（交通运输工程专业论文）陕西省高速公路联网收费网络安全风险评估研究.pdf

摘要 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代政府部门、金融机构、 企事业单位和商业组织对网络信息系统的依赖同益加重，信息和服务的安令性也日益重 要，并受到人们的广泛关注。论文结合陕西省高速公路联网收费系统安全评估课题，对 现有联网收费系统进行安全评估，总结了全省路网系统安全漏洞并提出有效整改措施， 修改完善陕西省省联网高速系统安全管理制度，指导路网系统安全管理工作。 论文从阐述国内外网络安全现状出发，阐述了网络安全的概念、网络安全的主要技 术，提出了安全风险分析方法和安全风险评估方法。针对陕西省省内高速公路联网收费 系统的现状、管理方式和联网收费的网络结构，对其进行了联网收费网络安全风险、网 络安全管理、网络安全脆弱性风险等方面的安全评估与分析，提出并详细论述了存在问 题。结合陕西省高速公路联网收费系统的实际情况，有针对性的提出了联网收费网络的 完善和加固对策，以及近期目标和长远的规划。 陕西省高速公路联网收费系统的安全评估研究课题来自于实践，成果也应用于实际 的管理之中。针对存在问题所提出的一系列方案对加强系统的安全管理将起到较大的帮 助，并收到良好的效果。 关键词：高速公路，联网收费，网络安全，风险评估 a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g yb yt h es y m b o lo fc o m p u t e ra n d n e t w o r kc o m m u n i c a t i o n ，t h ed e p e n d e n tb ym o d e mg o v e r n m e n td e p a r t m e n t s ，f i n a n c i a l i n s t i t u t i o n s ，e n t e r p r i s e sa n di n s t i t u t i o n so nt h en e t w o r ki n f o r m a t i o ns y s t e mb e c o m e sm o r e s e r i o u s t h es e c u r i t i e so fi n f o r m a t i o na n ds e r v i c ea r ei n c r e a s i n g l yi m p o r t a n ta n dp e o p l ep a y m o r ea n dm o r ea t t e n t i o nt oi t c o m b i n e dt h es u b j e c to fs e c u r i t ya s s e s s m e n to fe x p r e s s w a y n e t w o r k e dt o l lc o l l e c t i o ns y s t e mi ns h a a n x ip r o v i n c e ，t h et h e s i sa s s e s s e st h es e c u r i t yo f e x i s t i n gn e t w o r k e dt o l lc o l l e c t i o ns y s t e m ，c o u n t st h el o o p h o l e so ft r a f f i cn e t w o r ki ns h a a n x i p r o v i n c ea n dp r o p o s e st h ee f f e c t i v er e c t i f i c a t i o na n di m p r o v e m e n tm e a s u r e s ，m o d if i e sa n d p e r f e c t st h es e c u r e l ys y s t e mo fe x p r e s s w a yn e t w o r k e dt o l lc o l l e c t i o ni n s h a a n x ip r o v i n c e ， g u i d e st h em a n a g e m e n to ft h es e c u r i t yo ft r a f f i cn e t w o r k s t a r t i n g w i t ha n a l y z i n gt h ed o m e s t i ca n di n t e r n a t i o n a lc u r r e n ts i t u a t i o no fn e t w o r k s e c u r i t y ，t h et h e s i sp u tf o r w a r dt h ec o n c e p ta n dt h em a i nt e c h n o l o g yo fn e t w o r ks e c u r i t y ，a l s o t h ea n a l y z i n ga n da s s e s s m e n tm e t h o do fs e c u r i t yr i s k a c c o r d i n gt ot h ec u r r e n ts i t u a t i o na n