信息系统安全方案模版

信息系统安全解决方案

1.1什么是安全保障体系

我们在本书讨论安全保障体系是因为安全保障体系是解决信息系统

安全方案的基础。若想构造一个安全的信息系统需要做许多工作，信

息系统安全保障体系必须从安全的各个方面进行综合考虑。

构建安全保障体系已经成为非常重要的一项工作。

安全保障体系目前对一个信息系统而言变得越来越重要，引起了人

们的广泛关注，只有有了的安全保障体系才能指导人们进行安全设

计。对于不同的信息系统其安全保障体系有所不同，我们这里所讨论

的是一般情况下的信息系统的安全保障体系。

目前，对安全保障体系的研究很多，也有许多不同看法。这里我们讨

论的安全保障体系仅供参考。

信息系统安全保障体系一般来讲应由三大部分构成：

安全保障体系的核心是人，人在安全保障中是第一位的，也是最脆

弱的环节。克服人的脆弱性最主要的方法是安全意识的教育和安全技

能的培训以及组织安全、人员安全管理和技术安全管理。在我国信息

安全技术还比较落后的情况下，加强安全管理、安全培训、安全教育

是一个十分迫切需要解决的问题。安全法律法规的建设和教育也是非

常重要的方面。当然，在新的形式下如何搞好人员安全也是我们面临

的新的课题。

物理安全是最容易被人们接受的一项安全措施，但是也是最不容易解

决的问题。

安全是一个复杂的系统工程，它是多学科的综合工程，人是其中的重

要因素之一，特别对信息系统的信息保障而言，人是那些重要因素中

的关键因素。鉴于上述情况，安全管理也是安全保障体系中不可缺少

的一个重要组成部分。随着信息系统的飞速发展和广泛应用，安全管

理变得越来越重要，国际标准化组织（ISO）已经制定了相应的国际

标准——IS0-17799o该标准详细规定了安全管理得各个方面，我们

将在后面进行详细介绍。

安全保障体系是一个多层次、纵深的防御体系，它不仅要解决人的

问题，也要解决信息安全的技术问题和运行的安全问题。因此，安全

保障体系的第二个因素就是技术。信息安全技术不仅要体现主动防御

和被动防御相结合的原则，还要体现安全技术和安全管理相结合的原

则。

安全技术包括：信息保障技术框架、安全标准、法律法规、评估和

认证、风险分析和评估、认证和鉴别等。我们在以后的讨论中将会更

深入论述信息保障技术框架。

还要综合采用各种信息安全技术以防止一种技术被攻破不会危及

全系统使全系统崩溃。

在安全保障体系中采用先进有效的安全技术是十分必要的，随着

信息安全技术的不断发展，防御技术的不断提高，安全技术在安全保

障体系中的重要性将会越来越明显。

由于安全的特点是对抗性非常强，使得安全的相对性和多变性特别

突出。因此，加速开发信息安全技术在安全保障体系的建设中是不可

忽视的重要问题。

在安全保障体系中采用的安全技术一般情况下包括：

•加解密技术

•防火墙与访问控制技术

•识别与鉴别技术

,防病毒技术

•入侵检测与防范技术

•安全性测试与评估技术

•内容监控与侦控技术

•安全管理

,安全审计

•物理安全

上述所列的安全技术将会随着技术的不断发展会有新的内容出现。

安全保障体系的另一个人们关注的因素是系统运行安全。

系统运行安全体现了全生命期的安全风险管理。

它包括：安全评估、安全监测、安全报警、入侵检测、病毒防范、

响应和恢复等。

安全保障体系目前对一个信息系统而言变得越来越重要，引起了人

们的广泛关注，只有有了信息系统的安全保障体系才能指导人们对系

