信息系统安全检测技术(通用6篇)
篇1:信息系统安全检测技术
信息安全技术 信息系统安全等级保护测评过程指南
送审稿
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:
——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求; ——GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南; ——GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求。
信息安全技术
信息系统安全等级保护测评过程指南 范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术 信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术 信息系统安全等级保护测评要求 《信息安全等级保护管理办法》(公通字[2007]43号)3 术语和定义
GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD确立的以及下列的术语和定义适用于本标准。3.1
优势证据 superior evidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证明力明显大于其他测评结果的证明力的那个(些)测评结果即为优势证据。4 等级测评概述 4.1 等级测评的作用
依据《信息安全等级保护管理办法》(公通字[2007]43号),信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
在信息系统运维过程中,信息系统运营、使用单位定期委托测评机构开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。4.2 等级测评执行主体
可以为三级及以上等级信息系统实施等级测评的等级测评执行主体应具备如下条件:在中华人民共和国境内注册成立(港澳台地区除外);由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);从事相关检测评估工作两年以上,无违法记录;
工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;使用的技术装备、设施应当符合《信息安全等级保护管理办法》(公通字[2007]43号)对信息安全产品的要求;具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家安全、社会秩序、公共利益不构成威胁。(摘自《信息安全等级保护管理办法》(公通字[2007]43号))
等级测评执行主体应履行如下义务:遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。4.3 等级测评风险
等级测评实施过程中,被测系统可能面临以下风险。4.3.1 验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。4.3.2 工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。4.3.3 敏感信息泄漏
泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。4.4 等级测评过程
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构对已经实施过一次(或以上)等级测评的被测系统的等级测评,测评机构和测评人员可以根据实际情况调整部分工作任务,具体原则见附录A。
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
4.4.1 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。4.4.2 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。4.4.3 现场测评活动 本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。4.4.4 分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T DDDD-DDDD的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。5 测评准备活动
5.1 测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1:
5.2 测评准备活动的主要任务 5.2.1 项目启动
在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入:委托测评协议书。任务描述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。b)测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:项目计划书。5.2.2 信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。任务描述:
a)测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。b)测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c)测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:填好的调查表格。5.2.3 工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:各种与被测系统相关的技术资料。任务描述:
a)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b)测评人员模拟被测系统搭建测评环境。
c)准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。5.3 测评准备活动的输出文档
测评准备活动的输出文档及其内容如表1所示:
5.4 测评准备活动中双方的职责 测评机构职责:
a)组建等级测评项目组。
b)指出测评委托单位应提供的基本资料。
c)准备被测系统基本情况调查表格,并提交给测评委托单位。d)向测评委托单位介绍安全测评工作流程和方法。
e)向测评委托单位说明测评工作可能带来的风险和规避方法。
f)了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。g)初步分析系统的安全情况。h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设状况与发展情况。b)准备测评机构需要的资料。
c)为测评人员的信息收集提供支持和协调。d)准确填写调查表格。e)根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。f)制定应急预案。方案编制活动
6.1 方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图 2:
6.2 方案编制活动的主要任务 6.2.1 测评对象确定
根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。输入:填好的调查表格。任务描述:
a)识别并描述被测系统的整体结构
根据调查表格获得的被测系统基本情况,识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识(名称),物理环境,网络拓扑结构和外部边界连接情况等,并 给出网络拓扑图。
b)识别并描述被测系统的边界
根据填好的调查表格,识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式,如采用光纤、无线和专线等;描述各边界主要设备,如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备,一般可以把该设备划到等级较高的那个信息系统中。c)识别并描述被测系统的网络区域
一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统,应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d)识别并描述被测系统的重要节点
描述系统节点时可以以区域为线索,具体描述各个区域内包括的计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、网络硬件设备(包括交换机、路由器、各种适配器等)等,并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。e)描述被测系统
对上述描述内容进行整理,确定被测系统并加以描述。描述被测系统时,一般以被测系统的网络拓扑结构为基础,采用总分式的描述方法,先说明整体结构,然后描述外部边界连接情况和边界主要设备,最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。f)确定测评对象
分析各个作为定级对象的信息系统,包括信息系统的重要程度及其相关设备、组件,在此基础上,确定出各测评对象。g)描述测评对象
描述测评对象时,一般针对每个定级对象分门别类加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式,包括测评对象所属区域、设备名称、用途、设备信息等内容。
输出/产品:测评方案的测评对象部分。6.2.2 测评指标确定
根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。输入:填好的调查表格,GB/T 22239-2008。任务描述:
a)根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施ASG组合情况。
