信息安全等级保护体系设计(通用8篇)
信息安全等级保护体系设计 篇1
信息安全等级保护体系设计
《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
设计思路与原则
信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则:
清晰定义安全模型;
合理划分安全等级;
科学设计防护深度;
确保可实施易评估。
具体来说:
1.清晰定义安全模型
面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。
政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。
解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。
在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架),通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。
2.合理划分安全等级
面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。
解决方法:针对保护对象和保障措施划分安全等级。
首先进行信息系统的等级化:
通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。
等级化安全保障体系为用户提供以下价值:
满足大型组织中不同分支机构的个性化安全需求;
可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;
可综合平衡安全成本与风险,能优化信息安全资源配置;
可清晰地比对目标与现状,能准确、完备地提取安全需求。
3.科学设计防护深度
面对的难题:现有安全体系大多属于静态的单点技术防护,缺乏多重深度保障,缺乏抗打击能力和可控性。
信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效,整个安全体系将会失效,从而威胁将影响到整个信息系统,后果是灾难性的。
解决方法:设计多重深度保障,增强抗打击能力。
国家相关指导文件提出“坚持积极防御、综合防范的方针”,《美国国家安全战略》中也指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。我们在设计安全体系时,将安全组织、策略和运作流程等管理手段和安全技术紧密结合,从而形成一个具有多重深度保障手段的防护网络,构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。
4.确保可实施易评估
面对的难题:许多安全体系缺乏针对性,安全方案不可实施,安全效果难以评估。我国许多安全项目在安全体系框架设计方面,由于缺乏深入和全面的需求调研,往往不能切实反映信息系统的业务特性和安全现状,安全体系框架中缺乏可行的实施方案与项目规划,在堆砌安全产品的过程中没有设计安全管理与动态运维流程,缺乏安全审计与评估手段,因此可实施性和可操作性不强。
解决方法:综合运用用户访谈、资产普查、风险评估等手段,科学设计安全体系框架,确保可实施易评估。
我们在设计安全体系时,充分考虑到了上述问题,采取如下措施:
在设计安全体系前,通过对目标信息系统的各方面进行完整和深入调研,采取的手段包括选取典型抽样节点的深入调查和安全风险评估,以及全范围的信息资产和安全状况普查。综合两种手段,得出反映现状的安全保护对象框架及下属的信息资产数据库,以及全面的安全现状报告。
在体系框架设计的同时设计工程实施方案和项目规划;安全体系本身具有非常详尽的描述,具备很强的可工程化能力。在描述安全对策时,不是原则性的,而应是可操作和可落实的。
设计方法
1.总体设计方法
设计政府/大型企业组织安全体系的具体内容包括:
安全保护对象框架
信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查,参照信息保障体系的建模方法,按照威胁分析,将信息资产划分为若干保护对象。
安全保护对策框架
信息系统安全保护对策框架是参照国内外先进的信息安全标准,参考业界通用的最佳实施,并结合大型政府/企业组织的实际情况和现实问题进行定制,对大量可行的安全对策进行等级划分。
信息系统安全体系
信息系统安全体系是以保护对象为经,以安全等级框架为纬,对保护对象逐个进行威胁和风险分析,从而形成信息系统安全体系,其表现形式示意图如图1所示。
2.等级化安全保护对象框架设计
由于政府/大型企业组织的信息系统规模庞大,各分支机构的信息系统之间存在差异,因此必须对信息系统进行抽象,形成统一的保护对象框架。
安全保护对象框架模型的设计(以银行业为例)如图2所示。
3.等级化安全对策框架设计
根据组织的特点设计和定制等级化安全对策框架,并针对组织的现状选择安全对策及其等级。
(1)安全框架层次结构和分类
大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架,分别包括一系列对策类,对策类可进一步细分对策子类,甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合,将对策分级。
(2)安全对策框架等级划分
每个安全对策可分为三个等级,每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时,可认为已达到该等级的对策。安全对策的等级划分,大体参考了GB 17859、GB/T 18336、TCSEC、SP800-53等国内外信息安全标准。不同框架的对策,参照的标准有所不同。
4.等级化安全保障体系设计
安全保障体系的深度防御战略模型将防御体系分为组织、技术和运作三个要素。信息安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。
安全策略体系指的是从信息资产安全管理的角度出发,为了保护信息资产,消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。
安全组织体系作为安全工作的管理和实施体系,主要负责安全策略、制度、规划的制订和实施,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。
安全运作体系,包括安全生命周期中各个安全环节的要求,包括:安全工程管理机制,安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分内容。
总结
等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性,需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施,并同时设计实施方案和建设规划;通过将安全体系指标和安全现状的对比,产生安全需求,并将类似的一组安全需求打包并设计解决方案;然后将一组类似的解决方案打包成可以工程化实施的项目,并通过规划,排出实施的先后顺序,从而分步进行实施。
信息安全等级保护体系设计 篇2
0、信息安全现状及原因分析
自信息化建设伊始, 每个单位都会从管理和技术两个层面重视信息化安全建设工作:在管理层面, 主要会从完善建章立制、组建管理机构、配备专业人员、落实资金投入等方面入手, 搭建起信息化安全建设的日常管理和运维架构, 为确保信息化安全提供必需的组织保障;在技术层面, 主要是从部署信息安全产品、采用最新信息安全技术等方面入手, 构建起信息化安全的基本防护体制, 为确保信息化安全提供必要的技术支撑。
通过上述两个方面的有机结合, 基本抵御住了大部分的信息安全威胁, 保障了各单位信息化的基本安全。但是, 现实情况残酷地告诉我们, 我国整体的信息化安全防护效果还是差强人意, 一些信息安全事件仍有发生, 电脑感染病毒成为“肉鸡”等安全事件不时被报道。根据《2010年全国信息网络安全状况与计算机病毒疫情调查分析报告》的不完全统计, 2009年5月至2010年5月, 54%的被调查单位发生过信息网络安全事件, 比上一年上升5%。
为什么“安全产品部署了一堆、安全制度制订了一批, 安全问题和隐患却没有得到很好地改善”的现象依然会存在呢?笔者认为主要原因在于以下两个方面:
0.1 信息安全防护能力较弱
我国信息化工程自上世纪九十年代开始建设以来整体信息化率不断提高, 信息化程度基本普及。但是信息化理论、专业人才等方面与世界平均水平还有较大差距, 特别是对信息化安全的认识严重不足, 信息化安全防护水平和能力较弱。而信息化建设是一个循序渐进的、长期发展的过程, 信息化安全防护会紧密地伴随全过程的每一个环节。要实现持续、有效的信息化安全防护, 就需要不间断的信息化投入 (包括知识技术、专业人才、专项资金等) , 但是这种投入的“投入产出比”只能通过其它部门的“收益”来间接体现, 直观上几乎感觉不到信息化投入带来的“好处”所在, 这就很大程度上制约了对信息化投入的积极性和主动性, 几乎每个单位都存在信息化投入滞后的情况, 也就一定程度上导致我国目前整体信息化防护能力较差。
但是信息化技术的发展日新月异, 新威胁、新风险不断推陈出新, 缺少必要的、及时的信息化投入将进一步削弱信息化安全防护能力。
0.2 信息安全制度执行力偏弱
信息化技术造成的危害和损失不会像火灾、台风、地震等自然灾害那样直观明了, 它只是通过应用软件的“数据异常”等现象来间接的、隐蔽的体现, 这就容易给人以错觉感——信息化系统“没有”安全问题, 也就容易给人以麻痹思想, 不能及时树立起必要的信息安全意识。而且还容易导致员工对信息安全防护措施的不理解, 甚至产生抵触情绪, 加之国人的“法规遵从”思维还未完全地建立起来, 就易造成已有的信息安全规章制度总是不能严格执行到位, 严重影响信息安全措施的实施效果和防护力度。
当然, 除此之外, 还可列举很多其它因素。但究其根本, 在于“重病毒防护, 轻安全管理”的传统信息安全防护理念和措施已经无法适应信息化技术日新月异的发展趋势, 必须从多方面入手, 建立一个涵盖信息化各层面的立体信息安全保障体系, 才能及时有效的保障当前的信息化安全。
1、信息安全保障体系概述
信息安全保障体系, 就是由信息系统、信息安全技术、人、管理、操作等元素有机结合, 能够对信息系统进行综合防护, 保障信息系统安全可靠运行、保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”的具有“WPDRR”能力的综合性信息系统防护体系。
简而言之, 这个保障体系就是以“WPDRR”模型 (即:预警Warning、保护Protect、检测Detect、响应React、恢复Restore) 为基础, 从技术和管理两个层面出发, 分“信息安全策略”、“信息安全组织”、“信息安全管理”和“信息安全技术”四个领域来制定保障信息安全的一系列规范。
1.1 信息安全策略体系, 是信息安全保障体系的核心内容, 其它各部分都是以此策略体系为目标进行建设与实施;
1.2 信息安全组织体系, 是安全工作的管理和实施体系, 监督各种安全工作的开展, 协调各部门在安全实施中的分工和合作, 保证安全目标的实现。
1.3 信息安全管理体系, 是对安全生命周期中各个安全环节的要求, 包括安全工程管理机制, 安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。
1.4 信息安全技术体系, 是信息安全保障体系的重要支撑, 是对实现信息安全的具体措施, 包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复。
通过信息安全保障体系的实施, 能够为各单位搭建起一个符合自身情况的、系统的、全面的信息安全保护体制, 能有效地提高各单位防范信息安全风险和安全隐患的能力。但是信息安全保障体系的内容比较抽象, 实施起来有些难度。如何构建一个符合自身实际状况的信息安全保障体系就成为一道摆在每个单位面前的难题。笔者认为, 借助信息安全等级保护制度不失为一条有效的、便捷的途径, 因为信息等级保护制度的内容具有很强的指导性和可操作行, 从某种程度上来说就像是信息系统安全保障体系内容的具体化体现。
