信息安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息安全基线是实现信息安全风险评估和风险管理的前提和基础,为了满足各业务系统的基本安全需求,就需要充分参考国家及行业标准、规范以及成熟经验,建立并形成一个针对各业务系统的基线安全模型。
一、信息系统安全基线模型分析
(一)信息系统安全基线模型。我们根据油田行业的业务特点和信息安全风险评估结果,参考国内运营商行业的基线研究思想,形成了一套适合我单位实际的信息系统的安全基线模型,
基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层等3层架构:
第一层是业务层,在这一层主要是依据不同业务系统的特性,定义不同安全防护的要求。
第二层是功能架构层,将业务系统分解为相对应的操作系统、网络设备、应用系统、数据库、安全设备等不同的设备/系统模块。
第三层是系统实现层,我们根据业务系统的特性将操作系统分解为Unix系统、Windows系统等,网络设备分解为路由器、交换机等系统模块。
我们通过信息系统安全基线的构建,确保油田公司业务数据在存储、传输和使用过程中的安全,确保公司业务系统持续、稳定的运行。
二、建立基线核查策略库内容
建立信息安全基线核查策略库,内容上主要参考国际上主流的安全检查策略,并结合中国石油安全防护要求和应用系统等级保护的强度,以及国内设备、系统及应用环境的特殊性,定制开发一套适用于本公司的强制性系统安全差距与策略标准。首先从一些安全等级较低的信息系统或IT设备开始,并且逐步固定检查策略库的模板,搭建与信息所实际应用环境类似的模拟测试环境,对检查策略库进行严格的测试;然后根据前期确定的检查策略库模板开发后续系统及应用,保证其标准风格的统一性。
在研究公司的基线安全需求后,即可确定一系列针对公司信息系统中的网络设备、操作系统和数据库的安全配置核查和功能测试规范,包括通用路由器、各品牌路由器、通用操作系统、UNIX主机系统、Windows主机系统,通用数据库、oracle数据库等设备、系统的安全配置规范和安全功能测试规范。规范中的配置核整部分明确了设备的基本配置安全要求,为在设备人网狈试、工程验收和设备运行维护环节明确相关安全要求精供指南。
安全基线对上述各类的设备和系统功能和配置方面拈出了基本和具体的安全要求。其中,配置要求适用于工私验收和日常维护。通过基线核查工具进行配置的检查,杯据相应的配置规范自动发现安全漏洞、配置错误等,从而实现管理规定和流程信息化,明确内控和外放目标。
..
|