本文选自《交易技术前沿》总第三十三期文章(2018年12月)
晏强、杨超、王磊 / 光大证券股份有限公司 wanglei8@ebscn.com
信息安全等级保护是我国信息安全保障工作的一项基本制度。国家高度重视信息安全等级保护工作,近年来国家密集发布一系列的信息安全标准体系文件,信息安全等级保护也要跟随着《网络安全法》即将跨入网络安全等级保护2.0时代,证券期货业信息系统是国家要求重点保障的重要信息系统,关系到国家金融安全、社会稳定和广大投资者的权益利益。因此证券期货业更应该促进本行业信息安全建设,增强防护能力,提高业务的运营保障水平。
由于证券期货业有行业内的等保测评标准(JR/T 0060—2010),基本要求虽然是国家标准(GB/T 22239-2008)的细化,但业界还没有一套通用的应用系统网络安全等级保护实践体系,而网络安全等级保护制度体系中,应用和数据安全在测评控制点上占4个技术测评方面比重最大,影响最深,且应用系统的安全测试是系统上线投产前最主要的风险控制手段,可以有效的发现业务安全需求、研发漏洞和系统风险。因此,本文立足于证券期货业的信息系统等级保护,对应用系统的安全实践进行了积极的探索,力求可以构建一个证券业标准化、可推广的应用系统实践体系。
应用系统由于存在弱点和漏洞,面临着各式各样的安全威胁,这是一个不争的事实,现阶段对证券行业来说,梳理出一套实用性强、可操作性广、统一标准化的通用安全需求是证券业信息系统安全的首要任务。
本文不求大而全,对安全需求仅取与信息系统等级保护相关的层面来源做阐述,当然国际上也有一些应用开发安全需求类别框架(如NIST SP 800-53等),并不太适用于国内的行业现状,这里不予讨论。故本文根据信息系统等级保护的基本要求将应用系统的安全挑战和安全需求,归纳概括为以下四个方面:标识鉴别、访问控制、内容安全和监控审计。每个方面的具体实践将在下文详细阐述。
在网络安全等级保护2.0中,应用和数据安全要求通过应用系统、中间件平台系统和数据库管理系统等实现的安全功能来满足。如果应用系统是多层架构的,一般不同层的应用系统都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。
网络安全等级保护2.0中应用和数据安全是旧版信息系统等级保护应用安全和数据安全及备份恢复合并而来,包括身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等10个控制点。其中旧版中的控制点“备份和恢复”中部分内容已经调整到“网络和通信安全”和“设备和计算安全”中相应的控制点中。下表1是信息安全等级保护、网络安全等级保护和证券期货业信息安全等级保护控制点对照表:
表1 信息安全等级保护、网络安全等级保护和证券期货业信息安全等级保护控制点对照表
对比网络安全等级保护(等保2.0)与旧版等级保护可看出:等保2.0应用和数据安全部分由旧版“应用安全”和“数据安全与备份恢复”合并而来;等保2.0新增一个控制点“个人信息保护”;合并旧版应用安全控制点“通信完整性”和数据安全及备份恢复控制点“数据完整性”;合并旧版应用安全控制点“通信完整性”和数据安全及备份恢复控制点“数据保密性”;删除旧版应用安全控制点“抗抵赖”(在四级系统中增加了一个要求项,具体为:在可能涉及及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖)。
对比信息安全等级保护和证券期货业信息安全等级保护可以看出:两者在控制点和要求项上保持一致,但要结合证券期货业的实际情况,对国家等保标准进行明确、细化和调整,使其整体防护水平不低于国家标准。
由于网络安全等级保护(等保2.0)正式版还未发布,所以我们还是按照证券期货业信息安全等级保护标准(JR/T 0060—2010)关于应用安全的测评控制点和要求项来设计整体的应用系统安全实践方案。针对应用系统安全防护领域的常见问题,在流程合理、标准合规的前提下,本文对应用系统安全实践做了三个方面的设计:应用系统安全实践的框架定义、应用系统安全实践的设计方法、应用系统安全实践的全生命周期管理。
3.1 应用系统安全实践通用框架
根据对证券期货业信息安全等级保护测评要求(JR/T 0067-2011)及证券业应用系统的安全的分析,现将应用系统安全通用框架定义如下图1。
图1 基于信息安全等级保护的应用系统安全通用框架
根据证券业应用系统的安全架构,我们对标了证券期货业信息安全等级保护中应用系统的9个要求项,将其整合成标识鉴别、访问控制、内容安全和监控审计这四个模块,共同构成了基于信息安全等级保护的应用系统安全框架。此安全框架完整的继承了等级保护应用系统的所有测评要求点,也将证券业最为关注的web应用防护、邮件内容侦查、防篡改、防泄漏、虚拟化保护这些技术统归为内容安全大类中,利于完整通用框架的后续设计实践。
3.2 应用系统安全实践的设计方法