统进行安全设计。

1.2安全保障体系的内容

正如前面已经提到的安全保障体系是一个复杂的系统工程，它综合

了多种学科，它是系统工程的具体体现。

系统工程有一个过程，如下图所示。

图1系统工程

系统工程有其方法论，安全工程也有自己的方法论和工程原理，那

就是我们经常说的信息系统安全工程（ISSE）。由于信息系统安全工

程已经在第二篇有了专门的论述，在这里就不在论述。

通过一系列的标准和控制、安全管理、人的知识和经验，通过培训

和沟通，利用相应的开发工具使要求或问题变成产品输出。

系统工程关键项

图2系统工程关键项

图二给出了系统工程的关键项。这些项明显的体现了以用户为中

心，以人为本的的精神。

我们反复介绍系统工程的目的是使读者不要忘记以系统工程的思

想来指导信息系统安全的各项工作。

21世纪信息系统安全已经从信息安全发展成为信息保障这一新的概

念，这一概念是由美国国家安全局提出的一种新的概念并提出了信息

保障技术框架，目前该框架已经发展到V2.0版本。

我们知道，以往我们所说的信息安全一般包括四大部分：IT安全、

物理安全、人员安全和程序安全。

其中：

IT安全中包括：

计算机安全、电磁辐射安全、密码安全、网络安全和传输安全。

物理安全包括：

安全区的划分、设备的物理安全、出入口的控制、安全问题的检测方

法、安全标记等。

人员安全包括：

设置人员安全屏障、人员的安全定位、人员的应知程序、安全责任的

划分以及人员工作的终止程序等。

程序安全包括：

运行安全、介质安全、机构安全、技术管理安全。

信息安全有着悠久的历史，从古代的古典密码到通信保密，从保密通

信到网络安全，从网络安全到安全。当前，又从安全发展到信息保障。

信息安全的概念是随着信息技术的发展而不断发展的，信息技术每发

展到一个阶段，相应的信息安全技术也会有新的发展。

古代的保密是以密本和密表为代表的保密体制。近代的点对点通信的

保密理论基础是香农的《通信的保密理论》。随着信息技术不断发展,

通信网络的迅速扩大应用，保密技术已经显得力不从心，特别是密钥

的分配问题形成了一个很大的瓶径，在这种情况下由狄菲与赫尔曼编

写了《密码学的新方向》一书，提出了公开密钥密码学的新概念。这

一新的概念和技术不仅解决了网络安全的密钥分配问题，而且附带又

解决了数字签名和认证等一系列的问题。

进入信息安全阶段后，新的技术层出不穷，如，病毒防范技术、入侵

检测技术、漏洞扫描技术、新的密码算法、物理安全、安全评估技术、

安全测评认证技术等等。

信息安全的概念是从网络安全概念发展过来的，它把网络安全用系统

工程的方法进行论述，因此，信息安全应当称为信息系统安全。在安

全中引入了系统工程概念使得安全所含盖的内容更加丰富，系统受到

的保护更完善。

但是，信息系统安全通过利用平面式的保护措施,也就是信息系统安全

的各种措施是平行地用于一个信息系统上，没有一个层次和深度。

正如前面提到的那样，安全保障体系对保证一个信息系统的安全是至

关重要的。

我们认为机构的的稳健的、考虑较完善的安全保障体系需要考虑的因

素人、安全技术和安全运行，其具体内容如下表所示：

・人・技术・运行

系统安全管理纵深防御技术框架评估

培训1安全标准和法律法规监测

物理安全风险评估入侵检测

人员安全认证和鉴定报警

响应和恢复

病毒防范

以w*

9、入

t'I必VS"

