1、2022-8-10信息系统安全保障信息系统安全保障信息系统安全保障信息系统安全保障主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43信息系统安全保障安全现状网站安全v 2009年全年中国大陆网站监测到被篡改数量 有有4.2 4.2 万个网站被黑客篡改万个网站被黑客篡改 其中:政府网站被篡改其中:政府网站被篡改2765 2765 个个v 2010年1-2月中国大陆网站监测到被篡改数量 41854185个网站被黑客篡改个网站被黑客篡改 其中:政府网站被篡改其中:政府网站被篡改764764个个v 6 6月份:大量高校网站被黑(包括北大、清华、浙大)月份:大量高校网站被黑
2、(包括北大、清华、浙大)(依据(依据“国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心”报报告)告)信息系统安全保障v 网络攻击的主要目标 根据电信运营商根据电信运营商2009年调查结果年调查结果(基于对基于对2亿亿8500万万次累计攻击行为数据进行分析次累计攻击行为数据进行分析):对数据库系统的攻:对数据库系统的攻击行为占比最高,在击行为占比最高,在75%左右。左右。安全现状主要攻击目标信息系统安全保障安全现状安全漏洞v 系统安全漏洞 网络设备、操作系统、数据库、应用软件甚至是安全网络设备、操作系统、数据库、应用软件甚至是安全产品的高危漏洞越来越多,产品的高危漏洞越来越多
3、,20092009年,年,CNCERTCNCERT整理和发整理和发布的高危漏洞公告布的高危漏洞公告133133个,比个,比20082008年增加年增加32%32%20102010年仅以年仅以6 6月份的第月份的第2 2个礼拜为例:个礼拜为例:周二微软发布周二微软发布10 个安全补丁,修复个安全补丁,修复34个安全漏洞,个安全漏洞,随后又发布一个随后又发布一个0-Day攻击安全漏洞。攻击安全漏洞。苹果为苹果为Safari浏览器推出了安全补丁,修复了浏览器推出了安全补丁,修复了 48个安全漏洞。个安全漏洞。星期五星期五Adobe发布的补丁涉及发布的补丁涉及32个安全漏洞个安全漏洞v 终端安全:20
4、09年我国计算机病毒感染率为70%,其中多次感染病毒的比率为43%信息系统安全保障安全现状本市安全现状v 测评中心2009年安全评估结果 93%的系统存在高风险安全漏洞;的系统存在高风险安全漏洞;43%的系统存在的系统存在10个以上高风险安全漏洞个以上高风险安全漏洞 85%的的系统在网络边界安全控制上不符合安系统在网络边界安全控制上不符合安全评估要求全评估要求 85%的网站存在的网站存在SQL注入漏洞,可直接修改、注入漏洞,可直接修改、删除后删除后台数据库数据台数据库数据 14%网站存在黑客植入网站存在黑客植入的后门的后门信息系统安全保障安全形势卫生系统v 医院医疗业务的开展对网络信息系统的依
5、赖 2009.122009.12,北京某医院,内网服务器受蠕虫攻击,所,北京某医院,内网服务器受蠕虫攻击,所有应用系统无法运行有应用系统无法运行v 医院信息系统在规模、复杂度上的快速提高 HISHIS、LISLIS、PACS/RISPACS/RIS、麻醉系统、麻醉系统、v 新的外部信息安全威胁及挑战v 各医院院领导及主管部门对信息安全建设工作对信息安全建设工作的重视的重视信息系统安全保障主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43信息系统安全保障面临的安全威胁信息系统安全保障信息系统安全保障体系信息系统安全保障信息系统安全保障体系v 物理机房是否提供系统正常
6、运行的场所,并保证硬件设备、通信链路、机房环境的物理安全v 网络是否合理划分了不同的网络区域,并根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置信息系统安全保障信息系统安全保障体系v 系统平台是否对应用系统所依赖的操作系统、数据库及应用平台进行了合理的安全配置,以保障系统平台的安全v 应用系统业务应用软件应根据安全需求开发各类安全功能,并有效启用安全功能,以达到保护应用信息的目的。信息系统安全保障信息系统安全保障体系v 运维是否建立了合理的恶意代码防范、数据备份、网络监控和系统冗余备份等安全运维机制,保障系统的运行安全v 管理制度管理层应针对本单位应用状况建立合理的安全管理制度并有
