等级保护安全设计方案(精选8篇)
等级保护安全设计方案 篇1
【摘要】本方案针对某大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。可以为广大同行提供完备的思路。
第 1 章 项目概述
XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全整改建设提供依据。
本方案针对 XX 大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。
1.1 项目目标 本方案将通过对集团网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信息系统安全整改工作的进行。
根据 XX 大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完善安全管理制度体系。
资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产
而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资产进行估价。
根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关键资产,确定安全评估和保护的重点对象。
1.2 项目范围 本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。
1.3 整改依据 主要依据:
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T25070-2010)
《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
《信息安全技术 信息系统物理安全技术要求》(GB/T21052-2007)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 信息系统安全等级保护体系框架》(GA/T708-2007)
《信息安全技术 信息系统安全等级保护基本模型》(GA/T709-2007)
《信息安全技术 信息系统安全等级保护基本配置》(GA/T710-2007)
GBT 20984 信息安全风险评估规范
GBT 22239 信息安全技术信息系统安全等级保护基本要求
GBZ 20985 信息技术安全技术信息安全事件管理指南
第 2 章 安全整改原则
保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求,进行分等级分安全域进行安全设计和安全建设。
规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;
整体性原则:服务的范围和内容整体全面,涉及的 IT 运行的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
体系化原则:在体系设计、建设中,需要 充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。
先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。
服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合,结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
第 3 章 系统现状分析
3.1 系统定级情况说明 综合考虑信息系统的业务信息和系统服务类型,以及其受到破坏时可能受到侵害的客体以及受侵害的程度,已将系统等级定为等级保护第三级、根据就高不就低的原则,整体网络信息化平台按照三级进行建设。
3.2 业务系统说明 本次参加整改的共有 3 个信息系统,分别是 OA 系统、物流查询系统、智能制造系统,其中比较重要的是物流查询系统,具体情况介绍如下:
物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署,已经正式启动试运行工作,在试点和实施过程当中发现系统仍有不足之处,需要对系统进行深入完善和改进,其具有应用面广、用户规模大,并涉及到财政性资金的重要数据信息,以及基于公众网上部署的特性,因此系统自身和运行环境均存在一定的安全风险,在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。
3.3 安全定级情况 信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:
第 4 章 现网安全风险分析
4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构
通过网络架构分析,我们发现现网出口网络:互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。
4.1.2 缺少安全防护功能
通过网络架构分析和安全基线核查,我们发现现有的网络:互联网出口的下一代防火墙,入侵防御、web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。
4.1.3 弱资源控制
通过网络架构分析和安全基线核查,我们发现现网网络:链路负载、下一防火墙未设置网络的最大链接数,存在资源耗尽的风险。
4.1.4 弱设备安全
通过网络架构分析和安全基线核查,我们发现现网网络:网络设备和安全设备存在共享账号,无法实现有效的身份鉴别,未实现双因素鉴别,存在弱口令,未周期修改密码,部分网络设备未启用登录设备失败功能和密码复杂度要求,存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制,交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。
4.1.5 弱安全审计
通过网络架构分析和安全基线核查,我们发现现网网络:未配置专业日志审计设备,无法对审计记录进行有效的保护,无法定期日志长期保存和有效审计。
4.1.6 缺少安全管理中心
通过网络架构分析和安全基线核查,我们发现现网网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
4.2 主机安全风险 4.2.1 存在高风险安全漏洞
通过漏洞扫描,我们发现 OA 系统主机上存在高风险安全漏洞:OpenSSH < 7.0 存在多个漏洞等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.2 弱身份鉴别能力
通过安全基线核查,我们发现物流查询系统主机上:操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别,无法实现有效的身份鉴别。
通过利用弱身份鉴别能力,攻击者可以对业务系统主机进行口令爆破,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.3 弱访问控制能力
通过安全基线核查,我们发现系统主机上:操作系统管理使用 root 账户,数据库和主机是同一人管理,未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。
通过利用弱访问控制能力,在攻击者拿到一部分系统访问权限后可实现越权。
4.2.4 弱安全审计能力
通过安全基线核查和网络架构分析,我们发现 OA 系统未部署专业的日志审计设备或软件,审计日志仅保存在主机本地,无法生成审计报表和自动告警。
这类弱安全审计能力,会导致系统安全事件时无法有效的记录和保存日志,影响安全事件的溯源。
4.2.5 缺少入侵防范能力
通过安全基线核查和漏洞扫描,我们发现现网系统未能够对重要程序的完整性进行检测,数据库系统和操作系统软件和补丁未及时更新,主机扫描存在漏洞。
缺少入侵防范能力,攻击者会较容易利用漏洞进行入侵攻击,系统容易遭到破坏。
4.2.6 缺少恶意代码防范能力
通过安全基线核查,我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。
4.2.7 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.3 应用安全风险 4.3.1 存在高风险安全漏洞
通过漏洞扫描和渗透测试,我们发现相关应用系统存在高风险安全漏洞:SQL 盲注、URL 重定向、跨站脚本攻击等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得 web 应用的权限和数据,甚至获取到主机权限。
4.3.2 弱身份鉴别能力
通过安全基线核查,我们发现 OA 系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。
通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.3.3 未进行传输加密
通过安全基线核查,我们发现仓储系统上:应用系统未采用 hash 技术或者 HTTPS 协议,未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。
通过利用未进行传输加密,攻击者可嗅探网络数据窃取到应用传输消息,甚至是用户鉴别信息、个人信息等敏感信息。
4.3.4 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统:系统未对单个账户的多重并发会话进行限制;未能够对系统服务水平降低到预先规定的最小值进行检测和报警。
缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.4 数据安全和备份恢复风险
4.4.1 缺少数据完整性和数据保密性能力
通过安全基线核查,我们发现三个系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。
缺少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。
4.5 管理安全风险 4.5.1 缺少维护手册和用户操作规程
通过管理体系检查,我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。
4.5.2 缺少执行记录和审批记录文件
通过管理体系检查,我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件,如:备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。
4.5.3 缺少管理体系评审和修订
通过管理体系检查,我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订,以及 ISMS 执行和落实情况进行检查和审核。
4.5.4 缺少总体建设规划和详细设计方案
通过管理体系检查,我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案,并形成配套文件。
4.5.5 工程验收和交付缺少部分环节
通过对管理体系检查,我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告,在工程交付中未未进行运维手册的定制。
4.5.6 未定期进行应急演练
通过管理体系检查,我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容,并定期进行应急演练及事后教育和培训。
