第一篇:安全等级保护规范指导下的开源的低成本网站安全分析及保护办法
安全等级保护规范指导下的开源的低成本网站安全分析及
保护办法
顾旭华
摘要:针对中小型网站安全保障资金缺乏的问题,在安全等级保护规范指导下,充分利用开源安全软件,对常见网站攻击方法采取应对措施,以低成本的投入,提高网站安全保障水平。
关键词:信息安全 等级保护 开源安全软件 低成本
互联网是当前最具活力的信息传输渠道,2010年7月15日,中国互联网络信息中心(CNNIC)第26次中国互联网络发展状况统计报告》显示,截至2010年6月底,我国网民规模达4.2亿人,已成为世界上最大的互联网应用群体。但于此同时,由于利益驱动,针对互联网的犯罪非常也猖獗,已逐渐发展成集团化犯罪和黑色产业链。通过攻击网站,威胁、窃取和破坏信息;通过网站挂马入侵个人电脑,窃取个人隐私、虚拟财产、金融交易信息等,都是当前互联网网站面临严重安全威胁。
我国高度重视信息系统安全,正在逐步完善互联网信息安全保障的立法和有关技术规范。在法规方面有《中华人民共和国计算机信息系统安全保护条例(国务院令第147号)》、《计算机信息网络国际联网安全保护管理办法》、《信息安全等级保护管理办法》等法律,在信息安全标准方面有《信息系统安全保护等级定级指南 GB/T22020-2008》、《信息系统安全等级保护基本要求 GB/T22019-2008》、《信息安全管理体系要求 GB/T22080-2008》、《信息安全管理实用规则 GB/T22080-2008》、《信息安全风险评估规范 GB/T20984-2007》、《信息安全风险管理指南 GB/T24364-2009》等。这些法规和规范对互联网网站安全保障提出了要求,也指出了安全保障的实施办法。如何保护互联网站已成为网站建设者面监的重要课题。本文从常见的网站攻击、入侵技术方法入手,结合信息安全等级保护规范和开源信息安全工具,向中小网站安全保障工作者,提供了低成本的互联网站安全保护实施办法。
一、常见的网站攻击、入侵技术
1、SQL注入
利用程序员编写处理用户输入的程序,没有进行合法性判断的漏洞,将合法的Sql数据库查询语句附加上恶意的查询,利用出错信息,通过尝试和猜测,从而获得网站管理员用户名和密码的方法。Sql注入攻击危害性很大,特别是使用免费开源建站程序建设的网站,比较容易被发现sql注入漏洞,造成网站后台最高权限被攻击者获得,为进一步攻陷服务器系统管理权限提供条件。
2、跨站脚本攻击
利用程序员编写处理用户输入并保存在服务器上的数据,但没有对输入数据进行脚本语言过滤的漏洞,在输入的数据中嵌入恶意脚本,例如嵌入页面跳转脚本语句。当管理员或用户打开信任的合法网站网页时,通过嵌入的恶意脚本将用户跳转到恶意挂马网站或钓鱼网站,如果用户没有及时更新浏览器补丁,则通过浏览器漏洞,使用户计算机被种病毒或种植木马。
3、系统溢出缓冲区漏洞攻击
利用操作系统或web服务器处理互联网协议传输数据的漏洞,通过传输构造特殊的数据和命令,造成传输的特殊程序溢出数据缓冲区,进入正常程序指令空间,覆盖一部分正常程序指令,从而在正常程序执行时,也执行了特殊程序。特殊程序被执行后,一般会从网络上进一步下载木马,从而入侵创造更有利的条件。
4、DDOS攻击(拒绝服务攻击)
向目标网站发起大并发、长时间的持续访问请求,或特殊构造的TCP半接连请求,争抢、占用目标网站服务器大量资源,使网站没有资源为正常用户服务,造成网站正常服务瘫痪。
5、挂马和远控
攻击者侵入服务器后,通常是在网站首页嵌入木马程序或在服务器上安装远程控制程序。挂马是利用客户端浏览器的漏洞,通过网站进一步传播木马程序,利用正常网站,扩大木马控制用户的范围;安装远程控制程序,利用被控服务器进一步入侵或攻击其他服务器。
二、网站的安全保护等级确定
信息安全保障的实施一般分为安全保护等级确定、安全风险评估、安全整改实施以及后评估四个阶段。首先我们要认识到,在互联网上没有绝对的安全。所谓道高一尺,魔高一丈,有盾就有矛。只要给足够的资源和时间,当前的技术安全防护措施,都是可以被攻破的。但是有一个平衡点,就是攻击成本和所获得的收益,或从另一个角度看是投入的保护成本和所保护的信息资源的价值。如果花十元的攻击成本,只能获得1元的收益,攻击者对目标就会失去兴趣;如果花十元的保护措施,保护1元的信息资源,对网站的建设和管理者,也是得不偿失。基于以上原则,信息系统安全保护提出的划分保护等级的概念和规范。我国《信息安全等级保护管理办法》将非涉密计算机系统信息安全划分为五个等级,配套出台了《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》等国家标准。三级以上为公安机构强制安全管理,三级以下为自主、指导安全管理。互联网站可按信息数据、业务系统两方面被破坏后,对受侵害的客体(国家安全,社会秩序和公共利益,公民、法人或其他组织的合法权益)造成损害的程度(一般、严重、特别严重),确定网站的安全等级。一般县以上政府机构网站定为两级以上,涉及金融类的网站一般在三级以上。