7、效执行,在统一的安全策略下对各类可能影响系统信息安全的行为进行有效管理。信息系统安全保障信息系统安全保障体系v 产品选择必须选用经国家主管部门许可、并经国家测评认证机构认可的安全产品。v 密码产品对非涉密信息进行加密保护或安全认证时所采用的技术或产品应符合商用密码管理条例的要求信息系统安全保障安全三原则(CIA)v Confidentiality 保密性 数据库数据泄漏、数据库数据泄漏、v Integrity 完整性 网站篡改、网站篡改、v Availability 可用性 局域网瘫痪、局域网瘫痪、信息系统安全保障主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43
8、信息系统安全保障安全技术要求之物理安全物理环境机房建设应满足:机房建设应满足:GB/T 2887GB/T 2887电子计电子计算机场地通用规范算机场地通用规范 GB/T 9361 GB/T 9361计算机计算机场地安全要求场地安全要求信息系统安全保障v 某信息中心机房消防安全隐患 机房堆放了包装纸箱、文件柜及杂物,易燃机房堆放了包装纸箱、文件柜及杂物,易燃 未配备机房专用灭火设备,使用水喷淋灭火未配备机房专用灭火设备,使用水喷淋灭火v 某单位机房设备及线路安全 机房拥挤,主机摆放随意:地板上、桌子上机房拥挤,主机摆放随意:地板上、桌子上 设备无标签,布线凌乱,弱电设备无标签,布线凌乱,弱电/强
9、电线路混合强电线路混合v 某单位机房防盗、防尘 机房临街,未安装防盗窗机房临街,未安装防盗窗 经常开窗,机房内存在较多灰尘经常开窗,机房内存在较多灰尘物理环境安全案例信息系统安全保障物理环境安全案例信息系统安全保障v 具体安全要求 机房的外部环境条件、照明、接地、供电、建筑结机房的外部环境条件、照明、接地、供电、建筑结构、介质存放、监视防护设备等应满足构、介质存放、监视防护设备等应满足GB/T 2887GB/T 2887电子计算机场地通用规范电子计算机场地通用规范4.34.94.34.9节的要求;节的要求;机房的选址、防火、供配电、消防设施、防水、防机房的选址、防火、供配电、消防设施、防水、防
10、静电、防雷击应满足静电、防雷击应满足GB/T 9361GB/T 9361计算机场地安全计算机场地安全要求要求4 48 8节的要求,在防火、防雷、防静电、安节的要求,在防火、防雷、防静电、安防监控等方面时,应经过相关专业机构的检测。防监控等方面时,应经过相关专业机构的检测。物理环境安全机房环境信息系统安全保障v 其它具体要求 提供合理的短期备用电力供应提供合理的短期备用电力供应 设备防盗、防毁措施;设备防盗、防毁措施;通讯线路连接、设备标签、布线合理性;通讯线路连接、设备标签、布线合理性;机房出入口配置门禁系统及监控报警系统;机房出入口配置门禁系统及监控报警系统;机房出入记录,记录内容包括人员姓
11、名、出入日期和时间,机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等操作内容,携带物品等。物理环境安全设备及监控信息系统安全保障安全技术要求之网络结构安全网络结构内部结构应根据应用需求在划分内网/外网、终端接入区/服务器区等区域,并在相关网络设备中配置安全策略进行隔离;外部边界应根据安全需求在系统与Internet、政务外网、业务专网等外部网络的互连处配置网关设备实施访问控制,并对通信及操作事件进行审计。信息系统安全保障v 典型案例 某单位外网防火墙:将多台内部服务器的某单位外网防火墙:将多台内部服务器的OracleOracle数数据库服务端口、内部核心业务应用系统据库
12、服务端口、内部核心业务应用系统WebWeb服务端服务端口直接开放至口直接开放至Internet(1Internet(1年前开发商调试遗留年前开发商调试遗留)某单位连接下属机构的专网防火墙:将业务服务器某单位连接下属机构的专网防火墙:将业务服务器的所有网络端口不加区分地全部向区县分局开放的所有网络端口不加区分地全部向区县分局开放 某单位基于某单位基于InternetInternet的的VPNVPN接入设备:对接入设备:对VPNVPN用户的用户的认证口令易猜测(单位名称缩写),可轻易接入该认证口令易猜测(单位名称缩写),可轻易接入该单位局域网。单位局域网。某单位内网:服务器区和终端接入区仅划分了不
