ISO27001、风险评估与纵深防御

ISO 27001是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的信息安全管理体系（ISMS）标准，其最新版本为ISO/IEC 27001:2013。

该标准为组织提供了一套全面的方法，用于建立、实施、维护和持续改进信息安全管理体系，以保护组织的信息资产免受各种威胁，确保信息的机密性、完整性和可用性。

ISO 27001的主要内容和实施步骤包括：

1.范围定义：明确信息安全管理体系的边界，包括需要保护的信息资产范围、地理位置、部门和业务过程。

2. 信息安全政策：制定组织的总体信息安全方针，体现管理层对信息安全的承诺，并传达给所有员工和相关方。

3. 风险评估：通过识别组织面临的内部和外部信息安全威胁，评估脆弱性，量化风险，并确定风险可接受程度，据此制定风险处置计划。

4. 风险处置：基于风险评估结果，选择并实施控制措施来降低风险，这可能包括避免、减轻、转移或接受风险。

5. 选择控制措施：参考ISO/IEC 27002中的控制措施建议，选择适合组织的控制目标和控制措施，以应对已识别的风险。

6. 制定文件化信息：建立和维护一套全面的文档，包括信息安全政策、程序、指南和记录，确保所有相关方明白其职责和操作要求。

7. 实施与运行：实施所选择的控制措施，确保它们得到有效运行，并融入组织的日常运营中。

8. 监控与评审：定期检查和监控信息安全管理体系的运行情况，包括内部审核、持续监控控制措施的有效性以及信息安全事件的管理。

9. 持续改进：通过管理评审、纠正措施、预防措施和持续改进的过程，确保ISMS能够适应组织内外环境的变化，不断提升信息安全管理水平。

10. 认证：组织可选择由独立的第三方认证机构进行审核，以获得ISO 27001认证，证明其ISMS符合国际标准要求。

认证过程通常包括初次认证审核、年度监督审核以及三年一次的再认证审核。通过实施ISO 27001，组织不仅能加强信息安全防护，减少信息安全事件的发生，还能增强客户和合作伙伴的信任，满足合规要求，提升市场竞争力。

风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估
过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；
b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；
c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；
d）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；
e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；
f） 风险的存在及对风险的认识导出安全需求；
g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；
h）安全措施可抵御威胁，降低风险；
i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全、成本与效益后不去控制的风险；
j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件

风险分析原理

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：
a）对资产进行识别，并对资产的价值进行赋值；
b）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；
c）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；
d）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；
e）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；
f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

网络信息安全之纵深防御

什么是“纵深防御”？很多人和资料都有不同的解释，有许多资料将“纵深防御”和“分层防护”等同起来，分层防护是根据网络的应用现状情况和网络的结构，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级，在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。

“纵深防御”实际上并不是一个网络安全领域的专属名词，早在二十世纪初，前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上，提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战，所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处，其核心都是多点布防、以点带面、多面成体，以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。

根据《信息安全工程师教程（第2版）》的描述，纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够相互支持和补救，尽可能地阻断攻击者的威胁。目前，安全业界认为网络需要建立四道防线：安全保护是网络的第一道防线，能够阻止对网络的入侵和危害；安全监测是网络的第二道防线，可以及时发现入侵和破坏；实施响应是网络的第三道防线，当攻击发生时维持网络"打不垮"；恢复是网络的第四道防线，使网络在遭受攻击后能够以最快的速度“起死回生”，最大限度地降低安全事件带来的损失。看描述基本上是对应美国国防部提出的PDRR模型，即（Protection防护、Detection检测、Response响应、Recovery恢复）。PDRR改进了传统只有防护的单一安全防御思想，强调信息安全保障的四个重要环节。

● 保护（Protection）的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。

● 检测（Detection）的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。

● 响应（Response）的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。

● 恢复（Recovery）的内容主要有数据备份、数据修复、系统恢复等。

但是PPDR模型总体还是比较局限于从技术上考虑安全问题。随着信息化的发展，人们越来越意识到信息安全涉及面非常广，除了技术，管理、制度、人员和法律等方面也是信息安全必须考虑的因素，就像一个由多块木板构成的“木桶”，木桶的容量由最短的那块短板决定。在处理信息安全问题是，需要全面考虑各方面的因素。

所以美国国家安全局（NSA）发布的信息安全保障技术框架IATF（Information Assurance Technical Framework）提出了纵深防御战略思想，其3个核心要素就是人、技术和操作。信息系统安全保障依赖于人、技术和操作来共同实现组织机构的职能。

IATF用一句话概括起来就是：一个核心思想、三个核心要素、四个焦点领域。

01.一个核心思想

一个核心思想就是"纵深防御"，纵深防御也被称为深度防护战略（Defense-in-Depth），是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。

