前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全审计服务规范主题范文,仅供参考,欢迎阅读并收藏。
根据相关统计机构提供的数据,目前有60%以上的网络人侵和破坏是来自网络内部的,因为网络内部的人员对于自己的网络更加熟悉,而且有一定的授权,掌握一定的密码,又位于防火墙的后端,进行入侵或破坏更加得心应手。一个内部人员不必掌握很多黑客技术就能够对系统造成重大的损失。因此信息安全审计的功能越发受到重视。
对于一个信息系统而言,信息安全审计究竟要实现怎样的功能,要实现到怎样的程度,目前大多数的单位并未真正理解,不少单位对于信息安全审计的认识还停留在日志记录的层次。一些信息安全测评认证标准可以为我们提供一定的借鉴。
1998年,国际标准化组织(ISO)和国际电工委员会(IEC)发表了《信息技术安全性评估通用准则2.0版》(IS0/IEC15408),简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。在CC准则中,对网络安全审计定义了一套完整的功能,如:安全审计自动响应、安全审计事件生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
TCSEC(TrustedComputerSystemEvaluationCriteria)准则俗称橙皮书,是美国国防部的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。它定义了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全审计”的基本要求,包括:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择记录与安全有关的信息,以便将审计的开销降到最小,并可以进行有效的分析。
计算机信息系统安全保护等级划分准则中,定义了五个级别:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。从第二个级别开始就需要基本的审计功能,越高的级别对于审计的要求也越高。第二级别的审计要求就包括:计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
具体来说,计算机信息系统可信计算基应能记录下述事件:使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引人用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。
从上面可以看出,很多的国际规范以及国内的安全规定中都将安全审计放在重要的位置,而安全审计并不像许多用户所理解的只是“日志记录”的功能。目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志记录功能,但是实际上这些日志并不能保障系统的安全,也无法满足事件的侦察和取证应用。各类测评认证标准为我们实现完整的信息安全审计提供了指导,但是如何建设审计系统则需要在这些原则的指导下,具体问题具体分析,根据系统状况、自身安全需求以及当前技术的支持程度来定制审计系统。
2重要领域信息系统面临的安全挑战
随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若罔闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
3重要领域信息系统中的信息安全审计需求
在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源。
最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录“,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,对各种未授权或非法的活动实时报警、阻断等。
安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。
在重要领域信息系统中,信息安全审计的重点如下:
(1)网络通信系统
重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对了61賊、1111?、£-11^1、1^?、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。
⑵重要服务器
重要领域信息系统中,重要服务器是信息的集中点,需要对其进行增强的审计,以保护信息资源,对以下事件的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。
(3)应用平台
仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、Lotus、Exchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。
(4)重要应用系统
由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。
⑶重要网络区域的客户机
在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;通过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。
重要领域信息系统中的安全审计系统建设的要点
在重要领域信息系统中,一个较为全面的审计系统需要关注以下几点:
(1)数据的来源
审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的人侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志(通常通过文件、syslog、SNMP、OPSE等机制获取日志);通过嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。
在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。
另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。
(2)审计系统的分析机制
审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上在需要多层次审计的环境中是不能发挥作用的。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。
⑶与原有系统的关系
通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌入型,基本上不改变原有系统;紧密嵌人型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。
如何在实现审计的同时确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。
(4)如何保证审计功能不被绕过
有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。
(5)对审计数据的有效利用
如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事件建立相应的处理流程,并加强对事件处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。
关键词:山区道路;安全审计;内容;步骤
道路安全审计(Road Safely Audits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
1 道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
2 山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
3 审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
4 现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减 少相应的成本费用。
5 我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
6 结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
随着信息技术的飞速发展,数据库的应用愈加广泛,深入到各个领域,但随之面来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