4.5.7 未定期进行安全评估和安全加固
通过管理体系检查,我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。
4.5.8 缺少安全管理中心
通过网络架构分析、安全基线核查和管理体系检查,我们发现整体网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
第 5 章 安全需求分析
5.1 安全计算环境需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全计算环境的要求,还需要满足以下需求:
主机防病毒:该信息系统缺少主机防病毒的相关安全策略,需要配置网络版主机防病毒系统,从而实现对全网主机的恶意代码防范。
数据库审计:该信息系统缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒主机:该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证,需要部署堡垒机来实现。
备份与恢复:该信息系统没有完善的数据备份与恢复方案,需要制定相关策略。同时,该信息系统没有实现对关键网络设备的冗余,建议部署双链路确保设备冗余。
5.2 安全区域边界需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全区域边界的要求,还需要满足以下需求:
边界访问控制:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界入侵防范:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界恶意代码过滤:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
防 web 攻击:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
安全域边界安全审计:该信息系统无法实现对边界的访问控制,需要部署署网络安全审计等安全设备来实现。
互联网出口安全审计:该信息系统无法实现对边界的访问控制,需要部署行为管理等设备来实现。
5.3 安全通信网络需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全通信网络的要求,还需要满足以下需求:
通信完整性和保密性:该信息系统无法实现对边界的访问控制,需要部署 SSL VPN 等安全设备来实现。
流量管理:该信息系统无法实现对边界的访问控制,需要部署流量管理系统等安全设备来实现。
5.4 安全管理中心需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全管理中心的要求,还需要满足以下需求:
统一日志平台:该信息系统无法实现对相关网络及安全设备的日志审计功能,需要部署日志审计系统来实现。
统一监控平台:该信息系统无法统一展示边界的安全威胁情况,需要部署安全感知平台等来实现。
统一管理平台:该信息系统无法实现对边界的访问控制,需要部署运维堡垒主机来实现。
第 6 章 总体安全设计
6.1 总体设计目标 本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范,结合现网信息系统的现状,对其进行重新规划和合规性整改,为其建
立一个完整的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全,保证信息系统的安全防护能力达到《信息安全技术 信息系统安全等级保护基本要求》中第三级的相关技术和管理要求。
6.2 总体安全体系设计 本项目提出的等级保护体系模型,必须依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在“一个中心三重防御”的框架下实现对信息系统的全面防护。
安全管理中心
安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台,是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求,一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下三个部分:
系统管理
实现对系统资源和运行的配置。控制和管理,并对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
安全管理
实现对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,确保标记、授权和安全策略的数据完整性,并对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
审计管理
实现对系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录应进行分析,根据分析结果进行处理。此外,对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
此外,安全管理中心应做到技术与管理并重,加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度,规范安全管理操作规程,建立完善的安全管理制度集。
安全计算环境
参照基于可信计算和主动防御的等级保护模型,安全计算环境可划分成节点和典型应用两个子系统。在解决方案中,这两个子系统都将通过终端安全保护体系的建立来实现。
信息安全事故的源头主要集中在用户终端,要实现一个可信的、安全的计算环境,就必须从终端安全抓起。因此,依照等级保护在身份鉴别,访问控制(包括强制访问控制)、网络行为控制(包括上网控制、违规外联的控制)、应用
安全、数据安全、安全审计等方面的技术要求,可充分结合可信计算技术和主动防御技术的先进性和安全性,提出一个基于可信计算和主动防御的终端安全保护体系模型,以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。
安全区域边界
为保护边界安全,本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能:信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟,因此,在本次系统整改总体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、IDS、IPS 等有机地结合在一起,实现协同防护和联动处理。
此外,对于不同安全等级信息系统之间的互连边界,可根据依照信息流向的高低,部署防火墙或安全隔离与信息交换系统,并配置相应的安全策略以实现对信息流向的控制。
安全通信网络
目前,在通信网络安全方面,采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题,达到在满足等级保护相关要求的同时,可灵活提高通信网络安全性的效果。
6.3 安全域划分说明 安全域的划分是网络防护的基础,事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命,具有不同的功能,分域保护的框架为明确各个域的安全等级奠定了基础,保证了信息流在交换过程中的安全性。
在本项目中,将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域,将划分如下几个区域:
互联网接入域,该区域说明如下:
在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗,链路负载自动匹配最优线路,保障网络可用性的同时实现快速接入;需在互联网出口边界利用防火墙进行隔离和访问控制,保护内部网络,利用 IPS 从 2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验。
办公网区域,该区域说明如下:
安全域内的终端上需具备防恶意代码的能力,并对接入内网的用户终端进行访问控制,明确访问权限以及可访问的网络范围。
DMZ 区,该区域说明如下:
该安全域内主要承载对外提供服务的服务器等,包括门户网站前端服务器、Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略,并具备应用层攻击检测与防护能力、防篡改能力,同时也需要保证访问量较大的服务能够保持健康、稳定的运行。
服务器区域,该区域说明如下:
该安全域内主要承载内网核心业务信息系统,包含本次需过等级保护测评的 3 大信息系统,需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力,如 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等;需对存储业务信息系统产生的数据访问权限进行划分,并对数据的相关操作进行审计;需对敏感或重要数据进行备份。
综合安全管理区域,该区域说明如下:
该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现 ;对资产及其可能存在的漏洞进行扫描。
第 7 章 详细方案技术设计
7.1 物理和环境安全保障
“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分,必须依据《信息系统安全等级保护基本要求》对物理安全的有关要求,并结合信息化大集中、大整合、高共享的建设实际,不断扩展和变化,以满足信息化建设对基础设施保障和设备、数据安全的需求。
物理安全保障体系建设规划与应用的发展有着紧密的联系,其设计方向必须紧贴应用发展的实际需求,以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统,使应用部署不再受到机房、功能区域的限制,消除物理空间上的限制,让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控,通过整合现有安保资源,形成多元化的安保防控一体化构件,达到对资产的全面管理和安全防护。
1、供配电系统
各级网络机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,足够后备时间供电的 N+1 冗余的 UPS 系统,还有与机房供电系统匹配的自备发电机系统。
2、防雷接地
要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。
3、消防报警及自动灭火
为实现火灾自动灭火功能,应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。
4、门禁
各级网络机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合,形成统一授权,分区管理的集中监控模式。
5、保安监控
各级网络机房的保安监控包括几个系统的监控:闭路监视系统、通道报警系统和人工监控系统,必要情况要求记录集中存储。
6、一体化的安保系统集成
机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成,遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。
7.2 网络边界安全管控 网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。
7.2.1 网络安全域设计
