中国工商银行企业信息安全架构.docx

1、中国工商银行企业信息安全架构中国工商银行企业架构咨询服务项目企业安全架构现状Current Enterprise Security Architecture 文档信息标题工行企业安全架构现状描述创建日期2007/05/31打印日期2022/3/22文件名工行企业安全架构现状描述存放目录所有者作者甘小戈修订记录日期描述作者2007年8月22日根据用户反馈删除2.2章节风险管理修改2.1.1章节的金子塔图中文字表述甘小戈甘小戈甘小戈文档审核/审批此文档需如下审核。 姓名职务/职称文档分发此文档将分发至如下各人。姓名职务/职称1 企业安全架构简介 ESA Introduction企业安全架构在企业的

2、层面定义了需要支持业务运行的IT安全能力和需要提供的功能，帮助企业在IT安全能力方面做出正确战略决策和运作决定，最终为在辨别、选择、获取、设计、实施、部署、运营安全管控系统的决策提供依据。企业安全架构(ESA) 着眼于在整个企业组织架构中贯彻信息安全基础架构， 而非针对单独特定应用系统的具体功能性和非功能性组件, 着眼于一套能平衡企业组织架构中多种应用、系统或业务流程的安全服务的战略性设计。企业安全架构(ESA)具备以下的共同特点：企业安全架构是一项长远的控制观点,而不是一个战术观点。目前企业的信息安全建设面临着大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施。而各种异构的解决

3、方案的重复建设和低效率将成为安全架构需着手解决的问题。总的趋势是为特定的执行情况而部署这些机制作为战术上解决方案。而为了提供一个统一的观点和基于成本的考虑, 优秀的企业安全架构的设计是具有战略意义; 意味着企业安全架构比规划蓝图,设计规范,拓扑图和配置等具有更长的生命周期. 如果是过于具体,反而将制约当前的情况. 如果是过于空泛或一般,则无法提供决策和指导.在企业整体技术环境下，企业安全架构将为相关鉴别,选择,采集,设计,实施,部署和运维提供决策依据.企业安全架构的目标是共同的。一个企业的安全架构应该支持多组织,多部门和多业务单元, 描述安全控制及措施的长期技术趋势。它允许多种具体实现取决于现

4、实的时刻,应小心避免安全体系成为特定实施的蓝图。企业安全架构应该为整个组织机构提供一个全面风险管理的指导。企业安全架构提供了一个统一的公共安全控制的远景。通过提供公共服务的模型,企业的安全架构着眼于从整体的角度来检查安全控制措施, 识别出已有安全控制措施下的潜在风险,提供一个长远的改进计划. 同时,这也是一个安全管理最佳实践的基本组成。企业安全架构提供了一个灵活的方式来处理当前和未来的威胁. 企业安全架构的所有基础组件的开发和部署只需要做一次. 在基础结构已经确定的前提下,其它架构组件就可以更容易处理. 如果基础架构引入新的举措,是不会引入新的弱点的. 如果外部新的弱点被引入,则安全架构需要通

5、过风险评估重新评估.总而言之，企业安全架构(ESA)应该符合下述相关论述:一个有效的安全规划是承认随着时间的推移所有的信息资产的价值和风险是不相等或恒定不变的。一个有效的安全方案运用最合适的技术来保护最关键的资产，并结合执行和质量保障计划把风险减少到可接受的水平。高品质的安全规划，包括经常性的管理审查和技术评估以确保安全控制措施的有效并提供相关的反馈，使技术和方法适应资产的价值和风险随着时间的变化。1.1 企业安全架构的目标 Objectives of Current ICBC ESA通过分析IT环境现状，梳理工行的安全策略、规范、标准和指南等，提供ICBC基于风险的数据和应用的安全分类参考，

6、最终为数据和应用系统的架构性部署提供依据；提供系统化的方法发现当前企业安全架构所存在的问题；为ICBC目标企业安全架构蓝图提供决策依据和量化标准，为制定将来的企业安全架构提供依据，如应用系统的架构性部署，保障业务系统的安全稳定的运营，提供可靠高效的架构性防护。1.2 企业安全架构的范围 Scope of Current ESA对从应用视图所提取的相关典型应用（E-bank、PRAS、CS2002、PBMS、PCRM、CIS、RMA、GFT、ECIS和BIFS）的安全现状以及安全措施等进行深入的分析，从而构建覆盖整个ICBC的企业架构视图。收集并分析工行目前相关信息安全策略、规范、标准和指南提取