b)从GB/T 22239-2008中选择相应等级的安全要求作为测评指标,包括对ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为:安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T 22239-2008“技术要求”中的3级通用安全保护类要求(G3),2级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求”中的所有要求。
c)对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。d)分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。例如,一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象,测评指标可以列出下表:
6.2.3 测试工具接入点确定
在等级测评中,对二级和二级以上的信息系统应进行工具测试,工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。
输入:填好的调查表格,GB/T DDDD-DDDD。任务描述:
a)确定需要进行工具测试的测评对象。
b)选择测试路径。一般来说,测试工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。c)根据测试路径,确定测试工具的接入点。
从被测系统边界外接入时,测试工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪,可以捕获应用程序的网络数据包,查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集,试图利用被测试系统的主机或网络设备的安全漏洞,跨过系统边界,侵入被测系统主机或网络设备。
从系统内部与测评对象不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器,可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具,可以探测信息系统的网络拓扑情况。在系统内部与测评对象同一网段内接入时,测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器,可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说,该点扫描探测出的漏洞数应该是最多的,它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备,则可以在该接入点接入非法外联检测设备,测试各终端设备是否出现过非法外联情况。
d)结合网络拓扑图,采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出/产品:测评方案的测评内容中关于测评工具接入点部分。6.2.4 测评内容确定
本部分确定现场测评的具体实施内容,即单元测评内容。
输入:填好的调查表格,测评方案的测评对象、测评指标及测评工具接入点部分。任务描述: a)确定单元测评内容
依据GB/T DDDD-DDDD,将前面已经得到的测评指标和测评对象结合起来,然后再将测评对象与具体的测评方法结合起来,这也是编制测评指导书测评指导书的第一步。
具体做法就是把各层面上的测评指标结合到具体测评对象上,并说明具体的测评方法,如此构成一个个可以具体实施测评的单元。参照GB/T DDDD-DDDD,结合已选定的测评指标和测评对象,概要说明现场单元测评实施的工作内容;涉及到工具测试部分,应根据确定的测试工具接入点,编制相应的测试内容。在测评方案中,现场单元测评实施内容通常以表格的形式给出,表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。现场单元测评实施内容表格描述的基本格式之一为:
6.2.5 测评指导书开发 测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、充分。输入:测评方案的测试工具接入点、单元测评实施部分。任务描述:
a)描述单个测评对象,包括测评对象的名称、IP地址、用途、管理人员等信息。b)根据GB/T DDDD-DDDD的单元测评实施确定测评活动,包括测评项、测评方法、操作步骤和预期结果等四部分。
测评项是指GB/T 22239-2008中对该测评对象在该用例中的要求,在GB/T DDDD-DDDD中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法,具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法,每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤,是按照GB/TDDDD-DDDD中的每个“测评实施”项目开发的操作步骤,涉及到工具测试时,应描述工具测试路径及接入点等;预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。
c)单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述,可以以测评用例的方式进行组织。
单元测评的测评指导书描述的基本格式为:
输出/产品:测评指导书,测评结果记录表格。6.2.6 测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容:项目概述、测评对象、测评指标、测评工具的接入点以及单元测 评实施等。
输入:委托测评协议书,填好的调研表格,GB/T 22239-2008中相应等级的基本要求,测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。任务描述:
a)根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。
b)根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
c)依据委托测评协议书和被测系统情况,估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。d)根据测评项目组成员安排,编制工作安排情况。
e)根据以往测评经验以及被测系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。在进行时间计划安排时,应尽量避开被测系统的业务高峰期,避免给被测系统带来影响。同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排。f)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
g)评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。然后,测评机构将测评方案提交给测评委托单位签字认可。
输出/产品:经过评审和确认的测评方案文本。6.3 方案编制活动的输出文档
方案编制活动的输出文档及其内容如表5所示:
6.4 方案编制活动中双方的职责 测评机构职责:
a)详细分析被测系统的整体结构、边界、网络区域、重要节点等。b)初步判断被测系统的安全薄弱点。
c)分析确定测评对象、测评指标和测试工具接入点,确定测评内容及方法。d)编制测评方案文本,并对其内部评审,并提交被测机构签字确认。
测评委托单位职责:
a)对测评方案进行认可,并签字确认。现场测评活动
7.1 现场测评活动的工作流程
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。这三项任务的基本工作流程见图3:
7.2 现场测评活动的主要任务 7.2.1 现场测评准备
本任务启动现场测评,是保证测评机构能够顺利实施测评的前提。输入:现场测评授权书,测评方案。任务描述:
a)测评委托单位签署现场测评授权书。
b)召开测评现场首次会,测评机构介绍测评工作,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等,以便于后面的测评工作开展。
c)测评双方确认现场测评需要的各种资源,包括测评委托单位的配合人员和需要提供的测评条件等,确认被测系统已备份过系统及数据。
d)测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
输出/产品:会议记录,更新后的测评计划和测评程序,确认的测评授权书等。7.2.2 现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。7.2.2.1 访谈
输入:测评指导书,技术安全和管理安全测评的测评结果记录表格。任务描述:
a)测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。具体可参照GB/T DDDD-DDDD中的各级要求。
输出/产品:技术安全和管理安全测评的测评结果记录或录音。7.2.2.2 文档审查
输入:安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录等过程记录文档,测评指导书,管理安全测评的测评结果记录表格。任务描述:
a)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。
b)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
c)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致。
三级:满足GB/T 22239-2008中的三级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。
四级:满足GB/T 22239-2008中的四级要求,所有文档应具备且完整,并且所有文档之间应保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致,安全管理过程应与系统设计方案保持一致且能够有效管理系统。输出/产品:管理安全测评的测评结果记录。7.2.2.3 配置检查
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。b)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。c)针对网络连接,应对连接规则进行验证。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性。
