2019年12月12日 星期四
協會動態
優秀安防企業
優秀論文
您當前所在的位置:首頁 > 協會動態 > 優秀論文
有安防工作特色的安防系統安全等級保護管理工作機制初探
時間:2018-04-18 [ ] 瀏覽次數:1763 來源: 視力保護色:

有安防工作特色的安防系統安全等級保護管理工作機制初探

                                         

 (貴州警察學院      周繼烈)

 

      摘 要:大數據環境下安防系統的安全等級保護建設、管理及制度,是安防系統安全等級保護建設中的幾個重點,根據安防系統的特點,研究安防系統信息安全評定及信息安全管理如何落地操作,是一個尚需探索的課題。本文作一些初步的探索,探討大數據條件下安防系統的信息安全等級保護評定、落地操作及日常管理的問題,本文探討常態化安防系統信息安全監測機制建設以及等級保護管理制度建立的可能和依據。

      關鍵詞 安防系統  安全等級保護  安全檢測機制  風險管理


大數據環境下的安防系統是一個特大型、信息流量大、實時性、綜合性非常強的信息采集、傳輸、管理系統,不僅需要滿足涉及區域的治安管理、城市管理、交通管理、應急指揮等需求,而且還要兼顧災難事故預測預警、安全生產監控等方面對圖像監控及所采集到的各種信息的匯集、管理和存儲需求,同時還要考慮報警、門禁等配套系統的集成以及與廣播等應急系統的聯動。大數據環境下安防系統以平安城市的建設為代表,加速了視頻信息為主要安防信息的專網的形成,視頻專網是實現城市安全和穩定的重要基礎,是“平安城市”建設的重要組成部分,更成為“智慧城市”的重要基礎載體,它不僅可以滿足治安管理、城市管理、交通管理、應急指揮等需求,在預防、發現、控制、打擊違法犯罪,提供破案線索,固定違法犯罪證據等方面也發揮人防、物防所不可替代的作用。

隨著安防系統采集、傳輸和匯聚的數據存儲量與日俱增,系統集成度也越來越高,網絡架構、平臺架構、存儲、數據庫等結構也越來越復雜,其自身的安全問題也接踵而來。因為安防系統本身就是應用于社會安全的系統,包含了比普通信息系統更復雜、更敏感的數據,更容易吸引黑客等不法分子的注意,一次攻擊中獲得數據越多、數據等級越高,對于黑客來說攻擊成本越低、收益率越高。更在于傳統安防系統自身安全環境,是依據于GB50348—2004為基礎進行建設(與別的信息系統物理隔離,給人的安全感較高,反而降低了安全建設和安全管理,對安全風險的敏感性明顯低于普通信息系統),安全體系相比于建立于公共網絡上的信息系統更加脆弱,安全防線更加薄弱,在大數據環境下,各種信息系統互聯互通,安全問題將更加突出。但是,依據《中華人民共和國網絡安全法》,進行安防系統的信息安全等級保護工作尚未在全國范圍內全面開展,相關研究幾近空白。本文對大數據環境下安防系統的信息安全等級保護工作進行一些探討,拋磚引玉,以期引起同仁的重視和共鳴。

安防系統的安全不只是安全設備的純技術性問題,而是一個涉及工程設計、施工、檢測、運維等方面系統的、全面的問題,更是一個制度和機制性的問題。安防系統安全問題的解決,不能僅僅依靠安全技術和智能設備的安全策略來解決,需要建立符合大數據環境下安防系統安全等級保護要求的管理制度,應建立常態化的安全風險評估和檢測機制,以保障安防系統自身安全。

