《信息安全技术网络脆弱性扫描产品安全技术要求》
修订说明
1 工作简要过程
1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。
1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则
—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求
—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求
—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求
—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法
—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范
1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。
3)确定修订内容
经标准修订小组研究决定,以网络脆弱性扫描产品发展的动向为研究基础,以等级保护相关要求为标准框架,修订完成《信息安全技术网络脆弱性扫描产品安全技术要求》。
4)修订工作简要过程
按照修订进度要求,修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,并查阅有关资料,编写标准修订提纲。在对提纲进行交流和修改的基础上,开始具体修订工作。
2010年11月至2011年1月,对国内外网络脆弱性扫描产品,相关技术文档以及有关标准进行前期基础调研。在调研期间,我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外网络脆弱性扫描产品的发展动向进行了研究,以及进行了对国内外相关产品的技术文档和标准分析理解等工作。
2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础,依据修订提纲,在不断的讨论和研究中,完善内容,最终形成了本标准的草稿。
2011年3月至5月,我们收集了国内相关产品的主要生产厂家信息,以邮件形式向他们征求意见,包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。
2011年5月,单位内部组织第一次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。
2011年8月,单位内部组织第二次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。
2011年12月,WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会,评审组由吉增瑞等多位专家组成,与会专家对草稿(第三稿)进行了讨论,并提出相关修改意见,会后修订组再次认真对专家意见进行了分析和处理,随后形成了草稿(第四稿)。
2012年6月,单位内部组织第三次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改,形成了草稿(第五稿),在本次讨论会中,做出了一个非常重要的修改,就是将标准名称改为《信息安全技术网络脆弱性扫猫产品安全技术要求》,同时对标准的整体结构也进行了调整,按照基本级和增强级分开描述的形式修订,以便于读者的阅读,并保持与其他同类国标一致。
2012年7月26日,WG5专家组在北京对标准草稿再次进行评审,与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿(第五稿)提出若干意见,并一致同意形成标准征求意见稿。会后,按照专家意见,对标准内容进行了修改。本次修改的主要内容包括:标准封面、目录、前言中的若干描述;标准排版;规范性引用文件中引用词汇标准更新;定义与术语。通过本次修改完善后,形成征求意见稿(第一稿),
2012年9月18日,收到WG5工作组投票意见,七家参与投票的单位中,有四家赞成,三家赞成但需要修改,根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改,通过本次修改,将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确;删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求,形成征求意见稿(第二稿)。
2 确定标准主要内容的论据
2.1 修订目标和原则
2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。
2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
2.2 对网络脆弱性扫描类产品的理解
2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW 服务扫描产品、数据库扫描产品以及无线网络扫描产品。
