来源:蜘蛛抓取(WebSpider)
时间:2018-08-08 02:13
标签:
背靠背拥抱
&p&首先数学基础你应该具备。逻辑思维,理解能力要跟上。&/p&&p&下面开始说下要学的知识:&/p&&p&windows
linux的基础使用。
linux可以看鸟哥的私房菜。【虚拟机必须会用】&/p&&p&然后可以升级一下,学学网络。CCNA必须得弄明白。VLAN、静态路由、ospf、vrrp。
OSI七层模型必须整清楚。&/p&&p&----------------------------以上期限三个月----------------------------------&/p&&p&OK,看完这些可以开始入门。&/p&&p&python官方手册、php手册、mysql手册、Javascript、HTML、Jquery&/p&&p&然后编写一些简单的程序 留言板、blog&/p&&p&---------------------------以上期限半年--------------------------------------&/p&&p&恩,现在基本是一个菜鸟全栈了。&/p&&p&咱们继续深入。&/p&&p&TCP/IP协议
WindowsAPI
debug的使用。&/p&&p&-------------------------以上需要一直学,一年可有小成----------------------&/p&&p&现在基础差不多了,可以入手安全工具的学习。&/p&&p&kali、burpsuite、metasploit、python灰帽子&/p&&p&如果没有之前的积累,你学这些会觉得很累。当积累到了,在去学这些,会发现很轻松。&/p&&p&-------------------------三个月-----------------------------------------------&/p&&p&&br&&/p&&p&OK,现在可以开始分线路发展了。&/p&&p&Web狗,可以去挖挖SRC、做做代码审计、开发点扫描器。&/p&&p&二进制狗,需要深入学习汇编原理、和系统运行原理。堆栈溢出、DEP。。。。。。。&/p&&p&不过建议一起学。有互帮互助的功能。&/p&&p&漏洞挖掘的同时玩玩模糊测试。挖个CVE啥的。
应该算是入门的黑客了。&/p&&p&&br&&/p&&p&以上所有时间大概2年吧。最好有个师傅带着。有几个团队的兄弟陪着。进步更快。&/p&&p&&br&&/p&&p&反正这些就是我的入门路线。。现在还在入门中。。&/p&&p&&br&&/p&&p&&br&&/p&&p&-------挂个黑链-------&/p&&p&&a href=&https://www.zhihu.com/question//answer/& class=&internal&&知乎用户:黑客入侵各大企业是一种怎么样的感觉?&/a&&/p&
首先数学基础你应该具备。逻辑思维,理解能力要跟上。下面开始说下要学的知识:windows linux的基础使用。 linux可以看鸟哥的私房菜。【虚拟机必须会用】然后可以升级一下,学学网络。CCNA必须得弄明白。VLAN、静态路由、ospf、vrrp。 OSI七层模型必须整清…
&figure&&img src=&https://pic1.zhimg.com/v2-36de2abfea6c3674dac81176cc66ddac_b.jpg& data-rawwidth=&434& data-rawheight=&441& class=&origin_image zh-lightbox-thumb& width=&434& data-original=&https://pic1.zhimg.com/v2-36de2abfea6c3674dac81176cc66ddac_r.jpg&&&/figure&&h2&&b&前言&/b&&/h2&&p&前天友商发布了一个关于海莲花APT团伙的新活动报告,揭露了一些新发现的样本和基础设施,&b&本文提供一些360威胁情报中心视野内的信息来构成更大的拼图。&/b&&/p&&h2&&b&历史&/b&&/h2&&p&&b&自从0威胁情报中心首次发布揭露海莲花APT团伙报告以来,我们一直持续关注着此团伙的活动,团伙只是在报告发布以后沉寂过一小段时间,此后从来就没停止过活动,力度甚至超过以往。&/b&2016年6月,360威胁情报中心发布过又一篇跟踪分析:《海莲花重出水面》,介绍了结合终端和网络数据所监测到的更全面的攻击活动细节,详情可以参看链接:&/p&&p&&a href=&https://link.zhihu.com/?target=https%3A//ti.360.net/blog/articles/resurface-of-oceanlotus/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&ti.360.net/blog/article&/span&&span class=&invisible&&s/resurface-of-oceanlotus/&/span&&span class=&ellipsis&&&/span&&/a& &/p&&p&攻击活动可以简要以如下图来归纳:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-10d15223dcf966a2caa3adfb6d74bc05_b.jpg& data-rawwidth=&698& data-rawheight=&1218& class=&origin_image zh-lightbox-thumb& width=&698& data-original=&https://pic2.zhimg.com/v2-10d15223dcf966a2caa3adfb6d74bc05_r.jpg&&&/figure&&p&当时活动相关的TTP描述如下:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-d6ee3d4b39c267df6dc41_b.jpg& data-rawwidth=&662& data-rawheight=&277& class=&origin_image zh-lightbox-thumb& width=&662& data-original=&https://pic2.zhimg.com/v2-d6ee3d4b39c267df6dc41_r.jpg&&&/figure&&h2&&b&现状&/b&&/h2&&p&0威胁情报中心截获并分析了多个海莲花团伙的新样本及对应的通信基础设施,相关的信息在威胁情报中心的数据平台上可以看到并且已经推送到天眼未知威胁检测系统及NGSOC的新版本中,用户如果查询到相关的IOC元素则可以立即看到平台输出的标签信息。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-919f329a03b4cfced57de_b.jpg& data-rawwidth=&1355& data-rawheight=&914& class=&origin_image zh-lightbox-thumb& width=&1355& data-original=&https://pic1.zhimg.com/v2-919f329a03b4cfced57de_r.jpg&&&/figure&&p&&br&&/p&&p&威胁情报中心发现的相关多个样本和IP/域名等基础设施:&/p&&figure&&img src=&https://pic4.zhimg.com/v2-62c04bce69bf6eec040d8c_b.jpg& data-rawwidth=&1043& data-rawheight=&812& class=&origin_image zh-lightbox-thumb& width=&1043& data-original=&https://pic4.zhimg.com/v2-62c04bce69bf6eec040d8c_r.jpg&&&/figure&&p&网络层的IOC方面主要涉及如下几个在日集中注册的域名(同天注册似乎是海莲花团伙的操作惯例,甚至可以作为识别团伙的特征之一)。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-7a5af8b7d48a2fb60683a2_b.jpg& data-rawwidth=&813& data-rawheight=&409& class=&origin_image zh-lightbox-thumb& width=&813& data-original=&https://pic4.zhimg.com/v2-7a5af8b7d48a2fb60683a2_r.jpg&&&/figure&&p&域名为:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&engine.lanaurmi.com
movies.onaldest.com
images.andychroeder.com
png.eirahrlichmann.com
&/code&&/pre&&/div&&p&基于样本及其他数据源的得到的其他类型IOC见IOC节,相关的技术分析可能会输出单独的报告。&/p&&h2&&b&变化&/b&&/h2&&p&基于对样本及更多其他来源数据的整合分析和历史活动的长期跟踪,我们发现海莲花团伙活动的一些变化,值得在此分享给安全社区:&/p&&p&1.&b&攻击所使用的木马后门工具更复杂对抗更强。&/b&360威胁情报中心分析了若干个除Cobalt Strike组件以外的自研木马代码,发现其更加普遍地采用了白程序利用结合Shellcode的方式来绕过防病毒系统的检测,为了对抗人工分析恶意代码做了深度混淆。这个变化体现了团伙在技术能力上有了进一步地提升,使我们的分析工作需要更先进的工具,投入更多人力。&/p&&p&2.&b&与去年相比,海莲花团伙的攻击活动面有所收窄,但攻击目标的针对性加强,鱼叉邮件的社工特性突出,体现对攻击目标的深度了解。&/b&有用户反馈到威胁情报中心的样本使用了如下的附件名:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&invitation letter-zhejiang ***** working group.doc
&/code&&/pre&&/div&&p&星号是非常具体的目标所在组织的简称,目标人物在浙江省,所以附件名里加了zhejiang字样,暗示这是完全对目标定制的Payload。这与2016年采用的广撒网式的策略完全不同,体现了攻击目标的专注度。&/p&&p&3.&b&攻击所采用的网络基础设施做了更彻底的隔离,使之更不容易做关联溯源分析。&/b&基于以往活动的分析,360威胁情报中心了解团伙所使用的IP偏爱193.169.*.*网段,过往很多攻击活动可以基于此非常容易地关联起来。今年的新近样本使用的网络基础设施与既往的没有重叠,非常”干净”。以往基于网络资源重叠的关联分析不再有效,导致分析人员需要耗费大量的人力去啃对抗加强后的样本以获取关联点,这些制造的麻烦虽然不至于使关联工作最终搁浅,但确实大大增加了资源的消耗。&/p&&p&4.&b&对之前已经攻击过的目标会进行反复攻击,发送新版本的鱼叉邮件尝试再次获取控制。&/b&我们处理用户反馈的过程中发现对于海莲花团伙所认定的高价值用户,系统上的恶意代码由于被揭露而清除以后,攻击团伙还会尝试用新Payload进行攻击,对于之前已经控制的目标也会以新Payload转换控制所用的网络基础设施。&/p&&p&以上这些变化可以简单总结为海莲花团伙的技术水平在提升,与此同时攻击更加专注也更注意隐藏自己。&/p&&h2&&b&IOC&/b&&/h2&&figure&&img src=&https://pic4.zhimg.com/v2-0c9b87cdd73497cbee792734dce988bc_b.jpg& data-rawwidth=&667& data-rawheight=&464& class=&origin_image zh-lightbox-thumb& width=&667& data-original=&https://pic4.zhimg.com/v2-0c9b87cdd73497cbee792734dce988bc_r.jpg&&&/figure&&p&&/p&&p&&/p&
