时间:2023-12-10 16:44:26
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全成熟度评估,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台,初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中,下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志,安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志,找出入侵攻击链,进一步在网络和端点侧进行控制处置,切断攻击链。
3.2建立初步的信任评估和控制机制
以上网行为管理和SSLVPN设备组件为基础,对接各类型终端,入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力,进一步打通网络、应用、数据访问的身份和信任判决及控制。
3.3建立本地化安全运营能力
基于安全运营平台,将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现,结合外部安全服务专家专属服务化的方式,实现了网络安全的闭环响应与处置,同时为内部人员提供信息安全知识与技能,沉淀本地知识经验库;基于安全运营平台分析结果进行决策,指导各部门开展网络安全工作;通过网络安全运营平台指导安全建设,提供安全策略优化指导,全面提升系统安全运营能力。
3.4构建针对未知威胁防控的人机共智能力
基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法,借助安全云端的全球威胁情报和安全大数据分析辅助,初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用,实现了满足等级保护2.0合规要求,具备在实战化攻防对抗中抵御攻击、快速恢复能力,同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。
4创新性与价值
信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求,以“体系合规,面向实战,常态保护”为目标,“统筹风险,精益安全,持续推进,人机共智”为安全能力构建方向,逐步推进建设落地。规划建设过程,体现了以下几方面特色和优势:(1)体系化统筹,从高层要求、监管法规等业务和内外部需求出发,从风险、安全、推进、智能四方面,体系化地规划安全能力和落地过程[5]。(2)全面保障,整个建设理念和框架覆盖的保护对象从物理环境,到网络、主机、边界等各层面,并对各类型业务和场景具有普适性。(3)面向未来,利用人机共智的三位一体能力,以及阶段性演进的成熟度坐标,规划面向未来的能力演进体系。(4)有效落地,创新网络安全微服务架构,提升自动化管理效率,利用专家服务和辅助决策降低人员门槛,进一步通过可视化指标体系呈现安全建设绩效。
【关键词】信息安全;评估;标准;对策
保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:
中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题
信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准
2.1 CC 标准
1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。
2.2 BS 7799标准
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。
2.3 SSE-CMM 标准
SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。
3 网络安全框架考察的项目
对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。
4 安全信息检测办法
4.1 调整材料和访问
调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。
4.2 工具发现
工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。
4.3 渗透评估
渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。
【参考文献】
[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.
[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.
[3]张海霞,连一峰.基于测试床模拟的通用安全评估框架[J].信息网络安全,2013,(z1):13-16.
【关键词】 网络会计; 风险分析; 会计内控指标体系; 模糊评价法; 绩效评价
