网络安全等级保护之网络安全总体规划
1、总体安全规划工作流程
按照《信息安全技术 网络安全等级保护实施指南》工作流程,总体安全规划阶段的工作流程是根据信息系统的划分情况、信息系统的定级情况、信息系统的承载业务情况,通过分析,明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制订出安全实施计划,以指导后续的信息系统安全建设工程的实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的区分。
总体安全规划阶段的工作流程:
2、系统安全风险及需求分析
1)系统安全风险分析
1. 安全技术风险分析
信息化技术快速发展,新技术的应用促使信息系统的业务服务模式也发生了很大变化,移动办公、虚拟化、大数据、云计算等新兴技术已经成为当今信息化建设和提供服务的主要模式。然而,新技术的应用并没有使信息系统更安全,相反,不仅传统的安全威胁依然存在,信息系统还面临着由于新技术、新服务模式的应用所带来的新的安全风险。
(1)信息安全风险
① 威胁分析
信息安全风险评估是围绕着资产、威胁、脆弱性和安全措施这些基本要素展开的,在对基本要素的评估过程中,需要充分考虑业务目标、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
信息安全风险分析原理图:
由三者之间的关系可以得出以下结论:
a)业务目标的实现对资产具有依赖性,依赖程度越高,要求其风险越小。
b)资产是有价值的,组织的业务目标对资产的依赖程度越高,资产价值就越大。
c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件。
d)资产的脆弱性可能暴露资产的价值,其具有的弱点越多则风险越大。
e) 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产。
f) 风险的存在及对风险的认识导出安全需求。
g) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本。
h) 安全措施可抵御威胁,降低风险。
i) 残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险。
j)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
以下以某省某部门电子政务系统(以下简称×××系统,如无特别说明,其他章节案例介绍均围绕此系统展开)为例,通过威胁主体、来源、途径等多种属性分析×××系统安全防护对象所面临的安全威胁。 ×××系统的安全防护对象包括物理环境、通信网络、区域边界、计算环境,具体来说,物理环境包括机房、办公场所;通信网络包括广域网、局域网;区域边界包括互联网接入边界、其他专网接入边界、局域网内各安全域边界、无线接入边界等;计算环境包括服务器、终端、网络设备、安全设备自身,设备的操作系统、系统软件、中间件、数据库、应用系统及数据等。
安全威胁分析如下表所示:
② 脆弱性分析
脆弱性分析是在充分评估现有资产及现有安全措施的基础上进行的,对资产和脆弱性的识别需要对信息系统进行深入的调研分析,并采用专业的技术工具检测评估系统的脆弱性。对于已经运行的信息系统,需要在安全评估的基础上,对照等级保护要求进行详细的差距分析,并结合系统实际面临的安全威胁,得出针对特定系统的安全风险。
③ 通用安全风险
对于采用传统网络架构的信息系统来说,随着国家实施“互联网+”战略、电子政务、电子商务、互联网金融等互联网应用日新月异,传统的网络架构也发生了巨大变化,信息系统更加开放,面向更多的公众提供服务,接入网络更加复杂,终端分布范围更广且多样化,攻击者技术和手段不断提高。传统的安全架构和防护手段已经远不能应对新的安全风险,这些风险主要体现在以下几方面。
a)信息技术的快速发展使得安全边界不断扩大,传统的安全架构面临挑战。
在传统的信息系统网络架构中,局域网是单位办公的主要方式,信息系统的重要服务器和内部终端均部署在局域网内,对外互联的出口往往可控且较少。随着信息化的快速发展,终端范围不断扩大,传统意义上的安全边界已经不断外延,且政务、金融、企业对外服务及信息交互已经成为基本需求,系统对外的暴露面不断扩大,可被恶意人员利用攻击内部系统的途径也不断增加;传统的以防为主的安全架构受到了极大挑战,安全防御手段也明显不足,需要重新分析当前信息系统的架构,评估安全措施的有效性,实施以积极防御为主导思想的新的安全架构。
b)局部分散的防护措施无法应对更加多样化的攻击手段,安全需具备体系化建设思想。
信息系统是一个有机的整体,需要系统的、整体的安全保障体系,任何信息安全的短板都将成为攻击者的主要目标。安全防护的重要目标就是提高整个系统的“安全最低点”的安全保障能力,安全防护措施必须是有机的整体,是多层次纵深的防御体系,这样才能有效地避免和弥补安全短板。而企业在信息安全建设过程中往往为满足合规要求而堆砌安全产品,无法系统地、整体地规划安全体系,造成防护措施分散、无序,安全策略配置不到位、重复建设严重但安全短板依然存在,针对当前多样化的攻击手段,暴露出许多高风险点,需要进行整体的安全体系规划。
