张都乐 何淼 张洋 王照付
中国石油天然气管道工程有限公司 河北 065000
信息化已作为推进全球化的一支重要力量,深刻地改变着人们的生活,信息安全成为影响网络空间健康发展的关键因素。近年来,或者出于商业利益,或者出于政治和意识形态的利益,全球范围内的信息安全事件越来越多,以2010年的Aurora事件,Stuxnet事件、2011年的RSA SecurID窃取事件,CSDN泄密事件、Shady RAT攻击等为代表,攻击的规模持续增加,其复杂度不断提高,攻击者的目标选择、协作组织和影响范围均体现出明显的系统性趋势,造成的损失和影响逐年增大,已成为一个不容忽视的现实问题。
信息安全等级保护是我国正在大力推行的一项制度,按信息系统的重要程度及危害程度采取分级保护,以保护业务信息和系统服务为目标,通过有效执行管理、技术、人员、工程等四个安全保障要素,确保信息系统的保密性、完整性和可用性等信息的安全性从而到达保障系统安全。在信息安全等级保护的5个等级中,4~5级等级保护主要是针对高等级、涉及国家要害部分和关键信息等,具有较强的针对性,使用面较窄。而1~3级信息安全等级保护是基础、适用于大多数的信息系统,因而具有使用的广泛性。
在实际工作中,如何编写一个适合本单位实际情况又符合等级保护要求的实施方案,是成功实现信息系统安全的前提。
安全计算环境是指对定级系统的信息进行存储、处理及实施安全策略的相关系统,是一个信息系统的核心。安全计算环境在有效的区域边界安全防护下,可以避免受到来自外部网络的攻击和非授权访问。因此,安全计算环境的安全防护主要是防范因系统本身的脆弱性而遭受攻击。同时,安全计算环境的安全防护还要实现对来自系统内部的攻击、非授权访问的防范,特别是内部人员的违规操作、误操作以及各种病毒的攻击与破坏。作为一个整体,庞大的桌面用户计算环境的安全设计更应该予以关注。
安全计算环境安全设计包括物理安全、主机安全、应用安全、数据安全以及备份恢复等5个方面。
网络将信息系统的各种计算机/计算域、用户/用户域连接在一起,提供各系统之间信息传输通道的任务,包括各种网络设备、网络链路和通过网络传输的信息流。网络可能位于系统的边界内部,也可能位于边界外部,特别是网络信息流可能需要通过未知的网络环境传输。因此,网络的安全防护既要保证网络设备自身的安全(对各种设备的操作系统进行定期、不定期的加固),防范其受到攻击和非授权访问,又要保证网络信息流的安全,保护网络信息流的可用性、保密性和完整性。对于网络的保密要求,采用网络加密技术可以实现等级保护三级中的所有要求。
网络安全域应该具有安全的网络结构,同时应该具备诸如网络访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、可信接入保护等安全功能。
边界安全防护是从各个信息安全系统的业务流程的完整性上进行区分,是不同安全域的边界,一般而言,边界安全防护边界防御是利用隔离装置或技术(比如防火墙、入侵检测、MPLS VPN、VPN、VRF、VLAN、ACL等安全设备或技术)来保护进入安全域的入口点,边界防护一般具备网络强隔离、地址绑定、访问控制、抵御SQL注入攻击以及针对DDoS和APT攻击等功能。其目标是保护边界内的信息系统不会受到来自边界外部的攻击,同时也可以防止内部恶意人员跨越边界对外部的信息系统进行攻击以及信息的泄露。并且当发生安全事件后,边界防护设备日志信息符合相关等级的规定,管理人员可以通过审核日志发现违规事件记录以进行审计追踪。
安全管理中心作为信息系统的核心安全管理平台,是对信息系统的各种安全机制进行管理使其发挥应有安全作用的重要环节。通过安全管理中心,将系统中地域上分散的安全机制进行系统化设计和集中管理,构成以安全管理中心为核心的安全技术体系,使安全机制发挥更好的作用。可以作为对整个企业信息系统及其各个系统域的安全计算域、安全用户域、区域边界、网络安全域等环节的安全保护措施,进行统一的协调和调度,从而实现包含用户身份、授权、访问控制、操作审计等全过程的安全管理措施,并实现集中事件和风险管理,发挥出整体安全防护系统的作用。
公司信息系统等级保护的实施过程五个步骤:系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止。
(1) 系统定级
系统定级主要包括系统识别与描述;通过风险评估,根据相关标准确定信息系统的等级标准,经相关部门批准后形成定级报告,完成信息系统的划分与定级。
(2) 总体安全规划
总体安全规划阶段根据信息系统的划分、定级、承载业务情况,通过分析明确信息系统安全需求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于己运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
