第一篇:等级保护设计要求下的“移动业务系统安全防御体系”
等级保护设计要求下的 “移动业务系统安全防御体系”
1、引言
随着全球信息化进程的不断推进,我国政府及各行各业也在进行大量的信息系统的建设,这些信息系统已经成为国家重要的基础设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以及社会各界的关注。随着政府电子政务办公、移动警务办公、移动执法等信息化建设和发展,作为现代信息社会重要基础设施的信息系统,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,没有完整意义上的国家安全。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。
2、《等级保护设计要求》思路的启迪
按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护,构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。
在移动终端安全的领域中,计算环境如PDA、智能手机、PAD等,核心业务系统包括警务通、智能办公系统(OAERP)等,目前采用传统的传输加密技术手段仅考虑到如何解决非法接入及链路劫持安全问题,如 VPN等,安全防御较为单一化和局限性,公开的加密算法及隧道的传输模式已无法适应现代化的网络基础设施,在等级保护的信息安全建设中,应从整体安全体系模型考虑潜在风险问题,如计算环境安全、网络通信安全、区域边界安全。等级保护设计要求给予了很好的启迪,如何将移动终端安全实施三重技术防护体系成为我公司研究的新课题方向。
3、 移动安全管理平台可研技术难点
整体式安全防护
根据等级保护的设计要求,应从计算环境安全、网络通信安全、区域边界安全三大部分建立移动应用系统的整体安全防护体系,包括身份认证、数据保密和网络完整性问题。这需要以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助进行整体的安全防护设计。
计算环境
随着3G,wifi网络的无限延伸,在移动应用环境中,计算环境除少量的基于windows平台外,智能手机下的 Windows Mobile、Symbian、WIN CE、android、iOS已经成为移动终端主流应用环境,这就需要基于智能手机下不同操作系统进行跨平台性开发。并根据智能终端应用特点,结合等级保护设计要求下的计算环境安全要求,应充分考虑主体与客体的安全访问控制、安全访问者的身份鉴别等
移动终端在提供了便利的同时也十分容易丢失,这使得移动智能终端中数据保密性受到威胁,如何协调现有的存储文件的安全等级之间的一致性问题等等都是具有特色的安全新需求。
网络通信
应严格按照等级保护设计要求对网络通信数据的完整性和保密性进行充分的安全考虑,那么就需要采用由密码技术支持的完整性校验机制或具有相应强度的其他安全机制,以实现网络数据传输完整性和保密性保护。
区域边界
在移动应用系统网络环境中,区域边界的第一道门槛应通过防火墙进行协议、端口、数据包等功能的安全访问控制,但因网络传输为密文数据,防火墙仅限于端口过滤,这时是否考虑单独开发一台边界网关对移动终端认证后采取应用访问控制,从而完善区域边界的安全强度。
4、等保护设计要求下移动应用系统防护体系剖析
北京明朝万达科技有限公司(www.xiexiebang.com)是国家级高新技术企业和国家级软件企业,是中国领先的内网安全产品、数据安全产品和移动安全产品厂商,致力于信息安全技术的研究。
1994年国务院147号令明确指出:对信息系统实行等级保护是国家法定制度和基本国策;是信息安全保护工作的发展方向。至此我公司及时响应国家政策要求,在国家等级保护建设过程中做出了很大努力,根据等级保护市场需求分析,并在国家等级保护相应的技术标准支撑下,针对等级保护定级系统中的移动应用系统,如移动警务系统、移动执法系统、移动电子政务系统、移动税务系统进行了深入性的探讨和剖析,从而研发出“移动安全管理平台”产品,其相应的技术特点如下:
用户身份安全
采用CA认证机制,即在移动安全管理平台中建立统一的用户管理和认证授权系统。所有移动用户都有自己的数字证书和密码,数字证书可以存储在USBKey或者TF加密卡中。系统与移动用户基于双因素认证方式进行双向身份鉴别。首次登录后系统为合法接入用户实行注册和授权审核功能,充分保证用户身份的合法性和安全性。 移动终端安全 移动安全管理平台在移动智能终端中的组件包括TF密码卡和终端软件两部分,密码卡实现证书的存储和数据信息的加密,通过跟应用保护的结合,可以防止移动智能终端数据明文存储导致的泄密问题发生。移动终端软件可以对用户身份和移动智能终端硬件信息进行绑定,并可以对终端信息的日志记录,包括用户的接入状态、IP地址和当前应用状态,并可以实时监控记录用户行为。 网络通信安全
采用了虚拟网卡和代理模式结合的数据报文封装技术,适应于各种不同移动智能终端的应用特点。通过基于双向协商协议进行身份认证和密钥交换,同时密钥协商过程对客户端的身份认证采用了RSA签名机制,不会因重放攻击、中间人攻击、内存强制读取等手段引起非授权用户访问移动终端接入网关,从而达到数据传输的安全性。
采用端到端加密技术保证了用户信息在移动网内的任意节点均以密文传输,避免了在链路加密中出现的密文在通信节点落地的情况,可以有效防止通信双方的信息被窃听和篡改。采用国家密码管理局认定的SM1算法,通过使用加密设备内部密钥产生、PKI技术保证的安全密钥交换以及硬件实现的加密算法,保证通讯过程中数据不被非法截获和破解。另:网络通信安全加密算法还支持国密SM4、SM2以及其他SSL、AES、RSA、Blowfish等高安全算法。
