00-信息系统安全评估总结报告

...wd......wd......wd...信息系统安全风险评估总结报告文档信息文档名称xxxxxx信息系统安全风险评估总结报告保密级别商密文档版本编号1.0文档管理编号XJAIR-PGBG管理人xxxxxx信息部起草人制作日期200复审人评估工作领导小组风险评估专家咨询小组复审日期2005/06/扩散范围xxxxxx风险评估工程组，风险评估专家咨询小组，xxxxxx信息部文档说明本文档为xxxxxx信息系统安全风险评估总结报告，包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个局部。版权声明本文件中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属xxxxxx监理公司所有，受到有关产权及版权法保护。任何个人、机构未经xxxxxx监理公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。前言2003年中共中央办公厅、国务院办公厅下发了?国家信息化领导小组关于加强信息安全保障工作的意见?(中办发[2003]27号)，即27号文件，文件指出：“为了进一步提高信息安全保障工作的能力和水平，……要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进展分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进展相应等级的安全建设和管理。〞为加强信息安全保障工作，开展重要行业信息系统的安全风险评估工作指明了方向。金融、电信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障缺乏，2003年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前，银行、电力、铁路、民航、证券、保险、海关、税务已经被列入与国计民生密切相关的八大重点行业之中，其信息安全保障工作受到国信办的高度重视。xxxxxx致力于信息系统建设近十年，期间信息系统经历了屡次的升级改造，同时在信息系统的建设过程中，航空公司也经历了重大的机构调整，实行了机场、民航管理局和航空公司的别离，成立了xxxxxx集团xx分公司，并形成了xxxxxx独立的网络系统。在信息系统建设形成一定规模、网络系统经过重大调整的情况下，xxxxxx部适时提出了进展“信息系统安全风险评估〞这一具有前瞻性、建设性的要求，请第三方机构对信息系统的安全管理、网络通讯、应用系统进展全面的安全风险评估。本报告是整个评估工作的总结性报告，综合分析了xxxxxx系统的特征、面临的安全威胁、系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险，描述了针对脆弱性提出的信息安全风险控制建议。评估过程及详细的测试分析内容分别表达在本报告的附件-01到附件-18。目录TOC\o"1-2"\h\z\u第一局部概述41.1风险评估的背景41.2风险评估工程组41.3风险评估的目的61.4风险评估的依据7第二局部风险评估方法72.1风险评估流程72.2风险评估的结果文档92.3风险评估的现场测试102.4风险评估的分析方法11第三局部系统特征描述123.1系统定位123.2网络拓扑构造123.3现行系统的安全策略133.4信息资产识别和定义15第四局部风险分析174.1威胁识别174.2脆弱性识别204.3信息安全风险分析24第五局部风险控制265.1评估结果分析265.2风险控制建议275.3风险控制措施实施建议28附表1xxxxxx信息系统安全保护等级符合情况对照表28附表2xxxxxx信息系统安全风险评估技术文档交接单28第一局部概述1.1风险评估的背景xxxxxx是xxxxxx股份公司的成员单位之一，是国有大型航空运输企业，开辟有50多条国内航线和多条国际航线。现已形成以xxxx为中心的枢纽-辐射式营运网。xxxxxx信息系统建设开场于1995年，经过1996年〔原〕办公楼综合布线、1997-1998年建设了覆盖五个相关办公楼的局域网及这五个办公大楼内部的综合布线、1999年建设INTERNET出口、2000年启用公司新办公楼，2000-2001年通过光缆连接了七个主要业务楼，形成了以公司办公楼为核心覆盖全公司的主干网，目前公司与管理局别离，形成了公司独立的局域网。信息化综合管理机构设置了信息部，目前信息部已有技术人员二十一人，形成了一支信息系统软件开发、系统管理、日常维护的专业队伍。在xxxxxx网络中，目前有二十几个应用系统在运行。可以说，信息系统已经是航空公司日常工作不可缺少的工具和手段，信息系统的安全稳定运行，直接关系到生产和管理一线业务的正常运转，也间接影响到航空公司社会形象及信誉度等无形资产。目前xxxxxx系统虽然仍保持着正常运行的状态，但整个系统运行中存在哪些风险，安全管理中存在哪些漏洞，针对这些问题应该采取什么措施，这都需要进展更高层次的评估与检测。因此，经过在近十年信息系统的建设，对信息网络系统做一次全面的安全风险评估，找出系统漏洞，进展风险控制，防患于未然，保证系统稳定运行，是管理人员在两年前就酝酿的一项工作，希望通过风险评估，找出整个系统运行中存在的风险，评价信息系统建设的效果，并针对存在的问题提出解决方案，为今后xxxxxx化的进一步开展提供参考依据。1.2风险评估工程组本次风险评估工程由多方共同组建工程组，工程委托单位为xxxxxx，工程组织单位为xxxxxx监理公司，参加单位有xx质量技术监视局、xx大学现代教育中心、中国科学院xx理化所等。