《信息安全合规监测解决方案》由会员分享,可在线阅读,更多相关《信息安全合规监测解决方案(17页珍藏版)》请在金锄头文库上搜索。
1、信息安全合规监测解决方案南瑞集团公司信息通信技术分公司2014年1月第1章信息系统安全风险分析11.1 风险产生的背景11.2 风险产生的原因11.3 国家信息安全政策法规2第2章信息安全合规监测技术研究22.1 信息系统安全发展趋势22.2 安全合规技术研究42.3 安全监测与控制研究62.4 信息安全研究成果8第3章信息安全合规监测解决方案83.1 解决思路83.2 总体目标103.3 总体架构103.4 方案特色11第4章典型案例12第5章结束语14第1章信息系统安全风险分析1.1 风险产生的背景随着信息化建设的全面推广、网络规模的日益扩大,使得支持业务系统的网络结 构也变得越来越复杂。
2、重要应用、网络设备、安全设备、服务器、数据库、中间件等 的数量及种类日益增多,而各单位信息化运维人员不足,存在因维护人员误操作的风 险,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,从而极大的影 响系统的正常运转。应用的深度融合、系统与数据的集中,带来了更高的风险集中, 高度集中的数据既是业务的焦点,同样也是威胁的焦点。虚拟化、云计算等新技术的 引入,使IT技术设施的安全重心从终端转向服务端,使得带有明确界限的物理安全域 向逻辑安全域转变,对信息安全运维人员安全防护能力提出了新的挑战。1.2 风险产生的原因分析近年信息安全事件本质及各类渗透方法与工具的原理,恶意用户能够成功实 现对
3、信息系统的破坏或攻击,主要利用系统安全漏洞、安全配置、安全状态存在的脆 弱性,归纳如下:安全漏洞:由于系统自身的问题引发的安全缺陷,主要包括系统登录漏洞、拒绝 服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等,反映系统自身的安全脆弱 性。安全配置:由于人为的疏忽造成的安全缺陷, 主要包括系统XX、口令、授权认证、 日志管控、IP通信管理等配置不当,反映系统配置的脆弱性。安全状态:由于系统运维管理不当引发的安全缺陷,主要包括系统运行状态、网 络端口状态、进程、审计、管理措施等,反映了系统当前所处环境的安全状况。1.3 国家信息安全政策法规国家制定了信息系统等级保护基本要求及相关标准和规X,明确
4、规定了我国的信息安全战略目标,并通过正式文件的形式将等级保护确认为国家信息安全的基本制度 和根本方法。国民经济和社会发展第十二个五年规划纲要对“加强网络与信息安全保障” 提出了明确要求:“健全网络与信息安全标准规X,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应 用试点示X和推广,加强信息网络监测、安全配置管控能力建设,确保基础信息网络 和重点信息系统安全。”信息安全产业“十二五”发展规划重点发展工作指出:“重点发展系统及网 络脆弱性评估工具、安全配置核查类工具、信息安全等级保护支撑工具、信息系统风 险评估工具、信息安全技术与产品的标准符
5、合性评估工具,以及其他信息安全管理与 服务支撑工具产品。,并明确指出“网络与信息安全配置监测技术”为重点发展的 关键信息安全技术。第2章信息安全合规监测技术研究2.1 信息系统安全发展趋势随着信息化的发展,业务人员的安全意识和安全技能也在逐步提高。最直接的体 现为:传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为 以业务安全需求为驱动的主动式安全建设模式。从国际的安全发展动态来分析,NIST推出了一套SCAP框架来促进安全建设的执 行,SCAP是一种用开放性标准实现自动化脆弱性管理、 衡量和策略符合性评估的方法。 SCAP结合了一系列用来枚举软件缺陷和安全配置问题的开放性标
6、准,SCAP利用这些标准衡量系统以寻找系统的脆弱性,并通过自动化的工具来进行检查和评估。此框架 和工具在美国得到大量的应用和高度评价。随着计算机的国际法中将陆地和海洋进行划分的分界线被称为基线(Baseline 发展,基线被引入计算机领域,并将其定义为操作系统某一时期的配置的标准。微软 将基线的概念引入操作系统安全防护,建立微软安全防护体系,详细描述了实现安全 运行的相关配置设置,微软安全防护体系中安全基线的元素包括: 服务和应用程序设置。例如:只有指定用户才有权启动服务或运行应用程序。 操作系统组件的配置。例如:Internet信息服务(IIS)自带的所有样本文件必 须从计算机上删除。权限和
7、权利分配。例如:只有管理员才有权更改操作系统文件。管理规则。例如:计算机上的 administrator密码每30天换一次。传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、 应用本身、 用户身份和行为安全的管理。日益增长的IT资产数量,无论硬件设施还是各类软件, 高效安全的管理已成为大型企业关注的话题。企业多年来的安全投资,是否产生了价 值?这使企业开始考虑如何正确了解和评价企业安全风险,以及衡量安全工作成效的 标准,并更加关注安全的监控和综合性分析的价值。威胁的不断发展变化,使企业认 识到安全投入的长期性,同时也更愿意获得在节约投资、加强主动性防御的安全建设 方面的借鉴。以技术
8、平台支撑的合规管理工作正在越来越受到重视。随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息 资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,信息安全产 业“十二五”发展规划明确提出主动防御技术成为信息安全技术发展的重点,信息 安全产品与服务演化为多技术、多产品、多功能的融合,多层次、全方位、全网络的 立体监测和综合防御趋势不断加强,信息安全发展趋势朝系统化、网络化、智能化、 服务化方向发展。、向系统化、主动防御方向发展信息安全保障逐步由传统的被动防护转向 “监测-响应式”的主动防御,信息安全 技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向发展