图3安全保障体系的要素

由图3我们看到，安全保障体系的核心是人的这一本质。这就是说安

全保障归根结底是一个管理问题。

安全策略也是保障体系的重要方面，我们将在下一章有较为详细的论

述。

安全保障体系的另一个重要因素就是技术。安全技术所包含的内容我

们在前面已经有了论述，这里就不在详述。

通过上述三方面，我们把安全形成一个闭环，一个的保护必须有一个

预警系统来不断监视入侵者的活动，一旦发生入侵系统就会采取措施

或进行保护。保护的内容涉及的方面很多，例如，网络和基础设施的

保护、边界和远程访问的保护、计算环境的保护等。

任何保护都要有检测系统予以辅助，检测包括入侵检测、漏洞检测（或

者称为脆弱性检测）。通过检测发现系统的漏洞（或脆弱性）并及时

进行有效的响应。一般情况下很难做到全自动的响应，但是，要尽量

减少人工的干预。如果系统受到影响就必须尽快的恢复，当然恢复要

有紧急恢复计划和相应的措施。如果有必要还要进行必要的反击。

安全保障体系是一个非常复杂的问题，目前人们对其关注的程度越

来越高，此处仅对其中的主要问题做了考虑。

2.信息系统安全技术解决方案

安全技术解决方案是根据信息系统的保障体系而形成的具体的、技术

的安全解决方案。这里提出的安全技术解决方案是根据以往的工作经

验结合IATF的有关概念提出来的。信息系统安全技术解决方案对不

同的会有很多差别，这要结合具体的信息系统而定。在这里仅提出

我们认为在设计安全技术解决方案时应当考虑的内容，供参考。

2.1信息系统分析

为了设计信息系统安全方案，必须首先了解系统，也就是要对信息系

统进行分析。一般情况，对信息系统进行分析包括以下内容：

1）系统组成和网络拓扑结构

信息系统的组成和系统的网络拓扑的构成必须了解清楚，这样才能配

置好安全设备。

2）信息系统的资产

3）信息系统的信息传输协议

4）信息系统传输带宽

5）信息系统的管理

6）信息系统的应用系统

7）信息系统的工作流程

8）信息系统的信息流程

9）系统已经采用的安全措施（包括技术的和其他方面的）

10）信息系统与其它系统或网络的互联关系

11）系统安全管理的组织机构及措施

2.2安全风险分析

信息系统的安全风险分析是安全保障体系的建设和安全解决方案

设计的重要环节，也是安全解决方案的重要依据。

随着复杂程度的增加以及用户对安全的认识水平的提高，相信今

后对安全风险分析的要求将会越来越高。不仅需要定性的分析还

需要定量分析。这将是非常困难的事情。

一般情况下信息系统的安全风险分析要解决如下问题：

1.需要保护什么资源?

