信息系统安全集成第3章

1信息系统安全集成确定安全需求与目标目前一页\总数七十七页\编于十一点2本章摘要

本章从组织IT战略出发，根据业务特征、法律法规及合同要求，在充分考虑风险的基础上，确定组织的安全需求和目标，形成各方认可的安全需求文件。摘要目前二页\总数七十七页\编于十一点主要内容一、概述二、组织IT战略与安全需求三、组织业务与安全需求四、符合性的安全需求五、基于风险的安全要求六、确定组织的安全需求七、确定信息安全目标目前三页\总数七十七页\编于十一点4一、概述1.组织与信息安全需求从广义上说，组织是指由诸多要素按照一定方式相互联系起来的系统。从狭义上说，组织就是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组织等等。狭义的组织专门指人群而言，运用于社会管理之中。组织概述目前四页\总数七十七页\编于十一点5一、概述1.组织与信息安全需求现代社会组织定义在现代社会生活中．组织是人们按照一定的目的、任务和形式编制起来的社会集团。组织是体现一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体。组织概述目前五页\总数七十七页\编于十一点6一、概述1.组织与信息安全需求组织安全需求--组织需要保护什么？信息安全的需求，是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织业务并符合法律法规、安全监管要求、合同业务要求等，提出复合组织的基于风险管理的安全需求。组织应该将信息安全集成到业务运作的每一个层面。目前六页\总数七十七页\编于十一点7一、概述1.组织与信息安全需求组织安全需求分析的层次需求分析的层次：目标性需求，定义了整个系统需要达到的目标；功能性需求，定义了整个系统必须完成的任务；操作性需求，定义了完成每个任务的具体的人机交互.目前七页\总数七十七页\编于十一点8一、概述1.组织与信息安全需求组织安全需求挖掘的方法挖掘需求的方法：分析特定客户的业务流程和模型;与特定客户进行讨论与交流(或联合成立需求组)，包括：需求讨论会,与专家或代表讨论.通过调查获取需求，常见需求调查方式有：与用户交谈，向用户提问题等.目前八页\总数七十七页\编于十一点9一、概述1.组织与信息安全需求组织安全需求分析的方法—风险评估法安全需求分析的方法：资产清册风险评估确定风险形成需求目前九页\总数七十七页\编于十一点10一、概述2.组织安全风险安全威胁--引入相关数据图表介绍组织正在遭受越来越多的安全威胁和攻击破坏。由于组织越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。目前十页\总数七十七页\编于十一点11一、概述2.组织安全风险风险是指一个事件产生我们所不希望的后果可能性。组织的风险是指组织未来发生损失的不确定性。这些安全风险主要包括了业务的连续性、业务流程安全、法律安全要求、合同安全、隐私保护要求等。组织的风险目前十一页\总数七十七页\编于十一点12一、概述3.组织信息安全目标根据国际信息安全管理标准的描述，信息安全的目标是“通过防止和减小安全事故的影响，保证业务连续性，使业务损失最小化。”需要进行IT规划和费用调整以保证适当的安全投入，部署有效的工具，来解决紧迫的安全问题，实现组织的安全目标。信息安全的目标目前十二页\总数七十七页\编于十一点13二、组织IT战略与安全需求1.组织IT战略组织战略组织战略是指组织对有关全局性,长远性,纲领性目标的谋划和决策.目前十三页\总数七十七页\编于十一点14二、组织IT战略与安全需求1.组织IT战略组织战略组织战略是表明组织如何达到目标，完成使命的整体谋划,是提出详细行动计划的起点,但它又凌驾于任何特定计划的各种细节之上.战略反映了管理者对于行动,环境和业绩之间关键联系的理解,用以确保已确定的使命,愿景,价值观的实现。目前十四页\总数七十七页\编于十一点15二、组织IT战略与安全需求1.组织IT战略组织IT战略IT战略即信息技术战略（ITStrategy）是组织经营战略的有机组成部分，和财务战略、人力资源战略、运作战略等一样，是公司的职能战略。IT战是关于企业信息技术职能的目标及其实现的总体谋划。对于大的组织公司而言，子公司或大的业务单元也会有其相对独立的信息技术战略。目前十五页\总数七十七页\编于十一点16二、组织IT战略与安全需求1.