淺談關鍵信息系統安全保障體系設計

劉琦

摘? 要：隨著信息化建設的逐漸深入，信息化對經濟社會發展的影響更加深刻。廣泛應用的信息系統、高度滲透的信息技術正孕育著新的重大突破。信息資源日益成為重要生產要素、無形資產和社會財富。信息化建設在為業務運轉帶來便利的同時，其信息安全問題也尤為突出。2017年6月發布的《中華人民共和國網絡安全法》中明確提出關鍵信息基礎設施的運行安全，同時落實網絡安全監測預警和信息通報制度。在此背景下，該文以信息系統生命周期的角度，深入分析信息系統安全保障體系設計思路，應對日趨嚴峻的安全形勢，支撐信息系統平穩、高效運行。

關鍵詞：信息系統? 關鍵信息基礎設施運行安全? 信息系統安全保障體系設計

中圖分類號：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1672-3791（2019）03（b）-0004-06

Abstract： With the gradual deepening of informatization construction， the impact of informatization on economic and social development has become more profound. The widely used information system and highly infiltrated information technology are gestating new major breakthroughs. Information resources are increasingly becoming important production factors， intangible assets and social wealth. While information construction is bringing convenience to business operations， its information security issues are also particularly prominent. The "Network Security Law of the People's Republic of China" promulgated in June 2017 clearly stated the operational safety of key information infrastructure， and implemented the network security monitoring and early warning and information notification system. In this context， this paper analyzes the design of the information system security assurance system from the perspective of the information system life cycle， responds to the increasingly severe security situation， and supports the smooth and efficient operation of the information system.

Key Words： Information system; Key information infrastructure runs safely; Information Systems Security System Design

1? 概述

1.1 什么是關鍵信息基礎設施

關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統，且這些系統一旦發生網絡安全事故，會影響重要行業正常運行，對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。

關鍵信息基礎設施包括網站類，如黨政機關網站、企事業單位網站、新聞網站等;平臺類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺;生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。

可參考表1并結合實際梳理關鍵業務系統。

1.2 行業安全事件

一直以來，各行業內各類信息安全事件頻出，如：伊朗核工業控制系統被震網病毒攻擊、烏克蘭大停電事件，重要的政府、銀行、媒體網站都遭遇空前的黑客攻擊。2017年全球突發“勒索病毒”事件瘋狂襲擊全球公共和商業系統，全球有接近74個國家受到嚴重攻擊。2018年國內多家企業數據泄露，涉及到公民求職簡歷、快遞數據、酒店入住信息等。

1.3 信息系統常見安全問題

信息系統在系統設計開發、測試上線、運行維護及變更退運階段，不可避免地存在一些安全問題，例如：對于各類內、外部信息安全事件，尚未形成有效的體系來應對包括外部黑客攻擊、內部安全事件，日常風險分析、控制，信息安全事件應急演練等。

1.4 體系設計目標

（1）不斷完善業務系統自身安全，降低系統上線后被黑客攻擊帶來的損失風險，保障應用系統的安全運行和數據安全。

（2）充分落實事前、事中、事后安全防護工作，建立健全信息系統的安全能力，對安全能力的有效性及覆蓋度進行查漏補缺，確保安全防護機制正常運行。

2? 安全體系設計

2.1 安全體系參考模型

2.1.1 安全體系參考模型——SDLC

SDLC（Software Development Life Cycle），即軟件生命周期、軟件生存周期，是軟件的產生直到報廢的生命周期，周期內有問題定義、可行性分析、總體描述、系統設計、編碼、調試和測試、驗收與運行、維護升級到廢棄等階段，這種按時間分程的思想方法是軟件工程中的一種思想原則，即按部就班、逐步推進，每個階段都要有定義、工作、審查，以提高軟件的質量（見圖1）。

2.1.2 安全體系參考模型——PPDRR

PPDRR模型由5個主要部分組成：安全策略（Policy）、保護（Protection）、檢測（Detection）、響應（Response）、恢復（Restore）。PPDRR模型是在整體的安全策略的控制和指導下，綜合運用防護工具（如防火墻、身份認證、加密等）的同時，利用檢測工具（如漏洞評估、入侵檢測系統）了解和評估系統的安全狀態，通過適當的響應將系統調整到一個比較安全的狀態。保護、檢測和響應組成了一個完整的、動態的安全循環（見圖2）。

2.2 安全保障體系設計

安全保障技術體系設計參考軟件生命周期模型，以信息系統生命周期為主線，結合信息系統安全技術措施，從而規范信息系統在全生命周期的安全活動（見圖3）。

系統需求設計階段：在開發規劃、可行性研究、需求分析的階段，對信息系統的安全需求進行收集、提煉與安全設計。

系統安全開發階段：對軟件設計過程中安全設計進行開發實現，軟件代碼成果同時符合代碼安全規范。

系統安全測試階段：對信息系統進行全面的安全測試評估，軟件源代碼進行安全性審計，保障信息系統上線前達到安全要求。

系統上線管理階段：對開發、測試、上線環境進行安全隔離，上線環境進行嚴格準入，信息系統上線的應用和設備必須達到安全上線準入要求，要求包括安全基線、安全漏洞、補丁檢查、日志審計策略等方面。

