一、國家信息安全等級保護情況概述
1994年,國務院頒布了《中華人民共和國計算機信息系統安全保護條例》,規定:計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。這一重大決定,明確了關于實行信息安全等級保護制度的有關規定,提出從整體上、根本上解決國家信息安全問題的辦法,從而也拉開了等級保護工作的序幕。
在接下去的幾年時間里,國家相關部門從目標、方法、規范等方面不斷地在推進及落實等級保護工作,包括:
1999年,國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》頒布;1999年底,公安部與信息產業部、國家安全部、國家保密局、國家密碼管理委員會等相關部門起草了《計算機信息系統安全保護等級制度建設綱要》;
2003年,中共中央辦公廳、國務院辦公廳轉發了《國家信息化領導小組關于加強信息安全保障的意見》(中辦發[2003]27號);
2004年公安部聯合國家保密局、國家密碼管理局、國家保密委員會和國務院信息化工作辦公室發布《關于信息安全等級保護工作的實施意見》(公通字[2004]66號);2005年底,公安部和國務院信息化工作辦公室聯合印發了《關于開展信息系統安全等級保護基礎調查工作的通知》(公信安[2005]1431號);
2006年6月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發了《關于開展信息安全等級保護試點工作的通知》(公信安[2006]573號);
2007年6月,公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯合下發了《信息安全等級保護管理辦法》(公通字[2007]43號)等等。
國家在出臺相關政策文件的同時,也逐步發布了對應執行的技術標準及規范,部分內容包括:
● 《計算機信息系統安全保護等級劃分準則》GB17859-1999
● 《信息安全技術信息系統安全等級保護定級指南》GB/T22240-2008
● 《信息安全技術信息系統安全等級保護實施指南》
● 《信息安全技術信息系統安全等級保護基本要求》GB/T22239-2008
● 《信息安全技術系統安全等級保護通用安全技術要求》GB/T20271-2006
測評工作是落實等級保護工作的重要過程,是等級保護建設過程的必要環節,按照等級保護相關要求,各地分別依據相關法規,通過評審、審查等過程評選出了等級保護測評機構。截止到目前為止,全國范圍內包括公安部信息安全等級保護評估中心、國家信息技術安全研究中心、中國信息安全測評中心、電力行業信息安全等級保護測評中心等在內已有將近上百家測評機構,負責落實測評工作,推動著等級保護工作的落實。
二、等級保護中應用安全及數據庫安全的測評要求
依據等級保護相關文件及標準,信息系統等級保護建設的內容覆蓋兩個方面,分別是安全技術體系和安全管理體系。按照《等級保護測評要求》的描述,等級保護測評的具體項為技術要求和管理要求,測評的方法為訪談/檢查/測試。針對測評過程中測試方法如下描述:測試是測評人員使用預定的方法/工具使測評對象產生特定的行為,通過查看和分析結果以幫助測評人員獲取證據的過程。
就信息系統而言,數據是靈魂,應用是軀體。對信息系統的安全測評,很大程度上就是對應用和數據庫的測評。
每個信息系統使用單位,基本都建設有門戶網站系統,甚至還有基于B/S架構的更龐大的內部業務系統?上攵燃壉Wo測評過程中會涉及到多少的WEB應用系統。而數據庫系統是所有應用系統的基礎,是某些行業的核心、心臟,是應用系統部不可或缺的一個部分,更是信息安全保障體系建設內容的重要組成部分。
針對應用系統的測評,《等級保護測評要求》就測評方法作如下描述:
● 應檢查關鍵應用系統,查看應用系統是否具有對人機接口輸入或通信接口輸入的數據進行有效性檢驗的功能;
● 應測試關鍵應用系統,可通過對人機接口輸入的不同長度或格式的數據,查看系統的反應,驗證系統人機接口有效性檢驗功能是否正確;
● 應滲透測試主要應用系統,進行試圖繞過訪問控制的操作,驗證應用系統的訪問控制功能是否不存在明顯的弱點。
針對數據庫系統,《等級保護測評要求》就測評方法作如下描述:
● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統,查看匿名/默認帳戶的訪問權限是否已被禁用或者限制,是否刪除了系統中多余的、過期的以及共享的帳戶;
● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統的權限設置情況,查看是否依據安全策略對用戶權限進行了限制;
● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統的補丁是否得到了及時更新;
● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統帳戶列表,查看管理員用戶名分配是否唯一;
● 應檢查關鍵服務器操作系統和關鍵數據庫管理系統,查看是否提供了身份鑒別措施,其身份鑒別信息是否具有不易被冒用的特點,如對用戶登錄口令的最小長度、復雜度和更換周期進行要求和限制;
● 應檢查關鍵數據庫服務器的數據庫管理員與操作系統管理員是否由不同管理員擔任。
等級保護測評技術人員的個人能力參差不齊,因此對于進行技術測試的結果就會有偏差,有些時候,這些偏差會導致整個檢測結果不正確。如果有一種標準化的檢測工具,用來替代人工技術測試,又能得到標準化的結果輸出,而且這種標準化的結果,又能得到業界的普遍認可,這將會給等級保護測評帶來巨大的裨益。
三、解決方案
鑒于對等級保護要求的深入研究,及對測評工作的技術分析,杭州安恒信息技術有限公司(以下簡稱“安恒信息”),作為國內領先的專業WEB應用和數據庫安全解決方案提供商,成功開發并推出了兩款等級保護專用測評工具,分別是明鑒WEB應用弱點掃描器和明鑒數據庫弱點掃描器,幫助測評機構開展相關測評工作。
明鑒WEB應用弱點掃描器:全面支持OWASP TOP10檢測,可以充分了解WEB應用存在的安全隱患,(如:注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等),還提供了強大的安全審計、滲透測試功能,誤報率和漏報率等各項關鍵指標均達到國際領先水平。
明鑒數據庫弱點掃描器:融合了權威數據庫安全專家數年的安全經驗與技術積累,是全球首創、擁有自主知識產權、專門用于掃描數據庫弱點的產品,能夠掃描幾百種不當的數據庫配置或者潛在漏洞,具有強大的發現弱口令功能。
四、實現效果
截止到目前為止,明鑒WEB應用弱點掃描器和明鑒數據庫弱點掃描器已經分別為國內眾多測評機構所使用,并被公安部等級保護測評中心評為專用等保安全測評工具。通過實際使用證明,產品功能在實際測評過程中發揮了重要作用,能夠準確、高效、全面地發現WEB應用及數據庫中的安全漏洞,標準化的輸出結果,從而有效推動了各地等級保護工作的開展和落實。
五、用戶清單
公安部第一研究所、公安部第三研究所、國家計算機網絡與信息安全管理中心廣州分中心、國家計算機網絡與信息安全管理中心重慶分中心、江蘇省信息安全測評中心、廈門市信息技術服務中心、上海信息安全工程技術研究中心、上海市信息安全研究中心、江西省電子信息產品監督檢驗院、山東省電子產品監督檢驗所、重慶網安計算機技術服務中心、廣西壯族自治區電子產品監督檢驗所、福建省網絡與信息安全測評中心、河南省電子產品質量監督檢驗所、浙江省電子產品檢驗所、浙江省發展信息安全評估有限公司、杭州安信檢測技術有限公司、寧波鑫諾檢測技術有限公司、杭州東安信息安全檢測評估有限公司、寧波信息化服務中心、北京市電子產品質量檢測中心、黑龍江省電子信息產品監督檢驗院、吉林電子信息產品監督檢驗研究院。