专栏首页安恒信息浅谈信息安全等保合规检测技术与实现

浅谈信息安全等保合规检测技术与实现

一 引言

随着信息化建设的全面开展,各行各业对信息系统安全防护需求日益增强。同时,国家制定了信息系统等级保护基本要求及相关标准和规范,明确规定了我国信息安全战略目标,并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。2007年以来,公安部会同有关部门联合出台了《信息安全等级保护管理办法》等12个政策文件和《信息系统安全保护等级定级指南》等30多个等级保护技术标准,拉开了全国信息安全等级保护的序幕。

开展等级保护工作以来,公安机关承担监督、检查、指导此项工作。对全国重要信息系统进行定级备案、等级测评和安全建设整改。经调研发现,无论是公安机关在监督检查还是测评机构在等保测评过程中,都缺乏科学规范,客观高效的技术检查工具。检查和测评结果对人员的技能熟练程度、经验丰富程度的依赖性强,结果受人为因素影响严重,过程不规范、效率低,缺乏对数据的深入分析和挖掘。

基于信息安全产业发展的客观需要和等级保护检查测评现状,我们对公安机关等级保护监督检查、测评机构等级保护测评等过程进行调研和分析,结合安恒信息多年来的等级保护咨询,整改和加固经验,提出一种基于统一分析模型的等级保护合规检测方法。

二 技术检查工具库设计

GB/T 22239-2008《信息系统安全等级保护基本要求》从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面针对不同等级信息系统的具体安全防护能力提出了明确要求。为了能实现控制点的自动检查,需将等级保护基本要求项进行拆分和细化,并落实到各IT资产中,实现等级保护控制点的自动化采集检查。

根据I T 资产类型的区别, 按照等级保护安全层面对I T 资产划分为物理环境、网络架构、网络设备、安全设备、主机、数据库、应用系统、安全管理等大类,将每一大类对应到安恒明鉴系列检查工具上。以等级保护基本要求控制点为采集内容,资产为采集对象。通过远程扫描或本地扫描的方式,对IT资产进行配置数据和脆弱性的自动采集。并对采集结果进行编码和分类。

三 等级保护检查指标库和知识库设计

等级保护检查管理系统是把技术检查工具集收集的I T 资产配置和脆弱性数据进行集中智能关联和合规评判的重要平台。支持检查计划和检查任务导入,根据检查计划生成相应的检查记录单, 检查记录单中的检查指标包括检查范围、检查内容、检查项、检查要点和检查结果录入类型等信息。依据《信息系统安全等级保护基本要求》将检查指标库细分为检查范围、检查内容、检查项和检查要点这四个层级,以确保检查结果的惟一性。如图所示。

依据指标库要求,结合安恒信息多年的等保咨询和加固整改经验,对应设计实现的等级保护检查知识库。检查知识库中封装了重要信息系统安全检查工作实施经验、专家知识和分析模型,使等级保护检查管理系统的检查内容和检查记录可以按照知识库内置的知识、模型和规则进行自动化分析,为重要信息系统安全检查工作提供检查方法、检查结果判定依据、工具检查结果自动分析、不符合项的风险提示,并且针对不同类型检查任务可以自动生成相应的检查记录。

四 等级保护检查管理系统实现

通过检查项编码和检查结果编码, 把工具检查的结果跟指标库中的检查项进行关联处理。针对每一个检查项,对应的若干项检查要点权重和关联关系,得出该检查项是否符合等级保护要求。再以此类推得到整个信息系统的等级保护合规情况,依据相关标准规范和《信息系统安全等级测评报告模板》得出等级保护合规性报告。如图所示

等级保护检查管理系统以《信息系统安全等级保护基本要求》控制点为标准,通过配置核查和脆弱性评估实现了等级保护控制点的采集、聚合、合规、分析,最终实现了等级保护检查的自动化和规范化。一方面为公安网安提供了专业化的等级保护监管执法检查工具,另外一方面也为测评机构提供了高效的等保测评支撑工具。

五 结束语

本文通过对我国信息安全等级保护现状的调查和研究, 结合安恒信息多年来在信息安全等级保护领域的工程实践。仔细研究等级保护相关政策和标准,结合安恒信息明鉴系列配置和脆弱性检查工具的深厚积累,提出了基于统一分析模型的信息系统量化合规检查模型。通过对检查项和检查结果进行编码,细化等级保护制度为检查指标和检查知识库,后台统一编码和统一分析关联,自动得出信息系统等级保护合规性情况。该系统可以为执法监管部门和具体从事信息安全等级保护工作人员提供专业规范和高效的支撑,让等级保护制度落到实处,让等级保护工作做到实处,提高工作的便利性。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-07-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 扛起工具箱走出安全合规之路

    习近平总书记指出:“没有网络安全,就没有国家安全”。网络与信息安全已经被定义为继海陆空天后的第五空间安全,对于国家安全的战略性意义,十二五规划纲要高度强调了网络...

    安恒信息
  • 扛起工具箱走出安全合规之路

    习近平总书记指出 :“没有网络安全,就没有国家安全”。网络与信息安全已经被定义为继海陆空天后的第五空间安全,对于国家安全的战略性意义,十二五规划纲要高度强调了网...

    安恒信息
  • 全国等级保护测评机构最新推荐目录近日发布

    全国等级保护测评机构推荐目录近日在中国网络安全等级保护网正式发布,此次名录最大的变化就是更改了测评机构编号规则,之前都是国-001或者省份简称加编号模式,如京-...

    安恒信息
  • SET NOCOUNT ON

    作用:阻止在结果集中返回显示受T-SQL语句或则usp影响的行计数信息。 当SET ONCOUNT ON时候,不返回计数,当SET NOCOUNT OFF时候,...

    郑小超.
  • mybatis关于Criteria的用法小坑

    星痕
  • 2020--IDEA破解失败后无法打开(mac/win)【已解决】

    ①恢复自己改动的东西,包括添加的jar包和对文件的修改 ----------试过,无效

    斑马
  • biopython - 比较两个序列的相似性

    比较序列相似性(sequence similarity)可以考虑用biopython或者emboss的几种比对方法。

    生信编程日常
  • 案例:用Excel对会员客户交易数据进行RFM分析

    背景:一个会员服务的企业,有近1年约1200个会员客户的收银数据。由于公司想针对不同类别不活跃客户进行激活促销;同时,为回馈重点客户,也计划推出一系列...

    小莹莹
  • 如何利用Excel2007做RFM细分客户群

    背景 一个会员服务的企业,有近1年约1200个会员客户的收银数据。由于公司想针对不同类别不活跃客户进行激活促销;同时,为回馈重点客户,也计划推出一系列针对重点客...

    小莹莹
  • powerdesigner 15 如何导出sql schema

    Java学习123

扫码关注云+社区

领取腾讯云代金券