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护,应进行安全域的划分、结构安全、边界整合以及防护策略设计。
在理顺了信息系统访问控制关系的基础上,结合信息安全体系框架安全域划分部分的内容,以及信息系统本身的业务特点和安全要求,建立 XX 企业客户的安全域模型,从交换域、计算域和用户域划分安全域模型,提出具体解决方案及实施建议。
7.2.2 制定访问控制策略
根据信息系统网络访问关系梳理得到的相关结果,以及对于安全域划分结果进行分析,从大的方面制定各个安全级别之间的访问控制策略和安全防护措施(各种安全产品的部署),从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。
7.2.3 网络安全防护管理
网络访问控制是防止对网络服务的未授权访问,根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制;网络入侵检测(NIDS)是对信息系统的安全保障和运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统,监控所有进出服务器网段的流量,并对核心信息系统中的安全事件进行实时监控,发现和对各种攻击企图、攻击行为或者攻击结果进行告警,从而使整个信息系统的网络入侵防范更为完善;终端准入控制机制从终端层到网络层,再到应用层和边界层,提供了
客户端准入、网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问,对非法的或存在安全隐患的办公终端进行隔离和修复,构建出完善的 “ 内网安检系统 ”,从源头上有效减少内网安全漏洞。
边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状态控制。
核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控,细化到 IP+ 端口细粒度的级别。
在出口增加防火墙加网络病毒检测防护,提升网络边界的恶意代码的防护。
7.3 终端主机安全管理 相关的安全接入基线要求为日常管理提供必要的安全底线,避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。
应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的 安全基线 不能满足要求的情况,该办公终端的网络访问将被禁止。此时启动自动修复机制,或提示终端用户手工进行修复。待修复完成后,办公终端将自动得到重新访问网络的授权。
终端安全加固
通过禁用系统 Autorun(自动播放)、禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系统自带的 DEP 功能(数据执行保护)、并可禁止对终端网卡属性进行修改,避免用户违规修改网卡的 IP、MAC、网关地址等属性,对终端操作系统进行安全加固,防止终端用户误操作,并有效预防蠕虫病毒和木马对办公终端带来的攻击。
除此之外,还提供丰富多样的自定义安全策略,可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存,来检查终端是否有隐藏的木马或病毒;通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶意对其进行修改,从而达到控制终端的可能。
还可以根据公司内网要求,检查终端是否按照要求加入或登录指定的 AD 域,如果没有按照要求加入或登录域,还可以将其进行安全隔离,使其无法访问网络,保证单位域管理的有效实施。
进程红白黑名单管理
在现网网络环境中,办公终端软件环境的标准化能为桌面运维管理带来多方面的效益:能够降低桌面维护的复杂程度,确保关键软件在办公终端的强制安装与使用,同时通过禁止运行某些软件来提高工作效率。
进程管理通过定义办公终端进程运行的红、白、黑名单,实现自动、高效的进程管理功能,完全覆盖用户对进程管理的要求。进程管理,无论是进程红名单、黑名单还是白名单,都可以通过设置 MD5 码校验的方式检查进程名,防止用户对程序改名逃避安全检查。
在进程管理中所定义的红名单、白名单和黑名单的详细定义如下:
进程红名单:
办公终端必须运行的进程清单,是 “ 进程白名单 ” 的子集;
进程白名单:
办公终端能够运行的进程清单;
进程黑名单:
办公终端禁止运行的进程清单。
7.4 核心应用系统安全保护 核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障,具体来说应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警,事中的严格边界访问控制、事后的网络业务审计、综合日志审计在内的业务溯源。
漏洞扫描及配置核查
据“全球信息安全调查”的数据,当前面临的最大安全挑战是“预防安全漏洞的出现”,在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理工作几乎是不可想象的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和修补漏洞。
应根据“发现—扫描—定性—修复—审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
由于服务和软件的不正确部署和配置造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发生,越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网络结构越来越复杂,重要应用和服务器数量及种类繁多,很容易发生安全管理人员的配置操作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。
通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流的网络设备、安全设备、数据库、操作系统和应用系统等,检查项包括:账号、口令、授权、日志、IP 协议和设备专有配置等内容。
核心边界业务访问控制
在核心的网络边界部署访问控制设备启用访问控制功能,根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET 等协议命令级的控制;在会话处于非活跃一定时间或会话结束后终止网络连接,限制网
络最大流量数及网络连接数,对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要应用系统主机。
运维审计
因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如 root 账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
业务数据审计
信息网络的急速发展使得数据信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面,一方面来自外部的非法入侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来自内部,内部员工的恶意
破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重损坏,甚至导致数据库系统崩溃。而且,这些操作往往不具备攻击特征,很难被普通的信息安全防护系统识别出来,就更加防不胜防,迫切需要一种行之有效的手段来进行防护。
围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治理人员和 DBA 们关注的焦点:
管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。
技术层面:除了在业务网络部署相关的信息安全防护产品(如 FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。
不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。
网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
7.5 数据安全建设 健全现有数据备份平台系统,并着手建立异地备份平台。
数据安全及备份恢复建设目标
根据等级保护前期调研结果,结合 对三级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
数据完整性、数据保密性
三级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:
系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密,确保信息在传输过程中的完整性和保密性;
系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密,保证信息在存储过程中的完整性和保密性,存储过程中检测到完整性错误时需采取必要的恢复措施。
建设方案:
采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求:
o 密钥的安全管理:需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。
o 证书验证:数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别,且不接受或继续使用非法的或者无效的证书。
备份和恢复
三级系统数据备份和恢复与等级保护要求存在一定的差距,应完善以下几点:需提供本地数据备份与恢复功能,完全数据备份需每天一次,备份介质场外存放;必须提供异地数据备份功能,关键数据需定时批量传送至备用场地。
建设方案:
健全现有数据备份平台系统,完善《备份系统运行管理制度》内容,在现有内容上,需增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放,本地备份数据需提供恢复功能,并定期进行恢复测试。
建立异地备份中心,定期对各业务系统数据进行异地备份,对于重要的业务系统应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性,加密方案使用数据完整性和保密性相关措施。
第 8 章 详细方案管理设计
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
8.1 总体安全方针与安全策略 总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中将协助集团确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。
本次设计的 总体安全方针与安全策略 将具备以下特性:
o 安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
o 总体安全方针与安全策略 中将明确阐述所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
o 安全策略在经过信息安全决策机构批准之后,将具备指导和规范信息安全工作的效力。
o 安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助及时对总体安全策略进行必要的调整,并将调整后的策略提交信息安全决策机构批准。
8.2 安全策略和管理制度 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