前言前天友商发布了一个关于海莲花APT团伙的新活动报告,揭露了一些新发现的样本和基础设施,本文提供一些360威胁情报中心视野内的信息来构成更大的拼图。历史自从0威胁情报中心首次发布揭露海莲花APT团伙报告以来,我们一直持续关注着此团伙的…
&p&1 引言&/p&&h2&1.1 编写目的&/h2&&p&《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004&br&年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66&br&号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。&/p&&p&27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。&/p&&h2&1.2 适用范围&/h2&&p&本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。&/p&&h2&1.3 文档结构&/h2&&p&本指南包括五个章节和两个附录。&/p&&p&第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。&/p&&h2&2 基本原理&/h2&&h2&2.1 基本概念&/h2&&p&2.1.1 电子政务等级保护的基本含义&/p&&p&信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”&/p&&p&电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。&/p&&p&电子政务信息安全等级保护遵三循以下原则:&/p&&p&a) 重点保护原则&/p&&p&电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。&/p&&p&b) “谁主管谁负责、谁运营谁负责”原则&/p&&p&电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。&/p&&p&c) 分区域保护原则&/p&&p&电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。&/p&&p&d) 同步建设原则&/p&&p&电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。&/p&&p&e) 动态调整原则&/p&&p&由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。&/p&&p&2.1.2 电子政务安全等级的层级划分&/p&&p&66 号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-bb7f5c5c5d30dcb33c0f1_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&561& data-rawheight=&695& class=&origin_image zh-lightbox-thumb& width=&561& data-original=&https://pic2.zhimg.com/v2-bb7f5c5c5d30dcb33c0f1_r.jpg&&&/figure&&p&2.1.3 电子政务等级保护的基本安全要求&/p&&p&电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。&/p&&p&a) 安全策略&/p&&p&安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。&/p&&p&b) 安全组织&/p&&p&安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。&/p&&p&c) 安全技术&/p&&p&安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。&/p&&p&d) 安全运行&/p&&p&安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。&/p&&p&具体的电子政务等级保护基本安全要求参见相关的国家标准。&/p&&h2&2.2 基本方法&/h2&&p&2.2.1 等级保护的要素及其关系&/p&&p&电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施&/p&&p&安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。&/p&&p&电子政务等级保护包含以下七个要素:&/p&&p&a) 电子政务系统&/p&&p&电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。&/p&&p&b) 目标&/p&&p&目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标&/p&&p&和安全目标的实现。&/p&&p&c) 电子政务信息安全等级&/p&&p&电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。&/p&&p&d) 安全保护要求&/p&&p&不同的电子政务系统具有不同类型和不同强度的安全保护要求。&/p&&p&e) 安全风险&/p&&p&安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。&/p&&p&f) 安全保护措施&/p&&p&安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。&/p&&p&g) 安全保护措施的成本&/p&&p&不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。&/p&&p&电子政务等级保护各要素之间的关系是:&/p&&p&a) 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。&/p&&p&b) 安全措施需要满足系统安全保护要求,对抗系统所面临的风险。&/p&&p&1) 不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。&/p&&p&2) 系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。&/p&&p&c) 电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。&/p&&p&2.2.2 电子政务等级保护实现方法&/p&&p&27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。&/p&&p&电子政务等级保护的实现方法如图2-1 所示:&/p&&figure&&img src=&https://pic4.zhimg.com/v2-2de178bfc0ba90c72b50ebbc5c62823b_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&301& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic4.zhimg.com/v2-2de178bfc0ba90c72b50ebbc5c62823b_r.jpg&&&/figure&&p&电子政务系统实施等级保护的方法是:&/p&&p&a) 依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;&/p&&p&b) 按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求;&/p&&p&c) 依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。&/p&&h2&2.3 实施过程&/h2&&p&电子政务等级保护的实施过程包括三个阶段,分别为:&/p&&p&a) 定级阶段&/p&&p&b) 规划与设计阶段&/p&&p&c) 实施、等级评估与改进阶段&/p&&p&电子政务等级保护的基本流程如图2-2 所示:&/p&&figure&&img src=&https://pic3.zhimg.com/v2-9bd146dfbc3dee6fbbe4b6_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&572& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic3.zhimg.com/v2-9bd146dfbc3dee6fbbe4b6_r.jpg&&&/figure&&p&第一阶段:定级&/p&&p&定级阶段主要包括两个步骤:&/p&&p&a) 系统识别与描述&/p&&p&清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。&/p&&p&b) 等级确定&/p&&p&完成电子政务系统总体定级和子系统的定级。&/p&&p&第二阶段:规划与设计&/p&&p&规划与设计阶段主要包括三个步骤,分别为:&/p&&p&系统分域保护框架建立&/p&&p&通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。&/p&&p&b) 选择和调整安全措施&/p&&p&根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。&/p&&p&c) 安全规划和方案设计&/p&&p&根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。&/p&&p&第三阶段:实施、等级评估与改进&/p&&p&实施、等级评估与改进阶段主要包括三个步骤,分别为:&/p&&p&a) 安全措施的实施&/p&&p&依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。&/p&&p&b) 评估与验收&/p&&p&按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。&/p&&p&c) 运行监控与改进&/p&&p&运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。&/p&&p&对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。