d n e t w o r ks t r u c t u r eo fe x p r e s s w a yn e t w o r k e dt o l lc o l l e c t i o ns y s t e m ，a n dt h em a n a g e m e n tm o d e i ns h a a n x ip r o v i n c e ，t h et h e s i sm a d es e c u r i t ya s s e s s m e n ta n da n a l y s i si ns u c ha s p e c t sa s n e t w o r ks e c u r i t yr i s ko fn e t w o r k e dt o l lc o l l e c t i o n ，t h en e t w o r ks e c u r i t ym a n a g e m e n t ，a n d f r a g i l i t yr i s ko fn e t w o r ks e c u r i t ya n ds oo n t h et h e s i sa l s op u tf o r w a r da n dd e s c r i b e de x i s t i n g p r o b l e m si nd e t a i l a c c o r d i n gt ot h ea c t u a lc o n d i t i o n so fe x p r e s s w a yn e t w o r k e d t o l lc o l l e c t i o n s y s t e mi ns h a a n x ip r o v i n c e ，t h et h e s i sp u tf o r w a r dt h ep e r f e c t i o na n dr e i n f o r c e m e n tc o u n t e r m e a s u r ef o rn e t w o r k e dt o l lc o l l e c t i o n a tl a s t ，t h et h e s i sg a v et h en e a rf u t u r eo b j e c t i v ea n d l o n g t e r mp l a n t h er e s e a r c ho ns e c u r i t ya s s e s s m e n to fe x p r e s s w a yn e t w o r k e dt o l lc o l l e c t i o ns y s t e mi n s h a a n x ip r o v i n c ec o m e sf r o mp r a c t i c e ，a n dt h ea c h i e v e m e n ti sa p p l i e dt or e a lm a n a g e m e n t a s e r i e so fp l a n s ，w h i c ha r ep u tf o r w a r da c c o r d i n gt oe x i s t i n gp r o b l e m s ，w i l lp r o v i d eg r e a th e l p t os t r e n g t h e n i n gt h es y s t e ms e c u r i t ym a n a g e m e n t ，a n dc o n d u c et og o o dr e s u l t k e yw o r d s ：e x p r e s s w a y ；n e t w o r k e dt o l lc o l l e c t i o n ；n e t w o r ks e c u r i t y ；r i s ka s s e s s m e n t 论文独创性：声明 本人声l ! j j ：本人所鬯交的学位论文足在导师的指导f ，独。矿进f j ： 研究1 ：作所取得的成果。除论文ii 已经注明- jl 川的内容外，对论文 的研究做 j j 币婴贞献的个人羽l 集体均l 在文l ，以l jf i i j 办式标明。 木论文r 1 14 ：包含任何末j j i i 明确 书明的j e 他个人或集体已经公开发表 的成果。 本声明的法律责任山本人承舭! 。 论文作者签纪： 砣聿 咽年r 月移l i 论文知识产权权属声明 本人在导师指导f 所完成的论文及相关的职务作一u i ，知识产权 ! j ! = | 属学校。学校享有以彳- e 何方式发表、复制、公丌阅览、f 持阅以及 i | i 请专利等权利。本人离佼厅i 发发或使川0 乏f 童沦义或与陔沦丈l f 接 籼火的学术论文或成果时，料识单位仍然为k 攻人。t 。 f 仍：密的论文在解密后一遵) ：此胤定) 沦文作者签私： ! 】! ：帅答私： d 8f fj jj 学i 砂：，jj 歹寥 长安人学硕i 学位论文 1 1 研究背景 第一章绪论 人类社会已进入信息社会，信息网络化对全球政治、经济、军事、科技、文化、社 会等各个方面都产生了前所未有的影响。 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代政府部门、金融机构、 企事业单位和商业组织对系统的依赖也r 益加重，信息技术几乎渗透到了世晃各地和社 会生活的方方面面。