EA之家——最专业的企业架构知识库;最全面的数字化转型案例库。

企业安全架构:请直接抄作业-IBM企业信息安全框架(IBM ESF)V5.0

在IBM提出的ESF(v5.0)“企业信息安全框架”中,安全治理、风险管理和合规是其中一个层次,且处于最顶层,是业务驱动安全的出发点。主要包括企业战略和治理框架、全面风险管理框架、合规管理策略等。
在企业信息安全整体架构设计中,信息安全战略定义时,合规管理在其底层往往不可或缺,无规矩不成方圆,合规对企业安全建设是红线也是底线。
IBM借鉴ISO 27002标准,如下图。
640-190

IBM借鉴GB/T 20984-2007,如下图。

640-191

IBM企业信息安全框架(ESF v5.0)从上到下由安全治理、风险管理及合规层安全运维层和基础安全服务和架构层三个层次构成。安全治理、风险和合规作为ESF 架构顶层的核心内容,是第二层安全运维的服务对象,同时,它们也是企业信息安全策略制定的基础和依据,此外,这一层也为最下层,基础安全服务和架构层中的各个子系统提供选择和建设的依据。

640-192

01 信息安全合规风险

在企业全面风险治理中,合规风险与信息科技风险往往是互相缠绕的,在企业安全的建设过程中,如果有重技术轻法规的认知,对未来业务的发展,将埋下诸多隐患。企业信息安全风险属于信息科技风险的一部分,在满足合规方面,从风险来源维度举例,则可以分为外部合规和内部合规。
外部合规主要包括以下部分:
  • 国家法律务(网络安全法、数据安全法、个人信息保护法、密码法等)
  • 监管及部门规章制度(网络安全审查办法、关键信息基础设施保护条例、等级保护管理办法、APP违法违规认定办法、征信业管理条例、数据安全管理办法及其他监管要求)
  • 行业或团体基本要求(ICP备案、等级保护、密码管理、数据分类分级、风险评估等)
内部合规的责任主要来自以公司法和企业内控规范下,企业风险治理战略中实施的全面风险管理策略,其中与信息安全风险治理有关的比如法律合规风险管理、信息科技风险管理、外包风险管理、供应商风险等,常见于以满足内控为主的各种管理制度和基本规范。
合规管理的指导来源,应是从建立安全合规要求及建设标准清单开始,整理详细的法律法规条款,梳理合规风险来源。

02  数据安全威胁与风险

信息安全有三个最基本的特性:可用性、完整性和机密性。可用性是指数据随时能够获取、随时可用,不会由于硬件故障等问题,导致数据无法读取。
完整性是指数据在整个交易过程中没有遭受恶意篡改和非授权的访问,保障数据是最原本的样子。机密性指的是数据全程加密,不会遭受窃听,也不会被未授权的人访问到,数据是安全的。我们通常讲的信息安全保护,保护的就是数据的这三个最基本的特性。
1.数据可用性威胁与风险
  • 恶意软件威胁、勒索软件病毒,蠕虫、逻辑风险等
  • 电力故障
  • 服务器故障,硬件故障、硬盘损坏
  • 用户删除,且没有备份的文件
2.数据完整性威胁与风险
  • 恶意软件的威胁,例如木马文件等病毒文件
  • 用户误删除
  • 应用程序漏洞
3.数据机密性威胁与风险
  • 恶意软件威胁,比如间谍软件、特洛伊木马、键盘记录器
  • 磁盘或者其他数据存储设备丢失导致非授权的访问
  • 内部人员故意泄露机密数据
  • 社工攻击,通过欺骗、仿冒等方式套取重要数据,例如:密码信息
4.数据合规风险
法律和监管机构对于数据的收集、存储、使用、传输都有明确的要求,不遵守法律和监管对于数据的规定,公司会遭受财务损失、声誉损失等。因此公司内部也要制定数据安全保护的标准,并且需要结合这样的标准对员工进行安全意识的培训,让员工严格遵守

