淺談信息系統(tǒng)安全等級保護(hù)測評的實施管理

周寅晴，歐陽資春

（郴州市煙草公司，郴州 423000）

隨著信息安全在信息系統(tǒng)應(yīng)用中的重要性日益突出，近年來國家和企業(yè)對信息安全的評估檢測更加重視。本人以湖南省煙草學(xué)會綜合管理與期刊媒體工作平臺（以下簡稱學(xué)會期刊平臺）的安全等級保護(hù)測評為例，對信息系統(tǒng)的安全技術(shù)狀態(tài)及安全管理狀況做出判斷，提出與其相應(yīng)安全等級保護(hù)要求之間的差距以及存在的安全隱患，為后續(xù)的安全整改工作提供依據(jù)。

1 安全等級保護(hù)測評概述

信息安全等級保護(hù)是我國信息安全保障的一項基本制度，是國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護(hù)[1]。等級保護(hù)根據(jù)信息系統(tǒng)的重要程度由低到高劃分1到5個等級，根據(jù)安全等級實施保護(hù)策略，本次學(xué)會期刊平臺定級為二級，測評分為四個過程：測評準(zhǔn)備過程、方案編制過程、測評實施過程、分析與報告編制過程[2]。

1.1 測評準(zhǔn)備

測評準(zhǔn)備需要確定學(xué)會期刊平臺的安全定級、使用時間、應(yīng)用業(yè)務(wù)及系統(tǒng)服務(wù)等情況，主要任務(wù)有項目啟動，收集和分析信息，準(zhǔn)備表單與測評工具等。

1.2 測評方案編制

根據(jù)收集的信息，全面分析學(xué)會期刊平臺及與其相關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)，確定測評對象，按定級結(jié)果細(xì)化測評指標(biāo)，選擇合適的測評工具，開發(fā)測試作業(yè)指導(dǎo)書。測評方案是測評工作實施的基礎(chǔ)，主要內(nèi)容有測評概述、對象、指標(biāo)、工具的接入點以及單元測評實施等。

1.3 現(xiàn)場測評

現(xiàn)場測評以測評方案為依據(jù)，應(yīng)用測評工具取得分析所需的證據(jù)和資料，主要任務(wù)有現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還等。

1.4 分析撰寫測評報告

分析撰寫測評報告是根據(jù)現(xiàn)場測評結(jié)果，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險分析等方法，找出學(xué)會期刊平臺的安全保護(hù)現(xiàn)狀與即定保護(hù)要求之間的差距，并進(jìn)行風(fēng)險分析和評價，給出等級測評結(jié)論，形成測評報告，主要任務(wù)有單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制等。

2 學(xué)會期刊平臺概況

學(xué)會期刊平臺主要實現(xiàn)了期刊管理、會員服務(wù)、公文流轉(zhuǎn)、科學(xué)普及學(xué)術(shù)交流等功能，其研究的方向包括兩方面：一是學(xué)會期刊與論文采編的流程實現(xiàn)；二是通過移動終端應(yīng)用開發(fā)，對學(xué)會的期刊進(jìn)行移動化和電子化。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)

學(xué)會期刊平臺部署在市局辦公樓1樓信息中心機房，位于郴州市局網(wǎng)絡(luò)內(nèi)。整個網(wǎng)絡(luò)采用雙鏈路冗余，主鏈路由中國電信提供，備份鏈路為中國聯(lián)通提供，網(wǎng)絡(luò)結(jié)構(gòu)主要包括：網(wǎng)絡(luò)核心區(qū)、DMZ區(qū)、辦公區(qū)、互聯(lián)網(wǎng)區(qū)。

2.1.1 網(wǎng)絡(luò)核心區(qū)

網(wǎng)絡(luò)核心區(qū)主要提供核心主機、數(shù)據(jù)庫、存儲設(shè)備等重要設(shè)備的數(shù)據(jù)路由、交換功能。通過部署兩臺思科7606邊界路由器上聯(lián)到省公司，下聯(lián)到縣公司。省市網(wǎng)絡(luò)的主干鏈路邊界部署有一臺入侵防御系統(tǒng)（啟明星辰NIPS-2060），實施對內(nèi)部網(wǎng)絡(luò)入侵行為進(jìn)行檢測及防護(hù)。

2.1.2 DMZ區(qū)

DMZ區(qū)放置學(xué)會期刊平臺系統(tǒng)服務(wù)器，主要實現(xiàn)外部網(wǎng)絡(luò)訪問應(yīng)用，內(nèi)外網(wǎng)絡(luò)之間通過一臺思科PIX 525防火墻互聯(lián)，設(shè)置一道防護(hù)關(guān)卡，更加有效地保護(hù)內(nèi)部網(wǎng)絡(luò)。

