劉琦

摘? 要：隨著信息化建設(shè)的逐漸深入，信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響更加深刻。廣泛應(yīng)用的信息系統(tǒng)、高度滲透的信息技術(shù)正孕育著新的重大突破。信息資源日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富。信息化建設(shè)在為業(yè)務(wù)運(yùn)轉(zhuǎn)帶來便利的同時(shí)，其信息安全問題也尤為突出。2017年6月發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》中明確提出關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，同時(shí)落實(shí)網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度。在此背景下，該文以信息系統(tǒng)生命周期的角度，深入分析信息系統(tǒng)安全保障體系設(shè)計(jì)思路，應(yīng)對(duì)日趨嚴(yán)峻的安全形勢(shì)，支撐信息系統(tǒng)平穩(wěn)、高效運(yùn)行。

關(guān)鍵詞：信息系統(tǒng)? 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全? 信息系統(tǒng)安全保障體系設(shè)計(jì)

中圖分類號(hào)：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1672-3791（2019）03（b）-0004-06

Abstract： With the gradual deepening of informatization construction， the impact of informatization on economic and social development has become more profound. The widely used information system and highly infiltrated information technology are gestating new major breakthroughs. Information resources are increasingly becoming important production factors， intangible assets and social wealth. While information construction is bringing convenience to business operations， its information security issues are also particularly prominent. The "Network Security Law of the People's Republic of China" promulgated in June 2017 clearly stated the operational safety of key information infrastructure， and implemented the network security monitoring and early warning and information notification system. In this context， this paper analyzes the design of the information system security assurance system from the perspective of the information system life cycle， responds to the increasingly severe security situation， and supports the smooth and efficient operation of the information system.

Key Words： Information system; Key information infrastructure runs safely; Information Systems Security System Design

1? 概述

1.1 什么是關(guān)鍵信息基礎(chǔ)設(shè)施

關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會(huì)影響重要行業(yè)正常運(yùn)行，對(duì)國家政治、經(jīng)濟(jì)、科技、社會(huì)、文化、國防、環(huán)境以及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。

關(guān)鍵信息基礎(chǔ)設(shè)施包括網(wǎng)站類，如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等;平臺(tái)類，如即時(shí)通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái);生產(chǎn)業(yè)務(wù)類，如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)、電視轉(zhuǎn)播系統(tǒng)等。

可參考表1并結(jié)合實(shí)際梳理關(guān)鍵業(yè)務(wù)系統(tǒng)。

1.2 行業(yè)安全事件

一直以來，各行業(yè)內(nèi)各類信息安全事件頻出，如：伊朗核工業(yè)控制系統(tǒng)被震網(wǎng)病毒攻擊、烏克蘭大停電事件，重要的政府、銀行、媒體網(wǎng)站都遭遇空前的黑客攻擊。2017年全球突發(fā)“勒索病毒”事件瘋狂襲擊全球公共和商業(yè)系統(tǒng)，全球有接近74個(gè)國家受到嚴(yán)重攻擊。2018年國內(nèi)多家企業(yè)數(shù)據(jù)泄露，涉及到公民求職簡歷、快遞數(shù)據(jù)、酒店入住信息等。

1.3 信息系統(tǒng)常見安全問題

信息系統(tǒng)在系統(tǒng)設(shè)計(jì)開發(fā)、測試上線、運(yùn)行維護(hù)及變更退運(yùn)階段，不可避免地存在一些安全問題，例如：對(duì)于各類內(nèi)、外部信息安全事件，尚未形成有效的體系來應(yīng)對(duì)包括外部黑客攻擊、內(nèi)部安全事件，日常風(fēng)險(xiǎn)分析、控制，信息安全事件應(yīng)急演練等。

1.4 體系設(shè)計(jì)目標(biāo)

（1）不斷完善業(yè)務(wù)系統(tǒng)自身安全，降低系統(tǒng)上線后被黑客攻擊帶來的損失風(fēng)險(xiǎn)，保障應(yīng)用系統(tǒng)的安全運(yùn)行和數(shù)據(jù)安全。

（2）充分落實(shí)事前、事中、事后安全防護(hù)工作，建立健全信息系統(tǒng)的安全能力，對(duì)安全能力的有效性及覆蓋度進(jìn)行查漏補(bǔ)缺，確保安全防護(hù)機(jī)制正常運(yùn)行。

2? 安全體系設(shè)計(jì)

