時間:2023-09-20 16:57:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全等級測評,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】 云安全模型 信息系統 安全等級保護 測評 研究
實踐中可以看到,云安全技術具有較強的技術要求,尤其是物理資源、網絡、主機以及應用和數據信息安全。云計算中心以虛擬技術居多,基于等級保護之要求,對云計算信息系統難以開展安全等級保護測評,具有非常重要的作用。
一、云安全服務模型
云產品在部署模型、服務模型以及資源物理位置和管理屬性方面,呈現出較大區別的形態模式,安全風險特征、控制職責范圍也存在著較大的差異性。基于此,需基于安全控制角度健全和完善云計算模型, 實現云服務架構到安全架構的有效映射,從而為風險識別、決策以及安全控制提供重要參考。
基礎設施即服務,其主要有計算機網絡設施、網絡設備、主機以及服務器等硬件平臺;在基礎設施建設過程中,首先是將硬件資源抽象起來,并且將這些資源有效的納入到基礎設施邏輯節點之中,向用戶提供可統一編程應用程序接口,然后讓用戶通過應用程序對應用程序編程接口調用,從而實現物理設備的相互應用。對于IaaS層而言,其關注的主要安全問題是網絡基礎設施環境、物理、環境、主機以及網絡連接設備和系統虛擬化等方面的安全。
對于云安全管理中心而言,基于云安全服務所提出的云安全管理概念,對用戶、安全事件以及資產等進行統一監管,集中審計分析研究;同時,通過高效化、專業化支撐平臺,以及先進的監測工具,預警安全事件,并且及時對安全狀態進行掌控,從而發現基于云計算環境的病毒傳播、網絡攻擊以及異常行為等事件,為應急響應、預警和事件調查提供技術方面的支撐;同時,還要采取有效的主動防護措施保護用戶數據信息,并且對云計算中心進行全面安保。
二、基于云安全模型的信息安全等級測評
所謂云安全模式下的信息安全等級測評,主要是基于云安全中心模型、云安全服務模型以及云安全領域的不同要求,得出一個安全模型,并且在信息安全等級保護基礎上確定其所處位置。云安全模型的一端與等級保護技術要求相連接,另一端則與等級保護管理要求相連接。實踐中,通過云安全信息中心建模操作,全面分析安全模型下的云安全核心基礎,并且得出安全等級測評模型,以此來開展相關測評工作。基于以上分析,筆者認為將在云安全模型中有效的嵌套云安全等級保護建模,即可實現與云信息安全等級相關的測評操作,對安全模型下的控制項實施細粒度分析。
云認證及其授權:對于云認證、授權而言,其重點在于全面查看登錄認證、程序運行授權、服務認證以及敏感文件授權等事項。云訪問控制過程中,基于訪問控制模型對是否為強制訪問、自主訪問以及角色型訪問控制進行確定,以便于能夠采用不同的方式和方法對其進行有效的分析。對于云安全邊界與隔離而言,主要是全面了解安全隔離機制、安全區域劃分以及硬件安全技術支撐等問題。對于云安全存儲而言,可將數據信息存儲成加密格式,而且用戶需將數據信息獨立出來,區分開來。在惡意代碼防范過程中,可了解是否有惡意代碼檢測、攻擊抵御策略。同時,還要具備安全管理功能,對所有物理/虛擬硬件、軟件以及網絡資源等加強管理,管理測評要求與等級保護管理要求應當保持一致。對于網絡安全傳輸而言,主要了解計算機網絡安全傳輸采用加密的方式與否。對于網絡配置及其安全策略而言,應當使訪問控制、資源分配確實有效,而且還要以統一、安全可靠的方式進行定義,并且有效解 決、執行實踐中的相應安全策略。
結語:總而言之,云安全快速發展的條件下,基于云安全模型的信息系統安全等級保護方法也在不斷的完善,如何應當云計算虛擬化技術的漏洞以及數據泄露和共享訪問模式問題,成為需要深化研究的要點。
參 考 文 獻
[1] 邱建勛. 信息系統安全等級保護定級方法的思考[J]. 數字與縮微影像,2012(04)
【 關鍵詞 】 等級保護;等級測評;質量控制
1 引言
近年來,隨著等級保護工作的深入開展,我國相繼出臺了一系列等級保護法律法規體系和標準規范體系,中國石化根據國家等級保護政策和技術標準,結合企業特點,在不低于國家標準的基礎上,編寫了企業行業標準,形成了企業等級保護標準體系。對等級保護五個基本動作(信息系統定級、備案、安全建設整改、等級測評、安全檢查環節)進行了針對性指導。其中《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》、《信息系統安全管理測評》 、《中國石化集團信息系統安全等級保護管理辦法》等技術標準,對等級測評的主要原則和主要內容,測評基本流程、過程分類、記錄文檔、測評報告等進行了具體規范。就目前研究成果來看,我國還沒有形成以等級測評為主體的質量管理體系與技術標準,缺乏針對等級測評活動質量控制的方法研究。本文從研究《信息系統安全等級保護基本要求》、《中國石化集團信息安全等級保護基本要求》、《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》等管理規范和技術標準入手,對等級測評活動的質量控制進行分析,提出了相應的工作方法和控制措施,基本滿足了等級測評活動公正性、客觀性和保密性對質量控制的需求。
2 等級測評活動的質量控制需求
等級測評活動是測評機構依據等級保護相關的政策法規、管理規范和技術標準,檢測評估信息系統安全等級保護狀況是否達到相應等級基本要求的過程,為石化行業等單位進行信息系統等級保護安全建設整改和國家監管部門依法行政管理提供決策依據,是落實信息安全等級保護制度的重要環節。等級測評活動不同于一般的風險評估和安全評價,是政策性、專業性很強的技術活動。對等級測評活動實施質量控制的目的,就是建立和完善等級測評質量管理體系,通過質量方針目標、管理制度、控制程序等系列管理措施,對等級測評活動實施全過程實施質量控制,保證測評活動中引用的政策法規、技術標準正確,測評方法科學,測評過程可控,測評行為規范,測評結論客觀真實。要求等級測評人員在測評活動中,不但要正確理解和把握等級保護相關的政策法規、管理規范和技術標準,保證等級測評過程的合規性,還要通過職業道德規范教育和測評行為約束,保證等級測評結論的公正性、客觀性。
3 等級測評機構的質量管理體系結構
等級保護政策法規、管理規范和技術標準,對等級測評的原則、內容、過程、方法以及測評強度的要求,體現了對等級測評活動實施質量控制的思想。《信息安全等級測評機構能力要求》要求等級測評機構建立、實施和維護符合等級測評工作需要的文件化的質量管理體系。要求體系文件以制度、手冊、程序等形式執行,并應建立執行記錄,為等級測評活動質量控制提出了基礎框架結構。
等級測評機構的質量管理體系結構和控制措施主要包括四個層次的內容。
第一層指導性文件:依據等級保護政策法規體系、技術標準體系和等級測評機構能力要求,制定等級測評機構質量管理體系,確立質量方針和工作目標,指導測評活動。
第二層控制性文件:根據測評活動要求,建立保密管理制度、項目管理制度、質量管理制度、人員管理制度、教育培訓制度、設備管理制度、申訴、投訴和爭議管理制度等,對等級測評活動管理目標進行控制。
第三層操作性文件:依據等級測評管理目標,建立和完善相應的《合同評審控制程序》、《文件記錄控制程序》 、《管理評審控制程序》、《技術評審控制程序》、《測評設備控制程序》、《測評過程控制程序》、《風險控制程序》、《保密控制程序》、《人力資源管理與教育培訓程序》、《糾正和預防措施控制程序》、《申訴、投訴及爭議處理控制程序》、《客戶滿意度管理程序》等操作性文件,對等級測評活動過程和環節進行控制。
