Sistema de gestión de seguridad de la información
7.2.1 Descripción general del sistema de gestión de seguridad de la información
Sabemos que existen dos pilares para garantizar la seguridad de la información: la tecnología y la gestión. Cuando hablamos de seguridad de la información todos los días, es principalmente en campos relacionados con la tecnología, como la tecnología de detección de intrusiones IDS, la tecnología Firewall, la tecnología antivirus, la tecnología de cifrado, la tecnología de certificación CA, etc. Esto se debe a que la adopción de tecnologías y productos de seguridad de la información puede generar rápidamente beneficios directos. Al mismo tiempo, el nivel de desarrollo de tecnologías y productos también es relativamente alto. Además, el cultivo del mercado por parte de los fabricantes de tecnología continúa aumentando la conciencia de la gente sobre las tecnologías y productos de seguridad de la información.
Con la tendencia de desarrollo de las amenazas, los tipos y cantidades de implementaciones de tecnología de seguridad aumentan constantemente. Sin embargo, no es que cuantos más tipos y cantidades de tecnologías de seguridad y productos de seguridad, mejor sea la acumulación. El uso de tecnologías sin prestar atención a la gestión inevitablemente producirá muchos fallos de seguridad. Aunque todo el mundo siempre suspira ante incidentes de seguridad de la información: "El camino es tan alto como el diablo, es tan alto como el diablo". Al reflexionar sobre las deficiencias de su propia tecnología, de hecho, lo que la gente ignora en este momento son los otros dos. niveles de protección. Como señaló el académico Shen Changxiang: "Las medidas tradicionales de seguridad de la información cubren principalmente lagunas, construyen muros altos y previenen ataques externos, pero el resultado final es que es imposible defenderse de ellas".
Requisitos técnicos y gestión requisitos Son dos partes inseparables para garantizar la seguridad de los sistemas de información. Son independientes y están interrelacionados. En algunos casos, la tecnología y la gestión pueden desempeñar sus respectivos roles; en otros casos, tanto la tecnología como la gestión deben utilizarse simultáneamente. dos medios de gestión para lograr un control de seguridad o un control de seguridad más estricto; en la mayoría de los casos, los requisitos técnicos y de gestión se apoyan mutuamente para garantizar la correcta implementación de sus respectivas funciones. Normalmente utilizamos el efecto cubo para describir los problemas de seguridad de los sistemas distribuidos, creyendo que la seguridad de todo el sistema depende del trozo de madera más débil del cubo. La plataforma es como el aro del cubo. Con este aro, es difícil que el cubo se colapse. Incluso si se producen vulnerabilidades individuales, no causarán daños catastróficos a todo el sistema.
Los Sistemas de Gestión de Seguridad de la Información (Sistemas de Gestión de Seguridad de la Información) es un sistema en el que una organización establece políticas y objetivos de seguridad de la información en su conjunto o dentro de un alcance específico, así como los métodos utilizados para alcanzar estos objetivos. Es el resultado de actividades de gestión directa y se expresa como una colección de elementos como políticas, principios, metas, métodos, procesos y listas de verificación. El sistema supone un cambio importante en los métodos de gestión tradicionales. Resume, filtra, recopila y correlaciona eventos de seguridad únicos masivos y dispersos en diferentes ubicaciones y diferentes sistemas de seguridad para derivar eventos de riesgo de seguridad desde una perspectiva global y formar decisiones de seguridad unificadas para responder y procesar eventos de seguridad.
En la actualidad, varios fabricantes y organizaciones de estandarización han propuesto varios estándares de sistemas para la gestión de la seguridad de la información desde sus propias perspectivas. Estos estándares basados en productos, tecnología y niveles de gestión se han establecido bien en algunos campos. Desde todos los ángulos y durante todo el ciclo de vida de la seguridad de la información organizacional, los sistemas y estándares de gestión de seguridad de la información existentes no son lo suficientemente completos, especialmente ignorando el factor más activo en la organización: el papel de las personas. Al examinar diversos incidentes de seguridad de la información en el país y en el extranjero, no es difícil encontrar que los factores humanos en realidad juegan un papel decisivo detrás de la aparición de incidentes de seguridad de la información. Un sistema de seguridad incompleto no puede garantizar la seguridad de sistemas de información organizacionales cada vez más complejos.
