前言:尋找寫(xiě)作靈感?中文期刊網(wǎng)用心挑選的水利科研院所信息安全論文,希望能為您的閱讀和創(chuàng)作帶來(lái)靈感,歡迎大家閱讀并分享。
1定級(jí)的標(biāo)準(zhǔn)及其依據(jù)
根據(jù)《基本要求》的規(guī)定,二級(jí)要求的系統(tǒng)防護(hù)能力為:信息系統(tǒng)具有抵御一般攻擊的能力,能防范常見(jiàn)計(jì)算機(jī)病毒和惡意代碼危害的能力,系統(tǒng)遭受破壞后,具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余,在遭受破壞后能夠在有限的時(shí)間內(nèi)恢復(fù)部分功能。按照二級(jí)的要求,一般情況下分為技術(shù)層面和管理層面的兩個(gè)層面對(duì)信息系統(tǒng)安全進(jìn)行全面衡量,技術(shù)層面主要針對(duì)機(jī)房的物理?xiàng)l件、安全審計(jì)、入侵防范、邊界、主機(jī)安全審計(jì)、主機(jī)資源控制、應(yīng)用資源控制、應(yīng)用安全審計(jì)、通信完整性和數(shù)據(jù)保密性等多個(gè)控制點(diǎn)進(jìn)行測(cè)評(píng),而管理層面主要針對(duì)管理制度評(píng)審修訂、安全管理機(jī)構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運(yùn)維管理、應(yīng)急預(yù)案等方面進(jìn)行綜合評(píng)測(cè)。其中技術(shù)類安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類(S類)、系統(tǒng)服務(wù)安全類(A類)、通用安全防護(hù)類(G類)三類。水利信息系統(tǒng)通常以S和G類防護(hù)為主,既關(guān)注保護(hù)業(yè)務(wù)信息的安全性,又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。
水利科研院所信息系統(tǒng)結(jié)構(gòu)相對(duì)簡(jiǎn)單,在管理制度上基本建立了機(jī)房管控制度、人員安全管理制度等,技術(shù)上也都基本達(dá)到了一級(jí)防護(hù)的要求。下面以某水利科研單位為例分析。某水利科研單位主機(jī)房選址為大樓低層(3層以下),且不臨街。機(jī)房大門為門禁電磁防盜門,機(jī)房?jī)?nèi)安裝多部監(jiān)控探頭。機(jī)房?jī)?nèi)部劃分為多個(gè)獨(dú)立功能區(qū),每個(gè)功能區(qū)均安裝門禁隔離。機(jī)房鋪設(shè)防靜電地板,且已與大樓防雷接地連接。機(jī)房?jī)?nèi)按照面積匹配自動(dòng)氣體消防,能夠?qū)馂?zāi)發(fā)生進(jìn)行自動(dòng)報(bào)警,人工干預(yù)滅火。機(jī)房?jī)?nèi)已安裝溫度濕度監(jiān)控探頭,對(duì)機(jī)房?jī)?nèi)溫濕度自動(dòng)監(jiān)控并具有報(bào)警功能,機(jī)房配備較大功率UPS電源,能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時(shí)正常工作。機(jī)房采用通信線路上走線,動(dòng)力電路下走線方式。以上物理?xiàng)l件均滿足二級(jí)要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)、對(duì)外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊,對(duì)外服務(wù)區(qū)部署有VPN網(wǎng)關(guān),外部人員可通過(guò)VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問(wèn)業(yè)務(wù)處理區(qū),接入?yún)^(qū)用戶通過(guò)認(rèn)證網(wǎng)關(guān)訪問(wèn)互聯(lián)網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測(cè)(IDS)系統(tǒng)、非法外聯(lián)檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)。由上述拓?fù)浣Y(jié)構(gòu)可以看出,現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全,但按照二級(jí)要求,系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測(cè)系統(tǒng),且沒(méi)有獨(dú)立的數(shù)據(jù)備份區(qū)域,給整個(gè)信息網(wǎng)安全帶來(lái)一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測(cè)系統(tǒng)(IDS),新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域,在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng),并在接入?yún)^(qū)安裝了非法外聯(lián)檢測(cè)系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系。
3信息系統(tǒng)安全等級(jí)測(cè)評(píng)的內(nèi)容
3.1信息系統(tǒng)等級(jí)保護(hù)的總體規(guī)劃
信息系統(tǒng)從規(guī)劃到建立是一個(gè)復(fù)雜漫長(zhǎng)的過(guò)程,需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)。相應(yīng)的技術(shù)測(cè)評(píng)工作也主要圍繞這3個(gè)模塊展開(kāi)。
3.2測(cè)評(píng)的要素