8.3 安全管理机构和人员 根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
8.4 安全建设管理 系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
8.5 安全运维管理、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。、日常运行维护制度
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和...
等级保护安全设计方案 篇2
关键词:三甲医院,信息系统,等级保护,测评
1引言
伴随着医院信息化建设的开展,医院对信息系统的依赖越来越大[1,2]。然而,信息系统本身存在技术、管理等安全问题。因此,文章根据国家及行业制定的信息系统安全等级保护相关配套标准[3,4,5],设计了某三级甲等医院信息系统等级保护测评的方案。通过测试手段对信息系统的安全技术措施、安全管理制度进行单项验证和整体性分析,检测信息系统现有的安全保护能力与国家、行业要求之间的差距,为该医院信息化建设的下一步整改提供科学、合理的依据。
2 医院概况
该医院为全国三级甲等综合性医院,医院信息系统的安全保护等级定为三级(S3A3G3)。医院的信息系统包括:市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等。医院的网络结构按功能划分为边界接入区、核心交换区、服务器区和办公区4大功能区域,如图2所示。
3 信息系统安全等级保护测评的设计
3.1 信息系统安全等级保护测评流程
测评流程如图1所示。其中,测评准备活动包括等级测评项目启动、信息收集与分析、工具和表单准备。方案编制活动包括测评对象和指标、测评工具接入点、测评内容三者的确定,测评实施手册开发及测评方案编制。现场测评活动包括测评实施准备、现场测评和结果记录、结果确认和资料归还。分析与报告编制活动包括单项测评结果判定、等级测评结论形成、整体测评、测评报告编制、风险分析、测评结果评审[3]。
3.2 测评对象与指标
3.2.1 测评对象
机房、业务应用软件(市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等)、业务应用软件服务器的操作系统、网络互联设备(交换机、路由器)的操作系统、安全设备(防火墙)的操作系统、安全管理文档。
3.2.2 测评指标
测评指标包括物理安全等10项指标,而物理安全又包括防盗窃和防破坏、物理位置的选择等子类[5]。
3.3 测评方法与工具
3.3.1 测评方法
(1)本次测评的主要方法包括访谈、检查和测试三种方式。
(1)访谈的主要内容是“安全管理”类的安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理制度。通过详细阅读各项管理制度,并与安全主管、人事负责人、系统建设负责人、资产管理员、运维管理员等,讨论各项制度描述、执行过程中存在疑问的地方。
通过与不同类型的人员讨论的方式体现了访谈的广度,通过对管理制度存在的疑问进行共同探讨研究的方式体现了访谈的深度。
(2)检查是对所有测评指标的功能级文档、机制和活动进行详细彻底的分析、观察和研究。根据获取的数据,证明被测系统当前的安全机制、配置、实现情况是否符合要求。
检查所有测评指标体现了检查内容的广度。详细彻底的分析、观察和研究测评指标的功能级文档、机制和活动的检查方式,体现了检查内容的深度。
(3)测试是通过手工测试、工具扫描、模拟攻击等方式,对被测系统中的主机、网络设备、业务系统,进行功能、安全性等方面的测试。
手工测试、工具扫描、模拟攻击等方式,体现了测试的深度。对主机、网络设备、业务系统进行功能、安全性等方面的测试,体现了测试的广度。
(2)风险分析方法
测评项目依据安全事件可能性和安全事件后果,对信息系统面临的风险进行分析。分析过程包括:
(1)判断医院信息系统的安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁的时候,利用导致安全事件发生的概率,可能性的取值范围为高、中和低。
(2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度。影响程度取值范围为高、中和低。
(3)综合过程(1)和(2)的结果,对信息系统面临的风险进行汇总和分等级。风险等级的取值范围为高、中和低。
(4)结合信息系统的安全保护等级,对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
3.3.2 测评工具
测评的信息系统为三级信息系统。根据三级信息系统的测评强度要求,在测试的广度上,应基本覆盖所有的安全机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试。功能测试可能涉及机制的功能规范、高级设计和操作规程等文档。渗透测试可能涉及机制的所有可用文档,并试图进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具:
(1)Nessus,是目前全世界使用人数最多的集系统漏洞扫描与分析一体的软件。
(2)绿盟远程安全评估系统,它能够实现漏洞预警、漏洞检测、风险管理、漏洞修复和漏洞审计等功能。绿盟科技NSFOCUS安全小组到目前为止已经独立发现了40多个知名厂家的漏洞,绿盟科技维护着全球最大的中文漏洞知识库。
3.4 测评内容与实施
等级测评的现场实施过程由单元测评、工具测试和整体测评三部分构成。
3.4.1 单元测评
对应各安全控制点的测评称为单元测评。其包括物理安全测评等10个测评任务[5]。因篇幅有限,这里只列举物理安全测评。
(1)物理安全测评
物理安全测评通过访谈和检查方式测评信息系统的物理安全保障情况,主要涉及对象为信息系统所在的机房。
(2)物理安全测评内容
物理安全层面测评内容涉及物理位置的选择等10个安全子类。而物理位置测评指标包括:
(1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(3)物理安全测评实施
物理安全测评实施方法及过程[5]:
(1)文档查阅与分析。测评人员对测评委托放提交的物理安全相关文档(含制度、记录等)等进行查看和分析,并记录相关证据。
(2)机房实地观测。测评人员在配合人员的陪同下对机房的安全措施进行现场观测,并记录相关证据。
(3)人员访谈。测评人员根据文档查阅和实地观测的测评结果,针对部分不确定项目访谈相关人员,获取补充证据。
(4)结果确认。测评人员向配合人员提交物理安全测评的初步结果记录。测评双方对初步结果进行下一步的分析和修订后,认可形成物理安全测评结果记录。
(4)物理安全测评配合需求
物理安全测评配合项及需求说明[5]:
(1)配合人:机房安全管理员陪同测评人员出入机房,并提供相关的文档(如机房出入人员记录、空调设备等基础设施的维护记录等)。
(2)安全权:测评人员在测评实施期间出入机房的授权许可。
(3)办公环境:会议室。
3.4.2 工具测试
通过漏洞扫描工具、应用安全扫描工具,对主机、应用业务系统进行扫描,找出其存在的安全隐患。
3.4.3 工具接入点
针对被测系统的网络边界和抽查设备、主机及业务应用系统的情况,需要在被测系统及其互联网络中设置两个工具接入点JA、JB。工具测试接入点示意图如图2所示。“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向。
(1)JA接入点工具测试过程描述:
(1)在JA接入点的边界区域互联网、卫生专网、市医保、南铁医保等,为扫描工具提供网络接入接口。
(2)为扫描工具分配相应网段的IP地址,在JA点接入扫描工具,通过防火墙、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。
(2)JB接入点工具测试过程描述:
(1)在JB接入点抽取一个办公区接入交换机,为扫描工具提供网络接入接口。
(2)为扫描工具分配两个办公区网段的IP地址,在JB点接入扫描工具,通过接入层交换机、汇聚层交换机、核心交换机,对服务器区的HIS服务器、PACS服务器等,进行漏洞扫描及应用安全扫描。
3.5 整体测评
系统整体测评主要是在单项测评的基础上,通过测评分析安全控制点间、层面间和安全区域间存在的关联作用,在整体结构上是否合理、简单、有效,验证和分析不符合项是否影响系统的安全保护能力,测试分析系统的整体安全性是否合理[3]。
3.5.1 控制点间安全测评
在同一功能区域的同一层面内,其他安全控制点是否存在对该安全控制点具有补充作用(如安全审计、物理访问控制、防盗窃及抗抵赖等)。另外,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。
3.5.2 层面间安全测评
层面间的安全测评,重点分析其他层面上功能相同或相似的安全控制点是否对该安全控制点存在补充作用(如应用层加密与网络层加密、主机层与应用层上的身份鉴别等),以及技术与管理上各层面的关联关系(如主机安全与系统运维管理、应用安全与系统运维管理等)。
3.5.3 区域间安全测评
区域间安全测评,重点分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。
4 结论
通过对三级甲等医院的信息系统进行安全等级保护测评方案的设计,与国家及行业的标准、制度进行比较,得出该医院信息系统基本符合第三级安全保护的要求。但存在如机房管理不规范、工作人员信息安全意识薄弱等问题。文章设计的信息系统等级保护测评方法,具有较高的可操作性,为该医院信息化建设的整改提供依据,可作为其他医院测评的借鉴。
参考文献
[1]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,1:206-208.
[2]徐璟璟.医院信息系统安全等级保护[J].信息与电脑(理论版),2015(8):91,93.
[3]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S].2012.
[4]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S].2008.
奏响安全等级保护主旋律 篇3
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过,办法的颁布标志着2006年《信息安全等级保护管理办法》(公通字[2006]7号)的废止。自此,全国范围的等级保护工作便轰轰烈烈地展开了。到12月2日,等级保护工作的开展已4个月有余。如何有效地总结各部委、行业等级保护工作的进展情况,并对下一步工作的开展进行合理展望,就成为本次IT两会“等级保护推广与实施”论坛的关注点。
本次论坛上,公安部公共信息网络安全监察局七处处长郭启全、信息化技术标准委员会副主任委员崔书昆、东软网络安全营销中心解决方案部部长曹鹏、e-Cop公司区域副总裁兼董事总经理徐为群等与会嘉宾,分别从主管部门的政策引导、专家的认识体会以及厂商的产业推动等方面,进行了等级保护相关的主题演讲。
等级保护意义重大
随着国民经济和社会发展信息化进程的全面加快、信息化程度的不断提高,关系国计民生的基础信息网络和重要信息系统已经成为国家的命脉所在。然而在当前,我国基础信息网络和重要信息系统却仍然面临着外部攻击、威胁、自身脆弱性、薄弱环节等诸多问题。2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)出台后,各单位、部门都在信息安全保障工作方面开展了多项工作并取得了一定成效。然而,在信息安全保障工作的具体落实过程中,却仍然存在着“工作重点不突出、找不出重点、没有标准”等问题,公安部公共信息网络安全监察局七处处长郭启全在本次论坛上指出,“总的来说,信息安全保障工作没有一个总体的牵头的带动工作,落实起来还显得比较弱,这样的形势促使国家大力推进等级保护制度。”