近年来,数据库被攻击和数据窃取事件层出不穷,导致严重的经济问题和社会问题。国内也出现企业级数据库服务器多次被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用独立的数据库审计产品己经成为业界的趋势。
目前,南车戚墅堰机车有限公司的数据库管理主要面临以下挑战: 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第二方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:数据库是一个庞大复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的CPU都疲于奔命,面出于稳定性考虑,往往对补丁的跟进非常延后,目前的现实状况是很难通过外部的任何网络层安全设备来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的核心问题之一。基于数据库安全和审计的重要性以及企业精细化管理的要求,公司计划使用第二方权威的数据库审计产品,对重要数据库服务器进行统一的审计和管理,满足企业信息化建设的需求。
1数据库审计系统应用目标
依据国资委相关根据及南车集团总部信息安全管理规范化的要求,结合南车戚墅堰机车有限公司实际的情况,在保证网络及业务的访问的安全性、连续性、稳定性的前提下,实现对指定数据库审计并记录所有的关键信息,保证数据库有效安全地访问。数据库审计设备用于公司重要数据库的安全审计,对重要数据的增删改查操作的全方位审计记录,同时也提供恶意攻击数据库的防护和监控手段,满足上市公司企业内控的要求。
2数据库审计系统部署
公司通过前期的详细调研和评估,选择了Imperva的数据库审计系统,保护公司核心系统运行的SQL或Oracle等数据库,对数据库操作进行统一监控和防护,及时发现异常行为。
数据库审计系统通过独立的网络硬件设备,不消耗数据库服务器处理,内存或硬盘资源。单一的Secure Sphere网关足够满足多个数据库服务器的要求。系统提供丰富的借口和强大的处理能力,同时可以提供所有业务功能。
数据库安全监控网关,采用侦听模式的部署方式,简洁力-便,只需要通过交换机的端口镜像,将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可,网关完全处于业务通道外,对现有系统影响最小。这种部署方式提供了完善的针对数据库的审计功能,实现了对非法的访问或违反策略的访问进行实时的告警。
3数据库审计系统的应用优势
数据库审计系统使用实时的Kernel方式来处理和分析SQL协议,尽可能减少硬盘的读写,采用将审计信息写入CSV文件的方式提高记录审计信息的速度,所有的流量都会经过检测,面不用写入到文件中。只有相应的安全时间和必要的审计信息才写到硬盘上,这样就极大地提高了处理效率。
数据库审计系统提供的适合数据库访问的高性能和特性网关,通过捕获、分析、审计实时的网络流量,并且可以审计来回的双向流量,发现高级权限操作和非法行为,提供实时告警和}实时阻拦,不影响数据库服务器本身性能,不对现有业务造成任何影响。
数据库审计系统可制定灵活的审计策略,可以给任意的数据库设定任意的审计策略。系统提供了很多任意颗粒度的细化面灵活的审计规则,包括JO数据库审计系统的安全策略和审计策略完全分开,可以使得设备灵活的对流量进行安全检测,同时进行灵活的审计记录。出于安全考虑,可以检测所有的流量不管是不是被审计的,同时可以让用户选择需要记录下来哪些数据库的访问作为审计信息,这两个过程完全是独立和并行进行的,这样就在保证了系统对数据库进行全面的安全审查的同时,减少了需要审计和存储的数据库访问信息。 数据库审计系统提供了各种灵活的对常用软件和应用,如SAP, Oracle EBS or PeopleSoft特制的报告模板,面细粒度的灵活的报告设计结构,可以随意设置怎样生成报告和展现数据,并利用各种图形和列表方式展现数据。
4实际应用效果
戚墅堰公司的数据库审计系统目前建立了OA. ERP. PDM.e-HR四个数据库站点,应用了相应策略,建立了审计机制,并通过实时监测,定期出具审计报告。系统的投入应用,在公司内建立了一套数据应用系统的预警、危机防范和事故监控加固机制,使管理和访问人员能对数据库及相关服务器的各类操作进行完整记录和管理并在事故发生后依据相关信息对事故的起源进行可靠、准确的和快速的分析和判断,为数据库及相关系统的正常运行提供加固保障,实现了重要数据库操作都能有据可查、责任到人。
5下阶段的研究目标和方向
(1)扩大数据库审计应用的范围
在现有的几个列入数据库审计系统的重要数据库之外,逐步将公司其它各类应用系统数据库纳入到审计范围内,使得数据库审计范围达到基本全覆盖,得到充分地应用。
(2)加强监控和审计策略的制定
建立数据敏感表,加强对敏感数据访问的审计力度,加强数据库访问的安全策略的设定,丰富各类安全事件的报警机制,形成更加详尽全面的数据库审计报告。
关键词:信息系统;审计;安全;计算机技术
中图分类号:F239 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
Information system Audit Content Study Research
Wang Huilin,Wang Zenghui,Guan Ning
(School of Information Science,Jilin Agricultural University,Changchun 130118,China)
Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,
the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.
Keywords:Information system;Audit;Security;Computer technology
一、我国信息系统审计发展现状
2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。特别近两年以来时有地方政府网站被恶意篡改,2008年荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。
以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。
二、信息系统审计概念与目标
到底信息系统审计应如何定义呢?美国信息系统审计学科的领跑者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
根据信息系统审计的概念,我们可以总结出审计机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。
三、审计机关开展信息系统审计的内容
(一)信息系统资产安全性审计
那么信息系统审计需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1.对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。2.网络安全审计。目前的网络安全审计的解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
(二)信息系统数据完整性审计
根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:1.应用控制审计。应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响。2.输入输出控制审计:输入控制审计要点:CONTROL TOTALS、多点录入、终端访问控制、Session窗口控制。输出控制审计要点:访问控制、缓冲区安全、派发路径安全。3.数据审计。通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性。
(三)信息系统合规性审计
合规性审查主要包含技术合规性。技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族)。
系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性。
四、总结
本文通过对国内信息系统审计发展现状及相关理论政策研究,推理出审计机关信息系统审计的概念及目标,根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容。
参考文献:
[1]Ron Weber主编.Information Systems Control and Audit.2001
[2]王智玉.信息系统审计是做什么的.
关键词:服务器运维;安全审计;日志查询
