2018年07月18日 星期三
协会动态
优秀安防企业
优秀论文
您当前所在的位置:首页 > 协会动态 > 优秀论文
有安防工作特色的安防系统安全等级保护管理工作机制初探
时间:2018-04-18 [ ] 浏览次数:229 来源: 视力保护色:

有安防工作特色的安防系统安全等级保护管理工作机制初探

                                         

 (贵州警察学院      周继烈)

 

      摘 要:大数据环境下安防系统的安全等级保护建设、管理及制度,是安防系统安全等级保护建设中的几个重点,根据安防系统的特点,研究安防系统信息安全评定及信息安全管理如何落地操作,是一个尚需探索的课题。本文作一些初步的探索,探讨大数据条件下安防系统的信息安全等级保护评定、落地操作及日常管理的问题,本文探讨常态化安防系统信息安全监测机制建设以及等级保护管理制度建立的可能和依据。

      关键词 安防系统  安全等级保护  安全检测机制  风险管理


大数据环境下的安防系统是一个特大型、信息流量大、实时性、综合性非常强的信息采集、传输、管理系统,不仅需要满足涉及区域的治安管理、城市管理、交通管理、应急指挥等需求,而且还要兼顾灾难事故预测预警、安全生产监控等方面对图像监控及所采集到的各种信息的汇集、管理和存储需求,同时还要考虑报警、门禁等配套系统的集成以及与广播等应急系统的联动。大数据环境下安防系统以平安城市的建设为代表,加速了视频信息为主要安防信息的专网的形成,视频专网是实现城市安全和稳定的重要基础,是“平安城市”建设的重要组成部分,更成为“智慧城市”的重要基础载体,它不仅可以满足治安管理、城市管理、交通管理、应急指挥等需求,在预防、发现、控制、打击违法犯罪,提供破案线索,固定违法犯罪证据等方面也发挥人防、物防所不可替代的作用。

随着安防系统采集、传输和汇聚的数据存储量与日俱增,系统集成度也越来越高,网络架构、平台架构、存储、数据库等结构也越来越复杂,其自身的安全问题也接踵而来。因为安防系统本身就是应用于社会安全的系统,包含了比普通信息系统更复杂、更敏感的数据,更容易吸引黑客等不法分子的注意,一次攻击中获得数据越多、数据等级越高,对于黑客来说攻击成本越低、收益率越高。更在于传统安防系统自身安全环境,是依据于GB50348—2004为基础进行建设(与别的信息系统物理隔离,给人的安全感较高,反而降低了安全建设和安全管理,对安全风险的敏感性明显低于普通信息系统),安全体系相比于建立于公共网络上的信息系统更加脆弱,安全防线更加薄弱,在大数据环境下,各种信息系统互联互通,安全问题将更加突出。但是,依据《中华人民共和国网络安全法》,进行安防系统的信息安全等级保护工作尚未在全国范围内全面开展,相关研究几近空白。本文对大数据环境下安防系统的信息安全等级保护工作进行一些探讨,抛砖引玉,以期引起同仁的重视和共鸣。

安防系统的安全不只是安全设备的纯技术性问题,而是一个涉及工程设计、施工、检测、运维等方面系统的、全面的问题,更是一个制度和机制性的问题。安防系统安全问题的解决,不能仅仅依靠安全技术和智能设备的安全策略来解决,需要建立符合大数据环境下安防系统安全等级保护要求的管理制度,应建立常态化的安全风险评估和检测机制,以保障安防系统自身安全。

一、  制定符合安防系统自身特点和实际需求的安全管理制度

大数据环境下,安防系统安全等级保护管理制度应根据需要和可能,因地制宜的按自身实际需求进行制定。安防系统的安全风险评估及信息安全的等级保护评定,过高和过低,都存在操作和安全方面的困难,过高,实施成本导致操作层面的困难;过低,抵御不了起码的安全风险;更有安防系统信息量大,无用信息占绝对的主体,对信息的保存都有时间的要求,过于强调信息备份等没有实际意义。随着《中华人民共和国网络安全法》的落地实施,责任单位和责任人的信息系统安全等级保护意识逐步提升,信息系统安全相关工作开展多年,信息系统安全工作得到了一定层度上的推进及提升,很多信息系统的安全规划、设计、建设及运维,业内已摸索出了多套较为成熟的信息安全等级保护管理机制;但安防系统的信息安全等级保护工作尚在探讨之中,还有许多问题需要进一步研究。

大数据技术的快速发展及安防系统建设近年来发展较为迅猛,安防系统的复杂性和集成度空前提升;加之各建设单位客观上存在历史建设的时间跨度大、系统差异、应用差异、环境差异、管理要求差异等多方面的差异。笔者认为:大数据环境下的安防系统安全等级保护管理制度的建设,不宜过分强调和引用既有信息安全等级保护管理机制,而应根据具体情况,实事求是,规划、建设和整改不同安防系统的信息安全等级体系,以保障安防系统的信息安全。

建设单位应依据自身实际管理要求,对系统建设的实际情况特别是已建安防系统的实际情况,根据安防系统的风险评估等级、规模、安全设施投入、信息采集点的具体位置、是否与另外的信息系统互联等,制定符合自身实际需求信息安全等级保护要求、制定相应的安全管理制度。在制定相关制度和政策时应充分考虑:安全等级保护机构、岗位职责及任职资格要求、人员工作规范、机房及设施安全规范、适当的数据备份制度(包括特定的前端、时间、日志等)、日常应用规范、操作安全管理等。