13、同某单位内网:服务器区和终端接入区仅划分了不同VLANVLAN,无访问控制规则,无法防止病毒及蠕虫的传,无访问控制规则,无法防止病毒及蠕虫的传播及内部非授权人员的访问播及内部非授权人员的访问。网络结构安全案例信息系统安全保障v 具体安全要求 应对网络边界上部署的网络隔离设备中根据应用需应对网络边界上部署的网络隔离设备中根据应用需求设置合理的求设置合理的访问控制访问控制规则,合理开放对外服务规则,合理开放对外服务 应对系统内部服务器区域进行划分及隔离,在终端应对系统内部服务器区域进行划分及隔离,在终端计算机与服务器之间进行计算机与服务器之间进行访问控制访问控制,建立安全的访,建立安全的访问路径。
14、问路径。当有重要信息通过公共网络进行传输时,应在传输当有重要信息通过公共网络进行传输时,应在传输线路中配置线路中配置加密加密设备,以保证信息传输的保密性;设备,以保证信息传输的保密性;禁止内部网络用户未授权与外部网络连接;如提供禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置远程拨号或移动用户连接,应在系统入口处配置鉴鉴别与认证别与认证服务器。服务器。禁止非授权禁止非授权设备接入设备接入内部网络,尤其是服务器区域。内部网络,尤其是服务器区域。网络结构安全要求信息系统安全保障安全技术要求之网络设备安全网络设备根据系统安全策略和维护需求设置合理的设备自身安全配
15、置:版本更新与漏洞修补版本信息保护身份鉴别链接安全配置备份安全审计信息系统安全保障v 典型案例 某单位某单位InternetInternet防火墙:将防火墙所有管理界面防火墙:将防火墙所有管理界面(Web/Telnet/SSHWeb/Telnet/SSH)开放至)开放至InternetInternet,且未修改出,且未修改出厂默认管理员密码(天融信:厂默认管理员密码(天融信:superman/talnetsuperman/talnet)某单位某单位CiscoCisco核心交换机:使用多年的核心交换机:使用多年的CiscoCisco交换机,交换机,IOSIOS版本未升级,存在可遭受拒绝服务攻击的
16、漏洞版本未升级,存在可遭受拒绝服务攻击的漏洞 某单位所有某单位所有CiscoCisco交换机:未在设备配置中对管理交换机:未在设备配置中对管理员密码进行加密;且配置文件曾被多人拷贝,可通员密码进行加密;且配置文件曾被多人拷贝,可通过配置文件破解管理员密码。过配置文件破解管理员密码。网络设备安全案例信息系统安全保障v 具体安全要求(以路由器交换机为例)保持路由器保持路由器/交换机软件版本的更新,修补高风险交换机软件版本的更新,修补高风险的漏洞;的漏洞;(软件更新(软件更新)禁止与应用无关的网络服务,关闭与应用无关的网禁止与应用无关的网络服务,关闭与应用无关的网络接口;络接口;(最少服务最少服务)
17、对登录的用户进行身份标识和鉴别,身份标识唯一,对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;不反馈鉴别信息;修改路由器修改路由器/交换机默认用户的口令或禁止默认用交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;配置口令进行加密保护;(用户管理(用户管理,最小权限最小权限)当登录连接超时,应自动断开连接,并要求重新鉴当登录连接超时,应自动断开连接,并要求重新鉴别;别;网络设备安全要求信息系统安全保障v 具体安全要求 对能够登录路由器对能够登录路由器/交换机的网络地址进行限制,关交换机的网
18、络地址进行限制,关闭与应用无关的远程访问接口;闭与应用无关的远程访问接口;(访问控制访问控制)对登录提示信息进行设置,不显示路由器对登录提示信息进行设置,不显示路由器/交换机型交换机型号、引擎版本、部门信息等;号、引擎版本、部门信息等;对路由器对路由器/交换机配置进行备份,且对备份文件的读交换机配置进行备份,且对备份文件的读取实施访问控制;取实施访问控制;开启路由器开启路由器/交换机日志功能,对修改访问控制列表、交换机日志功能,对修改访问控制列表、调整设备配置的操作行为进行审计记录。调整设备配置的操作行为进行审计记录。(安全审计安全审计)网络设备安全要求信息系统安全保障安全技术要求之操作系统安
19、全操作系统版本更新与漏洞修补身份鉴别用户权限分配口令质量鉴别失败处理默认服务开放终端限制安全审计信息系统安全保障v 典型案例 某单位内网某单位内网WindowsWindows服务器:内网和服务器:内网和InternetInternet隔离,隔离,需手工升级,超过需手工升级,超过6 6个月未进行系统安全补丁升级,个月未进行系统安全补丁升级,20092009年年3 3月,因终端感染月,因终端感染Worm.Win32.MS08-067Worm.Win32.MS08-067蠕虫蠕虫病毒,造成服务器中毒,服务异常。病毒,造成服务器中毒,服务异常。某信息中心服务器:某信息中心服务器:不明人员通过猜测密码成
