复杂信息系统在选择适合的安全参考标准时应考虑复杂系统所属领域、系统实现目标、系统所使用的技术、系统管理要求和系统是否涉密等因素。
复杂信息系统的安全定级是保护工作的首要环节,是完成复杂信息系统安全体系建设的重要基础。复杂信息系统的防护对象主要分为业务和系统服务两个方面。
首先,防护定级应从定级对象入手,确定待定级的关键对象,包括物理设备、操作系统、业务与系统应用、网络通信、数据库与数据内容等。
其次,要确定在待定级对象遭到破坏时,可能被侵害的客体会对国家和社会等造成的危害。在确定了定级对象及被侵害的客体对象之后,就可以综合评定当复杂信息系统中的某个对象遭到破坏时,对被侵害客体造成的侵害程度,参照安全标准,制定业务信息安全等级和系统服务安全等级。
最后,由二者之中安全等级要求较高的一项确定定级对象的最终安全等级。防护定级的基本方法如图3-2所示。
图3-2 防护定级的基本方法
信息系统的安全保护等级由两个定级要素决定:等级保护对象遭到破坏时所侵害的客体和对客体造成侵害的程度。
等级保护对象遭到破坏时所侵害的客体包括3个方面:一是公民、法人和其他组织的合法权益;二是社会秩序和公共利益;三是国家安全。
对客体的侵害程度由客观方面的不同外在表现综合决定。因为对客体的侵害是通过对等级保护对象的破坏实现的,所以对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象遭到破坏后对客体造成侵害的程度归结为3种:第一种是造成一般损害;第二种是造成严重损害;第三种是造成特别严重损害。
定级要素与信息系统安全保护等级的关系如安全保护等级矩阵表所示(见表3-5)。
表3-5 安全保护等级矩阵表
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同。因此,信息系统定级也应由业务信息安全和系统服务安全两个方面确定。安全定级的一般流程如下。
1)确定定级对象
一个单位内运行的信息系统可能过于庞大,可将庞大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象,这样可重点保护重要部分,有效控制信息安全建设成本,优化信息安全资源配置。定级对象通常具有唯一确定的安全责任单位,具有信息系统的基本要素,承载单一或相对独立的业务应用等基本特征。
2)确定受侵害的客体
定级对象遭到破坏时所侵害的客体包括国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权力和利益。在确定作为定级对象的信息系统遭到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业特点,分析各类信息和信息系统与国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和信息系统遭到破坏时所侵害的客体。
3)确定对客体的侵害程度
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中,信息安全是指确保信息系统内信息的保密性、完整性和可用性等;系统服务安全是指确保信息系统可以及时、有效地提供服务来完成预定的业务目标。由于业务信息安全和系统服务安全遭到破坏时对客体的侵害程度可能有所不同,所以在定级过程中,需要分别处理这两种危害方式。在信息安全和系统服务安全遭到破坏后,可能产生诸多危害后果,如影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失,以及其他危害。
侵害程度是客观方面不同外在表现的综合体现,因此,首先应根据不同受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度,所采取的方法和考虑的角度可能不同,如系统服务安全被破坏导致业务能力下降的程度,可从信息系统服务覆盖的区域范围、用户人数或业务量等方面确定;业务信息安全被破坏导致财物损失可从直接的资金损失金额、间接的信息恢复费用等方面确定。
4)确定定级对象的安全保护等级