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)16-3734-03
Abstract: With the improvement of social information, a variety of servers, switches, routers and other hardware devices are more and more, we need to build the centralized maintenance for management and audit the system permissions, We need to standardize the operating behavior of the servers, and upgrade information system operation and maintenance operation of regulatory capacity, improve the network and information security management.
Key words: server maintenance;security audit ; log query
信息化是当今经济社会发展的大趋势,信息化水平的高低,已经成为衡量一个高等学校竞争力的重要因素。随着计算机技术、网络技术和通信技术的发展和应用,高校信息化已成为高校实现可持续化发展和提高市场竞争力的重要保障。
1 服务器安全审计系统的研究意义
在高校信息化建设的过程中,逐步的配置了大量的服务器、网络设备,而针对这些设备运用、维护、管理和数据保护等等这些问题,都是非常重要的。运用目前广泛使用的远程登录方式,不需要直接跑到机房,通过 PC 机就可以进行应用系统、数据库、网络设备、服务器的配置、修改、上线等,过程简单便利,但也带来了很多安全隐患问题。
1)密码管理:所有管理人员通过口口相传的方式得知设备帐号和密码,非常容易让人非法获得设备帐号和密码,从而对网络设备进行非法访问和攻击,导致敏感数据被窃取或破坏。
2)对设备的操作:管理人员对网络设备的操作过程使用手写笔记记录,无法知道运维人员的笔记可信性和完整性,从而无法知道运维人员对网络设备的运维操作情况,出现故障也无法跟踪责任人。
3)管理人员权限:缺乏网络设备授权平台,容易导致管理人员越权访问,非法操作等,增大了信息泄密风险。对用户的操作行为难以评估。
4)安全审计:网络设备缺乏审计系统,会造成设备被非法操作、误操作无法阻断,对于安全事件,因为缺乏审计记录,事后也无法检查、监督。
所以,对校园网络运维具有以下迫切需求:
・有效保护校园网内部服务器重要保密数据不被窃取和修改;
・解决共享帐号密码的问题,使操作者与操作行为一一对应;
・简化密码管理,提高密码管理的安全性;
・集中管理各种操作行为,提高操作管理效率;
・有效监管管理员或者设备厂商/代维厂商对设备的操作;
・有效审计操作行为(实时监控、真实记录、查询回放、非法操作阻断);
针对这些运维安全问题应运而生的运维安全审计系统,它是一款通过对密码集中管理,对每一个操作人员建立账号,设定操作人员访问设备权限,记录每一位运维人员对设备的操作,并提供实时监控和回放进行审计,集认证、授权、审计为一体的信息安全系统。
2 服务器审计系统的设计和实现
2.1服务器的管理模式
目前各大高校由于工作需要购买了各种类型、数量繁多的服务器,为了安全性的考虑多数采用集中式管理,通常集中放在校园网络中心机房,这样可以带来如下好处:
1) 集中管理可保证无尘环境,统一的温度湿度控制,减少服务器故障率;
2) 集中管理可以实时查看服务器的运行状况,及时发现故障;
3) 中心机房的不间断电力系统,可以保证系统稳定工作;
4) 发挥中心机房网络速度优势,服务器上的应用能够快速访问;
2.2服务器审计系统设计
在服务器集中管理的状况下,各个服务器的使用人员或者管理员,不需要来到中心机房,直接通过远程来访问相应的服务器,由于中心机房管理着少则几十台多则几百台服务器,有时很难判断某台服务器出故障时的原因,因此采取统一密码管理制度,使用者并不知道服务器的登录密码,他只需要通过浏览器登录到WEB页面,输入相应的用户和密码就可以实现对自己要维护的服务器进行操作管理。审计系统能够对用户的行为进行跟踪记录。
网站的设计是基于B/S架构,采用J2EE+MYSQL编程。
系统的结构,如下图所示:
管理员登录:可以设置各种角色,可以添加删除用户,对用户进行授权或者分配服务器管理权限,添加设备、设置访问协议,可以为设备批量添加管理人员。
一般用户登录:登录后只能看到自己管理的服务器列表和已登录的服务器日志,点击直接进入服务器操作界面,服务器用户名和密码对一般用户来说不可见,有管理员统一管理。一般用户的操作将被服务器全程记录,写入日志,生成日志报表。
服务器审计:一般用户和管理员都可以进行服务器审计,管理员可以看到所有的服务器和所有用户的使用情况,可以访问日志报表,查看服务器访问记录。服务器访问记录以视频的形式录像,管理员可以回放,然后进行异常处理。对敏感数据的操作一旦出错,可以查找原因,对相关责任人追责。
2.3多远程管理协议
本系统提供了 RDP、Telnet、SSH、VNC、HTTP、FTP 等协议的支持。对于Windows 系列服务器提供RDP和FTP 协议的支持;对于 Unix 或 Linux系列服务器,提供Telnet、SSH 和 VNC 协议的支持;路由器、交换机等支持其使用 Telnet、SSH 作为访问方式。
2.3.1 RDP协议
远程桌面协议(remote desktop protocol, RDP)是一种构建于Windows系列操作系统的终端服务网络通信协议。它采用了典型的C/S架构,共分为两个部分:运行在远程设备上的客户端和运行在服务器上的终端服务器。作为微软公司的一个工业标准,该协议应用于Windows系列服务器。
2.3.2 Telnet协议/ SSH协议
Telnet 协议是 TCP/IP 协议族中的一员,是Internet远程登陆服务的标准协议和主要方式,它为用户提供了在本地计算机上完成远程主机工作的能力。SSH为 Secure Shell 的缩写,由IETF 的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
所以,本系统除了支持Telnet协议外,也支持较为安全的SSH协议,使其能非常好的对 Unix或Linux系统的服务器、路由器、交换机等网络设备提供访问和审计。
2.3.3 VNC协议
VNC 是一款优秀的远程控制工具,VNC是在基于UNIX和Linux操作系统的软件,远程控制能力强大,高效实用,其性能可以和Windows中的任何远程控制软件媲美。为了方便对UNIX、Linux系统的图形化XWINDOWS的访问本系统 提供了VNC对UNIX、Linux系统服务器的访问的支持。
2.4服务器运维安全审计
对运维人员对设备的操作过程进行全过程监控,操作人员在操作设备的过程中,任何操作都会被记录,并提供实时监控功能,及时进行操作指导或纠正操作错误。在事后进行查询,通过审计回放,让操作过程都有迹可查。使运维人员的运维工作更轻松、机密数据更安全、安全事故责任更明确。
2.4.1审计数据的采集
把目标设备的启动和关闭、目标设备操作系统的操作、目标设备的文件使用、一切键盘输入操作等等操作过程都记录下来,并生成完整的审计数据。审计记录会被存在到数据库中,方便用户查阅、检索,让所有操作过程都有迹可查。
2.4.2审计数据的回放
提供完善的审计回放功能,让系统管理员轻松完成运维监督、安全事故预防等工作。审计回放包括:图形回放、命令回放、键盘输入显示。
2.4.3日志查阅
为系统管理员提供的可查询日志包括:登录日志、操作日志、审计回放日志等等。提供灵活的日志查询设置,使系统管理员可以根据日志日期范围、运维人员姓名、设备名称、设备IP等条件查询日志。
2.4.4审计日志报表
提供各种报表,包括系统使用情况、设备使用情况等生成报表,统计设备被访问次数和访问的时间,大大简化了日志分析工作。系统还支持报表导出功能,导出报表的格式为Excel。
3 小结
有了服务器审计系统,就不会出现服务器长期没有人管理的问题,不仅可以看到用户什么时候登录,做了些什么操作,还可以定期督促用户做好数据备份、服务器整理、安全防护等工作。在服务器数据出问题时,可以采用视频回放,查找非法操作或者错误操作的原因。还可以生成日志报表,对服务器的使用有一个全面的了解,对使用率很低的服务器可以在上面添加新的应用,负载高的服务器减少应用,达到一个负载平衡。
参考文献:
[1] 陈刚.Eclipse从入门到精通[M].北京:北京清华大学出版社,2007.
[2] 邬继成.J2EE开源编程精要15讲[M].北京:电子工业出版社,2008.
[3] ,周峰,孙更新. J2EE 经典案例设计与实现[M].北京:电子工业出版社,2007.
[4] 刘汝悼.计算机审计技术和方法[M].北京:清华大学出版社,2004.