既然组织机构的正常运行高度依赖系统，系统所承载的信息和服务 的安全性就显得很重要了，信息和服务在保密性、完整性、可用性、可追溯性等方面出 现缺陷，都将给组织机构带来负面影响。如今，遍布全球的互联网使得组织机构不仅内 在依赖系统，还不可避免地与外部的系统建立了错综复杂的联系，对信息加以保护的需 求就尤其突出了。 目前，陕西省联网高速公路总里程2 0 6 4 公罩，共分1 8 个路段分中心，1 2 0 个收费 站f 1 1 ，由省高速集团、省交通集团、金秀公司、西铜公司、华通公司五家管理单位分别 管理；联网机电系统共分通信、监控、收费三大系统，通信系统提供数据、图像传输的 主干网络，监控系统提供路段监控图像及车辆检测器数据，收费系统提供f 常通行费数 据拆分，通行费资金划拨业务；收费网络为四级星形网络，分别为省中, 0 - 路段分中心 ( 管理所) 一收费站一车道，与互联网等外部网络物理隔离，具有网络结构简单、重复 性高的特点；分中心至省中心采用三层交换机互联，收费站至分中心采用二层交换机互 联；收费数据从车道分两路上传，一路上传至收费站进行每日拆分，再由收费站上传至 分中心，另一路直接从收费站上传至中心服务器进行拆分，两路数据再进行核对确认， 无误后进行通行费资金划拨；同常所有业务均采用网页操作，各种报表数据均从数据库 原始表中提取；各路段网络未设黄访问控制，仅通过v l a n 简单划分f 2 】。 全省路网配备了k i l l 防病毒系统网络版，通过省中心防病毒服务器统一定期升级。 通过网络基础建设和初级网络安全建设后，系统已经达到了能基本稳定运行的状态，但 是随着系统对网络的依赖程度越来越高和应用的同益复杂和重要。原有的系统安全等级 和状况已经不能满足要求，如何进行下一步建设成为当前首要问题。 跃安人学硕上学位论文 1 2 研究目标及意义 论文研究的目标是在陕西省高速联网系统实施安全评估服务，通过联网系统安全评 估，统计全省路网系统安全漏洞并提出有效整改措施；修改完善全省联网高速系统安全 管理制度，用于指导路网系统安全管理工作；拟定全省路网系统未来一段时间内的安全 管理规划，力争使全省路网系统安全管理水平尽快达到较高程度。安全管理控制将辅助 陕西省高速联网系统满足眼前和长期的安全性需求，并保护企业的信息资产。 1 。3 国内外网络安全风险评估研究现状 1 3 1 国外发展历程及现状 美国是国际上对信息安全和风险评估研究历史最长和工作最丰富的国家。随着信息 化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全概念的发展变化，他们 对信息安全和风险评估的认识也逐步加深。从最初关注计算机保密发展到目前关注信息 系统基础设施的信息保障，大体经历了以下三个阶段。 第一阶段( 6 0 - - - 7 0 年代) 以计算机为对象的信息保密阶段。1 9 6 7 年美国国防部委托 兰德公司、迈特公司开始研究计算机安全问题，当时主要对大型机、远程终端进行了研 究。其重点针对了计算机系统的保密性问题，对安全的评估只限于保密性。 第二阶段( 8 0 - - 9 0 年代) 以计算机和网络为对象的信息安全保护阶段。此阶段出现了 初期的针对美国军方的计算机黑客行为。在此期间逐步认识到了更多的信息安全属性 ( 保密性、完整性、可用性) ，从关注操作系统安全发展到关注操作系统、网络和数据库， 试图通过对安全产品的质量保证和安全测评来保障系统安全，但实际上仅仅奠定了安全 产品测评认证的基础和工作程序。 第三阶段( 9 0 年代末，2 1 世纪初) 以信息系统关键基础设施为对象的信息保障阶段。 计算机网络成为关键基础设施的核心。各个行业也逐步提出了本行业的信息安全战略， 风险评估思想在其中得到了重要的贯彻。 国外关于安全风险评估的研究已有二十多年的历史，美国、加拿大等i t 发达国家 于上世纪7 0 年代和8 0 年代建立了国家认证机构和风险评估认证体系，负责研究开发相 关的评估标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证， 目前这些国家与风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当 成熟l l9 1 。从已经建立了信息安全评估认证体系的有关国家来看，风险评估及认证机构都 2 长安人学硕l ：学位论文 是山国家的安全、情报、国家标准化等政府主管部门授权建立，以保证评估结果的可信 性和认证的权威性、公j 下性。 目前，美国已经建立了国家风险评估认证体系，负责研究并开发相关的评估标准、 评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证，其最新的发展 计划是f i s m a 计划1 1 3 】。 1 3 2 国内现状 我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早 期的信息安全工作中心是信息保密，通过保密检查来发现问题，改进提高。2 0 世纪8 0 年代后，提出了计算机安全问题，开展了计算机安全检查工作。但由于缺乏风险意识， 通常寻求绝对安全的措施。2 0 世纪9 0 年代后，我国提出了计算机信息系统实行安全等 级保护的要求，至2 0 世纪9 0 年代后期，以冠群金辰、天融信、启明星辰、绿盟科技、 安氏、亿阳信通等为代表的国内专业信息安全公司在1 9 9 9 年才学习、借鉴国外的网络 安全风险评估理论和方法，并先在电信、金融等大型企业实施。