2、信息安全等级保护
信息安全等级保护制度是国家根据“我国国民经济和社会信息化进程全面加快, 网络与信息系统的普及程度越来越高, 业已成为国家的关键基础设施”的现状, 为确保国家整体信息安全颁布的一系列用于指导全国各行各业信息安全保卫工作的条令条例形成的一项国家制度。
这个制度的核心是信息安全等级保护。所谓信息安全等级保护, 就是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护, 对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中发生的信息安全事件分等级响应、处置。
信息等级保护将各行各业的信息系统根据其重要性和危害性进行按等级划分, 并进行差异化等级管理, 同时从技术和管理两个方面提出了各个级别的信息系统应当具备的安全保护能力和具体的措施要求。
2.1 技术类安全要求, 通常与信息系统提供的技术安全机制有关, 主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等几个层面。
2.2 管理类安全要求, 通常与信息系统中各种角色参与的活动有关, 主要是通过控制各种角色的活动, 从政策、制度、规范、流程以及记录等方面作出规定来实现。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运行维护管理等几个方面。
3、等级保护与安全保障体系的结合
借助信息安全风险分析可知, 企业信息系统的安全需求是全方位和整体的, 需要从技术、管理等方面进行全面的安全设计和建设, 有效提高企业信息系统的防护、检侧、响应和恢复能力, 以抵御不断出现的安全威胁与风险, 才能保证系统长期稳定可靠的运行。
通过对比可以发现, 信息安全保障体系与信息安全等级保护制度的内容在技术和管理方面是互相对应的:
3.1 信息安全策略体系
信息安全策略 (或可称为安全方针) , 是一个单位结合自身情况提出来的信息安全目标、框架和总体要求, 它被用于指导信息安全工作的开展, 而且遵循动态发展的规律。而这也是信息等级保护制度的基本要求。
目前, 很多单位对制定信息安全策略 (或安全方针) 认识不足, 没有制定一套合理的、有效的信息安全策略 (或安全方针) 。即使制订了, 也没有得到很好的遵从, 而且常常是若干时间内“一成不变”, 与本单位信息化应用的更新步调和信息化安全技术的发展趋势很不匹配, 无法适应不断变化的信息安全环境, 已经成为信息化安全的一大隐患。
各单位应该按照信息等级保护制度的“管理要求”中的“安全管理制度”规定, 制定并发布符合自身现状的信息安全策略及安全方针, 并根据自身发展现状及时地评审和修订该策略。
3.2 信息安全组织体系
信息安全组织, 就是要建立一个信息安全决策、管理、执行以及监管的机构, 明确各级机构的角色与职责, 完善信息安全管理与控制的流程。
几乎每个单位都成立了一个信息安全工作的领导机构, 但由于各种原因, 很多此类机构的实际工作效率不高, 未能发挥应有的效能, 各部门的分工合作也不太顺畅, 拖累了单位整体安全目标的实现。
各单位应该按照信息等级保护制度的“管理要求”中的“安全管理机构”规定, 建立适合自身各级系统的安全管理机构, 完善岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等各项规定, 提高工作效率和监管能力。
3.3 信息安全管理体系
信息安全管理, 就是一个单位在信息安全组织、运作、技术体系标准化、制度化后形成的一整套关于信息安全的管理规定。
由于管理知识和经营理念的偏差, 很大部分单位对于信息安全工程的管理、安全风险识别和控制机制、应急响应机制等内容的理解和掌握能力较差, 抵御不断出现的安全威胁与风险的水平较低, 无法确保系统长期稳定可靠的运行。
各单位应该按照信息等级保护制度的“管理要求”中的有关规定, 大力普及信息安全知识, 增强员工信息安全意识, 提高信息系统安全建设和运维管理水平。
3.4 信息安全技术体系
信息安全技术, 是指能实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能的各种成熟的信息安全技术与产品。
由于员工素质和专业技术能力的参差不齐, 使得相当部分单位的信息化工作人员对于信息安全知识的理解不透彻, 过于依赖防火墙、防病毒系统、入侵检测系统等安全产品的部署, 而且这种部署很多时候只是简单的堆叠, 产品之间只是起到简单的“加”功效, 没有根据实际状况融合成一个整体而达到“乘”效应。
各单位应该按照信息等级保护制度的“技术要求”, 根据信息系统级别的差异, 制定合理的安全防护方案并依据方案有效规划安全产品布局, 加大安全技术和措施的融合力度, 尽可能实现安全效能的最大化。
4、等级保护实施原则
信息等级保护制度的“分级保护”原则, 有效地解决了信息安全保护“因一次性投入过大而无法及时到位”的问题, 也有效地解决了信息安全保护建设中“或者因超前建设而浪费, 或者因投入过低而不足”的现象, 实现了保护和投入的有效统一, 促进了信息安全防护能力的提高。
信息等级保护制度的“共同保护”原则, 规定了信息安全保障工作并不全部是信息系统单位自身的责任, 而是国家、行业主管、各单位本身以及社会组织共同承担的职责, 而且需要在国家有关等级保护管理机关的指导和监督下完成, 具有国家强制性的特点, 有效地解决了信息安全制度执行力偏弱的现象。
要想真正利用好等级保护制度, 在具体实施过程中需要严格遵循以下原则:
4.1 熟悉信息安全等级保护制度是基础
虽然信息等级保护制度的实施在2007年就开始启动了, 但到目前为止真正了解、理解、掌握信息等级保护制度内容的人员还不多。所以首要工作是对各单位信息部门的从业人员进行信息等级保护制度内容“扫盲”和“入门”的培训工作, 要积极通过各种形式的学习, 普及信息等级保护制度的内容, 让他们成为“握有入门钥匙”的“种子”人员, 并通过“以点带面”的方式推广信息等级保护制度。
4.2 正确的系统定级是关键
《信息系统安全保护等级定级指南》中阐述了如何对信息系统的安全级别进行定级, 并提供了量化流程和方法。各单位信息部门应该以此指南为蓝本认真研读, 结合本单位的实际情况, 制定出适合本单位现状的具体定级方法和指导意见, 并根据该具体定级方法和指导意见确定好本单位全部信息系统的正确等级。
4.3 准确的风险评估是保障
信息系统安全风险评估是指依据国家有关信息安全技术标准, 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程, 是信息安全保障体系建立过程中的重要的评价方法和决策机制。
及时准确的风险评估, 将使得各单位对其自身信息安全的状况作出准确的判断, 增强信息安全保障体系建立的准确性。
4.4 持续的信息安全建设和运维是核心
完成上述步骤后, 就可参照《信息系统安全等级保护基本要求》中针对已经确定了安全保护等级的信息系统, 提出的具体保护要求, 进行必要的信息安全建设和运行维护, 并且持续不断的完善, 这样才能真正建立起一套与本单位相适应的、完备的安全保障体系。
结束语
由于各单位业务模式和信息技术仍在不断的更新和发展, 各单位自身的信息系统始终处在不断变革的过程中, 新的安全漏洞和威胁不断出现, 信息资产仍会不断出现新的安全脆弱点, 这些因素都可能会影响到整个信息系统的安全风险状态和安全等级。所以建立一套动态的安全状况跟踪和监控机制是非常必要的。在建立等级保护体系后, 还需要一个有效的、持续性的验证方法, 才能确保信息系统在不断发展的同时保证符合信息安全等级保护制度的基本要求, 才能不断地完善信息安全保障体系。
参考文献
[1]江西省公安厅网络安全保卫总队, 《信息安全等级保护工作资料汇编》, 2009-10-15
[2]庞南、刘旸、方明, 《信息安全管理教程》, 2007-1
[3]江西神舟信息安全评估中心, 《信息安全等级保护工作实用教材》, 2011-5
信息系统安全等级保护研究与实践 篇3
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
信息安全等级保护自查项目表 篇4
一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等级保护工作责任部门 办公电话 办公电话 二级系统 移动电话 移动电话 合 计
四级系统
二、备案单位等级保护工作开展情况
(一)等级保护工作的组织部署和实施情况 序号 1-1 1-2 1-3 检 查 内 容 具 体 情 况
等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件,有关工作意见或方案的制定情况。
1-4 1-5 1-6
依据国家等级保护政策、标准规范和行业主管部门等要求,组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。
(二)信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制,系统管理员、网络管理员、安全管理 员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度,是否建立了机房进出人员 管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务 外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况,是否建立了日 常信息安全监测和预警机制。制定信息系统安全应急处置预案情况,是否定期组织开展应 急处置演练,并根据演练情况进行完善。
(三)信息系统安全等级保护定级备案情况
3-1 3-2 3-3 3-4
本单位是否有未定级、备案信息系统,已定级信息系统是否 定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备 案。信息系统所承载的业务、服务范围、安全需求等是否发生变 化,信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识,是否开 展重要信息系统相关的威胁分析和相互依赖分析。
(四)重要信息系统开展等级测评和安全建设整改情况。4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总 体部署,具体工作计划是什么? 重要信息系统等级测评和安全建设整改工作是否纳入经 费预算,如何予以保障? 是否每年对第三级(含)以上信息系统进行等级测评,开展 等级测评时,《全国信息安全等级保护测评机构推荐目录》 从 中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料;是 否与测评机构签订保密协议
并对测评过程进行监督。
4-3
4-4
4-5
是否按照国家标准或行业标准建设安全设施,落实安全措施; 是否根据等级测评结果,对不符合安全标准要求的,进一步 进行安全整改。
(五)信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品; 采用国外信息安全产品的,是否经主管部门批准,并请有关 单位对产品进行专门技术检测。本单位如采用国外信息安全产品,主要是哪几类产品,所占 比例如何? 本单位是否采用国外信息安全服务,如采用,主要是哪几个 方面,主要原因是什么? 本单位等级保护自查工作组织部署情况;如接收过公安机关 反馈意见或整改通知书,具体落实情况。重要信息系统 2011 年以来发生的重大信息安全事件(事故)等情况。
5-1
5-2 5-3 5-4 5-5
西安市信息系统安全等级保护 篇5
责
任
书
西安市公安局网安支队印制
信息系统安全等级保护
责 任 书
甲方: 西安市公安局网安支队
乙方:
为加强我市信息系统安全等级保护工作,保证信息系统安全,建设平安西安、和谐西安,依据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件精神和《信息安全等级保护管理办法》相关规定,制定本责任书。