c)攻击防不胜防,安全监测、预警、响应能力成为关键。
“没有攻不破的网络,没有绝对的信息安全”,这是信息安全业的普遍共识,随着攻击技术的提升,攻击者的团伙化、攻击技术的复杂化、攻击背景的国家化,使得攻击防不胜防,安全保障体系的最大作用是提高攻击者的攻击成本,减少信息安全风险带来的损失。单位也越来越意识到信息安全事件的发生是无法完全避免的,更加关注如何发现和快速处理信息安全事件,及时止损,降低影响。因此,安全监测、预警和响应能力成为主动防御的关键,这也是新等级保护的核心思想。
d)国家层面的网络攻击对抗不断升级,面临更严格的安全监管要求。
“没有网络安全就没有国家安全”,国家层面的网络攻击对抗已经成为重要信息系统面临的主要风险,面对当今的信息安全形势,国家高度重视信息安全,不断加强监管,成立了国家层面的、多部门协同的信息安全领导组织,并相继出台了《中华人民共和国网络安全法》《网络安全等级保护条例》等法律法规,相关配套制度和标准也在不断完善。
(2)新技术、新威胁带来的安全风险
① 远程及移动办公安全风险分析
随着各类智能移动终端的快速普及,以及移动互联网的快速发展,人们越来越感受到移动终端给人们工作和生活带来的便利。但移动终端往往处在不受控的办公环境中,通过互联网连接到办公内网中,通过攻击移动终端及远程传输网络渗透到服务器系统,导致用户信息泄露,用户资产被盗的例子举不胜举。
此外,移动APP的互联性和易用性使其暴露在众多的网络安全风险和威胁之中,容易遭受病毒、木马、蠕虫等恶意程序的攻击,攻击者能够通过移动APP的安全漏洞入侵应用服务器,获取企业及个人用户的敏感信息,或通过技术手段对应用程序进行篡改,植入广告、盗链及数据窃取等功能,甚至对数据进行篡改,对信息系统进行恶意破坏,保护移动APP安全刻不容缓。
② 虚拟化技术安全风险分析
通过虚拟化技术可以生成一个和真实系统行为一样的虚拟机,虚拟机和真实的操作系统一样,同样存在着软件漏洞与系统漏洞。在关注宿主机安全的同时,必须像对待真正的操作系统一样加固虚拟机,给程序不断地及时打补丁升级,以此来保障虚拟机的安全。
虚拟机之间的隔离主要通过虚拟化软件实现,软件的漏洞为攻击者提供了方便之门。虚拟机镜像、快照恢复的时候,由于缺乏及时的系统补丁,造成新创建的虚拟机极易受到攻击。
此外,传统网络可以通过交换机、IDS(入侵检测系统)等设备进行日常监测、审计,而虚拟主机间可能通过硬件背板而不是网络进行通信,这些通信流量对标准的网络安全控制来说是不可见的,因此,传统的安全防护措施毫无用处。
由于虚拟化环境自身的特性,单位需要充分考虑引入虚拟化所带来的相应风险,根据各个风险点带来的问题及威胁建设针对性的防护方案,以保障单位数据的安全及业务系统的平稳运行。
③ 新型攻击带来的安全风险分析
高级持续性威胁(Advanced Persistent Threat,APT)是一种典型的新型攻击模式,甚至已经成为各国面临的主要的信息安全威胁,其造成的破坏性和带来的危害远大于普通的安全事件。
APT攻击可以绕过各种传统的安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
传统的安全防御体系框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等;所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证等。而APT攻击,其采用的攻击手法和技术都是未知漏洞(0 day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS/IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已经无法检测APT攻击了。
在国家新等级保护标准中,明确提出了 “应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析”,也就是应对当前信息安全威胁的新形势而提出的新的安全防护要求。
2. 安全管理风险分析
信息系统在建设和运营过程中,都面临着安全管理缺失带来的安全风险。
(1)系统建设期面临的安全管理风险
新系统的开发、新技术的应用、新的应用模式都加大了信息安全管理层面的难度和风险。
首先,新系统的开发时间紧、任务重,人员队伍建设无法迅速满足系统建设的需求,在很多环节上导致安全管理的缺失和不足,如应用系统在规划设计阶段未充分考虑安全功能的需求,导致系统在上线交付时无法满足安全要求,而系统已经开发完成,任何针对信息系统的重新设计或功能完善都将导致迭加的成本投入,甚至不可行。而在应用系统的整个开发过程中,代码编写不规范、人为设置的系统后门开发过程安全管理都是不可忽视的问题,如果不进行规范管理,系统上线后将导致各种安全问题。
其次,虚拟化、大数据、移动办公等新技术、新应用模式的应用,要求信息安全管理人员能充分认识到信息技术可能带来的安全技术风险和安全管理风险,传统的安全管理手段需要在新技术下进行调整和优化。如针对移动办公,安全管理边界明显扩大,安全管理要求必须配备技术手段的应用,此外,海量敏感的信息数据也需要严格的安全管理措施,在系统投入运营前,严格控制采用实际数据进行系统测试,并采取严格的人员管理措施。