脆弱性扫描产品通常以三种形式出现:单一的扫描软件,安装在计算机或掌上电脑上,例如ISS Internet Scanner;基于客户机(管理端)/服务器(扫描引擎)模式或浏览器/服务器模式,通常为软件,安装在不同的计算机上,也有将扫描引擎做成硬件的,例如Nessus;也有作为其他安全产品的组件,例如防御安全评估就是防火墙的一个组件。
网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的应答,来搜集目标主机上的各种信息,然后与系统的漏洞库进行匹配,如果满足匹配条件,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。
主机脆弱性扫描产品则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。
在匹配原理上,目前脆弱性扫描产品大都采用基于规则的匹配技术,即通过对网络系统安全脆弱性、黑客攻击案例和网络系统安全配置的分析,形成一套标准安全脆弱性的特征库,在此基础上进一步形成相应的匹配规则,由扫描产品自动完成扫描分析工作。
端口扫描技术
网络脆弱性扫描是建立在端口扫描的基础上的,支持TCP/IP协议的主机和设备,都是以开放端口来提供服务,端口可以说是系统对外的窗口,安全漏洞也往往通过端口暴露出来。因此,网络脆弱性扫描产品为了提高扫描效率,首先需要判断系统的哪些端口是开放的,然后对开放的端口执行某些扫描脚本,进一步寻找安全漏洞。扫描产品一般集成了以下几种主要的端口扫描技术。
TCP SYN扫描
通常称为“半打开”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。一个SYN/ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听状态。
TCP FIN扫描
TCP FIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包,而打开的端口会忽略对FIN 数据包的回复。这种方法与系统实现有一定的关系,有的系统不管端口是否打开,都回复RST,在这种情况下,该扫描方法就不适用了,但可以区分Unix和Windows NT
TCP connect()扫描
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。
对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
漏洞特征定义之所以重要,在于其直接决定了漏洞扫描产品的性能。在讨论入侵检测技术时,我们经常会谈到误报率和漏报率,其实这个问题漏洞扫描产品也同样存在,只不过因为入侵检测还利用了异常检测技术,以及受网络流量等因素影响,使得这个问题更加突出罢了。作为特征匹配技术本身,它的误报率和漏报率是比较低的。一个定义非常好的漏洞特征,就会使误报率和漏报率很低;反之,一个定义得不好的漏洞特征,就会使误报率和漏报率较高。从网络安全的角度看,一个安全扫描过程是非常从容的(不象入侵检测需要面对复杂多变的网络流量和攻击),所以误报率和漏报率完全取决于漏洞特征的定义。
漏洞特征库的多少决定了脆弱性扫描产品能够发现安全漏洞的数量,所以这是衡量一个脆弱性扫描产品功能强弱的重要因素。这需要引出脆弱性特征库升级(即产品升级)问题。由于每天都有可能出现新的安全漏洞,而基于特征匹配的脆弱性扫描技术不可能发现未知的安全漏洞,所以特征库的及时升级就显得尤为重要。
模拟攻击脚本定制
扫描目标的信息,例如操作系统类型版本号、网络服务旗帜和一些安全漏洞,扫描产品都可以通过发送一些请求包来得到。但是确定安全漏洞是否存在,扫描产品不得不依靠模拟攻击的方式来进行。一般情况下,扫描产品尝试对某个安全漏洞进行攻击,如果攻击成功,就能证明安全漏洞存在,扫描产品作为一个安全工具应该对网络系统无损或损害很小。事实上,扫描产品并不真正对目标主机进行攻击,而是采用定制的脚本模拟对系统进行攻击,然后对过程和结果进行分析。
攻击脚本的定制对于安全扫描和安全漏洞的验证都十分关键,也是扫描产品的关键技术之一。模拟攻击脚本与漏洞特征库紧密相关,需要获取包含脆弱性特征的信息。事实上,模拟攻击脚本是实际攻击的一个简化版或弱化版,达到获取信息的目的即可,而不需要把目标攻瘫或获取根权限。例如模拟的拒绝服务攻击脚本,一旦发现系统出现异常时就会立刻停止攻击。探测弱口令之类安全漏洞的脚本,则会利用账户简单交换、长度较短和易猜解的口令进行尝试,而不会像口令破解程序那样会去穷尽整个搜索空间。
模拟攻击脚本的定制参照于实际攻击的过程。针对某个具体的安全漏洞,人们需要首先利用实际攻击工具进行攻击,记录下攻击的每一个步骤、目标应答和结果信息,分析这些信息,在其中寻找脆弱性特征,最后定制模拟攻击脚本。由于有些安全漏洞存在于一个主体或表现在攻击过程中,所以一个模拟攻击脚本有时能够检测到多个安全漏洞。我们在看一个脆弱性扫描产品的技术说明书时,经常会看到产品有多少种攻击手法,能够发现多少种安全漏洞,这里所说的攻击手法就是指模拟的攻击脚本。通常,模拟攻击脚本越多,扫描器能够发现的安全漏洞种类就越多,功能也就越强大。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
