进行风险评估,l人员主要分析其安全职责,IT网络服务和软件结合其设计的硬件资产进行综合评估。l下面列出具体各类资产清单。l硬件资产清单表(表16-6):资产
31、编号资产编号资产名称资产名称责任人责任人资产描述资产描述ASSET_01Mail ServerAMail 服务器, 软件版本为SendMail v8.9.3ASSET_02Fire Wall_01B防火墙,软件版本为IPTablesv1.2.11ASSET_03Switch_01B骨干交换机ASSET_04PC_01C用户终端ASSET_05PC_02D用户终端表16-6 硬件资产清单文档和数据资产表(表16-7):资产编资产编号号资产名资产名称称责任责任人人资产描述资产描述ASSET_06人员档案E机构人员档案数据ASSET_07电子文档数据EOA 系统中的电子文件表16-7文档和数据资产清
32、单制度资产清单表(表16-8):资产编资产编号号资产名资产名称称责任责任人人资产描述资产描述ASSET_08安全管理制度E机房安全管理制度等ASSET_09备份制度E系统备份制度表16-8 制度资产清单人员资产清单表(表16-9):资产编号资产编号资产名称资产名称责任人责任人资产描述资产描述ASSET_10王伟A系统管理员ASSET_11陈明B网络管理员ASSET_12赵彬B普通用户ASSET_13李玲D普通用户ASSET_14吴弘E档案和数据管理员,制度实施者表16-9 人员资产清单16.3.3 应用举例l4安全需求分析安全需求分析l评估方和被评估方都要参与进来,采用座谈会或调查问卷的方式,
33、l双方一同分析各个资产类别在其业务或应用系统中的位置以及所发挥的作用,l分析每个资产类别在机密性、完整性、可用性等方面的要求。l下面以ASSET_01 MailServer为例,列举出它的人工访谈表格(见下表16-10):资产识别活动信息资产识别活动信息开始时间开始时间2019-7-2结束时间结束时间2019-7-4访谈者访谈者A访谈对象及说明访谈对象及说明系统管理员地点说明地点说明640记录信息记录信息所属类别所属类别硬件资产资产名称资产名称Mail Server资产编号资产编号ASSET_01IP 地址地址59.64.156.193物理位置物理位置机房功能描述功能描述接收和发送电子邮件机密
34、性要求机密性要求很高完整性要求完整性要求很高可用性要求可用性要求很高重要程度重要程度很高安全控制措安全控制措施施防火墙负责人负责人A备注备注16.3.3 应用举例l5资产赋值资产赋值l三个属性赋值分为5个等级,分别对应了该项信息资产的机密性、完整性和可用性的不同程度的影响,l根据资产赋值一节中对三个属性赋值的依据和标准,得到的CIA三性等级如下表16-11所示。资产编号资产编号资产名称资产名称机密性机密性完整性完整性可用性可用性ASSET_01Mail Server555ASSET_02Fair Wall_01555ASSET_03Switch_01555ASSET_04PC_01222ASS
35、ET_05PC_02222ASSET_06人员档案552ASSET_07电子文档数据553ASSET_08安全管理制度144ASSET_09备份制度144ASSET_10A532ASSET_11B532ASSET_12C132ASSET_13D132ASSET_14E13216.3.3 应用举例l资产价值应依据资产在机密性、完整性和可用性上的赋值等级,l经过综合评定得出,根据本系统的业务特点,采取相乘法决定资产的价值,计算公式如下,l其中:v表示资产价值,x表示机密性,y表示完整性,z表示可用性。16.3.3 应用举例l根据上面的计算公式可以计算出资产的价值, 得到本系统资产的价值清单如表16
36、-12所示。资产编号资产编号资产名称资产名称机密性机密性完整性完整性可用性可用性资产价资产价值值ASSET_01Mail Server5555ASSET_02Fair Wall_015555ASSET_03Switch_015555ASSET_04PC_012222ASSET_05PC_022222ASSET_06人员档案5523.2ASSET_07电子文档数据5533.9ASSET_08安全管理制度1442.8表16-12资产价值表ASSET_09备份制度1442.8ASSET_10A(人)5322.8ASSET_11B5322.8ASSET_12C1322.4ASSET_13D1322.4
37、ASSET_14E1322.8表16-12资产价值表16.3.3 应用举例l为与上述安全属性的赋值相对应,根据最终赋值将资产划分为5级,如下表16-13所示。资产价值资产价值资产等资产等级级资产等级资产等级值值描述描述4.2x5很高5非常重要,其安全属性破坏后可能对组织造成非常严重的损失3.4x4.2高4重要,其安全属性破坏后可能对组织造成比较严重的损失2.6x3.4中等3比较重要,其安全属性破坏后可能对组织造成中等程度的损失1.8x2.6低2不太重要,其安全属性破坏后可能对组织造成较低的损失1x1.8很低1不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计16.3.3 应用举例l
