- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
行业资讯
网络安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。通过对网络信息安全进行等级保护测评,达到以检查促安全的目的。实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的目的,并将信息安全保护落实到点,实现信息系统的完整性、保密性和可用性。
一、信息安全等保测评实施过程
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
在网络信息系统全生命周期中,对于信息系统定级,定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运行使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。对于总体安全规划,总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。对于安全设计与实施,安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分布落实安全措施。
对于安全运行维护,安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、秘钥的管理,运行、变更的管理,安全状态监控和安全事件处理,安全审计和安全检查等内容。对于信息系统终止,信息系统终止阶段是等级保护实施过程中最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术活转变业务到新的信息系统,对于这些信息系统再终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
二、信息安全等级保护测评方法
网络信息安全的等级保护测评可分为测评准备、方案编制、现场测评、分析及报告编制等四个阶段,测评双方之间的沟通与洽谈贯穿了整个等级测评过程。在测评准备阶段,首先明确工作的任务与计划,签署了项目的保密协议。
测评的方法包括访谈、检查和测评。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法[4]。在访谈的广度上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。在访谈的深度上,应较全面,需包含通用和高级的问题以及一些有难度和探索性的问题。检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在检查的广度上,应基本覆盖所有的对象种类(文档、机制等),数量上可以抽样。在检查的深度上,应较为全面,要有详细、彻底的分析、观察和研究。测评是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析响应输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样。在测试的深度上,应执行安全测试,安全测试可能涉及机制的功能规范、高级设计和操作规程等文档。
对于机房,一是应设置火灾自动消防系统,能够自动检测火情、自动报警,并具有自动灭火功能。二是应采取区域隔离防火措施,将重要设备与其他设备隔离开,还应采用防静电地板。三是应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。一是应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。二是应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。三是当检查到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。四是应在网络边界处对恶意代码进行检测和清除,还应维护恶意代码库的升级和检测系统的更新,更新前应进行安全性和兼容性测试。五是访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力。在网络出口和核心网络接口处应限制网络最大流量及网络连接数,对于重要网段应采取技术手段防止地址欺骗。身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换,主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
对于网络主机的安全,一是应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。二是应在本机安装防恶意代码软件或独立部署恶意代码防护设备,并及时更新防恶意代码软件版本和恶意代码库,更新前应进行安全性和兼容性检查及测试。三是应通过设定终端接入方式、网络地址范围等调节限制终端登录。四是应采用校验码技术保证通信过程中数据的完整性,在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。
三、等保测评的工作流程
在网络信息安全等级测评的工作流程中,在方案编制阶段的测评对象确定,应根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。对测评指标的确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。对测评工具接入点的确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。对于测评实施手册的开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。
在现场测评阶段,现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。对于物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。对于主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。对于应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为各类应用系统。对于数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及数据完整性、数据保密性、备份和恢复。对于安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及管理制度、制定和发布、评审和修订。对于人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。
在分析与报告编制阶段,对于单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。对于整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。对于风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
四、结论
在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。根据等级测评结论,编制测评报告。本文主要对网络信息安全等级保护测评的实施过程、等保测评的方法及等保测评的工作流程等方面进行了详细的分析,对提高信息系统的安全具有一定的价值。