(2)系统运营期面临的安全管理风险
系统投入运营后面临来自组织层面和系统运营层面的安全管理风险。
① 组织层面的安全管理包括安全策略、安全制度体系的建设和完善,以及安全管理机构的建设和人员安全管理。
首先,信息安全管理需要明确安全管理机构和专职的安全管理人员,目前,许多政府部门已经建立了比较完善的安全管理机构,并且配备了专职的安全管理人员,但随着系统规模的不断扩大,新上线系统的不断增加,人员不足已经成为普遍的问题。此外,内部人员的信息安全意识水平需要不断提高,事实证明,很多网络信息安全事件都是内部人员的疏忽或恶意行为导致的。
其次,随着单位信息化的快速发展,信息安全技术体系的不断完善,原有的安全管理策略和制度也需要不断完善。“三分技术、七分管理”,体现了信息安全管理的重要性,安全管理制度要体现和落实安全管理责任制,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系,并切实执行落地。
② 系统运营层面的安全管理包括办公环境管理、资产管理、介质管理、设备维护管理、系统变更管理、配置管理、备份和恢复管理、应急管理等,体现在系统运营过程中的各个方面。运营安全管理的缺失可能导致信息系统崩溃,数据泄露、丢失,设备损害等风险,运营安全管理往往需要辅助技术手段措施,完善各操作环节的规章制度、安全配置基线,进行操作培训、安全培训、应急演练、备份与恢复演练。此外,还有加强对外包运维的管理。
3. 系统运营风险分析
系统投入运营后,面对数量庞大的信息资产、海量的日志信息和复杂多变的策略体系,日常安全运营存在较大的安全隐患和风险,主要表现在以下几方面。
(1)数量庞大的资产信息无法完全掌控
单位的网络和业务越来越复杂,范围原来越广,变更越来越频繁;单位的安全管理员也常常搞不清楚单位内网的具体状况,如哪些资产是关键资产,哪些资产对外提供服务,哪些资产配置了安全策略等,如果连这些单位内网的基本环境都无法准确掌握的话,那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下,攻击者即便是大摇大摆地出入企业的敏感数据区域也无人知晓,投入了大量资金建设的安全防御体系也成了摆设。因此,通过自动化的手段掌握全网的资产状况是系统安全运维的基础。
(2)分散多样的信息设备对策略的维护是巨大挑战
随着网络基础建设和网络安全控制的逐步健全,企业的网络环境规模和复杂度不断增加,部署在其中的防火墙及配置访问控制列表的路由交换设备日益增多。新的运维应用场景需求不断增加,加载于这些设备之上的网络安全策略规则也相应地变得更加繁冗和复杂。此外,实际的网络环境中,往往会跨越多个供应商、多个运维团队,管理控制方面呈现出多分支、多层级的复杂局面。策略控制的粒度日趋细化严格,网络复杂度不断增加导致运维效率更加低,两者之间的矛盾在实际运维中会日趋明显。传统的依赖于人手动维护网络设备的管理方式将变得越来越难,且运维成本不断增加。
(3)高级威胁和未知病毒的检测和分析考验专业运维能力
随着攻击对抗技术的不断发展,越来越多的信息安全事件是由长期持续的、有组织的高级威胁和未知病毒所导致的,而面对这类问题,普通运维人员往往束手无策,攻击者的手段和变化形式越来越多样化,带来的危害也越来越大,仅依靠普通运维人员很难定位和解决这类安全问题,一旦安全事件得不到定位分析和处置,持续蔓延将可能造成重大损失,因此,在系统运营过程中,是否有及时发现问题的一线运维人员,以及能进行专业分析定位安全问题的技术专家是安全运维能力的集中体现,也是安全运营的重要因素。
(4)快速响应安全事件是安全运营的关键
本地化安全运维能确保对安全事件的应急响应速度,面对信息安全事件,快速响应和处置的能力体现在专业应急队伍的技术水平、应急服务网络的覆盖度、应急流程和体系的成熟度以及应急响应经验和资源准备情况等。针对×××系统庞大的网络结构和资产数量,专业应急队伍和应急支撑平台的建设是降低系统运营安全风险的必要措施,系统运营中应急技术能力的建设包括人员、工具、设备、流程、系统平台等多种因素,其中,人员是关键,但仅有人员,没有相关的工具、设备、应急指挥系统、应急预案等也无法提升系统运营过程中的应急响应能力,各因素缺一不可。
2)系统安全需求分析
1. 安全技术需求分析
×××系统是某单位重要的信息系统,承载着某单位的核心业务,并传输和存储着大量的敏感信息,面对来自信息系统内外部的各种安全威胁,以及新技术、新安全形势的发展,需要从多层级、多维度建设整体的、符合系统安全保护等级要求的安全防御体系。具体安全技术需求如下。
(1)物理和环境安全需求
物理和环境安全主要指由于网络运行环境和系统的物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络可用,进而提高整个网络的抗破坏力。
物理和环境安全包括机房选址、机房建设、设备设施的防盗、防破坏、防火、防水、电力供应、电磁防护等,需要在数据中心机房的建设过程中严格按照国家相关标准进行机房建设、综合布线、安防建设,并经过相关部门的检测和验收。
(2)通信网络安全需求