系統安全運維階段：對信息系統安全運維監控與預警、進行日常安全維護和應急響應，保障系統運行安全。

系統變更或下線管理階段：依據變更或下線流程，對剩余信息的處理，保障數據安全。

3? 體系內容概述

3.1 系統需求設計

隨著信息化的迅速發展，信息系統在迅速發展壯大的同時，也面臨著越來越多的安全威脅，為了保證信息系統的健壯性、保護數據的安全性，有必要全面地規劃和設計信息系統的安全功能，盡早地介入到系統的建立過程中。

在應用系統軟件開發設計的過程中，應用系統需求設計應該遵循一些基本安全原則（見表2）。

系統設計中需要考慮以下安全需求。

（1）框架安全：互聯網有許多開源或不開源的Web開發框架為程序員提供便捷開發，這些框架功能不一，語言各異，開發水平參差不齊，對安全開發的支持度也不同。需要考慮選擇最易用、最安全的開發框架。

（2）第三方軟件：在開發信息系統的過程中，常借助第三方軟件，如Ewebeditor、FCKeditor、Ueditor等。需要在系統需求設計時充分了解第三方軟件各版本存在的已知安全問題，避免引入安全漏洞。

（3）輸入驗證控制：系統應用相當多的成功攻擊都是因為輸入驗證引起的，一切從外部獲取的數據都可能是惡意的，如果缺少對數據的驗證，將會帶來很多安全問題，如SQL注入、跨站點腳本攻擊、命令注入等，其根本原因就是因為沒有對外部輸入的數據進行安全處理。

（4）業務安全控制：不同的信息系統存在不同的業務邏輯，各種各樣的業務場景都通過程序來完成，電腦程序、自動化安全測試措施與人工不同，無法主觀判斷業務邏輯是否合理，因此在系統需求設計時需要考慮到各種邏輯漏洞，做好防控功能。

（5）會話管理控制：會話管理是應用系統用來保持狀態會話支持的技術。它是一個用戶在服務端驗證完身份，他的下一個請求不再導致服務器重新要求驗證他的身份的技術，會話標識符在用戶通過認證后由服務器產生，客戶端在接下來的訪問不必再一次進行身份認證，選擇安全的會話管理技術是系統安全的必要條件。

（6）系統認證和密碼管理：身份驗證功能是在服務器確認操作者身份的解決方法，對于信息系統來說，選擇合適的身份認證措施至關重要。

（7）授權與訪問控制：在信息系統需求設計階段，需要確定已通過驗證的對象可以執行哪些操作以及可以訪問哪些資源，錯誤的授權會導致信息泄露或者數據篡改，需要對信息系統進行深度授權防御設計。

（8）通信安全：對信息系統通信選擇合適的加解密設備和通信協議，保障通信安全的同時平衡服務器性能。

（9）異常處理：異常處理又稱為錯誤處理，它提供了處理應用程序運行時出現的任何意外或異常的方法，錯誤處理時需要考慮不應該泄露有助于惡意用戶攻擊應用系統的信息。

（10）日志審計：充分設計信息系統日志審計功能，日志可以分為兩種，即一種是應用日志，也稱之為調試信息或者錯誤日志，主要是為了跟蹤應用程序底層行為，跟蹤應用程序內部執行的過程;另外一種是業務日志，主要是為了記錄用戶的業務操作，提高業務上的抗抵賴性。

（11）數據保護：應該注意敏感數據的加密，選擇較強的加密算法，防止數據被盜用后直接使用。

（12）數據庫安全：應用系統數據庫中存放著大量的運營關鍵信息、客戶數據等資料。而黑客正處心積慮，采取各種入侵手段來企圖獲得這些數據。保護數據庫安全是應該重視對待的問題。

（13）非結構化數據安全：應用系統中經常會對非結構化數據進行操作，包括文件的上傳、下載和訪問等。不恰當的文件管理可能導致服務器的淪陷，需要關注的是服務器如何處理、解析上傳的文件，如果服務器處理邏輯做得不夠安全，則可能導致嚴重的后果。

（14）合規性：合規性主要是為滿足行業或監管單位對信息系統的強制型和推薦型安全要求。需要參考相關行業標準、文件進行需求設計。

3.2 系統安全開發

系統安全開發階段需要保證系統能夠按質按量地進行開發，在信息系統安全開發階段，開發人員在編碼過程中，應根據編碼規范進行編碼，避免常見的不安全代碼使用、不安全的框架使用及未經確認業務邏輯使用，嚴禁在源代碼中留有后門。開發人員同時應結合前期系統的安全需求、安全設計的相關安全功能進行充分的測試和驗證，并記錄測試案例和結果。在開發過程中應當采用代碼安全走查的方式對開發過程的安全編碼進行檢驗，在信息系統正式測試前發現的所有代碼層面的中高風險問題，開發人員需提前完成整改，并確認整改效果的有效性。在開發過程中所有過程文件（包括源代碼），應進行適當的保管，防止機密性及完整性的破壞，開發結束后應統一進行歸檔保存。