一、  制定符合安防系統自身特點和實際需求的安全管理制度

大數據環境下,安防系統安全等級保護管理制度應根據需要和可能,因地制宜的按自身實際需求進行制定。安防系統的安全風險評估及信息安全的等級保護評定,過高和過低,都存在操作和安全方面的困難,過高,實施成本導致操作層面的困難;過低,抵御不了起碼的安全風險;更有安防系統信息量大,無用信息占絕對的主體,對信息的保存都有時間的要求,過于強調信息備份等沒有實際意義。隨著《中華人民共和國網絡安全法》的落地實施,責任單位和責任人的信息系統安全等級保護意識逐步提升,信息系統安全相關工作開展多年,信息系統安全工作得到了一定層度上的推進及提升,很多信息系統的安全規劃、設計、建設及運維,業內已摸索出了多套較為成熟的信息安全等級保護管理機制;但安防系統的信息安全等級保護工作尚在探討之中,還有許多問題需要進一步研究。

大數據技術的快速發展及安防系統建設近年來發展較為迅猛,安防系統的復雜性和集成度空前提升;加之各建設單位客觀上存在歷史建設的時間跨度大、系統差異、應用差異、環境差異、管理要求差異等多方面的差異。筆者認為:大數據環境下的安防系統安全等級保護管理制度的建設,不宜過分強調和引用既有信息安全等級保護管理機制,而應根據具體情況,實事求是,規劃、建設和整改不同安防系統的信息安全等級體系,以保障安防系統的信息安全。

建設單位應依據自身實際管理要求,對系統建設的實際情況特別是已建安防系統的實際情況,根據安防系統的風險評估等級、規模、安全設施投入、信息采集點的具體位置、是否與另外的信息系統互聯等,制定符合自身實際需求信息安全等級保護要求、制定相應的安全管理制度。在制定相關制度和政策時應充分考慮:安全等級保護機構、崗位職責及任職資格要求、人員工作規范、機房及設施安全規范、適當的數據備份制度(包括特定的前端、時間、日志等)、日常應用規范、操作安全管理等。

相關制度的制定、評審、發布、修訂過程中,在制度的版本、發布范圍、格式等應具備統一標準。管理制度的評審和修訂部門、周期應進行明確的規范。

二、  建立常態化安全檢查檢測機制

依據于GB50348—2004之規定,我國以視頻監控為核心的安防系統,傳輸通常是由安防專網承載。安防專網中,各種重要信息資產前端采集、傳輸、存儲及應用系統安全設計的脆弱性,安防系統的運維工作中,對信息安全的運維也沒有形成相應的制度和規范,對安防系統安全的忽視,影響到整個系統的安全,存在重要的潛在風險。應建立相應的風險評估和檢測機制,對于了解其系統安全的脆弱性和實際狀況,方便后期整改,具有實際操作性的意義。

筆者建議:針對安防系統,設計開發一套視頻專網安全評估設備,各種功能和性能以實用為主,便于操作,由各級公安機關技防部門牽頭,組建相應的技術力量或委托相關機構進行定期檢測,建立基于安防專網和獨立網絡的安防系統的常態化全方位安全檢查和信息安全風險評估機制。通過定期對網絡中視頻監控設備進行安全檢查、檢測(如安全漏洞、安全配置問題、應用系統安全漏洞,系統存在的弱口令,收集系統不必要開放的賬號、服務、端口等,以及相關制度的落地執行),分析和指出被測系統的薄弱環節,幫助網絡管理員充分了解其網絡中存在的技術和制度方面存在的安全隱患,并針對檢測到的安全隱患提供對應的修補措施和安全建議,方便管理員針對弱點進行點對對加固,將信息系統的隱患消除在弱點被利用之前,提升整網的抗風險能力。

(一)檢查安防信息系統安全等級保護基本要求的符合性

常態化安全檢查檢測機制的工作中應檢查安防系統需滿足或基本滿足《信息安全技術 信息系統安全等級保護基本要求》(三級)(GB/T 22239-2008)中“審核與檢查”項。并配合被檢部門落地符合工程建設時制定的安全管理制度:

1.安全管理員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況;

2.應由內部人員或上級單位定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;

3.應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報;

