河北省质量技术监督局信息中心 温丽云
浅谈开展质监信息系统等级保护测评的意义与实践
河北省质量技术监督局信息中心 温丽云
实行信息系统等级保护意义重大。本文对开展质监信息系统等级保护测评工作的基本原则、测评过程、测评结果进行了归纳总结,对测评发现的问题与不足进行了分析研究。实践证明,等级保护测评工作对全面提升质监信息化建设水平具有重要引领推动作用。
质监信息系统;等级保护测评;基本原则;测评过程;测评结果
信息化已成为当今世界科技、经济和社会发展的大趋势,信息技术以其高渗透性和高集成性正深刻地影响着人类的生活和各类经济活动。信息技术在质量技术监督行业的运用实践表明,信息化发展将带来标准化、计量、认证认可、特种设备、质量信用、产品监督、检验检测、执法打假等质监核心业务工作效率、监管方式、执法能力以及服务水平的整体改进和提升。加快信息化建设步伐,提高质监信息化水平,是实现“质量强国”、 开创“质量时代”的必经之路。
习近平总书记指出“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进”,阐述了在信息化的建设中网络安全的意义。而保障国家网络信息安全的基本制度、策略与方法就是开展信息安全等级的等级保护工作。开展信息安全等级保护工作,可以将网络信息安全所面临的威胁和存在的主要问题有效的解决,起到了“适度安全、重点保护”的目的。能够在开展信息化建设的同时,有利于部署安全设施和协调同步保障网络安全和信息化建设;有利于对信息系统安全的建设和管理两个方面提供系统性、针对性和可行性的指导与服务,并且能够有效地将信息安全建设成本控制到合理范围内;有利于优化安全资源配置,构建关键信息基础设施,增强网络安全防御能力和威慑能力。因此,开展信息系统等级保护工作意义重大。
近年来,国家有关部门越来越重视信息安全等级保护测评体系建设和应用推进工作。国家先后颁布了多条条例、准则来规范信息安全等级保护工作。1994年《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)。1999年,《计算机信息系统安全保护等级划分准则》(GB17859)发布,国家对信息安全等级保护工作制定了强制性标准。在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[200327号])明确指出“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2008年以来,相继发布了《信息系统安全等级保护基本要求》(GB/T22239)等涵盖等级保护基本要求、系统定级、实施指导、系统备案、建设整改、测评评估、监督检查各环节的系列标准。
2017年6月1日,在网络安全历史上是重要里程碑的《中华人民共和国网络安全法》正式实施,《网络安全法》第21条明确提出“国家实行网络安全等级保护制度”,第31条明确提出“国家对公共通信……关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
相关法律法规、政策标准的出台和实施,为开展质监信息系统等级保护工作提出了依据和要求,为提升质监信息化工作水平,尤其是提升网络信息安全保障能力奠定了基础。
“十二五”以来,河北质监信息化建设迅速发展,先后开发建设了机关标准化管理系统、行政许可电子政务系统、特种设备综合管理平台、工业企业产品质量分类监管及风险预警系统、行政执法信息系统、计量标准管理系统、标准化综合信息管理系统等十余套质监核心业务信息化系统。“十三五”期间,河北质监提出了建设以开展信息资源规划、制定标准管控体系、建设数据中心、搭建综合应用平台、建设核心业务应用系统和建立数据分析与决策支持系统等六方面内容的河北质监信息化应用体系。随着信息化业务系统和数据中心的建设使用,业务信息量的日益增大,系统内用户、社会公众和政府管理部门对信息化建设中机房安全、设备安全、网络安全、系统安全、数据安全的建设、规范和管理能力有了新的更高的要求。信息化建设的考量也逐步由以“业务系统建设为主”确定信息化水平,转变为以“网络信息安全为主”确定信息化水平。这一转变对开展信息系统等级保护具有重要的引导和实践价值。
质监信息系统等级保护测评是遵循国家等级保护有关规定的要求,对信息系统安全建设从技术和管理两方面进行符合性测评,技术类测评指标包括物理安全、网络安全、主机安全、应用安全和数据安全,管理类测评指标包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,可以为质监网络信息安全建设提供一个综合、科学、全面的评价结果和指导建议,对开展实际工作具有十分重要的意义。
第一,可以帮助单位梳理当前到底有哪些应用系型、网络拓扑是怎样的,各个系统由哪些网络设备、主机设备和应用组成,同时理清各个信息系统安全边界在哪里;了解清楚系统状况后,根据国家标准,分析系统的安全保护现状,找出存在问题,提出更合理的信息系统安全规划,从而有效提升系统的抗攻击能力和恢复能力。
第二,有利于同步建设、协调发展。我国信息系统初期建设存在重建设、轻安全的问题,同时建设过程不规范、不全面,基础信息网络和重要信息系统安全隐患严重,通过等级保护可以促进信息安全建设和信息化建设同步发展。
第三,可以优化信息安全资源的配置,包括设备自身的安全配置和安全硬件的协调工作,同时根据国家标准,统一规范、科学规划、重点突出,从而构建系统的立体防御体系。
第四,实行等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,增强国家整体的安全保护的能力。
安全防护体系包括物理环境安全、网络安全防护、系统安全防护和应用安全防护等多个方面。防护体系以保护信息系统为核心,严格参考等级保护的思路和标准,从多个层面进行建设,满足信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求。建成后的安全保障体系将充分符合国家等级保护标准,能够为本单位信息系统稳定运行提供有力保障。