网络边界完整性
移动安全管理平台对于安全性要求高的用户,可以通过实施网络边界完整性策略,确保移动终端用户一旦通过安全接入系统接入内网,就切断其与其他网络的通信,从而保持网络边界完整性,有效防止木马等导致的安全隐患。 数据保密性
首先,应用系统在访问登录时,必须通过移动安全管理平台的双因素认证,确保核心业务数据访问者身份信息的真实可靠,对于B/S的访问应用,可提供安全浏览器等安全组件,访问业务系统时,当前采集应用数据通过密码技术进行加密,即便使用蓝牙、wifi泄露,也以密文显示。同时,移动安全管理平台可以对泄露途径进行安全防护,如在接入认证通过后,可以根据策略禁止启动蓝牙、红外等。
移动安全管理平台可实现安全传输加密,采用端到端加密技术保证了用户信息在移动网内的任意节点均以密文传输,避免了在链路加密中出现的密文在通信节点落地的情况,可以有效防止通信双方的信息被窃听和篡改。 应用安全
第一层基础安全应用层:提供安全浏览器,安全邮件,安全通讯录等安全组件,实现基础的移动办公能力;
第二层综合安全应用层:为用户提供综合安全办公服务能力,如安全加密浏览器(移动应用数据落地加密)、安全PDF阅读器、安全office、文档审批和管理等应用安全;
第三层行业安全应用层,为电子政务平台提供其他定制化安全应用,如电子政务移动安全应用、移动执法安全应用等。
通过三层安全应用层次模型为用户提供全方位的移动应用服务,从而实现真正的移动办公安全。 应用访问控制
移动安全管理平台管理平台通过细粒度的角色关联机制对用户做细致的权限划分,可以给予不同用户以不同的访问权限,授权管理其可访问的资源,从而实现移动用户对各种应用的访问控制管理。 安全管理审计
移动安全管理平台用户采用分级分权管理方式,对用户权限进行细粒度的分配,包括超级管理员、账户管理员、系统管理员、用户管理员和审计员。其中超级管理员是权限最大的管理员,可对服务器做任何设置;账户管理员可创建超级管理员以外的账号;系统理员管理安全接入系统自身系统参数;用户管理员管理用户数据权限和审计用户操作;审计员查看系统、用户和管理员日志。移动安全系统提供详尽的日志记录和安全审计分析功能,对于用户任何操作都可以提供详细的审计日志,可以对日志进行浏览、查询、导出、删除等操作,并提供报表工具对日志进行分析。同时,本系统提供标准Syslog日志接口,可以根据用户需要将日志发送到指定的Syslog日志数据库中。
5、关键技术
无线网络优化技术
无线网络跟随着不同地点,信号强弱会发生频繁的变化,从而带宽也会带来变化,如果不采取措施,手机终端的频繁断网将难以避免。本项目采用了自创的无线网络优化技术,其主要技术特点如下:
·自动检测无线网络信号强弱和带宽变化情况;
·通过实验,建立带宽和优化参数表;
·根据带宽变化情况,依据建立的优化参数表,对IP包封装的大小进行调节和自适应;
·自动IP包重发,IP包如果超时未发出,将调整数据包大小,自动重发。 移动智能终端存储载体环境式加密
国内外手机等移动智能终端中用于数据加密的方式为文件存储加密,本技术采用的加密技术为环境式加密技术,是针对手机的SD/TF卡的加密,这种加密是面对存储空间的加密。采用此技术,增加了产品的易用性与保密的强度。
该加密技术以PKI技术为基础,配置的用户身份标识具有身份认证和数据加密两种功能,身份标识可以是国家认可的数字证书也可以是内部颁发的用于识别份的数字证明。用户身份标识集成在文件防泄密系统当中,当用户登陆操作系统的时候首先要输入用户身份密码(PIN码)。采用环境加密技术对存储区域进行加密后,所有存储到该区域的文件都自动加密,不需要单独操作。
与手机文件加密相比较,该加密方法为用户提供自动加密的功能,十分便捷。同时加密的强度由RSA算法强度确定,高于普通的文件加密的强度,更利于文件保密
6、价值体现
技术价值
根据等级保护设计要求思想,本系统定位于基于密码技术,为客户端和用户提供安全的远程接入内网数据链路,应用系统在以下几个方面得以安全保障:
确保单位内网的应用系统只能被内网的客户端或者经过认证接入的外网客户端访问;
确保外网客户端和内网应用系统之间传输的数据在外网路径上是安全的(数据保密性和完整性);
确保通过本系统接入的客户端是被已经授权的用户在使用;
确保通过本系统接入的用户和客户端不会被恶意和伪装的网关所欺骗;
确保通过本系统接入的客户端不会破坏内网的网络边界完整性;
实现对移动应用数据的安全防护,确保数据的保密性。
等级保护中的价值
在等级保护要求中,不管是基本要求还是设计要求,对于移动安全的技术要求点并没有实质性的定义,而在测评过程中,移动应用系统采用类似VPN产品技术实现的传输加密,其方式较为单一和局限,只考虑到在移动应用系统中网络通信安全问题,对计算环境安全、区域边界安全并没有相应的安全防护手段。移动安全管理平台根据移动系统使用特点及应用方式,从智能终端计算环境、区域边界、网络通信整体考虑移动应用系统的安全风险因素,完善等级保护系统中移动应用系统的建设要求。
7、安全管理与安全制度的融入
信息系统的安全管理内容涉及:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等,是一个庞大、复杂的系统工程。仅仅依靠技术手段来对信息系统的安全进行保障,这样的思想是非常错误。必须要做到“领导重视,严格执行有关管理制度,建立信息安全防范意识,技术手段切实可行、有效”,做到“技管并重”才有可能做到真正意义的安全。
