今日頭條
官方微信
官方抖音
資訊頻道安全建設管理風險主要來源于信息安全管理體系的不健全,以及因相關控制措施的缺失而導致的信息系統(tǒng)及信息工程規(guī)劃設計、軟件開發(fā)、工程實施、測試驗收及系統(tǒng)交付等階段工作內容和工作流程的不全面、不規(guī)范問題,進而有可能導致信息系統(tǒng)或信息工程在安全功能和相關控制措施方面的缺陷,為合規(guī)性和信息系統(tǒng)運維埋下隱患。
通過建立信息系統(tǒng)及信息工程規(guī)劃設計、軟件開發(fā)、工程實施、測試驗收及交付等階段的控制措施,將這些控制措施和流程落實到管理制度文檔,并進行合理的發(fā)布和實施。確保信息系統(tǒng)在規(guī)劃、開發(fā)、實施、測試驗收和交付階段工作內容和工作流程的全面、規(guī)范、符合項目管理的要求。
1、安全建設管理要求
(1)定級和備案要求
1)應以書面的形式說明保護對象的邊界、安全保護等級及確定等級的方法和理由。
2)應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定。
3)應確保定級結果經過相關部門的批準。
4)應將備案材料報主管部門和相應公安機關備案。
(2)安全方案設計要求
1)應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施。
2)應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規(guī)劃和安全方案設計,并形成配套文件。
3)應組織相關部門和有關安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定,經過批準后才能正式實施。
(3)產品采購和使用要求
1)應確保信息安全產品采購和使用符合國家的有關規(guī)定。
2)應確保密碼產品采購和使用符合國家密碼主管部門的要求。
3)應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。
(4)自行軟件開發(fā)要求
1)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開,測試數據和測試結果受到控制。
2)應制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準則。
3)應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼。
4)應確保具備軟件設計的相關文檔和使用指南,并對文檔使用進行控制。
5)應確保在軟件開發(fā)過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測。
6)應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準,并嚴格進行版本控制。
7)應確保開發(fā)人員為專職人員,開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查。
(5)外包軟件開發(fā)要求
1)應在軟件交付前檢測軟件質量和其中可能存在的惡意代碼。
2)應要求開發(fā)單位提供軟件設計文檔和使用指南。
3)應要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道。
(6)工程實施要求
1)應指定或授權專門的部門或人員負責工程實施過程的管理。
2)應制訂工程實施方案控制安全工程實施過程。
3)應通過第三方工程監(jiān)理控制項目的實施過程。
(7)測試驗收要求
1)制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告。
2)應進行上線前的安全性測試,并出具安全測試報告。
(8)系統(tǒng)交付要求
1)應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點。
2)應對負責運行維護的技術人員進行相應的技能培訓。
3)應確保提供建設過程中的文檔和指導用戶進行運行維護的文檔。
(9)等級測評要求
