引言
信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法,是維護(hù)國家信息安全的根本保障。通過開展信息安全等級保護(hù)工作,可以有效地解決我國信息安全面臨的主要問題,按照“明確重點(diǎn)、突出重點(diǎn)、保護(hù)重點(diǎn)”的原則,將有限的財力、物力、人力投入到重要信息系統(tǒng)的安全保護(hù)中去。通過實(shí)施信息系統(tǒng)安全等級保護(hù)自測評,能夠準(zhǔn)確把握信息系統(tǒng)安全狀況,幫助信息系統(tǒng)運(yùn)營使用單位和主管部門按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改和管理運(yùn)行。
1 信息系統(tǒng)自測評與差距分析是等級保護(hù)工作的重要環(huán)節(jié)
信息安全等級保護(hù)的工作流程主要有:等級保護(hù)定級與備案、系統(tǒng)安全建設(shè)與整改、等級測評三個階段。隨著國家信息安全等級保護(hù)工作的深入開展,重要的信息系統(tǒng)已經(jīng)完成了定級備案工作,按照《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》明確要求,2012年底之前完成第三級(含)以上信息系統(tǒng)的安全建設(shè)整改工作,各單位已經(jīng)著手開始制定等保整改和安全建設(shè)方案,通過建設(shè)與整改工作落實(shí)等級保護(hù)制度的各項要求。在建設(shè)和整改工作開始之前,我們不應(yīng)當(dāng)忽視其中一個重要的環(huán)節(jié),那就是信息系統(tǒng)對照等級保護(hù)的基本要求完成定級系統(tǒng)的自測評與差距分析的工作,只有做好這個環(huán)節(jié)的工作,才能為我們的建設(shè)和整改工作提供充分的支持。
《信息安全等級保護(hù)管理辦法》第十四條規(guī)定,信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,每年至少進(jìn)行一次等級測評。由此可見測評與自查的重要性,行之有效的差距分析,是各單位制定整改方案的基礎(chǔ)依據(jù)。
同時,我們看到信息系統(tǒng)等級保護(hù)工作全面推進(jìn),等級測評的需求量很大,而國家推薦符合《管理辦法》規(guī)定條件的測評機(jī)構(gòu)是有限的。對一個單位信息系統(tǒng)的安全現(xiàn)狀的了解是一個持續(xù)與循序漸進(jìn)的過程,測評機(jī)構(gòu)的短周期的測評在某種程度上存在一定的局限性,而工作在運(yùn)維一線的技術(shù)人員對自己信息系統(tǒng)的技術(shù)架構(gòu)與運(yùn)維管理水平有著深刻的認(rèn)識,只有讓他們意識到等級保護(hù)工作的重要性,熟悉與掌握自測評的基本流程與方法,才能使自查工作與等級測評工作有機(jī)結(jié)合,各單位的信息安全等級保護(hù)工作才能進(jìn)入螺旋上升的良性循環(huán)。
2 信息系統(tǒng)自測評遇到的主要問題
信息系統(tǒng)自測評過程中普遍遇到的問題是:重要信息系統(tǒng)近年來都會做過一些風(fēng)險評估的工作,因此信息系統(tǒng)負(fù)責(zé)人往往把目光焦點(diǎn)—下子集中到了脆弱性分析。信息系統(tǒng)的責(zé)任人對等級保護(hù)的相關(guān)政策與技術(shù)標(biāo)準(zhǔn)進(jìn)行了學(xué)習(xí),也完成了信息系統(tǒng)自主定級的過程。但面對《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),面對自己的信息系統(tǒng),往往是不知從何入手!暗燃壉Wo(hù)的測評與風(fēng)險評估有什么區(qū)別,做完等級保護(hù)的測評我的系統(tǒng)是不是就安全了”、“為什么和我做的風(fēng)險評估有很大差別”。針對上述問題,我們要明確等級保護(hù)的測評是合規(guī)性檢查,優(yōu)秀測評工具是等級保護(hù)測評工作的助推器。