20、功登不明人员通过猜测密码成功登录服务器远程桌面后,多次恶意关闭录服务器远程桌面后,多次恶意关闭OA应用服务,应用服务,但因未开启全面的登陆审计,无法追踪其来源。但因未开启全面的登陆审计,无法追踪其来源。操作系统安全案例信息系统安全保障v 具体安全要求 定期更新操作系统版本,修补漏洞;定期更新操作系统版本,修补漏洞;关闭与应用无关的服务、启动脚本或网络功能;关闭与应用无关的服务、启动脚本或网络功能;对登录用户进行身份标识和鉴别;用户的身份标识对登录用户进行身份标识和鉴别;用户的身份标识唯一;唯一;身份鉴别如采用用户名身份鉴别如采用用户名/口令方式,应设置口令长度、口令方式,应设置口令长度、复杂性
21、和更新周期;复杂性和更新周期;修改默认用户的口令或禁止默认用户访问,禁止匿修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;名访问或限制访问的范围;具有登录失败处理功能,当登录失败次数达到限制具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户;值时,应结束会话、锁定用户;操作系统安全要求信息系统安全保障v 具体安全要求 实行特权用户的权限分离,按照最小授权原则,分实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;小权限,并在他们之间形成
22、相互制约的关系;对系统内的重要文件(如启动脚本文件、口令文件、对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访服务配置文件)、服务、环境变量、进程等实施访问控制;问控制;系统管理员实施远程登录时,应使用强鉴别机制,系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息;且操作系统应记录详细的登录信息;通过设定终端接入方式、网络地址范围等条件限制通过设定终端接入方式、网络地址范围等条件限制终端的登录;终端的登录;操作系统安全要求信息系统安全保障v 具体安全要求 对安全事件进行审计,审计事件至少包括:用户管对安全事件进行审计,审计事件至
23、少包括:用户管理、审计功能启停及审计策略调整、权限变更、系理、审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的系统操作、重要用户的统资源的异常使用、重要的系统操作、重要用户的各项操作进行审计;各项操作进行审计;审计记录应包括日期和时间、触发事件的主体与客审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改审计记录应受到保护避免受到未预期的删除、修改或覆盖;或覆盖;用户鉴别信息及与应用信息所在的存储空间,被释用户鉴别信息及与应用信息所在的存储空间,被释放
24、或再分配给其他用户之前应完全清除;放或再分配给其他用户之前应完全清除;限制单个用户对系统资源的最大使用额度。限制单个用户对系统资源的最大使用额度。操作系统安全要求信息系统安全保障安全技术要求之数据库安全数据库版本更新与漏洞修补口令质量用户权限分配存储过程及函数开放安全审计信息系统安全保障v 典型案例 某单位内网核心业务某单位内网核心业务OralceOralce数据库:管理员密码易数据库:管理员密码易猜测猜测(manager)(manager),内部非授权人员可轻易进入数据,内部非授权人员可轻易进入数据库查询本无权访问的业务信息、甚至删除数据。库查询本无权访问的业务信息、甚至删除数据。85%85
25、%的的OracleOracle数据库:都未设数据库:都未设OralceOralce监听服务的密监听服务的密码,导致局域网内任何人都可随意关闭数据库对外码,导致局域网内任何人都可随意关闭数据库对外服务服务。数据库安全案例信息系统安全保障v 具体安全要求 定期更新数据库版本,修补漏洞;定期更新数据库版本,修补漏洞;修改默认用户的口令或禁止默认用户访问修改默认用户的口令或禁止默认用户访问 设置合理的口令长度、复杂性和更新周期;设置合理的口令长度、复杂性和更新周期;取消不必要的权限开放,严格限制取消不必要的权限开放,严格限制Public角色权限;角色权限;禁用或删除数据库不需要的内置存储过程及函数;禁
