劉琦

摘? 要：隨著信息化建設的逐漸深入，信息化對經(jīng)濟社會發(fā)展的影響更加深刻。廣泛應用的信息系統(tǒng)、高度滲透的信息技術正孕育著新的重大突破。信息資源日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會財富。信息化建設在為業(yè)務運轉(zhuǎn)帶來便利的同時，其信息安全問題也尤為突出。2017年6月發(fā)布的《中華人民共和國網(wǎng)絡安全法》中明確提出關鍵信息基礎設施的運行安全，同時落實網(wǎng)絡安全監(jiān)測預警和信息通報制度。在此背景下，該文以信息系統(tǒng)生命周期的角度，深入分析信息系統(tǒng)安全保障體系設計思路，應對日趨嚴峻的安全形勢，支撐信息系統(tǒng)平穩(wěn)、高效運行。

關鍵詞：信息系統(tǒng)? 關鍵信息基礎設施運行安全? 信息系統(tǒng)安全保障體系設計

中圖分類號：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1672-3791（2019）03（b）-0004-06

Abstract： With the gradual deepening of informatization construction， the impact of informatization on economic and social development has become more profound. The widely used information system and highly infiltrated information technology are gestating new major breakthroughs. Information resources are increasingly becoming important production factors， intangible assets and social wealth. While information construction is bringing convenience to business operations， its information security issues are also particularly prominent. The "Network Security Law of the People's Republic of China" promulgated in June 2017 clearly stated the operational safety of key information infrastructure， and implemented the network security monitoring and early warning and information notification system. In this context， this paper analyzes the design of the information system security assurance system from the perspective of the information system life cycle， responds to the increasingly severe security situation， and supports the smooth and efficient operation of the information system.

Key Words： Information system; Key information infrastructure runs safely; Information Systems Security System Design

1? 概述

1.1 什么是關鍵信息基礎設施

關鍵信息基礎設施是指面向公眾提供網(wǎng)絡信息服務或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡安全事故，會影響重要行業(yè)正常運行，對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴重損失。

關鍵信息基礎設施包括網(wǎng)站類，如黨政機關網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等;平臺類，如即時通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡服務平臺;生產(chǎn)業(yè)務類，如辦公和業(yè)務系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計算平臺、電視轉(zhuǎn)播系統(tǒng)等。

可參考表1并結(jié)合實際梳理關鍵業(yè)務系統(tǒng)。

1.2 行業(yè)安全事件

一直以來，各行業(yè)內(nèi)各類信息安全事件頻出，如：伊朗核工業(yè)控制系統(tǒng)被震網(wǎng)病毒攻擊、烏克蘭大停電事件，重要的政府、銀行、媒體網(wǎng)站都遭遇空前的黑客攻擊。2017年全球突發(fā)“勒索病毒”事件瘋狂襲擊全球公共和商業(yè)系統(tǒng)，全球有接近74個國家受到嚴重攻擊。2018年國內(nèi)多家企業(yè)數(shù)據(jù)泄露，涉及到公民求職簡歷、快遞數(shù)據(jù)、酒店入住信息等。

1.3 信息系統(tǒng)常見安全問題

信息系統(tǒng)在系統(tǒng)設計開發(fā)、測試上線、運行維護及變更退運階段，不可避免地存在一些安全問題，例如：對于各類內(nèi)、外部信息安全事件，尚未形成有效的體系來應對包括外部黑客攻擊、內(nèi)部安全事件，日常風險分析、控制，信息安全事件應急演練等。

1.4 體系設計目標

（1）不斷完善業(yè)務系統(tǒng)自身安全，降低系統(tǒng)上線后被黑客攻擊帶來的損失風險，保障應用系統(tǒng)的安全運行和數(shù)據(jù)安全。

（2）充分落實事前、事中、事后安全防護工作，建立健全信息系統(tǒng)的安全能力，對安全能力的有效性及覆蓋度進行查漏補缺，確保安全防護機制正常運行。

2? 安全體系設計

2.1 安全體系參考模型

2.1.1 安全體系參考模型——SDLC

SDLC（Software Development Life Cycle），即軟件生命周期、軟件生存周期，是軟件的產(chǎn)生直到報廢的生命周期，周期內(nèi)有問題定義、可行性分析、總體描述、系統(tǒng)設計、編碼、調(diào)試和測試、驗收與運行、維護升級到廢棄等階段，這種按時間分程的思想方法是軟件工程中的一種思想原則，即按部就班、逐步推進，每個階段都要有定義、工作、審查，以提高軟件的質(zhì)量（見圖1）。

