信息安全規劃設計

隨着信息技術的不斷髮展，全球業務鏈已經越來越依賴信息技術。與信息技術相關的安全問題成爲威脅業務鏈的重要構成部分。傳統的信息安全保護在“木桶原理”的指導下，不斷修補短板，卻缺乏全面、系統的安全規劃設計。

理解CISP知識體系

CISP的核心在於將保障貫穿於整個知識體系。保障應覆蓋整個信息系統生命週期，通過技術、管理、工程過程和人員，確保每個階段的安全屬性（保密性、完整性和可用性）得到有效控制，使組織業務持續運行。IT作爲保障業務的重要手段和工具成爲傳統保障目的的核心。由於風險會影響業務的正常運行，因此，降低風險對業務的影響是保障的主要目標（如圖）。在建立保障論據的過程中，首先應該考慮的是組織業務對IT的依賴程度；其次要考慮風險的客觀性；第三要考慮風險消減手段的可執行度。CISP從體系結構上提供了信息安全規劃設計的良好思路和方法論，在整個課程體系中涵蓋了從政策（戰略層）到模型、標準、基線（戰術層）的縱向線條，同時在兼顧中國國情的情況下，系統介紹國際常用評估標準、管理標準和國家相關信息安全標準與政策。

根據CISP知識體系建立安全規劃設計

安全規劃是信息安全生命週期管理的起點和基礎，良好的規劃設計可以爲組織帶來正確的指導和方向。根據國家《網絡安全法》“第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，並保證安全技術措施同步規劃、同步建設、同步使用。”

1.通過保障的思想建立安全規劃背景

信息安全規劃設計可以根據美國信息保障技術框架（IATF）ISSE過程建立需求，本階段可對應ISSE中發掘信息保護需求階段。根據“信息安全保障基本內容”確定安全需求，安全需求源於業務需求，通過風險評估，在符合現有政策法規的情況下，建立基於風險與策略的基本方針。因此，安全規劃首先要熟悉並瞭解組織的業務特性，在信息安全規劃背景設計中，應描述規劃對象的業務特性、業務類型、業務範圍以及業務狀態等相關信息，並根據組織結構選擇適用的安全標準，例如國家關鍵基礎設施的信息安全需要建立在信息安全等級保護基礎之上、第三方支付機構可選CISP知識域簡圖擇PCI-DSS作爲可依據的準則等。信息系統保護輪廓（ISPP）是根據組織機構使命和所處的運行環境，從組織機構的策略和風險的實際情況出發，對具體信息系統安全保障需求和能力進行具體描述。傳統的風險評估可以基於GB/T20984《信息安全風險評估規範》執行具體的評估，評估分爲技術評估與管理評估兩部分。從可遵循的標準來看，技術評估通過GB/T22240—2008《信息安全等級保護技術要求》中物理安全、網絡安全、系統安全、應用安全及數據安全五個層面進行評估；管理安全可以選擇ISO/IEC27001：2013《信息技術信息安全管理體系要求》進行，該標準所包含的14個控制類113個控制點充分體現組織所涉及的管理風險。在工作中，可以根據信息系統安全目標來規範制定安全方案。信息系統安全目標是根據信息系統保護輪廓編制、從信息系統安全保障的建設方（廠商）角度制定的信息系統安全保障方案。根據組織的安全目標設計建設目標，由於信息技術的飛速發展以及組織業務的高速變化，一般建議建設目標以1-3年爲宜，充分體現信息安全規劃設計的可實施性，包括可接受的成本、合理的進度、技術可實現性，以及組織管理和文化的可接受性等因素。