2.要保护他们免受那些攻击？

3.可能有谁威胁自己的？

4.潜在的威胁可能造成的破坏的可能性有多大？

5.如果资源被破坏会造成什么样的直接损失？

6.恢复被破坏的资源需要多少花费？

7.怎样能够最有效的提高保护资金的利用率？

8.是否有人规定用户的环境安全所需的水平？

安全风险分析是为了确保信息系统安全的最重要的一步。分析安全风

险的目的是：了解信息系统所遇到的安全威胁；了解信息系统的脆弱

性；了解信息系统在安全管理方面的漏洞；了解信息系统

抵抗自然灾害的能力；了解信息系统的资产以便提出需要保护哪些重

要的资源。

在全面了解上述情况的基础上，确定安全风险等级；为安全需求提

供依据；为安全目标的制定、安全方案的制定、安全的经费投入提供

指导。

由此可知，安全风险分析在安全设计的重要性。

一般情况下，安全风险分析包括三部分：

安全威胁分析、安全漏洞分析和资产分析。下面我们将分别对三种分

析进行较详细的论述。

2.2.1安全威胁分析

安全威胁分析首要问题是辨别有哪些是你的信息系统的“敌人”，也就

是有哪些国家、团体、个人对你的系统不利。

一般情况下，分为恶意的和无意的两种威胁。下面的图表则显示了按

国家、团体、个人来分的。

敌人描述

恶意

国家由政府主导，有很好的组织和充足的财力；利用国外的

服务引擎来收集来自被认为是敌对国的信息

黑客攻击网络和系统以发现在运行系统中的弱点或其它错误

的一些个人

恐怖分子/代表使用暴力或威胁使用暴力以迫使政府或社会同意其

计算机恐条件的恐怖分子或团伙

怖分子

有组织的有协调的犯罪行为，包括赌博、诈骗、贩毒和许多其它

犯罪的行为

其它犯罪犯罪社团之一，一般没有好的组织或财力。通常只有很

团体少的几个人，完全是一个人的行为

国际媒体向纸业和娱乐业的媒体收集并散发——有时是非授权的

——新闻的组织。包括收集任何时间关于任何一个人的

任意一件新闻

工业竞争在市场竞争中运行的国内或国际企业常以企业间谍的形

者式致力于非授权收集关于竞争对手或外国政府的信息

有怨言的怀有危害局域网络或系统想法的气愤、不满的员工

员工

非恶意

粗心或未受那些或因缺乏训练，或因缺乏考虑，或因缺乏警惕的

到良好训练人给带来的威胁。这是内部威胁与敌人的另一个例子。

的员工

在上述集体和个人对蓄意攻击时一般采取的攻击方式如下表所示，表

中把攻击分为五种并对五种攻击作了解释。

这种解释只能泛泛的说明五种攻击所涉及的方面，在威胁分析时

还要进行更为详细地分析。

被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通

被动攻讯，获取鉴别信息（比如口令）等。被动攻击是在没有得到用户

击同意或告知用户的情况下，将信息或文件泄露给攻击者。这样的

例子如搭线窃听等。

主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或

主动攻

篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒

击

绝服务以及数据的篡改。

物理临是指一未被授权的个人，在物理意义上接近网络、系统或设备，

近攻击试图改变、收集信息或拒绝他人对信息的访问。

内部人内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信

员攻击息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由

于粗心、无知以及其它非恶意的原因而造成的破坏。

软硬件

指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种

装配分

攻击可能是在产品里引入恶意代码，比如后门。

发攻击

对一个信息系统而言，它所遇到的攻击是多种多样的。但是，对于不

同的信息系统所遇到的攻击有相同的，也有不同的，主要与其网络环

境有关。

1)被动攻击产生的威胁

＞网络和基础设施的被动攻击威胁：

火线路窃听：局域网/骨干网线路的窃听

*监视没被保护的通信线路

*破译弱保护的通信线路信息

*信息流量分析

*利用被动攻击为主动攻击创造条件实现对网络基础设

施设备的破坏，如截获用户的帐号或密码对网络设备

进行破坏。

*机房和处理信息的终端的信息电磁泄露

＞区域边界/外部连接的被动攻击威胁：

大机房和处理信息的终端的信息电磁泄露

*截取未受保护的网络信息

*流量分析攻击

＞计算环境的被动攻击威胁：

*机房和处理信息的终端的信息电磁泄露

*获取鉴别信息和控制信息

*获取明文或解密弱密文实施重放攻击

＞支持性基础设施的被动攻击威胁：

*机房和处理信息的终端的信息电磁泄露

火获取鉴别信息和控制信息

2）主动攻击产生的威胁

＞网络和基础设施的主动攻击威胁：

*可用带宽的损失攻击，如网络阻塞攻击、扩散攻击等。

*网络管理通讯混乱使网络基础设施失去控制的攻击。

最严重的网络攻击是使网络基础设施运行控制失灵。

如对网络运行和设备之间通信的直接攻击，他企图切

断网管人员与基础设施的设备之间的通信，比如切断

网管人员与交换机、路由器之间的通信，使网管人员

无法控制他们。

*网络管理通信的中断攻击，它是通过攻击网络底层设

备的控制信号来干扰网络传输的用户信息。

大引入病毒攻击

*引入恶意代码攻击

＞区域边界/外部连接的主动攻击威胁:

*试图阻断或攻破保护机制（内网或外网）

*偷窃或篡改信息

*利用社会工程攻击欺骗合法用户

大伪装成合法用户和服器进行攻击

*IP地址欺骗攻击

大拒绝服务攻击

*利用协议和基础设施的安全漏洞进行攻击

*利用远程接入用户对内网进行攻击

*建立非授权的网络连接

*监测远程用户电路，修改传输的数据

*解读未加密或弱加密的传输信息

*恶意代码和病毒攻击

计算环境的主动攻击威胁

大引入病毒攻击

*引入恶意代码攻击

*冒充超级用户或其他合法用户

*拒绝服务和数据的篡改

*伪装成合法用户和服器进行攻击

*利用配置漏洞进行攻击

支持性基础设施的主动攻击威胁

*PKI/KMI配置漏洞攻击

大引入病毒攻击

*恶意代码攻击

3）物理临近攻击

＞网络和基础设施的物理临近攻击威胁

*未授权的人偷偷潜入破坏、修改网络基础设施

*内部人员进入无意修改网络控制参数

*非法闯入重要基础设施窃取各种介质上的重要数据

（软盘、光盘、硬盘）

*非法闯入机房等重要场所对基础设施进行破坏和改动

＞区域边界/外部连接的物理临近攻击威胁：

*非法闯入机房等重要场所对设备进行破坏或改动

*非法闯入重要基础设施窃取各种介质上的重要数据

（软盘、光盘、硬盘）

＞计算环境的物理临近攻击威胁：

*非法闯入机房等重要场所对设备进行破坏或改动

*非法闯入重要基础设施窃取各种介质上的重要数据

（软盘、光盘、硬盘）

＞支持性基础设施的物理临近攻击威胁：

*非法闯入机房等重要场所对设备进行破坏或改动

*非法闯入重要基础设施窃取各种介质上的重要数据

（软盘、光盘、硬盘）

*非法盗窃重要的设备

*非法窃取证书的内容和密钥

4）内部人员的攻击

＞网络和基础设施的内部人员攻击威胁：

*网管中心内部人员的恶意攻击。他们有能力向网络提

供错误的信息实现不容易发觉的的攻击

*远程操作人员的恶意攻击。他们是网络专家，可以和

内部人员一样对网络实施攻击。

*内部人员的无意攻击。

＞区域边界/外部连接的内部人员攻击威胁：

*内部人员的无意攻击。

*内部人员的恶意攻击

＞计算环境的内部人员攻击威胁：

*内部人员的无意攻击

*内部人员的恶意攻击

大内部人员利用职权窃取用户身份证明实现越权访问

＞支持性基础设施的内部人员攻击威胁：

*内部人员的无意攻击

*内部人员的有意攻击

5）软硬件装配和分发攻击

系统集成商、设备供应商、软件供应商为了维护的目的或其

他一些恶意的目的，留有后门、改变设备的参数和配置等使系统

造成严重的安全隐患。

6）自然灾害

严重的自然灾害：水灾、火灾、地震、雷电等

2.2.2系统脆弱性分析

＞通信协议（如TCP/IP）的安全脆弱性

＞操作系统和数据库的安全脆弱性

＞系统配置的安全脆弱性

＞系统管理协议的安全漏洞

＞访问控制机制的安全脆弱性

＞审计和授权系统的安全漏洞

＞安全管理存在的各种漏洞

2.2.3系统资产分析

我们知道，对系统资产价值的分析会使人们知道应当如何保护好那些

重要的资产。

其中的主要资源包括：

・物理资源：计算机系统、通信系统、网络系统、环境设施

・智力资源：数据和记录、软件、其它任何形式的信息、敏感

信息。

・时间资源：系统的时间要求。

•信誉资源：由于系统被破坏造成的信誉损失。

上述四种资源中最重要的资源是用户的信息，我们知道，信息系统中

有三种信息，它们是用户信息、控制信息和管理信息，其中最重要的

是保护用户信息的机密性、完整性、可用性以及不可否认性。

无论何时，安全风险分析都是一个非常重要的环节，它在安全设计中

的作用就象医生给病人看病前作各种检查一样，如果不进行身体检查

就不知道病人什么地方出了毛病，因此也就不知道病人得了什么病，

也就不知道给病人吃什么药，也就治不好病人。

