水利科研院所信息安全等级保护测评及制度探讨
2014-02-20刘盈斐王冠华
叶 茂 刘盈斐 王冠华
(1.中国水利水电科学研究院,北京 100038;2.北京中水科信息技术有限公司,北京100038)
水利科研院所信息安全等级保护测评及制度探讨
叶 茂1,2刘盈斐1王冠华1,2
(1.中国水利水电科学研究院,北京 100038;2.北京中水科信息技术有限公司,北京100038)
文章参照国家信息系统的等级保护标准,并结合水利科研单位信息安全现状,提出了适合水利科研院所信息安全等级保护二级的自评测技术和制度,对水利科研单位信息化安全建设具有指导性意义。
水利;信息;安全;等保;测评
水利是信息化业务开展较早的领域,但多年来,水利科研院所的信息化建设存在着重建设,轻管理,重应用,轻安全的突出弊端。水利信息化安全管理资金投入较小且延续性较差,信息安全问题日显突出。水利科研院所掌握着大量的水利基础科研数据,这些数据虽然不属于保密的范畴,但是存储处理这些数据的系统一旦遭受破坏将对水利科研工作带来巨大的损失,甚至有可能会影响到相关水利决策的制定实施,因此对水利科研院所信息系统制定相应的等级保护制度和措施尤其重要。
科研单位的信息系统在不涉及国家秘密的情况下实行的是等级保护制度,信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
信息系统安全等级保护从低到高分为五级[1]。信息系统的等级制定应该遵循公安部制定的《基本要求》[2]标准。水利科研院所根据信息系统的重要性程度,参考分级保护的分级要求一般将自身的信息系统安全等级定为二级[1],即信息系统受到破坏后不损害国家安全、社会秩序和公众利益,但是会对水利科研院所的合法权益产生严重损害,该级别是审计保护级。过高定义自身等级浪费资源资金,过低定义又得不到充分必要的保护,均不可取。
国家对三级以上信息系统要求第三方强制测评,三级以下系统不作强制要求,可依据标准进行自测评,对照标准,发现信息系统安全薄弱环节。
1 定级的标准及其依据
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。
按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。
其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类[1]。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2 水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。
下面以某水利科研单位为例分析。
某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。
机房内网络拓扑结构如图1所示。
图1 某科研院所网络拓扑结构
网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。
由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。
为满足二级要求,重新规划后的拓扑结构如图2所示。
图2 按照二级标准改造后网络拓扑图
新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3 信息系统安全等级测评的内容
3.1 信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
总体结构如图3所示。
图3 水利信息系统总体安全规划设计图
3.2 测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全[3]六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1 网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。
水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。
科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2 主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。
对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3 应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4 数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5 物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6 安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。
制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。
在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。
需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4 测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1 测试目的
工具测试[3]是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2 测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。
收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。
规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。
(1)由低级别系统向高级别系统探测。
(2)同一系统同等重要程度功能区域之间要互相探测。
(3)由外联接口向系统内部探测。
(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3 测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5 云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的[4],这种虚拟动态的运行环境更不可控,传统的安全边界消失[5]。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪[4](风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6 结 语
严格按照国家制定的等级保护测评相关标准规划设计信息网络,加快水利科研院所信息系统安全级别的定级及开展相关测评工作对加快水利信息化安全建设步伐,保障水利科研院所信息系统平稳安全运行起到至关重要的作用。
[1] GB17859-1999 计算机信息系统安全保护等级划分准则[S].北京∶中国标准出版社,1999.
[2] GB/T22239-2008 信息系统安全等级保护基本要求[S].北京∶中国标准出版社,2008.
[3] 公安部信息安全等级保护评估中心.信息安全等级测评培训教程[M].北京∶电子工业出版社,2010.
[4] 沈昌祥.云计算安全与等级保护[J].信息安全与通信保密,2012(1)∶16-17.
[5] 胡伟.信息系统等级保护评测[J].电脑编程技巧与维护,2011(20)146-147+160.
10.3969/j.issn.1008-1305.2014.06.013
TP393
B
1008-1305(2014)06-0039-04
叶 茂(1979年- ),男,高级工程师。