第四層保證性文件:建立健全各項質量記錄表單,制定測評機構禁止行為和測評人員職業道德規范,對等級測評結論的公正性、客觀性、保密性進行控制。
4 等保測評過程中的質量控制
《 信息系統安全等級保護測評過程指南》將等級測評過程劃分為測評準備、方案編制、現場測評、分析與報告編制四個活動階段。測評過程質量控制強度與質量管理體系各要素之間的關系如表1所示。
4.1 測評準備活動的質量控制
4.1.1 項目啟動活動的質量控制
依據《合同評審控制程序》組織有關管理、技術人員和法律顧問召開合同評審會議,對測評雙方需要簽訂的委托協議或合同書進行評審。根據雙方簽訂的委托協議或合同書,組建等級測評項目組,按照測評活動實際要求進行人員、設備、資金等資源配置。項目組設置質量管理和技術管理部門,明確責任權限,以滿足測評活動的技術和質量管理要求。
依據《 信息系統安全等級保護測評過程指南》和《測評過程控制程序》編制《項目計劃書》。
4.1.2 信息收集和分析活動的質量控制
依據《測評過程控制程序》編制《基本情況調查表》,收集和分析被測信息系統等級測評需要的各種資料,包括各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。通過現場調查和工作交流等方式詳細了解被測系統狀況,明確等級測評的工作流程及可能帶來的風險和規避方法,為編制等級測評實施方案做好準備。
4.1.3 工具和表單準備活動的質量控制
測評人員依據《測評過程控制程序》要求,搭建模擬系統測試環境,按照測評機構《測評設備控制程序》調試各種必備的測試工具,并按照《文件記錄控制程序》準備現場測評授權書、文檔交接單、會議記錄表單、會議簽到表等表單。
4.2 方案編制活動的質量控制
4.2.1 測評對象、測評指標、測試工具接入點、測評內容的質量控制
測評人員根據已經了解到的被測系統信息,按照《測評過程控制程序》規定的方法和步驟,分析整個被測系統及其涉及的業務應用系統,確定出本次測評活動的測評對象、測評指標、測試工具接入點、測評內容等,并以表單的形式進行具體描述。
4.2.2 測評指導書開發、測評方案編制的質量控制
測評人員按照《測評過程控制程序》要求和測評活動內容開發測評指導書、編制等級測評實施方案。
測評指導書由測評機構按照《技術評審程序》進行技術評審,評審合格后項目技術主管簽字,并按照控制范圍分發、管理。
等級測評實施方案由項目經理按照《技術評審程序》組織雙方測評人員和專家小組成員進行技術評審,評審合格的等級測評實施方案,提交石化單位代表簽字確認,按照《文件記錄控制程序》、《保密控制程序》進行和管理。
4.3 現場測評活動的質量控制
4.3.1 進場前的準備活動的質量控制
按照《測評過程控制程序》要求組織召開首次測評會議,測評雙方人員溝通等級測評實施方案,簽署現場測評授權書,做好現場測評準備。
4.3.2 現場測評和結果記錄、結果確認活動的質量控制
測評人員進入測評現場測評時,按照《測評過程控制程序》填寫《現場測評登記表》,詳細填寫出入現場時間、測評工作內容、測評前后的信息系統安全狀況,并由石化單位配合人員現場簽字確認。
嚴格按照測評指導書和等級測評實施方案確定的過程和方法進行現場測評,通過人員訪談、文檔審查、配置檢查、工具測試和實地察看等方法,測評被測系統的保護措施情況,獲取現場測評證據,并按照《文件記錄控制程序》要求填寫《現場測評記錄表》。
現場測評活動中,及時匯總現場測評記錄和發現的問題,對遺漏和需要進一步驗證的內容實施補充測評,測評記錄由測評雙方測評人員現場簽字確認。
現場測評完成后,測評雙方人員召開現場測評結束會,對現場測評工作進行小結,將現場測評中發現的問題形成書面報告,并由雙方代表簽字確認。
現場測評活動中產生的所有現場測評結果記錄以及石化單位提供的信息資料,均按照《文件記錄控制程序》、《保密控制程序》進行管理,嚴格限制他們的知曉和使用范圍。
4.4 分析與報告編制活動的質量控制
4.4.1 測評結果判定、整體測評、風險分析、等級測評結論形成的的質量控制
測評人員依據《信息系統安全等級保護基本要求》、《中國石化集團信息系統安全等級保護基本要求》、《信息系統安全管理要求》、《信息系統通用安全技術要求》等相關技術標準,按照《測評過程控制程序》規定的方法、步驟,對測評指標中的每個測評項測評記錄,進行客觀、準確地分析,形成初步單項測評結果,并以表單形式給出。按照《測評過程控制程序》要求匯總單項測評結果,分別統計不同測評對象的單項測評結果,從而判定單元測評結果,并以表格的形式逐一列出。測評人員針對單項測評結果的不符合項,采取逐條判定和優勢證據的方法,從安全控制間、層面間和區域間出發,對系統結構進行整體安全測評,給出整體測評的具體結果。采用風險分析的方法分析等級測評結果中存在的安全問題及可能對被測系統安全造成的影響。在此基礎上,找出系統保護現狀與等級保護基本要求之間的差距,形成等級測評結論。
結論形成后,測評雙方有關人員和技術專家按照《技術評審控制程序》對形成等級測評結論進行評審,評審通過的結果判定由測評雙方授權代表簽字確認。
本過程產生的文檔資料,按照《文件記錄控制程序》、《保密控制程序》進行分類授權使用和管理。
4.4.2 測評報告的編制和分發的質量控制
測評機構按照《信息安全等級測評報告模板(試行)》格式編寫報告文檔。
測評雙方有關人員和專家召開等級測評末次會議,按照《管理評審控制程序》、《技術評審控制程序》對等級報告格式、內容和結論進行評審,評審通過的測評報告文檔,按照《文件記錄控制程序》蓋章、編號,并由測評機構項目經理、質量主管、技術主管聯合簽發。
測評人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發等級測評報告,交接有關資料文檔,刪除測評設備產生的電子數據。
5 結束語
本文依據等級保護相關的政策法規、管理規范和技術標準,結合等級測評活動的公正性、客觀性、保密性的要求,對等級測評活動的質量控制進行了分析,為等級測評機構建立質量管理體系和等級測評質量控制提供了借鑒和參考。隨著等級保護政策法規和標準規范的不斷更新和完善,等級測評活動的質量控制還有待更深入全面的探討和研究。
參考文獻
[1] GB/T 28448-2012 信息安全技術 信息系統安全等級保護測評要求.
[2] GB/T 28449-2012 信息安全技術 信息系統安全等級保護測評過程指南.
[3] 中華人民共和國公共安全行業標準(GA/T713-2007).信息系統安全管理測評.
[4] 中國石化集團信息系統安全等級保護管理辦法.
[5] GB/T 22239-2008 信息系統安全等級保護基本要求[S].
[6] 中國石化集團信息系統安全等級保護基本要求.
[7] 信息安全等級測評機構能力要求(試行).
[8] GB/T20271-2006 信息安全技術 信息系統通用安全技術要求[S].
[9] 公信安[2009]1487號.關于印發《信息系統安全等級測評報告模板(試行)》的通知.
[10] 郝文江,武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全,2012,(01):5-9.
[11] 韓水玲,馬敏,王濤等.數字證書應用系統的設計與實現[J].信息網絡安全,2012,(09):43-45.
[12] 常艷,王冠.網絡安全滲透測試研究[J].信息網絡安全,2012,(11):3-4.
