一、 建设背景
(一)国家政策的要求
信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,以进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年国信办在《国家信息化领导小组关于加强信息安全保障工作的意见 》(国信办综[2003]27号)中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全保护等级保护制度,制定信息系统安全等级保护管理办法和技术指南”。2004年公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)要求抓紧建立信息安全等级保护制度,定期对信息系统的安全状况进行检测评估。2005年公安部在《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》中提出计划在五年左右的时间内在全国范围内分三个阶段实施信息安全等级保护制度。2006年公安部等四部委联合签发的《信息安全等级保护管理办法(试行)》(公通字[2006]7号)进一步要求信息系统运营、使用单位应按照相关技术标准对信息系统进行安全测评,符合要求的,方可投入使用。2006年实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)中第六条明确要求“本市对网络与信息系统实行安全等级保护”。
(二)中国长城资产管理公司的需要
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
基于国家政策的要求,结合公司业务健康、安全发展的需要,公司建设了信息系统风险监控与等级保护平台,以进一步完善信息安全保障体系,加强风险管理,更好地为公司业务运营保驾护航。
二、 建设目标
1、 总体目标
平台建设的总体目标是实现国家对信息系统实行等级保护的政策要求,利用平台实现风险管理从“可知到可识到可知识”的良性循环。
2、 具体目标
平台建设的具体目标包括:
建立信息系统风险监控及等级保护平台
能够对公司信息系统的风险进行实时监控
有效贯彻公安部信息系统等级保护规范
协助公司进一步提升信息安全水平,保障业务的良好运行
利用平台实践?可知-可识-可知识?的风险管理方法论
三、 系统特点
目前,平台通过IP资产与业务域管理、信息安全事件管理、IP资产脆弱性管理、信息安全风险监控、用户与权限管理和信息安全知识管理等模块实现信息安全事件的集中响应和处理,并高效整合各种安全设备和系统。
(一)IP资产与业务域管理
等级保护的第3级明确提出了设备管理的有关要求,平台通过对公司IP资产和业务域的集中管理达到了该项要求。业务域也称为业务单元(Business
Unit),是资产的逻辑网络区域内各个资产的组合。
IP资产按照资产类型、资产编号、资产名称、归属的业务域、所处的地理位置、资产的机密性
(Confidentiality)、完整性(Integrity)和可用性(Availability)以及使用者等属性被录入到平台中;对于大批量的资产录入,则使用资产模板编辑后直接导入到平台中,方便快捷。平台自动发现的资产可以根据其属性分门别类归入到相应的业务域中。
公司总部数据中心和30办事处的关键IP资产,包括办公自动化系统、业务服务器、防火墙、入侵检测、网络行为监控与审计、漏洞扫描和网络设备等都已经纳入平台进行统一管理,这些资产经过风险计算之后得到其风险状况和面临的主要威胁,进而可以将整个业务域的风险状况和安全趋势可视化。
(二)信息安全事件管理
等级保护的3级对日志审计也提出了比较严格的要求,平台通过底层的数据采集引擎实现对这些IP资产所产生的日志数据的收集与处理,很好的满足了该项要求。
信息安全事件管理主要实现了事件采集、事件整合和事件可视化三个层面的工作。首先通过SNMP、SYSLOG、ODBC、WMI等协议或方式完成事件日志采集,同时还完成异构数据源事件日志的整合工作,主要包括事件日志的汇聚、过滤以及格式的标准化。在事件日志采集和整合的基础上进行分析,以列表、图表或仪表盘的方式展现,此外,还可以对事件日志进行综合关联分析、组合查询、备份维护和生成报表等操作。
在每个办事处和总部数据中心分别设一个事件日志采集引擎,负责收集和处理本地的事件日志。同时,在总部数据中心设置事件日志采集总引擎,负责接收各个采集引擎上传的数据,通过事件日志采集引擎的级联部署,实现了数据的集中收集、存储和处理。
(三)IP资产脆弱性管理
依据等级保护的要求,无论是定级自评估还是现场测评阶段,都要求对申请测评的系统进行风险评估和安全检查,以了解IP资产的脆弱性及所面临的威胁。风险评估和安全检查包括工具化的评估和现场的人工安全审计。
平台可以接收风险评估的结果,采用基于漏洞/脆弱性的关联分析实现漏洞与资产的关联;同时,通过定义规则或任务的方式,利用平台可以调度扫描器进行漏洞扫描。
(四)信息安全风险监控
借助于IP资产管理,事件管理和脆弱性管理,对信息统一进行风险计算、安全响应和安全预警。
信息安全风险监控主要包括安全事件风险监控、资产和业务域风险监控以及实时的风险综合监控。通过安全事件监控可以关联到事件所影响到的资产,以及对资产的CIA属性的影响,最终定义风险级别;通过资产和业务域风险监控可以看到资产和业务域的脆弱性和所面临的威胁以及对资产和业务域的CIA属性分别带来的影响和风险状况,对资产和业务域进行风险评级、排序,从而剥离出最受关注的资产和业务域(比如TOP N);通过实时风险监控可以看到有关事件类型、设备类型和风险级别的实时报警信息。
(五)用户与权限管理
平台用户管理采用三权分立的权限管理机制,默认设置了系统管理员、操作员和审计管理员,分别具有不同的权限,相互牵制。同时,基于角色的访问控制(Role-Based Access Control),也就是依据系统中角色的行为来分配资源的访问控制权限,比单独为个人授权方便得多,便于公司的统一授权管理;不同角色的用户组拥有不同的权限,这样用户组中的用户很难获得滥用系统资源的特权,有利于责任独立;另外,角色的层次化使用户在现实世界中的等级化与系统资源重要性形成了对照,便于系统管理。
(六)信息安全知识库管理
信息安全知识库将安全信息收集起来,形成统一的安全共享知识库,是风险管理中“可知识”的具体表现,主要包括安全事件库、设备原始事件库、安全案例库、安全公告、处置预案库、中国漏洞库(CNCVE)和安全链接等栏目。
同时,可以将不同来源的安全信息补充进知识库以数据库形式存放和更新,是技术人员进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。
四、 建设成效
公司信息系统风险监控与等级保护平台建设完成后主要取得了两大成效:
一、平台实现的功能在很大程度上满足了等级保护3级基本要求。
SOC与等级保护基本要求关系映射
泰合信息安全运营中心(SOC)与等级保护3级基本要求的关系映射
泰合信息安全运营中心(SOC)与等级保护3级基本要求的关系映射 |
| |||||||||||||||||
| ||||||||||||||||||
编号 | 信息系统安全等级保护要求 | 泰合信息安全运营中心(SOC) |