一、双方职责及义务
(一)网安支队
按照相关法律法规赋予的职能,认真履行以下职责及义务:
1、负责西安市非涉密、非密码信息系统的安全等级保护工作;
2、负责对信息系统信息安全等级保护工作进行监督、检查、指导。审核等级保护单位填写的《信息系统安全等级保护备案表》,并对各单位提出定级建议;
3、负责对通过审核的信息系统进行备案管理。建立档案,进行备案统计,并按照国家有关规定逐级上报;
4、负责监督、检查各单位信息系统安全保护状况。依据《信息安全等级保护管理办法》规定组织运营、使用单位定期对信息系统安全等级状况开展等级测评及自查工作。对测评及自查后发现问题的单位,下发整改通知,督促其制定整改方案,整改存在问题。必要时,对整改情况组织检查;
5、负责督促从事信息系统安全等级测评的机构履行《信息安全等级保护管理办法》规定的义务;
6、负责对信息系统备案通过审核、符合等级保护要求的单位颁发信息系统安全等级保护备案证明。
7、负责定期对等保单位安全员组织信息系统安全等级保护相关知识培训。
(二)信息系统等级保护单位:
按照国家相关法律法规的规定,要认真履行以下职责及义务:
1、负责落实本单位及下属单位开展信息系统安全等级保护工作;
2、在公安机关的指导下,负责对本单位的信息系统自定等级,如实填写《信息系统安全等级保护备案表》和定级报告,到公安机关办理备案手续。建立本单位信息系统等级保护工作领导小组,并及时向公安机关部门报告领导小组人员
变更调整情况;
3、负责落实本单位的信息系统安全等级保护措施。建立健全信息系统安全保护制度及措施,及时修订信息系统安全应急方案,积极配合公安机关对本单位信息系统安全等级状况开展测评,对测评后存在的问题及时出台整改措施进行整改;
4、负责如实向公安机关提供开展等级保护工作所需要的所有文档材料。
二、双方负有的安全责任
(一)网安支队
1、指导各单位落实信息系统安全保护制度,检查各单位等级保护工作开展情况,做好信息系统安全等级保护备案工作。
2、审查等保评测机构资质,指导做好测评工作,努力减少系统漏洞。
3、查办信息系统案件。
4、依据《信息安全等级保护管理办法》,组织各单位、部门定期开展信息系统等级测评工作。
(二)信息系统安全等级保护单位
信息系统安全等级保护单位及相关人员,在公安机关指导下开展本单位信息系统安全保护工作。
1、要指定专人负责,制定并落实等保人防措施,不断完
善等等保技术手段,确保信息系统平稳、安全运行。
2、配合公安机关组织开展的信息系统测评工作,根据测评情况及时认真实施整改。
3、制定信息系统应急预案,保证系统不间断运行。
4、及时向公安机关报告本系统发生的问题,协助公安机关的查处工作。
5、做好本单位等保宣传教育工作,确保信息系统安全。
三、本责任书未尽事宜,严格按照法律法规的规定执行。
本责任书自签字盖章后两年内有效,一式两份,双方各执一份。
网安支队领导签字:
(单位盖章)(单位盖章)
年 月 日 年 月 日
信息系统安全等级保护
信息安全等级保护体系设计 篇6
送审稿
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:
——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求; ——GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南; ——GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求。
信息安全技术
信息系统安全等级保护测评过程指南 范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求 《信息安全等级保护管理办法》(公通字[2007]43号)3 术语和定义
GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD确立的以及下列的术语和定义适用于本标准。3.1
优势证据 superior evidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证明力明显大于其他测评结果的证明力的那个(些)测评结果即为优势证据。4 等级测评概述 4.1 等级测评的作用
依据《信息安全等级保护管理办法》(公通字[2007]43号),信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
在信息系统运维过程中,信息系统运营、使用单位定期委托测评机构开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。4.2 等级测评执行主体
可以为三级及以上等级信息系统实施等级测评的等级测评执行主体应具备如下条件:在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;
工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合《信息安全等级保护管理办法》(公通字[2007]43号)对信息安全产品的要求;具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。(摘自《信息安全等级保护管理办法》(公通字[2007]43号))
等级测评执行主体应履行如下义务:遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。4.3 等级测评风险
等级测评实施过程中,被测系统可能面临以下风险。4.3.1 验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。4.3.2 工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。4.3.3 敏感信息泄漏
泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。4.4 等级测评过程
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构对已经实施过一次(或以上)等级测评的被测系统的等级测评,测评机构和测评人员可以根据实际情况调整部分工作任务,具体原则见附录A。
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
4.4.1 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。4.4.2 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。4.4.3 现场测评活动 本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。4.4.4 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T DDDD-DDDD的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。5 测评准备活动
5.1 测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1:
5.2 测评准备活动的主要任务 5.2.1 项目启动
在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入:委托测评协议书。任务描述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。b)测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:项目计划书。5.2.2 信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。任务描述:
a)测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。b)测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c)测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:填好的调查表格。5.2.3 工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:各种与被测系统相关的技术资料。任务描述:
a)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b)测评人员模拟被测系统搭建测评环境。
c)准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。5.3 测评准备活动的输出文档
测评准备活动的输出文档及其内容如表1所示:
5.4 测评准备活动中双方的职责 测评机构职责:
a)组建等级测评项目组。
b)指出测评委托单位应提供的基本资料。
c)准备被测系统基本情况调查表格,并提交给测评委托单位。d)向测评委托单位介绍安全测评工作流程和方法。
e)向测评委托单位说明测评工作可能带来的风险和规避方法。
f)了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。g)初步分析系统的安全情况。h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设状况与发展情况。b)准备测评机构需要的资料。
c)为测评人员的信息收集提供支持和协调。d)准确填写调查表格。e)根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。f)制定应急预案。方案编制活动
6.1 方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图 2:
6.2 方案编制活动的主要任务 6.2.1 测评对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。输入:填好的调查表格。任务描述:
a)识别并描述被测系统的整体结构
根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并 给出网络拓扑图。
b)识别并描述被测系统的边界
根据填好的调查表格,识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。c)识别并描述被测系统的网络区域
一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d)识别并描述被测系统的重要节点
描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。e)描述被测系统
对上述描述内容进行整理,确定被测系统并加以描述。描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。f)确定测评对象
分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。g)描述测评对象
描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。
输出/产品:测评方案的测评对象部分。6.2.2 测评指标确定
根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。输入:填好的调查表格,GB/T 22239-2008。任务描述:
a)根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。
