基于等保的信息系統(tǒng)安全需求研究

肖芳芳

摘 要：該文從信息系統(tǒng)安全等級保護的角度，從技術和管理兩個方面分析了信息系統(tǒng)的安全需求，為保證網(wǎng)絡基礎設施和業(yè)務系統(tǒng)正常運行提供信息化安全管理的理論依據(jù)。

關鍵詞：等級保護 信息安全 安全管理

中圖分類號：TN915 文獻標識碼：A 文章編號：1674-098X（2014）04（c）-0035-02

21世紀是信息的時代，一方面，信息科學和技術正處于空前繁榮的階段，信息產(chǎn)業(yè)成為世界第一大產(chǎn)業(yè)，另一方面，危害信息安全的事件不斷發(fā)生，信息安全的形勢是嚴峻的。因此在信息社會中，只有厘清信息系統(tǒng)的安全需求，才能確切地把握各類信息系統(tǒng)及計算機網(wǎng)絡系統(tǒng)等所面臨的風險，并使信息安全風險處于可控范圍之內(nèi)。該文的研究旨在從信息系統(tǒng)安全等級保護的角度，系統(tǒng)地分析信息系統(tǒng)的安全需求，從而為切實保證網(wǎng)絡基礎設施與業(yè)務系統(tǒng)安全、可靠運行提供理論依據(jù)。

1 信息系統(tǒng)安全威脅

要保證信息系統(tǒng)的安全可靠，必須全面了解信息系統(tǒng)可能面臨的所有安全威脅和風險。威脅是指可能對信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在原因；威脅雖然有各種各樣的存在形式，但其結果是一致的，都將導致對信息或資源的破壞，影響信息系統(tǒng)的正常運行，破壞提供服務的有效性、可靠性和權威性。

任何可能對信息系統(tǒng)造成危害的因素，都是對系統(tǒng)的安全威脅。威脅不僅來來自人為的破壞，也來自自然環(huán)境，包括各種人員、機構出于各自目的的攻擊行為，系統(tǒng)自身的安全缺陷以及自然災難等。信息系統(tǒng)可能面臨的威脅見圖1。

2 信息系統(tǒng)安全需求分析

信息系統(tǒng)等級保護的安全需求基本分為技術需求和管理需求兩大類。

技術類安全需求通常與信息系統(tǒng)提供的技術安全機制有關，主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全需求通常與信息系統(tǒng)中各種角色參與的活動有關，主要是通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。

2.1 信息系統(tǒng)安全技術需求

2.1.1 物理需求

（1）當面臨雷擊、地震、臺風、高溫等自然災難，需要通過對物理位置的選擇、溫濕度的控制，以及采取防雷擊措施等來解決問題；

（2）供電系統(tǒng)故障，需要合理設計電力供應系統(tǒng)，如：購買UPS系統(tǒng)或者建立發(fā)電機機房來保障電力的供應；

（3）網(wǎng)絡設備、系統(tǒng)設備及其他設備使用時間過長等原因?qū)е掠布收希枰ㄟ^對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行管理，對存儲介質(zhì)進行管理，建立一套監(jiān)控管理體系；

（4）攻擊者利用非法手段進入機房內(nèi)部盜竊、破壞等，需要進行環(huán)境管理、采取物理訪問控制策略、實施防盜竊和防破壞等控制措施。

2.1.2 網(wǎng)絡需求

（1）內(nèi)部人員未授權接入外部網(wǎng)絡，需要通過邊界的完整性檢查、網(wǎng)絡審計、主機審計、應用審計等手段解決。

（2）設施、通信線路、設備或存儲介質(zhì)因使用、維護或保養(yǎng)不當?shù)仍驅(qū)е鹿收希枰ㄟ^線路狀態(tài)檢測、線路冗余、數(shù)據(jù)備份與恢復等技術手段解決。

（3）攻擊者惡意地消耗網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源，導致拒絕服務，需要通過主機資源優(yōu)化、網(wǎng)絡入侵檢測與防范、網(wǎng)絡結構調(diào)整與優(yōu)化等技術手段解決。

（4）攻擊者盜用授權用戶的會話連接，需通過身份鑒別、訪問控制、通信加密等技術手段解決。

2.1.3 系統(tǒng)需求

（1）攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布柰ㄟ^惡意代碼方法、控制臺審計等技術手段解決。

（2）攻擊者利用網(wǎng)絡擴散病毒，需通過惡意代碼方法、控制臺審計等技術手段解決。

（3）內(nèi)部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒。需通過惡意代碼防范技術手段解決。

（4）授權用戶對系統(tǒng)錯誤配置或更改。需通過安全審計、數(shù)據(jù)備份和恢復等技術手段解決。

2.1.4 應用安全需求

（1）系統(tǒng)軟件、應用軟件運行故障，需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行管理，對入侵系統(tǒng)和軟件的行為進行監(jiān)測和報警；

