淺談信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的實(shí)施管理

周寅晴，歐陽(yáng)資春

（郴州市煙草公司，郴州 423000）

隨著信息安全在信息系統(tǒng)應(yīng)用中的重要性日益突出，近年來(lái)國(guó)家和企業(yè)對(duì)信息安全的評(píng)估檢測(cè)更加重視。本人以湖南省煙草學(xué)會(huì)綜合管理與期刊媒體工作平臺(tái)（以下簡(jiǎn)稱(chēng)學(xué)會(huì)期刊平臺(tái)）的安全等級(jí)保護(hù)測(cè)評(píng)為例，對(duì)信息系統(tǒng)的安全技術(shù)狀態(tài)及安全管理狀況做出判斷，提出與其相應(yīng)安全等級(jí)保護(hù)要求之間的差距以及存在的安全隱患，為后續(xù)的安全整改工作提供依據(jù)。

1 安全等級(jí)保護(hù)測(cè)評(píng)概述

信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的一項(xiàng)基本制度，是國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)[1]。等級(jí)保護(hù)根據(jù)信息系統(tǒng)的重要程度由低到高劃分1到5個(gè)等級(jí)，根據(jù)安全等級(jí)實(shí)施保護(hù)策略，本次學(xué)會(huì)期刊平臺(tái)定級(jí)為二級(jí)，測(cè)評(píng)分為四個(gè)過(guò)程：測(cè)評(píng)準(zhǔn)備過(guò)程、方案編制過(guò)程、測(cè)評(píng)實(shí)施過(guò)程、分析與報(bào)告編制過(guò)程[2]。

1.1 測(cè)評(píng)準(zhǔn)備

測(cè)評(píng)準(zhǔn)備需要確定學(xué)會(huì)期刊平臺(tái)的安全定級(jí)、使用時(shí)間、應(yīng)用業(yè)務(wù)及系統(tǒng)服務(wù)等情況，主要任務(wù)有項(xiàng)目啟動(dòng)，收集和分析信息，準(zhǔn)備表單與測(cè)評(píng)工具等。

1.2 測(cè)評(píng)方案編制

根據(jù)收集的信息，全面分析學(xué)會(huì)期刊平臺(tái)及與其相關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)，確定測(cè)評(píng)對(duì)象，按定級(jí)結(jié)果細(xì)化測(cè)評(píng)指標(biāo)，選擇合適的測(cè)評(píng)工具，開(kāi)發(fā)測(cè)試作業(yè)指導(dǎo)書(shū)。測(cè)評(píng)方案是測(cè)評(píng)工作實(shí)施的基礎(chǔ)，主要內(nèi)容有測(cè)評(píng)概述、對(duì)象、指標(biāo)、工具的接入點(diǎn)以及單元測(cè)評(píng)實(shí)施等。

1.3 現(xiàn)場(chǎng)測(cè)評(píng)

現(xiàn)場(chǎng)測(cè)評(píng)以測(cè)評(píng)方案為依據(jù)，應(yīng)用測(cè)評(píng)工具取得分析所需的證據(jù)和資料，主要任務(wù)有現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還等。

1.4 分析撰寫(xiě)測(cè)評(píng)報(bào)告

分析撰寫(xiě)測(cè)評(píng)報(bào)告是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法，找出學(xué)會(huì)期刊平臺(tái)的安全保護(hù)現(xiàn)狀與即定保護(hù)要求之間的差距，并進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)，給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告，主要任務(wù)有單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制等。

2 學(xué)會(huì)期刊平臺(tái)概況

學(xué)會(huì)期刊平臺(tái)主要實(shí)現(xiàn)了期刊管理、會(huì)員服務(wù)、公文流轉(zhuǎn)、科學(xué)普及學(xué)術(shù)交流等功能，其研究的方向包括兩方面：一是學(xué)會(huì)期刊與論文采編的流程實(shí)現(xiàn)；二是通過(guò)移動(dòng)終端應(yīng)用開(kāi)發(fā)，對(duì)學(xué)會(huì)的期刊進(jìn)行移動(dòng)化和電子化。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)

學(xué)會(huì)期刊平臺(tái)部署在市局辦公樓1樓信息中心機(jī)房，位于郴州市局網(wǎng)絡(luò)內(nèi)。整個(gè)網(wǎng)絡(luò)采用雙鏈路冗余，主鏈路由中國(guó)電信提供，備份鏈路為中國(guó)聯(lián)通提供，網(wǎng)絡(luò)結(jié)構(gòu)主要包括：網(wǎng)絡(luò)核心區(qū)、DMZ區(qū)、辦公區(qū)、互聯(lián)網(wǎng)區(qū)。

