还剩36页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
附件信息系统安全等级测评格式文档信息系统安全等级测评报告模板项目名称委托单位测评单位年月日报告摘要
一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况(见附件信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)
二、等级测评结果依据第
4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)
三、系统存在的主要问题依据
6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用本报告中给出的结论不能作为对系统内相关产品的测评结论本报告结论的有效性建立在用户提供材料的真实性基础上在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实测评单位机构名称年月报告目录1测评项目概述………………………………………………………………………………………………………………
11.1测评目的
11.2测评依据
11.3测评过程
11.4报告分发范围12被测系统情况………………………………………………………………………………………………………………
22.1基本信息
22.2业务应用
22.3网络结构
22.4系统构成
32.
4.1业务应用软件
32.
4.2关键数据类别
32.
4.3主机/存储设备
32.
4.4网络互联与安全设备
32.
4.5安全相关人员
32.
4.6安全管理文档
42.5安全环境43等级测评范围与方法………………………………………………………………………………………………………
43.1测评指标
43.
1.1基本指标
43.
1.2附加指标
53.2测评对象
63.
2.1测评对象选择方法
63.
2.2测评对象选择结果61网络互联设备操作系统62安全设备操作系统63业务应用软件64主机(存储)操作系统65数据库管理系统76访谈人员77安全管理文档
73.3测评方法
73.
3.1现场测评方法
73.
3.2风险分析方法74等级测评内容………………………………………………………………………………………………………………
74.1物理安全
84.
1.1结果记录
84.
1.2问题分析
84.
1.3单元测评结果
84.2网络安全
84.
2.1结果记录81IOS_路由器_内部_192IOS_路由器_VPN_
194.
2.2问题分析
94.
2.3单元测评结果
94.3主机安全
114.
3.1结果记录
114.
3.2问题分析
114.
3.3单元测评结果
114.4应用安全
114.
4.1结果记录
114.
4.2问题分析
114.
4.3单元测评结果
114.5数据安全及备份恢复
114.
5.1结果记录
114.
5.2问题分析
114.
5.3单元测评结果
114.6安全管理制度
114.
6.1结果记录
114.
6.2问题分析
114.
6.3单元测评结果
114.7安全管理机构
114.
7.1结果记录
114.
7.2问题分析
114.
7.3单元测评结果
114.8人员安全管理
114.
8.1结果记录
114.
8.2问题分析
114.
8.3单元测评结果
114.9系统建设管理
114.
9.1结果记录
114.
9.2问题分析
114.
9.3单元测评结果
114.10系统运维管理
114.
10.1结果记录
114.
10.2问题分析
114.
10.3单元测评结果
114.11工具测试
124.
11.1结果记录
124.
11.2问题分析125等级测评结果…………………………………………………………………………………………………………….
125.1整体测评
125.
1.1安全控制间安全测评
125.
1.2层面间安全测评
125.
1.3区域间安全测评
125.
1.4系统结构安全测评
125.2测评结果
125.3统计图表166风险分析和评价……………………………………………………………………………………………………………
166.1安全事件可能性分析
166.2安全事件后果分析
176.3风险分析和评价177系统安全建设、整改建议…………………………………………………………………………………………….
