海委信息安全评估方法及应用

海委信息安全评估方法及应用

0持续推进信息安全等级保护信息安全是计算机科学发展的一项重要因素。在2006年至2020年国家互联网发展战略中，“建立国家信息安全体系”已成为中国互联网发展的九个战略重点之一。2007年,国家4部委(公安部、国家保密局、国家密码管理局和国务院信息化工作办公室)联合启动了信息安全等级保护工作,信息安全等级保护是我国为加强信息安全保障工作制定的一项全新的制度,分为自主定级与审批、评审、备案、系统安全建设、等级测评、监督检查等6个步骤。水利部先后印发了《关于开展水利行业信息系统安全等级保护定级工作的通知》和《关于进一步做好水利信息系统安全等级保护定级工作的通知》,并编制下发了《水利网络与信息安全体系建设基本技术要求》。海委于2007年12月开始部署开展等级保护工作,2008年完成了信息系统自定级上报工作,并将信息系统等级保护整改工作纳入“十二五”期间信息化工作的重点之一。为了摸清所属信息系统的具体情况,掌握信息系统的业务类型、应用范围、系统结构等基本信息,根据系统自定级情况,对照等级保护标准进行差距分析,2010年在机关组织开展了信息系统安全评估项目,为下一步确定整改建设方案做好前期工作。1关于信息安全评估信息安全评估是信息安全生命周期中的重要环节,是对网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等方面全面的安全分析,并提出安全风险分析报告和改进建议书。在海委信息化发展过程中,实施信息安全评估对于提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展有很大作用。信息安全评估是指依据信息安全评估标准,采用一定的方法(方案)对信息安全产品或系统安全性进行评价。信息安全评估标准是信息安全评估的行动指南。在信息安全管理领域里,由于标准众多,对于标准的争论从未停过,有ISO/IEC的国际标准17799,13335;有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家标准。1.1国外信息安全评估标准的发展国际上针对计算机安全的等级防护和评估制定了多个标准。1.1.1信息的安全性评估美国国防部于1985年公布可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第1个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。法、英、荷、德欧洲4国20世纪90年代初联合发布信息技术安全评估标准(ITSEC,欧洲白皮书),它提出了信息安全的机密、完整、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。信息技术安全评价的通用标准(CC)由6个国家(美、加、英、法、德、荷)于1996年联合提出,并逐渐形成国际标准ISO15408。CC标准是第1个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求,以及解决如何正确有效地实施这些功能的保证要求。ISO13335标准首次给出了关于IT安全的保密、完整、可用、审计、认证、可靠性6个方面的含义,并提出了以风险为核心的安全模型。国际安全标准发展过程1如图1所示。1.1.2iso/iec的建立1995年,英国贸工部制定了世界上第1个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。1998年,为了适应第三方认证的需要,英国又制定了第1个信息安全管理体系认证标准BS7799-2:1998《信息安全管理体系规范》,作为对1个组织的全面或部分信息安全管理体系进行评审认证的依据标准。1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订,进一步强调了组织在商务工作中所涉及的信息安全及其责任。BS7799-1和BS7799-2是1对配套标准,BS7799-1为如何建立和实施符合BS7799-2标准要求的信息安全管理体系提供了最佳的应用建议。2000年12月,BS7799-1:1999被ISO/IEC正式采纳成为国际标准ISO/IEC17799:2000《信息技术—信息安全管理实施规则》。2005年底,BS7799-2:1999也被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC27001:2005《信息安全管理体系规范》。国际安全标准发展过程2如图2所示1.2实施等级保护的准则和方法2001年,由中国信息安全产品测评认证中心牵头,将ISO/IEC15408转化为国家标准GB/T18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准GB17859-1999《计算机信息系统安全保护等级划分准则》,是其他标准的基础,是信息系统安全等级保护实施指南,为等级保护的实施提供指导;《关于信息安全等级保护工作的实施意见》(公通字66号)和《信息安全等级保护管理办法》(公通字43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和计划,明确了开展信息安全等级保护工作的基本内容、工作流程和方法等;《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安1429号)明确要求各部门在信息安全等级保护定级工作基础上,力争在2012年底前完成已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作;同时出台了GB/T20984-2007《信息安全技术信息安全风险评估规范》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T24856-2009《信息安全技术信息系统等级保护安全设计技术要求》等国家标准。