1.1物理環境安全分析
信息中心機房安全對醫院信息系統異常重要,它是承載整個信息系統的基礎條件,直接影響信息系統能否正常工作。同時,中心機房工作環境影響設備能否長期正常工作。根據調查,機房環境溫度每上升1度,計算機系統壽命減少一半;機房濕度低容易產生靜電,大量靜電容易損壞電路芯片,濕度太高容易腐蝕元器件等。從信息系統安全等級保護要求來看,物理環境安全分為設備物理安全、環境物理安全、系統物理安全三大方面。其中,設備物理安全主要包括靜電放電、電磁輻射騷擾、電源適應能力等21項具體要求;物理環境安全主要包括場地選擇、機房防火、機房屏蔽、供電系統、溫濕度控制等19項具體要求;系統物理安全主要包括:災難備份與恢復、防止非法設備接入、防止設備非法外聯等6項具體要求。
1.2網絡安全分析
在醫療行業中大家對網絡安全普遍的認識是以防火墻加防病毒來進行網絡安全防護,但事實上網絡安全問題涉及的內容很多。隨著醫院網絡整體應用規模的不斷擴大,大規模DOS侵入、黑客攻擊、蠕蟲病毒、外來工作人員等因素導致網絡安全環境日益惡化,現有安全技術手段逐漸暴露出安全防護力度不夠,強度不高等問題,由于網絡安全引發重要數據的丟失、破壞,將造成難以彌補的損失,嚴重影響到醫院網絡的正常運行。從等級保護要求方面,網絡安全應該從身份鑒別、自主訪問控制、強制訪問控制、安全審計、可行路徑、防抵賴等11個方面的進行安全防護建設和防護。
1.3主機安全分析
主機是醫院信息系統的主要承載硬件設備,其安全性不言而喻,主機安全主要涉及:身份鑒別、訪問控制、審計安全、入侵防范、資源控制等。影響主機安全的主要因素來源于兩方面:一方面是針對操作系統的后門、木馬與病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務攻擊等方面;另一方面是針對數據庫的審計記錄不足、拒絕服務、數據庫通訊協議泄露、身份驗證問題等方面。
1.4數據安全分析
數據庫是醫院信息系統數據存儲的核心,從某種意義上說,醫療數據安全是醫院信息安全的最主要防護重點,是整個安全防護的最重要核心。數據涉及到信息覆蓋面廣,數據量大,信息種類繁多,要保持每天24小時不間斷運行[2],一旦數據破壞或丟失,都會給醫院造成不可估量的損失。
1.5應用安全分析
眾所周知,我國信息安全采用信息安全等級保護制度,按照應用系統的安全等級進行劃分,應用系統是等級保護的核心,所處的IT環境包括主機、數據庫、網絡傳輸、物理等,這些因素從客觀上增加了應用系統的安全風險,這些風險是必然存在的。應用系統從自身架構上基本包含數據采集、數據處理與匯總分析、人機界面以及各層之間的API接口,這些組成部分從主觀上增加了應用系統本身的安全風險,而應用系統本身安全又包括應用系統架構設計安全、模塊間數據通訊安全、數據存儲安全設計、訪問控制、身份認證等主要方面,因此每個層面都需要在系統設計時進行安全考慮和設計。
2醫院信息安全防護措施
2.1加強安全意識教育
人是信息安全環節中最重要的因素[3],既是信息安全最大的防護者,也是信息安全問題的制造者。不僅要加強醫務人員和信息管理人員自身的信息安全教育,同時也要提高信息安全意識。要做到思想上認識到信息安全工作的重要性,進一步確立信息化條件下醫院信息安全防護的指導思想。通過開展信息安全教育,把人員思想與單位制定的信息安全標準、規范、制度等緊密結合,高度統一。建立健全信息安全教育相關培訓制度和機制。
2.2建立完善的安全管理體系
加強醫院信息系統安全防護制度建設、加強和建立技術防護規劃和體系建設、建立人員安全防護體系、建立資產管理體系。形成制度、技術、人員管理和資產管理相結合的立體安全防護體系。信息安全工作要根據醫療行業、軍隊、國家的相關信息安全要求,從信息安全工作的宏觀出發,著手微觀。宏觀上要制定總體方針和安全策略,建立起整套的信息安全管理機構。微觀上要制定信息安全管理機構的工作目標、工作的邊界、工作的原則、建立信息系統安全域以及信息系統的安全框架。完善安全管理活動中的各類安全防護標準、制度、規范以及工作流程。應設立專門的安全崗位并確定職責,應成立指導和管理信息安全工作的領導小組,其最高領導由單位主管領導委任或者授權。同時,應根據國家和行業的信息安全要求,例如:信息安全等級保護、風險評估等建立起適合本醫院的信息安全等級保護制度基線。從應用系統定級到測評和改造建立起一套行之有效、適合自身的等級保護測評制度和流程,形成完善的信息安全生命周期環,使醫院信息安全建設能夠伴隨著應用系統建設不斷滾動健全。
2.3建立完善的安全技術體系
我國信息安全等級保護要求,以信息系統作為定級和保護對象,從物理安全、網絡安全等5個層面進行了不同等級間、細顆粒度的具體要求。醫院信息系統按照信息安全等級保護標準進行安全防護建設,從機房和網絡的公共基礎安全防護到數據和應用的系統化安全防護,醫院信息系統安全防護主要分為以下幾個環節進行防護:
2.3.1物理防護層面
機房屬于信息安全等級保護中規定的物理部分,它承載著應用系統所依賴的IT硬件環境,因此機房位置的選擇至關重要,從等級保護測評細項上要求機房所在樓宇需要對防震、防雨、防風等進行強度要求。同時為避免內澇和雷擊的危險,機房要求避免設置在地下或者頂層。同時,機房是IT資產的重要區域,要求相關人員進出要有門禁控制和相應的音視頻監控,對出入人員進行鑒別、控制、記錄。在物理機房防護上還應注意防火、防盜竊和防破壞等。具體措施可根據醫院實際情況進行整改建設。
2.3.2網絡防護層面
網絡是整個信息化工作的高速公路,承載著各種業務。目前各醫院醫療工作基本實現無紙化,醫療數據傳遞依靠網絡系統,一套業務處理能力強、帶寬高且有冗余的網絡系統才能夠滿足醫療業務高峰需求。應根據應用需求建立網絡安全訪問路徑,對客戶端和核心服務器間進行路由控制,對不同醫療部門根據工作職能、重要程度和信息敏感性等要素劃分不同的網段,并對不同網段按照重要程度劃分安全域。根據醫療業務、管理業務等系統進行數據流向的訪問控制,建立端口級的細粒度控制。應能夠對網絡系統中的流量、設備狀態,用戶訪問行為進行控制和記錄,并能夠根據記錄數據進行分析,生成審計報表。對非授權設備私自連到內部網絡的行為進行檢查,并確定位置,進行有效阻斷。應能夠在檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、目的、時間等,在發生嚴重入侵事件時進行入侵報警進行防范。同時,還要在網絡邊界處對惡意代碼進行檢測和清除,做到邊界層的惡意代碼防范。
2.3.3主機安全防護層面
應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別,要有防假冒和偽裝的功能,針對登錄失敗要具有結束會話、限制非法登陸次數和自動退出等措施。應對管理用戶進行三權分立設置,根據管理用戶的角色分派權限,實現管理用戶的權限分離。應能夠對服務器和重要客戶端上的每個操作系統用戶和數據庫用戶進行審計,進行防抵賴等功能設計,杜絕管理人員帶來的安全風險,應能對主機進行入侵防范,在遭到攻擊時能夠記錄入侵源IP、攻擊類型等。應對主機進行惡意代碼防護,并與網絡惡意代碼防護采用不同的惡意代碼庫。應對服務器主機資源包括CPU、硬盤、內存、網絡等資源使用情況進行監視。
2.3.4數據安全層面
應能夠保證數據的完整性、保密性、可用性。對醫療數據在傳輸和存儲過程中能夠檢測到數據完整性是否受到破壞。應對重要業務數據進行時間小顆粒度的數據備份,同時要做到異地數據備份和備份介質場外存放。要采用冗余技術設計網絡拓撲,避免關鍵節點、數據節點存在單點故障[4]。同時應對數據所承載網絡設備、通信線路和數據處理系統進行硬件冗余,保證系統的高可用性。
2.3.5應用安全層面
1.1信息安全保護等級的劃分
影響信息系統安全保護等級的確定因素主要取決于信息系統在經濟社會和國家安全中的重要程度以及被破壞后對經濟社會、組織群眾利益的危害程度。信息系統安全保護等級一共被劃分為以下五個等級:第一級:用戶自主保護級信息系統受到攻擊破壞,由此導致相關組織機構以及人民群眾利益受損,但是對社會的穩定、集體的利益以及國家的安全沒有危害。此類信息的重要性以及保護方式全部取決于用戶自己的選擇。第二級:系統審計保護級信息系統受到攻擊破壞,由此不僅導致相關組織機構以及人民群眾利益受到很大的損傷,同時還危及到社會的穩定和集體的利益,但是不危及到國家安全。第三級:安全標記保護級信息系統受到攻擊破壞后,對社會的穩定和集體的利益產生了非常大的危害或者對國家安全產生嚴重威脅。此等級不僅具備系統審計保護級的全部信息保護功能,同時還會強制對系統的訪問者及其訪問對象進行控制和記錄,對其行為進行監督與審計。第四級:結構化保護級由此導致相關組織機構以及人民群眾利益受到極大的損傷或者對社會的穩定和集體的利益以及國家安全產生了極大的危害。第五級:訪問驗證保護級信息系統受到攻擊破壞,由此導致國家安全受到極其嚴重的危害。此級別功能最全,除具備上述所有級別功能外,對系統加設了訪問驗證保護,以此不但記錄訪問者對系統的訪問歷史,還對訪問者的訪問權限進行設置,確保信息被安全使用,保障信息不外泄。
1.2信息安全等級的劃分
對于一些需要特殊保護和隔離的信息系統,如我國的國防部、國家機關以及重點科研機構等特殊機構的信息系統,在進行信息安全保護時,要嚴格按照國家頒布的關于信息安全等級保護的相關政策制度以及法律法規的規定要求對信息系統進行等級保護。根據需被保護的信息的類別和價值的不同,通常其受到保護的安全等級也不同。此舉目的為在保護信息安全的同時降低運作成本。
2信息安全等級保護的基本要求
信息安全等級保護的基本要求分為技術和管理兩大類。技術部分是要求在信息安全保護過程中采取安全技術措施,使系統具備對抗外來威脅和受到破壞后自我修復的能力,主要涉及到物理、網絡、主機、應用安全和數據恢復功能等技術的應用。管理部分是要求在信息系統的全部運行環節中對各運行環節采取控制措施。管理過程要求對制度、政策、人員和機構都提出要求,涉及到安全保護等級管理、工程建設管理、系統的運行與維護管理以及應急預案管理等管理環節。
3信息安全等級保護的方法
3.1信息安全等級保護流程
信息安全等級保護涉及到多個環節,需要各相關部門共同參與,合力完成。安全等級保護的環節大體上分為以下九步:(1)確定系統等級作為實現信息等級保護的前提,確定信息系統的安全保護等級是必不可缺的步驟。用戶要嚴格按照國家規范標準給所使用的信息系統科學確定等級。(2)等級審批信息系統主管部門對信息系統的安全等級進行審批調整,但調整時要按照規定,只能將等級調高。(3)確定安全需求信息系統的安全需求可反映出該等級的信息系統普遍存在的安全需求。信息系統在確定安全需求時要依賴該系統的安全等級,但因為信息系統普遍存在可變性,因此用戶在確定安全需求時還要根據自身實際情況確定自己系統的安全需求。(4)制定安保方案當信息系統的等級和安全需求確定后,針對已掌握情況制定出包括技術安全和管理安全在內的最佳安全保護方案。(5)安全產品選型安全產品的選擇直接決定了安全保護工作是否能夠成功實現。因此在安全產品的選擇過程中,不僅要對產品的可信度和功能進行認真審查,還要求國家相關部門監管產品的使用情況。(6)安全測評測評的目的在于確定系統安全保護的實現,以保證信息安全。若測評不能達到預期目標,要及時進行重新調整。(7)等級備案安全保護等級在三級以上的信息系統,其用戶和運營商需要向地市級以上公安機關備案。跨地域的信息系統的備案由其主管部門在當地同級公安機關完成,分系統的備案由其用戶和運營商完成。(8)監督管理信息系統的監管工作主要是監督安全產品的使用情況,并對測評機構和信息系統的登記備案進行監管。(9)運行維護該環節主要目的在于通過運行確定系統的信息安全,還可以重新確定對產生變化的信息系統的安全保護等級。以上環節在實現信息系統的安全等級保護過程中極其重要,不可跨環節、漏環節操作。
