分级保护项目方案设计

分级保护项目方案设计第三章 安全保密风险分析 3.1脆弱性分析 脆弱性是指资产或资产组中能被威胁所利用的弱点它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的如果没有被相应的威胁利用单纯的脆弱性本身不会对资产造成损害而且如果系统足够强健严重的威胁也不会导致安全事件发生并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性有些脆弱性只有在一定条件和环境下才能显现这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点脆弱性是风险产生的内在原因各种安全薄弱环节、安全弱点自身并不会造成什么危害它们只有在被各种安全威胁利用后才可能造成相应的危害。 针对XXX机关涉密信息系统我们主要从技术和管理两个方面分析其存在的安全脆弱性。 3.1.1 技术脆弱性 1. 物理安全脆弱性 环境安全物理环境的安全是整个基地涉密信息系统安全得以保障的前提。如果物理安全得不到保障那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏造成有价值信息的丢失。目前各级XXX企业的中心机房大部分采用独立的工作空间并且能够达到国家标准GB电子计算机机房设计规范、GB计算机场地技术条件、GB计算站场地安全要求和BMBl72006涉及国家秘密的信息系统分级保护技术要求等要求。 设备安全涉密信息系统的中心机房均按照保密标准要求采取了安全防范措施防止非授权人员进入避免设备发生被盗、被毁的安全事故。 介质安全目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储 第 2 页 共129页 信息的最高密级标明密级并按相应的密级管理。 2. 运行安全脆弱性分析 备份与恢复备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题当遇到如火灾、水灾等不可抗因素不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其他建筑屋内防止在异常事故发生时被同时破坏。 网络防病毒各级XXX企业涉密网络中的操作系统主要是windows系列操作系统。虽有安全措施却在不同程度上存在安全漏洞。同时病毒也是对涉密网络安全的主要威胁有些病毒可感染扩展名为corn、exe和ovl的可执行文件当运行这些被感染的可执行文件时就可以激活病毒有些病毒在系统底层活动使系统变得非常不稳定容易造成系统崩溃。还有蠕虫病毒可通过网络进行传播感染的计算机容易导致系统的瘫痪。近年来木马的泛滥为计算机的安全带来了严重的安全问题。木马通常是病毒携带的一个附属程序在被感染的计算机上打开一个后门使被感染的计算机丧失部分控制权另外还有黑客程序等可以利用系统的漏洞和缺陷进行破坏都会为涉密网络带来安全风险。各级XXX企业涉密网络中采用网络版杀毒软件对涉密系统进行病毒防护并制定合理的病毒升级策略和病毒应急响应计划以保证涉密网络的安全。 应急响应与运行管理各级XXX企业采用管理与技术结合的手段设置定期备份机制在系统正常运行时就通过各种备份措施为灾害和故障做准备健全安全管理机构建立健全的安全事件管理机构明确人员的分工和责任建立处理流程图制定安全事件响应与处理计划及事件处理过程示意图以便迅速恢复被安全事件破坏的系统。 3. 信息安全保密脆弱性 自身脆弱性任何应用软件都存在不同程度的安全问题主要来自于两个方面一方面是软件设计上的安全漏洞另一方面是安全配置的漏洞。针对软件设计上的安全漏洞和安全配置的漏洞如果没有进行合适的配置加固和安全修补就会存在比较多的安全风险。由于目前防病毒软件大多集成了部分漏洞扫描功能并且涉密网络中的涉密终端与互联网物理隔离因此可以通过对涉密网络进行漏洞扫描定期下载升级补丁并制定相应的安全策略来防护。 第 3 页 共129页 电磁泄漏发射防护信息设备在工作中产生的时变电流引起电磁泄漏发射将设备处理的信息以电磁波的形式泄露在自由空间和传导线路上通过接收这种电磁波并采取相应的信号处理技术可以窃取到信息。