2.1等級保護(hù)的測評是合規(guī)性檢測和差距分析
信息系統(tǒng)在系統(tǒng)自測評之前就已經(jīng)完成了系統(tǒng)的定級工作,已經(jīng)明確了信息系統(tǒng)遭到破壞造成的侵害的程度。測評工作就是對某一級別的安全基線進(jìn)行合規(guī)性檢查,主要回答的是某一個管理要素或技術(shù)要素有無的問題,確認(rèn)你的信息系統(tǒng)與安全基線偏離程度。我們不應(yīng)當(dāng)把等級測評與風(fēng)險評估孤立的對待,對等級測評的不符合項進(jìn)行風(fēng)險評估是必要的,不僅是脆弱性的驗(yàn)證,還可以幫助我們判斷安全事件發(fā)生的概率、量化可能造成的損失。
2.2自動化、規(guī)范化的等級測評工具
等級測評最主要的手段是訪談,因此主觀因素的干擾不可避免。自動化、規(guī)范化的等級測評工具必不可少。優(yōu)秀的測評工具應(yīng)能夠清晰的梳理測評流程;合理分配測評項目到各個專業(yè)技術(shù)團(tuán)隊;通過豐富的測評知識庫有效降低等級測評難度,提高等級測評效率;測評案例的模板化(如:門戶網(wǎng)站、數(shù)據(jù)庫等);對測評結(jié)果自動進(jìn)行分析,提取出不符合項,進(jìn)行風(fēng)險分析;安全趨勢分析(對歷年的自查與等級測評結(jié)果進(jìn)行關(guān)聯(lián)分析)。
3 信息系統(tǒng)自測評的實(shí)踐
3.1等級保護(hù)自測評主要流程:
等級保護(hù)自測評的主要流程包括四個階段和輸出成果:
項目階段 重要工作成果
項目準(zhǔn)備 《等級測評項目計劃書》、現(xiàn)場調(diào)研記錄表單
方案編制 《等級測評指導(dǎo)書》、《等級測評方案》
現(xiàn)場測評 現(xiàn)場測評記錄表單
報告編寫 《系統(tǒng)等級測評報告》
3.2測評方法的選擇:
測評方法總體上說有三類:訪談、檢查和測試。
訪談的目的是對信息系統(tǒng)整體情況進(jìn)行了解,對各項規(guī)章制度頒布與落實(shí)情況的了解。如安全管理方面的基本情況就會涉及安全管理機(jī)構(gòu)的設(shè)置情況、授權(quán)審批流程、整體安全策略、安全制度修訂與維護(hù)、人員安全管理等內(nèi)容;系統(tǒng)規(guī)劃與建設(shè)中就會涉及信息系統(tǒng)安全方案總體設(shè)計、安全方案論證與評審、工程實(shí)施過程管理制度、測試與驗(yàn)收管理制度等內(nèi)容;系統(tǒng)運(yùn)維中會涉及事件處置與應(yīng)急響應(yīng)制度等內(nèi)容。
檢查是我們主要的測評手段,通過對測評對象進(jìn)行觀察、查驗(yàn)和分析得出符合性結(jié)論?梢赃M(jìn)行文檔檢查(也就是證據(jù)類信息的檢查)、實(shí)地察看(如機(jī)房選址、物理環(huán)境測評)、配置檢查(主要是檢查主機(jī)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備與網(wǎng)絡(luò)安全設(shè)備的配置情況)。
測試主要是按照預(yù)定的方法/工具查看和分析響應(yīng)的結(jié)果。是獲取信息系統(tǒng)安全保護(hù)措施有效性的方法。如我們會使用網(wǎng)絡(luò)掃描工具驗(yàn)證服務(wù)器開放的應(yīng)用端口,判斷邊界防火墻設(shè)備防護(hù)的有效性。
3.3明確等級保護(hù)自測評主要內(nèi)容