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础,通信网络的安全主要包括以下内容。
① 网络架构安全
网络架构是否合理直接影响着是否能够有效地承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换的需求,并合理地划分网段和VLAN(虚拟局域网)。
② 通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在存储和传输过程中,不仅仅会面临信息丢失、信息重复或信息传送的问题,而且会遭受信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存时的一致性,并在信息遭受篡改攻击的情况下,提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为了能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
(3)区域边界安全需求
① 边界隔离与访问控制
边界安全包括对接入网络和外联的双重安全管控要求,随着移动办公的发展,网络范围不断延展,无线网络的使用相对传统办公而言,对网络边界的有效管控更是严峻的考验;对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦地接入网络中,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,同时,需要能够对内部用户非授权连到外部网络的行为进行限制或检查,并对无线网络的使用进行管控。
② 防入侵和防病毒
病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥。目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络形态进行传播,并且,一旦病毒通过网络边界传入局域网内部,就已经对信息系统造成了破坏,因此,病毒防护手段需要在系统边界进行部署,在网络层进行病毒查杀,防止感染系统内部主机。
此外,来自互联网、其他非可信网络的各类网络攻击也需要通过安全措施实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层及业务系统的安全防护,保护核心信息资产免受攻击的危害。
③ 网络安全审计
安全技术措施并不可能万无一失,一旦发生网络安全事件,需要进行事件的追踪与分析,针对网络的攻击行为和非授权访问等行为,需要在网络边界、重要网络节点上进行流量的采集和检测,并进行基于网络行为的审计分析,从而及时发现异常行为,规范正常的网络应用行为。
(4)计算环境安全需求
主机系统自身的漏洞一旦被攻击者利用,获取系统权限,将直接导致信息系统被破坏或数据泄露。此外,应用和数据是安全保护的对象,应用系统在开发过程中由于技术的局限性和开发管理的漏洞,总是存在一些安全漏洞,在系统上线后,被攻击者恶意利用,进而给单位的经济利益、业务,甚至声誉带来影响。
计算环境安全需求包括对主机和应用系统用户进行身份鉴别和访问控制、安全审计、对主机和各类终端的入侵防范和恶意代码防护、数据保密性和完整性保护、数据备份与恢复、剩余信息和个人信息保护。
① 主机身份鉴别
登录主机操作系统必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,并定期进行更换,或者采取更可靠的身份鉴别措施。
② 主机访问控制
主机访问控制主要是为了保证用户对主机资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将为主机系统带来很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
③ 系统审计
登录主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。
④ 恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害的最大隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄露,严重影响正常业务的开展。因此除了在网络层采取必要的病毒防范措施外,还要在主机部署恶意代码防范软件进行监测与查杀,同时保持恶意代码库的及时更新。
⑤ 应用系统安全功能开发
应用系统在开发过程中需同步考虑安全功能的实现,包括系统用户管理、身份认证、访问控制和应用安全审计等相关功能,并在应用系统开发过程中通过采用密码技术实现数据的完整性和保密性。
实现对登录用户的身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;重要信息系统需要采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
提供访问控制功能,对登录的用户分配账号和权限;授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级。