图2 应用系统安全通用框架的设计方法
证券业的信息系统是一个庞杂的工程,既有静态的门户网站,又有核心的交易及资产账户系统,所以安全设计的第一个要务就是平衡原则,要平衡需求、风险和代价。应该全面梳理应用系统安全需求,正确处理需求、风险与投入代价的关系,做到安全性、可用性、可实施性相匹配,达到技术上可实现、组织上可执行、投入上有保障的设计目标。应用系统安全设计还必须遵循一定可控性规范,以确保各系统安全体系的一致性和风险可控性。同时在标准化和成熟度的基础上,安全体系设计还应具有一定的前瞻性,必须考虑业务安全需求的发展以及安全技术的进步,确保安全体系具备可持续发展能力,能够不断调整和优化安全控制措施,适应新的网络环境,满足新的网络安全需求。
根据我们在3.1中定义的基于信息安全等级保护的应用系统安全通用框架,为保证安全设计符合上述各方面,安全部门需要在立项阶段介入项目和费用评审,提出安全方面的控制目标,并对业务和开发提出非功能需求的设计要求。同时应该根据安全设计规范,《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010),规范开发框架和组件,确保安全设计符合安全需求。下面是具体实践的流程图:
图3 应用系统安全通用框架的具体实践流程
图3的流程中上线前安全测试阶段的依据为本文在3.1中所设计的应用系统安全通用框架,其具体的技术指标要求指标如下(以“标识鉴别”模块为例),通用框架中第一部分为标识鉴别,其中主要包含三个方面:身份标识鉴别、鉴别数据保护、管理安全。
图4 标识鉴别模块具体要求项
身份标识鉴别主要包括:
身份标识:应用系统的管理员和其他操作人员应该具有明确的身份标识。
基本要求项:
身份标识应该具有唯一性,保证系统中不存在重复用户身份标识;
身份标识应不可预测,如递增序列号等;
将身份标识与审计记录关联一致;
应支持角色定义、角色权限管理、用户角色管理等;
授权管理员能够增加、修改、删除账号和角色;
账号异常时(登录过于频繁、长时间未登录等),应该支持后台锁定账号。
基本身份鉴别:应用系统对管理员及普通用户的身份进行鉴别。
基本要求项:
应该采用至少一种方式对管理员本地控制台登录进行身份鉴别;
面对互联网服务的系统,应该采用两种或两种以上组合的方式进行身份鉴别;
若通过用户名/密码鉴别,则密码应有相关的复杂度策略;
若采用USBKey、动态密码令牌等进行身份鉴别,应该有相关PIN保护。
重鉴别:执行重要操作或者敏感信息修改时,需队用户进行重鉴别或结合其他途径进行鉴别。
基本要求项:
涉及账户交易功能、账户重要关联信息(密码、身份证号、关联的手机号、邮箱等)修改时,应该对用户进行再次身份认证;
在密码找回功能中,需要通过账号绑定的手机号发送随机认证的方式再行二次鉴别。
图形验证码:通过电脑自动操作可能会带来危害的页面,需采用验证码措施。
基本要求项:
以下页面必须使用图形验证码:注册页面、登录页面、短信/邮箱认证页面、转账交易页面、限时抢购页面等
图形验证码应该采用一定的干扰措施且不可预测,如字体倾斜、加背景噪点等;
验证码需有服务器端生成并完成验证,不得在前端页面返回;
验证码应该具有一定的有效性,例如:5分钟。
防暴力破解:应用系统应该具备防止密码、验证码等的暴力猜测功能。
基本要求项:
防密码暴力猜测:对采用密码进行鉴别的系统,因防止密码暴力猜测,连续失败登录后锁定账号。账号锁定后可以由系统管理员解锁,也可以在一段时间后自动解锁;
防验证码暴力猜测:若系统具备验证码功能,应具有防止验证码暴力猜测措施。如验证码连续错误一定的次数后,锁定该主机继续猜测或者锁定主机IP地址等。
鉴别数据保护:应用系统应该具备鉴别数据保护功能,具体要求项如下:
鉴别数据加密存储:数据库端对鉴别数据以摘要方式存储,使用Hash+Salt方式;
鉴别数据加密传输:可采用加密的传输通道,或者对密码以摘要方式传输。
管理安全:身份标识及认证的系统配置,包括这些安全策略的生效准则等。除此之外应用系统的整体安全离不开管理部分,主要集中在信息安等级保护中的系统建设管理环节,这里不予详述。
以上应用系统通用框架的要求项完全涵盖了信息系统等级保护的具体条款,每一条都对应了测评要求做了细化的具体要求项。信息安全等级保护中身份鉴别具体条款如下:
表2 信息安全等级保护中身份鉴别具体条款
通过逐条比对,本文在综合了监管要求和证券实践的基础上,将上述提出的通用实践框架和信息系统等级保护测评条款一一比对,形成完整的实践要求:
表3 标识鉴别模块完整实践要求
除了合规要求以外,本文还在应用安全的身份鉴别方面进行了细化,详细列举了涉及账户交易功能、账户重要关联信息的情景时,需要重鉴别要求项,提出了验证码设计、防暴力破解的详细要求项,以保障应用系统身份鉴别的安全性和实用性。
