分级保护项目方案设计

分级保护项目方案设计 第三章 安全保密风险分析 3 1 脆弱性分析 脆弱性是指资 产或资产组中能被威胁所利用的弱点它包括物理环境 组 织机构 业务流程 人员 管理 硬件 软件及通讯设施 等各个方面 脆弱性是资产本身存在的如果没有被相应的 威胁利用单纯的脆弱性本身不会对资产造成损害而且如果 系统足够强健严重的威胁也不会导致安全事件发生并造成 损失 威胁总是要利用资产的脆弱性才可能造成危害 资 产的脆弱性具有隐蔽性有些脆弱性只有在一定条件和环境 下才能显现这是脆弱性识别中最为困难的部分 不正确的 起不到任何作用的或没有正确实施的安全措施本身就可能 是一个弱点脆弱性是风险产生的内在原因各种安全薄弱环 节 安全弱点自身并不会造成什么危害它们只有在被各种 安全威胁利用后才可能造成相应的危害 针对 XXX 机关涉 密信息系统我们主要从技术和管理两个方面分析其存在的 安全脆弱性 3 1 1 技术脆弱性 1 物理安全脆弱性 环 境安全物理环境的安全是整个基地涉密信息系统安全得以 保障的前提 如果物理安全得不到保障那么网络设备 设 施 介质和信息就容易受到自然灾害 环境事故以及人为 物理操作失误或错误等各种物理手段的破坏造成有价值信 息的丢失 目前各级 XXX 企业的中心机房大部分采用独立 的工作空间并且能够达到国家标准 GB 电子计算机机房设 计规范 GB 计算机场地技术条件 GB 计算站场地 安全要求 和 BMBl7 2006 涉及国家秘密的信息系统分级 保护技术要求 等要求 设备安全涉密信息系统的中心机 房均按照保密标准要求采取了安全防范措施防止非授权人 员进入避免设备发生被盗 被毁的安全事故 介质安全目 前各级 XXX 企业的软磁盘 硬盘 光盘 磁带等涉密媒体 按所存储 第 2 页 共 129 页 信息的最高密级标明密级并 按相应的密级管理 2 运行安全脆弱性分析 备份与恢复 备份与恢复是保证涉密信息系统运行安全的一个不可忽视 问题当遇到如火灾 水灾等不可抗因素不会造成关键业务 数据无法恢复的惨痛局面 同时将备份关键业务数据的存 储介质放置在其他建筑屋内防止在异常事故发生时被同时 破坏 网络防病毒各级 XXX 企业涉密网络中的操作系统主 要是 windows 系列操作系统 虽有安全措施却在不同程度 上存在安全漏洞 同时病毒也是对涉密网络安全的主要威 胁有些病毒可感染扩展名为 corn exe 和 ovl 的可执行文 件当运行这些被感染的可执行文件时就可以激活病毒有些 病毒在系统底层活动使系统变得非常不稳定容易造成系统 崩溃 还有蠕虫病毒可通过网络进行传播感染的计算机容 易导致系统的瘫痪 近年来木马的泛滥为计算机的安全带 来了严重的安全问题 木马通常是病毒携带的一个附属程 序在被感染的计算机上打开一个后门使被感染的计算机丧 失部分控制权另外还有黑客程序等可以利用系统的漏洞和 缺陷进行破坏都会为涉密网络带来安全风险 各级 XXX 企 业涉密网络中采用网络版杀毒软件对涉密系统进行病毒防 护并制定合理的病毒升级策略和病毒应急响应计划以保证 涉密网络的安全 应急响应与运行管理各级 XXX 企业采用 管理与技术结合的手段设置定期备份机制在系统正常运行 时就通过各种备份措施为灾害和故障做准备健全安全管理 机构建立健全的安全事件管理机构明确人员的分工和责任 建立处理流程图制定安全事件响应与处理计划及事件处理 过程示意图以便迅速恢复被安全事件破坏的系统 3 信 息安全保密脆弱性 自身脆弱性任何应用软件都存在不同程 度的安全问题主要来自于两个方面一方面是软件设计上的 安全漏洞另一方面是安全配置的漏洞 针对软件设计上的 安全漏洞和安全配置的漏洞如果没有进行合适的配置加固 和安全修补就会存在比较多的安全风险 由于目前防病毒 软件大多集成了部分漏洞扫描功能并且涉密网络中的涉密 终端与互联网物理隔离因此可以通过对涉密网络进行漏洞 扫描定期下载升级补丁并制定相应的安全策略来防护 第 3 页 共 129 页 电磁泄漏发射防护信息设备在工作中产生 的时变电流引起电磁泄漏发射将设备处理的信息以电磁波 的形式泄露在自由空间和传导线路上通过接收这种电磁波 并采取相应的信号处理技术可以窃取到信息 这种窃收方 