2.信息系統安全保障評估框架下的概要設計

概要設計的主要任務是把背景建立階段中所獲得的需求通過頂層設計進行描述。本階段可對應ISSE中定義信息保護系統，通過概要設計將安全規劃設計基於GB/T20274-1：2006《信息安全技術信息系統安全保障評估框架第一部分：簡介和一般模型》進行模塊化劃分，並且描述安全規劃設計的組織高層願景與設計內涵；在概要設計中，還應該描述每個模塊的概要描述與設計原則。設計思路是從宏觀上描述信息安全規劃設計的目的、意義以及最終目標並選擇適用的模型建立設計原則。本部分主要體現信息安全保障中信息系統安全概念和關係。根據《網絡安全法》相關規定，頂層設計可以建立在信息安全等級保護的基礎上，綜合考慮諸如建立安全管理組織、完善預警與應急響應機制、確保業務連續性計劃等方面GB/T20274-1：2006《信息安全技術信息系統安全保障評估框架第一部分：簡介和一般模型》提供了一個優秀的保障體系框架。該標準給出了信息系統安全保障的基本概念和模型，並建立了信息系統安全保障框架。該標準詳細給出了信息系統安全保障的一般模型，包括安全保障上下文、信息系統安全保障評估、信息系統保護輪廓和信息系統安全目標的生成、信息系統安全保障描述材料；信息系統安全保障評估和評估結果，包括信息系統保護輪廓和信息系統安全目標的要求、評估對象的要求、評估結果的聲明等。信息系統安全保障是在信息系統的整個生命週期中，通過對信息系統的風險分析，制定並執行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統實現組織機構的使命。策略體現的是組織的高層意旨，模型與措施作爲戰術指標分別爲中層和執行層提供具體的工作思路和方法，以完成設計的具體實現。當信息安全滿足所定義的基本要素後，爲每個層面的設計提出概要目標，並在具體的設計中將其覆蓋整個安全規劃中。

3.實現建立在宏觀角度的合規性通用設計

通用設計可對應ISSE中設計系統體系結構，本階段是整個安全規劃設計的核心部分，本階段必須全面覆蓋背景建立階段所獲得的安全需求，滿足概要設計階段所選擇的模型與方法論，全面、系統的描述安全目標的具體實現。通用安全設計是建立在宏觀角度上的綜合性設計，設計首先將各個系統所產生的共同問題及宏觀問題統一解決，有效降低在安全建設中的重複建設和管理真空問題。在通用設計中，重點針對組織信息安全管理體系和風險管理過程的控制元素，從系統生命週期考慮信息安全問題。

（1）管理設計在信息安全管理體系ISMS過程方法論中，可遵循的過程方法是PDCA四個階段：首先，需要在P階段解決信息系統安全的目標、範圍的確認，並且獲得高層的支持與承諾。安全管理的實質就是風險管理，管理設計應緊緊圍繞風險建立，所以，本階段首要的任務是爲組織建立適用的風險評估方法論。其次，管理評估中所識別的不可接受風險是本階段主要設計依據。通過D環節，需要解決風險評估的具體實施以及風險控制措施落實，風險評估僅能解決當前狀態下的安全風險問題，因此，必須建立風險管理實施規範，當組織在一定週期（例如1年）或者組織發生重大變更時重新執行風險評估，風險評估可以是自評估，也可以委託第三方進行。本環節的設計必須涵蓋管理風險中所有不可接受風險的具體處置，從實現而言，重點關注管理機構的設置與體系文件的建立和落實。第三個環節是建立有效的內審機制和監測機制，沒有檢測就沒有改進，通過設計審計體系完成對信息安全管理體系的動態運行。第四個環節，即A環節，是在完成審計之後針對組織是否有效執行糾正措施的落實設計審計跟蹤和風險再評估過程。A環節既是信息安全管理體系的最後一個環節，也是新的PDCA過程的推動力。

（2）技術設計技術設計主要是建立在組織平均安全水平基礎上，應可適用於組織所有的系統和通用的技術風險。設計可遵循多種技術標準體系，首先建立基於信息安全等級保護的五個層面技術設計要求。通過美國信息保障技術框架建立“縱深防禦”原則，其具體涉及在訪問控制技術和密碼學技術支撐下的物理安全、網絡安全、系統安全、應用安全和數據安全。技術設計可在原有的技術框架下建立雲安全、大數據安全等專項技術安全設計，也可在網絡安全中增加虛擬網絡安全設計等方式，應對新技術領域的安全設計。技術設計可以包括兩個主要手段：第一，技術配置。技術配置是在現有的技術能力下通過基於業務的安全策略和合規性基線進行安全配置。常見的手段包括補丁的修訂、安全域的劃分與ACL的設計、基於基線的系統配置等手段；第二，技術產品。技術產品是在現有產品不能滿足控制能力時通過添加新的安全產品結合原有的控制措施和產品統一部署、統一管理。在技術設計中，必須明確的原則是產品不是安全的唯一，產品也不是解決安全問題的靈丹妙藥，有效的安全控制是通過對產品的'綜合使用和與管理、流程、人員能力相互結合，最終形成最佳的使用效果。