3.2信息安全等級保護的方法
信息安全等級保護分為物理安全保護和網絡系統安全保護兩類。對于物理安全保護,又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面:對于主機房等場所設施來說,要做好安全防范工作。采用先進的技術設備做到室內監控、使用用戶信息登記、以及自動報警系統等。記錄用戶及其訪問情況,方便隨時查看。對于需要考慮的物理安全方面:對于主機房以及重要信息存儲設備來說,要通過采用多路電源同時接入的方式保障電源的可持續供給,謹防因斷電給入侵者制造入侵的機會。根據安全保護對象的不同,有不同的保護方法。具體方法如下:(1)已確定安全等級系統的安全保護對于全系統中同一安全等級的信息系統,對于任何部分、任何信息都要按照國家標準采取統一安全保護方法給其設計完整的安全機制。對于不同安全等級的分系統,對其上不同的部分及信息按照不同的安全要求設計安全保護。(2)網絡病毒的防范方法計算機病毒嚴重威脅到計算機網絡安全,所以防范病毒的入侵在信息系統安全保護過程中是非常重要的步驟。運用防火墻機制阻擋病毒入侵,或者給程序加密、監控系統運行情況、設置訪問權限,判斷是否存在病毒入侵,及時發現入侵的病毒并予以清除,保障計算機信息系統的安全。(3)漏洞掃描與修復方法系統存在漏洞是系統的安全隱患,不法分子常會利用系統中的漏洞對系統進行攻擊破壞。因此要經常對計算機進行全面的漏洞掃描,找出系統中存在的漏洞并及時修復漏洞,避免給不法分子留下入侵機會。漏洞的修復分為系統自動修復和人工手動修復兩種,由于多種原因,絕對完善的系統幾乎不存在,因此要定期對系統進行漏洞掃描修復,確保系統的安全。
4結束語
【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理,2014年,我國成立了以主席為最高領導的信息安全管理機構-中央網信辦;2016年11月,在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為,為求現有的網絡系統能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。
信息系統是由硬件、軟件、信息、規章制度等組成,主要以處理信息流為主,信息系統的網絡安全備受關注。企業在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下,分布實施,開展各項安全工作。
目前,大多數企業的信息安全工作比較單一,主要是部署安全防護設備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴格
考慮到方便記憶和頻繁的登錄操作,企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象,并且基本不設定管理員的權限,默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數據泄露,系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號,設定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術,不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術的發展,信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷,攻擊系統軟件、硬件和數據,進行非法操作,造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件
攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯網企業的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料;優盤未經殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統賬號、密碼粘貼在辦公桌上;在系統建設階段,大到管理者,小到開發人員、測試人員,均注重技術實現和業務要求,而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。
1.4 內部管理制度不完善
俗話說,“不以規矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規程,可能導致信息安全管理制度體系存在疏漏,部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障,進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中,開發人員會因為各種原因而忽略安全開發(存在開發人員沒有意識到代碼安全開發的問題;有些開發人員不愿意使用邊界檢查,怕影響系統的效率和性能;當然也存在許多遺留代碼存在問題的現象,從而導致二次開發同樣產生問題),可能導致系統存在后門,被黑客攻擊。
2 防范措施
企業需依據《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下,對企業信息系統的安全進行測評,并出具相應測評結果。根據測評結果和整改建議,采用相應的技術手段(安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統進行整改。如圖1所示。
2.1 技術手段
2.1.1 安全認證
身份鑒別是指在計算機系統中確認執行者身份的過程,以確定該用戶是否具有訪問某種資源的權限,防止非法用戶訪問系統資源,保障合法用戶訪問授權的信息系統。凡登錄系統的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(認證技術)如表1所示。
不同的認證技術,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。
2.1.2 入侵檢測
入侵檢測能夠依據安全策略,對網絡和系統進行監視,發現各種攻擊行為,能夠實時保護內部攻擊、外部攻擊和誤操作的情況,保證信息系統網絡資源的安全。入侵檢測系統(IDS)是一個旁路監聽設備,需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,從而掌控整個信息系統安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對目標系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同,分為基于網絡的和基于主機的系統安全掃描,可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監控管理
網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲,在網絡關鍵點接入監控工具監測當前網絡數據流量,分析可疑信息流,通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理;可以分析網絡流量;可以對服務器上運行的服務和進程進行自動監控,并在故障發生時及時告警;可對VOIP的相關參數進行監控;可以通過直觀的網絡控制臺管理整個IP架構;可快速檢測、診斷及解決虛擬化環境的網絡性能;強大的應用程序監視、告警、報告功能等。
2.1.5 數據備份與加密
企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲,防止黑客攻擊系統,輕易獲得敏感數據,造成公司的重大經濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。
除了對數據進行加密存儲外,由于存在數據丟失、系統斷電、機房著火等意外,需對系統數據進行備份。按照備份環境,備份分為本地備份和異地備份;按照備份數據量的多少,備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。
2.2 管理措施
2.2.1 安全團隊
企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加,話語權在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓
保護企業信息安全,未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化,樹立員工信息安全責任心,是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內部預防企業安全事件的發生,提高企業的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此,企業需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發,可靠運維。安全管理制度作為安全管理體系的綱領性文件,在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時,可根據自身情況,采取不同的方法,一般經過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續改進)。可依據ISO27000,信息安全等級保護等,從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成,如圖2所示。
3 結語
國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式,規范企業的信息安全建設工作。同樣,信息安全工作長期面臨挑戰,不能一蹴而就,需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).
