信息系统等级保护测评实践
胡伟 网络
 引言

    信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,是维护国家信息安全的根本保障。通过开展信息安全等级保护工作,可以有效地解决我国信息安全面临的主要问题,按照“明确重点、突出重点、保护重点”的原则,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。通过实施信息系统安全等级保护自测评,能够准确把握信息系统安全状况,帮助信息系统运营使用单位和主管部门按照标准进行安全建设、整改和管理运行。

1 信息系统自测评与差距分析是等级保护工作的重要环节

    信息安全等级保护的工作流程主要有:等级保护定级与备案、系统安全建设与整改、等级测评三个阶段。随着国家信息安全等级保护工作的深入开展,重要的信息系统已经完成了定级备案工作,按照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》明确要求,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作,各单位已经着手开始制定等保整改和安全建设方案,通过建设与整改工作落实等级保护制度的各项要求。在建设和整改工作开始之前,我们不应当忽视其中一个重要的环节,那就是信息系统对照等级保护的基本要求完成定级系统的自测评与差距分析的工作,只有做好这个环节的工作,才能为我们的建设和整改工作提供充分的支持。

    《信息安全等级保护管理办法》第十四条规定,信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,每年至少进行一次等级测评。由此可见测评与自查的重要性,行之有效的差距分析,是各单位制定整改方案的基础依据。

    同时,我们看到信息系统等级保护工作全面推进,等级测评的需求量很大,而国家推荐符合《管理办法》规定条件的测评机构是有限的。对一个单位信息系统的安全现状的了解是一个持续与循序渐进的过程,测评机构的短周期的测评在某种程度上存在一定的局限性,而工作在运维一线的技术人员对自己信息系统的技术架构与运维管理水平有着深刻的认识,只有让他们意识到等级保护工作的重要性,熟悉与掌握自测评的基本流程与方法,才能使自查工作与等级测评工作有机结合,各单位的信息安全等级保护工作才能进入螺旋上升的良性循环。

2 信息系统自测评遇到的主要问题

    信息系统自测评过程中普遍遇到的问题是:重要信息系统近年来都会做过一些风险评估的工作,因此信息系统负责人往往把目光焦点—下子集中到了脆弱性分析。信息系统的责任人对等级保护的相关政策与技术标准进行了学习,也完成了信息系统自主定级的过程。但面对《信息系统安全等级保护基本要求》等技术标准,面对自己的信息系统,往往是不知从何入手。“等级保护的测评与风险评估有什么区别,做完等级保护的测评我的系统是不是就安全了”、“为什么和我做的风险评估有很大差别”。针对上述问题,我们要明确等级保护的测评是合规性检查,优秀测评工具是等级保护测评工作的助推器。

    2.1等级保护的测评是合规性检测和差距分析

    信息系统在系统自测评之前就已经完成了系统的定级工作,已经明确了信息系统遭到破坏造成的侵害的程度。测评工作就是对某一级别的安全基线进行合规性检查,主要回答的是某一个管理要素或技术要素有无的问题,确认你的信息系统与安全基线偏离程度。我们不应当把等级测评与风险评估孤立的对待,对等级测评的不符合项进行风险评估是必要的,不仅是脆弱性的验证,还可以帮助我们判断安全事件发生的概率、量化可能造成的损失。

    2.2自动化、规范化的等级测评工具

    等级测评最主要的手段是访谈,因此主观因素的干扰不可避免。自动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清晰的梳理测评流程;合理分配测评项目到各个专业技术团队;通过丰富的测评知识库有效降低等级测评难度,提高等级测评效率;测评案例的模板化(如:门户网站、数据库等);对测评结果自动进行分析,提取出不符合项,进行风险分析;安全趋势分析(对历年的自查与等级测评结果进行关联分析)。

3 信息系统自测评的实践

    3.1等级保护自测评主要流程:

    等级保护自测评的主要流程包括四个阶段和输出成果:

    项目阶段 重要工作成果

    项目准备 《等级测评项目计划书》、现场调研记录表单

    方案编制 《等级测评指导书》、《等级测评方案》

    现场测评 现场测评记录表单

    报告编写 《系统等级测评报告》

    3.2测评方法的选择:

    测评方法总体上说有三类:访谈、检查和测试。

    访谈的目的是对信息系统整体情况进行了解,对各项规章制度颁布与落实情况的了解。如安全管理方面的基本情况就会涉及安全管理机构的设置情况、授权审批流程、整体安全策略、安全制度修订与维护、人员安全管理等内容;系统规划与建设中就会涉及信息系统安全方案总体设计、安全方案论证与评审、工程实施过程管理制度、测试与验收管理制度等内容;系统运维中会涉及事件处置与应急响应制度等内容。

    检查是我们主要的测评手段,通过对测评对象进行观察、查验和分析得出符合性结论。可以进行文档检查(也就是证据类信息的检查)、实地察看(如机房选址、物理环境测评)、配置检查(主要是检查主机操作系统、应用系统、网络交换设备与网络安全设备的配置情况)。

    测试主要是按照预定的方法/工具查看和分析响应的结果。是获取信息系统安全保护措施有效性的方法。如我们会使用网络扫描工具验证服务器开放的应用端口,判断边界防火墙设备防护的有效性。

