烟草行业计算机网络和信息安全技术与管理规范.docx
《烟草行业计算机网络和信息安全技术与管理规范.docx》由会员分享,可在线阅读,更多相关《烟草行业计算机网络和信息安全技术与管理规范.docx(95页珍藏版)》请在冰豆网上搜索。
烟草行业计算机网络和信息安全技术与管理规范
烟草行业计算机网络和信息安全技术与管理规范
国烟办〔2003〕17号
国家烟草专卖局信息化工作领导小组办公室
国家烟草专卖局烟草经济信息中心
二OO二年十二月
目录
前言
随着我国信息化战略的推进,计算机和互联网(Internet)的广泛应用,社会信息化程度逐步提高,信息安全问题也日渐突出。
网络和信息安全关系到国家的安全,为此,国务院及有关部门陆续发布了《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联网安全保护管理办法》、《计算机病毒防治管理办法》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《商用密码管理条例》等规定,对网络安全方面做出了一些具体规定。
烟草行业信息化建设不断发展,计算机网络和信息系统与行业生产、经营和管理业务的关联越来越紧密,保证整个网络信息系统安全可靠的运转已是行业信息化建设的重要基础工作之一。
根据国家有关规定,国家烟草专卖局对计算机网络和信息系统中涉及信息安全的工作及相关的技术、管理进行了规范,已经颁布执行的有《烟草行业计算机信息网络安全保护规定》(国烟办[1998]305号)、《烟草行业计算机信息系统保密管理暂行规定》(国烟保[1999]373号)和修订后的《烟草行业计算机网络建设技术规范》(国烟办[2002]348号)等。
这些规定和规范对保障烟草行业计算机网络(行业内联网)的统一、畅通、可靠和完整起到了重要作用。
随着行业信息化水平的不断提高以及计算机信息安全技术的进步,适时地将这些国家标准、行业标准及规范进行整理归纳,并结合行业实际情况,引入当前的新技术标准和管理手段,在保证资源共享的前提下,统筹规划,专项制定信息安全方面的技术和管理规范非常必要。
本规范从烟草行业计算机网络建设的实际出发,在技术和管理上规范了烟草行业各单位计算机网络与信息系统的安全建设,主要包括信息安全概述,信息安全法规、政策和标准,信息安全技术和产品,烟草行业信息安全系统建设的目标、原则和要求,安全管理的组织、制度和职责,安全事故处理和汇报,烟草行业各级网络系统信息安全建设建议方案等七方面内容。
行业内各单位务必重视信息安全工作,严格执行规范中的有关规定和要求,保证烟草行业计算机网络安全可靠的运行,以促进行业持续稳定健康发展。
本规范由国家烟草专卖局信息化工作领导小组办公室、烟草经济信息中心负责解释并监督执行。
本规范由国家烟草专卖局烟草经济信息中心和上海复旦光华信息科技股份有限公司编制。
本规范的主要起草人:
高一军、黄云海、迟诚、田朝阳、杨矗松
本规范已经有关方面专家评审通过。
1概述
本规范包括以下几部分内容:
信息安全概述
信息安全法规、政策和标准
信息安全技术和产品
烟草行业信息安全建设目标、原则和要求
安全管理的组织、制度和职责
安全事故处理和汇报
烟草行业各级网络系统信息安全建设建议方案
本规范首先介绍了计算机网络信息安全的技术和管理理念,从安全技术介绍入手,提出了计算机系统的安全建设指导原则,并给出了一些建设性的意见和方案。
另外,还针对行业计算机网络的管理,特别是烟草行业的安全管理制度与组织结构保障提出要求和建议。
由于计算机网络和信息安全工作的特殊性,在本规范中,对信息安全事故处理等方面做出相应的建议和规定。
2信息安全概述
本节首先介绍计算机网络与信息系统整体安全的思想,从系统工程角度对计算机系统信息安全工作的内容和步骤进行了阐述。
然后,从整体安全角度出发,说明系统安全的策略及目标,并针对烟草行业的计算机系统的脆弱性进行风险分析,说明烟草行业防护的重点,在说明信息系统安全的重要性的同时,也给出了安全体系建设的出发点。