安全评估领导小组组成如下：分组姓名职务/职称工作单位工作职责领导小组总经理组长/组织协调总工副组长/技术负责部长协调管理副部长协调管理主任/教授应用系统组组长总监网络通讯组组长安全评估小组组成如下：分组姓名职务/职称工作单位工作职责应用系统小组主任/教授应用系统组组长计算机硕士副组长主任副组长监理工程师成员工程师成员网络通讯小组网络总监组长副主任副组长副主任成员高级程序员流量分析与系统测试计算机硕士成员助理工程师成员助理工程师成员安全管理小组副研究员xxxxxx监理公司组长副主任xxxxxx信息部运行室副组长助理工程师xxxxxx信息部运行室成员监理工程师xxxxxx监理公司成员为了保证评估工作的质量，工程组还聘请了以下专家组成本工程的专家咨询组：分组姓名工作单位职务/职称联系专家咨询组副主任/教授主任副所长/研究员副处长教授CCIE副主任副主任1.3风险评估的目的风险分析与评估作为一种重要的信息安全工程技术方法，其目的是帮助相关人员明确信息系统对于用户的作用、价值大小，明确信息系统故障、安全事故可能对用户造成的影响。风险分析与评估的结果是信息安全方面投资、决策的依据，同时也是评估投资效果的重要手段和依据。风险分析与评估最重要的成果就是目前系统的风险大小，以及相应的降低风险的安全措施部署策略建议。本次风险评估的主要目标就是要帮助用户确定信息系统的安全风险，通过这次风险评估，可以全面了解当前xxxxxx系统的安全状况，分析系统所面临的各种风险，根据评估结果发现信息系统存在的安全问题，并对严重的问题提出相应的风险控制策略，通过信息安全相关系统工程的实施，使信息系统的安全风险降到用户可以承受的范围内。1.4风险评估的依据信息安全是信息技术开展过程中提出的课题，是一个与时俱进的概念，评价标准随时代及信息技术的开展而变化。可以说所有与IT相关的标准都是我们评估的依据，通用的主要依据和国际、国内、行业标准有：信息系统安全评估合同书中办发[2003]27号文件?国家信息化领导小组关于加强信息安全保障工作的意见?GB/T18336-2001?信息技术安全技术信息技术安全性评估准那么?〔CC〕ISO17799:2000?基于风险管理的信息安全管理体系?ISO13335信息技术安全技术信息技术安全管理指南GA/T378~391-2002计算机信息系统安全等级保护技术要求系列标准美国标准与技术研究院开发的?信息技术系统的风险管理指南?GB/T××××信息安全风险评估指南〔报批稿〕微软安全风险管理指南相关各方达成的协议第二局部风险评估方法2.1风险评估流程本次风险评估的过程从组织管理的角度可以分为五个阶段，而从技术分析的角度可以分为九个步骤，五个阶段和九个步骤及其相互之间的关系可以用图3-1表示。图3-1对风险评估的每个阶段所要完成的工作做出了清晰的描述，在风险评估的五个阶段中，业务调研的目的是为了准确地对系统的特征进展描述，从而界定信息系统安全评估的边界，为信息资产定义提供第一手资料；而现场测试那么为系统漏洞的检测分析提供了依据。图3-1信息安全风险评估过程及步骤风险评估的技术分析的九个步骤是和评估各个阶段的工作严密结合的，从业务调研阶段开场进入技术分析的步骤。系统特征描述是在对信息系统软、硬件构造、系统接口、系统任务、系统信息以及人员情况进展充分了解的根基上，对信息系统功能、边界的描述和对关键信息资产的定义；在系统特征描述过程中，对系统面临的威胁、系统存在的弱点、目前已经采取的控制措施进展初步的了解，在现场测试阶段，通过现场测试、实地堪查、座谈讨论等方式，进一步了解系统特征，掌握信息系统在采取了一系列控制措施后，仍然存在的各种弱点；在综合评估阶段，具体分析信息系统的潜在威胁，系统存在的弱点，这些弱点被威胁利用后可能产生的风险以及这些风险对系统的实际影响的大小等，最后安全风险评估小组根据业务调研、现场测试以及系统特征分析的结果确定各类风险的大小，提出风险控制建议，直至最后形成结果文档。2.2风险评估的结果文档在整个风险评估的过程中，我们按照这五个阶段的顺序组织管理整个评估工作，而且每个阶段的工作都有详细的文字记载，评估工作产生的文档包括：文档名称隶属阶段隶属步骤xxxxxx系统安全风险评估方案评估准备阶段xxxxxx安全风险评估实施方案xxxxxx安全风险评估调查提纲信息安全风险评估调查反响表业务调研阶段系统特征描述xxxxxx化现状介绍xxxxxx系统管理规章制度系统特征分析报告资产定义阶段信息系统安全现场测试方案现场测试阶段威胁识别脆弱性识别控制分析影响分析可能性分析风险确定信息系统安全现场测试记录表系统及数据库漏洞检测报告网络通信漏洞检测报告网络通信性能检测报告安全管理风险评估报告综合评估阶段网络与通讯风险评估报告应用系统风险评估报告xxxxxx系统安全风险评估报告信息安全管理机制风险控制建议书控制建议信息系统安全风险控制建议书信息系统安全风险控制措施实施方案以上所有文档均作为结果文档提交给xxxxxx信息部〔?技术文档交接单?见附表2〕，这些文档既是对本次评估工作的总结，也是本次评估工作的成果，可以作为xxxxxx安全方面投资、决策的依据；也是今后进展动态信息安全评估的参考资料。可以看出，风险评估的整个过程都是在充分的信息收集、调查研究的根基上进展的，信息收集的工作贯穿于评估工作的始终。因此其结果可以客观地反映被评估系统存在的安全风险，使xxxxxx可以及时采取相应的措施，防患于未然。2.3风险评估的现场测试根据安全风险评估方案的安排，本次安全评估的现行信息安全状况的现场测试工作由“网络通信〞、“应用系统〞两个小组承担，现场测试采用自动化弱点扫描工具、人工测量分析、分析仪器测试、现场勘察、上机操作、对照标准进展分析评价等方法对评估对象进展测试。