学文网《上海信息化杂志》2014年第十二期
一、体系管理流程
安全基线体系管理流程遵循PDCA管理方法,通过规划(Plan)、知识库建立(Do)、检查维护(Check)、改进更新(Action)四个过程保障安全基线体系的合规性及有效性,满足业务安全调整的需要。规划。为建立切实有效的安全基线体系,需要细致地规划组织,制定合理的计划方案,开展信息系统基本情况调研工作。计划方案需明确建立安全基线体系的目标,信息系统基本情况、实施步骤、参与人员、工作分解等内容。信息系统基本情况调研将是整个规划阶段的重点工作,需要明确本单位信息系统的业务安全目标、信息安全防护策略、所有网络设备及安全设备型号,以及所有操作系统、数据库系统、中间件及应用软件的类型及版本。同时需要开展风险评估工作,从而全面识别信息系统的安全威胁及薄弱点。风险评估结果将作为安全基线体系建设的重要依据。
知识库建立。根据信息系统基本信息及风险评估结果,分别制定不同信息产品的安全策略配置标准,并作为信息系统安全建设参考依据、信息系统安全加固依据及各项信息安全检查依据。为保障整体安全防护水平,业务系统内所有产品安全策略配置标准应尽可能满足本单位内最高信息保护等级的标准要求,安全策略配置标准需要在与生产环境相一致的测试环境中进行测试验证,还需对相关设备、操作系统、数据库系统及中间件进行加固配置。经过加固的系统状态将作为信息系统的安全基准状态为今后的改进及防御提供依据。安全策略配置标准及信息系统安全基准状态就共同构成了安全基线知识库。检查维护。随着业务不断调整变化,需要定期对已建立的安全基线体系实施检查评估,从而适应新的安全形势。安全基线体系检查评估需要关注新产品或新技术引入导致的安全基线知识库缺失、业务调整导致的安全基线策略调整、旧系统业务下线引起的安全基线知识库变更、新安全威胁引起的安全基线策略调整等。通过评估响应的变化,整理出需要补充、变更或完善的安全基线知识库内容,为下一阶段的完善提供直接依据及目标。改进更新。根据检查维护阶段形成的评估结果,总结评估原有知识库的运营使用情况,更新维护短时间内可以重新生成或修订的安全基线知识库,整理下一轮工作需要投入更多资源进行更新建立的安全基线知识库条款或课题,并在新一轮工作周期内逐步开展相关工作。
通过以上安全基线体系管理流程,可以确保现有安全基线知识库能够满足信息系统业务安全的需要,提升信息系统安全防护能力,提高信息安全管理能力及水平,满足相关合规性要求。
二、安全基线知识库
安全基线知识库是安全基线体系框架的核心,是安全策略配置标准、系统状态、安全漏洞清单的集合,全面体现了信息系统现有的安全状态及安全防护能力。安全策略配置标准是根据信息系统基本信息及风险评估结果,分别形成各个信息安全产品的安全配置及检查手册,能够直接用于安全加固、安全检查及新系统上线的安全验收依据。系统状态是指系统运行状态、网络端口状态、账户权限、进程、端口、补丁等。这些指标反映了系统当前的安全状况,有助于识别业务系统运行的动态情况。安全漏洞清单是通过漏洞扫描工具定期对操作系统、数据库系统、网络设备、安全设备进行漏洞扫描形成的相关设备安全漏洞列表,以对现有安全漏洞进行有效加固、补丁升级及管理。
三、上海市民***局应用案例
经过多年信息化建设,上海市民***局已建成大量相对成熟的业务信息系统。近年来,上海市民***局全面开展信息安全等级保护工作,提升了信息安全防护能力及信息安全管理水平。但同时也存在一定的不足,如同一类型设备在等保测评中符合率不一致;新建系统未按照安全标准建设导致信息化项目验收初次验收符合率较低;设备配置管理不统一、同一类型产品的安全配置存在差异性等情况。为解决上述问题,上海市民***局组织厂商、第三方测评机构共同开展民***信息系统安全基线体系建设工作。规划调研。为有效管理安全基线体系建设工作,制定了详细的项目实施方案,明确了项目目标、参与人员及职责、项目实施节点及工作计划安排。利用《信息系统基本情况调查表》等方式全面摸清了现有业务系统的基本情况,从而全面了解现有系统安全状态,掌握了主要安全威胁及薄弱点。安全基线体系建设。根据风险评估、历次等级保护测评及系统调研情况,结合相关组织的最佳安全实践,上海市民***局组织工程师、厂商、第三方测评机构制订了操作系统、数据库系统、中间件、网络设备、安全设备、终端、应用系统等共17份安全策略配置文档。根据安全策略配置文档对各个业务系统分别实施了安全加固,针对标准文档中与业务系统冲突的条款进行了修订或删除。
完成加固工作后,开展对所有操作系统、数据库系统、网络设备、安全设备、应用系统的安全检查、漏洞扫描及渗透测试,形成了各个服务器、网络设备、安全设备、应用系统的系统状态基线及安全漏洞基线,最终形成了民***系统安全基线知识库。安全基线体系应用。日常巡检工作中,工程师主要侧重于巡检结果与系统状态的比较。安全检查工作中,工程师利用安全基线体系开展对信息系统的安全检查、重要领域信息检查工作。在新系统建设立项阶段,明确系统信息安全保护等级,将安全基线知识库相应部分标准作为建设标准交予建设方。在项目验收阶段,工程师利用安全基线知识库相关标准作为技术验收标准对系统进行安全测试验收。同时,借助安全基线知识库,在虚拟化平台上建立了多套操作系统模版,加快了新系统上线部署调试的过程。改进更新。上海市民***局每年均对安全基线体系的运行情况进行检查,对不当或与现有业务不相适应的条款进行更新,为新引入的产品或系统建立新的安全基线。
通过安全基线体系的建设与应用,上海市民***局有效提升了信息系统安全管理能力,提升了等级保护测评符合率,被上海市重要信息系统安全等级保护工作协调小组办公室评为等保工作合格单位。基于信息安全等级保护的信息安全基线体系建设方法,能实现对信息系统安全配置及状态的管理,提升不同单位信息安全管理能力及水平,增强信息系统防护能力。随着物联网、云计算、移动智能网等新技术应用,安全基线体系也面临着新挑战,需要加大研究投入,逐步建立相关技术的安全基线标准,以推动整体信息安全能力的提升。
作者:***亮朱曦萍
转载请注明出处学文网 » 信息安全保护的安全基线研究