在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。信息化技术标准委员会副主任委员崔书昆认为,“在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力、维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。”
其实,信息安全等级保护是欧、美等发达国家实现信息安全保障工作的通行做法。譬如,美国在1985年发布的《可信计算机系统评估准则》(TCSEC)将计算机系统安全等级分为四等七级;欧洲在1990年发布的《信息技术安全评估准则》(ITSEC)将信息系统安全功能分为十级,评估级分为七级;1996年,欧美六国七方制订的《信息技术安全共同评估准则》(后来成为ISO/IEC 15408(1999)国际标准)将评估保障级分为七级;2002年美国制订的《联邦信息安全管理法案》(FISMA)规定,每一联邦机构必须按照FIPS199等标准,依据信息系统及其所载信息的重要性和影响,分别划为高、中、低三个基本安全保护级别。由此可见,实施等级保护,将信息系统按其所载信息的重要程度划分级别、采取防护措施已经形成国际潮流,而我国的等级保护工作的开展是顺应国际潮流的举措。同时,对国外有益经验的借鉴也可以加速我国信息安全保障体系的建设。
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过。7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。43号文与861号文的出台,不仅为等级保护工作的开展提供了规范保障,也从政策文件角度标志着这项工作的成熟。两个里程碑式的文件正式出台并下发后,7月20日,由公安部牵头的“全国重要信息系统安全等级保护定级工作电视电话会议”在北京召开,标志着信息安全等级保护工作在全国范围内正式开展与实施。同时,公安部、国家保密局、国家密码管理局联合成立的“国家信息安全等级保护协调小组”的建立,也为等级保护工作的开展提供了有力的组织保障。
“通过实施等级保护,充分体现‘适度安全、保护重点’的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。”郭启全处长表示。在本次论坛上,郭启全特别强调了等级保护的两个属性——“惟一性”与“强制性”。“等级保护的工作是国家信息保障的基本制度,具有惟一性,不具有选择性。信息安全等级保护是国家意志的体现,国家信息安全保障工作只有等级保护制度是强制实施的,也只有等级保护工作是由四个部委共同组织实施、公安机关牵头实施的。”
定级工作火热开展
7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开后,酝酿多年的信息安全等级保护工作便在全国正式展开了。在本次论坛上,崔书昆用“定级热潮”来形容轰轰烈烈的等级保护定级工作,“其规模之大,涉及面之广,各级领导之重视,在我国信息安全工作史上甚是少见。”
据他介绍,在工作开展过程中,由四部委代表国家执行三个方面的工作:第一,组织制订国家等级保护的政策标准规范;第二,组织各单位实施、开展等级保护工作;第三,对等级保护工作进行监督检查指导。谈到刚刚过去的2007下半年各部委开展的自主定级工作时,郭启全表示,“所谓自主定级,是由于各单位了解自己信息系统的重要部位,因此需要进行自主定级。而需要强调的是,自主定级不是绝对的。”据悉,单位在自主定级后,还需要经过领导部门的审批、专家评审以及公安机关备案的“三关”审核。各单位对信息系统自主定级,并向公安机关以及保密部门备案,是今年国家等级保护的主要工作。
在4个多月等级保护定级工作的开展过程中,崔书昆参与了多个部门、单位的定级讨论工作。谈到定级工作的体会,崔书昆认为,“吃透文件、把握重点、掌握相关政策并严格依据、把握定级工作的流程”是做好定级的关键。他认为,在定级过程中,各单位还应“结合本行业的特点”。他表示,“实际上,在本次定级当中,各个部委、各个部门都根据自己的工作特点、系统状况,做了具体的系统与等级划分。这次定级工作涉及的面非常广,各个单位的工作特点和信息系统的情况也不一样。如果千篇一律地定级,那么定出来的等级会有很多不适合。”
“另外,进行由上而下的指导也很重要,要坚持评审、审批与备案制度。”崔书昆在论坛上指出,各单位应初步确定信息系统安全保护等级,并聘请专家进行评审;对拟确定为第四级以上信息系统的,还要请国家信息安全保护等级专家评审委员会评审。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,可以进行相应的协调。
崔书昆还强调,在等级保护工作中,除了要贯彻有关的法律法规外,还要全面贯彻信息安全等级保护有关的信息安全技术标准。据他介绍,近几年我国发布的一系列信息安全标准,大体上可以分为五组:实施指南、定级指南、保护要求(包括系统和产品)、管理要求(包括工程管理)和测评要求。“在完成定级之后的各工作阶段,应特别强调贯彻执行已有标准。在信息安全等级保护工作开展的全过程,需要认真学习和应用这些标准,并在应用中提出修订建议,以便不断完善这些标准,使我国信息安全等级保护工作做得更好。”多年来,我国还制订了一系列与涉密系统分级保护工作相关的技术标准与管理标准,这些也应当在相关工作中认真贯彻。
到目前为止,纳入此次重要信息系统定级备案范围的全国各个重点行业、单位和部门,绝大多数都已完成了信息系统定级备案工作。其中50多个部(委、局)以及各省(区、市)专门成立了由主要领导挂帅的等级保护领导(协调)机构,形成了等级保护工作的组织领导机制。铁道部、人民银行、海关总署等40多个部(委、局)召开了全系统会议,部署定级工作,开展集中培训。此外,公安部上门督促指导了17个部委定级工作,并配合20多个部委开展了定级工作培训。“根据我们现在得到的备案数据以及统计结果,绝大多数的部委、省市都已经完成工作,取得了非常大的成效。目前,重要领域、命脉行业的定级工作都完成得非常好。”郭启全用“收获季节”来形容当前的定级工作。
等级保护影响深远
在政策层面和实施层面对等级保护工作进行深入分析后我们看到,实施等级保护或者说通过实施等级保护最终将更好地保障信息安全,其实更多的是在谈论如何划分级别、如何实施管理。在日新月异的安全技术更替中,如何将技术与管理很好地融合,成为值得探讨的话题。技术的进步使得众多安全产品,譬如FW、IDS、防病毒、IPS、CA、PKI等产品百花齐放,令人目不暇接。然而在很多时候,管理制度却是原地踏步。东软网络安全营销中心解决方案部部长曹鹏认为,“没有优秀的管理策略制度支撑的安全产品,只是安全矩阵中的散兵游勇。”作为安全产业的推动者,东软详细阐述了应该将人、技术、管理三者进行融合,并且借此将等级保护工作进行到底。曹鹏认为,“管理是从严到疏,再到自觉;从面面俱到,到点点细致;从技术升华,到回归技术本质。实质上,管理应该走人性化与中国化的创新融合之路。”
在本次论坛上,来自新加坡e-Cop公司的区域副总裁兼董事总经理徐为群,与参会嘉宾分享了新加坡等东南亚国家类似我国等级保护制度的信息安全相关制度,并就e-Cop公司包括安全设备支持维护、安全设备管理、安全咨询服务、安全设备监控、日志分析、事件处理/响应 (7×24安全监控服务)等的可管理安全服务(MSS,Managed Security Service),进行了翔实细致的介绍。
今年是等级保护工作全面正式开展的第一年,而作为一项基本制度,等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。在推进等级保护工作贯彻落实的过程中,如何更准确完整地理解、把握政策要求,如何在每个阶段性工作进展中对经验教训进行及时的回顾和总结,如何有效地借鉴国外等级保护工作的方式方法,如何将日新月异的技术真正融合入安全管理,并最终更好地贯彻于国家制度……诸多问题,都需要整个产业界进行不断地探索、认识和总结。
信息安全等级保护测评 篇4
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
信息安全等级保护工作计划 篇5
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
xx信息等级安全保护自查报告 篇6
根据xx市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《xx省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对xx区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
xx区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了xx区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《xx区地税局公文处理应急预案》、《xx区地税局内部网站应急预案》、《xx区地税局网络故障应急预案》、《xx区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
xx区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。
区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
xx区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。xx区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
等级保护安全设计方案 篇7
关键词:广播中心,播出网,安全防护
0 引言
广播中心播出网主要实现音频节目、广告的自动化编排和播出等功能, 网络化制播环境为广播中心带来高效流畅的业务优势, 也带来了信息安全的难题。按照《广播电视相关信息系统安全等级保护基本要求》 (GD/J 038-2011) 和《信息安全技术信息系统等级保护安全设计技术要求》 (GB/T 25070—2010) , 播出网的安全防护体系应从基础网络、边界、计算环境等方面进行设计, 并配置有效的安全管理中心, 保证播出网安全可靠的运行。
1 基础网络安全
基础网络安全主要包括网络结构安全和网络设备防护。
网络结构安全首先要依据所处理的业务以及业务流程对整个网络进行子网划分。由于在同一网段上, 计算机通信的寻址是采用广播方式, 所以如果网段规划不合理, 侦听、重放、插入攻击等会导致数据的机密性和完整性被破坏, 同时还存在广播风暴的风险, 导致网络通信效率下降。各子网可划分为同一安全域, 也可划分为不同的安全域。安全域是实施同一安全策略的区域, 安全域划分根据应用系统处理业务的需要和同类数据信息的流动范围确定, 需要进行相同安全保护的同类数据信息或同类服务功能在同一个安全域中进行存储、传输处理等。
播出网一般分为主播业务域、备播业务域、播出监控域和安全管理域。其中主播业务域部署播出服务器等核心业务服务器, 实现节目播出和控制的信息系统;备播业务域部署播出站、编排管理工作站、素材播放站等, 为播出进行节目准备的信息系统;播出监控域部署监测服务器, 对节目播出进行监控和管理的信息系统;安全管理域部署日志审计、数据库审计、运维审计、安全管理中心等, 对播出网进行安全监控和管理的信息系统。一般通过核心交换机划分VLAN的方式来实现同一安全域内重要网段与其它网段之间的逻辑隔离, 通过汇聚交换机上部署ACL实现各网段、各安全域之间的访问控制。为保证核心、汇聚设备具备足够的数据处理能力, 要保证网络设备的业务处理能力和网络带宽具备冗余空间, 满足业务高峰期需要。