 

3.3明确等级保护自测评主要内容

    物理安全测评,机房位置是否合适,访问控制、防盗窃、防破坏、防雷、防火、防静电、温湿度、电力、电磁防护做的怎么样。网络安全测评,结构安全网络划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。主机安全测评,身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制。应用安全测评,身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。数据安全测评,数据完整性、数据保密性、数据备份和恢复。安全管理机构测评,岗位怎么设置的,人员配备、授权和审批、沟通和合作、审核和检查。管理制度的测评,有哪些管理制度,制定和发布的情况,发布的范围和周期,评审修订情况。人员安全管理测评,人员录用、离岗、考核制度,安全意识教育和培训,第三方人员访问管理。系统建设管理测评,包括系统建设管理、安全方案设计、产品采购、自行软件开发、外包软件开发、实施工程、测评验收、系统交付、系统备案、安全服务商选择。系系统运维管理测评,环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处理、应急预案处理。

    3.4测评项目组织与实施

    测评项目的组织与实施我们使用测评工具按照图l所示的流程完成。

    我们根据信息系统的规模调整测评周期、测评人员的数量,基本上划分5个测评组完成测评任务:管理测评组、网络测评组、主机测评组、系统应用测评组和数据库测评组。测评准备阶段我们强调了信息收集与分析全面陛与完整性,因为这是测评方案编制中测评对象选取与测评取样的基础;强调了测试工具接入点的选取方法与原则,不同的接人点会带来很大的分析差异,特别是在有效陛层面的分析。

    测评方案编制阶段,测评工具会根据系统的等级情况和测评对象的选定,关联测评知识库,自动生成测评指导书。

 

 

 

图1测评项目实施流程

    在现场测评阶段,测评人员都是依据测评指导书,对测评对象,测评单元进行逐项判定。在整体测评分析中,项目负责人根据实际情况对测评项进行关联分析和测评结果修正。

    测评报告编制阶段,测评人员通过测评结果的汇总,进行威胁确认,以打分的方式进行风险赋值和风险计算。最终形成测评结论。测评整改建议部分,我们可以对测评主要内容给出整改建议。

    在整个测评过程中我们强调项目质最管理和控制,突出的是变更控制管理和风险管理,整个测评过程中禁止系统管理员边测评边整改,防止由于测评导致系统故障。

4 信息系统自测评成果与差距分析

    单位内部的工程技术人员利用标准化、规范化的测评工具完成的信息系统自测评,可以使单位决策者在较短时间内全面了解本单位信息安全状况,及时发现安全隐患,加大建设整改力度。通过对本单位23个定级系统自测评结果进行数据分析,就可以对这个单位信息系统安全状况进行初步评价。

 

 

4.1物理安全

    主要的问题是机房仅采用了单向门禁系统,并且对人员进H1缺少完整和严格的记录要求;缺少摄像头、电子温湿度感应装置等设备。多数信息系统能够做判对重要资产采取基本的安全保护措施,但对线缆一类的资产大都缺少很好资产分类和标识规定。

    4.2网络安全

    网络都建市了IP分配规则并绘制网络拓扑,但对于网络基线信息的记录工作做的不够详细,而且通常不会及时更新;防火墙等安全设备的安全策略没有定期审核有效性,存在一定漏洞;没有完善的网络安全设备审计要求,网络设备没有开肩必要的审计功能,也没有使用其它网络审计工具,大多设备开启的审计功能都是默认的设置;对于系统生成的日志也没有专门设立单独的人员进行管理:网络设备自身防护没有做到位等;开发环境和系统运行环境没有隔离。

    4.3主机安全

    大多数操作系统的口令都没有定期更新,管理员设置口令时也未考虑到口令复杂度要求;主机、数据库缺乏统一的审计系统;管理员没有定期执行安全漏洞扫描和及时更新安全补丁;系统身份鉴别时没有采用组合身份鉴别技术。

    4.4应用安全

    在一个应用软件的安全生命周期中,通常应具备的开发安全编码规范、系统上线前安全测试、防篡改措施、不定期渗透测试等内容。这些内容没有得到很好的落实。

    4.5管理安全

    信息安全管理制度发布和执行过程中,没有定期对其进行评估,没有根据实际环境和情况的变化,定期对制度进行修改和完善。对人员的培训只集中在业务技能上,没有针对信息安全方面的培训,系统管理员的网络安全意识较薄弱。没有定期对网络设备和服务器运行日志、审计数据进行分析,以便及时发现异常行为;没有要求服务提供商定期提交安全漏洞分析报告,没有针对安全漏洞补丁定期进行评估并更新。

5 结束语

    通过组织内部人员参与的信息系统自测评工作,是信息系统安全建设整改的基石。不仅使我们的工程技术人员通过实践工作得到了锻炼,提高了信息安全的专业技能,深刻理解了信息安全等级保护法规对信息安全工作的指导性意义,也使决策者全面了解本单位整体信息安全状况,为信息安全方面的决策提供了数据支持。组织内部的自查、自测工作与专业机构的等级测评有机结合,可以使信息安全建设整改工作常态化、稳步推进我国信息系统安全保障水平。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