2开展等级保护工作为了全面了解海委信息系统的安全现状,切实提高安全保障水平,全面开展信息系统等级保护差距分析,做好等级保护整改的前期工作,从而提高信息系统的可靠性和安全性,信息化工作领导小组办公室于2010年10月开始组织实施了信息系统安全评估工作。2.1建立和完善安全防护技术措施按照国家有关规定和标准规范要求,通过落实安全责任制,开展管理制度建设,改进安全防护技术措施,逐项满足等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。2.2信息系统构成信息安全评估方法主要根据《信息技术安全性评估准则》和《计算机信息系统安全保护等级划分准则》中的各项指标进行对比分析。参与安全评估的信息系统共18个,包括海河流域计算机骨干网络、海河流域异地会商、海河流域雨水情信息查询等3个3级信息系统,以及防汛指挥数据库管理、海河流域重点防洪工程图片库管理、海委防汛会商系、洪水预报、海河流域水资源保护信息、官厅密云水库水质水量自动监测、海委固定资产管理、京津地区重要水源地水资源实时监控、海委计算机局域网、海委电子政务外网门户、水信息网、密云水库上游水土保持监测系统等15个2级信息系统。2.3安全防护手段根据信息系统安全等级情况、系统估算规模大小等,采用了约谈、文档审核、配置检查、漏洞扫描、渗透测试等方法进行安全评估。1)访谈:通过安全顾问与信息化系统有关负责人员进行交流、讨论等活动,获取相关证据标明信息化系统安全保护措施是否落实的一种方法。访谈范围上基本覆盖所有与安全相关的人员,数量上根据实际情况进行适当抽样。2)文档审核:安全顾问通过对安全管理制度和执行过程文档、系统设计方案、网络设备技术资料、系统及产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等文档进行审核的一种方法。3)配置检查:通过对差距分析对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否得以有效实施的一种方法。4)漏洞扫描:安全扫描主要是通过评估工具以本地扫描的方式对范围内的系统和网络进行安全扫描,从内外网2个角度查找网络结构和设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全风险,漏洞及威胁。5)渗透测试:通过模拟黑客使用的工具、分析方法进行实际的漏洞发现和安全测试方法。通过对某些重点部位进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性强的漏洞进行及时的修补。2.4调研与差距分析海委信息安全评估工作主要针对机关目前管理的3个3级系统和15个2级系统开展,依据国家等级保护相关技术标准和管理要求,采用资产梳理、系统扫描、业务调研、手工检查、关键部位渗透测试等方式,主要从物理、网络、应用、主机、数据的安全,以及备份恢复、安全管理机构和制度、人员安全与系统建设及运维管理等技术措施和管理制度层面进行调研与差距分析,并提出整改建议方案。3海洋委员会信息安全差距分析3.1完善等级保护机制当前海委信息网络面临的安全形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,能否信息化系统等级保护安全建设是一个长期的过程,需要统筹协调,分阶段、步骤实施。从海委信息系统差距分析及信息安全建设的轻重缓急程度来看,信息化系统整改可以分3期建设:第1期,对差距分析实施成本低的不符合等级保护项目先期进行整改,其中的部分工作可以直接由信息管理人员进行;第2期,通过签订维保协议,部署安全产品,签订安全服务几项措施来降低信息系统的高风险;第3期,再对距分析中不符合等级保护项目逐一进行安全扫描解决。同时,将针对本次安全评估中发现的问题,在2011年组织开展《海委政务外网信息系统等级保护整改项目》的前期工作,争取能在2012年完成信息系统等级保护整改工作。5强化基础信息资源的集约利用,实现信息的共享针对信息安全评估项目工作中发现的问题,依据《信息系统安全等级保护基本要求》,提出以下意见与建议:1)理顺信息资产,落实技术层面安全问题信息安全问题不容忽视,完成信息安全的评估工作,必须认真落实梳理信息资产,保证主机、物理、网络、应用、数据及备份恢复等方面信息安全隐患点的安全高效运行。同时加强信息资源整合,改造、完善信息化基础设施,逐步实现基础信息资源的集中管理和共享应用,增强信息业务应用的范围和功能;加快信息技术指标体系建设,规范信息资源利用。进一步编制信息采集、数据库建设、信息资源开发、建设管理、安全保障等方面的标准,重点是制定互联互通、资源共享的有关标准和重点应用系统的技术开发标准,保证信息系统的安全、健康运行。2)健全组织机构完善规章制度,落实管理层面安全问题充分明确信息化工作主管部门的职责并赋予相应的管理职能,建立信息化工作的技术保障机制,理顺工作关系,充分发挥信息化专业部门的作用。同时应强调对信息化建设特别的重要系统建设的统一组织和管理,在系统建设阶段要制定完善的建设管理制度;在系统投入实用阶段要定制系统的运行维护管理办法,落实建设和运行管理的相应部门,建立健全管理机制,明确岗位,落实责任。要根据国家政策,结合信息化实际要求,制定和完善信息化的相关政策和规章制度,使信息化发展有章可循。同时加强队伍建设,注重人才培养。信息化部门要做出人才需求分析与队伍建设规划,制定人才政策,完善人员管理措施。可采用多种形式加强人才队伍的培养和建设,包括利用网络技术进行网上教学和培训,积极