网络设备防护一般从以下几个方面进行:
1. 网络设备对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别, 也可通过运维审计实现双因素认证, 防止恶意入侵或人为破坏。
2. 采用HTTPS、SSH等安全的远程管理手段, 防止用户身份鉴别信息在网络传输过程中被窃听。
3. 交换机应控制用户对资源的访问, 关闭不必要的服务和端口, 防范对网络的攻击。
4. 每个网络管理员具有不同的权限, 实现特权用户的权限分离。
5. 网络设备通过SNMP V3 协议提供网络设备的监控与管理接口。
2 边界安全
网络边界是信息安全最关键的一道防线。一般在网络边界设置安全设备, 包括防火墙、边界隔离防护 (IPS、网闸等) 以及基于网络的入侵检测、漏洞扫描及恶意代码防范等。一是对外部的访问进行过滤和控制, 防止网络外部的入侵;二是对内部向外传输的数据信息进行安全检查, 防止内部信息的泄露;三是防止内部人员违规访问外部网络。
1. 部署基于状态检测的防火墙进行安全访问控制, 控制粒度限制到访问源/ 目的IP地址、目的端口和协议。
2. 部署媒体交换网关以信息摆渡的方式实现协议转换和对文件格式的过滤, 只允许XML和S48 等媒体文件格式的文件通过;采用广播专用数据接口和通讯协议实现安全数据交换, 如仅开放Web Service数据库访问接口、FTP上传/ 下载文件接口和播放控制接口等;采用非TCP/IP协议的方式进行音频文件和数据的交换。
3. 部署UTM安全网关, 开启双向防护, 实现网络边界对恶意代码的检测和清除, 防范计算机病毒传播、阻断蠕虫攻击、控制网络非法流量、入侵防护等, 以有效保护内部网络的安全运行。
4. 部署IDS作为防火墙的有效补充, 实时检测网络流量, 监控外部用户行为, 并对违反安全策略的流量和访问及时报警。
3 计算环境安全设计
计算环境的保护涉及操作系统、数据以及应用程序。
1. 操作系统安全主要解决进程控制、内存保护、对资源的访问控制、用户标识与鉴别机制等。按照等级保护要求, 高级别信息系统 (第三级以上) 的操作系统要达到标记安全保护级。因此应采用主机加固的方式实现操作系统的强制访问控制 (MAC) , 只允许安全标识的程序启动和应用, 从而保证操作系统级的安全。
2. 数据安全一是对用户数据进行加密, 二是对文件完整性进行检查, 三是数据备份和恢复。播出网的应用程序应支持加密技术的使用, 特别是身份鉴别信息在传输过程中应采用加密技术;文件完整性是对制作系统到播出系统传输的音频文件通过MD5 或其它检验技术进行完整性检查, 当发现音频文件与原来不同时, 可以采用重传或其他机制保证音频文件不被篡改;数据备份的目的是要保护数据的完整性和可用性, 重要数据建议完全数据备份每周一次, 增量备份或差分备份每天一次, 备份介质存放在数据运行所在场地外, 有条件的单位对重要信息进行异地灾备, 保证极端情况下能够实现备份业务应用的及时切换。
3. 应用安全保护主要包括应用程序的评估和测试两个方面。应用软件的评估是将软件的功能与安全策略相比较, 查找出可能违背安全策略的机制;应用程序的测试是确定程序的正确性和排除程序中的安全隐患。对于多数播出单位来说, 由于不掌握程序源代码, 只能进行“黑盒”测试, 即对程序进行模拟攻击, 以发现其存在的漏洞和错误。
4 安全防护设计涉及的技术手段
4.1 用户身份鉴别
身份鉴别是对信息系统访问者身份合法性的确认, 是对其访问权限进行分配与管理的前提, 是审计功能及用户数据保护的先决条件。身份鉴别通常在用户登录 (连接) 到系统时进行, 当一个已经登录的用户由于某些原因中断与系统的连接或需要重新连接时, 需要重新进行鉴别, 防止非法用户以假冒的身份进入系统。
目前常用的用户鉴别技术主要有:口令鉴别、生物特征识别和数字证书等。播出服务器、接口服务器、播出数据库采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。用户鉴别信息应是不可见的, 需要进行加密存储。
4.2 访问控制
访问控制分为自主访问控制和强制访问控制。
4.2.1 自主访问控制
自主访问控制是用户所创建的文件的访问权限由用户自己来控制, 系统通过设置的自主访问控制策略为用户提供支持, 体现了用户对自身创建文件的自主访问控制能力。广播中心一般在播出站、工作站、数据库服务器、非接口类服务器上采用自主访问控制。
1. 播出站、工作站应对域控账户严格设置, 域帐户密码应启用复杂度限制, 并设置定期更换时间。对系统账户权限进行细粒度控制, 各部门用户只能访问到权限范围内的相关资源, 此策略由系统管理员制定, 以达到自主访问控制的目的。
2. 播出网的数据库账号要有复杂度限制, 不要让sa账户的密码写于应用程序或脚本中。数据库管理员应定期查看是否有不符合密码要求的账号, 并严格限制分配给用户访问数据的权限。
3. 播出网中非接口类服务器登录应用时应通过统一身份认证系统进行集中的用户管理和授权管理, 账号信息应集中存储在LDAP服务器中, 通过统一身份认证系统门户进行单点登录。
4.2.2 强制访问控制
强制访问控制是建立在对主、客体进行安全标记的基础上的访问控制机制。强制访问控制是系统中的主体和客体的访问操作权限不是由哪一个用户确定的, 而是按照访问控制策略来确定, 并且与访问控制相关的权限改变也不是由客体创建者用户自己决定的, 而是由系统安全员通过对相关数据的改变而实现的。强制访问控制策略是以一组数据结构和一组规则组成, 这组数据结构就是用来描述访问者主体和被访问者客体与访问控制有关的安全属性的数据, 通常称其为“标记信息”或“敏感标记”。而规则是通过对该组数据执行确定的操作程序实现的。当有访问要求时, 通过调用该程序执行即可确定是否允许进行该次访问操作。
首先确定播出系统中编排管理、素材播放、广告审批、播出监测等关键业务流程中所有主体和客体, 然后根据业务系统的需要, 结合客体资源的重要程度确定系统中所有客体资源的安全级, 生成客体标记列表。根据用户在业务系统中的权限和角色确定主体的安全标记, 生成主体标记列表;根据系统需求和安全状况授予用户访问客体资源能力的权限, 生成强制访问控制列表和特权列表;根据业务系统的需求生成和执行主体相关的策略, 包括强制访问控制策略及级别改变检查策略等, 供业务系统执行。在播出网中, 一般在服务器上通过部署操作系统加固软件来满足安全标记和强制访问控制的要求。主体分析如表1 所示。客体分析如表2 所示。
根据对播出系统的主、客体分析, 结合业务需求, 分析主体对客体的访问控制权限定义如表3 所示。
4.2.3 其他访问控制
播出网依据安全策略控制用户对资源的访问, 禁止通过USB、光驱等外设进行数据交换, 关闭不必要的服务和端口等实现访问控制。根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予管理用户所需的最小权限。重命名Windows系统默认帐户, 删除过期的账户, 实现服务端访问控制。
为了保证终端、服务端设备的安全, 通过配置终端安全管理系统控制网络准入, 防止非法终端接入网络, 控制非法外联和网页访问, 避免网络滥用, 对终端进行远程监控和访问控制, 避免遭受攻击和对外发起攻击。
4.3 安全审计
安全审计就是对信息系统中有关安全的活动进行记录、检查及分析, 审计记录包括事件的日期和时间、事件类型、客户端IP地址、描述和结果等。审计为系统进行事故原因查询、定位, 为事故发生前的预测、报警以及事故发生之后的实时处理提供依据和支持, 能够有效追查事件发生的地点、过程以及责任人。
播出网中的服务器等要开启安全审计策略, 交换机、防火墙、IDS、UTM安全网关、媒体交换网关等要开启安全审计策略, 也可部署运维审计系统, 对播出网的网络设备、安全设备、主机设备进行运维操作时, 通过运维审计系统跳转到主机, 从而对运维人员进行身份认证、访问控制、授权等进行审计;应用系统日志保存应用程序产生的记录, 如用户操作 (登录、重要业务操作等) ;数据库审计记录数据库的操作, 以及数据库系统资源的异常使用和重要系统命令的使用等。数据库本身具备审计功能, 但开启后对性能影响较大, 因此建议在播出网中通过旁路部署数据库审计产品进行数据库日志的审计, 将数据库服务器VLAN中的数据以镜像方式发送到数据库引擎的采集端口。
4.4 入侵防范
入侵者通常利用信息系统的漏洞进行入侵, 获取信息系统的数据信息, 或者对数据信息和信息系统服务功能进行破坏。在网络边界主要通过入侵检测系统的部署, 实时监控进出网络的数据流, 对入侵行为进行告警。入侵检测系统内置病毒检测引擎和病毒库, 从而将病毒检查、入侵检测整合在一起, 对通过此边界的数据进行病毒检查, 这在病毒开始传播的初期能够起到很好的监控作用, 避免病毒的大范围扩散。同时也可通过漏洞扫描系统, 定期对播出网内的网络设备、安全设备、主机设备的脆弱性进行评估, 及时更新系统补丁, 修复漏洞, 从而实现入侵防范。
4.5 通信完整性
系统应用软件是通过网络与最终用户之间传递数据, 为了防止数据在传输时被修改或破坏, 通信双方利用校验码技术或密码算法 (如利用Hash函数计算通信数据的散列值, 并用非对称加密算法对散列值进行加/ 解密) 来保证数据的完整性。
4.6 软件容错
容错是指计算机系统在运行过程中发生一定的硬件故障或软件错误时仍能保持正常工作而不影响正确结果的一种性能或措施。应用系统应提供自动保护功能, 当故障发生时自动保护当前状态, 保证系统能够进行恢复。
4.7 资源控制
为防止部分用户登录业务系统进行操作后, 忘记退出系统而提供了其他非授权用户利用的可能性, 要求应用软件应在通信双方中的一方在一段时间内 (具体时间可以根据实际情况定制) 未作任何响应, 另一方自动结束会话。
5 安全管理中心设计
安全管理中心是对信息系统的计算环境、区域边界和通信网络的安全机制实施统一管理的平台, 是实现等级保护体系的重要支点, 具备系统管理、安全管理、审计管理、事件管理、风险管理、设备监控等功能。建立安全管理中心有利于对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理, 从而能够进行有效控制, 及时发现存在的问题。
安全管理中心部署日志审计系统, 通过采集器实现信息资产 (网络设备、安全设备、主机、应用及数据库) 的日志获取, 并通过预置的解析规则实现日志的解析、过滤及聚合;通过通信服务模块实现采集器与平台间的通信, 将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理;通过关联引擎的内置关联规则, 实现各资产间的关联分析;通过平台管理模块实现对播出网内的网络设备、安全设备、主机设备和应用系统的运行状态实时监控, 实现解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索等;根据播出网安全审计的需求, 定制安全审计报表, 可以直接地看到资产、风险、脆弱性、事件和设备的分布以及趋势, 将系统的主要统计数据显示在报表上, 便于播出网管理层及时了解播出网安全状况。
安全管理平台应提供相应接口, 能够支持常见的安全产品和网络产品, 同时还应支持主机系统和应用系统。安全管理平台接口方式如表4 所示。
6 结束语
播出网信息安全技术防护体系除对上述方面进行设计外, 还应提高播出网应用软件及各安全组件自身的安全性、可靠性, 避免应用软件自身的弱点与缺陷被利用, 这样才能更加彻底的消除或遏制安全隐患, 达到预期的安全目标。
参考文献
[1]GD/J 038-2011.广播电视相关信息系统安全等级保护基本要求[S].