安全风险分析也是同样，如果一个不知道受到那些威胁，也不知道系

统本身有那些脆弱性，也不知道那些资产是最重要的应当受到高等级

的保护，那么我们如何去保护一个呢？

我们预计，随着安全用户对安全了解水平的提高，用户第一个需要的

报告不是安全解决方案，而是的安全风险分析。

遗憾的是，目前我国对安全风险分析的研究还刚刚起步，只能做到定

性分析，还不能进行定量分析。这是我们需要进一步努力的地方。

下面我们列举了有关风险，可供风险分析和编写方案时参考：

组件构件元素风险点风险描述保护措施

断电供电中断，无法监控应急供电装置

硬

可能因寿命或人为提供物理保护，并良

件损坏

摄象破坏，导致失效好维护，定期更换

设监

机可能受到干扰导致

施控适当的预防措施，如

干扰性能下降或完全失

硬设采用抗干扰技术

效

件备

断电供电中断，无法监控应急供电装置

设监视

可能因寿命或人为提供物理保护，并良

施器损坏

破坏，导致失效好维护，定期更换

可能受到干扰导致

适当的预防措施，如

干扰性能下降或完全失

采用抗干扰技术

效

断电供电中断，无法监控应急供电装置

可能因寿命或人为提供物理保护，并良

损坏

电视破坏，导致失效好维护，定期更新

机可能受到干扰导致

适当的预防措施，如

干扰性能下降或完全失

采用抗干扰技术

效

断电供电中断，无法报警应急供电装置

可能因寿命或人为提供物理保护，并良

损坏

报警破坏，导致失效好维护，定期更新

装置可能受到干扰导致

适当的预防措施，如

干扰性能下降或完全失

采用抗干扰技术

效

计大中超生命期使用，部件有效维护，硬件备

算小型老化可能失效，影响系统份，制定更新换代计

机计算的正常运行划

机设计缺陷和制造商

处理

有意留有的后门；升

器缺确保来源可靠，且经

级不支持原有功能

陷/兼过权威部门测试

等；运算出错和系统

容性

故障

制定严格的管理制

操作人员有意或失

人为度，专人操作、维护，

误，对计算机的破坏

破坏维修应经过授权并

如拆卸等

有负责人在场

计算机运行时会产

生电磁辐射，相互影采取有效措施，控制

辐射

响并可能导致信息辐射强度和范围。

泄露

将存储敏感信息的严格的管理措施，增

滥用计算机提供给非授强人员安全意识，明

权者，导致信息泄露确责任。

组件构件元素风险点风险描述保护措施

超生命期使用，部件有效维护，硬件备

老化可能失效，影响系统份，制定更新换代计

的正常运行划

设计缺陷和制造商

处理

有意留有的后门；升

器缺确保来源可靠，且经

级后不支持原有功

陷/兼过权威部门测试

能等，导致运算出错

硬容性

计个人和系统故障

件

算计算操作人员有意或无

设严禁私自拆卸计算

机机人为意地对计算机的破

施机，维修应经过授权

破坏坏如拆卸，带电拨插

并有负责人在场

等

计算机内的数据传

输线缆，接插件、显采取有效措施，控制

辐射示屏等会产生电磁“红信号”的辐射强

辐射，可能导致信息度和范围。

泄露

将存储敏感信息的严格的管理措施，增

滥用计算机提供给非授强人员安全意识，明

权者，导致信息泄露确责任。

超过生命期使用，可

定期维护和检测，并

能影响系统的正常

老化有硬件备份和其它

运行或造成网络瘫

应急措施

痪

交换严格的管理制度，专

操作人员有意/无意

机人为人负责，严禁私自拆

地造成损坏，导致传

破坏卸，维修经授权并有

网输中断、网络瘫痪等

负责人在场

络

电磁产生的电磁辐射，可采取有效措施，控制

设

能导致信息泄露

备辐射的辐射强度和范围。

老化同上同上

人为

集线同上同上

破坏

器

电磁

同上同上

辐射

网关老化同上同上

设备人为

同上同上

破坏

电磁

同上同上

辐射

