北京邮电大学校长、中国工程院院士方滨兴。
2008年4月28日至29日在北京京都信苑举办主题为“构建和谐网络环境,助力绿色科技奥运”的“迎奥运、促和谐,2008年阳光绿色网络研讨会”。会议由工业和信息化部,北京奥组委主办,中国通信学会承办。新浪科技将进行现场直播。
以下为实录:
主持人: 下面请北京邮电大学校长、中国工程院院士方滨兴做“信息系统等级保护探讨”演讲。方院长是中国工程院院士,信息网络与信息安全专家,北京邮电大学校长,教授博导。获国家科技进步一等奖一项、二等奖两项,其他部级科技进步奖十余项,省市青年科技奖三次,获全国杰出专业技术人才、首批新世纪百千万人才工程国家级人选等荣誉称号。
方滨兴:大家好,我今天现在的题目是信息系统等级保护。我们知道,等级保护这个制度实际上经过很漫长的历史阶段,94中计算机信息系统安全保护条例提出来对信息系统进行等级划分以及等级保护,到了99年相应的标准就吹了出来,GB17859,03年国信办推出一个文件,关于加强信息安全保障工作的十项意见,有一项提出来实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,应该说从这一个文件开始起,这方面的工作开始进入到实质性的进展。04年由公安部、国家保密局、国家密码管理办公室再加上国信办,发了四部委文,信息安全等级保护工作的实施意见,提出来具体的实施举措。05年提出来电子政务信息安全等级保护实施指南,从标准的角度推动。
06年四部委提出来信息安全等级保护管理办法,实行了一年,到07年提出很具体的办法,也是四部委公安部,国家保密局和国家密码管理办公室和国信办,提出来信息安全等级保护具体的管理办法,也就是经常所说的43号文。同年公安部推出来关于开展全国重点信息系统安全等级保护定级工作通知,在最近这几年大幅度往前推进。全国各地开始加快定级。公安部推出实施办法和定级指导意见,首先是确定定级的对象破坏时侵害客体,根据业务信息,受到的破坏以及系统服务,破坏时侵害客体的角度讨论问题,讨论一旦受到破坏侵害程度是什么样子,根据这向个判断你在业务信息安全应该定到什么样的等级,系统服务的安全定到什么安全,这两个等级定完之后取高,最后确定定级对象安全保护等级。这就是定级做得明确。四个因素决定等级。
第一系统所属类型,类型有多重要,一般的还是重要的,一个就是业务信息类别,业务信息涉及到什么样的内容,涉及到什么样的事情,第三系统服务范围,是全国性还是地区性的还是区域性的,业务依赖程度,离开它你是不是就不转了,还是离开它可以利用别的手段。前两点业务信息的安全性,后两点定义业务服务的保证性,根据业务信息安全性和保证性形成信息安全保护等级。
第一要素受到破坏时损害了什么,要是损害了公民法人档次,级别顶多到三级,涉及到社会秩序、公共利益到了四级,涉及到国家安全,级别最低也是三级,高了是五级。再一个损害程度如何,损害影响不大,这个级别不会太高,要是严重损害,级别就会比较高,特别严重的损害,最低级也会到三级,两个要素。
一个矩阵结构,一个是从损害程度考虑,一般损害、严重损害和特别严重损害。一个是从受害客体考虑,公民、法人或者组织的权益,或者是社会秩序和公共利益或者是国家安全,最低一级,最高五级。一级到五级一般性的划分一般系统,一级二级是一般系统,一个合法权益受到损害,对应自主性保护,或者说合法权益公民个人组织合法权益受到严重的阻碍,或者是社会咨询和公共利益受到损害。公安部而言,公安系统是备案,不关心怎么做,只是备案。到第三第四级称为重要系统,在它的管理下要报上去。社会秩序和公共利益受到严重的损害,要到第三级,国家安全受到损害是第三级的损害,经常查保护怎么样,要有一个监督。到了第四级受到特别严重的损害国家利益受到损害,就是强制性保护,会采取措施,国家安全受到特别的损害,专控性保护。这是我们现在面对等级的划分。通过划分之后,在公安部汇总很多的信息,在三级以上已经几万个,问题是汇总完怎么办,这是我们讨论的关键,公安部清楚怎么办,他们也提出来信息安全等级保护基本要求,现在没有作为正式的国标拿出来,基本上已经报批好了,在这里面提出来,保护点,怎么办,我们要看到基本的要求,应该知道怎么办,不管一级、二级、三级、四级、五级,每一级涉及到十个保护点,从技术要求来看是五个保护点,包括物理安全、网络安全、主机安全、应用安全、数据安全备份恢复。从管理要求,管理制度应该怎么样建立,管理机构应该怎么样设置,人员管理应该怎么做,建设管理应该怎么做。运维管理怎么做?知道是第五级,按照第几要求做,其实是很细的。换句话说,当我们知道哪一级之后,拿着基本要求,应该说我们能做一些事情。但是我们说做一个系统而言,简单控制在定位点不一定是一个系统。怎么做我个人认为处于不清晰相对空白,我们就回归原始,原始是什么,99年的标准,是最初的指导思想,我们说标准的时候,我们当时怎么做,为了简化拿了二、三、四级。