187.1物理安全
187.2网络安全
187.3主机安全
187.4应用安全
187.5数据安全及备份恢复
187.6安全管理制度
187.7安全管理机构
187.8人员安全管理
187.9系统建设管理
187.10系统运维管理18信息系统安全等级保护备案表测评项目概述测评目的描述信息系统的重要性通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)描述测评报告的用途(如,作为后续安全整改的依据)测评依据开展测评活动所依据的合同、标准和文件《信息安全等级保护管理办法》(公通字
[2007]43号)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技
[2008]2071号)[2:针对“国家电子政务工程建设项目”有效]GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息安全风险评估规范《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)被测信息系统安全等级保护定级报告等级测评任务书/测评合同等测评过程描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体内容包括但不限于
1、测评工作流程图
2、各阶段完成的关键任务
3、工作的时间节点报告分发范围依据项目需求,明确应交付等级测评报告的数量与分发范围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)被测系统情况基本信息业务应用描述信息系统承载的业务应用情况网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于
1、功能/安全区域划分、隔离与防护情况
2、关键网络和主机设备的部署情况和功能简介
3、与其他信息系统的互联情况和边界设备
4、本地备份和灾备中心的情况系统构成以列表的形式分类描述信息系统的软、硬件构成情况业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度关键数据类别主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备设备名称应确保在被测信息系统范围内的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括姓名、岗位/角色和联系方式人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等安全管理文档与信息系统安全相关的文档,包括
1、管理类文档,如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;
2、记录类文档,如设备运行维护记录、会议记录等;
3、其他类文档,如专家评审意见等安全环境描述被测信息系统的运行环境中与安全相关的部分如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体内容可参考《风险评估规范》等级测评范围与方法测评指标测评指标包括基本指标和附加指标两部分,以列表的形式给出依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标;基本指标基本指标(物理和网络子类)的例子如下所示附加指标参照基本指标的表述模式以列表形式给出附加指标附加指标包括但不限于
(1)行业标准/规范的具体指标
(2)主管部门的规定的具体指标
(3)信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标测评对象测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质和管理文档不需要抽样[5:非个人使用存储介质]具体方法和规则可参考《信息系统安全等级保护测评过程指南》测评对象选择结果网络互联设备操作系统安全设备操作系统业务应用软件主机(存储)操作系统数据库管理系统访谈人员安全管理文档测评方法现场测评方法描述本次等级测评工作中采用的测评方法现场测评方法主要包括访谈、检查和测试等三类,可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等如果采用工具测试,应给出工具接入示意图,并对测评工具的接入点和预期的测试路径进行描述风险分析方法本项目依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析,分析过程包括1)判断信息系统安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值范围为高、中和低;2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低;3)综合1)和2)的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值范围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险等级测评内容单元测评的内容及