導(dǎo)語：信息安全規(guī)劃設(shè)計(jì)論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著信息技術(shù)的不斷發(fā)展，全球業(yè)務(wù)鏈已經(jīng)越來越依賴信息技術(shù)。與信息技術(shù)相關(guān)的安全問題成為威脅業(yè)務(wù)鏈的重要構(gòu)成部分。傳統(tǒng)的信息安全保護(hù)在“木桶原理”的指導(dǎo)下，不斷修補(bǔ)短板，卻缺乏全面、系統(tǒng)的安全規(guī)劃設(shè)計(jì)。本文的目的是通過CISP的知識(shí)體系架構(gòu)建立基礎(chǔ)的信息安全規(guī)劃設(shè)計(jì)模型，為組織提供一套有效的參考和依據(jù)。

理解CISP知識(shí)體系

CISP的核心在于將保障貫穿于整個(gè)知識(shí)體系。保障應(yīng)覆蓋整個(gè)信息系統(tǒng)生命周期，通過技術(shù)、管理、工程過程和人員，確保每個(gè)階段的安全屬性（保密性、完整性和可用性）得到有效控制，使組織業(yè)務(wù)持續(xù)運(yùn)行。IT作為保障業(yè)務(wù)的重要手段和工具成為傳統(tǒng)保障目的的核心。由于風(fēng)險(xiǎn)會(huì)影響業(yè)務(wù)的正常運(yùn)行，因此，降低風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響是保障的主要目標(biāo)（如圖）。在建立保障論據(jù)的過程中，首先應(yīng)該考慮的是組織業(yè)務(wù)對(duì)IT的依賴程度；其次要考慮風(fēng)險(xiǎn)的客觀性；第三要考慮風(fēng)險(xiǎn)消減手段的可執(zhí)行度。CISP從體系結(jié)構(gòu)上提供了信息安全規(guī)劃設(shè)計(jì)的良好思路和方法論，在整個(gè)課程體系中涵蓋了從政策（戰(zhàn)略層）到模型、標(biāo)準(zhǔn)、基線（戰(zhàn)術(shù)層）的縱向線條，同時(shí)在兼顧中國(guó)國(guó)情的情況下，系統(tǒng)介紹國(guó)際常用評(píng)估標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和國(guó)家相關(guān)信息安全標(biāo)準(zhǔn)與政策。

根據(jù)CISP知識(shí)體系建立安全規(guī)劃設(shè)計(jì)

安全規(guī)劃是信息安全生命周期管理的起點(diǎn)和基礎(chǔ)，良好的規(guī)劃設(shè)計(jì)可以為組織帶來正確的指導(dǎo)和方向。根據(jù)國(guó)家《網(wǎng)絡(luò)安全法》“第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！?/p>