[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
對系統自我定級
長城資產管理公司是國有獨資的金融企業,在業務高速發展的同時,一直非常重視信息安全體系的建設,早期已經部署了 “老三樣”信息安全產品,即網絡防病毒、防火墻和網絡入侵檢測產品,對保障業務系統的安全正常運轉起到了重要作用。
公司綜合經營管理系統經過四期建設,實現了數據集中和管理集中,為公司收購、管理與處置政策性不良資產以及商業化經營等業務的順利開展提供了完整的業務操作平臺。
根據《信息系統安全等級保護定級指南》中對信息系統的要求,長城資產管理公司考慮到綜合經營管理系統是公司的核心業務系統,一旦受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,因此,公司確定首要的工作是設定系統的保護級別。經過綜合審核,最終將系統保護級別定為3級,并形成了等級保護定級報告,這在資產管理公司里屬于首家。
對定級進行測評
系統定級之后,公司做了備案,同時申請等級保護的主管單位進行現場測評。北京等級保護辦公室作為這次測評的主管和實施單位,根據等級保護3級基本要求對綜合經營管理系統進行測評。現場測評工作主要包括跟綜合經營管理系統相關的各個層面,在網絡層面進行網絡設備安全配置檢查和安全系統部署;在主機層面進行主機系統的安全配置檢查和數據庫系統安全檢查;在數據安全方面進行了數據完整性、機密性和可用性的檢查;在管理方面進行安全策略、安全組織以及人員的檢查,同時對信息部門領導和相關人員以及公司的人力資源部門相關人員做了詳細的訪談。涉及方面之廣,檢查粒度之細都是其他專門的安全項目所無法比擬的,對公司整個信息安全建設指明了方向,細化了要求,加強了安全體系建設,提升了人員的信息安全意識,規范了信息安全工作流程。
但是,在現場的測評工作當中也出現了一些問題,主要來自兩方面:一是發現了公司在信息安全建設中的“短板”,明確了工作重點和方向;二是發現基本要求中的個別條款的要求過于“苛刻”――單純從技術上來看是可行的,但是如果結合公司的業務,就不是特別合理,因為需要對現有運行的業務進行很大的改造,甚至涉及到對底層操作系統的改造。
最后,在北京等級保護辦公室的監督、指導下,公司加強了安全管理,調整個別不符合項目,最終通過了等級保護3級測評。
建設等級保護平臺
信息安全等級保護建設背景
信息安全等級保護制度是我們國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
2011年,原衛生部了《關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函〔2011〕1126號)。針對醫療衛生行業的信息系統,原衛生部辦公廳于2011年下發了《衛生行業信息安全等級保護工作的指導意見》(衛發辦〔2011〕85號)要求三級甲等醫院的核心業務信息系統信息安全等級保護定級不低于第三級,并且要求2015年12月30日前完成信息安全等級保護建設整改工作,并通過等級測評。
醫療行業面臨的主要風險
1.醫療行業特點
隨著我國醫療衛生事業的迅速發展,醫學科學的不斷進步,醫藥衛生事業體制改革的逐步深入,醫院生存和發展的外部環境和內部機制都發生了很大的變化。當今計算機信息和網絡通信技術的深入發展為提高醫院管理水平創造了良好的條件,醫院信息化建設也因此逐漸在我國各級醫院中迅猛發展。目前醫療行業信息化有如下特點:系統運行連續性要求高,要求7×24小時不間斷服務;網絡間斷時間不允許超過2小時;信息高度集成,所有信息需要集中使用;異構系統多,系統復雜度高;系統間接口復雜,涉及廠家多;系統內存儲資料價值較高,存儲著醫院大量運用數據,其中包含大量患者隱私;存儲的數據內容本身具備法律效力;核心網絡采用網絡物理隔離。
2.信息系統的威脅來源
信息系統的威脅來源主要可以分為兩個方面,一個是環境因素造成的威脅,另一個方面是人為因素造成的威脅,而人為因素所帶來的損失往往是不可估量的。
在環境因素方面,威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害,以及軟件、硬件、數據、通訊線路等方面的故障。
在人員因素方面又可以分為有意和無意兩種情況,對于有意而為之的人,通常指惡意造成破壞的人,懷不滿情緒的或有預謀的內部人員對信息系統進行惡意破壞,采用自主或內外勾結的方式盜竊機密信息或進行篡改,獲取利益。而外部人員也可以利用信息系統的脆弱性,對網絡或系統的保密性、完整性和可用性進行破壞,以獲取利益或炫耀能力。對于無意的情況來說,通常指管理人員沒有意識到問題或者沒有盡心盡責的工作。例如,內部人員由于缺乏責任心,或者由于不關心或不專注,或者沒有遵循規章制度和操作流程而導致故障或信息損壞;內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊。
3.信息系統負面影響
醫院內部的信息系統如果受到威脅、入侵或被破壞等,會給國家、醫院以及人民的利益帶來嚴重的影響。
系統如果出現宕機的現象,首先會造成患者情緒激動,耽誤治療流程,甚至會威脅到患者生命的安危。其次會造成門診業務人員、主治醫生、護士等工作人員的工作慌亂,甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領導、醫院院長電話問詢,信息中心則會電話不斷、手忙腳亂。醫院業務停頓,從經濟上受損失,而媒體也會曝光醫院,使得醫院信譽受損。
如果醫院信息系統的內部信息丟失,則會造成員工信息被公開、患者信息泄露等風險。例如,據《勞動報》報道,一名負責開發、維護市衛生局出生系統數據庫的技術部經理利用工作之便,在2011年至2012年4月期間,每月兩次非法進入該院數據庫,偷偷下載新生兒出生信息并進行販賣,累計達到了10萬條,給醫療衛生行業帶來了嚴重的負面影響。
信息安全等級保護建設體系
由于醫院信息系統復雜的特點、面臨的威脅及產生負面影響的嚴重性,醫院開展信息安全等級保護建設工作就尤為重要,急需一套適合醫院的等級保護安全防御體系。
信息安全等級保護體系主要包括技術與管理兩方面,在安全技術方面包括:物理安全、網絡安全、主機安全、應用安全、數據安全;在安全管理方面包括:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理。這10個方面里每一項都有若干控制項,順利通過測評至少要達到控制項的80%以上(表1)。
如表1所示,控制項中G表示基本要求類,三級必須達到G3標準;S表示業務信息安全類,A表示系統服務保證類,三級標準中S與A任選一項達到三級即可。
根據信息安全等級保護標準,我院主要建設經驗如下:
1.信息安全技術
(1)物理安全:數據中心機房是物理安全的核心,機房的裝修工程、動力配電系統、空調新風系統、消防系統、綜合布線系統等均需按照A級機房標準進行建設。此外,日常的管理工作也尤為重要,在物理權限控制方面應配備門禁系統,并且應做到兩種或兩種以上的身份識別機制,如指紋加密碼或IC卡加密碼等。環境監控方面除了每天定時的人員巡檢還應在機房及各設備間部署監控系統,利用傳感器監控溫濕度、漏水、電壓、設備狀態等信息,一旦發生異常通過短信及時告知機房管理人員。
(2)網絡安全:按照等級保護思路進行安全域的劃分,將不同級別的信息系統通過防火墻和網閘進行隔離,根據每個安全域的特點設定不同的安全策略。服務器安全域制定細粒度訪問控制列表,僅開放必要的端口,并在旁路架設網絡流量審計設備和入侵檢測系統,對所有流量進行記錄及審計,能夠及時發現攻擊行為;客戶端安全域制定網絡準入和非法外聯策略,禁止未經授權的計算機隨意接入醫院網絡,并且通過管理軟件和網閘控制內網的計算機隨意訪問外網或互聯網;架設安全管理域,該區域主要用于對網絡設備、服務器、安全設備的管理,并集中收集設備的日志,及時通過分析日志發現安全隱患。
(3)安全:服務器進行統一安全策略的制定,部署網絡版殺毒系統、補丁分發系統、入侵防范系統等,并結合服務器承載的業務特點制定詳細的資源控制列表,按照最小授權原則,授予最低資源訪問權限。
(4)應用安全:部署數據庫審計系統,對所有流經數據庫的網絡流量進行數據分析,制定審計策略,發生違規數據操作及時通過短信報給安全審計人員;同時部署CA數字簽名系統,醫生通過USBKEY進行系統登錄,并對其所有操作進行數字簽名,有效保證了應用系統的安全性及數據的不可抵賴性。
(5)數據安全:利用專業的數據備份軟件在異地部署數據備份中心,對各系統數據庫和文件繼續高頻率集中加密備份,并且應至少六個月進行一次數據還原演練,保證在出現問題是可以有效進行恢復。
2.信息安全管理
(1)安全管理制度:從醫院層面制定信息安全管理制度,對信息安全制度進行重新整理修改,規定信息安全的各方面應遵守的原則、方法和指導策略,指定具體管理規定、處罰措施。制度應具備可操作性,同時應由專人負責隨時進行修正,并由信息安全領導小組進行評審,最終進行。
(2)安全管理機構:組織建立信息安全工作領導小組,設置信息安全管理崗位,設立獨立的系統管理員、網絡管理員、安全管理員、安全審計員等崗位,制定各崗位的工作職責,與各崗位相關人員簽署保密協議。同時制定溝通協作機制,內部定期組織會議進行信息安全工作部署,外部每日向公安局上報備案信息系統的安全情況,與數據庫、存儲、網絡設備、安全設備等廠商簽署協議,提供所有設備的備機備件,每月進行設備巡檢,并要求在發生緊急事件時及時到場提供技術支持。