关键词:高安全操作系统;分区内核;SKPP;安全功能性需求
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
随着嵌入式操作系统的使用越来越广泛,它的安全性也越来越受关注。分区内核作为嵌入式系统的一个重要组成部分,对其安全性的要求也越来越高。SKPP(Protection Profile for Separation Kernels,分区内核保护框架)作为一种专门针对分区内核提出的安全需求标准,可满足分区内核对高安全性的需要。使用SKPP的分区内核给任务关键的嵌入式系统的系统服务和应用的创建提供了高健壮性保障以及给安全相关策略的执行提供高可靠性支持。目前,使用SKPP标准设计出来的分区内核产品只有美国绿山公司的INTEGRITY-178B多级安全实时操作系统和风河公司的VXWorks MILS2,而国内对SKPP的使用还在探索阶段。本文通过对SKPP的内容进行深入理解,提出了与SKPP安全功能性需求相对应的访问控制机制的实施策略。
1 SKPP概述
2007年,美国NSA的信息可靠性理事会了一种用于描述高健壮性操作系统的安全需求规范——SKPP,它适用于经常处于安全威胁中的分区内核。SKPP要求产品的开发过程和形式化分析都十分严格,所以,开发者和用户通过SKPP评估而得到的可靠性在计算机信息安全领域达到了前所未有的高度,在历史上第一次使软件系统能够可信的保护财政记录,客户私人信息,国家秘密等重要信息[1]。因此,用它作为高安全机载操作系统的分区内核设计标准能极大提高系统的安全性和可靠性。
传统安全内核是在一个安全操作系统中执行所有可信功能,而分区内核与此不同,系统中的所有对象和资源都应由安全策略控制,分区内部或者分区间的信息流也需由安全策略控制。在SKPP中,系统给软件提供了高可靠性分区以及信息流控制策略,给多种结构系统提供了可配置的可信环境。例如,在一组安全系统结构中,软件在分区内核安全策略的约束之下执行应用层安全策略。这里所说的软件包括与多级安全相关的监视器,Guard,设备驱动,文件管理系统,传送信息服务以及传统操作系统,中间件,虚拟机等[1]。
SKPP为分区内核的架构和评估提供了安全功能性需求和安全保证性需求。安全功能性需求指的是由操作系统执行的安全策略。例如,一个使用SKPP标准的操作系统必须保证恶意程序不会对系统造成包括拒绝服务、窃取信息等在内的威胁。安全保证性需求反映了创建满足高健壮性的安全可信环境所需的功能[2]。图1说明了组成安全系统的各个部分。其中,配置功能,系统加载功能,初始化功能以及可信传输功能都应按照可靠性需求的要求来设计,它们建立了安全功能的初始安全状态。在初始化结束之后,由安全功能来执行安全策略[3]。安全功能性需求是本文讨论的重点。从在系统中的位置来看安全功能性需求主要包括配置数据的要求,软件运行时的要求以及硬件要求;从在安全分区内核中功能划分的角度来看,它分为安全审计、用户数据保护、识别和鉴定、安全管理、安全功能保护以及资源利用六个部分。
图1.安全系统组成
2 安全功能性需求主要内容
SKPP中的功能性需求是针对分区内核中安全功能的需求,它规定了由分区内核执行的安全策略。安全功能性需求从审计、数据保护、身份的识别和鉴定、安全功能的管理、安全功能的保护以及资源的利用[1]等六个方面全面的规定了建立安全分区内核中所需的安全功能应遵循的要求。
SKPP的安全审计部分规定了进行安全审计的时机,安全审计事件的选择原则以及安全审计的审查方法。安全审计需求记录、存储和分析与安全相关活动的信息,通过检查审计记录结果可判断发生了哪些安全相关活动以及哪些用户需要对这些活动负责。
用户数据保护部分给与用户数据有关的系统安全功能和系统安全功能策略规定了要求。它定义了信息流控制策略,主要规定了策略控制下的主体,策略控制下的信息,引起受控信息流入、流出的主体操作,策略的控制范围以及某些特定功能的规则。用户数据保护部分还提出对残余信息进行保护的要求。
识别和鉴定部分叙述了建立和核实请求用户身份的功能需求,确保了用户与恰当的安全属性相联系。授权用户身份的正确识别,用户和主体之间安全属性的正确链接对既定安全策略的实施至关重要。识别和鉴定部分解决用户身份的确定和核实,明确用户在安全分区内核中的权限,赋予授权用户与权限相匹配的安全属性。用户的正确识别和鉴定是其它部分(如:用户数据保护,安全审计)实施的基础。
安全分区内核必须给各种类型的安全管理功能提供固定的支持,而且,安全管理部分规定必须由被授权的管理者实施初始化参数定义,可信初始化,分区信息流策略的定义和执行,错误检测以及反馈,可信修复,分区内核系统重配置。在安全分区内核中,分区信息流安全功能策略是根据配置向量决定的,所以只有授权主体才能够改变配置数据。
在安全功能保护部分,SKPP主要描述了使分区内核处于安全状态的方法。具体说来,安全功能保护规定了运行系统安全状态测试的时机,配置数据改变的规则,重新建立安全态需要遵守的规则,系统保存安全状态的时机,以及当系统处于非安全状态时应做的操作。系统的安全状态和分区信息流策略都是由配置数据生成的配置向量决定的,所以当配置数据改变时,系统应重新建立安全态并按照配置数据的说明执行分区信息流策略[4]。如图2所示,分区内核系统通过配置工具把从用户处获得的配置数据转换成配置向量,再经过一些中间步骤的转化变成安全功能的内部配置向量,通过这些配置向量安全功能确定分区信息流控制策略,建立分区内核的安全状态。
图2.配置数据转化过程
资源利用部分规定了分区能够使用的系统内存和处理时间的限额,以及其他可预测的受限执行行为的处理时间和存储资源的使用情况。
应用于分区内核安全的SKPP涉及分区信息保护,避免未经授权的信息的泄漏、修改和无法使用的情况发生,保护内核及信息的机密性、完整性、可用性、可审查性和抗抵赖性。SKPP安全功能性需求为实现安全功能规定了详细的要求,通过这些要求可以从现有的方法中得出一套安全机制。只有实现这些安全机制,才能保证安全功能的有效性,从而保护目标系统的安全性。其中,访问控制机制是分区内核实施安全功能最主要的手段,因此,访问控制机制的实现与分区内核中安全功能的联系是最紧密的,下面我们来讨论访问控制机制与SKPP安全功能性需求的关系。
3 安全功能性需求与访问控制机制实施策略
在分区内核上,访问控制技术的应用是为了保证分区外的用户或分区内的用户对分区资源的访问以及对敏感信息的访问方式而组织的安全策略[5]。访问控制机制将防止非授权用户使用分区内资源或以不正当的方式使用授权资源。如图3所示,当主体需要访问分区资源时,先向系统发出访问资源的请求,由系统验证主体的权限,验证通过后才允许主体访问相应的分区资源。
图3.访问控制原理