7.2.2 Estructura del sistema de gestión de seguridad de la información
La construcción de la seguridad de la información es un proyecto sistemático, que requiere una consideración, planificación y arquitectura integrales y unificadas de todos los aspectos del sistema de información, y Siempre debemos tener en cuenta los cambios continuos dentro de la organización. Los fallos de seguridad en cualquier enlace supondrán una amenaza para el sistema. Aquí podemos citar el principio del barril en la gestión como ejemplo. El principio del barril se refiere a: un barril está compuesto por muchas tablas de madera. Si las tablas de madera que componen el barril son de diferentes longitudes, entonces la capacidad máxima del barril no depende de la tabla más larga, sino de la tabla más corta. Este principio también se aplica a la seguridad de la información. El nivel de seguridad de la información de una organización estará determinado por el eslabón más débil de todos los relacionados con la seguridad de la información. El ciclo de vida de la información desde su generación hasta su destrucción incluye múltiples eventos como generación, recopilación, procesamiento, intercambio, almacenamiento, recuperación, archivo, destrucción, etc. La forma de expresión y soporte sufrirá diversos cambios, y cualquiera de estos enlaces puede afectar el nivel general de seguridad de la información.
Para lograr los objetivos de seguridad de la información, una organización debe hacer que todos los tablones que componen el "barril" del sistema de prevención de seguridad alcancen una longitud determinada. Desde una perspectiva macro, creemos que la arquitectura de gestión de la seguridad de la información se puede describir mediante el siguiente modelo HTP: Humano y Gestión, Tecnología y Productos, y Proceso y Marco.
Entre ellos, las personas son el factor más activo en la seguridad de la información, y el comportamiento humano es el aspecto más importante de la seguridad de la información. Las personas, especialmente los empleados internos, pueden ser tanto la mayor amenaza potencial para los sistemas de información como la línea de defensa de seguridad más confiable. Las estadísticas muestran que entre todos los incidentes de seguridad de la información, solo del 20% al 30% son causados por piratas informáticos u otras razones externas, y del 70% al 80% son causados por negligencia de empleados internos o filtraciones intencionales. Si observa el panorama general de la seguridad de la información y las redes desde un nivel superior, encontrará que los problemas de seguridad son en realidad problemas humanos. La tecnología por sí sola no puede lograr la transformación de la "mayor amenaza" a la "línea de defensa más confiable". El mayor defecto de varios modelos de seguridad anteriores es que ignoran la consideración de los factores humanos. Cuando se trata de cuestiones de seguridad de la información, debemos poner a las personas en primer lugar, y los factores humanos son más importantes que la tecnología de seguridad de la información y los factores del producto. Las cuestiones de seguridad relacionadas con los seres humanos implican una amplia gama de cuestiones. Desde una perspectiva nacional, existen leyes, reglamentos y cuestiones de políticas; desde una perspectiva organizacional, existen políticas y procedimientos de seguridad, gestión de la seguridad, educación y capacitación en seguridad, cultura organizacional, planes de emergencia y continuidad del negocio. Cuestiones como la gestión sexual; desde una perspectiva personal, existen cuestiones como los requisitos profesionales, la privacidad personal, el comportamiento y la psicología. En términos de medidas técnicas preventivas para la seguridad de la información, contraseñas comerciales, firewalls, antivirus, reconocimiento de identidad, aislamiento de red, servicios confiables, servicios de seguridad, respaldo y recuperación, servicios PKI, análisis forense, trampas de intrusión en la red, contraataques activos, etc. Se deben adoptar de manera integral tecnologías y productos para proteger la seguridad de los sistemas de información, pero el objetivo no debe ser la implementación de todos los productos y tecnologías de seguridad y la búsqueda del riesgo cero en la seguridad de la información. El costo de la seguridad es demasiado alto y la seguridad pierde su significado. Las organizaciones deben adoptar el principio de "Adjustar tamaño" para lograr la seguridad de la información, lo que significa introducir medidas de control adecuadas basadas en la evaluación de riesgos para reducir los riesgos de la organización a un nivel aceptable y garantizar la continuidad y el valor comercial del negocio de la organización para lograr la maximización. el propósito de la seguridad.
7.2.3 Funciones del sistema de gestión de seguridad de la información
7.2.3.1 Política de seguridad
Se puede decir que la gestión de políticas de seguridad es el centro de toda la plataforma de gestión de seguridad. Se basa en la organización Desarrollar y mantener las diversas políticas de seguridad y la información de configuración de la organización en función de los objetivos de seguridad. La política de seguridad se refiere a las reglas que se deben seguir para garantizar un cierto nivel de protección de seguridad en un entorno específico. Lograr la seguridad de la red requiere no sólo tecnología avanzada, sino también una gestión de seguridad estricta, restricciones legales y educación en seguridad.