2.1 安全體系參考模型

2.1.1 安全體系參考模型——SDLC

SDLC（Software Development Life Cycle），即軟件生命周期、軟件生存周期，是軟件的產(chǎn)生直到報(bào)廢的生命周期，周期內(nèi)有問題定義、可行性分析、總體描述、系統(tǒng)設(shè)計(jì)、編碼、調(diào)試和測試、驗(yàn)收與運(yùn)行、維護(hù)升級(jí)到廢棄等階段，這種按時(shí)間分程的思想方法是軟件工程中的一種思想原則，即按部就班、逐步推進(jìn)，每個(gè)階段都要有定義、工作、審查，以提高軟件的質(zhì)量（見圖1）。

2.1.2 安全體系參考模型——PPDRR

PPDRR模型由5個(gè)主要部分組成：安全策略（Policy）、保護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Restore）。PPDRR模型是在整體的安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時(shí)，利用檢測工具（如漏洞評(píng)估、入侵檢測系統(tǒng)）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)。保護(hù)、檢測和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)（見圖2）。

2.2 安全保障體系設(shè)計(jì)

安全保障技術(shù)體系設(shè)計(jì)參考軟件生命周期模型，以信息系統(tǒng)生命周期為主線，結(jié)合信息系統(tǒng)安全技術(shù)措施，從而規(guī)范信息系統(tǒng)在全生命周期的安全活動(dòng)（見圖3）。

系統(tǒng)需求設(shè)計(jì)階段：在開發(fā)規(guī)劃、可行性研究、需求分析的階段，對(duì)信息系統(tǒng)的安全需求進(jìn)行收集、提煉與安全設(shè)計(jì)。

系統(tǒng)安全開發(fā)階段：對(duì)軟件設(shè)計(jì)過程中安全設(shè)計(jì)進(jìn)行開發(fā)實(shí)現(xiàn)，軟件代碼成果同時(shí)符合代碼安全規(guī)范。

系統(tǒng)安全測試階段：對(duì)信息系統(tǒng)進(jìn)行全面的安全測試評(píng)估，軟件源代碼進(jìn)行安全性審計(jì)，保障信息系統(tǒng)上線前達(dá)到安全要求。

系統(tǒng)上線管理階段：對(duì)開發(fā)、測試、上線環(huán)境進(jìn)行安全隔離，上線環(huán)境進(jìn)行嚴(yán)格準(zhǔn)入，信息系統(tǒng)上線的應(yīng)用和設(shè)備必須達(dá)到安全上線準(zhǔn)入要求，要求包括安全基線、安全漏洞、補(bǔ)丁檢查、日志審計(jì)策略等方面。

系統(tǒng)安全運(yùn)維階段：對(duì)信息系統(tǒng)安全運(yùn)維監(jiān)控與預(yù)警、進(jìn)行日常安全維護(hù)和應(yīng)急響應(yīng)，保障系統(tǒng)運(yùn)行安全。

系統(tǒng)變更或下線管理階段：依據(jù)變更或下線流程，對(duì)剩余信息的處理，保障數(shù)據(jù)安全。

3? 體系內(nèi)容概述

3.1 系統(tǒng)需求設(shè)計(jì)

隨著信息化的迅速發(fā)展，信息系統(tǒng)在迅速發(fā)展壯大的同時(shí)，也面臨著越來越多的安全威脅，為了保證信息系統(tǒng)的健壯性、保護(hù)數(shù)據(jù)的安全性，有必要全面地規(guī)劃和設(shè)計(jì)信息系統(tǒng)的安全功能，盡早地介入到系統(tǒng)的建立過程中。

在應(yīng)用系統(tǒng)軟件開發(fā)設(shè)計(jì)的過程中，應(yīng)用系統(tǒng)需求設(shè)計(jì)應(yīng)該遵循一些基本安全原則（見表2）。

系統(tǒng)設(shè)計(jì)中需要考慮以下安全需求。

（1）框架安全：互聯(lián)網(wǎng)有許多開源或不開源的Web開發(fā)框架為程序員提供便捷開發(fā)，這些框架功能不一，語言各異，開發(fā)水平參差不齊，對(duì)安全開發(fā)的支持度也不同。需要考慮選擇最易用、最安全的開發(fā)框架。

（2）第三方軟件：在開發(fā)信息系統(tǒng)的過程中，常借助第三方軟件，如Ewebeditor、FCKeditor、Ueditor等。需要在系統(tǒng)需求設(shè)計(jì)時(shí)充分了解第三方軟件各版本存在的已知安全問題，避免引入安全漏洞。