每一级对上一级来说增加新的属性,第二级有五个基本属性你要做到,第二级系统审计保护级,自主访问控制、身份鉴别、客体重用、审计、数据完整性,第三级增加了两项,强制访问控制,增加标记,身份鉴别变成两种鉴别机制,审计等价了分析报表,第四级又增加两项,身份鉴别提出更高的要求,强制性访问控制,保护目标是什么呢?建设这个系统,针对某一个级别建设这个系统的时候,我们要想一想我们最原始的目的是什么,我们看基本要求是可以的,基本要求是一个控制点而已,假定如果完成控制点,你就能达到保护的目标,有一个夹缝,夹缝应该填补,设计规范应该拿出来讨论。
假定我在第三级,保护环境模型应该是什么呢?首先是关心我保护级别基本要素是什么呢,保护目标是什么,我要在标的上自主访问控制、强制访问控制、身份鉴别、客体重用、审计、数据完整性,设计三个域,计算环境、边界区域、网络通信,最后在可信计算机的基础上保证安全等级保护环境是一个能够符合要求。
划成安全域再加上管理来说,应该是三个域,要有计算域,这是系统自身要有的,计算服务是一个独立的域,边界接入是一个域,网络互联,为了保证等级,我们需要对它做管理,也需要有管理域,三保卫一支撑,保卫网络基础设施,保卫边界和外部连接,保卫局域计算环境,支撑安全管理。
这三个应用域对应的需求,涉及到的东西就是安全中间要实现的东西,备份、代码检测、客体重用、重组安全性等,也就是说在这里边把和计算有关的安全属性在这个域里面兑现。区域边界要做到类似实体特征,接入连接限制,存储安全性等,把和边界有关的目标属性在这个层面实现。到了网络通信域,主要是做到微代码检测、安全审计、网络划分等,基本要求就是在这个角度拆分,我们说基本要求已经很明确了,五个基本要求,每个基本要求有一些控制点,怎么拆分呢,就在这个层面上拆分,这就比较容易。一旦我们看到基本要求标准的时候,是一级、二级、三级、四级、五级,哪一级可以把这一级的内容分解一下,拆分下去。
如果拆分完形成这样的环境,计算环境,有它核心层和系统层当中,这里面就涉及到多级互联,可能有冲突,怎么改变策略,怎么降级,这都需要有的,包括有区域边界,最后所有这些安全问题是通过安全管理中心实现的,这个系统所有的访问控制和检查都是在安全管理中心兑现。
承担的属性和达到的目标,在计算环境中域里边要做什么事情,在边界做什么事情,网络做什么事情,可以形成基于17859标准保护措施,可以看出来分了三个区域,要做到一系列的安全的事情,谁做呢,还是第四个,安全管理域做,达到五个基本属性,可用性、保密性、完整性、可审计性和可控制性,最后实现七个基本目标属性,能够实现自主访问控制、强制访问控制、标记、身份鉴别、审计等。
我们现在缺什么呢?我们从标准17859到基本要求这之间实际上缺了一个衔接,这个衔接就是设计规范,要求做到一个基本点,互相之间是什么样的关联,这是不清晰的。如果有设计规范,我们当然会需要有一个一般性的平台,这里面就介绍一般性的平台的概念,计算环境是什么样子,区域边界怎么管理,网络怎么管理,要有身份验证的控制环境,要有安全管理的环境和数据处理的环境,形成相对抽象的规范。
我们假定我们现在知道了指南肯定是有了,假定设计规范也是有的,下面还需要做什么呢?还缺检验,测试根据基本要素做的,测试也有规范,但是测试只能保证你是否符合基本要求,但是我们想说,你是否具备17859所提出来的安全属性,我做到基本要求是不是一定能做到,现在看来,因为有一个互联的关系,不是那么简单的,所以你还要有检验的手段,是否达到17859的需求,这里就提出来有一套检验的手段和工具。检验工具包括一系列,宏观是结构化分析工具,配置检查工具、运行数据代理、性能测试工具、远程探测工具、手工检查工具等,可以从防范阻止角度,物理上有这样一系列的事情,有的是手工检查,有的是配置检查,有的是性能测试,这都是有可能的。
我对检测发现应急处理的要求,检查哪些点,恢复等。还要盯着审计追踪,这都是宏观的需求,物理安全的防范阻止,网络边界检测发现应急处理,边界恶意代码防范等,都要有相应的工具,包括网络安全审计等,把核心属性提炼出来,做一种检测,相对就总综合了。
我们在测试的时候和检验不太一样,测试可能是采取一般性的访问、调查,或者是一般性的检查,测试在那里工作是不大的,更多是访问访谈,更多是检查有过没有,但是要从检验角度,基本上都要不同的工具。从审计恢复、防护检测不同的角度,对各个属性做检查。检验的工作也是需要得到重视,目前这方面应该说还是缺少相关的研究成果,我知道很多人在研究。