1)應定期進行等級測評,發(fā)現不符合相應等級保護標準要求的及時整改。
2)應在發(fā)生重大變更或級別發(fā)生變化時進行等級測評。
3)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評。
(10)服務供應商選擇要求
1)應確保服務供應商的選擇符合國家的有關規(guī)定。
2)應與選定的服務供應商簽訂相關協(xié)議,明確整個服務供應鏈各方需履行的信息安全相關義務。
3)應定期監(jiān)視、評審和審核服務供應商提供的服務,并對其變更服務內容加以控制。
2、安全建設管理措施
(1)定級和備案
等級保護制度是我國保證信息系統(tǒng)安全的重要手段,是在合規(guī)性管理的重要工作內容。信息系統(tǒng)定級和備案是開展等級保護工作的重要內容,也是最先開展的環(huán)節(jié),定級的準確性決定了信息系統(tǒng)在后續(xù)規(guī)劃、設計和項目建設階段是否全面、準確。因此,必須建立與等級保護相關的管理制度,要求信息系統(tǒng)的規(guī)劃和建設者必須參照國家相關標準,以書面的形式準確地描述保護對象,包括其安全邊界、信息資產、業(yè)務功能、安全保護等級,以及等級確定的方法和依據,并填寫公安機關要求的其他備案材料。在完成材料準備后,應組織相關業(yè)務部門和外部安全技術專家對定級結果的合理性和準確性進行審定,如果有上級主管部門,還應當通過上級主管部門的審核,在按照專家和主管部門的審定意見完成備案材料的修訂后,應將修改后的材料報主管部門和公安機關審查,完成備案。
(2)安全方案設計
確定信息系統(tǒng)的安全等級保護級別后,就唯一確定了一組針對該等級的控制措施,應該根據信息系統(tǒng)面臨的風險和相應的安全措施,進行安全整體規(guī)劃和安全方案的設計,并組織業(yè)務部門、上級部門和外部安全專家對設計方案進行評價審定。
(3)產品采購和使用
信息安全產品是落實控制措施的重要手段之一,如何采購到符合組織需要的、符合國家相關部門標準的產品是非常重要的,一旦購買的產品不能滿足信息安全保護的要求,可能會給相關業(yè)務系統(tǒng)帶來嚴重損失。因此,必須按照項目管理的采購知識領域的要求,建立產品采購相關的制度,控制產品采購的過程。建議制定不同類型產品必須滿足的資質級別要求,特別是商用密碼產品必須滿足國家密碼主管部門的相關要求。在開始采購產品之前預先對產品的性能和功能進行測試,確保產品不存在性能虛標,可以滿足項目建設的功能要求,產品本身的安全防護能力可以達到信息系統(tǒng)相同等級保護級別的要求;而產品的測試結果形成組織候選產品清單,并根據國家相關部門要求的變化及組織業(yè)務的需要定期審定和更新該產品清單。產品采購階段應考慮:
1)為了滿足用戶身份鑒別要求,需要確認廠商所宣稱身份的信任級別。
2)無論是業(yè)務用戶、特權用戶,他們的訪問資源調配與授權過程應該是相同的。
3)用戶和操作員的權限及職責。
4)資產需要達到的保護要求,包括但不限于可用性、保密性和完整性等。
5)源自業(yè)務過程的要求,例如交易記錄、監(jiān)視和抗抵賴等。
6)其他安全控制強制的要求,例如日志記錄和監(jiān)視或數據泄露檢測系統(tǒng)之間的接口。
如果購買產品,則需要遵循一個正式的測試和獲取過程。與供應商簽訂的合同需要給出已確定的安全要求,如果推薦的產品的安全功能不能滿足要求,在購買產品之前需要重新考慮引入的風險和相關控制措施。
(4)自行軟件開發(fā)管理措施
軟件源代碼、測試數據和測試結果作為組織的重要資產,一旦泄露會導致非常嚴重的后果,因此必須建立軟件開發(fā)相關的管理制度,明確開發(fā)環(huán)境的安全性要求,例如開發(fā)和測試環(huán)境要和生產環(huán)境物理隔離,從生產環(huán)境抽取的測試數據必須進行必要的脫敏工作;明確開發(fā)過程安全,例如開發(fā)過程中由誰負責代碼的審核、由誰負責代碼的安全性測試,并注意權限職責的分離;應明確編碼安全規(guī)范,至少包含變量的命名、數據庫連接等臨界資源的獲取和釋放、輸入數據的過濾和數據流的控制、程序異常的處理等內容,必要時,對開發(fā)人員進行安全開發(fā)方面的培訓;明確文檔管理和代碼版本控制,對開發(fā)過程中產生的設計文檔、測試文檔、使用文檔等進行合理的分類分級,確定不同類型和級別的文檔的閱讀人員和訪問權限,并注意這些文檔和代碼的更新等;明確開發(fā)人員的行為準則,包括職業(yè)道德、保密要求、BYOD工作中個人設備的保護要求等。
