信息系统安全方案模版

信息系统安全解决方案1.1什么是安全保障体系我们在本书讨论安全保障体系是因为安全保障体系是解决信息系统安全方案的基础。若想构造一个安全的信息系统需要做许多工作,信息系统安全保障体系必须从安全的各个方面进行综合考虑。构建安全保障体系已经成为非常重要的一项工作。安全保障体系目前对ー个信息系统而言变得越来越重要,引起了人们的广泛关注,只有有了的安全保障体系才能指导人们进行安全设计。对于不同的信息系统其安全保障体系有所不同,我们这里所讨论的是一般情况下的信息系统的安全保障体系。目前,对安全保障体系的研究很多,也有许多不同看法。这里我们讨论的安全保障体系仅供参考。信息系统安全保障体系一般来讲应由三大部分构成:安全保障体系的核心是人,人在安全保障中是第一位的,也是最脆弱的环节。克服人的脆弱性最主要的方法是安全意识的教育和安全技能的培训以及组织安全、人员安全管理和技术安全管理。在我国信息安全技术还比较落后的情况下,加强安全管理、安全培训、安全教育是ー个十分迫切需要解决的问题。安全法律法规的建设和教育也是非常重要的方面。当然,在新的形式下如何搞好人员安全也是我们面临的新的课题。物理安全是最容易被人们接受的ー项安全措施,但是也是最不容易解决的问题。安全是ー个复杂的系统工程,它是多学科的综合工程,人是其中的重要因素之一,特别对信息系统的信息保障而言,人是那些重要因素中的关键因素。鉴于上述情况,安全管理也是安全保障体系中不可缺少的ー个重要组成部分。随着信息系统的飞速发展和广泛应用,安全管理变得越来越重要,国际标准化组织（ISO）已经制定了相应的国际标准——ISO-177990该标准详细规定了安全管理得各个方面,我们将在后面进行详细介绍。安全保障体系是一个多层次、纵深的防御体系,它不仅要解决人的问题,也要解决信息安全的技术问题和运行的安全问题。因此,安全保障体系的第二个因素就是技术。信息安全技术不仅要体现主动防御和被动防御相结合的原则,还要体现安全技术和安全管理相结合的原则。安全技术包括:信息保障技术框架、安全标准、法律法规、评估和认证、风险分析和评估、认证和鉴别等。我们在以后的讨论中将会更深入论述信息保障技术框架。还要综合采用各种信息安全技术以防止一种技术被攻破不会危及全系统使全系统崩溃。在安全保障体系中采用先进有效的安全技术是十分必要的,随着信息安全技术的不断发展,防御技术的不断提高,安全技术在安全保障体系中的重要性将会越来越明显。由于安全的特点是对抗性非常强,使得安全的相对性和多变性特别突出。因此,加速开发信息安全技术在安全保障体系的建设中是不可忽视的重要问题。在安全保障体系中采用的安全技术一般情况下包括:加解密技术防火墙与访问控制技术«识别与鉴别技术,防病毒技术入侵检测与防范技术安全性测试与评估技术内容监控与侦控技术安全管理,安全审计,物理安全上述所列的安全技术将会随着技术的不断发展会有新的内容出现。安全保障体系的另ー个人们关注的因素是系统运行安全。系统运行安全体现了全生命期的安全风险管理。它包括:安全评估、安全监测、安全报警、入侵检测、病毒防范、响应和恢复等。安全保障体系目前对ー个信息系统而言变得越来越重要,引起了人们的广泛关注,只有有了信息系统的安全保障体系才能指导人们对系统进行安全设计。2安全保障体系的内容正如前面已经提到的安全保障体系是一个复杂的系统工程,它综合了多种学科,它是系统工程的具体体现。系统工程有一个过程,如下图所示。图1系统工程系统工程有其方法论,安全工程也有自己的方法论和工程原理,那就是我们经常说的信息系统安全工程（ISSE）。由于信息系统安全エ程已经在第二篇有了专门的论述,在这里就不在论述。

通过一系列的标准和控制、安全管理、人的知识和经验,通过培训和沟通,利用相应的开发工具使要求或问题变成产品输出。系统工程关系统工程关键项图2系统工程关键项图二给出了系统工程的关键项。这些项明显的体现了以用户为中心,以人为本的的精神。我们反复介绍系统工程的目的是使读者不要忘记以系统工程的思想来指导信息系统安全的各项工作。21世纪信息系统安全已经从信息安全发展成为信息保障这一新的概念,这ー概念是由美国国家安全局提出的ー种新的概念并提出了信息保障技术框架,目前该框架已经发展到V2.0版本。我们知道,以往我们所说的信息安全一般包括四大部分:IT安全、物理安全、人员安全和程序安全。其中:IT安全中包括:计算机安全、电磁辐射安全、密码安全、网络安全和传输安全。物理安全包括：安全区的划分、设备的物理安全、出入口的控制、安全问题的检测方法、安全标记等。人员安全包括：设置人员安全屏障、人员的安全定位、人员的应知程序、安全责任的划分以及人员工作的终止程序等。程序安全包括:运行安全、介质安全、机构安全、技术管理安全。信息安全有着悠久的历史,从古代的古典密码到通信保密,从保密通信到网络安全,从网络安全到安全。当前,又从安全发展到信息保障。信息安全的概念是随着信息技术的发展而不断发展的,信息技术每发展到ー个阶段,相应的信息安全技术也会有新的发展。古代的保密是以密本和密表为代表的保密体制。近代的点对点通信的保密理论基础是香农的《通信的保密理论》。随着信息技术不断发展,通信网络的迅速扩大应用,保密技术已经显得力不从心,特别是密钥的分配问题形成了一个很大的瓶径,在这种情况下由狄菲与赫尔曼编写了《密码学的新方向》一书,提出了公开密钥密码学的新概念。这一新的概念和技术不仅解决了网络安全的密钥分配问题,而且附带又解决了数字签名和认证等一系列的问题。进入信息安全阶段后,新的技术层出不穷,如,病毒防范技术、入侵检测技术、漏洞扫描技术、新的密码算法、物理安全、安全评估技术、安全测评认证技术等等。信息安全的概念是从网络安全概念发展过来的,它把网络安全用系统工程的方法进行论述,因此,信息安全应当称为信息系统安全。在安全中引入了系统工程概念使得安全所含盖的内容更加丰富,系统受到的保护更完善。但是,信息系统安全通过利用平面式的保护措施,也就是信息系统安全的各种措施是平行地用于ー个信息系统上,没有一个层次和深度。正如前面提到的那样,安全保障体系对保证ー个信息系统的安全是至关重要的。我们认为机构的的稳健的、考虑较完善的安全保障体系需要考虑的因素人、安全技术和安全运行,其具体内容如下表所示:•人・技术・运行系统安全管理纵深防御技术框架评估培训安全标准和法律法规监测物理安全风险评估入侵检测人员安全认证和鉴定报警响应和恢复病毒防范