b)从GB/T 22239-2008中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为:安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T 22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。
c)对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。d)分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象,测评指标可以列出下表:
6.2.3 测试工具接入点确定
在等级测评中,对二级和二级以上的信息系统应进行工具测试,工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。
输入:填好的调查表格,GB/T DDDD-DDDD。任务描述:
a)确定需要进行工具测试的测评对象。
b)选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。c)根据测试路径,确定测试工具的接入点。
从被测系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,可以捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测试系统的主机或网络设备的安全漏洞,跨过系统边界,侵入被测系统主机或网络设备。
从系统内部与测评对象不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器,可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具,可以探测信息系统的网络拓扑情况。在系统内部与测评对象同一网段内接入时,测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器,可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说,该点扫描探测出的漏洞数应该是最多的,它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备,则可以在该接入点接入非法外联检测设备,测试各终端设备是否出现过非法外联情况。
d)结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出/产品:测评方案的测评内容中关于测评工具接入点部分。6.2.4 测评内容确定
本部分确定现场测评的具体实施内容,即单元测评内容。
输入:填好的调查表格,测评方案的测评对象、测评指标及测评工具接入点部分。任务描述: a)确定单元测评内容
依据GB/T DDDD-DDDD,将前面已经得到的测评指标和测评对象结合起来,然后再将测评对象与具体的测评方法结合起来,这也是编制测评指导书测评指导书的第一步。
具体做法就是把各层面上的测评指标结合到具体测评对象上,并说明具体的测评方法,如此构成一个个可以具体实施测评的单元。参照GB/T DDDD-DDDD,结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容;涉及到工具测试部分,应根据确定的测试工具接入点,编制相应的测试内容。在测评方案中,现场单元测评实施内容通常以表格的形式给出,表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。现场单元测评实施内容表格描述的基本格式之一为:
6.2.5 测评指导书开发 测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、充分。输入:测评方案的测试工具接入点、单元测评实施部分。任务描述:
a)描述单个测评对象,包括测评对象的名称、IP地址、用途、管理人员等信息。b)根据GB/T DDDD-DDDD的单元测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
测评项是指GB/T 22239-2008中对该测评对象在该用例中的要求,在GB/T DDDD-DDDD中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法,具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法,每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤,是按照GB/TDDDD-DDDD中的每个“测评实施”项目开发的操作步骤,涉及到工具测试时,应描述工具测试路径及接入点等;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。
c)单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,可以以测评用例的方式进行组织。
单元测评的测评指导书描述的基本格式为:
输出/产品:测评指导书,测评结果记录表格。6.2.6 测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评工具的接入点以及单元测 评实施等。
输入:委托测评协议书,填好的调研表格,GB/T 22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。任务描述:
a)根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。
b)根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
c)依据委托测评协议书和被测系统情况,估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。d)根据测评项目组成员安排,编制工作安排情况。
e)根据以往测评经验以及被测系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。在进行时间计划安排时,应尽量避开被测系统的业务高峰期,避免给被测系统带来影响。同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排。f)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
g)评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可。
输出/产品:经过评审和确认的测评方案文本。6.3 方案编制活动的输出文档
方案编制活动的输出文档及其内容如表5所示:
6.4 方案编制活动中双方的职责 测评机构职责:
a)详细分析被测系统的整体结构、边界、网络区域、重要节点等。b)初步判断被测系统的安全薄弱点。
c)分析确定测评对象、测评指标和测试工具接入点,确定测评内容及方法。d)编制测评方案文本,并对其内部评审,并提交被测机构签字确认。
测评委托单位职责:
a)对测评方案进行认可,并签字确认。现场测评活动
7.1 现场测评活动的工作流程
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。这三项任务的基本工作流程见图3:
7.2 现场测评活动的主要任务 7.2.1 现场测评准备
本任务启动现场测评,是保证测评机构能够顺利实施测评的前提。输入:现场测评授权书,测评方案。任务描述:
a)测评委托单位签署现场测评授权书。
b)召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展。
c)测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据。
d)测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
输出/产品:会议记录,更新后的测评计划和测评程序,确认的测评授权书等。7.2.2 现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。7.2.2.1 访谈
输入:测评指导书,技术安全和管理安全测评的测评结果记录表格。任务描述:
a)测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。具体可参照GB/T DDDD-DDDD中的各级要求。
输出/产品:技术安全和管理安全测评的测评结果记录或录音。7.2.2.2 文档审查
输入:安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录等过程记录文档,测评指导书,管理安全测评的测评结果记录表格。任务描述:
a)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。
b)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
c)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致。
三级:满足GB/T 22239-2008中的三级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。
四级:满足GB/T 22239-2008中的四级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。输出/产品:管理安全测评的测评结果记录。7.2.2.3 配置检查
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。b)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。c)针对网络连接,应对连接规则进行验证。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性。
三级:满足GB/T 22239-2008中的三级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。
四级:满足GB/T 22239-2008中的四级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。输出/产品:技术安全测评的网络、主机、应用测评结果记录。7.2.2.4 工具测试
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。b)备份测试结果。
下面列出对不同等级信息系统在测评实施时的不同强度要求。
一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。
三级:满足GB/T 22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
四级:满足GB/T 22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
输出/产品:技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件。7.2.2.5 实地察看
输入:测评指导书,技术安全测评的物理安全和管理安全测评结果记录表格。任务描述:
a)根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。二级:满足GB/T 22239-2008中的二级要求。
三级:满足GB/T 22239-2008中的三级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。
四级:满足GB/T 22239-2008中的四级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。输出/产品:技术安全测评的物理安全和管理安全测评结果记录。7.2.3 结果确认和资料归还
输入:测评结果记录,工具测试完成后的电子输出记录。任务描述:
a)测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
b)召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。
c)测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
输出/产品:现场测评中发现的问题汇总,证据和证据源记录,测评委托单位的书面认可文件。
7.3 现场测评活动的输出文档
现场测评活动的输出文档及其内容如表6所示:
7.4 现场测评活动中双方的职责 测评机构职责:
a)利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况,并获取相关证据。
测评委托单位职责:
a)测评前备份系统和数据,并确认被测设备状态完好。b)协调被测系统内部相关人员的关系,配合测评工作的开展。c)签署现场测评授权书。
d)相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。
e)相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。f)相关人员协助测评人员完成业务相关内容的问询、验证和测试。g)相关人员对测评结果进行确认。h)相关人员确认测试后被测设备状态完好。分析与报告编制活动
8.1 分析与报告编制活动的工作流程
在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。这六项任务的基本工作流程见图4:
8.2 分析与报告编制活动的主要任务 8.2.1 单项测评结果判定
本任务主要是针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。输入:技术安全和管理安全的单项测评结果记录,测评指导书。任务描述:
a)针对每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。
b)分析单个测评项是否有多方面的要求内容,针对每一方面的要求内容,从一个或多个测评证据中选择出“优势证据”,并将“优势证据”与要求内容的预期测评结果相比较。
c)如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。
根据“优势证据”的定义,具体从测评方式上来看,针对物理安全测评,实地察看证据相比文档审查证据为优势证据,文档审查证据相比访谈证据为优势证据;针对技术安全的其他方面测评,工具测试证据相比配置检查证据为优势证据,配置检查证据相比访谈证据为优势证据;针对管理安全测评,优势证据不确定,需根据实际情况分析确定优势证据。
输出/产品:测评报告的单元测评的结果记录部分。8.2.2 单元测评结果判定
本任务主要是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
输入:测评报告的单元测评的结果记录部分。任务描述:
a)按层面分别汇总不同测评对象对应测评指标的单项测评结果情况,包括测评多少项,符合要求的多少项等内容,一般以表格形式列出。
汇总统计分析的基本表格形式可以如下:
注:“.”表示“符合”,“.”表示部分符合,“×”表示“不符合”,“N/A”表示“不适用”。
上表中的符号即为测评对象对应的单元测评结果。测评对象在某个测评指标的单元测评结果判别原则如下:
1. 测评指标包含的所有适用测评项的单项测评结果均为符合,则该测评对象对应该测评指标的单元测评结果为符合;
2. 测评指标包含的所有适用测评项的单项测评结果均为不符合,则该测评对象对应该测评指标的单元测评结果为不符合;
3. 测评指标包含的所有测评项均为不适用项,则该测评对象对应该测评指标的单元测评结果为不适用; 4. 测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合,则该测评对象对应该测评指标的单元测评结果为部分符合。
输出/产品:测评报告的单元测评的结果汇总部分。
8.2.3 整体测评
针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。输入:测评报告的单元测评的结果汇总部分。任务描述:
a)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。b)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
c)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他区域的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
d)从安全角度分析被测系统整体结构的安全性,从系统角度分析被测系统整体安全防范的合理性。e)汇总上述分析结论,形成表格。
表格基本形式如下:
输出/产品:测评报告的整体测评部分。8.2.4 风险分析
测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
输入:填好的调查表格,测评报告的单元测评的结果汇总及整体测评部分。任务描述:
a)结合单元测评的结果汇总和整体测评结果,将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析,统计符合情况。一般可以表格的形式描述。
表格的基本形式可以如下:
b)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
c)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低。
d)综合b)和c)的结果,对被测系统面临的安全风险进行赋值,风险值的取值范围为高、中和低。e)结合被测系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
输出:测评报告的测评结果汇总及风险分析和评价部分。8.2.5 等级测评结论形成
测评人员在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
输入:测评报告的测评结果汇总部分。任务描述:
a)根据表9测评结果汇总表格,如果部分符合和不符合项的统计结果不全为0,则该信息系统未达到相应等级的基本安全保护能力;如果部分符合和不符合项的统计结果全为0,则该信息系统达到了相应等级的基本安全保护能力。
输出/产品:测评报告的等级测评结论部分。8.2.6 测评报告编制
测评报告应包括但不局限于以下内容:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中,概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据;被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容,有改动的地方应根据实际测评情况进行修改。
输入:测评方案,单元测评的结果记录和结果汇总部分,整体测评部分,风险分析和评价部分、等级测评结论部分。任务描述:
a)测评人员整理前面几项任务的输出/产品,编制测评报告相应部分。一个测评委托单位应形成一份测评报告,如果一个测评委托单位内有多个被测系统,报告中应分别描述每一个被测系统的等级测评情况。b)针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。
c)列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
d)测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
e)评审通过后,由项目负责人签字确认并提交给测评委托单位。
输出/产品:经过评审和确认的被测系统等级测评报告。8.3 分析与报告编制活动的输出文档
分析与报告编制活动的输出文档及其内容如表10所示:
8.4 分析与报告编制活动中双方的职责 测评机构职责:
a)分析并判定单项测评结果和整体测评结果。b)分析评价被测系统存在的风险情况。c)根据测评结果形成等级测评结论。
d)编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。e)评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。f)将生成的过程文档归档保存,并将测评过程中生成的电子文档清除。
测评委托单位职责: a)签收测评报告。
附录A(资料性附录)等级测评工作流程
受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。
受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。具体如图5所示:
上图是对受委托测评机构对信息系统实施初次等级测评的基本工作流程。如果被测系统已经实施过一次(或多次)等级测评,上图中的四个活动保持不变,但是具体任务内容会有所变化。测评机构和测评人员可以根据上一次等级测评中存在的问题和被测系统的实际情况调整部分工作任务内容。例如,信息收集和分析任务中,可以只收集那些自上次等级测评后有所变更的信息,其他信息可以重用上次等级测评结果;测评对象尽量选择上次等级测评中未测过或存在问题的作为测评对象;测评内容也应关注上次等级测评中发现的问题。不同等级信息系统的等级测评的基本工作活动与图5中信息系统的等级测评活动应完全一致,即:测评准备、方案编制、现场测评、分析与报告编制四项活动。由于图5给出的是较为全面的工作流程和任务,因此,较低等级信息系统的等级测评的各个活动的具体工作任务应在图5基础上删除或简化部分内容。如针对二级信息系统的等级测评,测评人员在分析与报告编制活动中可以不进行单项测评结果汇总分析,仅进行简单的汇总等。相反,较高等级信息系统的等级测评的工作任务则可以在此基础上增加或细化部分内容。如针对四级信息系统的等级测评,在测评对象确定任务中,不但需要确定出测评对象,还需给出选择这些测评对象的过程及理由等;整体测评需设计具体的整体测评实例等。
附录B
(资料性附录)测评对象确定方法 B.1 测评对象确定原则和方法
测评对象是等级测评的直接工作对象,也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件,因此,选择测评对象是编制测评方案的必要步骤,也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象的确定一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。在确定测评对象时,需遵循以下原则:
1. 恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求; 2. 重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等; 3. 安全性,应抽查对外暴露的网络边界;
4. 共享性,应抽查共享设备和数据交换平台/设备;
5. 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。
B.2 具体确定方法说明 B.2.1 第一级信息系统
第一级信息系统的等级测评,测评对象的种类和数量比较少,重点抽查关键的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 整个系统的网络拓扑结构;
3. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
4. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等; 5. 对整个信息系统的安全性起决定作用的网络互联设备,如核心交换机、路由器等; 6. 承载最能够代表被测系统使命的业务或数据的核心服务器(包括其操作系统和数据库); 7. 最能够代表被测系统使命的重要业务应用系统; 8. 信息安全主管人员;