&/p&&p&新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不相同的,它们各自的切入点及其对应关系如图2-3 所示。&/p&&p&新建电子政务系统在启动时,应当按照等级保护的要求来建设。&/p&&p&a) 系统规划阶段,应分析并确定所建电子政务系统的安全等级,并在项目建议书中对系统的安全等级进行论证。&/p&&p&b) 系统设计阶段,要根据所确定的系统安全等级,设计系统的安全保护措施,并在可行性分析中论证安全保护措施;&/p&&p&c) 系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收。&/p&&p&d) 系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理。&/p&&p&e) 系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。&/p&&p&对于已建的电子政务系统,由于在系统规划、设计和实施阶段没有考虑等级保护的要求,因此等级保护工作的切入点是系统运行维护阶段。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-63dce15e990a483fa5f5ed25e6c514e0_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&385& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic1.zhimg.com/v2-63dce15e990a483fa5f5ed25e6c514e0_r.jpg&&&/figure&&p&&br&&/p&&p&在确定要实施等级保护工作之后,应对系统进行安全现状分析,深入认识和理解机构所拥有的电子政务系统,对每个系统进行定级,之后进行等级保护的安全规划和方案设计,最后进行实施、评估和验收。&/p&&h2&2.4 角色及职责&/h2&&p&电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。&/p&&p&a) 决策者&/p&&p&决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下:&/p&&p&1) 组织、协调和推动本单位电子政务等级保护工作;&/p&&p&2) 负责最终确定本单位电子政务系统的安全等级;&/p&&p&3) 领导和监督本单位电子政务等级保护体系的建设工作;&/p&&p&4) 与本单位电子政务等级保护建设的上级主管部门进行沟通和协调,组织、配合等级评审与验收;&/p&&p&5) 监督本单位电子政务等级保护体系的运行与改进。&/p&&p&b) 技术负责人&/p&&p&技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、技术决策人和实施管理者。技术负责人在等级保护中的职责如下:&/p&&p&1) 协助决策者组织、协调和推动本单位电子政务等级保护的工作;&/p&&p&2) 向决策者提供本单位电子政务系统安全定级的建议及依据;&/p&&p&3) 组织实施本单位电子政务等级保护体系的建设;&/p&&p&4) 组织和总结本单位等级保护的实施情况,配合上级主管部门进行等级评估和验收;&/p&&p&5) 组织实施本单位电子政务等级保护体系的运行与改进。&/p&&p&c) 实施人员&/p&&p&实施人员是政务机构中实施信息安全等级保护的具体工作人员。实施人员在等级保护中的职责如下:&/p&&p&1) 分析本单位电子政务系统,收集定级理由和证据;&/p&&p&2) 在技术负责人的领导下,具体组织和参与完成等级保护各阶段的工作。&/p&&h2&2.5 系统间互联互通的等级保护要求&/h2&&p&不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。不同安全等级的系统互联互通,要根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求:&/p&&p&a) 同等级电子政务系统之间的互联互通&/p&&p&由系统的拥有单位参照该等级对访问控制的要求,协商确定边界防护措施和数据交换安全措施,保障电子政务系统间互联互通的安全。&/p&&p&b) 不同等级电子政务系统间的互联互通&/p&&p&各系统在按照自身安全等级进行相应保护的基础上,协商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。&/p&&p&c) 涉密系统与其它系统的互联互通,按照国家保密部门的有关规定执行。&/p&&p&d) 电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。&/p&&h2&3 定级&/h2&&p&电子政务系统定级可以采用以下两种方式进行:&/p&&p&a) 对系统总体定级&/p&&p&系统总体定级是在识别出政务机构所拥有的电子政务系统后,针对系统整体确定其安全等级。&/p&&p&b) 将系统分解为子系统后分别定级&/p&&p&政务机构所拥有的电子政务系统如果规模庞大、系统复杂,则可以将系统分解为多层次的多个子系统后,对所分解的每个子系统分别确定其安全等级。&/p&&h2&3.1 定级过程 &/h2&&p&定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础,定级结果应按照相关管理规定提交相关管理部门备案。&/p&&p&定级阶段工作主要包含两个过程:&/p&&p&a) 系统识别与描述&/p&&p&应准确识别并描述出整体的电子政务系统,以及系统可以分解的子系统。系统识别要确定系统的范围和边界,识别系统包含的信息和系统提供的服务,作为后续定级工作的输入。&/p&&p&b) 等级确定&/p&&p&进行系统整体定级和子系统分别定级,形成系统的定级列表,作为后续阶段工作的基础。定级工作流程如图3-1 所示。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-bc4f5deb9a7f0c6c77b16e0_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&540& data-rawheight=&422& class=&origin_image zh-lightbox-thumb& width=&540& data-original=&https://pic1.zhimg.com/v2-bc4f5deb9a7f0c6c77b16e0_r.jpg&&&/figure&&p&&br&&/p&&h2&3.2 系统识别与描述&/h2&&p&3.2.1 系统整体识别与描述&/p&&p&实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述,识别和描述的内容至少包括如下信息:&/p&&p&a) 系统基本信息&/p&&p&系统名称,系统的简要描述,所在地点等。&/p&&p&b) 系统相关单位&/p&&p&负责定级的责任单位,系统所属单位,系统运营单位,主管部门,安全运营单位,安全主管部门等。&/p&&p&c) 系统范围和边界&/p&&p&描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等,并清晰描述出其边界。&/p&&p&d) 系统提供的主要功能或服务&/p&&p&从整体层面描述系统所提供的主要功能或服务,即对公众、企业、相关政府机关、内部用户等提供的主要服务。&/p&&p&e) 系统所包含的主要信息&/p&&p&描述系统所输入、处理、存储、输出的主要信息和数据。&/p&&p&3.2.2 划分子系统的方法&/p&&p&3.2.2.1 划分原则&/p&&p&对政务机构所拥有的大型复杂电子政务系统,可以将其划分为若干子系统进行定级,子系统划分基于以下原则:&/p&&p&a) 按照系统服务对象划分&/p&&p&电子政务系统的服务对象即目标用户,包括社会公众、企事业单位、机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统:&/p&&p&1) 政务机构对公民的电子政务系统&/p&&p&2) 政务机构对企业的电子政务系统&/p&&p&3) 政务机构对政务机构的电子政务系统&/p&&p&4) 政务机构对公务员的电子政务系统&/p&&p&b) 按系统功能类型划分&/p&&p&根据系统的功能类型或提供的服务类型划分子系统。划分时除了考虑到对外部用户(社会公众、企事业单位、其它政务机构)提供服务的对外业务系统,对内部用户(内部公务员、领导)提供服务的内部办公和管理系统外,还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统,如网络承载平台、网管系统、安全系统等。&/p&&p&c) 按照网络区域划分&/p&&p&根据电子政务系统建设现状,系统可能运行在不同的电子政务网络范围内,不同的电子政务网络在涉密程度、隔离模式和管理模式上差异较大,所以可以按照电子政务系统运行的网络区域进行子系统划分。&/p&&p&d) 按行政级别划分&/p&&p&按系统所处的行政级别,如中央、省部级、地市级、县区级等进行子系统划分。&/p&&p&3.2.2.2 子系统划分方法&/p&&p&在子系统划分时,应根据系统实际情况和管理模式,综合考虑子系统划分的四个原则,确定适用于各电子政务系统的子系统划分标准。划分时可以选择一个原则,也可以同时选用&/p&&p&多个原则作为划分标准,如以某一个或两个要素为主要划分标准,其余为辅助划分标准。对于规模庞大的系统,为了便于描述,一般应按照多个层次逐级进行划分。具体的划分方法可参考《附录B:大型复杂电子政务系统等级保护实施过程示例》。&/p&&p&3.2.3 子系统识别与描述&/p&&p&子系统的识别与描述可参照3.2.1 系统整体识别与描述。&/p&&h2&3.3 等级确定&/h2&&p&3.3.1 电子政务安全属性描述&/p&&p&电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。电子政务信息安全属性包括三个方面:保密性、完整性、可用性。&/p&&p&a) 保密性&/p&&p&确保电子政务系统中的信息只能被授权的人员访问。保密性破坏是指电子政务系统中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别:&/p&&p&1) 涉及国家秘密的信息,包括绝密级、机密级和秘密级信息;&/p&&p&2) 敏感信息,指不涉及国家秘密,但在政务工作过程中需要一定范围保密,不对&/p&&p&社会公众开放的信息;&/p&&p&3) 公开信息,指对社会公众开放的信息。&/p&&p&b) 完整性&/p&&p&确保电子政务系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对电&/p&&p&子政务系统中信息和系统的未授权修改和破坏。电子政务完整性目标包括两个方面:&/p&&p&1) 电子政务系统中存储、传输和处理的信息完整性保护;&/p&&p&2) 电子政务系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、电子政务应用系统等信息系统的每一个组成部分的完整性保护。&/p&&p&c) 可用性&/p&&p&确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。