实践等级保护 加强风险管理—信息系统风险监控与等级保护平台建设

发布时间：2008-01-17   录入：启明星辰

摘要：本文在简要介绍信息系统风险监控与等级保护平台建设的相关背景和目标之后，重点描述了平台的特点以及建设成效。该平台是“可知-可识-可知识”这一风险管理方法论的最佳实践，同时也是等级保护平台化、工具化的重要尝试。
关键词：信息系统 等级保护 风险管理 资产 平台

一、 建设背景
（一）国家政策的要求
信息系统安全等级保护制度（以下简称“等级保护”）作为信息安全系统分级分类保护的一项国家标准，对于完善信息安全法规和标准体系，提高安全建设的整体水平，增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作，以进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年国信办在《国家信息化领导小组关于加强信息安全保障工作的意见 》（国信办综[2003]27号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息系统安全保护等级保护制度，制定信息系统安全等级保护管理办法和技术指南”。2004年公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）要求抓紧建立信息安全等级保护制度，定期对信息系统的安全状况进行检测评估。2005年公安部在《公安部信息系统安全保护等级实施指南（试行稿）（2005年）》中提出计划在五年左右的时间内在全国范围内分三个阶段实施信息安全等级保护制度。2006年公安部等四部委联合签发的《信息安全等级保护管理办法（试行）》（公通字[2006]7号）进一步要求信息系统运营、使用单位应按照相关技术标准对信息系统进行安全测评，符合要求的，方可投入使用。2006年实施的《北京市公共服务网络与信息系统安全管理规定》（市政府第163号令）中第六条明确要求“本市对网络与信息系统实行安全等级保护”。
（二）中国长城资产管理公司的需要
中国长城资产管理公司（以下简称“公司”），作为国有独资金融企业，在业务高速发展的同时一直非常重视信息安全体系建设，早期已经部署了 “老三样”，即网络防病毒、防火墙和网络入侵检测，对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设，实现了数据集中和管理集中，为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产，促进国有企业改革，进一步推动国民经济持续、快速、健康发展，公司希望进一步完善信息系统安全体系建设，规范信息安全管理，提高信息安全保障能力和水平，同时能够对信息系统安全整体进行审核、评估与完善。
基于国家政策的要求，结合公司业务健康、安全发展的需要，公司建设了信息系统风险监控与等级保护平台，以进一步完善信息安全保障体系，加强风险管理，更好地为公司业务运营保驾护航。
二、 建设目标
1、 总体目标
平台建设的总体目标是实现国家对信息系统实行等级保护的政策要求，利用平台实现风险管理从“可知到可识到可知识”的良性循环。
2、 具体目标
平台建设的具体目标包括：
? 建立信息系统风险监控及等级保护平台
? 能够对公司信息系统的风险进行实时监控
? 有效贯彻公安部信息系统等级保护规范
? 协助公司进一步提升信息安全水平，保障业务的良好运行
? 利用平台实践?可知-可识-可知识?的风险管理方法论

三、 系统特点
目前，平台通过IP资产与业务域管理、信息安全事件管理、IP资产脆弱性管理、信息安全风险监控、用户与权限管理和信息安全知识管理等模块实现信息安全事件的集中响应和处理，并高效整合各种安全设备和系统。