(3) 安全设计与实施
本阶段按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施,并按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
(4) 运行与维护
在系统的运行期间,监控系统和系统安全风险的变化,评估系统的安全状况。根据评估结果决定系统的改进:重新定级或改进相应的安全措施满足新的情况。
(5) 信息系统终止
信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
等级保护建设从根本意义上是合规性建设,一方面既要根据要求对现有系统进行合规性整改,同时应将新系统建设的整个生命周期与等级保护过程进行无缝连接,使得安全成为信息系统的一部分,确保等级保护的各项要求确实落地;另一方面,等级保护出发点是适度保护,促进信息安全共享,因此等级保护建设时应该充分考虑不同安全域之间互相操作的问题;这两个问题关系到等级保护的建设成功的能否成功的问题。
新建信息系统的等级保护工作与已经建成的信息系统之间,在等级保护工作的切入点方面是不相同的,它们各自的切入点及其对应关系如图1所示。
图1 等级保护过程与系统生命周期对应关系
(1) 组织规划阶段,应分析并确定所建信息系统的安全等级,并在项目建议书中对系统的安全等级进行论证。
(2) 开发采购阶段,要根据所确定的系统安全等级,设计系统的安全保护措施,并在可行性分析中论证安全保护措施。
(3) 实施交付阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收。
(4) 运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理。
(5) 废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。
对于已建的信息系统,由于在系统规划、设计和实施阶段没有考虑等级保护的要求,因此等级保护工作的切入点是系统运行维护阶段。
不同安全域之间互操作的安全保护包括相同安全保护等级和不同安全保护等级的安全域之间互操作的安全保护,以及独立用户/用户群对安全域的访问操作的安全保护,主要涉及到安全通信与多角色主机,文献[6]中对此进行了详细讨论。
在企业网内,选择用户名结合域名拼接的方式进行认证,由认证服务器配合进行用户名和域名的独立解析,然后下发动态的设备配置到主机所接入的交换机的对应端口,用户认证通过后,根据后缀属性实现同一账号在各个业务域内安全接入,通过身份实现控制权限动态下发ACL(Access Control List)或VALN(Virtual Local Area Network),以不同的VLAN号区分不同的业务,完成服务器资源的访问。
在跨广域传输中,通过MPLS VPN访问内部资源,以VRF(VPN Routing Forwarding)来区别不同业务,在数据中心前端,通过多实例用户网络边界设备MCE(Multi-VPNInstance Customer Edge)连接技术,实现对不同来自VRF业务的安全策略控制,再以映射VLAN的方式访问服务器资源。
等级保护是国家信息安全的基本制度,它以计算环境保护为基础,以访问控制为主线,逐级增强,等级保护建设是一个动态的、持续性的过程,不可能通过一次建设从根本上解决公司的信息系统的安全,一方面,随着业务的发展和安全需求的变化,原有安全防护等级也会随之进行相应的调整;另一方面,随着网络信息技术的快速发展,各类新的攻击手段和威胁形式将会不断出现,信息系统面临的风险也将不断地发生变化,原有安全防护等级采用产品、模式也应随之进行相应的调整与优化。
同时应该意识到,采用等级保护体系的安全系统的高度标准化特征,使其具备更高的稳定性和安全性,但同时由于其标准化的特性攻击者更容易得到相关的技术资料以及寻找类似系统进行试验,因此也容易受到攻击,因此加强动态监控、持续性的周期评审,对其进行动态更新是确保信息系统安全的重要保障。
[1] 齐莹素. 三级信息系统等级保护实施方案的研究与应用[D].北京工业大学.2007.
[2] 何新华.浅谈企业等保建设总体规划[J].信息安全与通信保密.2011.
[3] 李广.等级保护三级系统建设实践[J].计算机安全.2010.
[4] GB/T20271-2006信息安全技术 信息系统通用安全技术要求[S].
[5] GB/T25058-2010 信息安全技术 信息系统安全等级保护实施指南[S].
[6] 景峰.信息系统等级保护安全域隔离技术的探讨[J].山西电力.2010.