安全開發(fā)是建立安全服務、安全架構、安全軟件和系統(tǒng)的必然要求。基于一個安全開發(fā)策略,以下方面需要充分考慮:
1)開發(fā)環(huán)境安全。
2)軟件開發(fā)方法的安全。
3)所使用編程語言的安全編碼指南。
4)設計階段的安全要求。
5)項目里程碑中的安全核查點。
6)安全知識庫。
7)安全版本控制。
8)所要求的應用安全知識。
9)開發(fā)人員避免、發(fā)現和修復軟件脆弱性的能力。
考慮制定安全編碼標準并且強制使用,對開發(fā)人員進行代碼開發(fā)、測試或評審標準的培訓,并對標準落實情況進行控制和驗證。
(5)外包軟件開發(fā)管理措施
外包軟件的開發(fā)過程不在組織的掌控之下,因此必須對軟件質量和文檔提出相關要求。例如要求開發(fā)商提供軟件的源代碼,進行代碼安全審計,發(fā)現代碼存在的方法誤用、授權驗證、數據驗證、異常處理、密碼加密等方面的代碼問題,以及可能存在的軟件后門。
外包軟件開發(fā)時,在組織的整個外部供應鏈中,需要考慮下列要點:
1)有關外包內容的許可證安排、代碼所有權和知識產權。
2)安全設計、編碼和測試實踐的合同要求。
3)為外部開發(fā)者提供被認可的威脅模型。
4)交付物質量和準確性的驗收測試。
5)用于建立安全和隱私質量最小化可接受級別(閾值)的證據的條款。
6)已應用足夠的測試來防止交付過程中有意或無意的惡意內容的證據的條款。
7)已應用足夠的測試來防止存在已知脆弱性的證據的條款。
8)當開發(fā)出現重大問題時的處理措施,例如,如果源代碼不可用時。
9)審核開發(fā)過程和控制措施的合同權利。
10)創(chuàng)建可交付使用的有效文檔。
11)組織應確保自身可以實現驗證控制措施有效的職責。
(6)工程實施管理措施
組織應建立工程實施相關的管理制度,明確工程實施管理的目的、要點和責任部門,包括安全建設工程實施的組織管理工作以及落實安全建設的責任部門和人員,保證建設資金足額到位,選擇符合要求的安全建設整改服務商,采購符合要求的信息安全產品,管理和控制安全功能開發(fā)、集成過程的質量等方面。并且為保證建設工程的安全和質量,信息系統(tǒng)安全建設工程可以實施監(jiān)理。監(jiān)理內容包括對工程實施前期安全性、采購外包安全性、工程實施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。
工程實施階段的主要目的是將所有的模塊(軟硬件)集成為完整的系統(tǒng),并且檢查確認集成以后的系統(tǒng)符合要求。
本階段應完成以下具體信息安全工作:
由授權或指定專職人員代表組織負責工程實施過程的管理;由工程實施單位根據具體項目情況制定詳細的工程實施方案來控制實施過程,并監(jiān)督工程實施單位認真執(zhí)行安全工程過程;找出并描述實現安全方案后系統(tǒng)和模塊的安全要求和限制,以及相關的系統(tǒng)驗證機制及檢查方法;完善系統(tǒng)的運行程序和全生命周期的安全計劃,如密鑰的分發(fā)等;對項目參與人員進行信息安全意識培訓;對參加項目建設的安全管理和技術人員的安全職責落實情況進行檢查。
安全建設整改工程實施的組織管理工作包括保證落實安全建設整改的責任部門和人員,保證建設資金足額到位,選擇符合要求的安全建設整改服務商,采購符合要求的信息安全產品,管理和控制安全功能開發(fā)、集成過程的質量等方面。
(7)測試驗收管理措施
組織應建立工程測試驗收相關的管理制度,明確要求在測試驗收前制定針對本次工程的測試驗收方案,工程驗收的內容包括全面檢驗工程項目所實現的安全功能,設備部署、安全配置等是否滿足設計要求和安全規(guī)范,工程施工質量是否達到預期指標,工程檔案資料是否齊全等方面,并形成測試驗收報告和安全測試報告。在通過安全測評和試運行的基礎上,組織業(yè)務、技術人員以及安全專家進行工程驗收。