相关制度的制定、评审、发布、修订过程中,在制度的版本、发布范围、格式等应具备统一标准。管理制度的评审和修订部门、周期应进行明确的规范。

二、  建立常态化安全检查检测机制

依据于GB50348—2004之规定,我国以视频监控为核心的安防系统,传输通常是由安防专网承载。安防专网中,各种重要信息资产前端采集、传输、存储及应用系统安全设计的脆弱性,安防系统的运维工作中,对信息安全的运维也没有形成相应的制度和规范,对安防系统安全的忽视,影响到整个系统的安全,存在重要的潜在风险。应建立相应的风险评估和检测机制,对于了解其系统安全的脆弱性和实际状况,方便后期整改,具有实际操作性的意义。

笔者建议:针对安防系统,设计开发一套视频专网安全评估设备,各种功能和性能以实用为主,便于操作,由各级公安机关技防部门牵头,组建相应的技术力量或委托相关机构进行定期检测,建立基于安防专网和独立网络的安防系统的常态化全方位安全检查和信息安全风险评估机制。通过定期对网络中视频监控设备进行安全检查、检测(如安全漏洞、安全配置问题、应用系统安全漏洞,系统存在的弱口令,收集系统不必要开放的账号、服务、端口等,以及相关制度的落地执行),分析和指出被测系统的薄弱环节,帮助网络管理员充分了解其网络中存在的技术和制度方面存在的安全隐患,并针对检测到的安全隐患提供对应的修补措施和安全建议,方便管理员针对弱点进行点对对加固,将信息系统的隐患消除在弱点被利用之前,提升整网的抗风险能力。

(一)检查安防信息系统安全等级保护基本要求的符合性

常态化安全检查检测机制的工作中应检查安防系统需满足或基本满足《信息安全技术 信息系统安全等级保护基本要求》(三级)(GB/T 22239-2008)中“审核与检查”项。并配合被检部门落地符合工程建设时制定的安全管理制度:

1.安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;

2.应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;

3.应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;

4.应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。

(二)针对安防系统进行常态化安全风险评估

以“风险评估和管理”的方式对被单位安防系统内所有信息资产及网络风险进行全方位评估、管理和分析,通过对系统开放端口服务的识别,配合基于如CVE等标准的漏洞规则库及根据安防系统特点编写的准确漏洞检测规则,发现安全风险点,提高内部网络安全防护性能和系统整体抗击破坏的能力。

针对网络中存在的各个WEB应用系统,通过扫描和远程扫描模式,进行应用层漏洞检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。帮助管理员和系统应用人员充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗击各类WEB应用攻击的能力。

针对各种安防系统中、安防网络中现有已部署运行的数据库系统,包括OracleMSsqlDB2InformixMysqlSybase等,进行本地或远程进行深层次安全检测及准确评估(如不安全配置、弱口令、补丁等),提升各类数据库的抗风险能力,同时可以协助管理员完成数据库建设成效评估,对发生的安全事件,协助进行数据库安全事故的分析调查与追踪。

    总之,针对安防系统的特点,建设基于信息系统安全等级保护的常态化安全检查检测机制,对有效保障安防系统的信息安全,具有重要的实践意义,值得一试。

三、  前移安防系统安全等级保护管理工作介入的节点

对新建安防系统,安防系统安全等级保护管理工作的开展,应适当前移至系统设计及建设阶段。依据《中华人民共和国网络安全法》,在系统建设定级、设计、开发、采购、实施、测试、验收等各阶段介入安全等级保护管理工作。依照相应的安全保护等级,匹配基本安全保障措施,指导设计方案评审。设计评审阶段充分评估安全保护系统的策略、架构、管理、建设方案。

系统建设阶段应要求严格依照信息系统安全的工程控制、安全保障原则开展开发、实施、测试、验收工作。

系统建设所涉及设备供应及服务商的选择应从安全等级保护管理层面可控,网络安全设备、网络传输设备、软件系统、业务系统等关键产品为安全等级保护管理重点。相关产品需通过国家相关认定及销售许可,必要时可组织相关领域专家协助评审,并上报国家相关管理部门报备及审批。

四、  强化安全管理工作人员管理制度建设

安防系统安全等级保护管理工作离不开安全管理工作执行人员,安全管理工作人员是系统安全管理的参与者,同时也是系统安全管理的被管理对象。建议加强安全管理工作人员管理制度方面的建设工作。安全管理工作人员的管理工作可从:招聘、培训、考核、对外接触、离岗等几个维度展开。

依据安全等级保护要求对招聘人员任职资格进行评审,签署对应的安全尽职保密协议,从法律层面保障工作人员的安全性。

完善人员离岗管理手续,人员离岗应回收相关证件、去除对应系统权限,签署保密协议后,才可办理相应离职手续。

安全管理工作人员在日常工作中应定期开展针对管理员、使用者、运行维护人员的安全保护技能培训及意识教育。匹配相关考核管理工具进行尽责管理。针对不同角色建立对应的责任管理机制,责任到人。遵循管理与技术并重、人人参与、用审分离的原则,制定相关管理制度规范。

五、  结语

大数据环境下安防系统的安全涉及的责任角色包括厂商、用户、监管部门等等,安全不是哪一方的事情,需要大家共同努力去解决。“三分技术,七分管理”,不仅在产品技术和方案上需要进行不断加强,尤其在管理上,需要我们不断反思不断进步。只有做到这样,我们才能从容应对未来的问题和挑战。

 

                          

更多
联系电话:0851-85611319、85603233    通信地址:贵阳市南明区蟠桃宫蟠桃大厦20楼1号
技术支持:88必发   黔ICP备10003997号-1   站点统计:2409536    今天:1267

贵公网安备 52010202000555号