26、用或删除数据库不需要的内置存储过程及函数;严格限制系统管理员及应用系统用户的权限分配,严格限制系统管理员及应用系统用户的权限分配,按照最小授权原则,分别授予不同用户各自为完成按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限;自身承担任务所需的最小权限;数据库安全要求信息系统安全保障v 具体安全要求 严格限制数据库链接的设置;严格限制数据库链接的设置;对数据库的安全事件进行审计,建议应审计:用户对数据库的安全事件进行审计,建议应审计:用户管理、审计功能启动关闭、审计策略调整、权限变管理、审计功能启动关闭、审计策略调整、权限变更、数据字典访问、管理员用户各项操作、对存储更、数
27、据字典访问、管理员用户各项操作、对存储重要信息的数据表的各项操作;重要信息的数据表的各项操作;限制单个用户对数据库资源的最大使用额度限制单个用户对数据库资源的最大使用额度数据库安全要求信息系统安全保障安全技术要求之应用平台安全应用平台版本更新与漏洞修补默认口令默认权限开放安全审计信息系统安全保障v 典型案例 20082008年陕西省地震局门户网站虚假信息发布:年陕西省地震局门户网站虚假信息发布:“今今晚陕西等地会有强烈地震发生晚陕西等地会有强烈地震发生”,网站后台管理员网站后台管理员弱口令被破解弱口令被破解。20092009年宁波某政府网站被植入后门:黑客利用年宁波某政府网站被植入后门:黑客利
28、用IIS6文件名解析漏洞植入后门,可以向文件名解析漏洞植入后门,可以向WEB目录写入任目录写入任意内容;意内容;20102010年年3 3月杭州某单位门户网站被植入后门月杭州某单位门户网站被植入后门:网站:网站Tomcat服务后台管理员默认密码服务后台管理员默认密码(tomcat)未修改未修改且对外开放,黑客上传后门程序,可随意对网站进且对外开放,黑客上传后门程序,可随意对网站进行文件下载、删除、修改。行文件下载、删除、修改。应用平台安全案例信息系统安全保障v 基本目标 Web服务、应用层服务、邮件服务等通用应用平台服务、应用层服务、邮件服务等通用应用平台应该根据系统总体安全策略进行选择和安全
29、配置,应该根据系统总体安全策略进行选择和安全配置,并及时升级补丁包。安全配置的内容包括:身份鉴并及时升级补丁包。安全配置的内容包括:身份鉴别、用户权限分配、口令质量等别、用户权限分配、口令质量等应用平台安全要求信息系统安全保障v 具体安全要求(以Web服务为例)定期更新定期更新Web服务软件的补丁,修补高风险漏洞;服务软件的补丁,修补高风险漏洞;配置配置Web服务的提示信息,不显示服务的提示信息,不显示Web服务软件和服务软件和操作系统的版本和类型;操作系统的版本和类型;合理设置合理设置Web服务的管理密码,并定期更改服务的管理密码,并定期更改 禁止将禁止将Web服务的管理界面开放至外网服务的
30、管理界面开放至外网 禁止非授权用户对禁止非授权用户对Web服务根目录的访问;服务根目录的访问;禁用或删除默认安装的应用示例;禁用或删除默认安装的应用示例;启用启用Web服务软件日志功能,记录合理的日志内容;服务软件日志功能,记录合理的日志内容;限制对日志的访问权限;限制对日志的访问权限;禁止匿名用户在服务器上远程运行可执行文件禁止匿名用户在服务器上远程运行可执行文件应用平台安全要求信息系统安全保障安全技术要求之应用软件安全应用软件应具备身份鉴别、用户管理、访问控制、运行审计等基本安全功能,并定期进行版本维护及更新。应根据业务需求在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。当采用
31、密码技术时,应在密钥的产生、分配、销毁、备份与恢复等环节具备安全机制。信息系统安全保障v 典型案例 iPadiPad用户信息泄漏:用户信息泄漏:20102010年年6 6月月1010日黑客团体日黑客团体Goatse Security Goatse Security 破解了破解了AT&TAT&T网站的安全漏洞,获网站的安全漏洞,获得了大约得了大约11.411.4万名万名iPadiPad用户的注册信息,包括用户的注册信息,包括E-E-mailmail地址、地址、SIMSIM卡串号卡串号 浙江省政府门户网站数据库数据被删除:网站页面浙江省政府门户网站数据库数据被删除:网站页面代码未对用户输入参数进行