从经营者的角度来看,技术层面和管理层面必须相互结合、配合良好,其中,尤其需要强调管理的重要性,以“七分管理,三分技术”的配比来建设信息系统的安全体系,这样,才有可能构建健康的信息系统安全体系。技术层面通过安装部署相应的安全产品实现,管理层面则通过落实制度和人员培训等手段实现。
等级保护各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合信息系统自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
第二篇:计算机信息系统安全等级保护数据库安全技术要求
《信息安全技术 网络脆弱性扫描产品安全技术要求》
修订说明 工作简要过程 1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容
确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。
安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。
系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别
1)标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4)对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组
2012年9月
第三篇:基于等级保护的电力移动终端安全防护体系设计
基于等级保护的电力移动终端安全防护体系设计 The Design of Power Mobile Terminal Information Security and Protection System Based on Classified
Protection
张涛,林为民,秦超,曾荣,陈亚东 ZHANG Tao,LING Wei-min,QIN Chao
ZENG Rong,CHENG Ya-dong
国网电力科学研究院 江苏省南京市 210003。
(State Grid Electric Power Research Institute ,Nanjing 210003, China)
摘要:随着信息化的建设和发展,移动通信技术和各类移动终端已在电力企业中得到广泛应用。如何保证移动通信终端自身的安全可靠运行和防止机密数据外泄风险,已成为电力企业移动信息化建设过程中需要关注的问题。本文遵循国家等级保护和国家密码管理的要求,从物理安全,网络安全,系统安全,应用安全以及安全管理五个方面对移动终端的安全防护体系进行了设计。根据该安全体系,对移动终端的在线安全接入流程进行了分析。
Abstract:With the construction and development of information technology, mobile communications technology and a variety of mobile terminals has been widely used in electric power enterprises.How to ensure the mobile terminal itself safe and reliable operation and prevent the risk of confidential data leakage has become an issue of concern in the mobile information construction of electric power enterprises.Following the national classified protection and cryptology management requirements, the mobile terminal security system is designed from five aspects: physical security, network security, system security, application security and security management.According to the security system, the secure mobile terminal online access procedures were analyzed.关键词:等级保护 移动终端 安全防护体系
Key words:classified protection;mobile terminal;information security and protection system 1引言
随着国家电网公司信息化建设工程的展开,移动通信技术在电力行业信息化建设中得到广泛的使用。在SG186工程的八大业务应用中,安全生产、营销管理、物资管理等,已经广泛使用了移动终端接入方式,和电力信息内网进行实时、非实时的数据通讯和数据交换。智能电网“信息化、自动化、互动化”的特征,决定信息系统与公网(GRPS/CDMA/3G等)的互动需求会越来越多,从而将会有更多的业务需要使用移动通信技术,并且对移动通信的数据量和实时性要求也将越来越高。目前,SG-ERP已经开始进行规划,对建立坚强信息安全防护体系提出了更高的要求,但作为开放的移动终端作业平台,如何保证移动通信终端可靠并且安全地连入电力信息网络,同时保证机密数据不会遭到泄露,已成为信息化建设过程中的迫切需求和需要思考的问题。
2移动信息化建设现状和安全需求
2.1 移动终端接入的现状