9、。、向网络化、智能化方向发展计算机技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、 运行和服务的平台,对高效防 X和综合治理的要求日益提高,信息安全向网络化、智 能化方向发展。、向服务化方向发展信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整,安全服务 逐步成为信息安全产业发展重点。2.2 安全合规技术研究安全基线标准充分依据信息安全技术体系和管理体系,借鉴 ISO27002 ISO-20000、SOX等级保护等技术和管理标准内容,创新信息安全基线标准和管理规X。通过建立信息安全基线合规指标库,将信息系统等级保护基本要求、信息安全风险评估准则细化,进一步分解根据具体
10、设备特性形成设备级的基线指标,形成可执行、可实现的检测项,实 现技术体系和管理体系指标内容的落地。电力行亚信意聚辇安全等最保下菱国家电网公司值息讹飞白她“工程.国衮地同公司博m安全人险洋花戛施型生卿莒俾方美i修域:道照笄生或取三罐於笠追雄防拧萋或F展达至工蚱,田营麓苑:严略执行国京电网公司信息署埃塞全防护理定, 初定氏m皆某.占獐安金基统含现名第晦定运吁,港男驾女安全商用畸性;电力信患安全王级吐术既显1网络股昌五至事姓堂至设乐集显纯主安全酬触步原泵烧安全事雄 CISCO暨用瞿黄至基注 CI置碱*文安全俄 士内交货机夏全基技 一 米都1防火电更全基处 安全景战 E HP以主机安嗓事晚加工生H安全
11、普拂,皮机史全事壬 OridMffl库聪覆基 SQLXoh,据逑安全鲍 送苗黄相庵安生蔓玻 安全基线标准包含以下三方面:1)漏洞信息:漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险, 般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况 处置错误等,反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准,如CVE (mon Vulnerabilities & Exposures ,公共漏洞和暴露)就列出了各种已知的安全漏洞,因此系统的初始漏洞安全基线可以采用通用标准。2)安全配置:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日 志、IP通信等方面内容
12、,反映了系统自身的安全脆弱性。在安全配置基线方面,移动 集团下发了操作系统安全配置规 X、路由器安全配置规X、数据库安全配置规X等一 系列规X,因为系统初始安全配置基线可以采用集体下发的标准。3)系统重要状态:包含系统端口状态、进程、账号以及重要文件变化的监控。这 些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情 况。由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。我们通过对 系统的状态信息进行一个快照,对非标准的进程端口、关键文件MD5校验值等信息确 认后作为初始的系统状态安全基线。安全基线检测技术安全基线检测是实现信息系统安全合规检测的基础和核心,即基
13、于业务系统安全 运行的要求(最低/基本),对目标系统的漏洞、配置和重要运行状态进行检查,通过 对检查结果的深度分析,获得检查对象的安全合规性结论。安全基线检测对象涵盖主机、数据库、网络设备、安全设备、中间件、应用系统 等六大类。检测方式包括远程检查和本地检查两种形式,检测内容为目标对象的安全 漏洞扫描、关键配置对标、重要运行状态检查、安全日志采集。针对不同类型、不同 型号的设备及不同检测内容,采用一套自动化检测体系架构,综合不同的远程访问协 议、技术手段实现安全基线检测,以插件思想搭建全面的基线检测数据采集工具集合, 通过自由组装实现基线检测可扩展性。安全基线合规检测体系木2.3 安全监测与控
14、制研究安全状态度量技术安全基线合规检查结果为安全评估提供了坚实的数据基础和评判依据,基于信息 安全风险评估模型,对安全问题、运行状态、漏洞情况进行综合评判,从网络、主机、 数据库、中间件、应用等多方面度量信息系统安全状态,实现安全状态量化评估和展 现。信息安全闭环管理遵循PDCA思想,基于基线的信息安全闭环管理包括由策略、标准、执行、检查 四个步骤组成的主流程,及具体化、自动化构成的分支流程。主流程由安全策略形成 安全标准,指导安全控制的执行,进一步进行事前、事中、事后的合规检查,最终修 改完善安全策略;分支流程通过对安全标准具体化实现标准落地,并进行自动化合规 检查,简化检查过程。标准安全曾
15、备解置也线率中合规杵道想审计分折首理标工串片号,电击取注河查执行流程拴制技也与昔至挂走鼓木隹制各关安全控制手段安全沈桂拽制安全配置执行9日首理范程安世身未 安全这甑涛看管理受求)策略事跻书胡控生安全配置小点 亲生扁涧抬骑一策略定义.发唯发布策曝管理系统安任段制要求策略:结合应用环境下的安全防护需求,进行安全策略定义、发布和管理;总结 上一循环中检查后的结果和问题,进行安全策略修改、重新发布和管理。标准:根据安全策略,进一步形成安全技术标准和安全管理标准,安全技术标准 包括设备安全配置基线、系统安全控制要求,安全管理标准包括项目管理流程安全要 求、安全运维流程管理要求。执行:以安全标准指导各项信息安全工作开展,根据管理标准进行项目管理、安 全运维等流程控制,根据系统安全控制要求进行技术和安全管理控制,根据安全设备 配置基线执行安全配置。具体化:将安全标准细化分解成设备级可执行的指标,量化基线控制取值,形成 控制项库和基线库,实现安全标准的落地。自动化:基于控制项库和基线库实施自动化的安全状态和安全配置核查及合规分 析,辅助事前、事中、事后的合规检查,提供更客观、