分区内核访问控制机制的建立涉及SKPP中用户数据保护部分的内容。其中,通过信息流控制策略部分的要求确定了信息流控制策略的控制范围,比如可控制所有分区或者所有客体;通过信息流控制功能部分的要求确定了信息流控制策略的特定功能规则,比如明确了授权的通信模式等。为了保证被访问客体的可用性,还涉及资源利用部分的内容,描述系统内存和处理时间的限额。
应用SKPP的安全内核,为了判断一个主体是否具有对某客体的访问权限,访问控制机制须鉴别主体的身份,这涉及SKPP中识别和鉴定部分的内容。它规定了分区、主体以及与安全功能相关的资源的属性,明确了各自的信息流权限,通过身份的识别和鉴定得出该身份所对应的访问权限。在确认主体的身份之后,访问控制机制可以通过该主体已被鉴别的身份使用该主体的信息(比如该主体的从属关系信息)或者使用该主体的所拥有的权限。这涉及SKPP中安全管理部分安全属性管理的要求,它定义了授权主体可以使用的权限,如图4所示。
图4.主体权限使用流程
综上所述,访问控制机制能够涵盖SKPP安全功能性需求的用户数据保护部分、识别与鉴定部分、安全管理部分以及资源利用部分,但是不涉及安全审计和安全功能保护部分的需求。目前在机载领域,可以应用健康监控和系统重构技术来覆盖安全审计和安全功能保护部分的需求,但是在实施细节上还需进一步探讨。
4 结论
在SKPP中,系统给软件提供了高可靠性分区以及信息流控制策略,给多种结构的系统提供了可配置的可信基础。本文在作者深入理解SKPP内涵的基础上的介绍了SKPP所包含的各个需求领域,并提出了能够涵盖SKPP大部分安全功能性需求的安全分区内核访问控制机制的实施策略。对满足SKPP的高安全机载操作系统的研究和设计具有一定的指导意义。
参考文献:
[1]Information Assurance Directorate, National Security Agency, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness, June 2007.
[2]Thuy D,Timothy E.Levin,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography,2008.
[3]Kevin Elaphinstone,Gerwin Klein,Philip Derrin,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin, Cynthia E. Irvine, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal, PT, August 2006.
[5]宋成勇.CC功能要求映射于系统安全措施的方法研究.成都:四川大学,2005.
[作者简介]
我国的信息安全架构是我国信息安全领域有关部门和专家学者经过多年研究,基于我国国情并充分借鉴国外先进经验,提出的分等级保护策略,用于解决我国信息安全问题。由公安部和全国信息安全标准化技术委员提出,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室等部门联合制定,下发了关于信息安全等级保护的相关标准、意见等,涉及基础标准类、应用类(系统定级、保护实施、安全建设、等级测评等)、产品类(操作系统、路由器、防火墙、服务器、PKI〔公钥基础设施〕等)、其他标准类(风险评估、事件管理等)等标准规范,为信息系统的安全建设、提高网络与信息安全保障水平提供了技术和管理依据,同时随着网络安全问题的日益突出及信息技术发展,也在逐步更新标准规范中的相关内容,进一步完善信息安全认证认可体系,加强信息安全系统建设工作,为保障国家信息安全做出了重大贡献。参考《信息系统安全等级保护体系框架》(GA/T708-2007),信息系统安全的组成如图1所示。物理安全提供基本的计算机和网络硬件设备、设施、介质及其环境等方面的安全支持;网络安全提供安全的网络软件、安全的网络协议,确保数据传输的保密性、完整性、可用性等;系统安全提供安全的操作系统和安全的数据库管理系统,以实现系统所存储、传输和处理数据的安全保护;应用安全提供部署在计算机硬件环境基础上的应用软件安全、支撑软件安全、工具软件安全等保障信息系统安全的运行环境;安全管理是指对组成信息系统安全的物理安全、系统安全、网络安全和应用安全的管理,通过技术手段、管理制度等方式保障信息系统的正常运行。信息安全架构要求信息系统建设和使用单位,根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求及安全成本因素,根据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。
2信息安全架构分析
2.1风险分析
1)网络安全风险分析
信息传输依赖于网络,信息的安全很大程度上依赖于网络的安全。数据在网络传输过程中可能会被窃取、非法篡改,真实性和完整性遭到破坏,从而造成信息泄漏。影响网络安全运行的风险主要包括:a)网络结构存在单点故障,设备性能不足以支撑业务系统需求等原因造成网络堵塞,业务丢包率较高。b)由于网络互连引起越权访问、恶意攻击、病毒入侵等原因,使得网络边界存在安全隐患。c)缺乏必要的身份鉴别、安全防范、安全审计等技术手段,容易造成设备的无权限访问和恶意更改设备参数。d)缺乏必要的网络安全检测、主动防御设备,使得恶意攻击、非法访问、网络病毒、DOS(拒绝服务)/DDOS攻击、网页篡改等时常发生,无法有效阻止网络攻击而造成网络瘫痪。
2)主机安全风险分析
主机安全主要指终端设备、服务器的系统安全。目前的操作系统无论是Windows还是Linux都可能存在安全漏洞,影响主机运行安全的风险主要有:a)缺乏必要的身份鉴别、安全审计等手段,容易造成设备的无权限访问和恶意更改设备参数。b)系统中残存有未及时删除的过期账号、测试账号、共享账号、默认用户等可非法入侵的账户信息。c)操作系统存在安全漏洞、安全设置不当、用户权限设置不当等情况,使得文件信息、数据库信息、敏感信息等被用户非法获取。d)病毒入侵导致信息泄漏、文件丢失、机器死机等不安全因素。
3)应用安全风险分析
应用的安全性是动态的、不断变化的,应用安全需要从软件开发阶段进行安全防护,保护应用软件的健壮性。影响应用系统运行安全的风险主要有:a)用户账号被非法使用,冒用他人身份非法访问信息系统,导致数据被非法窃取、非授权访问、恶意篡改等非法操作。b)缺乏必要的操作行为记录及审计手段,无法为查获违法操作者提供必要的数据证据,使操作者逃避责任处罚。c)应用软件存在漏洞或在开发过程中存在后门,为黑客留下入侵的可操作性;同时软件进程资源可能未设置最大、最小限额以及多重并发访问限制,软件资源被迅速占用,导致系统资源被耗尽而无法访问。