三级:满足GB/T 22239-2008中的三级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。
四级:满足GB/T 22239-2008中的四级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,测试系统是否达到可用性和可靠性的要求。输出/产品:技术安全测评的网络、主机、应用测评结果记录。7.2.2.4 工具测试
输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述:
a)根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。b)备份测试结果。
下面列出对不同等级信息系统在测评实施时的不同强度要求。
一级:满足GB/T 22239-2008中的一级要求。
二级:满足GB/T 22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。
三级:满足GB/T 22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
四级:满足GB/T 22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
输出/产品:技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件。7.2.2.5 实地察看
输入:测评指导书,技术安全测评的物理安全和管理安全测评结果记录表格。任务描述:
a)根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
下面列出对不同等级信息系统在测评实施时的不同强度要求。一级:满足GB/T 22239-2008中的一级要求。二级:满足GB/T 22239-2008中的二级要求。
三级:满足GB/T 22239-2008中的三级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。
四级:满足GB/T 22239-2008中的四级要求,判断实地观察到的情况与制度和文档中说明的情况是否一致,检查相关设备、设施的有效性和位置的正确性,与系统设计方案的一致性。输出/产品:技术安全测评的物理安全和管理安全测评结果记录。7.2.3 结果确认和资料归还
输入:测评结果记录,工具测试完成后的电子输出记录。任务描述:
a)测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
b)召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。
c)测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
输出/产品:现场测评中发现的问题汇总,证据和证据源记录,测评委托单位的书面认可文件。
7.3 现场测评活动的输出文档
现场测评活动的输出文档及其内容如表6所示:
7.4 现场测评活动中双方的职责 测评机构职责:
a)利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况,并获取相关证据。
测评委托单位职责:
a)测评前备份系统和数据,并确认被测设备状态完好。b)协调被测系统内部相关人员的关系,配合测评工作的开展。c)签署现场测评授权书。
d)相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。
e)相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。f)相关人员协助测评人员完成业务相关内容的问询、验证和测试。g)相关人员对测评结果进行确认。h)相关人员确认测试后被测设备状态完好。分析与报告编制活动
8.1 分析与报告编制活动的工作流程
在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。这六项任务的基本工作流程见图4:
8.2 分析与报告编制活动的主要任务 8.2.1 单项测评结果判定
本任务主要是针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。输入:技术安全和管理安全的单项测评结果记录,测评指导书。任务描述:
a)针对每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。
b)分析单个测评项是否有多方面的要求内容,针对每一方面的要求内容,从一个或多个测评证据中选择出“优势证据”,并将“优势证据”与要求内容的预期测评结果相比较。
c)如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。
根据“优势证据”的定义,具体从测评方式上来看,针对物理安全测评,实地察看证据相比文档审查证据为优势证据,文档审查证据相比访谈证据为优势证据;针对技术安全的其他方面测评,工具测试证据相比配置检查证据为优势证据,配置检查证据相比访谈证据为优势证据;针对管理安全测评,优势证据不确定,需根据实际情况分析确定优势证据。
输出/产品:测评报告的单元测评的结果记录部分。8.2.2 单元测评结果判定
本任务主要是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
输入:测评报告的单元测评的结果记录部分。任务描述:
a)按层面分别汇总不同测评对象对应测评指标的单项测评结果情况,包括测评多少项,符合要求的多少项等内容,一般以表格形式列出。
汇总统计分析的基本表格形式可以如下:
注:“.”表示“符合”,“.”表示部分符合,“×”表示“不符合”,“N/A”表示“不适用”。
上表中的符号即为测评对象对应的单元测评结果。测评对象在某个测评指标的单元测评结果判别原则如下:
1. 测评指标包含的所有适用测评项的单项测评结果均为符合,则该测评对象对应该测评指标的单元测评结果为符合;
2. 测评指标包含的所有适用测评项的单项测评结果均为不符合,则该测评对象对应该测评指标的单元测评结果为不符合;
3. 测评指标包含的所有测评项均为不适用项,则该测评对象对应该测评指标的单元测评结果为不适用; 4. 测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合,则该测评对象对应该测评指标的单元测评结果为部分符合。
输出/产品:测评报告的单元测评的结果汇总部分。
8.2.3 整体测评
针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。输入:测评报告的单元测评的结果汇总部分。任务描述:
a)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。b)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
c)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他区域的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
d)从安全角度分析被测系统整体结构的安全性,从系统角度分析被测系统整体安全防范的合理性。e)汇总上述分析结论,形成表格。
表格基本形式如下:
输出/产品:测评报告的整体测评部分。8.2.4 风险分析
测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
输入:填好的调查表格,测评报告的单元测评的结果汇总及整体测评部分。任务描述:
a)结合单元测评的结果汇总和整体测评结果,将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析,统计符合情况。一般可以表格的形式描述。
表格的基本形式可以如下:
b)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
c)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低。
d)综合b)和c)的结果,对被测系统面临的安全风险进行赋值,风险值的取值范围为高、中和低。e)结合被测系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
输出:测评报告的测评结果汇总及风险分析和评价部分。8.2.5 等级测评结论形成
测评人员在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
输入:测评报告的测评结果汇总部分。任务描述:
a)根据表9测评结果汇总表格,如果部分符合和不符合项的统计结果不全为0,则该信息系统未达到相应等级的基本安全保护能力;如果部分符合和不符合项的统计结果全为0,则该信息系统达到了相应等级的基本安全保护能力。
输出/产品:测评报告的等级测评结论部分。8.2.6 测评报告编制
测评报告应包括但不局限于以下内容:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中,概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据;被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容,有改动的地方应根据实际测评情况进行修改。
输入:测评方案,单元测评的结果记录和结果汇总部分,整体测评部分,风险分析和评价部分、等级测评结论部分。任务描述:
a)测评人员整理前面几项任务的输出/产品,编制测评报告相应部分。一个测评委托单位应形成一份测评报告,如果一个测评委托单位内有多个被测系统,报告中应分别描述每一个被测系统的等级测评情况。b)针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。
c)列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
d)测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
e)评审通过后,由项目负责人签字确认并提交给测评委托单位。
输出/产品:经过评审和确认的被测系统等级测评报告。8.3 分析与报告编制活动的输出文档