(3)人員安全管理:在人員錄用方面,嚴格審查人員的背景、身份,并簽署保密協議,人員離崗時執行離崗流程,各部門主管負責回收本部門負責的相關權限,所有權限回收后方可辦理離職手續。同時定期對人員進行相關培訓,每周進行一次內部培訓,每年進行兩次外部培訓。對于外部廠商人員,其對設備的相關操作均需進行審批流程,并通過技術手段記錄所有操作行為,做好操作記錄,并不定期進行行為審計。
關鍵詞:證券行業信息安全網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3IT治理方面
整個證券業處于高度信息化的背景下,IT治理已直接影響到行業各公司實現戰略目標的可能性,良好的IT治理有助于增強公司靈活性和創新能力,規避IT風險。通過建立IT治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業,當前我國證券業企業的IT治理存在的問題:一是IT資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數指標;是lT治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5IT人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業IT隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有IT人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任,IT隊伍建設是行業信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業IT治理工作
2.2.1提高IT治理意識
中國證券業協會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領導的IT治理培訓,將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設立IT治理試點形成以點帶面的示范效應
根據IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以COBIT模型、ITFL模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lT人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
【 關鍵詞 】 信息安全;企業管理;績效考核
1 引言
經過近幾年的發展,中國鐵建股份有限公司(以下簡稱中國鐵建)的信息化工作全面展開,眾多信息化項目的實施,大量信息系統的上線應用,有力地促進了企業核心競爭力的提升。
隨著信息系統不斷建成與投入應用,信息資源擁有量快速增長,對信息安全的保障需求日顯強烈,信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據國內外成熟的信息安全標準和方法,結合企業業務發展戰略和企業特點,構建符合本公司業務實際和安全需要的信息安全管控體系,全面提升信息安全保障能力,并取得了初步效果。另外,信息安全等級保護制度作為國家在信息安全保障管理上的根本制度,具有強制性的特征,也要求企業認真加以貫徹落實。
在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執行,成為亟待需要解決的問題。
為此,結合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點,經過初步探索,將信息安全指標納入了中國鐵建信息化績效評價體系,與各子分公司領導考核掛鉤,從“信息安全事故”和“等級保護”兩個維度、四項指標,通過定量對比分析,對各單位的信息安全工作進行評價,以推進信息安全持續改進。
2 考核原則
(1)公開、公平、公正。嚴格按照考核細則對被考核單位,在公開、公平、公正的環境中,進行客觀的評價。
(2)實事求是。被考核單位應如實反映信息安全工作情況,提供的相關資料和數據真實可信。
(3)遵循規劃、貫徹制度、檢查效果、保障安全。考核指標的提出以信息安全規劃、制度為依據,重點在信息化建設效果并保障信息安全。
(4)區別對待,逐步演進。根據子公司規模、成長階段、業務特點的不同,區別對待;根據信息安全建設重點,不同年度有不同的考核重點,逐步演進。
3 考核指標
中國鐵建大量的信息系統處于建設時期,因此每年對指標進行調整。目前,根據信息系統等級保護評價指標體系的原則要求, 選擇具有可操作性、可以量化的指標,從信息安全事故和信息系統安全等級保護兩個維度,信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。
3.1 信息安全事件
信息安全事件及分級以中國鐵建《信息安全事件管理規定》定義為準。信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
指標要點
(1)信息系統安全事件級別的確定。從類別劃分,信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種;從級別劃分,信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。
(2)信息安全事件的瞞報。對于發生信息安全事件后,隱瞞事故,在規定時限內不主動向上級部門如實報告的情況,除扣除其該項考核成績外,按照股份公司有關規定進行通報并嚴肅處理;對多次發生信息安全事件的單位,將加強監督檢查,并責令其徹底整改。
3.2 等保定級率
考核年度在建至驗收投入應用各階段的信息系統與歷年上報的定級報告不重復累計數之比。
指標要點
(1)信息系統定級準確性。部分單位認為信息系統定級級別越高,就要花費更多的資金、精力,加重單位負擔,因此將基礎信息網絡、門戶網站、郵件、財務等重要信息系統定為一級,以逃避備案、測評。
針對這種情況,股份公司按照《信息系統安全等級保護區域劃分原則與定級指南》,對信息系統定級進行規范,并對定為一級、二級的信息系統進行重點檢查,避免定級不準確。
(2)信息系統數量準確性。部分單位在實施等保工作時,上報的信息系統數量小于實際建設數量。因此,在實際操作中,本考核項的分母“信息系統數”以該單位編制信息化項目預算時上報的信息系統數量為準。
(3)需提供加蓋本單位公章的《定級報告》掃描件。
3.3 等保備案率
考核年度在建至驗收投入應用各階段的信息系統數與歷年上報的備案證書不重復累計數之比。
指標要點
(1)備案公安機關的選擇。針對部分單位未根據國家法律法規選擇合適公安機關備案的情況,股份公司在的《信息系統安全等級保護管理辦法》中規定:股份公司統建系統,三級及以上系統向公安部網絡安全保衛局備案、二級系統向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統向當地市級及以上公安機關備案。
(2)等保備案率的確定。等保備案率中的分母“信息系統數”,指的是該單位編制信息化項目預算時上報的信息系統數量,并非已定級的信息系統數量。
(3)需提供公安機關出具的《備案證明》掃描件。
3.4 等保測評通過率
歷年上報的定級備案證書不重復累計數與歷年測評通過的信息系統不重復累計數之比。
指標要點
(1)測評報告符合率。為防止部分單位將工作精力側重于取得測評報告,而忽視了對測評中反映出的安全問題的整改,在實際工作中,重點對測評不符合率較高的信息系統進行抽查,責令單位定期進行整改。
(2)需提供合格測評機構出具的加蓋測評機構公章的《安全等級測評報告》掃描件。
4 考核權重
4.1 信息安全事件
附加分項,最高減K分。出現一次I級信息安全事件、減K分;出現一次級信息安全事件、減K/2分,最多減K分。
4.2 等保定級率
基本分項,滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A,歷年上報的定級報告不重復累計數為B,定級率M=B/A,平均定級率∑M=∑B/∑A。定級率得分S=min{(M/∑M)×K,K}。
4.3 等保備案率
基本分項,滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A,歷年上報的備案證書不重復累計數為C,備案率M=C/A,平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K,K}。
4.4 等保通過率
基本分項,滿分K分。歷年上報的定級備案證書不重復累計數為C,歷年測評通過的信息系統不重復累計數為D,測評通過率M=D/C,平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{(M/∑M)×K,K}。
5 指標計算
考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分(Ai)為基數,用實際得分(Bi)計算其得分率(Mi=Bi/Ai),除以最高得分率(Mmax),再乘以信息安全工作績效指標分(C),即為信息安全工作考核實際得分(Si=C×Mi/Mmax)。
6 結束語
本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述, 提出了綜合評價的方法,希望能借以推進本企業信息安全工作的開展,提高信息系統的安全性,并切實將國家法律法規落到實處。從實際執行效果看,已經取得了一定的成效。
參考文獻
[1] GB/T 22239―2008,信息系統安全等級保護基本要求.