中图分类号:F232;F272.35文献标识码:A文章编号:1004-5937(2014)16-0083-05目前,中国很多企业实施了网络会计信息系统,但对网络环境下产生的安全威胁不够重视,未及时完善自身的内控体系,增加了内部控制的不安全性,从而影响到会计信息的安全。因此,研究网络会计信息系统下内部控制的安全问题,帮助企业建立一个新的、更有效的内部控制指标体系很有意义。
文章基于传统内部控制评价体系网络化下赋予的新含义,重新构建了网络会计内部控制的安全评价体系,以实现对会计内控目标、会计内控环境、财务风险监控与管理控制、信息技术控制、财务监督问责、信息沟通等安全控制方面的评价。
一、网络会计内部控制体系的理论基础
(一)传统内部控制体系
2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》,要求企业建立实施的内部控制包括下列五个要素:内部环境、风险评估、控制活动、信息与沟通以及内部监督。这五个部分也可作为评价内部控制系统有效性的标准。
(二)网络会计内部控制风险分析
内部控制主要是控制好风险,因此,笔者首先对网络会计信息系统进行安全分析,然后运用各种方法和工具找出各个流程的潜在风险,最终建立起风险的详细清单,如表1所示。
二、构建网络会计内部控制安全评价体系
处于经济转型期的我国企业面临经营风险及外部环境的变化,内控体系应及时作出相应的调整,构建适应信息化环境的内部控制框架。其中控制网络会计带来的新变化是重点,所有内控要素都要从信息化会计系统的特征出发加以通盘考虑。内部安全控制框架如图1所示。
在网络会计内部控制体系之下,根据每一类控制因素的活动域,首先将其分解为关键过程域,然后将该过程域细化到具体的关键控制点。本文将对体系中六个控制因素的活动域,按照关键过程域到关键控制点的步骤来分别描述。
(一)会计内控目标
1.建立符合国内外法律、法规,面向会计部门并结合部门内部网络会计实际情况的内部控制体系。
2.梳理网络会计下的内部管理流程。
3.不断完善内部控制体系,与企业战略目标相融合,向全面风险管理体系过渡,建立风险管理和内部控制长效管理机制。
(二)会计内控环境
1.更新信息化观念
为了适应网络发展的新形势,企业领导要树立市场观念、竞争观念,重视会计信息化,同时企业要结合先进的管理理念和现代化方法,更新现有会计信息系统。
2.明确会计部门分工
财务部下应设置信息部门和业务部门。信息部门提供信息技术服务和系统运行监督;业务部门负责批准、执行业务和资产保管等。
3.提高财务人员安全意识
(1)将会计信息安全方针与安全考察方针形成书面文件;(2)与重要的会计人员签署保密协议;(3)对会计人员进行信息安全教育与培训。
(三)财务风险监控与管理
1.财务风险监控
(1)识别关键控制点;(2)更新预警模型。实时监控潜在的风险,将全方位的信息转换成财务指标,加入到预警模型中,实现资源共享和功能集成。
2.财务风险管理
(1)适当利用自动化控制来代替手工控制;(2)可在系统外部执行部分关键的手工操作。
(四)信息技术控制
1.系统构建控制
(1)制定信息系统开发战略;(2)选择合适的系统开发方式。
2.严密的授权审批制度
(1)操作权限与岗位责任制;(2)重点业务环节实行“双口令”。
3.系统操作控制
(1)数据输入控制;(2)数据处理控制;(3)数据输出控制。
4.会计数据安全管理
(1)会计数据备份加密;(2)会计数据传输加密;(3)用户访问控制;(4)服务器加密。
(五)财务监督与问责
主要是内部审计管理:
(1)定期审计会计资料,检查会计信息系统账务处理的正确性;(2)审查机内数据与书面资料的一致性;(3)监督数据保存方式的安全性和合法性,防止非法修改历史数据;(4)审查系统运行各环节,发现并及时堵塞漏洞等。
(六)信息沟通
会计信息的沟通与交流应贯穿整个内控体系中。
1.管理层重视
管理层应高度重视及支持信息系统的开发工作,确保各职能部门信息系统在信息交流上高度耦合。
2.严密的组织保障
各部门通过控制系统识别使用者需要的信息;收集、加工和处理信息,并及时、准确和经济地传递给相关人员。
3.体系化的制度保障
建立健全会计及相关信息的报告负责制度,使会计人员能清楚地知道其所承担的责任,并及时取得和交换他们在执行、管理和控制经营过程中所需的信息。
三、基于模糊评价法的内控评价体系应用 研究
网络会计信息系统内控体系绩效评价的应用研究主要利用成熟度模型来划分内部会计控制因素的等级,基于模糊评价法来进行安全绩效评价,最后得出相应的结论。
(一)模糊综合评价法的应用
模糊综合评价法是以模糊数学为基础,将一些不易定量的因素定量化,从多个因素对被评价事物隶属等级状况进行综合性评价。
一是对网络会计内控体系进行成熟度划分。
二是依据成熟度模型来确定评价因素和评价等级。设:U={?滋1,?滋2,?滋3,…,?滋m}为被评价对象的m个评价指标V={v1,v2,v3,…,vn};为每一个因素所处的状态的n种等级。
三是确定权重分配。
四是进行全面的调查访问,并建立评价表。
五是建立模糊评价矩阵,得出多级模糊的综合等级。
六是得出关键控制点的评级表。
七是得出评价结果。
(二)模糊综合评价法的应用
本节针对上述内控体系中的信息技术控制因素,对其应用模糊评价法来进行分析,其他控制因素的评价方法与此例相同。
1.成熟度评价标准
借鉴能力成熟度模型(CMM),同时考虑网络会计信息系统的特点,将内控流程评价标准划分为六级:不存在级、初始级、已认识级、已定义级、已管理级、优化级。完善后的内部会计控制成熟度评价标准如表2所示。