结果记录如下所示物理安全结果记录问题分析单元测评结果网络安全结果记录以表格形式分别给出不同测评对象的现场测评结果IOS_路由器_内部_1IOS_路由器_VPN_1…问题分析汇总网络安全中存在的问题并加以分析,找出共性和危害严重的问题,如边界防火墙的管理口令为空单元测评结果针对网络设备的不同测评指标子类对单项测评结果进行汇总和统计可得单元测评结果单元测评结果的判定依据为如某对象的特定测评指标的全部测评项结果均为符合,则该单元的测评结果为符合;如全部测评项结果均为不符合,则该单元的测评结果为不符合;否则该单元测评结果为不符合表格中分数的分母表示单元测评包含的测评项数量,分子表示不符合项和部分符合项的数量之和;斜线表明该指标子类不适用网络安全单元测评结果汇总表主机安全结果记录问题分析单元测评结果应用安全结果记录问题分析单元测评结果数据安全及备份恢复结果记录问题分析单元测评结果安全管理制度结果记录问题分析单元测评结果安全管理机构结果记录问题分析单元测评结果人员安全管理结果记录问题分析单元测评结果系统建设管理结果记录问题分析单元测评结果系统运维管理结果记录问题分析单元测评结果工具测试结果记录依据测评工具的结果报告形成工具测试的结果问题分析汇总工具测试的结果,分析信息系统中存在的主要问题等级测评结果整体测评根据《基本要求》的要求,对这些问题进行系统整体测评分析,包括从安全控制间、层面间、区域间和系统结构等方面进行安全测评安全控制间安全测评层面间安全测评区域间安全测评系统结构安全测评测评结果对整体测评后的等级测评结果基于安全子类进行汇总,并以表格形式进行展示表格中使用不同颜色对测评结果进行区分,测评结果为部分符合的指标子类采黄色标识,不符合的指标子类采用红色标识,如表中“物理安全”中指标子类对应表格单元的颜色所示通过对信息系统基本安全保护状态的分析,给出等级测评结论(结论为达标、基本达标、不达标)统计图表基于不同类别(如设备和安全子类)对测评结果以柱状图给出统计图表风险分析和评价安全事件可能性分析安全事件后果分析风险分析和评价综合安全事件可能性和后果以列表方式给出被测信息系统面临的风险排序和评价系统安全建设、整改建议明确给出该系统是否达标、基本达标、不达标情况(对于电子政务项目,该结论是电子政务项目验收的条件),根据情况给出系统安全建设整改意见针对主要的安全问题提出系统安全建设、整改建议结合风险分析的结果可将建设、整改内容分为立即整改和持续改进两类对于电子政务项目,等级测评报告中的整改建议与风险评估报告中的整改建议不应存在冲突物理安全网络安全整改建议的示例如下在网络结构发生变化时应及时更新网络拓扑图,方便日常安全运维主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理涉及国家秘密的信息系统分级保护备案表填报日期年月日填报单位(盖章)填表说明1.“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17-2006确定2.涉密信息系统一般应划分安全域,同一系统内的不同安全域根据所处理信息的重要程度,可分别确定密级3.表中“□”项,确认划“√”4.填报多个涉密信息系统,可复印此表国家保密局制信息系统安全等级保护定级报告(参考用例)X省邮政金融网中间业务系统描述
(一)该中间业务于*年*月*日由*省XXXX单位科技立项,并自主研发目前该系统由技术局运行维护部负责运行维护该单位是该信息系统业务的主管部门,并委托技术局为该信息系统定级的责任单位
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网在省数据中心的核心设备部署了华为的S**三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备天融信NGFW4**防火墙和Cisco2**路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录整个信息系统的网络系统边界设备可定为NGFW4**与Cisco2**Cisco2**外联的其它系统都划分为外部网络部分,而NGFW4**以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案
(三)该信息系统业务主要包含中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式其中通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等X省金融网中间业务系统安全保护等级的确定业务信息安全保护等级的确定
1、业务信息描述金融网中间业务信息包括代收费情况信息,缴费公民、法人和其他组织的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等属于公民、法人和其他组织的专有信息
2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)上述结果的程度表现为严重损害,即工作职能收到严重影响,业务能力显著先将,出现较严重的法律问题,较大范围的不良影响等
4、确定业务信息安全等级查《定级指南》表2知,业务信息安全保护等级为第二级系统服务安全保护等级的确定