VLAN的划分,能够发现网络的不合理连接,并以图形方式将这种结构展现在用户面前。
拓扑扫描能够在非法的网络接入,失效的网络隔离和网络异常中断等方面发挥关键作用,网络拓扑扫描正成为安全评估的重要手段。
安全设备有效性检测
防火墙、入侵检测系统等安全设备已经取得了广泛的使用,这些安全设备的效果如何却很少引起人们的关注和测试。以防火墙配置为例,如果它在交换(透明)模式(无IP地址)下工作,脆弱性扫描产品将无法对它进行有效检测,防火墙工作有效与否就无从得知。未来的脆弱性扫描产品将会采用闭环路式结构,能够接入防火墙的两端进行有效性测试,检测其访问控制措施、抗攻击措施是否与安全策略一致。
支持CVE国际标准
在设计扫描程序或制定应对策略时,不同的厂商对漏洞的称谓完全不同。CVE是一个有关安全漏洞和信息泄露标准名称的列表,CVE(Common Vulnerabilities and Exposures)的目标是将众所周知的安全漏洞和信息泄露的名称标准化。CVE的编委包括多个安全信息相关组织,由商业安全工具供应商、学术界成员、研究机构、政府机构和安全专家组成。通过开放与合作的讨论,这些组织将决定哪些安全漏洞和信息泄露问题将被包括在CVE中,然后在决定它们的通用名称和对这些条目的描述。
软件固化和安全的OS平台
由于脆弱性扫描产品是模拟攻击举动的安全工具,这就对该类产品自身的安全性提出了要求。产品本身的安全性主要指产品的抗攻击性能,如果软件本身或者软件的运行平台无法保证安全性,扫描器就有可能感染病毒、木马等有害程序,影响用户的使用。由于软件产品无法杜绝被感染的可能,脆弱性扫描产品正在向硬件化的方向发展,高档产品还在FLASH、文件系统、通信接口等方面采用非通用程序,以彻底杜绝被恶意程序攻击和感染的可能。
支持分布式扫描
目前的用户网络越来越复杂,没有划分VLAN的单一网络越来越少见。多个子网之间一般都有访问限制,不同子网之间还设有防火墙。这些限制会对跨网段的扫描产生影响,使扫描结果不准确。今后的扫描产品必须能够进行分布式扫描,以便对网络接点进行彻底、全面的检查。
2.2.2 与等级保护的关系
原标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》在制定时没有考虑与《GB/T20271-2006 信息安全技术信息系统通用安全技术要求》和《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》之间的相互关系。该类标准只是将网络脆弱性扫描产品粗分为基本级
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。
2.2.3 与原标准的区别
1) 标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4) 对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的
补救措施。”这显然是不合理的,而且这也不应该是该类产品需要具备的功能,所以将产品定义的最后修改为“并可以提出一定的防范和补救措施建议。”,提出补救建议就足够了。
7)删除了原标准中的“数据库脆弱性”,数据库的安全性要求很多,现在市场上已经出现了专门针对数据库安全性扫描的一类产品,该要求不应该作为本产品中具备的一个小项提出,故将其删除。
8)删除了原标准中的“安装与操作控制”,该要求涉及的内容属于产品的安装与使用,不是产品应具备的功能要求,故删除,新标准修订后在产品的安全保证要求中有所提及。
9)删除了原标准中的“与IDS 产品的互动”、“与防火墙产品的互动”、“与其它应用程序之间的互动”,如果脆弱性扫描产品作为一套完整的大型系统中的一部分,要求具备这些可以与IDS、防火墙等联动的功能是非常有必要的,当扫描设备发现网络系统中存在某些脆弱性后,可以与其他设备联动进行自动修复或者进行提前防护,对整套系统起到了一个很好的自动化保护功能,但是作为一个独立的扫描产品,也提出这些要求,无疑使得产品的要求过于苛刻,而且从市场上的产品来看,基本上也都不具备这些功能,所以在标准修订时,弱化了此部分的要求,不再要求能与这些设备进行联动,只要具备基本通用接口即可。
10)新增了在产品升级过程中要求对升级包的认证功能,现在的扫描产品主要都是通过特征比对的方式进行脆弱性发现,如果设备本身的特征库出现错误,那扫描结果将不堪设想,所以对于产品的升级包提出了更高的要求,必须保证是产品开发商提供的,未经非授权修改的。
11)新增了扫描结果的比对分析功能,通过对多个设备的同时扫描,可以横向比对出哪个设备存在的漏洞最多,或者可以对同个设备进行多次扫描,纵向比对出同一个设备的漏洞趋势,是否有所改观或者更加恶化。
