一、引言
信息安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息安全基线是实现信息安全风险评估和风险管理的前提和基础,为了满足各业务系统的基本安全需求,就需要充分参考国家及行业标准、规范以及成熟经验,建立并形成一个针对各业务系统的基线安全模型。
二、信息系统安全基线模型分析
(一)信息系统安全基线模型。我们根据油田行业的业务特点和信息安全风险评估结果,参考国内运营商行业的基线研究思想,形成了一套适合我单位实际的信息系统的安全基线模型,如下图所示:
基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层等3层架构:
第一层是业务层,在这一层主要是依据不同业务系统的特性,定义不同安全防护的要求。
第二层是功能架构层,将业务系统分解为相对应的操作系统、网络设备、应用系统、数据库、安全设备等不同的设备/系统模块。
第三层是系统实现层,我们根据业务系统的特性将操作系统分解为Unix系统、Windows系统等,网络设备分解为路由器、交换机等系统模块。
我们通过信息系统安全基线的构建,确保油田公司业务数据在存储、传输和使用过程中的安全,确保公司业务系统持续、稳定的运行。
下面从网络、系统、数据库等几个方面举例说明基线安全检查的内容:
网络方面:我公司对网络设备加固的评价指标和要求中有一条是“应禁用网络设备的HTTP服务”,检查此内容的方法是登人网络设备,使用命令查看网络配置中是否有“no ip http server”这样一条配置内容,如果没有就不符合网络安全加固的要求。
系统方面:Windows系统安全加固要求中有一条是“应对操作系统设置口令策略,重要用户口令长度>8位;一般用户口令长度>6位”,检查系内容的方法是检查操作系统的本地安全策略的密码策略,查看定义长度是否符合要求。Unix系统则用“more etc/login.defs”命令查看。
数据库方面:Oracle数据库安全加固要求有一条是“应修改系统账户的默认口令”,检查方法就是用system账户的默认口令尝试登录,如果登录成功,则不符合安全加固要求。不同的数据库产品检查方法也不一样,需要使用相应的检查命令。MS SQLserver则用sa账号的默认口令尝试登录,如果成功则不符合安全加固要求。
(二)基线核查策略研究。我们通过对业务系统的分析与整理,针对业务系统特性,将信息安全威胁分为信息安全漏洞方面、信息安全配置方面多所引起的信息风险。具体如下图所示:
安全配置:由于信息管理员人为的疏忽造成,涉及到用户账号、用户口令、访问授权、系统日志等方面内容,反映了系统自身的安全脆弱性。
安全漏洞:由于业务系统本身的问题引起的安全风险,通常包括了系统登录漏洞、DDOS(拒绝服务)漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
建立基线核查策略库检查列表需要遵循如下命名规则:
安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行的安全规范明细,安全基线要求项命名规则为“安全基线——级分类一二级分类-类型编号一明细编号”,例如SBL-System-Solaris-01-01,代表“安全基线-操作系统类一Solaris-账号类——锁定无关账号。
业务系统的安全配置库建立起来之后,将形成针对不同系统的详细检查列表表格和操作指南,为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等。
三、建立基线核查策略库内容
建立信息安全基线核查策略库,内容上主要参考国际上主流的安全检查策略,并结合中国石油安全防护要求和应用系统等级保护的强度,以及国内设备、系统及应用环境的特殊性,定制开发一套适用于本公司的强制性系统安全差距与策略标准。首先从一些安全等级较低的信息系统或IT设备开始,并且逐步固定检查策略库的模板,搭建与信息所实际应用环境类似的模拟测试环境,对检查策略库进行严格的测试;然后根据前期确定的检查策略库模板开发后续系统及应用,保证其标准风格的统一性。
在研究我公司的基线安全需求后,即可确定一系列针对公司信息系统中的网络设备、操作系统和数据库的安全配置核查和功能测试规范,包括通用路由器、各品牌路由器、通用操作系统、UNIX主机系统、Windows主机系统,通用数据库、oracle数据库等设备、系统的安全配置规范和安全功能测试规范。规范中的配置核整部分明确了设备的基本配置安全要求,为在设备人网狈试、工程验收和设备运行维护环节明确相关安全要求精供指南。
安全基线对上述各类的设备和系统功能和配置方面拈出了基本和具体的安全要求。其中,配置要求适用于工私验收和日常维护。通过基线核查工具进行配置的检查,杯据相应的配置规范自动发现安全漏洞、配置错误等,从而实现管理规定和流程信息化,明确内控和外放目标。
基线核查策略库中提交的Checklist主要参考国防上主流的Checklist,并结合集团公司的业务需求。主要是国内设备、系统及应用环境的特殊性,定制开发一套适用于公司的强制性系统安全配置标准。Checklist着先从一些常见系统(如Windows操作系统)开始,并月逐步固定Checklist的模板,搭建与信息所实际应用环境类似的模拟测试环境,对Checklist进行严格的测试;然后根据前期确定的Checklist模板开发后续系统及应用配Checklist,保证其标准风格的统一性。
基线策略库的研究范围主要包括操作系统、数据库、网络设备以及安全设备等。操作系统主要包括:Windows操作系统、UNIX操作系统系列(AIX, HFUNIX, Solaris)等;数据库主要包括:Oracle, MySQL, SQL Server等;网络设备主要包括:思科、华为等设备;安全设备主要包括:天融信、绿盟防火墙等。
基线策略库的研究内容主要包括账号、口令、授权、日志、IP地址以及其它方面的内容。这些内容涉及国家电网的检查内容以及可能会影响设备或系统安全性的方面,比如口令的复杂性,生存期、历史口令、口令修改、口令存放等方面的内容。规范中的配置核查部分明确了设备的基本配置安全要求,为在设备人网测试、工程验收和设备运行维护环节明确相关安全要求提供指南。
四、自动化基线核查工具的开发
通过信息系统安全基线以及基线核查策略库的构建,可以满足基本的安全需求,使系统达到一定的安全防护水平。但如果此部分工作都由人员手工配置的话,人为的配置安全检查费时费力,效率低下,而且对安全检查人员素质要求也较高。自动化基线核查工具的主要研究内容就是如何通过机器语言,采用高效、智能的识别技术,以实现对网络资产设备自动化的安全配置检测、分析,并提供专业的安全配置建议与合规性报表,在提高安全配置检查的方便性、准确性,在节省时间成本的同时,让安全配置维护工作变得有条不紊而且简单、易于操作。
五、结束语
我公司安全基线管理平台的核查策略库将包括操作系统、数据库、网络设备以及安全设备四个大类,这样公司将可以参考这些基线策略库对公司所属的系统、设备进行安全配置加固以达到基线要求,从而提升公司整体的基础安全水平,以实现业务系统的安全风险度量,让安全风险可控、可管。
可以看出,通过设计基线、配置基线、基线检查与监控、维护基线的过程,可以对本单位整体安全基线形成一个闭环,进而合理地维护公司的信息安全基线水平,确保公司的安全风险可控,提升整体的安全防护能力和安全水平。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:信息安全基线管理在企业信息化中的应用
本文网址:http://www.toberp.com/html/consultation/10839510870.html
相关文章