1、系统服务描述该系统属于为国计民生、经济建设等提供服务的信息系统,其服务范围为全省范围内的普通公民、法人等
2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全客观方面表现得侵害结果为1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)上述结果的程度表现为对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等
4、确定系统服务安全等级查《定级指南》表3知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第二级安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定所以,X省金融网中间业务系统安全保护等级为第三级(附带说明该信息系统是在2006年全国等级保护试点工作中的一个典型系统定完级后,信息系统运营使用单位认为其确定的安全保护等级没有错后在专家评审的过程中,专家们以是否涉及国家安全为三级以上信息系统的界限,认为由于该信息系统不涉及国家安全,因此不能定为三级但是根据《信息安全等级保护管理办法》和《定级指南》的有关内容,三级以上信息系统不一定都是侵害国家安全的信息系统,对社会秩序和公共利益造成严重损害的信息系统也可以定为第三级,造成特别严重损害的甚至可以定为第四级如下表所示附件二信息系统安全等级保护定级报告(参考用例)X省邮政金融网中间业务系统描述
(一)该中间业务于*年*月*日由*省XXXX单位科技立项,并自主研发目前该系统由技术局运行维护部负责运行维护该单位是该信息系统业务的主管部门,并委托技术局为该信息系统定级的责任单位
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网在省数据中心的核心设备部署了华为的S**三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备天融信NGFW4**防火墙和Cisco2**路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录整个信息系统的网络系统边界设备可定为NGFW4**与Cisco2**Cisco2**外联的其它系统都划分为外部网络部分,而NGFW4**以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案
(三)该信息系统业务主要包含中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式其中通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等X省金融网中间业务系统安全保护等级的确定业务信息安全保护等级的确定
1、业务信息描述金融网中间业务信息包括代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等属于公民、法人和其他组织的专有信息
2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)上述结果的程度表现为严重损害,即工作职能收到严重影响,业务能力显著先将,出现较严重的法律问题,较大范围的不良影响等
4、确定业务信息安全等级查《定级指南》表2知,业务信息安全保护等级为第二级系统服务安全保护等级的确定
1、系统服务描述该系统属于为国计民生、经济建设等提供服务的信息系统,其服务范围为全省范围内的普通公民、法人等
2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全客观方面表现得侵害结果为1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)上述结果的程度表现为对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等
4、确定系统服务安全等级查《定级指南》表3知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第二级安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定所以,X省金融网中间业务系统安全保护等级为第三级(附带说明该信息系统是在2006年全国等级保护试点工作中的一个典型系统定完级后,信息系统运营使用单位认为其确定的安全保护等级没有错后在专家评审的过程中,专家们以是否涉及国家安全为三级以上信息系统的界限,认为由于该信息系统不涉及国家安全,因此不能定为三级但是根据《信息安全等级保护管理办法》和《定级指南》的有关内容,三级以上信息系统不一定都是侵害国家安全的信息系统,对社会秩序和公共利益造成严重损害的信息系统也可以定为第三级,造成特别严重损害的甚至可以定为第四级如下表所示附件国家《“十二五”国家政务信息化工程建设规划》、《国家电子政务“十二五”规划》网络和信息安全相关要求
一、完善国家网络与与信息安全基础设施坚持以促发展、保安全为主线,按照规制为主、疏堵兼顾、科学管控、共建共享、政企结合的方针,加快网络与信息安全基础设施建设,完善国家信息安全保障体系,提高我国基础信息网络和重要信息系统的安全保障能力