物理安全測評,機(jī)房位置是否合適,訪問控制、防盜竊、防破壞、防雷、防火、防靜電、溫濕度、電力、電磁防護(hù)做的怎么樣。網(wǎng)絡(luò)安全測評,結(jié)構(gòu)安全網(wǎng)絡(luò)劃分、網(wǎng)絡(luò)訪問控制、撥號訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)。主機(jī)安全測評,身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制。應(yīng)用安全測評,身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制、代碼安全。數(shù)據(jù)安全測評,數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)。安全管理機(jī)構(gòu)測評,崗位怎么設(shè)置的,人員配備、授權(quán)和審批、溝通和合作、審核和檢查。管理制度的測評,有哪些管理制度,制定和發(fā)布的情況,發(fā)布的范圍和周期,評審修訂情況。人員安全管理測評,人員錄用、離崗、考核制度,安全意識教育和培訓(xùn),第三方人員訪問管理。系統(tǒng)建設(shè)管理測評,包括系統(tǒng)建設(shè)管理、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、實(shí)施工程、測評驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、安全服務(wù)商選擇。系系統(tǒng)運(yùn)維管理測評,環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處理、應(yīng)急預(yù)案處理。
3.4測評項目組織與實(shí)施
測評項目的組織與實(shí)施我們使用測評工具按照圖l所示的流程完成。
我們根據(jù)信息系統(tǒng)的規(guī)模調(diào)整測評周期、測評人員的數(shù)量,基本上劃分5個測評組完成測評任務(wù):管理測評組、網(wǎng)絡(luò)測評組、主機(jī)測評組、系統(tǒng)應(yīng)用測評組和數(shù)據(jù)庫測評組。測評準(zhǔn)備階段我們強(qiáng)調(diào)了信息收集與分析全面陛與完整性,因?yàn)檫@是測評方案編制中測評對象選取與測評取樣的基礎(chǔ);強(qiáng)調(diào)了測試工具接入點(diǎn)的選取方法與原則,不同的接人點(diǎn)會帶來很大的分析差異,特別是在有效陛層面的分析。
測評方案編制階段,測評工具會根據(jù)系統(tǒng)的等級情況和測評對象的選定,關(guān)聯(lián)測評知識庫,自動生成測評指導(dǎo)書。
圖1測評項目實(shí)施流程
在現(xiàn)場測評階段,測評人員都是依據(jù)測評指導(dǎo)書,對測評對象,測評單元進(jìn)行逐項判定。在整體測評分析中,項目負(fù)責(zé)人根據(jù)實(shí)際情況對測評項進(jìn)行關(guān)聯(lián)分析和測評結(jié)果修正。
測評報告編制階段,測評人員通過測評結(jié)果的匯總,進(jìn)行威脅確認(rèn),以打分的方式進(jìn)行風(fēng)險賦值和風(fēng)險計算。最終形成測評結(jié)論。測評整改建議部分,我們可以對測評主要內(nèi)容給出整改建議。
在整個測評過程中我們強(qiáng)調(diào)項目質(zhì)最管理和控制,突出的是變更控制管理和風(fēng)險管理,整個測評過程中禁止系統(tǒng)管理員邊測評邊整改,防止由于測評導(dǎo)致系統(tǒng)故障。
4 信息系統(tǒng)自測評成果與差距分析
單位內(nèi)部的工程技術(shù)人員利用標(biāo)準(zhǔn)化、規(guī)范化的測評工具完成的信息系統(tǒng)自測評,可以使單位決策者在較短時間內(nèi)全面了解本單位信息安全狀況,及時發(fā)現(xiàn)安全隱患,加大建設(shè)整改力度。通過對本單位23個定級系統(tǒng)自測評結(jié)果進(jìn)行數(shù)據(jù)分析,就可以對這個單位信息系統(tǒng)安全狀況進(jìn)行初步評價。
