措施,较高级别的系统应考虑更为周密的应对措施。
不同级别的信息系统基本安全要求的考虑思路和增强原则如下图所示:
威胁PPDRR模型深层防御模型能力成熟模型GB 17859身份鉴别数据完整性自主访问控制强制访问控制安全审计剩余信息保护安全标记可信路径国家级别的攻击行为内部人员攻击人员失误设备故障\\快速恢复所有严重自然灾难\\环境威胁四级系统策略\\防护\\监测\\恢复\\响应通信\\边界\\内部\\基础设施(全部设备)持续改进有组织的团体攻击行为内部人员攻击人员失误设备故障\\快速恢复大部分较严重自然灾难\\环境威胁三级系统策略\\防护\\监测\\恢复通信\\边界\\内部(主要设备)良好定义身份鉴别数据完整性自主访问控制强制访问控制安全审计剩余信息保护小型组织的攻击行为人员失误设备故障\\短时间部分恢复一般的自然灾难\\环境威胁二级系统防护\\监测通信\\边界\\内部(关键设备)计划和跟踪身份鉴别数据完整性自主访问控制安全审计个人攻击行为人员失误设备故障\\部分恢复一般的自然灾难\\环境威胁一级系统防护通信\\边界(基本)非正式执行身份鉴别数据完整性自主访问控制图1-3《税务基本要求》逐级的考虑思路和增强原则
3.2 总体描述
不同等级的信息系统安全保护能力不同,故其安全要求也不同,从宏观来看,各个级别的安全要求逐级增强,表现为:
二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了机
房位置选择、机房防静电、机房电磁防护、网络安全审计、网络边界完整性保护、网络入
侵防范 、网络备份与恢复、主机安全审计、主机资源控制、税务应用软件系统安全审计、
数据保密性保护等控制点。身份鉴别则要求在系统的整个生命周期,每一个用户具有唯一标
识,使用户对对自己的行为负责,具有可查性。同时,要求访问控制具有更细的访问控制粒度等。
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、(主机、税务应用软件系统)标记与强制访问控制、密码技术、安全集中管控技术、数据交换抗抵赖等。同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性、数据备份与恢复等均有更进一步的要求,如数据备份与恢复增加了对提供数据的异地备份功能要求等。
11
四级基本要求:在三级基本要求的基础上,技术方面,在控制点上增加了(主机、税务应用软件系统)可信路径、(主机)可执行程序保护,同时,对身份鉴别、访问控制、备份与恢复、检错与容错、数据备份与恢复等均有更进一步的要求,如要求数据备份与恢复需每月至少进行一次抽样性恢复演练等。
从微观来看,安全要求逐级增强主要表现在三个方面:控制点增加、同一控制点的要求项增加、同一要求项强度增强。
3.3 控制点增加
控制点增加,表明对系统的关注点增加,因而安全要求的级别差异就体现出来。比较突出的控制点增加,如,二级控制点增加了安全审计,三级控制点增加了标记与强制访问控制。
每级系统在每一层面上控制点的分布见下表:
表1 《税务基本要求》控制点的分布
安全要求类 技术要求 层面 物理安全 网络安全 主机安全 应用安全 数据保护安全 密码技术 一级 8 3 5 3 2 二级 11 7 7 5 3 三级 11 8 8 6 4 1 2 四级 11 8 10 7 4 1 2 安全集中管控技术 合计 级差 管理要求 / / 安全管理机构 安全管理制度 人员安全管理 等级保护管理 安全建设管理 安全运维管理 安全变更管理 密码管理 安全集中管控 合计 / 21 / 33 12 40 7 5 3 4 3 8 13 1 1 7 43 3 45 二级在控制点上的增加较为显著。 12
3.4 要求项增加
由于控制点是有限的,特别在高级别上,如三、四级安全要求(两者之间控制点的变化只有三处),单靠控制点增加来体现安全要求逐级增强的特点是很难的。必须将控制点之下的安全要求项目考虑其中。要求项目的增加,就可以很好的体现了逐级增强的特点。
同一控制点,具体的安全项目数量增加,表明对该控制点的要求更细化,更严格,从而表现为该控制点的强度增强。如,对于控制点身份鉴别,在二级只要求标识唯一性、鉴别信息复杂性以及登录失败处理等要求;而在三级,对该控制点增加了组合鉴别方式等。该控制点的强度得到增强。
每级系统在每一层面上要求项的分布见下表:
表2 《税务基本要求》要求项在各层面的分布