1、网络与信息安全基础设施在已有(安全)设施和资源的基础上,重点围绕提高网络舆情监测能力、网络失窃密监测预警能力、网络有害信息监测和管控能力、网络违法犯罪防范和打击能力等,逐步建立科学高效的信息安全管控机制,建设统一的网络与信息安全基础设施,健全重点信息安全管理业务系统,构建密码保障、身份认证、保密监管、检测评估和监测预警等技术支撑体系,切实保障我国信息网络空间的安全可控
2、重要信息系统安全保障设施减少各部门互联网出入口数量,推进党政机关互联网统一接入加强涉密信息系统与信息资源的安全保密设施建设,统筹应急响应与灾难备份能力建设,增强电子政务网络、基础信息库和重要业务信息系统的安全防护能力建设,为重要信息系统的安全可控运行提供支撑完善密钥管理基础设施,推进电子政务网络信任体系建设,充分利用已依法设立的电子认证机构,实现面向电子政务风外网与各级各类业务应用的身份认证、访问授权和责任认定等安全管理,为跨部门、跨地区的政务业务应用提供安全保障
3、作为电子政务建设与应用的重要的保障措施之一要求加强信息安全保密即(电子政务)工程建设必须与安全保密措施有机结合,做到安全保密措施先行项目建设单位要严格依据国家关于涉密信息系统分级保护的非涉密信息系统信息安全等级保护的有关规定,在政务信息化工程项目的需求分析报告和建设方案中同步落实分级保护和等级保护要求,制定实施与业务应用紧密结合、技术上自主可控的信息安全和保密解决方案项目建成后的试运行期间,项目建设单位应按有关规定组织开展信息安全风险评估,确保信息化工程项目安全保密——《“十二五”国家政务信息化工程建设规划》发改高技
[2012]1202号
二、国家电子政务“十二五”规划要求提高政府信息系统的信息安全保障能力
1.建设完善信息安全保障体系加强信息安全防护体系建设,建立电子政务网络信任体系、应急处置体系和监管体系加强政府网站安全管理,实施政务部门互联网安全接入防护工程按照国家等级保护和涉密信息系统分级保护的有关要求,建立完善等级保护工作机制,落实涉密信息系统分级保护制度,规范涉密信息系统使用管理
2.制定电子政务安全可靠的标准规范按照安全可靠的要求,保护政府信息系统不被攻破和信息不被窃取泄漏,研究制定政府信息系统的信息安全标准规范推进安全存储、数据备份与恢复、主动防护、安全事件监控、恶意代码防范等信息安全保障加大电子政务安全可靠软硬件产品的研制力度,建立应用评估机制,建设安全可靠的电子政务应用
3.进一步加强政府信息系统安全管理建立完善政府信息系统安全管理制度规范,制定政务部门计算机安全配置和审计制度,建立信息系统安全检查制度,加强信息安全检查工作力度,加强对政务部门使用信息技术外包服务的安全管理,不断提高电子政务信息安全保障水平
4、加强政务信息资源可靠性管理,明确信息管理要求,建立授权信息使用制度,加强信息防篡改和可恢复管理,确保信息安全可靠加强政务信息资源可用性管理,确保信息真实、准确和完整加强国家电子文件管理,确保电子文件的真实、完整、可用和安全,保存国家历史记录
5、提高政府信息系统的信息安全保障能力
(1)建设完善信息安全保障体系加强信息安全防护体系建设,建立电子政务网络信任体系、应急处置体系和监管体系加强政府网站安全管理,实施政务部门互联网安全接入防护工程按照国家等级保护和涉密信息系统分级保护的有关要求,建立完善等级保护工作机制,落实涉密信息系统分级保护制度,规范涉密信息系统使用管理
(2)制定电子政务安全可靠的标准规范按照安全可靠的要求,保护政府信息系统不被攻破和信息不被窃取泄漏,研究制定政府信息系统的信息安全标准规范推进安全存储、数据备份与恢复、主动防护、安全事件监控、恶意代码防范等信息安全保障加大电子政务安全可靠软硬件产品的研制力度,建立应用评估机制,建设安全可靠的电子政务应用
(3)进一步加强政府信息系统安全管理建立完善政府信息系统安全管理制度规范,制定政务部门计算机安全配置和审计制度,建立信息系统安全检查制度,加强信息安全检查工作力度,加强对政务部门使用信息技术外包服务的安全管理,不断提高电子政务信息安全保障水平
三、信息安全研究热点分析互联网信息安全攻击事件,除了常见的针对操作系统的漏洞攻击,针对金融机构的钓鱼网站攻击之外,还包括以日本索尼千万级用户和国内CSDN超过600万用户密码泄露为代表的针对互联网用户的安全事件这些安全事件的发生,其本质也离不开对各种安全漏洞或者是0day漏洞的依赖,这也为安全漏洞的挖掘分析提供了参考2012年,以基础设施的漏洞安全、云安全、社交网络的信息泄露、移动智能终端的安全以及APT高持续性攻击为代表的关键词汇,将成为信息安全领域的研究热点
一、基础设施安全漏洞此类以微软和苹果为代表,涉及到操作系统、浏览器类等这一部分基础设施类的应用程序研究重点有三大部分
(一)以微软为代表的操作系统类的产品安全漏洞2011年微软共发布了接近100个安全补丁,修复的包括操作系统内核、Office系列办公软件、IE浏览器等近200多个安全漏洞;