（2）系統(tǒng)軟件、應用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源，需要對系統(tǒng)軟件和應用軟件進行入侵行為的防范，并進行實時的監(jiān)控管理；

（3）攻擊者進行非法訪問，需要對網(wǎng)絡設備進行防護、對訪問網(wǎng)絡的用戶進行訪問控制、對訪問網(wǎng)絡的用戶身份進行鑒別來加強訪問控制措施；

（4）攻擊者提供偽造的應用系統(tǒng)服務進行信息的竊取，需要加強網(wǎng)絡邊界完整性檢查，加強對網(wǎng)絡設備進行防護、對訪問網(wǎng)絡的用戶身份進行鑒別。

2.1.5 數(shù)據(jù)安全需求

（1）內(nèi)部人員利用技術或管理漏洞，未授權修改重要系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序，需要通過網(wǎng)絡安全審計、惡意代碼防范、網(wǎng)絡訪問控制、身份鑒別、通信完整性、入侵防范等技術手段解決；

（2）攻擊者截獲數(shù)據(jù)，進行篡改、插入，并重發(fā)，造成數(shù)據(jù)的完整性、真實性喪失，需要通過通信完整性、數(shù)據(jù)完整性、通信保密性、數(shù)據(jù)保密性、密碼管理等技術手段解決；

（3）通信過程中受到干擾等原因發(fā)生數(shù)據(jù)傳輸錯誤，需要通過通信完整性、數(shù)據(jù)完整性等技術手段解決；

（4）攻擊者利用通信干擾工具，故意導致通信數(shù)據(jù)錯誤，需要通過結構安全和網(wǎng)段劃分、通信完整性、數(shù)據(jù)完整性等技術手段解決。

2.2 信息系統(tǒng)安全管理需求

2.2.1 管理機構

（1）需要建立安全職能部門，設置安全管理崗位，配備必要的安全管理人員、網(wǎng)絡管理人員、系統(tǒng)管理人員；

（2）需要配備相應的安全管理員、網(wǎng)絡管理員、系統(tǒng)管理員；endprint

（3）需要建立定期和不定期的協(xié)調(diào)會，就信息安全相關的業(yè)務進行協(xié)調(diào)處理；

（4）需要建立相應的審核和檢查部門，安全人員定期的進行全面的安全檢查。

2.2.2 管理制度

（1）需要制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

（2）需要建立安全管理制度，對管理活動進行制度化管理，制定相應的制定和發(fā)布制度；

（3）需要各功能部門協(xié)調(diào)機制，進行必要的溝通和合作；

（4）需要建立恰當?shù)穆?lián)絡渠道，進行必要的溝通和合作，在必要的時候，進行事件的有效處理；

（5）需要建立備案管理制度，對系統(tǒng)的定級進行備案。

2.2.3 人員安全

（1）需要對人員的錄用進行必要的管理，確保人員錄用的安全；

（2）需要對人員的考核進行嚴格的管理，提高人員的安全技能和安全意識；

（3）需要對人員進行安全意識的教育和培訓，提高人員的安全意識；

（4）需要對第三方人員訪問進行嚴格的控制，確保第三方人員訪問的安全。

2.2.4 系統(tǒng)建設

（1）需要具有設計合理、安全網(wǎng)絡結構的能力；

（2）需要密碼算法和密鑰的使用符合國家有關法律、法規(guī)的規(guī)定；

（3）需要任何變更控制和設備重用要申報和審批，并對其實行制度化的管理；

（4）需要對信息系統(tǒng)進行合理定級，并進行備案管理；

（5）需要自行開發(fā)過程和工程實施過程中的安全；

（6）需要對軟硬件的分發(fā)過程進行控制；

（7）需要信息安全事件實行分等級響應、處置。

2.2.5 系統(tǒng)運維

（1）需要各種網(wǎng)絡設備、服務器正確使用和維護；

（2）需要用戶具有鑒別信息使用的安全意識；

（3）需要硬件設備、存儲介質(zhì)存放環(huán)境安全，并對其的使用進行控制和保護；

（4）需要提供足夠的使用手冊、維護指南等資料；

（5）需要在事件發(fā)生后能采取積極、有效的應急策略和措施。

3 結論與建議

3.1 以信息系統(tǒng)安全需求促進系統(tǒng)安全等級保護，建立信息安全管理的長效機制

信息安全等級保護是國家信息安全保障工作的基礎制度，信息安全需求的研究是從系統(tǒng)風險管理角度最大限度地為保障信息安全提供科學依據(jù)，作為信息系統(tǒng)使用機構，開展信息安全等級保護定級和信息安全需求研究工作，其最終目標就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負責、誰運營誰負責”和“適度安全、保護重點”的原則，準確進行安全等級定級，并在信息化建設整個生命周期中構建好信息安全管理體系，并緊緊圍繞“信息系統(tǒng)安全需求”這個等級保護主要抓手，結合國家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實際，認真探索、大膽創(chuàng)新。