4)数据安全及备份恢复
数据是信息系统的核心,当关键数据被非法窃取或未做备份而无法及时恢复时,将对信息系统造成极大的经济损失和恶劣影响。影响数据安全及备份恢复的风险主要有:a)在数据传输过程中无法检测用户数据和重要业务数据等在传输过程中是否受到破坏或者被非法窃取。b)因数据泄露时未加密,而被非法解密后使用。c)因关键数据未及时备份,在主节点遭到破坏后无法及时进行数据恢复。
5)管理安全风险分析
责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,不仅要防范外部的非法入侵,同时也要做好内部人员管理,防止内部人员无意泄漏内部网络的网络结构、用户名/密码等。影响管理安全的风险主要有:a)没有相应的安全管理组织,缺少安全管理人员编制,安全管理组织不健全会造成上下级管理混乱,遇到突况时无法及时有效地进行应急响应。b)缺少必要的安全运维管理系统,不能实时监控机房工作、网络连接、系统运行状态,不能及时发现已经发生的网络安全事件。c)人员安全意识淡薄,在日常工作中无意泄露系统口令、随意放置操作员卡、私接外网、非法拷贝系统信息、私自安装/卸载程序、违规操作、擅离岗位等均会造成安全隐患。d)人员分工和职责不明,缺乏必要的监督、约束、奖罚制度等造成的潜在管理风险。e)缺乏必要的人员安全培训,缺少对系统故障、信息泄露等突发事件的及时应对措施,错过事件的最佳处置时间。
2.2需求分析
2.2.1网络安全需求
网络安全策略包括防火墙安全策略、入侵防御系统安全策略、入侵检测系统安全策略、交换机安全策略、数据交换安全策略等;网络安全不仅需要进行整体防护、综合分析,而且各分区安全也需考虑各区的业务特点进行针对性防护。a)结构安全要求:采用冗余架构模式,考虑设备性能、业务需求、性能需求,并预留一定的冗余量,从整体上保障网络架构的弹性。b)访问控制策略:交换机应进行端口MAC(媒体控制接入)地址绑定和VLAN(虚拟局域网)设置,开启防火墙上的ACL(访问控制列表)、QoS保障策略等,实现设备认证、用户身份鉴别、非法接入识别等功能,同时根据IP地址、端口、协议等控制数据流大小、网络连接数量。c)安全审计:需启用相关设备的系统日志功能,通过应用层检测分析设备对进出网络的数据进行七层包捕捉和综合分析;通过采集安全设备、网络设备、主机系统、数据库系统的日志及网络安全事件,实现对用户网络行为、网络传输内容的监控,并进行统计分析和安全审计。d)边界完整性检查:需对终端设备进行802.1x接入认证管理,防止设备的非法接入;同时需开启各区域边界安全设备的访问策略,实现各区之间的边界安全。e)入侵防范:需对网络数据包进行过滤、分析,针对网络异常行为进行报警,并将攻击行为阻挡在安全区域之外。f)恶意代码防护:需实现对网络病毒、网络攻击、网络漏洞的主动扫描,及时发现安全漏洞并进行修补。g)网络设备防护:需对登录网络设备的用户进行身份认证、权限认证、行为审计等,需实现用户登录地址限定、会话数限制、登录失败处理等功能,避免恶意攻击或远端系统的意外崩溃导致系统资源被独占;需根据信息重要性划分系统安全域,并按照最小授权原则对用户权限进行划分,避免合法用户的非法访问。
2.2.2主机安全需求
a)身份鉴别:需实现对主机操作系统、数据库管理系统的集中管理,定期更换各设备登录口令且满足复杂度要求,避免非法用户的登录,同时启用登录失败功能,对无效口令的用户名进行锁定;针对Linux、Windows等操作系统、数据库系统开启密码监控策略、账户锁定阈值、账户锁定时间、账户锁定策略等功能。b)访问控制:需实现对敏感信息的标记,严格限制系统账户和权限,删除过期的、多余的账户,禁用或锁定系统默认账户,对不同管理员设置最小的合理权限,尽量避免合法用户的非法访问和非法用户的访问。c)安全审计:借助相关审计系统及时发现违规操作和非法访问情况,提高安全防护能力。d)剩余信息保护:操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户使用前需得到有效删除,及时清除服务器内的残余信息,保障数据不被非法使用。e)入侵防范:操作系统的安装应遵循最小安装原则,仅安装必要的组件和应用程序,关闭多余服务等;仅开放业务需要的服务端口,删除默认的共享路径,并对不需要的组件进行手动卸载;需定期进行主机扫描、数据库扫描等,及时发现外部、内部渗透的攻击行为并告警。f)恶意代码防范:在所有终端和服务器上需部署防病毒软件,控制终端接入设备类型及接入准则,及时升级恶意代码软件版本以及恶意代码库,提高主机防范能力。g)资源控制:需实时监控设备CPU、内存、磁盘空间等重要资源状况,及时发现设备故障和异常行为,同时限制单个用户对系统资源的最大或最小使用限度。
2.2.3应用安全需求
a)身份鉴别:需对用户进行口令、数字证书的双因素身份认证,保证用户身份的真实性,通过设定尝试登录次数和登录时间阈值来限制用户登录,并采用结束会话、锁定账户等安全措施。b)访问控制:对不同帐户分配业务所需的最小权限,严格限制默认帐户的访问权限,同时需将系统管理和审计等特权权限分配给不同的用户;严格控制对应用系统的文件、数据库等资源的访问,避免越权非法使用。c)安全审计:需实现对重要安全事件的日期、时间、发起者信息、类型、描述、结果、操作等进行保护,需保证应用系统无法单独中断审计进程,并阻止非法删除、修改或覆盖审计记录。d)剩余信息保护:需保障用户鉴别信息、密钥、文件、目录、数据库记录等敏感信息所在的存储空间被释放或再分配给其他用户使用前得到完全清除。e)通信完整性:需防止数据在传输过程中被非法窃取或篡改。f)通信保密:数据在传输前需进行加密,防止非法用户的读取。g)抗抵赖:需为数据原发者或接收者提供数据原发或接收证据,防止用户为其非法操作而逃避责任处罚。h)软件容错:应用软件应具备数据有效性检验功能,保证通过人机接口输入的数据格式或长度符合系统设定要求,并可提示用户内容输入格式。i)资源控制:需实现会话自动结束并释放资源、会话限制、登录条件限制、超时锁定、用户可用资源阈值限制、用户服务优先级设置等功能,防止造成资源耗尽、服务中断等后果。
2.2.4数据安全及备份恢复需求
a)数据完整性:应用系统应支持调用相关接口对重要数据在存储和处理过程中进行保密性和完整性保护;当管理、业务等数据受到破坏时,应能够根据数据重传、存储冗余机制等方式保障数据的校验恢复。b)数据保密性:综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,防止数据在传输过程中被篡改。c)备份和恢复:重要交换机、网络安全设备需实现双机热备;需实现对操作系统数据、业务数据的实时备份,当遇到故障时需能够及时进行数据恢复,保障系统的正常运行。
