【51CTO.com 独家特稿】随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的政府、企业建立了依赖于网络的业务信息系统,比如门户网站、电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类Web应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,便利了工作,也极大丰富了人们的生活。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。
设计依据及参照标准
◆公安部《信息系统安全等级保护定级指南》
◆公安部《信息系统安全等级保护基本要求》
◆公安部《信息系统安全等级保护实施指南》
◆GB/T 9387.2-1995 开放系统互连基本参考模型第2部分:安全体系结构
◆ISO 10181:1996 信息技术 开放系统互连开放系统安全框架
◆GB/T 18237-2000 信息技术 开放系统互连通用高层安全
◆GB 17859-1999 计算机信息系统 安全保护等级划分准则
◆GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
◆ISO/ISE 17799: 2000 /BS7799
◆IATF《信息保障技术框架》
需求分析
系统现状需求
赵明网站对外提供的服务及业务系统通过负载均衡设备实现与互联网的连接;需要完善整个体系,就需要良好的等级保护措施以解决赵明根本的安全防御及安全管理问题。
等级保护技术需求
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有:
威胁的主要来源视图
威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。
被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。
主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。
邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。
分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的的后门或攻击途径、
内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。
等级保护管理需求
安全是不能仅仅靠技术来保证,单纯的技术都无法实现绝对的安全,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行。管理安全是整体安全中重要的组成部分。信息系统安全管理虽然得到了一定的落实,但由于人员编制有限,安全的专业性、复杂性、不可预计性等,在管理机构、管理制度、人员安全、系统建设、系统运维等安全管理方面存在一些安全隐患:
1. 管理机构
◆需要建立安全职能部门,设置安全管理岗位,配备必要的安全管理人员、网络管理人员、系统管理人员;
◆需要配备相应的安全管理员、网络管理员、系统管理员;
2. 管理制度
◆需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
◆需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
◆需要对安全管理制度进行评审和修订,不断完善、健全安全管理制度;
◆需要各功能部门协调机制,进行必要的沟通和合作;
◆需要建立相关工作的审批和授权机制,进行必要活动的审批和授权;
◆需要建立产品采购,系统测试和验收制度,确保安全产品的可信度和产品质量;
3. 人员安全
◆需要对人员的考核进行严格的管理,提高人员的安全技能和安全意识;
◆需要对人员进行安全意识的教育和培训,提高人员的安全意识;
◆需要对第三方人员访问进行严格的控制,确保第三方人员访问的安全;
4. 系统建设
◆需要具有设计合理、安全网络结构的能力;
◆需要任何变更控制和设备重用要申报和审批,并对其实行制度化的管理;
◆需要对信息系统进行合理定级,并进行备案管理;
◆需要安全产品的可信度和产品质量;
◆需要信息安全事件实行分等级响应、处置;
5. 系统运维
◆需要对信息资产进行分类标识、分级管理;
◆需要对网络、操作系统、数据库系统和应用系统进行安全管理;
◆需要用户具有鉴别信息使用的安全意识;
◆需要定期地对通信线路进行检查和维护;
◆需要硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护;
◆需要对支撑设施、硬件设备、存储介质进行日常维护和管理;
◆需要提供足够的使用手册、维护指南等资料;
◆需要在事件发生后能采取积极、有效的应急策略和措施; #p#
方案总体设计
设计思路
◆深度防御的思想。本方案在对赵明网络平台可能面临的安全威胁进行风险评估的基础上,结合安全区域的划分,从物理层、网络层、系统层、应用层和管理层五个安全层面进行了整体的安全设计,综合多种有效的安全防护措施,进行多层和多重防御部署,实现纵深防御。