国家电网公司已将信息网划分为信息内网与信息外网,两个网络之间采用专用隔离装置进行安全隔离,取得了很好的安全防护效果。目前,国家电网公司信息化建设过程中涉及到移动设备接入的系统主要有安全生产系统、营销管理系统、物资管理系统、应急指挥系统等。移动设备终端主要包括便携机,移动PDA(附加条形码阅读器和GPS背夹等),以及车载巡检试验系统等。其中以移动PDA的应用最为广泛。在接入方式上,便携机和车载巡检试验系统主要通过以太网直接接入信息外网,而移动PDA可以通过无线网络直接接入信息外网,或者通过笔记本间接接入。
针对多样化的移动终端及各种接入方式,各个网省公司已采取了一定保护手段,如在各级网络边界设置防火墙等,对外界接入进行识别和认证,以防止非法数据入侵电力网络内部。但是电力系统对移动设备本身并没有形成统一的要求和规范,在终端选型方面还是以通用PDA为主,用户可以在装有业务软件的PDA上访问Internet,甚至任意下载安装其他软件,这意味着PDA设备本身的安全性,可靠性都无法得到保障。同时,移动终端作为独立的物理实体,并没有提供有效的措施对内部器件与控制软件进行统一管理和认证;在操作系统设计上也缺乏有效的安全策略;核心数据的存储也未考虑相应的保护措施。随着国家移动通信技术和应用的发展,移动终端在进行业务通信与数据交换时将面临多种安全威胁,如病毒入侵、[1]机密信息的泄露、代码的非法篡改、关键器件的恶意替换等。一旦正在接入信息内网的移动PDA被侵入,遗失或被非法使用,不但会泄露PDA上存储的大量敏感数据,还将对信息网络与业务系统的安全稳定运行造成巨大威胁。2.2 移动终端安全需求分析
鉴于移动终端在信息化业务运作过程中的广泛使用,开展移动作业的网省公司已将移动PDA的安全性列为移动作业平台安全工作的重中之重。为了克服现有移动终端存在的种种安全漏洞,并将安全威胁降低到最小,本文认为:移动终端应从硬件、软件结构入手,制定一系列安全策略,定制电力系统专用安全移动终端及相应规范来保证其所承载业务应用的安全可靠。结合对移动终端的业务场景和安全防护要求分析,我们归纳出了移动终端的如下几个安全需求: 1)移动终端应提供措施实现移动终端关键器件的完整性认证、系统代码的完整性认证、数据流安全监控、应用程序的安全服务等,以保证移动终端在工作时,进入一个安全、可信的工作环境。
2)移动终端应制定完善的安全控制策略、程序的域隔离策略,以实现用户的身份认证、程序的访问权限控制、程序之间通信的安全可靠以及防止程序在运行过程中出现读取、修改、删除其它程序空间数据的非法攻击。
3)移动终端应根据数据、文件的敏感性,对其进行分类存储,并对不同级别的数据、文件采取不同的安全措施。同时定义完善的安全审计策略,以帮助发现已发生的安全事件和潜在的安全风险。
4)移动终端应提供遗失后的数据自毁机制等,如远程信息锁定、信息销毁机制等。以进行敏感信息的清除,防止敏感数据外泄。
3移动终端安全防护体系设计
在充分调研国家电网公司移动信息化的建设现状和安全需求基础上,根据国家等级保护[2]要求,本文从物理安全,网络安全,系统安全,应用安全以及安全管理五个方面进行移动终端安全防护体系的设计,如下图所示:
移动终端安全防护框架物理安全网络安全系统安全应用安全安全管理开机认证一致性校验接口监控关键器件安全身份认证通信加密访问控制操作系统安全移动数据库安全安全域隔离应用软件安全工具软件安全应用数据保护安全审计档案登记管理领用管理遗失管理 图1 移动终端安全防护框架
3.1 物理安全
物理安全是信息系统安全的重要组成部分。移动终端的物理安全设计主要包括如下几个方面:
1)开机认证:结合指纹、UsbKey、CF卡或口令实现开机认证。
2)一致性校验:系统启动后对操作系统装载器、OS内核、硬件配置、关键应用和配置信息等进行验证,确保引导过程中各部件的完整性,一致性,使终端按照经过严格验证的方式进行引导。
3)接口监控:实现对移动终端输入、输出接口进行分类,对各个物理接口进行接入安全控制,如USB端口等。移动终端应能够与智能卡安全的进行信息交互。4)关键器件安全:关键器件应具有抵抗防篡改等物理攻击的能力,或者使得通过此类攻击获得有效信息十分困难。如,防止攻击者输入特定电压而使部分芯片进入非正常工作状态。
[3]3.2 网络安全
认证和加密是保障电网信息网络安全的重要技术,移动终端的网络安全设计主要包括如下几个方面:
1)身份认证:移动终端应支持采用智能卡认证,提供身份认证、电子签名、权限管理等诸多安全功能。2)通信加密:移动终端应提供基于硬件或软件加解密的接口,实现对通信过程中应用数据的机密性和完整性保护。
3)访问控制:移动终端应采取安全措施对系统资源如CPU 指令、存储器、通信模块、设备驱动及系统内核等资源实行强制访问控制,防止非法操作。3.3 系统安全
1)操作系统安全:移动终端自身的操作系统应满足等级保护的相关要求,对采用Windows Mobile的操作系统,应制定严格的安全加固措施。
2)移动数据库安全:微软、Oracle、IBM等都开发了相应的移动数据库产品,在移动终端中采用移动数据库技术时,应支持安全的移动数据库管理功能,支持数据的备份和恢复,保证用户数据的安全可靠。
3)安全域隔离:移动终端应对系统资源和各类数据进行安全域隔离,安全域隔离分为物理隔离和逻辑隔离。其中物理隔离是指对移动终端中的物理存储空间进行划分,不同的存储空间用于存储不同的数据或代码,逻辑隔离主要包括进程隔离、数据的分类存储。3.4 应用安全
1)应用软件安全:在移动终端应用软件的开发过程中,应保证其所承载的安全生产、营销、应急指挥等多种移动业务软件自身的安全。移动终端应采用或开发相应的安全组件为业务应用提供不同类别的安全服务,包括但数据加密、签名与验证以及应用认证等。
