葉 茂 劉盈斐 王冠華

（1.中國水利水電科學(xué)研究院，北京 100038；2.北京中水科信息技術(shù)有限公司，北京100038）

水利科研院所信息安全等級保護測評及制度探討

葉 茂1,2劉盈斐1王冠華1,2

（1.中國水利水電科學(xué)研究院，北京 100038；2.北京中水科信息技術(shù)有限公司，北京100038）

文章參照國家信息系統(tǒng)的等級保護標(biāo)準(zhǔn),并結(jié)合水利科研單位信息安全現(xiàn)狀，提出了適合水利科研院所信息安全等級保護二級的自評測技術(shù)和制度，對水利科研單位信息化安全建設(shè)具有指導(dǎo)性意義。

水利；信息；安全；等保；測評

水利是信息化業(yè)務(wù)開展較早的領(lǐng)域，但多年來，水利科研院所的信息化建設(shè)存在著重建設(shè)，輕管理，重應(yīng)用，輕安全的突出弊端。水利信息化安全管理資金投入較小且延續(xù)性較差，信息安全問題日顯突出。水利科研院所掌握著大量的水利基礎(chǔ)科研數(shù)據(jù)，這些數(shù)據(jù)雖然不屬于保密的范疇，但是存儲處理這些數(shù)據(jù)的系統(tǒng)一旦遭受破壞將對水利科研工作帶來巨大的損失，甚至有可能會影響到相關(guān)水利決策的制定實施，因此對水利科研院所信息系統(tǒng)制定相應(yīng)的等級保護制度和措施尤其重要。

科研單位的信息系統(tǒng)在不涉及國家秘密的情況下實行的是等級保護制度，信息系統(tǒng)安全等級保護制度（以下簡稱“等級保護”）作為信息安全系統(tǒng)分級分類保護的一項國家標(biāo)準(zhǔn)，對于完善信息安全法規(guī)和標(biāo)準(zhǔn)體系，提高安全建設(shè)的整體水平，增強信息系統(tǒng)安全保護的整體性、針對性和時效性具有非常重要的意義。

信息系統(tǒng)安全等級保護從低到高分為五級[1]。信息系統(tǒng)的等級制定應(yīng)該遵循公安部制定的《基本要求》[2]標(biāo)準(zhǔn)。水利科研院所根據(jù)信息系統(tǒng)的重要性程度，參考分級保護的分級要求一般將自身的信息系統(tǒng)安全等級定為二級[1]，即信息系統(tǒng)受到破壞后不損害國家安全、社會秩序和公眾利益,但是會對水利科研院所的合法權(quán)益產(chǎn)生嚴(yán)重損害，該級別是審計保護級。過高定義自身等級浪費資源資金，過低定義又得不到充分必要的保護，均不可取。

國家對三級以上信息系統(tǒng)要求第三方強制測評，三級以下系統(tǒng)不作強制要求，可依據(jù)標(biāo)準(zhǔn)進行自測評，對照標(biāo)準(zhǔn)，發(fā)現(xiàn)信息系統(tǒng)安全薄弱環(huán)節(jié)。

1 定級的標(biāo)準(zhǔn)及其依據(jù)

根據(jù)《基本要求》的規(guī)定，二級要求的系統(tǒng)防護能力為：信息系統(tǒng)具有抵御一般攻擊的能力，能防范常見計算機病毒和惡意代碼危害的能力，系統(tǒng)遭受破壞后，具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為：系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余，在遭受破壞后能夠在有限的時間內(nèi)恢復(fù)部分功能。

按照二級的要求，一般情況下分為技術(shù)層面和管理層面的兩個層面對信息系統(tǒng)安全進行全面衡量，技術(shù)層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應(yīng)用資源控制、應(yīng)用安全審計、通信完整性和數(shù)據(jù)保密性等多個控制點進行測評，而管理層面主要針對管理制度評審修訂、安全管理機構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運維管理、應(yīng)急預(yù)案等方面進行綜合評測。

其中技術(shù)類安全要求按照其保護的側(cè)重點不同分為業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全防護類（G類）三類[1]。水利信息系統(tǒng)通常以S和G類防護為主，既關(guān)注保護業(yè)務(wù)信息的安全性，又關(guān)注保護系統(tǒng)的連續(xù)可用性。

2 水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結(jié)構(gòu)相對簡單，在管理制度上基本建立了機房管控制度、人員安全管理制度等，技術(shù)上也都基本達到了一級防護的要求。