◆等级保护的思想。本方案依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)以及公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发“关于印发《关于信息安全等级保护工作的实施意见》的通知”(公通字[2004]66号)“信息安全等级保护管理办法”(公通字[2007]43号)文件精神,结合《信息系统安全保护等级基本要求》中的技术要求,提出了等级保护实施策略。
◆动态发展的思想。本方案在满足赵明网站目前基本的、急需的安全需求的基础上,对未来几年赵明网站在物理安全、网络安全、系统安全、应用安全和管理安全等方面提出合理的安全解决方案,以应对不断变化的网络安全环境。
等级划分
根据《信息安全等级保护管理办法》(公通字[2007]43号)文件的要求,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。具体实施上要求各信息系统运营、使用单位根据《信息安全等级保护管理办法》和《信息安全等级保护定级指南》确定信息系统的安全保护等级,将信息系统安全等级保护工作落实到位。
根据《信息系统安全等级保护实施指南》和《信息系统安全等级保护评估指南》中规定的五个安全保护等级,结合《信息系统安全保护等级定级指南》,信息系统等级保护中的等级定义如下:
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
赵明网站是安全性要求较高,规划为1级自主保护级进行保护是适宜的。如下表所示:
建设方法
信息系统的安全等级保护是依据信息系统的安全等级情况保证它们具有相应等级的基本安全保护能力,不同安全等级的信息系统要求具有不同的安全保护能力。
实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,根据等级保护要求,可以使用的安全措施或安全控制依据实现方式的不同,分为技术要求和管理要求两大类。
技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求;基本管理要求从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。
技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,在一些情况下,技术和管理能够发挥它们各自的作用;在另一些情况下,需要同时使用技术和管理两种手段,实现安全控制或更强的安全控制;大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。等级保护安全建设模型和安全方案框架如下所示:
等级保护安全建设模型
等级保护安全方案模型 #p#
等级保护管理体系建设
除了采用信息安全技术措施控制信息安全威胁外,安全管理措施也是必不可少的手段,所谓“三分技术,七分管理”就是这个道理。安全技术措施和安全管理措施可以相互补充,共同构建全面、有效的信息安全保障体系。《信息系统安全等级保护基本要求》指出,安全管理体系主要考虑如下方面的内容:
◆安全管理机构
◆安全管理制度
◆人员安全管理
◆系统建设管理
◆系统运维管理
安全管理机构
《信息系统安全等级保护基本要求》在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。赵明网站应该建立专门的安全职能部门,配备专门的安全管理人员,管理外部网站系统的信息安全管理工作,同时对安全管理人员的活动进行指导。
环境安全保障措施建议
定期检查机房的温度和湿度
数据通信设备的长期稳定运行是需要一个良好的环境,为保证路由器、交换机等设备正常工作和延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害路由器上的CMOS电路;温度过高则危害更大,它会使路由器的可靠性大大降低,长期高温还会影响其寿命,过高的温度将加速绝缘材料的老化过程。影响设备的稳定运行。所以建议每天检查机房内的温度和湿度,如果发现机房空调损坏,要及时的修理,减少设备在不良环境下的工作时间。
路由器机房内工作环境温度、湿度的测量点,指在路由器机架前后没有保护板时测量,距地板以上1.5m和距路由器架前方0.4m处测量的数值;
短期工作条件指连续不超过48小时和每年累计不超过15天。
定期检查机房电源
电源的稳定对于设备稳定运行至关重要,电压的波动过大,使设备的部分器件经常工作在高电压或低电压,导致设备的寿命下降,器件工作不稳定,对于设备的运行造成较大的影响,建议定期(建议半年或一年一次)检查机房的电源输入是否正常,电压的波动是否在正常范围内,电压的波动范围见各个产品的输入电压,如果发现不在正常范围内,及时对电源进行整改。
建议定期检查UPS等备用电源是否能够正常工作,功率能否满足设备需要,由于这些备用电源长期不用,所以发生故障后不易被维护人员及时察觉,同时机房设备逐渐的增加,可能导致UPS等备用电源输出的功率不能满足机房设备的需求,这些备用电源的完好与否,功率是否满足需要需要进行定期的检查,保证在主用的输入电源中断后,设备仍然能够正常工作。
定期检查设备的接地电阻
良好的接地系统是路由器稳定可靠运行的基础,是路由器防雷击、抗干扰和防静电的重要保障。用户必须为路由器提供良好的接地系统,接地电阻如果不正常,会对设备的防雷、抗干扰,防静电造成很大影响,对于各个器件都会产生不良影响,甚至损坏重要器件。建议定期(每半年或一年一次)检查接地线是否完好,接地电阻是否正常,接地的标准见各个产品的接地要求,在检查时,对于设备的接地,机柜的接地,地线的腐蚀情况,地排的腐蚀情况都要进行全面的检查。