2.1.2 安全體系參考模型——PPDRR

PPDRR模型由5個主要部分組成：安全策略（Policy）、保護（Protection）、檢測（Detection）、響應（Response）、恢復（Restore）。PPDRR模型是在整體的安全策略的控制和指導下，綜合運用防護工具（如防火墻、身份認證、加密等）的同時，利用檢測工具（如漏洞評估、入侵檢測系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫獙⑾到y(tǒng)調(diào)整到一個比較安全的狀態(tài)。保護、檢測和響應組成了一個完整的、動態(tài)的安全循環(huán)（見圖2）。

2.2 安全保障體系設計

安全保障技術體系設計參考軟件生命周期模型，以信息系統(tǒng)生命周期為主線，結(jié)合信息系統(tǒng)安全技術措施，從而規(guī)范信息系統(tǒng)在全生命周期的安全活動（見圖3）。

系統(tǒng)需求設計階段：在開發(fā)規(guī)劃、可行性研究、需求分析的階段，對信息系統(tǒng)的安全需求進行收集、提煉與安全設計。

系統(tǒng)安全開發(fā)階段：對軟件設計過程中安全設計進行開發(fā)實現(xiàn)，軟件代碼成果同時符合代碼安全規(guī)范。

系統(tǒng)安全測試階段：對信息系統(tǒng)進行全面的安全測試評估，軟件源代碼進行安全性審計，保障信息系統(tǒng)上線前達到安全要求。

系統(tǒng)上線管理階段：對開發(fā)、測試、上線環(huán)境進行安全隔離，上線環(huán)境進行嚴格準入，信息系統(tǒng)上線的應用和設備必須達到安全上線準入要求，要求包括安全基線、安全漏洞、補丁檢查、日志審計策略等方面。

系統(tǒng)安全運維階段：對信息系統(tǒng)安全運維監(jiān)控與預警、進行日常安全維護和應急響應，保障系統(tǒng)運行安全。

系統(tǒng)變更或下線管理階段：依據(jù)變更或下線流程，對剩余信息的處理，保障數(shù)據(jù)安全。

3? 體系內(nèi)容概述

3.1 系統(tǒng)需求設計

隨著信息化的迅速發(fā)展，信息系統(tǒng)在迅速發(fā)展壯大的同時，也面臨著越來越多的安全威脅，為了保證信息系統(tǒng)的健壯性、保護數(shù)據(jù)的安全性，有必要全面地規(guī)劃和設計信息系統(tǒng)的安全功能，盡早地介入到系統(tǒng)的建立過程中。

在應用系統(tǒng)軟件開發(fā)設計的過程中，應用系統(tǒng)需求設計應該遵循一些基本安全原則（見表2）。

系統(tǒng)設計中需要考慮以下安全需求。

（1）框架安全：互聯(lián)網(wǎng)有許多開源或不開源的Web開發(fā)框架為程序員提供便捷開發(fā)，這些框架功能不一，語言各異，開發(fā)水平參差不齊，對安全開發(fā)的支持度也不同。需要考慮選擇最易用、最安全的開發(fā)框架。

（2）第三方軟件：在開發(fā)信息系統(tǒng)的過程中，常借助第三方軟件，如Ewebeditor、FCKeditor、Ueditor等。需要在系統(tǒng)需求設計時充分了解第三方軟件各版本存在的已知安全問題，避免引入安全漏洞。

（3）輸入驗證控制：系統(tǒng)應用相當多的成功攻擊都是因為輸入驗證引起的，一切從外部獲取的數(shù)據(jù)都可能是惡意的，如果缺少對數(shù)據(jù)的驗證，將會帶來很多安全問題，如SQL注入、跨站點腳本攻擊、命令注入等，其根本原因就是因為沒有對外部輸入的數(shù)據(jù)進行安全處理。

（4）業(yè)務安全控制：不同的信息系統(tǒng)存在不同的業(yè)務邏輯，各種各樣的業(yè)務場景都通過程序來完成，電腦程序、自動化安全測試措施與人工不同，無法主觀判斷業(yè)務邏輯是否合理，因此在系統(tǒng)需求設計時需要考慮到各種邏輯漏洞，做好防控功能。

（5）會話管理控制：會話管理是應用系統(tǒng)用來保持狀態(tài)會話支持的技術。它是一個用戶在服務端驗證完身份，他的下一個請求不再導致服務器重新要求驗證他的身份的技術，會話標識符在用戶通過認證后由服務器產(chǎn)生，客戶端在接下來的訪問不必再一次進行身份認證，選擇安全的會話管理技術是系統(tǒng)安全的必要條件。

（6）系統(tǒng)認證和密碼管理：身份驗證功能是在服務器確認操作者身份的解決方法，對于信息系統(tǒng)來說，選擇合適的身份認證措施至關重要。

（7）授權(quán)與訪問控制：在信息系統(tǒng)需求設計階段，需要確定已通過驗證的對象可以執(zhí)行哪些操作以及可以訪問哪些資源，錯誤的授權(quán)會導致信息泄露或者數(shù)據(jù)篡改，需要對信息系統(tǒng)進行深度授權(quán)防御設計。