La política de seguridad se basa en el concepto de conducta autorizada. Las políticas de seguridad generalmente incluyen requisitos tales como "la información no se puede proporcionar a entidades no autorizadas, no se puede acceder a ella, no se permite hacer referencia a ella y no se puede modificar. Estas son políticas diferentes basadas en la autorización". Según la naturaleza de la autorización, se puede dividir en políticas de seguridad basadas en reglas y políticas de seguridad basadas en identidades. Los servicios de autorización se dividen en impuestos por la gestión y seleccionados dinámicamente. Las políticas de seguridad determinarán qué medidas de seguridad se deben aplicar y qué medidas de seguridad se pueden seleccionar en función de las necesidades del usuario. La mayoría de las políticas de seguridad deben aplicarse.
(1) Estrategia de seguridad basada en la identidad. El propósito de las políticas de seguridad basadas en identidad es filtrar el acceso a datos o recursos. Es decir, los usuarios pueden acceder a una parte de sus recursos (lista de control de acceso), o el sistema le otorga etiquetas de privilegios o derechos. En ambos casos, la cantidad de elementos de datos variará mucho.
(2) Política de seguridad basada en reglas. La política de seguridad basada en reglas es que el sistema marca el sujeto (usuario, proceso) y el objeto (datos) con las etiquetas de seguridad correspondientes y formula permisos de acceso. Esta etiqueta se utiliza como parte del elemento de datos.
Ambas estrategias de seguridad utilizan etiquetas. El concepto de marcado es importante en la comunicación de datos. La autenticación de identidad, la gestión, el control de acceso, etc. requieren el correspondiente marcado y control de sujetos y objetos. Al comunicarse, los elementos de datos, los procesos y entidades de comunicación, los canales de comunicación y los recursos se pueden marcar con sus atributos. Las políticas de seguridad deben especificar cómo se utilizan los atributos para proporcionar la seguridad necesaria.
De acuerdo con la situación real y los requisitos de seguridad del sistema, es complejo e importante determinar razonablemente la estrategia de seguridad. Debido a que la seguridad es relativa y la tecnología de seguridad está en constante desarrollo, la seguridad debe tener requisitos razonables y claros, que se reflejan principalmente en las políticas de seguridad. Los requisitos de seguridad de los sistemas de red son principalmente integridad, disponibilidad y confidencialidad. La integridad y la disponibilidad están determinadas por la apertura y el intercambio de la red. Proporcionar los servicios correspondientes de acuerdo con los requisitos del usuario es el propósito más básico de la red. La confidencialidad tiene diferentes requisitos para diferentes redes, es decir, las redes no son necesariamente redes confidenciales. Por tanto, cada intranet debe determinar su política de seguridad en función de sus propios requisitos. El problema actual es que la mayor parte del hardware y el software son avanzados, grandes y completos, pero no existe una estrategia de seguridad clara en términos de seguridad y confidencialidad, una vez que se utilizan, existen muchas lagunas de seguridad. En el diseño general, si la estrategia de seguridad de la red se formula de acuerdo con los requisitos de seguridad y se implementa paso a paso, el sistema tendrá menos lagunas y buenos resultados operativos.
En el diseño de ingeniería, se construyen una serie de mecanismos de seguridad y medidas específicas de acuerdo con estrategias de seguridad para garantizar la seguridad primero. El propósito de las protecciones múltiples es que las diversas medidas de protección se complementen entre sí. La capa inferior se basa en la función de protección de seguridad del propio sistema operativo seguro, y la capa superior tiene medidas como firewalls y listas de control de acceso para evitar que la seguridad se vea amenazada si se viola la primera capa de medidas. El principio de autorización mínima se refiere a tomar medidas restrictivas para limitar el poder de los superusuarios y todos usan contraseñas de un solo uso. La protección integral requiere la adopción de diversas medidas físicas, de hardware y software y de gestión para proporcionar protección en capas para garantizar la seguridad del sistema.