式危险小不易被发现和察觉随着我国信息化水平的不断提 高我国涉密部门大量使用计算机 网络终端等办公自动化 设备涉密信息的安全保密受到严重威胁这种威胁不像病毒 攻击和网络攻击那样可以看到或者有迹可寻它的隐蔽性强 危害极大 安全审计安全审计是对信息系统的各种事件及 行为实行监测 信息采集 分析并针对特定事件及行为采 取相应动作 XXXXXX 企业涉密信息系统没有有效的审计应用 系统出现了问题之后无法追查也不便于发现问题造成了损 失也很难对原因进行定性 边界安全防护计算机连接互联 网存在着木马 病毒 黑客入侵的威胁并且我国安全保密 技术手段尚不完备 对操作系统和网络设备的关键技术尚 未掌握不足以抵挡高技术窃密因此涉密网络必须与互联网 物理隔离而仅将涉密系统置于独立的环境内进行物理隔离 并不能做到与互联网完全隔离内部用户还可以通过 ADSL Modem 无线网卡等方式连接国际互联网因此应该通 过技术手段对违规外联行为进行阻断另外涉密网络中的内 部介入问题也为涉密网络带来安全威胁 数据库安全数据 库系统作为计算机信息系统的重要组成部分数据库文件作 为信息的聚集体担负着存储和管理数据信息的任务其安全 性将是信息安全的重中之重 数据库的安全威胁主要分为 非人为破坏和人为破坏对于非人为破坏主要依靠定期备份 或者热备份等并在异地备份 人为破坏可以从三个方面来 防护一 物理安全保证数据库服务器 数据库所在环境 相关网络的物理安全性二 访问控制在帐号管理 密码策 略 权限控制 用户认证等方面加强限制三 数据备份定 期的进行数据备份是减少数据损失的有效手段能让数据库 遭到破坏后恢复数据资源 操作系统安全操作系统的安全 性在计算机信息系统的整体安全性中具有至关重要的作用 没有操作系统提供的安全性信息系统和其他应用系统就好 比 建筑在沙滩上的城堡 我国使用的操作系统 95 以上 是 Windows 微软的 Windows 操作系统源码不公开无法对其 进行分析不能排除其中存在着人为 陷阱 现已发现存 在着将用户信息发送到微软网站的 后门 在没有源码 的情形下很难加强操作系统内核的安全性从保障我国网络 及信息安全的角度考虑必须增强它的安全性因 第 4 页 共 129 页 此采用设计安全隔离层 中间件的方式增加安全 模块以解燃眉之急 3 1 2 管理脆弱性 任何信息系统都离 不开人的管理再好的安全策略最终也要靠人来实现因此管 理是整个网络安全中最为重要的一环所以有必要认真地分 析管理所存在的安全风险并采取相应的安全措施 物理环 境与设施管理脆弱性包括周边环境 涉密场所和保障设施 等 人员管理脆弱性包括内部人员管理 外部相关人员管 理等 设备与介质管理脆弱性采购与选型 操作与使用 保管与保存 维修与报废等 运行与开发管理脆弱性运行 使用 应用系统开发 异常事件等 信息保密管理脆弱性 信息分类与控制 用户管理与授权 信息系统互联 责权 不明 管理混乱 安全管理制度不健全及缺乏可操作性等 当网络出现攻击行为 网络受到其它一些安全威胁如内部 人员违规操作以及网络中出现未加保护而传播工作信息和 敏感信息时系统无法进行实时的检测 监控 报告与预警 同时当事故发生后也无法提供追踪攻击行为的线索及破案 依据即缺乏对网络的可控性与可审查性 这就要求我们必 须对网络内出现的各种访问活动进行多层次记录及时发现 非法入侵行为和泄密行为 要建设涉密信息系统建立有效 的信息安全机制必须深刻理解网络和网络安全并能提供直 接的安全解决方案因此最可行的做法是安全管理制度和安 全解决方案相结合并辅之以相应的安全管理工具 3 2 威 胁分析 3 2 1 威胁源分析 作为一个较封闭的内网攻击事 件的威胁源以内部人员为主内部人员攻击可以分为恶意和 无恶意攻击攻击目标通常为机房 网络设备 主机 介质 数据和应用系统等恶意攻击指 XXX 企业内部人员对信息的 窃取无恶意攻击指由于粗心 无知以及其它非恶意的原因 而造成的破坏 对于 XXX 机关涉密信息系统来讲内部人员 攻击的行为可能有以下几种形式 1 被敌对势力 腐败分子 收买窃取业务资料 第 5 页 共 129 页 2 恶意修改设备的配 置参数比如修改各级 XXX 企业网络中部署的防火墙访问控 制策略扩大自己的访问权限 3 恶意进行设备 传输线路的 