这种窃收方式危险小不易被发现和察觉随着我国信息化水平的不断提高我国涉密部门大量使用计算机、网络终端等办公自动化设备涉密信息的安全保密受到严重威胁这种威胁不像病毒攻击和网络攻击那样可以看到或者有迹可寻它的隐蔽性强危害极大。 安全审计安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应动作XXXXXX企业涉密信息系统没有有效的审计应用系统出现了问题之后无法追查也不便于发现问题造成了损失也很难对原因进行定性。 边界安全防护计算机连接互联网存在着木马、病毒、黑客入侵的威胁并且我国安全保密技术手段尚不完备、对操作系统和网络设备的关键技术尚未掌握不足以抵挡高技术窃密因此涉密网络必须与互联网物理隔离而仅将涉密系统置于独立的环境内进行物理隔离并不能做到与互联网完全隔离内部用户还可以通过ADSL、Modem、无线网卡等方式连接国际互联网因此应该通过技术手段对违规外联行为进行阻断另外涉密网络中的内部介入问题也为涉密网络带来安全威胁。 数据库安全数据库系统作为计算机信息系统的重要组成部分数据库文件作为信息的聚集体担负着存储和管理数据信息的任务其安全性将是信息安全的重中之重。数据库的安全威胁主要分为非人为破坏和人为破坏对于非人为破坏主要依靠定期备份或者热备份等并在异地备份。人为破坏可以从三个方面来防护一、物理安全保证数据库服务器、数据库所在环境、相关网络的物理安全性二、访问控制在帐号管理、密码策略、权限控制、用户认证等方面加强限制三、数据备份定期的进行数据备份是减少数据损失的有效手段能让数据库遭到破坏后恢复数据资源。 操作系统安全操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性信息系统和其他应用系统就好比“建筑在沙滩上的城堡”。我国使用的操作系统95以上是Windows微软的Windows操作系统源码不公开无法对其进行分析不能排除其中存在着人为“陷阱”。现已发现存在着将用户信息发送到微软网站的“后门”。在没有源码的情形下很难加强操作系统内核的安全性从保障我国网络及信息安全的角度考虑必须增强它的安全性因 第 4 页 共129页 此采用设计安全隔离层中间件的方式增加安全模块以解燃眉之急。 3.1.2管理脆弱性 任何信息系统都离不开人的管理再好的安全策略最终也要靠人来实现因此管理是整个网络安全中最为重要的一环所以有必要认真地分析管理所存在的安全风险并采取相应的安全措施。 物理环境与设施管理脆弱性包括周边环境、涉密场所和保障设施等。 人员管理脆弱性包括内部人员管理、外部相关人员管理等。 设备与介质管理脆弱性采购与选型、操作与使用、保管与保存、维修与报废等。 运行与开发管理脆弱性运行使用、应用系统开发、异常事件等。 信息保密管理脆弱性信息分类与控制、用户管理与授权、信息系统互联。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等。 当网络出现攻击行为、网络受到其它一些安全威胁如内部人员违规操作以及网络中出现未加保护而传播工作信息和敏感信息时系统无法进行实时的检测、监控、报告与预警。同时当事故发生后也无法提供追踪攻击行为的线索及破案依据即缺乏对网络的可控性与可审查性。这就要求我们必须对网络内出现的各种访问活动进行多层次记录及时发现非法入侵行为和泄密行为。 要建设涉密信息系统建立有效的信息安全机制必须深刻理解网络和网络安全并能提供直接的安全解决方案因此最可行的做法是安全管理制度和安全解决方案相结合并辅之以相应的安全管理工具。 3.2 威胁分析 3.2.1 威胁源分析 作为一个较封闭的内网攻击事件的威胁源以内部人员为主内部人员攻击可以分为恶意和无恶意攻击攻击目标通常为机房、网络设备、主机、介质、数据和应用系统等恶意攻击指XXX企业内部人员对信息的窃取无恶意攻击指由于粗心、无知以及其它非恶意的原因而造成的破坏。 