其后，提出了一系列的 相关技术标准和管理规范。信息安全的风险意识开始建立，并逐步加强。目前主要工作 集中于组织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段。 自2 0 0 3 年我国的信息安全风险评估工作启动以来，历经了调研、标准编写和试点 工作三个阶段。2 0 0 3 年7 月，国信办组织的课题组先后对四个地区( 北京、广州、深圳 和上海) 十几个行业的5 0 多家单位进行了深入细致的调查与研究，向国信办提交了信 息安全风险评估调查报告和信息安全风险评估研究报告，并作为传阅文件提交到 2 0 0 4 年1 月9 日在北京召开的全国信息安全保障工作会议上，供与会代表参阅。2 0 0 4 年，课题组组织有关单位编制了国家标准信息安全风险评估指南( 草案) 。2 0 0 5 年年初，国信办组织了北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、 国家电力、国家电子政务外网8 个试点单位，开展了基于标准的风险评估试点工作。2 0 0 5 年9 月8 日在上海召开的总结大会中，国信办曲维枝副主任对试点工作给予了肯定，要 求将试点工作的成果进行全面推广，并对下一步工作提出要求。会议确定在总结好试点 工作的基础上，2 0 0 6 年在全国范围推行信息安全风险评估工作，2 0 0 8 年后要在国家基 础信息网络和重要信息系统实现信息安全风险评估管理制度【3 1 。 3 长安人学硕l j 学位论文 1 4 论文研究的主要内容及章节安排 论文研究范围为陕西省联网系统全省范围内的网络、主机、应用系统( 数据库等) 、 等各种信息资源。具体包含的内容有：网络安全评估、操作系统安全评估、数据库安全 评估、网络架构审计、安全管理和策略等。 第一章为绪论。说明论文研究背景、目标及意义，分析国内外网络安全风险品评估 研究现状，安排论文章节内容。 第二章为网络安全评估方法和安全风险分析方法。介绍网络安全的基础概念、技术 与评估方法，以及网络安全的标准定义，并且对其特点进行详细的阐述。提出网络安全 评估标准和评估的流程，介绍常见的四种网络安全技术。最后讨论网络安全的三类评估 方法和安全风险的两种分析方法。 第三章分析陕西省高速公路联网收费网络现状。对联网收费系统的基本概况、机构 设置、管理现状和网络架构等进行详细介绍。 第四章分析研究陕西省高速公路联网收费系统网络安全评估。从物理安全、网络架 构、操作系统安全、数据库安全、安全管理、脆弱性风险评估等方面进行全面的评估与 分析。 第五章加固与对策。针对第四章分析的安全状况提出有针对性的加固与对策，包括 加固的详细内容和近期、远期对策。 第六章为总结与展望。对全文进行总结，对下一步的研究进行展望。 4 k 安人学硕l ：学位论义 第二章网络安全风险评估与分析方法 2 1 网络安全基本概念 2 1 1 网络安全概念 网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破 坏篡改和泄露，保证网络系统的正常运行、网络服务不中断f 4 】。 从广义上说，网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信 线路、通信设备( 交换机、路由器等) 、主机等，要实现信息快速、安全地交换，一个可 靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件， 以及在网络中存储和传输的用户信息数据等。信息资源的保密性、完整性、可用性、真 实性等是网络安全研究的重要课题【5 1 。 国际标准化组织i s o 对计算机系统安全的定义是：为数据处理系统建立和采用的技 术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露【5 1 。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施， 使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络 安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄 露等。 l 、保密性 保密性是指信息不泄漏给非授权的用户、实体或过程，或供其利用的特性。数据保 密性就是保证具有授权用户可以访问数据，而限制其他人对数据的访问。数据保密性分 为网络传输保密性和数据存储保密性。 2 、完整性 完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不 被修改、不被破坏和丢失的特性。数据的完整性的目的就是保证计算机系统上的数据和 信息处于一种完整和未受损害的状态，这就是说，数据不会因有意或无意的事件而被改 变或丢失。数据完整性的丧失直接影响到数据的可用性。 3 、可用性 可用性是指被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需 的信息。 长安人学硕 ：学位论文 4 、可控性 可控性是指对信息的传播及内容具有控制能力1 6 1 。 