表2中等级的划分是针对会计信息系统内部控制体系总体情况而言。具体到网络会计内部控制的每一级指标建立成熟度模型时,各个流程也分为以上六个等级。
2.成熟度模型
建立了成熟度评价标准之后,便可根据网络会计内部控制体系列出控制内容、关键过程域及关键控制点。本文以信息技术控制为例建立具体模型,该控制因素的成熟度模型如表3所示。
3.权重分配
我国学者辛金国、范炜采用德尔菲法,通过问卷调查的方式得到传统内部控制五要素中控制环境权重为30%、风险评估为12.9%、控制活动为25.2%、信息与沟通为28%、监督为3.9%。
本文赋权采用德尔菲法,并结合网络会计的特点,控制内容的权重分配如表4、表5所示。
4.评价表
建立起三级的指标体系结构之后,分别对审计机构、信息安全机构、公司管理层及普通员工四个方面进行调查。每一类对象都挑选10人(总共40人)进行调查访问,每位专家、管理者及员工分别运用实地观察法、流程图法、专业判断法或工作经验法,按照指标执行情况,对每一项关键控制点依照成熟度模型赋予安全等级分值,表格的内容代表选择该等级的人数,整理后得出评价表,如表6所示。
5.模糊评价矩阵
首先,用表6中每个级别的分值除以总人数40,得出的评价结果构成关键过程域的模糊评价矩阵R4j:
R41=0.7 0.2 0.1 000000.1 0.3 0.50.1
R42=00 00.20.7 0.100.10.6 0.20.1 0
R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8
R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200
其次,进行关键控制域模糊矩阵运算,B4j=A4j・R4j
B41=[0.5 0.5]・R41=[0.35 0.1 0.1 0.15 0.25 0.05]
B42=[0 0.05 0.3 0.2 0.4 0.05]
B43=[0 0 0.033 0.1 0.366 0.501]
B44=[0.25 0.275 0.225 0.225 0.025 0]
然后,计算控制内容的模糊矩阵运算,Vi=Ai・Bi
V4=[0.2 0.3 0.25 0.25]・B4=[0.1325 0.10375 0.1745 0.17125 0.26775 0.15025]
最后,计算信息技术控制的综合得分G4=V4・ [0 1 2 3 4 5]T=2.78875。
6.评级表
对各关键控制点的分值进行加权平均计算,根据得出的数所靠近的级别,从而判断其成熟度级别,公式是:
单项关键控制点评价得分=Σ(该关键控制点的分值×对应的等级数)÷40
每一项关键控制点通过上述公式计算得出的评级表如表7所示。
依据内控流程的成熟度,对照单项关键控制点的评级,赋予其合适的等级区间。
7.评价结果
根据模糊矩阵法运算出的信息技术控制的综合评分为2.78875,在2―已认识级与3―已定义级之间,接近3―已定义级。
根据表7,可以针对公司的信息技术控制关键控制点的绩效作出如下评价:
公司在适当的信息系统开发方式、操作权限与岗位责任制、操作控制以及会计数据存储加密中做得较好,评级基本在3―已定义级以上。
公司在内部会计控制中的信息系统开发的战略规划、重点业务环节的安全控制、会计数据安全管理、对外来人员的访问控制、对内部服务器的安全管理均需要进一步加强。
四、结语
网络会计具有开放性、及时性、分散性与共享性的特点,根据其特点,本文建立了信息化内部会计控制体系,主要包含会计内控目标、会计内控环境、财务风险监控与管理、信息技术控制、财务监督问责、信息沟通六个方面。在安全分析过程中,列出了风险清单,让财务部门负责人更全面地了解到面临的各级风险。发现风险是第一步,第二步便是管理风险,公司应分别从内部会计控制的六个方面进行体系化的控制,其中最重要的便是利用信息技术控制来保障网络会计信息系统的内部安全和计算机网络安全。最后,本文运用模糊评价法,对网络会计信息系统内部控制评价体系进行应用研究,以信息技术控制为例,对其安全内控体系进行了评价及实证分析。
【参考文献】
[1] 王晓玲.基于风险管理的内部控制建设[M].北京:电子工业出版社,2010:100-102.
[2] 陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1):30-37.
[3] 杜洪涛.网络环境下会计电算化信息系统安全探讨[J].计算机光盘软件与应用,2010(9):37-38.
[4] 宫雪冰.基于内部控制的网络会计信息系统安全问题的控制[J].中国管理信息化,2010,13(15):2-3.
[5] 李河君.会计信息系统风险控制体系研究[D].首都经济贸易大学硕士学位论文,2010.
[6] 财政部会计司.《企业内部控制应用指引第18号―信息系统》解读[J].财务与会计,2011(6):57-62.
[7] 艾文国,王亚鸣.企业会计信息化内部控制问题研究[J].中国管理信息化,2008,11(15):14-16.
[8] 张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨[J]. 中国管理信息化,2010,13(6):3-5.
[9] 陈秀伟.网络环境下会计信息系统的内部控制探析[J].中国管理信息化,2011,14(5):7-8.
