日志档案

发表于 2016/12/12 10:30:08

0

标签: 信息安全

用设计实现信息安全

  "用设计实现信息安全"是一种实现信息安全方法,是一次全面的、创造性的、预期性的、跨学科的、稳健的、负责任的过程,并嵌入到系统中。在工程领域,用设计实现信息安全的方法在很多地方与 "信息安全工程"的概念具有共同点。
  一、主动而不是被动;预防而不是补救
  历史上,多数企业应对信息安全威胁通常都用被动的方式。但随着信息安全攻击的频率增加和复杂,企业必须建立安保文化和应对方法,采取积极主动的方式预防。
  以下的引文强调了主动预防的紧迫性:
  来自威瑞森(Verizon)2013年的数据泄露调查报告:
  今年,大规模的数据泄露和网络攻击占据了中心舞台。...我们看到独立的、持续的活动,似乎走到一起,贯穿了全年。从酒吧到公共机构,从夫妻店到跨国公司,无一幸免。
  来自乔尔布伦纳《美国的脆弱》:
  公司现在必须重新评估风险,而且要问:如果我们的设计、我们的公式或我们的代码泄露后,会发生什么?如果我们的网络发生中断或损坏,会发生什么?这是企业的战略风险。
  在事件发生前就做准备,往往需要企业改变"心态",这涉及到:第一、领导力;第二、企业的整体文化。这包括了:具有战略眼光,而不是威胁出现时,只用战术行动应对。我们需要采取战略的、前瞻的视野,而不是被动的、战术的方法。
  我们建议:根据主动的企业安保策略,实施企业架构(EA)规程。 高德纳(Gartner)公司在2006年首先应用这一概念,撰写了一篇题为"将安保嵌入进企业架构之中" 的信息安全报告。


  二、把安保作为默认设置
  默认安保是一种理念,覆盖了实施安保控制策略和安装与配置软件的具体方法。在这种情况下,我们的目标是确保系统配置成尽可能的默认安保,而不是员工各行其是,或者更糟,事后再收紧安保。
  在软件安装和配置时,默认信息安全意味着:初始设置或系统安装包含了一组最少的软件配置,能实现安保。
  在更广泛的策略驱动情形中,默认安保要求有限地访问信息、系统和应用,为特定任务调节数据和功能。
  这种策略的例子包括:
  ●最小权限。该原则是:一个信息安全架构的设计应对每个实体给予最小的系统资源来执行需要的功能。
  ●需要知道。隔离信息资源的一种方法。为了履行工作,基于角色给与员工需要的访问资源。术语"需要知道"和"最小权限"表达了同样的想法。需要知道通常适用于人,而最小特权通常应用于流程。
  ●最不信任。该原则以最小的方式设计一个安保架构:1)需要信任的组件数最少;2)每个受信组件的范围最小。组件应该用安保架构不信任和容错的方法设计。
  ●强制访问控制。基于信息的敏感性限制访问对象,对访问敏感信息的主题有正式授权(即通关,正式获得批准和需要知道)。
  ●职责划分。尽量分离责任和义务的特定区域,减少欺诈和无意错误。例如,接受现金付款的员工不应该负责银行存款与核对银行对账单。
  应当指出的是,在许多情况下,默认安保的策略可能与易用性目标相冲突。必须注意用户界面的安保,允许员工访问工作所需的信息和功能,同时保持默认安保的基本原则。
  三、把安保嵌入进设计
  为了构造信息安全系统,安保功能必须嵌入到系统的设计中。设计嵌入安保功能的信息安全系统,可以有两种方式:通过软件和通过系统硬件。在本节中,我们先讨论"软件信息安全保障"的方法,把软件安保嵌入信息安全系统的设计;随后讨论"可信计算模块"的方法,把硬件安保嵌入信息安全系统的设计。
  ●软件信息安全保障
  软件信息安全保障的定义是:
  确保设计的软件在安保的水平上运行,这个水平不会导致数据和资源的丧失、不准确、变更、不可用或误用。
  软件信息安全保障目的是在系统生命周期的生成定义、开发、部署和维护过程的每个步骤中,减少引入安保漏洞的风险。为了实现这个目标,安保必须嵌入每个系统、协议和过程。
  软件信息安全保障在工业中已有一些方法。例子包括:软件保证成熟模型(SAMM),全面、轻型应用安保过程(CLASP)。对这些方法的分析揭示了以下基本实践:
  ●全生命周期方法。安保必须通过整个软件产品的生命周期来实现:从需求、设计到实施、测试和部署。安保不是一锤子买卖,只是围绕产品构建防御"外墙"的问题。相反,安保是在产品生命周期中每一步要考虑的问题。
  ●全面的威胁分析。产品数据的灵敏度、系统处理的丢失和误用、数据未经授权访问等的影响,必须全面评估和排序。在误用的情况下,应使用数据分类技术,确定系统潜在的威胁级别。
  ●安保内置于系统架构。针对潜在威胁的安保措施,必须设计到系统的体系结构中,而不是事后处理。安保必须构造为系统核心功能的基本组件。
  ●定期代码审查。在源代码中发现的缺陷必须反复地审查和审计,并通过系统的重新编码和/或重新设计改正。强制执行信息安全编码标准,为复用设计安保模块。
  ●严格安保测试。系统安保功能必须通过结构化测试来保证,基于方法评估交付软件特性。误用应针对现场进行测试,并应尝试使用系统"黑客"。


