創建新一代智慧信息化安全保障體系

王進++吳前鋒++黃曉芹

為貫徹國務院《關于大力推進信息化發展和切實保障信息安全的若干意見》、浙江省政府《關于務實推進智慧城市建設示范試點工作的指導意見》等政策文件精神，有效提升浙江省智慧信息化建設安全水平，著實保障運營主體各方權益，增強抵御風險和自主可控能力，建立智慧信息化安全保障體系，浙江省經濟信息中心建立了有關“新一代智慧信息化安全保障體系”的課題研究。

課題研究主要內容包括智慧信息化整體架構特征、安全框架，安全保障管理要求、技術要求及保障機制等。

概述

智慧信息化整體架構與主要特征

智慧信息化整體架構模型主要包括物聯感知層，網絡通信層，計算與存儲層，數據及服務支撐層，智慧應用層，安全保障體系，運維管理體系，建設質量管理體系等。具有開放性、移動化、集中化、協同化、高滲透等主要特征。

智慧信息系統安全風險分析

根據智慧信息化特征，結合信息安全體系層次模式，逐層分析智慧信息化帶來新的安全風險。

物理屏障層，主要包括場地門禁、設備監控、警衛等。移動性特點帶來物理介質的安全新風險。移動設備和智能終端自身防御能力弱、數量大、分布散、采用無線連接、缺少有效監控等帶來的風險。

安全技術層，主要包括防火墻、防病毒、過濾等安全技術。云計算、物聯網、移動互聯網等技術的開放性、協同性等特征帶來的安全新風險。

管理制度層，主要包括信息安全人事、操作和設備等。智慧信息化環境下信息資源高度集中、服務外包等新模式帶來的管理制度上的新風險。

政策法規層，主要包括信息安全法律、規章和政策等。對各類海量數據整合、共享和智能化的挖掘利用等深度開發帶來的信息管理政策法規上的新風險。

安全素養層，主要包括民眾信息安全意識、方法、經驗等。智慧信息化帶來威脅快速傳播、波及范圍倍增擴大的風險，信息安全威脅的主體發生轉換，社會公眾的高度參與，用戶、技術與管理人員的安全意識和素養帶來的風險比傳統系統更大。

智慧信息系統安全框架

智慧信息系統安全框架如圖2所示。管理終端和其他經過認證授權的可信終端作為智慧信息系統可信組成部分，需要進行邊界防護，防止越權訪問，互聯網用戶等非可信組成部分，要采取安全隔離措施，使其只能訪問受限資源，防止內部數據非法流出。對數據區域、物聯網感知區域、物聯網控制區域以及基礎設施的管理區域進行嚴格的安全域劃分，針對不同的安全域實施安全產品的監測、防護、審計等不同的安全策略以保護數據安全，再配合同步進行的體系建設、安全培訓等安全服務措施，實現智慧信息系統的深度防御。

管理要求

安全保障規劃。信息化主管部門負責智慧信息化發展總體安全保障規劃，各相關領域主管部門負責專項領域安全保障規劃。確定安全目標，提出與業務戰略相一致的安全總體方針及方案。

安全保障需求分析。項目單位分析系統的安全保護等級并通過論證、審核、備案；根據安全目標，分析系統運行環境、潛在威脅、資產重要性、脆弱性等，找出現有安全保護水平的差距，提出安全保障需求。

安全保障設計。項目單位根據系統總體安全方案中要求的安全策略、安全技術體系結構、安全措施和要求落實到產品功能、物理形態和具體規范上。并形成指導安全實施的指導性文件。

安全保障實施。建立安全管理職能部門，通過崗位設置、授權分工及資源配備，為系統安全實施提供組織保障。對項目質量、進度和變更等進行全過程管控及評估。

安全檢測驗收。系統運行前進行安全審查，關注系統的安全控制、權限設置等的正確性、連貫性、完整性、可審計性和及時性等。上線進行安全測試和評估，包括安全符合性查驗，軟件代碼安全測試，漏洞掃描，系統滲透性測試等，確保系統安全性。

運維安全保障。建立系統安全管理行為規范和操作規程，包括機房安全管理制度，資產安全管理制度，介質安全管理制度，網絡安全管理制度，個人桌面終端安全管理制度等并嚴格按照制度監督執行。

優化與持續改進。在系統運行一段時間或重大結構調整后進行評估，對系統各項風險控制是否恰當，能否實現預定目標提出改進建議。

技術要求

計算環境安全要求

服務器、網絡設備、安全設備、終端及機房安全、操作系統、數據庫管理系統應遵循GB/T 22239-2008對應安全保護等級中相關安全控制項要求，并對重要設備的安全配置和安全狀態等進行嚴格的監控與檢測。

網絡虛擬化資源池應支持基于虛擬化實例的獨立的安全管理。多租戶環境下，租戶之間的網絡支持虛擬化安全隔離，各個租戶可以同時對自身的安全資源進行管理。

應提供以密碼技術為前提的安全接入服務，保證外圍終端能夠選擇加密通信方式安全接入云計算平臺。

通信網絡安全要求

對應安全保護等級中網絡安全控制項要求，覆蓋結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等控制項要求。

虛擬網絡資源間的訪問，應實施網絡邏輯隔離并提供訪問控制手段。從區域邊界訪問控制、包過濾、安全審計及完整性保護等方面保護虛擬邊界安全。

智慧網絡應具備網絡接入認證能力，確保可信授權終端接入網絡。采取數據加密、信道加密等措施加強無線網絡及其他信道的安全，防止敏感數據泄漏，保證傳輸數據完整性。

終端安全要求

對應安全保護等級中終端安全及GAT671-2006的安全控制項要求，覆蓋物理安全、身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范、資源控制等內容。