| |||||||||||||||
| ||||||||||||||||||
事件收集 | 事件分析 | 域与资产管理 | 风险监控 | 脆弱性管理 | 运行状态监控 | 电子地图显示 | 安全知识库 | 人员组织管理 | 安全预警管理 | 拓扑管理 | 故障管理 | 安全策略管理 | 工单管理 | 用户管理 | 自身安全管理 |
| ||
技 | 7.1.1 物理安全 | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA | NA |
|
7.1.2 网络安全 | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | √ |
|
| ◆ | ◆ | ◆ |
|
|
|
|
| |
7.1.3 主机安全 | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | √ |
|
| ◆ | ◆ | ◆ |
|
|
|
|
| |
7.1.4 应用安全 | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ |
|
|
| ◆ | ◆ | ◆ |
|
|
|
|
| |
7.1.5 数据安全及备份恢复 | NA | NA | NA | NA | NA | NA |
|
|
| ◆ | ◆ | ◆ |
|
|
|
|
| |
管 | 7.2.1 安全管理制度 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7.2.1.1 管理制度 |
|
|
|
|
|
|
|
| √ |
|
|
| √ |
|
|
|
| |
7.2.1.2 制定和发布 |
|
|
|
|
|
|
|
| √ |
|
|
| √ |
|
|
|
| |
7.2.1.3 评审和修订 |
|
|
|
|
|
|
|
| √ |
|
|
| √ |
|
|
|
| |
7.2.2 安全管理机构 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
7.2.2.1 岗位设置 |
|
|
|
|
|
|
|
| √ |
|
|
| √ |
| √ |
|
| |
7.2.2.2 人员配备 |
|
|
|
|
|
|
|
| √ |
|
|
| √ |
| √ |
|
| |
7.2.2.4 沟通和合作 |
|
|
|
|
|
|
| √ | √ |
|
|
|
|
|
|
|
| |
7.2.2.5 审核和检查 |
|
|
| √ | √ | √ | √ |
| √ | √ | √ | √ | √ | √ | √ | √ |
| |
7.2.3 人员安全管理 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
7.2.3.4 安全意识教育和培训 |
|
|
|
|
|
|
| √ | √ |
|
|
| √ |
|
|
|
| |
7.2.3.5 外部人员访问管理 |
|
|
|
|
|
|
|
| √ |
|
|
|
|
|
|
|
| |
7.2.4 系统建设管理 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
7.2.4.2 安全方案设计 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.4.6 工程实施 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.4.8 系统交付 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5 系统运维管理 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
7.2.5.1 环境管理 c)机房安全管理制度 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.2 资产管理 |
|
| √ | √ |
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.3 介质管理 |
|
| √ |
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.4 设备管理 |
|
| √ | √ |
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.5 监控管理和安全管理中心 | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ | √ |
| |
7.2.5.6 网络安全管理 |
|
|
| √ | √ |
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.7 系统安全管理 |
|
|
| √ | √ |
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.8 恶意代码防范管理 |
|
|
| √ |
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.9 密码管理 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.10 变更管理 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.11 备份与恢复管理 |
|
|
|
|
|
|
|
|
|
|
|
| √ |
|
|
|
| |
7.2.5.12 安全事件处置 |
|
|
|
|
|
|
| √ |
|
|
|
| √ | √ |
|
|
| |
7.2.5.13 应急预案管理 |
|
|
|
|
|
|
| √ |
|
|
|
|
|
|
|
|
| |
| 说明: |
| ||||||||||||||||
|
| |||||||||||||||||
|
| |||||||||||||||||
|
|
二、平台进行风险管理的过程和结果是“可知-可识-可知识”风险管理方法论的最佳实践。通过平台可以及时发现风险,然后才能进一步识别风险,得到关键资产和业务域的高风险清单,之后利用已有知识或借助外援降低风险到可以接受的水平,最后将成功经验入库,作为以后进行风险管理的参考,这样就完成了对风险的螺旋式上升管理.
五、 结论
信息系统等级保护将是我国重点行业将来建设信息安全保障体系,进行风险管理的重要参考依据。
长城资产所建设的信息系统风险监控与等级保护平台将国家等级保护要求融入平台建设实践,结合自身特点,进行了有益尝试。系统上线后,一直平稳运行,基本实现了预期目标,提高了公司的风险管理力度,随着项目建设的不断深入,平台也将更趋于完善。
(来源:信息系统风险监控与等级保护平台建设)
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号