图3安全保障体系的要素由图3我们看到,安全保障体系的核心是人的这一本质。这就是说安全保障归根结底是ー个管理问题。安全策略也是保障体系的重要方面,我们将在下一章有较为详细的论述。安全保障体系的另一个重要因素就是技术。安全技术所包含的内容我们在前面已经有了论述,这里就不在详述。通过上述三方面,我们把安全形成一个闭环,一个的保护必须有一个预警系统来不断监视入侵者的活动,一旦发生入侵系统就会采取措施或进行保护。保护的内容涉及的方面很多,例如,网络和基础设施的保护、边界和远程访问的保护、计算环境的保护等。任何保护都要有检测系统予以辅助,检测包括入侵检测、漏洞检测（或者称为脆弱性检测）。通过检测发现系统的漏洞（或脆弱性）并及时进行有效的响应。一般情况下很难做到全自动的响应,但是,要尽量减少人工的干预。如果系统受到影响就必须尽快的恢复,当然恢复要有紧急恢复计划和相应的措施。如果有必要还要进行必要的反击。安全保障体系是ー个非常复杂的问题,目前人们对其关注的程度越来越高,此处仅对其中的主要问题做了考虑。2.信息系统安全技术解决方案安全技术解决方案是根据信息系统的保障体系而形成的具体的、技术的安全解决方案。这里提出的安全技术解决方案是根据以往的工作经验结合!ATF的有关概念提出来的。信息系统安全技术解决方案对不同的会有很多差别,这要结合具体的信息系统而定。在这里仅提出我们认为在设计安全技术解决方案时应当考虑的内容,供参考。1信息系统分析为了设计信息系统安全方案,必须首先了解系统,也就是要对信息系统进行分析。一般情况,对信息系统进行分析包括以下内容:1）系统组成和网络拓扑结构信息系统的组成和系统的网络拓扑的构成必须了解清楚,这样才能配置好安全设备。2）信息系统的资产3）信息系统的信息传输协议4）信息系统传输带宽5）信息系统的管理6）信息系统的应用系统7）信息系统的工作流程8）信息系统的信息流程9）系统已经采用的安全措施（包括技术的和其他方面的）10）信息系统与其它系统或网络的互联关系11）系统安全管理的组织机构及措施2安全风险分析信息系统的安全风险分析是安全保障体系的建设和安全解决方案设计的重要环节,也是安全解决方案的重要依据。随着复杂程度的增加以及用户对安全的认识水平的提高,相信今后对安全风险分析的要求将会越来越高。不仅需要定性的分析还需要定量分析。这将是非常困难的事情。一般情况下信息系统的安全风险分析要解决如下问题:.需要保护什么资源?.要保护他们免受那些攻击?.可能有谁威胁自己的?.潜在的威胁可能造成的破坏的可能性有多大?.如果资源被破坏会造成什么样的直接损失?.恢复被破坏的资源需要多少花费?.怎样能够最有效的提高保护资金的利用率?.是否有人规定用户的环境安全所需的水平?安全风险分析是为了确保信息系统安全的最重要的一步。分析安全风险的目的是:了解信息系统所遇到的安全威胁;了解信息系统的脆弱性;了解信息系统在安全管理方面的漏洞;了解信息系统抵抗自然灾害的能力；了解信息系统的资产以便提出需要保护哪些重要的资源。在全面了解上述情况的基础上,确定安全风险等级；为安全需求提供依据；为安全目标的制定、安全方案的制定、安全的经费投入提供指导。由此可知,安全风险分析在安全设计的重要性。一般情况下,安全风险分析包括三部分:安全威胁分析、安全漏洞分析和资产分析。下面我们将分别对三种分析进行较详细的论述。2. 1安全威胁分析安全威胁分析首要问题是辨别有哪些是你的信息系统的“敌人”,也就是有哪些国家、团体、个人对你的系统不利。

一般情况下,分为恶意的和无意的两种威胁。下面的图表则显示了按国家、团体、个人来分的。敌人描述恶意国家由政府主导,有很好的组织和充足的财カ:利用国外的服务引擎来收集来自被认为是敌对国的信息黑客攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人恐怖分子/计算机恐怖分子代表使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙有组织的犯罪有协调的犯罪行为,包括赌博、诈骗、贩毒和许多其它的行为其它犯罪团体犯罪社团之一,一般没有好的组织或财カ。通常只有很少的几个人,完全是ー个人的行为国际媒体向纸业和娱乐业的媒体收集并散发——有时是非授权的一—新闻的组织。包括收集任何时间关于任何ー个人的任意一件新闻工业竞争者在市场竞争中运行的国内或国际企业常以企业间谍的形式致カ于非授权收集关于竞争对手或外国政府的信息有怨言的员エ怀有危害局域网络或系统想法的气愤、不满的员エ

非恶意粗心或未受到良好训练的员エ那些或因缺乏训练,或因缺乏考虑,或因缺乏警惕的人给带来的威胁。这是内部威胁与敌人的另ー个例子。在上述集体和个人对蓄意攻击时一般采取的攻击方式如下表所示,表中把攻击分为五种并对五种攻击作了解释。这种解释只能泛泛的说明五种攻击所涉及的方面,在威胁分析时还要进行更为详细地分析。被动攻击被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息（比如口令）等。被动攻击是在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。这样的例子如搭线窃听等。主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改。物理临近攻击是指一未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。内部人内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信员攻击息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。软硬件指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种装配分攻击可能是在产品里引入恶意代码,比如后门。发攻击对ー个信息系统而言,它所遇到的攻击是多种多样的。但是,对于不同的信息系统所遇到的攻击有相同的,也有不同的,主要与其网络环境有关。1)被动攻击产生的威胁＞网络和基础设施的被动攻击威胁:线路窃听:局域网/骨干网线路的窃听监视没被保护的通信线路破译弱保护的通信线路信息信息流量分析利用被动攻击为主动攻击创造条件实现对网络基础设施设备的破坏,如截获用户的帐号或密码对网络设备进行破坏。机房和处理信息的终端的信息电磁泄露＞区域边界/外部连接的被动攻击威胁:机房和处理信息的终端的信息电磁泄露截取未受保护的网络信息流量分析攻击＞计算环境的被动攻击威胁:机房和处理信息的终端的信息电磁泄露获取鉴别信息和控制信息获取明文或解密弱密文实施重放攻击＞支持性基础设施的被动攻击威胁:机房和处理信息的终端的信息电磁泄露获取鉴别信息和控制信息2）主动攻击产生的威胁＞网络和基础设施的主动攻击威胁:可用带宽的损失攻击,如网络阻塞攻击、扩散攻击等。网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的网络攻击是使网络基础设施运行控制失灵。如对网络运行和设备之间通信的直接攻击,他企图切断网管人员与基础设施的设备之间的通信,比如切断网管人员与交换机、路由器之间的通信,使网管人员无法控制他们。网络管理通信的中断攻击,它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息。引入病毒攻击引入恶意代码攻击＞区域边界/外部连接的主动攻击威胁:试图阻断或攻破保护机制（内网或外网）偷窃或篡改信息利用社会工程攻击欺骗合法用户伪装成合法用户和服器进行攻击IP地址欺骗攻击拒绝服务攻击利用协议和基础设施的安全漏洞进行攻击利用远程接入用户对内网进行攻击建立非授权的网络连接监测远程用户电路,修改传输的数据解读未加密或弱加密的传输信息恶意代码和病毒攻击＞计算环境的主动攻击威胁引入病毒攻击引入恶意代码攻击冒充超级用户或其他合法用户拒绝服务和数据的篡改伪装成合法用户和服器进行攻击利用配置漏洞进行攻击＞支持性基础设施的主动攻击威胁PKI/KMI配置漏洞攻击・引入病毒攻击・恶意代码攻击3）物理临近攻击＞网络和基础设施的物理临近攻击威胁未授权的人偷偷潜入破坏、修改网络基础设施内部人员进入无意修改网络控制参数非法闯入重要基础设施窃取各种介质上的重要数据（软盘、光盘、硬盘）非法闯入机房等重要场所对基础设施进行破坏和改动＞区域边界/外部连接的物理临近攻击威胁:非法闯入机房等重要场所对设备进行破坏或改动非法闯入重要基础设施窃取各种介质上的重要数据（软盘、光盘、硬盘）＞计算环境的物理临近攻击威胁:非法闯入机房等重要场所对设备进行破坏或改动非法闯入重要基础设施窃取各种介质上的重要数据（软盘、光盘、硬盘）＞支持性基础设施的物理临近攻击威胁:非法闯入机房等重要场所对设备进行破坏或改动非法闯入重要基础设施窃取各种介质上的重要数据（软盘、光盘、硬盘）非法盗窃重要的设备非法窃取证书的内容和密钥4）内部人员的攻击＞网络和基础设施的内部人员攻击威胁:网管中心内部人员的恶意攻击。他们有能力向网络提供错误的信息实现不容易发觉的的攻击远程操作人员的恶意攻击。他们是网络专家,可以和内部人员ー样对网络实施攻击。内部人员的无意攻击。＞区域边界/外部连接的内部人员攻击威胁:内部人员的无意攻击。内部人员的恶意攻击＞计算环境的内部人员攻击威胁:内部人员的无意攻击内部人员的恶意攻击内部人员利用职权窃取用户身份证明实现越权访问＞支持性基础设施的内部人员攻击威胁:内部人员的无意攻击内部人员的有意攻击5）软硬件装配和分发攻击系统集成商、设备供应商、软件供应商为了维护的目的或其他ー些恶意的目的,留有后门、改变设备的参数和配置等使系统造成严重的安全隐患。6）自然灾害严重的自然灾害:水灾、火灾、地震、雷电等.2.2系统脆弱性分析＞通信协议（如TCP/IP）的安全脆弱性＞操作系统和数据库的安全脆弱性＞系统配置的安全脆弱性＞系统管理协议的安全漏洞＞访问控制机制的安全脆弱性＞审计和授权系统的安全漏洞＞安全管理存在的各种漏洞.2.3系统资产分析我们知道,对系统资产价值的分析会使人们知道应当如何保护好那些重要的资产。其中的主要资源包括:物理资源:计算机系统、通信系统、网络系统、环境设施智力资源：数据和记录、软件、其它任何形式的信息、敏感信息。时间资源：系统的时间要求。信誉资源：由于系统被破坏造成的信誉损失。上述四种资源中最重要的资源是用户的信息,我们知道,信息系统中有三种信息,它们是用户信息、控制信息和管理信息,其中最重要的是保护用户信息的机密性、完整性、可用性以及不可否认性。无论何时,安全风险分析都是一个非常重要的环节,它在安全设计中的作用就象医生给病人看病前作各种检查ー样,如果不进行身体检查就不知道病人什么地方出了毛病,因此也就不知道病人得了什么病,也就不知道给病人吃什么药,也就治不好病人。安全风险分析也是同样,如果ー个不知道受到那些威胁,也不知道系统本身有那些脆弱性,也不知道那些资产是最重要的应当受到高等级的保护,那么我们如何去保护ー个呢?我们预计,随着安全用户对安全了解水平的提高,用户第一个需要的报告不是安全解决方案,而是的安全风险分析。遗憾的是,目前我国对安全风险分析的研究还刚刚起步,只能做到定性分析,还不能进行定量分析。这是我们需要进ー步努力的地方。下面我们列举了有关风险,可供风险分析和编写方案时参考:组件构件tuM风险点风险描述保护措施硬件设施硬件设施监控设备摄象机断电供电中断,无法监控应急供电装置损坏可能因寿命或人为破坏,导致失效提供物理保护,并良好维护,定期更换干扰可能受到干扰导致性能下降或完全失效适当的预防措施,如采用抗干扰技术监视器断电供电中断,无法监控应急供电装置损坏可能因寿命或人为破坏,导致失效提供物理保护,并良好维护,定期更换

