摘要:近年來,隨著水利科研院各自的云計算中心相繼建立,云計算與以往的計算模式安全風險差異很大,面臨的風險也更大,因為以往的系統多數為集中式管理范圍較小,安全管理和設備資源是可控的,而云計算是分布式管理,是一個動態變化的計算環境,這種環境在某種意義上是無序的,這種虛擬動態的運行環境更不可控,傳統的安全邊界消失。同時,云計算在認證、授權、訪問控制和數據保密這些方面這對于信息網絡安全也提出了更高的要求。由云安全聯盟和惠普公司列出了云計算面臨的7宗罪(風險),說明云安全的狀況變化非常快,現有的技術和管理體系并不完全適應于云計算的模式,如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。
關鍵詞:水利科研,信息科技,工程計劃
嚴格按照國家制定的等級保護測評相關標準規劃設計信息網絡,加快水利科研院所信息系統安全級別的定級及開展相關測評工作對加快水利信息化安全建設步伐,保障水利科研院所信息系統平穩安全運行起到至關重要的作用。
水利科研院所信息系統結構相對簡單,在管理制度上基本建立了機房管控制度、人員安全管理制度等,技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下),且不臨街。機房大門為門禁電磁防盜門,機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區,每個功能區均安裝門禁隔離。機房鋪設防靜電地板,且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防,能夠對火災發生進行自動報警,人工干預滅火。機房內已安裝溫度濕度監控探頭,對機房內溫濕度自動監控并具有報警功能,機房配備較大功率UPS電源,能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線,動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊,對外服務區部署有VPN網關,外部人員可通過VPN網關進入加密SSL通道訪問業務處理區,接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測(IDS)系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出,現有的安全防護手段可基本保障信息網絡系統的安全,但按照二級要求,系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統,且沒有獨立的數據備份區域,給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統(IDS),新規劃了獨立的數據備份區域,在核心交換機上部署了網絡審計系統,并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。
主機安全的測評主要對操作系統、數據庫系統展開測評。通常水利科研院所服務器種類繁多,從最多見的機架式服務器到曙光一類的大型并行服務器均有部署,同時操作系統有window系列、Linux、Unix、Solaris等多種操作系統,數據庫以主流SQLSERVER、ORACLE為主,早期開發的系統還有Sybase,DB2等數據庫。對于window操作系統是容易被攻擊的重點,因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評,主要審計重要用戶行為、系統資源的異常使用和重要信息的命令使用等系統內重要的安全相關事件。對于LINUX等其他系統和數據庫,主要審計操作系統和數據庫系統的身份標識唯一性,口令應復雜程度以及限制條件等。
水利科研院所內部業務種類繁多,如OA系統,科研管理系統,內部財務系統、網站服務器群,郵件服務器等,測評的重點主要是對這些業務系統逐個測評身份驗證,日志記錄,訪問控制、安全審計等功能。
數據安全的測評主要就數據的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數據量十分龐大,一般達到上百TB級數據量,一旦遭受攻擊,恢復任務十分艱巨,因此備份區和應用區應該選用光纖直連的方式,避免電纜數據傳輸效率的瓶頸。日常情況下應做好備份計劃,采用增量備份的方式實時對數據備份。
機房的物理安全測評主要是選址是否合理,機房大門防火防盜性能,機房的防雷擊、防火、防水防潮防靜電設施是否完好達標,溫濕度控制、電力供應以及電磁防護是否符合規定等物理條件。
安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類,流程管理,人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規定》、《安全審核與檢查管理制度》、《授權和審批管理規定》、《信息安全制度管理規范》、《內部人員安全管理規定》、《外部人員安全管理規定》、《系統設計和采購安全管理規定》、《系統實施安全管理規定》、《系統測試驗收和交付安全管理規定》、《軟件開發安全管理規定》、《系統運維和監控安全管理規定》、《網絡安全管理規定》、《系統安全管理規定》、《賬號密碼管理規定》等基本規章制度。同時對管理制度本身進行也要規范管理,如版本控制,評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執行記錄》、《產品的測試選型測試結果記錄》、《系統驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統,網絡,安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓,演練,審查記錄》等。
是利用各種測試工具,通過對目標系統的掃描、探測等操作,使其產生特定的響應等活動,查看分析響應結果,獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。工具測試種類繁多,這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統本身存在的漏洞,同時也可以通過不同的區域接入測試工具所得到的測試結果判斷出不同區域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。
收集信息→規劃接入點→編制《工具測試作業指導書》→現場測試→結果整理。收集信息主要是對網絡設備、安全設備、主機設備型號、IP地址、操作系統以及網絡拓撲結構等信息進行收集。規劃接入點是保證不影響整個信息系統網絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規劃隨著網絡結構,訪問控制,主機位置等情況的不同而不同,但應該遵循以下規則。(1)由低級別系統向高級別系統探測。(2)同一系統同等重要程度功能區域之間要互相探測。(3)由外聯接口向系統內部探測。(4)跨網絡隔離設備(包括網絡設備和安全設備)要分段探測。
利用漏洞掃描器、滲透測試工具集、協議分析儀、網絡拓撲結構生成工具更能迅速可靠地找到系統的薄弱環節,為整改方案的編制提供依據。
信息系統從規劃到建立是一個復雜漫長的過程,需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。
信息系統是個復雜工程,設備的簡單堆疊并不能有效保障系統的絕對安全,新建系統應嚴格按照等保規劃設計,已建系統要對信息系統進行安全測試,對于測評不合格項對照整改。信息系統安全測試范圍很廣,主要在網絡安全、主機安全、應用安全、數據安全、物理安全、管理安全六大方面展開測評。本文僅對測評內容要素進行描述,對具體測試方法及工具不作描述。
水利科研院所網絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網絡全局、路由和交換設備、防火墻、入侵檢測系統展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統數據傳輸量大,網絡帶寬占用比例相對較高,因此,在網絡全局中主要測試網絡設備是否具備足夠的數據處理能力,網絡設備資源占用情況,確保網絡設備的業務處理能力冗余性。科研院所地理位置相對分散,因此,需要合理的VLAN劃分,確保局部網絡攻擊不會引發全局癱瘓。科研院所擁有大量的研究生,這類人群對于制度的約束相對較差,網絡應用多伴有P2P應用,對出口帶寬影響極大,因此除了用經濟杠桿的手段外,在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯”行為進行檢查。網絡中應配置IDS對端口掃描,對木馬、后門攻擊、網絡蠕蟲等常見攻擊行為監視等等。
