网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


陆宝华谈信息安全等级保护测评

2012-09-12 17:22 推荐: 浏览: 67 views 字号:

摘要: 记者:等级保护工作已经开展好几年了,目前到了普遍测评阶段,您如何评价等保测评工作? 陆宝华:不测评就无法发现某个信息系统存在的问题,而不能把真实的安全需要找出来,就无法进行正确地整改。测评是信息系统使用单位的潜在需求,在2004年等级保护工作真正推动之前,一些...

记者:等级保护工作已经开展好几年了,目前到了普遍测评阶段,您如何评价等保测评工作?

陆宝华:不测评就无法发现某个信息系统存在的问题,而不能把真实的安全需要找出来,就无法进行正确地整改。测评是信息系统使用单位的潜在需求,在2004年等级保护工作真正推动之前,一些重要行业已经在做的风险评估,和等级保护测评工作是同样作用的。

记者:在等保测评工作实施过程中,目前有哪些经验借鉴和薄弱环节?

陆宝华:目前我们国家在测评水平上是不一致的,国家队的测评人员由于对信息保障的认识比较高,理解比较深,对国家标准的掌握也比较透彻,技术水平也比较高,所以测评结果科学可信。但在各地方,由于其测评队伍人员对信息保障的理解较缺乏,虽然进行了培训,但是想通过一次两次培训就把这个问题真正解决是困难的,所以测评水平也就打了折扣。

记者:去年的CSDN事件和今年初的PuTTY事件,特别是PuTTY事件,一些被测评合格单位的小型机账号和密码还出现泄露,该如何解释?

陆宝华:我们目前所依据的测评标准《等级保护基本要求》(GBT22239-2008)是六年前制定的,当时我们的安全水平和技术与现在相比有一定差距,如果标准太高,将很难达到要求。以操作系统为例,由于我国所采用的操作系统基本上是国外生产的,而且都C2级水平,当时国内还没有可以真正使用的对其改造和替代的产品。也就是说如果我们真正按照三级的技术要求(GB17859-1999和GBT20271-2006)来测评,能达标的不会有几个。

其次,应用程序存在着严重的安全问题,导致这些应用程序很容易被黑客入侵,加之操作系统和数据库的漏洞,被挂马是很容易的,所以就会出现PuTTY导致的后果。

记者:C2级操作系统和我国等级保护三级要求的主要区别是什么?

陆宝华:C2级操作系统,在我国17859-1999中,被称之为审计保护级。C类是一个大类,分为C1级和C2级,称之为自主保护类。在这一类保护机制中,数据文件等客体的访问控制权限是由客体的属主和(或)系统管理员所控制,并且系统管理员拥有无所不能的权限,比如他可以删除审计数据,这样将带来很大的安全问题。

首先,这种访问控制机制不能保护操作系统自身的完整性,对于客体的创建几乎没有限制;其次,访问控制权限在转移的过程中会发生改变,甚至会违背最初的安全策略;第三,不能保证系统管理员本身的绝对安全,黑客完全有可能获得系统管理员的权限。

而三级以上的操作系统,则支持强制访问控制机制,客体的访问权限是由系统规则给出的。在系统内创建客体受到了限制,创建客体的主体必须具备相应的权限,主体的级别、创建客体的属性等,对操作系统本身的完整性就有了保护,病毒、木马等恶意代码就很难感染系统了。同时,三级以上的操作系统要求实现三权分立,取消系统管理员,将其权限分解为安全员(制定规则)、系统管理员(规则执行者)和审计员(监督),实现检查平衡。

记者:目前国内有支持三级以上的产品吗?

陆宝华:有。国产的基于linux的麒麟操作系统和磐石操作系统已经达到了四级的要求。

记者:除了基于linux重新开发操作系统,还有其他方式的产品吗?

陆宝华:还有对操作系统的改造产品,如椒图科技的JHSE。它是对Windows、所有的Unix和Linux进行了可信改造,或者说是安全加固,这个产品是完全按照国家标准《信息安全技术-操作系统安全技术要求》(GBT20272-2006)要求开发的,是目前最好的通用型操作系统改造产品。在增强型DTE(安全域)模型基础上,同时支持增强型BLP、RBAC模型,解决了对数据的保密性保护和完整性保护的矛盾,对恶意代码有极好地免疫作用。增强型DTE(安全域)技术,可以把不同的应用封闭在各自的安全域内,即便这个域内的应用存在漏洞,被入侵,也不会导致其他域内应用出现问题,更不至于侵害整个操作系统。同时域内使用RBAC模型和数据加密技术,域外还有BLP模型和完整性校验技术支持,入侵者想把数据“拿得走、看得懂”也绝对是徒劳。

相关简介:

陆宝华:男,1954年生,大连市公安局网络警察支队调研员。

发表了近百篇关于集群通信与信息保障方面的论文,出版著作包括《信息系统安全原理与应用》《信息安全等级保护技术基础培训教程》《信息安全等级保护基本要求培训教程》等。

研究领域:信息安全等级保护与无线专业网通信。

http://soft.chinabyte.com/60/12403560.shtml

联系站长租广告位!

中国首席信息安全官


关闭


关闭