2)工具软件安全:移动终端必须进行严格的自身安全防护,禁止安装来历不明的、不能判断安全性的第三方软件,对移动移动终端应定期(如半年、一年)进行人工或系统自动安全检测,对其采用的工具软件进行充分的评测。3)应用数据保护:移动终端应根据数据分类定义对存储的应用数据设计相应的安全级别,可考虑将移动终端中的数据分为敏感数据、私有数据、普通数据等。4)安全审计:系统应支持对移动终端操作进行细粒度的安全审计。3.5 安全管理
1)档案登记管理:对每个移动终端(便携机、PDA)应进行严格的档案登记,并以技术和管理手段加强管理。档案登记应包含单位、工区、使用人、终端识别码、机器序列号、SIM卡号、串号等。
2)领用管理:必须在工作时间登记领出、工作完毕交还管理部门,及时进行作业数据同步,提交作业完成数据。
3)遗失管理: 应建立完善的遗失管理制度,如遗失必须及时报失。同时,应支持采用技术手段进行远程终端锁定、用户权限撤销、信息销毁机制,并进行敏感信息清除,防止外泄。
[4]4 移动终端安全接入方案
在线接入是移动终端接入的高级应用,工作人员可以利用移动终端通过移动运营商提供的无线接入服务,远程登录内网应用服务器。在线更新同步作业包。甚至可以利用手中的移动终端在线同步信息内网应用服务器上的数据,做到实时更新。移动终端在线接入模式下,[5]内网应用服务器连接面临较大安全风险。移动运营商提供的APN/VPDN接入保护只能提供从移动移动运营商之间的通路安全,应用数据存在途中落地的危险。借助移动运营商提供的安全策略并不能完全保证数据不被窃取。从保障数据安全的角度考虑,需要在移动终端与信息网之间增加数据保护策略,防止加密数据落地。移动终端在线接入安全方案如图2所示。
移动终端首先与移动运营商建立无线接入通道,再通过此通道与信息网连接。连接通道建成后,移动终端与信息网内的安全设备相互进行身份认证,通过证书的认证,确认双方都是可信任的。然后双方利用密钥协商机制,采用国家密码管理局批准的专用加密算法,建立安全的数据加密传输通道。利用双方的身份认证,确保移动终端安全可靠的接入信息网,通过加密传输,保障业务数据的传输安全,确保业务数据无法被窃取。
移动终端(SD密码卡)移动运营商(VPDN/APN)信息外网移动接入信息内网应用服务器发起无线连接(1)返回连接成功(2)发起接入信息网(3)返回接入成功(4)发起身份认证(5)返回身份认证成功(6)允许接入内网(7)申请同步任务(8)同意在线同步(9)开始同步任务(10)图2 移动终端在线安全接入流程图
安全隧道建立完成后,移动终端可以通过此安全隧道与信息内网的应用服务器同步数据,既可以通过下载任务包的形式同步,也可以利用移动终端自带的移动数据库与业务系统中的数据库实现实时同步。结语
可以预见,随着信息化建设的深入开展,将会有更多的业务需要使用移动通信技术,同时,各个业务对移动通信的数据量和实时性要求也将越来越高。本文提出了移动终端安全防护框架,设计了移动终端在线安全接入的流程。本安全解决方案充分吸收国家等级保护的最新技术和理念,相关的密码算法和产品选用遵循国家密码管理局的商用密码管理条例,同时在系统设计方面充分考虑国家电网公司移动信息化业务数据安全防护和通信的需求,具有重要的现实的意义。
参考文献
[1] Wayne Jansen, Karen Scarfone.Guidelines on Cell Phone and PDA Security[S].National Institute of Standards and Technology(NIST)Special Publication 800-124, October 2008.[2] 中华人民共和国公安部.GA/T 708-2007 信息安全技术 信息系统安全等级保护体系框架[S].北京: 中国标准出版社.2007.The Ministry of Public Security of the People’s Republic of China.GA/T 708-2007 Information security technology-Architecture framework of security classification protection for information system[S].Beijing: Standards Press of China.2007.[3] 徐云峰,郭正彪.物理安全[M].武汉:武汉大学出版社.2010.XU Yun-feng, GUO Zheng-biao.Physical Scurity[M].WuHan:WUHAN UNIVERSITY PRESS.2010.[4](美)Bruce Schneier.应用密码学-协议、算法与C源程序(第二版)[M].北京:机械工业出版社,2003.(USA)Bruce Schneier.Applied Cryptography – Protocols, algorithms, and source code in C(Second Edition)[M].BeiJing: China Machine Press, 2003.[5] 中国移动开发者社区.APN/VPDN[EB/OL].[2010-05-12].http://dev.chinamobile.com/.China Mobile
Developer
Network.APN/VPDN[EB/OL].[2010-05-12].http://dev.chinamobile.com/ 作者简介
张涛 1976,男,陕西榆林,工程师,信息安全研究室主任,从事网络信息安全研究工作