03  数据安全防护措施

管理性控制,就是行政法律法规、公司的行政手段。技术性控制,也称为逻辑性控制,指直接通过技术的手段去进行安全的防护。物理性控制特指物理安全相关的控制。
1、管理性控制
  • 制定数据安全相关的策略和标准
  • 信息分类标准、信息分类保护矩阵、电子数据使用安全标准
  • 开展员工数据安全意识培训,正确指导员工妥善处理数据
  • 安全专业人员必须审查所有相关法律和规章,并检查对本企业的适用性
  • 企业必须服从管理数据和系统使用的法律,例如像《民法总则》、《中华人民共和国网络安全法》等等
2、技术性控制
(1)冗余技术
  • 计算环境主要资源集以外还保留一组或多组额外资源的属性
  • “多一个”,避免了单点故障
  • 可以有电源的冗余,服务器的冗余,网站设备的冗余等等
  • 机房的冗余技术,例如:热站、温站和冷战
  • 硬盘的冗余,Raid1、Raid5、Raid10、Raid01 
(2)非持续性
  • 计算环境一旦完成被分配的任务就会被丢弃的属性
  • 保护原始数据的完整性
  • VDI非持续模式:登出后变更会丢失,否则会偏离安全基线
(3)数据备份
  • 完整备份
  • 差异备份
  • 增量备份
  • 数据定期备份防止数据意外丢失,需要定期检测数据备份的有效性
(4)加密
  • 防窃听
  • 防止设备丢失后的非授权访问
  • 通过磁盘加密、数据库加密、文件加密、USB加密、电子邮件加密、语音加密保护数据的机密性
  • 采用强加密算法,例如AES进行加密
  • 通过会话密钥,保护临时会话安全
(5)身份访问控制
  • 关键资产实施严格的身份访问控制,例如双因素身份验证
  • 通过SIEM实施登录异常监控
(6)数据销毁
  • 删除,右键“永久删除”只是简单地去除标记,数据还在磁盘,通过数据恢复软件可以轻易恢复
  • 消磁,强磁力施加到磁盘驱动上使之失去磁荷,但是也可以重新充磁
  • 消除,删除数据后,通过反复用新的内容覆盖原来的数据,完全清除数据或者重新系统,重新划分磁盘分区实现清除
  • 物理摧毁,是最彻底的数据销毁方式,包括切除、粉、焚烧等
(7)其他控制建议
  • 在组织的所有层面上应用数据安全性
  • 审核在组织中数据可能会以哪些不同方式受到损害,并选择最适合商业需求的数据存储方式
  • 所有数据存储的位置部署防恶意软件并实施IDS
  • 通过数据库监控工具监控数据的安全,例如Guardium
  • 在所有数据的可能出口部署DLP数据泄露防护
  • 发现设备丢失后立即上报,管理员第一时间冻结账户,必要时对设备数据实施远程擦除
  • 选择最适合你的数据安全需求的加密方法,考虑对移动设备全磁盘加密,开启GPS跟踪,开启锁屏,使用强密码策略
  • 将数据管理职责划分为不同的角色,按照角色分配有限的权限而不是管理员权限,限定可以执行的命令,例如SUDO机制
  • 通过补丁管理程序及时更新补丁,修复系统和应用程序的漏洞
  • 社交网站的隐私设置,确保避免泄露个人隐私信息
  • 不要把公司机密数据发个人外部邮箱,尽量避免使用U盘拷贝公司重要数据,如果非得这么做,加密你的数据
  • 确保移除所有的离职人员和临时人员的访问权限,避免仍然能从外部访问

04  安全合规体系

1、合规管理体系的意义

现阶段市场上普遍意义的信息安全建设,常常因为市场化商业产品方案眼花缭乱,或者“从0到1”的实践经验有限,而难以统一进行体系化。
合规自查不失为促进信息安全体系化建设的有效参考和促进措施。因为,信息安全合规是无数行业专业人士和前辈,根据各自在领域内的大量实践经验,综合制定的完善的、标准化的体系。
等级保护标准吸取了BS7799和ISO27001信息安全管理体系的内容,同时针对我国信息化发展情况进行了改进,在新的网络安全等级保护标准中,更是确定了以“一个中心、多重防御”为原则的管理策略,已经是一个完善的体系化的标准。

满足等级保护合规要求,也就意味着要引入其背后的信息安全管理标准,但引入新的视角的管理体系标准,必将与现阶段的企业信息安全框架(或已经约定俗成的管理流程)有所冲突,但并不代表要打破现有管理体系,而是可以相互借鉴融合。

利用合规要求的管理体系思想,对现有管理和技术措施,进行修正、补充,进而调整整合,融入现有体系之中,取精华去糟粕,发挥合规管理体系对原有企业安全框架的有效促进。

2、合规所传递的态度

能力的体现:充分体现企业信息安全保障的能力,或者在某一方面的治理能力,比如数据安全保护方面
值得信赖:以满足合规要求来展现企业在信息安全方面,为客户提供值得信赖的解决方案
信息安全透明度:通过公开白皮书、监管报告及信息安全合规管理的透明,取得客户组织的信任