对于XXX机关涉密信息系统来讲内部人员攻击的行为可能有以下几种形式 1被敌对势力、腐败分子收买窃取业务资料 第 5 页 共129页 2恶意修改设备的配置参数比如修改各级XXX企业网络中部署的防火墙访问控制策略扩大自己的访问权限 3恶意进行设备、传输线路的物理损坏和破坏 4出于粗心、好奇或技术尝试进行无意的配置这种行为往往对系统造成严重的后果而且防范难度比较高。 3.2.2 攻击类型分析 1. 被动攻击被动攻击包括分析通信流监视未被保护的通讯解密弱加密通讯获取鉴别信息比如口令。被动攻击可能造成在没有得到用户同意或告知用户的情况下将信息或文件泄露给攻击者。对于各级XXX企业网络来讲被动攻击的行为可能有以下几种形式 1 有意识的对涉密信息应用系统进行窃取和窥探尝试 2 监听涉密信息网络中传输的数据包 3 对涉密信息系统中明文传递的数据、报文进行截取或篡改 4 对加密不善的帐号和口令进行截取从而在网络内获得更大的访问权限 5 对网络中存在漏洞的操作系统进行探测 6 对信息进行未授权的访问 2. 主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播或导致拒绝服务以及数据的篡改。对于XXX机关涉密信息系统来讲主动攻击的行为可能有以下几种形式 1 字典攻击黑客利用一些自动执行的程序猜测用户名和密码获取对内部应用系统的访问权限 2 劫持攻击在涉密信息系统中双方进行会话时被第三方黑客入侵黑客黑掉其中一方并冒充他继续与另一方进行会话获得其关注的信息 3 假冒某个实体假装成另外一个实体以便使一线的防卫者相信它是一个合法的实体取得合法用户的权利和特权这是侵入安全防线最为常用的方法 4 截取企图截取并修改在本院涉密信息系统络内传输的数据以及省院、地市院、区县院之间传输的数据 5 欺骗进行IP地址欺骗在设备之间发布假路由虚假AI冲数据包 第 6 页 共129页 6 重放攻击者对截获的某次合法数据进行拷贝以后出于非法目的而重新发送 7 篡改通信数据在传输过程中被改变、删除或替代 8 恶意代码恶意代码可以通过涉密信息网络的外部接口和软盘上的文件、软件侵入系统对涉密信息系统造成损害 9 业务拒绝对通信设备的使用和管理被无条件地拒绝。 绝对防止主动攻击是十分困难的因此抗击主动攻击的主要途径是检测以及对此攻击造成的破坏进行恢复。 3.3风险的识别与确定 3.3.1风险识别 物理环境安全风险网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成网络系统的不可用如 1 涉密信息的非授权访问异常的审计事件 2 设备被盗、被毁坏 3 线路老化或被有意或者无意的破坏 4 因电子辐射造成信息泄露 5 因选址不当造成终端处理内容被窥视 6 打印机位置选择不当或设置不当造成输出内容被盗窃 7 设备意外故障、停电 8 地震、火灾、水灾等自然灾害。 因此XXX企业涉密信息系统在考虑网络安全风险时首先要考虑物理安全风险。例如设备被盗、被毁坏设备老化、意外故障计算机系统通过无线电辐射泄露秘密信息等。 介质安全风险因温度、湿度或其它原因各种数据存储媒体不能正常使用因介质丢失或被盗造成的泄密介质被非授权使用等。 运行安全风险涉密信息系统中运行着大量的网络设备、服务器、终端这些系统的正常运行都依靠电力系统的良好运转因电力供应突然中断或由于UPS和油机未能及时开始供电造成服务器、应用系统不能及时关机保存数据造成的数据丢失。因 第 7 页 共129页 为备份措施不到位造成备份不完整或恢复不及时等问题。 信息安全保密风险涉密信息系统中采用的操作系统主要为Windows 2000 serverWindows XP、数据库都不可避免地存在着各种安全漏洞并且漏洞被发现与漏洞被利用之间的时间差越来越大这就使得操作系统本身的安全性给整个涉密信息系统带来巨大的安全风险。另一方面病毒已成为系统安全的主要威胁之一特别是随着网络的发展和病毒网络化趋势病毒不仅对网络中单机构成威胁同时也对网络系统造成越来越严重的破坏所有这些都造成了系统安全的脆弱性。 涉密信息系统中网络应用系统中主要存在以下安全风险 1. 用户提交的业务信息被监听或修改用户对成功提交的业务事后抵赖 2. 由于网络一些应用系统中存在着一些安全漏洞包括数据库系统与IIS系统中大量漏洞被越来越多地发现因此存在非法用户利用这些漏洞对专网中的这些服务器进行攻击等风险。 