提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
提供数据有效性检验功能,保证通过人机接口输入或通信接口输入的内容符合系统设定要求;在故障发生时,应自动保存易失性数据和所有状态,保证系统能够恢复。
提供剩余信息保护功能,保证释放内存或磁盘空间前,上一个用户的登录信息和访问记录被完全清除或覆盖。
⑥ 数据完整性与保密性
数据是信息资产的直接体现,所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。
通过采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
通过采用密码技术保证重要数据在传输和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
⑦ 数据备份和恢复
对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均须进行冗余配置,数据备份与恢复是应对突发事件的必要措施。
(5)集中安全管控需求
×××系统内部署着大量的安全设备和网络设备,各安全设备和网络设备每天采集大量的日志信息和流量信息,需要对设备进行统一的、集中的管控,主要包括以下几个方面。
① 安全管理实现“三员”分离
该管理具备系统管理、安全管理和审计管理功能,功能权限分离,“三员”(系统管理员、安全管理员、审计管理员)分离,并能对“三员”进行身份鉴别和操作审计。
② 统一安全运营和管控的需求
对于资产规模和部署范围庞大的×××系统,必须建设统一的安全运营和管理中心,对全网资产、日志、事件信息进行统一的监测、检测、响应和分析,掌握全网的信息资产安全状况,及时发现和处置安全事件。
③ 集中安全策略管理需求
面对复杂的网络结构,多厂商安全设备,由人工进行安全策略的配置和动态调整,无论是从工作量和工作难度上来说都是不可接受的,需要能够采用自动化工具进行全网主要设备的安全策略自动下发和集中管理。
2. 安全管理需求分析
根据上述的针对建设期和运营期的安全管理风险分析,总结了以下安全管理需求。
(1)建设期安全管理需求
系统建设期包括系统的需求分析阶段、系统设计阶段、系统开发设计阶段、系统工程实施阶段、系统测试验收阶段和系统交付阶段,××× 系统属于重要业务系统,在整个建设期间需要加强以下安全管理。
① 系统规划设计阶段需同步安全设计
在应用系统的需求分析阶段就需要同步考虑安全需求,并进行安全功能的规划和设计,并且在信息系统规划设计阶段,也需要同步考虑安全技术体系的设计,并在应用开发和系统建设过程中同步落实相关安全措施,安全产品和密码产品的选型要符合国家等级保护的相关要求。
② 加强外包软件开发管理
外包软件开发面临来自人为的恶意和非恶意的安全风险,数据表明,大部分软件开发都不可避免地存在代码漏洞,但严格的安全开发管理能大大降低应用系统漏洞带来的风险,因此,在外包软件开发过程中需要加强对开发人员、开发过程、编码规范、代码审查的管理,并要求外包厂商提供源代码。
③ 工程实施安全管理
在整个工程实施过程中,需要指定专门的部门和人员负责工程实施安全管理,指定工程实施方案控制安全工程实施过程,并引入第三方监理控制项目的实施过程。
④ 系统测试验收和交付管理
在系统正式上线前,需要进行必要的系统测试,制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;需要进行上线前的安全性测试,并出具安全测试报告。在系统交付过程中,需要制订交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;对负责运行维护的技术人员进行相应的技能培训,确保提供了建设过程中的文档和指导用户进行运行维护的文档。
⑤ 系统测评和服务供应商选择
按照等级保护的要求,三级信息系统必须经过国家等级保护测评,并对不符合项进行整改,服务供应商的选择需要符合国家的有关规定。
(2)运营期安全管理需求
运营期指系统上线投入运营后到系统废止,运营期安全管理需要建设一整套信息安全管理体系并加以落实,且要按照等级保护和ISO27001的信息安全管理体系建设要求。信息安全管理体系包括信息安全方针和策略、信息安全制度、操作流程和规范、记录表单等分层级的信息安全管理制度系统。其中,每一层级文件都是对上一层级的具体化和落实,安全管理体系包括安全管理制度、安全管理机构、安全管理人员、安全运维管理等几个方面,每个方面都需要制定和落实相关的管理制度,信息安全制度体系与信息安全技术体系和信息安全运营体系相辅相成、缺一不可。
3. 安全运营需求分析
安全运营需求分析从技术角度分析系统上线运行后在整个较长的后续运营期间对安全运营的需求,主要包括以下几个方面。
(1)全面掌握信息安全资产需求
信息安全运营的前提是摸清网内信息资产的全貌,这些资产包括主机/服务器、安全设备、网络设备、Web应用、中间件、数据库、邮件系统和DNS等。资产信息包括设备类型、域名、IP、端口、版本信息等,这是信息安全运营的前提和基础,而单位往往并不完全掌握这些资产信息,采用人工方式进行资产梳理对于庞大的信息系统既不可能,也不全面。因此,需要进行全网信息资产的自动化发现,并结合业务特点,对资产的重要性等情况进行梳理,形成资产清单,并能对变化进行周期性地监控。