可用性破坏是指电子政务系统所提供服务的中断,授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源,不因人为或&/p&&p&自然的原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏或被拒绝达到不能容忍的程度。电子政务可用性目标保护包括两个方面:&/p&&p&1) 电子政务系统所提供的服务的可用性;&/p&&p&2) 电子政务系统中存储、传输和处理的信息的可用性。&/p&&p&3.3.2 定级原则&/p&&p&电子政务系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。&/p&&p&a) 安全等级第一级&/p&&p&对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较小的负面影响,包括:&/p&&p&1) 对政务机构运行带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有较小程度的降低;&/p&&p&2) 对政务机构、相关单位、人员造成较小经济损失;&/p&&p&3) 对政务机构、相关单位、人员的形象或名誉造成较小影响;&/p&&p&4) 不会造成人身伤害。&/p&&p&b) 安全等级第二级&/p&&p&对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:&/p&&p&1) 对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务&/p&&p&职能,但效率有较大程度的降低;&/p&&p&2) 对政务机构、相关单位、人员造成一定程度的经济损失;&/p&&p&3) 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;&/p&&p&4) 造成轻微的人身伤害。&/p&&p&c) 安全等级第三级&/p&&p&对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括:&/p&&p&1) 对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履行;&/p&&p&2) 对政务机构、相关单位、人员造成较大经济损失;&/p&&p&3) 对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;&/p&&p&4) 导致严重的人身伤害。&/p&&p&d) 安全等级第四级&/p&&p&对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:&/p&&p&1) 对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并&/p&&p&在省级行政区域范围内造成严重影响;&/p&&p&2) 对国家造成严重的经济损失;&/p&&p&3) 对国家形象造成严重影响;&/p&&p&4) 导致较多的人员伤亡;&/p&&p&5) 导致危害国家安全的犯罪行为。&/p&&p&e) 安全等级第五级&/p&&p&对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害,包括:&/p&&p&1) 对政务机构运行带来极其严重的负面影响,中央政务机构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;&/p&&p&2) 对国家造成极大的经济损失;&/p&&p&3) 对国家形象造成极大影响;&/p&&p&4) 导致大量人员伤亡;&/p&&p&5) 导致危害国家安全的严重犯罪行为。&/p&&p&电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1 所示。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-3fbcaa7718535d_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&575& data-rawheight=&598& class=&origin_image zh-lightbox-thumb& width=&575& data-original=&https://pic2.zhimg.com/v2-3fbcaa7718535d_r.jpg&&&/figure&&p&3.3.3 定级方法&/p&&p&确定电子政务安全等级的基本方法是:通过确定系统保密性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统,可以引入业务系统等级确定方法,具体方法可以参照《附录B:大型复杂电子政务系统等级保护实施过程示例》。&/p&&p&系统定级主要考虑两个方面:一是系统中所存储、处理、传输的主要信息,二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析,最终确定系统的安全等级。系&/p&&p&统安全等级是系统中各类信息和服务安全等级的最大值,并且可以根据系统整体实际情况进行调整,确定系统最终的安全等级。某个电子政务系统(假设其名称为A)的安全等级可以表示为:安全等级(A)=Max{ (系统保密性等级) ,(系统完整性等级),(系统可用性等级)}其中:&/p&&p&系统保密性等级=Max { (各信息或服务的保密性等级) }&/p&&p&系统完整性等级=Max { (各信息或服务的完整性等级) }&/p&&p&系统可用性等级=Max { (各信息或服务的可用性等级) }&/p&&p&电子政务系统A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。&/p&&p&举例:某个政务机构招标采购系统进行定级,系统中包含两类信息和一种服务,一类信息为开标前各投标单位的投标信息,另一类信息为系统管理信息,系统提供的服务为招标服务。投标信息的保密性等级为3,完整性等级为2,可用性等级为2;系统管理信息的保密性等级为1,完整性等级为1,可用性等级为1;招标服务的保密性等级为1,完整性等级为1,可用性等级为2。通过比较两类信息各安全属性等级的最大值,得到系统在三个安全属性方面的等级:&/p&&p&系统保密性等级=Max { (投标信息保密性等级:3),(系统管理信息保密性等级:&/p&&p&1) ,(招标服务保密性等级:1)&br&}=3&/p&&p&系统完整性等级=Max { (投标信息完整性等级:2),(系统管理信息完整性等级:1) ,(招标服务完整性等级:1) }=2,&/p&&p&系统可用性等级=Max { (投标信息可用性等级:2),(系统管理信息可用性等级:1) ,标服务可用性等级:2) }=2,&/p&&p&得到该政务机构招标采购系统的安全等级为:安全等级(投标采购系统)= Max {(保密性等级:3),(完整性等级:2),(可用性等级:2)}=3该政务机构招标采购系统的最终安全等级确定为3。&/p&&p&3.3.4 复杂系统定级方法&/p&&p&对于包括多个子系统的复杂电子政务系统,定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的&/p&&p&定级方式,也可以综合两种方式进行。&/p&&p&3.3.4.1 自上向下的定级方式&/p&&p&自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况,根据定级规则对电子政务系统进行总体定级,然后根据系统总体安全等级,对子&/p&&p&系统采用同一等级或适当降低等级,从而确定子系统等级。自上向下定级方式是从整体系统的属性出发,向下细分,通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等,来把握系统整体的安全等级。自上向下的定级方式包含如下步骤:&/p&&p&a) 确定整体系统的等级,即总体定级&/p&&p&1) 对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级,得到一个列表;&/p&&p&2) 按照系统定级规则,计算得到整体系统的保密性、完整性和可用性的初始安全等级,和初始的总体定级;&/p&&p&3) 对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审,评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位,以及本系统的外部环境等因素。对于等级不合适的部分进行调整,最后确定系统的最终安全等级。&/p&&p&b) 确定各子系统的等级&/p&&p&1) 从总体等级出发,对子系统采用相同等级或适当降低等级,从而确定子系统等级;&/p&&p&2) 也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,按照系统定级规则确定各子系统等级;&/p&&p&3) 把上述的两种定级结果进行比较,最终确定各子系统的等级。&/p&&p&3.3.4.2 自下向上的定级方式&/p&&p&自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性,根据定级规则对各子系统进行定级,然后以各子系统的安全等级为基础,&/p&&p&综合考虑,得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发,通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤:&/p&&p&a) 确定各子系统的等级&/p&&p&1) 对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,得到一系列的列表;&/p&&p&2) 针对每个子系统,按照系统定级规则得到各子系统安全等级。&/p&&p&b) 确定整体系统的等级,即总体定级对各子系统等级进行总结和分析,确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级,但对于只有比例极少的子系统是最高等级的情况下,可以调低一级。&/p&&h2&4 安全规划与设计&/h2&&p&电子政务系统在完成定级之后,等级保护工作的第二个阶段就是要进行安全规划与设计,包括系统分域保护框架建立,选择和调整安全措施,安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1 所示:&/p&&figure&&img src=&https://pic1.zhimg.com/v2-cbaac745b8ce_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&310& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic1.zhimg.com/v2-cbaac745b8ce_r.jpg&&&/figure&&p&&br&&/p&&h2&4.1 系统分域保护框架建立&/h2&&p&4.1.1 安全域划分&/p&&p&安全域划分是将电子政务系统划分为不同安全区域,分别进行安全保护的过程。&/p&&p&4.1.1.1 安全域划分方式&/p&&p&安全域划分可以采用以下两种方式实现:&/p&&p&a) 对政务机构整体进行安全域划分&/p&&p&在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分,将整个政务机构的所有系统分为若干个安全区域。