时间:2023-06-25 16:27:16
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全审计服务规范,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、VPN设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如图1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
图1
关键词:山区道路;安全审计;内容;步骤
道路安全审计(RoadSafelyAudits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
1道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
2山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
3审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
4现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(<30km)可直接进行第二阶段的工作。而对里程在30km~100km的道路,两阶段审计工作可根据具体情况灵活进行。
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减少相应的成本费用。
5我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
6结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
关键词:安全审计;数据挖据;日志分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式
存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火
灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
关键词: 桌面终端;安全防护体系;安全要求
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2012)0220131-01
0 前言
随着互联网络和企业网络的发展,信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用,成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统,大量敏感或信息存储在桌面或移动存储介质中。同时,来自于企业计算机网络外部或内部的攻击活动有增无减,变化无常,加之企业内部桌面非法接入的情况较为普遍,以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战,如何保证桌面终端的安全,从而保证企业整体信息安全,成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段,也将成为企业信息安全得以保证的基础。
1 桌面终端的安全要求
随着企业信息化建设的迅速发展,终端计算机数量的逐步增加,企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分,也是管理的最薄弱环节,涉及大量敏感或数据,管理较为为复杂,往往成为信息外泄的源头。
企业应根据自身的网络环境,结合基本情况,统一部署防病毒系统和补丁分发系统,并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络,应建立以端点准入控制系统为基础的安全防护体系,并执行企业制定的安全策略,阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障,除了利用防病毒和补丁系统,来防范和控制木马、恶意软件及内网的攻击行为,还要对企业终端用户的桌面制定相应的安全机制,确保每个接入网络的终端用户都符合企业安全策略,规范终端桌面的安全行为,使桌面终端工作在一个安全的防护体系中,保证企业网络在一个安全、稳定、有较的环境中运行。
2 桌面终端安全防护体系建设
随着信息技术应用的不断深入,企业信息系统集中程度的不断提高,业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击,所以需要完善安全防护体系建设,统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统,才能使主要依靠信息化应用系统的安全性得到有效保证。
2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位,实现病毒定义文件的逐级升级。防病毒体系的统一部署,有效地防止了病毒和恶意软件的大面积爆发,为桌面终端安全提供了强有力的保障。