zhangtao@sgepri.sgcc.com.cn 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 02583096609 *** 林为民 1964,男,江苏连云港,研究员级高级工程师,信息与通信研究所副所长,主要从事电力系统自动化应用、网络信息安全等方面研究及管理工作 linweimin@sgepri.sgcc.com.cn 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 02583096609 *** 秦超 1978,男,江苏盐城,工程师,主要从事网络信息安全产品开发工作,qinchao@sgepri.sgcc.com.cn 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 02583096609 *** 曾荣 1980,男,江苏南京,工程师,主要从事网络信息安全产品开发工作,zengrong@sgepri.sgcc.com.cn 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 02583096609 *** 陈亚东 1982,男,安徽固镇,工程师,主要从事网络信息安全产品开发工作,chenyadong@sgepri.sgcc.com.cn 江苏省南京市江宁区胜利西路9号国网电力科学研究院信通所 210006 02583096609 ***
第四篇:信息安全等级保护体系设计
信息安全等级保护体系设计
《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
设计思路与原则
信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则:
清晰定义安全模型;
合理划分安全等级;
科学设计防护深度;
确保可实施易评估。
具体来说:
1.清晰定义安全模型
面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。
政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。
解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。
在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架),通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。
2.合理划分安全等级
面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。
解决方法:针对保护对象和保障措施划分安全等级。
首先进行信息系统的等级化:
通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。
等级化安全保障体系为用户提供以下价值:
满足大型组织中不同分支机构的个性化安全需求;
可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;
可综合平衡安全成本与风险,能优化信息安全资源配置;
可清晰地比对目标与现状,能准确、完备地提取安全需求。
3.科学设计防护深度
面对的难题:现有安全体系大多属于静态的单点技术防护,缺乏多重深度保障,缺乏抗打击能力和可控性。
信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效,整个安全体系将会失效,从而威胁将影响到整个信息系统,后果是灾难性的。
解决方法:设计多重深度保障,增强抗打击能力。
国家相关指导文件提出“坚持积极防御、综合防范的方针”,《美国国家安全战略》中也指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。我们在设计安全体系时,将安全组织、策略和运作流程等管理手段和安全技术紧密结合,从而形成一个具有多重深度保障手段的防护网络,构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。
4.确保可实施易评估
面对的难题:许多安全体系缺乏针对性,安全方案不可实施,安全效果难以评估。我国许多安全项目在安全体系框架设计方面,由于缺乏深入和全面的需求调研,往往不能切实反映信息系统的业务特性和安全现状,安全体系框架中缺乏可行的实施方案与项目规划,在堆砌安全产品的过程中没有设计安全管理与动态运维流程,缺乏安全审计与评估手段,因此可实施性和可操作性不强。
解决方法:综合运用用户访谈、资产普查、风险评估等手段,科学设计安全体系框架,确保可实施易评估。
我们在设计安全体系时,充分考虑到了上述问题,采取如下措施:
在设计安全体系前,通过对目标信息系统的各方面进行完整和深入调研,采取的手段包括选取典型抽样节点的深入调查和安全风险评估,以及全范围的信息资产和安全状况普查。综合两种手段,得出反映现状的安全保护对象框架及下属的信息资产数据库,以及全面的安全现状报告。
在体系框架设计的同时设计工程实施方案和项目规划;安全体系本身具有非常详尽的描述,具备很强的可工程化能力。在描述安全对策时,不是原则性的,而应是可操作和可落实的。
设计方法
1.总体设计方法
设计政府/大型企业组织安全体系的具体内容包括:
安全保护对象框架
信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查,参照信息保障体系的建模方法,按照威胁分析,将信息资产划分为若干保护对象。
安全保护对策框架