2.1.3 辦公區(qū)

辦公區(qū)主要提供對辦公終端網(wǎng)絡(luò)接入與業(yè)務(wù)訪問，各樓層使用二層交換機上聯(lián)到網(wǎng)絡(luò)核心區(qū)核心三層交換機（思科4507、H3C 7506），下聯(lián)到各樓層辦公區(qū)終端。按照不同部門劃分不同VLAN區(qū)，實現(xiàn)不同訪問權(quán)限控制。

2.1.4 互聯(lián)網(wǎng)區(qū)

互聯(lián)網(wǎng)區(qū)主要提供對學(xué)會期刊平臺對外服務(wù)，互聯(lián)網(wǎng)出口邊界部署一臺思科PIX 525防火墻防火墻，保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的安全。

2.2 系統(tǒng)資產(chǎn)

系統(tǒng)資產(chǎn)包括被測信息系統(tǒng)相關(guān)的所有軟硬件、人員、數(shù)據(jù)及文檔等。

3 測評范圍與方法

3.1 測評指標(biāo)

學(xué)會期刊平臺安全保護(hù)等級為第二級，其中業(yè)務(wù)信息安全保護(hù)等級為第二級，系統(tǒng)服務(wù)安全保護(hù)等級為第二級（S2A2G2）。

3.2 測評對象

學(xué)會期刊平臺等級測評對象種類上基本覆蓋，重點抽查主要的設(shè)備、設(shè)施、人員和文檔等，結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和業(yè)務(wù)情況，本次等級測評的測評對象在抽樣時主要考慮以下幾個方面：

（1）主機房（包括其環(huán)境、設(shè)備和設(shè)施等）；

（2）存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；

（3）整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

（4）安全設(shè)備，包括防火墻等；

（5）邊界網(wǎng)絡(luò)設(shè)備，包括路由器、交換機等；

（6）承載業(yè)務(wù)處理系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；

（7）管理終端和學(xué)會期刊平臺應(yīng)用系統(tǒng)主要終端；

（8）能夠完成學(xué)會期刊平臺系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；

（9）業(yè)務(wù)備份系統(tǒng)；

（10）信息安全主管人員、各方面的負(fù)責(zé)人員、安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；

（11）涉及到信息系統(tǒng)安全的所有管理制度和記錄。

3.3 測評方法

3.3.1 測評方式

學(xué)會期刊平臺等級測評采用的主要方式有：訪談、核查、測試及綜合風(fēng)險分析[3]。

3.3.2 測評工具

測評工具采用銥迅漏洞掃描系統(tǒng) NVS-2000。

3.3.3 測評工具接入點的確定

針對學(xué)會期刊平臺的網(wǎng)絡(luò)邊界和抽查設(shè)備、主機及業(yè)務(wù)應(yīng)用系統(tǒng)的情況，測試工具接入點從接入層交換機接入，模擬外部/內(nèi)部惡意用戶發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫、Web應(yīng)用、第三方產(chǎn)品等安全漏洞的過程，并嘗試?yán)靡陨下┒磳嵤┲T如獲取系統(tǒng)控制權(quán)（GetShell）、獲得大量敏感信息（DragLibrary）等模擬攻擊行為。

4 單元測評

單元測評內(nèi)容包括“基本指標(biāo)”中涉及的安全層面，內(nèi)容由問題分析和結(jié)果匯總等兩個部分構(gòu)成，詳細(xì)結(jié)果及符合程度將記錄到測評報告中。

4.1 單元測評小結(jié)

根據(jù)測評項的符合程度得分，以算術(shù)平均法合并多個測評對象在同一測評項的得分，得到各測評項的多對象平均分。

根據(jù)測評項權(quán)重，以加權(quán)平均合并同一安全控制點下的所有測評項的符合程度得分，并按照控制點得分計算公式得到各安全控制點的5分制得分。

以表格形式匯總測評結(jié)果，表格以不同顏色對測評結(jié)果進(jìn)行區(qū)分，部分符合（安全控制點得分在0分和5分之間，不等于0分或5分）的安全控制點采用黃色標(biāo)識，不符合（安全控制點得分為0分）的安全控制點采用紅色標(biāo)識。