服务系统登录和主机登录使用的是静态口令口令在一定时间内是不变的且在数据库中有存储记录可重复使用。这样非法用户通过网络窃听非法数据库访问穷举攻击重放攻击等手段很容易得到这种静态口令然后利用口令可对资源非法访问和越权操作。另外在XXX企业涉密信息系统中运行多种应用系统各应用系统中几乎都需要对用户权限的划分与分配这就不可避免地存在着假冒越权操作等身份认证漏洞。此外网络边界缺少防护或访问控制措施不力、以及没有在重要信息点采取必要的电磁泄漏发射防护措施都是导致信息泄露的因素。 安全保密管理风险再安全的网络设备离不开人的管理再好的安全策略最终要靠人来实现因此管理是整个网络安全中最为重要的一环尤其是对于一个比较庞大和复杂的网络更是如此。 XXX企业在安全保密管理方面可能会存在以下风险当网络出现攻击行为或网络受到其它一些安全威胁时如内部人员的违规操作等无法进行实时的检测、监控、报告与预警。虽然制定了相关管理制度但是缺少支撑管理的技术手段使事故发生后无法提供攻击行为的追踪线索及破案依据。因此最可行的做法是管理制度和管理解决方案的结合。 第 8 页 共129页 3.3.2 风险分析结果描述 风险只能预防、避免、降低、转移和接受但不可能完全被消灭。风险分析就是分析风险产生/存在的客观原因描述风险的变化情况并给出可行的风险降低计划。 XXX企业涉密信息系统的分级保护方案应该建立在风险分析的基础之上根据“脆弱性分析”和“威胁分析”中所得到的系统脆弱性和威胁的分析结果详细分析它们被利用的可能性的大小并且要评估如果攻击得手所带来的后果然后再根据涉密信息系统所能承受的风险来确定系统的保护重点。本方案所采用的风险分析方法为“安全威胁因素分析法”围绕信息的“机密性”、“完整性”和“可用性”三个最基本的安全需求针对前述每一类脆弱性的潜在威胁和后果进行风险分析并以表格的形式表达对于可能性、危害程度、风险级别采用五级来表示等级最高为五级如下表 层面 脆弱和威胁 可能性 危害程度 风险级别 物理层 自然灾害与环境事故、电力中断 重要设备被盗 内外网信号干扰 电磁辐射 恶劣环境对传输线路产生电磁干扰 采用纸制介质存储重要的机密信息 线路窃听 存储重要的机密信息移动介质随意放置 网络层 网络拓扑结构不合理造成旁路可以出现安全漏洞 不同用户群、不同权限的访问者混在一起不能实现有效的分离 网络阻塞用户不能实现正常的访问 非法用户对服务器的安全威胁 共享网络资源带来的安全威胁 系统重要管理信息的泄漏 传播黑客程序 进行信息监听 ARP攻击威胁 利用TCP协议缺陷实施拒绝服务攻击 系统层 操作系统存在着安全漏洞 系统配置不合理 操作系统访问控制脆弱性 网络病毒攻击 合法用户主动泄密 第 9 页 共129页 非法外连 存储信息丢失 应用层 应用软件自身脆弱性 应用系统访问控制风险 应用软件安全策略、代码设计不当 数据库自身的安全问题 抵赖风险 缺乏审计 操作系统安全带来的风险 数据库安全风险 管理层 松散的管理面临泄密的风险 安全保密管理机构不健全 人员缺乏安全意识 人员没有足够的安全技术的培训 安全规则制度不完善 表3-1 XXX企业涉密信息系统风险分析表 第 10 页 共129页 第四章 安全保密需求分析 4.1 技术防护需求分析 4.1.1 机房与重要部位 XXX企业内网和外网已实现物理隔离置于不同的机房内。内网机房、机要室等重要部位将安装电子监控设备并配备了报警装置及电子门控系统对进出人员进行了严格控制并在其他要害部门安装了防盗门基本满足保密标准要求。 4.1.2网络安全 物理隔离由于XXX企业的特殊性XXX企业已组建了自己的办公内网与其他公共网络采取了物理隔离满足保密标准要求。 网络设备的标识与安放XXX企业现阶段虽然在管理制度上对专网计算机进行管理要求但没有对设备的密级和主要用途进行标识所以需要进行改进并按照设备涉密属性进行分类安放以满足保密标准要求。 违规外联监控XXX企业专网建成后网络虽然采用了物理隔离但缺少对涉密计算机的违规外联行为的监控和阻断例如内部员工私自拨号上网通过无线网络上网等。所以为了防止这种行为的发生在涉密网建设