(二)非微软系的操作系统和浏览器安全漏洞如Mozilla公司的Firefox、谷歌的chrome浏览器以及苹果的Safari等,这些浏览器已经占据超过40%的市场份额,是除微软之外另一个不可忽视的部分2011年苹果公司也发布了数十个针对苹果MACOS操作系统和Safari浏览器的安全漏洞,仅在2011年7月份就发布了多个针对Safari浏览器安全漏洞,如CVE-2011-0218/0221/0222/0225/0233/0234等,通过这些安全漏洞,容易诱使用户访问网页并被植入恶意代码;
(三)以Oracle数据库及Adobe为代表的典型应用程序安全漏洞仅在2011年第四季度,甲骨文就发布了57个Oracle关键补丁更新,涉及到多个Oracle数据库版本和中间件,其中有22个是远程登录漏洞,最高级别的补丁为Solaris操作系统更新,其一旦被黑客利用将造成数据库被远程控制的巨大危害而黑客利用Adobe的flash安全漏洞,也成功地实施了影响巨大的RSA安全攻击事件考虑到这些应用程序的基础设施类的定位,2012年这仍然是安全研究领域的重中之重
二、云计算环境下的安全风险无论是大型云计算服务商的公有云还是企业的私有云建设,云安全始终是整体建设方案中不可缺少的部分,尤其对于公有云服务而言,用户对于自身的数据在云中安全性的担忧正在阻碍云计算的发展2012年,针对云计算环境下的三类安全风险,仍将继续存在并成为研究重点
(一)虚拟化软件厂商各种底层应用程序的安全漏洞典型代表如VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V,这些应用程序的安全漏洞将影响到主机的安全,另外还包括以vCenter为代表的虚拟机管理程序,因为其覆盖了整个虚拟架构下的多个虚拟机管理,一旦其安全漏洞被利用将可能导致整个虚拟架构不能正常工作2011年,VMware和微软都公告了多个安全漏洞,如VMwareESX的lsassd服务存在远程拒绝服务安全漏洞(CVE-2011-1786),vCenterOrchestrator存在远程代码执行漏洞(CVE-2010-1870)等;
(二)承载在虚拟机之上的多种应用程序的安全漏洞这些应用程序是云服务交付的核心组成,包括WEB前端的应用程序、各种中间件应用程序及数据库程序等这些应用程序本身,即使在传统网络安全环境下,仍然会因为编程技术的缺陷而存在多个安全漏洞;在云计算环境下,这些安全漏洞仍然会继续存在,典型如各种WEB会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞同时为了适应或使用虚拟化环境下的各种API管理接口,也可能导致一些新的安全漏洞2011年德国某大学爆出亚马逊WEB服务存在多个安全漏洞,攻击者通过XML签名封装攻击获取了很多客户帐号的管理员权限,从而可以随意创建或者删除客户的镜像文件,同时他们也发现亚马逊云服务存在多个XSS跨站脚本的安全漏洞类似的问题在各大云计算服务商的环境中应该是普遍存在的;
(三)用户身份认证授权管理系统的安全漏洞在所有的云服务包括每个云服务的管理界面,都需要针对用户的身份管理、认证、授权和审计,确保“合法”的用户访问正确的服务器,在这种情况下,薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患同时,针对公有云服务而言,按需的自助服务是其重要的特征,而这意味着云服务商需要提供一个自助服务管理门户,便于用户进行身份认证及访问权限管理此时,认证管理系统本身的安全漏洞将导致各种未经授权的“合法”访问一旦发生这种未经授权访问,黑客完全可以借助HTTPS加密等手段,逃避传统安全防护系统的检查,实现对用户后台数据的恶意访问
三、社交网络的信息泄露安全2011年,从索尼超过千万级别用户的个人信息和信用卡信息泄露,到年底国内以CSDN为代表的超过600万互联网用户的账号密码泄露,信息安全泄露在这一年成为了网民关注的焦点数量庞大的网民一夜之间发现互联网的安全风险就在自己身边黑客产业链也认识到大规模互联网用户信息的价值,除了常规的SQL注入等手段实现对企业关键数据库的信息窃取之外,针对社交网络或游戏类服务商保存的用户私密信息的窃取,将成为2012年的黑客兴趣所在在黑客的眼中,社交网络的账号信息和用户的信用卡一样具备吸引力,黑客产业链中甚至不乏专门活跃在各种论坛中进行社交网络账号信息交易的罪犯,只要获取了规模的用户私密信息,就可以价值最大化地谋取经济利益尤其是社交网络集聚了相互信任的亲朋好友,如果黑客成功登陆了你的社交网络账号,便可以轻易的对用户的好友实现经济欺诈从技术实现的角度,黑客第一步仍然需要通过诸如SQL注入等方式突破社交网络服务商的关键数据库并获取完全读取权限因此针对知名社交网络服务商的关键数据库应用的安全漏洞分析和挖掘,应该重点关注
四、移动智能终端的安全移动互联网的市场正在快速扩大,以苹果和谷歌为代表的移动操作系统智能终端也在快速流行根据Gartner预测,截至目前全球已经有超过4亿的智能终端互联网用户,而国内三大运营商的3G智能终端互联网用户也已经达到千万级别如此庞大的用户规模势必带来潜在的互联网安全风险,如手机被植入恶意代码导致进行恶意流量下载,恶意电话拨号产生高额电话费,或者是通过窃取用户手机聊天工具和网上支付的机密信息获取经济利益,从而对移动用户的互联网安全产生严重危害从另外一个角度看,现阶段移动智能终端大量的特色应用,如苹果或安卓应用商店,苹果的icloud云共享服务,客观上更加刺激了黑客对移动互联网安全的兴趣黑客可以通过发布带有恶意代码的应用程序侵入用户智能终端,一旦拿到用户在苹果云中的ID和登录密码后,将轻易窃取到用户在云中共享的各种数据并从中牟利2011年3月份,由于发现了恶意应用,Google被迫从其安卓应用商店下架了大约50个应用同时苹果在2011年也发布了数十个危害严重的涉及到iPhone和IPad的安全漏洞2012年针对移动智能终端操作系统的安全漏洞分析以及针对移动应用商店应用程序的恶意代码检测,仍然是安全研究的工作重点
