基于等保的信息系统安全需求研究
2014-11-10肖芳芳
肖芳芳
摘 要:该文从信息系统安全等级保护的角度,从技术和管理两个方面分析了信息系统的安全需求,为保证网络基础设施和业务系统正常运行提供信息化安全管理的理论依据。
关键词:等级保护 信息安全 安全管理
中图分类号:TN915 文献标识码:A 文章编号:1674-098X(2014)04(c)-0035-02
21世纪是信息的时代,一方面,信息科学和技术正处于空前繁荣的阶段,信息产业成为世界第一大产业,另一方面,危害信息安全的事件不断发生,信息安全的形势是严峻的。因此在信息社会中,只有厘清信息系统的安全需求,才能确切地把握各类信息系统及计算机网络系统等所面临的风险,并使信息安全风险处于可控范围之内。该文的研究旨在从信息系统安全等级保护的角度,系统地分析信息系统的安全需求,从而为切实保证网络基础设施与业务系统安全、可靠运行提供理论依据。
1 信息系统安全威胁
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁见图1。
2 信息系统安全需求分析
信息系统等级保护的安全需求基本分为技术需求和管理需求两大类。
技术类安全需求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全需求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
2.1 信息系统安全技术需求
2.1.1 物理需求
(1)当面临雷击、地震、台风、高温等自然灾难,需要通过对物理位置的选择、温湿度的控制,以及采取防雷击措施等来解决问题;
(2)供电系统故障,需要合理设计电力供应系统,如:购买UPS系统或者建立发电机机房来保障电力的供应;
(3)网络设备、系统设备及其他设备使用时间过长等原因导致硬件故障,需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理,对存储介质进行管理,建立一套监控管理体系;
(4)攻击者利用非法手段进入机房内部盗窃、破坏等,需要进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施。
2.1.2 网络需求
(1)内部人员未授权接入外部网络,需要通过边界的完整性检查、网络审计、主机审计、应用审计等手段解决。
(2)设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障,需要通过线路状态检测、线路冗余、数据备份与恢复等技术手段解决。
(3)攻击者恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务,需要通过主机资源优化、网络入侵检测与防范、网络结构调整与优化等技术手段解决。
(4)攻击者盗用授权用户的会话连接,需通过身份鉴别、访问控制、通信加密等技术手段解决。
2.1.3 系统需求
(1)攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件,需通过恶意代码方法、控制台审计等技术手段解决。
(2)攻击者利用网络扩散病毒,需通过恶意代码方法、控制台审计等技术手段解决。
(3)内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒。需通过恶意代码防范技术手段解决。
(4)授权用户对系统错误配置或更改。需通过安全审计、数据备份和恢复等技术手段解决。
2.1.4 应用安全需求
(1)系统软件、应用软件运行故障,需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理,对入侵系统和软件的行为进行监测和报警;
(2)系统软件、应用软件过度使用内存、CPU等系统资源,需要对系统软件和应用软件进行入侵行为的防范,并进行实时的监控管理;
(3)攻击者进行非法访问,需要对网络设备进行防护、对访问网络的用户进行访问控制、对访问网络的用户身份进行鉴别来加强访问控制措施;
(4)攻击者提供伪造的应用系统服务进行信息的窃取,需要加强网络边界完整性检查,加强对网络设备进行防护、对访问网络的用户身份进行鉴别。
2.1.5 数据安全需求
(1)内部人员利用技术或管理漏洞,未授权修改重要系统数据或修改系统程序,需要通过网络安全审计、恶意代码防范、网络访问控制、身份鉴别、通信完整性、入侵防范等技术手段解决;
(2)攻击者截获数据,进行篡改、插入,并重发,造成数据的完整性、真实性丧失,需要通过通信完整性、数据完整性、通信保密性、数据保密性、密码管理等技术手段解决;
(3)通信过程中受到干扰等原因发生数据传输错误,需要通过通信完整性、数据完整性等技术手段解决;
(4)攻击者利用通信干扰工具,故意导致通信数据错误,需要通过结构安全和网段划分、通信完整性、数据完整性等技术手段解决。
2.2 信息系统安全管理需求
2.2.1 管理机构
(1)需要建立安全职能部门,设置安全管理岗位,配备必要的安全管理人员、网络管理人员、系统管理人员;
(2)需要配备相应的安全管理员、网络管理员、系统管理员;endprint
(3)需要建立定期和不定期的协调会,就信息安全相关的业务进行协调处理;
(4)需要建立相应的审核和检查部门,安全人员定期的进行全面的安全检查。
2.2.2 管理制度
(1)需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
(2)需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
(3)需要各功能部门协调机制,进行必要的沟通和合作;
(4)需要建立恰当的联络渠道,进行必要的沟通和合作,在必要的时候,进行事件的有效处理;
(5)需要建立备案管理制度,对系统的定级进行备案。
2.2.3 人员安全
(1)需要对人员的录用进行必要的管理,确保人员录用的安全;
(2)需要对人员的考核进行严格的管理,提高人员的安全技能和安全意识;