12)在产品自身安全要求中新增了鉴别数据保护、鉴别失败处理、超时锁定、远程管理等功能,通过这些要求的加入,使得产品的自身安全要求更高,便于产品的使用和管理。
2.2.4 主要概念的说明
为了便于理解本标准内容,现将本标准的主要概念说明如下。
1)扫描scan
使用技术工具对目标系统进行探测,查找目标系统中存在的安全隐患的过程。
2)网络脆弱性扫描network vulnerability scan
通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。
3 与国内外现行同类标准的对比
《信息安全技术网络脆弱性扫描产品安全技术要求》标准在修订过程中,参考了国内外相关的标
准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。
4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术网络脆弱性扫描产品安全技术要求》修订组
2012年9月
某某石油管理局企业标准 数据库系统安全开发和改造规范 某某石油管理局发布 前言 本标准由某某石油管理局计算机应用及信息专业标准化委员会提出并归口。 本标准由某某石油管理局信息中心起草。 本标准的主要内容包括: 适用范围、术语定义、数据库的开发和改造等几部分。 1范围 本标准规定了局某某石油管理局某某油田数据库系统安全开发与改造规范。 本标准适用于某某油田(企业内部)数据库系统安全开发与改造的全过程。 2规范解释权 某某油田信息中心网络标准和规范小组 3基本原则 本规范是参考国家相应标准,并参考相应国际标准,并结合某某油田的相应实际而制定 4使用说明 1)本规范所提到的重要数据应用部门,如无特别说明,均指某某油田范围内 各个有重要数据(如生产数据,管理数据等)的部门,这里不具体指明,各单位可以参照执行。 2)本规范说明了如何在现有数据库系统上应用的开发与改造方法,但不包括 数据系统的应用与管理。也不说明数据库系统本身的开发与改造方法。 5总则 1)为加强某某油田各单位数据库技术管理,有效地保护和利用数据库技术资 源,最大程度地防范技术风险,保护使用者的合法权益,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关法律、法规和政策,结合油田的实际情况,制定本规范。 2)本规范所称的数据库,是指所有与油田业务相关的信息存储体的集合。
3)某某油田中从事数据库开发与改造的人员,均须遵守本规范。 6数据库系统的基本概念 数据、数据库、数据库管理系统和数据库系统是与数据库技术密切相关的四个基本概念。 数据是数据库中存储的基本对象。数据在大多数人的头脑中第一个反应就是数字。其实数字只是最简单的一种数据,是数据的一种传统和狭义的理解。广义的理解,数据的种类很多,文字、图形、图像、声音、学生的档案记录、货物的运输情况等等,这些都是数据。 我们可以对数据做如下定义:描述事物的符号记录称为数据。描述事物的符号可以是数字,也可以是文字、图形、图像、声音、语言等,数据有多种表现形式,它们都可以经过数字化后存入计算机。 数据库,是存放数据的仓库。只不过这个仓库是在计算机存储设备上,而且数据是按一定的格式存放的。所谓数据库中,是指长期存储在计算机内、有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描述和存储,具有较小的冗余度、较高的数据独立性和易扩展性,并可为各种用户共享。 数据库管理系统是位于用户与操作系统之间的一层数据管理软件,它负责科学地组织和存储数据以及如何高效地获取和维护数据。 7数据库系统的分类 集中型在这种结构中,客户程序连接某台指定的机器并通过其完成交易。数据库放置在同一台机器上,或指定一台专门的机器充当数据库 服务器。 数据分布型数据分布型结构类似前一种结构,只是数据库分布在每台服务器上。它具有的优点是:无单点失败且可独立进行管理。我们可以 将这种结构用于数据分割,例如逻辑分割和地理分割。 数据集中型这种结构是对集中型的一种增强,由其中的一台机器作为数据存取服务器,而在前台提供更多的应用服务器,共享一个数据库服 务器。这种情况下,必须使用数据库软件提供的并行处理功能及硬件 厂商提供的硬件集群策略。 高可用性现在,所有用户都希望在硬件出现错误时,应用的迁移能更加简单,并且在迁移的同时能保证系统继续运行且尽量减少人工干预。 中间件可以提供这样的功能,它可以帮助操作系统自动迁移关键组件 到正常的机器上。 8数据库类型的开发方式与访问接口 数据库类型的开发方式主要是用分布式组件技术。组件是独立于特定的程序设计语言和应用系统、可重用和自包含的软件成分。组件是基于面向对象的,支持拖拽和即插即用的软件开发概念。基于组件技术的开发方法,具
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