32、合法性检查,存在代码未对用户输入参数进行合法性检查,存在SQLSQL注入漏洞,通过网页删除了后台注入漏洞,通过网页删除了后台OracleOracle数据库所有数据库所有表单;表单;20092009年本市某单位网站考试报名系统数据泄露:可年本市某单位网站考试报名系统数据泄露:可通过通过SQLSQL注入绕过密码验证,可直接下载报考人姓注入绕过密码验证,可直接下载报考人姓名名/照片照片/身份证号码身份证号码/电话电话/住址等隐私信息住址等隐私信息应用软件安全案例信息系统安全保障v 具体安全要求基本安全功能 具有具有身份鉴别身份鉴别机制,根据应用需求采取适当的鉴别机制,根据应用需求采取适当的鉴别机制来
33、鉴别访问用户的身份,用户身份唯一,并保机制来鉴别访问用户的身份,用户身份唯一,并保证鉴别机制不可旁路;证鉴别机制不可旁路;如果采用口令鉴别机制,应采用技术机制保证口令如果采用口令鉴别机制,应采用技术机制保证口令的质量强度;如果采用密码技术的鉴别机制,相关的质量强度;如果采用密码技术的鉴别机制,相关密码技术应符合国家密码管理部门的规定;密码技术应符合国家密码管理部门的规定;具备鉴别失败的处理机制。当不成功鉴别尝试次数具备鉴别失败的处理机制。当不成功鉴别尝试次数达到限定值时,系统应锁定用户,并予以记录和告达到限定值时,系统应锁定用户,并予以记录和告警;警;具备对不同角色用户权限的分配和管理功能:权
34、限具备对不同角色用户权限的分配和管理功能:权限分离原则、最小授权原则分离原则、最小授权原则应用软件安全要求信息系统安全保障v 具体安全要求基本安全功能 具备对用户执行的系统操作和重要业务操作的应用具备对用户执行的系统操作和重要业务操作的应用审计审计功能。审计记录应包括日期和时间、触发事件功能。审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖。的删除、修改或覆盖。发生错误时有出错提示,并可以通过手工或自动方发生错误时有
35、出错提示,并可以通过手工或自动方式从错误状态恢复到正常状态;式从错误状态恢复到正常状态;(可靠性保障可靠性保障)当专用应用软件退出后,在本地机和服务器的有关当专用应用软件退出后,在本地机和服务器的有关目录下不留下任何残余文件;目录下不留下任何残余文件;应用软件安全要求信息系统安全保障v 具体安全要求应用数据保护 信息生成环节:信息源标识和鉴别、远程录入加密、信息生成环节:信息源标识和鉴别、远程录入加密、输入数据合法性性检验(如:引发溢出、注入等漏输入数据合法性性检验(如:引发溢出、注入等漏洞)洞)等等 信息处理环节:限制单一用户多重并发会话(防止信息处理环节:限制单一用户多重并发会话(防止暴力
36、破解暴力破解)、制定并执行访问控制策略、安全功能不、制定并执行访问控制策略、安全功能不可旁路及容错性可旁路及容错性 信息传输环节:通过加密、签名,实现保密性、完信息传输环节:通过加密、签名,实现保密性、完整性及抗抵赖性整性及抗抵赖性(HTTPS、证书、证书)信息存储环节:保密性、完整性信息存储环节:保密性、完整性 保障数据库的安全性保障数据库的安全性 应用软件安全要求信息系统安全保障安全技术要求之运行维护安全运行维护 恶意代码防范 数据备份恢复 系统冗余 入侵检测与保护 网络管理 安全审计 信息系统安全保障v 典型案例 某单位所有服务器无防护运行某单位所有服务器无防护运行1010个月:网络防病
37、毒个月:网络防病毒系统许可过期,所有服务器防病毒软件近系统许可过期,所有服务器防病毒软件近1010个月未个月未升级病毒库。升级病毒库。某单位网管系统:部署的网络管理系统未设置合理某单位网管系统:部署的网络管理系统未设置合理的监控指标阈值,部分指标设置过低导致常年报警,的监控指标阈值,部分指标设置过低导致常年报警,系统管理员未进行有效监管,网管系统形同虚设。系统管理员未进行有效监管,网管系统形同虚设。某信息中心备份系统罢工某信息中心备份系统罢工4 4个月无人知晓:磁带库个月无人知晓:磁带库设备故障,系统管理员未进行周期性备份有效性检设备故障,系统管理员未进行周期性备份有效性检查。查。系统运维安全