等级保护安全设计方案 篇8
摘要:采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,还在现有等级测评的基础上,创新性提出从“正反”两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。
关键词:等级测评;评价指标;权重;风险分析;多对象平均分
中图分类号:TP391文献标识码:A
Abstract:Evaluation Index System of information system protection capabilities was built based on AHP, which was used as the basis to calculate the various layers weights as the synthesis weight of the index of measure layer, and used as the foundation of quantifying security capability score. Meanwhile, based on the existing classified protection testing and evaluating, a new idea was put forward to measure the information system security protection situation from the "pros and cons" of two different views. Information system security capability was evaluated and comprehensively judged by combining with the positive evaluation of the protection situation and reverse risks.
Key words:classified protection testing and evaluating;evaluation index;weight;risk analysis;average score of multiobject
1引言
对信息系统实施等级测评具有重要的现实意义,其中对信息系统的安全保护能力进行评价是等级测评的重要环节。信息系统安全保护能力评价是对等级测评结果进行全面评估、分析与度量。安全保护能力评价虽然不能直接保护信息系统,但其结果可以反映信息系统的安全保护状况,发现信息系统存在的薄弱点,可以作为信息系统安全整改和后期安全规划的依据和基础。
2研究状况分析
在信息安全评价方面,从安全评估模型的着眼点看,目前存在两方面完全不同的模型:一种是从“正面”分析信息系统安全保护能力为出发点的安全评估模型,如闫强等人提出的安全度量评估模型[1];另一种则是从“反面”以信息系统存在的脆弱性为出发点的安全评估模型,如风险评估模型,从可靠性评定模型中发展过来的故障树模型等。这两种不同的模型,分别从“正反”两个不同的角度来度量信息系统的安全状况。
本文充分借鉴上述两种模型的优点,首先从“正面”分析系统安全保护能力是否达到等级保护相关标准的要求,然后从“反面”以在等级测评中发现的系统脆弱性为出发点,综合分析系统面临的风险。
3系统安全保护能力评价指标体系
系统安全保护能力评价是在等级测评的单项测评结果基础上进行的,主要内容分为五个方面:单项测评结果判定、单元测评结果判定、整体测评、风险评估以及综合分析[2,3]。
整体测评主要是以“正向”为主,包括安全控制间、层面间和区域间相互作用的安全测评,以及漏洞扫描、渗透测试等。风险评估主要是以“反向”为主,综合分析则是根据单项测评、整体测评、风险评估的结果对信息系统的整体安全保护能力状况进行综合评价分析。
单项测评中的各项测评指标直接来自《信息系统安全等级保护基本要求》[4](简称《基本要求》),与其存在一一对应的关系。这些测评指标与系统安全保护能力之间没有明确的关联关系。因此,为了判定系统安全保护能力,首先需要研究如何将安全保护能力与各项具体测评指标关联起来,形成科学的安全保护能力评价指标体系[5]。
本文借鉴层次分析法[6,7]的思想建立评价指标体系并求取各测评指标权重。评价指标体系可以分解为目标层、准则层和措施层[8]。措施层(对应《基本要求》的具体要求项)是明确实现各安全保护能力需要的安全机制或安全措施,是综合安全保护能力的最细化、最底层的层次。准则层(对应各项保护能力)是在归纳总结措施层不同层次不同方面的各项措施能够实现的安全保护能力形成的,是多项安全措施的综合,准则层是措施层与目标层之间的桥梁。目标层(A层)只有综合保护能力一个指标,是所有准则层各项保护能力的综合,是信息系统综合安全保护能力的量化直观反映,也是等级测评的最终结论,量化分数的高低可以反映出信息系统安全保护现状与相应等级安全保护能力要求之间的差距。
评价指标体系各层次内容及其之间的关系可用示例图1来表示。
其中,准则层指标可以进一步分为能力层(B层)、能力子层(C层)和能力底层(D层),该层指标自上而下是对综合保护能力的进一步细化、分解。其中能力层分为8类能力(见图1),能力子层分为36类子能力,能力底层则进一步细分为126类子能力。准则层分解示例如下表1所示:措施层(E层)来自于《基本要求》技术和管理两大部分的安全措施。其与准则层的关联关系示例如表2所示。
4测评指标综合权重计算
在建立了等级测评安全保护能力评价指标体系之后,进而通过层次分析法确定每一层相对于上一层的影响权重,得出全部测评指标的综合权重得分。
下面详细说明如何使用判断矩阵求得等级测评指标各层的权重系数。
B层相对于A层的各指标权重。根据层次分析法,当相互比较因素的重要性能够用具有实际意义的比值说明时,则取这个比值作为B层相对于A层的各指标权重。根据信息系统等级保护能力的要求,5个不同级别的安全保护能力有如下表的特点,即1级更强调安全防护方面的能力;2级在1级的基础上,进一步强调检测能力;等等。
因此,可以根据不同等级能力的体现,通过专家对比评审的方式确定判断矩阵。根据专家对比的结果形成判断矩阵AB,计算最大特征根和特征向量,归一化处理后得到B层指标对A层而言的权重系数WB,并进行一致性较验。
wb=WA1B1……WA1Bn
WA2B2……WA2Bn(1)
WA15n代表B层第n个指标对A1的权重系数,WA2Bn代表B层第n个指标对A2的权重系数,n为从1到8的正整数。
另外,C层相对于B层的各指标权重以及D层相对于C层、E层相对于D层的各指标权重是不会随安全等级的变动而改变的,也不随其服务的是业务信息安全还是系统服务安全而改变,也就是说其权重系数是相对稳定的,主要决定于C层对B层、D层对C层、E层对D层的贡献。因此,可以采取通过专家评审对比构造判断矩阵、计算最大特征根、计算特征向量并归一化的方式,得到权重向量。通过计算得出一组权重系数。
根据上述得出的这些权重系数可以生成合成权重。合成权重是指最下层(措施层E层)诸要素对最上层(目标层A层)的综合权重W。根据层次分析法,可以预先计算出从措施层E层到目标层A层的综合权重WA,WA=WB×WC×WD×WE。从而在计算综合得分中直接使用,以减少中介计算。
5安全保护能力综合评价
在等级测评中各单元测评指标的得分包括单项测评结果的符合程度直接得分和整体测评对直接得分的修正分。
5.1单项测评结果符合程度直接得分
单测评项根据不同的测评方式、测评内容等,可能会存在多个测评实施过程与之对应。执行这些测评实施过程后,会得到多个测评证据。如何根据这些测评证据获得单项测评结果是判定得到等级测评结论的基础。
单项测评结果的形成方法通常是:首先将实际获得的多个测评结果分别与预期的测评结果相比较,分别判断每一个测评结果与预期结果之间的相符性;然后,根据所有测评结果的判断情况,综合判定给出该测评项的符合程度得分,符合程度得分为5分制,满分为5分,最低分为0分,测评人员根据符合情况给出0~5的整数分值[9]。这个得分即为该测评项的单项测评结果符合程度的直接得分。其中,0分的情况是指获取的测评证据低于相应测评项应达到的最低要求。