（一）IP资产与业务域管理
等级保护的第3级明确提出了设备管理的有关要求，平台通过对公司IP资产和业务域的集中管理达到了该项要求。业务域也称为业务单元（Business Unit），是资产的逻辑网络区域内各个资产的组合。
IP资产按照资产类型、资产编号、资产名称、归属的业务域、所处的地理位置、资产的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）以及使用者等属性被录入到平台中；对于大批量的资产录入，则使用资产模板编辑后直接导入到平台中，方便快捷。平台自动发现的资产可以根据其属性分门别类归入到相应的业务域中。
公司总部数据中心和30办事处的关键IP资产，包括办公自动化系统、业务服务器、防火墙、入侵检测、网络行为监控与审计、漏洞扫描和网络设备等都已经纳入平台进行统一管理，这些资产经过风险计算之后得到其风险状况和面临的主要威胁，进而可以将整个业务域的风险状况和安全趋势可视化。
（二）信息安全事件管理
    等级保护的3级对日志审计也提出了比较严格的要求，平台通过底层的数据采集引擎实现对这些IP资产所产生的日志数据的收集与处理，很好的满足了该项要求。
信息安全事件管理主要实现了事件采集、事件整合和事件可视化三个层面的工作。首先通过SNMP、SYSLOG、ODBC、WMI等协议或方式完成事件日志采集，同时还完成异构数据源事件日志的整合工作，主要包括事件日志的汇聚、过滤以及格式的标准化。在事件日志采集和整合的基础上进行分析，以列表、图表或仪表盘的方式展现，此外，还可以对事件日志进行综合关联分析、组合查询、备份维护和生成报表等操作。
在每个办事处和总部数据中心分别设一个事件日志采集引擎，负责收集和处理本地的事件日志。同时，在总部数据中心设置事件日志采集总引擎，负责接收各个采集引擎上传的数据，通过事件日志采集引擎的级联部署，实现了数据的集中收集、存储和处理。
（三）IP资产脆弱性管理
依据等级保护的要求，无论是定级自评估还是现场测评阶段，都要求对申请测评的系统进行风险评估和安全检查，以了解IP资产的脆弱性及所面临的威胁。风险评估和安全检查包括工具化的评估和现场的人工安全审计。
平台可以接收风险评估的结果，采用基于漏洞/脆弱性的关联分析实现漏洞与资产的关联；同时，通过定义规则或任务的方式，利用平台可以调度扫描器进行漏洞扫描。
（四）信息安全风险监控
借助于IP资产管理，事件管理和脆弱性管理，对信息统一进行风险计算、安全响应和安全预警。
信息安全风险监控主要包括安全事件风险监控、资产和业务域风险监控以及实时的风险综合监控。通过安全事件监控可以关联到事件所影响到的资产，以及对资产的CIA属性的影响，最终定义风险级别；通过资产和业务域风险监控可以看到资产和业务域的脆弱性和所面临的威胁以及对资产和业务域的CIA属性分别带来的影响和风险状况，对资产和业务域进行风险评级、排序，从而剥离出最受关注的资产和业务域（比如TOP N）；通过实时风险监控可以看到有关事件类型、设备类型和风险级别的实时报警信息。
（五）用户与权限管理
平台用户管理采用三权分立的权限管理机制，默认设置了系统管理员、操作员和审计管理员，分别具有不同的权限，相互牵制。同时，基于角色的访问控制（Role-Based Access Control），也就是依据系统中角色的行为来分配资源的访问控制权限，比单独为个人授权方便得多，便于公司的统一授权管理；不同角色的用户组拥有不同的权限，这样用户组中的用户很难获得滥用系统资源的特权，有利于责任独立；另外，角色的层次化使用户在现实世界中的等级化与系统资源重要性形成了对照，便于系统管理。
（六）信息安全知识库管理
信息安全知识库将安全信息收集起来，形成统一的安全共享知识库，是风险管理中“可知识”的具体表现，主要包括安全事件库、设备原始事件库、安全案例库、安全公告、处置预案库、中国漏洞库（CNCVE）和安全链接等栏目。
同时，可以将不同来源的安全信息补充进知识库以数据库形式存放和更新，是技术人员进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。
四、 建设成效
公司信息系统风险监控与等级保护平台建设完成后主要取得了两大成效：
一、平台实现的功能在很大程度上满足了等级保护3级基本要求。
 

SOC与等级保护基本要求关系映射
泰合信息安全运营中心（SOC）与等级保护3级基本要求的关系映射

泰合信息安全运营中心（SOC）与等级保护3级基本要求的关系映射

编号

信息系统安全等级保护要求 3级基本要求（侧重于管理要求）

泰合信息安全运营中心（SOC） --功能模块--

事件收集

事件分析

域与资产管理

风险监控

脆弱性管理

运行状态监控

电子地图显示

安全知识库

人员组织管理

安全预警管理

拓扑管理

故障管理

安全策略管理

工单管理

用户管理

自身安全管理

技 术 要 求

7.1.1 物理安全

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

NA

7.1.2 网络安全

◆

◆

◆

◆

◆

◆

√

◆

◆

◆

7.1.3 主机安全

◆

◆

◆

◆

◆

◆

√

◆

◆

◆

7.1.4 应用安全

◆

◆

◆

◆

◆

◆

◆

◆

◆

7.1.5 数据安全及备份恢复

NA

NA

NA

NA

NA

NA

◆

◆

◆

管 理 要 求

7.2.1 安全管理制度

7.2.1.1 管理制度

√

√

7.2.1.2 制定和发布

√

√

7.2.1.3 评审和修订