38、案例信息系统安全保障v 安全技术要求恶意代码防范 安装防病毒产品,对存储介质访问、系统访问、网安装防病毒产品,对存储介质访问、系统访问、网络访问等进行实时监控,在病毒入侵时及时报警,络访问等进行实时监控,在病毒入侵时及时报警,并进行清除、删除或隔离;并进行清除、删除或隔离;定期更新病毒特征库,及时对防病毒产品进行版本定期更新病毒特征库,及时对防病毒产品进行版本升级;升级;定期进行文件系统全面病毒查杀;定期进行文件系统全面病毒查杀;对病毒相关审计记录进行详细统计与分析,及时调对病毒相关审计记录进行详细统计与分析,及时调整病毒防范策略;整病毒防范策略;系统运维安全要求信息系统安全保障v 安全技术要
39、求数据备份恢复 系统应对系统软件代码、系统软硬件平台配置数据、系统应对系统软件代码、系统软硬件平台配置数据、数据库数据、系统用户关键信息、日志信息等,依数据库数据、系统用户关键信息、日志信息等,依照各自备份策略要求进行备份照各自备份策略要求进行备份;系统管理员应对设置的数据自动备份任务进行定期系统管理员应对设置的数据自动备份任务进行定期监控,确认备份任务得到了有效的执行;监控,确认备份任务得到了有效的执行;系统管理员应对备份进行数据恢复的有效性验证,系统管理员应对备份进行数据恢复的有效性验证,以确保备份数据的正确性;以确保备份数据的正确性;对以加密方式保存重要数据备份的,应同时保存数对以加密方
40、式保存重要数据备份的,应同时保存数据恢复密钥的备份。据恢复密钥的备份。系统运维安全要求信息系统安全保障v 安全技术要求入侵检测与防护 入侵监控产品的安全规则应符合系统安全策略的要入侵监控产品的安全规则应符合系统安全策略的要求,能检测到违反规则的行为,入侵监控功能不被求,能检测到违反规则的行为,入侵监控功能不被旁路;旁路;定期更新入侵监控产品的特征数据库,定期分析入定期更新入侵监控产品的特征数据库,定期分析入侵监控记录,并根据系统已经存在或潜在的安全漏侵监控记录,并根据系统已经存在或潜在的安全漏洞及时调整监控策略;洞及时调整监控策略;当检测到入侵行为后应通过电子邮件、声音、短信当检测到入侵行为后
41、应通过电子邮件、声音、短信等方式,及时报告管理员;等方式,及时报告管理员;只允许授权人员管理入侵监控规则,如定义攻击特只允许授权人员管理入侵监控规则,如定义攻击特征库、设置入侵响应方式等。征库、设置入侵响应方式等。系统运维安全要求信息系统安全保障v 安全技术要求网络管理及安全审计 系统中部署的系统中部署的网络管理网络管理及及安全审计安全审计系统应实现对重要网络设系统应实现对重要网络设备、安全设备、服务器及数据库系统的故障、负载及性能等备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息及各类安全事件进行监控分析;运行状态信息及各类安全事件进行监控分析;应设置合理的监控指标阈值、合理
42、的审计规则和告警响应策应设置合理的监控指标阈值、合理的审计规则和告警响应策略,并根据实际需求提供各类综合分析报告。略,并根据实际需求提供各类综合分析报告。v 安全技术要求系统冗余 在实时性及可用性要求较高的系统中,应对关键的网络链路、在实时性及可用性要求较高的系统中,应对关键的网络链路、网络设备、主机及数据库平台网络设备、主机及数据库平台进行进行冗余冗余备份,并进行合理的备份,并进行合理的配置,当系统的某一节点发生故障时能在有效时间内进行切配置,当系统的某一节点发生故障时能在有效时间内进行切换分配,保证网络及系统相关服务正常运行。换分配,保证网络及系统相关服务正常运行。系统运维安全要求信息系统
43、安全保障主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43信息系统安全保障安全管理要求管理制度 应参照GB/T 22081-2008信息安全管理实用规则要求,建立信息系统的安全管理制度;应建立合理有效的监督机制,确保各项制度的有效执行 定期评价制度合理性、有效性,并进行改进。信息系统安全保障v 20092009年深圳福利彩票年深圳福利彩票3305万元巨奖诈骗案万元巨奖诈骗案 软件开发商员工,编写木马、进入机房,植软件开发商员工,编写木马、进入机房,植入木马,修改中奖数据。深圳福彩入木马,修改中奖数据。深圳福彩承认管理承认管理疏漏,对技术合作公司人员监督不力,导致疏
44、漏,对技术合作公司人员监督不力,导致不法分子乘虚而入不法分子乘虚而入v 奥巴马护照及出入境信息被非法查看奥巴马护照及出入境信息被非法查看 20092009年总统竞选期间,小布什政府的国务院年总统竞选期间,小布什政府的国务院2 2名临时雇员名临时雇员在在“完全没有必要的情况下完全没有必要的情况下”检检查奥巴马的护照记录,这几人属于一家承包查奥巴马的护照记录,这几人属于一家承包公司,负责维护美国国务院数据管理系统。公司,负责维护美国国务院数据管理系统。安全管理体系案例信息系统安全保障安全管理体系内容11个安全控制域、个安全控制域、39个控制目标个控制目标 安全方针安全方针 信息安全组织信息安全组织