分析与报告编制活动的输出文档及其内容如表10所示:
8.4 分析与报告编制活动中双方的职责 测评机构职责:
a)分析并判定单项测评结果和整体测评结果。b)分析评价被测系统存在的风险情况。c)根据测评结果形成等级测评结论。
d)编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。e)评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。f)将生成的过程文档归档保存,并将测评过程中生成的电子文档清除。
测评委托单位职责: a)签收测评报告。
附录A(资料性附录)等级测评工作流程
受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。
受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。具体如图5所示:
上图是对受委托测评机构对信息系统实施初次等级测评的基本工作流程。如果被测系统已经实施过一次(或多次)等级测评,上图中的四个活动保持不变,但是具体任务内容会有所变化。测评机构和测评人员可以根据上一次等级测评中存在的问题和被测系统的实际情况调整部分工作任务内容。例如,信息收集和分析任务中,可以只收集那些自上次等级测评后有所变更的信息,其他信息可以重用上次等级测评结果;测评对象尽量选择上次等级测评中未测过或存在问题的作为测评对象;测评内容也应关注上次等级测评中发现的问题。不同等级信息系统的等级测评的基本工作活动与图5中信息系统的等级测评活动应完全一致,即:测评准备、方案编制、现场测评、分析与报告编制四项活动。由于图5给出的是较为全面的工作流程和任务,因此,较低等级信息系统的等级测评的各个活动的具体工作任务应在图5基础上删除或简化部分内容。如针对二级信息系统的等级测评,测评人员在分析与报告编制活动中可以不进行单项测评结果汇总分析,仅进行简单的汇总等。相反,较高等级信息系统的等级测评的工作任务则可以在此基础上增加或细化部分内容。如针对四级信息系统的等级测评,在测评对象确定任务中,不但需要确定出测评对象,还需给出选择这些测评对象的过程及理由等;整体测评需设计具体的整体测评实例等。
附录B
(资料性附录)测评对象确定方法 B.1 测评对象确定原则和方法
测评对象是等级测评的直接工作对象,也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件,因此,选择测评对象是编制测评方案的必要步骤,也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象的确定一般采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。在确定测评对象时,需遵循以下原则:
1. 恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求; 2. 重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等; 3. 安全性,应抽查对外暴露的网络边界;
4. 共享性,应抽查共享设备和数据交换平台/设备;
5. 代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。
B.2 具体确定方法说明 B.2.1 第一级信息系统
第一级信息系统的等级测评,测评对象的种类和数量比较少,重点抽查关键的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 整个系统的网络拓扑结构;
3. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
4. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等; 5. 对整个信息系统的安全性起决定作用的网络互联设备,如核心交换机、路由器等; 6. 承载最能够代表被测系统使命的业务或数据的核心服务器(包括其操作系统和数据库); 7. 最能够代表被测系统使命的重要业务应用系统; 8. 信息安全主管人员;
9. 涉及到信息系统安全的主要管理制度和记录,包括进出机房的登记记录、信息系统相关设计验收文档等。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查一台作为测评对象。B.2.2 第二级信息系统
第二级信息系统的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 整个系统的网络拓扑结构;
4. 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
5. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
6. 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
7. 承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库); 8. 重要管理终端;
9. 能够代表被测系统主要使命的业务应用系统; 10. 信息安全主管人员、各方面的负责人员; 11. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。B.2.3 第三级信息系统
第三级信息系统的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等; 8. 承载被测系统主要业务或数据的服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端;
10. 能够完成被测系统不同业务使命的业务应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。B.2.4 第四级信息系统
第四级信息系统的等级测评,测评对象种类上完全覆盖、数量进行抽样,重点抽查不同 种类的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面:
1. 主机房和全部辅机房(包括其环境、设备和设施等); 2. 介质的存放环境; 3. 办公场地;
4. 整个系统的网络拓扑结构;
5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;
6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
7. 主要网络互联设备,包括核心和汇聚层交换机; 8. 主要服务器(包括其操作系统和数据库); 9. 管理终端和主要业务应用系统终端; 10. 全部应用系统; 11. 业务备份系统;
12. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查三台作为测评对象。附录C
(资料性附录)等级测评工作要求 C.1 依据标准,遵循原则
等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等级测评目标和内容应依据GB/T 22239-2008,对具体测评项的测评实施方法则依据GB/T DDDD-DDDD。
在等级测评实施活动中,应遵循GB/T DDDD-DDDD中规定的测评原则,保证测评工作公正、科学、合理和完善。
C.2 恰当选取,保证强度
恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。
保证强度是指对被测系统应实施与其等级相适应的测评强度。C.3 规范行为,规避风险
测评机构实施等级测评的过程应规范,包括:制定内部保密制度;制定过程控制制度; 规定相关文档评审流程;指定专人负责保管等级测评的归档文件等。
测评人员的行为应规范,包括:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价 测评结果;不将测评结果复制给非测评人员等。
规避风险,是指要充分估计测评可能给被测系统带来的影响,向被测系统运营/使用单位揭示风险,要求其提前采取预防措施进行规避。同时,测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险,尽量避免给被测系统和单位带来影响。附录D
(资料性附录)
测评方案与报告编制示例
某公司(简称“AAA”)用电信息系统承载着该公司的电力营销业务,由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,是一个安全等级为三级的信息系统。
现场测评时间为X年X月X日至X年X月X日,现场测评小组分为管理组(2人)和技术组(4人)两组,分别完成安全管理和安全技术方面的测评。D.1 测评方案编制示例 针对AAA用电信息系统的实际情况,下面从被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容以及配套的测评指导书等方面说明测评方案的编制方法。D.1.1 被测系统描述
被测系统为承载着AAA公司电力营销业务,是AAA公司的重要信息系统,其安全等级定为三级(S3A2G3)。
被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成,对内有业务扩充管理、电量计量管理、电费结算、收费、统计分析等业务功能模块;对外有可以为Internet网、大客户单位、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房,其它功能区域位于中心机房。
与被测系统相连的外部连接有Internet、外联单位(包括DDN单位和PSTN用户)和控制网三处。在Internet、外联单位的边界连接处设置了防火墙;与控制网连接是通过交换机SJ6506以共用服务器方式进行的。整个网络拓扑结构示意图如图6所示。D.1.2 测评对象
根据用电信息系统的实际情况,分别确定物理安全、网络安全、主机安全、应用安全等各层面的测评对象。
a)物理方面主要是测评屏蔽机房和主机房。
b)网络方面主要测评的设备有:路由器、交换机、防火墙、IDS、外联检测、防病毒等,如表11所示。
c)主机方面主要测评的主机服务器(包括数据库服务器)如表12所示。
d)应用方面主要测评的应用系统如表13所示。
e)安全管理,主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。