五、APT高持续性安全攻击APT(AdvancedPersistentThreat,顾名思义就是一种高级持续性攻击,这种攻击的攻击者有明确的攻击目标,攻击行为通常持续较长的时间,部分攻击可能存在数天或者是数月在设定攻击目标后,黑客往往通过多种手段包括社会工程学的方式,逐步获取目标组织内部的傀儡机权限并作为跳板,在多个不同的时间段轮番进行攻击在这个过程中,包括零日漏洞、钓鱼垃圾邮件、SQL注入等技术手段常常被利用,入侵之后,黑客往往通过压缩或SSL加密等技术手段将数据传送到后端,以避开企业内部的常规安全防护系统的检查典型攻击如2011年3月,RSA公司部分SecureID技术和重要客户的信息被窃取,导致很多使用RSASecureID作为认证凭证的客户网络,如洛克希德马丁公司,遭到攻击且资料被盗在这次攻击事件中,黑客向RSA的部分员工发送了暗藏Adobeflash0day漏洞(CVE-2011-0609)的电子邮件,有员工点击该Email并导致其机器被注入恶意代码,从而使得远程攻击主机通过指令控制该傀儡机并入侵RSA的开发服务器(StagingServer)预计在2012年,该类型的安全攻击将持续存在并更加具有目的性,针对APT的安全研究将为企业的攻击检测和防护提供参考文献参考《2012年信息安全研究热点分析》管志强,H3C甘青宁片区总监,甘肃省信息协会副会长;参考文献
1、《信息与网络安全概论(第三版)》黄明祥林咏章编著清华大学出版社2010年1月第1版第1次印刷高等学校计算机应用规划教材;
2、《网络信息安全原理与技术》王梦龙主编中国铁道出版社2009年11月第1版第1次印刷CompTIA国际认证系列丛书;
3、《信息系统安全管理理论与应用》主编李建平参编陈秀真周宁张竞机械工业出版社2009年9月第一版第一次印刷;高等院校信息安全专业规划教材;
4、http://do.chinabyte.com/262/
11324262.shtml;
5、http://tech.sina.com.cn/it/2010-03-09/
13303920338.shtml;
6、http://do.chinabyte.com/262/
11324262.shtml;
7、物联网安全问题不容忽视http://network.chinabyte.com/443/11125943_
2.shtml;
8、《信息安全技术信息系统安全等级保护定级指南》中华人民共和国国家标准;
9、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
10、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号);
11、《关于信息安全等级保护工作的实施意见》(公通字
[2004]66号);
12、《信息安全等级保护管理办法》(公通字
[2007]43号).信息系统基本情况系统名称安全保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件报告审核批准编制人日期审核人日期批准人日期系统名称[3:本报告模板针对作为单一定级对象的信息系统制定]主管机构系统承载业务情况业务类型1生产作业2指挥调度3管理控制4内部办公5公众服务9其他业务描述系统服务情况服务范围10全国11跨省(区、市)跨个20全省(区、市)21跨地(市、区)跨个30地(市、区)内99其它服务对象1单位内部人员2社会公众人员3两者均包括9其他系统网络平台覆盖范围1局域网2城域网3广域网9其他网络性质1业务专网2互联网9其它系统互联情况1与其他行业系统连接2与本行业其他单位系统连接3与本单位其他系统连接9其它业务信息安全保护等级系统服务安全保护等级信息系统安全保护等级序号软件名称主要功能重要程度…………序号数据类型所属业务应用主机/存储设备重要程度…………序号设备名称操作系统/数据库管理系统业务应用软件………序号设备名称用途重要程度1路由器_内部_1内部边界路由重要2路由器_VPN_1远程管理维护重要3路由器_VPN_2远程管理维护重要4防火墙_WEB_1Web区之间访问控制重要…………序号姓名岗位/角色联系方式…………序号文档名称主要内容………序号威胁分子类描述威胁赋值1网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵高………分类子类基本要求测评项数[4:测评项数量随信息系统的安全保护等级不同而变化]物理安全物理位置的选择测评物理机房所在的外部环境安全性2物理访问控制测评进出机房的审批控制手段以及机房出入口的安全控制情况4防盗窃和防破坏测评机房内设备和通信线缆的安全性以及监控报警系统建设情况6防雷击测评建筑防雷和防感应雷的建设情况3防火测评自动监控防火系统设置情况以及机房材料防火情况3防水和防潮测