干扰可能受到干扰导致性能下降或完全失效适当的预防措施,如采用抗干扰技术电视机断电供电中断,无法监控应急供电装置损坏可能因寿命或人为破坏,导致失效提供物理保护,并良好维护,定期更新干扰可能受到干扰导致性能下降或完全失效适当的预防措施,如采用抗干扰技术报警装置断电供电中断,无法报警应急供电装置损坏可能因寿命或人为破坏,导致失效提供物理保护,并良好维护,定期更新干扰可能受到干扰导致性能下降或完全失效适当的预防措施,如采用抗干扰技术计算机大中小型计算老化超生命期使用,部件可能失效,影响系统的正常运行有效维护,硬件备份,制定更新换代计划

机处理器缺陷/兼容性设计缺陷和制造商有意留有的后门;升级不支持原有功能等;运算出错和系统故障确保来源可靠,且经过权威部门测试人为破坏操作人员有意或失误,对计算机的破坏如拆卸等制定严格的管理制度,专人操作、维护,维修应经过授权并有负责人在场辐射计算机运行时会产生电磁辐射,相互影响并可能导致信息泄露采取有效措施,控制辐射强度和范围。滥用将存储敏感信息的计算机提供给非授权者,导致信息泄露严格的管理措施,增强人员安全意识,明确责任。

组件构件元素风险点风险描述保护措施硬件设施计算机个人计算机老化超生命期使用,部件可能失效,影响系统的正常运行有效维护,硬件备份,制定更新换代计划处理器缺陷/兼容性设计缺陷和制造商有意留有的后门;升级后不支持原有功能等,导致运算出错和系统故障确保来源可靠,且经过权威部门测试人为破坏操作人员有意或无意地对计算机的破坏如拆卸,带电拨插等严禁私自拆卸计算机,维修应经过授权并有负责人在场辐射计算机内的数据传输线缆,接插件、显示屏等会产生电磁辐射,可能导致信息泄露采取有效措施,控制“红信号”的辐射强度和范围。

滥用将存储敏感信息的计算机提供给非授权者,导致信息泄露严格的管理措施,增强人员安全意识,明确责任。网络设备交换机老化超过生命期使用,可能影响系统的正常运行或造成网络瘫痪定期维护和检测,并有硬件备份和其它应急措施人为破坏操作人员有意/无意地造成损坏,导致传输中断、网络瘫痪等严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场电磁辐射产生的电磁辐射,可能导致信息泄露采取有效措施,控制的辐射强度和范围。集线器老化同上同上人为破坏同上同上电磁辐射同上同上网关老化同上同上

设备人为破坏同上同上电磁辐射同上同上中继器老化同上同上人为破坏同上同上电磁辐射同上同上组件构件元素风险点风险描述保护措施硬件设施网络设备桥接设备老化同上同上人为破坏同上同上电磁辐射同上同上调制解调器老化同上同上人为破坏同上同上

电磁辐射同上同上传输介质及转换器同轴电缆辐射电磁辐射,导致信息泄露传输信息加密干扰攻击者可能进行电磁干扰,破坏信息的完整性,甚至导致网络瘫痪采取屏蔽、抗干扰措施窃听攻击者利用设备或搭线进行监听,以获取信息对信息加密传输是有效措施破坏攻击者直接物理攻击,如割断电缆,导致通信中断或网络瘫痪加强法律保护,采取有效的应急措施,降低遭受攻击时的风险双绞线辐射同上采用屏蔽措施,传输信息加密干扰同上同上窃听同上同上破坏同上同上光缆/辐射同上同上

光端机干扰同上同上窃听同上同上破坏同上同上卫星信道辐射同上同上干扰同上同上窃听同上同上破坏同上同上微波信道辐射同上同上干扰同上同上窃听同上同上破坏同上同上终端辐射同上采用屏蔽措施,传输信息加密干扰同上同上窃听同上同上破坏同上同上组件构件元素风险点风险描述保护措施

硬件设施输入输出设备扫描仪辐射使用时存在电磁辐射,导致信息泄露*1涉及高密级信息,应控制其辐射强度*a后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息*2来源可靠并经权威部门认可・b滥用未授权者使用,可能对系统危害・3控制使用场合打印机辐射同・1同・a后门同・2同・b滥用同・3控制使用场合键盘辐射同・1同・a滥用同・3,如造成信息泄露加强管理,如使用登记显示器辐射同・1同・a偷看造成信息泄露控制使用场合磁盘驱动器辐射同・1同・a滥用同・3,如造成信息泄露使用无盘工作站

电话传真辐射同・1同・a后门同・2同・b滥用同・3加强管理,如使用登记安全设备访问控制类设备后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场滥用未授权者使用,可能对系统危害控制使用场介选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见