D.1.3 测评指标
被测系统的定级结果为:安全保护等级为3级,业务信息安全等级为S3,系统服务安全等级为A2;则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类(G3),3级业务信息安全指标类(S3),2级系统服务安全指标类(A2),以及第3级“管理要求”中的所有指标类。本次测评的测评指标情况具体如表14所示。
D.1.4 测评工具和接入点
本次测评的信息系统为3级信息系统,根据3级信息系统的测评强度要求,在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试,功能测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统等。因此,对其进行测评,应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。针对被测系统的网络边界和测评设备、主机和业务应用系统的情况,需要在被测系统及其互联网络中设置6个测试工具接入点――接入点JA到JF,如图7所示,“接入点”标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向示意。
a)在接入点JA接入扫描器,模拟Internet用户,探测对外服务功能区上各服务器对Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。b)在接入点JB接入扫描器,模拟外联单位,探测对外服务功能区上各服务器对外联单位暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。
c)在接入点JC接入扫描器,直接测试对外服务功能区上各服务器对网络暴露的安全漏洞情况。同时,试图穿过防火墙,探测业务处理功能区上各服务器对外暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用业务处理功能区上各服务器的安全漏洞入侵服务器。d)……
D.1.5 测评内容
本次测评的单项测评从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。a)物理安全
物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。
在内容上,物理安全层面测评实施过程涉及10个测评单元,具体如表15所示:
b)网络安全
网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。
在内容上,网络安全层面测评实施过程涉及7个测评单元,具体如表16所示:
c)主机系统安全
主机系统安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统,数据库管理系统为数据库服务器Sybase。
在内容上,主机系统安全层面测评实施过程涉及7个测评单元,具体如表17所示。
d)应用安全
应用安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。
在内容上,应用安全层面测评实施过程涉及9个测评单元,具体如表18所示。
e)数据安全
数据安全测评将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。
在内容上,数据安全层面测评实施过程涉及3个测评单元,具体如表19所示。
f)安全管理部分
安全管理部分为全局性问题,涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。其中,安全管理制度测评实施过程涉及3个测评单元,安全管理机构测评实施过程涉及5个测评单元,人员安全管理测评实施过程涉及5个测评单元,系统建设管理测评实施过程涉及11个测评单元,系统运维管理测评实施过程涉及13个测评单元等。由于管理部分的测评内容在描述时差异不大,这里以安全管理制度部分为例说明。
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,具体如表20所示。
D.1.6 测评指导书
下面从被测系统的物理安全、网络安全、主机安全、应用安全等技术部分和安全管理部分分别举例说明测评指导书的格式和开发方法。a)物理安全
按照方案的要求,物理安全应测评物理位置选择(G3)、物理访问控制(G3)、防盗窃和防破坏(G3)、防雷击(G3)、防水和防潮(G3)、防静电(G3)、温湿度控制(G3)、电力供应(A2)和电磁防护(S3)等。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于温湿度控制(G3),在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。”,按照该要求在GB/T DDDD-DDDD的第三级中找到对应测评方法,然后按照该方法开发出对应的预期结果。按照上述思路,对于“温湿度控制(G3)”可以开发出如下的测评指导书。【测评项】
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。【测评实施过程】
1. 应访谈物理安全负责人,询问机房是否配备了温、湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;
2. 应访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件;
3. 应检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前实际情况相符合;
4. 应检查温、湿度自动调节设施是否能够正常运行,查看温湿度记录、运行记录和维护记录;查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。
【预期结果】
1. 执行步骤1),机房配备了温、湿度自动调节设施,在机房管理制度中规定了温湿度控制的要求,有人负责此项工作;
2. 执行步骤2),定期检查和维护机房的温湿度自动调节设施,没有出现过温湿度影响系统运行的事件; 3. 执行步骤3),有温湿度控制设计/验收文档,能够满足系统运行需要,与当前实际情况相符合; 4. 温、湿度自动调节设施能够正常运行,机房温、湿度满足GB 2887-89《计算站场地技术条件》的要求。b)网络安全
按照测评方案的要求,核心交换机SJ6509应测评网络访问控制(G3)、网络安全审计(G3)、网络设备防护(G3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于网络设备防护(G3),在GB/T 22239-2008中的描述之一为“应对网络设备的管理员登录地址进行限制”,按照该项要求找到对应测评实施(方法),然后开发出对应的操作步骤和预期结果即可。按照上述思路,对于“网络设备防护(G3)” 的一个测评项可以开发如下的测评指导书。【测评项】
应对网络设备的管理员登录地址进行限制。【测评实施过程】
1. 应检查边界和主要网络设备上的安全设置,查看是否对边界和主要网络设备的管理员登录地址进行限制;
2. 应测试边界和主要网络设备的安全设置,对网络设备的管理员登录地址进行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效。
【操作步骤】
1. 执行命令:show ip permit,查看IP地址限定情况;
2. 在业务处理功能区中,用主机192.168.1.3(限制的IP地址)试图登录SJ6509的管理界面,查看是否成功。
【预期结果】
1. 执行步骤1),系统对管理IP地址进行了限定;
2. 执行步骤2),192.168.1.3登录SJ6509的管理界面失败。c)主机安全
按照方案的要求,DB2(数据库为Sybase)应测评身份鉴别(S3)、自主访问控制(S3)、强制访问控制(S3)、安全审计(G3)、资源控制(A2)、数据备份与恢复(A2)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于身份鉴别(S3),在测评项中的描述之一为“应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,按照该项要求找到对应测评实施方法,然后开发对应操作步骤和预期结果。按照上述思路,对于“身份鉴别(S3)”的一个测评项可以开发如下的测评指导书。【测评项】
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。【测评实施过程】
应检查主要数据库管理系统,查看对管理用户的身份鉴别是否采用两个及两个以上鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合)。【操作步骤】
1. 在DB2主机上执行命令:select * from syslogins,查看是否有用户存在空口令;
2. 询问数据库管理员,除使用口令鉴别外是否采用其他的鉴别方式,如果有,则检查其是否有效。
【预期结果】
1. 执行步骤1),数据库没有空口令用户,从而说明数据库管理系统采用口令鉴别方式; 2. 执行步骤2),数据库管理系统还采取有其他的鉴别方式,并且有效。d)应用安全和数据安全
按照方案的要求,业务应用程序(用户自主开发)应测评身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(G3)、通信完整性(S3)、通信, 保密性(S3)、抗抵赖(S3)、软件容错(A3)、资源控制(A3)、数据备份与恢复(A3)、数据完整性(S3)、数据保密性(S3)等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求,然后在GB/T DDDD-DDDD中找到相应的测评方法。如:对于通信保密性(S3),在测评项中的描述之一为“应对通信过程中的整个报文或会话过程进行加密。”,按照该项要求找到对应测评实施方法,然后开发出对应操作步骤和预期结果。按照上述思路,对于“通信保密性(S3)”的一个测评项可以开发如下的测试用例。【测评项】
应对通信过程中的整个报文或会话过程进行加密。【测评实施过程】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应测试主要应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能是否有效。
【操作步骤】