2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器,地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。
2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略,地区公司接收总部策略后根据本地实际情况制定个性化策略,管理个人计算机。端点准入控制系统需要提供全面的端点保护功能,实现多层次的安全防护策略,有效应对病毒、木马、蠕虫等混合安全威胁,有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。
2.4 桌面安全流量监控体系。通过桌面安全流量监控系统,将桌面安全事件和桌面安全技术支持团队有机联系在一起,建立“发现-定位-处理”循环往复的工作模式,以安全管理团队自上而下的监督、支持和协同作战,推动各级安全管理团队的工作,提升管理水平,保证信息安全在桌面端少出问题,从而增强我们整体的信息安全水平。
2.5 数据文件电子加密。网络中最有价值的是数据,而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的,并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统,可以为员工提供方便易用的文件加密工具,切实增强信息安全水平和意识,有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。
2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全政策,堵住出现的漏洞,为此,系统安全审计应该具备以下功能:
1)记录关键事件:由安全相关部门统一定义违犯安全的事件,并决定将什么信息记入审计日志。
2)提供可集中处理审计日志的数据形式:以标准的、可使用的格式输出安全审计信息,使安全官员能够直接利用软件工具处理这些事件。
3)实时安全报警:扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来,当发生与安全有关的事件时,安全系统就报警通知相应的部门。
2.7 加强桌面安全管理。建立严格遵守规章制度,依据国家法律法规根据企业本身的实际情况制定相关规章制度,让终端用户遵守相关制度,可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识,安全意识低的必然结果就是导致信息安全实践水平较差,所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训,经常组织安全培训可以提高终端用户的安全防护知识,提升终端桌面的防御能力。
3 结语
桌面终端是企业网络运行的基础,也是企业信息安全最脆弱的部位,目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理,所以应该根据需求建立相应的安全体系,不仅能增加桌面终端的安全防护能力,同时也减少企业网络面临的安全威胁,同时应提高终端用户的安全意识,加强安全管理。
参考文献:
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3信息系统安全等级测评的内容
3.1信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
3.2测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1测试目的工具测试
是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6结语
本文重点描述了根据公安部出台的《信息安全技术信息系统安全保护定级指南》的要求,在医院信息系统等级防护中应用堡垒机去解决与保护域内计算机系统资源实现身份鉴别认证,并提供有效可回溯的安全审计方式,让医院信息系统获得最大的保障和管理应用效果。
关键词:
信息系统;安全;堡垒机
1、现状与要求
近年国家对企业的信息安全越来越重视,公安部及信息部等出台了《信息安全技术信息系统安全保护定级指南》(以下简称《指南》),卫生部也出台了《卫生行业信息安全等级保护工作的指导意见》对在建及已经运营的医院信息系统进行检查,要求重要信息系统其安全保护等级按照不低于三级进行建设。在《指南》中,要求信息系统必须建立及保存运维访问的各种操作日志。《定指南》将系统划分物理、网络、主机、应用和数据安全及备份等几大安全领域,其中几大领域均涉及到了数据以及操作审计、操作人员身份鉴别等安全问题。
2、医疗信息安全领域存在的问题
医院信息系统主要划分为his,pacs,Lis等几大子系统,其主要目标是支持医院的行政与管理运作,减轻各事务处理人员劳动强度,辅助医院高层对医院运作进行管理决策,提高医院工作效率,从而使医院能够获得良好的社会与经济效益。在对日常各系统的运维过程中,不同公司的维保人员有可能通过互联网络,在外地甚至在家对医院的业务系统进行升级与维护,操作方式基本分散无序,普遍存在由于管理人员登陆帐号管理不规范、运维权限划分不清晰、认证流程简单、缺乏对运维过程的监控、无法控制运维的时间段等等问题,容易导致其运维行为可能存在误操作、违规操作甚至恶意操作等现象,造成系统服务异常或宕机,病人数据信息被泄露或破坏。因此,进一步加强对拥有信息系统高级管理权限的运维操作人员的行为管理与监控,也是医院信息安全发展的必然趋势。