2 1 3 网络安全评估标准 本论文评估研究工作中所依据的相关国内外标准和行业规范有： 1 )i s 0 1 7 7 9 9 i s 0 2 7 0 0 l 2 ) i s 0 1 3 3 3 5 3 )i s 0 1 5 4 0 8 g b l 8 3 3 6 4 ) s s e c 删 5 ) 计算机信息系统安全等级划分准则 本论文评估研究工作除了依据相关的国内和国际标准之外，参考的一些没有成为国 际和国内标准，但事实上已经成为行业标准的一些规范和约定有： 1 ) c v e 公共漏洞和暴露 2 ) p m i 研究管理方法学 3 ) n i s t 指南系列文档 4 ) o c t a v e 风险评估方法 2 1 4 网络安全评估流程 各种评估方式获得不同层次、不同方面的信息，因此，有必要认真规划各种方式的 执行顺序，以求在最短时间内，在影响最小的情况下，获得最多的与安全风险相关的信 息。安全评估流程图如图2 1 所示。 6 k 安人学硕1 二学位论文 2 2 网络安全主要技术 图2 i安全评估流程图 网络安全技术主要包括防火墙技术、加密技术、专用网技术和隔离技术。 7 长安人学硕 j 学位论义 2 2 1 防火墙技术 防火墙技术足一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过 外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设 备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检 查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主 要有堡垒主机、包过滤路由器、应用层网关( 代理服务器) 以及电路层网关、屏蔽主机防 火墙、双宿主机等类型。根据防火墙所采用的技术不同，我们可以将它分为：包过滤型、 网络地址转换n a t 、代理型和状态监测型四种基本类型m 。 2 2 2 加密技术 信息交换加密技术分为对称加密和非对称加密两类。 1 对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一 把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的 加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保 证。对称加密技术也存在一些不足，如果交换一方有n 个交换对象，那么他就要维护n 个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信 息都是通过这把密钥加密后传送给对方的。 2 非对称加密技术 在非对称加密体系中，密钥被分解为一对( 即公开密钥和私有密钥) 。这对密钥中 任何一把都可以作为公开密钥( 加密密钥) 通过非保密方式向他人公开，而另一把作为 私有密钥( 解密密钥) 加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只 能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。 非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身 份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些己知的数学难题 之上，是计算机复杂性理论发展的必然结果。最具有代表性是r s a 公钥密码体制降1 。 2 2 3 专用网技术 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，v p n ) 是近年来随着i n t e r n e t 的发展而迅速发展 起来的一种技术。现代企业越来越多地利用i n t e m e t 资源来进行促销、销售、售后服务， 长安人学形! i ? 学位论义 乃至培训、合作等活动。许多企业趋向于利用i n t e m e t 来替代它们私有数据网络。这种 利用i n t e m e t 来传输私有信息而形成的逻辑网络就称为虚拟专用网。 虚拟专用网实际上就是将i n t e m e t 看作一种公有数据网，这种公有网和p s t n 网在 数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地， 企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网1 9 1 。 目前v p n 主要采用四项技术来保证安全，这四项技术分别是隧道技术( t u n n e l i n g ) 、 加解密技术( e n c r y p t i o n & d e c r y p t i o n ) 、密钥管理技术( k e ym a n a g e m e n t ) 、使用者与 设备身份认证技术( a u t h e n t i c a t i o n ) 。 1 隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧 道传递的数据( 或负载) 可以是不同协议的数据帧或包。隧道协议将这些其它协议的数 据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数 据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进 行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到 达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传 输和解包在内的全过程。 