05  安全合规发力点

1、说服老板合规的三个理由

(1)法律风险
风控不到位就是犯罪。
(2)违规成本
国内在监管合规要求方面的处罚力度在加大,不超过年营业额10%的罚款、业务下架、通告及限期整改、现场训诫。
在浙江省行政处罚结果信息公开中,搜索“网络安全”相关不履行网络安全保护义务、违反网络安全保护管理条例的处罚结果,2021年就有1200多条。
(3)给公司带来盈利和业务运行的保障
一份透明且全面的合规实施计划、一个合规能力证明的认证证书,不仅能够在监管合规要求下避免出现应用下架、限期整改的风险,保障业务运行。
同时让信息安全成为产品或解决方案本身的属性之一,赢得客户信息,促进公司的业务运营。
(4)针对合规需求的实施方案及成本
对开展合规工作的完善的实施方案,和最优的成本控制,能让老板更好的支持你的合规管理计划(这一条是送的)。

2、不成熟的小建议

(1)安全合规左移

充分理解合规设计和基本要求,进行需求分析,建立合规需求清单,翻译法律法规或合规标准,整理成技术人员便于理解的技术建设措施或整改措施。

将合规整改加入到架构评审工作、列入到业务系统需求分析和研发过程,有效依托利用产品经理加入安全需求,给研发人员提供解决方案,完美嵌入到业务流程中。

(2)理解合规意识

充分利用一切宣传和普及合规风险的机会,公司内部的合规培训、架构及需求评审会议、全面风险管理策略。借用公司战略解读合规需求,同风险合规部门一起,将信息安全的合规要求变成全面风险管理的一部分。

将合规的安全需求变成专项工作组的需求,利用产品部门、风险合规部门的有效作用,避免信息安全同研发部门的直面冲突,更好推动合规管理。

(3)合规成熟度自评能力

基于合规管理经验,整理对应的详细合规自查清单进行自评估,既能够发现差距,也能有效识别现阶段突出的风险问题,充实合规管理计划。

(4)第三方背书

具有权威性的合规认证证书,相对于其他技术与管理措施,比较容易落地,更清晰且更有可能有用。

(5)信息安全透明

信息安全合规的透明度,是显示合规遵从和安全能力的有效证明。认证证书、合规管理计划书、隐私条款、数据保护协议、数据透明度报告、风险评估报告等。

06  合规管理挑战

对等保合规的普遍认知偏差主要在以下几个方面:

企业安全建设最重要的原则是系统与安全“同步规划、同步建设”,但目前大多数企业,在IT架构设计或企业信息安全框架设计阶段,并没有将法律合规作为同等重要的需求。在法律合规管理和技术实践方面具有经验的专业技术人员,在大多数企业中仍然缺乏。
合规管理方面,常常由法务、内审管理或安全运维等单一方面经验的人员负责实施,甚至出现例如ISO27001认证过程无安全管理人员参与的情况,人员本身综合安全合规管理经验的缺乏,因而未能将合规管理的体系融入到企业安全管理建设中。由此导致,企业合规管理建设水平较低,常常有“花钱买认证”的理念。
例如在等级保护合规市场,不排除部分测评认证机构,以等级保护认证机构推荐资质自居,或市场蛋糕较大,其本身项目排期较紧张,未能在测评项目中全流程开展等级保护测评工作。
对企业等保工作的宣传和培训几近于无,项目实施仓促,往往仅三四天驻场测评,仓促开始了了结束,模式化流水化加重,无法对企业网络及业务架构理解。
现场测评人员技术水平和测评质量都较低,按照评估指导手册生搬硬套,对条款与具体网络业务环境的适用性无法评估,评判过于僵化,对现有措施的风险缓解和风险评价不准确。
管理制度全靠编。
整改建议对企业参考价值较低,技术措施或管理流程上,对现状整改难度大,企业安全管理意识和合规意识不足,加上检测方与被检测方心理上天然的对抗,导致整改加固建议形同虚设。
企业对等保合规的认知仅限于“花钱买证”“买设备”。
免责声明:解读章节属EA之家原创,享有内容版权。《案例》章节来源于各文库类平台,内容无法找到真正来源,如有标错或文章所使用的图片文字链接等涉及侵权,请尽快与我们联系处理,谢谢。
EA之家 » 企业安全架构:请直接抄作业-IBM企业信息安全框架(IBM ESF)V5.0
升级VIP尊享更多特权立即升级