一般項目可按照以下三步驟進行項目測試驗收工作。
1)安全測試
安全測試階段應制定測試大綱,在項目實施完成后,由組織和項目承接單位共同組織測試。對于第三級以上的應用系統(tǒng)整改建設,由組織委托第三方測試單位對系統(tǒng)進行安全性測試,并獨立不受干擾地出具安全性測試報告。在測試大綱中應至少包括以下安全性測試和評估內容:
配置管理:系統(tǒng)開發(fā)單位應使用配置管理系統(tǒng),并提供配置管理文檔。
安裝、生成和啟動程序:應制定安裝、生成和啟動程序,并保證最終產生了安全的配置。
安全功能測試:對系統(tǒng)的安全功能進行測試,以保證其符合詳細設計并對詳細設計進行檢查,保證其符合概要設計以及總體安全方案。
系統(tǒng)管理員指南:應提供如何安全地管理系統(tǒng)和如何高效地利用系統(tǒng)安全功能和保護功能等詳細準確的信息。
系統(tǒng)用戶指南:必須包含兩方面的內容:首先,它必須解釋那些用戶可見的安全功能的用途以及如何使用它們,這樣用戶可以持續(xù)有效地保護他們的信息;其次,它必須解釋在維護系統(tǒng)安全時用戶所能起的作用。
安全功能強度評估:功能強度分析應說明以概率或排列機制(如,口令字或哈希函數)實現的系統(tǒng)安全功能。例如,對口令機制的功能強度分析可以通過說明口令空間是否足夠大來判斷口令字功能是否滿足強度要求。
脆弱性分析:應分析所采取的安全對策的完備性(安全對策是否可以滿足所有的安全需求)以及安全對策之間的依賴關系。通常可以使用穿透性測試來評估上述內容,以判斷它們在實際應用中是否會被利用來削弱系統(tǒng)的安全。
測試完成后,項目測試小組應提交安全測試報告,其中應包括安全性測試和評估的結果。不能通過安全性測試評估的,由測試小組提出修改意見,項目開發(fā)承擔單位應做進一步修改。
2)安全試運行
測試通過后,由項目應用單位組織進入試運行階段,應有一系列的安全措施來維護系統(tǒng)安全,它包括處理系統(tǒng)在現場運行時的安全問題和采取措施保證系統(tǒng)的安全水平在系統(tǒng)運行期間不會下降。具體工作如下:
監(jiān)測系統(tǒng)的安全性能,包括事故報告;進行用戶安全培訓,并對培訓進行總結;監(jiān)視與安全有關的部件的變更或移除;監(jiān)測新發(fā)現的對系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以及其他與安全風險有關的因素;監(jiān)測安全部件的備份支持,開展與系統(tǒng)安全有關的維護培訓;評估系統(tǒng)改動對安全造成的影響;監(jiān)測系統(tǒng)物理和功能配置,包括運行過程。在試運行情況報告中應對上述工作做總結性描述。
3)測試驗收
系統(tǒng)安全試運行過后,可以組織由項目開發(fā)承擔單位和相關部門人員參加的項目驗收組對項目進行驗收。驗收應增加以下安全內容:
項目是否已達到項目任務書中制定的總體安全目標和安全指標,實現全部安全功能;采用技術是否符合國家、行業(yè)有關安全技術標準及規(guī)范;是否實現驗收測評的安全技術指標;項目建設過程中的各種文檔資料是否規(guī)范、齊全。
在測試驗收報告中也應在以下條目中反映對系統(tǒng)安全性驗收的情況:項目設計總體安全目標及主要內容;項目采用的關鍵安全技術;驗收專家組中的安全專家出具安全驗收評價意見。
(8)系統(tǒng)交付管理措施
組織應建立系統(tǒng)交付相關的管理制度,明確系統(tǒng)建設完成后,項目承建方要向組織交付的內容,建議至少包括詳細的系統(tǒng)交付清單、制定項目培訓計劃、系統(tǒng)建設的各類過程文檔、系統(tǒng)運行維護的操作手冊和幫助,并且系統(tǒng)交付過程文檔必須有項目承建和組織雙方項目負責人進行簽字確認。
系統(tǒng)建設完成后,項目承建方要依據項目合同的交付部分向組織進行項目交付,交付的內容至少包括:制定詳細的系統(tǒng)交付清單,對照系統(tǒng)交付清單,對交付的設備、軟件和文檔進行清點;制定項目培訓計劃,對系統(tǒng)運維人員進行技能培訓,目標是經過培訓的系統(tǒng)運維人員能勝任日常的運維工作;提供系統(tǒng)建設的各類過程文檔,包括但不限于:實施方案、實施記錄等;提供系統(tǒng)運行維護的幫助和操作手冊;系統(tǒng)交付工作由組織、項目承建方共同參與,雙方簽字確認后,交付物交由組織方管理。
