企业信息系统的网络安全等级保护研究报告
2022-07-04郑绍林
摘 要:开展网络安全等级保护工作不仅是实现国家对重要信息系统重点保护的重要措施,也是一项事关国家安全、社会稳定的政治任务。企业信息系统是企业信息化建设、企业信息开放与保护、企业信息开发与利用的 “大脑”和“神经中枢”。企业信息系统的网络安全关系到企业的职能及效益和国家的战略安全,影响社会秩序、民众正常生活。本文分析了当下企业信息系统网络安全方面的态势,其所面临的威胁因素以及企业信息系统进行等级保护测评的重要性,并根据在日常工作中的经验,归纳总结了开展网络安全等级保护工作的流程和注意事项。
关键词:企业信息系统;网络安全;等级保护;测评流程
一、什么是企业信息系统
企业信息系统泛指用于企业的各种信息系统,诸如管理信息系统或决策支持系统、专家系统、各种泛ERP系统或客户关系管理、人力资源管理这样的专职化系统等。从不同的角度来观察信息系统有不同的概念结构。从信息系统的作用观点来看,它由四个主要部件构成:信息源、信息处理器、信息用户和信息管理者。从信息系统对信息的处理过程来看,信息系统可以看成是由输入、处理和输出这三个基本的行为部件构成的。信息系统收集企业内部和外部环境相关的原始数据,经过适当处理后变成有用的信息输出,输出的信息提供给信息使用者和反馈给信息输入端。信息提供给用户,用于进行辅助决策或解决工作当中的有关问题;反馈给输入端可以参与对输人数据的评价,修正数据输入阶段出现的问题。从信息系统对信息的处理内容及决策层次来看,信息系统可以看成一个金字塔式的结构。
二、什么是网络安全
在2016年4月19日召开的网络安全和信息化工作座谈会上强调,维护网络安全“要树立正确的网络安全观”。所谓网络安全观,是人们对网络安全这一重大问题的基本观点和看法。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。其中的信息安全需求,是指通信网络给人们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。网络安全侧重于网络传输的安全,信息安全侧重于信息自身的安全,网络安全可以分为以下几个常见类别:
(一)网络安全是一种保护计算机网络免受入侵者(无论是定向攻击还是条件恶意软件)攻击的技术。
(二)应用程序安全侧重于保护软件和设备免受威胁。受到侵害的应用程序可能会对其旨在保护的数据提供访问权限。并且早在应用程序设计阶段而非部署程序或设备之前,就决定了此应用程序能否成功保障安全。
(三)信息安全设计用于在存储和传输过程中保护数据的完整和私密。
(四)运营安全包括处理和保护数据资产的过程和决策。用户在访问网络时所具有的权限与确定存储或共享数据的时间和位置的步骤均包含在此保护伞下。
(五)灾难恢复和业务连续性定义了组织如何应对网络安全事件或任何其它导致运营或数据损失的事件。灾难恢复策略规定了组织如何恢复其运营和信息,以恢复到事件发生之前的等同运营能力。业务连续性指组织在没有某些资源的情况下尝试运营时所依靠的计划。
(六)最终用户教育解决了最不可预测的网络安全因素:人。任何人都可能因未遵循良好的安全实践而意外将病毒引入到其他安全系统中。因此,教会用户删除可疑电子邮件附件、不要插入未识别的USB驱动器,以及其他各种重要的课程对于所有组织的安全都至关重要。
三、企业信息系统网络安全面临的威胁因素
由于网络技术的不断发展,计算机已经成为一个完全开放的、不受控制的网络系统。目前,网络所面临的安全威胁因素主要有病毒攻击、黑客攻击和拒绝服务攻击。在互联网中,经常会有黑客尝试各种方式侵入计算机系统,然后盗取计算机中的机密文件和数据或者直接破坏重要信息,使计算机无法正常运行,直至瘫痪。结合企业计算机网络系统的实际运行情况,深入分析了企业所面临的网络安全威胁,主要包括以下几个方面:
(一)互联网病毒攻击。网络蠕虫类病毒的流行给网民造成了巨大损失。随着我国互联网技术的高速发展,在互联网环境下,病毒可以很容易进行传播,并且传播速度非常快,病毒可以通过文件或者邮件附件的形式进行传播,给網民带来极大的影响。病毒的高效传播,不仅导致计算机无法正常使用,还将使计算机丢失重要的数据和文件,甚至导致计算机系统瘫痪。
(二)外来入侵情况。企业内部的网络与互联网进行连接,虽然网络中部署了防火墙设置,但是由于没有其他的安全防范措施,还是比较容易受到网络上黑客的攻击。使用补丁,操作系统程序中包含的驱动程序和系统服务可以升级,并实现动态连接,对黑客来说这是一种简便的方法,也是制造计算机病毒的温床。除此之外,黑客还经常使用操作系统提供的远程服务和无密码入口作为入侵通道。
(三)来自内部人员的威胁。任何网络系统都离不开人的控制和管理,网络内部人员的威胁一方面是来自于对企业心生怨愤的内部员工的恶意破坏,企业内部员工特别是有一定权限的管理人员,可以直接接触到核心服务器等关键设备,从而破坏企业内部网络,会造成严重后果。另一方面则是内部员工的操作不规范,或是为了贪图方便绕过网络中的安全系统等违规操作,从而给网络带来各种威胁和潜在隐患。
四、企业信息系统网络安全态势
随着企业上网的迅猛发展,企业信息安全问题变得尤为重要,因为企业信息安全问题直接关系到企业的生存与发展,确保企业信息安全、以便企业不受损失应该成为各级企业用户的共识。现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害,而在科技越来越发达的今天,企业可能要面临另一种“天灾”,那就是——信息安全威胁。下图1为企业信息安全隐患饼状图,从图中可以看出如今网络安全对企业信息系统造成极大威胁。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,企业信息安全更是无从谈起。
五、近年来发生的企业信息系统网络安全事件
互联网的应用越来越广泛,各行业也纷纷建立了信息系统,但是由于受到网络开放性的影响,容易导致网络受到攻击威胁,一旦信息系统被破坏,就会造成严重信息流失。一方面会影响到企业信息安全,另一方面会导致严重的经济损失。以下是近年来的一些企业信息系统的网络安全事件的回顾:
(一)2020年2月,亚马逊网络服务(AWS)成为大规模分布式拒绝服务(DDoS)攻击的目标。该公司经历并缓解了DDoS攻击,其规模为每秒2.3兆比特(Tbps)。它的数据包转发速率为293.1 Mpps,每秒请求速率为694201(rps)。DDoS攻击在一周内造成了三天的威胁加剧,被认为是历史上最大的DDoS攻击之一。
(二)2020年3月19日,,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
(三)2020年4月,世界卫生组织发表声明称疫情期间遭受网络攻击数量急剧增加,约有450个世卫组织及数千名相关工作人员的邮箱、密码遭到泄露。据外媒报道,和世卫组织的数据一起泄露的,还有美国国立卫生研究院,美国疾病预防控制中心,盖茨基金会等机构的数据,共计近25000对邮箱和密码。
(四)2020年7月,Cybernews研究人员发现上海孝信网络的一个含有几十万用户数据的数据库存在安全问题。上海孝信网络科技有限公司,运用互联网+科技养老的新理念,致力于提高中国2亿老人居家养老的生活质量,为老年人提供不同的app和服务。这个数据库中含有超过34万条的GPS位置信息、个人ID、手机号、地址、 用户亲属和监护人的姓名和手机号、GPS位置、哈希的口令等敏感信息记录。
(五)2020年3月,万豪连锁酒店披露了一起安全漏洞,影响了520多万的酒店客人的数据。黑客获得了万豪员工两个账户的登录凭证,这些员工获得了万豪连锁酒店客户信息。大约在漏洞被发现前一个月,他们利用这些信息窃取了数据。被窃取的数据涉及个人详细信息,如姓名、生日、电话号码、旅行信息和忠诚计划信息。
根据Marriot的说法,黑客可能通过伪造证书或网络钓鱼获得了他们员工的证书。此前,这家酒店巨头曾宣布在2018年底发生数据泄露事件,多达5亿名客人受到影响!