38、根据上述分析可得到表16-14所示的本系统资产等级价值表。资产编号资产编号资产名称资产名称资产价值资产价值资产等级资产等级资产等级值资产等级值ASSET_01Mail Server5很高5ASSET_02Fair Wall_015很高5ASSET_03Switch_015很高5ASSET_04PC_012低2ASSET_05PC_022低2ASSET_06人员档案3.2中等3ASSET_07电子文档数据3.9高4ASSET_08安全管理制度2.8中等3ASSET_09备份制度2.8中等3ASSET_10A2.8中等3ASSET_11B2.8中等3ASSET_12C2.4低2ASSET_13D2
39、.4低2ASSET_14E2.8中等316.3.4 总结l在风险评估中需要对资产的价值进行识别,因为价值不同将导致风险值不同。l风险评估中资产的价值不是以资产的经济价值来衡量,l而是以资产的机密性、完整性和可用性等安全属性为基础进行衡量。l资产在机密性、完整性、可用性三个属性上的要求不同则资产的最终价值也不同。16.3.4 总结l在资产赋值的过程中,需要解决的关键问题是对资产的赋值,l本节中采取分别对资产的三个维度进行的赋值方法,最后算出权值。l资产识别范围的划定以及资产赋值的准确与否直接影响着风险评估最终结果的准确程度,l在信息安全风险评估中起着举足轻重的作用。16.4 案例四 安全等级保护
40、建设案例l16.4.1 金融行业等级保护建设案例解析金融行业等级保护建设案例解析l信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,l对于完善信息安全法规和标准体系,提高安全建设的整体水平,l增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。16.4.1 金融行业等级保护建设案例解析l1信息系统安全等级保护建设的信息系统安全等级保护建设的必要性必要性l国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,l如国务院颁布的中华人民共和国计算机信息系统安全保护条例,l公安部等四部委联合签发的关于信息安全等级保护工作的实施意见(
41、公通字201966号)、信息安全等级保护管理办法(试行)(公通字20197号),16.4.1 金融行业等级保护建设案例解析l中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,l在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,l即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。16.4.1 金融行业等级保护建设案例解析l公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,l为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。16.4.1 金融行业等级保护建设案例解析l2确定综合
42、经营管理系统的确定综合经营管理系统的保护级别保护级别l根据信息系统安全等级保护定级指南中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,l一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,l因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。16.4.1 金融行业等级保护建设案例解析l3建设目标建设目标l在近年的信息系统安全等级保护基本要求(报批稿)中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,l这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。l(1)总体目标l建设的
43、总体目标是实现国家对信息系统实行等级保护的政策要求,l利用平台实现风险管理从“可知到可识到可知识”的良性循环。16.4.1 金融行业等级保护建设案例解析l(2)具体目标l平台建设的具体目标包括:l 建立信息系统风险监控及等级保护平台,将平台作为维护和管理等级保护测评结果的有力工具。l 能够对公司信息系统的风险进行实时监控。l 有效贯彻公安部信息系统等级保护规范。l 协助公司进一步提升信息安全水平,保障业务的良好运行。l 利用平台实践“可知-可识-可知识”的风险管理方法论。16.4.1 金融行业等级保护建设案例解析l4系统特点和成效系统特点和成效l目前,借助启明星辰公司提供的信息安全等级保护平台