三、网站安全等级保护要求的特点
《信息系统安全等级保护基本要求》分四个等级(第五级标准要求未制定)从技术和管理两个方面对信息系统安全措施提出了要求。在技术方面,从物理安全、网络安全、主机安全、应用安全和数据安全和备份等五个方面提出了要求。在管理方面,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等五个方面提出了要求。网站适用安全等级保护要求,同时在技术方面强调关注主机安全、应用安全,在管理方面强调关注人员安全管理和系统运维管理。网站一般只开80端口服务,攻击者最主要的手段是针对Web服务器的漏洞攻击,SQL注入攻击和跨站脚本攻击,这些攻击与主机安全、应用安全强相关。而社会工程学的攻击,主要是利用网站管理人员安全意识淡薄,弱口令等管理漏洞,这些与人员安全管理和系统运维管理强相关。
四、网站安全评估与安全检测工具
及时发现网站的漏洞、弱点等安全风险,是网站安全保障的基础。信息系统的安全评估国家标准有《信息安全风险评估规范》、《信息安全风险管理指南》等,但在实施时,必须依靠一些安全检测工具,才能发现信息系统隐藏的安全问题。国内目前商业化的Web应用安全检测工具非常昂贵,动辄几十万,安全评估服务费用也不菲。对中小网站和一些不发达地区的政府网站来说,难以承受。好在还有开源安全检测工具。开源的安全检测工具,通常情况下是免费的,是我们安全检测的好助手。但也有缺点,就是安装、配置和使用复杂,对使用人员技术水平要求较高,要有一定计算机专业英语基础;漏洞检测包更新相对较慢。下面介绍几款著名的开源安全检测软件。
(一)web应用安全检测
Paros proxy是基于java技术开发的对web应用程序进行安全评估的代理程序,跨平台,需要安装java运行环境。它包含一个扫描器,可以对指定的url进行sql注入、跨站点脚本攻击、目录遍历等安全检测。该工具对url的自动抓取支持的不太好,有些urls不能识别,需要手动添加。
(二)系统漏洞安全检测
1、Nessus是一款B/S架构的系统安全检测工具,可以安装在linux服务器或windows服务器上。它对各类操作系统(window、linux、AIX、HP-unix等)通过4万多个检测插件进行安全检测,并且可以依据规范开发特定的检测插件。可以对一个或多个IP段主机进行检测。使用浏览器富客户端界面,操作方便。自动通过网络升级检测插件。在windows下安装时要注意安装到NTFS格式分区,因为FAT32分区不支持一个目录下超过2万个以上文件。
2、nikto是web服务器安全检测工具,是基于PERL开发的程序。Nikto支持Windows(使用ActiveState Perl环境)、Mac OSX、多种Linux 或Unix系统。该工具可以对6400多个潜在危险文件/CGI,超过1000个服务器版本,还有270多个服务器上的版本特定问题进行全面的测试。
五、网站的安全保护措施
在网站安全评估完成后,必须对发现的安全威胁、弱点等,采取技术或管理方面的措施进行加固。通常网站安全加固可以采取以下技术措施:
1、及时打系统补丁
不论网站采用何种操作系统,及时打系统补丁都是一个良好的习惯。Windows操作系统有完善的自动打补丁机制;red hat操作系统打补丁需要付费;centos(red hat开源重新编译版)免费自动打补丁。需要强调的是,有时打补丁可能会对应用程序的正常运行造成影响,打补丁之前,最好进行兼容性测试。笔者曾经遇到,windows系统打补丁后,hp服务器网卡驱动不能正常工作的情况。
2、关闭无用服务
开放的服务端口越多,给攻击者的可利用的机会就越多。所以,只要不使用的服务,都关闭。而且最好使用防火墙设定服务端口的安全策略。
3、修改应用程序代码
Web应用程序的Sql注入漏洞、跨站脚本攻击漏洞的解决措施,除采用专业的web应用防火墙外,一般必须修改应用程序原代码。主要是对用户输入加强过滤和检测。对Sql注入漏洞,还可以采取不直接构造sql语句,而是通过将输入内容赋值sql语句变参的形式,利用数据库本身的安全机制,解决Sql注入问题。