3、堡垒机在信息安全领域的应用
堡垒机,提供了在特定网络环境下,为确保域内服务器、路由器等设备的安全运行,使用协议等方式,接管对终端目标设备的访问界面,对其访问行为进行安全审计与翻译,集中管理、监控记录运维过程的一种设备,确保域内网络与数据不受破坏。堡垒机扮演了对信息系统和网络、数据看门者的角色,所有对网络关键设备、服务器以及数据库的访问,都要经过这个看门者的安全检查。符合安全规定条件在命令和操作才可以从大门通过,这个看门人可以对这些命令和操作进行登记记录,而某些非法访问、恶意攻击以及不合法命令则被阻隔于大门之外。因此,在提高医院信息安全防护等级的过程中,使用堡垒机不仅可以实现用户的身份鉴别、单点登陆、多因素安全认证,还可以将服务器、网络路由设备、数据库等资源的操作进行详细的记录并录像,提供有效的安全审计查询。堡垒机作为医院信息系统等级保护安全体系中的一个环节,可以很方便地做到事中监控,事后找出问题根源。医疗单位要选择一款好的堡垒机,要注意其生产厂家必须能在IT运维管理领域里,可以深刻感知医疗安全行业和国家的合规性规范及高安全性、高可用性和高可靠性需求,不断创新发展,致力从事智能的自动化运维管理。医院在选择堡垒机厂商时要注意厂商是否具备快速响应能力及行业内口碑等,多了解其产品的行业经验,注意了解厂商的是否有医院信息安全领域的服务经验及良好的服务质量,并建议选购前要做好堡垒机设备与医院信息系统的兼容性测试,选择良好的堡垒机厂商可以让医院医疗信息行业运维管理工作增值,这样才能让医院医疗信息系统获得最大的保障和应用效果。
4、堡垒机所应具备功能:
4.1单点登录
堡垒机可通过保护域内的安全设备、数据库、网络设备等对堡垒机专用帐号的授权,支持针对一系列授权帐号的密码定期变换,规范及简化密码管理流程。被授权的维护人员无需再记忆各种不同系统的密码,即可通过堡垒机安全便捷地登录被保护域内设备。
4.2帐号管理
针对保护域内的网络设备、服务器及其他安全设备的各种帐号进行统一管理,监控授权访问资源帐号的整个生命周期。可以根据运维人员的不同身份设计不同帐号角色,满足审计及运维操作管理要求。
4.3身份认证
由堡垒机提供统一的认证入口,支持包括动态与静态口令、硬件密钥、生物指纹认证等多种认证模式对用户认证。并要求可订制接口,支持第三方认证服务;有效提高保护域内设备的安全型及可靠性。
4.4资源授权
针对访问域内网络设备、服务器、数据库等根据ip协议类型、行为等多种要素进行授权操作
4.5访问控制
保垒机能支持对不同用户制定不同策略,有针对性地进行细粒度的访问控制,有效禁止非法及越权访问,最大限度地保护用户资源的安全。
4.6操作审计
堡垒机能支持针对命令字符操作、图形界面操作、文件传输操作等的多种行为的审计与录像全程记录,支持通过实时界面监控、对违规事件进行事中阻截。并能支持对指令信息的关键字搜索,精确定位录像回放位置等功能。
5.堡垒机在医院医疗信息系统安全的主要作用:
5.1从医院来看:
通过堡垒机细粒度的安全管控策略,保证医疗信息系统的服务器、网络设备、数据库、安全设备等安全可靠运行,并可以在一定保障数据的隐私性与安全性,降低人为安全损失,保障医疗信息系统的运营效益。
5.2从信息系统管理员来看
可以将保护域内系统所有的运维账号在堡垒机这个安全平台上管理,让管理更简单有序,确保用户拥有的权限是恰当的,只拥有完成任务所需的最小权限。
5.3权限控制:
通过堡垒机可以通过字符与图形界面直观方便的监控各种韵维访问行为,及时发现与阻隔违规操作、权限滥用等。
5.4以普通用户来看:
系统运维只需要记住一个自己的运维账号和口令,登录一次,就可以访问个资源,大大降低工作复杂性,提高了效率。
作者:胡名坚 周春华 黄慧勇 单位:佛山市第一人民医院计算机中心
参考文献:
随着计算机信息技术的飞速发展,电子政务在政府实际工作中的作用越来越重要。如果缺少电子信息技术支撑或者因为安全问题导致电子政务系统无法正常运行,大量的政府部门将无法正常的开展工作。因此,电子政务系统的安全问题变的日益突出和紧迫。本文阐述了党务内网市级电子政务安全保障体系,探讨了电子政务信息安全中存在的安全问题,并对电子政务安全保障提出合理化建议和有效保障措施。
【关键词】安全域 安全策略 物理安全 网络安全
【关键词】安全域 安全策略 物理安全 网络安全
随着信息技术的飞速发展,电子政务在政府工作中的作用日益重要。与此同时,电子政务相关的安全问题也变得日益突出。因电子政务系统受攻击导致系统瘫痪而使政务停滞的事例时有发生,而因网络完全问题导致的泄密事件也成为政务工作安全保密的主要威胁之一。因此,如何建立完善的电子政务安全保障体系成为一个迫切需要解决的问题。下文将以河南省党务内网市级为例,分析探讨电子政务的安全保障体系。
1 电子政务内网安全保障体系
党务内网中存在大量涉及国家秘密信息,内网的安全保障体系包含管理要求和技术体系两个方面内容,国家针对涉及国家秘密的信息系统有明确的管理和技术要求