信息系统安全保护对策框架是参照国内外先进的信息安全标准,参考业界通用的最佳实施,并结合大型政府/企业组织的实际情况和现实问题进行定制,对大量可行的安全对策进行等级划分。
信息系统安全体系
信息系统安全体系是以保护对象为经,以安全等级框架为纬,对保护对象逐个进行威胁和风险分析,从而形成信息系统安全体系,其表现形式示意图如图1所示。
2.等级化安全保护对象框架设计
由于政府/大型企业组织的信息系统规模庞大,各分支机构的信息系统之间存在差异,因此必须对信息系统进行抽象,形成统一的保护对象框架。
安全保护对象框架模型的设计(以银行业为例)如图2所示。
3.等级化安全对策框架设计
根据组织的特点设计和定制等级化安全对策框架,并针对组织的现状选择安全对策及其等级。
(1)安全框架层次结构和分类
大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架,分别包括一系列对策类,对策类可进一步细分对策子类,甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合,将对策分级。
(2)安全对策框架等级划分
每个安全对策可分为三个等级,每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时,可认为已达到该等级的对策。安全对策的等级划分,大体参考了GB 17859、GB/T 18336、TCSEC、SP800-53等国内外信息安全标准。不同框架的对策,参照的标准有所不同。
4.等级化安全保障体系设计
安全保障体系的深度防御战略模型将防御体系分为组织、技术和运作三个要素。信息安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。
安全策略体系指的是从信息资产安全管理的角度出发,为了保护信息资产,消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。
安全组织体系作为安全工作的管理和实施体系,主要负责安全策略、制度、规划的制订和实施,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。
安全运作体系,包括安全生命周期中各个安全环节的要求,包括:安全工程管理机制,安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分内容。
总结
等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性,需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施,并同时设计实施方案和建设规划;通过将安全体系指标和安全现状的对比,产生安全需求,并将类似的一组安全需求打包并设计解决方案;然后将一组类似的解决方案打包成可以工程化实施的项目,并通过规划,排出实施的先后顺序,从而分步进行实施。
第五篇:证券期货业信息系统安全等级保护测评要求编制说明(征求意见稿)
《证券期货业信息系统安全等级保护测评要求》
编制说明
(征求意见稿)
《 证券期货业信息系统安全等级保护测评要求》编写组
二〇一一年八月
I
目次
一、背景及意义..............1
二、编制目的与原则.................1
三、编制内容................1
四、主要编制过程............2
五、适用范围................2
六、总体框架................3
七、重大分歧意见的处理和依据..............3
八、行业标准属性的建议.............3
九、废止现行有关标准的建议................3
十、其他应予说明的事项.............3一、背景及意义
《信息系统安全等级保护测评要求》是与《信息系统安全等级保护基本要求》(GBT 22239-2008)相配套的技术标准,用于各测评机构对信息系统的测评、各系统运行单位对系统状态的自查。证监会已组织制定了《证券期货业信息系统安全等级保护基本要求》,用于指导证券期货机构开展信息安全等级保护安全建设整改工作,但是缺少相应的配套标准进一步规范测评机构在证券期货业开展信息安全等级测评工作。
此次,组织制订行业标准《证券期货业信息系统安全等级保护测评要求》,与《证券期货业信息系统安全等级保护基本要求》(JR/T 0060-2010)中的相关内容相对应,以更好地指导证券期货业信息系统的等级测评工作。公安部《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安[2009]1429号)已部署了信息安全等级保护安全建设整改和测评工作。因此,制定行标《证券期货业信息系统安全等级保护测评要求》(以下简称《行业测评要求》)对于证券期货业开展信息安全等级保护工作是必要和迫切的。
二、编制目的与原则
(一)编制目的《行业测评要求》主要用于指导和规范证券期货行业信息安全等级保护安全测评工作。
(二)编制原则
本标准的编制遵循以下原则:
1、《行业测评要求》参考《信息系统安全等级保护测评要求》(国标报批稿)(以下简称《测评要求》)开展规范的编制工作,在体例、条款上保持一致。
2、结合行业实际情况,结合《证券期货业信息系统安全等级保护基本要求》的内容,对《测评要求》(国标报批稿)中安全测评要求的测评方法进行明确、细化和调整。
3、《行业测评要求》中不再针对信息系统提出新的安全要求,仅提出测评方法和测评力度,如需要引用安全要求,须与《行业基本要求》中的安全要求保持一致。