设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训,获得资格证书以后才能上111冈组件构件元素风险点风险描述保护措施制造者可能留下供维护后门或其他用途的后门,通过这些后门可获得敏感来源可靠并经权威部门认可硬安识别信息件全与鉴操作人员有意/无意地造严格的管理制度,专设设别设人为破成损坏,导致设备安全人负责,严禁私自拆施备备坏性能降低,甚至系统瘫卸,维修经授权并有痪负责人在场滥用未授权者使用,可能对系统危害控制使用场合

选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训1,获得资格证书以后オ能上岗安全审计设备后门制造者可能留ド供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场滥用未授权者使用,可能对系统危害控制使用场合选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见

设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训1,获得资格证书以后オ能上岗安全管理设备后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场滥用未授权者使用,可能对系统危害控制使用场合选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训1,获得资格证书以后オ能上岗组件构件元素风险点风险描述保护措施制造者可能留下第二后门套密钥等后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可操作人员有意/无意地严格的管理制度,硬安人为造成损坏,导致设备专人负责,严禁私件全密码破坏安全性能降低,甚至自拆卸,维修经授设设设备系统瘫痪权并有负责人在场施备滥用未授权者使用,可能对系统危害捽制使用场合所采购的产品不与系选型统的安全策略相符选型时征求有关安不当合,造成系统漏洞或全专家的意见开支增加

设备自ワ配置不当操作人员对设备配置不熟悉,对设备管理不当,导致系统安全性能降低所有操作人员都应当参加技能培训,获得资格证书以后才能上岗防病毒设备人为破坏操作人员有意/无意地造成损坏,导致设备防病毒能力降低严格的管理制度,专人负责。基础应用类安全设备后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场滥用未授权者使用,可能对系统危害控制使用场合选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见

设备自ワ配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训,获得资格证书以后才能上岗组件构件元素风险点风险描述保护措施硬件设施安全设备电子商务产品后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场

滥用未授权者使用,可能对系统危害控制使用场合选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训1,获得资格证书以后オ能上岗安全功能集成设备后门制造者可能留下供维护或其他用途的后门,通过这些后门可获得敏感信息来源可靠并经权威部门认可人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低,甚至系统瘫痪严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场滥用未授权者使用,可能对系统危害控制使用场合

选型不当所采购的产品不与系统的安全策略相符合,造成系统漏洞或开支增加选型时征求有关安全专家的意见设备自身配置不当操作人员对设备配置不熟悉,造成不当的服务开放了,导致系统安全性能降低所有操作人员都应当参加技能培训,获得资格证书以后オ能上岗防信息干扰、防辐射产品人为破坏操作人员有意/无意地造成损坏,导致设备安全性能降低严格的管理制度,专人负责,严禁私自拆卸,维修经授权并有负责人在场选型不当所采购的产品不与系统的安全策略相符合,造成不必要开支增加选型时征求有关安全专家的意见设备自ワ配置不当操作人员对设备配置不熟悉,造成设备配置不当,并不能达到抗干扰、防辐射等信息泄露等要求所有操作人员都应当参加技能培训,获得资格证书以后オ能上岗

组件构件元素风险点风险描述保护措施硬件设施存储介质纸介质保管不、与重要文件可能失窃而泄密;因发霉、鼠害等丢失信息加强管理,保存场所满足一定的条件废弃处理不当处理不彻底导致泄密集中处理、彻底销毁磁盘硬盘损坏或出错超过使用生命期而损坏或者随机错误导致数据可用性丧失采用双エ、镜像等技术容错,并定期信号更新保管不当可能因发霉、变形、划伤或强磁场干扰等造成数据丢失:失窃造成信息泄露保存场所满足适当的温度、湿度,防磁、防盗,多重备份并定期信号更新废弃处理不当攻击者可能利用一定技术恢复残留信息,造成信息泄露集中处理,由两个或两个以上的责任人彻底销毁软盘保管不当可能失窃而泄密；因发霉、划伤、强磁场磁化等丢失信息加强管理,保存场所满足一定的条件

随便使用软盘便于携带,隐蔽性强,容易导致泄密或弓1入病毒加强管理,严禁私下拷贝、安装软件或带软盘进入敏感场所废弃处理不当处理不彻底导致泄密集中处理、彻底销毁光盘□读损坏可能因发霉、划伤丢失信息,造成损失加强管理,保存场所满足一定的条件次写入保管不当可能失窃而泄密;发霉、划伤等丢失信息加强管理,保存场所满足一定的条件随便使用光盘容量大,易携带,隐蔽,容易导致泄密加强管理,严禁私下刻盘或带入敏感场所废弃处理不当处理不彻底导致泄密集中处理、彻底销毁多次擦损坏可能因发霉、划伤丢失信息,造成损失加强管理,保存场所满足一定的条件

写随便使用光盘容量大,易携带,隐蔽,容易导致泄密加强管理,严禁私下刻盘或带入敏感场所废弃处理不当处理不彻底导致泄密集中处理、彻底销毁保管不可能失窃而泄密:发霉、加强管理,需要时磁带磁化等丢失信息重新备份废弃处理不当处理不彻底导致泄密集中处理、彻底销毁录音ノ保管不、|]可能失窃而泄密;发霉、磁化等丢失信息加强管理,需要时重新备份水帯豕废弃处理不当处理不彻底导致泄密集中处理、彻底销毁组件元素风险点风险描述保护措施

软件设施操作系统缺陷常用操作系统如Unix,Dos,Windows/NT等在开发时对安全问题考虑不周而留下的缺陷或漏洞,往往被攻击者开发或直接利用来进行系统攻击使用系统扫描软件进行扫描,对发现的漏洞及时填补;配备一定的エ具软件进行实时监控和审计。对处理机要信息的系统选择安全等级较高的专用操作系统。后门操作系统开发者用于系统诊断、维护或其它目的有意或无意留下的,攻击者可用此获得操作特权使用工具软件进行实时监控和审计,尽量降低风险。对处理机要信息的操作系统尽可能使用专用或政府可控的软件。腐败操作系统不及时整理和维护,使安全特性和运行的稳定性降低系统管理人员定期进行系统清理和维护。

口令获取包括偷窃、猜测、字典攻击和转让等手段获取系统ロ令,非法取得对系统的操作特权,导致信息系统的管理权转移使用与用户信息无关,包含特殊字符,最小长度限制且不是字典中的单词的口令;限制登录次数;ロ令存储加密;定期改变ロ令等特洛伊木马是ー种程序,将恶意代码藏在表面上无害的程序中,一旦进入系统,在满足一定条件时便会危及系统制定相应的制度和策略,控制软驱、光驱和网卡等中的特洛伊木马程序进入系统的接口。病毒一种能将自己复制进入全机或磁盘执行自检区域的程序,一旦执行被感染的程序,便会破坏系统的正常功能制定相应的制度和策略,控制软驱、光驱和网卡等中的病毒程序进入系统的接口,并安装杀毒软、硬件。

升级缺陷操作系统版本升级/更新后,功能调整和出现向下不兼容问题,导致系统脆弱性分布发生变化,使得原有安全策略/措施失效控制版本升级的途径,对升级后的操作系统进行扫描以发现其缺陷。并采用安全审计,以发现外来攻击。

组件元素风险点风险描述保护措施软件设施网络通信协议包监视协议数据流采用明文传输,可被在线窃听、篡改和伪造;启动连接的鉴别信息、用户帐号和口令等采用明文传输,为网络侦听如使用网络分析仪等截获数据包提供了途径评估传输信息的路径,对可能搭线窃听、辐射侦测的地方进行控制,并对传输的包进行加密封装。涉及机要信息的传输,应选择可信信道,进行加密专网连接。内部网络暴露TCP/IP通信协议将内部网络拓扑信息暴露给公共网络,为外部攻击内部提供了目标信息。使用具有NAT功能的网关设备,将内部网络的!P地址转换成网关设备地址,从而隐藏内部网络拓扑。地址欺骗源IP地址极易被伪造和更改以及!P地址鉴别机制的缺乏,使攻击者通过修改或伪造源IP地址进行地址欺骗和假冒攻击使用地址绑定和鉴别机制,将!P地址同网卡的物理地址捆绑,并给每ー个用户唯ー的标志。