第六章信息系统与数据库 一、选择题 .以下列出了计算机信息系统抽象结构层次,其中的数据库管理系统和数据库。.属于业务逻辑层 属于资源管理层 属于应用表现层 不在以上所列层次中 . 以下列出了计算机信息系统抽象结构的个层次,在系统中为实现相关业务功能(包括流程、规则、策略等)而编制的程序代码属于其中的。 基础设施层 业务逻辑层 资源管理层 应用表现层 . 以下列出了计算机信息系统抽象结构的个层次,系统中的硬件、系统软件和网络属于其中的。 .基础设施层 .业务逻辑层 .资源管理层 .应用表现层 . 以下列出了计算机信息系统抽象结构层次,在系统中可实现分类查询的表单和展示查询结果的表格窗口。 属于业务逻辑层 属于资源管理层 属于应用表现层 不在以上所列层次中 . 以下关于语言的说法中,错误的是 的一个基本表就是一个数据库 语言支持三级体系结构 .一个基本表可以跨多个存储文件存放 的一个二维表可以是基本表,也可以是视图 . 信息系统采用模式时,其“查询请求”和“查询结果”的“应答”发生在之间。浏览器和服务器 浏览器和数据库服务器 服务器和数据库服务器 任意两层 . 关系数据库的查询操作由个基本运算组合而成,其中不包括。 连接 选择 投影 比较 . 信息系统采用的模式,实质上是中间增加了的模式。 服务器 浏览器
数据库服务器 文件服务器 . 在信息系统的模式中,是之间的标准接口。 服务器与数据库服务器 浏览器与数据库服务器 浏览器与服务器 客户机与服务器 . 计算机信息系统中的三层模式是指。 应用层、传输层、网络互链层 应用程序层、支持系统层、数据库层 浏览器层、服务器层、服务器层 客户机层、网络层、网页层 . 是,用户可以直接将语句送给。 一组对数据库访问的标准 数据库查询语言标准 数据库应用开发工具标准 数据库安全标准 . 所谓“数据库访问”,就是用户根据使用要求对存储在数据库中的数据进行操作。它要求。 .用户与数据库可以不在同一计算机上而通过网络访问数据库;被查询的数据可以存储在多台计算机的多个不同数据库中 .用户与数据库必须在同一计算机上;被查询的数据存储在计算机的多个不同数据库中 .用户与数据库可以不在同一计算机上而通过网络访问数据库;但被查询的数据必须存储同一台计算机的多个不同数据库中 .用户与数据库必须在同一计算机上;被查询的数据存储在同一台计算机的指定数据库中 是,用户可以直接将语句送给。 .一组对数据库访问的标准 .数据库查询语言标准 . 数据库应用开发工具标准 .数据库安全标准 . 查询语句:,,, ,, ===‘男’; 涉及的和三个表。和表之间和和表之间分别通过公共属性 作连接操作。 . 在模式的网络数据库体系结构中,应用程序都放在上。 浏览器 数据库服务器 服务器 客户机 . 语言提供了语句进行数据库查询,其查询结果总是一个。
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
数据库系统安全性分析与实现 (刘中胜信息系统项目管理师,高级项目经理) 摘要:随着信息技术的不断发展,各行企业都不同程度地实现了信息化,因而信息系统的应用非常普及,作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中,会受到软件、硬件、人为和自然灾害等各种因素的影响,这些因素不但会破坏数据的机密性、完整性、可用性,造成数据损坏或丢失,而且会影响数据库系统的正常运行,甚至导致数据库系统的崩溃,因此,数据库系统的安全性问题变得尤为突出,不断面临巨大的、新的挑战。本文将从数据库系统的安全属性及安全技术进行分析,探讨实现数据库系统的高安全性策略。 关键字:数据库系统;数据库技术;安全性;安全策略 随着信息技术的不断发展,各行企业都不同程度地实现了信息化,因而信息系统的应用非常普及,作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中,会受到软件缺陷和故障、硬件损坏和故障,人为非法访问和误操作,以及自然灾害等各种因素的影响,这些因素不但影响数据的安全,而且会影响数据库系统的正常运行,甚至导致数据库系统的崩溃,因此,数据库系统的安全性问题变得尤为突出,不断面临巨大的、新的挑战。如何保证数据的安全,如何保证数据库系统正常安全地运行,是我们在实现企业信息化建设过程中必须认真考虑的问题。下面将从数据库系统的安全属性出发,分析构建数据库系统的安全技术,并阐述实现数据库系统高安全性的策略。 一、数据库系统的安全属性分析 对数据库系统安全属性的分析,是实现数据库安全策略的一个重要环节,是一个数据库系统采用恰当安全策略的前提。数据库系统的安全属性涉及多个方面,从总体上来讲,包括机密性、完整性、可用性、可控性和可审查性等属性。 (1)机密性:防止数据被非法窃取、调用或存取而泄密。数据只能被其相应的合法用户访问或调用。 (2)完整性:防止非法用户对数据进行添加、修改和删除,同时也防止合法用户越权访问对未被授权的数据进行添加、修改和删除,并且能够判断数据是否被修改。
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
