一、国家信息安全等级保护情况概述
1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。这一重大决定,明确了关于实行信息安全等级保护制度的有关规定,提出从整体上、根本上解决国家信息安全问题的办法,从而也拉开了等级保护工作的序幕。
在接下去的几年时间里,国家相关部门从目标、方法、规范等方面不断地在推进及落实等级保护工作,包括:
1999年,国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》颁布;1999年底,公安部与信息产业部、国家安全部、国家保密局、国家密码管理委员会等相关部门起草了《计算机信息系统安全保护等级制度建设纲要》;
2003年,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障的意见》(中办发[2003]27号);
2004年公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号);
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号);
2007年6月,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)等等。
国家在出台相关政策文件的同时,也逐步发布了对应执行的技术标准及规范,部分内容包括:
● 《计算机信息系统安全保护等级划分准则》GB17859-1999
● 《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008
● 《信息安全技术信息系统安全等级保护实施指南》
● 《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008
● 《信息安全技术系统安全等级保护通用安全技术要求》GB/T20271-2006
测评工作是落实等级保护工作的重要过程,是等级保护建设过程的必要环节,按照等级保护相关要求,各地分别依据相关法规,通过评审、审查等过程评选出了等级保护测评机构。截止到目前为止,全国范围内包括公安部信息安全等级保护评估中心、国家信息技术安全研究中心、中国信息安全测评中心、电力行业信息安全等级保护测评中心等在内已有将近上百家测评机构,负责落实测评工作,推动着等级保护工作的落实。
二、等级保护中应用安全及数据库安全的测评要求
依据等级保护相关文件及标准,信息系统等级保护建设的内容覆盖两个方面,分别是安全技术体系和安全管理体系。按照《等级保护测评要求》的描述,等级保护测评的具体项为技术要求和管理要求,测评的方法为访谈/检查/测试。针对测评过程中测试方法如下描述:测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程。
就信息系统而言,数据是灵魂,应用是躯体。对信息系统的安全测评,很大程度上就是对应用和数据库的测评。
每个信息系统使用单位,基本都建设有门户网站系统,甚至还有基于B/S架构的更庞大的内部业务系统。可想而知等级保护测评过程中会涉及到多少的WEB应用系统。而数据库系统是所有应用系统的基础,是某些行业的核心、心脏,是应用系统部不可或缺的一个部分,更是信息安全保障体系建设内容的重要组成部分。
针对应用系统的测评,《等级保护测评要求》就测评方法作如下描述:
● 应检查关键应用系统,查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能;
● 应测试关键应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确;
● 应渗透测试主要应用系统,进行试图绕过访问控制的操作,验证应用系统的访问控制功能是否不存在明显的弱点。
针对数据库系统,《等级保护测评要求》就测评方法作如下描述:
● 应检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户;
● 应检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制;
● 应检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新;
● 应检查关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一;
● 应检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制;
● 应检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
等级保护测评技术人员的个人能力参差不齐,因此对于进行技术测试的结果就会有偏差,有些时候,这些偏差会导致整个检测结果不正确。如果有一种标准化的检测工具,用来替代人工技术测试,又能得到标准化的结果输出,而且这种标准化的结果,又能得到业界的普遍认可,这将会给等级保护测评带来巨大的裨益。
三、解决方案
鉴于对等级保护要求的深入研究,及对测评工作的技术分析,杭州安恒信息技术有限公司(以下简称“安恒信息”),作为国内领先的专业WEB应用和数据库安全解决方案提供商,成功开发并推出了两款等级保护专用测评工具,分别是明鉴WEB应用弱点扫描器和明鉴数据库弱点扫描器,帮助测评机构开展相关测评工作。
明鉴WEB应用弱点扫描器:全面支持OWASP TOP10检测,可以充分了解WEB应用存在的安全隐患,(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平。
明鉴数据库弱点扫描器:融合了权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令功能。
四、实现效果
截止到目前为止,明鉴WEB应用弱点扫描器和明鉴数据库弱点扫描器已经分别为国内众多测评机构所使用,并被公安部等级保护测评中心评为专用等保安全测评工具。通过实际使用证明,产品功能在实际测评过程中发挥了重要作用,能够准确、高效、全面地发现WEB应用及数据库中的安全漏洞,标准化的输出结果,从而有效推动了各地等级保护工作的开展和落实。
五、用户清单
公安部第一研究所、公安部第三研究所、国家计算机网络与信息安全管理中心广州分中心、国家计算机网络与信息安全管理中心重庆分中心、江苏省信息安全测评中心、厦门市信息技术服务中心、上海信息安全工程技术研究中心、上海市信息安全研究中心、江西省电子信息产品监督检验院、山东省电子产品监督检验所、重庆网安计算机技术服务中心、广西壮族自治区电子产品监督检验所、福建省网络与信息安全测评中心、河南省电子产品质量监督检验所、浙江省电子产品检验所、浙江省发展信息安全评估有限公司、杭州安信检测技术有限公司、宁波鑫诺检测技术有限公司、杭州东安信息安全检测评估有限公司、宁波信息化服务中心、北京市电子产品质量检测中心、黑龙江省电子信息产品监督检验院、吉林电子信息产品监督检验研究院。