单项测评结果的符合程度得分体现了安全保护措施是否有效以及有效性程度[10]。
同时,由于单项测评结果符合程度直接得分越高,表明该项对应的安全问题越不严重,因此可以根据单项测评结果的符合程度得分得到对应的安全问题严重程度得分。即:
S安全问题严重程度得分=5-S单项测评结果符合程度直接得分(2)
5.2单项测评结果的多对象平均分
一般来说,一个测评项可能在多个测评对象上实施。因此,作为综合得分计算基础的单项测评结果应为多个测评对象的平均得分,即多对象平均分。
5.2.1测评对象分类
针对单个测评项的测评可能会落实到一个或多个测评对象上。由于这些测评对象在信息系统中所起的作用会有所不同,所以测评对象对于测评项对应体现的安全功能所起的作用就有所不同,从而对单项测评结果形成的贡献就可能有所不同。根据测评对象对某一单项测评结果形成贡献的大小,即其重要程度的不同,把测评对象分为:重要测评对象和一般测评对象。
1)重要测评对象,主要是指该测评对象对于某一测评项在信息系统中的实现起关键性作用,即对此测评项测评结果的形成贡献非常大;
2)一般测评对象,主要是指该测评对象对于某一测评项在信息系统中的实现起一般性的作用,即对此测评项测评结果的形成贡献不大。
因为重要测评对象和一般测评对象对于单项测评结果形成的贡献大小有所不同,所以给他们赋予的权重也就应该不同[11],在这里分别赋予他们相对权重为2和1。
5.2.2多对象平均分
结合单项测评结果符合程度直接得分和测评对象权重,采用几何加权平均方法计算测评项的多对象平均分(四舍五入取整小数点后一位计):
P多对象平均分=(∑nK=1测评对象k在该测评项的符合程度得分×测评对象K权重)∑nK=1测评对象K权重(3)
其中,P为测评项的多对象平均分,n为同一测评项测评的测评对象个数。
5.3整体测评修正直接得分
系统整体测评主要是在单项测评的基础上,通过测评分析安全控制间、层面间和安全区域间存在的关联作用验证和分析不符合项是否影响系统的安全保护能力,测试分析系统的整体安全性是否合理。根据整体测评结果,确定已有安全控制措施对安全问题的弥补程度将修正因子设为0.5~0.9,已有安全问题相互之间的削弱程度将修正因子设为1.1~1.5。
根据修正因子修改安全问题严重程度值及对应的修正后的单测评项符合程度得分。具体计算公式为:
S修正后问题严重程度值=S修正前的问题严重程度值×g修正因子(4)
S修正后测评项符合程度=5-S修正后问题严重程度值/
W测评项权重(5)
其中,整体测评之后求得的修正后测评项符合程度得分即为单项测评结果符合程度最终得分,修正后问题严重程度值也为最终的安全问题严重值。
最后,根据修正后测评项符合程度判定最终的单项测评结果。
5.4风险分析
风险分析时,将结合关联资产和威胁分别分析安全危害,找出可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并根据最大安全危害严重程度进一步确定信息系统面临的风险等级。最大安全危害(损失)结果应能够反映安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等。
根据风险分析思路,本文确定最终的风险计算方法如下。
5.4.1可能性分析
本文以威胁的统计频率、脆弱性被利用的难易程度等因素计算安全事件发生的可能性。
安全事件发生的可能性P计算方法为:
P=f(T,V)=T×V(6)
T为威胁发生的频率;V为脆弱性组的利用难易程度,本文中为上述求出的修正后问题严重程度值。
5.4.2安全事件损失分析
L=F(A,V)=A×V(7)
L为安全事件的损失;A为资产价值;V为脆弱性组对资产的损害程度。
5.4.3安全风险分析
根据下表可计算安全风险值
R=L×P(8)
R为安全事件造成的风险;L为安全事件的损失;P为安全事件发生的可能性。
5.4.4风险等级确定
根据安全风险值R确定信息系统面临的风险等级,结果为“高”、“中”或“低”。
5.5计算综合得分及结论判定
综合得分可以采取层层往上汇总的方式来得到,各层指标的分值满分以5分计,也可以直接通过措施层E层各指标的“最终得分”乘以合成权重系数直接得到。在此以合成权重方式进行计算。
考虑等级保护要求,信息系统中不准存在高风险安全风险。因此,若信息系统中存在的安全问题会导致其面临高等级安全风险,则综合得分计算公式[9]为:
S综合得分=C60-∑mj=1Sj∑nK=1Wk×12(9)
其中,S综合得分为系统安全保护能力综合得分,Sj为修正后问题j的严重程度值,Wk为测评项k的合成权重,m为安全问题数量,n为总测评项数,不含不适用的控制点和测评项。
其他情况下,综合得分计算公式[7]为:
∑nk=1Pk×Wk∑nk=1WK×20(10)
其中S综合得分为系统安全保护能力综合得分,Pk为测评项k的多对象平均分QUOTE,Wk为测评项k的合成权重,n为总测评项数,不含不适用的控制点和测评项,有修正的测评项以4.3章节中的修正后测评项符合程度得分带入计算。
等级测评结论根据综合得分计算结果进行判定。结论分为“符合”、“基本符合”或者“不符合”,判定依据如下:
1)符合:综合得分为100分。
2)基本符合:综合得分为60分(含60分)至100分(不含100分)之间。
3)不符合:综合得分低于60分。
6结语
本文采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,本文还在现有等级测评的基础上,创新性提出了从“正反”两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。
依据本文的研究成果,公安部于2014年12月31日发布了《信息安全等级保护测评报告模版(2015年版)》,通过该模版发布前十几个第三级信息系统等级测评试用以及近一年来信息系统等级测评工作使用,验证了本文研究成果的有效性,能够较科学的反映信息系统的真实安全保护状况,并且已有多家机构开发了等级测评工具。
总而言之,本文采用了量化评价方式支撑系统等级测评结论判定,有利于促进等级测评往安全措施有效性和完备性方向发展,有利于等级测评工具化,从而使得结论更客观、更有利于不同系统之间安全保护状况的比较。
参考文献
[1]赵亮.信息系统安全评估理论及其群决策方法研究[D].上海:上海交通大学,2011.
[2]GB/T 28448-2012,信息安全技术 信息系统安全等级保护测评要求[S].北京:中国标准出版社,2012.
[3]GB/T 28449-2012,信息安全技术 信息系统安全等级保护测评过程指南[S].北京:中国标准出版社,2012.
[4]GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求[S].北京:中国标准出版社,2008.
[5]符萍.电子政务系统综合评价动态指标体系构建模型研究[D].成都:电子科技大学,2006.
[6]许树柏. 层次分析原理[M]. 天津:天津大学出版社,1988.
[7]王莲芬,许树柏. 层次分析法引论[M]. 北京:中国人民大学出版社,1990.
[8]袁礼, 黄洪,周绍华. 基于层次分析法的系统安全保护能力评价模型[J].计算机仿真, 2011(5):126-130.
[9]公安部网络安全保卫局.信息安全等级保护测评报告模版(2015年版)[R],2015年,http://www.djbh.net/webdev/web/HomeWebAction.do?p=getlistHomeZxdt# .
[10]袁静,任卫红,朱建平.等级测评中关键安全保护功能有效性测评技术研究[J].信息网络安全,2013(1):2-4.
【等级保护安全设计方案】推荐阅读:
网站系统信息安全等级保护建设整改方案09-09
等级保护方案09-06
信息安全等级保护服务08-23
信息安全等级保护工作汇报的内容06-14
信息系统安全等级保护备案操作规范08-14
安机关信息安全等级保护检查工作规范05-14
信息系统等级保护测评05-17
等级保护三级信息系统和二级不同的项07-25
消防安全等级08-04