序列号攻击利用TCP/IP协议中所使用的随机序列号是ー个具有上下限的伪随机数因而是可猜测的。攻击者利用猜测的序列号来组织攻击。进行实时监控和源鉴别。路山攻击TCP/IP网络动态地传递新的路山信息,但缺乏对路由信息的认证,因此伪造的或来自非可信源的路由信息就可能导致对路由机制的攻击使用防火墙等网关设备保护网络内部设备,并进行审计跟踪和实时监控。使用带有鉴别机制的路由器。拒绝服务许多TCP/IP协议实现中的缺点都能被用来实施拒绝服务攻击,如:邮件炸弹、 TCPSYNfloodingヽICMPechofloods等使用防火墙等网关设备保护网络内部设备,并进行审计跟踪和实时监控。

版本升级缺陷协议相关软件版本升级/更新后,功能调整和出现向下不兼容问题,导致系统安全脆弱性分布发生变化,使得原有安全策略/措施失效/减弱控制版本升级的途径,对升级后的协议软件进行扫描和评估以发现其缺陷,并调整安全策略。鉴别攻击TCP/IP协议不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登录用户的身份合法性将!P地址同网卡的物理地址捆绑,并给每ー个用户分配唯一的标志。地址诊断运行TCP/IP协议的机器有一个用于局域网卡本地诊断的特殊地址,它常常被攻击者操纵来实施攻击使用防火墙等网关设备隐藏内部机器可供攻击者利用的信息其他缺陷其他非TCP/IP协议的缺陷进行扫描和评估以发现其缺陷;采用实时监控和安全审计,以发现外来攻击。

组件元素风险点风险描述保护措施软件设施通用应用软件平台后门指在应用软件中含有其所有者未授权的特殊代码,一般是程序开发者为维护或其它用途有意或无意留下的,这类后门可提供进入系统核心的途径。采用行政手段控制软件的来源,包括对软件开发商的评估,对涉及处理机要信息的软件尽量自主开发。逻辑炸弹指故意书写或修改的程序,当满足某种条件时就会产生预料不到的结果,这些结果是合法用户或软件所有者没有授权的。可以在单独的程序中,可以是蠕虫的一部分,也可以是病毒。时间炸弹就是其中一种制定相应的制度和策略,控制软驱、光驱和网卡等逻辑炸弹程序进入系统的接口,防止其侵入系统。恶卮、代码ー些有不良企图的程序代码,能够影响应用软件的正常功能,一般包含在其他程序中如作为病毒的组成部分。制定相应的制度和策略,控制可供恶意代码进入系统的接口（软驱、光驱和网卡等）,防止其侵入系统。

病毒一种能将自己复制进入系统或磁盘特定执行自检区域的程序,一旦执行被感染的程序,便会破坏软件的正常功能或进行其他破坏制定相应的制度，控制软驱、光驱和网卡等病毒程序进入系统的接ロ。对外来软件进行先杀毒再使用,禁止使用来历不明的软件。蠕虫ー种独立式的程序,通常在网络中复制。使用网络实时监控系统,对发现的蠕虫及时控制。版本升级缺陷软件版本升级/更新后,功能调整和出现向下不兼容问题,导致系统安全脆弱性分布发生变化,使得原有安全策略/措施失效/减弱控制版本升级的途径,对升级后的软件进行及时扫描以发现其缺陷,并调整安全策略。缺陷指软件开发者无意留下的缺陷或漏洞使用扫描软件进行漏洞扫描,对所发现的漏洞及时封堵,并配备一定的工具软件进行实时监控和审计。

网络笹理软件后门指在网络管理软件中含有的特殊代码,一般是程序开发者有意或无意留下的,本身没有危害,但可通过这些代码获得软硬件设备的标识信息,或进入系统特权控制的信息。采用行政手段控制网络管理软件的来源,包括对软件开发商的评估。逐步并提倡采用我国自主版本的网络管理软件。恶意代码ー些有不良企图的程序代码,能够影响网络管理软件的正常功能,一般包含在其他程序中如作为病毒的组成部分。制定相应的制度和策略,控制可供恶意代码进入系统的接口（软驱、光驱和网卡等）,防止其侵入系统。缺乏厶话鉴别机制大部分网络管理软件的通信会话采用极为简单的会话鉴别机制,且使用“公共变量格式”传输和存储管理信息。攻击者一旦猜到会话ロ令,便能修改或删除管理信息造成灾难性后果。使用附加鉴别信息对通信会活进彳了鉴别和验证;必要时采用加密技术传输网络管理信息。

组件元素风险点风险描述保护措施管理者网络管理员操作失误由于业务素质原因或疏忽大意违反操作规程造成系统运行混乱和安全隐患。对网络管理人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职责。蓄意破坏包括篡改系统数据、泄露信息和破坏系统的软硬件等。制定岗位制度,相应的保密政策。依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。信息安全管理员失职由于业务素质原因或疏忽大意违反操作规程造成系统安全管理不当,不能体现本网络业主符合国家法律、法规的最高安全利益。对信息管理人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职责。

蓄后破坏篡改系统数据、泄露信息和破坏系统的软硬件等。制定岗位制度,相应的保密政策。依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。机要信息操作员失职创建、编辑或传输数据时违反操作规程导致机要信息受损或泄露对机要人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职贝。蓄意破坏包括篡改数据、泄露信息和破坏系统的软硬件等制定岗位制度,相应的保密政策。依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。文档管理员失职对文档保管违反操作规程导致文档损坏、丢失或信息泄露对文档管理人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职责。

蓄后破坏包括篡改文档、泄露文档内容等制定岗位制度,相应的保密政策。依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。信息存储介质管理员失职对存储介质保管违反操作规程导致备份数据的存储介质损坏或信息泄露等对介质管理人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职责。蓄意破坏包括篡改数据、泄露信息、非法复制等制定岗位制度,相应的保密政策。依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。

系统结构ノし糸风险点风险描述安全保障网络层次结构纵向层面分级管理内联网通过公共网络的物理连接与公共网络的物理连接,为从公共网络进入内部网络提供了直接途径,导致外部攻击者可以进入内部主机和资源站点。内联网各个子网与公共网络的连接界面处配置具有访问控制功能的物理隔离设备。采用TCP/IP协议时内部网络拓扑暴露问题以Internet的TCP/IP协议为基础技术的内联网内以IP地址为公共网络递交协议数据的唯一标识,因此,内部网络的网络拓扑实际上是暴露,这就是为外部攻击者提供了可供攻击使用的重要信息。使用具有NAT功能的网关设备,将跨越公共网络连接的内部网格站点及ビ机的IP地址转换成网关设备地址,将内部网络拓扑隐藏起来。

安全域的管理中央一省级,省级一地级,地级ー县级的逐级管理网络层次模型,要求对安全域的划分和管理有相应的策略和设备,否则内联网不能有序、协调和安全地运行。由上至下以树形结构划分逻辑网络,分别由上级机构以密钥管理体系和访问控制管理策略为制约条件逐级确定内联网安全域、子域及其关联性。与公共网络的物理连内联网各个子网与横向通过公接,为从公共网络进入公共网络的连接界层而共网络内部网络提供了直接面处配置具有逻辑内联的物理途径,导致外部攻击者访问捽制功能的物网连接可以进入内部主机和理隔离设备。资源站点。

