創(chuàng)建新一代智慧信息化安全保障體系

王進++吳前鋒++黃曉芹

為貫徹國務(wù)院《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》、浙江省政府《關(guān)于務(wù)實推進智慧城市建設(shè)示范試點工作的指導意見》等政策文件精神，有效提升浙江省智慧信息化建設(shè)安全水平，著實保障運營主體各方權(quán)益，增強抵御風險和自主可控能力，建立智慧信息化安全保障體系，浙江省經(jīng)濟信息中心建立了有關(guān)“新一代智慧信息化安全保障體系”的課題研究。

課題研究主要內(nèi)容包括智慧信息化整體架構(gòu)特征、安全框架，安全保障管理要求、技術(shù)要求及保障機制等。

概述

智慧信息化整體架構(gòu)與主要特征

智慧信息化整體架構(gòu)模型主要包括物聯(lián)感知層，網(wǎng)絡(luò)通信層，計算與存儲層，數(shù)據(jù)及服務(wù)支撐層，智慧應(yīng)用層，安全保障體系，運維管理體系，建設(shè)質(zhì)量管理體系等。具有開放性、移動化、集中化、協(xié)同化、高滲透等主要特征。

智慧信息系統(tǒng)安全風險分析

根據(jù)智慧信息化特征，結(jié)合信息安全體系層次模式，逐層分析智慧信息化帶來新的安全風險。

物理屏障層，主要包括場地門禁、設(shè)備監(jiān)控、警衛(wèi)等。移動性特點帶來物理介質(zhì)的安全新風險。移動設(shè)備和智能終端自身防御能力弱、數(shù)量大、分布散、采用無線連接、缺少有效監(jiān)控等帶來的風險。

安全技術(shù)層，主要包括防火墻、防病毒、過濾等安全技術(shù)。云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等技術(shù)的開放性、協(xié)同性等特征帶來的安全新風險。

管理制度層，主要包括信息安全人事、操作和設(shè)備等。智慧信息化環(huán)境下信息資源高度集中、服務(wù)外包等新模式帶來的管理制度上的新風險。

政策法規(guī)層，主要包括信息安全法律、規(guī)章和政策等。對各類海量數(shù)據(jù)整合、共享和智能化的挖掘利用等深度開發(fā)帶來的信息管理政策法規(guī)上的新風險。

安全素養(yǎng)層，主要包括民眾信息安全意識、方法、經(jīng)驗等。智慧信息化帶來威脅快速傳播、波及范圍倍增擴大的風險，信息安全威脅的主體發(fā)生轉(zhuǎn)換，社會公眾的高度參與，用戶、技術(shù)與管理人員的安全意識和素養(yǎng)帶來的風險比傳統(tǒng)系統(tǒng)更大。

智慧信息系統(tǒng)安全框架

智慧信息系統(tǒng)安全框架如圖2所示。管理終端和其他經(jīng)過認證授權(quán)的可信終端作為智慧信息系統(tǒng)可信組成部分，需要進行邊界防護，防止越權(quán)訪問，互聯(lián)網(wǎng)用戶等非可信組成部分，要采取安全隔離措施，使其只能訪問受限資源，防止內(nèi)部數(shù)據(jù)非法流出。對數(shù)據(jù)區(qū)域、物聯(lián)網(wǎng)感知區(qū)域、物聯(lián)網(wǎng)控制區(qū)域以及基礎(chǔ)設(shè)施的管理區(qū)域進行嚴格的安全域劃分，針對不同的安全域?qū)嵤┌踩a(chǎn)品的監(jiān)測、防護、審計等不同的安全策略以保護數(shù)據(jù)安全，再配合同步進行的體系建設(shè)、安全培訓等安全服務(wù)措施，實現(xiàn)智慧信息系統(tǒng)的深度防御。

管理要求

安全保障規(guī)劃。信息化主管部門負責智慧信息化發(fā)展總體安全保障規(guī)劃，各相關(guān)領(lǐng)域主管部門負責專項領(lǐng)域安全保障規(guī)劃。確定安全目標，提出與業(yè)務(wù)戰(zhàn)略相一致的安全總體方針及方案。

安全保障需求分析。項目單位分析系統(tǒng)的安全保護等級并通過論證、審核、備案；根據(jù)安全目標，分析系統(tǒng)運行環(huán)境、潛在威脅、資產(chǎn)重要性、脆弱性等，找出現(xiàn)有安全保護水平的差距，提出安全保障需求。

安全保障設(shè)計。項目單位根據(jù)系統(tǒng)總體安全方案中要求的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實到產(chǎn)品功能、物理形態(tài)和具體規(guī)范上。并形成指導安全實施的指導性文件。

安全保障實施。建立安全管理職能部門，通過崗位設(shè)置、授權(quán)分工及資源配備，為系統(tǒng)安全實施提供組織保障。對項目質(zhì)量、進度和變更等進行全過程管控及評估。

安全檢測驗收。系統(tǒng)運行前進行安全審查，關(guān)注系統(tǒng)的安全控制、權(quán)限設(shè)置等的正確性、連貫性、完整性、可審計性和及時性等。上線進行安全測試和評估，包括安全符合性查驗，軟件代碼安全測試，漏洞掃描，系統(tǒng)滲透性測試等，確保系統(tǒng)安全性。