“安全管理〞小组根据前期调研结果进展了现场访谈，进一步了解信息安全管理方面存在的问题。在测试之前各小组均根据本组的测试任务制定了详细的测试方案〔具体内容见xxxxxx系统现场测试方案〕，并经过安全评估领导小组组织的讨论审查。在整个评估过程中，现场测试工作为风险评估提供了大量的原始资料，是评估工作不可缺少的组成局部。关于各小组详细的测试范围、测试依据、测试方法及测试步骤等内容见各小组的测试方案〔附件-06〕、现场测试表〔附件-07〕及测试报告〔附件-08、09、10〕。现场测试的调查对象包括：网络信现场测试：现场测试的物理环境包括位于机关办公大楼的信息中心机房，维修基地机房和飞行部机房三个物理位置，直接调查对象为xxxxxx的关键网络通信设备〔包括核心交换机、远程接入路由器、所有二级接入网络设备等〕及信息中心安全设备，并且对网络性能进展了测试。应用系统现场测试：测试对象为xxxxxx系统的数据库服务器和应用服务器。应用系统测试主要在xxxxxx中心机房内进展。使用机房内的PC机，安装扫描软件或直接登录到相应的服务器上，对服务器及数据库的配置情况进展检查，对照漏洞，发现安全隐患。信息安全管理机制：参照GA/T391-2002?计算机信息系统等级保护管理技术要求?中相关内容，及调研阶段收集的xxxxxx安全管理规章制度，采取进展现场访谈的方式，对安全管理机制的健全性进展进一步的验证。调查对象包括：安全管理组织、人员管理、安全管理制度、备份恢复机制、应急响应机制。2.4风险评估的分析方法本次评估采用了以以下图所示的风险评估模型：在风险评估模型中，主要包含信息资产、弱点、威胁、影响和风险五个要素。每个要素各自有一个或两个属性，信息资产的属性是资产价值，弱点的属性是被威胁利用的难易程度、威胁的属性是威胁的可能性、影响的属性是严重性，风险的两个属性风险的后果和风险的可能性。其中资产价值和影响的严重性构成风险的后果，弱点被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。本次评估，我们采用了定性与半定量相结合的风险分析方法，通过调查、测试等手段了解信息系统的潜在威胁、脆弱性及其对关键资产可能产生的影响，从而确定风险的等级。半定量风险计算的过程是：〔1〕根据信息资产识别的结果，计算资产价值；〔2〕对威胁进展分析，并对威胁发生的可能性赋值；〔3〕识别信息资产的脆弱性，并对弱点的严重程度赋值；〔4〕根据威胁和脆弱性计算安全事件发生的可能性；〔5〕结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。第三局部系统特征描述3.1系统定位xxxxxx是xxxxxx股份公司的成员单位之一，是国有大型航空运输企业，开辟有50多条国内航线和多条国际航线。现已形成以xxxx为中心的枢纽-辐射式营运网。航空企业是一个关系到人民生命安全的行业，信息系统作为其业务支撑体系，具有应用系统涉及面广、数据准确性、实时性要求高的特点。因此在信息安全的定位中，评估小组认为xxxxxx系统是企业级、非涉密信息网络系统，要求信息系统稳定、可靠运行；信息系统中包含有商密信息、敏感信息、业务信息及公众服务信息，在机密性、完整性、可用性、可控性、抗抵赖性各方面都有一定的安全要求。3.2网络拓扑构造3.2.1网络主干拓扑构造xxxxxx系统网络采用TCP/IP网络协议，网络主干拓扑构造见图3-1图3-1xxx网络主干拓扑构造图3.2.2中心机房信息系统构成图3-2信息中心核心设备拓扑图3.3现行系统的安全策略xxxxxx目前的网络基于Internet/Intranet和同城网络流行的符合国际标准的TCP/IP网络协议和WEB等技术，提供了与中国xxxxxx公司的数据传输与信息发布的专用网络，为了保障网络不受到有意、无意的的破坏，采取了以下安全防范措施：配置防火墙：为减少局域网用户受到病毒及黑客的威胁，在局域网与internet之间安装了思科SecurePIX525防火墙，实现了局域网用户对internet资源的单向访问；通过防火墙的过滤规那么，实现ip控制，限制局域网用户对internet的访问等。安装网管软件：公司专门安装了Ciscoworks网管软件，利用管理软件直观地以图形方式显示Cisco的设备，以及基本的故障排除信息，进展有效的网络管理。进展网络性能监测分析：为了给网络管理人员提供深入监测、分析和优化网络的信息，公司购置了美国福禄克网络公司的OptiViewII系列集成式网络分析仪〔OPVS2INA〕，该产品具有协议分析、流量分析和网络搜索的功能。入侵检测系统〔IDS〕：作为防火墙的补充，公司在网络上增加了干将/莫邪入侵检测系统，该系统主要作用是保护网络、帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。定期进展漏洞扫描：承影网络漏洞扫描器是一种基于网络的漏洞扫描和分析工具软件，用来检查网络环境下各种网络系统与设备的安全缺陷和弱点，信息部工作人员每周对中心服务器进展一次扫描，帮助管理员稳固企业的信息系统安全。划分VLAN：通过路由访问列表等Vlan划分原那么，可以有效的控制网络播送风暴和逻辑网段大小，将不同部门划分在不同Vlan，从而提高交换式网络的整体性能安装网络防病毒软件：为了保证用户在使用网络时不受病毒的感染，公司于2004年2月建设防病毒系统，局域网内的用户必须安装Symantec防病毒软件。安全管理组织：xxxxxx成立了由信息部部长任安全领导小组组长，由运行室副主任任副组长的“安全领导小组〞，安全管理人员由信息中心两名技术人员担任。