【 关键词 】 信息安全架构;企业战略;信息安全服务; 信息安全价值; 一致性;可追溯性
【 文献标识码 】 A 【 中图分类号 】 TP393.08
1 引言
信息安全技术和管理经过不断的发展和改善,已经能够比较有效地解决一些传统信息安全问题,如信息安全风险管理、访问控制,脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产,保护信息的安全已不再只是局限于技术和日常管理层面的讨论,信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时,一套合理的访问控制解决方案能够帮助企业快速推出核心产品(尤其是电子商务)和兼并其他企业。当前信息安全发展呈现出新的趋势和要求:(1)信息安全部门逐渐从成本中心转向价值中心,信息安全的各项活动越来越和企业战略紧密相连;(2)企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。
企业的信息安全部门在不断增强其核心影响力的同时,也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划,将信息安全融入到组织的业务流程中,并且保持信息安全控制措施与企业战略的一致性和可追溯性;其二是如何使信息安全的价值得到认可并在组织内部最大化;其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求;其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求,并实现清晰的测量和不断的改进。
当前各企业广泛采用的标准或最佳实践有几种:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。这些标准各有优点,但也有明显的缺憾,如表1所示(缺憾部分用X表示)。
设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。
* 将企业战略转化为信息安全计划,确保信息安全的可追溯性、持续一致性和简洁性,以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中,建立一致性和可追溯性;建立清晰的信息安全架构和愿景,以减少重复和指导信息安全投入和解决方案的实施。
* 基于客户服务理念,信息安全服务价值得到认可,信息安全靠拢业务部门,为信息安全管理和业务管理建立共同语言。
* 全面管理信息安全,满足目前绝大多数法律法规、标准的最佳实际的要求,并具有灵活的可扩展性,当新需求出现后能够将其平滑的融入到现有架构中。
* 系统和集中统一的方式,使信息安全管理可预测和可测量,并不断的改进。
2 信息安全架构设计
2.1 信息安全架构设计所基于的原则
本信息安全架构的设计遵循四大原则。
1) 业务驱动:所有的信息安全目标应该从业务需求中来,从而保证信息安全管理总是做“正确的事”。
2) 整合、统一的架构:现在有数以十计的信息安全相关的法律法规,标准和最佳实践需要去符合或参考,且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中,以保证所有要求都被满足,同时避免不要的重复。例如,ISO27001关注全面安全控制和风险管理,PCIDSS侧重支付卡环境中技术控制和策略管理等。
3) 系统化思维:运用系统化思维可以帮助组织解决复杂且动态的问题,适应运营中的各种变化,减轻战略上的不确定性和外部因素的影响。例如,需要整合机构、人员、技术和流程;需要考虑安全、成本和易用性的权衡;需要靠持续改进(Plan-Do-Check-Act);需要考虑全面防护和纵深防护。
4) 易用性:信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此,信息安全架构必须易于理解并且实际可操作性要强,应避免太过复杂和晦涩。
2.2 信息安全架构实现
2.2.1 信息安全架构-域试图
基于上面的基本原则,本信息安全架构由三个域组成(如图1所示):治理(Governance)、保障(Assurance)和服务(Services)。
治理(Governance): 信息安全治理域强调战略一致性,风险管理,资源管理和有效性测量。治理域又包括三个子域:愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。
* 愿景与战略: 将遵从性要求,信息安全的发展趋势,行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。
* 风险与遵从性管理: 管理信息安全风险使信息安全风险控制在组织可接受的范围内。
* 测量: 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。
保障: 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产:数据层、应用层、IT基础设施层和物理层。
* 预防: 实施信息安全控制措施包括管理措施和技术措施,防止信息安全威胁损害组织的信息安全控态。
* 监测: 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。
* 响应:部署信息安全响应体系迅速、高效的抑制信息安全事件。
* 恢复: 建立组织的可持续性能力,但重要信息系统不可用时,可以在计划的时间内恢复。
服务: 服务域显示了面向客户(内部和外部),协作与知识更新对信息安全实践非常重要。服务域包含三个部分:信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。
* 信息安全服务: 信息安全团队应对待组织内部其他部门和对外部客户一样,基于服务基本协议,提供高质量的信息安全服务。
* 知识管理: 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。
* 意识与文化: 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全,关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。