(2)日常安全运营需求
单位信息系统上线后,需要对网络及系统进行日常安全运维,包括定期的系统安全评估、检查系统的配置是否满足安全防护的需求,定期检查设备的运行状态和系统漏洞情况,及时修补系统漏洞,对于应用系统新上线的功能模块或新上线的系统进行安全评估、代码审计,并在上线后定期进行渗透测试,针对暴露于互联网的Web应用,由于其面临的风险更大,还需要提供更专业、更实时的运维服务支撑。
(3)重要时期安全保障需求
对于重要行业,如政府、能源、教育、医疗、金融、广电等,重要时期的安全运营保障服务尤为重要,这是单位领导重点关注的工作。重要时期的安全运营保障包括事前、事中、事后整体的安全运营保障服务,需要更加全面的安全评估检查、渗透测试,以及应急演练、现场值守、应急处置和后续的工作总结等。重要时期的安全保障能力集中体现了单位安全运营的能力水平。
(4)专家级安全运营服务支撑需求
当前安全威胁形势已经发生了很大的变化,大部分安全事件都是由未知威胁或高级安全威胁导致的,如近两年发生的勒索病毒事件,单位内部的安全团队面对这样的威胁形势往往束手无策,一旦发生安全事件,如果无法及时处置,将导致不可估量的损失,对政府而言,还将导致政治影响和大量敏感数据的泄露。因此,新等级保护制度增加了单位对于未知威胁的检测、发现和分析能力的要求以及对日志的综合分析能力的要求。×××系统这类关键信息系统需要有专家级的安全分析和应急响应能力,在安全事件发生时,能将事件造成的损失和影响降至最低,并对安全事件进行分析溯源,防患于未然。
3、总体设计原则和思路
1)方案设计依据
设计过程必须按照国家的相关法律标准展开,在方案的设计过程中,既要考虑满足合规要求,又要符合单位的实际安全建设需求。
2)方案设计原则
×××系统安全防御体系设计以安全合规要求为基础,以实际业务安全需求为主导,构建信息安全等级保护深度防御体系。在建设过程中,遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则。除此之外,作为国家等级保护重点防护的信息系统,信息系统设计环节重点把握如下原则。
1. 统一性、整体性原则
×××系统是一个有机的整体,为适应目前及未来业务发展的需要,为业务系统提供可靠的安全保障,需要有一个完整的、可靠的安全体系。
对整个×××系统安全防御体系实行统一规划、统一标准,并进行一体化安全建设、安全管理和安全运营,按照总体规划、部署和要求,做好各层面的统一建设和管理工作。
2. 一致性原则
信息系统是一个复杂的计算机系统,它在物理上、操作上和管理上不同层次、不同位置上的种种漏洞构成了系统的安全脆弱性,尤其是多用户信息系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。
攻击者使用的是“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全威胁和安全风险进行分析、评估和检测,这是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目标是防止受到攻击,重要目标是提高整个系统的“安全最低点”的安全性能。
3. 多重保护原则
任何单一层次的安全措施都不是绝对安全的,都可能被攻破,必须建立系统性的安全防护措施,从多层次、多维度进行多重保护。各个层次的保护相互补充,形成统一协调的安全策略,避免防护短板,层层防护,即使某一层保护被攻破时,其他层保护仍可保护信息系统的安全。
4. 适应性及灵活性原则
×××系统的安全体系设计必须具备一定的冗余性和前瞻性,能随着网络性能及安全需求的变化而变化,要在整个系统内尽可能地引入更多的灵活自适应的因素,并具有良好的扩展性,能够为将来业务扩展提供足够的安全扩展能力。
3)方案设计思路
本项目在进行安全体系方案设计时,将根据国家信息安全等级保护相关要求,通过分析系统的实际安全需求,结合其业务信息的实际特性,并依据及参照相关政策标准,设计安全保障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。具体设计将遵循以下思路。
1. 合规要求与业务风险分析相结合的设计思路
信息安全风险分析是识别信息系统面临安全威胁和系统脆弱性的方法,通过风险分析方法可以全面掌握信息系统面临安全风险的全貌,并根据安全风险等级确定信息安全建设的重点,在等级保护建设中将采用《安全风险评估规范》中的信息安全风险评估模型,提取其中的关键要素,建立风险分析的最终方法。
在完成基于资产风险分析的基础上,对信息系统现状进行实际调研,掌握系统防护现状与等级保护基线要求间的实际差距,结合信息安全风险评估的方法,对信息系统进行全面的资产、脆弱性、威胁和业务风险等方面系统化的评估分析,发现基于业务的安全风险问题。将差距分析结果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并充分保障业务安全的建设需求。
2. 纵深防御的安全体系设计思路
信息系统安全体系建设的思路是根据分区、分域防护的原则,按照层次化的纵深防御的思想,建设纵深防御的安全体系。