4.2 安全問題匯總

針對單元測評結(jié)果中存在的部分符合項或不符合項加以匯總，形成安全問題列表并計算其嚴(yán)重程度值。依其嚴(yán)重程度取值為1～5，最嚴(yán)重的取值為5。安全問題嚴(yán)重程度值是基于對應(yīng)的測評項權(quán)重并結(jié)合對應(yīng)測評項的符合程度進(jìn)行的。具體計算公式如下：

安全問題嚴(yán)重程度值=（5-測評項符合程度得分）×測評項權(quán)重。

5 整體測評

整體測評從安全控制間、層面間、區(qū)域間和驗證測試等方面對單元測評的結(jié)果進(jìn)行驗證、分析和整體評價。

5.1 安全控制間安全測評

機房位于建筑一樓，存在滲水受潮風(fēng)險，但已對防風(fēng)、防水、防潮能力進(jìn)行強化。能夠有效避免滲水、受潮等風(fēng)險，達(dá)到等級保護(hù)安全要求[4]。

5.2 層面間安全測評

服務(wù)器未開啟密碼復(fù)雜度策略，但在管理要求和實際操作上，已設(shè)置的密碼復(fù)雜度符合安全要求，并定期對密碼進(jìn)行了更改。

5.3 區(qū)域間安全測評

服務(wù)器防火墻未開啟，部分補丁未及時更新，但同時在網(wǎng)絡(luò)邊界上部署了防火墻，能夠?qū)︶槍?yīng)用的掃描攻擊、木馬后門攻擊、拒絕服務(wù)攻擊等行為進(jìn)行防范。并能夠?qū)︶槍?yīng)用的攻擊行為進(jìn)行記錄，包括攻擊源IP、攻擊類型、時間等。由高風(fēng)險降為中風(fēng)險。

5.4 驗證測試

驗證測試包括漏洞掃描，滲透測試等，驗證測試發(fā)現(xiàn)的安全問題對應(yīng)到相應(yīng)的測評項的結(jié)果記錄中。

5.5 整體測評結(jié)果匯總

根據(jù)整體測評結(jié)果，修改安全問題匯總表中的問題嚴(yán)重程度值及對應(yīng)的修正后測評項符合程度得分，并形成修改后的安全問題匯總表（僅包括有所修正的安全問題）[5]。根據(jù)整體測評安全控制措施對安全問題的彌補程度將修正因子設(shè)為0.5～0.9。

修正后問題嚴(yán)重程度值=修正前的問題嚴(yán)重程度值×修正因子。

修正后測評項符合程度=5-修正后問題嚴(yán)重程度值/測評項權(quán)重。

6 安全狀況分析

6.1 系統(tǒng)安全防護(hù)評估

以表格形式匯總學(xué)會期刊平臺系統(tǒng)已采取的安全保護(hù)措施情況，并根據(jù)安全控制點得分，以算術(shù)平均合并同一安全層面下的所有安全控制點得分，并轉(zhuǎn)換為安全層面的百分制得分。根據(jù)表格內(nèi)容描述被測信息系統(tǒng)已采取的有效保護(hù)措施和存在的主要安全問題情況。

6.2 安全問題風(fēng)險評估

依據(jù)信息安全標(biāo)準(zhǔn)規(guī)范，采用風(fēng)險分析的方法進(jìn)行危害分析和風(fēng)險等級判定。針對等級測評結(jié)果中存在的所有安全問題，結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對信息系統(tǒng)、單位、社會及國家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴(yán)重程度進(jìn)一步確定信息系統(tǒng)面臨的風(fēng)險等級，結(jié)果為“高”、“中”或“低”，并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風(fēng)險分析和評價情況。

6.3 等級測評結(jié)論

綜合上述測評與風(fēng)險分析結(jié)果，根據(jù)符合性判別依據(jù)給出等級測評結(jié)論，并計算信息系統(tǒng)的綜合得分。等級測評結(jié)論應(yīng)表述為“符合、“基本符合”或者“不符合”。

7 結(jié)束語

信息安全不是絕對的安全，而是適度、整體的安全。安全等級保護(hù)測評是一個集管理方法、技術(shù)措施和法律法規(guī)于一體的系統(tǒng)工程，始終有其動態(tài)發(fā)展性，要不斷進(jìn)行完善，持續(xù)進(jìn)行改進(jìn)，強化安全保障，才能確保信息系統(tǒng)安全穩(wěn)定運行2。學(xué)會期刊平臺安全等級保護(hù)測評對系統(tǒng)安全技術(shù)狀態(tài)及安全管理狀況進(jìn)行檢測，最終形成安全等級測評結(jié)論報告，為學(xué)會期刊平臺的后續(xù)完善提出處置意見，進(jìn)一步確保了系統(tǒng)平臺的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和運維安全。