運維安全保障。建立系統(tǒng)安全管理行為規(guī)范和操作規(guī)程，包括機房安全管理制度，資產(chǎn)安全管理制度，介質(zhì)安全管理制度，網(wǎng)絡(luò)安全管理制度，個人桌面終端安全管理制度等并嚴格按照制度監(jiān)督執(zhí)行。

優(yōu)化與持續(xù)改進。在系統(tǒng)運行一段時間或重大結(jié)構(gòu)調(diào)整后進行評估，對系統(tǒng)各項風險控制是否恰當，能否實現(xiàn)預定目標提出改進建議。

技術(shù)要求

計算環(huán)境安全要求

服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端及機房安全、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)應(yīng)遵循GB/T 22239-2008對應(yīng)安全保護等級中相關(guān)安全控制項要求，并對重要設(shè)備的安全配置和安全狀態(tài)等進行嚴格的監(jiān)控與檢測。

網(wǎng)絡(luò)虛擬化資源池應(yīng)支持基于虛擬化實例的獨立的安全管理。多租戶環(huán)境下，租戶之間的網(wǎng)絡(luò)支持虛擬化安全隔離，各個租戶可以同時對自身的安全資源進行管理。

應(yīng)提供以密碼技術(shù)為前提的安全接入服務(wù)，保證外圍終端能夠選擇加密通信方式安全接入云計算平臺。

通信網(wǎng)絡(luò)安全要求

對應(yīng)安全保護等級中網(wǎng)絡(luò)安全控制項要求，覆蓋結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等控制項要求。

虛擬網(wǎng)絡(luò)資源間的訪問，應(yīng)實施網(wǎng)絡(luò)邏輯隔離并提供訪問控制手段。從區(qū)域邊界訪問控制、包過濾、安全審計及完整性保護等方面保護虛擬邊界安全。

智慧網(wǎng)絡(luò)應(yīng)具備網(wǎng)絡(luò)接入認證能力，確?？尚攀跈?quán)終端接入網(wǎng)絡(luò)。采取數(shù)據(jù)加密、信道加密等措施加強無線網(wǎng)絡(luò)及其他信道的安全，防止敏感數(shù)據(jù)泄漏，保證傳輸數(shù)據(jù)完整性。

終端安全要求

對應(yīng)安全保護等級中終端安全及GAT671-2006的安全控制項要求，覆蓋物理安全、身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范、資源控制等內(nèi)容。

建設(shè)統(tǒng)一的終端安全管理體系，規(guī)范終端的各類訪問、操作及使用行為，確保接入終端的安全合規(guī)、可管理、可控制、可審計。在重要終端中嵌入帶有密碼性安全子系統(tǒng)的終端芯片。endprint

應(yīng)用安全要求

滿足對應(yīng)安全保護等級中應(yīng)用安全控制項要求，覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內(nèi)容。

進行可信執(zhí)行保護，構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，實現(xiàn)可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在受破壞時恢復。建立統(tǒng)一帳號、認證授權(quán)和審計系統(tǒng)，實現(xiàn)訪問可溯。

遵循安全最小化原則，關(guān)閉未使用服務(wù)組件和端口；加強內(nèi)存管理，防止駐留剩余信息被非授權(quán)獲??；加強安全加固，對補丁與現(xiàn)有系統(tǒng)的兼容性進行測試；限制匿名用戶的訪問權(quán)限，支持設(shè)置用戶并發(fā)連接次數(shù)、連接超時限制等，采用最小授權(quán)原則。

數(shù)據(jù)安全要求

滿足對應(yīng)安全保護等級中數(shù)據(jù)安全控制項要求，覆蓋數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份與恢復等內(nèi)容。

將信息部署或遷移到云計算平臺之前，明確信息類型及安全屬性進行分類分級，對不同類別信息采取不同保護措施，重點防范用戶越權(quán)訪問、篡改敏感信息。

在多租戶云計算環(huán)境下，通過物理隔離、虛擬化和應(yīng)用支持多租戶架構(gòu)等實現(xiàn)不同租戶之間數(shù)據(jù)和配置安全隔離，保證每個租戶數(shù)據(jù)安全隱私。確保法律監(jiān)管部門要求的數(shù)據(jù)可被找回。

虛擬存儲系統(tǒng)應(yīng)支持按照數(shù)據(jù)安全級別建立容錯和容災機制，防止數(shù)據(jù)損失；建立災備中心，保證數(shù)據(jù)副本存儲在合同法規(guī)允許的位置。

全面有效定位云計算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復。

密碼技術(shù)要求

物理要求。在系統(tǒng)平臺基礎(chǔ)設(shè)施方面使用密碼技術(shù)。

網(wǎng)絡(luò)要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術(shù)。

主機要求。在身份鑒別、訪問控制、審計記錄等方面使用密碼技術(shù)。

應(yīng)用要求。在身份鑒別、訪問控制、審計記錄和通信安全方面應(yīng)當使用密碼技術(shù)。

數(shù)據(jù)要求。在數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全和安全通信協(xié)議方面使用密碼技術(shù)。