三、编制内容
行业标准《证券期货业信息系统安全等级保护基本要求》(JR/T 0060-2010,以下简称《行业基本要求》)结合行业实际,对国家标准《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008,以下简称《基本要求》)进行了细化、明确和调整。《证券期货业信息系统安全等级保护测评要求》(以下简称《行业测评要求》)需就《行业基本要求》中细化、明确和调整内容对《信息系统安全等级保护测评要求》(以下简称《测评要求》)进行相应调整。以三级系统为例:
1、共有20项要求需要进行细化。例如国标《基本要求》中要求“应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”,在《行业基本要求》中细化为“应用系统应能够对每个业务用户的关键操作提供记录,例如用户登录、用户退出、增加用户、修改用户权限等操作。”因此,在国标《测评要求》中的相应条款“应检查主要应用系统,查看其审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等。”,拟在《行业测评要求》中对应细化为“检查应用系统是否能够对每个业务用户的关键操作提供记录,例如用户登录、用户退出、增加用户、修改用户权限等操作。”
2、共有34项要求需要进行明确。例如国标《基本要求》中要求“应建立备用供电系统。”在《行业基本要求》中明确为“1)应配备或租用发电机;2)发电机供电时间应不小于一个完整交易日。”因此,在国标《测评要求》中的相应条款“应访谈物理安全负责人,询问是否采用冗余或并行的电力电缆线路为计算机系统供电;”,拟在《行业测评要求》中对应明确为
“1)检查机房是否采用了双路供电;2)检查是否配备发电机和UPS作为备用供电电源,并且备用电源的供电时间不小于一个完整交易日;3)如果是租用发电机,应检查租用发电机的合同或相关证明材料。”
3、共有8项要求需要进行调整。例如国标《基本要求》中要求“应限制具有拨号访问权限的用户数量。”在《行业基本要求》中调整为“原则上不应通过互联网对重要信息系统进行远程维护和管理。”因此,在国标《测评要求》中的相应条款“应检查边界网络设备查看其是否限制具有拨号访问权限的用户数量。”,拟在《行业测评要求》中对应调整为“检查是否禁止了通过互联网对重要信息系统通过拨号进行远程维护和管理。”
4、同时,为便于行业监管部门对行业范围系统的安全状况和测评结果进行综合判断和监管,增加了证券期货业信息系统安全等级测评(自查)表,对应《证券期货业信息系统安全等级保护基本要求》(JR/T 0060-2010)中的各项要求,对各控制项中的每个控制点进行安全分析。
四、主要编制过程
第一阶段:研究阶段
2010年9月至2011年3月,中国证监会开始研究证券期货业信息安全等级保护安全建设整改和测评工作,对部分地区的证券期货机构进行调研,进一步了解了信息系统安全等级测评工作的实施难度、可能对系统带来的风险,在充分征求行业各类机构意见的基础上,形成了《行业测评要求》的编写思路。
第二阶段:立项阶段
2011年5月,中国证监会正式向证标委秘书处提交了《行业测评要求》的立项建议书,经证标委秘书处形式审查、征求证标委专家委员会意见后,证标委同意《行业测评要求》立项。
第三阶段:编写阶段
中国证监会组织6名专家(分别来自交易所、证券公司、期货公司、基金公司、测评机构)成立了起草小组,集中工作,形成了《行业测评要求》(草稿)。
第四阶段:第一次征求意见阶段
中国证监会2次向市场核心机构、部分经营机构和国家信息安全等级保护专业测评机构征求意见,共收集了近200条反馈意见,对各单位反馈的意见进行了认真研究,采纳了绝大多数的意见,对未采纳的意见进行了充分讨论。
第五阶段:第一次论证会
7月8日,中国证监会邀请邀请了公安部信息安全等级保护评估中心、中国信息安全测评中心和国家信息技术安全研究中心,部分市场核心机构、证券公司、期货公司和基金管理公司的专家,共同对《行业测评要求》(草稿第二稿)进行讨论,会后,编写小组根据论证会的意见进行了修订,形成了《行业测评要求》(初稿)。
第六阶段:第二次征求意见阶段
8月17日,中国证监会再次向市场核心机构、部分经营机构和国家信息安全等级保护专业测评机构征求意见,各专家反馈意见后,编写小组根据专家意见,对《行业测评要求》(初稿)进行了修订,形成了《行业测评要求》(征求意见稿)。
五、适用范围
《行业测评要求》适用于指导证券期货行业按照等级保护要求进行安全测评和监督管理。
六、总体框架
《行业测评要求》包括前言、引言、12个章节、3个附录,每章包括的具体内容如下: 第1-11章以国际《信息系统安全等级保护测评要求》为基础,针对部分测评实施要求进行了明确、细化和调整,对结果的判定进行了明确化,增加了测评机构在开展测评工作中需要完成《证券期货业信息系统安全等级保护测评(自查)表》的要求。
第12章明确要求了证券期货机构每年要按照《行业测评要求》,开展自查工作,填写《证券期货业信息系统安全等级保护测评(自查)表》的要求
附录A为资料性附录,对测评力度进行了说明。
附录B为资料性附录,对整体测评进行了说明。
附录C为资料性附录,列出了一级至四级信息系统的《证券期货业信息系统安全等级保护测评(自查)表》
七、重大分歧意见的处理和依据
无。
八、行业标准属性的建议
鉴于国际《信息系统安全等级保护测评要求》是推荐性标准,为保持一致,建议本标准作为推荐性行业标准。
九、废止现行有关标准的建议
无。
十、其他应予说明的事项
本标准遵守中华人民共和国现行的法律和法规。
《证券期货业信息系统安全等级保护测评要求》编写组二○一一年八月
点击咨询 