信息系統(tǒng)是個(gè)復(fù)雜工程,設(shè)備的簡(jiǎn)單堆疊并不能有效保障系統(tǒng)的絕對(duì)安全,新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計(jì),已建系統(tǒng)要對(duì)信息系統(tǒng)進(jìn)行安全測(cè)試,對(duì)于測(cè)評(píng)不合格項(xiàng)對(duì)照整改。信息系統(tǒng)安全測(cè)試范圍很廣,主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開(kāi)測(cè)評(píng)。本文僅對(duì)測(cè)評(píng)內(nèi)容要素進(jìn)行描述,對(duì)具體測(cè)試方法及工具不作描述。
3.2.1網(wǎng)絡(luò)安全的測(cè)評(píng)
水利科研院所網(wǎng)絡(luò)安全的測(cè)評(píng)主要參照公安部編制《信息安全等級(jí)測(cè)評(píng)》條件對(duì)網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)展開(kāi)測(cè)評(píng)。但應(yīng)結(jié)合科研院所實(shí)際有所側(cè)重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大,網(wǎng)絡(luò)帶寬占用比例相對(duì)較高,因此,在網(wǎng)絡(luò)全局中主要測(cè)試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力,網(wǎng)絡(luò)設(shè)備資源占用情況,確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性。科研院所地理位置相對(duì)分散,因此,需要合理的VLAN劃分,確保局部網(wǎng)絡(luò)攻擊不會(huì)引發(fā)全局癱瘓。科研院所擁有大量的研究生,這類人群對(duì)于制度的約束相對(duì)較差,網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用,對(duì)出口帶寬影響極大,因此除了用經(jīng)濟(jì)杠桿的手段外,在技術(shù)上要求防火墻配置帶寬控制策略。同時(shí)對(duì)“非法接入和外聯(lián)”行為進(jìn)行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對(duì)端口掃描,對(duì)木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等常見(jiàn)攻擊行為監(jiān)視等等。
3.2.2主機(jī)安全測(cè)評(píng)
主機(jī)安全的測(cè)評(píng)主要對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)展開(kāi)測(cè)評(píng)。通常水利科研院所服務(wù)器種類繁多,從最多見(jiàn)的機(jī)架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署,同時(shí)操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng),數(shù)據(jù)庫(kù)以主流SQLSERVER、ORACLE為主,早期開(kāi)發(fā)的系統(tǒng)還有Sybase,DB2等數(shù)據(jù)庫(kù)。對(duì)于window操作系統(tǒng)是容易被攻擊的重點(diǎn),因?yàn)槎?jí)等保為審計(jì)級(jí)保護(hù)所以重點(diǎn)在于身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼4個(gè)方面進(jìn)行測(cè)評(píng),主要審計(jì)重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對(duì)于LINUX等其他系統(tǒng)和數(shù)據(jù)庫(kù),主要審計(jì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的身份標(biāo)識(shí)唯一性,口令應(yīng)復(fù)雜程度以及限制條件等。
3.2.3應(yīng)用安全測(cè)評(píng)
水利科研院所內(nèi)部業(yè)務(wù)種類繁多,如OA系統(tǒng),科研管理系統(tǒng),內(nèi)部財(cái)務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群,郵件服務(wù)器等,測(cè)評(píng)的重點(diǎn)主要是對(duì)這些業(yè)務(wù)系統(tǒng)逐個(gè)測(cè)評(píng)身份驗(yàn)證,日志記錄,訪問(wèn)控制、安全審計(jì)等功能。
3.2.4數(shù)據(jù)安全的測(cè)評(píng)
數(shù)據(jù)安全的測(cè)評(píng)主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時(shí)效性展開(kāi)測(cè)評(píng)。水利科研院所數(shù)據(jù)量十分龐大,一般達(dá)到上百TB級(jí)數(shù)據(jù)量,一旦遭受攻擊,恢復(fù)任務(wù)十分艱巨,因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式,避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計(jì)劃,采用增量備份的方式實(shí)時(shí)對(duì)數(shù)據(jù)備份。
3.2.5物理安全測(cè)評(píng)
機(jī)房的物理安全測(cè)評(píng)主要是選址是否合理,機(jī)房大門防火防盜性能,機(jī)房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達(dá)標(biāo),溫濕度控制、電力供應(yīng)以及電磁防護(hù)是否符合規(guī)定等物理?xiàng)l件。
3.2.6安全管理測(cè)評(píng)