因为网络信息的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现，必须在各个层次、不同技术框架区域中实施保障机制，才能最大程度地降低风险，应对攻击并保护信息系统的安全。

在一个规范的信息系统网络中，我们可以看到在网络出口有防火墙，在DMZ区有防火墙，在服务器前端还有防火墙，这就是纵深防御思想的一个体现。需要在多个位置部署安全措施，看似重复，但是因其面对不同的业务、其安全策略有很大的差异。

02.三个核心要素

三个核心要素是人、技术、操作。网络安全三分靠技术、七分靠管理，三要素中的“人”指的就是加强管理。

人是信息系统的主题，也是信息系统的拥有者、管理者和使用者，是信息安全保障的核心；

技术是重要手段，需要通过技术机制来保障各项业务的安全，是一种被动防御；

操作也称为运行或运营安全，是一种主动防御的体系和机制，包括风险评估、监控、审计、入侵检测等。

03.四个焦点领域

网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于这4个焦点领域，结合IATF纵深防御的思想进行信息安全防御从而形成保障框架。

1 保护网络和基础设施

网络和其他基础设施是信息系统及业务的支撑，是整个信息系统安全的基础。应采取措施确保网络和基础设施能稳定可靠运行，不会因故障和外界影响导致服务的中断或数据延迟，确保在网络中进行传输的公共的、私人的信息能正确地被接收者获取，不会导致未受权的访问、更改等。保护网络和基础设施防护措施包括但并不限于以下方式。

·合理规划以确保骨干网可用性。

·使用安全的技术架构，例如在使用无线网络时考虑安全的技术架构。

·使用冗余设备提高可用性。

·使用虚拟专网 (VPN)保护通信。

2 保护区域边界

信息系统根据业务、管理方式和安全等级的不同，通常可以划分为多个区域，这些区或多或少都有与其他区域相连接的边界。保护区域边界关注的是如何对进出这些区域边界的数据流进行有效的控制与监视。要合理地将信息系统根据业务、管理方式和安全等级划分不同的安全区域，并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制与监视。通常采取的措施包括但并不限于以下方式：

·在区域边界设置身份认证和访问控制措施，例如部署防火墙对来访者进行身份认证。

·在区域边界部署人侵检测系统以发现针对安全区域内的攻击行为。

·在区域边界部署防病毒网关以发现并过滤数据中的恶意代码。

·使用VPN设备以确保安全的接入。

·部署抗拒绝服务攻击设备以应对拒绝服务攻击。

·流量管理、行为管理等其他措施。

3 保护计算环境

计算环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。保护计算环境的措施包括但并不限于以下方式。

·安装并使用安全的操作系统和应用软件。

·在服务 器上部署主机入侵检测系统、防病毒软件及其他安全防护软件。

·定期对系统进行漏洞扫描或者补丁加固，以避免系统脆弱性。

·定期对系统进行安全配置检查，确保最优配置。

·部署或配置对文件的完整性保护。

·定期对 系统和数据进行备份等。

4 支撑性基础设施

支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施：密钥管理基础设施(KMI) /公钥基础设施(PKI)和检测与响应。

·KMI/PKI：提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别。

·检测与响应：提供入侵检测、报告、分析、评估和响应基础设施，它能迅速检测和响应入侵、异常事件并提供运行状态的情况。

IATF的4个技术焦点区域是一个逐层递进的关系，从而形成一种纵深防御系统。因此，以上4个方面的应用充分贯彻了纵深防御的思想，对整个信息系统的各个区域、各个层次，甚至在每一个层次内部都部署了信息安全设备和安全机制，保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测，以实现系统全方位的充分防御，将系统遭受攻进行访问时都受到保障机制的监视和检测，以实现系统全方位的充分防御，将系统遭受攻击的风险降至最低,确保数据的安全和可靠。

除了纵深防御这个核心思想之外，IATF还提出了其他一些信息安全原则，包括保护多个位置、分层防护。

1.保护多个位置

保护多个位置包括保护网络和基础设施、区域边界、计算环境等，这一原则提醒我们，仅仅在信息系统的重要敏感区域设置一些保护装置是不够的，任意一个系统漏洞都有可能导致严重的攻击和破坏后果，所以在信息系统的各个方位布置全面的防御机制，才能将风险降至最低。

2.分层防御

如果说保护多个位置原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制，每个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施，以使攻击者不得不面对被检测到的风险，迫使攻击者由于高昂的攻击代价而放弃攻击行为。

可见，纵深防御是战略思想、分层防护是具体的战术实现。