1.1 管理要求
根据国家保密局颁发的《涉及国家秘密的信息系统分级保护管理规范》中关于按照最高密级进行管理的要求,将电子政务内网(党务内网)市级平台定为“机密”级,县(市、区)网络定为“秘密”级,并按《涉及国家秘密的信息系统分级保护管规范》规定的相应密级防护要求进行安全保密建设和管理。所有需要进行数据交换的信息主体均应有相应的密级标识,密级标识应与信息主体不可分离,其自身不可篡改。对于以数字文件方式在线或离线存储的信息,应将存储、处理和管理信息的计算机、网络、存储备份及输入输出硬件系统进行密级标识。凡是存储了党委系统信息的硬盘、光盘或磁带等离线存储介质必须按照《涉及国家秘密的信息系统分级保护管理规范》进一步加强统一的标识和管理。
1.2 安全技术体系
构建安全系统已经迫在眉睫,然而值得注意的是:单一安全产品越来越难以满足企业安全需要。 安全系统不允许有“短板”存在,党务内网构建了涵盖物理安全、网络安全、系统安全、应用安全和数据安全五个层次的全方位党务内网的安全技术体系。
2 物理安全
物理安全是系统安全的最基本要求,主要从设备放置安全、通信线路安全、环境安全、出入控制措施几个方面考虑:
党务内网的核心设备全部放在符合国家标准GB50174-1993标准的专用机房中。机房实行24小时监控并使用屏蔽机柜。通信线路采用移动公司的专用传输线路,设备和线路独立于其它网络,并对传输线路进行链路加密和线路屏蔽。通过物理分隔明确区域划分,为防护设备提供安全的外部环境;对安全区域按照保护级别实行全方位的控制,结合身份鉴别与认证技术,强化出入控制措施。通过以上多种措施的综合保障党务内网相关设备的物理安全,避免出现系统运行安全事件和泄密事件。
3 网络安全
网络安全是信息安全技术体系中的重点内容之一,主要通过高性能防火墙、入侵防御、入侵检测、防病毒网关、密码机等安全保密设备核心交换机连接,即保证数据的保密性,又要保证数据的安全性。
3.1 访问控制
访问控制是网络系统安全防范和保护的主要策略之一,它的主要任务是保证系统资源不被非法使用,是系统安全、保护网络资源的重要手段。而安全访问控制的前提是必须合理的建立安全域,根据不同的安全访问控制需求建立不同的安全域。
党务内网按照信息资源的等级、同时参照基础架构的功能和角色划分为4个安全域,分别为:市级网络中心、市委办公室局域网、市直单位用户终端、县级网络中心。
市级网络中心分为应用与安全服务支撑区、公共应用服务器区、运维管理区三个安全区,通过一台多端口防火墙实现安全区的边界防护。市委办公室局域网是市委机关的核心区域之一,网络边界配置防火墙。全市市直单位,通过防火墙、密码机和运营商城域网连接到市委安全域,网络边界配置防火墙。县级网络中心网络区域配置防火墙1台,负责县(市、区)委用户终端的安全防护和网络接入。
3.2 边界完整性检查
市级电子政务内网网络边界完整性检查包括两个层面:一是应用网络设备的访问控制对非法外来接入进行检查和阻断;二是通过终端安全管理系统对非法外联行为进行监督和控制。
综合运行防火墙技术、交换机或路由器的ACL和802.1x协议、隔离网闸等安全访问控制手段,对接入网络的用户进行严格的身份检查,拒绝一切未授权自私非法接入电子政务内网的用户终端。桌面终端安全管理技术能够有效地防止用户私自非法接入政务内网以外的其它网络。利用终端安全管理系统为每个用户分配在线策略和离线安全策略,详细分配用户的访问权限和授权访问资源,禁止多网卡和非法路由、红外接口、蓝牙、1394接口、USB接口等可能产生外联行为连接方式,并对非法外联时产生的非法路由信息进行详细的记录,要能够记录非法外联用户、时间等,以备审查。
3.3 安全审计
审计系统能够真实地记录用户的操作或系统/设备在运行过程中触发自身日志功能而产生的事件数据;当发现不符合规定的越权操作时,能及时告警或同时阻断;通过系统提供的审计记录能迅速地查找出违规者的真实身份。审计系统所记录的所有日志信息,均应储存在自身存储系统中,以备能够根据日志记录进行数据分析或生成审计报表。审计记录不得轻易删除或修改,审计系统自身必须具备用户权限控制机制。
党务内网的网络审计系统采用网络旁路侦听的方式对网络数据流进行采集、分析和识别,并对应用层协议进行完整还原,根据制定的安全审计策略进行审计响应。网络旁路监听不改变用户的网络结构,不影响用户的网络性能和应用业务,能根据用户或服务进行网络流量统计分析,便于管理员及时发现网络异常流量。
3.4 入侵防范
网络入侵检测和防御技术是对网络入侵行为的检测和控制。它通过监视计算机网络数据报文,并对这些报文进行协议分析和模式匹配,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。目前最新的网络入侵检测系统还引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
3.5 恶意代码防范
根据国家相关安全技术要求,病毒网关应具备查杀当时流行的病毒和木马的能力,其病毒库应能够在线或离线及时更新,更新周期不应超过一周,遇紧急情况或国际、国内重大病毒事件时,能够及时更新。网络边界恶意代码的防范主要是采用边界防病毒网关过滤技术,主要有入侵防御、防病毒网关、一体化安全网关技术等,通过防病毒网关对数据进行深层次的安全代码检查,将可疑恶意代码进行隔离、查杀和过滤。