安全管理主要就制定的制度文檔和記錄文檔展開(kāi)評(píng)測(cè)。制度文檔主要分為3類,流程管理,人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實(shí)施形式。在滿足二級(jí)的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計(jì)和采購(gòu)安全管理規(guī)定》、《系統(tǒng)實(shí)施安全管理規(guī)定》、《系統(tǒng)測(cè)試驗(yàn)收和交付安全管理規(guī)定》、《軟件開(kāi)發(fā)安全管理規(guī)定》、《系統(tǒng)運(yùn)維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號(hào)密碼管理規(guī)定》等基本規(guī)章制度。同時(shí)對(duì)管理制度本身進(jìn)行也要規(guī)范管理,如版本控制,評(píng)審修訂流程等。需要制定的記錄文檔有《機(jī)房出入登記記錄》、《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄》、《各類評(píng)審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測(cè)試選型測(cè)試結(jié)果記錄》、《系統(tǒng)驗(yàn)收測(cè)試記錄報(bào)告》、《介質(zhì)歸檔查詢等的等級(jí)記錄》、《主機(jī)系統(tǒng),網(wǎng)絡(luò),安全設(shè)備等的操作日志和維護(hù)記錄》、《機(jī)房日常巡檢記錄》、《安全時(shí)間處理過(guò)程記錄》、《應(yīng)急預(yù)案培訓(xùn),演練,審查記錄》等。
4測(cè)評(píng)的方式方法
按照《基本要求》在等級(jí)測(cè)評(píng)中,對(duì)二級(jí)及二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測(cè)試。
4.1測(cè)試目的工具測(cè)試
是利用各種測(cè)試工具,通過(guò)對(duì)目標(biāo)系統(tǒng)的掃描、探測(cè)等操作,使其產(chǎn)生特定的響應(yīng)等活動(dòng),查看分析響應(yīng)結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。工具測(cè)試種類繁多,這里特指適用于等保測(cè)評(píng)過(guò)程中的工具測(cè)試。利用工具測(cè)試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時(shí)也可以通過(guò)不同的區(qū)域接入測(cè)試工具所得到的測(cè)試結(jié)果判斷出不同區(qū)域之間的訪問(wèn)控制情況。利用工具測(cè)試并結(jié)合其他的核查手段能為測(cè)試結(jié)果提供客觀準(zhǔn)確的保障。
4.2測(cè)試流程
收集信息→規(guī)劃接入點(diǎn)→編制《工具測(cè)試作業(yè)指導(dǎo)書(shū)》→現(xiàn)場(chǎng)測(cè)試→結(jié)果整理。收集信息主要是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備型號(hào)、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息進(jìn)行收集。規(guī)劃接入點(diǎn)是保證不影響整個(gè)信息系統(tǒng)網(wǎng)絡(luò)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測(cè)試。接入點(diǎn)的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu),訪問(wèn)控制,主機(jī)位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。(1)由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測(cè)。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測(cè)。(3)由外聯(lián)接口向系統(tǒng)內(nèi)部探測(cè)。(4)跨網(wǎng)絡(luò)隔離設(shè)備(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測(cè)。
4.3測(cè)試手段
利用漏洞掃描器、滲透測(cè)試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié),為整改方案的編制提供依據(jù)。
5云計(jì)算與等級(jí)保護(hù)
近年來(lái),隨著水利科研院各自的云計(jì)算中心相繼建立,云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)差異很大,面臨的風(fēng)險(xiǎn)也更大,因?yàn)橐酝南到y(tǒng)多數(shù)為集中式管理范圍較小,安全管理和設(shè)備資源是可控的,而云計(jì)算是分布式管理,是一個(gè)動(dòng)態(tài)變化的計(jì)算環(huán)境,這種環(huán)境在某種意義上是無(wú)序的,這種虛擬動(dòng)態(tài)的運(yùn)行環(huán)境更不可控,傳統(tǒng)的安全邊界消失。同時(shí),云計(jì)算在認(rèn)證、授權(quán)、訪問(wèn)控制和數(shù)據(jù)保密這些方面這對(duì)于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計(jì)算面臨的7宗罪(風(fēng)險(xiǎn)),說(shuō)明云安全的狀況變化非常快,現(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計(jì)算的模式,如何結(jié)合自身特點(diǎn)制定出適合云計(jì)算的等級(jí)保護(hù)體系架構(gòu)是今后研究的方向。
6結(jié)語(yǔ)
嚴(yán)格按照國(guó)家制定的等級(jí)保護(hù)測(cè)評(píng)相關(guān)標(biāo)準(zhǔn)規(guī)劃設(shè)計(jì)信息網(wǎng)絡(luò),加快水利科研院所信息系統(tǒng)安全級(jí)別的定級(jí)及開(kāi)展相關(guān)測(cè)評(píng)工作對(duì)加快水利信息化安全建設(shè)步伐,保障水利科研院所信息系統(tǒng)平穩(wěn)安全運(yùn)行起到至關(guān)重要的作用。
作者:葉茂 劉盈斐 王冠華 單位:中國(guó)水利水電科學(xué)研究院 北京中水科信息技術(shù)有限公司