7.2.3.2 Mecanismo de Seguridad
En el sistema de gestión de seguridad de la información, el mecanismo de seguridad es el mecanismo y sistema que asegura la implementación y realización de las políticas de seguridad. Suele cumplir tres funciones: Prevención, detección, recuperación. Los mecanismos de seguridad típicos incluyen los siguientes:
(1) Transformación de la confidencialidad de los datos. La transformación de la privacidad de los datos, es decir, la criptografía, es la base de muchos mecanismos y servicios de seguridad. Las contraseñas son el principal medio de comunicación secreta y son símbolos especiales que ocultan idioma, texto e imágenes. Cualquier método de comunicación que utilice símbolos especiales para ocultar el mensaje original de acuerdo con el método acordado por las partes comunicantes y no pueda ser reconocido por un tercero se denomina comunicación criptográfica. En las comunicaciones informáticas, se utiliza tecnología criptográfica para ocultar información y luego la información oculta se transmite. Incluso si la información es robada o interceptada durante la transmisión, el ladrón no puede comprender el contenido de la información, lo que garantiza la seguridad de la transmisión de la información. El uso de tecnología de criptografía puede prevenir eficazmente: observación y modificación no autorizadas de información, denegación, falsificación, análisis del flujo comercial de comunicación, etc.
(2) Mecanismo de firma digital. El mecanismo de firma digital se utiliza para implementar servicios de seguridad especiales como el no repudio y la autenticación. La firma digital es una aplicación de tecnología de cifrado de clave pública. Se refiere a cifrar el resumen del mensaje con la clave privada del remitente y luego agregarle la información original, lo que en conjunto se denomina firma digital.
(3) Mecanismo de control de acceso. La implementación del mecanismo de control de acceso es una política que restringe el acceso a los recursos. Es decir, estipula los permisos de operación correspondientes de diferentes sujetos a diferentes objetos, solo permite que usuarios autorizados accedan a recursos confidenciales y niega el acceso a usuarios no autorizados. Primero, la entidad que desea acceder a un recurso debe pasar con éxito la autenticación y luego el mecanismo de control de acceso procesa la solicitud de acceso de la entidad para ver si la entidad tiene permiso para acceder al recurso solicitado y lo maneja en consecuencia. Las tecnologías utilizadas incluyen matrices de control de acceso, contraseñas, niveles de autoridad, etiquetas, etc., que describen los derechos de acceso del usuario.
(4) Mecanismo de integridad de los datos. Este mecanismo, utilizado para proteger los datos contra modificaciones no autorizadas, se puede implementar mediante el uso de una función irreversible unidireccional: una función hash para calcular el resumen del mensaje (Message Digest) y firmar digitalmente el resumen del mensaje.
(5) Mecanismo de intercambio de identificación. El mecanismo de intercambio de autenticación se refiere a la autenticación mutua entre partes de intercambio de información (como intranet e Internet). La autenticación de intercambio es un mecanismo para confirmar la identidad de entidades mediante el intercambio de información. Las tecnologías utilizadas para la autenticación de intercambio incluyen: contraseñas, que son proporcionadas por la entidad emisora y detectadas por la criptografía de la entidad receptora, que cifra los datos intercambiados para que sólo los usuarios legítimos puedan descifrarlos para obtener texto sin formato significativo y explota las características o la propiedad de los mismos; de la entidad, tales como huellas dactilares y cédulas de identidad, etc.
(6) Mecanismo de control de enrutamiento. Se utiliza para especificar la ruta de los datos a través de la red.
De esta manera, se puede seleccionar una ruta donde todos los nodos de esta ruta sean confiables, asegurando que la información enviada no será atacada al pasar a través de nodos inseguros.
(7) Mecanismo de notarización. Proporcionado por un tercero en el que confían todas las partes de la comunicación. Un tercero garantiza la integridad de los datos y la exactitud del origen, la hora y el destino de los datos.
También existen mecanismos de seguridad del entorno físico, mecanismos de revisión y control del personal, etc. De hecho, las medidas de protección son inseparables del control y la implementación humanos y, en última instancia, la seguridad del sistema está controlada por humanos. Por tanto, la seguridad es inseparable de la revisión, control, formación y gestión del personal, etc., y debe lograrse mediante la formulación e implementación de diversos sistemas de gestión.