（3）輸入驗(yàn)證控制：系統(tǒng)應(yīng)用相當(dāng)多的成功攻擊都是因?yàn)檩斎腧?yàn)證引起的，一切從外部獲取的數(shù)據(jù)都可能是惡意的，如果缺少對(duì)數(shù)據(jù)的驗(yàn)證，將會(huì)帶來很多安全問題，如SQL注入、跨站點(diǎn)腳本攻擊、命令注入等，其根本原因就是因?yàn)闆]有對(duì)外部輸入的數(shù)據(jù)進(jìn)行安全處理。

（4）業(yè)務(wù)安全控制：不同的信息系統(tǒng)存在不同的業(yè)務(wù)邏輯，各種各樣的業(yè)務(wù)場景都通過程序來完成，電腦程序、自動(dòng)化安全測試措施與人工不同，無法主觀判斷業(yè)務(wù)邏輯是否合理，因此在系統(tǒng)需求設(shè)計(jì)時(shí)需要考慮到各種邏輯漏洞，做好防控功能。

（5）會(huì)話管理控制：會(huì)話管理是應(yīng)用系統(tǒng)用來保持狀態(tài)會(huì)話支持的技術(shù)。它是一個(gè)用戶在服務(wù)端驗(yàn)證完身份，他的下一個(gè)請(qǐng)求不再導(dǎo)致服務(wù)器重新要求驗(yàn)證他的身份的技術(shù)，會(huì)話標(biāo)識(shí)符在用戶通過認(rèn)證后由服務(wù)器產(chǎn)生，客戶端在接下來的訪問不必再一次進(jìn)行身份認(rèn)證，選擇安全的會(huì)話管理技術(shù)是系統(tǒng)安全的必要條件。

（6）系統(tǒng)認(rèn)證和密碼管理：身份驗(yàn)證功能是在服務(wù)器確認(rèn)操作者身份的解決方法，對(duì)于信息系統(tǒng)來說，選擇合適的身份認(rèn)證措施至關(guān)重要。

（7）授權(quán)與訪問控制：在信息系統(tǒng)需求設(shè)計(jì)階段，需要確定已通過驗(yàn)證的對(duì)象可以執(zhí)行哪些操作以及可以訪問哪些資源，錯(cuò)誤的授權(quán)會(huì)導(dǎo)致信息泄露或者數(shù)據(jù)篡改，需要對(duì)信息系統(tǒng)進(jìn)行深度授權(quán)防御設(shè)計(jì)。

（8）通信安全：對(duì)信息系統(tǒng)通信選擇合適的加解密設(shè)備和通信協(xié)議，保障通信安全的同時(shí)平衡服務(wù)器性能。

（9）異常處理：異常處理又稱為錯(cuò)誤處理，它提供了處理應(yīng)用程序運(yùn)行時(shí)出現(xiàn)的任何意外或異常的方法，錯(cuò)誤處理時(shí)需要考慮不應(yīng)該泄露有助于惡意用戶攻擊應(yīng)用系統(tǒng)的信息。

（10）日志審計(jì)：充分設(shè)計(jì)信息系統(tǒng)日志審計(jì)功能，日志可以分為兩種，即一種是應(yīng)用日志，也稱之為調(diào)試信息或者錯(cuò)誤日志，主要是為了跟蹤應(yīng)用程序底層行為，跟蹤應(yīng)用程序內(nèi)部執(zhí)行的過程;另外一種是業(yè)務(wù)日志，主要是為了記錄用戶的業(yè)務(wù)操作，提高業(yè)務(wù)上的抗抵賴性。

（11）數(shù)據(jù)保護(hù)：應(yīng)該注意敏感數(shù)據(jù)的加密，選擇較強(qiáng)的加密算法，防止數(shù)據(jù)被盜用后直接使用。

（12）數(shù)據(jù)庫安全：應(yīng)用系統(tǒng)數(shù)據(jù)庫中存放著大量的運(yùn)營關(guān)鍵信息、客戶數(shù)據(jù)等資料。而黑客正處心積慮，采取各種入侵手段來企圖獲得這些數(shù)據(jù)。保護(hù)數(shù)據(jù)庫安全是應(yīng)該重視對(duì)待的問題。

（13）非結(jié)構(gòu)化數(shù)據(jù)安全：應(yīng)用系統(tǒng)中經(jīng)常會(huì)對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行操作，包括文件的上傳、下載和訪問等。不恰當(dāng)?shù)奈募芾砜赡軐?dǎo)致服務(wù)器的淪陷，需要關(guān)注的是服務(wù)器如何處理、解析上傳的文件，如果服務(wù)器處理邏輯做得不夠安全，則可能導(dǎo)致嚴(yán)重的后果。