负责与xxxxxx总部联系，并发布信息安全的相关信息。安全管理制度：xxxxxx制定了以下与信息系统管理相关的规章制度：xxxxxx网络管理暂行规定网络设备运行管理制度xxxxxx计算机病毒防治管理方法xxxxxx计算机系统密码设置和使用规那么xxxxxx邮件帐号使用管理及安全管理规定系统运行室管理规章制度系统运行室值班职责2005系统维护室工作职责划分系统运行室各系统应急预案xxxxxx在信息系统的建设中已经采取了以上的安全措施，这些安全措施也确实起到了安全防范的作用，信息系统运行至今，没有出现过重大的安全事故。但是从实际测试以及业务调研中，还是发现了不少系统的安全漏洞，有些系统的脆弱性还具有比较高的风险〔参见本文第四局部〕。这些问题是必须引起高度重视的。3.4信息资产识别和定义在资产定义阶段，通过对前期业务调研的总结和讨论，产生了xxxxxx中心信息资产工作表，并从中挑选出本次评估的关键资产，见表一：表一：资产定义汇总表资产资产的作用和重要性信息xxxxxx财务信息财务信息是公司的核心数据，目前xxxxxx公司的财务系统由xxxxxx公司统一管理，数据主要集中在xxxxxx公司航务、机务、采供、飞行、货运、客户信息这些信息直接关系到航空公司业务的正常进展，是企业的重要信息。原始资料及相关档案通常指第一手资料，如硬件、软件设计文档、数据库设计文档、原程序、软件安装介质、使用手册、配置手册、管理制度等等，有些内容丧失会造成泄密及无法恢复的损失应用软件业务系统软件xxxxxx公司的应用软件包括有FOC系统、航空维修综合管理信息系统客舱采供管理系统、飞行统计系统、航班查询系统、950333系统ISO9000手册电子版管理系统来保证xxxxxx业务的正常运行。数据库管理系统xxxxxx的数据库管理系统主要采用的是MSSQLSERVER，局部应用系统采用DB2、SYBASE和ORACLE数据库，来保障系统的正常运行，它们关系到数据的完整性和可用性操作系统xxxxxx公司各类服务器的操作平台，目前全部采用MSWIN2000系列操作系统，是各类服务器及工作站正常运行的根基环境，也是信息系统的最后一道安全防线。办公应用软件包括：xxxxxx的电子邮件〔采用的mdaemon6.5.3、xxxxxx的电子邮件系统Exchange2000〕；xxxxxx内、外部网站；办公自动化系统〔服务器在xxxxxx〕、视频系统等，是正常办公的辅助工具。网络管理软件信息中心采用CISCOWORK2000网管软件对网络运行状况的监控和维护提供了技术手段网络防病毒软件采用Symantec网络防病毒软件〔1000客户端〕，该系统主要用于为公司服务器和pc机防病毒，保证用户在使用网络时不受病毒的感染。关系网络中所有计算机的安全。承影网络漏洞扫描软件基于网络的漏洞扫描和分析工具软件，用来检查网络环境下各种网络系统与设备的安全缺陷和弱点，帮助管理员稳固企业的信息系统安全。网络设备及硬件数据库存储设备采用DELL磁盘阵列保存及备份xxxxxx公司局部的重要信息及数据数据库服务器采用HP和DELL的PC服务器做数据库系统载体，为xxxxxx公司提供各种查询、方案等数据服务核心路由及核心交换机核心交换机CISCO6509网络核心设备，一旦出现故障，会导致整个网络系统瘫痪通讯线路主干光缆线路和机房内连接各设备的线缆，保证xxxxxx业务的正常运行其他路由器及交换机CISCO3640和CISCO3750等是网络互联设备，提供对xxxxxx和市区售票处的接入，出现故障，会造成无法与中心网络连接，影响业务正常进展防火墙Pix525防火墙提供xxxxxx公司INTERNET的安全接入入侵检测系统防火墙的补充，提高系统对外部攻击的检测能力，扩展了系统管理员的安全管理能力〔包括安全审计、监视、攻击识别和响应〕。网络测试仪OptiViewII将网络分析和监测能力结合在一起，能够完整的透视整个网络。人员应用系统管理员负责应用软件升级、扩展、更新及数据备份。人是第一位的，其它因素，如：设备、软件程序、信息系统均由人来操作使用，信息资料由人来调用。安全管理人员负责信息系统安全管理及安全支持软件开发维护人员应用系统开发、升级、扩展及维护。网络硬件管理人员网络设备系统配置、网络检测。技术文档系统配置信息系统功能参数设定。源程序应用系统的程序清单。系统设计开发文档系统设计的依据、技术特征、业务及数据模式、开发方法等。系统说明文档说明系统的功能、使用范围。系统维护文档记载系统升级、维修的文字记录。在系统资产定义阶段，还根据资产的工作范围及重要性，对信息资产的安全优先级别进展了定义，在风险躲避中，要优先考虑安全要求高的资产；根据系统对信息安全的机密性、完整性、可用性、可控性以及抗抵赖性的要求，对信息资产的安全需求进展了定义。具体内容见?系统特征分析报告?文档。第四局部风险分析4.1威胁识别威胁是指可能对资产或组织造成损害事故的潜在因素。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。通过对各业务系统关键资产进展的直观的威胁分析，可以清楚地看出本次评估范围内各业务系统及关键资产所面临的威胁种类。下面针对xxxxxx的信息资产目前所面临的各种威胁进展综合描述，包括威胁的主体、威胁的客体以及威胁发生的可能性。来自系统内部的威胁：操作失误：这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户的无意行为，但是对资产的种类接触很多，处理和维护操作比较多，因此这种威胁发生的可能性根据不同的用户〔主体〕和不同的资产〔客体〕而不同，一般发生可能性适中。