下面以某水利科研單位為例分析。

某水利科研單位主機房選址為大樓低層(3層以下)，且不臨街。機房大門為門禁電磁防盜門，機房內(nèi)安裝多部監(jiān)控探頭。機房內(nèi)部劃分為多個獨立功能區(qū)，每個功能區(qū)均安裝門禁隔離。機房鋪設(shè)防靜電地板，且已與大樓防雷接地連接。機房內(nèi)按照面積匹配自動氣體消防，能夠?qū)馂?zāi)發(fā)生進行自動報警，人工干預(yù)滅火。機房內(nèi)已安裝溫度濕度監(jiān)控探頭，對機房內(nèi)溫濕度自動監(jiān)控并具有報警功能，機房配備較大功率UPS電源，能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時正常工作。機房采用通信線路上走線，動力電路下走線方式。以上物理條件均滿足二級要求。

機房內(nèi)網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 某科研院所網(wǎng)絡(luò)拓撲結(jié)構(gòu)

網(wǎng)絡(luò)拓撲結(jié)構(gòu)分為外聯(lián)區(qū)、對外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊，對外服務(wù)區(qū)部署有VPN網(wǎng)關(guān)，外部人員可通過VPN網(wǎng)關(guān)進入加密SSL通道訪問業(yè)務(wù)處理區(qū)，接入?yún)^(qū)用戶通過認證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。整個網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測（IDS）系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)以及流量控制系統(tǒng)。

由上述拓撲結(jié)構(gòu)可以看出，現(xiàn)有的安全防護手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全，但按照二級要求，系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)和非法外聯(lián)檢測系統(tǒng)，且沒有獨立的數(shù)據(jù)備份區(qū)域，給整個信息網(wǎng)安全帶來一定的隱患。

為滿足二級要求，重新規(guī)劃后的拓撲結(jié)構(gòu)如圖2所示。

圖2 按照二級標(biāo)準(zhǔn)改造后網(wǎng)絡(luò)拓撲圖

新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)（IDS），新規(guī)劃了獨立的數(shù)據(jù)備份區(qū)域，在核心交換機上部署了網(wǎng)絡(luò)審計系統(tǒng)，并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護體系。

3 信息系統(tǒng)安全等級測評的內(nèi)容

3.1 信息系統(tǒng)等級保護的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個復(fù)雜漫長的過程，需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計算機系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計。相應(yīng)的技術(shù)測評工作也主要圍繞這3個模塊展開。

總體結(jié)構(gòu)如圖3所示。

圖3 水利信息系統(tǒng)總體安全規(guī)劃設(shè)計圖

3.2 測評的要素

信息系統(tǒng)是個復(fù)雜工程，設(shè)備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全，新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計，已建系統(tǒng)要對信息系統(tǒng)進行安全測試，對于測評不合格項對照整改。信息系統(tǒng)安全測試范圍很廣，主要在網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全[3]六大方面展開測評。本文僅對測評內(nèi)容要素進行描述，對具體測試方法及工具不作描述。

3.2.1 網(wǎng)絡(luò)安全的測評

水利科研院所網(wǎng)絡(luò)安全的測評主要參照公安部編制《信息安全等級測評》條件對網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測系統(tǒng)展開測評。但應(yīng)結(jié)合科研院所實際有所側(cè)重。

水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大，網(wǎng)絡(luò)帶寬占用比例相對較高，因此，在網(wǎng)絡(luò)全局中主要測試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力，網(wǎng)絡(luò)設(shè)備資源占用情況，確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性。

科研院所地理位置相對分散，因此，需要合理的VLAN劃分，確保局部網(wǎng)絡(luò)攻擊不會引發(fā)全局癱瘓?？蒲性核鶕碛写罅康难芯可?，這類人群對于制度的約束相對較差，網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用，對出口帶寬影響極大，因此除了用經(jīng)濟杠桿的手段外，在技術(shù)上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯(lián)”行為進行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對端口掃描，對木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2 主機安全測評

主機安全的測評主要對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評。通常水利科研院所服務(wù)器種類繁多，從最多見的機架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署，同時操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng)，數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主，早期開發(fā)的系統(tǒng)還有Sybase，DB2等數(shù)據(jù)庫。

對于window操作系統(tǒng)是容易被攻擊的重點，因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評，主要審計重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫，主要審計操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標(biāo)識唯一性，口令應(yīng)復(fù)雜程度以及限制條件等。

3.2.3 應(yīng)用安全測評

水利科研院所內(nèi)部業(yè)務(wù)種類繁多，如OA系統(tǒng)，科研管理系統(tǒng)，內(nèi)部財務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群，郵件服務(wù)器等，測評的重點主要是對這些業(yè)務(wù)系統(tǒng)逐個測評身份驗證，日志記錄，訪問控制、安全審計等功能。

