我的《信息保卫战》读书笔记：信息安全框架概述

一、信息安全框架的引入

企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的， 不仅要保障数据与系统的安全，还要对基于参与者主体的“行为与内容”进行 资源管理、认证及监控。因此，企业信息安全的重要任务是通过把企业内外部 相互孤立的信息安全资源集中、整合起来，在一个安全框架内构成专门的管 理、监管、认证和控制功能或职能，形成一个信息安全体系。使企业信息安全 从关注产品、系统脆弱性的局部安全逐步发展到基于企业战略、业务为主线来 关注信息安全组成与结构的整体安全。企业信息安全需要从全方位的视角去管  

理，而不是通过单一系统或程序来实现。企业战略、安全标准、作业流程、安 全组织，规范制度，甚至安全工具与实施手段等都是环环相扣的，都是企业实 现信息安全建设目标的必要因素。

随着信息化社会进程加速，企业处于一个越来越复杂的信息环境中，使用 传统的系统方法幵发信息安全解决方案时往往会遇到很多挑战。例如，系统安 全平台需求开发的困难性；云计算应用对企业传统安全的挑战；多平台、多组 件架构的安全功能平台整合的复杂性，以及安全解决方案实施的多样性。这些 都会使企业在实际的安全实践中陷入困境。所有企业信息化过程中面临着普遍 的信息化安全问题，企业的安全自主保障体系建设、企业信息化的监管体系建 设、企业的安全应急与业务连续性建设都存在或多或少的问题。

通过分析企业信息安全构成要素，我们可以进一步为企业构建一个信息安 全框架以提供实际指导意义。企业通过一个完整的信息安全框架，可以促进企 业能够根据自身的实际情况判断信息安全建设水平并发现其中的问题。企业信 息安全要素分析与框架指南，可以帮助不同规模、处于不同信息化实施阶段的 企业明确进一步信息安全建设的各个层面和各个环节应该达到的目标和努力的 方向。企业信息安全框架将信息安全工作中的各种要素加以提炼，形成可以量 化的核心要素，为企业提供广泛的指导性建议，也为安全厂商的产品开发、深 刻理解企业信息安全提供帮助。

二、信息安全框架研究与定义

企业管理者渴望获得有效的手段来管理和控制企业的各种风险，他们需要 了解安全风险对信息系统以及相关业务所产生的潜在影响，并且需要获得应对 这些风险的快速有效的措施来保障相关业务的可用性和稳定性。与此同时，他 们还需要通过加强合规管理、业务流程优化来提高企业安全风险管控。由此可 见，企业信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作 用时，才能有效保证企业整体安全管控的目标得以实现。然而，对于大多数企 业或组织来说，在信息安全建设过程中，并没有形成一个清晰的安全框架来确 保企业的风险管控。因此，如何根据企业业务发展的需要，明确合理的信息安 全需求，确立企业信息安全框架，选择安全功能组件将对企业管理者和企业IT 人甚至相关安全厂商是一个挑战。

企业信息安全框架可以帮助我们全面理解和解决企业IT基础架构中与安 全有关的各种问题。通过这个全面的，基于安全最佳实践和业界相关开放标准 的安全模型，可以帮助企业定位安全建设的现状、了解安全建设的需求、组织 未来安全建设的规划和实施。它为企业提供了一个自上而下的、整体的信息安 全建设视图。

企业信息安全框架就是企业以信息安全目标为导向，依据信息安全最佳实 践和标准，明确企业中信息安全各个过程和环节，确定信息安全建设基本的内容，如图6-1所示的企业整体的信息安全建设视图。

三、信息安全框架要素与组成

企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了它们信 息安全建设的重点和关注也有所不同。企业根据生产方式不同至少可以分为三 大类型，即制造型企业、流通型企业、服务型企业。以制造型企业为例，企业 信息化以生产制造业务为核心，信息安全的主要关注点是生产流程可靠性与设 计生产一致性。另一方面，对信息安全服务提供商来说，由于企业在生产及管 理流程上存在很大差异，用一套框架或系统服务于所有行业、不同规模的企 业，无论从管理学还是方法学的角度都是不现实的。因此，正确对待行业差异 性，是企业信息安全框架不可避免的问题。我们综合分析国内企业信息安全建 设经验，总结各个行业信息安全框架的核心要素，结合国际、国内相关标准与 最佳实践，提出企业信息安全框架中的各个核心要素及其结构。

企业信息安全是一项系统性、改造性工程，企业信息安全框架涵盖了信息 安全过程中各个方面和各个环节，既有战略层次要素，也有管理层次、操作层 次要素；既有衡量性能的要素，又有衡量技术、管理的要素•，既有外部环境要 素，又有内部因素；既有较为抽象的一级要素，又有非常具体的二级、三级要 素。可以说，企业信息安全框架是立体交叉的体系结构，能为企业信息安全提 供全面的指导。其中，一级要素为分类要素，二级要素为过程或流程要素，三 级要素为指标要素。要素关系如图6-2所示。