3.6 网络设备防护
各种网络设备、安全设备、服务器系统、交换机、路由器、网络安全审计等都必须具备管理员身份鉴别机制,可以采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别。网络设备应限制远程登陆管理IP地址范围或禁止远程管理,必要时只允许少数或管理域的IP主机方可以管理权限通过网络登陆设备配置和维护操作,通过网络远程配置管理必须采用加密方式(如:SSH或HTTPS)建立连接,以防连接会话被窃听或篡改。所有操作必须有审计员帐号监督审计,审计管理员可随时查看系统管理员对网络设备所做的操作。
4 系统安全
系统安全包括:系统配置安全(包括操作系统安全)、主机防病毒、非法外联监控、安全审计、主机与介质管理(补丁分发、终端安全管理、介质管理等),其中主机防病毒、非法外联监控、安全审计、主机与介质管理(补丁分发、终端安全管理、介质管理等)要求与省级网络中心部署的相应系统对接。
通过采用正版安全系统,系统加固,定期安全评估发现漏洞,及时安装漏洞补丁,基于主机的入侵检测等保证操作系统安全。通过桌面安全管理系统(补丁分发、终端检查、接口管理、非法外联接入管理)、信息安全综合强审计系统(系统账号管理、操作系统使用权限管理)来实现,禁止用户用公用账户登录系统。在网络的应用与安全支撑服务区配置一部网络杀病毒软件服务器,负责所有接入网络的服务器、终端计算机的病毒查杀管理和病毒库更新。在网络的安全支撑区部署一套违规外联监控系统。在所有接入网络的终端上配置违规外联监控系统客户端。及时发现并阻断违规外联行为,并向网络管理人员发出报警。加强主机及移动介质的管理、硬件资产管理(登记计算机硬件配置,防止私开机箱)、移动存储介质管理(存储介质登记注册,规范使用)、便携式计算机管理等。
5 应用安全
建立与省级网络中心体系一致的二级安全应用支撑平台,与省内网管理中心完成对接。包括市级证书认证和查询验证系统,同时接入市级身份认证节点和省级证书认证和查询验证系统,为市级网络平台提供证书服务;市级可信时间服务系统,与省级保持一致;身份认证系统、统一用户管理系统、访问控制权限管理系统、单点登录系统及信息保护和应用管理系统实现对业务应用的安全保障,与省内网管理中心的系统完成对接。
5.1 电子身份认证基础设施
党务内网市级网络中心的应用和安全支撑服务区建设数字证书注册审批分中心(RA,Registration Authority)。市委RA系统对证书发放、管理,负责本市及所辖县、区委的证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书存放于USB-KEY中。依托省内网中心的应用和安全支撑服务区建设数字证书注册审批分中心,并保证和其对接。
5.2 可信时间服务系统
在市级网络平台的应用与安全支撑服务区部署1套可信时间服务系统,防止用户对自己的网络访问行为进行否认,在应用系统设计过程中结合PKI/CA系统实现。
5.3 统一用户管理
通过体系一致的统一用户管理系统,对系统内所需要的用户信息进行统一管理,对不同安全域的用户信息进行同步,保障用户身份的安全和一致性。按照省委办公厅统一规划建设。
5.4 身份认证与访问控制
通过体系一致的身份认证系统,实现省电子政务内网(党务内网)用户的身份鉴别。用户访问受保护的业务系统时,采用基于数字证书的身份认证进行用户身份鉴别。建设单点登录系统,实现应用系统的单点登录功能,根据用户的身份及访问权限,对用户访问网络、应用、资源的行为进行识别和控制。
6 数据安全
数据是信息系统的核心,数据安全主要包括数据完整性和数据的备份与恢复两个方面内容。
6.1 数据完整性
数据完整性是数据安全的基本要点之一。主要包括传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。要求数据在传输或存储过程中使用数字签名或散列函数对密文进行保护。接收方在收到数据的同时也收到该数据的数字签名,接收方依据数据签名验证数据的真实性和完整性。
6.2 备份和恢复
数据备份是数据在受损后恢复最快的数据安全措施,要求将系统重要数据利用光盘库、磁带机、磁带库或其它存储设备,复制数据的副本,并且将备份介质异地存放;数据备份方式可以选择海量备份、增量备份或差分备份,在首次对系统数据进行备份时,必须选择海量备份方式,要求每天对数据进行一次增量备份,每周对数据进行一次差备份。重要数据传输网络和数据系统包括硬件部分,要采冗余结构,确保数据的高可用性。必要时使用存储区域网(SAN)模式进行异地存储备份。
7 小结
信息安全问题不是一个孤立的问题,而是一个安全保障体系。为保证电子政务内网(党务内网)的安全、高效运行,除了强有力的技术保障体系,还必须有稳定合理、分工明晰的安全运行维护组织。根据各地区各部门实际情况,建立或指定专门机构,并结合各单位的实际情况,配备相关的管理人员、技术人员、操作人员,负责运行维护工作,执行安全运行维护职能,保证电子政务内网(党务内网)的效能得到最大程度发挥。
参考文献
[1]戴黍,刘劲宇著.电子政务管理导论[M].北京:高等教育出版社,2011(11).
