2.3外部人员安全管理
人员安全管理(等级保护基本要求7.2.3节)对人员在招 聘入职、在职转岗和离职阶段提出了相应的安全要求,并将 外部人员访问管理作为重要控制项列出。由于信息中心为政 府或企事业单位编制,对内部人员参照政府机构或事业单位 相关规定进行安全管理。基本能够符合人员安全管理要求,
信息安全与通信保密·2。。9.9 67
学术研究
镪燃^繇adem,‘ R趟治ea rch
但在对外部人员,尤其是外包人员的安全管理中,通常仅依
靠与外包方签订的保密协议,而未采取有效的安全访问控制 措施,存在较大的安全隐患。
图3安全组织机构框架 为了业务需求分析和人员沟通的便利,信息中心通常采
取外包人员驻场开发的方式,随着信息化程度的提高,需管 理的设备不断增加,系统运维、设备管理和安全服务等采取 外包方式的趋势愈加明显。根据实际情况,外包人员往往与信 息中心人员共用办公环境,可以独立进入机房、业务处室等敏 感区域,甚至能够访问网络设备、主机操作系统、核心数据库 和业务系统,存在操作失误或恶意破坏等较大安全隐患。为了 加强对外包人员的安全管理,除签署保密协议外,可以从外包 人员安全培训、访问控制限制和监督等方面进行控制:
——组织外包人员学习单位制定的各项安全管理规定,
要求外包方对外包人员进行安全技能和安全意识培训。
——对外包人员访问的办公区域严格设置网络、主机和 应用系统的访问权限,对进出中心机房、配置核心设备和变 更应用系统等重要活动,应经书面审核和批准后有专人陪同 方可进行操作,并以书面形式进行记录。
2.4安全建设管理的重要性 系统建设管理(等级保护基本要求7.2.4节)对信息系统
的规划、设计,实施和交付4个阶段提出了安全要求。在政 务安全等级测评过程中,发现系统建设单位更关注信息系统 的业务功能,忽略或者较少关注系统的安全功能和代码安全, 给后期的运维管理带来了较大的安全隐患。
等级保护标准对应用系统的安全审计、访问控制和资源 控制等安全功能提出了较高要求,而系统建设单位在建设前 期往往缺少对应用系统的安全功能和标准合规性的考虑,导 致安全功能模块的缺失。由于软件设计开发成本远远低于维 护成本,因此在系统建设阶段充分考虑应用系统安全模块的 设计和实现,既能满足等级保护标准的合规性要求,又减少 了系统二次开发和运维阶段投入的应用层安全防护成本。
随着SQL注入、跨站脚本等攻击技术不断成熟以及新攻
68 I晒晒晒。cjsma_,④①卿。④囤
万方数据
击技术的出现,应用层的安全漏洞比率已经高达70%以上,而
安全代码能够有效抵御各种应用层攻击造成的敏感信息泄露, 密码猜解和会话劫持等多种安全风险。在系统开发阶段.系 统建设单位应要求外包人员参考安全编码规范进行开发,在 系统验收阶段除了需进行恶意代码和后门检测外,也应进行 软代码安全扫描测试,以减少编码漏洞带来的安全风险。
2.5安全运维工作的规范性 系统运维管理(等级保护基本要求7.2.5节)列出了常见运
维活动的管理要求,这些要求能够保证运维工作全面、有序地 开展。在实际的安全测评中,存在已有的运维工作不规范,如 已对业务数据进行了定期备份,但缺少备份场所的安全管理、 备份数据的有效性检查和备份恢复的定期演练等活动在系统 变更时,缺乏系统变更的申请、审核和实施流程,未制定详细 的变更方案和回退计划等。由于运维工作不规范,难以建立完 善的安全运维流程,造成运维人员忙于应付系统故障或安全事 件,降低了工作效率,增加了运维工作的安全风险。
为了建立合理的运维工作,需充分考虑到业务需求和等 级保护符合性的要求,制定各项运维管理制度(安全管理文档 体系第二、三级文件),从运维流程,人员职责和操作内容等 方面对安全运维工作进行文档规范化,各项运维工作遵照制 度开展,形成各项记录和日志(安全管理文档体系第四级文 件),以保证各项安全运维活动的规范性。
5结语
本文依据等级保护基本管理要求,结合政府机构特点和 政务系统的安全特性,对实施安全管理的关键因素和要点进 行分析13】,为成功建立符合等级保护要求的信息安全管理体 系提供了一些参考建议。随着等级保护相关法律法规和标准 内容的完善,安全管理实施需要进一步实践和研究分析,才 能与安全保护技术措施紧密融合,达到全面贯彻落实信息安 全等级保护制度的最终目的。
参考文献
【l】马力,任卫红,李明,等.GB/T 22239—2008,信息安 全技术一信息系统安全等级保护基本要求【s】.北京:中 国标准出版社,2008.
【2】上官晓丽,许玉娜,胡啸,等.信息技术一安全技术一 信息安全管理实用规则GB/T 2208卜2008【S】.北京中 国标准出版社,2008.
【3】陈雪秀,任卫红,谢朝海.信息安全等级保护中的两大 基本问题研究【J】.信息安全与通信保密,2009(03l 36—