7.2.3.3 Gestión de alertas tempranas de riesgos y seguridad
El análisis de riesgos es un método científico para comprender el estado de seguridad de los sistemas informáticos, identificar las vulnerabilidades del sistema y proponer contramedidas. Al realizar un análisis de riesgos, primero se debe definir claramente el objeto del análisis. Por ejemplo, el objeto debe ser el alcance claro y las áreas sensibles a la seguridad de todo el sistema, determinar el contenido del análisis, identificar vulnerabilidades de seguridad y determinar las direcciones clave del análisis. Luego, analice cuidadosamente los objetivos clave de protección, analice las causas, los impactos, las amenazas potenciales, las consecuencias de los riesgos, etc., y debe haber ciertos datos de evaluación cuantitativa. Finalmente, con base en los resultados del análisis, se proponen medidas de seguridad efectivas y los riesgos que estas medidas pueden traer para confirmar la racionalidad de la inversión de capital.
El aviso de seguridad es una medida preventiva eficaz. En combinación con el seguimiento y la investigación de vulnerabilidades de seguridad, publicar oportunamente información y soluciones relevantes sobre vulnerabilidades de seguridad, supervisar y guiar a los departamentos de gestión de seguridad en todos los niveles para llevar a cabo el trabajo de prevención de seguridad de manera oportuna y eliminar los problemas de raíz. Al mismo tiempo, a través de la dinámica de seguridad de toda la red captada por el módulo de gestión de amenazas a la seguridad, las organizaciones de gestión de seguridad en todos los niveles son guiadas de manera específica para hacer un buen trabajo en la prevención de la seguridad, especialmente en el trabajo de alerta temprana y prevención contra ataques. que actualmente ocurren con alta frecuencia.
7.2.4 Estándares y certificación del sistema de gestión de seguridad de la información
La formulación de estándares del sistema de gestión de seguridad de la información comenzó en 1995. Después de más de 10 años de modificación y mejora, ha formado el estándar de certificación ISO27001:2005 ampliamente utilizado. La British Standards Institution (BSI) propuso la norma BS7799 en febrero de 1995 y la revisó dos veces en 1995 y 1999. BS7799 se divide en dos partes: BS7799-1, reglas de implementación de gestión de seguridad de la información; BS7799-2, especificaciones del sistema de gestión de seguridad de la información.
La Parte 1 proporciona recomendaciones sobre la gestión de la seguridad de la información para uso de los responsables de iniciar, implementar o mantener la seguridad en sus organizaciones. La Parte 2 explica el establecimiento, la implementación y la documentación de los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI); , que especifican los requisitos de los controles de seguridad que deben implementarse en función de las necesidades de las organizaciones independientes.
En el año 2000, la Organización Internacional de Normalización (ISO) formuló y aprobó la norma ISO17799 basada en BS7799-1. ISO/IEC17799:2000 (BS7799-1) contiene 127 medidas de control de seguridad para ayudar a las organizaciones a identificar elementos que tienen un impacto en la seguridad de la información durante las operaciones. Las organizaciones pueden seleccionarlos y utilizarlos de acuerdo con las leyes, regulaciones y regulaciones aplicables, o agregar otros controles adicionales. . BSI también revisó la BS7799-2 en 2002. En 2005, la organización ISO revisó nuevamente la norma ISO17799. También se adoptó como ISO27001:2005 en 2005. La norma revisada es la primera parte de la familia de normas ISO27000: ISO/IEC 27001. La nueva norma elimina el control de 9 puntos. Se han agregado 17 nuevas medidas de control y se han reorganizado algunas medidas de control y se ha agregado un nuevo capítulo para reorganizar algunas medidas de control para hacerlas más lógicamente relevantes y más adecuadas para su aplicación y se ha modificado la redacción de algunas medidas de control; modificado.
Sin embargo, dado que ISO17799 no se basa en un marco de certificación, no tiene los requisitos para el sistema de gestión de seguridad de la información necesarios para aprobar la certificación. ISO/IEC27001 contiene estos requisitos de certificación de sistemas de gestión específicos y detallados. Desde una perspectiva técnica, esto muestra que una organización que aplica de forma independiente ISO17799 cumple plenamente con los requisitos de las directrices prácticas, pero esto no es suficiente para permitir que el mundo exterior reconozca que ha cumplido con los requisitos de certificación establecidos por el marco de certificación.
La diferencia es que una organización que utiliza las normas ISO27001 e ISO17799 puede establecer un SGSI que cumpla plenamente con los requisitos específicos para la certificación. Al mismo tiempo, este SGSI también cumple con los requisitos de las directrices prácticas. Por lo tanto, esta organización puede obtener reconocimiento. del mundo exterior, es decir, obtener la certificación.