4、Linux操作系统的通用安全加固工具
Bastille是linux的通用安全加固工具,它以图形交互式的形式,引导管理员设置linux操作系统安全策略的各方面,可以让linux操作系统更加坚固,减少被攻击的风险。
5、Windows操作系统的组策略编辑器
Windows操作系统的组策略编辑器(gpedit.msc),修改注册表默认本地安全设置,设置windows主机安全策略,如口令强度、文件权限设置方式、补丁升级方式等。
6、软件防火墙
Linux操作系统和windows操作系统本身都有防火墙软件,用好这些防火墙软件,可以很大程度上提高主机系统安全性,加大入侵者的攻击难度。在linux操作系统下,有很多专门的开源防火墙软件,可以将一台普通的PC机转变为一台专业的防火墙/路由器设备,其性能比有些厂商的中低端硬件防火墙还好。Vyatta是基于Debian(linux的一个发行版),对ipV4、ipV6的路由,状态防火墙,ipsec和ssl vpn,snmp等常用网络协议和管理协议提供支持。可以通过命令行或基于web的图形用户界面进行配置,提供liveCD的ISO格式刻录文件。刻录光盘后,可用光盘直接启动系统,立即将x86硬件转换为企业级的路由器/防火墙。Vyatta已补下载超过60万次,有500个以上的商业用户在使用。社区版是免费的,也提供商业版、以及收费的技术支持服务。需要注意的是,传统的防火墙是三层设备,对sql漏洞、跨站脚本攻击和web服务器漏洞,是没有防护作用的。防火墙只对访问IP和服务端口可以控制。
7、入侵检测工具
入侵检测工具是以旁路或网关的形式,对网络上传输的数据包进行抓包,并与规则库中的特征码进行对比分析,对符合特征码的数据包记录并报警。入侵检测是七层设备,可以对应用层数据进行分析。Snort是以GPL v2协议进行开源的入侵检测软件。Snort是世界上使用最广泛的IDS/IPS技术,有超过30万的注册用户,是入侵检测领域事实上的标准。Snort可以工作在三种方式下:嗅探器、数据包记录器、网络入侵检测系统模式。当做为嗅探器时,仅将网络传输的数据包连续不断的显示在终端上。当做为数据包记录器时,把网络传输的数据包记录到硬盘上。当做为网路入侵检测时,将分析网络数据包,并匹配用户定义的特征规则,根据检测结果采取一定的动作。Snort的特征规则以两种方式获得:一是成为捐助者(交费用户),可以即时得到最新的特征规则;二是注册成用户,在特征规则发布30天后可以免费获得。
8、杀毒软件
服务器上安装杀毒软件,可以防止常见木马、病毒在服务器上运行或通过服务器传播。Windows下已经有了金山毒霸、360杀毒等免费杀毒软件。Linux操作系统下的病毒数量较少,但也有病毒和木马的。Clam AntiVirus(ClamAV)是开放源代码的防毒软件,软件与病毒码的的更新皆由开源社区免费发布。ClamAV主要是使用在Linux、FreeBSD等类Unix系统服务器上,只提供病毒扫描服务,没有类拟windows下的实时监控防御等功能,病毒库更新比较慢。ClamAV本身是通过命令行操作,但也有一些GUI的前端操作工具。
9、文件检查工具
由于攻击者通常会对木马进行针对杀毒软件的加壳免杀处理,通常杀毒软件对攻击者的特制木马不会有反映。所以对于服务器上的木马或病毒防杀,笔者更倾向于白名单方式,即在服务器和应用程序安装、调试完毕后,将硬盘中的程序文件和运行的进程,通过软件做扫描记录;在运维期间,经常性的进行对比,发现突然出现的进程或程序文件,即为可疑程序。Afick是对文件的变化情况进行监控的安全工具,是用perl编写的,所以在运行时,需要perl运行环境,可以运行在Windows、Linux、HP Tru64 Unix、HPUX
11、AIX 5.2.0等操作系统下。Afick可以通过命令行、图形界面进行操作。还提供了web服务,可以让使用者通过web浏览器进行远程操作。Tripwire也是一款非常著名的文件完整性验证工具,但是其免费开源版需要在linux下编译安装,且只提供命令行操作方式和基本功能。
六、网站安全的后评估
在对网站进行安全加固后,还应该使用安全检测工具,对网站进行安全后评估,验证安全加固成果,是否解决了所有问题等。要定期对网站进行安全检测,以及时发现新的漏洞,及时加固,形成网站生命周期内的安全维护良性循环。
七、结语