1. 应访谈安全管理员,询问业务系统数据在通信过程中是否采取保密措施,具体措施有哪些; 2. 应采用协议分析工具测试应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,是否对整个报文或会话过程进行加密,加密功能是否有效。
【预期结果】
1. 执行步骤1),业务系统采用了保密措施,且能具体说明保密措施;
2. 执行步骤2),协议分析工具看到的数据包进行了加密,且加密方法符合国家规定,时有效的。e)管理安全
管理安全部分在测评时可以按照GB/T DDDD-DDDD中介绍的测评实施过程在现场直接实施使用。对于系统运维管理中的密码管理“应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品”的要求可以编制如下的测评指导书。【测评项】
应建立密码使用管理制度,使用符, 合国家密码管理规定的密码技术和产品。【测评实施过程】
1. 应访谈安全员,询问密码技术和产品的使用是否遵照国家密码管理规定; 2. 应检查是否具有密码使用管理制度。
【预期结果】 1. 执行步骤1),密码技术和产品的使用遵照国家密码管理规定; 2. 执, 行步骤2),有密码使用管理制度。
D.2 测评报告编制示例
等级测评报告一般包括:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等内容。下面主要举例说明整体测评和整改建议这两部分内容。D.2.1 整体测评 a)物理层面
1. 由于屏蔽机房位于主机房内部,其唯一出口也在主机房内,因此,对其物理层面的安全要求中的物理访问控制、防盗窃和防破坏的测评项可以通过关联互补关系得到 补充。2. ……
综合以上测评分析过程,可以得到如表21物理层面的整体测评结果(安全控制间、层面间和区域间):
b)网络层面
1. 外联功能区拨号路由器DW3600上基本没有直接采取较好的拨号访问控制措施,只是对用户进行了固定IP地址分配。但是,由于在防火墙DW208FW上,严格限定了拨号接入IP地址的用户的访问范围,从而可以弥补这部分功能。2. 外联功能区的6台路由器DW3600在网络设备防护的用户身份认证方面,存在口令不强、未限制管理员登录地址等方面问题,但是,由于这些设备都没有开放网络管理(TELNET/HTTP等),全部采取通过本地串口方式来管理,而其又是存放在主机房中,因此,其网络设备防护安全控制可以通过物理的相关措施(物理访问控制、防盗窃和防破坏等)得到增强。
3. 对外服务功能区的网络安全审计功能没有采取单独的设备来完成,其网络流量、用户行为等的监测、记录功能是通过网络入侵防范安全控制的IDS来协助完成的。
4. 网络安全审计设备IDS具有对部分病毒、蠕虫攻击的检测识别能力,可以部分弥补恶意代码防范功能,因为,防病毒网关只对邮件数据进行病毒过滤。5. …….综合以上测评分析过程,可以得到如表22的测评结果:
c)系统结构测评分析
在信息系统整体结构的安全性方面,从被测系统的网络拓扑结构示意图来看,该网络系统虽然有多处相对独立的出口,但是这些出口除到控制网外的连线都集中到防火墙DW208FW,因此,从在网络结构上,不存在出口过多的问题;对外服务功能区上防病毒服务器a(拓扑图上未标出)使用双网卡方式工作,一边连接内部网络,一边连接对外服务功能区,通过防火墙DW208FW上网升级,这在安全上是不可取的,外部用户一旦控制防病毒服务器a,则可通过双网卡直接进入信息系统的内部网络功能区域,对信息系统的安全构成严重威胁。
从被测系统的网络拓扑结构示意图来看,内部网络划分了多个功能区域,这些功能区域之间采取了网络访问控制措施,即使是内网用户也只能访问到应用处理功能区上的服务器主机,而不能直接访问数据存储功能区的数据库服务器。这种保护方法符合纵深防御的要求,重点突出,能较好地解决一些安全问题。D.2.2 整改建议
a)安全建议(网络安全部分)1. 主要问题
.没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要,可以方便工作人员掌握网络的整体情况,便于网络故障的排除,便于网络安全设备的策略配置等;
.没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定,有助于防止地址欺骗。
2. 立即整改
需要立即整改的安全建议如下:
.应根据当前运行的网络拓扑情况,绘制与实际网络相一致的网络拓扑结构图,以便于工作人员掌握网络结构的整体情况;
3. 持续改进
需要持续改进的建议如下:
.对重要网段采取网络层地址与数据链路层地址绑定措施,防止地址欺骗;.购置并在适当网段部署防病毒网关。
b)安全管理方面 1. 主要问题
.与安全管理制度相配套的总体信息安全策略还没有正式制定,且有部分管理制度没有制定,如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领,对机构近期和远期的安全规划起着重要的指导作用。
没有方针性文件的指引和统一规划,机构的信息安全工作则会有工作方向不明确的问题;
.对信息安全关键岗位的人员管理缺乏更细粒度的要求。没有明确对这些岗位的人员是否有区别于其他岗位的更严格的录用要求、日常信用审查等管理要求。
关键岗位所从事的工作是信息安全工作的重中之重,加强对这些岗位人员的管理,对做好信息安全工作起到了关键的作用。
2. 改进建议
.进一步完善安全管理文件体系,尽快制定信息安全总体政策、方针文件,并进一步补充、完善、细化各类管理制度,如工程安全实施管理制度、系统交付管理制度等,从而形成高层策略文件、各类管理制度、具体操作规程和各类操作记录等四层塔式管理文件体系;
.加强对关键岗位人员(如系统管理员、网络管理员、安全管理员)的管理,定期对其进行信用审查,并要求其签署岗位安全协议,使其承诺在岗位上的具体安全责任、工作职责以及保密义务,从而保证对关键岗位进行关键管理。
篇2:信息系统安全检测技术
引言
随着我国经济的发展,计算机得到了广泛的应用,在很大程度上促进社会经济不断发展。但是,在不断发展的同时,安全问题不断地发生,这在很大程度上影响了计算机的普及和应用。这些问题产生的原因是多种多样的,同时,这些问题本身更是千奇百怪。因此认真研究信息系统安全技术,为计算机安全运行、提供技术支持势在必行。
篇3:信息系统信息安全关键技术的管控
关键词:信息系统,信息安全,关键技术,管控
一、信息系统信息安全关键技术相关分析
(一) 现状和存在的问题。
(1) 信息系统没有建立完善的信息安全管理规范。对于信息系统的安全运行来说, 建立一个完善的管理规范是非常必要的, 它可以指导整个信息系统正确运作, 保证其安全性。 (2) 企业的网络安全意识不到位, 需要进一步提高。信息技术发展速度是非常快速的, 在技术与安全策略方面已经取得了很大的进展, 但是, 很多员工对于网络技术各方面的认识还不够, 尤其是对很多新的信息安全认识不到位。 (3) 需要建立一个与信息系统相匹配的信息安全体系。信息系统的类别是比较多的, 只有与不同的类别特点相适应的安全管理体系才能发挥出最大的作用。另外, 在企业的内网与外网之间建立一定的隔离也是非常有必要的。
(二) 密码保护措施。
当开始进行网络交易的时候, 我们最应该担心的就是怎样才能使交易更加安全, 数据信息不会受到侵袭、篡改以及切取等。因此, 我们应该重视网络信息安全的管理。 (1) DES快速加密。在数据的加密和解密方面, DES资料加密的速度是非常快速的, 我们从AES候选算法的测试结果可知, 软件加密的速度可以达到每秒十兆或十兆以上。由于该算法是公开的, 因此, 制造商可以降低很多成本就能实现加密, 因此, 这种芯片被大量生产和运用在信息系统中。 (2) RSA数字签名。DES加密的一个最大缺点就是密匙分发与管理通常比较困难, 价格也比较高。而RSA加密系统的特点就是加密的钥匙与解码是不一样的。在密匙的分发与管理上尤其简单, 可以实现数字签名, 从而使信息数据可以更加完整, 因此, 这一加密系统在电子商务领域得到广泛使用。
(三) 安全防范措施。
(1) 防火墙。防火墙是一种处于内网与外网之间的系统, 主要目的是保证内网可以安全有效地运行。防火墙可以提供可以进行控制的网络通信, 一般只会允许得到授权的通讯进入。通常, 防火墙主要包括滤油器、网关等等。 (2) 身份认证。身份认证技术主要是针对主机和终端用户的一种技术。为了确保网络安全, 网络资源一定要得到授权以后才能使用, 另外, 如果没有得到授权则是没有办法进入网络的, 也没有办法使用相关的网络资源。在认证过程中主要采用口令、密匙等方法确认身份。
二、信息系统信息安全关键技术的管控措施
(一) 加强技术手段的防控措施。
(1) 设置安全的密码保护。在网络安全中, 密码的安全显得尤为重要。如果密码不小心被泄漏, 网络系统很有可能遭到入侵。因为穷举软件的广泛使用, Root的密码要求相当高, 最少的密码设置也要十位数, 而一般的用户密码设置也至少是八位数, 另外还要求具有英文字母、数字、符号等加入其中。另一方面, 要求用户不能将自己的姓名、生日等简单的信息作为密码。 (2) 提高职员的网络安全意识。由于思想上面放松警惕, 很有可能给网络安全带来重大隐患。另外, 设置一些不恰当的密码、把密码写下来、将密码存在电脑中、长时间不换密码等都是错误的行为, 很可能让一些非法用户进入到企业的信息系统中。 (3) 对于网络的端口和节点进行实时监控, 严密检测信息的流向。同时, 要定期、不定期地检查信息网络、对日志进行审计, 进行病毒扫描、重要数据备份等都是非常重要的。因此, 对于企业的信息网络安全来讲, 建立完善的安全管理系统是具有重要作用的。
(二) 加强管理手段的管控措施。
(1) 信息系统主要可以通过内部的局域网和其他的监控系统联系在一起。通过信息数据的调度可以实现不同级别、不同地区的信息数据互联。信息监控系统与其他的一些系统通过网络连接在一起的时候, 一定要根据相关部门的认证进行, 并采取一定的隔离措施。 (2) 建立比较完善的信息调度数据网络, 可以在专用的内部网络上建立组网, 使用专线、准同步数字序列以及同步数字序列等等方式使内部网络与公用信息网络建立起物理隔离。 (3) 信息监控系统以及信息调度数据网络不能接入网络, 此外, 不能使用电子邮件。
信息系统是一个比较重要的网络系统, 它的网络安全性也比较重要。其中的关键技术运用对于安全保障是一个重要措施。因此, 我们可以通过采用不同的手段来确保信息系统的安全、可靠、完整, 例如防火墙、密码设置等等, 这些方法只要使用恰当便可以有效保障信息系统的网络安全。
参考文献
[1]殷小贡, 刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社, 2004.