(9)等級測評
應結合等保的定級備案部分的要求建立相關等級保護測評的管理制度,明確信息系統(tǒng)按照國家相關部門的要求進行等級保護測評工作,一旦系統(tǒng)發(fā)生重大變更或保護級別變化時要重新進行測評工作。此外,還應當對備選的測評機構進行資質審查,形成候選測評機構清單,并根據國家相關部門要求的變化及組織業(yè)務的需要定期審定和更新該清單。
(10)服務供應商選擇管理措施
組織應建立服務供應商選擇和管理相關的管理制度,明確系統(tǒng)集成商的資質要求,產品、系統(tǒng)或服務提供單位的工商管理要求,安全服務商的資質要求,人員的資質要求,與這些供應商需要簽訂安全責任合同書或保密協(xié)議等文檔的內容。
為降低供應商訪問組織資產帶來的風險,需要與供應商協(xié)商并記錄相關信息安全要求。
組織需要確定和授權特定說明的供應商,允許其訪問組織策略中的信息安全控制措施信息。這些控制措施需要說明組織已實施的過程和規(guī)程,以及組織需要供應商實施的過程和規(guī)程,包括:
1)確定和記錄允許訪問組織信息的供應商類型,例如 IT 服務、物流服務、金融服務、IT基礎組件服務等。
2)管理供應商關系的標準化過程和生命周期。
3)定義允許不同類型供應商訪問信息的類型,監(jiān)視和控制訪問。
4)每種類型信息和訪問的最小化安全要求作為單個供應商協(xié)議的基礎,最小化信息安全要求基于組織的業(yè)務需求及其風險輪廓確定。
5)監(jiān)視的過程和規(guī)程遵從為每種類型供應商及訪問建立的信息安全要求,包括第三方評審和產品驗證。
6)準確性和完整性控制以確保信息或由任何一方所提供信息處理的完整性。
7)為了保護組織信息,適用于供應商的業(yè)務類型。
8)處理供應商訪問相關的事件或突發(fā)事件,涉及組織和供應商的職責。
9)如果必要,實施復原、恢復和應急計劃確保任何一方所提供信息處理的可用性。
10)針對與供應商人員交互的組織人員開展意識培訓,培訓內容涉及基于供應商類型和供應商訪問組織系統(tǒng)及信息級別的規(guī)則和行為。
11)在一定條件下,將信息安全要求和控制措施記錄在雙方簽訂的協(xié)議中。
12)為管理信息、信息處理設施及其他還需刪除的信息設立必要過渡期,確保整個過渡期的信息安全。
需要建立供應商協(xié)議并文件化,以確保在組織和供應商之間關于雙方要履行的信息安全相關義務不存在誤解。
為滿足識別的信息安全要求,需要考慮將下列條款包含在協(xié)議中:
1)被提供和訪問信息的描述以及提供和訪問信息的方法。
2)根據組織的分類方案進行信息分類,如果需要,則要將組織自身的分類方案和供應商的分類方案進行映射。
3)包括數據保護、知識產權和版權的法律、法規(guī)要求,并描述如何確保這些要求得到滿足。
4)每個合同的合約方有義務執(zhí)行一套已商定的控制措施,包括訪問控制、性能評審、監(jiān)視、報告和審核。
5)信息可接受的使用規(guī)則,如果需要也包括不可接受的使用規(guī)則。
6)授權訪問或接收組織信息和規(guī)程的供應商人員列表及授權和撤銷供應商人員訪問或接收組織信息的條件。
7)合同具體約定的相關信息安全策略。
8)事件管理要求和規(guī)程(特別是故障修復期間的通告和合作)。
9)具體規(guī)程和信息安全要求的培訓和意識要求,例如事件響應、授權規(guī)程等。
10)分包的相關規(guī)則,包括需要實施的控制措施。
11)相關協(xié)議方,包括處理信息安全問題的聯(lián)系人。
12)如有對供應商人員的審查要求,包括實施審查的職責、審查未完成或審查結果引起疑問或關注的通知規(guī)程。
13)審核供應商協(xié)議相關過程和控制措施的權力。
14)缺陷和沖突的解決過程。
15)供應商有義務定期遞交一份關于控制措施有效性的獨立報告,并且同意及時糾正報告中提及的問題。
16)供應商有義務遵從組織安全要求。
來源:計算機與網絡安全
北京市公安局海淀分局備案號:11010802023656號