组织IT战略组织IT战略的部分组成使命（Mission）：阐述信息技术存在的理由、目的以及在企业中的作用。远景目标（Vision）：信息技术的发展方向和结果。中长期目标（MediumtoLong-termObjectives）：远景目标的具体化，即企业未来2~3年信息技术发展的具体目标。目前十六页\总数七十七页\编于十一点17二、组织IT战略与安全需求1.组织IT战略组织IT战略的要点战略要点：是实现上述中长期目标的途径或路线。组织IT战略的规划主要围绕信息技术内涵的四个方面展开：硬件与组建网络与通信应用与数据组织与人员目前十七页\总数七十七页\编于十一点18二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产要进行信息安全建设，首先明确安全保护的对象---组织信息资产。目前十八页\总数七十七页\编于十一点19二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产明确安全保护的对象，即明确组织信息资产。分析业务流程识别关键的业务资产确定业务资产的安全所有人和责任人明确安全保护责任目前十九页\总数七十七页\编于十一点20二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产建立组织信息资产目录并进行维护，帮助组织实施有效的信息资产安全保护，实现业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。目前二十页\总数七十七页\编于十一点21二、组织IT战略与安全需求2.基于战略的组织信息安全需求组织信息资产在以业务为核心的组织内部，信息资产包括：业务应用软件IT基础设施（硬件、组件、网络通讯等）相关的数据和信息关键业务流程和人员其他信息资产。目前二十一页\总数七十七页\编于十一点22二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估安全风险评估的目的在于定义核心信息资产，并且分析应用环境中可能存在的风险。安全风险评估是定义安全需求、选择相应对策以及设计安全系统的基础。目前二十二页\总数七十七页\编于十一点23二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估简易风险评估模型：从风险性质上,风险=威胁+弱点+影响考虑风险的影线,风险=威胁*弱点*影响风险三个要素：威胁--事件或行为,一般来自系统外部,可能在某些地方会影响固有的弱点,造成影响.弱点--系统内部考虑之中的弱点,可能在某些地方受到威胁所利用。影响--短期与长期组织影响,威胁碰巧利用弱点。目前二十三页\总数七十七页\编于十一点24二、组织IT战略与安全需求2.基于战略的组织信息安全需求安全风险的评估通过安全风险评估，识别关键业务资产的安全威胁和风险，了解企业的安全现状和风险水平，分析安全需求和安全改进方向。安全需求必须基于风险评估，并且应该在设计阶段开始前确定。目前二十四页\总数七十七页\编于十一点25二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定组织需要制定与业务战略和IT战略一致的安全战略，明确企业的安全建设目标和安全建设原则。通过风险评估了解了组织的安全现状和风险水平，企业明确了各个层次的安全需求和改进方向。信息安全战略是组织在一定时期内的一整套安全决策，这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。目前二十五页\总数七十七页\编于十一点26二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定制定组织信息安全战略的目标：支持组织战略。平衡的信息安全风险。谨慎而有效的信息安全投资。信息安全建设能够与业务发展和IT能力建设同步。促使信息安全成为业务发展的有力驱动。目前二十六页\总数七十七页\编于十一点27二、组织IT战略与安全需求2.基于战略的组织信息安全需求基于战略的信息安全需求的确定基于战略的信息安全需求的内容：范围需求安全的目标需求（可用性、完整性、保密性、不可地耐性等要求）安全的组织需求安全的资源需求安全的管理流程需求（突发事件与持续改进）后续展开这些需求。。。。目前二十七页\总数七十七页\编于十一点28三、组织业务与安全需求1.组织业务描述模型组织的分类方法有多种，这里讲的组织按组织的目标分类，可以把组织分为：