3.2.4 數(shù)據(jù)安全的測評

數(shù)據(jù)安全的測評主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時效性展開測評。水利科研院所數(shù)據(jù)量十分龐大，一般達到上百TB級數(shù)據(jù)量，一旦遭受攻擊，恢復(fù)任務(wù)十分艱巨，因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式，避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計劃，采用增量備份的方式實時對數(shù)據(jù)備份。

3.2.5 物理安全測評

機房的物理安全測評主要是選址是否合理，機房大門防火防盜性能，機房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達標(biāo)，溫濕度控制、電力供應(yīng)以及電磁防護是否符合規(guī)定等物理條件。

3.2.6 安全管理測評

安全管理主要就制定的制度文檔和記錄文檔展開評測。

制度文檔主要分為3類，流程管理，人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實施形式。

在滿足二級的條件下，一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計和采購安全管理規(guī)定》、《系統(tǒng)實施安全管理規(guī)定》、《系統(tǒng)測試驗收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號密碼管理規(guī)定》等基本規(guī)章制度。同時對管理制度本身進行也要規(guī)范管理，如版本控制，評審修訂流程等。

需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎(chǔ)設(shè)施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測試選型測試結(jié)果記錄》、《系統(tǒng)驗收測試記錄報告》、《介質(zhì)歸檔查詢等的等級記錄》、《主機系統(tǒng)，網(wǎng)絡(luò)，安全設(shè)備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應(yīng)急預(yù)案培訓(xùn)，演練，審查記錄》等。

4 測評的方式方法

按照《基本要求》在等級測評中，對二級及二級以上的信息系統(tǒng)應(yīng)進行工具測試。

4.1 測試目的

工具測試[3]是利用各種測試工具，通過對目標(biāo)系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應(yīng)等活動，查看分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。

工具測試種類繁多，這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞，同時也可以通過不同的區(qū)域接入測試工具所得到的測試結(jié)果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結(jié)合其他的核查手段能為測試結(jié)果提供客觀準(zhǔn)確的保障。

4.2 測試流程

收集信息→規(guī)劃接入點→編制《工具測試作業(yè)指導(dǎo)書》→現(xiàn)場測試→結(jié)果整理。

收集信息主要是對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備型號、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)等信息進行收集。

規(guī)劃接入點是保證不影響整個信息系統(tǒng)網(wǎng)絡(luò)正常運行的前提下嚴(yán)格按照方案選定范圍進行測試。接入點的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu)，訪問控制，主機位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。

（1）由低級別系統(tǒng)向高級別系統(tǒng)探測。

（2）同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。

（3）由外聯(lián)接口向系統(tǒng)內(nèi)部探測。

（4）跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測。

4.3 測試手段

利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓撲結(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié)，為整改方案的編制提供依據(jù)。

5 云計算與等級保護

近年來，隨著水利科研院各自的云計算中心相繼建立，云計算與以往的計算模式安全風(fēng)險差異很大，面臨的風(fēng)險也更大，因為以往的系統(tǒng)多數(shù)為集中式管理范圍較小，安全管理和設(shè)備資源是可控的，而云計算是分布式管理，是一個動態(tài)變化的計算環(huán)境，這種環(huán)境在某種意義上是無序的[4]，這種虛擬動態(tài)的運行環(huán)境更不可控，傳統(tǒng)的安全邊界消失[5]。同時，云計算在認證、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計算面臨的7宗罪[4]（風(fēng)險），說明云安全的狀況變化非?？欤F(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計算的模式，如何結(jié)合自身特點制定出適合云計算的等級保護體系架構(gòu)是今后研究的方向。

6 結(jié) 語

嚴(yán)格按照國家制定的等級保護測評相關(guān)標(biāo)準(zhǔn)規(guī)劃設(shè)計信息網(wǎng)絡(luò)，加快水利科研院所信息系統(tǒng)安全級別的定級及開展相關(guān)測評工作對加快水利信息化安全建設(shè)步伐，保障水利科研院所信息系統(tǒng)平穩(wěn)安全運行起到至關(guān)重要的作用。

[1] GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[S].北京∶中國標(biāo)準(zhǔn)出版社,1999.

[2] GB/T22239-2008 信息系統(tǒng)安全等級保護基本要求[S].北京∶中國標(biāo)準(zhǔn)出版社,2008.

[3] 公安部信息安全等級保護評估中心.信息安全等級測評培訓(xùn)教程[M].北京∶電子工業(yè)出版社,2010.

[4] 沈昌祥.云計算安全與等級保護[J].信息安全與通信保密,2012(1)∶16-17.

[5] 胡偉.信息系統(tǒng)等級保護評測[J].電腦編程技巧與維護,2011(20)146-147+160.

10.3969/j.issn.1008-1305.2014.06.013

TP393

B

1008-1305（2014）06-0039-04

葉 茂（1979年- ），男，高級工程師。