纵深防御的安全体系:
按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络3部分,以计算节点为基础对这3部分实施保护,构成由安全管理中心支撑的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心、三重防护”结构。
3. 体系化安全保障框架设计思路
一个完整的信息安全体系应该是安全技术、安全管理、安全运营的结合,三者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国内外安全保障理论也在不断发展之中,根据信息系统的实际情况,参照国际安全控制框架的有关标准,符合信息系统的安全保障体系框架基本形成。
在方案设计中,“三个体系”(安全技术体系、安全管理体系和安全运营体系)既相对独立,又相互依赖和互补,共同形成整体的安全保障体系框架。
4. 安全体系叠加演进,以积极防御为主的设计思路
美国系统网络安全协会(SANS)提出的滑动标尺模型是网络安全保障建设的进化模型(见下图),它应用于网络安全建设者自我完善的发展过程。从最初的基础架构安全建设,到被动的合规性防御;再到由业务驱动的以监控为核心的积极防御;然后到采集威胁情报进行安全态势分析,掌控安全全局;最后就是进攻性防御阶段。每个阶段的建设都是在前一阶段的基础上,所以称为叠加演进。
等级保护制度经历了十几年的推广,大多数用户的安全建设已经进入第二阶段后期,有些重点行业已经到了第三阶段。因此,积极防御思想成为新等级保护制度的重要思想之一。传统的信息系统安全防护在各个技术控制点采用单一防护措施,而且主要是以安全产品的特征码和规则库进行防护,缺少把控动态安全的能力。当前,面对各种新的威胁形势,等级保护制度需要转变思路,进行积极主动防御。
(1)建立多维度防护体系,结合云端安全大数据产生威胁情报,提升自身的安全防护能力。
① 预警能力
利用云端的威胁情报、监控与检测、态势感知能力,赋予信息系统预警的能力,能够从海量的安全大数据中精确判断攻击行为,提前保护信息系统的安全。
② 防护能力
通过新技术产品进行替代并增强等级保护的安全技术控制措施,同时结合云防护的能力,提升整体的信息系统防护能力。
③ 溯源能力
利用威胁情报与本地全量数据进行整合,通过可视化分析技术,快速定位安全风险,形成智能的安全管理中心。
(2)改变传统安全运营的单兵作战,通过智能化安全运营、安全态势感知与防御协同联动,提升防护效率,降低运营成本。
4、安全防护体系总体设计
1)安全防护体系架构设计
信息系统安全保障体系是以“一个中心、三重防护、三个体系”为核心指导思想,构建集防护、检测、响应、恢复于一体的全面的安全保障体系。
“一个中心”指安全运营管理中心,即构建先进的、高效的安全运营管理中心,实现针对系统、产品、设备、策略、信息安全事件、操作流程等的统一管理。
“三重防护”指构建安全区域边界、安全计算环境、安全通信网络三位一体的技术防御体系。
“三个体系”指形成集安全技术体系、安全管理体系、安全运营体系于一个整体的安全防御体系,三个体系相互融合、相互补充。其中,安全技术体系是纵深防御体系的具体实现;安全管理体系是策略方针和指导思想;安全运营体系是支撑和保障。
安全防护体系架构如图所示:
1. 安全技术体系
安全技术体系设计内容主要涵盖 “一个中心、三重防护”,即安全运营和管理中心、计算环境安全、区域边界安全、通信网络安全。
(1)安全运营和管理中心
安全运营和管理中心是安全技术体系的核心和中枢,集安全监测中心、安全防御中心、安全运维中心和安全响应中心的功能为一体。
安全监测中心主要包括对系统、设备的安全监测和报警,并提供基于人工或工具的多层次的安全监测服务。
安全防御中心:在构建整体的技术防御体系的基础上,通过安全防御中心加强协调联动,进行积极主动防御,提升整体安全防御水平。
安全运维中心:实现安全运维操作的流程管理和标准化管理;实现自动化安全运维;实现运维策略可视化。
安全响应中心:采用“本地服务+云端服务+专家”的新型工作模式,结合云端的威胁情报、大数据提供及时的技术保障服务。
(2)三重防护
计算环境安全:为信息系统打造一个可信、可靠、安全的计算环境。从系统、应用的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、资源控制等方面,全面提升信息系统在系统及应用层面的安全。
区域边界安全:从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整性等方面,提升网络边界的可控性和可审计性。
通信网络安全:从保护局域网和广域网的数据传输安全、整体网络架构可靠和可用等方面保障网络通信安全。
2. 安全管理体系
仅有安全技术防护,无严格的安全管理相配合,难以保障整个系统的稳定安全运行。在系统建设、运行维护、日常管理中都要重视安全管理,制订并落实安全管理制度,明确责任权力,规范操作,加强人员、设备的管理以及人员的培训,提高安全管理水平,同时加强对紧急事件的应对能力,通过预防措施和恢复控制相结合的方式,使由意外事故所引起的破坏减小至可接受的程度。