医院信息系统数据库安全性分析及措施医院信息系统数据库安全性分析及措施 余大勇① ①四二一医院信息科,510000,广东省广州市新港中路468号 摘 要要 数据库系统已经渗透到医疗行业的各个方面,数据库系统的安全问题也时时在威胁医院业务正常的运行与发展。数据安全问题主要有几方面:硬件、系统软件出错,人为错误,计算机病毒,自然灾害等。通过对现数据库系统安全进行分析,统计了本医院数据库意外停机的原因。针对这些原因,提出了数据库安全措施,包括双机策略、磁盘备份策略、数据库容灾策略、数据库备份策略。这些措施对提高医院信息系统数据库安全提供比较可靠的保障。 关键词关键词 医院信息系统 数据库安全 双机备份; 1 1 引言 引言 随着计算机技术的发展,医院信息已成为医疗系统日常活动中十分重要的一个组成部分,医院信息系统的可靠性、安全性、数据的完整性越来越引起广泛的重视。与此同时,数据库系统的安全问题也正在威胁医院信息系统的正常运行。目前,数据安全问题主要有几方面:硬件、系统软件出错,人为错误,计算机病毒,自然灾害等。数据库的数据安全受到严峻的挑战。数据库安全问题已是影响业务安全、健康、高速发展的一大隐患。 2 2 数据丢失的原因数据丢失的原因 根据医院HIS数据丢失的情况,总结数据丢失原因主要是因为数据库系统停机造成的。一般来说,信息管理系统要求24小时不停机,可靠性要求高,不仅不允许出现系统故障后丢失数据,而且要求故障在几分钟甚至几秒之内迅速恢复[1]。 而数据库系统停机可以分为:计划内停机和意外(非计划内)停机。 意外停机主要包括:系统错误:电源突然断电或者服务器磁盘突然损坏或者操作系统突然崩溃 [2];数据逻辑错误及自然灾害:发生在数据的逻辑错误;自然灾害,如火灾、地震、台风、暴雨等;人为错误:人为误删除某一张表或人为不小心删除某些数据等;系统管理员在日常维护中误删除了某个数据文件。 计划内停机包括:系统维护:增加硬件或系统升级;数据维护:表都重新定义或索引重建或更改表结构等。 对医院信息系统意外停机进行了150次的统计,统计结果见表1。 表1 意外停机统计表 意外停机原因 次数 所占百分比
档案信息系统安全等级保护定级工作指南 国家档案局 2013年7月
目录 1.工作背景 (2) 2.适用范围 (2) 3.编制依据 (2) 4.档案信息系统类型的划分 (3) 5.档案信息系统的定级 (4) 5.1档案信息系统的定级原则 (4) 5.2档案信息系统安全保护等级的划分 (5) 5.2.1受侵害客体 (5) 5.2.2对客体侵害程度的划分 (5) 5.2.3档案信息系统安全等级的划分 (6) 5.3档案信息系统安全保护等级确定的方法 (6) 5.3.1确定定级对象 (7) 5.3.2确定受侵害的客体 (7) 5.3.3确定对客体的侵害程度 (7) 5.3.4确定档案信息系统的安全保护等级 (8) 5.3.5编制定级报告 (10) 6.评审 (10) 7.备案与报备 (11) 8.等级变更 (11) 附录1《信息系统安全等级保护定级报告》模版 (12) 附录2《信息系统安全等级保护备案表》 (14)
1.工作背景 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。 随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。 2.适用范围 本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。地市级档案局馆和其他档案馆可参照执行。 3.编制依据 本《指南》的编制主要依据以下标准、规范: ●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) ●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) ●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
数据库系统安全、技术操作规程 一.数据库系统概述 在OVATION系统中,RDBMS核心是Ovation Power Tool数据库,由多种分布式数据库支持的主(master)数据库组成。 Ovation系统中许多信息,包括系统配置、控制算法信息和过程点数据库存储在Ovation 数据库中。Ovation数据库提供了结合和产生系统中大量的原始数据的能力,并可以用来创建其他的信息。所有设计工具和用户接口把数据存储在Ovation数据库中,然后把信息传送到控制系统中。Ovation数据库允许应用软件和控制系统通过第三方SQL(结构化查询语言)工具方便的访问数据。 主数据库中信息分成两个主要部分:用户级和系统级。 用户级由下列一组表组成(可以进行所有SQL的读访问): 点表-表示点的用户级别特性。它们通过导入程序、点建立器和控制建立器来增加。 控制表-表示系统的控制信息,由控制建立器操作。 配置表-表示系统的配置。通过导入程序、Admin Tool和I/O建立器来增加。 参数表-表示Ovation系统内容、硬件模件参数信息,Ovation记录类型信息,并在数据库创建时增加。 基线表-用于捕捉用户级别表内容的基线。 Ovation数据库以Oracle7为基础, Ovation通过网络进行连接,Oracle把存放在不同计算机上的数据结合起来存放在一个逻辑数据库中,并由非控制器网络节点进行访问。