(3)需要对人员进行安全意识的教育和培训,提高人员的安全意识;
(4)需要对第三方人员访问进行严格的控制,确保第三方人员访问的安全。
2.2.4 系统建设
(1)需要具有设计合理、安全网络结构的能力;
(2)需要密码算法和密钥的使用符合国家有关法律、法规的规定;
(3)需要任何变更控制和设备重用要申报和审批,并对其实行制度化的管理;
(4)需要对信息系统进行合理定级,并进行备案管理;
(5)需要自行开发过程和工程实施过程中的安全;
(6)需要对软硬件的分发过程进行控制;
(7)需要信息安全事件实行分等级响应、处置。
2.2.5 系统运维
(1)需要各种网络设备、服务器正确使用和维护;
(2)需要用户具有鉴别信息使用的安全意识;
(3)需要硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护;
(4)需要提供足够的使用手册、维护指南等资料;
(5)需要在事件发生后能采取积极、有效的应急策略和措施。
3 结论与建议
3.1 以信息系统安全需求促进系统安全等级保护,建立信息安全管理的长效机制
信息安全等级保护是国家信息安全保障工作的基础制度,信息安全需求的研究是从系统风险管理角度最大限度地为保障信息安全提供科学依据,作为信息系统使用机构,开展信息安全等级保护定级和信息安全需求研究工作,其最终目标就是建立“量身定做”的信息安全管理体系。按照“谁主管谁负责、谁运营谁负责”和“适度安全、保护重点”的原则,准确进行安全等级定级,并在信息化建设整个生命周期中构建好信息安全管理体系,并紧紧围绕“信息系统安全需求”这个等级保护主要抓手,结合国家规范、行业规范和系统工作实际,认真探索、大胆创新。
3.2 信息系统安全需求分析是信息安全管理的重要环节
信息系统安全需求的研究是信息安全管理的一个阶段,是信息安全风险管理的重要环节,是信息安全保障体系建立过程中的重要决策机制。信息安全管理要依靠是否满足系统安全的需求来确定随后的风险控制和审核批准活动。信息系统安全需求的提出使得机构能够准确“定位”安全管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。因此,系统安全需求是信息安全管理体系和信息管理管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接依据。
参考文献
[1] 信息产业部电子教育中心.信息安全管理指南[M].重庆大学出版社,2008.
[2] 张泽虹,赵冬梅.信息安全管理与风险评估[M].电子工业出版社,2010.
[3] 徐国爱,陈秀波,郭燕慧.信息安全管理[M].北京邮电大学出版社,2011.endprint
(3)需要建立定期和不定期的协调会,就信息安全相关的业务进行协调处理;
(4)需要建立相应的审核和检查部门,安全人员定期的进行全面的安全检查。
2.2.2 管理制度
(1)需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
(2)需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
(3)需要各功能部门协调机制,进行必要的沟通和合作;
(4)需要建立恰当的联络渠道,进行必要的沟通和合作,在必要的时候,进行事件的有效处理;
(5)需要建立备案管理制度,对系统的定级进行备案。
2.2.3 人员安全
(1)需要对人员的录用进行必要的管理,确保人员录用的安全;
(2)需要对人员的考核进行严格的管理,提高人员的安全技能和安全意识;
(3)需要对人员进行安全意识的教育和培训,提高人员的安全意识;
(4)需要对第三方人员访问进行严格的控制,确保第三方人员访问的安全。
2.2.4 系统建设
(1)需要具有设计合理、安全网络结构的能力;
(2)需要密码算法和密钥的使用符合国家有关法律、法规的规定;
(3)需要任何变更控制和设备重用要申报和审批,并对其实行制度化的管理;
(4)需要对信息系统进行合理定级,并进行备案管理;
(5)需要自行开发过程和工程实施过程中的安全;
(6)需要对软硬件的分发过程进行控制;
(7)需要信息安全事件实行分等级响应、处置。
2.2.5 系统运维
(1)需要各种网络设备、服务器正确使用和维护;
(2)需要用户具有鉴别信息使用的安全意识;
(3)需要硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护;
(4)需要提供足够的使用手册、维护指南等资料;
(5)需要在事件发生后能采取积极、有效的应急策略和措施。
3 结论与建议
3.1 以信息系统安全需求促进系统安全等级保护,建立信息安全管理的长效机制
信息安全等级保护是国家信息安全保障工作的基础制度,信息安全需求的研究是从系统风险管理角度最大限度地为保障信息安全提供科学依据,作为信息系统使用机构,开展信息安全等级保护定级和信息安全需求研究工作,其最终目标就是建立“量身定做”的信息安全管理体系。按照“谁主管谁负责、谁运营谁负责”和“适度安全、保护重点”的原则,准确进行安全等级定级,并在信息化建设整个生命周期中构建好信息安全管理体系,并紧紧围绕“信息系统安全需求”这个等级保护主要抓手,结合国家规范、行业规范和系统工作实际,认真探索、大胆创新。
3.2 信息系统安全需求分析是信息安全管理的重要环节
信息系统安全需求的研究是信息安全管理的一个阶段,是信息安全风险管理的重要环节,是信息安全保障体系建立过程中的重要决策机制。信息安全管理要依靠是否满足系统安全的需求来确定随后的风险控制和审核批准活动。信息系统安全需求的提出使得机构能够准确“定位”安全管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。因此,系统安全需求是信息安全管理体系和信息管理管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接依据。
参考文献
[1] 信息产业部电子教育中心.信息安全管理指南[M].重庆大学出版社,2008.