滥用授权：这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和数据资产。这种威胁是合法用户的成心行为，与xxxxxx员工的素质有关，也与用户的权限大小和威胁资产的可利用程度有关，一般发生可能性偏低。特权升级：这种威胁的主体为合法用户，客体为软件资产和数据资产。特权升级是指使用恶意手段获取比正常分配的权限更多的权限。例如，在一个得逞的特权升级攻击中，恶意用户设法获得Web服务器的管理特权，使他能够随意地进展破坏，发生的可能性适中。行为抵赖：这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户对自己所作操作的否认，一般发生可能性较低，但对于员工素质较差、操作造成损失较大、没有监控记录的情形下可能会发生。来自系统外部的威胁：身份假冒：这种威胁的主体主要为非法用户，也有少量的合法用户，威胁的客体为所有物理资产、软件资产和数据资产。这种威胁主要是合法用户冒用别人的身份或账号进展一些合法操作，或者非法用户盗用合法用户身份或账号进展非法操作，这两种情形在冒用账号方面发生可能性比较高。信息泄漏：这种威胁的主体为非法用户，也有少量合法用户，主要是蓄意盗取敏感数据或泄露应该保密的信息，威胁的客体为软件资产和数据资产。这些非法用户利用社交等手段获取系统软件或应用软件的配置数据，以便为后面的破坏做好根基，或者直接骗取业务敏感数据，这种威胁很隐藏，利用的手段很多，因此该威胁发生的可能性比较高，但属于中风险范畴。篡改：这种威胁的主体为非法用户，客体为数据资产。篡改是在未经授权的情况下更改或删除资源。数据在传输中〔以物理或电子方式〕和存储时都会受到该威胁。例如，未受保护的数据包可被截获和修改，或者数据可因为攻击者利用缓冲区溢出脆弱性所执行的恶意代码而损坏。该威胁发生的可能性适中。拒绝服务：这种威胁的主体为非法用户，主要是成心破坏的攻击者，威胁的客体为软件资产。这种威胁一般是内部的破坏者针对内部应用系统的有效攻击方式，发生可能性较大。外部的攻击者针对公开服务的各种系统都有可能进展攻击，发生可能性很大。窃听数据：这种威胁的主体为非法用户，威胁的客体为软件资产和数据资产。非法用户通过窃听手段窃取系统软件和应用软件的系统数据及敏感的业务数据，为了到达攻击和入侵系统的目的，攻击者一般都会进展这方面的尝试，因此此威胁发生的可能性较高。物理破坏：这种威胁的主体为非法用户，主要是成心破坏的攻击者，威胁的客体为物理资产。非法用户通过各种手段接近资产进展物理破坏，这种威胁发生的可能性与xxxxxx的安全保卫制度和相关的访问控制制度有关，发生可能性适中。社会工程：这种威胁的主体为非法用户，主要是蓄意盗取敏感数据或破坏系统的攻击者，威胁的客体为软件资产、信息资产和人员。这些非法用户利用社交等手段获取系统软件或应用软件的配置数据，以便为后面的破坏做好根基，或者直接骗取业务敏感数据，这种威胁很隐藏，利用的手段很多，因此该威胁发生的可能性较高。系统原因：意外故障：这种威胁的主体为系统组件，即资产自身；威胁的客体为所有物理资产、软件资产和数据资产。这种威胁是资产在系统运行期间自身偶然发生的故障，该威胁发生的可能性根据资产的类别不同而不同，一般发生可能性非常高。恶意代码：这种威胁的主体可以视为系统问题，也可以看作系统外部人员的恶意行为。但是恶意代码往往不是有针对性的行为，可能是其它软件或系统漏洞引发的结果。威胁的客体为软件资产和信息资产，目前有些恶意代码也可能威胁硬件资产的安全。系统感染病毒的可能性较多，但也有可能被非法用户利用漏洞安装恶意代码，这种威胁的可能性与系统的防病毒体系建设和安全漏洞的严重程度有关。配置中的威胁：这种威胁的主体为非法用户，主体为操作系统、应用软件和TCP/IP协议。大多数系统软件和应用软件为了方便用户，初始安装完毕之后，存在一些默认的用户名、口令和开放的服务端口。往往会被攻击者利用，造成网络瘫痪或机密被窃取。另外，TCP/IP某些协议存在一些漏洞，非法用户可以利用此漏洞进展入侵系统，获取管理员的权限。这些威胁发生的可能性适中。其它问题：通信中断：这种威胁的主体为通信线路，威胁的客体为软件资产和数据资产。不明原因的通信意外故障造成传输中断是不定时出现的，这种威胁发生的可能性适中。电源中断：这种威胁的主体为电源，威胁的客体为所有的物理资产、软件资产和数据资产。电源中断是由于xxxxxx自身的一些因素或者意外因素，由于xxxxxx办公楼信息中心一侧全部采用UPS供电，这种威胁发生可能性较低。但是UPS设备间无大门防护，有被撬经历，增加了威胁发生的可能性。灾难：这种威胁的主体为环境因素，如火、水、雷电、灰尘、老鼠等，威胁的客体为物理资产。这种威胁发生的可能性与各业务系统所处环境有直接关系，另外也与xxxxxx的相应防范措施有关，这里主要是雷电和水灾的威胁可能性较大，其他发生的可能性适中。4.2脆弱性识别脆弱性是信息资产或资产组中可能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。这些都可能被各种安全威胁利用来侵害有关资产及这些资产所支持的业务系统。在这一阶段，将针对每一项需要保护的信息资产，找出每一种威胁所能利用的各种脆弱性，并对脆弱性的严重程度进展评估。由于本次评估工作分2个专业组、三个方面进展现场测试，为了便于总结归纳，在脆弱性识别阶段，我们根据前期调查及各专业测评小组现场检测的结果，分析了xxxxxx系统中可能存在的各种脆弱性，分别对安全管理机制、网络与通信、应用系统三个方面各自存在的脆弱性〔即：安全漏洞〕进展了识别。4.2.1根据标准GA/T391-2002的要求，对照现行安全管理制度及被测方提供的?安全威胁及风险描述?