科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>中观思想 落实等级保护实效

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如何实施等级保护?仁者见仁,智者见智。三观论提倡采用中观思想方法,对信息安全等级保护进行系统而深刻的解析。

来源: 2006年08月07日

关键字:等级保护

一直以来,信息安全等级保护都是业界关注的焦点,对于等级保护的定义和意义,国家相关部门早已从政策层面做了详细阐述,但是如何实现等级保护实效,仍需要主管部门、用户和安全企业在实践中不断摸索总结。

如何实施等级保护?仁者见仁,智者见智。三观论提倡采用中观思想方法,对信息安全等级保护进行系统而深刻的解析。所谓的三观是指宏观、中观和微观,这是一个有机的整体。三观可以分别对应着决策层、运营层和实现层。对于等级保护,三观论提倡不能仅仅停留在盲目实施各项管理条例和满足各项具体规定上,而应充分认识等级保护的精髓──等级化,明确信息情况可视化和决策指令明确化的要求,确定面向实效的目标,从技术入手并平衡管理因素,以安全域为基础,化繁为简,最后通过安全管理平台来提升安全实效的层次。

两大管理难题

对于管理者来说,他们对两件事情感到害怕:一怕不知道发生了什么情况,二怕不知道接下来该怎么办,这就是管理者面临的两大难题。要解决这两大难题就要实现信息情报的可视化和决策指令的明确化。

等级保护能不能更好地解决这两大管理难题呢?等级保护能否达到“信息情报的可视化,决策指令的明确化”这样的实效呢?能否通过让一切看得见摸得着,帮助管理者规避和消除“不知道”的难题呢?这一系列问题的答案都是一个字“能”。

等级保护的精髓是等级化

人们可以从不同层面来认识等级保护。等级保护被划分为自主保护、指导保护、监督保护、强制保护、专控保护5个级别;要经历定级、规划设计、建设、运维、终止5个阶段;在等级保护的建设过程中,形成了自主保护、同步建设、重点保护、适当调整等保护原则;等级保护的评估也有不同形式,比如自主评估、检查评估、委托评估等。而等级保护的内涵则包括技术和管理两大方面。其中,技术上涵盖了物理、网络、主机、应用、数据等层面,管理上则包括机构、制度、人员、建设、运维等层面。

以上这些描述都不足以体现等级保护的核心,等级保护的精髓是等级化。

等级化使得所有的安全要素都可以被简化地描述出来,比如说,等级保护可以把资产等级化,把威胁等级化,把事件等级化,把安全措施等级化,把安全边界等级化,把内网交互程度等级化。通过5个安全级别,达到比较清晰的可视化的实效。由此,等级保护通过安全情况等级化和决策指令等级化使得管理者的两个“不知道”被大大简化了。谈等级保护,不能拘泥于固定的流程和范畴,而应充分认识等级保护的精髓,才能让等级保护成为一套利于安全工作的简化系统。

同时,等级保护的等级化也使得所有管理者和执行者有了一种共同的语言,更加利于彼此的交流沟通。例如在跟厂商谈企业需求的时候,如果企业的需求是第三级,即监督保护级,厂商则自然会想到与监督保护级相关的策略和建议。

此外,通过等级保护还有可能实现宏观层面的管理。从一个企业集团、一个部委体系、乃至整个国家层面,用一个统一的5级划分来统一描述安全情况、安全要求,整体则大大简化并且容易操作了。认识到这一点,我们每一个去执行等级保护工作的人就不会拘泥于自己机构的情况,强调自己是2.8级而不是3级是没有意义的,用三级保护可能有些许浪费,但是从整体宏观角度看,这样的等级化管理,使得宏观安全管理成为可操作的工作,这非常重要。

中观思想方法

等级保护作为企业的使命和任务,当属于宏观层面。而防火墙、入侵检测、评估服务、加固服务、应急响应、渗透测试等产品与服务则属于微观层面。如何把宏观与微观联系起来,实现等级保护的实效,这中间需要一个承上启下的中观层次发挥作用。

在三观论中,宏观、中观和微观分别对应着决策层、运营层和实现层;从范围上对应着涉及机构整体的全局,涉及机构的一些部门或者业务的局部,和只涉及单个或几个个体或者业务部件的单点;从组织层次和责任上对应着进行决策和战略的机构高层,负责运作、管理和执行的机构中层和负责实现、运行和操作的机构基层;从实体化的程度上则分别对应宏观上的使命、价值、业务,中观上的流程、制度、大系统,微观上的设备、功能、资源、系统等。

从对应的信息安全产品上看,三观也是各不相同的:宏观上是高层工具,包括决策支持、风险管理系统;中观上是组合功能和平台,包括安全管理平台等;微观上则是具体功能,包括防火墙、入侵检测、防病毒、加密技术等。

三观对应的信息安全服务也不尽相同:宏观上对应高端服务,包括管理咨询、业务风险咨询;中观上对应整合服务,包括安全域分析、综合风险评估等;微观上则对应具体服务,包括系统评估和加固、网络设备评估等。每个产品和服务都可以在三观上体现自己的位置。从宏观到微观,是一个从虚到实的过程,需要承上启下的中观层面。

目前,我国信息领域在宏观上并不缺乏各种各样的理念和使命,在微观上也不缺乏丰富多彩的产品和服务,但却缺乏承上启下的中观方法,人们需要用中观思想方法来解决信息安全问题,达到等级保护的实效。

