2.2 信息和通信技术安全管理
ISO/IEC 13335《信息和通信技术安全管理》(Management of Information and Com-munications Technology Security,MICTS)是由ISO/IEC JTC1制定的一个信息安全管理方面的指导性标准,针对网络和通信的安全管理提供了指南,指导组织从哪些方面来识别和分析计算机网络与通信系统相关的IT安全要求,同时概括介绍了可供采用的安全对策,其目的是为有效实施IT安全管理提供建议和支持。
2.2.1 标准组成
ISO/IEC 13335由5个标准组成,具体如表2-2所示。
表2-2 ISO/IEC 13335系列标准组成
(续)
ISO/IEC 13335和ISO/IEC 27002之间没有直接的联系,它们的主题基本不重叠。组织在按照ISO 27001建立信息安全管理体系时,可以参照ISO/IEC 13335的部分方法,例如风险评估可以参照ISO/IEC TR 13335-3:1998《IT安全管理技术》。
2.2.2 主要内容
(1)IT安全含义
通常对信息安全的定义主要包括三个方面:机密性、完整性和可用性,而ISO/IEC 13335-1中则给出了IT安全方面的6个含义。
1)Confidentiality(保密性):确保信息不被未授权的个人、实体或者过程获得和访问。
2)Integrity(完整性):包含数据完整性的内涵,即保证数据不被非法地改动和销毁;同样,也包含系统完整性的内涵,即保证系统以无害的方式按照预定的功能运行,不受有意的或者意外的非法操作所破坏。
3)Availability(可用性):保证授权实体在需要时可以正常地访问和使用系统。
4)Accountability(可追究性):确保一个实体的访问动作可以被唯一的区别、跟踪和记录。
5)Authenticity(真实性):确认和识别一个主体或资源就是其所声称的,被认证的可以是用户、进程、系统和信息等。
6)Reliability(可靠性):保证预期的行为和结果的一致性。
ISO/IEC13335-1中对IT安全6个方面的阐述比通常三要素的定义更细致,对实际工作有更大的指导意义。
(2)风险管理模型
ISO/IEC 13335-1给出了如图2-3所示的风险管理关系模型,同时分析了安全管理过程中高层次的关键要素,具体如下。
1)Assets(资产):包括物理资产、软件、数据、服务能力、人、企业形象等。
2)Threats(威胁):可能对系统、组织和财富引起所不希望的不良影响。这些威胁可能是环境方面、人员方面、系统方面等。
3)Vulnerabilities(漏洞):存在于系统的各方面的脆弱性。这些漏洞可能存在于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本身。
4)Impact(影响):不希望出现的一些事故,这些事故导致在保密性、完整性、可用性、负责性、确实性、可靠性等方面的损失,并且造成信息资产的损失。
5)Risk(风险):威胁利用存在的漏洞,引起一些事故,对信息财富造成一些不良影响的可能性。整个安全管理实际上就是在做风险管理。
6)Safeguards(防护措施):为了降低风险所采用的解决办法。这些措施有些是环境方面,比如,门禁系统、人员安全管理、防火措施、UP S等。有些措施是技术方面,比如,网络防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制等。
7)Residual Risk(剩余风险):在经过一系列安全控制和安全措施之后,信息安全的风险会降低,但是绝对不会完全消失,仍会有一些剩余风险的存在。对这些风险可能就需要用其他方法转嫁或者承受。
8)Constraints(约束):一些组织实施安全管理时不得不受到环境的影响,不能完全按照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等。
图2-3 风险管理模型示意图
(3)防护措施
在ISO/IEC TR 13335-4中就针对6方面的安全需求分别列出了一系列的防护措施,诸如门禁系统、UP S、防火措施等物理环境安全措施,以及加密、数字签名、备份和恢复、访问控制等技术方面的安全措施。根据功能,安全防护措施如下。
1)威慑性:降低蓄意攻击的可能性,实际上针对的是威胁源的动机。
2)预防性:保护弱点,使攻击难以成功,或者降低攻击造成的影响。
3)检测性:检测并及时发现攻击活动,还可以激活纠正性或预防性控制。
4)纠正性:使攻击造成的影响减到最小。
总结起来,ISO/IEC 13335对安全的概念和模型的描述非常独特,具有很好的借鉴意义。其对安全管理过程的描述非常细致,而且完全可操作。相对ISO/IEC 27000系列而言,在信息安全,尤其是IT安全的某些具体环节阐述上ISO/IEC 1335更具体和深入,对实际的工作具有较好的指导价值,从可实施性上来说也要比前者好些。ISO/IEC 13335对安全管理过程中的最关键环节——风险分析、评估和管理有非常细致的描述,包括基线方法、详细分析方法和组合分析方法等风险分析方法学的阐述,对风险分析过程细节的描述很有参考价值。另外,针对6种安全需求的完整防护措施的内容介绍也要比ISO/IEC 27000系列具体。