4.應制定安全審核和安全檢查制度規范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。

(二)針對安防系統進行常態化安全風險評估

以“風險評估和管理”的方式對被單位安防系統內所有信息資產及網絡風險進行全方位評估、管理和分析,通過對系統開放端口服務的識別,配合基于如CVE等標準的漏洞規則庫及根據安防系統特點編寫的準確漏洞檢測規則,發現安全風險點,提高內部網絡安全防護性能和系統整體抗擊破壞的能力。

針對網絡中存在的各個WEB應用系統,通過掃描和遠程掃描模式,進行應用層漏洞檢測(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、管理后臺、敏感數據等)。幫助管理員和系統應用人員充分了解WEB應用存在的安全隱患,建立安全可靠的WEB應用服務,改善并提升應用系統抗擊各類WEB應用攻擊的能力。

針對各種安防系統中、安防網絡中現有已部署運行的數據庫系統,包括OracleMSsqlDB2InformixMysqlSybase等,進行本地或遠程進行深層次安全檢測及準確評估(如不安全配置、弱口令、補丁等),提升各類數據庫的抗風險能力,同時可以協助管理員完成數據庫建設成效評估,對發生的安全事件,協助進行數據庫安全事故的分析調查與追蹤。

    總之,針對安防系統的特點,建設基于信息系統安全等級保護的常態化安全檢查檢測機制,對有效保障安防系統的信息安全,具有重要的實踐意義,值得一試。

三、  前移安防系統安全等級保護管理工作介入的節點

對新建安防系統,安防系統安全等級保護管理工作的開展,應適當前移至系統設計及建設階段。依據《中華人民共和國網絡安全法》,在系統建設定級、設計、開發、采購、實施、測試、驗收等各階段介入安全等級保護管理工作。依照相應的安全保護等級,匹配基本安全保障措施,指導設計方案評審。設計評審階段充分評估安全保護系統的策略、架構、管理、建設方案。

系統建設階段應要求嚴格依照信息系統安全的工程控制、安全保障原則開展開發、實施、測試、驗收工作。

系統建設所涉及設備供應及服務商的選擇應從安全等級保護管理層面可控,網絡安全設備、網絡傳輸設備、軟件系統、業務系統等關鍵產品為安全等級保護管理重點。相關產品需通過國家相關認定及銷售許可,必要時可組織相關領域專家協助評審,并上報國家相關管理部門報備及審批。

四、  強化安全管理工作人員管理制度建設

安防系統安全等級保護管理工作離不開安全管理工作執行人員,安全管理工作人員是系統安全管理的參與者,同時也是系統安全管理的被管理對象。建議加強安全管理工作人員管理制度方面的建設工作。安全管理工作人員的管理工作可從:招聘、培訓、考核、對外接觸、離崗等幾個維度展開。

依據安全等級保護要求對招聘人員任職資格進行評審,簽署對應的安全盡職保密協議,從法律層面保障工作人員的安全性。

完善人員離崗管理手續,人員離崗應回收相關證件、去除對應系統權限,簽署保密協議后,才可辦理相應離職手續。

安全管理工作人員在日常工作中應定期開展針對管理員、使用者、運行維護人員的安全保護技能培訓及意識教育。匹配相關考核管理工具進行盡責管理。針對不同角色建立對應的責任管理機制,責任到人。遵循管理與技術并重、人人參與、用審分離的原則,制定相關管理制度規范。

五、  結語

大數據環境下安防系統的安全涉及的責任角色包括廠商、用戶、監管部門等等,安全不是哪一方的事情,需要大家共同努力去解決。“三分技術,七分管理”,不僅在產品技術和方案上需要進行不斷加強,尤其在管理上,需要我們不斷反思不斷進步。只有做到這樣,我們才能從容應對未來的問題和挑戰。

 

                          

更多
聯系電話:0851-85611319、85603233    通信地址:貴陽市南明區蟠桃宮蟠桃大廈20樓1號
技術支持:愛瑞科網絡   ICP備案號:黔ICP備11001522號   站點統計:2444605    今天:1087

貴公網安備 52010202000555號

2019白小姐特马救世报