2.1.1 網(wǎng)絡(luò)核心區(qū)

網(wǎng)絡(luò)核心區(qū)主要提供核心主機(jī)、數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備等重要設(shè)備的數(shù)據(jù)路由、交換功能。通過(guò)部署兩臺(tái)思科7606邊界路由器上聯(lián)到省公司，下聯(lián)到縣公司。省市網(wǎng)絡(luò)的主干鏈路邊界部署有一臺(tái)入侵防御系統(tǒng)（啟明星辰NIPS-2060），實(shí)施對(duì)內(nèi)部網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)及防護(hù)。

2.1.2 DMZ區(qū)

DMZ區(qū)放置學(xué)會(huì)期刊平臺(tái)系統(tǒng)服務(wù)器，主要實(shí)現(xiàn)外部網(wǎng)絡(luò)訪(fǎng)問(wèn)應(yīng)用，內(nèi)外網(wǎng)絡(luò)之間通過(guò)一臺(tái)思科PIX 525防火墻互聯(lián)，設(shè)置一道防護(hù)關(guān)卡，更加有效地保護(hù)內(nèi)部網(wǎng)絡(luò)。

2.1.3 辦公區(qū)

辦公區(qū)主要提供對(duì)辦公終端網(wǎng)絡(luò)接入與業(yè)務(wù)訪(fǎng)問(wèn)，各樓層使用二層交換機(jī)上聯(lián)到網(wǎng)絡(luò)核心區(qū)核心三層交換機(jī)（思科4507、H3C 7506），下聯(lián)到各樓層辦公區(qū)終端。按照不同部門(mén)劃分不同VLAN區(qū)，實(shí)現(xiàn)不同訪(fǎng)問(wèn)權(quán)限控制。

2.1.4 互聯(lián)網(wǎng)區(qū)

互聯(lián)網(wǎng)區(qū)主要提供對(duì)學(xué)會(huì)期刊平臺(tái)對(duì)外服務(wù)，互聯(lián)網(wǎng)出口邊界部署一臺(tái)思科PIX 525防火墻防火墻，保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的安全。

2.2 系統(tǒng)資產(chǎn)

系統(tǒng)資產(chǎn)包括被測(cè)信息系統(tǒng)相關(guān)的所有軟硬件、人員、數(shù)據(jù)及文檔等。

3 測(cè)評(píng)范圍與方法

3.1 測(cè)評(píng)指標(biāo)

學(xué)會(huì)期刊平臺(tái)安全保護(hù)等級(jí)為第二級(jí)，其中業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)，系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)（S2A2G2）。

3.2 測(cè)評(píng)對(duì)象

學(xué)會(huì)期刊平臺(tái)等級(jí)測(cè)評(píng)對(duì)象種類(lèi)上基本覆蓋，重點(diǎn)抽查主要的設(shè)備、設(shè)施、人員和文檔等，結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和業(yè)務(wù)情況，本次等級(jí)測(cè)評(píng)的測(cè)評(píng)對(duì)象在抽樣時(shí)主要考慮以下幾個(gè)方面：

（1）主機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等）；

（2）存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；

（3）整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

（4）安全設(shè)備，包括防火墻等；

（5）邊界網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等；

（6）承載業(yè)務(wù)處理系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)）；

（7）管理終端和學(xué)會(huì)期刊平臺(tái)應(yīng)用系統(tǒng)主要終端；

（8）能夠完成學(xué)會(huì)期刊平臺(tái)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；

（9）業(yè)務(wù)備份系統(tǒng)；

（10）信息安全主管人員、各方面的負(fù)責(zé)人員、安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；

（11）涉及到信息系統(tǒng)安全的所有管理制度和記錄。

3.3 測(cè)評(píng)方法

3.3.1 測(cè)評(píng)方式

學(xué)會(huì)期刊平臺(tái)等級(jí)測(cè)評(píng)采用的主要方式有：訪(fǎng)談、核查、測(cè)試及綜合風(fēng)險(xiǎn)分析[3]。

