2 描述模型
2.1 总体描述
信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《税务基本要求》提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全、数据安全、密码技术和安全集中管控等七个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、等级保护管理、安全建设管理、安全运维管理、安全变更管理、密码管理和税务信息系统安全集中管控等九个方面的基本安全管理措施来实现和保证。
下图表明了《税务基本要求》的描述模型。
6
具备 安全保护能力 每一等级信息系统 包含 包含 实现 技术措施 管理措施 满足 基本安全要求 满足
图1-2《税务基本要求》的描述模型
2.2 保护对象
作为保护对象,《信息安全等级保护管理办法》中将信息系统分为五级,分别为: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.3 安全保护能力
1. 定义 a) 对抗能力
能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人)、动机(不可抗外力、无意、有意)范围(局部、全局)、能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素:
? 威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自
7
然灾害)、环境(如电力故障)、IT系统(如系统故障)和人员(如心怀不满的员工)四类。
? 动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同
的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
? 范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些
计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
? 能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。能
力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:
第一级:本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。
第二级:本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。
第三级:本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。
第四级:本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。
b) 恢复能力
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
第一级:系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。 第二级:系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。 第三级:系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。
第四级:系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。
8
2. 不同等级的安全保护能力
信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。一般来说,信息系统越重要,应具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
不同等级信息系统所具有的保护能力如下:
一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
2.4 安全要求
首先介绍《税务基本要求》的安全要求的分类。安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:
信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏
和免受未授权的修改。
如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的
修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。
服务保证类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修
改、破坏而导致系统不可用。
如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。通过对数据
进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。 通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的
9
连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时
数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。
技术安全要求按其保护的侧重点不同分为S、A、G三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从七个层面:物理、网络、主机系统、应用软件系统、数据、密码技术和安全集中管控技术对系统进行保护,因此,技术类安全要求也相应的分为七个层面上的安全要求:
——物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;
——网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;
——主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;
——应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;
——数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。
——密码技术安全要求:关注密码技术产品的选型以及充分发挥密码技术功能的密码基础设施的实现。
——安全集中管控技术要求:全面关注各种安全机制和安全数据的集中管理和控制。 管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的,均为G类要求。信息系统的生命周期主要分为五个阶段:初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的,分为:安全管理机构、安全管理制度、人员安全管理、税务信息系统安全等级保护管理、税务信息系统安全建设管理、税务信息系统安全运维管理、安全变更管理、密码管理基本要求、税务信息系统安全集中管控基本要求九个方面。
3 逐级增强的特点
3.1 增强原则
不同级别的信息系统,其应该具备的安全保护能力不同,也就是对抗能力和恢复能力不同;安全保护能力不同意味着能够应对的威胁不同,较高级别的系统应该能够应对更多的威胁;应对威胁将通过技术措施和管理措施来实现,应对同一个威胁可以有不同强度和数量的
10