最近在试着(哦不,是必须要)写安全管理平台的研究报告,前额头发每天都会变白几根,我发现要把这个研究吃透进而提出一些可落地的设计理念,要理解的网络安全相关标准、思想、最佳实践、前沿技术太多了。
目前的最主要难点是最佳实践,我感觉这部分数据不容易获得,得找些在用安管平台的大佬了解一些具体的实践信息。(有正在用数字化安全管理平台的大佬,请加我微catfishfighting,我需要您无私的帮助,小小的给予一点使用过程中的感受意见数据我就满足啦)次要难点是思想和标准,不过可以网上找信息来看,但是要内化成自己的想法,也是要掉头发的,埋头苦干的方法能有一定的成效。最后是前沿技术,这个为什么我把难度放到最低呢?因为毕竟不是我来开发,我只需要提出合理的线索就行(啊哈哈哈😂)
废话不多说啦,我谈谈我理解的网络安全全生命周期管控思想。这个思想上针对的对象还是信息系统。
在我国,习惯性的会以信息系统为管控对象,比如等级保护、比如通保,但是在国外,都习惯性的会以管理体系为对象,我要建立什么样的标准管理体系。
网络安全全生命周期管控思想指的是在信息系统的整个生命周期内,系统地管理和保护网络安全的一种综合的方法。囊括了系统的设计、开发、部署、运维到最终退役的每一个阶段,每个阶段都要实施相应的安全措施。也就是说,安全管理不是仅仅在信息系统的运维阶段,而是系统的整个生命周期。
针对信息系统的每个阶段,来识别潜在的安全威胁,降低系统风险,提升整体安全性。通过全过程的安全控制来维护信息系统的机密性、完整性和可用性。
以下我再以4个部分作为大纲,一一来说一下吧。
-
网络安全全生命周期管控思想的来源
-
有哪些可以参考学习的标准
-
全生命周期管控带来的好处
-
如何进行全生命周期管控
一、 网络安全全生命周期管控思想的来源
网络安全全生命周期管控思想的形成与发展肯定不是空穴来风的,我试着从本行业一些主要的管理理论入手来理解:
1、信息安全管理理论:
信息安全管理理论首选我觉得应该是ISO/IEC 27001标准体系,这个体系有系统化的框架,而且是把最佳实践总结后得出的,虽然是2005年产的,但是对于我进行系统化的理解是非常有帮助的。
27001主要强调了14个控制大类,这14个控制大类中强调要建立角色和责任、识别资产并保护资产、建立操作过程、管理用户访问权限、管理供应链中的安全风险、制定应急响应流程、灾备和灾难恢复、培训、体系内部审计等。
这个体系中还提出了要持续的全面的风险评估和管理、持续监控和定期评审、持续改进的思想。这个思想,我感觉是针对ISMS(信息安全管理体系)的。
虽然不是直接的针对信息系统的网络安全全生命周期,但是在建立这个持续改进体系的过程中,关注的是信息资产的保护,还是有关联的。至于有什么具体的关联,后续再详细的看吧。
2、风险管理理论:
风险管理理论的核心在于识别、评估和控制风险。该理论在网络安全领域的应用使得安全管理不仅仅关注系统设计阶段,而是涵盖了从设计到退役的全过程。
例如,美国有一个NIST的风险管理框架(RMF),是美国国家标准与技术研究院发布的,它提供了系统性的风险管理方法,强调了在系统生命周期内进行风险评估和控制。
可能还有别的一些理论,我暂时不找了吧,不然这篇文章今天我也写不完了,拖着就会变成疑案,啥时候能发,我也不能确定了,可能被扔到废纸篓里,永远不会发了。
网络安全全生命周期管控思想在中国的提出和推广并没有一个明确的单一时间点,但这个概念逐渐形成并得到重视大约是在2000年代初至2010年代初。这一时期,中国的网络安全政策和标准开始逐步完善,强调了系统生命周期中的各个阶段都需要进行风险管理和安全控制。
例如,2006年,中国国家信息安全漏洞库(CVE)和其他相关机构开始推动全面的网络安全管理方法。而在2013年,中国发布的《网络安全法》进一步加强了对网络安全全生命周期管理的要求。
第二十七条:
“网络运营者应当对其提供的网络服务进行网络安全管理,采取技术措施和其他必要措施,确保其网络和信息系统的安全、稳定运行。”
这一条款要求网络运营者在提供网络服务时必须实施网络安全管理措施,包括技术措施和其他必要措施,以保障网络和信息系统的安全稳定运行。这体现了对网络安全全生命周期的管理要求,从网络建设到日常运营都需要确保安全。
第二十八条:
“网络运营者应当对其网络和信息系统进行定期的安全检查和风险评估,并采取相应的安全措施。”
这条款要求网络运营者对网络和信息系统进行定期的安全检查和风险评估,并据此采取相应的安全措施,强调了对网络安全的持续管理和改进,以应对可能出现的风险和威胁。
第四十二条:
“网络运营者应当对其用户的信息进行管理,采取措施防止信息泄露、篡改、丢失,并对用户的信息安全负有法律责任。”
这一条款规定了网络运营者在用户信息管理方面的责任,要求采取措施防止信息泄露、篡改或丢失,强调了信息安全的管理责任。
此外,近年来的《信息系统安全等级保护管理办法》(等级保护2.0)也强调了系统从设计到运营的全生命周期安全管理。
3、技术进步与威胁演变