2.2.2 信息安全架构-组件试图
为支撑信息安全架构的三个域,本信息安全架构组件融合了不同标准和最佳实践的精华部分,并自成一体,如图2所示。本架构参考的标准主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。
3 信息安全架构在企业内实际应用效果分析
本信息安全架构已被推广和应用到各个行业中,如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。
背景:此保险公司有3000名员工,计划在加拿大多伦多(Toronto)上市,因此需要符合加拿大和行业的一些法律法规的要求,如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求,因此不需要做任何大的改动的情况下(降低成本)就能应用到此保险公司中。
经过9个月的实际运行,公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。
3.1 平衡计分卡(Balanced Scorecard)[10]测评分析
平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目:对企业的贡献,对愿景的规划,内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估,0级表示无成绩,5级表示完美,然后取平均值。2011年7月评估结果显示“企业贡献”为2.2,“愿景规划”为2.5,“内部流程”为2.8,“面向客户”为2.1;2012年7月评估结果显示“企业贡献”为4.1,“愿景规划”为3.9,“内部流程”为3.8,“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。
3.2 总体信息安全成熟度级别分析
本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级,5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间, 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间,如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。
3.3 独立审核发现点数量分析
第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施,包括管理、技术和流程。审核发现点的数量越多,表明脆弱点越多,存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估(依据上市公司的管控要求)。2011年9月审核结果显示有4个高风险项,8个中风险项和13个第风险项;2012年9月审核结果显示无高风险项,且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。
3.4 信息安全事件发生数量分析
信息安全事件(特别是1级与2级事件)发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少,表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件(重大),12个二级安全事件(严重),25个三级安全事件和40个四级安全事件;2012年1月-10月期间有1个一级安全事件(重大),2个二级安全事件(严重),10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。
3.5 鱼叉式网络钓鱼模拟攻击测试结果分析
模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击(点击链接)的人数越少,表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台,在实施本信息安全架构前后分别选取了5个分支机构(共200人)进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名,然后伪造一份看似从信息安全管理员发出的E-mail,此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级,将会影响到原有的帐户和密码,要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。
2011年5月测试结果显示有47%的员工点击了有害链接,点击有害链接的员工中有18%的人输入了密码,点击有害链接的员工中有68%的人完成了在线培训内容;2012年5月测试结果显示有14%的员工点击了有害链接,点击有害链接的员工中有3%的人输入了密码,点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。
3.6 信息安全服务客户满意度调查结果分析
客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力,以及给公司带来的实际价值。满意度百分比值越高,表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。
2011年8月调查结果显示对服务专业质量的满意度为72%,对服务请求响应速度的满意度为46%,对服务态度的满意度为67%,整体满意度为60%;2012年8月调查结果显示对服务专业质量的满意度为95%,对服务请求响应速度的满意度为85%,对服务态度的满意度为92%,整体满意度为88%;如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。
4 结束语
现阶段信息安全管理着重在信息安全的风险控制,随着信息安全管理角色的转变,信息安全需要跟多的与组织战略结合,为组织创造更多的价值,并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点,但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中,验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。