安全域劃分與管理研究

智慧信息系統(tǒng)安全域可以分為安全計算域、安全用戶域、安全網(wǎng)絡(luò)域。

安全計算域：由一個或多個主機/服務(wù)器經(jīng)局域網(wǎng)連接組成的存儲和處理數(shù)據(jù)信息的區(qū)域，是需要進行相同安全保護的主機/服務(wù)器的集合。安全計算域可以細分為核心計算域和安全支撐域。

安全用戶域：由一個或多個用戶終端計算機組成的存儲、處理和使用數(shù)據(jù)信息的區(qū)域。

安全網(wǎng)絡(luò)域：支撐安全域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲，防護重點是保障網(wǎng)絡(luò)性能和進行各子域的安全隔離與邊界防護。連接安全計算域和安全計算域、安全計算域和安全用戶域之間的網(wǎng)絡(luò)系統(tǒng)組成的區(qū)域。安全網(wǎng)絡(luò)域可以進一步細分為感知網(wǎng)接入域、互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、內(nèi)聯(lián)網(wǎng)接入域、備份網(wǎng)絡(luò)接入域。

安全管理平臺技術(shù)要求

對安全事件進行集中收集、高度聚合存儲及分析，實時監(jiān)控全網(wǎng)安全狀況，并可根據(jù)需求提供各種網(wǎng)絡(luò)安全狀況審計報告。

智慧監(jiān)測。針對大數(shù)據(jù)，通過預警平臺對流量監(jiān)測分析，為管理者提前預警，避免安全事件擴大化；監(jiān)聽無線數(shù)據(jù)包，進行網(wǎng)絡(luò)邊界控制，對智慧信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)實施安全保護。

智慧審計。通過運維審計與風險控制系統(tǒng)對系統(tǒng)運維人員的集中賬號和訪問通道管控；通過數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫訪問流量進行數(shù)據(jù)報文字段級解析操作，應(yīng)對來自運維人員或外部入侵的數(shù)據(jù)威脅；通過綜合日志審計系統(tǒng)實現(xiàn)對違規(guī)行為監(jiān)控，追蹤非法操作的直接證據(jù)，推動監(jiān)測防護策略、管理措施的提升，實現(xiàn)信息安全閉環(huán)管理；針對應(yīng)用層的實時審計、監(jiān)測及自動防護。

智慧日志分析。對海量原始日志，按照策略進行過濾歸并，減輕日志數(shù)據(jù)傳輸存儲壓力。對來自各資源日志信息，提供多維關(guān)聯(lián)分析功能，包括基于源、目的、協(xié)議、端口、攻擊類型等多種統(tǒng)計項目報表。多租戶環(huán)境支持，支持虛擬化實例，能夠區(qū)分不同租戶的日志以及為不同租戶提供統(tǒng)計報表。

智慧協(xié)同。根據(jù)開放性及應(yīng)急響應(yīng)技術(shù)要求，安全管理平臺需考慮和周邊系統(tǒng)互聯(lián)互通，支持開放的API，相互傳遞有價值安全信息，以進行協(xié)同聯(lián)動。

除了以上八個技術(shù)方面的要求外，智慧信息化安全保障體系還對安全產(chǎn)品、產(chǎn)品安全接口等方面也做出了相關(guān)要求。

保障機制

建立責任人體制。建設(shè)單位指定信息安全保障第一責任人，明確各環(huán)節(jié)主體責任，制定安全保障崗位責任制度，并監(jiān)督落實。

建立追溯查證體系。建立全流程追溯查證體系，對存在的違法入侵進行有效取證，保證證據(jù)數(shù)據(jù)不被改變和刪除。參照ISO/IEC 27037：2012、ISO/IEC27042。

建立監(jiān)督檢查機制。由信息安全監(jiān)管部門，通過備案、檢查、督促整改等方式，對建設(shè)項目的信息安全保護工作進行指導監(jiān)督。

建立應(yīng)急處理機制。參照GB/Z 20986-2007將安全事件依次進行分級，按照分級情況制定應(yīng)急預案，定期對應(yīng)急預案進行演練。

建立服務(wù)外包安全責任機制。安全服務(wù)商的選擇符合國家有關(guān)規(guī)定，確保提供服務(wù)的數(shù)據(jù)中心、云計算服務(wù)平臺等設(shè)在境內(nèi)。

建立風險評估測評機制。對總體規(guī)劃、設(shè)計方案等的合理性和正確性以及安全控制的有效性進行評估。委托符合條件的風險評估服務(wù)機構(gòu)，對重要信息系統(tǒng)檢查評估。定期對系統(tǒng)進行安全自查與測評。

安全保障教育培訓。制定安全教育和培訓計劃，對各類人員進行信息安全意識教育和相關(guān)信息安全技術(shù)培訓，保證人員具有與其崗位職責相適應(yīng)的技術(shù)能力和管理能力，以減少人為因素給系統(tǒng)帶來的安全風險。

（作者單位：浙江省經(jīng)濟信息中心）endprint