由上述安全事件可以看出,信息系统的网络安全关系到国家和企业的战略安全,影响社会秩序、民众正常生活。
六、企业信息系统进行网络安全等级保护的重要性
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管、对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。其中“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。开展网络安全等级保护工作不仅是实现国家对重要信息系统重点保护的重要措施,也是一项事关国家安全、社会稳定的政治任务。
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,与国家安全保持一致,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
七、企业信息系统开展网络安全等级保护工作的依据
在企业信息系统的网络安全等级保护工作中,涉及到主要的依据为:
《中华人民共和国网络安全法》
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技術网络安全等级保护实施指南》(GB/T25058-2019)
《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
《信息安全技术网络安全等级保护设计技术要求》(GB/T250702019)
《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)
《信息安全技术网络安全等级保护测评过程指南》(GB/T284492018)
八、网络安全等级保护工作流程
网络安全等级保护工作的五个规定基本动作为“定级、备案、安全建设整改、等级测评、监督检查”,如图2所示。
(一)定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
(二)备案:持定级报告和备案表等材料到公安机关网安部门进行备案。
(三)安全建设整改:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
(四)等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
(五)监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。
九、定级
《保护条例》在定级阶段新增要求,第二级以上必须经过专家评审、行业主管部门核准。跨省或者全国统一联网由行业主管部门统一拟定安全保护等级,统一组织定级评审。
定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。
根据《信息安全等级保护管理办法》中的规定,信息系统的安全保护等级应当根据信息系统的国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危险程度等因素确定。
《保护条例》第十六条规定,网络运营者应当在规划设计阶段确定网络的安全保护等级。意味着系统使用前须先定级。定级的流程见图3所示:
(一)确定定级对象
作为定级对象的系统信息应具有如下基本特征:①具有确定的主要安全责任体;②承载相对独立的业务应用;③包含相互关联的多个资源。
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面的内容。
(二)确定等级保护对象受到破坏时所侵害的客体和侵害的程度
决定信息系统的安全保护等级由两个定级要素组成:①等级保护对象受到破坏时所侵害的客体;②对客体造成侵害的程度。
客体包括以下三方面:
1、公民、法人和其他组织的合法权益。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
2、社会秩序、公共利益。侵害社会秩序、公共利益的事项包括以下方面:①影响国家机关社会管理和公共服务的工作秩序;②影响各种类型的经济活动按秩序;③影响各行业的科研、生产秩序;④影响各行业的科研、生产秩序;⑤影响公众在法律约束和道德规范下的正常生活秩序等;⑥其他影响社会秩序的事项侵害公共利益的事项包括以下方面:①影响社会成员使用公共设施;②影响社会成员获取公开信息资源;③影响社会成员授受公共服务等方面;④其他影响公共利益的事项
3、国家安全。侵害国家安全的事项包括以下方面:①影响国家政权稳固和国防实力;②影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益;③影响国家重要的安全保卫工作;④影响国家经济竞争力和科技实力;⑤其他影响国家安全的事项确定作为定级对象的企业信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。(三)确定安全保护等级等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:①造成一般损害;②造成严重损害;③造成特别严重损害。