，并将物理环境中存在的问题也归并在一起，共有以下12项内容不符合安全标准的要求。xxxxxx系统在安全管理机制及物理环境方面存在以下问题：安全管理组织不健全，信息安全管理没有得到公司主管领导足够的重视；安全管理人员配置及责任划分不合理；数据库安全管理没有受到应有的重视没有建设信息安全的分级培训及宣传教育制度；工作职责的划分没有表达“分权制衡〞、“最小特权〞的原那么；没有信息管理技术人员调离安全管理制度；安全管理制度不健全，缺少以下重要的管理制度：物理安全方面：机房安全管理制度、主机设备安全管理制度、网络设施安全管理制度、物理设施分类标记管理制度不健全；系统与数据库安全方面：目前还没有建设明确的规章制度；网络安全方面：缺少网络维护管理制度和操作流程；运行安全方面：缺少人员安全管理制度、安全意识与安全技术教育制度、操作安全管理制度、操作系统和数据库安全管理制度、系统运行记录编写制度、系统维护管理制度、安全审计管理制度等；信息安全方面：没有信息分类标记制度、技术文档管理制度、存储介质管理制度、信息披露与发布审批管理制度。已经制定了一些安全制度但执行力度不够，起不到相应安全的作用。应急预案中缺少中心关键设备故障、数据库故障、黑客攻击等方面的应急措施，缺少解决问题的具体操作流程；没有完整的设备及数据备份制度以及与备份制度相对应的灾难恢复方案。机房门窗没有采取防护措施，不利于防盗、防尘。仅有办公大楼门卫制度，不能保证机房环境安全不受外来人员的威胁。从被测方提供的技术文档、管理制度以及调查问卷中反映出来的管理方面的问题是比较多的，从这些问题上可以总结出，安全管理机制的脆弱性表现在信息安全管理组织机构建设、信息安全管理制度制定、安全技术及安全知识的培训等几个方面，造成信息管理人员安全职责不明确，安全管理制度执行力度不够，授权访问机制、应急处理及灾难恢复机制不健全等问题〔详细内容见?安全管理机制评估报告?〕。4.2.2网络通信方面的脆弱性网络通讯组使用安全评估扫描工具进展了对网络进展了漏洞检测，涉及xxxxxx核心网络设备，包括：核心网络设备、接入线路、二级网络设备、信息中心安全设备。网络设备的软件版本号一致、配置也基本一样，通过网络安全评估工具检测出网络设备中每台设备都存在高风险漏洞3项，中风险漏洞1项，低风险漏洞1项。详细情况见?网络与通信漏洞检测报告?。在高风险漏洞中：未升级网络设备的软件版本到最新版本的高风险就占2项网络设备的配置方面所引起的高风险占1项我们对安全评估扫描工具和静态分析的结果进展了统计分析，在网络通信方面存在的脆弱性包括：关键的网络核心设备没有采用冗余设计没有升级网络设备的IOS到最新的版本网络设备的配置中采用的SNMP默认的读写字符串对网络配置的更改及维护没有日志及审计制度没有有效的安全策略，容易遭到拒绝服务攻击VALN之间未实施安全策略4.2.3应用系统的脆弱性本次评估采用了本地和远程的方式对xxxxxx应用服务器和信息部的PC机进展了动态扫描和手动检查，并尝试性的进展了渗透性测试。我们一共对54台机器进展了检测，其中以本地的方式测试了52台，依次为：信息部机房内22台服务器及24台PC机，基地2台服务器，68号楼3台财务结算服务器，飞行部1台服务器。根据Retina扫描报告，对安全优先级别为3以上的12台服务器的漏洞统计如下：由于没有及时升级和安装补丁程序造成的：高风险漏洞有74项占到了90.24%中风险漏洞有44项占到了29.53%低风险漏洞有6项占到了7.79%由于没有关闭不必要的服务造成的：高风险漏洞有0项占到了0中风险漏洞有1项占到了0.67%低风险漏洞有7项占到了9.09%由于系统配置不当造成的：高风险漏洞有0项占到了0中风险漏洞有94项占到了63.09%低风险漏洞有64项占到了83.12%由于弱口令造成的：高风险漏洞有8项占到了9.76%中风险漏洞有10项占到了6.71%低风险漏洞有0项占到了0通过分析Retina扫描结果，可以看出：68号楼财务结算的两台应用服务器存在的漏洞最多，其原因除了管理因素外，主要是操作系统为WindowsNT，版本较低，且没有及时升级。信息中心的主要数据库服务器上存在因为没有及时升级造成的高风险漏洞，该漏洞存在缓冲区溢出，容易造成拒绝服务攻击；开启了1433端口，这些端口的开启使攻击者可以很容易获得主机的访问权限，存在很大的安全隐患。弱口令漏洞所占的比例不算太高，但是，其危害相当大。从扫描结果中可以发现：950333录音服务器上存在sa空口令；数据库服务器上有1个账户名与密码一样；航空维修服务器上有一个帐号未设置密码；68号楼应用服务器1上有1个账户名与密码一样、2个帐户密码为空；68号楼应用服务器2上有2个帐户密码为空。根据BaselineSecurityAnalyzer的扫描报告，扫描了17台主机，17项内容中有10项不符合要求，包括：序号名称不合格主机数不合格率11.验证所有磁盘分区都以NTFS格式进展了格式化423.5%23.禁用不必要的服务529.4%36.确保禁用来宾帐户211.8%47.保护注册表防止匿名访问17100%59.限制对公用的本地安全权限〔LSA〕信息的访问1270.6%610.设置更加可靠的密码策略17100%711.设置帐户锁定策略17100%812.配置管理员帐户17100%913.取消所有不必要的文件共享17100%1017.在安装ServicePack之后安装适当的安全修补程序17100%综合分析结果,操作系统及其提供的服务、数据库系统及应用软件的脆弱性包括：Windows操作系统安全特有的安全漏洞：不是所有磁盘分区都采用了NTFS格式、没有取消所有不必要的文件共享。系统弱口令问题，没有建设更加可靠的密码策略。包括用户名与口令一样、口令为空、口令容易猜测等。