&/p&&p&b) 在每个电子政务系统内进行安全域划分&/p&&p&在每个电子政务系统内部,划分为若干个安全区域。&/p&&p&4.1.1.2 安全域划分原则&/p&&p&电子政务安全区域的划分主要依据电子政务系统的政务应用功能、资产价值、资产所面临的风险,划分原则如下:&/p&&p&a) 系统功能和应用相似性原则&/p&&p&安全区域的划分要以服务电子政务应用为基本原则,根据政务应用的功能和应用内容划分不同的安全区域。&/p&&p&b) 资产价值相似性原则&/p&&p&同一安全区域内的信息资产应具有相近的资产价值,重要电子政务应用与一般的电子政务应用分成不同区域。&/p&&p&c) 安全要求相似性原则&/p&&p&在信息安全的三个基本属性方面,同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。&/p&&p&d) 威胁相似性原则&/p&&p&同一安全区域内的信息资产应处在相似的风险环境中,面临相似的威胁。&/p&&p&4.1.2 保护对象分类&/p&&p&保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合,是从安全角度对信息系统的描述。依据电子政务系统的功能特性、安全价值以及面临威胁的相似性,电子政务保护对象可分为计算区域、区域边界、网络基础设施三类。&/p&&p&a) 计算区域&/p&&p&计算区域是指由相同功能集合在一起,安全价值相近,且面临相似威胁的一组信息系统组成。计算区域的信息资产包括:主机资产、平台资产、应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。&/p&&p&b) 区域边界&/p&&p&区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象,不与具体资产对应,边界是一组功能集合,包括边界访问控制,边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析,可以得到某个安全区域与其它区域之间的边界。&/p&&p&c) 网络基础设施&/p&&p&网络基础设施是指由相同功能集合在一起,安全价值相近,且面临相似威胁来源的一组网络系统组成,包括由路由器、交换机和防火墙等构成的局域网或广域网,一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2 所示:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-abcafd01cf_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&412& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic2.zhimg.com/v2-abcafd01cf_r.jpg&&&/figure&&p&&br&&/p&&p&各类信息资产描述如下:&/p&&p&a) 物理环境&/p&&p&是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备,包括机房、门禁、监控、电源、空调等。&/p&&p&b) 人员资产&/p&&p&指与电子政务系统直接相关的人员,包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。&/p&&p&c) 网络资产&/p&&p&是指电子政务系统网络传输环境的设备,软件和通信介质。网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。&/p&&p&d) 主机资产&/p&&p&是指电子政务系统中承载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix 服务器、Windows 服务器、工作站和终端等。&/p&&p&e) 平台资产&/p&&p&主要是指电子政务系统的软件平台系统,包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。&/p&&p&f) 应用软件资产&/p&&p&是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。&/p&&p&g) 数据资产&/p&&p&是电子政务系统所存储、传输、处理的数据对象,是电子政务系统的核心资产。&/p&&p&4.1.3 系统分域保护框架&/p&&p&系统分域保护框架是从安全角度出发,通过对各保护对象进行组合来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程,其目标是更&/p&&p&好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则:&/p&&p&a) 充分覆盖&/p&&p&所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响方法的可行性。&/p&&p&b) 互不重叠&/p&&p&同一级别的所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中:&/p&&p&1) 两个不同的子问题其实是同一个子问题的两种表述;&/p&&p&2) 某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。&/p&&p&c) 不需再细分&/p&&p&所有子问题都必须细分到不需再细分,或不可再细分的程度。当一个问题经过框架分析后,所有不可再细分的子问题组合构成了一个“框架”。以安全域划分和保护对象分类为基础,经过结构化的分解,可以将电子政务系统分解为不同类别的保护对象,形成系统分域保护框架。&/p&&p&&br&描述了某个电子政务系统的系统分域保护框架的示例,包括了系统所划分出的计算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面,细分为7 个计算区域。第一层区域包括政务专网区域和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管理区和机关办公区;政务外网区域分为WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网网络基础设施。&/p&&p&示例中的区域边界包括:政务专网与其它政务专网系统的边界、政务专网与政务外网的边界、政务外网与互联网的边界,以及内部各计算区域之间的边界。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-a91df320e86f3d03fb92c542f7b9b704_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&341& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic1.zhimg.com/v2-a91df320e86f3d03fb92c542f7b9b704_r.jpg&&&/figure&&p&系统分域保护框架是设计解决方案的基础。大型复杂系统的分域保护框架见附录B。&/p&&h2&4.2 选择和调整安全措施&/h2&&p&电子政务系统或子系统的安全等级确定后,需要以分域保护框架为基础确定具体的安全保护措施(包括技术措施和管理措施)。确定安全措施的过程如图4-4 所示:&/p&&figure&&img src=&https://pic3.zhimg.com/v2-0ff7bab8d75c61d5879ca_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&297& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic3.zhimg.com/v2-0ff7bab8d75c61d5879ca_r.jpg&&&/figure&&p&确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求,如电子政务系统A 的安全等级为3 级,应选择3 级基本安全要求。在确定了基本安全要求的基础上,再针对每个系统特定安全要求、面临风险的状况,并考虑安全措施的成本进行安全措施的选择和调整,以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则:&/p&&p&a) 根据电子政务系统特定安全要求进行调整&/p&&p&1) 如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项&/p&&p&低于系统的安全等级,则可以降低该等级安全措施中对应的控制项的等级;&/p&&p&2) 如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项,&/p&&p&则可以添加与特定安全要求相适应的安全措施。&/p&&p&b) 根据风险评估的结果进行调整&/p&&p&1) 如果电子政务系统(或其保护对象)不存在五个等级基本安全要求中某个控制项所要控制的安全风险,或其控制项不适用,则该控制项可以进行删减;&/p&&p&2) 如果风险评估中识别的某个风险,在五个等级基本安全要求中没有相应的控制项,则可以增加此类控制项;&/p&&p&3) 如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较低,则可以降低控制项的强度等级;&/p&&p&4) 如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较高,则可以提高控制项的强度等级。&/p&&p&c) 根据安全措施的成本进行调整在安全措施的调整过程中,安全措施的成本也是一个重要的考虑因素,各机构要根&/p&&p&据实际情况,基于合理成本选择和调整安全措施。如果某些安全措施的成本太高,机构无法承受,可以通过其他措施进行弥补。如果无法找到其他措施进行弥补,则需要改变机构的业务流程、运作方式或管理模式。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-ff174d5c72a66_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&398& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic3.zhimg.com/v2-ff174d5c72a66_r.jpg&&&/figure&&figure&&img src=&https://pic4.zhimg.com/v2-a51a3728bdc0c4a89825d3_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&170& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic4.zhimg.com/v2-a51a3728bdc0c4a89825d3_r.jpg&&&/figure&&h2&4.3 安全规划与方案设计&/h2&&p&安全规划与方案设计阶段的目的是提出科学实施安全措施的方案,规划综合防范的安全保障体系,实现整体安全。