随着网络攻击技术的不断进化,单一的安全措施已无法满足复杂的安全需求。网络安全全生命周期管控思想应运而生,以应对不断变化的威胁环境。
4、合规性要求
各国政府和行业组织对信息安全提出了严格的合规要求,这些要求推动了全生命周期安全管控的形成。例如,国外的《通用数据保护条例》(GDPR)对数据保护提出了生命周期管理的要求。
二、有哪些可以参考学习的标准
-
ISO/IEC 27001:这是信息安全管理体系的国际标准,提供了建立、实施、维护和持续改进信息安全管理体系(ISMS)的框架。它强调了对信息安全管理全过程的控制,包括系统生命周期的每个阶段。
-
NIST SP 800-53:美国国家标准与技术研究院发布的这份标准提供了信息系统和组织的安全控制建议,涵盖了从系统开发、运营到退役的各个阶段,支持全生命周期的风险管理。
-
ISO/IEC 27005:这是一个关于信息安全风险管理的标准,提供了在整个信息系统生命周期中识别、评估和管理风险的指南。
-
COBIT:这是信息技术治理和管理的框架,强调了信息安全在企业治理中的重要性,支持生命周期管理,包括从规划到运营的各个阶段。
-
PCI-DSS:支付卡行业数据安全标准规定了处理信用卡信息的安全要求,涵盖了从系统设计到实施的全生命周期管理。
-
《网络安全法》:在加强对网络安全的保护,涉及网络基础设施保护、数据保护和个人信息保护等方面。
-
GB/T 22239-2019信息安全技术 网络安全等级保护基本要求:规定了中国网络安全等级保护的基本要求,适用于信息系统的安全保护。
-
GB/T 25070-2010信息技术 安全技术 信息安全技术术语: 提供了信息安全领域的标准术语和定义,确保在网络安全工作中使用统一的术语。
-
《数据安全法》: 该法律规范了数据处理和数据保护的相关要求,涵盖数据的收集、使用、存储和传输等方面。
-
《个人信息保护法》: 针对个人信息的保护,规定了数据处理者的责任和个人信息的保护措施。
-
GB/T 28448-2019: 信息安全技术 网络安全等级保护测评要求: 提供了对信息系统进行网络安全等级保护测评的具体要求。
三、好处
-
全面的风险管理:通过在系统的每一个阶段实施安全控制,能够全面识别和管理潜在的安全风险,降低数据泄露、服务中断等问题的发生概率。
-
提高系统安全性:全生命周期的安全管理确保了在设计、开发、部署和运维过程中都考虑到安全因素,增强了系统整体的安全性。
-
增强合规性:符合各种信息安全标准和法规的要求,有助于组织保持合法合规,避免因违规而面临的法律和财务风险。
-
减少修复成本:在系统的早期阶段发现和解决安全问题,可以有效减少后期修复的成本。后期发现的安全漏洞往往修复成本较高,并且可能已经造成损失。
-
提升用户信任:通过系统性地管理和保护信息,能够增强用户对系统的信任,从而提高用户满意度和忠诚度。
-
支持业务连续性:全面的生命周期管控包括了备份和恢复计划,有助于保障业务的连续性和数据的完整性。
四、如何实施
-
需求分析与设计阶段:
-
定义安全需求:与业务部门合作,明确系统在机密性、完整性、可用性等方面的安全需求。
-
进行威胁建模:识别可能的威胁和攻击途径,设计相应的防护措施。
-
设计安全架构:在系统设计中集成安全机制,如访问控制、加密技术、安全审计等。
-
开发阶段:
-
遵循安全编码规范:开发过程中遵循安全编码标准,如OWASP的安全编码指南,避免常见的安全漏洞。
-
进行代码审查:对代码进行安全审查,发现和修复潜在的安全缺陷。
-
实施安全测试:进行静态代码分析和动态应用程序测试,确保系统在实际运行中不会出现安全问题。
-
部署阶段:
-
配置管理:确保系统和应用的配置符合安全最佳实践,避免配置漏洞。
-
进行安全审计:在系统正式上线前进行全面的安全审计,确保所有安全控制措施都已到位。
-
运维阶段:
-
实施实时监控:部署安全监控系统,实时检测和响应潜在的安全事件。
-
管理补丁和更新:定期更新系统和应用程序,修补已知的安全漏洞。
-
数据备份和恢复:制定并实施数据备份和恢复计划,以应对数据丢失或系统故障。
-
退役阶段:
-
安全数据销毁:在系统退役前,安全地销毁所有敏感数据,防止数据泄露。
-
进行系统审查:在系统退役过程中进行最终的安全检查,确保所有安全控制措施已经妥善处理。
网络安全全生命周期管控思想是一种综合性、系统性的安全管理方法,旨在确保信息系统在整个生命周期内的安全性。它不仅基于信息安全管理理论、风险管理理论和技术进步,还受到法规合规性的推动。通过实施这一思想,组织可以全面管理风险,提高系统安全性,增强合规性,减少修复成本,提升用户信任,并支持业务连续性。随着网络安全威胁的不断演变,未来的网络安全全生命周期管控将会越来越依赖自动化、智能化技术,并且更加注重与业务的紧密集成。
嗯,我觉得安全管理平台的设计理念,不能绕开这个思想。
THE END
原文始发于微信公众号(透明魔方):我理解的网络安全全生命周期管控思想
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论