45、 资产管理资产管理 人力资源管理人力资源管理 物理环境安全管理物理环境安全管理 通信和操作管理通信和操作管理 访问控制访问控制 系统获取、开发和维护系统获取、开发和维护 信息安全事件管理信息安全事件管理 业务连续性管理业务连续性管理 符合性符合性信息系统安全保障安全管理体系文档体系结构策略policy 标准standard基线baseline程序procedure指南guideline战略层次战术层次战役层次目标要求实现方法具体步骤最低标准强制性建议性信息系统安全保障安全管理体系内容v 信息安全管理体系主要内容:信息安全管理体系主要内容:序号序号评估项目评估项目评估内容评估内容涉及部门涉及部门
46、/岗位岗位1安全策略安全策略整体信息安全策略、安全策略的评审单位高层、行政、质管2组织的安全组织的安全信息安全基础设施、第三方访问的安全、外包合同中的安全要求IT、行政3资产分类与控制资产分类与控制资产的保管责任、信息分类行政、财务4人员安全人员安全工作设定及人力资源安全、信息安全教育和培训、对安全事故和故障的响应人力资源5物理及环境安全物理及环境安全安全区域保障、设备的安全行政、IT6通信和操作管理通信和操作管理操作规程和职责、媒体处置和安全、系统规划及验收、对具恶意的软件的防范、信息和软件的交换、日常事务处理(备份、日志、故障处理)IT、各业务部门信息系统安全保障安全管理体系内容序号序号
47、评估项目评估项目 评估内容评估内容 涉及部门涉及部门/岗位岗位 7 访问控制访问控制 组织营运对访问控制要求、使用者访问管理、使用的责任、网络访问控制、操作系统访问控制、应用程序访问控制、系统访问及使用的监控、可移动式计算机运算及计算机通讯远距工作 IT、各业务部门 8 系统开发与维护系统开发与维护 系统的安全要求、应用系统中的安全、密码学的控制方法、系统档案的安全、开发及支持流程中的安全 IT 9安全事件管理安全事件管理应建立管理职责和规程,以确保雇员、承包方和第三方人员及时报告信息安全事件,快速、有效和有序地响应信息安全事件。各部门10 业务连续性管理业务连续性管理 业务连续性管理过程、业
48、务连续性和影响分析、制定和实施连续性计划 业务部门、行政、IT 11 符合性符合性 法规要求的符合性、安全政策符合性及技术符合性的审查、系统审核的考虑 行政(法律)信息系统安全保障安全管理体系实现途径根据风险评估结果、法律法规的要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施依据策略、程序、标准和法律法规,对安全措施的实施状况进行符合性检查针对检查结果采取应对措施,改进安全状况信息系统安全保障v 典型问题 组织体系:无专职信息安全部门和岗位,安全技术人员较匮乏组织体系:无专职信息安全部门和岗位,安全技术人员较匮乏 管理机制:缺乏各安全相关岗位的职责、缺少有效的操作流程
49、管理机制:缺乏各安全相关岗位的职责、缺少有效的操作流程 安全运维:外部单位的运维缺乏有效管理及限制安全运维:外部单位的运维缺乏有效管理及限制 应急预案:未制定可操作的应急预案,未进行有效的应急演练应急预案:未制定可操作的应急预案,未进行有效的应急演练 教育培训:主要为保密培训,很少进行安全技术人员的技能培教育培训:主要为保密培训,很少进行安全技术人员的技能培训及全面的信息安全意识教育训及全面的信息安全意识教育安全管理体系典型问题信息系统安全保障安全管理体系风险与成本的平衡高高低安全事件的损失安全控制的成本最小化的总成本所提供的安全水平信息系统安全保障v GB/T 9361-1988GB/T 9361-1988计算站场地安全要求计算站场地安全要求v GB/T 18336-2008GB/T 18336-2008信息技术安全性评估准则信息技术安全性评估准则v GB/T 22081-2008GB/T 22081-2008信息安全管理实用规则信息安全管理实用规则 v GB/T 22239-2008GB/T 22239-2008信息系统安全等级保护基本要求信息系统安全等级保护基本要求v GB/T 20984-2007GB/T 20984-2007信息安全风险评估规范信息安全风险评估规范相关标准2022-8-10信息系统安全保障