（14）合規(guī)性：合規(guī)性主要是為滿足行業(yè)或監(jiān)管單位對(duì)信息系統(tǒng)的強(qiáng)制型和推薦型安全要求。需要參考相關(guān)行業(yè)標(biāo)準(zhǔn)、文件進(jìn)行需求設(shè)計(jì)。

3.2 系統(tǒng)安全開發(fā)

系統(tǒng)安全開發(fā)階段需要保證系統(tǒng)能夠按質(zhì)按量地進(jìn)行開發(fā)，在信息系統(tǒng)安全開發(fā)階段，開發(fā)人員在編碼過程中，應(yīng)根據(jù)編碼規(guī)范進(jìn)行編碼，避免常見的不安全代碼使用、不安全的框架使用及未經(jīng)確認(rèn)業(yè)務(wù)邏輯使用，嚴(yán)禁在源代碼中留有后門。開發(fā)人員同時(shí)應(yīng)結(jié)合前期系統(tǒng)的安全需求、安全設(shè)計(jì)的相關(guān)安全功能進(jìn)行充分的測試和驗(yàn)證，并記錄測試案例和結(jié)果。在開發(fā)過程中應(yīng)當(dāng)采用代碼安全走查的方式對(duì)開發(fā)過程的安全編碼進(jìn)行檢驗(yàn)，在信息系統(tǒng)正式測試前發(fā)現(xiàn)的所有代碼層面的中高風(fēng)險(xiǎn)問題，開發(fā)人員需提前完成整改，并確認(rèn)整改效果的有效性。在開發(fā)過程中所有過程文件（包括源代碼），應(yīng)進(jìn)行適當(dāng)?shù)谋９埽乐箼C(jī)密性及完整性的破壞，開發(fā)結(jié)束后應(yīng)統(tǒng)一進(jìn)行歸檔保存。

3.3 系統(tǒng)安全測試

在系統(tǒng)安全測試階段，安全測試應(yīng)覆蓋安全需求和安全設(shè)計(jì)的各項(xiàng)內(nèi)容，確保系統(tǒng)能夠滿足各項(xiàng)安全需求。根據(jù)安全需求和安全設(shè)計(jì)的內(nèi)容，制定相應(yīng)的安全測試方案。安全測試方案包括安全測試的對(duì)象和范圍、案例、預(yù)期結(jié)果、執(zhí)行人員、實(shí)際結(jié)果等內(nèi)容。

在進(jìn)行安全測試過程中，如需使用專業(yè)工具，應(yīng)使用該工具的最新版本或更新至最新的代碼庫，以盡可能全面地發(fā)現(xiàn)系統(tǒng)中存在的開發(fā)缺陷。安全測試過程中發(fā)現(xiàn)的問題，應(yīng)及時(shí)整改。如無法及時(shí)整改，應(yīng)采取其他措施將安全風(fēng)險(xiǎn)降低到可接受范圍內(nèi)。

系統(tǒng)安全測試包括但不限于以下活動(dòng)。

（1）工具掃描：在系統(tǒng)安全測試階段，對(duì)應(yīng)用進(jìn)行工具掃描，以發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)。

（2）應(yīng)用系統(tǒng)安全檢查：對(duì)應(yīng)用系統(tǒng)從軟件開發(fā)、部署與運(yùn)行管理、身份鑒別、訪問控制、交易安全、數(shù)據(jù)保密性、備份與故障恢復(fù)、日志與審計(jì)等方面進(jìn)行安全評(píng)估。

（3）滲透測試：利用已知漏洞和社會(huì)工程的方法，模擬入侵攻擊，以揭示系統(tǒng)應(yīng)用可能存在的安全風(fēng)險(xiǎn)。

（4）源代碼安全審計(jì)：依據(jù)CVE公共漏洞字典表、OWASP十大Web漏洞，以及設(shè)備、軟件廠商公布的漏洞庫，結(jié)合專業(yè)源代碼掃描工具對(duì)各種程序語言編寫的源代碼進(jìn)行安全漏洞定位、分析漏洞風(fēng)險(xiǎn)。

3.4 系統(tǒng)上線管理

在系統(tǒng)上線管理階段應(yīng)保證系統(tǒng)建設(shè)的標(biāo)準(zhǔn)化，加強(qiáng)應(yīng)用上線的安全管理，為后續(xù)長期維護(hù)打下良好的基礎(chǔ)。

（1）服務(wù)開放端口：系統(tǒng)應(yīng)用開發(fā)的端口服務(wù)保證最小化，避免開放不必要的服務(wù)端口。

（2）安全測試結(jié)果確認(rèn)：確認(rèn)系統(tǒng)安全測試階段安全風(fēng)險(xiǎn)已經(jīng)降低到可接受范圍內(nèi)。