安全要求类 技术要求 层面 物理安全 网络安全 主机安全 应用安全 数据安全保护 密码技术 安全集中管控技术 合计 级差 管理要求 / / 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 合计 级差 / / 一级 9 9 6 7 2 3 4 7 20 18 85 / 二级 19 18 19 19 4 7 9 11 28 41 175 90 三级 32 33 32 31 8 11 20 16 45 62 290 115 四级 33 32 36 36 11 14 20 18 48 70 318 28 可见,在二级与一级之间,三级与二级之间要求项的增加比较显著,尤其是三、二级之间,尽管控制点的增加不多,但在具体的控制点上增加了要求项,故整体的级差增强较显著。
3.5 控制强度增强
同控制点类似,安全要求项目也不能无限制的增加,对于同一安全要求项(这里的“同一”,指的是要求的方面是相同的,而不是具体的要求内容),如果在要求的力度上加强,同样也能够反映出级别的差异。
13
安全项目强度的增强表现为:
? 范围增大:如,对网络安全的“网络结构安全”,二级只要求“关键网络设备的业
务处理能力应具备冗余空间(至少为历史峰值的3倍)”;而三级则在对象的范围上发生了变化,为“主要网络设备的业务处理能力具备冗余空间(至少为历史峰值的3倍)“。覆盖范围不再仅指关键网络设备,而是扩大到主要网络设备了,表明了该要求项强度的增强。
? 要求细化:如,主机安全中的“身份鉴别”,二级要求“重新命名系统默认账户,
修改这些账户的默认口令,系统无法实现的除外;”,而三级在对身份鉴别进行了进一步的细化,为“重新命名系统默认账户,修改这些账户的默认口令,并及时进行更新,系统无法实现的除外。”,口令及时更新,更符合身份鉴别安全的实际需要。 ? 粒度细化:如,主机安全中的“自主访问控制”,一级要求“访问控制主体的粒度
应为用户/用户组级”,而二级要求则将控制粒度细化,为“访问控制主体的粒度应为用户级”。由“用户组”到“单个用户”,粒度上的细化,同样也增强了要求的强度。
可见,安全要求的逐级增强并不是无规律可循,而是按照“层层剥开”的模式,由控制点的增加到要求项的增加,进而是要求项的强度增强。三者综合体现了不同等级的安全要求的级差。
4 各级安全要求
4.1 技术要求 4.1.1 物理安全
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防雷击、防火、防水和防潮、防静电、温湿度控制、机房供配电、电磁防护、设备安全防护和存储介质安全防护等十一个控制点。
不同等级的基本要求在物理安全方面所体现的不同如第3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级物理安全要求:主要要求对物理环境进行基本的防护,对出入进行基本控制,环境
安全能够对自然威胁进行基本的防护,电力则要求提供供电电压的正常。
14
二级物理安全要求:增加了机房的物理位置选择;对物理安全进行了进一步的防护,不
仅对出入进行基本的控制,对进入后的活动也要进行控制;物理环境方面,则加强了各方面的防护,采取更细的要求来多方面进行防护。
三级物理安全要求:对出入加强了控制,做到人、电子设备共同监控;物理环境方面,
进一步采取各种控制措施来进行防护。如,防火要求,不仅要求自动消防系统,而且要求区域隔离防火,建筑材料防火等方面,将防火的范围增大,从而使火灾发生的几率和损失降低。
四级物理安全要求:对机房出入的要求进一步增强,要求配置电子门禁系统;物理环境
方面,要求采用一定的防护设备进行防护,如静电消除装置等。
下表表明了物理安全在控制点上逐级变化的特点:
表3 物理安全层面控制点的逐级变化
序号 1 2 3 4 5 6 7 8 9 10 11 控制点 物理位置的选择 物理访问控制 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 设备安全防护 存储介质安全防护 合计 一级 * * * * * * * * 8 二级 * * * * * * * * * * * 11 三级 * * * * * * * * * * * 11 四级 * * * * * * * * * * * 11 注:* 代表此类控制点在该级物理安全中有要求,空格则表示无此类要求。(以下同) 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。
4.1.1.1 物理位置的选择
物理位置的选择,主要是在初步选择系统物理运行环境时进行考虑。物理位置的正确选择是保证系统能够在安全的物理环境中运行的前提,它在一定程度上决定了面临的自然灾难以及可能的环境威胁。譬如,在我国南方地区,夏季多雨水,雷击和洪灾的发生可能性都很大,地理位置决定了该地区的系统必会遭受这类的威胁。如果没有正确的选择物理位置,必然会造成后期为保护物理环境而投入大量资金、设备,甚至无法弥补。因此,物理位置选择必须考虑周遭的整体环境以及具体楼宇的物理位置是否能够为信息系统的运行提供物理上的基本保证。
15