依据表3-5,可得到业务信息和系统服务的安全保护等级,将业务信息安全保护等级和系统服务安全保护等级中等级较高的,确定为定级对象的安全保护等级。
安全控制点是指能够控制复杂信息系统组成的某个点或某个方面,通过安全控制点的控制操作能够让某个危害系统安全的因素得到预防、消除,或将其降低到可接受的水平。控制项是根据各控制点的复杂性,可在控制点设置的详细的子项。以下列举14个典型的安全控制点及其控制要求。
(1)身份鉴别。为确保系统安全,只有通过身份鉴别的用户才能被赋予相应的权限,并在规定的权限内操作。系统中的用户名和用户标识符应具有唯一性和可区别性,在主机系统的整个生命周期内都有效,即使一个用户账号已被删除,其用户名和标识符也不能再被使用。
(2)访问控制。通过限制只有授权用户才可访问指定资源,加强用户访问系统资源及服务时的安全控制,以防非授权访问和授权用户违规访问。这包括自主访问控制、强制访问控制和基于角色的访问控制等控制项。
(3)可信路径。主机系统可信路径是指在用户与内核之间直接的、可信任的信息传输通路,该通路能防止攻击者介入通信,预防重要信息被窃取和盗用,防止重要信息在不可信的路径上传输。
(4)恶意代码防范。恶意代码防范技术用于防范恶意代码,确保用户使用信息资源的安全性。它主要包括基于特征的扫描技术、校验和、沙箱技术和安全操作系统对恶意代码的防范技术等,主机端驻留进程采用进程保护、进程隐藏等技术,可以有效防止恶意的删除、终止等行为。
(5)资源控制。计算机资源通常包括中央处理器、存储器、外部设备、信息(包括程序和数据)及服务等,为保证这些资源有效共享和充分利用,操作系统必须对资源的使用进行控制,包括限制最大并发会话连接数、单个用户的多重并发会话数、单个用户对系统资源的最大和最小使用限度、登录终端的操作超时或鉴别失败时进行锁定等;并且对资源的使用、变动和终端接入范围等进行控制。
(6)安全审计。安全审计通过创建和维护受保护客体的访问审计跟踪记录,阻止非授权用户的访问或破坏,对非法用户起到威慑作用。每个事件的审计记录包括事件日期和时间、用户、事件类型、事件是否成功、请求的来源、客体引入用户地址空间的事件、客体删除事件时的客体名(如打开文件、程序初始化)、客体的安全级别、系统管理员实施的动作,以及其他与系统安全有关的事件。
(7)剩余信息保护。用户在计算机上删除、安装软件,或者存储、删除信息后仍会留下一些剩余信息,有可能成为恶意攻击的源头,因此对在主机上保留的所有与安全系统管理有关的用户信息、系统文件、本地日志等内容在存储过程中应采用高强度的加密算法,同时在相关数据删除后,对原有信息的存储空间进行特殊格式化处理,以规避任何数据还原技术带来的安全风险。
(8)通信保密性。传输用户保密信息应确保数据处于保密状态。
(9)入侵防范。补充检测那些出现在“授权”数据流或其他遗漏数据流中的入侵行为,应在入侵前采取相应措施,如是否安装杀毒软件、防火墙及其他相应的防护设备等。
(10)安全标记。维护可被外部主体直接或间接访问的计算机信息系统资源相关的敏感标记,以追踪不安全事件。
(11)数据完整性。对计算机信息系统中存储、传输和处理过程中的信息采取有效措施,防止其遭到非授权用户的修改、破坏或删除,以确保数据的完整性。数据完整性保护分为自主保护和强制保护两种策略。
(12)隐蔽信道分析。有些文件或程序可能被相应的策略隐藏,以保证其安全性,但这种策略也可能被怀有恶意的攻击者用来建立隐蔽的信息传输通道,以实现信息窃取的目的。应仿照实际测量和工程估算方法,分析系统中存在的隐蔽信道,并采取相应防范措施。
(13)可信恢复。用户在删除或修改信息一段时间后可能需要还原恢复,如对系统的设置或用户策略的设置等,因此应提供过程和机制,保证主机系统失效或中断后,可以进行不损害任何安全保护性能的恢复。
(14)客体重用。这里的客体包括存放信息的介质,如内存器、外存器、可擦写光盘,以及寄存器、高速缓存器等可读写设备,这些存储介质作为资源被动态分配时和在对资源进行回收时应确保曾经存储的信息不因这种动态分配和回收而遭到泄露,如采取特别的信息擦除手段对残留信息进行清除。