2.1P2DR模型
整个规范的主导思想是围绕着P2DR模型的思想建立一个完整的信息安全体系框架。
P2DR模型包含四个主要部分:
Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的整体指导下保证信息系统的安全。
P2DR是由PDR(Protection、Detection、Response)模型引伸出的概念模型,增加了Policy功能,并突出了管理策略在信息安全工程中的主导地位。
本规范的几个重要部分,如建设方案部分就是围绕着建立一个防护体系和检测体系(Protection、Detection)提出的,第六章制度与组织则是围绕着策略(Policy)讨论的,第七部分安全事件的处理与汇报正是对于安全事件的响应(Response)。
信息安全建设应该借鉴P2DR安全模型。
防护(Protect)的目的在于阻止侵入系统或延迟侵入信息系统的时间,为检测和反应提供更多的时间。
检测(Detect)和发现的目的在于作出反应。
反应(Response)是为了修复漏洞,避免损失或打击犯罪。
信息系统安全不仅是定性的,同时还是定量的,不仅是技术的,还是管理的。
信息系统安全概念要求是面向空间、时间、功能和人员的全方位的动态安全概念,这些还需要相应制度与组织的保障(属Policy范畴)。
构成信息系统安全的核心环节:
安全防护、安全检测、安全事件反应和安全管理。
本规范采用的基本方法是建立四个层次的安全循环体系。
其核心循环层是P2DR循环,它是安全系统漏洞与攻击事件的防护、检测、反应和管理的循环。
P2DR循环层要求基于时间,形成快速反应。
第二层循环是安全服务和过程的循环,安全服务和过程的目标是确保核心P2DR循环的快速反应,在这层循环中主要实施信息安全员、网络管理员、系统管理员和系统维护运行员的日常安全管理工作,包括烟草信息系统工作中非常重要的信息备份和恢复等工作。
第三层循环是安全结构层的循环,在这层循环中要不断地对信息系统的安全结构进行再建设、维护、升级、改变结构、完善结构体系等工作,使系统保持安全运行的良好状态。
它是通过系统结构的不断完善来确保安全服务和过程以及核心层P2DR循环的快速反应。
第四层是在安全概念、安全策略、安全总体等宏观安全体系内建立的不断完善的循环体制,是一种宏观意义上的循环体制。
由于P2DR循环是安全的核心循环,讨论信息系统安全的基本方法应当针对安全防护、安全检测、安全事件反应和安全管理四个环节进行重点讨论。
1.安全防护的基本方法
信息系统安全防护的基本方法就是不断地修改和完善安全计划和防护指南,并自上而下地贯彻和执行所制定的计划和指南。
在制定计划和指南时要考虑下面几方面的问题:
确认你的信息系统要保护的对象和内容;
确认你的信息系统安全的威胁是什么;
确认保护你的财产的成本效益;
了解你的信息系统的安全脆弱性和存在的风险;
制定安全防护策略。
2.安全检测的基本方法
信息系统安全检测的基本方法就是不断地修改和完善安全计划和检测指南,并自上而下地贯彻和执行所制定的计划和指南。
在制定计划和指南时要考虑下面几方面的问题:
确认你的信息系统要检测的对象和内容;
确认你的信息系统安全的时间性(时间复杂性);
确认检测你的系统的成本效益;
确认你的检测系统的可生存性;
制定安全检测策略。
3.安全事件反应的基本方法
信息系统安全事件反应的基本方法就是不断地修改和完善安全计划和反应指南,并自上而下地贯彻和执行所制定的计划和指南。
在制定计划和指南时要考虑下面几方面的问题:
确认信息系统安全事件反应的内容;
确认你的信息系统安全事件反应的时间性;
确认反应处理的成本效益;
制定安全反应策略。
4.安全制度与组织的建设
P2DR模型和PDR模型最大的区别就在于Policy(安全策略)的引入。
PDR模型与以前的安全模型的区别在于引入了检测时间的概念,与以往的静态防护模型相比,它引入了一个动态防护的概念,这就更能体现网络安全的复杂性。