老化同上同上

人为

中继同上同上

破坏

器

电磁

同上同上

辐射

组件构件元素风险点风险描述保护措施

老化同上同上

人为

桥接同上同上

硬网破坏

设备

件络电磁

同上同上

设设辐射

施备

调制老化同上同上

解调人为

同上同上

器破坏

电磁

同上同上

辐射

电磁辐射，导致信息

辐射传输信息加密

泄露

攻击者可能进行电

磁干扰，破坏信息的

干扰采取屏蔽、抗干扰措施

完整性，甚至导致网

络瘫痪

传同轴

攻击者利用设备或

输电缆对信息加密传输是有

窃听搭线进行监听，以获

介效措施

取信息

质

攻击者直接物理攻

及

加强法律保护，采取有

击，如割断电缆，导

转

破坏效的应急措施，降低遭

致通信中断或网络

换

受攻击时的风险

瘫痪

器

采用屏蔽措施，传输信

辐射同上

息加密

双绞

卜扰同上同上

线

窃听同上同上

破坏同上同上

光缆/辐射同上同上

光端干扰同上同上

机窃听同上同上

破坏同上同上

辐射同上同上

卫星干扰同上同上

信道窃听同上同上

破坏同上同上

辐射同上同上

微波干扰同上同上

信道窃听同上同上

破坏同上同上

采用屏蔽措施，传输信

辐射同上

息加密

终端干扰同上同上

窃听同上同上

破坏同上同上

组件构件元素风险点风险描述保护措施

使用时存在电磁辐

涉及高密级信息，应

辐射射，导致信息泄露

控制其辐射强度*a

*1

制造者可能留下供

扫描维护或其他用途的

来源可靠并经权威部

仪后门后门，通过这些后

门认可*b

门可获得敏感信息

*2

输

未授权者使用，nJ-

硬入滥用控制使用场合

能对系统危害*3

件输

辐射同*1同*a

设出

打印

后门同同*

施设*2b

机

同

备滥用*3控制使用场合

辐射同*1同*a

键盘同*3,如造成信息加强管理，如使用登

滥用

泄露记

显示辐射同*1同*a

器偷看造成信息泄露控制使用场合

磁盘辐射同*1同*a

驱动同*3,如造成信息

滥用使用无盘工作站

器泄露

辐射同*1同*a

电话后门同*2同*b

传真加强管理，如使用登

滥用同*3

记

制造者可能留下供

维护或其他用途的来源可靠并经权威部

后门

后门，通过这些后门认可

门可获得敏感信息

操作人员有意/无严格的管理制度，专

安访问人为意地造成损坏，导人负责，严禁私自拆

全控制破坏致设备安全性能降卸，维修经授权并有

设类设低，甚至系统瘫痪负责人在场

备备未授权者使用，可

滥用控制使用场合

能对系统危害

所采购的产品不与

选型系统的安全策略相选型时征求有关安全

不当符合，造成系统漏专家的意见

洞或开支增加

操作人员对设备配

设备所有操作人员都应当

置不熟悉，造成不

自q参加技能培训，获得

当的服务开放了，

配置资格证书以后才能上

导致系统安全性能

不当冈LI.J

降低

组件构元素风险点风险描述保护措施

件

制造者可能留下供维护

或其他用途的后门，通来源可靠并经权威

后门

过这些后门可获得敏感部门认可

信息

硬安识别

件全与鉴操作人员有意/无意地造严格的管理制度，专

设设别设人为破成损坏，导致设备安全人负责，严禁私自拆

施备备坏性能降低，甚至系统瘫卸，维修经授权并有

痪负责人在场

未授权者使用，可能对

滥用控制使用场合

系统危害

所采购的产品不与系统

选型不选型时征求有关安

的安全策略相符合，造

当全专家的意见

成系统漏洞或开支增加

操作人员对设备配置不所有操作人员都应

设备自

熟悉，造成不当的服务当参加技能培训1,获

身配置

开放了，导致系统安全得资格证书以后才

不当

性能降低能上岗

制造者可能留下供维护

或其他用途的后门，通来源可靠并经权威