二.数据库信息的存取 2-1. 数据库初始化定义工具(DBID) Power Tool数据库可以通过Power Tool单元支持建立数据库,同时也可以执行大量数据输入和导入功能,将数据存放到Power Tool主数据库中。 为方便初始化Power Tool数据库总体,创建数据库初始化定义工具(DBID)。如Ovation 点建立器,DBID提供了一个图形化用户接口,用于创建、删除和修改点数据。DBID通过允许用户直接修改点表中数据,支持大批量数据输入和全局性编辑/替换功能。 DBID建立在Microsoft Access95数据库产品及其它数据检测程序基础上。DBID同Ovation点建立器程序非常相似,同样包含了定义的窗体及系统中硬件配置及输入和编辑点数据。 数据可以手工输入或者从许多其它源文件,如DBASE或电子数据表格文件中导入,但是根据外部数据结构可能要求一些自定义转换。一旦信息输入到DBID并导入到主数据库中,在点对点基础上通过点建立器进行修改。大批量数据修改可通过将数据从主数据库中导出来完成,然后再把这些数据存回到DBID数据库中。一旦修改完成,文件可重新导入到主数据库中。 DBID生成一个可以导入到Ovation数据库中的文本文件。 2-2. 数据的导入功能(ptdbimp) 导入文件由DBID工具生成后,可使用Power Tool的导入功能(ptdbimp)把数据存入到主数据库中,这与Power Tool导出功能(ptdbexp)配合使用。 导入过程的三个用途: 初始化创建的数据库 修改一个已存在的数据库 恢复数据库为一个可知状态 注意ptdbimp用于生成一个主数据库的导出文件(使用ptdbexp),并且把数据存回到DBID工具中这是重要的。若有必要,可进行大批量更改或添加。一旦完成,DBID可以生成一个导入到主数据库的文本文件。 Ptdmimp程序存放在$WDPF_HOME/db/bin目录下,为使用ptdbimp,在shelltool窗口中运行下列命令: $WDPF_HOME/db/bin> ptdbimp ptadmin
1建设方案 根据信息安全等级保护工作要求,并考虑信息系统实际情况,从计算环境、区域边界和通信网络出发,按照“分级分域、深层防护”的安全策略,提出信息安全等级保护深度防御方案。建设中,拟采用具有我国自主知识产权的信息安全产品,实现对信息系统的等级化防护,结合技术措施,实现具有等级保护深度防御体系。 1.1 建设方法原则 以自主知识产权和国产化信息装置为基础,建成“分级分域、深层保护”的信息安全等级保护深度防御体系。在建设过程中,遵循统筹规划、深度防御,统一标准、统一规范,自主产权、国产为主,强化管理、注重技术的原则。 统筹规划深度防御:信息安全等级保护深度防御工程是庞大的系统工程,必须达到国家等级保护对信息系统的各种安全要求。制定落实等级保护政策的安全总体防护方案,做好统筹规划是前提,完成自主研发的应用和数据库防护设备、移动存储安全管理系统进行网络隔离,建设符合需要的三级安全管理中心是防护基础,对信息系统的等级化深度防御是核心。以“分级分域、深层保护”策略为核心的信息安全等级保护深度防御工程总体将达到国内先进水平。 统一标准、统一规范:统一标准是建设信息安全等级保护深度防御工程的最基本要求,是各单位横向集成、纵向贯通,信息共享的前提。同时,在全面推广信息安全等级保护深度防御工程时,按照统一信息系统安全管理的规范进行规划和设计,确保信息安全防护水平的
一致。 自主产权,国产为主:确保信息安全,核心安全防护设备要立足于国产产品,选用满足等级保护要求的安全技术方案和管理措施,以有效抵御互联网风险。 1.2 系统安全建设方案 1.2.1 等级保护三级系统技术要求 按照《信息系统等级保护安全设计技术要求》,三级系统的安全建设要在安全管理中心支撑下,按照计算环境安全、区域边界安全、通信网络安全构筑三重防护体系。 其具体描述包括: 1)计算环境安全设计 用户标识和用户鉴别。在每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。 强制访问控制。对在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;应确保安全计算环境内所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
操作系统以及数据库运行安全管理办法 1范围 为保障XX公司信息通信分公司(以下简称“公司”)管理信息系统的操作系统和数据库管理系统的安全、稳定运行,规范操作系统和数据库管理系统的安全配置和日常操作管理,特制订本管理办法。 本办法适采用于公司信息系统的操作系统和数据库系统的管理和运行。 2规范性引采用文件 下列文件中的条款通过本标准的引采用而成为本标准的条款。凡是注日期的引采用文件,其随后全部的修改单(不包括勘误的内容)或修订版均不适采用于本标准,使采用本标准的相关部门、单位以及人员要研究是否可使采用这些文件的最新版本。凡是不注日期的引采用文件,其最新版本适采用于本标准。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求 ——GB/T 20272-2006 信息安全技术操作系统安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南
