信息系统等级保护测评实践
2023-08-29
来源:易榕旅网
201 1年第O7期 信息系统等级保 测评实践 肖国煜 (新华通讯社技术局。北京100803) 摘 要:该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、 保障社会稳定的重要组成部分这一事实。随着重要信息系统等级保护工作的深入,信息系统等级自测评与差 距分析得到了广泛重视。文章系统阐述了自测评实践中的基本流程、测评方法与测评成果。 关键词:信息安全;等级保护;等级测评;差距分析 中图分类号:TP393.08 文献标识码:A 文章编号:1671—1122(2011)07—0086—03 Information Systems Classiifed Security Protection Customer Evaluation XIA0 Guo.yu (XinhuaNewsAgency,Beijing 100803,China) Abstract:Social development more dependent on information,protecting information systems security is also important part of the interests of national securiy,safteguard social stability.We pay more attention to the customer evaluation and Gap analysis,with classified securiy protectiton work progress.This paper systematically expounds the basic flow measurement practice,assessment methods and evaluation problem solving. Key words:information security;classiifed security protection;evaluation;gap analysis 0引言 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,是维护国家信息安全的根本保障。通过开展信 息安全等级保护工作,可以有效地解决我国信息安全面临的主要问题,按照“明确重点、突出重点、保护重点”的原则,将有限 的财力、物力、人力投入到重要信息系统的安全保护中去。通过实施信息系统安全等级保护自测评,能够准确把握信息系统安 全状况,帮助信息系统运营使用单位和主管部门按照标准进行安全建设、整改和管理运行 。 1信息系统自测评与差距分析是等级保护工作的重要环节 信息安全等级保护的工作流程主要有:等级保护定级与备案、系统安全建设与整改、等级测评三个阶段。随着国家信息安全 等级保护工作的深入开展,重要的信息系统已经完成了定级备案工作,按照《关于推动信息安全等级保护测评体系建设和开展等 级测评工作的通知》明确要求,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作,各单位已经着手开始制定等 保整改和安全建设方案,通过建设与整改工作落实等级保护制度的各项要求。在建设和整改工作开始之前,我们不应当忽视其 中一个重要的环节,那就是信息系统对照等级保护的基本要求完成定级系统的自测评与差距分析的工作,只有做好这个环节的工 作,才能为我们的建设和整改工作提供充分的支持。 《信息安全等级保护管理办法》第十四条规定,信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全 保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,每年至少进行一次等级测评 】。由此可见测 评与自查的重要性,行之有效的差距分析,是各单位制定整改方案的基础依据。 同时,我们看到信息系统等级保护工作全面推进,等级测评的需求量很大,而国家推荐符合《管理办法》规定条件的测评 机构是有限的。对一个单位信息系统的安全现状的了解是一个持续与循序渐进的过程,测评机构的短周期的测评在某种程度上 存在一定的局限性,而工作在运维一线的技术人员对自己信息系统的技术架构与运维管理水平有着深刻的认识,只有让他们意识 到等级保护工作的重要性,熟悉与掌握自测评的基本流程与方法,才能使自查工作与等级测评工作有机结合,各单位的信息安全 等级保护工作才能进入螺旋上升的良性循环。 ● 收稿时间:2011—05—30 作者简介:肖国煜(1973一),男,高级工程师,本科,主要研究方向:信息安全。 2011年第O7期 2信息系统自测评遇到的主要问题 信息系统自测评过程中普遍遇到的问题是:重要信息系 论证与评审、工程实施过程管理制度、测试与验收管理制度 等内容;系统运维中会涉及事件处置与应急响应制度等内容。 