四、信息安全框架内容简述

企业信息安全框架中的要素分析，其中一级分类要素很关键，有些框架完 全按照信息安全技术过程分类，这种信息安全框架不是企业的，是信息安全产 品提供商或服务商的，企业按照这样的框架作为指导，只能是大量的采购产 品；有些框架按照管理对象分类，把资源、管理、人员、技术等分离开来，则 必然造成了企业信息安全运行效率低下的问题。这样，企业信息安全框架的分 类要素对于企业管理者至关重要，但提出合理的、高效的企业信息安全框架却 比较困难。

我们知道，信息安全框架最终的核心任务是完成或达成企业信息安全目 标，企业信息安全目标同样是一个企业信息化的目标之一。那么，企业信息安 全框架应该和企业信息化的体系结构设计一脉相承；同时，企业信息安全框架 是企业各级人员对企业信息安全的视角与关注，并需要通过视图或模型来描 述，如图6-3所示。

在IEEE 1471中，对体系结构有如下解释：一个领域有多个系统，系统受 到环境的约束。系统有一个体系结构和多个关注者。每一个关注者对系统都有 多个关注，有自己的多个视点，并对体系结构描述（AD)识别。体系结构被体 系结构描述说明，在说明中要阐述理由。关注要对体系结构描述识别，要被视 点所覆盖。视点划分或选择体系结构，并被视图所体现或得到遵守，并建立模 型。视图由模型所组成，体系结构描述由视图和模型所汇聚。

运营体系结构是实现或支持业务运营的任务、活动、运营元素和信息流的 描述，定义了信息交换的类型和模式，定义了信息交换支持的任务与活动，定 义了如何支持信息交换的互操作性。运营体系结构包括以下内容：

(1) 运营体系结构的基本目标是定义运营元素、活动与任务和信息交换需 求及模式。

(2) 描述多业务的关系和多业务结构。

(3) 描述业务与活动的指标体系。

(4) 业务与活动是跨越组织边界。 

(5) 运营体系结构通常没有系统依赖性，是和组织体系结构相关的。

(6) 运营体系结构定义是一个设计过程，关注点不同，其描述的内容也 不同。

系统体系结构是提供或支持业务功能的系统或系统之间连接和互操作的描 述。系统体系结构包括以下内容原则：

(1) 系统体系结构的基本目标是描述系统的应用，实现运营任务和活动的 完成。

(2) 系统体系结构描述系统的内部结构，描述系统关注的技术与功能特性 的实现要求。

(3) 系统体系结构描述面向多业务的多系统体系结构，描述如何实现多个 系统连接和互操作的，标识系统接口和定义系统之间的连接性，定义了系统行 为的约束和范围。

(4) 描述系统在业务与技术组织机构中的分布。

(5) 系统体系结构可以支持多组织与领域。

(6) 系统体系结构用其发展的时间阶段来标识。

(7) 系统体系结构是基于技术体系结构的，并且被技术体系结构所约束。 

(8) 系统体系结构定义是一个设计过程，关注点不同，其描述的内容也 不同。

技术体系结构是系统的最小规则的集合，这些规则控制着系统元素或部件 的配置、交互和相互间的依赖性，其目的在于确认系统满足一定的标准、规 范、规则、准则和要求所组成的框架。技术体系结构包括以下内容：

(1) 技术体系结构是基于运营需求和所支持系统之间的协调的，为系统选 择合适的技术和互操作性准则。

(2) 技术体系结构基本目标是定义一个标准的和规则的结合，用这些标准 与规则来控制系统实现、运营、管理和维护等任务。

(3) 技术体系结构标准和准则应当反映多信息系统实现环节。

(4) 技术体系结构说明了在所有系统中是多平台和网络互联的要求。

(5) 技术体系结构必须提供融入新技术和技术演化的标准和老技术逐步退 出的策略。

(6) 技术体系结构应当是逐步走向采用商用标准，并向这个方向发展。

依据信息化体系框架的标准，企业信息安全框架一级要素如图6-4所示。

一级要素分别为：安全管理、安全运维、技术体系。

安全管理：主要包括信息安全建设的战略和治理框架、风险管理框架以及合规和策略遵从。安全治理、风险管理和合规是企业信息安全框架的最顶层， 是企业业务驱动安全的出发点。通过对企业业务和运营风险的评估，确定战略 和管理框架、风险管理框架，定义合规和遵从，确定信息安全文档管理体系。

安全运维：是指在安全策略的指导下，安全组织利用安全技术来达成安全 保护目标的过程。安全运维与IT运维相辅相成、互为依托，共享信息与 资源。

安全运维与安全组织联系紧密，融合在业务管理和IT管理体系中。安全 运维包含威胁分析与预警，安全状态和事件的监控，安全事件或事故的响应， 以及基于安全目标的操作行为和日志审计，这些安全运维的任务主要可通过安全事件监控、响应、审计和相应的安全策略体系共同完成。

技术体系：是指物理安全、基础架构安全、身份/访问安全、数据安全和 应用安全。技术体系是安全运维和管理的对象，其功能由各自的子系统提供保证。