定期检查设备相关线缆
建议定期(每1-2月检查一次)检查设备的电源线、尾纤、接地线缆是否完好,有没有被腐蚀,有没有被鼠咬,以保证业务不会因为线缆的损坏而受到影响。
定期检查设备的风扇
设备的风扇如果运行不正常,会导致设备内的温度快速上升,它会使路由器的可靠性大大降低,长期高温还会影响其寿命,过高的温度将加速绝缘材料的老化过程,导致设备器件损坏,建议每天注意观察设备风扇是否产生告警,同时可以使用相关命令来查询风扇是否在位。
如果风扇框上的防尘网上积累了过多的灰尘,或者风扇运转不顺畅,都会影响风扇的通风排热效果,建议每月检查一次设备风扇运转是否良好,是否有隐患,风扇框上的防尘网是否积累了过多灰尘。
安全管理制度
《信息系统安全等级保护基本要求》在管理制度、制定和发布、评审和修订等三个方面对安全管理制度提出了要求。赵明网站应根据外部网站系统的实际情况,在信息安全领导小组的负责下,组织相关人员制定和发布信息安全工作的总体方针、政策,说明信息安全工作的总体目标、范围、方针、原则和责任。并定期进行评审和修订。
登陆口令强壮性
加强设备登录口令的强壮性,以保证登录口令的保密性。
建议登录口令长度不小于8位,由英文字母、数字和特殊符号共同组成。
口令中不建议使用超过3位连续或相同的数字或英文字母。
不建议使用地名、人名、各种日期、英文单词作为口令。
用户名和密码不能有相关性,不能从用户名推测出密码。
各个级别的用户名和密码要单独设备,不能有相关性。
登陆口令的经定期更改
建议定期更换一次登录口令,以保证登录口令的保密性。
对于管理级和配置级口令,建议每2个月更换一次,口令在10次内不得重复。
对于监控级口令,建议每6个月更换一次,口令在5次内不得重复。
对于参观级口令,视情况而定。
前后2个口令中相同位置的字符相同的不得多于2个;
口令不得有明显的意义修改;
不能从前一个口令的用户名和密码猜测出后一个口令的用户名和密码。
分级分权的口令管理
对于不同级别的维护人员提供不同级别的登录口令,尤其是管理级的口令,要严格控制能够获取该口令的人员范围。
建议定期(每月一次)检查各个口令的授权人员,在掌握登录口令的人员发生工作调动的时候,及时修改设备登录口令。
对于设备的软、硬件操作、配置要登记备案
对于每一次的对设备的硬件、软件、数据配置的操作,建议都由相关的授权人员进行授权,之后在严格按照申请的项目进行操作,并都进行记录,以便在日后进行查阅。
对于每一次的网络异常进行登记备案
建议对于每一次网络的异常都进行详细的记录
记录的内容:
故障的发生时间、现象、原因、恢复时间、恢复方法。
以便于日后进行分析总结。
对于某一个节点发生的故障,进行分析,必要时进行全网的预警,采取统一的应对措施,防止其他节点再次出现类似的故障。
在设备外保存设备当前的版本、数据配置和日志信息
设备的版本和数据配置文件除了在设备上进行保存外,建议在设备外另行保存一份。以备不时之需。
对于版本,在进行升级后,及时将另行保存的版本同步更新。
对于数据配置,由于更新得比较频繁,建议定期(每半个月)更新。
建议定期(2-3个月一次)将设备上的日志文件下载到其他地方,以备日后查找使用。
机房的安全管理建议
机房应有物理出入控制措施,如门禁,警卫等,人员和设备进入敏感区域必须经过审批和登记。
机房内部不允许拨号上网或其他对外网络连接方式,如蓝牙和无线连接。
非机房管理员(包括第三方人员)进入机房,需提出申请,经机房主管批准后,并有公司员工(授权用户)全程陪同。
非机房工作人员进出机房必须登记姓名、工作单位、进(出)入时间、事由、陪同人等信息。并保存3个月以上时间。
机房必须维护机房物理访问授权情况的列表,机房管理者必须至少每6个月验证一次访问权限人员列表。
人员安全管理
人员安全管理要求在人员的录用、离岗、考核、培训以及第三方人员管理上,都要考虑安全因素。
系统建设管理
《信息系统安全等级保护基本要求》在系统建设管理阶段针对系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付 、系统备案、安全测评、安全服务商选择等等方面提出了具体的要求。目前,系统定级、系统备案的工作已经或即将完成。工程实施、测试验收、系统交付等方面需要在产品购买后进行。而其他的一些方面,如自行软件开发、外包软件开发等,这里不涉及。在安全服务商选择方面,我们建议赵明网站系统的相关领导,选择有实力,有信誉的专业安全服务厂商。
安全运维管理规范
《信息系统安全等级保护基本要求》在环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等13个方面对系统运维管理进行了详细的要求。是等级保护管理体系建设最为重要的部分。
系统运维管理方面,建议通过内部管理人员维护和采用专业安全厂商的安全服务相结合的方式来实现。
在一定程度上说,安全服务是一种专业经验服务。安全服务提供商长期的服务经验积累、对行业的深刻理解、处理安全问题(事件)的最佳做法、科学的安全思维方式、正确的安全思维方法都是为用户提供完善安全解决方案的动力来源。考虑到赵明网站系统目前的实际,建议主要考虑漏洞扫描、安全检查、渗透测试、安全加固、应急响应、安全通告、风险评估服务和安全培训服务。