3. 安全运营体系
由于安全技术和管理的复杂性、专业性和动态性,×××系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务和运营队伍支持。基础的安全运营服务包括系统日常维护、安全加固、应急响应、安全评估、安全培训和安全咨询等工作。在系统建设上线后,安全运营体系需要逐步完善,以确保系统运行。
2)总体安全策略
1. 信息安全技术体系总体策略
① 以某部门网络环境及信息系统为保障对象,参照《信息安全技术 网络安全等级保护基本要求》中三级保护要求为控制要求,建设基础安全技术体系框架。
② 安全技术体系建设覆盖物理环境、通信网络、区域边界、计算环境和安全管理中心5个方面。
③ 通过业界成熟可靠的安全技术及安全产品,结合专业技术人员的安全技术经验和能力,系统化地搭建安全技术体系,确保技术体系的安全性与可用性的有机结合,达到适用性要求。
④ 建设集中的安全管理平台,实现对安全系统的集中管控和分权管理。
2. 信息安全管理体系总体策略
① 建立信息安全领导小组和信息安全工作组,形成等级保护基本要求的信息安全组织体系。
② 建立信息安全管理制度和策略体系,形成符合等级保护基本要求的安全管理制度要求。
③ 建立符合系统生命周期的安全需求、安全设计、安全建设和安全运维的运行管理要求。
④ 系统安全建设过程应落实等级保护定级、备案、建设整改、测评等管理要求。
⑤ 系统安全运营过程应落实等级保护监督检查的管理要求。
3. 信息安全运营体系总体策略
① 通过互联网等领域所形成的新技术适当地提升安全能力,强化风险应对(监测、预警、防护、处置、溯源等)能力。
② 建立规范的信息化安全运营体系,以安全视角规范信息系统安全运营的整个过程,形成安全业务标准与流程。
③ 建立信息安全运营中心,安全运营实行分级保障,加强安全运营的可持续性建设。
5、安全建设项目规划
安全规划着眼于信息系统的长远安全目标,本节依照《信息安全技术 网络安全等级保护实施指南》,提出安全建设项目规划目标确定、内容规划、项目计划3个方面的具体内容并输出成果供参考。
1)安全建设目标确定
1. 活动目标
本活动是依据信息系统安全总体方案(一个或多个文件构成)、机构或单位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建设目标。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。
2. 活动描述
本活动主要包括以下子活动的内容。
① 信息化建设的中长期发展规划和安全需求调查
了解和调查单位信息化建设的现状、中长期信息化建设的目标、主管部门对信息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急迫和关键的安全问题,考虑可以同步进行的安全建设内容等。
② 提出信息系统安全建设分阶段目标
制订系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制订系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争取在短期内大幅度地提高安全性。
3. 活动输出
本活动输出包括信息系统分阶段安全建设目标。
2)安全建设内容规划
1. 活动目标
本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案,信息系统分阶段安全建设目
2. 活动描述
本活动主要包括以下子活动的内容。
(1)确定主要的安全建设内容
根据信息系统安全总体方案明确主要的安全建设内容,并将其适当地分解。主要的安全建设内容可能分解但不限于以下内容。
① 安全基础设施建设。
② 网络安全建设。
③ 系统平台和应用平台安全建设。
④ 数据系统安全建设。
⑤ 安全标准体系建设。
⑥ 人才培养体系建设。
⑦ 安全管理体系建设。
(2)确定主要的安全建设项目
组合安全建设内容为不同的安全建设项目,描述项目所解决的主要安全问题及所要达到的安全目标。对项目进行支持或依赖等相关性分析;对项目进行紧迫性分析;对项目进行实施难易程度分析;对项目进行预期效果分析;描述项目的具体工作内容、建设方案,形成安全建设项目列表。
3. 活动输出
活动输出包括安全建设项目列表(含安全建设内容)。
3)安全建设项目计划
1.活动目标
本活动的目标是根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统安全总体方案,信息系统分阶段安全建设目标、安全建设内容等。
2. 活动描述
对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信息系统安全建设项目计划。
安全建设项目计划可包括以下内容。
① 规划建设的依据和原则。
② 规划建设的目标和范围。
③ 信息系统安全现状。
④ 信息化建设的中长期发展规划。
⑤ 信息系统安全建设的总体框架。
⑥ 安全技术体系建设规划。
⑦ 安全管理与安全保障体系建设规划。
⑧ 安全建设投资估算。
⑨ 信息系统安全建设的实施保障等内容。
3. 活动输出
活动输出包括信息系统安全建设项目计划。