采用TCP/IP协议时内部网络拓扑暴露问题以Internet的TCP/IP协议为基础技术的内联网内以IP地址为公共网络递交协议数据的唯一标识,因此,内部网络的网络拓扑实际上是暴露,这就是为外部攻击者提供了可供攻击使用的重要信息。使用具有NAT功能的网关设备,将跨越公共网络连接的内部网格站点及ビ机的IP地址转换成网关设备地址,将内部网络拓扑隐藏起来。安全域的管理横向层次内联网为同ー行政级别机构各子网的集合,各个业务部门及其业务信息对安全等级的要求差别很大,安全域的管理不当会造成系统运行无序和安全隐患。上一层信息安全机构依次为下ー层内联网制定安全策略并确定安全域、子网及其相关性。中央ー层内联网的安全域、子域及其关联性由中央党政信息系统安全机构制定。

系统结构~■*儿糸风险点风险描述安全保障局域网结构同一建筑物内单一局域网内部资源（群）信息系统与用户信息系统混杂资源信息系统与用户信息系统混杂可造成系统运行混乱并衍生出相关的安全问题;涉密信息系统与非涉密信息系统混杂必然导致运行安全和管理安全问题。利用VLAN技术将内部资源（群）信息系统和用户信息系统划分成逻辑子网,实现逻辑隔离;将涉密信息单独组成网段或子网并与其它非涉密系统隔离。局域网内子网Z间的直接物理连接局域网内各物理/逻辑子网之间存在着安全策略的差异,直接连接可导致非授权访问和非法入侵。必要时局域网内部各子网之间进行物理隔离和逻辑隔离。

相邻建筑物之间构成局域网内部资源（群）信息系统与用户信息系统混杂资源信息系统与用户信息系统混杂可造成系统运行混乱并衍生出相关的安全问题;涉密信息系统与非涉密信息系统混杂必然导致运行安全和管理安全问题。利用VLAN技术将内部资源（群）信息系统和用户信息系统划分成逻辑子网,实现逻辑隔离;将涉密信息单独组成网段或子网并与其它非涉密系统隔离。局域网内子网之间的直接物理连接局域网内各物理/逻辑子网之间存在着安全策略的差异,直接连接可导致非授权访问和非法入侵。必要时局域网内部各子网之间进行物理隔离和逻辑隔离。建筑物之间的户外连接户外物理连接可能被搭线窃听和电磁辐射侦测。采用密码技术保护涉密信息的户外传输

利用广域网技术连接的网络内部资源（群）信息系统与用户信息系统混杂资源信息系统与用户信息系统混杂可造成系统运行混乱并衍生出相关的安全问题;涉密信息系统与非涉密信息系统混杂必然导致运行安全和管理安全问题。利用VLAN技术将内部资源（群）信息系统和用户信息系统划分成逻辑子网,实现逻辑隔离;将涉密信息单独组成网段或子网并与其它非涉密系统隔离。跨地域的广域网连接来自与公共通信设施连接的外部网络可通过广域网连接进入内部局域网。采用TCP/IP协议连接的,在连接界面配置具有NAT功能的防火墙;利用非IP协议连接的,可进行“非!P—IP”转换后配置防火墙,也リ利用专用协议在连接两端强化鉴别机制。

系统结构元素风险点风险描述安全保障信息传递结构在安全域内或跨域传递同一安全域内自上逐级或多级向下或相反方向传递的敏感信息需穿过公共网络通过公共网络交换的协议数据包可能遭受搭线、辐射侦测和网络工具探测,导致信息完整性、机密性的破坏。采用密码技术对敏感信息进行穿越公共网络的加密传输;采用鉴别技术对信息在传输中进行完整性保护。同一安全域内具有若干安全等级和安全策略不同的子域不同安全子域之间信息传递风险,可导致低密级子域接受高密级域信息;保护高密级信息的密码技术及其设备被用于保护低密级信息。严格按信息安全需求划分信息密级等级,并以此严格确定安全子域和安全策略,并配置相应的安全设备。

同一安全域内,不同子域之间和跨域与另ー个子域之间的横向信息传递跨域或子域的子网之间的横向信息传递,可导致直接经由该城区ISP进行,从而旁通安全策略的控制。安全策略的制定必须坚持跨域或子域进行的横向信息传递,必须经由两个通信子网共同相交的安全域网关转发。与Internet之间传递各级政府向社会公开的信息发布以Web形式向社会发布的网络信息,可能招致敌对势カ对发布信息的完整性破坏以及攻击信息发布系统本身。在内部网络与Internet之间配置防火墙子网,将信息发布系统置于防火墙子网的非军事区内,并定期更新发布系统,委派专人负责系统监控和维护。

党政机关工作人员通过Internet浏览和下载信息浏览和下载非许可信息,将病毒等恶意代码带入内部网络系统因公需要进行!nternet浏览和下载信息的浏览器,必须与党政机关信息系统实行物理或逻辑隔离,必要时实行物理连接的断开。下载信息必须先进行病毒扫描,再存入磁盘。电子邮件交换将未授权信息通过电子邮件泄露和利用电子邮件开展与本职工作不相称的信息交换;外部攻击者利用邮件炸弹等方式进行攻击,使得邮件服务器正常服务中断。将电子邮件服务器置于防火墙子网中的非军事区,或置于内部网络中的代理服务器中;所有电子邮件均需经过信息检查系统的审查才能转发。

系统结构元素风险点风险描述安全保障信息存取方式主机方式户外连接存取搭线窃听,辐射侦听。户外连接的介质采取电磁屏蔽;涉密信息采用加密技术存取。C/S方式客户身份确认客户机身份识别标志及口令、帐户信息泄露导致非授权存取和行为后抵赖。强化客户身份标识、U令及帐户等信息的管理（包括禁止使用权转让）,增加抗抵赖促使措施。通过公网存取通过公网的存取信息可被窃取和侦听。采用传输介质屏蔽措施,涉密信息采用加密技术存取。B/S方式Web服务器与信為服务器供连接Web服务器与信息服务器直接连接可导致对信息服务器的入侵攻击。Web服务器与信息服务器之间实行隔离,阻断外部攻击者与信息服务器的直接接触。

Web服务器对用户的控制Web服务器对用户无控制措施可导致运行无序和非授权访问。Web服务器中建立完善的访问控制机制,并有完善的口令、计帐和审计功能。

系统功能元素风险点风险描述保护措施基础功能信息生成信息在本地生成并存储信息在本地生成时,源数据及其载体的提供与转移中的管理缺陷导致源数据丢失、泄露;数据录入时可能产生击键电脉冲辐射和电子显示辐射,导致电磁辐射;信息生成后的存储与备份管理缺陷,导致有用信息的泄露、丢失和永久性不可恢复。制定严格规范的信息源、数据及其载体的提供与转移管理规程,以防止提供给未授权者或中途丢失、损坏;对录入设备和回显设备采用防辐射措施,防止辐射信息扩散到未授权者可以侦测的范围；制定严格规范的信息存储和备份管理规程,既能防止信息的泄露、丢失,又能保证灾难可恢复。生成后的涉密信息予以加密存储。

信息在远程录入,本地生成并存储信息源数据由远程提供并录入,可能导致源数据丢失、泄露;数据录入时可能产生击键电脉冲辐射和电子显示辐射,导致电磁辐射;信息生成后的存储与备份管理缺陷,导致有用信息的泄露、丢失和永久性不可恢复；录入信息通过远程传输到达本地,导致传输过程的信息泄露、窃听和篡改。制定严格规范的信息源、数据及其载体的提供与转移管理规程,以防止提供给未授权者或中途丢失、损坏;对录入设备和回显设备采用防辐射措施,防止辐射信息扩散到未授权者可以侦测的范围；制定严格规范的信息存储和备份管理规程,既能防止信息的泄露、丢失,又能保证灾难可恢复；录入信息由远程到本地的传输应予加密并有鉴别措施,以保证录入信息在传输过程中的完整性和机密性。生成后的涉密信息予以加密存储。