[2] 张泽虹,赵冬梅.信息安全管理与风险评估[M].电子工业出版社,2010.
[3] 徐国爱,陈秀波,郭燕慧.信息安全管理[M].北京邮电大学出版社,2011.endprint
(3)需要建立定期和不定期的协调会,就信息安全相关的业务进行协调处理;
(4)需要建立相应的审核和检查部门,安全人员定期的进行全面的安全检查。
2.2.2 管理制度
(1)需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
(2)需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
(3)需要各功能部门协调机制,进行必要的沟通和合作;
(4)需要建立恰当的联络渠道,进行必要的沟通和合作,在必要的时候,进行事件的有效处理;
(5)需要建立备案管理制度,对系统的定级进行备案。
2.2.3 人员安全
(1)需要对人员的录用进行必要的管理,确保人员录用的安全;
(2)需要对人员的考核进行严格的管理,提高人员的安全技能和安全意识;
(3)需要对人员进行安全意识的教育和培训,提高人员的安全意识;
(4)需要对第三方人员访问进行严格的控制,确保第三方人员访问的安全。
2.2.4 系统建设
(1)需要具有设计合理、安全网络结构的能力;
(2)需要密码算法和密钥的使用符合国家有关法律、法规的规定;
(3)需要任何变更控制和设备重用要申报和审批,并对其实行制度化的管理;
(4)需要对信息系统进行合理定级,并进行备案管理;
(5)需要自行开发过程和工程实施过程中的安全;
(6)需要对软硬件的分发过程进行控制;
(7)需要信息安全事件实行分等级响应、处置。
2.2.5 系统运维
(1)需要各种网络设备、服务器正确使用和维护;
(2)需要用户具有鉴别信息使用的安全意识;
(3)需要硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护;
(4)需要提供足够的使用手册、维护指南等资料;
(5)需要在事件发生后能采取积极、有效的应急策略和措施。
3 结论与建议
3.1 以信息系统安全需求促进系统安全等级保护,建立信息安全管理的长效机制
信息安全等级保护是国家信息安全保障工作的基础制度,信息安全需求的研究是从系统风险管理角度最大限度地为保障信息安全提供科学依据,作为信息系统使用机构,开展信息安全等级保护定级和信息安全需求研究工作,其最终目标就是建立“量身定做”的信息安全管理体系。按照“谁主管谁负责、谁运营谁负责”和“适度安全、保护重点”的原则,准确进行安全等级定级,并在信息化建设整个生命周期中构建好信息安全管理体系,并紧紧围绕“信息系统安全需求”这个等级保护主要抓手,结合国家规范、行业规范和系统工作实际,认真探索、大胆创新。
3.2 信息系统安全需求分析是信息安全管理的重要环节
信息系统安全需求的研究是信息安全管理的一个阶段,是信息安全风险管理的重要环节,是信息安全保障体系建立过程中的重要决策机制。信息安全管理要依靠是否满足系统安全的需求来确定随后的风险控制和审核批准活动。信息系统安全需求的提出使得机构能够准确“定位”安全管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。因此,系统安全需求是信息安全管理体系和信息管理管理的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为实施风险管理和风险控制提供了直接依据。
参考文献
[1] 信息产业部电子教育中心.信息安全管理指南[M].重庆大学出版社,2008.
[2] 张泽虹,赵冬梅.信息安全管理与风险评估[M].电子工业出版社,2010.
[3] 徐国爱,陈秀波,郭燕慧.信息安全管理[M].北京邮电大学出版社,2011.endprint