2 力口解密技术 对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读 取该信息。加解密技术是数据通信中一项较成熟的技术，v p n 可直接利用现有技术。 3 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行 密钥管理技术又分为s k i p 与i s a k m p o a k l e y 两种。s k i p 主要是利用d i f f i e h e l l m a n 的演算法则，在网络上传输密钥；在i s a k m p 中，双方都有两把密钥，分别用于公用、 私用。 4 使用者与设备身份认证技术 v p n 方案必须能够验证用户身份并严格控制只有授权用户才能访问v p n 。另外， 方案还必须能够提供审计和记费功能，显示被访问信息的类型、访问时间及访问者。身 份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 v p n 整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作站，直 到i s p 的w e b 服务器。用户类型、传输方法，以及由v p n 使用的服务的混合性，增加 k 安人学硕i ：学位论文 了v p n 设计的复杂性，同时也增加了网络安全的复杂性。如果能有效地采用v p n 技术， 是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的v p n 解决方案可以有效地防范网络黑客的恶意攻击。 2 2 4 隔离技术 网络的安全威胁和j x l 险主要存在于三个方面：物理层、协议层和应用层。网络线路 被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、t e a r d r o p 碎 片攻击、s y n f i o o d 等则属于协议层的威胁；非法u r l 提交、网页恶意代码、邮件病毒 等均属于应用层的攻击。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击 较多，而基于应用层的攻击最多，并且复杂多样，难以防范。 面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念一 一“安全隔离技术”应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外， 并保证可信网络内部信息不外泄的前提下，完成网问信息的安全交换。隔离概念的出现， 是为了保护高安全度网络环境，隔离产品发展至今共经历了五代。 1 。第一代隔离技术，完全的隔离 采用完全独立的设备、存储和线路来访问不同的网络，做到了完全的物理隔离，但 需要多套网络和系统，建设和维护成本较高。 2 第二代隔离技术，硬件卡隔离 通过硬件卡控制独立存储和分时共享设备与线路柬实现对不同网络的访问，它仍然 存在使用不便、可用性差等问题，有的设计上还存在较大的安全隐患。 3 第三代隔离技术，数据转播隔离 利用转播系统分时复制文件的途径来实现隔离，切换时问较长，甚至需要手工完成， 不仅大大降低了访问速度，更不支持常见的网络应用，只能完成特定的基于文件的数据 交换。 4 第四代隔离技术，空气开关隔离 该技术是通过使用单刀双掷开关，通过内外部网络分时访问临时缓存器来完成数据 交换的，但存在支持网络应用少、传输速度慢和硬件故障率高等问题，往往成为网络的 瓶颈。 5 第五代隔离技术，安全通道隔离 此技术通过专用通信硬件和专有交换协议等安全机制，来实现网络间的隔离和数据 l o 长安人学硕l ? 学位论文 交换，不仅解决了以往隔离技术存在的问题，并且在网络隔离的同时实现高效的内外网 数据的安全交换，它透明地支持多种网络应用，成为当前隔离技术的发展方向f i o 】。 2 3 安全风险评估方法 2 3 1 资产清查与赋值方法 资产是具有价值而需要保护的东西。它以多种形式存在：无形的、有形的，硬件、 软件，文档，代码，服务、企业形象等。它们分别具有不同的价值属性和存在不同的特 点。资产面临的威胁，威胁能够利用的脆弱性、需要保护措施和安全控制机制都各不相 同。 1 资产属性 总体来说，资产与安全相关的属性包括：机密性、完整性和可用性。机密性、完整 性和可用性的定义如下：保密性：确保只有经过授权的人才能访问信息；完整性：保护 信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信 息并使用相关信息资产。 通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。根据资 产机密性属性的不同，将它分为5 个不同的等级，分别对应资产在机密性方面的价值或 者在机密性方面受到损失时对整个评估体的影响。