互益组织：如工会、俱乐部、政党等。工商组织：如工厂、商店、银行等。服务组织：如医院、学校、社会机构等。公益组织：如政府机构、研究机构、消防队等。组织的分类目前二十八页\总数七十七页\编于十一点29三、组织业务与安全需求1.组织业务描述模型组织的业务描述模型业务模型是描述业务用例实现的对象模型，它是对业务角色和业务实体之间如何联系和协作以执行业务的一种抽象。目前二十九页\总数七十七页\编于十一点30三、组织业务与安全需求1.组织业务描述模型组织的业务描述模型业务流程描述模型刻画以业务表单为中心的应用系统业务流程，解决其业务流程建模中的问题,包括:各类约束的严格描述、权限表示、流程关系、流程推进过程以及业务对象被调度和执行的全过程描述。采用业务流程描述模型的业务系统更容易扩展和维护,能较好地满足用户的需求。目前三十页\总数七十七页\编于十一点31三、组织业务与安全需求1.组织业务描述模型业务描述模型例子---银行业务模型业务事件[UML信号事件-指定的激励表格或文档]和过程(UML用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

目前三十一页\总数七十七页\编于十一点32三、组织业务与安全需求1.组织业务描述模型业务描述模型例子---银行业务模型Customer：客户；Teller：出纳员；withdraw：取款；account：账户；BankDB：银行数据库目前三十二页\总数七十七页\编于十一点33三、组织业务与安全需求2.基于业务的组织安全需求业务信息资产是企业信息安全保护的核心目标，因此要进行信息安全建设，首先明确安全保护的对象。组织需要通过分析业务流程，识别关键的业务资产，确定业务资产的安全所有人和认责人，明确安全保护责任。业务信息资产安全是组织信息安全保护的核心目前三十三页\总数七十七页\编于十一点34三、组织业务与安全需求2.基于业务的组织安全需求组织业务信息资产保护内容在以业务为核心的组织内部，信息资产包括业务硬件与组件、系统与网络通信、应用软件、相关的数据和信息，还包括相关的关键业务流程和人员。目前三十四页\总数七十七页\编于十一点35三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求对业务相关信息资产清册，包括硬件与组件、系统与网络通信、应用软件、相关的数据和信息，关键业务流程和人员。建立组织信息资产目录并进行维护，可以帮助企业实施有效的信息资产安全保护，业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。目前三十五页\总数七十七页\编于十一点36三、组织业务与安全需求2.基于业务的组织安全需求基于业务的组织安全需求通过安全风险评估，识别关键业务信息资产的安全威胁和风险，将安全需求列表并排出优先级。确定基于业务的组织安全需求和安全改进方向。目前三十六页\总数七十七页\编于十一点37四、符合性的安全需求1.符合性概述符合性需求的意义为了避免任何违反法律、法令、法定的或者合同的义务，使信息系统安全集成和运行置于法律、法规或者合同的约定的要求之下，以避免或减少安全风险。目前三十七页\总数七十七页\编于十一点38四、符合性的安全需求1.符合性概述符合性是指符合现行法规、规章、制度，技术规范等。符合性要求组织所有行为必须合法，符合相关的规章制度及规则。就是不但要遵守法律，而且也要符合组织内部、行业等的规章制度。

符合性与遵守组织适用的法律和法规有关。它们依赖于外部因素，如环境法规，在某些方面对于整个组织、或整个行业是类似的。什么是符合性目前三十八页\总数七十七页\编于十一点39四、符合性的安全需求2.法律法规要求法律法规的识别识别收集与安全集成有关的法律法规并对适应性进行评价，确定其适用范围和具体适应条款，形成适应的法律法规清单。目前三十九页\总数七十七页\编于十一点40四、符合性的安全需求2.法律法规要求法律法规的识别评估法律法规复合性的需要定期评估，保持适应的法律、法规的有效最新版本。法律法规复合性的需要定期评价，保持适应的法律、法规的符合性。目前四十页\总数七十七页\编于十一点41四、符合性的安全需求2.