3.3 系統安全測試

在系統安全測試階段，安全測試應覆蓋安全需求和安全設計的各項內容，確保系統能夠滿足各項安全需求。根據安全需求和安全設計的內容，制定相應的安全測試方案。安全測試方案包括安全測試的對象和范圍、案例、預期結果、執行人員、實際結果等內容。

在進行安全測試過程中，如需使用專業工具，應使用該工具的最新版本或更新至最新的代碼庫，以盡可能全面地發現系統中存在的開發缺陷。安全測試過程中發現的問題，應及時整改。如無法及時整改，應采取其他措施將安全風險降低到可接受范圍內。

系統安全測試包括但不限于以下活動。

（1）工具掃描：在系統安全測試階段，對應用進行工具掃描，以發現可能存在的風險。

（2）應用系統安全檢查：對應用系統從軟件開發、部署與運行管理、身份鑒別、訪問控制、交易安全、數據保密性、備份與故障恢復、日志與審計等方面進行安全評估。

（3）滲透測試：利用已知漏洞和社會工程的方法，模擬入侵攻擊，以揭示系統應用可能存在的安全風險。

（4）源代碼安全審計：依據CVE公共漏洞字典表、OWASP十大Web漏洞，以及設備、軟件廠商公布的漏洞庫，結合專業源代碼掃描工具對各種程序語言編寫的源代碼進行安全漏洞定位、分析漏洞風險。

3.4 系統上線管理

在系統上線管理階段應保證系統建設的標準化，加強應用上線的安全管理，為后續長期維護打下良好的基礎。

（1）服務開放端口：系統應用開發的端口服務保證最小化，避免開放不必要的服務端口。

（2）安全測試結果確認：確認系統安全測試階段安全風險已經降低到可接受范圍內。

（3）安全防護確認：確認上線系統納入安全設備防護，并在上線階段針對安全策略優化。

（4）安全配置確認：確認業務系統及系統相關設備進行了安全性配置。

3.5 系統安全運維

在系統安全運維階段，以等級保護標準為參考，結合PPDRR模型，即安全策略（Policy）、保護（Protection）、檢測（Detection）、響應（Response）、恢復（Restore），構建事前防護、事中響應、事后審計3道防線措施，同時參考主流攻擊者攻擊過程TSSIC（思路-Thinking、嗅探-Sniff、掃描-Scan、入侵-Intrusion、控制-Control），以此過程檢測信息系統安全防御與攻擊過程一一對應，以此保障信息系統的穩定運行（見圖4）。

（1）等級保護：安全防護體系以等級保護為指導思想，基礎運行環境應符合等級保護要求，如訪問控制、入侵防范、安全審計、惡意代碼防范等。

（2）第一道防線：通過網絡出口、服務器環境的防護措施以及事前安全檢測的等措施構成基礎防線。

（3）第二道防線：通過安全系統實時防護、實時安全事件的分析響應等措施構成事中響應。

（4）第三道防線：通過對網絡日志、運維操作日志、安全日志、數據恢復等措施構成事后恢復和審計。

3.6 系統變更或下線管理

在系統變更或下線過程中，保護關鍵信息系統的數據保密性與完整性對受到保護的數據信息進行妥善轉移、轉存、銷毀，確保不發生信息安全事件。具體包括以下幾方面。

（1）梳理關鍵數據。業務部門和維護部門梳理出系統涉及的各類數據及建議處理方式，分為業務數據（包括但不限于業務信息數據、生成數據、經營數據等）和維護數據（設備健康度、維護數據、操作日志、配置文件、賬號及密碼等）。

（2）判定數據處理的意見。業務部門審核制定待變更或下線系統中相關業務數據的處理意見，將數據明確劃分為即時銷毀、備份后銷毀并明確對于備份數據的處理意見。

（3）判定維護處理的意見。維護部門審核制定待變更或下線系統中相關維護數據的處理意見，將數據明確劃分為即時銷毀、備份后銷毀并明確對于備份數據的處理意見。

參考文獻

[1] GB/T 22239-2008，信息系統安全等級保護基本要求[S].

[2] GB/T 20271-2006，信息系統通用安全技術要求[S].

[3] GB/T 25070-2010，信息系統等級保護安全設計技術要求[S].

[4] GB/T 20269-2006，信息系統安全管理要求[S].

[5] 國家互聯網信息辦公室.關鍵信息基礎設施安全保護條例（征求意見稿）[S].

[6] 第二十七屆廣東省企業管理現代化成果：中廣核集團核電信息安全攻防體系建設實踐[Z].