随着外部威胁的不断变化,金融业务的不断扩展,以及等级保护2.0的即将正式启用,本通用框架还额外的扩展有移动APP安全模块(主要针对各APP客户端、客户端数据、通信安全做了详细的要求项),微信应用安全模块(对于微信应用,应严格检查提交请求及接口安全)、大数据系统安全模块(大数据主要关注数据筛选、可扩展性、去隐私化及冗余部署等)和云计算安全模块(符合等级保护2.0云计算部分的加测项),通用框架中这些拓展模块的细化和落实,以及如何在监管要求和金融实践中找到最优解是我们下阶段工作的重点。
3.3 应用系统安全实践的全生命周期管理
在以往的信息系统中,安全人员都在测试和运维阶段才接触应用系统,而且只关注应用安全性的管理方式,这样往往治标不治本,而面对现今的安全威胁,安全人员的参与必须从运维阶段大幅度提前,要参与到需求分析、安全设计、安全开发阶段,安全工作介入应用系统越早,潜伏的安全隐患就越少,对漏洞的修复成本就越低。为解决上述面临的难题,本文提出了应用系统安全实践的全生命周期管理,旨在全面的提升应用系统安全的实践能力。针对图3的应用系统安全实践的具体流程图,本文提出应用系统安全实践全生命周期模型,具体如下:
图5 应用系统安全实践全生命周期模型
本文将应用系统安全实践抽象成四个步骤:需求分析、安全设计、安全开发和安全运维。这里的全生命周期模型不同于微软的SDL(security development lifecycle安全开发生命周期),SDL更加侧重于软件开发过程的管理模式,本文则更偏向于系统,在需求分析阶段安全部门的人员应该和业务部门研发部门一同对软件的安全风险进行评估,建立基本的安全需求;在安全设计阶段安全人员应该和研发人员共同设计安全方案,并进行威胁建模;在安全开发阶段,安全部门应该提供主流变成语言的安全编码规范、安全函数库以及代码审计方案;运维阶段,安全人员应该基于设计阶段的威胁建模进行系统测试、上线测试等,并对定期维护漏洞威胁库,以动态保障信息系统的全生命周期安全。
本文立足于证券业信息安全等级保护的制度要求,对金融业应用系统面临的安全挑战及安全需求做了简要的分析,面对各式各样的安全需求和挑战,本文旨在探索一套通用的应用系统安全建设实践框架,并对框架的定义、设计方法、实践流程做了详细的阐述,最后提出了应用系统安全实践的全周期管理模型,力求构建一套符合信息安全等级保护测评要求的应用安全实践框架。
[1] 公安部信息安全等级保护评估中心《信息安全等级保护政策培训教程》,北京:电子工业出版社,2010年;
[2] 郭启全 等《网络安全法与网络安全等级保护制度培训教程(2018版)》,北京:电子工业出版社,2018年;
[3] 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
[4] 《证券期货业信息系统安全等级保护基本要求》(JR/T 0060—2010)
[5] Tyler W. Thomas, Madiha Tabassum, Madiha Tabassum, Bill Chu,Heather Lipford:Security During Application Development: an Application Security Expert Perspective CHI '18 Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems Paper No. 262; Canada — April 21 - 26, 2018
[6] 《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010);
[7] 安全实践备忘录:应用系统安全通用技术要求,
https://jfsec.org/2017/03/10/appsec-req-std/
[8] 《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012);
本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失,包括但不限于因有关内容不准确、不完整而导致的损失,本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。
-------------------------- 上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务,包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。
点击"阅读全文"了解详情
免责声明
本文内容来源于上交所,版权归原著所有,如有侵权请联系删除。光大证券对这些信息的准确性和完整性不作任何保证,也不保证所包含的信息和建议不会发生任何变更。光大证券仅对公开资料中的内容做原文提取与版式整理,光大证券已力求内容的客观、公正,但文中的观点、结论和建议仅供参考,投资者据此做出的任何投资决策与光大证券和作者无关。
光大证券投教
理性投资,你我同行~