就具体的中观思想,我们提出了四个方面,并结合等级保护作了论述。

确定面向实效的目标

下面是一个四象限的安全需求分析框架:

需求筐架 来自内部 来自外部

主动引导 体系化 政策性

被动要求 问题型 合规性

在这个框架中,目标的确定来自于具体的安全要求。要求来自很多方面,也可以分为很多类别。例如,一种情况是企业网站被破坏了,或者企业内网爆发了蠕虫,这些问题就是来自企业内部的被动的要求,由此便可以将安全问题导入企业确立一定的目标。还有一种是主动的目标,比如企业希望建立一个安全体系,加强内部防范,这就需要从企业内部去考虑体系化和解决问题。

此外,就目前的发展趋势,等级保护已经成为一个合规性要求,是一种来自外部且必须承担的压力。当面临这种被动要求的时候,企业必须尽量去规避可能带来的一切被动因素。

在中观思想指导下实施等级保护措施,首先需要确定有实效的具体目标。在确定具体目标时,无论面对主动还是被动要求,要规避最坏的情况,追求较高标准,保证满足最低要求。这是一个有效的工作原则。

具体到等级保护的5个等级,自主性保护是最低等级的保护,几乎每个组织都是需要的。而一旦被定级为强制性保护或专控性保护,企业只能面对,必须用所有的资源去完整地达成这个合规性要求,否则如果出现问题,造成的后果将极其恶劣。这就是规避最坏情况。而面对其他合规性要求时,就应当尽量降低外部的合规性要求等级(比如指导级),减小被动性,并且企业必须以满足最低要求作为其应该完成的基本工作;在内部则要将合规性要求放高(比如监督级),以便为信息安全争取更多的必要资源。这就是保证满足最低要求,追求较高标准。

建议等级保护的主管部门,用对应的管理思路来要求各种企业和机构,促进各方面能够通过逐步改进来达到等级保护的要求,变被动为主动。

管理与技术的平衡

确立了明确的目标,实现等级保护,还必须实现管理与技术的平衡。

人们常常说“三分技术,七分管理”,就是说,单单依靠纯粹的技术,是无法解决所有问题的,零散的技术分布也无法真正发挥其作用。但如果过度强调“三分技术,七分管理”这个说法,可能会误导用户抓安全工作完全从管理角度着手。在27号文中的阐述就比较恰当,是“坚持管理与技术并重”。对等级保护而言,这一原则同样重要。

在实施等级保护时,尽管要求从管理着眼,但还是必须从技术入手,管理可以让人看得更深远,然而安全问题最终必须依靠技术解决,抛开了技术谈管理,只是空中楼阁。从技术入手,平衡管理因素,用管理驱动技术,以技术实现管理,才能有效地实现等级保护。

从安全域着手落实中观运作

用中观思想实现等级保护的着手之处在于安全域,以安全域为基础将问题化繁为简。等级保护并不是简单地一刀切,而是通过安全域划分为许多子系统。企业实施等级保护时,一定会落实到每一个安全域中去。从某种意义上讲,等级保护的对象其实是安全域。

广义的安全域的概念是这样的:具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统等。安全域方法归根到底就是用结构将微观的大量资产和其他安全要素,有序地展现在宏观层面。

资产结构化是安全域最根本的任务。复杂的信息系统需要用一种结构去抽象和简化。安全域就是这样一个简化的方法,系统将随着安全域的结构化而结构化。

域的划分方法带来一种好处,就是域使这个域的所有事情都变得趋同而简单化。这样在一个具体的域中,安全考虑会变得简化,这是域的最基本的思想方法。

划分域的方式十分灵活。可以根据业务来划分,分成接入域、服务域、网络域和支撑域;甚至也可以分成UNIX系统、Windows系统、网络设备、交换机、服务器等不同的设备域。划分了域以后,就可以很现实地分析域的边界、域的内部、域的外部、域与域之间如何相连、如何远程接入等具体问题,根据不同域的层次要求去投入,以达到最佳的效果。

另外,安全域的划分让分阶段地安排工作成为一种可能,而不必同时进行。企业可以选择先加强某个域,后加强另一个域。总之,划分域对落实等级保护是一个极为重要的环节。

用平台擦亮中观运作的眼睛

安全域只是等级保护的着手之处,等级保护还需要通过具体的技术手段来达到可视化,启明星辰泰合信息安全管理平台就是这样一种承上启下的中观层面的技术手段,安全管理平台是检测和响应能力的汇聚点。

安全管理平台应该发挥的作用体现在:在宏观决策层面,从业务风险的角度理解安全事件,计算和跟踪安全投资回报率;在中观运营层面,准确分析现有系统面临的威胁,确定安全事件的优先顺序,理顺安全事件管理的流程;在微观实现层面,集中管理不同的安全设备,综合分析分布的安全报警。

安全管理平台对系统的监控对象、事件类型、风险级别(5级)、发生时间、源地址、目标地址、协议类型、时间间隔等提供实时监控,并提供包括拓扑链接图、GIS地理图、交互式图表、设备状态视图等可视化显示方式。柱图和饼图等图表,以及GIS图和拓扑图,是两种常用的可视化方法。有了安全管理平台的支撑,安全体系的整体可视化就可以真正实现了。

(责任编辑:王琨玥

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题