法律法规要求知识产权保护需求严格执行国家有关知识产权方面的法律法规，保证使用合法的正版地软件。这些需要，确定合法获得软件的途径合法；审查软件资产清单，确保使用的软件已经被授权；列出需要的软件或未被授权软件清单；确保用户数不超出允许的上限；严禁员工私自安装任何软件。目前四十一页\总数七十七页\编于十一点42四、符合性的安全需求2.法律法规要求记录的保护需求应按照法律法规要求和组织规定，明确重要记录的保存期限并适当保护，防止丢失、损坏和伪造；处理与个人数据与信息应按照国家法律法规的规定和相关合同约束，对个人信息进行妥善管理与保护，防止丢失或泄漏个人信息；将需要保护记录和个数据与人信息列出清单，并明确保护要求。目前四十二页\总数七十七页\编于十一点43四、符合性的安全需求3.安全监管要求安全监管是为预防和遏制组织内信息系统缺陷、或用户滥权、或管理不善导致信息安全事件的发生，并保证及时处理由此引起的各类安全事件，减轻或消除信息安全事件造成的经济损失或信誉损失，确保组织业务的连续性。目前四十三页\总数七十七页\编于十一点44四、符合性的安全需求3.安全监管要求安全监管的要求主要分为：国家要求；行业要求；组织内部；其他监管要求。目前四十四页\总数七十七页\编于十一点45四、符合性的安全需求3.安全监管要求信息安全等级保护管理的要求什么是信息安全等级保护信息安全等级保护是指国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。目前四十五页\总数七十七页\编于十一点46四、符合性的安全需求3.安全监管要求信息安全等级保护管理的要求组织对信息和信息系统分等级进行保护的需求：信息安全等级保护管理要求信息和信息系统分等级进行保护，按组织的利益，社会公众利益，对国家安全的影响一共分为五级，第一级是最低的，第五级是最高。确定组织是否强制或自愿纳入信息安全等级保护管理，明确纳入分级保护的级别。目前四十六页\总数七十七页\编于十一点47四、符合性的安全需求3.安全监管要求信息安全等级保护管理的要求组织对信息系统安全专用产品分等级的需求：信息安全等级保护管理要求对信息系统安全专用产品分等级进行管理，根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使用的安全产品等级，各个单位使用的安全产品应该是分等级的。定了三级的系统不能使用二级以下的安全产品；确定组织纳入分级保护的级别，明确使用信息安全产品的等级需求。目前四十七页\总数七十七页\编于十一点48四、符合性的安全需求3.安全监管要求信息安全等级保护管理的要求组织对所发生的信息安全事件分等级进行响应和处置的需求：信息安全等级保护管理要求，对所发生的信息安全事件分等级进行响应和处置，对不同的信息安全事件，由监管部门牵头组织全社会的应急响应和单位的应急响应相结合，最大限度的减轻信息安全事件造成的损失。确定组织纳入分级保护的级别，明确信息安全事件响应的等级需求。目前四十八页\总数七十七页\编于十一点49四、符合性的安全需求3.安全监管要求组织内部信息安全监管要求监管范围与内容：定义监管范围，明确定义组织物理边界，信息系统部署的物理边界，应用运行的区域；明确监管设备，包括防火墙、入侵检测系统、鉴权系统、服务器、路由器、交换机等；目前四十九页\总数七十七页\编于十一点50四、符合性的安全需求3.安全监管要求组织内部信息安全监管要求监管范围与内容：操作系统与应用系统日志，包括操作系统、数据库管理系统、应用系统及设备运行域操作日志的监管要求；网站内容监管，网站内容发布的监控与审计要求，非法、敏感类信息以及克访问性的适时监管要求。目前五十页\总数七十七页\编于十一点51四、符合性的安全需求3.安全监管要求组织内部信息安全监管要求监管职责：内部监管机构的指定与监管责任的定义，如谁分管，哪个部门承担监管责任，对监管对象、安全事件处理，上下协调等责任的定义；监管人员的监管职责的明确，日常监管要求，问题处理方式与报告流程；事件分类及事件处理流程定义。目前五十一页\总数七十七页\编于十一点52四、符合性的安全需求4.

合同业务要求合同受到法律保护：合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护。组织明确双方合同协议中对信息安全的要求。组织在合同业务中对信息安全的要求目前五十二页\总数七十七页\编于十一点53四、符合性的安全需求4.