但是对于现在的大型网络而言,一个动态的只考虑技术层面解决手段的模型也无法更好的解决安全问题,因为网络安全、信息安全是一个整体的问题。
PDR存在一个致命的弱点,就是忽略了内在的变化因素,如人员的流动、人员的素质差异和策略贯彻的不稳定性。
所以本规范着重强调了P(Policy)的重要性,相关制度与体制的建议主要借鉴ISO17799标准中的内容与思想。
5.其它安全模型简介
安全模型除了上面介绍的P2DR外,常用的还有下面几个:
PDCA:
Plan—Do—Check—Action(计划—执行—检查—措施)
PDR:
Protect—Detect—Response(防护—检测—响应)
PPDRR(P2DR2):
Policy—Protect—Detect—Response—Recover(策略—防护—检测—响应—恢复)
MPPDRR(MP2DR2):
Manage—Protect—Detect—Response—Recover(管理—防护—检测—响应—恢复)
此外,还有在上述基础上添加一些其它字母的,如S—Supervising等。
其中P2DR和MP2DR2都是PDR模型的扩展,主要是由于入侵检测产品继防火墙之后成为又一个被接受的重要概念后产生的。
因此推崇这些模型的厂商中具备入侵检测和防火墙产品的厂商较多,并注重检测和响应。
目前,P2DR更为人所知。
这一系列的模型主要特点是比较实用,能够转化为系列的产品来实施,但主要偏向于网络和系统层次的安全。
虽然P2DR每一个字母都可以扩展成为广义上的安全定义,但一般来说该模型如果用在诸如身份验证、
授权管理等上层应用安全的情况下则比较牵强。
PDCA主要是与BS7799配套的模型。
BS7799(ISO17799)是一个信息安全系统建设的参考标准(InformationSecurityManagementSystems,ISMS),是从宏观角度对安全建设的参考,包括技术方面与管理方面。
但是比较抽象,需要与实际系统结合,进行解释才有实际的含义。
PDCA抽象和宏观了一点,放之四海而皆准。
类似于BS7799的标准还有很多,如CC,TCSEC,ITSEC等,我国也有系列的国标。
目前,这些标准大都只能够起到宏观上指导的作用,真正将它们用于安全评估,可操作性较差,所以在烟草行业的规范中,在构建网络和系统层次的安全框架中我们主要参考P2DR模型。
2.2纵深防御体系
作为P2DR模型的一个有效补充,纵深防御体系是基于网络安全域概念的一个在信息安全系统建设中的一个重要原则。
即根据功能、结构、重要性等因素划分网络安全域。
根据每个安全域的不同,分别研究和设计不同的网络安全方案。
建立纵深防御体系重点需要考虑如下因素:
网络信息安全域的划分与隔离控制
内联网安全服务与控制策略(Intranet)
外联网安全服务与控制策略(Extranet)
互联网安全服务与控制策略(Internet)
公共干线的安全服务与控制策略(有线、无线、卫星)
计算环境的安全服务机制
多级设防与科学部署策略
全局安全检测、集成管理、联动控制与恢复(PDR)
在本规范中,具体的安全建设方案主要就是遵循P2DR模型和纵深防御体系的理论撰写的。
在考虑到各级网络的现状,提供必要的防护手段的情况下,也尽量考虑到不同网络安全域的不同安全建设要求,提供不同的安全防护手段。
2.3计算机网络信息安全
计算机网络信息安全在学术研究上是一门综合性学科,在工程实践上是一项系统工程。
目前有关计算机信息系统安全的定义不统一,国际标准化组织(ISO)定义:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”
从计算机信息系统形态和运行过程出发,可把安全内容分为:
实体安全、运行安全、数据安全和管理安全四个方面。
实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有毒气体和其它环境事故(如电磁污染等)破坏的措施、过程。