检查是我们主要的测评手段,通过对测评对象进行观察、 查验和分析得出符合性结论。可以进行文档检查(也就是证 据类信息的检查)、实地察看(如机房选址、物理环境测评)、 配置检查(主要是检查主机操作系统、应用系统、网络交换 统近年来都会做过一些风险评估的工作,因此信息系统负责 人往往把目光焦点—下子集中到了脆弱性分析。信息系统的责 任人对等级保护的相关政策与技术标准进行了学习,也完成了 信息系统自主定级的过程。但面对《信息系统安全等级保护 基本要求》等技术标准,面对自己的信息系统,往往是不知 设备与网络安全设备的配置情况)。 从何入手。“等级保护的测评与风险评估有什么区别,做完 等级保护的测评我的系统是不是就安全了”、“为什么和我做 的风险评估有很大差别”。针对上述问题,我们要明确等级 保护的测评是合规性检查,优秀测评工具是等级保护测评工 作的助推器。 2.1等级保护的测评是合规性检测和差距分析 信息系统在系统自测评之前就已经完成了系统的定级工 作,已经明确了信息系统遭到破坏造成的侵害的程度。测评工 作就是对某一级别的安全基线进行合规性检查,主要回答的 是某一个管理要素或技术要素有无的问题,确认你的信息系 统与安全基线偏离程度。我们不应当把等级测评与风险评估 孤立的对待,对等级测评的不符合项进行风险评估是必要的, 不仅是脆弱性的验证,还可以帮助我们判断安全事件发生的 概率、量化可能造成的损失。 2.2自动化、规范化的等级测评工具 等级测评最主要的手段是访谈,因此主观因素的干扰不可 避免。自动化、规范化的等级测评工具必不可 优秀的测评工 具应能够清晰的梳理测评流程;合理分配测评项目到各个专业 技术团队;通过丰富的测评知识库有效降低等级测评难度,提 高等级测评效率;测评案例的模板化(如:门户网站、数据库等) 对测评结果自动进行分析,提取出不符合项,进行风险分析;安 全趋势分析(对历年的自查与等级测评结果进行关联分析)。 3信息系统自测评的实践 3.1等级保护自测评主要流程 等级保护自测评的主要流程包括四个阶段和输出成果: 表1等级保护自测评流程表 项目阶段 重要工作成果 项目准备 《等级测评项目计划书》、现场调研记录表单 方案编制 《等级测评指导书》、《等级测评方案》 现场测评 现场测评记录表单 报告编写 《系统等级测评报告》 3.2测评方法的选择: 测评方法总体上说有三类:访谈、检查和测试。 访谈的目的是对信息系统整体情况进行了解,对各项规 章制度颁布与落实情况的了解。如安全管理方面的基本情况 就会涉及安全管理机构的设置情况、授权审批流程、整体安 全策略、安全制度修订与维护、人员安全管理等内容;系统 规划与建设中就会涉及信息系统安全方案总体设计、安全方案 测试主要是按照预定的方法/工具查看和分析响应的结 果。是获取信息系统安全保护措施有效性的方法。如我们会 使用网络扫描工具验证服务器开放的应用端口,判断边界防 火墙设备防护的有效性。 3.3明确等级保护自测评主要内容 物理安全测评,机房位置是否合适,访问控制、防盗窃、 防破坏、防雷、防火、防静电、温湿度、电力、电磁防护做的怎 么样。网络安全测评,结构安全网络划分、网络访问控制、拨号 访问控制、网络安全审计、边界完整f生检查、网络人侵防范、恶 意代码防范、网络设备防护。主机安全测评,身份鉴别、自主访 问控制、强制访问控制、安全审计、系统保护、剩余信息保护、 人侵防范、恶意代码防范、资源控制。应用安全测评,身份鉴 别、访问控制、安全审计、剩余信自、保护、通信完整性、通信保 密性、抗抵赖、软件容错、资源控制、代码安全。数据安全测评, 数据完整性、数据保密性、数据备份和恢复。安全管理机构测 评,岗位怎么设置的,人员配备、授权和审批、沟通和合作、审 核和检查。管理制度的测评,有哪些管理制度,制定和发布的情 况,发布的范围和周期,评审修订隋况。人员安全管理测评,人 员录用、离岗、考核制度,安全意识教育和培训,第三方人员访 问管理。系统建设管理测评,包括系统建设管理、安全方案设 计、产品采购、自行软件开发、外包软件开发、实施工程、测评 验收、系统交付、系统备案、安全服务商选择。系统运维管理 测评,环境管理、资产管理、介质管理、设备管理、监控管理、 网络安全管理、系统安全管理、恶意代码防范管理、密码管理、 变更管理、备份与恢复管理、安全事件处理、应急预案处理嘲。 3.4测评项目组织与实施 测评项目的组织与实施我们使用测评工具按照图l所示的 流程完成。 我们根据信息系统的规模调整测评周期、测评人员的数 量,基本上划分5个测评组完成测评任务:管理测评组、网 络测评组、主机测评组、系统应用测评组和数据库测评组。 测评准备阶段我们强调了信息收集与分析全面性与完整性,因 为这是测评方案编制中测评对象选取与测评取样的基础;强 调了测试工具接人点的选取方法与原则,不同的接人点会带 来很大的分析差异,特别是在有效性层面的分析。 测评方案编制阶段,测评工具会根据系统的等级情况和 测评对象的选定,关联测评知识库,自动生成测评指导书。 87 L— l