9. 涉及到信息系统安全的主要管理制度和记录,包括进出机房的登记记录、信息系统相关设计验收文档等。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查一台作为测评对象。B.2.2 第二级信息系统
第二级信息系统的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 整个系统的网络拓扑结构;
4. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
5. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
6. 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
7. 承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库); 8. 重要管理终端;
9. 能够代表被测系统主要使命的业务应用系统; 10. 信息安全主管人员、各方面的负责人员; 11. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。B.2.3 第三级信息系统
第三级信息系统的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等; 8. 承载被测系统主要业务或数据的服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端;
10. 能够完成被测系统不同业务使命的业务应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。B.2.4 第四级信息系统
第四级信息系统的等级测评,测评对象种类上完全覆盖、数量进行抽样,重点抽查不同 种类的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房和全部辅机房(包括其环境、设备和设施等); 2. 介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 主要网络互联设备,包括核心和汇聚层交换机; 8. 主要服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端; 10. 全部应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查三台作为测评对象。附录C
(资料性附录)等级测评工作要求 C.1 依据标准,遵循原则
等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等级测评目标和内容应依据GB/T 22239-2008,对具体测评项的测评实施方法则依据GB/T DDDD-DDDD。
在等级测评实施活动中,应遵循GB/T DDDD-DDDD中规定的测评原则,保证测评工作公正、科学、合理和完善。
C.2 恰当选取,保证强度
恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。
保证强度是指对被测系统应实施与其等级相适应的测评强度。C.3 规范行为,规避风险
测评机构实施等级测评的过程应规范,包括:制定内部保密制度;制定过程控制制度; 规定相关文档评审流程;指定专人负责保管等级测评的归档文件等。
测评人员的行为应规范,包括:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价 测评结果;不将测评结果复制给非测评人员等。
规避风险,是指要充分估计测评可能给被测系统带来的影响,向被测系统运营/使用单位揭示风险,要求其提前采取预防措施进行规避。同时,测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险,尽量避免给被测系统和单位带来影响。附录D
(资料性附录)
测评方案与报告编制示例
某公司(简称“AAA”)用电信息系统承载着该公司的电力营销业务,由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,是一个安全等级为三级的信息系统。
现场测评时间为X年X月X日至X年X月X日,现场测评小组分为管理组(2人)和技术组(4人)两组,分别完成安全管理和安全技术方面的测评。D.1 测评方案编制示例 针对AAA用电信息系统的实际情况,下面从被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容以及配套的测评指导书等方面说明测评方案的编制方法。D.1.1 被测系统描述
被测系统为承载着AAA公司电力营销业务,是AAA公司的重要信息系统,其安全等级定为三级(S3A2G3)。
被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,对内有业务扩充管理、电量计量管理、电费结算、收费、统计分析等业务功能模块;对外有可以为Internet网、大客户单位、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房,其它功能区域位于中心机房。
与被测系统相连的外部连接有Internet、外联单位(包括DDN单位和PSTN用户)和控制网三处。在Internet、外联单位的边界连接处设置了防火墙;与控制网连接是通过交换机SJ6506以共用服务器方式进行的。整个网络拓扑结构示意图如图6所示。D.1.2 测评对象
根据用电信息系统的实际情况,分别确定物理安全、网络安全、主机安全、应用安全等各层面的测评对象。
a)物理方面主要是测评屏蔽机房和主机房。
b)网络方面主要测评的设备有:路由器、交换机、防火墙、IDS、外联检测、防病毒等,如表11所示。
c)主机方面主要测评的主机服务器(包括数据库服务器)如表12所示。
d)应用方面主要测评的应用系统如表13所示。
e)安全管理,主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。
D.1.3 测评指标
被测系统的定级结果为:安全保护等级为3级,业务信息安全等级为S3,系统服务安全等级为A2;则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类(G3),3级业务信息安全指标类(S3),2级系统服务安全指标类(A2),以及第3级“管理要求”中的所有指标类。本次测评的测评指标情况具体如表14所示。
D.1.4 测评工具和接入点
本次测评的信息系统为3级信息系统,根据3级信息系统的测评强度要求,在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试,功能测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。针对被测系统的网络边界和测评设备、主机和业务应用系统的情况,需要在被测系统及其互联网络中设置6个测试工具接入点――接入点JA到JF,如图7所示,“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向示意。
a)在接入点JA接入扫描器,模拟Internet用户,探测对外服务功能区上各服务器对Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。b)在接入点JB接入扫描器,模拟外联单位,探测对外服务功能区上各服务器对外联单位暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。
c)在接入点JC接入扫描器,直接测试对外服务功能区上各服务器对网络暴露的安全漏洞情况。同时,试图穿过防火墙,探测业务处理功能区上各服务器对外暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用业务处理功能区上各服务器的安全漏洞入侵服务器。d)……
D.1.5 测评内容
本次测评的单项测评从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。a)物理安全
物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。
在内容上,物理安全层面测评实施过程涉及10个测评单元,具体如表15所示:
b)网络安全
网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。
在内容上,网络安全层面测评实施过程涉及7个测评单元,具体如表16所示:
c)主机系统安全
主机系统安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统,数据库管理系统为数据库服务器Sybase。
在内容上,主机系统安全层面测评实施过程涉及7个测评单元,具体如表17所示。
d)应用安全
应用安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。
在内容上,应用安全层面测评实施过程涉及9个测评单元,具体如表18所示。
e)数据安全
数据安全测评将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。
在内容上,数据安全层面测评实施过程涉及3个测评单元,具体如表19所示。
f)安全管理部分
安全管理部分为全局性问题,涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。其中,安全管理制度测评实施过程涉及3个测评单元,安全管理机构测评实施过程涉及5个测评单元,人员安全管理测评实施过程涉及5个测评单元,系统建设管理测评实施过程涉及11个测评单元,系统运维管理测评实施过程涉及13个测评单元等。由于管理部分的测评内容在描述时差异不大,这里以安全管理制度部分为例说明。
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,具体如表20所示。
D.1.6 测评指导书
下面从被测系统的物理安全、网络安全、主机安全、应用安全等技术部分和安全管理部分分别举例说明测评指导书的格式和开发方法。a)物理安全
按照方案的要求,物理安全应测评物理位置选择(G3)、物理访问控制(G3)、防盗窃和防破坏(G3)、防雷击(G3)、防水和防潮(G3)、防静电(G3)、温湿度控制(G3)、电力供应(A2)和电磁防护(S3)等。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于温湿度控制(G3),在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。”,按照该要求在GB/T DDDD-DDDD的第三级中找到对应测评方法,然后按照该方法开发出对应的预期结果。按照上述思路,对于“温湿度控制(G3)”可以开发出如下的测评指导书。【测评项】
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。【测评实施过程】
1. 应访谈物理安全负责人,询问机房是否配备了温、湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;
2. 应访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件;
3. 应检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前实际情况相符合;
4. 应检查温、湿度自动调节设施是否能够正常运行,查看温湿度记录、运行记录和维护记录;查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。
【预期结果】
1. 执行步骤1),机房配备了温、湿度自动调节设施,在机房管理制度中规定了温湿度控制的要求,有人负责此项工作;