安全规划与方案设计包括安全需求分析、安全项目规划、安全工作规划、安全方案设计等几个步骤。&/p&&p&4.3.1 安全需求分析&/p&&p&通过对现有安全措施的评估明确系统的安全现状,通过对比系统将要达到的安全等级的安全要求,得到现状和要求间的差距,即为安全需求。如图4-5 所示:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-450ddef08f196f366fa2a56a044e3a21_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&575& data-rawheight=&279& class=&origin_image zh-lightbox-thumb& width=&575& data-original=&https://pic2.zhimg.com/v2-450ddef08f196f366fa2a56a044e3a21_r.jpg&&&/figure&&p&4.3.2 安全项目规划&/p&&p&安全项目规划是通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序。安全项目规划主要包括:&/p&&p&a) 将安全措施依据相关性,打包成一个或多个的安全项目&/p&&p&b) 进行项目分析&/p&&p&1) 对项目进行支持或依赖等相关性分析;&/p&&p&2) 对项目进行紧迫性分析;&/p&&p&3) 对项目进行实施难易程度分析;&/p&&p&4) 对项目进行预期效果分析。&/p&&p&c) 综合项目分析结果,形成项目实施先后顺序的列表&/p&&p&&br&&/p&&p&4.3.3 安全工作规划&/p&&p&我们在安全规划中,不仅要做项目建设的规划,还要做安全工作方面的规划,以此来让等级保护的建设实施和运行能够融入到日常的安全管理和运维工作当中去,来确保等级保护&/p&&p&工作落到实处。安全工作规划需要确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算,从而进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划。&/p&&p&4.3.4 安全方案设计&/p&&p&在解决方案设计阶段,将对安全规划中所提到的近期应实现的安全措施和项目进行分析,编制系列的技术解决方案和管理解决方案。&/p&&h2&5 实施、等级评估与运行&/h2&&h2&5.1 安全措施的实施&/h2&&p&安全措施的实施是在完成等级保护的安全规划与设计之后,依据安全解决方案进行安全管理措施和安全技术措施建设。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-f6c11eb32e6d2dfe475d5_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&222& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic2.zhimg.com/v2-f6c11eb32e6d2dfe475d5_r.jpg&&&/figure&&p&安全措施的实施应依据国家有关规定和标准执行。在工程实施过程中应充分考虑施工对业务系统可能造成的影响,做好应急预案,保障业务系统正常运转。应与第三方实施单位签订保密协议和服务质量协议,同时要加强对第三方履行保密协议和服务质量协议的监督。工程实施过程中应避免因第三方人员进场带来新的安全风险。&/p&&h2&5.2 等级评估与验收&/h2&&p&完成电子政务系统定级、安全措施选择与实施之后,应启动等级评估与验收工作,以便评估电子政务系统是否满足信息安全等级保护的要求,并由电子政务系统的拥有单位或主管&/p&&p&单位组织验收。&/p&&p&电子政务等级保护工作的等级评估可以采取以下三种方式:&/p&&p&a) 自评估&/p&&p&自评估是由电子政务系统的拥有单位组织单位内部人员,评估本单位的电子政务系统是否满足电子政务信息安全等级保护的要求。&/p&&p&b) 检查评估&/p&&p&检查评估是由信息安全主管机关或业务主管机关发起,依据已经颁布的电子政务等级保护的法规或标准进行的评估活动。&/p&&p&c) 委托评估&/p&&p&委托评估指信息系统拥有单位委托具有风险评估能力的专业评估机构(包括国家建立的测评认证机构或安全企业)实施的评估活动。电子政务系统的拥有单位应根据系统的安全等级选择一种或多种评估模式。等级评估结束后,应由电子政务系统的拥有单位或主管单位主持验收工作,确定完成等级保护建设工作的电子政务系统是否达到相应的安全等级,以及是否可以投入运行。&/p&&h2&5.3 运行监控与改进&/h2&&p&电子政务等级保护在完成实施、评估与验收工作之后,则进入了安全运行与改进阶段。这一阶段的主要工作是对系统的安全风险和等级保护体系的运行状况进行持续监控,确保在&/p&&p&系统发生变化、系统的安全风险发生变化的情况下,能够及时调整系统的安全措施,并在系统或系统的安全风险发生重大变化时,进行系统的重新定级和安全措施的调整,以确保系统得到相应的保护。等级保护的运行改进过程如图5-2 所示。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-fc3ac128f4d0f60cf4fd78_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&575& data-rawheight=&385& class=&origin_image zh-lightbox-thumb& width=&575& data-original=&https://pic1.zhimg.com/v2-fc3ac128f4d0f60cf4fd78_r.jpg&&&/figure&&h2&附录A 术语与定义&/h2&&p&a) 信息资产&/p&&p&对组织具有价值的信息资源,是安全策略保护的对象。资产价值是资产的属性,也是进行资产识别的主要内容。&/p&&p&b) 服务&/p&&p&信息系统通过提供某些功能来满足用户需求的过程。&/p&&p&c) 信息系统生命周期&/p&&p&信息系统生命周期是某一信息系统从无到有,再到废弃的整个过程,包括规划、设计、实施、运维和废弃五个阶段。&/p&&p&d) 威胁&/p&&p&可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。&/p&&p&e) 脆弱性&/p&&p&可能被威胁利用对资产造成损害的薄弱环节。&/p&&p&f) 影响&/p&&p&信息安全事件造成的后果。&/p&&p&g) 风险&/p&&p&风险是指人为或自然的威胁利用系统存在的脆弱性,导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。&/p&&p&h) 信息安全风险评估&/p&&p&依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。&/p&&p&i) 风险管理&/p&&p&组织中识别风险、分析风险和控制风险的活动。&/p&&p&j) 安全措施&/p&&p&保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。&/p&&h2&附录B 大型复杂电子政务系统等级保护实施过程示例&/h2&&h2&B.1 大型复杂电子政务系统描述&/h2&&p&大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统,一般具有以下特点:&/p&&p&a) 覆盖多级行政级别,涉及的部门多、范围和地域广;&/p&&p&b) 信息系统种类繁多、应用众多、服务类型多并且结构复杂;&/p&&p&c) 网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括:&/p&&p&1) 信息安全涵盖内容极为广泛,从物理安全,网络安全,系统安全一直到应用安全,数据安全,安全管理,安全组织等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;&/p&&p&2) 安全保障是个系统化的工程,各个要素之间存在紧密联系,互相依赖,牵一发而动全身;&/p&&p&3) 安全保障是个长期性的工作,伴随信息系统的整个生命周期,是一个不断实施、检查和改进的过程;&/p&&p&4) 不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性;&/p&&p&5) 安全保障除了耗费人力财力,还会损失易用性,降低效率,所以应该考虑信息安全要求与资金人力投入的平衡,控制安全的成本。&/p&&h2&B.2 等级保护实施过程描述&/h2&&p&大型复杂电子政务系统的等级保护实施过程应符合等级保护的整体实施过程,但对于这类电子政务系统由于存在系统复杂、庞大、行政级别多以及涉及范围广等特点,因此建议在&/p&&p&各阶段增加以下相关工作和实施方法:&/p&&p&&b&第一阶段:定级阶段&/b&&/p&&p&本阶段主要的三个步骤包括系统识别与描述、子系统划分以及对于系统总体和子系统进行定级,对于大型复杂电子政务系统建议在进行系统识别和子系统划分的过程中结合“系统分域保护框架”的设计思路进行不同层次划分,可以从整体的角度出发,根据适合的划分方法进行整体性划分(例如行政级别、行政区域以及网络等要素),也可以从各个子系统的角度出发,总结和归类进行合并,最终形成多个层次的保护对象。每个&/p&&p&层次的保护对象都能够对应相应的等级,形成“等级系统分域保护框架”。这里建议从整体角度出发进行划分,从子系统的角度出发进行验证,形成从下到上和从上到下的统一和平衡。&/p&&p&&b&第二阶段:规划与设计阶段&/b&&/p&&p&本阶段主要的三个步骤包括系统分域保护框架建立、选择和调整五个等级基本安全要求、安全规划和方案设计。对于大型复杂电子政务系统在选择和调整安全措施等级时建议首先根据行业背景、政府职能特征以及相对应的安全特性整体进行安全措施指标的选择,制定相关行业和政务机构的五个等级整体的基本安全要求,在这个基础上相关的各级部门和政务机构可以根据已经选择的安全等级指标进行进一步的修订和细化,这样可以确保从整体性出发安全措施的有效性和可控性;在进行安全规划与方案设计的过程时,不仅要根据不同安全等级系统选择不同安全措施进行规划和方案设计,这里建议采用“体系化”设计的方法,既能够从整体上进行统一规划,又能够通过安全解决方案解决现有安全问题,同时覆盖安全的各个层面,实现了等级化和体系化的相互结合,最终形成等级化的安全体系。&/p&&p&&b&第三阶段:实施阶段&/b&&/p&&p&本阶段主要是对等级保护的具体实施,在实施的过程中,针对大型复杂电子政务系统建议采用“基础平台”的安全措施建设方法,结合安全体系的内容对于需要统一规划的基础性工作进行总体性考虑,建立基于平台概念的基础性设施。在具体实施过程中可以考虑建立“管理基础平台”,平台中包括策略体系、组织体系以及运作体系,能够实现安全管理的整体性运作;建立“技术基础平台”,把支撑性基础设施的实现采用基础平台方法,例如统一认证平台、监控和审计平台等。&/p&&h2&B.3 系统划分与定级&/h2&&p&B.3.1 系统识别和子系统划分&/p&&p&对于大型复杂电子政务系统进行系统识别时,首先要进行整体性信息描述,包括系统基本信息、涉及部门以及范围等相关信息,同时还要对划分后的不同层次的子系统分别进行描&/p&&p&述,进一步细化系统信息、范围、边界以及功能和服务。