一、七层安全服务体系的提出
目前,计算机网络系统安全主要由网络安全厂商提供产品和服务来保障。市场上常见的网络安全技术和服务有:
防火墙 物理隔离 数据加密 应急响应
入侵检测 防病毒 口令管理 安全培训
安全扫描 VPN/加密机 PKI 安全策略
安全加固 数据备份 日志与监控 安全咨询
但是,大部分的网络安全项目设计、组织和管理比较混乱,缺乏科学依据、针对性和保证机制,结果是,网络安全解决方案的实施演变为安全产品的采购和售后服务,这对用户的信息化系统的风险控制十分不利。
深圳安络科技从系统工程学理论出发,结合SSE-CMM安全体系,用"技术+实施+保证"的模式,提出了一套具有中国特色的网络安全(China National-Security,CNNS)高级保障工程体系,该体系从七个层次对具有高等级安全要求的网络系统提出了安全防护保障方法,以系统、清晰和循序渐进的手段解决复杂的网络安全实施问题。
二、七层安全体系内容
1.第一层: 实体安全
实体安全是信息系统安全的基础。依据实体安全国家标准,将实施过程确定为以下检测与优化项目:机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等,检测优化实施过程按照国家相关标准和公安部的实体安全标准。
2.第二层: 平台安全
平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段。目前市场上大多数安全产品均限于解决平台安全,CNNS以信息安全评估准则为依据,确定平台安全实施过程包括以下内容:操作系统漏洞检测与修复; Unix系统、Windows系统、网络协议、网络基础设施漏洞检测与修复; 路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复; 数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。平台安全实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵与安全优化。
3.第三层: 数据安全
为防止数据丢失、崩溃和被非法访问,CNNS以用户需求和数据安全实际威胁为依据,为保障数据安全提供如下实施内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。
4.第四层: 通信安全
为防止系统之间通信的安全脆弱性威胁,CNNS以网络通信面临的实际威胁为依据,为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。
5.第五层: 应用安全
应用安全可保障相关业务在计算机网络系统上安全运行,它的脆弱性可能给信息化系统带来致命威胁。CNNS以业务运行实际面临的威胁为依据,为应用安全提供的评估措施有:业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。
测试实施后,可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。
6. 第六层: 运行安全
运行安全可保障系统的稳定性,较长时间内将网络系统的安全控制在一定范围内。CNNS为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务,包含在网络安全系统工程的售后服务内。
7.第七层: 管理安全
管理安全对以上各个层次的安全性提供管理机制,以网络系统的特点、实际条件和管理要求为依据,利用各种安全管理机制,为用户综合控制风险、降低损失和消耗,促进安全生产效益。CNNS为管理安全设置的机制有:人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。
通过管理安全的实施,为以上各个方面建立安全策略,形成安全制度,并通过培训保障各项管理制度落到实处。
实施CNNS管理安全执行的标准为ISO13355和 ISO17799。
三、应用七层安全模块
1.小型网络
可只选择平台安全服务(国内绝大多数安全公司业务都集中在这个层次)。
2. 中型网络
可选择三个模块:实体安全、平台安全、管理安全。
3. 大型网络
可选择五个模块:实体安全、平台安全、应用安全、运行安全、管理安全。
4. 大型高级网络
覆盖七个层次,选择所有模块。
四、实施规范
七个层次安全工程模块的实施,必须按照SSE-CMM信息系统安全工程过程,对各层次安全性进行评定、改进和保证。
每一个层次都制定了相关的评估、改进、标准和文档,各个层次的实施均由专业人员负责,必须拥有专业检测设备和资源作为保障。
CNNS安全工程的目标是使安全工程实施达到SSE-CMM标准的第三级:定义标准过程、裁剪标准过程、利用数据、完成定义过程。
五、结语
CNNS网络安全高级保障体系,是当今网络安全界较为完整的安全服务体系,受到国家信息安全测评认证中心专家的肯定,在国内尚属首家推出,也是国际领先的网络安全服务体系。