  ●可信平台模块
  可信平台模块(TPM)由可信计算组织开发,这是一个国际行业标准组织,作为一种技术,可用于系统内从软件向硬件转移的信任基线。遵从信息社会数字联盟的白皮书"通过设计实现信息安全:可信计算"。
  TPM提供密钥管理的硬件支持。它们是计算机芯片(微控制器),具有有限容量存储密钥和证书,以安保的方式装在计算设备的主板上,并基于开放标准。
  四、正和而非零和
  通过设计的安保可实现正和的结果。很多时候因为隐私而放弃了安保。除了隐私,还有其他的目标和利益可能与安保相冲突。冲突的例子包括:
  ●容易访问与安全访问。负责企业在互联网上销售的业务经理,希望客户尽可能方便地买东西。允许新客户用Facebook凭证登录,这使客户很容易进行初始连接。然而,Facebook凭证并不值得信任,不足以安全地进行金融交易。
  ●便利性与安全性。大多数用户都讨厌密码。他们有太多的在线账户,太多的密码。因此,使用简单密码非常诱人,因为他们非常方便。然而,经验表明:这是非常危险的。
  ●易于实施与安全使用。实现一个应用即简单又便宜,从数据库记录查询所有数据,然后显示给用户,再后基于用户的角色或职责的等级,选择性编辑或显示各个数据字段。此外,很难设计容错方式的应用,在这里可以预见所有潜在的威胁。
  怎么样可以实现正和"双赢"的结果,而不是非此即彼的尴尬?下面从企业的角度来看看相关的注意事项:
  ●设法了解所有客户的目标。获取所有的问题。承认可能存在的冲突,并知道解决方案的第一步。
  ●评估潜在的冲突。他们为什么存在?用什么方法可以重构预期,尽量减少冲突?
  ●了解目前的方法和技术。存在的冲突是否因为目前的局限性?是否有存在的技术或方法可以最小化冲突?
  ●评估新的方法和技术。使用新的方法是否能减少或消除冲突?是否可以用新的技术?不远的将来是否有新兴的技术可以帮助我们?
  ●寻求有效的妥协。是否有办法可以调整我们的期望,以适应相互的冲突?我们是否能"在中间区域"来解决冲突?
  ●在尽可能低的水平实现折中。在较高的水平上寻求折衷,通常是一维的,如便利与安保,这让一个以失去另一个为代价而获胜(零和)。低水平的折衷创建了多维空间,其中每个单独的组件对最终的结果影响不大,综合考虑可以产生最优化的结果(正和)。
  ●寻求创造性解决方案。有没有(重新)设计或(重新)架构的技术,能把冲突一起移除且完全解决?有时一个新的角度能解决所有问题。
  ●愿意在有效性中投入。有时,我们需要"忍辱负重",投入更多才能得到我们需要的结果。对新的方法和技术要适当投资,可能会解决相互矛盾的问题,并提供真正的商业价值。
  五、端到端全生命周期的安保
  企业安保的目标是确保企业信息的机密性、完整性和可用性。为了真正实现信息安全性,必须增强和改善企业的潜在薄弱环节,而不仅在周边或在企业的一部分。经验表明,只在周边保护企业的老方法是远远不够的。
  当安保策略可解决企业端到端的保护时,才能保护企业的活动和资产。
  信息安全的两个关键环节:数据库安保(DBSec)和身份识别与访问管理(IAM),是这里讨论的关键。其他安保也很重要(例如,网络安全,病毒/恶意件防护),但DBSec和IAM是安全保护最主要的内容 -- 保护信息本身以及安全访问这些信息。
  下面就是DBSec和IAM的功能概述。
  ●数据库安全
  安保要求数据库的保密性、完整性和可用性。 DBSec的定义是:
  一个系统或过程,其数据库的"保密性,完整性和可用性"或CIA能够得到很好地保护。未经授权进入或访问数据库服务器表示保密性的丢失;未经授权改动可用数据表明完整性丢失;得不到数据库的服务意味着可用性丢失。一个或一个以上的这些基本面丢失将会对数据库的安保造成显著影响。
  最好通过双管齐下的方法来实现:
  ●预防性安全控制,在数据库中积极寻找和发现,防止发生对数据的非法行为;
  ●侦探性安全控制,在数据库中监测和分析发生非法行为的案件。
  ●身份识别和访问管理
  除了数据库安全,安保也需要:仅授予适当的访问信息、系统和应用。加德纳(Gartner)对IAM的定义是:
  安保原则能使正确的个人在正确的时间有正确的理由获得正确的资源。
  IAM针对关键任务的需要,确保在日益增加的异构技术环境下,适当地访问资源,并满足日益严格的合规要求。这种安保实践是企业的关键规程。
  发展成熟IAM功能的企业可以减少身份管理的成本,更重要的是,在支持新业务时,明显更加灵活。
  为了实现IAM,一个系统要求:
  ●身份管理功能,确保正确的人能够得到访问权限,而错误的人则不能;当人离开时,禁止访问权限,并强制执行审计策略(确保合规);
  ●目录服务存储库,对不同的人可以访问的内容提供明确的、统一的说明;
  ●访问管理机制,这样你就能够自动地知道用户是谁(认证),授予正确的访问权限(授权)和强制执行安保策略(Web、移动性、云计算)。