在系统管理上缺乏统一的管理策略。重要的软件未升级到最新版本，没有及时安装系统安全补丁。系统配置存在的问题，包括应该关闭的服务没有关闭、参数配置不完整。系统访问控制存在的问题，包括赋予的访问权限过大、没有禁用和删除不必要的帐户，没有保护注册表防止匿名访问。没有设置客户端登录次数限制，可以尝试进展暴力破解。缺乏用户标识及鉴别机制，操作者的身份无法得到确认。SQLSERVER安装目录权限设置不正确。SQLSERVER的身份验证设置成混合模式。以上系统的脆弱性在防止内外部攻击、数据安全、身份鉴别、访问控制、抗抵赖等方面增加了系统的风险。4.3信息安全风险分析总结上述所有系统现有的脆弱性，按照风险影响的大小分析如下：1、在所有系统的脆弱性中，缺乏核心网络设备的冗余备份是整个信息系统中威胁最大的脆弱性，其主要原因就是：在xxxxxx公司很多重要的应用数据在xxxxxx公司信息中心，各部门之间通过核心交换访问和交换关键的业务信息，其可用性的要求最高，一旦出现单点故障，将造成核心网络瘫痪，所有的业务中断的后果，其损失难以用金钱估量，目前的核心网络设备冗余备份措施不能防止由于各种灾害造成的风险。2、安全管理机制方面的脆弱性仅次与灾备系统，主要原因在于：在信息系统已经发现的漏洞中，很多漏洞与管理机制不健全有关，包括：网络管理方面：没有必要的制度保证及时更新系统、发现并修补安全漏洞；访问控制权限的分配缺乏统一有效的管理，没有关闭所有不必要的服务；系统配置方面都采用默认的安全策略存在不安全的隐患；没有完备的网络设备配置管理制度。应用系统方面：不是所有磁盘分区都采用了NTFS格式；没有建设完善的访问控制机制；没有取消所有不必要的文件共享；数据库有弱口令问题，这个问题在网络扫描中表现的比较突出；在系统管理上缺乏统一的管理策略，很多重要软件未升级到最新版本；系统配置存在的安全隐患，没有完全禁用不必要的服务，包括应该关闭的服务没有关闭、参数配置不完整；系统访问控制存在的漏洞，包括赋予的访问权限过大、开放的服务较多等。数据库方面：系统的使用者、开发者、管理者使用了属于DBA的角色的帐户，权限过大；数据库系统本身没有设置安全审计特性，无法记录对数据库系统安全条件变化做有效的记录。虽然其中许多问题表现在技术层面上，但是究其原因，信息安全管理没有得到企业领导层应有的重视，管理机制不完善，没有相应的岗位责任制度及管理考核制度是造成上述问题的根源。因此建设完善的安全管理机制是信息系统正常运行的重要保证。3、系统及数据库安全漏洞给内、外部入侵者提供了方便之门，对系统的威胁最为直接，许多恶意代码的攻击都依赖于系统漏洞；系统访问控制策略的完备性和审计机制的完备性对外部攻击来源的追溯和内部攻击的控制起着重要的作用。因此系统及数据库的安全漏洞直接关系到系统的完整性、可用性、可控性及抗抵赖性，对系统的影响可以排在第三位。4、在信息网络系统中，应用系统的重要性不言而喻。xxxxxx应用系统和国内大多数企业一样，存在着缺乏统一规划、分散开发、分散管理、数据共享不便、数据安全得不到保障等问题。但是根据实际情况，xxxxxx公司不可能用一个平台去涵盖所有的系统，要想开发一套MIS系统〔管理信息系统〕来解决所有的问题，是不可能做到的。同时，在目前情况下，如果对数据库构造进展大的调整，结果只能是对所有应用系统软件的调整，甚至是重新开发，不具有可行性。为了信息系统的稳定运行，我们提出了建设数据交换平台的建议，但是软件开发是一个周期比较长的工作，xxxxxx应用系统的规划也要符合xxxxxx的统一规划，为了业务的持续性，目前应用系统的状态还需要保存一段时间，因此我们把应用系统的问题排在了最后。由于xxxxxx的应用系统涉及范围较广，各部门使用的各自的应用系统软件，一些应用系统的服务器存放在各自的部门，并没有形成统一的数据构造及软件平台；作为xxxxxx集团的分公司，xxxxxx有很多应用系统统一采用xxxxxx下发的软件，采取数据大集中方式，由xxxxxx信息中心统一管理；信息中心所有的数据都存放在一台数据库服务器上，采用SQLServer2000数据库系统，内建两个实例，其中一个实例内存建有十几个数据库，分别存放着这些应用系统的数据。这种局面固然是由于这些应用的实际需求决定，但也为充分、有效的利用数据带来了很大的不便。这些问题应该得到足够的重视，否那么将影响系统的可持续开展。当然这样的排列不是一成不变的，随着目前发现的各种安全问题的解决，随着网络技术的开展，其顺序也会随之变动。第五局部风险控制通过上面的风险分析，可以清楚地看出所评估的信息系统中某种资产对应各种风险的情况。因此必须提出降低风险的措施，最终到达xxxxxx信息系统认同的剩余风险的目标。风险控制建议将按照客户的需求〔如降低，防止，承受风险〕，选出某个范围内的所有风险，并找到与这些风险相关的资产、威胁和脆弱性，制定相应的风险控制策略。5.1评估结果分析虽然从目前的情况来看，由于xxxxxx系统采取了一些安全措施，没有非常明显的的高风险资产，但是系统的脆弱性是存在的，人员的脆弱性主要表现为管理方面的问题，而硬件、软件资产和数据资产的脆弱性在管理和技术两方面都存在着问题。如果不采取相应的措施，就会对系统安全造成极大的威胁。具体风险控制措施请参见附件-14、附件15、附件-16。根据目前xxxxxx安全现状，对照GA/T390-2002计算机信息系统安全保护等级安全功能技术要求，我们制作了?xxxxxx系统安全保护等级符合情况对照表?〔见附表1〕。比照条目主要针对安全保护等级1、2、3的要求，比照条目共有108项，其中物理环境占43项。由于本次评估不包括的物理环境局部，所以物理环境保护等级要求的比照结果是由xxxxxx部技术人员根据附件-17?