爱华网近日搜寻了一些有关BS7799的资料和前人总结的东西,现在归纳一篇自己的文章,留作学习纪念
开篇语:
关于信息的定义--这里给出的ISO13 335中关于信息的定义,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。对于企业来说信息是一种资产,延伸到资产管理的范围,信息安全的防护要综合考虑生命周期,创建-诞生-使用-存储-更改-传递-销毁。
什么是信息安全-对于信息系统来讲,IS就是保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。也就是我们通常所说的CIA(CC中提出的),现在随着IT技术的发展,又增加了抗抵赖性,可控性,可追溯性等等。上升到现代企业的运作和业务连续性高度,信息安全的定义消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。这其中强调的是“风险管理,适度安全”。这如今也成为了国内外众多安全服务商的使命。
关于DAD三元组的概念--简单的来说就是泄漏(Disclosure)、篡改(Alteration)和破坏(Destruction),是我们现在主要面临的信息安全的风险
信息安全的需求-很喜欢IBM的那句广告语,按需应变。没有需求,我们创造的一切都是no-value的。主要来自三个层面:
a,政策法规的要求,包含各类标准、规范等的合规性检查。美国作为世界IT行业的领航者,在这方面做得很不错,特别是从911后,美国已经把信息安全上升到了国家战略的层面,动辄就是总统令。政府令,各州根据实际情况也进行了相关的立法,自上而下成立了若干民间或行业或企业内部的信息安全专业组织。中国起步较晚,但现在已经逐渐认识到信息安全并非“自扫门前雪”的工作,特别是近年来有国信办牵头,公安部、信产部等各个重要部位参与的“等级保护”工作的开展更是标志级国家级相关负责人对信息安全的重视程度,随着“等保”落地文件的产生,基本已经由理论标准研究探讨阶段进入到了实际操作阶段。
b组织或企业的业务发展目标--IT技术的发展,使得原来的IT系统已经由原来的支撑系统变成了生产系统,特别是对于像银行、电信等行业,IT系统更是尤为重要。用句圈内人的话描述“离了这张网,我都不知道我该做些什么”。所以企业的业务发展目标必然会牵扯到IT系统的发展,在结束了大规模基础设施建设后,安全保障工作就成为了IT系统发展的重中之重。
c风险评估的结果--这个很好理解,就是一个看病的过程,你都不知道自己得到什么病,你怎么知道该吃什么药。说句题外话,中国很多企业在进行安全建设的时候就是乱吃药,结果发现不仅原来的病没好,还加了很多毛病。可以定义为非理性阶段,正常的流程是病了-看医生-分析病情-买药-吃
技术误区的理解--产生这个误区的原因有两点。第一对服务价值的不认可,人就是这样,固定资产永远是最具有投资价值的。买上10台FW放在库房里,也比用10万块钱换来的文档来的踏实,而技术多是以固定资产形式存在的,而管理的价值则体现在思想、意识、知识、习惯等一些无形资产上。第二是安全厂商的责任。买产品永远比买服务赚钱多,赚钱快,生意的使命就是追求利润最大化。上述两点“相辅相成”,恶性循环。木桶短板的效应就出现了。我们就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文成了摆设而未见效果。
技术和管理的关系--不谈三分技术、七分管理,不搞一刀切,二者同样重要,或者说在某个阶段的重要程度不一样,毕竟大炮上不了刺刀,真正的最后一公里的战斗还是要靠步兵。技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程。
管理模式--中央集权还是多党执政?no,我们不谈论这个,安全管理的模式的精髓是PDCA,从上到下,从企业到个人都要在这个圈子里玩游戏。动态、持续、分层、体系是安全管理模式的四个关键词。
标准篇:
BS7799 是英国标准协会(British StandardsInstitute,BSI)最早发布的一个关于信息安全管理的标准--证明此标准与技术无关,与管理有染。
7799共分为两部分和roadmap:
partI:信息安全管理实施细则,现在已经被转换我ISO17799:2000,所以我们平时接触的ISO17799并不是BS7799的全部内容。十个大标题,共127个控制项。95年第一版发型
partII:ISMS建设规范,是一部有关信息安全管理体系的规范,是对partI的有益补充和完善。98年发行第一版,BS7799也被最终完善。
99年,两部分被整合为一套完整的标准,并随着IT的应用,增加了有关电子商务、移动通信等相关内容
2000年ISO组织将partI转化为ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》
