信息安全等级保护是对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行等级保护,其核心是对信息系统进行分等级、按标准进行建设、管理和监督。
2017年,笔者所在单位开展了信息安全等级保护建设工作,对资金管理系统完成了等保二级的测评和整改,并取得公安机关备案证明。本文以某财务公司实施信息安全等级保护过程为例,简要介绍等保的工作流程和实施方法。
信息安全等级保护坚持自主定级、自主保护的原则,信息系统运营使用单位可按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。根据系统受到破坏时所侵害的客体和对客体造成侵害的程度,将安全等级保划分为五个等级(如表1所示)。
确定了定级对象和安全保护等级后,备案单位应当邀请有资质的测评机构,对信息系统安全等级状况进行测评和整改,以确保达到安全保护等级要求。
测评指标分为安全技术和安全管理两大类,包括物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个层面,在这10个层面中再细分具体的测评项目。
测评机构将通过现场测评和风险分析,形成等级测评结论,出具测评报告,并针对测评过程中发现的安全问题,提出相应的整改建议。
系统定级
笔者所在的财务公司是为集团成员单位提供财务管理服务的非银行金融机构,只为集团公司及其下属成员单位提供服务,并不面向公众。
资金管理系统是公司的核心业务系统,也是集团内部资金管理服务平台和对外支付的主要通道。一旦系统服务或数据受到破坏,将严重影响财务公司各项业务的开展,进而影响成员单位的资金周转和经营生产,引发不良影响等,但一般不会损害社会公共的利益和国家安全,因此信息安全等级确定为第二级。
系统安全现状分析
1、系统结构
财务公司信息系统为常见的二层网络结构,包括接入层和核心层,并划分为办公网和生产网两个区域,两个区域利用防火墙和IPS(入侵防御系统)进行逻辑隔离,区域内部再根据应用和功能划分为多个子区域(如图1所示)。
图1 网络拓扑
资金管理系统为B/S架构,服务器全部部署在生产网的核心服务器区,客户访问系统需要通过VPN登录,再经过应用安全网关的安全认证,由应用安全网关代理访问Web服务器。
2、系统安全分析
公司组织技术力量,并按照等保二级的技术要求,分别从物理安全、网络安全、主机安全、数据库安全、应用安全五个方面,对系统进行了分析。
(1)物理安全
机房按照C级标准建设,在防尘、防静电、防雷、接地、消防、供配电、空调、监控、安防等方面均采取了切实可靠的手段,符合国家标准,基础环境安全有保障,满足等保二级的要求。
(2)网络安全
系统网络结构较为合理,通过交换机划分不同网段、防火墙安全策略等手段,限制不同区域之间的互访,对生产网的核心区域进行保护。
成员单位可以通过互联网访问系统,也可通过集团网访问系统,同时生产网与多家银行直连,可以作为互备,因此网络线路具有一定的冗余。
所有外联区域均部署有防火墙,并根据业务需要配置相应的安全策略。办公网和生产网之间部署一台IPS设备,对所有访问系统的流量进行检测,可有效阻断恶意代码的攻击。
同时,IPS对网络流量、网络攻击等行为进行记录和分析,也满足了安全审计的要求。
(3)主机安全
在所有服务器、电脑上均部署了金山防病毒软件企业版,开启实时检测和定期杀毒检测,可有效防范病毒和入侵;部署专门的防病毒服务器,每天自动对所有服务器、电脑进行防病毒软件升级和病毒库实时更新,确保获得最新的防护,保证主机的安全。
在核心服务区器区部署漏洞扫描系统,定期对网络进行扫描,可尽早发现安全漏洞并进行修补,做到防范于未然。
(4)数据库安全
系统的数据库服务器由两台服务器,组成一主一备的模式,每天定时做两次全库导出的备份,同时利用CDP数据备份一体机对数据库进行实时的备份。对数据库用户进行严格管理,除默认的系统管理员和业务必需的用户外,不存在测试、共享或过期的用户。
