守住金融行业信息系统安全底线

　　【IT168 评论】随着系统规模日益扩大，支撑金融机构业务系统的网络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。因此，针对金融行业的业务系统建立安全检查点与操作指南的安全基线规范，则成为保障信息系统安全运行的首要步骤。

　　所谓安全基线规范，是为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。业务系统的下层支撑体系几乎涵盖了包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统。为保证业务系统的稳定运行，需要在业务系统整个生命周期的各个环节，对上述设备与系统的安全配置进行检查。这些环节包括设备入网、业务上线、日常运维、定期巡检和设备下线等。安全基线规范将形成针对不同设备与系统的详细检查表格和操作指南，为标准化的技术安全操作提供了框架和标准。

　　通过采用统一的安全基线规范来指导技术人员在各类系统上的日常运维操作，让运维人员有了检查默认风险的标准，但是面对信息系统中种类繁杂、数量众多的设备与系统，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情，且对检查人员的技能和经验要求较高。使用能够辅助安全检查与自评估的高效、自动且标准化的配置核查工具就很有必要。

　　在信息系统中建立完整可靠的安全基线技术体系需要对安全基线的建立、落实以及管理的过程进行规划，使之成为一个具备完整定义的、成熟的、可重复的过程，在开发、实施、运行中执行此过程的信息系统才具有较高的安全可信度和可靠性。

　　安全基线技术体系涉及面广、性质复杂，整个活动贯穿于信息系统的全部生命周期，是一个复杂的系统工程，需要通过一种过程性控制方法来保证其有效性。

▲图1 安全基线控制过程

　　建立安全基线的前提

　　安全基线是一组正式的安全需求规格。需要经过下面的确认程序：

　　　　• 相关方分析
　　　　• 安全需求的确认
　　　　• 安全政策的确认

　　相关方分析是识别确定所有的安全相关者，相关方要保证安全需要描述的合理、清晰、确定和一致;安全需求包括安全需要、安全风险以及安全风险的应对策略和安全环境约束等。安全政策的确认要保证安全政策满足安全需求的有效性，即可有效地处置风险、满足安全需要。安全基线需要企业或组织的高层面批准，从而在资源投入及执行力度方面得到保障。

　　定义安全基线

　　定义安全基线是指确定一组正式的安全需求，这些安全需求应覆盖所有的安全目标并符合所有相关的安全政策和法规等外部因素的限定。包括以下几个方面：

　　• 确定安全目标。安全目标是指使用目标系统内资产时的安全目标以及安全保护的程度。高层操作安全目标将影响到相应类别中所有资产的具体安全目标，例如“目标系统内的数据在传输到目标系统外时应严格防止泄露”。目标系统内的每一个可能向外传输的信息对象应基于这个目标制定相应的具体目标。

　　• 确定安全基线涉及的方面。安全目标的实现是安全基线制定的目的，所有的安全目标必须有相应的安全基线保证。

　　• 定义安全基线内容。安全基线需按类别逐条加以定义。每条安全基线应有目标系统范围内唯一的标识，该标识可作为安全基线配置管理库中的配置项标识。

　　• 匹配安全基线与安全目标。安全基线构成后，应建立安全基线与安全目标的关系。可以通过匹配矩阵的形式来检查每个安全目标是由哪些安全基线保证的。针对每一个安全目标，检查是否安全基线覆盖了该目标的要求。当安全目标和安全基线数量较大时，可按类别用多个矩阵表示安全目标与安全基线的关系。