7、当前工行的风险管理流程和规范数据和应用系统的安全分类的标准和模型分析安全域划分的原则和现状当前企业安全架构系统表述的方法和视图基于上述分析的数据问题的主要发现1.3 构建企业安全架构的方法Approach of Current ESA中国工商银行企业安全架构（ESA）首先应该确定业务方面的需求，然后平衡商业驱动因素和可接受的风险。这种业务方面的结果的确定来源于内部和外部因素的分析。由此中国工商银行企业安全架构是结合方法和技术的功能性模型以实现业务目标，还必须符合业务方面的需求，并提供法律和规章方面的遵守。构建中国工商银行企业安全架构（ESA）主要是以IBM的MASS（Method for Ar

8、chitecting Secure Solutions）和PLM（Protect Level Matrix）方法论为基石，通过收集、分析、评估和整理当前ICBC的IT环境，ICBC当前的安全需求，当前的安全策略、规范、标准和指南，企业安全架构的需求和安全域划分的现状等，并从信息安全的角度重新定义数据和应用的分类，从而勾勒出ICBC当前的五个安全子系统的功能视图、组件的功能视图和节点的运营视图，最终描述出ICBC当前的整体企业安全架构视图。构建中国工商银行的企业安全架构主要有四大阶段：1、采用IBM的MASS方法论的标准的五个安全子系统对中国工商银行的安全需求进行分析、整理和归类；2、采用IBM

9、的PLM方法论对来源于数据视图和应用视图等的原始数据对应用系统进行安全防御等级划分；3、对已归类到MASS的五个安全子系统的安全需求进行安全等级划分，并与应用系统的安全防御等级进行匹配，即相应的应用系统的安全防御等级必须满足于之匹配的相关的所有的安全需求。4、采用IBM的MASS方法论并结合基础架构视图等描绘中国工商银行的企业安全架构的功能视图和运维视图。首先，按照IBM的MASS方法论对中国工商银行的安全需求进行归类，即按照MASS的五个安全子系统（安全审计子系统、方案整合子系统、访问控制子系统、信息流控制子系统和身份与信任子系统）进行归类（关于每个安全子系统的定义以及所涵盖的内容参见第五章

10、节）。数据视图侧重于从业务的角度对数据进行分类（即数据类型仓库）但不关心数据的安全，而企业安全架构（ESA）的数据分类是从数据视图的分类而导出的安全属性的分类，安全是一个等级保护方面的分类方法。因此，对从数据视图得出数据类型仓库进行安全属性的再分类推倒出企业安全架构（ESA）所需的数据安全分类。再结合从业务视图推倒出的业务对应用依赖性采用IBM的PLM方法论（具体参见3.1.1章节）最终确定应用系统的安全防御等级（具体的过程参见3.1.2章节）。同样把已按照IBM的MASS方法论归类的安全需求进行安全等级分类，并使之与应用系统的安全防御等级一一对应起来，既相应的应用系统的安全防御等级必须满足于

11、之对应的所有的安全需求。通过前期对典型应用系统的访谈，结合对中国工商银行现有安全策略和安全控制措施等的调研和基础架构视图归纳各应用系统公共的安全组件和节点以及所处的安全域，从而最终勾勒中国工商银行的企业安全架构的功能视图和运维视图（具体参见第五章节）。功能视图和运维视图是企业安全架构（Enterprise Security Architecture）核心的两个视图，其中：功能视图功能视图侧重于架构所提供的详细功能，以及主要的组件协同满足这些功能的。功能视图也就是组件视图，功能视图侧重于描述需要做什么，而不详细描述如何去做。组件是软件、硬件或网络功能性的模块，在架构内为其他的组件提供一系列的功能

12、支持。功能视图通过阐述各组件的职责，组件之间的关系以及通过组件间的协作满足具体功能性的需求来系统的描述高阶的系统构造。运维视图运维视图侧重于描述架构组件的位置，关于硬件、物理连接节点、安全区域内节点的位置和关键产品的安全标准等。运维视图就是逻辑部署视图，运维视图主要描述系统的安全管理和操作，它主要关心的是网络的组织单元（包括平台、位置和安全区域等）以及哪些运行在特定的安全区域中。附录B 风险评估矩阵 Identify and define the risks in the risk matrix.AssetPrimaryAsset DescriptionCriticalityThreatVul

13、nerabilityRiskBus. AreaCIAILCIALegend1= HighI = Impact2= MediumL = Likelihood3= Low Identify the Threats to ConfidentialityTable B1 - Table of threats to ConfidentialityThreat CategoryThreat /Threat AgentDescription of ThreatArea of VulnerabilityImpact ArchSig.ConfidentialityL Y/NAverageLegend1 = Hi