在国家信息安全有关标准的指导下,通过安全等级确定、安全风险评估、安全整改实施和后评估等阶段的工作,可以有效提高网站安全的保障水平。在这些工作阶段中,必须要有相关的安全工具才能开展工作,达到安全等级保障实施的目标。充分利用开源工具,并落实网站安全管理措施,可以部分解决当前中小规模网站和不发达地区政府网站缺少安全保障资金、安全保障成本高的问题,有效应对常规的攻击、入侵;对特殊攻击和入侵及时发现,及时处理,不至于造成严重影响和损失。
第二篇:网站安全等级保护--应急预案
网站安全等级保护—应急预案
一、网络与信息安全组织机构
我办网络与信息安全领导小组,组 长: 副组长: 网络管理员: 网络安全员: 网站维护和更新:
二、应急处置措施
(一)网站、网页出现非法言论时的紧急处置措施
1、网站、网页由办公室的具体负责人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。
2、发现网上出现非法信息时,负责人员应立即向信息安全组组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
3、信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4、网站维护员应妥善保存有关记录及日志或审计记录。
5、网站维护员工作人员应立即追查非法信息来源。
6、工作人员会商后,将有关情况向安全领导小组领导汇报有关情况。
7、安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
(二)黑客攻击时的紧急处置措施
1、当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全员通报情况。
2、网络安全员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向信息安全领导小组副组长汇报情况。
3、网络安全员和网络管理员负责被破坏系统的恢复与重建工作。
4、网络安全员协同有关部门共同追查非法信息来源。
5、安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
(三)病毒安全紧急处置措施
1、当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
2、对该设备的硬盘进行数据备份。
3、启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
4、如发现反病毒软件无法清楚该病毒,应立即向安全小组负责人报告。
5、信息安全小组相关负责人员在接到通报后,应在十分钟内赶到现场。
6、经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息安全领导小组副组长报告,并迅速联系有关产品商研究解决。
7、安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告。
8、如果感染病毒的设备是服务器或者主机系统,经领导小组组长同意,应立即告知各下属单位做好相应的清查工作。
(四)软件系统遭受破坏性攻击的紧急处置措施
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
2、一旦软件遭到破坏性攻击,应立即向网络安全员、网络管理员报告,并将系统停止运行。
3、网络安全员和网站维护员负责软件系统和数据的恢复。、4、网络安全员和网络管理员检查日志等资料,确认攻击来源。
5、安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(五)数据库安全紧急处置措施
1、各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
2、一旦数据库崩溃,应立即向网络安全员报告,同时通知各下属单位暂缓上传上报数据。
3、信息安全员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
4、系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
5、如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
