信息安全合规监测解决方案

信息安全合规监测解决方案南瑞集团公司·信息通信技术分公司

2014年1月

目录

第1章信息系统安全风险分析 (1)

1.1风险产生的背景 (1)

1.2风险产生的原因 (1)

1.3国家信息安全政策法规 (1)

第2章信息安全合规监测技术研究 (2)

2.1信息系统安全发展趋势 (2)

2.2安全合规技术研究 (3)

2.3安全监测与控制研究 (5)

2.4信息安全研究成果 (6)

第3章信息安全合规监测解决方案 (6)

3.1解决思路 (6)

3.2总体目标 (6)

3.3总体架构 (7)

3.4方案特色 (7)

第4章典型案例 (8)

第5章结束语 (9)

第1章信息系统安全风险分析

1.1风险产生的背景

随着信息化建设的全面推广、网络规模的日益扩大，使得支持业务系统的网络结构也变得越来越复杂。重要应用、网络设备、安全设备、服务器、数据库、中间件等的数量及种类日益增多，而各单位信息化运维人员不足，存在因维护人员误操作的风险，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，从而极大的影响系统的正常运转。应用的深度融合、系统与数据的集中，带来了更高的风险集中，高度集中的数据既是业务的焦点，同样也是威胁的焦点。虚拟化、云计算等新技术的引入，使IT技术设施的安全重心从终端转向服务端，使得带有明确界限的物理安全域向逻辑安全域转变，对信息安全运维人员安全防护能力提出了新的挑战。

1.2风险产生的原因

分析近年信息安全事件本质及各类渗透方法与工具的原理，恶意用户能够成功实现对信息系统的破坏或攻击，主要利用系统安全漏洞、安全配置、安全状态存在的脆弱性，归纳如下：

安全漏洞：由于系统自身的问题引发的安全缺陷，主要包括系统登录漏洞、拒绝服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等，反映系统自身的安全脆弱性。

安全配置：由于人为的疏忽造成的安全缺陷，主要包括系统帐号、口令、授权认证、日志管控、IP通信管理等配置不当，反映系统配置的脆弱性。

安全状态：由于系统运维管理不当引发的安全缺陷，主要包括系统运行状态、网络端口状态、进程、审计、管理措施等，反映了系统当前所处环境的安全状况。

1.3国家信息安全政策法规

国家制定了信息系统等级保护基本要求及相关标准和规范，明确规定了我国的信息安全战略目标，并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。

《国民经济和社会发展第十二个五年规划纲要》对“加强网络与信息安全保障”提出了明确要求：“健全网络与信息安全标准规范，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广，加强信息网络监测、安全配置管控能力建设，确保基础信息网络和重点信息系统安全。”

《信息安全产业“十二五”发展规划》重点发展工作指出：“重点发展系统及网络脆弱性评估工具、安全配置核查类工具、信息安全等级保护支撑工具、信息系统风险评估工具、信息安全技术与产品的标准符合性评估工具，以及其他信息安全管理与服务支撑工具产品。”，并明确指出“网络与信息安全配置监测技术”为重点发展的关键信息安全技术。

第2章信息安全合规监测技术研究

2.1信息系统安全发展趋势

随着信息化的发展，业务人员的安全意识和安全技能也在逐步提高。最直接的体现为：传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全需求为驱动的主动式安全建设模式。

从国际的安全发展动态来分析，NIST推出了一套SCAP框架来促进安全建设的执行，SCAP是一种用开放性标准实现自动化脆弱性管理、衡量和策略符合性评估的方法。SCAP结合了一系列用来枚举软件缺陷和安全配置问题的开放性标准，SCAP利用这些标准衡量系统以寻找系统的脆弱性，并通过自动化的工具来进行检查和评估。此框架和工具在美国得到大量的应用和高度评价。

国际法中将陆地和海洋进行划分的分界线被称为基线（Baseline）。随着计算机的发展，基线被引入计算机领域，并将其定义为操作系统某一时期的配置的标准。微软将基线的概念引入操作系统安全防护，建立微软安全防护体系，详细描述了实现安全运行的相关配置设置，微软安全防护体系中安全基线的元素包括：

①服务和应用程序设置。例如：只有指定用户才有权启动服务或运行应用程序。

②操作系统组件的配置。例如：Internet信息服务（IIS）自带的所有样本文件必须从计算机上删除。

③权限和权利分配。例如：只有管理员才有权更改操作系统文件。

④管理规则。例如：计算机上的administrator密码每30天换一次。

传统基于网络的防护虽依然是基础，但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。日益增长的IT资产数量，无论硬件设施还是各类软件，高效安全的管理已成为大型企业关注的话题。企业多年来的安全投资，是否产生了价值？这使企业开始考虑如何正确了解和评价企业安全风险，以及衡量安全工作成效的标准，并更加关注安全的监控和综合性分析的价值。威胁的不断发展变化，使企业认识到安全投入的长期性，同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视。

随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增，应用安全日益受到关注，《信息安全产业“十二五”发展规划》明确提出主动防御技术成为信息安全技术发展的重点，信息安全产品与服务演化为多技术、多产品、多功能的融合，多层次、全方位、全网络的立体监测和综合防御趋势不断加强，信息安全发展趋势朝系统化、网络化、智能化、服务化方向发展。。

①、向系统化、主动防御方向发展

信息安全保障逐步由传统的被动防护转向“监测-响应式”的主动防御，信息安全技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向发展。

②、向网络化、智能化方向发展

计算机技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和服务的平台，对高效防范和综合治理的要求日益提高，信息安全向网络化、智能化方向发展。

③、向服务化方向发展

信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为信息安全产业发展重点。

2.2安全合规技术研究

安全基线标准

充分依据信息安全技术体系和管理体系，借鉴ISO27002、ISO-20000、SOX、等级保护等技术和管理标准内容，创新信息安全基线标准和管理规范。通过建立信息安全