参考文献
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.
[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
作者简介:
1美国电力行业信息安全的战略框架
为响应奥巴马政府关于加强丨Kj家能源坫础设施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美国能源部出资,能源行业控制系统工作组(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保护能源行业控制系统路线图》(RoadmaptoSecureControlSystemsintheEnergySector)的基础上,于2011年了《实现能源传输系统信息安全路线阁》。2011路线图为电力行业未来丨0年的信息安全制定了战略框架和行动计划,体现了美国加强国家电网持续安全和可靠性的承诺和努力%
路线图基于风险管理原则,明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划,指导行业、政府、学术界为共丨司愿景投入并协同合作。2011路线图指出:至2020年,要设计、安装、运行、维护坚韧的能源传输系统(resilientenergydeliverysystems)。美国能源彳了业的网络安全目标已从安全防护转向系统坚韧。路线图提出了实现目标的5个策略,为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。定期回顾和完善风险管理实践,确保建立的安全控制有效。网络安全实践成为能源行业所有相关者的习惯,,(2)评估和监测风险。实现对能源输送系统的所有架构层次、信息物理融合领域的连续安全状态监测,持续评估新的网络威胁、漏洞、风险及其应对措施。(3)制定和实施新的保施。新一代能源传输系统结构实现“深度防御”,在网络安全事件中能连续运行。(4)开展事件管理。开展网络事件的监测、补救、恢复,减少对能源传输系统的影响。开展事件后续的分析、取证以及总结,促进能源输送系统环境的改进。(5)持续安全改进。保持强大的资源保障、明确的激励机制及利益相关者密切合作,确保持续积极主动的能源传输系统安全提升。为及时跟踪2011路线图实施情况,能源行业控制系统工作组(ESCSWG)提供了ieRoadmap交互式平台。通过该平台共享各方的努力成果,掌握里程碑进展情况,使能源利益相关者为路线图的实现作一致努力。
2美国电力行业信息安全的管理结构
承担美国电力行业信息安全相关职责的主要政府机构和组织包括:国土安全部(DHS)、能源部(1)0£)、联邦能源管理委员会(FEUC)、北美电力可靠性公司(NERC)以及各州公共事业委员会(PUC)。2.1国土安全部美国国土安全部是美国联邦政府指定的基础设施信息安全领导部I'j'负责监督保护政府网络安全,为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势,组织协调事件响应。
2.2能源部
美国能源部不直接承担电网信息安全的管理职责,而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步能源部的电力传输和能源可靠性办公室(Office(>fElectricityDelivery<&EnergyReliability)承担加强国家能源基础设施的可靠性和坚韧性的职责,提供技术研究和发展的资金,推进风险管理策略和信息安全标准研发,促进威胁信息的及时共享,为电网信息安全战略性综合方案提供支撑。
能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撑电力行业的信息安全能力评估和提升;2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加强供应链的信息安全风险管理。
在201丨路线图的指导下,能源部启动了能源传输系统的信息安全项目,资助爱达荷国家实验室建立SCADA安全测试平台,发现并解决行业面临的关键安全漏洞和威胁;资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究。
2.3联邦能源管理委员会
联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管,是独立监管机构。2005年能源政策法案(EnergyPolicyActof2005)授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案(EnergyIndependenceandSecurityActof2007(EISA))赋予FERC和国家标准与技术研究所(National丨nstituteofStandardsan<丨Technology,NIST)相关责任以协调智能电网指导方针和标准的编制和落实。2011年的电网网络安全法案(GridCyberSecurityAct)要求FKRC建立关键电力基础设施的信息安全标准。
2007年FERC批准由北美电力可靠性公司制定的《关键基础设施保护》(criticalinfrastructprotection,CIPW标准为北美电力可靠性标准之中的强制标准,要求各相关企业执行,旨在保护电网,预防信息系统攻击事件的发生。
2.4北美电力可靠性公司
北美电力可靠性公司是非盈利的国际电力可靠性组织。NERC在FERC的监管下,制定并强制执行包括信息安全标准在内的大电力系统可靠性标准,开展可靠性监测、分析、评估、信息共享,确保大电力系统的可靠性。
NERC了一系列的关键基础设施保护(CIP)标准181作为北美电力系统的强制性标准;与美国能源部和NIST编制了《电力行业信息安全风险管理过程指南》,提供了网络安全风险管理的指导方针。