3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)

信息系統(tǒng)安全需求的研究是信息安全管理的一個階段，是信息安全風險管理的重要環(huán)節(jié)，是信息安全保障體系建立過程中的重要決策機制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來確定隨后的風險控制和審核批準活動。信息系統(tǒng)安全需求的提出使得機構能夠準確“定位”安全管理的策略、實踐和工具，能夠?qū)踩顒拥闹攸c放在重要的問題上，能夠選擇成本效益合理的和適用的安全對策。因此，系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎，是對現(xiàn)有網(wǎng)絡的安全性進行分析的第一手資料，也是網(wǎng)絡安全領域內(nèi)最重要的內(nèi)容之一，它為實施風險管理和風險控制提供了直接依據(jù)。

參考文獻

[1] 信息產(chǎn)業(yè)部電子教育中心.信息安全管理指南[M].重慶大學出版社，2008.

[2] 張澤虹，趙冬梅.信息安全管理與風險評估[M].電子工業(yè)出版社，2010.

[3] 徐國愛，陳秀波，郭燕慧.信息安全管理[M].北京郵電大學出版社，2011.endprint

（3）需要建立定期和不定期的協(xié)調(diào)會，就信息安全相關的業(yè)務進行協(xié)調(diào)處理；

（4）需要建立相應的審核和檢查部門，安全人員定期的進行全面的安全檢查。

2.2.2 管理制度

（1）需要制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

（2）需要建立安全管理制度，對管理活動進行制度化管理，制定相應的制定和發(fā)布制度；

（3）需要各功能部門協(xié)調(diào)機制，進行必要的溝通和合作；

（4）需要建立恰當?shù)穆?lián)絡渠道，進行必要的溝通和合作，在必要的時候，進行事件的有效處理；

（5）需要建立備案管理制度，對系統(tǒng)的定級進行備案。

2.2.3 人員安全

（1）需要對人員的錄用進行必要的管理，確保人員錄用的安全；

（2）需要對人員的考核進行嚴格的管理，提高人員的安全技能和安全意識；

（3）需要對人員進行安全意識的教育和培訓，提高人員的安全意識；

（4）需要對第三方人員訪問進行嚴格的控制，確保第三方人員訪問的安全。

2.2.4 系統(tǒng)建設

（1）需要具有設計合理、安全網(wǎng)絡結構的能力；

（2）需要密碼算法和密鑰的使用符合國家有關法律、法規(guī)的規(guī)定；

（3）需要任何變更控制和設備重用要申報和審批，并對其實行制度化的管理；

（4）需要對信息系統(tǒng)進行合理定級，并進行備案管理；

（5）需要自行開發(fā)過程和工程實施過程中的安全；

（6）需要對軟硬件的分發(fā)過程進行控制；

（7）需要信息安全事件實行分等級響應、處置。

2.2.5 系統(tǒng)運維

（1）需要各種網(wǎng)絡設備、服務器正確使用和維護；

（2）需要用戶具有鑒別信息使用的安全意識；

（3）需要硬件設備、存儲介質(zhì)存放環(huán)境安全，并對其的使用進行控制和保護；

（4）需要提供足夠的使用手冊、維護指南等資料；

（5）需要在事件發(fā)生后能采取積極、有效的應急策略和措施。

3 結論與建議

3.1 以信息系統(tǒng)安全需求促進系統(tǒng)安全等級保護，建立信息安全管理的長效機制

信息安全等級保護是國家信息安全保障工作的基礎制度，信息安全需求的研究是從系統(tǒng)風險管理角度最大限度地為保障信息安全提供科學依據(jù)，作為信息系統(tǒng)使用機構，開展信息安全等級保護定級和信息安全需求研究工作，其最終目標就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負責、誰運營誰負責”和“適度安全、保護重點”的原則，準確進行安全等級定級，并在信息化建設整個生命周期中構建好信息安全管理體系，并緊緊圍繞“信息系統(tǒng)安全需求”這個等級保護主要抓手，結合國家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實際，認真探索、大膽創(chuàng)新。

3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)

信息系統(tǒng)安全需求的研究是信息安全管理的一個階段，是信息安全風險管理的重要環(huán)節(jié)，是信息安全保障體系建立過程中的重要決策機制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來確定隨后的風險控制和審核批準活動。信息系統(tǒng)安全需求的提出使得機構能夠準確“定位”安全管理的策略、實踐和工具，能夠?qū)踩顒拥闹攸c放在重要的問題上，能夠選擇成本效益合理的和適用的安全對策。因此，系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎，是對現(xiàn)有網(wǎng)絡的安全性進行分析的第一手資料，也是網(wǎng)絡安全領域內(nèi)最重要的內(nèi)容之一，它為實施風險管理和風險控制提供了直接依據(jù)。

參考文獻

[1] 信息產(chǎn)業(yè)部電子教育中心.信息安全管理指南[M].重慶大學出版社，2008.