2.2.5管理安全需求
a)安全管理机构:明确安全管理机构中各个部门和岗位的职责、分工、技能要求,配置专职安全管理员,制定安全审核和安全检查制度,规范安全审核和安全检查工作。b)人员安全管理:制定相关制度,定期对各个岗位的人员进行安全技能及安全认知的考核,并对考核结果进行记录和保存。c)系统建设管理:根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术架构、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。d)系统运维管理:制定相关制度,对终端计算机、便携计算机、系统和网络等设备的操作和使用进行规范化管理。
3信息安全防护架构及解决方案
一个信息系统通常参照数据分区域保护原则进行区域划分,做到各区域数据的安全隔离及针对不同数据分别做到针对性保护。分区域保护需要做到重点明确,将有效的安全资源投入到最需要保护的部分,并且由各个不同区域组成多层次的立体防护体系。安全域是由一组具有相同安全保护需求并且相互信任的系统组成的逻辑区域,同一安全域中的系统应具有相同的安全防护策略。安全域划分的目的是把一个大规模复杂系统的安全问题,以系统行为和业务角度为主,辅以安全角度等因素划分为更小区域,以较小的代价完成安全域划分并保障其安全性。网络安全的防护系统基本由网络安全设备(防火墙等)、身份鉴别系统(数字认证系统等)、安全防范系统(IDS、防病毒网关等)、安全审计系统(网络行为审计系统、数据库审计系统等)、安全监控系统(终端安全管理与监控系统、漏洞扫描系统等)、安全运维系统(运维堡垒机、IT/IP系统等)等安全类系统组成。根据常规业务情况将网络划分为9个区域,每个区域中部署具有同一安全等级保护的信息系统,同时根据信息系统特点以及分权分域原则等制定针对性防护策略。各区域的主要功能情况如下:a)核心交换区:用于连接网络中与内部互通区域和对外连接区域的设备;部署IDS(入侵检测系统)、网络流量分析仪、网络行为审计系统等安全设备。b)应用服务区:部署内部网络应用所需的各种信息系统(应用软件系统);部署数据库审计系统、WAF(Web应用防火墙)、防垃圾邮件网关等安全设备。c)安全管理区:部署保障整个网络架构安全的安全设备和安全系统,其中等级保护2级以上要求具备SOC(安全管理平台)系统;部署4A服务器、漏洞扫描系统、恶意代码检测系统、数据加解密系统、主机审计系统、终端安全管理及监控系统、防病毒系统等安全系统。d)网络资源管理区:实现运维人员的安全接入,通过身份鉴别、权限控制、安全审计后对网络中的设备进行监控、维护、管理等操作;部署IT管理系统、IP管理系统、运维堡垒机等安全设备和系统。e)集中备份/异地灾备区:数据安全及数据备份区域,其中等级保护2级要求建设集中备份区,等级保护3级要求建设异地灾备区。f)本地终端用户接入区:为搭建网络环境所在机房或办公楼中的用户提供网络接入环境,满足终端用户访问信息系统或互联网的需求。g)内部网络远程访问区:为同属该网络架构内的异地小型办公网或接入点的远程接入提供网络接入环境,满足异地用户访问内部应用系统、内部资源服务的需求。h)DMZ(隔离区)区:内部网络对外网用户提供服务的区域,便于互联网用户直接访问内部网络对外提供的一些信息资源;部署WAF防火墙、数据库审计系统、网络行为审计系统、防病毒网关、防垃圾邮件网关等安全设备,为了防止DMZ区的外网用户对内部网络的冲击,两个区域之间的资源交互通过2台网闸进行安全隔离,以最大程度保障内部网络的安全性。i)互联网/VPN(虚拟专用网)接入区:为内部网络员工访问互联网及有特殊需求的用户(VPN、专线等方式接入内部网络)提供网络接入环境;部署防DDOS(分布式拒绝服务)系统、UTM(统一威胁管理)等安全设备,主动防御进入网络的病毒、服务攻击等。各个区域之间的边界安全通过边界防火墙进行安全防护,安全管理区中的安全设备为进入网络的用户和数据提供身份鉴别、安全认证、安全检测、数据加解密、安全防范、安全监控、安全事件综合分析等网络及系统安全保护,同时与网络中各分区的安全设备进行联动,加强网络的整体安全性,最大程度地保护进入网络中的用户身份合法性、数据安全性。安全设备在制定安全策略时需根据其设备特点、功能制定不同的安全防护策略,以纵深防御方式保障网络的整体安全。
4结束语
【关键词】软件测试;安全测试;测试要点;策略
软件开发的完善给测试人员带来巨大的压力,从开发至软件投入使用,都不缺测试工程师的身影。其中过程需要六大质量特性的测试、性能测试、甚至安全测试。针对安全保密性方面,测试工程师需要利用资源进行测试要点的收集及测试用例的设计,从而更多的发现软件运行时可能出现的安全漏洞。
一、数据库安全的测试策略
数据库安全是整个系统的核心,系统中所有用户的信息全依靠数据库的校验。在数据库测试策略中,针对B/S架构软件最常用的有身份鉴别、安全审计、漏洞安全等三方面。
(一)身份鉴别:为的是测试数据库系统账户口令和传输的安全性,执行过程中主用SELECT * FROM DBA_PROFILES命令,其中包涵的内容有:1.数据库系统密码复杂度函数必须实现配置,以避免密码被破解而导致用户敏感信息泄露。2.用户登录系统失败有处理机制,以避免有意人员利用会话失败,进行用户并发攻击数据库,致使数据库崩溃。3.在用户连接数据库后闲置超时,必须有配置自动退出,以避免用户敏感信息被恶意抓包。
(二)安全审计:对数据库系统日志审计的安全性进行测试,保证数据库审计策略配置必须达到基线要求。
(三)漏洞安全:同样是对数据库系统日志审计的安全进行测试,保证数据库能达到安全配置要求:1.数据库必须存在拒绝服务攻击配置。2.不能有远程溢出等安全漏洞。3.数据库组件必须安全配置完备,无漏洞。4.数据库内核漏洞均已修复。
二、WEB应用安全:B/S架构已成为市场信息系统开发的主流,而WEB应用的安全防护更需要谨而慎之,下面罗列出针对WEB应用安全的常见的测试策略
(一)密钥管理:要求根据某个指定的标准规定的算法和密钥长度来生成密钥。操作步骤:1.进入Web应用系统,打开密码修改功能;2.查看Web应用的密码修改功能是否需要输入原密码。3.设置简单密码123456,记录返回结果。期望结果:修改密码是需要输入原密码,并且不能设置简单密码。
(二)输出到TSF控制之外:经由本功能输出的用户数据输出时没有输出相关的安全属性。操作步骤:1.使用webscarab对登录操作进行抓包;2.查看数据包内容是否为明文传输。期望结果:数据包中的密码已进行加密处理。