14、gh2= Medium3 = Low Identify threats to integrity.Table B2 - Table of Threats to IntegrityThreat CategoryThreat /Threat AgentDescription of ThreatArea of VulnerabilityImpact Arch Sig.Integrity L Y/NAverage Legend1 = High2= Medium3 = Low附录C IBM的MASS方法论简介IBM的MASS（Method for Architecting Secure Solution

15、s）方法论是为了确保IT解决方案的安全性到达适当的水平，并保障提供最佳性价比和最合适的防护方式。IBM的MASS（Method for Architecting Secure Solutions）方法，从企业安全策略和企业级安全系统工程的角度来设计和实施，而不是孤立看待和解决问题。MASS方法论提供了一个全面的安全架构视图. 它描述了基于Common Criteria的五个安全子系统（Security Subsystem）, 涵盖信息安全的所有领域。安全子系统是组件（Component）的集合，但是它们也和交易流程、使用指南和属性等关联。安全子系统与通用标准的功能对应见下表：功能分类通用标准功

16、能类别安全审计审计，部件保护和功能利用访问控制数据保护，部件保护，安全管理，部件访问加密支持，身份和认证，通讯和信任路径信息流控制通讯，数据保护，部件保护，部件访问加密支持，信任路径和隐私身份和信任加密支持，数据保护，部件保护，安全管理，部件访问，身份和认证，通讯和信任路径方案整合加密支持，数据保护，部件保护，安全管理，资源利用此外，通过解剖安全领域纳入管理子系统，MASS方法论增强了安全架构以及解决方案的有效性，降低成本和缩短开发时间和规模。通过参考Common Criteria和BS7799等国际主流的安全标准，IBM的MASS方法论能确保安全架构符合国际和行业等的相关标准和规范。MASS

17、为每个子系统定义了功能模块、支持性功能模块。以确保企业安全架构的标准性和产品支持性。企业安全架构（ESA）的五个安全子系统(Sub-system)的定义：组件层次的通用准则包括规则，决定类型，功能，行动和机制。 在下图中表述的这一结构表示了五个相关的过程或安全子系统。在下图中描述的这5个相关的安全子系统扩展了基于操作系统的安全概念，提出了安全相关功能和相互依存的安全功能。身份信任 信息流控制访问控制安全审计方案完整性企业安全架构将协助企业简化相关安全决策的过程，比如根据数据和应用系统的分类标准决定其放置的位置和防御等级。企业安全架构通过模块化区域划分的模型来描述企业的整体网络，以提供对信息资产

18、保护。IBM的MASS（Method for Architecting Secure Solutions）方法提供了一个全面的安全架构视图. 它描述了基于ISO/IEC 15408-2 Common Criteria重新归类的五个安全子系统（Scurity Subsystem）, 涵盖信息安全的所有领域。安全子系统是组件的集合，但是它们也和交易流程、使用指南和属性等关联。MASS为每个子系统定义了功能模块、支持性功能模块。以确保企业安全架构的标准性和产品支持性。企业安全架构的生命周期企业安全架构开发的第一阶段的重点聚焦在企业安全架构目标架构的定义，收集关于当前安全基础设施的相关信息，并提供一个

19、高层次的差距分析和战略路线。下面的图表说明完整开发周期。下图的开发生命周期是根据国际主流的IT流程和服务（如ISO 27001:2005, ISO 17799:2005, ISO 13335:1-3, ISO 13569, ITIL、COBIT和CMMI）改进的模型。企业安全架构将协助企业简化相关安全决策的过程，比如根据数据和应用系统的分类标准决定其放置的区域和防御等级。企业安全架构通过模块化区域划分的模型来描述企业的整体网络，以提供对信息资产保护。最后, 企业安全架构应该是一个在企业范围内始终强制安全防御以保护信息资产的动态的过程。企业安全架构将协助企业实现面向业务的、整合的安全体系，比如根据数据和应用系统的分类标准决定其放置的区域和防御措施。通过安全服务设计和安全区域划分，企业安全架构采用结构化模型来描述企业的整体安全体系，以提供对信息资产保护。最后, 企业安全架构的实践过程是一个在企业范围内主动安全防御和风险控制的动态的过程.这个是指ESA的设计、ESA的实施规划、ESA实施后的持续改进、加上风险评估结果，这四步来完成ESA的生命周期（Lifecycle）。