圖2 本單位信息系統(tǒng)臺規(guī)情況分類匯總
通過對具體內(nèi)容的梳理我們也提取出r一些共性的問題如下:
4.1物理安全
主要的問題是機(jī)房僅采用了單向門禁系統(tǒng),并且對人員進(jìn)H1缺少完整和嚴(yán)格的記錄要求;缺少攝像頭、電子溫濕度感應(yīng)裝置等設(shè)備。多數(shù)信息系統(tǒng)能夠做判對重要資產(chǎn)采取基本的安全保護(hù)措施,但對線纜一類的資產(chǎn)大都缺少很好資產(chǎn)分類和標(biāo)識規(guī)定。
4.2網(wǎng)絡(luò)安全
網(wǎng)絡(luò)都建市了IP分配規(guī)則并繪制網(wǎng)絡(luò)拓?fù),但對于網(wǎng)絡(luò)基線信息的記錄工作做的不夠詳細(xì),而且通常不會及時更新;防火墻等安全設(shè)備的安全策略沒有定期審核有效性,存在一定漏洞;沒有完善的網(wǎng)絡(luò)安全設(shè)備審計要求,網(wǎng)絡(luò)設(shè)備沒有開肩必要的審計功能,也沒有使用其它網(wǎng)絡(luò)審計工具,大多設(shè)備開啟的審計功能都是默認(rèn)的設(shè)置;對于系統(tǒng)生成的日志也沒有專門設(shè)立單獨(dú)的人員進(jìn)行管理:網(wǎng)絡(luò)設(shè)備自身防護(hù)沒有做到位等;開發(fā)環(huán)境和系統(tǒng)運(yùn)行環(huán)境沒有隔離。
4.3主機(jī)安全
大多數(shù)操作系統(tǒng)的口令都沒有定期更新,管理員設(shè)置口令時也未考慮到口令復(fù)雜度要求;主機(jī)、數(shù)據(jù)庫缺乏統(tǒng)一的審計系統(tǒng);管理員沒有定期執(zhí)行安全漏洞掃描和及時更新安全補(bǔ)丁;系統(tǒng)身份鑒別時沒有采用組合身份鑒別技術(shù)。
4.4應(yīng)用安全
在一個應(yīng)用軟件的安全生命周期中,通常應(yīng)具備的開發(fā)安全編碼規(guī)范、系統(tǒng)上線前安全測試、防篡改措施、不定期滲透測試等內(nèi)容。這些內(nèi)容沒有得到很好的落實(shí)。
4.5管理安全
信息安全管理制度發(fā)布和執(zhí)行過程中,沒有定期對其進(jìn)行評估,沒有根據(jù)實(shí)際環(huán)境和情況的變化,定期對制度進(jìn)行修改和完善。對人員的培訓(xùn)只集中在業(yè)務(wù)技能上,沒有針對信息安全方面的培訓(xùn),系統(tǒng)管理員的網(wǎng)絡(luò)安全意識較薄弱。沒有定期對網(wǎng)絡(luò)設(shè)備和服務(wù)器運(yùn)行日志、審計數(shù)據(jù)進(jìn)行分析,以便及時發(fā)現(xiàn)異常行為;沒有要求服務(wù)提供商定期提交安全漏洞分析報告,沒有針對安全漏洞補(bǔ)丁定期進(jìn)行評估并更新。
5 結(jié)束語
通過組織內(nèi)部人員參與的信息系統(tǒng)自測評工作,是信息系統(tǒng)安全建設(shè)整改的基石。不僅使我們的工程技術(shù)人員通過實(shí)踐工作得到了鍛煉,提高了信息安全的專業(yè)技能,深刻理解了信息安全等級保護(hù)法規(guī)對信息安全工作的指導(dǎo)性意義,也使決策者全面了解本單位整體信息安全狀況,為信息安全方面的決策提供了數(shù)據(jù)支持。組織內(nèi)部的自查、自測工作與專業(yè)機(jī)構(gòu)的等級測評有機(jī)結(jié)合,可以使信息安全建設(shè)整改工作常態(tài)化、穩(wěn)步推進(jìn)我國信息系統(tǒng)安全保障水平。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:信息系統(tǒng)等級保護(hù)測評實(shí)踐
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083934831.html