3.3.2 測(cè)評(píng)工具

測(cè)評(píng)工具采用銥迅漏洞掃描系統(tǒng) NVS-2000。

3.3.3 測(cè)評(píng)工具接入點(diǎn)的確定

針對(duì)學(xué)會(huì)期刊平臺(tái)的網(wǎng)絡(luò)邊界和抽查設(shè)備、主機(jī)及業(yè)務(wù)應(yīng)用系統(tǒng)的情況，測(cè)試工具接入點(diǎn)從接入層交換機(jī)接入，模擬外部/內(nèi)部惡意用戶(hù)發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)、Web應(yīng)用、第三方產(chǎn)品等安全漏洞的過(guò)程，并嘗試?yán)靡陨下┒磳?shí)施諸如獲取系統(tǒng)控制權(quán)（GetShell）、獲得大量敏感信息（DragLibrary）等模擬攻擊行為。

4 單元測(cè)評(píng)

單元測(cè)評(píng)內(nèi)容包括“基本指標(biāo)”中涉及的安全層面，內(nèi)容由問(wèn)題分析和結(jié)果匯總等兩個(gè)部分構(gòu)成，詳細(xì)結(jié)果及符合程度將記錄到測(cè)評(píng)報(bào)告中。

4.1 單元測(cè)評(píng)小結(jié)

根據(jù)測(cè)評(píng)項(xiàng)的符合程度得分，以算術(shù)平均法合并多個(gè)測(cè)評(píng)對(duì)象在同一測(cè)評(píng)項(xiàng)的得分，得到各測(cè)評(píng)項(xiàng)的多對(duì)象平均分。

根據(jù)測(cè)評(píng)項(xiàng)權(quán)重，以加權(quán)平均合并同一安全控制點(diǎn)下的所有測(cè)評(píng)項(xiàng)的符合程度得分，并按照控制點(diǎn)得分計(jì)算公式得到各安全控制點(diǎn)的5分制得分。

以表格形式匯總測(cè)評(píng)結(jié)果，表格以不同顏色對(duì)測(cè)評(píng)結(jié)果進(jìn)行區(qū)分，部分符合（安全控制點(diǎn)得分在0分和5分之間，不等于0分或5分）的安全控制點(diǎn)采用黃色標(biāo)識(shí)，不符合（安全控制點(diǎn)得分為0分）的安全控制點(diǎn)采用紅色標(biāo)識(shí)。

4.2 安全問(wèn)題匯總

針對(duì)單元測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)或不符合項(xiàng)加以匯總，形成安全問(wèn)題列表并計(jì)算其嚴(yán)重程度值。依其嚴(yán)重程度取值為1～5，最嚴(yán)重的取值為5。安全問(wèn)題嚴(yán)重程度值是基于對(duì)應(yīng)的測(cè)評(píng)項(xiàng)權(quán)重并結(jié)合對(duì)應(yīng)測(cè)評(píng)項(xiàng)的符合程度進(jìn)行的。具體計(jì)算公式如下：

安全問(wèn)題嚴(yán)重程度值=（5-測(cè)評(píng)項(xiàng)符合程度得分）×測(cè)評(píng)項(xiàng)權(quán)重。

5 整體測(cè)評(píng)

整體測(cè)評(píng)從安全控制間、層面間、區(qū)域間和驗(yàn)證測(cè)試等方面對(duì)單元測(cè)評(píng)的結(jié)果進(jìn)行驗(yàn)證、分析和整體評(píng)價(jià)。

5.1 安全控制間安全測(cè)評(píng)

機(jī)房位于建筑一樓，存在滲水受潮風(fēng)險(xiǎn)，但已對(duì)防風(fēng)、防水、防潮能力進(jìn)行強(qiáng)化。能夠有效避免滲水、受潮等風(fēng)險(xiǎn)，達(dá)到等級(jí)保護(hù)安全要求[4]。

5.2 層面間安全測(cè)評(píng)

服務(wù)器未開(kāi)啟密碼復(fù)雜度策略，但在管理要求和實(shí)際操作上，已設(shè)置的密碼復(fù)雜度符合安全要求，并定期對(duì)密碼進(jìn)行了更改。

5.3 區(qū)域間安全測(cè)評(píng)

服務(wù)器防火墻未開(kāi)啟，部分補(bǔ)丁未及時(shí)更新，但同時(shí)在網(wǎng)絡(luò)邊界上部署了防火墻，能夠?qū)︶槍?duì)應(yīng)用的掃描攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊等行為進(jìn)行防范。并能夠?qū)︶槍?duì)應(yīng)用的攻擊行為進(jìn)行記錄，包括攻擊源IP、攻擊類(lèi)型、時(shí)間等。由高風(fēng)險(xiǎn)降為中風(fēng)險(xiǎn)。