2. 执行步骤2),定期检查和维护机房的温湿度自动调节设施,没有出现过温湿度影响系统运行的事件; 3. 执行步骤3),有温湿度控制设计/验收文档,能够满足系统运行需要,与当前实际情况相符合; 4. 温、湿度自动调节设施能够正常运行,机房温、湿度满足GB 2887-89《计算站场地技术条件》的要求。b)网络安全
按照测评方案的要求,核心交换机SJ6509应测评网络访问控制(G3)、网络安全审计(G3)、网络设备防护(G3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于网络设备防护(G3),在GB/T 22239-2008中的描述之一为“应对网络设备的管理员登录地址进行限制”,按照该项要求找到对应测评实施(方法),然后开发出对应的操作步骤和预期结果即可。按照上述思路,对于“网络设备防护(G3)” 的一个测评项可以开发如下的测评指导书。【测评项】
应对网络设备的管理员登录地址进行限制。【测评实施过程】
1. 应检查边界和主要网络设备上的安全设置,查看是否对边界和主要网络设备的管理员登录地址进行限制;
2. 应测试边界和主要网络设备的安全设置,对网络设备的管理员登录地址进行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效。
【操作步骤】
1. 执行命令:show ip permit,查看IP地址限定情况;
2. 在业务处理功能区中,用主机192.168.1.3(限制的IP地址)试图登录SJ6509的管理界面,查看是否成功。
【预期结果】
1. 执行步骤1),系统对管理IP地址进行了限定;
2. 执行步骤2),192.168.1.3登录SJ6509的管理界面失败。c)主机安全
按照方案的要求,DB2(数据库为Sybase)应测评身份鉴别(S3)、自主访问控制(S3)、强制访问控制(S3)、安全审计(G3)、资源控制(A2)、数据备份与恢复(A2)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于身份鉴别(S3),在测评项中的描述之一为“应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,按照该项要求找到对应测评实施方法,然后开发对应操作步骤和预期结果。按照上述思路,对于“身份鉴别(S3)”的一个测评项可以开发如下的测评指导书。【测评项】
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。【测评实施过程】
应检查主要数据库管理系统,查看对管理用户的身份鉴别是否采用两个及两个以上鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合)。【操作步骤】
1. 在DB2主机上执行命令:select * from syslogins,查看是否有用户存在空口令;
2. 询问数据库管理员,除使用口令鉴别外是否采用其他的鉴别方式,如果有,则检查其是否有效。
【预期结果】
1. 执行步骤1),数据库没有空口令用户,从而说明数据库管理系统采用口令鉴别方式; 2. 执行步骤2),数据库管理系统还采取有其他的鉴别方式,并且有效。d)应用安全和数据安全
按照方案的要求,业务应用程序(用户自主开发)应测评身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(G3)、通信完整性(S3)、通信, 保密性(S3)、抗抵赖(S3)、软件容错(A3)、资源控制(A3)、数据备份与恢复(A3)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于通信保密性(S3),在测评项中的描述之一为“应对通信过程中的整个报文或会话过程进行加密。”,按照该项要求找到对应测评实施方法,然后开发出对应操作步骤和预期结果。按照上述思路,对于“通信保密性(S3)”的一个测评项可以开发如下的测试用例。【测评项】
应对通信过程中的整个报文或会话过程进行加密。【测评实施过程】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应测试主要应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能是否有效。
【操作步骤】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应采用协议分析工具测试应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,是否对整个报文或会话过程进行加密,加密功能是否有效。
【预期结果】
1. 执行步骤1),业务系统采用了保密措施,且能具体说明保密措施;
2. 执行步骤2),协议分析工具看到的数据包进行了加密,且加密方法符合国家规定,时有效的。e)管理安全
管理安全部分在测评时可以按照GB/T DDDD-DDDD中介绍的测评实施过程在现场直接实施使用。对于系统运维管理中的密码管理“应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品”的要求可以编制如下的测评指导书。【测评项】
应建立密码使用管理制度,使用符, 合国家密码管理规定的密码技术和产品。【测评实施过程】
1. 应访谈安全员,询问密码技术和产品的使用是否遵照国家密码管理规定; 2. 应检查是否具有密码使用管理制度。
【预期结果】 1. 执行步骤1),密码技术和产品的使用遵照国家密码管理规定; 2. 执, 行步骤2),有密码使用管理制度。
D.2 测评报告编制示例
等级测评报告一般包括:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等内容。下面主要举例说明整体测评和整改建议这两部分内容。D.2.1 整体测评 a)物理层面
1. 由于屏蔽机房位于主机房内部,其唯一出口也在主机房内,因此,对其物理层面的安全要求中的物理访问控制、防盗窃和防破坏的测评项可以通过关联互补关系得到 补充。2. ……
综合以上测评分析过程,可以得到如表21物理层面的整体测评结果(安全控制间、层面间和区域间):
b)网络层面
1. 外联功能区拨号路由器DW3600上基本没有直接采取较好的拨号访问控制措施,只是对用户进行了固定IP地址分配。但是,由于在防火墙DW208FW上,严格限定了拨号接入IP地址的用户的访问范围,从而可以弥补这部分功能。2. 外联功能区的6台路由器DW3600在网络设备防护的用户身份认证方面,存在口令不强、未限制管理员登录地址等方面问题,但是,由于这些设备都没有开放网络管理(TELNET/HTTP等),全部采取通过本地串口方式来管理,而其又是存放在主机房中,因此,其网络设备防护安全控制可以通过物理的相关措施(物理访问控制、防盗窃和防破坏等)得到增强。
3. 对外服务功能区的网络安全审计功能没有采取单独的设备来完成,其网络流量、用户行为等的监测、记录功能是通过网络入侵防范安全控制的IDS来协助完成的。
4. 网络安全审计设备IDS具有对部分病毒、蠕虫攻击的检测识别能力,可以部分弥补恶意代码防范功能,因为,防病毒网关只对邮件数据进行病毒过滤。5. …….综合以上测评分析过程,可以得到如表22的测评结果:
c)系统结构测评分析
在信息系统整体结构的安全性方面,从被测系统的网络拓扑结构示意图来看,该网络系统虽然有多处相对独立的出口,但是这些出口除到控制网外的连线都集中到防火墙DW208FW,因此,从在网络结构上,不存在出口过多的问题;对外服务功能区上防病毒服务器a(拓扑图上未标出)使用双网卡方式工作,一边连接内部网络,一边连接对外服务功能区,通过防火墙DW208FW上网升级,这在安全上是不可取的,外部用户一旦控制防病毒服务器a,则可通过双网卡直接进入信息系统的内部网络功能区域,对信息系统的安全构成严重威胁。
从被测系统的网络拓扑结构示意图来看,内部网络划分了多个功能区域,这些功能区域之间采取了网络访问控制措施,即使是内网用户也只能访问到应用处理功能区上的服务器主机,而不能直接访问数据存储功能区的数据库服务器。这种保护方法符合纵深防御的要求,重点突出,能较好地解决一些安全问题。D.2.2 整改建议
a)安全建议(网络安全部分)1. 主要问题
.没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要,可以方便工作人员掌握网络的整体情况,便于网络故障的排除,便于网络安全设备的策略配置等;
.没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定,有助于防止地址欺骗。
2. 立即整改
需要立即整改的安全建议如下:
.应根据当前运行的网络拓扑情况,绘制与实际网络相一致的网络拓扑结构图,以便于工作人员掌握网络结构的整体情况;
3. 持续改进
需要持续改进的建议如下:
.对重要网段采取网络层地址与数据链路层地址绑定措施,防止地址欺骗;.购置并在适当网段部署防病毒网关。
b)安全管理方面 1. 主要问题
.与安全管理制度相配套的总体信息安全策略还没有正式制定,且有部分管理制度没有制定,如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领,对机构近期和远期的安全规划起着重要的指导作用。
没有方针性文件的指引和统一规划,机构的信息安全工作则会有工作方向不明确的问题;
.对信息安全关键岗位的人员管理缺乏更细粒度的要求。没有明确对这些岗位的人员是否有区别于其他岗位的更严格的录用要求、日常信用审查等管理要求。
关键岗位所从事的工作是信息安全工作的重中之重,加强对这些岗位人员的管理,对做好信息安全工作起到了关键的作用。
2. 改进建议
.进一步完善安全管理文件体系,尽快制定信息安全总体政策、方针文件,并进一步补充、完善、细化各类管理制度,如工程安全实施管理制度、系统交付管理制度等,从而形成高层策略文件、各类管理制度、具体操作规程和各类操作记录等四层塔式管理文件体系;
信息安全等级保护体系设计 篇7
关键词:广播中心,播出网,安全防护
0 引言
广播中心播出网主要实现音频节目、广告的自动化编排和播出等功能, 网络化制播环境为广播中心带来高效流畅的业务优势, 也带来了信息安全的难题。按照《广播电视相关信息系统安全等级保护基本要求》 (GD/J 038-2011) 和《信息安全技术信息系统等级保护安全设计技术要求》 (GB/T 25070—2010) , 播出网的安全防护体系应从基础网络、边界、计算环境等方面进行设计, 并配置有效的安全管理中心, 保证播出网安全可靠的运行。
1 基础网络安全
基础网络安全主要包括网络结构安全和网络设备防护。
网络结构安全首先要依据所处理的业务以及业务流程对整个网络进行子网划分。由于在同一网段上, 计算机通信的寻址是采用广播方式, 所以如果网段规划不合理, 侦听、重放、插入攻击等会导致数据的机密性和完整性被破坏, 同时还存在广播风暴的风险, 导致网络通信效率下降。各子网可划分为同一安全域, 也可划分为不同的安全域。安全域是实施同一安全策略的区域, 安全域划分根据应用系统处理业务的需要和同类数据信息的流动范围确定, 需要进行相同安全保护的同类数据信息或同类服务功能在同一个安全域中进行存储、传输处理等。
播出网一般分为主播业务域、备播业务域、播出监控域和安全管理域。其中主播业务域部署播出服务器等核心业务服务器, 实现节目播出和控制的信息系统;备播业务域部署播出站、编排管理工作站、素材播放站等, 为播出进行节目准备的信息系统;播出监控域部署监测服务器, 对节目播出进行监控和管理的信息系统;安全管理域部署日志审计、数据库审计、运维审计、安全管理中心等, 对播出网进行安全监控和管理的信息系统。一般通过核心交换机划分VLAN的方式来实现同一安全域内重要网段与其它网段之间的逻辑隔离, 通过汇聚交换机上部署ACL实现各网段、各安全域之间的访问控制。为保证核心、汇聚设备具备足够的数据处理能力, 要保证网络设备的业务处理能力和网络带宽具备冗余空间, 满足业务高峰期需要。
网络设备防护一般从以下几个方面进行:
1. 网络设备对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别, 也可通过运维审计实现双因素认证, 防止恶意入侵或人为破坏。
2. 采用HTTPS、SSH等安全的远程管理手段, 防止用户身份鉴别信息在网络传输过程中被窃听。
3. 交换机应控制用户对资源的访问, 关闭不必要的服务和端口, 防范对网络的攻击。
4. 每个网络管理员具有不同的权限, 实现特权用户的权限分离。
5. 网络设备通过SNMP V3 协议提供网络设备的监控与管理接口。
2 边界安全
网络边界是信息安全最关键的一道防线。一般在网络边界设置安全设备, 包括防火墙、边界隔离防护 (IPS、网闸等) 以及基于网络的入侵检测、漏洞扫描及恶意代码防范等。一是对外部的访问进行过滤和控制, 防止网络外部的入侵;二是对内部向外传输的数据信息进行安全检查, 防止内部信息的泄露;三是防止内部人员违规访问外部网络。
1. 部署基于状态检测的防火墙进行安全访问控制, 控制粒度限制到访问源/ 目的IP地址、目的端口和协议。
2. 部署媒体交换网关以信息摆渡的方式实现协议转换和对文件格式的过滤, 只允许XML和S48 等媒体文件格式的文件通过;采用广播专用数据接口和通讯协议实现安全数据交换, 如仅开放Web Service数据库访问接口、FTP上传/ 下载文件接口和播放控制接口等;采用非TCP/IP协议的方式进行音频文件和数据的交换。
3. 部署UTM安全网关, 开启双向防护, 实现网络边界对恶意代码的检测和清除, 防范计算机病毒传播、阻断蠕虫攻击、控制网络非法流量、入侵防护等, 以有效保护内部网络的安全运行。
4. 部署IDS作为防火墙的有效补充, 实时检测网络流量, 监控外部用户行为, 并对违反安全策略的流量和访问及时报警。
3 计算环境安全设计
计算环境的保护涉及操作系统、数据以及应用程序。
1. 操作系统安全主要解决进程控制、内存保护、对资源的访问控制、用户标识与鉴别机制等。按照等级保护要求, 高级别信息系统 (第三级以上) 的操作系统要达到标记安全保护级。因此应采用主机加固的方式实现操作系统的强制访问控制 (MAC) , 只允许安全标识的程序启动和应用, 从而保证操作系统级的安全。
2. 数据安全一是对用户数据进行加密, 二是对文件完整性进行检查, 三是数据备份和恢复。播出网的应用程序应支持加密技术的使用, 特别是身份鉴别信息在传输过程中应采用加密技术;文件完整性是对制作系统到播出系统传输的音频文件通过MD5 或其它检验技术进行完整性检查, 当发现音频文件与原来不同时, 可以采用重传或其他机制保证音频文件不被篡改;数据备份的目的是要保护数据的完整性和可用性, 重要数据建议完全数据备份每周一次, 增量备份或差分备份每天一次, 备份介质存放在数据运行所在场地外, 有条件的单位对重要信息进行异地灾备, 保证极端情况下能够实现备份业务应用的及时切换。
3. 应用安全保护主要包括应用程序的评估和测试两个方面。应用软件的评估是将软件的功能与安全策略相比较, 查找出可能违背安全策略的机制;应用程序的测试是确定程序的正确性和排除程序中的安全隐患。对于多数播出单位来说, 由于不掌握程序源代码, 只能进行“黑盒”测试, 即对程序进行模拟攻击, 以发现其存在的漏洞和错误。
4 安全防护设计涉及的技术手段
4.1 用户身份鉴别
身份鉴别是对信息系统访问者身份合法性的确认, 是对其访问权限进行分配与管理的前提, 是审计功能及用户数据保护的先决条件。身份鉴别通常在用户登录 (连接) 到系统时进行, 当一个已经登录的用户由于某些原因中断与系统的连接或需要重新连接时, 需要重新进行鉴别, 防止非法用户以假冒的身份进入系统。
目前常用的用户鉴别技术主要有:口令鉴别、生物特征识别和数字证书等。播出服务器、接口服务器、播出数据库采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。用户鉴别信息应是不可见的, 需要进行加密存储。
4.2 访问控制
访问控制分为自主访问控制和强制访问控制。
4.2.1 自主访问控制
自主访问控制是用户所创建的文件的访问权限由用户自己来控制, 系统通过设置的自主访问控制策略为用户提供支持, 体现了用户对自身创建文件的自主访问控制能力。广播中心一般在播出站、工作站、数据库服务器、非接口类服务器上采用自主访问控制。
1. 播出站、工作站应对域控账户严格设置, 域帐户密码应启用复杂度限制, 并设置定期更换时间。对系统账户权限进行细粒度控制, 各部门用户只能访问到权限范围内的相关资源, 此策略由系统管理员制定, 以达到自主访问控制的目的。
2. 播出网的数据库账号要有复杂度限制, 不要让sa账户的密码写于应用程序或脚本中。数据库管理员应定期查看是否有不符合密码要求的账号, 并严格限制分配给用户访问数据的权限。
3. 播出网中非接口类服务器登录应用时应通过统一身份认证系统进行集中的用户管理和授权管理, 账号信息应集中存储在LDAP服务器中, 通过统一身份认证系统门户进行单点登录。
4.2.2 强制访问控制
强制访问控制是建立在对主、客体进行安全标记的基础上的访问控制机制。强制访问控制是系统中的主体和客体的访问操作权限不是由哪一个用户确定的, 而是按照访问控制策略来确定, 并且与访问控制相关的权限改变也不是由客体创建者用户自己决定的, 而是由系统安全员通过对相关数据的改变而实现的。强制访问控制策略是以一组数据结构和一组规则组成, 这组数据结构就是用来描述访问者主体和被访问者客体与访问控制有关的安全属性的数据, 通常称其为“标记信息”或“敏感标记”。而规则是通过对该组数据执行确定的操作程序实现的。当有访问要求时, 通过调用该程序执行即可确定是否允许进行该次访问操作。
首先确定播出系统中编排管理、素材播放、广告审批、播出监测等关键业务流程中所有主体和客体, 然后根据业务系统的需要, 结合客体资源的重要程度确定系统中所有客体资源的安全级, 生成客体标记列表。根据用户在业务系统中的权限和角色确定主体的安全标记, 生成主体标记列表;根据系统需求和安全状况授予用户访问客体资源能力的权限, 生成强制访问控制列表和特权列表;根据业务系统的需求生成和执行主体相关的策略, 包括强制访问控制策略及级别改变检查策略等, 供业务系统执行。在播出网中, 一般在服务器上通过部署操作系统加固软件来满足安全标记和强制访问控制的要求。主体分析如表1 所示。客体分析如表2 所示。
根据对播出系统的主、客体分析, 结合业务需求, 分析主体对客体的访问控制权限定义如表3 所示。
4.2.3 其他访问控制
播出网依据安全策略控制用户对资源的访问, 禁止通过USB、光驱等外设进行数据交换, 关闭不必要的服务和端口等实现访问控制。根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予管理用户所需的最小权限。重命名Windows系统默认帐户, 删除过期的账户, 实现服务端访问控制。
为了保证终端、服务端设备的安全, 通过配置终端安全管理系统控制网络准入, 防止非法终端接入网络, 控制非法外联和网页访问, 避免网络滥用, 对终端进行远程监控和访问控制, 避免遭受攻击和对外发起攻击。
4.3 安全审计
安全审计就是对信息系统中有关安全的活动进行记录、检查及分析, 审计记录包括事件的日期和时间、事件类型、客户端IP地址、描述和结果等。审计为系统进行事故原因查询、定位, 为事故发生前的预测、报警以及事故发生之后的实时处理提供依据和支持, 能够有效追查事件发生的地点、过程以及责任人。
播出网中的服务器等要开启安全审计策略, 交换机、防火墙、IDS、UTM安全网关、媒体交换网关等要开启安全审计策略, 也可部署运维审计系统, 对播出网的网络设备、安全设备、主机设备进行运维操作时, 通过运维审计系统跳转到主机, 从而对运维人员进行身份认证、访问控制、授权等进行审计;应用系统日志保存应用程序产生的记录, 如用户操作 (登录、重要业务操作等) ;数据库审计记录数据库的操作, 以及数据库系统资源的异常使用和重要系统命令的使用等。数据库本身具备审计功能, 但开启后对性能影响较大, 因此建议在播出网中通过旁路部署数据库审计产品进行数据库日志的审计, 将数据库服务器VLAN中的数据以镜像方式发送到数据库引擎的采集端口。
4.4 入侵防范
入侵者通常利用信息系统的漏洞进行入侵, 获取信息系统的数据信息, 或者对数据信息和信息系统服务功能进行破坏。在网络边界主要通过入侵检测系统的部署, 实时监控进出网络的数据流, 对入侵行为进行告警。入侵检测系统内置病毒检测引擎和病毒库, 从而将病毒检查、入侵检测整合在一起, 对通过此边界的数据进行病毒检查, 这在病毒开始传播的初期能够起到很好的监控作用, 避免病毒的大范围扩散。同时也可通过漏洞扫描系统, 定期对播出网内的网络设备、安全设备、主机设备的脆弱性进行评估, 及时更新系统补丁, 修复漏洞, 从而实现入侵防范。
4.5 通信完整性
系统应用软件是通过网络与最终用户之间传递数据, 为了防止数据在传输时被修改或破坏, 通信双方利用校验码技术或密码算法 (如利用Hash函数计算通信数据的散列值, 并用非对称加密算法对散列值进行加/ 解密) 来保证数据的完整性。
4.6 软件容错
容错是指计算机系统在运行过程中发生一定的硬件故障或软件错误时仍能保持正常工作而不影响正确结果的一种性能或措施。应用系统应提供自动保护功能, 当故障发生时自动保护当前状态, 保证系统能够进行恢复。
4.7 资源控制
为防止部分用户登录业务系统进行操作后, 忘记退出系统而提供了其他非授权用户利用的可能性, 要求应用软件应在通信双方中的一方在一段时间内 (具体时间可以根据实际情况定制) 未作任何响应, 另一方自动结束会话。
5 安全管理中心设计
安全管理中心是对信息系统的计算环境、区域边界和通信网络的安全机制实施统一管理的平台, 是实现等级保护体系的重要支点, 具备系统管理、安全管理、审计管理、事件管理、风险管理、设备监控等功能。建立安全管理中心有利于对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理, 从而能够进行有效控制, 及时发现存在的问题。
安全管理中心部署日志审计系统, 通过采集器实现信息资产 (网络设备、安全设备、主机、应用及数据库) 的日志获取, 并通过预置的解析规则实现日志的解析、过滤及聚合;通过通信服务模块实现采集器与平台间的通信, 将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理;通过关联引擎的内置关联规则, 实现各资产间的关联分析;通过平台管理模块实现对播出网内的网络设备、安全设备、主机设备和应用系统的运行状态实时监控, 实现解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索等;根据播出网安全审计的需求, 定制安全审计报表, 可以直接地看到资产、风险、脆弱性、事件和设备的分布以及趋势, 将系统的主要统计数据显示在报表上, 便于播出网管理层及时了解播出网安全状况。
安全管理平台应提供相应接口, 能够支持常见的安全产品和网络产品, 同时还应支持主机系统和应用系统。安全管理平台接口方式如表4 所示。
6 结束语
播出网信息安全技术防护体系除对上述方面进行设计外, 还应提高播出网应用软件及各安全组件自身的安全性、可靠性, 避免应用软件自身的弱点与缺陷被利用, 这样才能更加彻底的消除或遏制安全隐患, 达到预期的安全目标。
参考文献
[1]GD/J 038-2011.广播电视相关信息系统安全等级保护基本要求[S].
信息安全等级保护体系设计 篇8
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息安全等级保护体系设计】推荐阅读:
信息安全等级保护服务08-23
信息安全等级保护管理办法11-28
信息安全等级保护工作汇报的内容06-14
信息系统安全等级保护备案操作规范08-14
安机关信息安全等级保护检查工作规范05-14
网站系统信息安全等级保护建设整改方案09-09
关于印发《关于信息安全等级保护工作的实施意见》的通知10-24
二甲中医院评审医院信息系统安全等级保护工作实施方案10-23
等级保护安全设计方案06-10