十、企业信息管理系统受破坏后产生的危害后果
企业信息管理系统受破坏后,可能产生以下危害后果:企业内部职工隐私泄露、企业客户隐私泄露、影响企业各部门工作职能降低业务能力、引起法律纠纷、导致财务损失、对社会秩序和公共利益造成损害、对国家安全造成损害。
十一、网络安全等级保护备案办理流程
(一)定级
企業信息管理系统的等级保护定级常定级为第二级或第三级。第二级以上网络运营者在定级、撤销或者变更调整网络安全保护等级时,需在10个工作日内到县级以上公安机关备案。
一般备案需准备以下材料:①信息系统安全等级保护备案表;②信息系统安全等级保护定级报告;③信息系统安全保护等级专家评审意见;④主管部门审核批准信息系统安全保护等级的意见。
三级系统还需提供以下材料(部分地方要求二级系统也需要提供):①系统拓扑结构及说明;②系统安全组织机构和管理制度;③系统安全保护设施设计实施方案或改建实施方案;④系统使用的信息安全产品清单及其认证、销售许可证明。
(二)审核
由公安机关对备案材料进行审核,并在10个工作日内出具网络安全等级保护备案证明。发现不符合有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
(三)安全建设整改
新建的信息系统需根据其安全保护等级的相应基本要求,结合其特殊安全需求,自项目立项之初,同步开展安全建设方案规划设计和系统集成实施工作。
已有信息系统需根据等级测评结果,结合其特殊安全需求,有针对性的从安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全技术整改实施工作。
建设整改工作是网络安全等级保护制度的核心和落脚点,定级备案、等级测评和监督检查最终都要服从和服务于建设整改工作。
安全建设整改是为了保证当建立新的企业信息管理系统时,能让系统在满足自身需求的同时,保障系统的安全保护能力,使系统达到相应等级的基本保护水平。
企业在开展安全技术建设整改之前,通过开展安全保护技术现状分析,查找等级保护对象安全保护技术建设整改需要解决的问题,明确其安全保护技术建设整改的需求;遵从“一个中心、三重防护”的安全架构(其中,“一个中心”即安全管理中心,“三重防护”指的是安全计算环境、安全区域边界、安全通信网络),设计信息系统的安全建设方案,保证安全措施同步规划、同步建设、同步使用。实际工作中,应该秉承“三分技术、七分管理”的理念,设计建设方案时需要将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。安全管理是指在信息系统中对需要人员参与的活动采取必要的管理控制措施,对信息系统的生命周期全过程实施科学管理。安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。
等级保护上的管理分为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”五个方面。
安全管理制度:是指确定安全管理策略,制定安全管理制度。确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
安全管理机构:主要是要设立或明确信息安全领导机构,明确主管领导,落实责任部门,建立岗位和人员管理制度,明确每个岗位的职责与任务,落实安全管理责任制。
安全管理人员:是指加强人员的安全管理。规范人员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技术培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技术考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。
安全建设管理:是指加强系统建设过程的管理。制定系统建设相关的管理制度,明确系统定级、备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门,具体管理内容和控制方法,并按照管理制度落实各项管理措施。
安全运维管理:是指加强系统运维过程的管理。制定系统运维相关的管理制度,明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施