测评。测评相对简单,它是针对基本要求的,你达没达到基本要求,基本要求是什么呢?基本要求是什么,我就做什么,测评手段清晰,访谈,咱们问一问就知道,有还是没有,检查,把那个东西拿给我看,看到了就是有,再一个就是测试,有些要做必要的测试。
根据技术要求,我们分了五个,方面,物理安全测评后面是具体的控制点,位置是否合适,访问控制、防盗榆枋破坏、防雷、防火、防静电、温湿度、电力、电磁防护怎么样,这些一般靠检查。
网络安全测评包括了八个,结构安全网络划分做得怎么样,网络访问控制,拨号访问控制,网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护,测评做相应的检查。
主机安全测评,身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制,这个是在机器里面的防范。
应用安全测评,身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。数据安全测评:数据完整性、数据保密性、数据备份和恢复。如果彻底垮掉,是否能恢复,这是技术要求方面。
管理要求方面也是五点,岗位怎么设置的,人员配备、授权和审批、沟通和合作、审核和检查。做这件事怎么做,也有检查,拿出规章制度,规章制度告诉我,怎么审核一件事怎么检查一件事。
管理制度的测评,有哪些管理制度,制定和发布的情况,依据怎么样,发布的范围和周期等,评审修订怎么样。
人员管理,人员录用,依据什么录用这个人员,声称学历和经验怎么核实,离岗,人员考核,平时怎么考核,安全意识教育和培训,第三方人员访问管理,怎么进入到你的系统,第三方没有进入到你的人员录用环节。
系统建设管理测评比较详细,包括系统建设管理、安全方案设计、产品采纳、自行软件开发、外包软件开发、实施工程、测评验收、系统交付、系统备案、安全服务商选择。
系统运维管理测评:环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处理、应急预案处理。
这样就形成了针对基本要求形成的测评,应该说测评还是非常清楚的。
结语:所面对的下一步任务需求:
信息系统安全等级保护的基本要求是明确的,但并不等于设计规范是明确的,在保护平台设计方面,尤其是在跨级、跨系统之间应该如何进行互联,军需要有相应的设计规范做指导。因为最终目的不是基本要求,最终目的还是要17859几个安全属性,我们是假定通过基本要求能够达到那个属性,但是事实上这种假定是不是成立?是需要有一个设立的,如果把基本要求孤立存在的话,系统该出问题一样出问题,它是体系结构,尤其我们这个平台可能出现跨级,我的一个系统,我这儿有一个信息系统,比如计费系统,终端系统要和它联系,对服务终端要看看技术信息是不是存在平级和服务,网管也对它进行联系,要进行综合处理,完全是两种级别对它操作,终端可能降得很低,二级甚至一级,上面可能就很高,不同级别对于一个处理,这是跨级的问题,跨级怎么做,这在基本要求是说不清楚的,它需要有一套设备规范的,跨级跨系统,不同系统之间互联,而且保护目的冲突的时候,我们知道当你选择完整性保护的时候,只能低权限,不能向高权限写东西,高权限可以向低权限写东西,低权限向高权限写东西,可能破去了,原则就不对了,而高选贤向低权限写东西没问题,因为权限比你高,不存在你对的破坏,应该按照我的要求来做。讨论机密性的时候就反了,低权限的东西可以往高权限写,往上写,把你的秘密可以告诉上面,高权限不能往低权限写的,往低权限写,把高权限的秘密告诉下面的,这两个正好冲突,在同一个环境下怎么办?
这需要解决的。而且这些解决,我们没有一个清晰的设计规范,大家定完级之后,可能也束手无策,设计规范是需要推进的。
信息系统保护的技术基础是GB—17859,17859最原始从国际社会走上来的,针对计算机信息系统,也就是说具体的端点,没有考虑到网络,现在也算网络,想的是信息别被篡改和泄秘,没有想着是传输环节,基本要求以信息系统为核心,现在拿着基本要求衡量电信网络按照基本要求做,其实是比较勉强的。你从物理安全角度防雷、防电能说清楚,尤其是传送网络强调可靠性和路由的迂回和安全的保障,这在基本要求在这方面没有清晰的描述。
关键一点就是,这次在861号文统治中,强调电信网络也纳入定级,拿了一批三级四级,大家就问,我是四级了,我应该怎么做成安全,这方面的设计规范就更没有了,所以这方面的工作是需要推动的,否则的话,往下工作就不知道怎么做了,我在这儿想强调一点,既然把信息系统拓展到了网络,我们就得为网络提供一个合适它的量身订做的基本要求,提供一个适合它的设计规范,而且要为这些提供检验规范,检验能看到是不是最终保护目的的手段,这就是我提出的三个阶段。谢谢大家。