[2] GB 17859-1999,安全等級保護劃分準則.
[3] GB/T 22240―2008,信息系統安全保護等級定級指南.
0 引言
2008年中華人民共和國國家質量監督檢驗檢疫總局了GB/T 22239-2008《信息安全技術-信息系統安全等級保護基本要求》后,信息安全等級保護制度已經成為我國信息安全保護工作的基本國策,實行信息安全等級保護具有重大的現實和戰略意義。
根據公安部的相關文獻,從近些年來年來等級保護安全測評的結果分析中可以看出,信息系統中容易出問題的部分主要是賬號管理、權限管理和審計分析等幾個方面。例如:多人共用一個賬號;用戶權限分配沒有遵循最小化原則;未限制設備管理方式;未開啟審計或未進行審計分析等。
為解決上述問題,可以通過修改服務器配置信息以及網絡設備的配置可以進行防范,隨著智能終端的出現,網絡傳播技術的不斷提高,交換機、路由器等網絡設備的管理將便捷許多,操作人員可以通過網絡對網絡設備進行遠程操作。然而,由于復雜的網絡環境存在著大量的潛在攻擊行為,在方便快捷的同時,操作人員通過網絡與網絡設備通信存在著嚴重的安全隱患。針對這種情況,需要對現有服務器進行改造,涉及到大量信息系統的安全維護操作,其復雜性和環境的不確定性造成這種方式的實施起來極其困難。
1 企業應用中的安全問題
在企業應用中,目標設備之間通過互聯網絡進行通訊,操作人員也通過互聯網遠程訪問目標設備。目標設備需要對操作人員開放相應的接口,由于互聯網的開放性,非法操作人員或潛在非法操作人員很容易通過相應的接口登入系統進行操作,給網絡安全帶來隱患。
通過對現有系統在應用中出現問題進行分析,目前系統中存在的安全隱患主要有:
(1)存在潛在非法操作人員對網絡終端進行非法操作; (2)目標設備與操作人員無法進行統一管理;(3)操作人員的誤操作無法有效避免;(4)操作人員的操作記錄歷史追蹤無法實現。
通過對現有信息系統以及網絡安全需求分析,結合企業現狀,選取部署相關安全產品到網絡中,作為安全模塊對整個網絡進行安全保護,即堡壘主機。
2 堡壘主機
堡壘主機是一種運維管理系統,可以完成賬戶管理、授權管理和綜合審計等功能,完成集中認證和運維審計的作用。該類產品對操作人員提供多種遠程管理方式,并能夠對操作人員以遠程方式對服務器主機、網絡設備、數據庫的操作行為過程進行監控和審計管理,以及對違規操作行為進行實時報警、阻斷。
通過堡壘主機可以有效的提高操作人員與網絡設備之間通信的安全性,并且可以對操作人員及遠程操作進行集中管理,在確保通信安全的基礎上,實現管理的統一。本文所述的堡壘主機產品為軟件堡壘主機,沒有運輸成本,部署簡單,升級簡便,性能及功能可定制。在部署前,僅需要找到一臺信任主機即可。堡壘主機被部署到內網主機上,并且對要訪問的目標設備進行綁定,設定僅堡壘主機才可以對目標設備進行訪問。所有操作人員都要先登錄到堡壘機上,然后才可以訪問目標設備。堡壘主機自身具有認證及授權等功能,可以有效的屏蔽非法操作人員的訪問。
3 主要功能
本文所述的堡壘主機的主要功能有賬戶管理、角色管理、設備管理、黑名單管理和操作記錄查詢等主要功能。
(1)賬戶管理。對于堡壘主機的賬戶,采用"一用戶一賬號"的原則,用戶需要通過自己的賬戶才能登錄堡壘主機。不存在用戶共享同一個賬戶,有效避免出現事故時無法追述問題原因和責任人的問題。另外,在用戶的身份認證時,對用戶的賬號及所在IP進行綁定,如果賬戶與登錄的IP不匹配,將無法登錄,加強了身份認證機制。實現集中身份認證和訪問控制,避免冒名訪問,提高訪問安全性。
(2)角色管理。針對不同的操作人員進行角色管理。不同類別的角色具有不同的操作權限,操作人員需要根據自身賬戶的角色等級來訪問可操作的目標主機及該目標主機的資源。在便于任務分工及責任劃分的同時,有效的降低操作人員錯誤操作的可能。
(3)設備管理。管理目標設備信息,堡壘主機對管理目標設備的數量無限制,可以任意添加。
(4)黑名單管理。堡壘主機將對操作人員的操作進行實時監測,如果某些操作被管理員禁止,那么該操作將無法完成。如:關機、重啟等操作,通過黑名單管理,指定人員將不具備該操作權限,提高操作的安全性。訪問記錄查詢通過該功能可查詢目標主機在某個時間段內,有哪人操作人員登錄過。當目標主機因操作不當而引發障礙時,結合操作記錄查詢,可快速排查障礙原因,并找到責任人,解決問題,避免不必要的損失
(5)操作記錄查詢。對操作人員的所有操作進行記錄,當因操作人員的錯誤操作而引發障礙時,通過該功能可快速找出該操作人員,避免責任劃分不清問題。
4 結語
堡壘主機能夠解決集中賬號管理、細粒度的權限管理和訪問審計的問題,有效加強現有系統的網絡安全性,具有改造成本小,維護容易等特點。本文所述堡壘主機產品在吉林聯通通信網絡中成功應用,有效降低了操作人員的誤操作和網絡信息故障發生的幾率,證明了堡壘主機在加強網絡安全方面的有效性。
近年來,國信辦組織了幾項信息安全試點,遍及全國的近三十余家試點單位成為安全探索先行者。當通過一年多的努力,為中國信息安全前行之路成功點燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網絡信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件),形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅,國務院信息化工作辦公室會同相關部門,組織了三項信息安全試點,包括:電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。
因為涉及國家信息安全未來標準和技術道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重。
為貫徹落實中辦發27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題,探索電子政務信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題。“我們按照‘保安全,促應用’的思路,構建了基于互聯網的電子政務信息安全保障體系,探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現已覆蓋到村,政務部門全部接入了互聯網,但是統計下來,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網,顯然投入和效益不能平衡,這也與電子政務建設的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯網,開展電子政務建設。
濟源市試點系統建設內容包括以下幾項:一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡;二是在互聯網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統;三是在進行網絡和應用系統建設的同時開展信息安全試點,建設基于互聯網電子政務信息安全支撐平臺。
那么,如何真正用技術實現政務網絡互聯網辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統工程思想,按照“適度安全,促進應用,綜合防范”的原則和等級保護的要求,采用集成創新的技術路線,綜合運用以密碼為核心的信息安全技術,合理配置信息安全保密設備和安全策略,建設一個技術先進、安全可靠的基于互聯網的電子政務信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務提供可靠、有效的安全保障。
從安全技術實現上,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分,本次試點網絡安全系統共建設7個安全子系統:一是VPN系統,由VPN密碼機、VPN客戶端和VPN管理系統組成,共同完成域間安全互聯、移動安全接入、用戶接入控制與網絡邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統一身份認證與授權管理系統,完成用戶統一身份認證、授權管理等功能;三是網絡防病毒系統,部署于安全服務區,完成網絡防病毒功能;四是網頁防篡改系統,部署于政府網站,提供網站立即恢復的手段和功能;五是入侵檢測系統,部署于中心交換機,對網絡入侵事件進行主動防御;六是網絡審計系統部署于中心交換機,對網絡事件進行記錄,方便事后追蹤;七是桌面安全防護系統,部署在用戶終端,提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為,從實際效果來說,一是低成本建設了安全的政務網絡,實際投入620萬元,比原計劃專網方式預算總投資節約48.3%;二是實現了安全政務辦公和可信政務服務,全市各部門已100%實現了安全互聯,網絡可達鄉鎮,試點村;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限。而從長遠來講,濟源市已經初步建成安全、開放、實用的全面基于互聯網的電子政務系統。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區)電子政務系統的信息共享與互聯互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點;由省政府辦公廳完成視頻會議系統省府門戶網站試點;由佛山市政府完成財稅庫銀互聯互通系統試點;由江門市政府完成開放互聯環境下的信息安全解決方案試點;由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點。