物理损坏和破坏 4 出于粗心 好奇或技术尝试进行无意的 配置这种行为往往对系统造成严重的后果而且防范难度比 较高 3 2 2 攻击类型分析 1 被动攻击被动攻击包括分 析通信流监视未被保护的通讯解密弱加密通讯获取鉴别信 息比如口令 被动攻击可能造成在没有得到用户同意或告 知用户的情况下将信息或文件泄露给攻击者 对于各级 XXX 企业网络来讲被动攻击的行为可能有以下几种形式 1 有意 识的对涉密信息应用系统进行窃取和窥探尝试 2 监听涉密 信息网络中传输的数据包 3 对涉密信息系统中明文传递的 数据 报文进行截取或篡改 4 对加密不善的帐号和口令进 行截取从而在网络内获得更大的访问权限 5 对网络中存在 漏洞的操作系统进行探测 6 对信息进行未授权的访问 2 主动攻击主动攻击包括试图阻断或攻破保护机制 引入恶 意代码 偷窃或篡改信息 主动进攻可能造成数据资料的 泄露和散播或导致拒绝服务以及数据的篡改 对于 XXX 机 关涉密信息系统来讲主动攻击的行为可能有以下几种形式 1 字典攻击黑客利用一些自动执行的程序猜测用户名和密 码获取对内部应用系统的访问权限 2 劫持攻击在涉密信息 系统中双方进行会话时被第三方黑客入侵黑客黑掉其中一 方并冒充他继续与另一方进行会话获得其关注的信息 3 假 冒某个实体假装成另外一个实体以便使一线的防卫者相信 它是一个合法的实体取得合法用户的权利和特权这是侵入 安全防线最为常用的方法 4 截取企图截取并修改在本院涉 密信息系统络内传输的数据以及省院 地市院 区县院之 间传输的数据 5 欺骗进行 IP 地址欺骗在设备之间发布假 路由虚假 AI 冲数据包 第 6 页 共 129 页 6 重放攻击者对 截获的某次合法数据进行拷贝以后出于非法目的而重新发 送 7 篡改通信数据在传输过程中被改变 删除或替代 8 恶意代码恶意代码可以通过涉密信息网络的外部接口和软 盘上的文件 软件侵入系统对涉密信息系统造成损害 9 业 务拒绝对通信设备的使用和管理被无条件地拒绝 绝对防 止主动攻击是十分困难的因此抗击主动攻击的主要途径是 检测以及对此攻击造成的破坏进行恢复 3 3 风险的识别 与确定 3 3 1 风险识别 物理环境安全风险网络的物理安全 风险主要指网络周边环境和物理特性引起的网络设备和线 路的不可用而造成网络系统的不可用如 1 涉密信息的非授 权访问异常的审计事件 2 设备被盗 被毁坏 3 线路老化 或被有意或者无意的破坏 4 因电子辐射造成信息泄露 5 因选址不当造成终端处理内容被窥视 6 打印机位置选择不 当或设置不当造成输出内容被盗窃 7 设备意外故障 停电 8 地震 火灾 水灾等自然灾害 因此 XXX 企业涉密信息 系统在考虑网络安全风险时首先要考虑物理安全风险 例 如设备被盗 被毁坏设备老化 意外故障计算机系统通过 无线电辐射泄露秘密信息等 介质安全风险因温度 湿度 或其它原因各种数据存储媒体不能正常使用因介质丢失或 被盗造成的泄密介质被非授权使用等 运行安全风险涉密 信息系统中运行着大量的网络设备 服务器 终端这些系 统的正常运行都依靠电力系统的良好运转因电力供应突然 中断或由于 UPS 和油机未能及时开始供电造成服务器 应 用系统不能及时关机保存数据造成的数据丢失 因 第 7 页 共 129 页 为备份措施不到位造成备份不完整或恢复不 及时等问题 信息安全保密风险涉密信息系统中采用的操 作系统主要为 Windows 2000 serverWindows XP 数据库都 不可避免地存在着各种安全漏洞并且漏洞被发现与漏洞被 利用之间的时间差越来越大这就使得操作系统本身的安全 性给整个涉密信息系统带来巨大的安全风险 另一方面病 毒已成为系统安全的主要威胁之一特别是随着网络的发展 和病毒网络化趋势病毒不仅对网络中单机构成威胁同时也 对网络系统造成越来越严重的破坏所有这些都造成了系统 安全的脆弱性 涉密信息系统中网络应用系统中主要存在 以下安全风险 1 用户提交的业务信息被监听或修改用户 对成功提交的业务事后抵赖 2 由于网络一些应用系统中 存在着一些安全漏洞包括数据库系统与 IIS 系统中大量漏 洞被越来越多地发现因此存在非法用户利用这些漏洞对专 网中的这些服务器进行攻击等风险 服务系统登录和主机 