2005 年,ISO组织将PartII整合成为ISO27001,ISO/IEC 17799(信息安全管理最佳实践指南)目前是国际上唯一的关于信息安全管理的国际标准。该标准强调以风险管理为基础的、全面的安全管理,目前该方法在世界范围内得到认可。ISO27001(信息安全管理体系规范)是ISO/IEC17799 的姊妹对标准,是信息安全管理体系审核的依据标准。
可以说BS7799是一部源自最佳实践的信息安全管理标准,来源于生活又高于生活。
与BS7799配套的相关标准:
PD3000系列-由BSI版本,指导BS7799的实施
CC:众多安全技术标准的鼻祖了,多废话两句,呵呵,相关产品和系统安全测评的标准,著名的ISO15408,GB18336都是从CC来的。他的意义就在于针对不同的群体-用户、开发者和评估者,从多个维度去评估安全产品本身和信息系统的安全性,让不同的群体可以根据自己的需求进行多维度对比,最终确定自己所需要的产品或技术。他和7799一个偏重管理,一个偏重技术,而在实践中有互相借鉴。
ISO13335-IT安全管理指南,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议。他与BS7799的区别在于,7799属于框架性结构,很直白的告诉你,你要去做什么,广、全、但不深入。而13335是属于指导性的,更具体,更多的从需求的角度去论证各项安全管理措施,更具备实施性和操作性。举个例子,7799告诉我们要进行风险评估,而13355指导我们如何去做riskuation。
SSE-CMM:cc或者15408偏重技术,7799偏重管理。ok,我要开始安全建设了,别急,你知道怎么入手吗,SSE-CMM来帮助你。它以成熟度模型为依据,描述了安全建设的各个过程应该达到的标准。定义了实现最终安全目标所需要的一系列过程,并对组织执行这些过程的能力进行等级划分。
再废话两句,SSE-CMM现在已经被我国信息安全测评中心引用来对信息安全服务商进行评级。供6级(0-5,不过你要是0还混个P啊),就我所知,目前我国的信息安全服务资质水平最高级别为2级,即计划与跟踪级别。
ITIL-这是我个人最推崇的东西了。完备的流程管理实践,可以说是IT服务的红宝书,他可以规范整个社会IT服务的水平。其核心内容为十大流程和一大功能。在这个崇尚process的社会,让我们一起ITIL吧。
Cobit- 信息及相关技术控制目标(Control Objectives for Information andrelated Technology,CobiT),是美国信息系统审计与控制协会(Information Systems Auditand ontrol Association)针对IT过程管理制定的一套基于最佳实践的控制目标,是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。这个架构包括34 个IT过程,分成4 个领域:PO(Planning &Organization)、AI(Acquisition&Implementation)、DS(Delivery andSupport)、和Monitoring,所有的过程中又包含了318个控制目标,全都提供了最佳的施行指导。ITIL也好,Cobit也好,都是在整个IT范畴内的描述,而BS7799和CC只是他们的一个分支。
BS7799-1的十大控制域:
安全策略(Security policy);
组织安全(Organization security);
资产分类和控制(Asset classification and control);
人员安全(Personnel security);
物理和环境安全(Physical and environmental security);
通信和操作管理(Communication and operation management);
访问控制(Access control);
系统开发和维护(System development and maintenance);
业务连续性管理(Business continuity management);
符合性(Compliance)。
让我们看看BS7799是多么的不具备可操作性,也再次验证了英国人老牌资本主义的蛮横--开个玩笑
例如在访问控制域中,包括一个控制项“网络访问控制”,其中包含控制子项:
网络服务使用策略
强制路径
对外部连接用户进行身份认证
节点认证
远程诊断端口的保护
网络隔离
对网络连接能力加以控制
网络路由控制
网络服务的安全
完了,就是这些,意思是说你要把这些都做到就7799了,就安全了,但是怎么去做,do not ask me,u should askGod.
而在BS7799-2中也没有再次描述控制项,而是引入了ISMS对概念,告诉你信息安全管理是一个体系,以及这个体系所包含的内容。
最后贴一张13335中的经典老图,忙乎了这么多年,全折腾这种图了,其精髓就是描述风险管理的过程和风险各个要素之间的关系。
原文地址 http://ciscomouse.spaces.live.com/Blog/cns!46E28DB14967ABFE!243.entry