运行安全是指为保障系统功能的安全实现,提供一套安全措施(如安全评估、审计跟踪、备份与恢复、应急措施),来保护信息处理过程的安全。
数据安全是指防止信息资源被故意的或偶然的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。
即确保信息的完整性、保密性、可用性、可控性和不可否认性。
管理安全是指通过采用有关的法律法规和规章制度以及安全管理手段,确保系统安全生存和运营。
管理手段是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。
按照比较通行的说法,计算机网络安全包括实体安全、运行安全和信息安全三个方面的内容。
其中信息安全是计算机网络与信息系统安全建设的核心。
安全是有协议层次的,ISO制定的网络安全体系结构,确定了五种基本安全服务和八种安全机制,从协议层次的角度看和OSI七层形成如下图所示的对应关系:
而对应于每一个网络协议层次都有相应的安全手段和保护侧重。
物理层安全:
主要防止物理通路的损坏,防止线路窃听和干扰。
链路层安全:
主要防止线路窃听。
常用保护手段为链路加密。
网络层安全:
网络层安全主要解决网络互联时在网络通信层的安全问题,需要解决的问题有网络设备安全、网络进出控制、拨号网络的安全、网络和链路层数据加密、防火墙应用、病毒防范、入侵检测(防黑客)、安全审计等。
应用层安全:
烟草行业的应用主要分为办公自动化(OA)应用系统和各种业务应用系统。
OA应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐秘性。
业务应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。
需要解决的问题有身份认证、访问控制、数据保密性和完整性(安全通信)、内容审计、记录与抗抵赖等。
系统层安全:
包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补。
安全管理:
安全管理贯穿在安全的各个层次实施,本身可以从不同的视角加以描述。
从全局管理角度看,要制定全局的安全管理策略。
从用户管理角度看,要实现统一的用户角色划分策略。
从资源管理角度看,要实现资源的分布配置和统一的资源目录管理。
从技术管理角度看,要针对各个层面的要求实现统一的安全配置和管理。
2.4信息安全的系统工程思想
一般认为,一个大型的信息系统安全体系覆盖了通信平台、网络平台、系统平台、应用平台,覆盖网络的各个层次,覆盖各项安全功能,是一个多维度全方位的安全结构模型。
安全体系的建立,既涉及安全理论与技术,又涉及安全策略与管理。
就安全技术而言,它涵盖了现代通信技术、计算机技术、网络技术、密码技术等,本身是一项跨学科的综合性信息系统工程,需要从设施、技术到管理整个经营运作体系的通盘考虑,必须以系统工程的方法进行设计。
对信息安全的理解着重是以下三个基本要点:
安全技术、层次结构和安全生命周期。
2.4.1安全技术
安全技术是构成信息安全的安全基础设施,位于所有其它组成之下,提供了技术构成和组织过程的保护。
基于安全基础设施中相应的标准和技术,提供相关的安全服务内容。
下图列举了主要的一些安全技术,并给出了各种安全技术之间内在的层次水平。
图的底层部分是核心技术层次,这类的安全产品及技术涉及计算机科学的本质,对国计民生有重大意义,其技术的水平和难度也是最高的,但也是最不为普通用户所理解并涉及的。
图的最上层,是一系列安全技术构成的功能相对独立的产品,它们技术成熟,易于在网络和信息系统中应用,也最接近普通用户。
所有这些产品可以从安全技术本身的视角出发,按其产品投入水平、技术能力、产品价值等从核心层到平台层到应用层不同层次、不同等级的安全技术排列。
这可以帮助技术人员理解纷繁复杂的安全概念、技术和产品,从整体上形成对安全技术整体框架的认识和理解。
2.4.2层次结构
在安全技术基础之上,体现的则是安全的策略、服务、管理和平台之间层次关系,这种关系可以用下图三维结构说明。