归属NERC的电力行业协凋委员会(ESCC)是联邦政府与电力行业的主要联络者,其主要使命是促进和支持行业政策和战略的协调,以提高电力行业的可靠性和坚韧性'NERC通过其电力行业信息共享和分析中心(ES-ISAC)的态势感知、事件管理以及协调和沟通的能力,与电力企业进行及时、可靠和安全的信息共享和沟通。通过电网安全年会(GridSecCon)、简报,提供威胁应对策略、最佳实践的讨论共享和培训机会;组织电网安全演练(GridEx)检查整个行业应对物理和网络事件的响应能力,促进协调解决行业面临的突出的网络安全问题。
2.5州公共事业委员会
美国联邦政府对地方电力公司供电系统的可靠性没有直接的监管职责。各州公共事业委员会负责监管地方电力公司的信息安全,大多数州的PUC没有网络安全标准的制定职责。PUC通过监管权力,成为地方电力系统和配电系统网络安全措施的重要决策者。全国公用事业监管委员协会(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作为PUC的一■个联盟协会,也采取措施促进PUC的电力网络安全工作,呼吁PUC密切监控网络安全威胁,定期审查各自的政策和程序,以确保与适用标准、最佳实践的一致性
3美国电力行业信息安全的硏究资源
参与美国电力行业信息安全研究的机构和组织主要有商务部所属的国家标准技术研究院及其领导下的智能电网网络安全委员会、国土安全部所属的能源行业控制系统工作组,重点幵展电力行业信息安全发展路线图、框架以及标准、指南的研究。同时,能源部所属的多个国家实验室提供网络安全测试、网络威胁分析、具体防御措施指导以及新技术研究等。
3.1国家标准技术研究院(NIST)
根据2007能源独立与安全法令,美_国家标准技术研究院负责包括信息安全协议在内的智能电网协议和标准的自愿框架的研发能电网互操作标准的框架和路线图》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明确了智能电网的网络安全原则以及标准等。2011年3月,NIST了信息安全标准和指导方针系列中的旗舰文档《NISTSP800-39,信息安全风险管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意义的信息安全改进建议。2014年2月,根据13636行政令,了《提高关键基础设施网络安全框架》第一版,以帮助组织识别、评估和管理关键基础设施信息安全风险。
NIST正在开发工业控制系统(ICS)网络安全实验平台用于检测符合网络安全保护指导方针和标准的_「.业控制系统的性能,以指导工业控制系统安全策略最佳实践的实施。
3.2智能电网网络安全委员会
智能电网网络安全委员会其前身是智能电网互操作组网络安全工作组(SGIP-CSWG)ra。SGCC一直专注于智能电网安全架构、风险管理流程、安全测试和认证等研究,致力于推进智能电网网络安全的发展和标准化。
在NIST的领导下,SGCC编制并进一步修订了《智能电网信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能电网信息安全分析框架,为组织级研究、设计、研发和实施智能电网技术提供了指导性T.具。
3.3国家电力行业信息安全组织(NESC0)
能源部组建的国家电力行业信息安全组织(NationalElectricSectorCybersecurityOrganization,NESCO),集结了美国国内外致力于电力行业网络安全的专家、开发商以及用户,致力于网络威胁的数据分析和取证工作⑴。美国电力科学研究院(EPRI)作为NESC0成员之一提供研究和分析资源,开展信息安全要求、标准和结果的评估和分析。NESCO与能源部、联邦政府其他机构等共同合作补充和完善了2011路线图的关键里程碑和目标。
3.4能源行业控制系统工作组(ESCSWG)
隶属国土安全部的能源行业控制系统工作组由能源领域安全专家组成,在关键基础设施合作咨询委员会框架下运作。在能源部的资助下,ESCSWG编制了《实现能源传输系统信息安全路线图》、《能源传输系统网络安全釆购用语指南》。3.5能源部所属的国家实验室
3.5.1爱达荷国家实验室(INL)
爱达荷W家实验室成立于1949年,是为美国能源部在能源研究、国家防御等方面提供支撑的应用工程实验室。近十年来,INL与电力行业合作,加强了电网可靠性、控制系统安全研究。
在美国能源部的资助下,INL建立了包含美国国内和国际上多种控制系统的SCADA安全测试平台以及无线测试平台等资源,目的对SCADA进行全面、彻底的评估,识別控制系统脆弱点,并提供脆弱点的消减方法113】。通过能源部的能源传输系统信息安全项目,INL提出了采用数据压缩技术检测恶意流量对SCADA实时网络保护的方法hi。为支持美国国土安全部控制系统安全项目,INL开发并实施了培训课程以增强控制系统专家的安全意识和防御能力。1NL的相关研究报告有《SCADA网络安全评估方法》、《控制系统十大漏洞及其补救措施》、《控制系统网络安全:深度防御战略》、《控制系统评估中常见网络安全漏洞》%、《能源传输控制系统漏洞分析>严|等。
3.5.2太平洋西北国家实验室(PNNL)
太平洋西北国家实验室是美国能源部所属的阔家综合性实验室,研究解决美国在能源、环境和国家安全等方面最紧迫的问题。
PNNL提出的安全SCADA通信协议(secureserialcommunicationsprotocol,SSCP)的概念,有助于实现远程访问设备与控制中心之间的安全通信。的相关研究报告有《工业控制和SCADA的安全数据传输指南》等。PNNL目前正在开展仿生技术提高能源领域网络安全的研究项。
3.5.3桑迪亚国家实验室(SNL)
关键词:银行网络;银行数据安全性;网络安全性
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)20-5422-02
当前,很多网络技术经过培训,都能被大部分人所理解和运用,利用成熟度的网络技术,对银行系统的网络做以改进,在对原系统不做大规模改变的情况下,提高银行网络数据传输的安全性,这是整个银行网络安全最为基础和关键的环节。
1 我国银行网络安全运行中存在的问题
1.1 银行网络自身的问题