登录使用的是静态口令口令在一定时间内是不变的且在数 据库中有存储记录可重复使用 这样非法用户通过网络窃 听非法数据库访问穷举攻击重放攻击等手段很容易得到这 种静态口令然后利用口令可对资源非法访问和越权操作 另外在 XXX 企业涉密信息系统中运行多种应用系统各应用 系统中几乎都需要对用户权限的划分与分配这就不可避免 地存在着假冒越权操作等身份认证漏洞 此外网络边界缺 少防护或访问控制措施不力 以及没有在重要信息点采取 必要的电磁泄漏发射防护措施都是导致信息泄露的因素 安全保密管理风险再安全的网络设备离不开人的管理再好 的安全策略最终要靠人来实现因此管理是整个网络安全中 最为重要的一环尤其是对于一个比较庞大和复杂的网络更 是如此 XXX 企业在安全保密管理方面可能会存在以下风 险当网络出现攻击行为或网络受到其它一些安全威胁时如 内部人员的违规操作等无法进行实时的检测 监控 报告 与预警 虽然制定了相关管理制度但是缺少支撑管理的技 术手段使事故发生后无法提供攻击行为的追踪线索及破案 依据 因此最可行的做法是管理制度和管理解决方案的结 合 第 8 页 共 129 页 3 3 2 风险分析结果描述 风险只 能预防 避免 降低 转移和接受但不可能完全被消灭 风险分析就是分析风险产生 存在的客观原因描述风险的变 化情况并给出可行的风险降低计划 XXX 企业涉密信息系 统的分级保护方案应该建立在风险分析的基础之上根据 脆弱性分析 和 威胁分析 中所得到的系统脆弱性和 威胁的分析结果详细分析它们被利用的可能性的大小并且 要评估如果攻击得手所带来的后果然后再根据涉密信息系 统所能承受的风险来确定系统的保护重点 本方案所采用 的风险分析方法为 安全威胁因素分析法 围绕信息的 机密性 完整性 和 可用性 三个最基本的安全 需求针对前述每一类脆弱性的潜在威胁和后果进行风险分 析并以表格的形式表达对于可能性 危害程度 风险级别 采用五级来表示等级最高为五级如下表 层面 脆弱和威胁 可能性 危害程度 风险级别 物理层 自然灾害与环境事故 电力中断 重要设备被盗 内外网信号干扰 电磁辐射 恶劣 环境对传输线路产生电磁干扰 采用纸制介质存储重要的机 密信息 线路窃听 存储重要的机密信息移动介质随意放置 网络层 网络拓扑结构不合理造成旁路可以出现安全漏洞 不同用户群 不同权限的访问者混在一起不能实现有效的 分离 网络阻塞用户不能实现正常的访问 非法用户对服务 器的安全威胁 共享网络资源带来的安全威胁 系统重要管 理信息的泄漏 传播黑客程序 进行信息监听 ARP 攻击威胁 利用 TCP 协议缺陷实施拒绝服务攻击 系统层 操作系统存 在着安全漏洞 系统配置不合理 操作系统访问控制脆弱性 网络病毒攻击 合法用户主动泄密 第 9 页 共 129 页 非法 外连 存储信息丢失 应用层 应用软件自身脆弱性 应用系 统访问控制风险 应用软件安全策略 代码设计不当 数据 库自身的安全问题 抵赖风险 缺乏审计 操作系统安全带来 的风险 数据库安全风险 管理层 松散的管理面临泄密的风 险 安全保密管理机构不健全 人员缺乏安全意识 人员没有 足够的安全技术的培训 安全规则制度不完善 表 3 1 XXX 企业涉密信息系统风险分析表 第 10 页 共 129 页 第四章 安全保密需求分析 4 1 技术防护需求分析 4 1 1 机房与 重要部位 XXX 企业内网和外网已实现物理隔离置于不同的 机房内 内网机房 机要室等重要部位将安装电子监控设 备并配备了报警装置及电子门控系统对进出人员进行了严 格控制并在其他要害部门安装了防盗门基本满足保密标准 要求 4 1 2 网络安全 物理隔离由于 XXX 企业的特殊性 XXX 企业已组建了自己的办公内网与其他公共网络采取了物 理隔离满足保密标准要求 网络设备的标识与安放 XXX 企 业现阶段虽然在管理制度上对专网计算机进行管理要求但 没有对设备的密级和主要用途进行标识所以需要进行改进 并按照设备涉密属性进行分类安放以满足保密标准要求 违规外联监控 XXX 企业专网建成后网络虽然采用了物理隔 离但缺少对涉密计算机的违规外联行为的监控和阻断例如 内部员工私自拨号上网通过无线网络上网等 所以为了防 止这种行为的发生在涉密网建