（3）工程過程設計工程過程設計重點考慮基於生命週期每個階段的基於安全工程考慮的流程問題，在信息系統生命週期的五個層面。信息安全問題應該從計劃組織階段開始重視，在信息系統生命週期每個階段建立有效的安全控制和管理。工程過程包括計劃組織、開發採購、實施交付、運行維護和廢棄五個階段，本階段的設計主要通過在每個階段建立相應的流程，通過流程設計控制生命週期各個階段的安全風險。在計劃組織（需求分析）階段，體現信息安全工程中明確指出的系統建設與安全建設應“同步規劃、同步實施”，體現《網絡安全法》中“三同步”的要求。在開發採購階段，通過流程設計實現軟件安全開發的實現和實現供應鏈管理。實施交付階段，關注安全交付問題，應設計安全交付流程和安全驗收流程。運行維護階段要體現安全運維與傳統運維差異化，安全運維起於風險評估，應更多關注預防事件的發生，事前安全檢查的基線設計、檢查手段及工具的選擇和使用根據設備的不同重要程度建立不同的檢查週期；當系統產生缺陷或者漏洞時，設計合理的配置管理、變更管理及補丁管理等流程解決事中問題；當事件已經產生影響時，可以通過預定義的應急響應機制抑制事件並處置事件；當事件造成系統中斷、數據丟失以及其他影響業務連續性後果時，能夠通過規劃中的災難恢復及時恢復業務。廢棄階段通過流程控制用戶系統在下線、遷移、更新過程中對包含有組織敏感信息的存儲介質建立保護流程和方法，明確廢棄過程中形成的信息保護責任制，並根據不同的敏感採取不同的管理手段和技術手段對剩餘信息進行有效處置。

（4）人員設計人員安全是信息安全領域不可或缺的層面，長期以來，過於關注IT技術的規劃設計而忽略了人的安全問題，內部人員安全問題構成了組織安全的重要隱患，人爲的無意失誤造成的損害往往遠大於人爲的惡意行爲。人員設計重點關注人員崗位、技術要求、背景以及培訓與教育，充分體現最小特權、職責分離及問責制等原則。根據《網絡安全法》第四章要求，關鍵基礎設施應建立信息安全管理機構，並設置信息安全專職人員。在人員設計中還應充分考慮到第三方代維人員的管理及供應商管理等新問題的產生。

4.構建等級化保護的層面間設計

在通用設計中，可以基於組織平均安全水平建立規劃設計，而本階段主要爲滿足不同等級化業務系統的強化安全保護要求。層面間設計可以基於系統的具體特徵有針對性地對系統安全性進行深度分析。本階段的設計可以建立在信息安全等級保護的符合性原則之上。5.合理安排工程實施計劃工程實施計劃必須根據背景建立階段中的建設目標，將信息安全規劃設計根據組織風險優先級及成本投入等因素分期實施。安全規劃設計通過技術（技術產品、技術配置）、管理（組織建設與體系文件建設）、工程過程（流程建設、流程梳理與流程控制）及人員（崗位設置、崗位原則、職責劃分）四個方面設計，在每個階段可根據組織實際情況分期實施，併合理分配工程預算。信息安全規劃設計不用拘泥於某一種模式或者類型，CISP知識體系建立基於生命週期的信息安全保障體系，爲信息系統安全規劃設計提供了良好的參考和依據，靈活運用各種標準與模型，充分融合技術與技術產品，堅持技術與管理並重的原則，通過流程有效控制工程過程併合理部署和利用人員，實現人、技術和操作的有機結合。同時，綜合運用CISP知識體系，不但可以豐富信息安全規劃設計的具體實現，也可以爲日常運維工作提供必要的參考。