（8）通信安全：對信息系統(tǒng)通信選擇合適的加解密設備和通信協(xié)議，保障通信安全的同時平衡服務器性能。

（9）異常處理：異常處理又稱為錯誤處理，它提供了處理應用程序運行時出現(xiàn)的任何意外或異常的方法，錯誤處理時需要考慮不應該泄露有助于惡意用戶攻擊應用系統(tǒng)的信息。

（10）日志審計：充分設計信息系統(tǒng)日志審計功能，日志可以分為兩種，即一種是應用日志，也稱之為調(diào)試信息或者錯誤日志，主要是為了跟蹤應用程序底層行為，跟蹤應用程序內(nèi)部執(zhí)行的過程;另外一種是業(yè)務日志，主要是為了記錄用戶的業(yè)務操作，提高業(yè)務上的抗抵賴性。

（11）數(shù)據(jù)保護：應該注意敏感數(shù)據(jù)的加密，選擇較強的加密算法，防止數(shù)據(jù)被盜用后直接使用。

（12）數(shù)據(jù)庫安全：應用系統(tǒng)數(shù)據(jù)庫中存放著大量的運營關鍵信息、客戶數(shù)據(jù)等資料。而黑客正處心積慮，采取各種入侵手段來企圖獲得這些數(shù)據(jù)。保護數(shù)據(jù)庫安全是應該重視對待的問題。

（13）非結(jié)構(gòu)化數(shù)據(jù)安全：應用系統(tǒng)中經(jīng)常會對非結(jié)構(gòu)化數(shù)據(jù)進行操作，包括文件的上傳、下載和訪問等。不恰當?shù)奈募芾砜赡軐е路掌鞯臏S陷，需要關注的是服務器如何處理、解析上傳的文件，如果服務器處理邏輯做得不夠安全，則可能導致嚴重的后果。

（14）合規(guī)性：合規(guī)性主要是為滿足行業(yè)或監(jiān)管單位對信息系統(tǒng)的強制型和推薦型安全要求。需要參考相關行業(yè)標準、文件進行需求設計。

3.2 系統(tǒng)安全開發(fā)

系統(tǒng)安全開發(fā)階段需要保證系統(tǒng)能夠按質(zhì)按量地進行開發(fā)，在信息系統(tǒng)安全開發(fā)階段，開發(fā)人員在編碼過程中，應根據(jù)編碼規(guī)范進行編碼，避免常見的不安全代碼使用、不安全的框架使用及未經(jīng)確認業(yè)務邏輯使用，嚴禁在源代碼中留有后門。開發(fā)人員同時應結(jié)合前期系統(tǒng)的安全需求、安全設計的相關安全功能進行充分的測試和驗證，并記錄測試案例和結(jié)果。在開發(fā)過程中應當采用代碼安全走查的方式對開發(fā)過程的安全編碼進行檢驗，在信息系統(tǒng)正式測試前發(fā)現(xiàn)的所有代碼層面的中高風險問題，開發(fā)人員需提前完成整改，并確認整改效果的有效性。在開發(fā)過程中所有過程文件（包括源代碼），應進行適當?shù)谋９?，防止機密性及完整性的破壞，開發(fā)結(jié)束后應統(tǒng)一進行歸檔保存。

3.3 系統(tǒng)安全測試

在系統(tǒng)安全測試階段，安全測試應覆蓋安全需求和安全設計的各項內(nèi)容，確保系統(tǒng)能夠滿足各項安全需求。根據(jù)安全需求和安全設計的內(nèi)容，制定相應的安全測試方案。安全測試方案包括安全測試的對象和范圍、案例、預期結(jié)果、執(zhí)行人員、實際結(jié)果等內(nèi)容。

在進行安全測試過程中，如需使用專業(yè)工具，應使用該工具的最新版本或更新至最新的代碼庫，以盡可能全面地發(fā)現(xiàn)系統(tǒng)中存在的開發(fā)缺陷。安全測試過程中發(fā)現(xiàn)的問題，應及時整改。如無法及時整改，應采取其他措施將安全風險降低到可接受范圍內(nèi)。

系統(tǒng)安全測試包括但不限于以下活動。

（1）工具掃描：在系統(tǒng)安全測試階段，對應用進行工具掃描，以發(fā)現(xiàn)可能存在的風險。

（2）應用系統(tǒng)安全檢查：對應用系統(tǒng)從軟件開發(fā)、部署與運行管理、身份鑒別、訪問控制、交易安全、數(shù)據(jù)保密性、備份與故障恢復、日志與審計等方面進行安全評估。