1.通過保障的思想建立安全規(guī)劃背景

信息安全規(guī)劃設(shè)計(jì)可以根據(jù)美國(guó)信息保障技術(shù)框架（IATF）ISSE過程建立需求，本階段可對(duì)應(yīng)ISSE中發(fā)掘信息保護(hù)需求階段。根據(jù)“信息安全保障基本內(nèi)容”確定安全需求，安全需求源于業(yè)務(wù)需求，通過風(fēng)險(xiǎn)評(píng)估，在符合現(xiàn)有政策法規(guī)的情況下，建立基于風(fēng)險(xiǎn)與策略的基本方針。因此，安全規(guī)劃首先要熟悉并了解組織的業(yè)務(wù)特性，在信息安全規(guī)劃背景設(shè)計(jì)中，應(yīng)描述規(guī)劃對(duì)象的業(yè)務(wù)特性、業(yè)務(wù)類型、業(yè)務(wù)范圍以及業(yè)務(wù)狀態(tài)等相關(guān)信息，并根據(jù)組織結(jié)構(gòu)選擇適用的安全標(biāo)準(zhǔn)，例如國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全需要建立在信息安全等級(jí)保護(hù)基礎(chǔ)之上、第三方支付機(jī)構(gòu)可選CISP知識(shí)域簡(jiǎn)圖擇PCI-DSS作為可依據(jù)的準(zhǔn)則等。信息系統(tǒng)保護(hù)輪廓（ISPP）是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境，從組織機(jī)構(gòu)的策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā)，對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估可以基于GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》執(zhí)行具體的評(píng)估，評(píng)估分為技術(shù)評(píng)估與管理評(píng)估兩部分。從可遵循的標(biāo)準(zhǔn)來看，技術(shù)評(píng)估通過GB/T22240—2008《信息安全等級(jí)保護(hù)技術(shù)要求》中物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及數(shù)據(jù)安全五個(gè)層面進(jìn)行評(píng)估；管理安全可以選擇ISO/IEC27001：2013《信息技術(shù)信息安全管理體系要求》進(jìn)行，該標(biāo)準(zhǔn)所包含的14個(gè)控制類113個(gè)控制點(diǎn)充分體現(xiàn)組織所涉及的管理風(fēng)險(xiǎn)。在工作中，可以根據(jù)信息系統(tǒng)安全目標(biāo)來規(guī)范制定安全方案。信息系統(tǒng)安全目標(biāo)是根據(jù)信息系統(tǒng)保護(hù)輪廓編制、從信息系統(tǒng)安全保障的建設(shè)方（廠商）角度制定的信息系統(tǒng)安全保障方案。根據(jù)組織的安全目標(biāo)設(shè)計(jì)建設(shè)目標(biāo)，由于信息技術(shù)的飛速發(fā)展以及組織業(yè)務(wù)的高速變化，一般建議建設(shè)目標(biāo)以1-3年為宜，充分體現(xiàn)信息安全規(guī)劃設(shè)計(jì)的可實(shí)施性，包括可接受的成本、合理的進(jìn)度、技術(shù)可實(shí)現(xiàn)性，以及組織管理和文化的可接受性等因素。

2.信息系統(tǒng)安全保障評(píng)估框架下的概要設(shè)計(jì)

概要設(shè)計(jì)的主要任務(wù)是把背景建立階段中所獲得的需求通過頂層設(shè)計(jì)進(jìn)行描述。本階段可對(duì)應(yīng)ISSE中定義信息保護(hù)系統(tǒng)，通過概要設(shè)計(jì)將安全規(guī)劃設(shè)計(jì)基于GB/T20274-1：2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》進(jìn)行模塊化劃分，并且描述安全規(guī)劃設(shè)計(jì)的組織高層愿景與設(shè)計(jì)內(nèi)涵；在概要設(shè)計(jì)中，還應(yīng)該描述每個(gè)模塊的概要描述與設(shè)計(jì)原則。設(shè)計(jì)思路是從宏觀上描述信息安全規(guī)劃設(shè)計(jì)的目的、意義以及最終目標(biāo)并選擇適用的模型建立設(shè)計(jì)原則。本部分主要體現(xiàn)信息安全保障中信息系統(tǒng)安全概念和關(guān)系。根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，頂層設(shè)計(jì)可以建立在信息安全等級(jí)保護(hù)的基礎(chǔ)上，綜合考慮諸如建立安全管理組織、完善預(yù)警與應(yīng)急響應(yīng)機(jī)制、確保業(yè)務(wù)連續(xù)性計(jì)劃等方面GB/T20274-1：2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》提供了一個(gè)優(yōu)秀的保障體系框架。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型，并建立了信息系統(tǒng)安全保障框架。該標(biāo)準(zhǔn)詳細(xì)給出了信息系統(tǒng)安全保障的一般模型，包括安全保障上下文、信息系統(tǒng)安全保障評(píng)估、信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的生成、信息系統(tǒng)安全保障描述材料；信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果，包括信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的要求、評(píng)估對(duì)象的要求、評(píng)估結(jié)果的聲明等。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。策略體現(xiàn)的是組織的高層意旨，模型與措施作為戰(zhàn)術(shù)指標(biāo)分別為中層和執(zhí)行層提供具體的工作思路和方法，以完成設(shè)計(jì)的具體實(shí)現(xiàn)。當(dāng)信息安全滿足所定義的基本要素后，為每個(gè)層面的設(shè)計(jì)提出概要目標(biāo)，并在具體的設(shè)計(jì)中將其覆蓋整個(gè)安全規(guī)劃中。