44、,公司可以通过IP资产与业务域管理、信息安全事件管理、IP资产脆弱性管理等模块l实现信息安全事件的集中响应和处理,并高效整合各种安全设备和系统。l长城资产公司信息系统风险监控与等级保护平台建设完成后主要取得了两大成效。16.4.1 金融行业等级保护建设案例解析l第一,根据等级保护的3级基本要求,公司有选择地部署了入侵检测防御系统、多功能安全网关、漏洞扫描系统等,l通过平台实现的对异构系统的统一事件收集、存储和管理,l该平台跟等级保护要求具有很高的符合度,在很大程度上满足了等级保护3级基本要求。16.4.1 金融行业等级保护建设案例解析l第二,平台进行风险管理的过程和结果是“可知-可识-可知识”
45、风险管理方法论的最佳实践。l通过平台可以及时发现风险,然后才能进一步识别风险,得到关键资产和业务域的高风险清单,l之后利用已有知识或借助外援降低风险到可以接受的水平,l最后将成功经验入库,作为以后进行风险管理的参考,这样就完成了对风险的螺旋式上升管理。16.4.1 金融行业等级保护建设案例解析l5总结总结l信息系统等级保护将是我国重点行业将来建设信息安全保障体系,进行风险管理的重要参考依据。l启明星辰承建的长城资产信息系统风险监控与等级保护平台,l将国家等级保护要求融入平台建设实践,结合自身特点,进行了有益尝试。16.4.2 市级信息安全等级保护定级工作实施案例l本节以马鞍山市信息安全等级保护
46、定级工作实施方案为例,l介绍政府一级信息安全等级保护工作的建设情况。l1指导思想指导思想l根据信息安全等级保护管理办法(公通字2019第43号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2019861号)的要求,l结合马鞍山市实际,制定如下实施方案。16.4.2 市级信息安全等级保护定级工作实施案例l2工作目标工作目标l落实信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度,l逐步建立起信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度,l进一步提高马鞍山市信息安全的保障能力和防护水平,切实保护马鞍山市基础信息网络和重要信息系统的安全。16.4.2 市级
47、信息安全等级保护定级工作实施案例l3职责分工职责分工l(1)市公安局依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,督促、指导信息安全等级保护工作。l(2)市信息产业办公室在自己的职责范围内指导、协调全市信息安全等级保护工作。16.4.2 市级信息安全等级保护定级工作实施案例l(3)保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施等工作进行监督、检查、指导;l督促、指导涉及国家秘密的信息安全等级保护工作。16.4.2 市级信息安全等级保护定级工作实施案例l(4)密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,l查处信息安全等级保护
48、工作中违反密码管理的行为和事件。l(5)财政部门负责信息安全等级保护工作所需的经费保障,并列入年度财政预算。16.4.2 市级信息安全等级保护定级工作实施案例l4定级范围定级范围l(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络。l(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安等重要信息系统。l(3)市(地)级以上党政机关的重要网站和办公信息系统。l(4)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。16.4.2 市级信息安全等级保护定级工作实施案例l5实施步骤实施步骤l(1)准备阶段l 组织领导l成立等级保护工作协调领导小组,成
49、员单位分别是公安局、市信息产业办公室、机要局和保密局。l等级保护工作协调领导小组构成:组长由一位市公安局副局长担任;l领导小组成员由市信息产业办公室主任,市机要局副局长,市保密局副局长组成。16.4.2 市级信息安全等级保护定级工作实施案例l领导小组下设办公室,市公安局网监支队支队长任办公室主任,l办公室抽调各成员单位的同志参加,成员单位如下:市信息产业办公室,市机要局,市保密局,市公安局。16.4.2 市级信息安全等级保护定级工作实施案例l 宣传动员l等级保护工作协调领导小组要积极利用广播、电视等媒体,l多角度地开展国家信息安全等级保护制度的宣传,l积极组织市政府门户网站和各子网站,建立和完
50、善信息安全等级保护制度的宣传网页、专栏。16.4.2 市级信息安全等级保护定级工作实施案例l(2)摸底调查阶段l各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,l全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。16.4.2 市级信息安全等级保护定级工作实施案例l(3)初步定级阶段l各信息系统主管部门和运营使用单位要按照管理办法和信息系统安全等级保护定级指南,l初步确定定级对象的安全保护等级,起草定级报告。16.4.2 市级信息安全等级保护定级工作实施案例l(4)评审审批阶段l初步确定信息系统安全保护等级后,可以聘请专家进行评审。l对拟确定为第四级以上