赋值标准参照表2 1 ： 表2 1 保密性分类表 保密性( c o n f i d e n t i a l y ) 赋值分类详细说明 1 公开信息非敏感的信息，公用的信息处理设施和系统资源 2 内部使用非敏感但仅限公司内部使用的信息( 非公开) 3 限定使用受控的信息，需有业务需求方得以授权使用 4 秘密敏感的信息，信息处理设施和系统资源只给必知者 5极机密 敏感信息，信息处理设施和系统资源仅适用少数必知者 根据资产完整性属性的不同，将它分为5 个不同的等级，分别对应资产在完整性方 面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照表2 2 ： k 安人学硕i ：学位论义 表2 2 完整性分类表 完整性( i n t e g r y ) 赋值分类详细说明 未授权的破坏或修改不会对信息系统造成重大影响且或 l 非常低 对业务冲击呵忽略 未授权的破坏或修改不会对信息系统造成重大影响且或 2 低 对业务冲击轻微 未授权的破坏或修改己对信息系统造成影响且或对业务 3 中等 有明显冲击 未授权的破坏或修改对信息系统有重大影响且或对业务 4 局 冲击严重 未授权的破坏或修改对信息系统有重大影响且或可能导 5 非常高 致严重的业务中断 根据资产可用性属性的不同，将它分为5 个不同的等级，分别对应资产在可用性方 面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照表2 3 t “】： 表2 3 可用性分类表 可用性( a v a i l a b i l y ) 赋值 分类详细说明 合法使用者对信息系统及资源的存取可用度在正常上班 1 非常低 时间至少达到2 5 以上 合法使用者对信息系统及资源的存取可用度在正常上班 2 低 时f r j 至少达到5 0 以上 合法使用者对信息系统及资源的存取可用度在正常上班 3 中等 时间至少达到1 0 0 以上 合法使用者对信息系统及资源的存取可用度达到每天9 5 4 同 以上 合法使用者对信息系统及资源的存取可用度达到每天 5 非常高 9 9 9 以上 2 资产识别与赋值子流程 1 2 k 安人学硕i ：学位论义 资产识别与赋值子流程如图2 2 所示。 图2 2 资产识别与赋值子流程 2 3 2 设备评估扫描 本论文研究扫描使用的是承影漏洞扫描器，该扫描器是国际领先产品与国内二次开 发相结合的优秀成果，用来实施基于网络的漏洞扫描。 1 扫描策略 不使用d o s 策略，对系统特殊要求( 如h a 的a i x 系统等) 先进行调研，再配置 策略。 2 漏洞扫描子流程 漏洞扫描子流程如图2 3 所示。 k 奠人学顾i 。学位论文 2 3 3 人工评估 图2 3 漏洞扫描子流程图 依据专家经验，定制人工评估c h e c k l i s t ，对系统进行逐项检查。对系统的人工 评估内容包括【1 2 】： 1 ) 系统安全补丁是否最新： 2 ) 对于远程登录的管理，包括登录方式和登录用户； 3 ) 系统丌放的服务，是否存在不必要服务； 4 ) 系统允许的网络连接，是否启用信任主机方式，是否对网络连接设置访问控制： 5 ) 系统中用户管理与口令策略； 1 4 长安人学硕i j 学位论文 6 ) 系统文件管理，是甭以安全模式加载文件系统，文件系统的访问权限设置是否 安全； 7 ) 系统审计设置，是否使尝试登录失败记录有效，是否配置成不接受其他机器发 送的同志信息等； 8 ) 系统抗攻击能力，是否做t c p 序列号预测攻击防护，是否限定系统禁止堆栈缓 存溢出，是否对t c p i p 网络参数进行安全配置； 9 ) 对登录用户是否设置超时退出参数； 1 0 ) 是否修改系统的b a n n e r 信息，防止系统泄漏信息等。 1 数据库的人工评估包括： 1 ) 检查系统及数据库版本 2 ) 检查数据库补丁 3 ) 检查数据库配置信息 4 ) 检查安全的密码策略 5 ) 检查账号策略 6 ) 检查数据库配置文件权限 7 ) 检查权限 8 ) 检查数据库调试和丌发环境是否分开 9 ) 认证 1 0 ) 审计 1 1 )检查是否建立良好的日志管理策略 1 2 ) 检查备份策略等等。 2 范围 分为包括应用系统、服务器、数据库系统、路由器、交换机、防火墙。鉴于研究进 度控制，将根据抽样原则，建议对应用系统、服务器、数据库系统以及核心网络设备( 路 由器、交换机和防火墙) 进行人工评估。考虑到p c 机及工作站仅为工作用机，资产价 值可能远低于服务器的价值。因此本次方案建议中，对此部分暂不考虑进行人工评估。 具体评估数量视用户需求而定。 3 抽样原则 1 ) 各系统被评估的网络设备和主机系统的数量与该系统总数量成j 下比； 2 ) 选择业务特点具有代表性的主机和网络设备进行评估，例如h a 的主机只评估 1 5 k 安人学顺i j 学位论文 其中一台； 3 ) 数据库选择具有代表性的进行评估，选择时考虑具体数据库系统，版本，以及 应用特点等。 4 人工评估子流程 人工评估子流程如图2 4 所示。 豆困 2 4 安全风险分析方法 2 4 1 脆弱性风险分析方法 图2 4 人t 评估子流程图 1 脆弱性风险计算方法 脆弱性和资产紧密相连，它可能被威胁利用，引起资产损失或伤害。脆弱性本身不 会造成损失，它只是一种条件或环境，可能导致被威胁利用而造成资产损失。脆弱性的 出现有各种原因，例如可能是软件丌发过程中的质量问题，也可能是系统管理员配置不 当，或者是管理方面存在隐患。但是，它们的共同特性就是给攻击者提供了机会。 1 k 安人学硕卜擎位论文 脆弱性的获取可以有多种方式，例如，工具扫描( s c a n n i n g ) 、渗透测试( p e n e t r a t i o n t e s t i n g ) 、文档审核以及顾问访谈等。安全顾问可以根据具体的评估对象、评估目的选 择具体的脆弱性获取方式。