[2]李湘江.网络安全技术与管理[J].现代图书馆技术,2002(02).
[3]曹凌,耿鹏著.电子政务管理模式探析[J].西安电子科技大学学报(社科版),2001(09).
电子政务系统的应用软件一般规模比较大,软件在应用过程中面向的用户较多,系统结构和业务流程相对复杂,以Web应用为主要实现方式。因而,系统安全常见的风险主要有Web应用的SQL注入漏洞、表单绕过漏洞、上传绕过漏洞、权限绕过漏洞、数据库下载漏洞等。同时也常常存在应用系统管理员账户空口令或弱口令、未设置应用账户口令复杂度限制、无应用系统登录和操作日志等风险。在软件应用安全层面,安全方面的保证没有统一的方法和手段。在保证整个系统安全运行过程中针对信息安全的部分,如对数据库访问安全,访问控制,加密与鉴别等应用层面的安全防护,主要从客户端避免和减少人为非法利用应用程序,从应用软件设计、实现到使用维护,以及应用软件对系统资源、信息的访问等方面保证安全。
二、软件应用安全要求与技术防护
2.1身份鉴别与访问控制
用户身份认证是保护信息系统安全的一道重要防线,认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前,应通过口令、标记等方式完成身份认证,阻止非法用户访问系统资源。从技术防护的角度来说,软件应保障对所有合法用户建立账号,并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则,如口令长度、口令多次失败后的账户锁定,强制口令更新等,以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后,为防止长时间登录而被冒用等情况,系统应有自动退出等登录失效处理功能。此外,应用系统需要及时清除存储空间中关于用户身份的鉴别信息,如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的,访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确,功能划分过于笼统等现象,影响了系统的安全使用。目前,从应用软件的研发和技术实现来看,授权访问控制机制多采用数据库用户和应用客户端用户分离的方式,访问控制的粒度达到主体为用户级,客体为文件、数据库表级。在分配用户权限时,用户所具有的权限应该与其需使用的功能相匹配,不分配大于其使用功能的权限,即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色(如管理和审计)如分配的权限过大,则系统安全风险将过于集中,因此,应将特别权限分配给不同的用户,并在他们之间形成相互制约的关系。
2.2通信安全
电子政务系统应用软件的设计、研发以及应用过程中,需要重点关注通信安全,特别是对通信完整性的保护。除应用加密通信外,通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中,为使通信双方之间能正确地传输信息,需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定,因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障,还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且,为防止合法通信的抵赖,系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性,应用软件需具备在通信双方建立连接之前,首先利用密码技术进行会话初始化验证,以确保通信双方的合法性的能力。其次,在通信过程中,能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法,对信息进行编码和解码。此外,应用软件中需设置通话超时和自动退出机制,即当通信双方中有一方在一段时间内未做任何响应,这表明可能存在通信异常情况,另一方能够自动结束会话,以免造成信息在通信过程中的泄露。
2.3安全审计
安全审计通过采集各种类型的日志数据,提供对日志的统一管理和查询,使用特定规则,对系统软件应用状态实时监视,生成安全分析报告。安全审计的应用,能够规范系统用户的软件应用行为,起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户,记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息,并有能力依据安全策略及时报警和中断危险操作。此外,审计记录应受到妥善保护,避免受到未预期的删除、修改或覆盖等操作,可追溯到的记录应不少于一年。在日常审计的基础上,应通过分析审计记录,及时发现并封堵系统漏洞,提升系统安全强度,定位网络安全隐患的来源,举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行,几乎全部需要定制开发。
2.4系统资源控制