3术语和定义 下列术语和定义适采用于本标准 操作系统安全:操作系统所存储、传输和处理的信息的保密性、完整性、和可采用性表征。 数据库管理系统安全:数据库管理系统所存储、传输和处理的信息的保密性、完整性和可采用性的表征。 4操作系统运行管理 4.1操作系统管理员的任命 4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则; 4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员,并分别由不同的人员担任。在多套系统的环境下,操作系统管理员和操作系统审计员岗位可交叉担任; 4.1.3操作系统管理员和操作系统审计员的任期可据系统的安全性要求而定,最长为三年,期届满通过考核后可续任; 4.1.4操作系统管理员和操作系统审计员须签订保密协议书。 4.2操作系统管理员帐户的授权、审批 4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》,经部门领导批准后设置; 4.2.2操作系统管理员和操作系统审计员人员变更后,须尽快更改帐户设置。 4.3其他帐户的授权、审批 4.3.1其他账户的授权由使采用人填写《操作系统账户授权审批表》,经信息管理部门领导批准后,由操作系统管理员进行设置; 4.3.2外单位人员需使采用公司系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》,报信息管理部门领导批准后, 由操作系统管理员按照规定的权限、时限设置专门的采用户帐号; 4.3.3禁止公司任何人将自己的采用户帐号提供给外单位人员使采用。
龙源期刊网 https://www.doczj.com/doc/4f12694555.html, 管理信息系统数据库安全体系设计 作者:杨帅军 来源:《现代商贸工业》2010年第08期 摘要:对管理信息系统(Management Information System, MIS)的安全性进行了全面的分析, 提出了系统所需采用的安全策略和方法,并采用系统权限分配、用户认证、记录追踪、协议审计、数据备份、灾难恢复及报警系统等技术,设计了一套多层次的数据库安全保护系统,实现了 普遍适用的管理信息系统完整有效的安全防护体系。 关键词:信息系统;网络安全;网络安全审计;入侵检测 中图分类号:TP 文献标识码:A 文章编号:1672-3198(2010)08-0267- 实时安全分析可帮助人们即时获取关于系统高层次、整体性的安全信息,进而从整体了解 系统的安全态势。目前,基于实时安全分析对大型复杂系统进行安全监控正成为国际上安全性 研究的热点。将实时安全分析应用于系统安全监控的一个难点问题是缺乏有效的安全监控体系。管理信息系统也可以称为较为复杂的系统,它涉及到事务计划、个人身份资料、事务处理 情况以及其他极其重要的日常管理信息,是企业运作的关键所在。由于企业的后台操作环境是 在一个局域网内进行的,在该环境下MIS的安全问题受到高度关注。因此,基于局域网的管理信息系统安全监控体系的研究显得尤为重要。 1 数据库对MIS安全的影响 在对整个系统进行安全配置时,除了对系统基础架构上进行安全配置研究外,对数据库的安全配置也应给予更多关注。事实上,攻击者的主要目标往往就是数据库,通常MIS后台数据库使用的是Oracle数据库。目前,Oracle 11g功能强大,应用广泛,是使用得最多的数据库之一。虽然它已通过了美国政府定义的C2安全认证,但针对其所出现的安全问题也层出不穷,常见的安全问题包括有利用缓冲区溢出、攻击(端口和客户端)、密码猎取、物理数据文件损坏或被盗、不够完善的备份策略以及可能被利用去执行系统命令的扩展存储过程等。 2 安全配置策略的实施 2.1 局域网中信任区域的设置
成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件); 2.测评机构应为成都市本地机构或在成都有常驻服务机构; 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》; 4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准); 5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全
等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》; 2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告; 3.协助完成上述信息系统安全等级保护备案工作; 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术