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况4防静电测评机房防静电所采取的措施3温湿度控制测评机房温湿度控制措施1电力供应测评电力线路、备用电源以及发电机的配备情况4电磁防护测评线缆电磁防护手段和设备电磁防护手段3网络安全结构安全主要核查主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略7访问控制主要核查访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等4安全审计主要核查网络设备日志收集、分析和统计以及保护等等6边界完整性检查主要核查是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断;是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断2入侵防范主要核查部署IDS系统以及使用情况2恶意代码防范主要核查是否有完整的防病毒体系以及代码库的升级情况2网络设备防护主要核查用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限分离9分类子类附加要求测评项数序号操作系统名称设备名称1IOS_路由器_内部_1路由器_内部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_2………序号操作系统名称设备名称1JOS_防火墙_WEB_1防火墙_WEB_1………序号软件名称主要功能………序号设备名称操作系统/数据库管理系统………序号设备名称操作系统/数据库管理系统………序号姓名岗位/职责………序号文档名称主要内容………类别测评内容结果记录符合情况网络访问控制a 应在网络边界部署访问控制设备,启用访问控制功能;b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d 应在会话处于非活跃一定时间或会话结束后终止网络连接;e 应限制网络最大流量数及网络连接数;f 重要网段应采取技术手段防止地址欺骗;g 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h 应限制具有拨号访问权限的用户数量…………………………序号名称测评指标子类网络结构安全网络访问控制网络安全审计边界完整性检查网络入侵防范恶意代码防范网络设备防护1IOS_路由器_内部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13…456序号分类子类符合情况符合部分符合不符合1物理安全物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10电磁防护 11网络安全结构安全12访问控制13安全审计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19安全标记20访问控制21可信路径22安全审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用安全身份鉴别28安全标记29访问控制30可信路径31安全审计32剩余信息保护33通信完整性34通信保密性35抗抵赖36软件容错37资源控制38数据安全及备份恢复数据完整性39数据保密性40备份和恢复41安全管理制度管理制度42制定和发布43评审和修订44安全管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员安全管理人员录用50人员离岗51人员考核52安全意识教育和培训53外部人员访问管理54系统建设管理系统定级55安全方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64安全服务商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和安全管理中心70网络安全管理71系统安全管理72恶意代码防范管理73密码管理74变更管理75备份与恢复管理76安全事件处置77应急预案管理序号资产名称等级测评结果中的不符合项/部分符合项关联威胁安全事件可能性序号安全事件安全事件后果描述影响程度序号风险描述风险等级单位名称涉密信息系统名称系统密级(保护等级)□秘密□机密□绝密系统联接范围□局域网□城域网□广域网(跨个省或地)系统安全域划分和安全域密级确定□未划分安全域□划分安全域(共有个,其中绝密级个,机密级个,秘密级个,内部级个)系统主要承建单位系统投入使用时间系统运行管理部门系统安全保密管理部门系统分级保护实施情况□已经实施□正在实施□计划年实施业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统名称安全保护等级业务信息安全等级系统服务安全等级X省邮政金融网中间业务系统第三级二三等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统名称安全保护等级业务信息安全等级系统服务安全等级X省金融网中间业务系统第三级二三等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查。