落实在本研究中，将采取工具扫描、人工评估、文档分析相 结合的方法来获取资产存在脆弱性列表，并根据专家经验进行赋值。 按照脆弱性存在会造成破坏后果的严重性，对脆弱性赋值如下。资产存在的脆弱性 分为5 个等级，分别是很高( v h ) 、高( h ) 、中等( m ) 、低( l ) 、可忽略( n ) ，并且 从高到低分别赋值4 0 。参照表2 4 。 表2 4 脆弱性分类表 随 简称说明 4 v h 该脆弱性可以造成资产全部损失 3h 该脆弱性可以造成资产重大损失 2m 该脆弱性可以造成资产损失 ll 该脆弱性可以造成较小资产损失 on 该脆弱性可能造成资产损失可以忽略 通过一系列流程和方法，我们可以获得用户信息资产所面临的威胁和存在的漏洞。 对于资产价值、相关威胁和脆弱性进行分析，可以得到用户目前的风险状况。 风险也具有两个基本属性：可能性( l i k e l i h o o d ) 和影响( i m p a c t ) 。风险的可能性 是指威胁利用脆弱性造成资产损失的可能性。因此，风险的可能性在取值上等于威胁的 可能性；风险的影响与资产的价值以及威胁利用的脆弱性的严重性相关，因此，风险的 影响的取值等于资产价值脆弱性的严重性。 风险最终取值是风险的可能性和风险的影响的乘积【1 3 1 ，即： 肛l 险值= 风险可能l 生风险的影响 = 威胁可能性资产价值脆弱性严重性 2 风险矩阵 风险分析矩阵说明不同数值的风险，应采取的处置方式如表2 5 所示【1 4 1 。 1 7 长安人学硕i j 学位论文 表2 5 风险分类表 含义建议处置、措施备注 极度风险要求立即采取措施：避免? 转移? 减小? 需要具体资产信息 需要高级管理部fj 的注意：避免? 转移? 减 高风险 需要具体资产信息 小? 必须规定管理责任：避免? 接受? 转移? 减 中风险需要具体资产信息 小? 低风险用日常稗序处理：避免? 接受? 转移? 减小?需要具体资产信息 2 4 1 业务应用分析方法 陕西省高速公路联网收费系统拥有多个业务系统，各业务系统在功能上差异较大， 安全需求不同；而不同的业务相互之间又可能存在相互影响和相互依赖的关系，在考虑 其安全体系的时候，深入地进行安全分析是必要的。 业务流程安全评估主要评估以下几个方面的内容： 1 业务系统架构与流程 业务系统采用的具体的流程将直接影响到系统的安全性。是否采用的是 c l i e n t s e r v e r 结构，还是n t i e r 结构，在体系架构确立的情况下是否考虑了安全性；业 务流程和现有的网络拓扑结构之间的关系是否吻合，网络拓扑结构的建设是否适应了业 务流程的需要；业务流程在现有网络拓扑结构情况下，是否会产生相应的安全问题。 2 数据传输路径 一个完整的业务系统，其每个数据流必然有一个起始点发出，经过一定的路径，访 问某些数据，返回到起始点，或者存储在某一点，或者提交给某些其它点，在这个完整 的数据流路径中，需要考虑多个设备和服务的安全性。数据流路径本身的可用性和可靠 性是非常重要的，也需要考虑数据流路径中可能牵扯到的相关系统的安全。评估将发现 在数据流路径中是否有不该经过的路径，或者与安全策略产生违背的情况。 3 数据存储方式 数据对于陕西省高速公路联网收费系统来说是重要的资产。评估考察系统如何对其 进行存储，是采用的d a t a b a s e ，f i l e 还是l d a p 的方式，所采用的存储方式和业务本 身的要求是否符合? 数据备份策略如何，备份的时间，备份的方式，是否考虑异地备份， 是否定期完成全备份。 k 安人学烦 j 学位论文 4 业务相关性 信息系统是一个复杂的系统，而各个子系统之间有着多方面的联系，既相互影响， 又相互依赖。这种复杂的关系中，必然导致存在许多的相互影响的安全特性。针对这些 安全特性的分析，有助于对系统的整体安全性的现状有一个完整的分析。评估考察信息 系统各个子业务之阳j 是否存在各种信任关系( 包括系统必须的或业务要求的) ，这些信 任关系是否带来安全问题。 5 业务软件的安全设计评估 任何一套软件都可能存在安全隐患，这也是被大家广为接受的概念。而针对信息系统而 言，是否拥有一套良好的策略和手段针对业务软件本身的安全设计进行有效的评估，并 有能力获得准确的结果。 6 业务系统管理 新的业务系统软件版本的发布的具体流程；新的业务发布的时候，按照什么样的流 程进行分发，是否对现有安全策略产生影响或者违背；业务系统出现异常情况，按照一 个什么样的流程处理，是否拥有一套良好的紧急响应机制，是否有相应的人员负责，相 应人员是否具备相关的技术和权利。 7 对业务系统的安全审计 针对所有可能对系统产生影响的安全事件或者威胁，是否拥有一套良好的安全审计 系统在进行工作，是否拥有集中管理的安全审计系统，是否安全审计系统的工作状态还 是良好的，是否恰当使用了安全审计系统的功能。 2 5 本章小结 本章系统的讲述了网络安全的基础概念、主要技术和风险评估的方法以及安全风险 分析方法。 1 9 长安人学硕l ：学位论文 第三章陕西省高速公路联网收费网络现状 3 1 陕西省高速公路联网收费系统现状 3 1 1 陕西省高速公路路网结构 陕西省行政区划分为1 0 个地市，1 0 7 个县( 市、区) ，根据自然地理位置分为陕北、 关中和陕南三大区域。 到2 0 0 7 年底，高速公路2 0 6 4 公里，高速公路路网规划为“三纵四横五辐射”。其 中国家高速公路网有：北京昆明线陕晋界( 禹门口) 陕川界( 棋盘关) 、包头茂 名线陕蒙界( 蟒盖兔河) 陕川界( 白扬溪) 、青