(三)信息流控制功能:对每一个操作,主体和信息的安全属性之间必须支持基于安全属性的关系,TSF应允许信息在受控主体和受控信息之间经由受控操作流动。操作步骤:1.打开appscanweb安全扫描软件;2.新建任务;3.输入域名;4.开始扫描;5.记录扫描结果。期望结果:不存在注入漏洞及跨站漏洞。
(四)TOE内部传送:数据在传输过程中,期间的所有设备都必须对传输数据的完整性座监视。操作步骤:1.使用webscarab进行抓包;2.修改数据包中内容;3.查看返回信息。期望结果:无法修改数据包中内容
(五)残余信息保护(TSF数据管理):确保系统内文件、目录等资源所在的存储空间,被释放或重新分配给其它用户前得到完全清除。
(六)访问控制功能:提供访问控制功能,依据安全策略控制用户组对系统功能、文件、数据库表等客体的访问。
(七)鉴别失败:检测系统对用户多次尝试登录失败,系统做出相应的处理。操作步骤:1.连续输入十次账号密码;2.查看系统对该账号是否锁定。期望结果:账号被锁定。
(八)用户标识:在登录网站前要求用户必须输入用户名。操作步骤:1.打开web登录页面;2.查看是否需要输入用户名和密码才可登录。期望结果:必须输入用户名和密码。
(九)不可观察性:要求功能或资源的使用不能被规定的用户或主体观察到,规定用户隐私有关的信息在评估对象内是分布式的。期望结果:1.进入应用系统-使用最高权限管理员登录系统,在用户管理中查看有哪些级别用户和用户的权限;2.退出系统使用普通用户登录系统,去访问非授权资源,和查看非授权的信息。期望结果:无敏感信息泄露。
(十)时间戳:评估对象的安全功能需为它自己的使用提供可靠的时间源。
(十一)评估对象访问旗标:在建立一个用户会话之前,评估对象安全功能应显示有关未授权使用评估对象的一个劝告性警示信息。
(十二)会话锁定:在一定时间内,用户没有做任何操作,系统则自动锁屏或显示一个非重要功能的页面,当用户再次使用时,需要重新登录。操作步骤:1.进入web系统;2.闲置5-10分钟;3.刷新页面;4.记录返回结果。期望结果:账户已自动退出。
三、主机安全:主机是系统客户端与数据库进行数据交换的中心,在其上的安全跟数据库安全相同,需要针对身份鉴别、安全审计、漏洞安全进行探察
(一)身份鉴别:1.系统配置避免重复UID策略。2.系统配置密码安全策略。
(二)安全审计:操作系统中必须开启安全审计策略。
(三)漏洞安全:系统不存在高风险安全漏洞。
总之上述只是简单常见的安全测试要点,安全测试涉及的知识面很广,不同的软件领域需要的测试点不同,此时则需要我们在实际工作过程中自我总结出属于自己并适合公司的测试要点。
参考文献:
[1]GB-T 16260.1-2006 软件工程 产品质量.
关键词:信息安全;体系建设;方案
中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。
下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。
2 信息安全体系建设总体步骤
具体的实施步骤如图1所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。
图1 信息安全体系建设步骤
实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。
3 组织建设
信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。
3.1 信息安全管理部门
信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部门的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。
3.2 信息安全生产部门
信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。
4 管理建设
4.1 管理制度颁布
对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。
4.2 管理制度落实
信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:
一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。
二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。
5 基础设施建设及相关建设
信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。
此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。
6 系统建设
信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。
6.1 产品采购类
在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:
1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。
6.2 服务产品类
图2 信息安全体系建设并行建设步骤
服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:
1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。
6.3 研发产品类
信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的产品我们定义为研发类产品。研发类产品建设原则如下:
1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。
7 结束语
文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。
参考文献:
[1] 周学广,刘艺. 信息安全学[M]. 北京: 机械工业出版社,2003.
[2] 韩祖德. 计算机信息安全基础教程[M]. 北京: 人民邮电出版社, 2005.
[3] 陆广能. 浅析数字化档案信息安全问题[J]. 电脑知识与技术, 2005, (10):30-32.
[4] 李娟. 浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报, 2004, (4):20-25.
[5] 范开菊. 网络环境下档案信息安全问题探微[J]. 科技情报开发与经济, 2005, (2):47.