(5)应用安全
资金管理系统采用了HTTPS协议进行访问,通讯的完整性和保密性都可以得到保证。
财务公司为每个用户发放数字证书,用户登录系统需要通过用户名、密码和数字证书双重验证。系统设置了用户管理员、权限管理员、审计管理员三个超级用户,赋予不同的管理权限,形成相互制约的关系。为普通用户设置了26个不相容岗位,每个岗位分配不同的权限,严格控制资源的访问。同时,系统会详细记录用户的访问记录和操作记录,提供了完整的审计功能。
在软件容错方面,系统界面的每个输入项都对非法字符和输入长度进行了限制,实现对数据有效性的控制。
经过分析,系统存在以下三个较为明显不足之处:
存在单点故障。互联网防火墙和IPS作为连接办公网和生产网的核心设备,如出现故障,将导致系统无法访问。
安全审计不足。在系统建设时,为了不降低数据库性能,并没有开启数据库审计功能;服务器、防火墙、VPN、安全网关等设备,受设备本身功能的限制,审计功能薄弱,无法满足等级保护的要求。
内网办公区的防护不足。内网办公区安装有C/S系统,需要访问数据库,虽然在所有电脑上都安装了金山防病毒软件,但是在服务器访问、移动存储介质接入、非法外联等方面的管控不足,存在一定安全隐患。
安全整改
针对系统的不足之处,我们综合考虑了项目预算、现有设备使用年限以及威胁值等因素,对系统进行了如下整改:
1. 因现有IPS为2011年购置,出故障的概率较大,因此新购一台IPS,替换原有设备,并将旧设备作为备机使用,消除IPS的单点故障。而互联网防火墙为2016年购置,设备较新,暂时不增加备机。
2. 在生产网核心服务器区部署一台数据库审计系统,以旁路方式接入核心交换机,并在交换机做端口镜像,将所有访问数据库的流量镜像到数据库审计系统进行审计,同时又不会影响数据库性能。
3. 生产网核心服务器区部署一台日志审计系统,收集全网服务器、网络设备的日志信息,对这些日志格式进行规范化统一描述,实现对日志的集中化存储、分析、审计和展示。
4. 生产网核心服务器区部署一台运维审计系统,并在服务器、网络设备上进行相关设置,限制只允许通过运维审计系统进行远程登陆,建立运维安全管理体系,实现全局的策略管理、集中身份认证、统一授权等功能,对内部系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审计。
系统整改后,网络拓扑如图2所示。
图2 整改后网络拓扑
预测评与整改
整改完毕后,系统已大体符合等保二级的要求。我们又邀请了有着丰富测评经验的服务商,对资金管理系统进行预测评,进一步找出系统安全现状与等保二级要求之间的差距,并分析其风险。
随后进行了二次整改,主要在以下几个方面:
1. 梳理和完善网络设备的安全策略,优化后的策略将遵循最小授权原则,并对用户的密码复杂度、密码有效期、超时时间等进行限制,加强对设备的保护。
2. 完善服务器的安全策略,对用户的密码复杂度、密码长度、密码最长使用期限、登录失败等进行限制,禁用服务器不必要的服务,关闭多余的端口,加强对服务器的防护。
3. 在资金管理系统中,增加了长时间未操作后自动退出系统的机制,加强对系统资源的控制。
正式测评
二次整改完毕后,我们邀请省网络与信息安全测评中心,对资金管理系统进行了正式的测评。
经过测评,全部72个测评项中,54项符合,2项不适用,16项不符合,基本符合信息系统安全等级保护第二级的要求,系统达标率为85.9%。
结语
信息系统安全等级保护已成为我国信息安全保障领域的一项基本制度,实施信息安全等级保护能够充分调动信息系统运营使用单位的积极性,提高信息安全保障能力和水平。
本文结合公司实施等保二级建设的实际经验,对等保工作的实施过程进行了介绍,希望能给予其他企业开展信息系统安全等级保护工作提供借鉴。
