国内信息化建设起步于上世纪90年代,经过多年的发展,各组织单位信息化建设取得了突破性进展,信息系统顺利完成由局部应用到全面覆盖、由辅助管理到支撑生产经营、由分布处理到数据集中的转变,开始步入成熟阶段。
在信息化建设的过程中,同时也进行了信息系统安全建设。信息系统安全建设一般经过分散建设阶段、系统化建设阶段、一体化建设阶段。在不同的阶段,采取不同的安全技术与解决方案,但无论在哪一个阶段,信息系统安全理念都不会发生根本性的变化。本文通过总结信息系统安全建设的经验,提出了信息系统安全“四化”建设的理念与方法论,即产品方案化、方案业务化、业务透明化、服务产品化。
产品方案化
产品方案化着重强调某个安全产品在整个信息系统安全整体解决方案中的角色,以及所解决的具体问题。
产品方案化以方案提供者的角度提出,让用户明确安全产品不是解决所有的安全问题,而是满足整体解决方案某一个点的问题。如防火墙主要解决内外网安全隔离,或安全域的划分与隔离;网络审计主要对网络行为进行记录与追踪,解决内网合规问题。
产品方案化的前提是让用户对信息系统安全体系框架有一个清晰的认识,知道进行信息系统安全防护需要建设怎样的安全体系架构,而目前现状已经满足哪些要求?还有哪些没有满足?从而明确该产品在安全体系架构中的作用,以及该产品的重要性和紧迫性如何?
对于信息系统安全体系架构,在等级保护制度没有执行之前,一般按照IATF标准通过安全域的划分来构建信息系统安全体系架构,以及等级保护制度的执行,使国内政府、企事业单位进行信息系统安全建设有所依据。等级保护从计算安全环境、边界安全、通信安全、安全管理中心四个方面阐述了如何构建安全体系架构。通过信息系统安全等级保护架构图,可以非常清晰每个产品在等级保护整体解决方案中的角色与作用,从而很容易提供产品方案化的解决方案。
方案业务化
信息系统安全是一个比较宏观的概念,信息系统安全的目的是业务系统安全,保障业务系统的可用性和安全性,是进行信息系统安全建设的最终目标。同时,以业务系统安全为目标,可以使解决方案的工作目标更明确,具体安全措施的粒度更细。
通过多年的信息化建设,业务系统已经成为组织单位中职能部门工作的平台,业务系统产生可用性事件或安全事件,直接关系到组织单位的日常工作,甚至造成经济损失。信息系统安全解决方案,一定是以业务系统为中心,从业务系统的安全防护、业务系统的可用性监控、业务系统的行为审计、业务系统的运维安全、业务系统的安全事件,以及业务系统的流量监控等多维度来解决业务系统的安全问题。
因此,以安全解决方案业务化的角度去解决安全问题,不仅目标明确,而且可以准确的判断业务系统是否是一个独立的安全域,业务系统安全防护是否到位,从而验证安全解决方案是否“落地”。
业务透明化
信息系统安全保障体系作为业务系统安全稳定运行的基础,服务于业务系统,但对业务系统的应用需要透明,以不影响业务系统用户使用习惯和业务系统的运行效率为原则。
信息系统安全建设如果做不到业务透明化,在安全建设的过程中,一定会遇到重重阻力,难以为继。即使由于某种原因进行了不透明的安全建设,后期也会导致弃用。同时,业务不透明的安全建设,很容易因为信息系统安全建设而导致业务系统的不安全。
服务产品化
一个完整的信息系统安全保障体系,由安全产品技术、安全管理、安全服务三大方面组成。其中安全服务包括信息系统安全咨询服务、评估服务、应急服务、加固服务、安全运维服务等。
安全服务需要产品化,才能够形成标准,保证质量。安全服务的产品化集中体现在安全服务文档标准化、项目组织标准化、服务流程标准化。
安全服务文档不仅需要标准化,而且根据客户的不同要进行行业化,同时要及时更新。项目组织标准化体现在安全服务的过程中,让专业的人做专业的事情,避免由于人员的不专业而导致安全服务风险加大。服务流程标准化体现在安全服务要有计划、有步骤的进行。
总之,安全服务产品化不仅能够体现安全服务的专业性,而且能够提高安全服务的效率,降低安全服务的风险。
在信息系统安全解决方案中,以安全“四化”建设为理念,不仅可以使安全解决方案目标明确,建立符合用户使用习惯和企业文化、可落地的安全保障体系,而且可以使安全技术和安全服务有机的融合为一体,从而高效的为信息系统安全稳定运行提供保障能力。