關于如何解決在不同的電子政務系統之間,安全實現互聯互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風險評估相結合的方法,確定了解決互聯互通問題的基本思路:一是明確系統的重要程度,確定系統安全等級,采取與系統安全等級相適應的安全保護措施;二是按照有條件互聯、共享可控制的原則,確定需要共享的系統和應用以及需要共享的數據,保證只共享那些確實需要共享的數據,以保護系統中原有信息的安全;三是在進行系統互聯的部門之間建立共同的安全管理機制,明確系統互聯后的安全管理責任、管理邊界、安全事件協同處理等機制;四是對系統互聯的安全風險進行評估,全面分析低安全等級的系統給高安全等級的系統帶來的安全風險;五是針對系統互聯的安全風險,確定關鍵的安全控制要素,如互聯邊界的訪問控制、系統互聯的安全傳輸等,并落實具體的安全措施,保障系統互聯、數據共享的安全。
在以上措施的執行下,廣東省取得了初步成功,形成了《廣東省電子政務系統定級規范》、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。
風險規避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡,風險無處不在,防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創新精神的“差距分析法”。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括,就是“通過找出安全目標與現實系統差距,從而得出風險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統生命周期的整個過程都持續不斷地引入風險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統整體的信息安全風險等級。此外,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統的固有屬性,通過風險評估可以識別系統的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統的安全級別不應該一刀切,可考慮將系統最高安全級別部分的安全等級作為系統的安全等級。其次是系統分析是系統安全評估的基礎工作。再次是行業性系統安全要求在風險評估中起決定作用,不同行業的系統有著不同的安全要求,必須為不同行業、不同類型的系統制定適應其特點的系統安全要求。最后,通過安全風險評估工作進一步完善系統安全總體設計。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家),涉及重要政府部門、公共事業單位、基礎網絡和涉及國計民生的重要信息系統。2006年,上海市了《上海市公共信息系統安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》。之后,上海市信息委又出臺了關于風險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業信息安全建設的常態,在系統的設計階段、驗收階段、運行階段,都需要進行風險評估工作,形成“預防為主,持續改進”的風險評估機制。應力認為,對信息安全主管機關來說,風險評估是一種管理措施,通過風險評估,領導者可以了解信息系統的安全現狀,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統是三分技術,七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始,在北京市、上海市、國家稅務總局、中國證監會和武漢鋼鐵(集團)公司選取了相關單位,對國際上通用的,也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》,組織了應用試點。
北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上,結合海淀區原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。
在ISMS項目試點實施前,深交所ISMS項目組就確定了項目實施不能流于形式的總體工作思路。深交所ISMS項目組張興東介紹經驗時,認為除了利用技術調查手段之外,還需要深入各個層面調研,充分了解深交所的信息安全現狀,利用多種方法相互補充、相互印證,以提高調查質量,為項目后期的實施打下良好的基礎。
今天,我們實施一個信息化項目,如果像實施傳統項目那樣,只重視經濟效益,那么有可能事與愿違,造成重大的安全損害。特別是現在新一代信息技術蓬勃興起,一個信息系統可能會面向廣大的用戶、處理海量的數據,這類系統一旦出了安全問題,后果就極為嚴重。所以我們從事網信工作,往往要將網絡安全的考量放在優先的地位,而且貫穿在項目的全過程中,包括確定需求、選擇方案、采購設備、組織實施、運營維護等等,無論在哪個環節,都要把網絡安全保障放在重要位置。正像“綠色發展”要求我們在決定某些工業項目是否上馬時,將符合環保要求放在“一票否決”的地位,今天,我們也應將是否符合網絡安全的要求放在類似的地位。
只有通過自主創新才能突破關鍵核心技術
在網信領域,信息化核心技術和信息基礎設施具有特別重要的地位,而且有高度的壟斷性。一直以來,我國在一些關鍵核心技術設備上受制于人,也就是說,我們的“命門”掌握在別人手里。正因為如此,盡管我國的網民和移動網民數都居世界第一,但我們還不是網絡強國。我國只有盡快突破核心技術,把命運掌握在自己手中,才能成為一個網絡強國。
掌握核心技術往往需要付出巨大的、堅持不懈的努力。例如,早期在我國還不能制造高性能計算機時,有些部門(如天氣預報、石油勘探)不得不高價去買外國計算機,但那時,外國只賣給我們較低指標的計算機,外國公司還要派人在機房里監視著計算機的運行。后來,每當我國研制出一臺較高指標的計算機,他們才會放松一些限制,賣給我們高一檔次的計算機。就這樣,隨著我國自己設計的計算機不斷提升,外國才被迫逐漸放寬了對我國的禁運。這兩年,我國的“天河”機登上了世界超級計算機的榜首,他們于心不甘,去年就禁運了“天河”機所使用的“至強”CPU芯片,企圖進行遏制。但這反而激勵了我國科技人員的創新。今年,我國推出了采用國產CPU芯片的“神威?太湖之光”超級計算機,繼續高居世界榜首;而且“天河”也將在明年推出采用國產CPU芯片的新型號。上述中國高性能計算機幾十年的發展史證明:真正的核心技術是買不來的,是市場換不到的。我們只有通過自主創新,自立自強,才能打破發達國家對我們采取的種種遏制,才能將關鍵核心技術掌握在我們自己手中。
正確處理開放和自主的關系
我們強調自主創新,不是關起門來搞研發,一定要堅持開放創新。我們不拒絕任何新技術,自主創新中包括引進那些安全可控的新技術,也包括引進消化吸收再創新。應該說,這些年來基于開源軟件實施引進消化吸收再創新還是卓有成效的。今后,隨著我國軟件人員逐步地從開源軟件的使用者發展到參與者、貢獻者,甚至有的開源軟件可能由我國軟件人員主導,其中將會具有越來越多的自主創新成分。
近來,我國企業和外國同行之間在一些核心技術方面的合作有增多的跡象。因為隨著我國技術水平和創新能力的提高,外國會放寬某些出口限制,這有利于企業間國際合作的擴展。另外,我國廣闊的市場也吸引著外國企業擴展與中國企業的合作。這種合作一般是市場行為,企業可以自行決策。當合作涉及到國家安全或者有可能造成市場壟斷時,需要通過有關部門的審查,包括進行網絡安全審查在內。
一些企業認為,這類國際合作可以達到“合作共贏”或“與狼共舞”。不管怎么說,只要符合法規,都是容許的。不過應當防止出現某些偏差,例如有的“合資”或“合作”采用簡單的“貼牌”或“穿馬甲”等方式,將外國產品通過“合資”或“合作”變為“國產”或“自主可控”產品。這樣做可能會對真正的本國企業造成打壓,也可能誤將不可控的產品當成“自主可控”的,不利于保障網絡安全。
企業間的合作主要取決于經濟利益,但在國家層面上,發展信息化核心技術等重要決策,應突出網絡安全,強調不能受制于人。即使外國公司的某項技術很先進,性價比很高,似乎也能大量供應市場,這作為企業間的國際合作項目是可以的,但如果它在某個方面(如知識產權、供應鏈、技術掌握)會受到別人的制約,那么就不能作為國家層面的選擇。所以不能將企業間的“合作共贏”或“與狼共舞”,無條件地擴展為國家間的關系。