信息处理信息生成后,在机内和网络内的处理未授权者对信息进行处理,直接危及信息的完整性、机密性和可用性,并可导致信息泄露、丢失和被破坏。严格禁止未授权者进入信息处理系统和应用程序;严格禁止将信息处理特权提供、泄露给未授权者。イ:；息传输局域网内的信息传输信息在局域网内的传输可导致信息泄露和未授权者使用机密信息,低等级授权者存取高等级机密信息等。在信息资源服务器（群）或子网与用户（群）之间配置访问控制设备或代理服务器;严格地实施信息存取的操作权限管理。

系统功能元素风险点风险描述保护措施内联网内部子网之内联间的信息传输,由于内联网内部子网之内联间的信息传输,由于网内跨越公共网络进行,信息将导致信息电磁泄传输露、搭线窃听、网络探测和直接破坏。采用对传输信息加密的密码技术,使跨越公共网络的传输信息对未授权者和攻击者不可阅读和理解,从而阻塞对信息进行直接攻击的途径,确保信息的完整性、机密性和可用性。基础功能信息传输内联网之间信息传输内联网及其子网之间的信息传输,由于跨越公共网络进行,将导致信息电磁泄露、搭线窃听、网络探测和直接破坏:内联网之间存在安全策略的差异,安全域管理缺陷将导致信息传输混乱和未授权使用信息等安全隐患采用对传输信息加密的密码技术,使跨越公共网络的传输信息对未授权者和攻击者不可阅读和理解,从而阻塞对信息进行直接攻击的途径,确保信息的完整性、机密性和可用性;必须按安全策略和密钥管理体制的约朿,科学进行安全域的管理。与Internet之间信息传输以Web形式向社会发布的网络信息,可能招致攻击者对发布信息的完整性破坏以及攻击信息发布系统本身。在内部网络与Internet之间配置防火墙子网,将信息发布系统置于防火墙子网的非军事区内,并定期更新发布系统,委派专人负责系统监控和维护。

信息存储存储介质保存数据的介质如硬盘、磁盘、光盘、磁带、录象带超过使用生命期或者未定期进行信息更新,导致数据可用性丧失;存储介质由于保管不当,导致发霉'变形、划伤或强磁场干扰等造成数据丢失和不可恢复:废弃存储介质处理不彻底,攻击者可以利用一定技术恢复残留信息,造成信息泄露。妥为保存存储介质,定期检查并更换介质重新备份;保存场所满足适当的温度、湿度,防磁、防盗要求,对丢弃的存储介质如光盘、磁盘、磁带等应集中处理,由两个或两个以上的责任人彻底销毁。