电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上,在这个过程中,除了系统软件以外,应用软件也需要建立一组能够体现资源使用状况的指标,来判断系统资源是否能满足软件应用的正常运行要求,当系统资源相关性能降低到预先规定的最小值时,应能及时报警。并对资源使用的异常情况进行检测,及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此,在资源控制的安全策略上应设定优先级,并根据优先级分配系统资源,从而确保对关键软件应用的支持。技术实现上设计用户登录系统时,软件为其分配与其权限相对应的连接资源和系统服务,为防止系统资源的重复分配,应禁止同一用户账号在同一时间内并发登录,并且,在用户登录后防止长时间非正常占用系统资源,而降低系统的性能或造成安全隐患,通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式。同样,系统对发起业务的会话分配所用到的资源,也采用根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连接,对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上,对最大并发会话连接数进行限制。此外,对电子政务系统被删除的文件等的剩余信息,特别是涉及国家秘密、敏感信息的内容,一定要重点关注并加强安全保护。可采用下列技术实现保护:(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作,直到擦写过后的磁盘扇区内数据无法恢复;(2)根据不同的分区格式进行采用不同的数据销毁处理算法,对文件在磁盘上所有存放位置进行逐个清除,确保文件不会在磁盘上留下任何痕迹;(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁,销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据,无法通过软件技术手段恢复。
2.5软件代码安全
在电子政务系统应用软件开发之前,要制定应用程序代码编写安全规范,要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此,应对应用软件代码进行安全脆弱性分析,以帮助其不断改进完善,从而有效降低软件应用的安全风险。研发工作结束后,应及时对程序代码的规范性进行审查,以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单,由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程,配置运行环境,对代码进行预编译操作,确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作,对测试结果进行分析。对发现的问题进行风险分析和估算,制作软件缺陷、问题简表,撰写测试报告并交付开发方修改,并对已经整改的部分进行复测。值得注意的是,那些已经通过安全测试的代码,还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。
2.6软件容错
电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现错误,并能采取补救措施。对系统软件应用安全来说,应充分考虑到软件自身出现异常的可能性。软件在应用过程中,除设计对软件运行状态的监测外,当故障发生时能实时检测到故障状态并报警,防止软件异常的进一步蔓延,应具有自动保护能力,即当故障发生时能够自动保存当前所有状态。此外,操作人员对应用软件的操作可能会出现失误。因此,系统应对输入的数据、指令进行有效性检查,判断其是否合法、越权,并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销,以避免因误操作而导致的严重后果。
三、结语
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
我国银行信息技术风险管理起步较晚,目前还处在初步探索阶段,现行的信息技术风险管理还存在很多不足之处。
(一)缺乏完善的银行信息技术风险管理相关的法律法规
完善的法律法规是实现银行有效信息技术风险管理的基本前提,是银行信息安全的第一支柱。国内银行信息技术风险管理相关法律法规的建设远远不能满足当前银行信息化管理的要求,电子银行的风险管理、银行信息系统安全评估标准、银行网站建设规范、客户隐私保密等都缺乏有效的法律法规来进行约束。此外,法律法规的更新工作不到位,部分现行的法律法规与信息技术的发展已经出现了背离,相关的修订和补充工作迫在眉睫。
(二)银行信息技术风险监管基本处于空缺状态
在美国等金融体系比较成熟的国家,银行信息技术监管已经成为了银行的常规现场检查的基本内容,并建立了详细的现场检查程序和标准,对信息技术风险的防范措施比较到位。我国银行信息技术监管还处在起步阶段,在技术风险现场检查和风险评估等方面都没有一个明确的规范化、制度化的参考标准,在技术风险非现场监测系统建设方面基本处于空缺状态。
(三)银行监管人员的知识结构不合理
银行信息技术风险管理有其独特的一面,要求监管人员在熟练掌握银行业务知识、网上银行、电子交易等新银行业务知识的基础上,还要具备良好的计算机应用以及管理方面的能力。当前国内银行监管当局工作的重点主要集中在对传统银行业风险监管上,对监管人员在计算机知识方面的要求较低,监管人员知识结构的不合理降低了对银行信息技术风险管理的水平、