3.實(shí)現(xiàn)建立在宏觀角度的合規(guī)性通用設(shè)計(jì)

通用設(shè)計(jì)可對(duì)應(yīng)ISSE中設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)，本階段是整個(gè)安全規(guī)劃設(shè)計(jì)的核心部分，本階段必須全面覆蓋背景建立階段所獲得的安全需求，滿足概要設(shè)計(jì)階段所選擇的模型與方法論，全面、系統(tǒng)的描述安全目標(biāo)的具體實(shí)現(xiàn)。通用安全設(shè)計(jì)是建立在宏觀角度上的綜合性設(shè)計(jì)，設(shè)計(jì)首先將各個(gè)系統(tǒng)所產(chǎn)生的共同問題及宏觀問題統(tǒng)一解決，有效降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空問題。在通用設(shè)計(jì)中，重點(diǎn)針對(duì)組織信息安全管理體系和風(fēng)險(xiǎn)管理過程的控制元素，從系統(tǒng)生命周期考慮信息安全問題。（1）管理設(shè)計(jì)在信息安全管理體系ISMS過程方法論中，可遵循的過程方法是PDCA四個(gè)階段：首先，需要在P階段解決信息系統(tǒng)安全的目標(biāo)、范圍的確認(rèn)，并且獲得高層的支持與承諾。安全管理的實(shí)質(zhì)就是風(fēng)險(xiǎn)管理，管理設(shè)計(jì)應(yīng)緊緊圍繞風(fēng)險(xiǎn)建立，所以，本階段首要的任務(wù)是為組織建立適用的風(fēng)險(xiǎn)評(píng)估方法論。其次，管理評(píng)估中所識(shí)別的不可接受風(fēng)險(xiǎn)是本階段主要設(shè)計(jì)依據(jù)。通過D環(huán)節(jié)，需要解決風(fēng)險(xiǎn)評(píng)估的具體實(shí)施以及風(fēng)險(xiǎn)控制措施落實(shí)，風(fēng)險(xiǎn)評(píng)估僅能解決當(dāng)前狀態(tài)下的安全風(fēng)險(xiǎn)問題，因此，必須建立風(fēng)險(xiǎn)管理實(shí)施規(guī)范，當(dāng)組織在一定周期（例如1年）或者組織發(fā)生重大變更時(shí)重新執(zhí)行風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估可以是自評(píng)估，也可以委托第三方進(jìn)行。本環(huán)節(jié)的設(shè)計(jì)必須涵蓋管理風(fēng)險(xiǎn)中所有不可接受風(fēng)險(xiǎn)的具體處置，從實(shí)現(xiàn)而言，重點(diǎn)關(guān)注管理機(jī)構(gòu)的設(shè)置與體系文件的建立和落實(shí)。第三個(gè)環(huán)節(jié)是建立有效的內(nèi)審機(jī)制和監(jiān)測(cè)機(jī)制，沒有檢測(cè)就沒有改進(jìn)，通過設(shè)計(jì)審計(jì)體系完成對(duì)信息安全管理體系的動(dòng)態(tài)運(yùn)行。第四個(gè)環(huán)節(jié)，即A環(huán)節(jié)，是在完成審計(jì)之后針對(duì)組織是否有效執(zhí)行糾正措施的落實(shí)設(shè)計(jì)審計(jì)跟蹤和風(fēng)險(xiǎn)再評(píng)估過程。A環(huán)節(jié)既是信息安全管理體系的最后一個(gè)環(huán)節(jié)，也是新的PDCA過程的推動(dòng)力。（2）技術(shù)設(shè)計(jì)技術(shù)設(shè)計(jì)主要是建立在組織平均安全水平基礎(chǔ)上，應(yīng)可適用于組織所有的系統(tǒng)和通用的技術(shù)風(fēng)險(xiǎn)。設(shè)計(jì)可遵循多種技術(shù)標(biāo)準(zhǔn)體系，首先建立基于信息安全等級(jí)保護(hù)的五個(gè)層面技術(shù)設(shè)計(jì)要求。通過美國(guó)信息保障技術(shù)框架建立“縱深防御”原則，其具體涉及在訪問控制技術(shù)和密碼學(xué)技術(shù)支撐下的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全。技術(shù)設(shè)計(jì)可在原有的技術(shù)框架下建立云安全、大數(shù)據(jù)安全等專項(xiàng)技術(shù)安全設(shè)計(jì)，也可在網(wǎng)絡(luò)安全中增加虛擬網(wǎng)絡(luò)安全設(shè)計(jì)等方式，應(yīng)對(duì)新技術(shù)領(lǐng)域的安全設(shè)計(jì)。