篇4:政府信息系统安全保障技术
关键词:政府信息系统安全;安全隐患;保障技术
中图分类号:TP309文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
Government Information System Security Technology
Li Pengchong
(Jilin SASAC Information Center,Changchun130021,China)
Abstract:The government information system safety relates directly to the country's security and sovereignty,so the guarantee of their safety is extremely important and highly strict.Based on this,this paper stated these hidden safe trouble at first briefly,then listed the common and more practical measures and technology.Finally,we got some conclusions and prospects.
Keywords:Government Information System Security;Security risks;Security Technology
一、引言
政府管理网络化是一个新的决策,有利也有弊。首先它有利于行政决策科学化与民主化,政府上网能保证行政决策信息高质、多量;其次能提高行政决策过程的透明度,有利于民众的广泛参与;在此能强化对行政决策的监督,降低决策执行中变形的发生率;最后能收缩行政决策的范围,有利于地方政府行使自主权,提高地方政府的行政能力。但是,我们也应该注意到网络技术在与行政决策的结合中,也会给行政决策带来许多困难和问题,所以使政府的信息系统安全面临很多的挑战。基于此,本文对政府信息系统的安全保障技术进行了详细的阐述[1]。
二、政府信息系统安全保障技术[2]-[5]
政府信息系统安全存在很多隐患,包括自然威胁(于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等);人为威胁(网络威胁、各种病毒、木马以及黑客攻击);管理的欠缺;网络资源滥用;信息泄露等。对于这些安全问题,应该要采取一些有效的保障技术和措施。
(一)加密技术
1.对称加密技术。在对称加密技术中,对信息的加密和解密都使用相同的密钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有多个交换对象,那么他就要维护多个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到ll2位。
2.非对称加密技术。在非对称加密体系中,密钥被分解为一对。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
(二)用户识别和鉴别
识别就是分配给每个用户一个ID来代表用户和进程。鉴别是系统根据用户的私有信息来确定用户的真实性,防止欺骗。识别的方法较简单,如UID、PID。口令机制是最常用的鉴别方法。随着生物技术发展,利用指纹、视网膜等可提高鉴别强度。现在经常使用的还有数字签名等方法。
(三)防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
当网络接上互联网之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(四)地址防盗用
在数据网络上,IP地址由于可以通过系统更改,完全可能被非法用户监听后盗用。需要接入交换机能提供“端口+MAC地址+IP地址”的三者绑定,杜绝其他用户盗用地址的可能。
(五)建设好政府网络安全管理队伍
在进计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化政府内部使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使政府网络健康运行。
三、结论与展望
政府网络的安全直接关系到我们整个国家的安全和主权,是不容忽视的,截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁都是信息系统的致命伤害。我国对密码技术和产品有着严格有效的管理,政府上网涉及到密码技术或产品的使用时,应严格按照国家密码主管部门的有关规定办理。同时,我国的技术人才在信息维护和安全保障方面应该要不断寻求更为有效的技术和措施。
参考文献
[1]马希敏.政府决策面临的网络化挑战及对策[J].2004,2:60-61
[2]张娟苗.网络安全与防范技术[J].广东科技,2010,10:54-55
[3]李星.浅析网络安全技术[J].计算机光盘软件与应用,2010,11:91
[4]吴琼,崔大鹏.政府网络安全防范技术[J].信息技术,2003,3:65-68
篇5:信息系统安全检测技术
沪教委科„2010‟2号
上海市教育委员会关于印发
《上海市教育系统网络信息安全技术要求》的通知
各高等学校,各区县教育局,市教委各直属单位:
根据《上海市教育委员会关于加强本市教育系统网络与信息安全工作的通知》(沪教委办„2009‟62号),为切实做好2010年上海世博会期间本市教育系统的网络与信息安全保障工作,现结合本市教育单位现状,并根据公安部等《信息安全等级保护管理办法》(公通字„2007‟43号)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安„2009‟1429号),制定《上海市教育系统网络信息安全技术要求》(见附件),各单位应本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,对照要求,深化本单位网络与信息系统安全防护,切实做好安全管理工作,确保网络信息系统安全。
特此通知。
— 1 — 附件:上海市教育系统网络信息安全技术要求
上 海 市 教 育 委 员 会 二○一○年一月十三日
主题词:教育
学校
信息
安全
通知 上海市教育委员会办公室
2010年1月14日印发
(共印120份)
— 2 — 附件:
上海市教育系统网络信息安全技术要求
一、物理安全要求
网络设备如交换器、服务器等应放置在符合产品规定要求的可靠场所。网络设备放置场所应具备物理访问控制、防盗窃和防破坏、防雷击、防火防水和防潮、防静电等基本条件,还应当能够进行温湿度控制,具有良好的电力供应并做好电磁防护。
非工作人员对重要网络设备放置区域的访问必须经过有关负责人的批准并由专人陪同或在专人监督下进行,并记录备案。
二、网络安全要求 1.结构安全
应保证关键网络设备的业务处理能力具备冗余空间,以满足业务高峰期需要;
关键网络设备及链路应有备份(冷备份或者热备份); 应保证接入网络和核心网络的带宽满足业务高峰期需要。2.访问控制
应增强网络边界设备的访问控制粒度,增加安全审计、边界完整性检查、入侵防范及恶意代码防护等设备;
应在网络出口处对网络的连接状态进行监控,并能及时报警和阻断; 对所有网络设备的登录应保证鉴别标识唯一和鉴别信息复杂等要求。
三、主机系统安全要求 1.PC机系统安全要求
— 3 — 对PC机应进行基本的防护,要求主机做到简单的身份鉴别、粗粒度的访问控制以及能够进行恶意代码防范并及时升级。
2.服务器系统安全要求
对主机应进行基本的防护,要求主机做到身份鉴别、访问控制以及能够进行恶意代码防范;