(四)缺乏完善的银行信息技术安全审计体系
银行技术安全的专业性较强,需要外部评估机构对其进行专门的监管。与美国相比,我国的银行技术安全审计体系主要存在两个方面的不足:一是合规的外部安全评估机构较少,其评估结果权威性较差;二是银监会对外部评估机构的监管力度较弱,没有一套完整、规范、标准的审查程序和监管体系。
(五)缺乏合理的信息技术风险评估的指标体系
在银行信息技术风险的现场检查工作中,需要利用相应的风险指标来对信息技术的风险水平进行相应的定性和定量分析,以此来判断整个信息系统的安全性。在国内还没有一套完整的信息技术风险评估指标体系,现场检查工作得出的结论难以体现出科学性和客观性,削弱了银行信息技术风险管理的风险控制水平。
(六)对外包风险缺乏必要的控制
国内部分银行也实行了IT服务外包,但对外包风险管理缺乏必要的控制,银行对外部的依赖性较强,对外包商的控制力度较弱,同时,银行监管机构也没有一套完整的体系来对外包机构进行评估和监管。
二、国外银行信息技术风险管理对国内银行的启示
尽管国内银行体系的发展与国外有些差异,但从银行现阶段的情况来看,有很多地方都是需要向国外银行学习的。
(一)建立健全的信息技术风险管理法律法规体系
法律法规的完善是保证信息技术风险管理有效执行的前提,建议从以下几个方面来完善相关法规建设:完善信息技术风险管理所涉及的范围;建立完整的风险监管体系;建立合理的信息技术风险评估的指标体系;建立科学风险评估体系;建立银行信息技术安全审计体系。此外,还要注意相关法律法规的及时修正和补充。
(二)加强银行IT审计
首先,银行领导层要充分认识IT审计的作用,完善银行公司治理机制;其次,要积极解决IT审计人才不足的问题,调整信息技术风险管理人员和监管人员的知识结构,提高银行对信息技术风险管理的控制和防范水平;第三,银行监管当局要重视IT审计,把IT安全作为监管的重要内容,将IT审计作为评价其安全性的重要因素,通过现场及非现场对银行业进行督促。
(三)重视信息技术风险评估和外包风险控制
风险评估作为银行信息技术风险控制和系统安全建设的基础,指导银行信息系统系统安全技术体系和管理体系的建设。因此,要重视信息技术风险评估工作,充分利用信息技术风险评估指标体系来实现对信息技术现场检查工作的客观化、科学化和规范化。此外,银行监管当局和银行本身都要借鉴国外发达国家的实践和经验,加强外包风险控制。
三、结语
1.强化“制度”管理,为创建信息安全区提供制度保障。
我们根据《中国人民银行信息安全管理规定》和《河南省人民银行系统规范化管理办法》的相关要求,结合当地的实际,建立和完善组织机构建设、计算机安全设备管理、系统操作规程设计、网络建设的安全规划与立项、信息系统安全审计、应急处理预案建设、目标责任制落实等一整套涉及信息安全管理的规章制度,为各项工作创建的落实奠定一个完善的制度基础。与此同时,严格信息安全管理检查制度。科技部门每季会同保卫部门、人事部门、内审部门、纪委组织一次中支机关和辖内的信息安全检查,每次都制定了详细的检查方案,确保检查工作的可操作性和规范性。安全检查完成后及时形成检查报告,报中支信息安全领导小组,并经信息安全领导小组审阅后将检查整改报告送达被检查单位,限期整改并进行后续跟踪。
2.强化“组织”领导,为创建信息安全区提供组织保证。
一方面中支机关及所辖县(市)支行都按要求成立以行长为组长、其他领导班子成员任副组长、部门负责人为成员的信息安全领导小组。另一方面机关各部门设立信息安全管理岗位,指定一名责任心强,熟悉计算机相关知识的职工为信息安全员,具体负责本部门信息安全管理的有关事宜。信息安全领导小组下设办公室,由科技科具体负责协调机关及辖内信息安全管理工作,为信息安全领导小组提供重大事项决策的有关事宜,为信息安全管理提供高效的组织保证。
3.强化“操作”规程,确保信息安全区创建工作的规范化。
明确的岗位目标与操作规程是金融信息安全区创建的重要一环。我们对中支信息安全管理员(部门计算机安全员)、技术支持人员、业务操作人员、一般计算机用户等确定各自的岗位目标和操作规程及应当承担的安全义务。同时制订了明确的岗位操作规程,做到责权明晰,操作规范。同时,我们加强部门之间的协调,要求各部门都要制订业务应急预案和详细的操作规程,然后由科技科进行汇总、协调,形成有效的联防机制。
4.强化“责任”管理,加大金融信息安全区的创建力度。
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,根据不同层次制订不同内容的信息安全管理责任书,落实各项责任制,信息安全领导小组组长与副组长和各县(市)支行行长、副组长与分管部门负责人、部门负责人与岗位责任人层层签订信息安全责任书,对没有按照规定签订责任书的部门,在出现安全事故时,按照“上溯一级”的原则,追究当事人的直接责任和部门负责人的领导责任。
5.强化“技术”指导,为创建信息安全区的提供智力支持。
重点强化了中支各部门计算机信息安全人员及所辖县市支行安全管理人员的技术指导和信息安全知识的传播,通过举办不同形式的信息安全培训班,提高他们自觉防范的意识和技能,为信息安全打好第一道防线。
6.强化“监督”管理,巩固金融信息安全区创建成果。