（3）滲透測試：利用已知漏洞和社會工程的方法，模擬入侵攻擊，以揭示系統(tǒng)應用可能存在的安全風險。

（4）源代碼安全審計：依據(jù)CVE公共漏洞字典表、OWASP十大Web漏洞，以及設備、軟件廠商公布的漏洞庫，結(jié)合專業(yè)源代碼掃描工具對各種程序語言編寫的源代碼進行安全漏洞定位、分析漏洞風險。

3.4 系統(tǒng)上線管理

在系統(tǒng)上線管理階段應保證系統(tǒng)建設的標準化，加強應用上線的安全管理，為后續(xù)長期維護打下良好的基礎。

（1）服務開放端口：系統(tǒng)應用開發(fā)的端口服務保證最小化，避免開放不必要的服務端口。

（2）安全測試結(jié)果確認：確認系統(tǒng)安全測試階段安全風險已經(jīng)降低到可接受范圍內(nèi)。

（3）安全防護確認：確認上線系統(tǒng)納入安全設備防護，并在上線階段針對安全策略優(yōu)化。

（4）安全配置確認：確認業(yè)務系統(tǒng)及系統(tǒng)相關設備進行了安全性配置。

3.5 系統(tǒng)安全運維

在系統(tǒng)安全運維階段，以等級保護標準為參考，結(jié)合PPDRR模型，即安全策略（Policy）、保護（Protection）、檢測（Detection）、響應（Response）、恢復（Restore），構(gòu)建事前防護、事中響應、事后審計3道防線措施，同時參考主流攻擊者攻擊過程TSSIC（思路-Thinking、嗅探-Sniff、掃描-Scan、入侵-Intrusion、控制-Control），以此過程檢測信息系統(tǒng)安全防御與攻擊過程一一對應，以此保障信息系統(tǒng)的穩(wěn)定運行（見圖4）。

（1）等級保護：安全防護體系以等級保護為指導思想，基礎運行環(huán)境應符合等級保護要求，如訪問控制、入侵防范、安全審計、惡意代碼防范等。

（2）第一道防線：通過網(wǎng)絡出口、服務器環(huán)境的防護措施以及事前安全檢測的等措施構(gòu)成基礎防線。

（3）第二道防線：通過安全系統(tǒng)實時防護、實時安全事件的分析響應等措施構(gòu)成事中響應。

（4）第三道防線：通過對網(wǎng)絡日志、運維操作日志、安全日志、數(shù)據(jù)恢復等措施構(gòu)成事后恢復和審計。

3.6 系統(tǒng)變更或下線管理

在系統(tǒng)變更或下線過程中，保護關鍵信息系統(tǒng)的數(shù)據(jù)保密性與完整性對受到保護的數(shù)據(jù)信息進行妥善轉(zhuǎn)移、轉(zhuǎn)存、銷毀，確保不發(fā)生信息安全事件。具體包括以下幾方面。

（1）梳理關鍵數(shù)據(jù)。業(yè)務部門和維護部門梳理出系統(tǒng)涉及的各類數(shù)據(jù)及建議處理方式，分為業(yè)務數(shù)據(jù)（包括但不限于業(yè)務信息數(shù)據(jù)、生成數(shù)據(jù)、經(jīng)營數(shù)據(jù)等）和維護數(shù)據(jù)（設備健康度、維護數(shù)據(jù)、操作日志、配置文件、賬號及密碼等）。

（2）判定數(shù)據(jù)處理的意見。業(yè)務部門審核制定待變更或下線系統(tǒng)中相關業(yè)務數(shù)據(jù)的處理意見，將數(shù)據(jù)明確劃分為即時銷毀、備份后銷毀并明確對于備份數(shù)據(jù)的處理意見。

（3）判定維護處理的意見。維護部門審核制定待變更或下線系統(tǒng)中相關維護數(shù)據(jù)的處理意見，將數(shù)據(jù)明確劃分為即時銷毀、備份后銷毀并明確對于備份數(shù)據(jù)的處理意見。

參考文獻

[1] GB/T 22239-2008，信息系統(tǒng)安全等級保護基本要求[S].

[2] GB/T 20271-2006，信息系統(tǒng)通用安全技術要求[S].

[3] GB/T 25070-2010，信息系統(tǒng)等級保護安全設計技術要求[S].

[4] GB/T 20269-2006，信息系統(tǒng)安全管理要求[S].

[5] 國家互聯(lián)網(wǎng)信息辦公室.關鍵信息基礎設施安全保護條例（征求意見稿）[S].

[6] 第二十七屆廣東省企業(yè)管理現(xiàn)代化成果：中廣核集團核電信息安全攻防體系建設實踐[Z].