信息介质存储保管对存储介质保管违反操作规程导致备份数据的存储介质损坏或信息泄露等,包括篡改数据、泄露信息、非法复制、失窃等。对介质保管人员进行业务和职业道德培训,并制定相应的岗位制度,明确岗位职责和相应的保密规定,并依据国家有关法律、法规和管理规定对违反规定者作出相应的惩罚,严重者依法判罪。信息备份信.息没有备份,仔致灾难和损害后永久性丢失;备份保管场地集中,导致灾难和损害后永久性丢失:备份过多,导致信息丢失和泄露。必须根据信息的使用情况作适当备份。信息备份不得集中保管在ー个场所；备份信息必须有严格存取、调用和信息信号更新的管理规程。3安全需求众所周知,随着的应用范围的逐步扩大,信息系统的重要性也随着明显的增加。要解决信息系统的安全问题,就要知道信息系统对安全有那些需求。安全需求是多方面的,一般而言,安全需求分为两种,一种是用户的非专业的安全需求。这种用户的需求有很强的实践性,它是用户从非专业的角度提出的安全需求。但是,用户提出的安全需求是很不规范的,为此安全设计者应当从专业的角度出发进行安全需求分析,得到ー个专业的安全需求,这个安全需求必须征得用户的认可,最后变成该的安全需求作为系统安全设计的依据。笼统地讲,ー个信息系统的安全需求要从以下几个方面考虑:与环境相关的安全需求分析（如应用系统出入口、场地设施、网络互联、门控系统、设备安全等安全要求分析）。与功能相关的安全需求分析（如系统的保密性、数据备份、病毒防范、入侵检测、监控、灾难恢复等安全需求分析）。与性能相关的安全需求分析（如系统的可靠性、完整性、可用性、可控性、可审查性等安全需求分析）。与服务相关的安全需求分析（如应用系统的不可抵赖性、数字签名、授权、鉴别、CA等安全需求分析）。5）与管理相关的安全需求分析（如开发工具、管理工具、系统内外人员安全管理、系统内外信息交换安全管理、安全管理机构等的安全需求分析）。6）与系统相关的安全需求分析（操作系统安全、数据库安全）2.4安全策略的制定安全策略是ー套规则,这套规则用来限制由一组或多组元素组成的ー组或多组与安全相关的行为。该框架的每一部分都包括了对每ー安全业务的安全策略形式的描述。在分布式系统中,安全策略不需要应用到所有行为或所有元素之中。也就是说,使用安全策略时必须包括该安全策略应用于哪个行为和哪个元素的定义。每一安全业务的规则来源于该安全策略。该框架的每一部分包括了对每ー种机制的这些规则的描述。其中,在系统的发展过程当中以及不同安全域之间的交互行为中安全策略的规则应仍保持有效。安全策略定义了以下三个方面:第一是该域中安全的含义;第二是规则,通过应用这些规则可以获得安全权威机构认为满意的安全;第三是安全策略应用的行为。安全策略也可以定义适用于其他一般安全域和特殊安全域的规则。安全策略的一般介绍:1) 信息安全策略要明确几个概念;所有主要的信息资产都有一个确定的拥有者。根据信息的法律责任、价值、总体策略和商务需求,信息的拥有者将其拥有的信息定为各种敏感等级中的ー种。信息的拥有者要确定谁可以访问这些数据。信息的拥有者要对这些数据负责,根据其敏感程度进行适当的加密保护。信息的分类:公开或非保密信息内部信息机密信息根据信息的敏感等级,信息在存储、传输和处理过程中要进行适当的保护（如加密存储,加密传输等）2）人员安全策略人员的安全策略将包括如下几个方面:公共道德:如用户不能共享一个帐号和口令、滥用系统资源、下载PC的数据、拷贝无许可证的软件等。ロ令策略：口令的产生、使用都要有严格的规定通用软件策略:通用软件的使用也要有明确的规定网络：在网上传送机密数据时,要进行加密传输、用户不能与和其有关系的局域网以外的任何机器相连、允许拨号入网,但是必须以安全的手段接入。因特网:与因特网相连是当今商业环境下必然发生的事情,因此,必须尽量避免由于和因特网相连而产生的威胁便携式计算机和笔记本电脑:便携式计算机和笔记本电脑为移动办公创造了很好条件,但是从安全的观点看必须制定相应的安全策略来避免受到攻击。计算机和网络策略系统管理策略:系统的管理保证了系统的正常エ作,使得机密信息只有那些授权的访问者能够得至リ,使得信息不被改变。系统管理策略包括:物理安全、访问控制、登录策略、保证、责任和审计以及服务的可靠性。网络策略：计算机之间传送信息可以造成很大的安全威胁,因此,网络策略的制定就非常重要。它包括：网络/分布式系统策略、拨入访问、拨出(PSTN/ISDN),因特网防火墙、与其它网的接口、事件响应程序。软件开发策略:安全将作为新的系统的一部分。当设计出系统的功能要求时,安全要求与系统要处理的数据的敏感性和可用性形成明显的对应。业务连续性规划重要业务过程的连续性由灾难规划和信息分类来保证。2.5安全建设原则信息系统安全建设必然要按照一定的原则进行。这些原则必须与的实际情况相结合与有关的准则、标准、惯例和机制相匹配。显然,不同的信息系统有着不同的安全建设原则,也有不同的重点。这里,我们介绍《公认的系统安全准则》(GASSP),播于1990年美国国家研究委员会的研究报告《风险中的计算机》中的一个建议。由10个国家的41名代表组成的GASSP委员会经过反复讨论和修改,于1999年6月发布的2.0版本。该版本介绍了在设计、开发、生产和应用时所应遵循的安全原则。系统安全准则分为三类:普遍性安全原则功能广泛安全原则具体化安全原则普遍性原则涉及信息的以下属性:保密性完整性可用性可控性可审查性和不可否认性只能由经授权的人员、实体和进程在授权的时间内,以授权的方式揭示开来的信息特性。信息的精确性和完全性以及保持精确性和完全性的特性信息和支持能被适时地以所要求的方式访问和可用的特性负责原则:必须明确定义和确认信息安全的义务和责任责任表征对交互信息的所有团体和进程行为的审查能力。作用和责任应被明确地定义和查验,并与信息的敏感性和关键性相对应,然后恰如其分地授权。所有团体、进程和信息之间的关系必须明确定义、归档并让所有团体了解。所有团体有责任保持他们的可审计性。所有的用户,包括但并不限于信息拥有者和信息安全从业人员都必须知道:应该了解已用的或可用的信息和安全的准则、标准或机制。他们还应该知道对信息安全的可能威胁。基本原理:本原则用于各种组织机构之间和内部。了解信息安全准则、标准、惯例和机制可增强控制并使控制得以实施,也有助于缓解威胁。知晓威胁及其危害会增加用户对信息控制的承受能力。如果用户对特殊的信息控制必要性没有认识,就会疏忽、回避现有的信息控制机制或使其失去作用而造成对信息的威胁。授权和非授权部门都适用通晓原则。应以道德来规范信息的利用和信息安全的管理基本原理:普及社会和文化的各个领域。和信息安全要配置得体、利用得宜,旧需要有一些规矩和期待,信息和的利用应该匹配于社会规范和社会公德建立起来的期盼。和安全方面的原则、标准、信息惯例和机制应该考虑和顾及方方面面的用户。基本原理:信息安全是信息拥有者、用户、管理人员和信息安全人员共同努力取得的综合成果。适当兼顾所有有关方面的利益及其技术能力,可以提高信息安全性,有更好的公认性。信息安全的控制程度应该与信息篡改、使用拒绝和信息泄露的风险大小成正比关系。对信息安全的控制应该配比于信息资产的价值及其脆弱性。必须考虑信息的价值、敏感性和重要性,顾及信息的直接或间接的损伤或丢失的可能性的频度及其严重性。本原则承认信息安全从预防保护到认可接受的各种方法的价值。信息安全的原则、标准、惯例和机制应彼此协调和综合,也应该跟组织机构的策略协调,以形成和维护整个的安全。许多信息安全漏洞不止涉及ー种安全保护。最有效的控制措施就是综合控制系统的各个组成部分。如果对组织机构系统的控制以及在生命期内对信息能很好的规划、管理、协调,那么信息安全就是最见效的。所有的责任部门应及时的以协调的方式防止信息和出现漏洞和安全性威胁或对其做出响应。机构应能迅速进行协调,使威胁得以预防或缓解。本原则需要公司的部门共同建立起迅速、高效地报告和处理威胁事件的机制和程序。更多了解威胁历史,有助于对威胁事件作出高效响应,也有助于防止将来事件的发生。应周期性地评估对信息和的威胁.信息和对其安全性要求随时间的流逝而不断改变着。安全风险对信息本身、对其价值、直接或间接破坏/损失的可能性以及这种可能性出现的频度和严重程度都应该进行周期性评估。周期性评估要测定已用上的安全措施及其控制与上述风险的差距,还要评定这些差距带来的（新的）安全风险。周期性评估使责任部门能作出正确的信息风险管理决策。▼的重大改变▼信息本身或其自身价值的重大改变▼技术上的重大改变▼威胁或脆弱性有重大改变▼现有安全保护措施的重大改变▼用户环境的重大改变▼潜在的损失有重大变化▼机构/企业有重大变化▼上次评估已到期管理部门在制定政策时,在选择、实施和强制执行信息安全措施过程中,应尊重个人的权利和尊严。组织机构在使命目标的合法范围内实施信息安全措施时不应侵害信息的合法用户、信息所有者和其他受影响的团体。功能广泛原则从表示信息安全目标概念的普遍性原则中派生而来.它在范围上要窄ー些,所以更易于用计划的实施来解释。管理部门应确保策略、所支持的标准、目标、过程和指南必须原原本本地显示出信息安全的所有原貌。这样的指南必须分清职责、自由决策选择度和每个个人或机构实体所允许承担的风险程度。为了始终确保信息资产按其价值及相关风险来衡量是高效安全的,管理部门必须明确表达安全策略和有关期望值。如果不明确,将会造成某些资源的安全不足,而另外一些将过分安全,即安全不高效。重要的是责任机构要建立、坚持和发布层次清晰的策略、支持标准、目标、过程和指南（包括权利和责任）。讨论机构拥有或负责的资产ー支持信息技术的资源的安全性也是必要的。策略应反映信息资产拥有者的任务状态也包括信息资产的保密性、可用性和完整性对于资产拥有者和其他有关团体的价值。策略还必须反映机构的任务状态的变化、技术进步以及和其它未被认识或无法称呼的可能损害信息安全的威胁的变化。围绕机构的信息资产或其负责的资产安全,进而开发层次鲜明的策略体系,确保信息拥有者、用户、管理者和信息安全官员在高效保护信息资产方面能有明确的指导。策略研究和开发,那么信息拥有者、用户、管理者和信息安没有对信息资产或对其负责的信息资产的安全性作明晰的全官员就没有明确的指导来确保信息资源的有效安全和高效安全。缺乏必要的策略指导将导致机构的信息资源遭遇很大风险,并且对于机构和其它相关部门来说有增加不可接受的损失、法律责任或受到伤害的可能性。缺乏必要的策略还将可能导致管理上在调整或补救的选择方面的损失。管理部门应向所有员エ传达信息安全策略,并确保所有人对此都有一定的了解.教育应包括标准、目标、程序、指南、责任、相关的强制性措施以及不尊重这些所产生的后果。为确保所有员エ都了解信息安全策略,管理部门必须有效并定期传达他们的要求。若员エ没有达到管理部门的要求,通常是管理部门蔬于宣传或宣传不到位所致而不是员エ的不良动机或非法目的造成的。没有对所有部门经常有效地宣传信息安全策略、标准、目标、程序、指南、责任、相关强制性措施以及不遵从的后果,将会导致部门无意识地违反信息安全策略。蔬于宣传信息安全策略还可能削弱强制措施执行的能力、起诉犯罪行为的能力或成功寻求民事经济赔偿能力。管理部门应使所有部门对访问信息和利用信息负责,例如对添加、修改、复制、删除信息以及维持信息技术资源的原版都要负责任。必须对所有的重要事件把日期、时间和责任信息附在个人行为中去。为确保人们的举止如所希望的那样,就必须知道谁干了什么,什么时候干的。各个机构建立并保持对信息资产的基本控制是必不可少的。这种控制要求个人和机构各自对自己的行为负责。责任的概念是指能被所有相关部门或实体接受的职务行为。有意让所有部门具有责任感,能保证信息资源的任何利用或对它的任何举动以及对信息技术资源的支持都将仅仅是为了授权的公务/任务目的而已,并且这种利用或行为都能被可靠跟踪,从而可查出具体的责任部门。管理部门应对信息资源定期编目归类和评估,定出其敏感级和安危临界级.信息作为一种资产必须被唯一地鉴别并与它所定的级别相对应.为有效地管理信息资产,管理部门必须知道哪些资产是需要保护的。为使信息能被有效管理,重要的是鉴别和列出作为