在对于大型复杂电子政务系统进行子系统划分的过程中,应从整体性出发,结合系统分域保护框架的思路,分层次进行划分。可以参照以下步骤进行子系统划分:&/p&&p&第一步:按照行政级别和行政区域进行第一层系统的划分,将整个系统划分为总部子系统、省级子系统、地市级子系统、县区级子系统;&/p&&p&第二步:按照系统所属的网络进行第二层系统的划分,将第一层系统进一步划分为涉密网子系统、外网子系统和互联网接入子系统;&/p&&p&第三步:按照系统功能和系统服务的对象进行第三次系统的划分,将第二层系统分解为具有不同功能、不同服务对象的子系统。&/p&&p&进行上述三层系统分解之后,第三层子系统大部分应该能够满足系统定级的要求,可以不再细分,如果个别系统还很复杂的话,这些系统可再分解一层。&/p&&p&B.3.2 系统安全等级确定&/p&&p&B.3.2.1 定级方式&/p&&p&大型复杂系统的定级一般是自上向下和自下向上两种定级方法结合使用,并且会经过初始定级和调整定级的过程。首先按自上向下的方法进行初始的总体定级,以初始的总体等级&/p&&p&为基础,逐层对下层系统进行定级,之后再按自下向上的方法从底层系统开始逐层向上修正、调整并确定各层系统的最终等级。&/p&&p&B.3.2.2 定级方法&/p&&p&对于大型复杂电子政务系统,在判断系统的安全等级的过程中,系统自身的重要性对安全属性等级的确定有重要的影响,因此在进行安全等级判定时最好能够充分判断系统自身的&/p&&p&等级。本过程中,系统等级的确定可以直接影响系统安全等级的可用性等级的确定,在确定可用性等级时,需要把对于系统等级确定的要素作为影响性的直接参考要素,以便确定可用&/p&&p&性等级。系统等级确定的参考要素可以包括:&/p&&p&a) 系统涉及到的用户数量;&/p&&p&b) 系统涉及到的用户级别;&/p&&p&c) 系统对于业务或政务运作的支撑程度;&/p&&p&d) 系统对于其他系统的影响程度;&/p&&p&e) 系统是否是国家战略发展的重要组成部分;&/p&&p&f) 系统是否支撑政务机构的重点发展工作。&/p&&p&&br&&/p&&p&B.3.3 系统分域保护框架&/p&&p&结合系统分域保护框架的分析方法,经过系统识别、子系统划分和系统定级之后,形成的系统分域保护框架如下图所示(以某“金”字工程为例):&/p&&figure&&img src=&https://pic2.zhimg.com/v2-a8121ec79acad4e507f5_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&292& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic2.zhimg.com/v2-a8121ec79acad4e507f5_r.jpg&&&/figure&&p&本案例中的电子政务系统纵向覆盖了五个行政级别,分别为中央节点、直属节点、省级节点、地市级节点和县级节点,横向覆盖了国家政务内网、国家政务外围、互联网三类网络平台。&/p&&p&根据已经识别的保护对象的整体框架,可以看到:&/p&&p&第一层保护对象包括3个计算环境、3个区域边界、3个网络基础设施;第二层保护对象包括13个计算环境、13个区域边界、13个网络基础设施;第三层保护对象包括44个计算环境、&/p&&p&44个区域边界、13个网络基础设施。通过对等级保护的对象整体的定级、业务系统的影响、信息与资产影响的判断,可以基本确定各层保护对象汇总及定级表(示例)如下:&/p&&figure&&img src=&https://pic1.zhimg.com/v2-1f8ac3a316f48ab98afe700_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&576& data-rawheight=&782& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&https://pic1.zhimg.com/v2-1f8ac3a316f48ab98afe700_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-b5b189c1be9_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&523& data-rawheight=&863& class=&origin_image zh-lightbox-thumb& width=&523& data-original=&https://pic2.zhimg.com/v2-b5b189c1be9_r.jpg&&&/figure&&p&&/p&&p&&/p&
1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”…
&figure&&img src=&https://pic3.zhimg.com/a8ec7f59b0b081cd96c0e95_b.jpg& data-rawwidth=&794& data-rawheight=&851& class=&origin_image zh-lightbox-thumb& width=&794& data-original=&https://pic3.zhimg.com/a8ec7f59b0b081cd96c0e95_r.jpg&&&/figure&&p&多图预警,长文预警,难度预警。阅览过程中如发现不适,恳请休息,休息一下…&/p&&p&=======分=======隔=======符=======&/p&&h2&前言&/h2&&p&本篇文章为《信息安全体系的“术”》系列专栏文章。本系列专栏文章由&a class=&member_mention& href=&http://www.zhihu.com/people/dc453f8768974& data-hash=&dc453f8768974& data-hovercard=&p$b$dc453f8768974&&@刘巍然-学酥&/a&根据&a class=&member_mention& href=&http://www.zhihu.com/people/aa99d675c7ee2& data-hash=&aa99d675c7ee2& data-hovercard=&p$b$aa99d675c7ee2&&@业斐&/a&的幻灯片、讲解录音,以及后期修订后总结而来。因此,特别标注本文的作者为&a class=&member_mention& href=&http://www.zhihu.com/people/aa99d675c7ee2& data-hash=&aa99d675c7ee2& data-hovercard=&p$b$aa99d675c7ee2&&@业斐&/a&、&a href=&http://www.zhihu.com/people/liu-wei-ran-8-34& class=&internal&&@刘巍然-学酥&/a&。欢迎各位知友转载本篇专栏,转载请注明文章来源和作者信息。&/p&&p&=======分=======隔=======符=======&br&&/p&&h2&上期回顾与本期内容&/h2&&p&在上一篇专栏文章《&a href=&https://zhuanlan.zhihu.com/p/?refer=WeiranCrypto& class=&internal&&信息安全体系的“术”:标准主线与关联性&/a&》中,我们讲解了企业内部风险控制、信息技术(Information Technology,IT)风险控制、信息安全管理体系的相关标准。我们梳理了标准主线,以及标准相互之间的关联性。&/p&&p&本期,我们灵活讲解具体术的使用技巧,但不涉及具体的内容。我们已经将文章中所涉及的全部文件放置在百度云盘中,欢迎朋友们下载、浏览、学习和研究。下载链接为:&a href=&http://link.zhihu.com/?target=http%3A//pan.baidu.com/s/1miIc3A4& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&pan.baidu.com/s/1miIc3A&/span&&span class=&invisible&&4&/span&&span class=&ellipsis&&&/span&&/a&(日更新)。&/p&&p&&br&&/p&&p&按照标准之间的关系,我们分别梳理如下体系中渗透出的“术”:&/p&&ul&&li&&b&企业风险管控&/b&:COSO,SOX法案,SOX的404条款&/li&&li&&b&IT风险管控&/b&:COBIT&br&&/li&&li&&b&信息安全风险评估&/b&:ISO13335、ISO27005&/li&&li&&b&信息安全技术评估&/b&&/li&&li&&b&信息安全技术体系&/b&:IATF、等级保护&/li&&li&&b&信息安全管理体系&/b&:ISO27000系列&/li&&li&&b&信息安全流程体系&/b&:ITIL系列&/li&&li&&b&IT审计&/b&&/li&&/ul&&p&实际上,信息安全本质上就是风险管理控制。而风险管理控制的核心就是守护价值。在进入企业参与信息安全相关的工作时,经常会存在一个误区,认为保障信息安全是天经地义的事情。其实,做任何事情都是有价值的。由于信息安全会涉及较大的开销,如果企业的IT无法产生足够的价值,那么保障信息安全反而会带来更大的负担。举个例子,如果我有1000根金条,总价值超过1亿,我才愿意花费100万元购买一个可靠的保险柜。反之,如果我只有1万元的资产,我肯定不会去购买100万元的保险柜。很多企业的信息安全风险管控不健全,可能的原因之一是其IT无法带来与安全相匹配的价值。因此,在考察企业信息安全风险管控和相关管理、技术等方面时,要注意这个问题。不能一刀切,认为所有的企业都需实现健全的信息安全风险管控。&/p&&p&=======分=======隔=======符=======&br&&/p&&h2&守护价值:企业风险管控&/h2&&p&&u&企业具体关注什么风险&/u&?&/p&&p&COSO发布了企业风险管理综合框架,详细总结了企业需要关注的风险,主要由财务风险、法律风险、组织风险、运营风险等。下图展示的是2004版COSO企业风险管理综合框架*(图片来源:&a href=&http://link.zhihu.com/?target=http%3A//www.hnsbgl.org.cn.img.800cdn.com/uploadfile/100.jpg& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&COSO企业风险管理综合框架&/a&)。&/p&&p&&br&&/p&&p&&br&&/p&&figure&&img src=&https://pic4.zhimg.com/aa5aed3cceaca8842a5edf_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1119& data-rawheight=&969& class=&origin_image zh-lightbox-thumb& width=&1119& data-original=&https://pic4.zhimg.com/aa5aed3cceaca8842a5edf_r.jpg&&&/figure&&p&COSO企业风险管理综合框架主要关注8大层面的企业风险。&/p&&ul&&li&&b&内部环境&/b&:治理结构、组织结构、授权与责任、风险偏好、人力资源政策、风险管理文化等。