5.4 驗(yàn)證測(cè)試

驗(yàn)證測(cè)試包括漏洞掃描，滲透測(cè)試等，驗(yàn)證測(cè)試發(fā)現(xiàn)的安全問(wèn)題對(duì)應(yīng)到相應(yīng)的測(cè)評(píng)項(xiàng)的結(jié)果記錄中。

5.5 整體測(cè)評(píng)結(jié)果匯總

根據(jù)整體測(cè)評(píng)結(jié)果，修改安全問(wèn)題匯總表中的問(wèn)題嚴(yán)重程度值及對(duì)應(yīng)的修正后測(cè)評(píng)項(xiàng)符合程度得分，并形成修改后的安全問(wèn)題匯總表（僅包括有所修正的安全問(wèn)題）[5]。根據(jù)整體測(cè)評(píng)安全控制措施對(duì)安全問(wèn)題的彌補(bǔ)程度將修正因子設(shè)為0.5～0.9。

修正后問(wèn)題嚴(yán)重程度值=修正前的問(wèn)題嚴(yán)重程度值×修正因子。

修正后測(cè)評(píng)項(xiàng)符合程度=5-修正后問(wèn)題嚴(yán)重程度值/測(cè)評(píng)項(xiàng)權(quán)重。

6 安全狀況分析

6.1 系統(tǒng)安全防護(hù)評(píng)估

以表格形式匯總學(xué)會(huì)期刊平臺(tái)系統(tǒng)已采取的安全保護(hù)措施情況，并根據(jù)安全控制點(diǎn)得分，以算術(shù)平均合并同一安全層面下的所有安全控制點(diǎn)得分，并轉(zhuǎn)換為安全層面的百分制得分。根據(jù)表格內(nèi)容描述被測(cè)信息系統(tǒng)已采取的有效保護(hù)措施和存在的主要安全問(wèn)題情況。

6.2 安全問(wèn)題風(fēng)險(xiǎn)評(píng)估

依據(jù)信息安全標(biāo)準(zhǔn)規(guī)范，采用風(fēng)險(xiǎn)分析的方法進(jìn)行危害分析和風(fēng)險(xiǎn)等級(jí)判定。針對(duì)等級(jí)測(cè)評(píng)結(jié)果中存在的所有安全問(wèn)題，結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對(duì)信息系統(tǒng)、單位、社會(huì)及國(guó)家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴(yán)重程度進(jìn)一步確定信息系統(tǒng)面臨的風(fēng)險(xiǎn)等級(jí)，結(jié)果為“高”、“中”或“低”，并以列表形式給出等級(jí)測(cè)評(píng)發(fā)現(xiàn)安全問(wèn)題以及風(fēng)險(xiǎn)分析和評(píng)價(jià)情況。

6.3 等級(jí)測(cè)評(píng)結(jié)論

綜合上述測(cè)評(píng)與風(fēng)險(xiǎn)分析結(jié)果，根據(jù)符合性判別依據(jù)給出等級(jí)測(cè)評(píng)結(jié)論，并計(jì)算信息系統(tǒng)的綜合得分。等級(jí)測(cè)評(píng)結(jié)論應(yīng)表述為“符合、“基本符合”或者“不符合”。

7 結(jié)束語(yǔ)

信息安全不是絕對(duì)的安全，而是適度、整體的安全。安全等級(jí)保護(hù)測(cè)評(píng)是一個(gè)集管理方法、技術(shù)措施和法律法規(guī)于一體的系統(tǒng)工程，始終有其動(dòng)態(tài)發(fā)展性，要不斷進(jìn)行完善，持續(xù)進(jìn)行改進(jìn)，強(qiáng)化安全保障，才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行2。學(xué)會(huì)期刊平臺(tái)安全等級(jí)保護(hù)測(cè)評(píng)對(duì)系統(tǒng)安全技術(shù)狀態(tài)及安全管理狀況進(jìn)行檢測(cè)，最終形成安全等級(jí)測(cè)評(píng)結(jié)論報(bào)告，為學(xué)會(huì)期刊平臺(tái)的后續(xù)完善提出處置意見(jiàn)，進(jìn)一步確保了系統(tǒng)平臺(tái)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和運(yùn)維安全。