技術(shù)設(shè)計(jì)可以包括兩個(gè)主要手段：第一，技術(shù)配置。技術(shù)配置是在現(xiàn)有的技術(shù)能力下通過基于業(yè)務(wù)的安全策略和合規(guī)性基線進(jìn)行安全配置。常見的手段包括補(bǔ)丁的修訂、安全域的劃分與ACL的設(shè)計(jì)、基于基線的系統(tǒng)配置等手段；第二，技術(shù)產(chǎn)品。技術(shù)產(chǎn)品是在現(xiàn)有產(chǎn)品不能滿足控制能力時(shí)通過添加新的安全產(chǎn)品結(jié)合原有的控制措施和產(chǎn)品統(tǒng)一部署、統(tǒng)一管理。在技術(shù)設(shè)計(jì)中，必須明確的原則是產(chǎn)品不是安全的唯一，產(chǎn)品也不是解決安全問題的靈丹妙藥，有效的安全控制是通過對(duì)產(chǎn)品的綜合使用和與管理、流程、人員能力相互結(jié)合，最終形成最佳的使用效果。（3）工程過程設(shè)計(jì)工程過程設(shè)計(jì)重點(diǎn)考慮基于生命周期每個(gè)階段的基于安全工程考慮的流程問題，在信息系統(tǒng)生命周期的五個(gè)層面。信息安全問題應(yīng)該從計(jì)劃組織階段開始重視，在信息系統(tǒng)生命周期每個(gè)階段建立有效的安全控制和管理。工程過程包括計(jì)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段，本階段的設(shè)計(jì)主要通過在每個(gè)階段建立相應(yīng)的流程，通過流程設(shè)計(jì)控制生命周期各個(gè)階段的安全風(fēng)險(xiǎn)。在計(jì)劃組織（需求分析）階段，體現(xiàn)信息安全工程中明確指出的系統(tǒng)建設(shè)與安全建設(shè)應(yīng)“同步規(guī)劃、同步實(shí)施”，體現(xiàn)《網(wǎng)絡(luò)安全法》中“三同步”的要求。在開發(fā)采購(gòu)階段，通過流程設(shè)計(jì)實(shí)現(xiàn)軟件安全開發(fā)的實(shí)現(xiàn)和實(shí)現(xiàn)供應(yīng)鏈管理。實(shí)施交付階段，關(guān)注安全交付問題，應(yīng)設(shè)計(jì)安全交付流程和安全驗(yàn)收流程。運(yùn)行維護(hù)階段要體現(xiàn)安全運(yùn)維與傳統(tǒng)運(yùn)維差異化，安全運(yùn)維起于風(fēng)險(xiǎn)評(píng)估，應(yīng)更多關(guān)注預(yù)防事件的發(fā)生，事前安全檢查的基線設(shè)計(jì)、檢查手段及工具的選擇和使用根據(jù)設(shè)備的不同重要程度建立不同的檢查周期；當(dāng)系統(tǒng)產(chǎn)生缺陷或者漏洞時(shí)，設(shè)計(jì)合理的配置管理、變更管理及補(bǔ)丁管理等流程解決事中問題；當(dāng)事件已經(jīng)產(chǎn)生影響時(shí)，可以通過預(yù)定義的應(yīng)急響應(yīng)機(jī)制抑制事件并處置事件；當(dāng)事件造成系統(tǒng)中斷、數(shù)據(jù)丟失以及其他影響業(yè)務(wù)連續(xù)性后果時(shí)，能夠通過規(guī)劃中的災(zāi)難恢復(fù)及時(shí)恢復(fù)業(yè)務(wù)。廢棄階段通過流程控制用戶系統(tǒng)在下線、遷移、更新過程中對(duì)包含有組織敏感信息的存儲(chǔ)介質(zhì)建立保護(hù)流程和方法，明確廢棄過程中形成的信息保護(hù)責(zé)任制，并根據(jù)不同的敏感采取不同的管理手段和技術(shù)手段對(duì)剩余信息進(jìn)行有效處置。（4）人員設(shè)計(jì)人員安全是信息安全領(lǐng)域不可或缺的層面，長(zhǎng)期以來，過于關(guān)注IT技術(shù)的規(guī)劃設(shè)計(jì)而忽略了人的安全問題，內(nèi)部人員安全問題構(gòu)成了組織安全的重要隱患，人為的無意失誤造成的損害往往遠(yuǎn)大于人為的惡意行為。人員設(shè)計(jì)重點(diǎn)關(guān)注人員崗位、技術(shù)要求、背景以及培訓(xùn)與教育，充分體現(xiàn)最小特權(quán)、職責(zé)分離及問責(zé)制等原則。根據(jù)《網(wǎng)絡(luò)安全法》第四章要求，關(guān)鍵基礎(chǔ)設(shè)施應(yīng)建立信息安全管理機(jī)構(gòu)，并設(shè)置信息安全專職人員。在人員設(shè)計(jì)中還應(yīng)充分考慮到第三方代維人員的管理及供應(yīng)商管理等新問題的產(chǎn)生。