  六、可视性和透明度
  可视性和透明度,是众所周知的安保原则,在信息系统的安保中,可增强客户和供应商的信心。提供可见性和透明度的方法包括:
  ●开放标准。应该采用众所周知和已经审查的信息安全标准。例如,使用知名和广泛测试的加密标准,诸如高级加密标准(AES),这能给出高度的信任,加密的数据将是安全的。另一方面,不知名的或未被测试过的加密新方法,可能会引起安保性的怀疑。一般情况下,应避免使用专有的加密算法。
  ●知名过程。如果遵从知名过程来开发安保系统,用户可以确信系统产生的安全性。遵从安保开发过程和使用安保编码标准是这种过程的实例。
  ●第三方评估和验证。在系统内信息安全验证的范围可以从现有或潜在客户的验证,到按照标准方法的正式验证,如国际标准(ISO / IEC 15408),可用于计算机信息安全认证。
  ●安全策略。记录和披露安保系统的约束可以灌输给用户,有助于确保系统按照规定的承诺和目标运行。对企业该部分的问责制,不是偏离其业务过程,而是让他们遵守职责。
  七、以人为本
  由设计保安全有广泛的支持者。必须尊重和保护信息拥有者的利益,适应个人和企业的利益。
  例如,经济间谍活动的主要目标是知识产权,而不是个人可识别信息(PII),就是当今的商业环境。在这种的情况下,保护企业的数据是极为重要的。
  互联网犯罪的程度是惊人的。我们的企业和政府都面临着每天二十四小时无情的网络攻击,商业秘密是推动我们的生活水平提高和创造我们国家富强的力量。所以,我们要把信息安全作为我们企业当今需要实现的最重要的任务,防止各种悲剧发生在我们的身上。

系统分类: 工业安全   |   用户分类: 工业安全   |   来源: 原创

    阅读(253)    回复(0)