根据《信息安全技术 信息系统等级保护安全建设技术方案设计规范》,信息安全等级保护解决方案在总体架构上须按照分域、分级的原则进行规划和设计,本规划参考IATF信息安全技术框架纵深防御体系以及《信息安全技术 信息系统等级保护安全建设技术方案设计规范》“一个中心、三重防护”思想,将信息系统从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施。因此方案架构设计将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计,应制定整体安全策略,对安全薄弱环节预先保护,对安全事件能够实时监控,并能针对遭受到的威胁进行实时响应,保证信息的安全和系统连续正常的运行。
具体体系防护策略有:
3.1.1 合理划分区域、域间互通管控:应根据系统或设备所处的物理位置、功能特性、网络拓扑等划分安全域,区域之间要形成数据流互通和管控策略;外联接入区和重要区域(服务器区)前段应部署安全设备,保护内部重要计算资源。
3.1.2 计算机安全方面:采用主机加固、加强安全配置等措施,部署防病毒软件、运维审计系统、数据库审计系统、SSL卸载产品,建立服务器备份、异地容灾。
3.1.3 边界安全控制:外联边界部署下一代防火墙、入侵防御系统、防恶意代码网关、上网行为管理系统,重要区域前部署下一代防火墙,应用服务器区域前部署WEB应用防火墙,内外网交互边界部署网闸设备等。
3.1.4 通讯网络安全:网络拓扑采用弹性架构,网络设备自身采用部件冗余技术,终端设备做好准入和非法外联控制,对外发布系统与内部数据交互采用VPN等加密技术,网络内部做好流量和用户行为监控,核心旁路部署入侵检测设备等。
3.1.5 安全管理中心:部署日志审计系统、IT运维管理系统、漏洞扫描系统、安全管理平台、堡垒机等安全管理系统。
3.1.6 物理环境安全:物理基础建设完善,做好避雷措施,做好机房访问控制,部署空调、视频监控、红外入侵报警系统、火灾自动灭火系统、防静电地板、UPS和备用供电设备、动力环境设备等设施。
总之通过设备部署、安全加固配置和应用软件开发安全多种方式互为补充,最终满足第三级系统应的安全防护要求。
依据《信息系统安全等级保护定级指南》(GB/T22240-2008),按照自主保护、重点保护、同步建设和动态调整的原则,并结合工作实际,将机关标准化管理系统、行政许可电子政务系统和门户网站的安全保护等级确定为三级,对其进行等级保护测评。
河北赛克普泰计算机咨询服务有限公司受委托于2016年1月至2017年5月对河北省质量技术监督局机关标准化管理系统、行政许可电子政务系统和门户网站进行了系统安全等级测评工作。通过静态评估、现场测试、综合评估等相关环节和阶段,从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对系统进行了综合测评。
测评范围涵盖了被测系统的主机房、网络设备和安全设备、服务器、数据备份与恢复、管理制度、管理机构、人员配备、系统建设、系统运维。
通过对信息系统按照国家基本要求规范进行合规性安全保护状态的分析,测评结论认为:被测系统面临着部分安全威胁,但质监局均采取了相应的安全机制,基本达到保护信息系统重要资产的作用。测评结论为基本符合。标准化管理系统、行政许可电子政务系统和门户网综合得分分别为82.90、82.90和81.70。
本次测评在肯定了现有安全机制的同时,仍发现了许多问题与不足,为今后有针对性地部署安全防护策略,进一步提升安全防护能力明确了方向。主要体现在:
物理环境方面:机房内未安装防盗报警设施,没有配备类似发电机的备用供电系统,未配备具有电磁屏蔽功能的机柜。
网络安全方面:重要网段未采取技术手段防止地址欺骗;未采用其他双因子鉴别技术进行身份鉴别,增加了鉴别信息或管理信息被网络截取进行攻击的风险。
主机安全方面:访问控制方面,操作系统未修改默认用户名,没有采取措施对重要信息资源设置敏感标记;入侵防范方面,未使用第三方工具对重要程序完整性进行检测。
应用安全方面:在通信保密性和完整性方面,系统未提供完善的通信加密和完整性验证功能;在资源控制方面,系统未对超时响应时间、资源分配、系统服务水平等方面采取控制措施。
数据安全方面:未实现传输线路、网络拓扑和关键网络设备以及服务器等数据处理系统的硬件冗余;未讲异地备份措施落到实处,无法保证将关键数据定时批量传送至备用场地。
安全管理机构方面:未聘请信息安全领域的专家作为单位长期的规划顾问;现实建设中一些专业性的指导规划未能有效应用;安全检查制度不完善,不利于提高安全管理制度的执行力。
人员安全管理方面:关键岗位人员未签署岗位安全协议,可能导致人员保密意识淡薄,造成泄密事件;未对安全教育和培训情况进行记录并归档保存,可能导致安全教育和培训情况无法有效掌握。
系统建设管理方面:未对系统开发软件源代码进行源代码安全审查,对于软件中可能存在的后门不能及时发现;缺少对工程过程的控制和人员行为准则的规定,存在工程实施过程不规范、控制内容不够全面,对组织的信息系统安全稳定运行造成风险。
系统运维管理方面:访问控制策略不完善,可能导致用户访问权限过大,出现未经授权访问的风险;未保存运维培训记录,应急预案不完善,可能给信息系统造成较严重的风险。
实行信息系统等级保护意义重大。本文对开展质监信息系统等级保护测评工作的基本原则、测评过程、测评结果进行了归纳总结,对测评发现的问题与不足进行了分析研究。实践证明,等级保护测评工作对全面提升质监信息化建设水平具有重要引领推动作用。
温丽云(1976-),女,河北省质量技术监督局信息中心高级工程师,理学硕士,长期从事质量管理、质监信息化发展规划与应用工作。