（3）安全防護(hù)確認(rèn)：確認(rèn)上線系統(tǒng)納入安全設(shè)備防護(hù)，并在上線階段針對(duì)安全策略優(yōu)化。

（4）安全配置確認(rèn)：確認(rèn)業(yè)務(wù)系統(tǒng)及系統(tǒng)相關(guān)設(shè)備進(jìn)行了安全性配置。

3.5 系統(tǒng)安全運(yùn)維

在系統(tǒng)安全運(yùn)維階段，以等級(jí)保護(hù)標(biāo)準(zhǔn)為參考，結(jié)合PPDRR模型，即安全策略（Policy）、保護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Restore），構(gòu)建事前防護(hù)、事中響應(yīng)、事后審計(jì)3道防線措施，同時(shí)參考主流攻擊者攻擊過程TSSIC（思路-Thinking、嗅探-Sniff、掃描-Scan、入侵-Intrusion、控制-Control），以此過程檢測信息系統(tǒng)安全防御與攻擊過程一一對(duì)應(yīng)，以此保障信息系統(tǒng)的穩(wěn)定運(yùn)行（見圖4）。

（1）等級(jí)保護(hù)：安全防護(hù)體系以等級(jí)保護(hù)為指導(dǎo)思想，基礎(chǔ)運(yùn)行環(huán)境應(yīng)符合等級(jí)保護(hù)要求，如訪問控制、入侵防范、安全審計(jì)、惡意代碼防范等。

（2）第一道防線：通過網(wǎng)絡(luò)出口、服務(wù)器環(huán)境的防護(hù)措施以及事前安全檢測的等措施構(gòu)成基礎(chǔ)防線。

（3）第二道防線：通過安全系統(tǒng)實(shí)時(shí)防護(hù)、實(shí)時(shí)安全事件的分析響應(yīng)等措施構(gòu)成事中響應(yīng)。

（4）第三道防線：通過對(duì)網(wǎng)絡(luò)日志、運(yùn)維操作日志、安全日志、數(shù)據(jù)恢復(fù)等措施構(gòu)成事后恢復(fù)和審計(jì)。

3.6 系統(tǒng)變更或下線管理

在系統(tǒng)變更或下線過程中，保護(hù)關(guān)鍵信息系統(tǒng)的數(shù)據(jù)保密性與完整性對(duì)受到保護(hù)的數(shù)據(jù)信息進(jìn)行妥善轉(zhuǎn)移、轉(zhuǎn)存、銷毀，確保不發(fā)生信息安全事件。具體包括以下幾方面。

（1）梳理關(guān)鍵數(shù)據(jù)。業(yè)務(wù)部門和維護(hù)部門梳理出系統(tǒng)涉及的各類數(shù)據(jù)及建議處理方式，分為業(yè)務(wù)數(shù)據(jù)（包括但不限于業(yè)務(wù)信息數(shù)據(jù)、生成數(shù)據(jù)、經(jīng)營數(shù)據(jù)等）和維護(hù)數(shù)據(jù)（設(shè)備健康度、維護(hù)數(shù)據(jù)、操作日志、配置文件、賬號(hào)及密碼等）。

（2）判定數(shù)據(jù)處理的意見。業(yè)務(wù)部門審核制定待變更或下線系統(tǒng)中相關(guān)業(yè)務(wù)數(shù)據(jù)的處理意見，將數(shù)據(jù)明確劃分為即時(shí)銷毀、備份后銷毀并明確對(duì)于備份數(shù)據(jù)的處理意見。

（3）判定維護(hù)處理的意見。維護(hù)部門審核制定待變更或下線系統(tǒng)中相關(guān)維護(hù)數(shù)據(jù)的處理意見，將數(shù)據(jù)明確劃分為即時(shí)銷毀、備份后銷毀并明確對(duì)于備份數(shù)據(jù)的處理意見。

參考文獻(xiàn)

[1] GB/T 22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2] GB/T 20271-2006，信息系統(tǒng)通用安全技術(shù)要求[S].

[3] GB/T 25070-2010，信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].

[4] GB/T 20269-2006，信息系統(tǒng)安全管理要求[S].

[5] 國家互聯(lián)網(wǎng)信息辦公室.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）[S].

[6] 第二十七屆廣東省企業(yè)管理現(xiàn)代化成果：中廣核集團(tuán)核電信息安全攻防體系建設(shè)實(shí)踐[Z].