每一种安全技术都可以形成不同的安全产品,并侧重在不同的技术点上发挥其作用;同样,不同的安全产品可以在不同的协议层次上为系统增强安全性,也是侧重于不同层次的增强,没有一种安全产品可以包容所有的安全层次。
一个网络信息系统是由一个个子系统构成的,各种系统平台以及平台间是一个有机的整体,平台间的层次关系也直接影响着整体安全的水平。
在各个方向上理解安全,都存在着安全管理这一层次。
安全产品和技术层次上需要对产品进行统一的归并管理,系统协议层次上需要强化各个层面的安全防护措施,各个系统平台之间也需要一个管理体制进行协助合作,可以说,安全管理的要求无处不在。
2.4.3安全生命周期
系统的安全体系是一个不断发展变化的体系,这个系统的周期模型可以用下图表示:
根据这个周期模型,系统安全的生命周期一直是围绕系统安全政策、标准及评估准则进行的,这些是信息安全工作的灵魂。
系统安全工作一般是从系统的安全评估开始的,建立系统脆弱性及风险性模型,对系统安全问题进行全面而深入的理解,之后,制定安全计划,对各种问题逐一加以解决,这个计划可以是长期计划,也可以是短期应急措施。
计划制定完成后,需要对各个计划和方案进行论证评定,考虑系统的成本、能力及水平等综合因素后,选择切实可行的计划加以实施。
同时,进行人员的培养和基本知识的普及,加强系统中每个人的安全能力与安全意识。
安全系统建成后,进行正常的运转,降低系统安全风险,维护系统的安全。
但是,并不是每个安全系统都可以承受各种安全威胁和潜在的攻击,系统一定会经历安全体系无法抵消的紧急事件,此时,系统需要紧急响应并试图恢复系统运行。
安全系统经过一段时间后,会因系统自身变化或是技术水平的变化导致系统安全形势的变化,需要重新进行安全评估工作,因此,系统安全这一工作过程会周而复始地不断进行,使得整个系统的安全水平得到不断提升。
按照这个理念,一个信息系统的安全工作首先需要确立自己的安全策略及安全目标,然后从分析这个系统安全威胁入手,找出系统安全威胁及系统自身脆弱性的方面,从系统的风险出发,才能有效地制定安全计划。
2.5信息系统的安全策略和目标
2.5.1安全策略
信息系统的安全策略可以划分为网络安全策略和计算机安全策略,要根据层次、范围制定不同的安全策略。
安全策略是包括信息系统安全的设计、采购、测试、开发、防护、检测、反应、管理和培训等方面的综合体。
具体包括:
根据具体威胁分析,制定并设计安全系统结构;
根据系统现状,确认信息系统存在的安全风险及脆弱性;
确定安全防护、检测的目的、对象以及内容;
建立安全防护、检测以及反应体系;
确认安全体系中使用的安全产品;
制定安全服务内容及流程;
制定安全事件处理的规范;
建立安全管理制度;
制定体系化的安全培训制度。
2.5.2信息系统安全目标
建设信息系统的安全体系的目标可以根据需求而有所不同,但是安全建设的一般目标可以描述如下:
维持信息系统的防护、检测和反应的结构、功能及时间性安全指标,建立系统的安全结构指标、安全服务和过程要求;
保护系统和用户的信息资源和资产;
维护信息系统安全服务的信息和行为的完整性;
维持经济和社会效益;
避免由于信息系统的安全结构引起的安全事件。
2.6系统安全威胁
对于计算机信息系统,常见的安全风险主要有:
系统设计者有意建立或因偶然故障而存在的“后门”
计算机系统操作过程中的人为错误、意外事故、疏漏和权限错误
计算机系统出错引起的拒绝使用
电磁辐射引起的信息泄漏
内部人员进行数据偷窃的犯罪行为
火灾和自然灾害
伪造文件和记录
硬件故障
假冒别人的访问代码进入系统
不准确的或过时的信息
故意破坏
传输路径错误
搭线窃听和乘机而入
应用系统编程错误
数据库系统被非法侵入
对已删除信息的搜寻和复原
非授权处理和恶意攻击
计算机病毒
等等。
这些都是系统安全不可忽视的因素。
2.7烟草行业的信息安全防范对象