4.構(gòu)建等級(jí)化保護(hù)的層面間設(shè)計(jì)

在通用設(shè)計(jì)中，可以基于組織平均安全水平建立規(guī)劃設(shè)計(jì)，而本階段主要為滿足不同等級(jí)化業(yè)務(wù)系統(tǒng)的強(qiáng)化安全保護(hù)要求。層面間設(shè)計(jì)可以基于系統(tǒng)的具體特征有針對(duì)性地對(duì)系統(tǒng)安全性進(jìn)行深度分析。本階段的設(shè)計(jì)可以建立在信息安全等級(jí)保護(hù)的符合性原則之上。5.合理安排工程實(shí)施計(jì)劃工程實(shí)施計(jì)劃必須根據(jù)背景建立階段中的建設(shè)目標(biāo)，將信息安全規(guī)劃設(shè)計(jì)根據(jù)組織風(fēng)險(xiǎn)優(yōu)先級(jí)及成本投入等因素分期實(shí)施。安全規(guī)劃設(shè)計(jì)通過技術(shù)（技術(shù)產(chǎn)品、技術(shù)配置）、管理（組織建設(shè)與體系文件建設(shè)）、工程過程（流程建設(shè)、流程梳理與流程控制）及人員（崗位設(shè)置、崗位原則、職責(zé)劃分）四個(gè)方面設(shè)計(jì)，在每個(gè)階段可根據(jù)組織實(shí)際情況分期實(shí)施，并合理分配工程預(yù)算。信息安全規(guī)劃設(shè)計(jì)不用拘泥于某一種模式或者類型，CISP知識(shí)體系建立基于生命周期的信息安全保障體系，為信息系統(tǒng)安全規(guī)劃設(shè)計(jì)提供了良好的參考和依據(jù)，靈活運(yùn)用各種標(biāo)準(zhǔn)與模型，充分融合技術(shù)與技術(shù)產(chǎn)品，堅(jiān)持技術(shù)與管理并重的原則，通過流程有效控制工程過程并合理部署和利用人員，實(shí)現(xiàn)人、技術(shù)和操作的有機(jī)結(jié)合。同時(shí)，綜合運(yùn)用CISP知識(shí)體系，不但可以豐富信息安全規(guī)劃設(shè)計(jì)的具體實(shí)現(xiàn)，也可以為日常運(yùn)維工作提供必要的參考。

作者:樊山