GBT22239-2019《信息安全技术网络安全等级保护基本要求》中划分为安全通用要求和安全扩展要求。其中《GB/T 22239-2019》相较于《GB/T 22239-2008》, 无论是在总体结构方面还是在细节内容方面均发生了变化。《GB/T 22239-2019》采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同, 所采用的保护措施也会不同。安全通用要求针对共性化保护需求提出, 无论等级保护对象以何种形式出现, 需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出, 等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求, 从而更加有效地保护等级保护对象。例如, 传统的信息系统可能只需要采用安全通用要求提出的保护措施即可, 而云计算平台不仅需要采用安全通用要求提出的保护措施, 还要针对云计算平台的技术特点采用云计算安全扩展要求提出的保护措施
(四)等级测评
新建二级系统上线前按照相关标准进行安全性测试。
新建三级以上系统上线前优先进行等保测评,通过等级测评后方可投入运行。第三级以上系统每年进行一次等保测评。要求运营单位每年进行一次自查,并向备案的公安机关报告。三级网络每年做等保测评可以看做一次自查。对二级网络来说,可能需要每年向公安机关提交一份自查报告。
测评目的:一是掌握信息系统安全状态、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应等级的安全保护能力。
在取得网络安全等级保护备案证明后,选择具有国家或行业认可资质的第三方测评机构对系统进行等级测评。等级保护测评围绕着技术要求和管理要求两个大类进行测评。
测评机构的工作流程
①项目启动,与客户沟通,收集系统基本信息,确定测评范围;②进场后与运营单位开项目启动会议,明确现场测评的工作计划并落实配合人员信息;③现场测评,通过工具测试、问卷调查、人员访谈、现场查看等方式进行数据采集;④整理现场采集的数据,采集的记录由配合测评的工作人员确认签字;⑤对采集数据进行初步分析,对照测评标准量化系统现状与标准的差距;⑥與运营单位开结项会,汇报在现场测评工作中发现的问题;⑦对采集数据进行综合分析,根据评估模型得到评估结果,提出合理的整改建议,完成测评报告的编写、报告评审等工作。
在进行测评时,也存在一定的风险,由于企业信息系统的特殊性,数据传输、信息处理的实时性要求高,业务需要一直持续,不能中断服务,不可预料的中断会造成经济损失或者灾难。在进行等保测评中与传统的IT系统的风险有所不同,有一些特殊的方面需要引起注意:
使用在线的漏洞扫描方式有可能导致数据采集服务器宕机,从而造成关键生产数据丢失。而在渗透测试的过程中,如果渗透人员对企业的信息管理系统了解不足,进行了误操作,那么很可能将测试变成了攻击。因此评估设备在使用过程中,需要做好充分的风险识别和处置预案,如漏洞扫描原则上不能直接应用于信息管理系统,而是通过在备用系统或者停产系统上漏扫的方式进行。同时,对于一些重要、尤其是核心基础设施的企业信息管理系统,打补丁、软件版本更新必须慎之又慎,最好能在备用系统上先做测试,确保补丁及更新不会对系统产生不良影响后再在正在运行的系统中进行相应的操作!
(五)测评结论
根据现场采集的数据,参照测评标准,得出各个测评项的得分情况,经过特定的公式进行加权计算,得出被测系统的综合得分,并根据表X得出其测评结论
综合得分计算公式:
q为被测对象涉及的安全类,p(j)为某安全类对应的总测评项数,不含不适用的测评项,m(k)为测评项k对应的测评对象数,0.5为部分符合测评项的得分,如果存在高风险安全问题则直接判定等级测评结论为“差”。
(六)监督检查
公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。对故意将信息系统安全级别定低逃避公安、保密、密码部门监管造成信息系统出现重大安全事故的要追究单位和人员的责任。
结语
企业信息系统的网络安全防护和保护是一个极其复杂的系统工程,需要从软件、硬件、网络以及人员管理、制度规范等多方面同时着手,做好等级保护等级测评工作,找出企业信息系统的安全现状与系统所属等级的安全基线的差距点,制定妥善的整改方案,并落实整改措施,提高系统的安全防护能力,才能真正有效的对企业的关键设施和关键信息安全进行保护,保障企业的职能与效益,进一步巩固国家的经济战略安全等。
参考文献
[1]GBT22239-2019《信息安全技术网络安全等级保护基本要求》
[2]GBT28448-2019《信息安全技术网络安全等级保护测评要求》
[3]刘谦.基于企业环境的网络安全分析[J].现代工业经济和信息化,2021,11(12):107-108+133.
[4]余琪,刘趁,王辉,刘飞.企业信息系统数据安全研究[J].信息技术与信息化,2021(08):211-214.
[5]张宗安.浅谈企业信息系统的发展及趋势[J].计算机与网络,2021,47(11):46.
作者简介:郑绍林(1992.03),男,汉族,广东兴宁人,本科学历,研究方向:网络安全