&br&&/li&&li&&b&目标设定&/b&:战略目标、经营目标、报告目标、合规目标。&/li&&li&&b&事项识别&/b&:事件识别方法、事件分类、风险与机会。&/li&&li&&b&风险评估(与信息安全高度相关)&/b&:固有风险与剩余风险评估。现在,COSO里面的风险评估方法为“风险=发生可能性*影响”。ISO27005也采用了相同的风险评估方法。这进一步体现了标准与标准之间的映射和借鉴关系。&/li&&li&&b&风险应对&/b&:风险回避、风险降低、风险分担、风险承担。&/li&&li&&b&控制活动(与信息安全高度相关)&/b&:企业层面控制、业务流程层面控制、IT一般控制与应用控制。其中,IT一般控制与应用控制具体实现在COBIT里面进行了详尽描述。这也体现了标准之间的映射和借鉴关系。&/li&&li&&b&信息与沟通&/b&:收集与传递内部信息、外部信息。&/li&&li&&b&监控&/b&:独立监控、持续监控、自我评价、缺陷改进。&/li&&/ul&&p&&u&COSO和IT风险有什么关系&/u&?&/p&&p&结合COSO框架和上一篇专栏所讲解的内容,我们可以看出框架中的部分内容实际和COBIT等框架是有契合点的。&b&控制活动&/b&中业务流程层面控制、IT一般控制、应用控制和COBIT是契合的。实际上,COBIT中专门提到了IT一般控制和应用控制,与COSO框架中此部分的内容完全契合;COSO中的&b&信息与沟通&/b&、&b&监控&/b&等在COBIT中也有相应的承接。&/p&&p&&u&SOX法案与COSO相比,增加了什么内容,和IT风险有什么关系&/u&?&/p&&p&在上一篇专栏中我们讲到,安然公司的破产等丑闻事件促使美国颁发了SOX法案。SOX法案所增加的核心内容之一是企业风险和刑事责任的结合。而另一个核心内容与IT风险有着紧密的关系,就是我们之前提到的404条款。404条款要求保证会计账务、财务报告、财务流程、财务应用和底层IT基础架构的完整性、可用性、准确性。虽然SOX法案无法具体落地,但SOX法案对IT风险控制产生了巨大的影响。&/p&&p&=======分=======隔=======符=======&br&&/p&&p&&br&&/p&&h2&守护价值:IT风险管控&/h2&&p&&u&COBIT是什么&/u&?&/p&&p&首先,我们来看一看COBIT 4.1的框架图(图片来源:IT Governance Institute,中国建设银行翻译,COBIT 4.1,第43页)&br&&/p&&figure&&img src=&https://pic1.zhimg.com/41bd8cb25bbd601e20cf6f510ea26dcc_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&954& data-rawheight=&1089& class=&origin_image zh-lightbox-thumb& width=&954& data-original=&https://pic1.zhimg.com/41bd8cb25bbd601e20cf6f510ea26dcc_r.jpg&&&/figure&&p&COBIT中主要关注4个维度的内容:计划与组织、获取与实施、交付与支持、监控与评价。各个维度所关注的具体项目如下图所示。&/p&&figure&&img src=&https://pic3.zhimg.com/d06be3d536cd9d0f393d0e_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&889& data-rawheight=&378& class=&origin_image zh-lightbox-thumb& width=&889& data-original=&https://pic3.zhimg.com/d06be3d536cd9d0f393d0e_r.jpg&&&/figure&&p&业内对于COBIT的定义有不同的观点。有的人认为,COBIT是一个IT风险评估框架;有的人认为,COBIT是一个IT审计框架;有的人认为,COBIT是一个IT治理框架。我们认为这3种理解都是正确的。&br&&/p&&ul&&li&IT风险评估是指,根据自己的方法去评估IT中有哪些风险。可以使用COBIT作为IT风险评估的方法。COBIT列举了很多条目。当评估IT风险时,我们可以考察所缺失的项,并评估这些缺失的项会引发何种风险。此时,我们可以将COBIT理解为IT风险评估框架。&br&&/li&&li&IT审计框架相对比较好理解,我们可以按照COBIT框架,对IT的各项进行逐条审计。&/li&&li&业内一般将IT治理分为2类:控制论IT治理和决策论IT治理。决策论IT治理主要考虑决策什么,谁来决策,如何监督有效执行。控制论IT治理就是以COBIT为代表,其主旨是通过控制风险达到治理目标。即考察:IT架构与企业风险是否是战略匹配的;所拥有的资源是否可以恰巧解决高、中、低风险;项目管理是否是有效的;管理框架和要求是否可以落地执行等。因此,可以通过风险控制的方式实现IT治理。&/li&&/ul&&p&&u&IT风险比信息安全风险更关注什么&/u&?&/p&&p&&br&&/p&&p&信息安全风险是IT风险的一部分。信息安全风险主要关注系统如何不被入侵,如何实现数据保密等。而IT风险需要考察与涉及IT活动的各种风险。举个例子,企业想上线一套企业资源规划(Enterprise Resource Planning,ERP)系统实现IT业务线的资源流程管理。那么,企业是购买系统,还是独自开发系统?独自开发系统的话,如果在规定时间内没有完成开发,则如何处理?这类问题也是IT风险需要控制的内容。在某种程度上,IT风险和信息安全风险也是互相映射的。举个例子,企业遭到了黑客的攻击,那么企业要购买安全设备抵御攻击?还是独立研发技术和设备抵御攻击?总之,IT风险关注的问题比信息安全风险所关注的问题要大,但互相之间是相互映射的。&/p&&p&在此,我们举一个IT风险的实例,让朋友们更好地理解IT风险及其控制方法。互联网云服务提供商为客户提供云存储服务。客户所要求的服务等级协议(Service-Level Agreement,SLA)中要求提供7*24小时的服务。然而,云服务商的某个堡垒机是从某个外企厂商购买的,此外企厂商仅承诺提供5*8小时的服务。因此,一旦在5*8小时之外出现事故,那么云服务提供商就会面临相应的风险。如何降低这种风险呢?我们可以按照COBIT框架进行风险控制和管理。&/p&&ol&&li&识别所有的供应服务商。&/li&&li&对供应服务商按照设备功能、关键程度等进行分类。服务器相关、网络设备相关等关键程度最高;笔记本电脑相关、台式电脑相关的关键程度较低。&/li&&li&要求供应服务商提供相应的支持证书。&/li&&li&考察服务商的持续发展能力。对于小规模企业,要注意企业可能会破产、倒闭等。&/li&&li&管理与供应服务商的关系,保持联系。&/li&&li&在购买设备和服务时,要签订相应的SLA。&/li&&li&确保供应商所提供的服务满足法律相关的业务标准,要签订相应的保密协议和责任协议。&/li&&li&实施供应服务商的变更流程、惩罚与奖励措施。&/li&&li&实施绩效管理。服务供应商应满足业务要求,能够履行合同协议。绩效与市场现状相比要有能力、价格等的竞争力。&/li&&/ol&&p&上述就是COBIT框架。虽然这个框架看起来比较空,但真正落地的时候,我们会发现COBIT覆盖了几乎所有的IT风险。因此,&u&COBIT堪称经典&/u&!&/p&&p&=======分=======隔=======符=======&br&&/p&&p&&br&&/p&&h2&守护价值:信息安全风险评估&/h2&&p&在讲信息安全风险评估前,我们首先看一看风险评估标准ISO13335中给出的风险管理中的关系(图片来源:ISO6,P16)。&/p&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/0e5b3fd0b264968dac0a76_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&595& data-rawheight=&451& class=&origin_image zh-lightbox-thumb& width=&595& data-original=&https://pic3.zhimg.com/0e5b3fd0b264968dac0a76_r.jpg&&&/figure&&p&按照上图,我们可以很清楚地整理出各个项与风险之间的关系:&/p&&ul&&li&信息资产&b&拥有&/b&价值,&b&增加&/b&风险;&/li&&li&威胁可以&b&利用&/b&漏洞,&b&增加&/b&风险;&/li&&li&漏洞会&b&暴露&/b&相应的信息资产;&/li&&li&相应的防护措施可以&b&抗击&/b&威胁,可以&b&降低&/b&风险。&/li&&/ul&&p&有了风险管理中的各个关系,我们就可以根据关系进行相应的风险评估了。在风险评估中,我们主要关注的就是资产、威胁、漏洞。业内一般有3种风险评估方式:定性风险评估、定量风险评估、半定量风险评估。&/p&&p&&u&定性风险评估:ISO13335、ISO27005&/u&&/p&&p&定性风险评估就是ISO13335和ISO27005标准,业内对标准的使用和理解已经很成熟,在此不再过多讲解。但是注意,使用风险评估时一定要和业务紧密结合。&/p&&p&举个例子,飞机设计图纸是否具有极高的保密性要求?如果没有和业务人员进行充分交流,我们可能会想当然地认为&b&任意国家&/b&的飞机设计图纸均为高度机密资料。但是,风险评估与业务紧密结合后发现,&b&A国某型号的飞机设计图纸&/b&是从空客或波音公司的飞机原型中拆解描绘得来,仅描述了部件的规格和型号,此设计图纸在国际范围内不会引起其他国家的关注。同时,&b&A国&/b&仅有唯一的企业有资格制造和生产飞机。因此,即使飞机设计图纸泄密,也不会对企业造成较大的业务风险。考虑上述业务背景后,A国的飞机设计图纸就不具有极高的保密性要求了。&/p&&p&&u&定量风险评估&/u& &/p&&p&定量风险评估和财产挂钩,也就是用财产量化的方式描述风险。一般,业内不会实施定量风险评估,因为很难评估风险所涉及的&b&财产价值&/b&。但是我们可以通过相同的定量风险评估方式核算出风险的控制收益的趋势。&/p&&p&定量风险评估的方法一般需要比较两个参数的大小:(1)采用安全控制措施后的收益、(2)安全控制措施的成本。显然,当(1)大于(2)时,意味着所采取的安全控制措施为企业带来了收益,应该采用;否则(1)小于(2),意味着安全控制措施的成本大于收益,不应采用此安全措施。而采用安全控制措施后的收益可以通过财产价值与下述参数计算得到:&/p&&ul&&li&暴露因子(EF):标识的威胁造成的财产损失百分比&/li&&li&单次损失期望值(SLE)=&b&财产价值&/b&*EF&/li&&li&年发生概率(ARO):某个威胁一年中发生的估计概率&br&&/li&&li&年损失期望值(ALE)=SLE*ARO&br&&/li&&li&采用安全控制措施后的收益=ALE-采用安全控制措施后的ALE&/li&&/ul&&p&现在,信息安全风险评估方法在逐渐与企业风险评估模型靠近。信息安全风险评估方法在信息安全领域已经使用的非常成熟了。&/p&&p&=======分=======隔=======符=======&br&&/p&&p&&br&&/p&&h2&信息安全技术评估&/h2&&p&我们看到了IT风险评估,信息安