6、如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网外部线路中断紧急处置措施
1、广域网主、备用线路中断一条后,有关人员应立即启动备用线路接续工作,同时向网络安全员报告。
2、网络安全员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由网络管理员协同网络安全员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
4、如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
5、如果主、备用线路同时中断,网络安全员应在判断故障节点,查明故障原因后,尽快与其他相关领导和工作人员研究恢复措施,并立即向安 全领导小组汇报。
6、经安全领导小组同意后,应通告各下属单位相关原因,并暂缓上传上报数据。
(七)局域网中断紧急处置措施
1、局域网中断后,网络管理员和网络安全员应立即判断故障节点,查明故障原因,并向网络安全领导小组副组长汇报。
2、如属线路故障,应重新安装线路。
3、如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商请求支 援。
5、如有必要,应向安全领导小组组长汇报。
(八)设备安全紧急处置措施
1、小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员和网络安全员汇报。
2、网络管理员和网络安全员应立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5、如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属单位,暂缓上传上报数据。
(九)人员疏散与机房灭火预案
1、一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2、人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人 员按照预先确定的线路,迅速从机房中撤出。
3、人员灭火的程序是:首先切断所有电源,启动自动喷淋系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。
(十)外电中断后的设备
1、外电中断后,机房值班人员应立即切换到备用电源。
2、机房值班人员应立即查明原因,并向值班领导汇报。
3、如因机关内部线路故障,请机关服务部门迅速恢复。
4、如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5、如果供电局告知需长时间停电,应做如下安排:(1)预计停电4小时以内,由UPS供电。
(2)预计停电24小时,关掉非关键设备,确保各主机、路由器、交换机供电。(3)预计停电超过24小时,白天工作时间关键设备运行,晚上所有设备停电。(4)预计停电超过72小时,应联系小型发电机自行发电。
(十一)发生自然灾害后的紧急处置措施
1、上级单位平时储备一套下级单位的关键设备。
2、一旦发生自然灾害,导致设备损坏,由灾害发生单位向上级计算机网络与信息安全领导小组请求支援。
3、上级计算机网络与信息安全领导小组接到下级单位的支援请求后,应在24小时内派遣人员携带有关设备赶到现场。
4、到达现场后,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
5、经测试符合要求后,支援小组才能撤离。
(十二)关键人员不在岗的紧急处置措施
1、对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2、一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3、经值班领导批准后,由备用人员上岗操作。
4、如果备用人员无法上岗,请求上级单位支援。
5、上级单位在接到请求后,应立即派遣人员进行支援
第三篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。
第四篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第五篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。