信息系统安全保护等级要求?确定的，主要对象是xxxxxx办公大楼内的信息中心机房。其他各项的比照根据实际评估的结果确定。从比照的结果看，有42项符合安全保护等级要求，有14项局部符合安全保护等级要求，其余各项没有到达相应安全保护等级的要求。目前xxxxxx系统在很多方面没有到达安全保护等级2的要求，有些甚至不能到达等级1的要求。但是也有一些方面已经到达了安全保护等级3的要求，可见，在安全措施的实施过程中，有些安全问题得到了重视、也有些问题受到了无视，安全保护的措施考虑的还不够周全。附表一是安全状况的直观反映，待航空公司信息系统安全保护等级要求确定后，可以根据保护等级的要求、对照本表进一步完善安全风险控制措施。5.2风险控制建议根据安全评估机构对xxxxxx系统的定位，“防止数据的非授权修改、丧失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息系统的可靠运行〞是本系统的主要安全目标。针对xxxxxx系统存在的脆弱性，特提出以下风险控制建议，供被测方在今后制定安全管理制度，建设完善的管理措施，进一步改善系统环境，完善系统功能时做参考：信息系统安全风险控制建议〔参见附件-14〕信息系统安全风险控制建议包括了应用系统及网络通讯两方面的风险控制措施。应用系统方面包括：根据各个威胁事件构成的风险大小提出的应用系统风险控制建议、数据的存储藏份整体加固建议、重要主机的整体保护加固建议、数据库整体加固建议和CA服务的建议。网络通讯方面包括：根据各个威胁事件构成的风险大小提出的网络通讯风险控制建议、核心节点设备安全加固建议、核心网络加固建议、交换机安全配置加固建议和VLAN规划与IP分配方案加固建议。信息安全管理机制完善建议〔参见附件－15〕安全管理机制在信息安全中往往是一个薄弱环节，制定适宜的安全策略，建设完整的安全管理机制，才能配合安全产品的使用，使安全产品及其配置策略发挥最大的作用，从而建设全方位的安全防护体系。?信息系统安全管理机制风险控制建议?根据GA/T391-2002安全保护等级二的要求提出，它不仅给出了一般性的原那么，也收集了一些具体的规章制度供被测方参考，xxxxxx安全管理机构应根据企业的特点制定符合实际的安全管理制度。安全管理制度涉及的内容很多，有一个逐步完善的过程，只要建设起安全管理的意识，就可以在不断完善的过程中形成一整套切实可行的安全管理机制。系统及数据库安全加固建议〔参见附件－16〕系统和数据库存在的漏洞应该受到高度重视，尤其是目前存在的高风险漏洞，必须尽快采取措施加以修补。在这方面，我们认为应该做好以下几方面的工作：安排专人负责尽快修复系统现有漏洞，具体做法可参考?网络通信漏洞检测报告?、?系统及数据库漏洞检测报告?以及?系统及数据库安全加固建议?；制定系统管理配置策略，及时安装安全补丁，防止造成安全隐患；制定安全审计策略，启动系统审计机制；完善系统管理制度，在系统维护人员的岗位责任中，增加相关的制度，并制定监视检查条理。信息系统安全保护等级要求〔参见附件－17〕根据GA/T390-2002关于信息系统安全保护等级的要求，我们特别整理了其中安全保护等级2、3的“安全功能技术要求〞和“安全保护技术要求〞，虽然它给出的是一般性原那么，但是这些要求来自公安部的标准，在全面性、标准性上更具有权威性，是信息系统安全建设方面很有价值的参考资料。5.3风险控制措施实施建议风险控制建议的实施要考虑风险对信息系统安全性影响的大小，控制措施实施的难易程度，也要考虑xxxxxx实际投资能力。在6.1节，我们已经根据风险影响的大小对各方面的脆弱性进展了排序。但是考虑到资金方面的限制和实现的难易程度，我们建议，对那些不需要资金投入就可以实施的内容可以优先进展，而目前尚不具备实施条件的建议可以作为今后的投资参考。因此提出如下建议：首先应该组织信息系统管理人员对网络设备、系统及数据库的漏洞进展修补，包括安装补丁、修改系统配置、关闭不必要的服务、删除多余帐户、修改弱口令等。因为这项工作目标明确，容易实现，效果明显；在系统漏洞修补过程中，及时补充安全管理制度，将以上问题的处理以制度的形式确定下来，并制定考核制度，定期进展检查，防止今后再出现类似的问题。安全管理制度的制定不是一朝一夕可以完成的，可以先制定那些对系统稳定运行造成明显影响的制度〔如岗位责任制、机房管理制度〕，然后逐步补充完善；建全信息安全组织机构，或在原安全机构的根基上明确信息安全管理人员的职责，义务、权限等，将安全管理机制的建设纳入日常工作的轨道中，这样有助于建设常备不泄的安全管理意识，保障信息安全管理制度的落实。在所有安全措施中，核心设备冗余备份具有最高优先级。这是因为在xxxxxx的信息系统中，最关键的是网络通信的高可用性，这是应用系统运行的根基，建议xxxxxx在开展前三项工作的同时，尽快落实核心设备容灾的实施方案，以及其他重要网络设备的冗余备份，以保证xxxxxx系统的正常运行。把灾难备份及数据交换平台建设的工作提上议事日程，需要进展市场调研，了解目前成熟的灾难备份及数据整合技术及产品，也可以请专业公司为xxxxxx数据整合提供方案。同时还要把握xxxxxx集团数据整合，建设数据交换平台的思路，保证工作的有效性，防止重复劳动。本局部具体内容参见附件-18?信息系统安全风险控制措施实施建议?。附表1xxxxxx信息系统安全保护等级符合情况对照表安全功能技术要求安全保护等级实际情况用户自主保护级系统审计保护级安全标记保护级1、物理安全1.1环境安全1.1.1.a)基本要求★★★b)防火要求★★c)防污染要求★d)防潮及防雷要求★★e)防震动和噪声要求★f)防强电场、磁场要求★e)防地震、水