[2] 張澤虹，趙冬梅.信息安全管理與風險評估[M].電子工業(yè)出版社，2010.

[3] 徐國愛，陳秀波，郭燕慧.信息安全管理[M].北京郵電大學出版社，2011.endprint

（3）需要建立定期和不定期的協(xié)調(diào)會，就信息安全相關的業(yè)務進行協(xié)調(diào)處理；

（4）需要建立相應的審核和檢查部門，安全人員定期的進行全面的安全檢查。

2.2.2 管理制度

（1）需要制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

（2）需要建立安全管理制度，對管理活動進行制度化管理，制定相應的制定和發(fā)布制度；

（3）需要各功能部門協(xié)調(diào)機制，進行必要的溝通和合作；

（4）需要建立恰當?shù)穆?lián)絡渠道，進行必要的溝通和合作，在必要的時候，進行事件的有效處理；

（5）需要建立備案管理制度，對系統(tǒng)的定級進行備案。

2.2.3 人員安全

（1）需要對人員的錄用進行必要的管理，確保人員錄用的安全；

（2）需要對人員的考核進行嚴格的管理，提高人員的安全技能和安全意識；

（3）需要對人員進行安全意識的教育和培訓，提高人員的安全意識；

（4）需要對第三方人員訪問進行嚴格的控制，確保第三方人員訪問的安全。

2.2.4 系統(tǒng)建設

（1）需要具有設計合理、安全網(wǎng)絡結構的能力；

（2）需要密碼算法和密鑰的使用符合國家有關法律、法規(guī)的規(guī)定；

（3）需要任何變更控制和設備重用要申報和審批，并對其實行制度化的管理；

（4）需要對信息系統(tǒng)進行合理定級，并進行備案管理；

（5）需要自行開發(fā)過程和工程實施過程中的安全；

（6）需要對軟硬件的分發(fā)過程進行控制；

（7）需要信息安全事件實行分等級響應、處置。

2.2.5 系統(tǒng)運維

（1）需要各種網(wǎng)絡設備、服務器正確使用和維護；

（2）需要用戶具有鑒別信息使用的安全意識；

（3）需要硬件設備、存儲介質(zhì)存放環(huán)境安全，并對其的使用進行控制和保護；

（4）需要提供足夠的使用手冊、維護指南等資料；

（5）需要在事件發(fā)生后能采取積極、有效的應急策略和措施。

3 結論與建議

3.1 以信息系統(tǒng)安全需求促進系統(tǒng)安全等級保護，建立信息安全管理的長效機制

信息安全等級保護是國家信息安全保障工作的基礎制度，信息安全需求的研究是從系統(tǒng)風險管理角度最大限度地為保障信息安全提供科學依據(jù)，作為信息系統(tǒng)使用機構，開展信息安全等級保護定級和信息安全需求研究工作，其最終目標就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負責、誰運營誰負責”和“適度安全、保護重點”的原則，準確進行安全等級定級，并在信息化建設整個生命周期中構建好信息安全管理體系，并緊緊圍繞“信息系統(tǒng)安全需求”這個等級保護主要抓手，結合國家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實際，認真探索、大膽創(chuàng)新。

3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)

信息系統(tǒng)安全需求的研究是信息安全管理的一個階段，是信息安全風險管理的重要環(huán)節(jié)，是信息安全保障體系建立過程中的重要決策機制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來確定隨后的風險控制和審核批準活動。信息系統(tǒng)安全需求的提出使得機構能夠準確“定位”安全管理的策略、實踐和工具，能夠?qū)踩顒拥闹攸c放在重要的問題上，能夠選擇成本效益合理的和適用的安全對策。因此，系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎，是對現(xiàn)有網(wǎng)絡的安全性進行分析的第一手資料，也是網(wǎng)絡安全領域內(nèi)最重要的內(nèi)容之一，它為實施風險管理和風險控制提供了直接依據(jù)。

參考文獻

[1] 信息產(chǎn)業(yè)部電子教育中心.信息安全管理指南[M].重慶大學出版社，2008.

[2] 張澤虹，趙冬梅.信息安全管理與風險評估[M].電子工業(yè)出版社，2010.

[3] 徐國愛，陳秀波，郭燕慧.信息安全管理[M].北京郵電大學出版社，2011.endprint