合同业务要求将双方合同协议中对信息安全的要求列出作为安全集成中的需求管理；组织也需要明确提出第三方机构及人员的信息安全要求，涉及第三方接触本组织的信息处理设备应当基于正式的合同提出所有的基于信息安全的要求，以便确保符合组织的安全政策和标准。组织在合同业务中对信息安全的要求目前五十三页\总数七十七页\编于十一点54五、基于风险的安全要求1.风险管理综述风险的定义风险大致有两种定义：一种定义强调了风险表现为不确定性；而另一种定义则强调风险表现为损失的不确定性。学术界对风险的内涵还没有统一的定义，由于对风险的理解和认识程度不同，或对风险的研究的角度不同，不同的学者对风险概念有着不同的解释。目前五十四页\总数七十七页\编于十一点55五、基于风险的安全要求1.风险管理综述信息安全风险在信息安全领域来讲我们这样来定义风险：风险就是发生损失事件的概率，也可以说是损失发生的不确定性，即信息资产遭受破坏或被非正常利用给组织带来损失的可能性。目前五十五页\总数七十七页\编于十一点56五、基于风险的安全要求1.风险管理综述风险管理风险管理是指通过风险识别、风险评估与分析、风险处置、风险监控等一系列活动来消除或减少风险的管理过程。风险识别>>风险评估与分析>>风险处置>>风险监控目前五十六页\总数七十七页\编于十一点57五、基于风险的安全要求1.风险管理综述风险管理风险管理必须识别、分析风险，风险识别是确定何种风险可能会对组织产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。风险管理要着眼于风险控制，组织通常采用积极的措施来控制风险。通过降低其损失发生的概率，缩小其损失程度来达到控制目的。风险管理要学会规避风险，在既定目标不变的情况下，改变方案的实施路径，从根本上消除特定的风险因素。目前五十七页\总数七十七页\编于十一点58五、基于风险的安全要求1.风险管理综述风险评估对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。风险评估是确定风险优先级的方法。大多数风险评估都基于定量风险评估和定性风险评估这两种方法或这两种方法的组合。目前五十八页\总数七十七页\编于十一点59五、基于风险的安全要求2.风险与安全需求组织需要根据对信息资产风险评估的结果，结合业务需求来确定组织安全需求。安全需求中不仅包括具体信息资产对安全的要求，还应包括软件功能方面的安全需求，以及物理安全、管理流程、系统管理等非软件方面的需求。风险评估与安全需求目前五十九页\总数七十七页\编于十一点60五、基于风险的安全要求2.风险与安全需求组织根据应用以及关键数据的重要程度，确定所需要采用的安全机制。通过安全风险评估明确存在风险的关键的业务资产和业务流程，识别其安全需求和安全现状。风险评估与安全需求目前六十页\总数七十七页\编于十一点61五、基于风险的安全要求2.风险与安全需求安全风险的可接受水平以及安全需求的确认，需要业务人员和管理层来确认，应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑，对安全建设的方向和目标进行决策。风险评估与安全需求目前六十一页\总数七十七页\编于十一点62六、确定组织的安全需求1.安全需求的协商协商协商是利益关系者共同商量以便取得一致意见。目前六十二页\总数七十七页\编于十一点63六、确定组织的安全需求1.安全需求的协商安全需求的协商对于信息安全的需求，在符合国家法律、行业规定、以及上级主管部门、组织内部不同机构、以及客户等的需求重点不一样，同时组织建设信息系统，保证信息安全还受投资限制，因此需要对信息安全的需求进行商量，以最终求得各方一致认同的适合组织建设的安全需求。需求平衡投资平衡目前六十三页\总数七十七页\编于十一点64六、确定组织的安全需求1.安全需求的协商整理需求有优先顺序的安全需求清单业务的组织安全需求符合性的安全需求合同业务要求风险的安全要求目前六十四页\总数七十七页\编于十一点65六、确定组织的安全需求1.安全需求的协商利益关系者间沟通沟通是为了一个设定的目标，把信息、思想和情感在个人或群体间传递，并且达成共同协议的过程。信息安全需求的沟通，是将将组织业务的组织安全需求、符合性的安全需求、合同业务要求，以及风险的安全要求综合处理成有优先顺序的安全需求清单，用这个清单去向各利益关系者传达，收集意见和建议，以达成一致意见。目前六十五页\总数七十七页\编于十一点66六、确定组织的安全需求1.安全需求的协商与利益关系者沟通的步骤：第一步事前准备第一步阐述观点第一步收集信息第一步处理异议第一步达成一致目前六十六页\总数七十七页\编于十一点67六、确定组织的安全需求1.安全需求的协商与利益关系者有效沟通的基本技巧组织清晰语言简洁关注非语言的暗示倾听沟通对象表达求同存异有效反馈目前六十七页\总数七十七页\编于十一点68六、确定组织的安全需求2.安全需求的确定根据沟通结果重新整理需求清单意见建议需求清单经多方协商后的达成基本一致的需求清单目前六十八页\总数七十七页\编于十一点69六、确定组织的安全需求2.安全需求的确定召开会议形成多方认可的需求清单在与各方充分沟通的达成基本一致的基础上，召开关系者代表全体会议，传达沟通结果，形成多方认可的需求清单，并签注确认。召开关系者代表会议经多方认可的需求清单签字确认目前六十九页\总数七十七页\编于十一点70七、确定信息安全目标总体目标的起草与确定组织定义信息安全总目标：确保组织的信息资产的机密性、完整性和可用性（不同的组织