建設統一的終端安全管理體系，規范終端的各類訪問、操作及使用行為，確保接入終端的安全合規、可管理、可控制、可審計。在重要終端中嵌入帶有密碼性安全子系統的終端芯片。endprint

應用安全要求

滿足對應安全保護等級中應用安全控制項要求，覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內容。

進行可信執行保護，構建從操作系統到上層應用的信任鏈，實現可執行程序的完整性檢驗，防范惡意代碼等攻擊，并在受破壞時恢復。建立統一帳號、認證授權和審計系統，實現訪問可溯。

遵循安全最小化原則，關閉未使用服務組件和端口；加強內存管理，防止駐留剩余信息被非授權獲取；加強安全加固，對補丁與現有系統的兼容性進行測試；限制匿名用戶的訪問權限，支持設置用戶并發連接次數、連接超時限制等，采用最小授權原則。

數據安全要求

滿足對應安全保護等級中數據安全控制項要求，覆蓋數據完整性、數據保密性、備份與恢復等內容。

將信息部署或遷移到云計算平臺之前，明確信息類型及安全屬性進行分類分級，對不同類別信息采取不同保護措施，重點防范用戶越權訪問、篡改敏感信息。

在多租戶云計算環境下，通過物理隔離、虛擬化和應用支持多租戶架構等實現不同租戶之間數據和配置安全隔離，保證每個租戶數據安全隱私。確保法律監管部門要求的數據可被找回。

虛擬存儲系統應支持按照數據安全級別建立容錯和容災機制，防止數據損失；建立災備中心，保證數據副本存儲在合同法規允許的位置。

全面有效定位云計算數據、擦除/銷毀數據，并保證數據已被完全消除或使其無法恢復。

密碼技術要求

物理要求。在系統平臺基礎設施方面使用密碼技術。

網絡要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術。

主機要求。在身份鑒別、訪問控制、審計記錄等方面使用密碼技術。

應用要求。在身份鑒別、訪問控制、審計記錄和通信安全方面應當使用密碼技術。

數據要求。在數據傳輸安全、數據存儲安全和安全通信協議方面使用密碼技術。

安全域劃分與管理研究

智慧信息系統安全域可以分為安全計算域、安全用戶域、安全網絡域。

安全計算域：由一個或多個主機/服務器經局域網連接組成的存儲和處理數據信息的區域，是需要進行相同安全保護的主機/服務器的集合。安全計算域可以細分為核心計算域和安全支撐域。

安全用戶域：由一個或多個用戶終端計算機組成的存儲、處理和使用數據信息的區域。

安全網絡域：支撐安全域的網絡設備和網絡拓撲，防護重點是保障網絡性能和進行各子域的安全隔離與邊界防護。連接安全計算域和安全計算域、安全計算域和安全用戶域之間的網絡系統組成的區域。安全網絡域可以進一步細分為感知網接入域、互聯網接入域、外聯網接入域、內聯網接入域、備份網絡接入域。

安全管理平臺技術要求

對安全事件進行集中收集、高度聚合存儲及分析，實時監控全網安全狀況，并可根據需求提供各種網絡安全狀況審計報告。

智慧監測。針對大數據，通過預警平臺對流量監測分析，為管理者提前預警，避免安全事件擴大化；監聽無線數據包，進行網絡邊界控制，對智慧信息系統內部網絡實施安全保護。

智慧審計。通過運維審計與風險控制系統對系統運維人員的集中賬號和訪問通道管控；通過數據庫審計系統對數據庫訪問流量進行數據報文字段級解析操作，應對來自運維人員或外部入侵的數據威脅；通過綜合日志審計系統實現對違規行為監控，追蹤非法操作的直接證據，推動監測防護策略、管理措施的提升，實現信息安全閉環管理；針對應用層的實時審計、監測及自動防護。

智慧日志分析。對海量原始日志，按照策略進行過濾歸并，減輕日志數據傳輸存儲壓力。對來自各資源日志信息，提供多維關聯分析功能，包括基于源、目的、協議、端口、攻擊類型等多種統計項目報表。多租戶環境支持，支持虛擬化實例，能夠區分不同租戶的日志以及為不同租戶提供統計報表。

智慧協同。根據開放性及應急響應技術要求，安全管理平臺需考慮和周邊系統互聯互通，支持開放的API，相互傳遞有價值安全信息，以進行協同聯動。

除了以上八個技術方面的要求外，智慧信息化安全保障體系還對安全產品、產品安全接口等方面也做出了相關要求。

保障機制

建立責任人體制。建設單位指定信息安全保障第一責任人，明確各環節主體責任，制定安全保障崗位責任制度，并監督落實。

建立追溯查證體系。建立全流程追溯查證體系，對存在的違法入侵進行有效取證，保證證據數據不被改變和刪除。參照ISO/IEC 27037：2012、ISO/IEC27042。

建立監督檢查機制。由信息安全監管部門，通過備案、檢查、督促整改等方式，對建設項目的信息安全保護工作進行指導監督。

建立應急處理機制。參照GB/Z 20986-2007將安全事件依次進行分級，按照分級情況制定應急預案，定期對應急預案進行演練。

建立服務外包安全責任機制。安全服務商的選擇符合國家有關規定，確保提供服務的數據中心、云計算服務平臺等設在境內。

建立風險評估測評機制。對總體規劃、設計方案等的合理性和正確性以及安全控制的有效性進行評估。委托符合條件的風險評估服務機構，對重要信息系統檢查評估。定期對系統進行安全自查與測評。

安全保障教育培訓。制定安全教育和培訓計劃，對各類人員進行信息安全意識教育和相關信息安全技術培訓，保證人員具有與其崗位職責相適應的技術能力和管理能力，以減少人為因素給系統帶來的安全風險。

（作者單位：浙江省經濟信息中心）endprint