用户只能根据自己的权限大小来访问系统资源,不得越权访问; 要求对服务器用户行为、系统异常情况等基本情况进行审计、记录; 服务器应仅安装必要的系统组件和服务,并设置升级服务器方式以及时更新操作系统和应用软件;
服务器应安装实时检测和查杀恶意代码的软件产品,并及时升级; 服务器操作系统和数据库系统的口令应具有一定的复杂度、不易被冒用;
服务器应通过设定终端接入方式、网络地址范围等条件限制终端登录;
服务器应安装防火墙,仅开放满足应用系统要求的最低数量的端口,其余端口应予以关闭。
四、应用安全要求
对应用进行基本的防护,要求做到身份鉴别,细粒度的访问控制以及数据有效性检验等基本防护,应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更改等;
应定时对重要信息进行有选择的数据备份;
— 4 — 应提供恢复重要信息的功能;
应提供重要网络设备、通信线路和服务器的硬件冗余。
五、数据安全及备份恢复
为确保数据完整性,应对重要用户数据传输过程提出的要求,能够检测出数据完整性是否受到破坏,同时能够对重要信息进行备份;
要求鉴别信息和重要业务数据在传输过程中都要保证数据完整性。要求实现鉴别信息存储保密性,实现备份冗余。
六、管理要求
应落实“安全技术负责人”制度,安全技术责任人作为安全专员负责信息网络安全评估、安全技术方案制订和实施,并对安全事故负责;
应开展安全意识教育和培训;
应告知相关人员的安全责任和惩戒措施;
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;
应对安全教育和培训的情况和结果进行记录并归档保存。应加强与兄弟院校、公安机关、网络运营商的合作与沟通,以便在发生安全事件时能够得到及时的支持。
七、系统运维管理要求
应对机房运行环境进行日常检查记录,包括温度、湿度、电力等; 应对信息系统的日常运行进行监控,包括各类系统的运行状态(例如CPU负载、内存使用率、磁盘状态、电源状态等)、是否存在异常进程等;
应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
— 5 — 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份。
八、应急处置要求
应制定应急预案,并进行训练和演练;并配备照相机等记录取证设备,在应急操作中随时记录;
应严格执行网络巡检制度,做好日常巡查及日志保存工作,以及时发现问题并及时处置突发性安全事件,发现异常情况应启动应急预案,并判定应急事件级别,根据级别上报相关单位;
应急处置过程中,应先界定事件发生原因,并根据自然灾害与人为破坏两种情况进入以下两类应急处置流程:
自然灾害处置流程:应根据实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
人为破坏处置流程:首先判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用相应方案。
篇6:信息系统安全检测技术
医院信息系统中的数据安全与备份
摘要:论述了医院信息系统中的数据安全问题,并着重分析了威胁数据安全的因素,提出数据备份的内容及方法。
关键词:医院信息系统;网络安全;数据备份
随着医院信息系统数据库的不断扩大,各项业务对信息系统的依赖性也越来越强,使得系统保护和数据防灾显得愈发重要。因此,要通过多种技术措施、管理机制和控制手段为系统及数据及时备份,预防数据因错误或灾难而丢失,保证系统可用性及数据安全性。
1威胁医院信息系统数据安全的因素
正确分析威胁数据安全的因素,能使系统的安全防护更有针对性。导致系统失效的原因主要有物理故障、软件设计缺陷、人为操作失误、计算机病毒、自然灾害等。
1.1物理故障
包括系统设备的运行损耗、存储介质失效、运行环境(温度、湿度、灰尘等)的影响,电源供给系统故障、人为破坏等。
1.2软件设计缺陷
软件本身的设计缺陷会使系统无法正常工作;此外,版本升级、程序补丁等也会对系统造成影响。
1.3人为操作失误
如由于操作不慎误删了系统重要文件,或修改了影响系统运行的参数;没有按规定要求操作,导致系统失灵等。
1.4计算机病毒
近年来,由于计算机病毒品种繁多、感染性强,经常破坏系统造成重大经济损失。
1.5自然灾害
如雷击、火灾、地震、严重的洪涝灾害等。2医院管理系统数据备份的内容及方法
完善的医院信息系统网络数据备份应包括硬件物理容错和软件级数据备份,且能自动跨越整个系统网络平台,主要涉及构造双机容错系统、各类数据库的备份、网络故障和灾难恢复等几个方面。
2.1计算机中心必须构造医院信息管理的双机容错系统 医院信息系统中最关键的网络设备是数据库服务器,为保证系统连续运行,该服务器必须采用双机热备份容错技术,以解决硬件可能出现的故障,从物理上保证软件运行所需的环境。
2.2应根据医院实际情况设计数据备份方案
我们认为采用在线复制加冷备份来满足对系统高可用的需求是一个比较实用的方案。
2.2.1建立数据异地实时同步复制在医院计算机中心以外的另一座建筑中建立一个机房,配备一台服务器专用于数据备份用,当业务系统对数据进行任何修改,都会实时同步复制到备份中心服务器。复制产品选用已被大量全球客户认同的Veritas Storage Replicator(VSR)2.1,针对SQL、Oracle等数据库管理系统实施一对一的数据复制。VSR每天做全一次复制后,以后做连续的增量复制。
2.2.2建立数据在线和离线备份实时复制是高可用和异地容灾手段,并不能消除数据逻辑错误和保持历史数据;此外,还要避免人为误操作、硬盘损坏、病毒等造成的关键数据永久丢失,这就要求在备用机房对包括操作系统文件、数据库系统文件和用户文件在内的所有数据做离线备份,储存到磁带机等介质当中。通常采用的方式方法有:
●定时自动备份:通过定时的备份操作和磁带库的自动更换磁带功能完成,同时也避免人为误操作导致的备份数据丢失。
●通过数据库的代理程序,实现对数据的在线备份。
●通过客户端的代理程序,将其他平台(包括所有的驻留操作系统)上的数据拉到备份服务器上,实现跨平台数据备份。
2.2.3树立正确的备份观念很多计算机用户和管理人员虽然认识到备份的重要性,也具备一定的备份概念,但仍存在一些误区。比如有用户认为备份就是简单地做一份拷贝,这往往达不到实际要求。此外,制定周密的计划也很重要。有些系统人员不重视备份计划的设计,缺乏完整规则和策略,使备份效果大打折扣。应注意备份过程可能对一些应用系统造成的影响,要针对系统运行情况安排备份时段,避免与应用程序发生冲突。备份的最终目的是确保数据安全,因此在确定安全备份策略后,还要注意将备份的磁带在异地或防火箱内;定期清洗磁带机的磁头;注意磁带的使用期限;定期从备份磁带中恢复一些文件,以了解备份文件状态等。
总之,备份方案是存储设备、备份工具、运作方式、恢复掺假方法、操作性、可靠性等方面的综合考虑。一个完整的备份方案应具备以下特点:保证数据资料完整性,能自动排序设定,实现备份任务的管理,能对不同的存储介质进行有效管理,支持多种操作系统平台等。
随着数字化医院和计算机网络的不断扩大,网络及数据资源的安全日益重要。认识到数据备份的重要性,规划一套完整的医院信息系统数据备份方案并付诸实施,系统数据安全就会得到有效保障。
【信息系统安全检测技术】相关文章:
电力信息系统安全技术论文04-25
系统安全技术计算机信息论文04-28
计算机信息系统安全技术研究01-28
计算机信息系统安全技术论文04-28
电力信息系统存储安全需求及加密技术研究10-26
计算机信息系统安全技术的研究及其应用10-18
计算机信息安全论文计算机信息技术论文:医院信息系统中的数据安全与备份05-23
信息系统与信息技术分析论文04-27
信息系统管理中信息安全论文04-27
网络信息系统安全07-18