1) 网络系统存在的不安全因素。由于网络化的银行业务中大部分的业务和风险控制工作都是由电脑中的大量程序完成的,所以,网络信息系统的安全性就成为银行网络运行中最重要的技术风险,虽然在银行网络系统的设计过程中有多层次的安全系统,但是随着新的技术不断发展,虽然可以保护银行网络柜台的顺利运行,但是银行的网络系统仍然是网络银行运行中最为关键的环节。
2) 网络特有的开放性,是病毒流传的渊源。由于因特网所具有的开放性,使得各种计算机病毒随着网络到处流传,这种病毒严重威胁到银行网络的各个系统的顺利运行,尤其是随着银行网络的不断开放,更加为病毒的传播提供了有效的传播途径,这位银行的网络安全带来了巨大的威胁。
3) 专业人才紧缺。当前的网络银行发展,需要的是集合金融业务知识与计算机技术知识为一体的综合型人才,要求这类人才必须要熟悉银行的各种业务,同时又要懂得网络技术,只有这种人才才是保证银行网络安全运行的重要保证,因此,在我国的银行网络发展中,急需的正是这样的人才,当前人才的紧缺,也是造成银行网络安全隐患的原因之一。
1.2 各种来自外部攻击手段所带来的安全问题
1) 来自网络黑客的攻击。近年来,网络银行不断遭到黑客的攻击,导致一部分银行将网上支付系统关闭,密码被窃取,和各种假冒的营业网点已经成为银行网络业务中最大的安全隐患。网络黑客通常的做法是利用各种木马程序,向用户发送一些促销活动的通知邮件,诱惑用户访问其事先预设的网站,用户一旦访问该网站,就会将账号和密码泄露,给犯罪分子可乘之机。
2) 犯罪分子的经济犯罪行为。由于网络银行的支付系统是由金钱进行支付和结算的,因此,很容易引起不法分子的注意,使很多犯罪分子利用网络银行进行各种诈骗行为,严重的会使银行和用户双方受到严重的损失。
3) 工作人员的内部职务犯罪。很多银行的内部工作人员利用工作之便,自行进入银行的网络系统,进行违法犯罪的活动,对银行的网络安全也是一种严重的威胁。
4) 越来越多的病毒威胁。计算机病毒是威胁网络安全的一个最为严重的威胁,普通的计算机病毒会导致数据丢失,使整个计算机网络和程序遭到破坏,很多正常的项目无法运行,甚至使计算机系统瘫痪。由于病毒的入侵,导致系统瘫痪的例子越来越多,各种层出不穷的计算机病毒存在于网络的各个角落,一触即发,令网络安全处于一个令人堪忧的环境。
2 银行网络数据传输系统建设的背景
当前的广域网中,银行所采用的内部网络一般都是营运商的专用路线,通常情况下,银行网络数据传输系统的数据链路层一般都是采用HDLC、PPP、ATM、帧中继等等通用的协议,在网络层一般采用IP 协议,并且在数据链路层和网络层之间不做安全处理,因此,在了解到银行网络系统的网络层IP 协议之后,就很容易根据IP协议的规划和访问控制等细节,获得其他信息,就会有不法之徒利用这些信息,模拟出银行网点极为相似的业务环境,实施其犯罪活动,比如在各个网点签到的柜员到了自己的岗位之后,从运营商的网站中模拟出网点的终端,就可以先显出交易画面,进行违法活动。
3 运用网络安全技术,提高网络数据安全性
网络安全技术是运用各种技术手段,增加网络安全的措施,一般包括防火墙技术,网络设备的安全技术,加密技术等等,下面简要分析各种安全技术。
1) 网络防火墙技术:网络防火墙是根据最小权限的原则。由于网络之间存在着访问控制权限,因此实现了网络隔离,设置网络防火墙,可以成功的隔离DMZ,有效保护网络内部的安全。防火墙一般有包过滤型防火墙,应用型防火墙等等,防火墙可以采用专门的硬件和专用的网络操作系统,也可以基于服务器软件实现。在银行网络系统中,应用的比较成熟的是状态包过滤的防火墙,可以对IP地址访问端口进行严格的控制,确保网络出入口的安全,在网络内部的重要区域也可以设置防火墙技术,以确保网络数据的安全传送。在防火墙的设计过程中,需要网络维护人员对业务流程和应用数据有着明确的认识,同时要了解访问关系和网络应用端口,实现网络安全与应用开发部门的有效结合。
2) 网络设备安全技术:网络设备安全技术一般是指访问控制列表技术,通过这种技术,实现传输层与网络层的访问控制,比如在银行办公网络中的交换机LAN接口,部署ACL,可以限制普通用户或者测试网络对服务器的访问权限,不会影响到网络内部数据的正常运行。网络设备的主要功能体现在转发和路由上,而对于访问控制权限较弱的网段,可以采用一些简单的网络控制,相对于硬件的防火墙技术,网络设备自身的安全访问权限功能更加专业,能够更好的维护网络数据的传输安全。
3) 加密技术:加密技术是维护网络和信息安全的重要保障,基于TCP/IP协议的加密技术,是与网络层相关联的一种技术,常见的有链路层加密,网络层加密以及传输层加密等等,加密产品有硬件也有软件。链路层加密一般是以硬件产品加密为主,在广域网中实施一点对一点或者一点对多点的加密和解密技术,保障数据在连路层的安全传输;而在网络层多使用的软件产品加密技术,这种软件产品加密技术成本小,可以在不同的网络层实施加密和解密技术,实现数据在各个网络层之间安全传输。
4) 审计网络日志:应用网络管理系统,实现网络中的事件管理,对日志进行管理和变更,这也是提高银行网络安全性的一个重要保障,因为网络系统中所包含的各种网络日志是进行日志审计的重要来源。日志审计是及时发展系统漏洞以及安全隐患的有效办法,网络系统中存在的事件日志、用户登录日志等等都是可以审计的内容。将日志进行收集和整理后,通过分析和审计,发挥其应有的作用。在银行网络系统中,可以采用仿真的模拟运行系统,记录攻击者的方式和端口,通过日志的审计功能,评估其面临的风险程度。
4 总结
网络安全是一个系统的,可控的,动态的工程,金融部门应当将增强网络安全意识,投入大量的人力物力,进行技术改进,打造专门的技术团队,对银行内部网络安全进行风险评估,购买安全产品,实施各种安全技术,建立多层次的安全体系,完善安全防范机制,确保银行网络数据的安全运行。
参考文献:
[1] 范平平.我国网络银行现状及安全性分析[J].内江职业技术学院学报,2008(4).
[2] 魏强.浅析增强银行网络数据传输安全性[J].企业技术开发:下,2009(7).
[3] 刘红.试析网络银行的安全性措施[J].北京市计划劳动管理干部学院学报,2006(3).
[4] 王惠君.银行网络数据通信安全与保密问题的研究[J].电脑与信息技术,2008(3).
[5] 姜慧群,师志勇.浅析从网络数据监测中获取实时数据的方法[J].华南金融电脑,2006(8).
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。