本规范适用于烟草系统的计算机软硬件设备和系统、计算机网络设备和系统、通信网络设备和系统、业务应用系统的安全问题,以及其它与烟草有关的自动监控设备与系统、自动化电子设备与系统的安全问题,涉及到计算机软件、计算机硬件、计算机局域网、计算机城域网、通信网络、广域网、内联网站点、互联网站点、信息基础设施、外部设备以及烟草应用智能化电子设备与系统等。
本规范涉及到的防护对象为:
硬件:
计算机终端、微机、工作站、服务器、主机、打印机、磁盘设备、网络连接设备、路由器、交换机、调制解调器、通信终端、通信传输设备、通信线路、计算机网络线路等。
软件:
应用源程序、应用目标程序、诊断程序、测试程序、各类支持和资源程序、开发工具程序、操作系统程序、数据库管理程序、网络管理程序、系统管理程序、监控程序等。
系统:
系统结构、软硬件平台、计算机系统、计算机局域网系统、计算机区域网系统、计算机广域网系统、内联网系统、互联网系统、通信网络系统及其它电子化系统。
具体包括烟草业务系统(产购销)以及办公自动化系统。
数据:
设备和系统存储器和缓冲器中的数据、磁盘中的数据、在信道上传输的数据、数据库中的数据、存储介质中的数据等。
行为:
软件、硬件、系统的正常工作功能和保障系统工作行为的完整性、异常处理行为的完整性等。
文档:
软件、硬件、系统的数据文档和用户文档、维护文档、测试文档、管理文档、支持文档和其它相关文档。
支持介质:
纸介质、磁介质、光盘介质等。
环境:
计算机机房、终端柜台、机房所在建筑、建筑周界等。
人员:
信息系统安全员(1SSO)、网络安全员(NSO)、系统管理员、操作员、安全测评人员、安全总体人员、安全监控人员、用户、设备供应商(设计人员和开发人员)、系统集成商及维护人员等。
3信息安全法规、政策和标准
信息系统的安全标准都是从防护意义上讨论的安全标准。
强制标准适用于所有烟草信息系统,安全性标准适用于信息处理、信息传送、信息模型化与信息标准和人机接口(HCI)。
下面列出在信息安全方面国际和国内以及烟草行业内部的法规、政策及标准。
3.1国家的法律、法规和政策
《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)
本条例规定了信息系统安全公民所应负的责任以及公安部门的权限及处理方法。
《中华人民共和国计算机信息网络国际互联网管理暂行规定》(国务院令195号)
本规定明确了单位及个人在接入互联网中所应负的责任。
《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令32号)
本办法自一九九七年十二月十二日起施行,规定了中华人民共和国境内的安全专用产品进入市场销售的销售许可证制度。
《中华人民共和国保守国家秘密法》
本法规规定了国家秘密的范围和密级,保密制度及法律责任。
《中华人民共和国保守国家秘密法实施办法》(国家保密局)
本办法规定了中华人民共和国保守国家秘密法的实施办法。
《计算机信息系统保密管理暂行规定》(国家保密局国保发[1998]1号)
本规定规定了涉及采集、存储、处理、传递、输出国家秘密信息的计算机信息系统的管理要求。
《计算机信息系统国际联网保密管理规定》(国家保密局)
本规定明确了进行国际联网的个人、法人和其它组织,互联单位和接入单位的职责和应遵守的原则。
《计算机信息网络国际互联网安全保护管理办法》(公安部)
本法规于1997年12月11日经国务院批准,1997年12月30日由公安部发布,规定了计算机信息网络国际联网安全保护管理的具体内容。
《商用密码管理条例》(国务院令273号)
本条例规定了不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品(商用密码)的科研、生产、销售和使用原则。
《中共中央关于加强新形势下保密工作的决定》
该文件指明了涉及国家秘密的通信、办公自动化和计算机信息系统的建设原则。
《计算机病毒防治管理办法》
该办法是为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障
升级会员 