后门

过这些后门可获得敏感部门认可

信息

操作人员有意/无意地造严格的管理制度，专

安全人为破成损坏，导致设备安全人负责，严禁私自拆

审计坏性能降低，甚至系统瘫卸，维修经授权并有

设备痪负责人在场

未授权者使用，可能对

滥用控制使用场合

系统危害

所采购的产品不与系统

选型不选型时征求有关安

的安全策略相符合，造

当全专家的意见

成系统漏洞或开支增加

操作人员对设备配置不所有操作人员都应

设备自

熟悉，造成不当的服务当参加技能培训，获

身配置

开放了，导致系统安全得资格证书以后才

不当

性能降低能上岗

制造者可能留下供维护

或其他用途的后门，通来源可靠并经权威

后门

过这些后门可获得敏感部门认可

信息

操作人员有意/无意地造严格的管理制度，专

人为破成损坏，导致设备安全人负责，严禁私自拆

坏性能降低，甚至系统瘫卸，维修经授权并有

负责人在场

安全痪

管理未授权者使用，可能对

滥用控制使用场合

设备系统危害

所采购的产品不与系统

选型不选型时征求有关安

的安全策略相符合，造

当全专家的意见

成系统漏洞或开支增加

操作人员对设备配置不所有操作人员都应

设备自

熟悉，造成不当的服务当参加技能培训1,获

身配置

开放了，导致系统安全得资格证书以后才

不当

性能降低能上岗

组件构元素风险点风险描述保护措施

件

制造者可能留下第二

套密钥等后门，通过来源可靠并经权威

后门

这些后门可获得敏感部门认可

信息

操作人员有意/无意地严格的管理制度，

硬安人为造成损坏，导致设备专人负责，严禁私

件全密码破坏安全性能降低，甚至自拆卸，维修经授

设设设备系统瘫痪权并有负责人在场

施备未授权者使用，可能

滥用控制使用场合

对系统危害

所采购的产品不与系

选型统的安全策略相符选型时征求有关安

不当合，造成系统漏洞或全专家的意见

开支增加

设备操作人员对设备配置所有操作人员都应

自身不熟悉，对设备管理当参加技能培训，

配置不当，导致系统安全获得资格证书以后

不当性能降低才能上岗

防病操作人员有意/无意地

人为严格的管理制度，

毒设造成损坏，导致设备

破坏专人负责。

备防病毒能力降低

制造者可能留下供维

护或其他用途的后来源可靠并经权威

后门

门，通过这些后门可部门认可

获得敏感信息

操作人员有意/无意地严格的管理制度，

基础

人为造成损坏，导致设备专人负责，严禁私

应用

破坏安全性能降低，甚至自拆卸，维修经授

类安

系统瘫痪权并有负责人在场

全设

未授权者使用，可能

备滥用控制使用场合

对系统危害

所采购的产品不与系

选型统的安全策略相符选型时征求有关安

不当合，造成系统漏洞或全专家的意见

开支增加

设备操作人员对设备配置所有操作人员都应

自身不熟悉，造成不当的当参加技能培训，

配置服务开放了，导致系获得资格证书以后

不当统安全性能降低才能上岗

组件构元素风险点风险描述保护措施

件

制造者可能留下供维

护或其他用途的后门，来源可靠并经权威

后门

硬安通过这些后门可获得部门认可

电子

件全敏感信息

商务

设设操作人员有意/无意地严格的管理制度，专

产品

施备人为造成损坏，导致设备安人负责，严禁私自拆

破坏全性能降低，甚至系统卸，维修经授权并有

瘫痪负责人在场

未授权者使用，可能对

滥用控制使用场合

系统危害

所采购的产品不与系

选型统的安全策略相符合，选型时征求有关安

不当造成系统漏洞或开支全专家的意见

增加

设备操作人员对设备配置所有操作人员都应

自身不熟悉，造成不当的服当参加技能培训1,获

配置务开放了，导致系统安得资格证书以后才

不当全性能降低能上岗

制造者可能留下供维

护或其他用途的后门，来源可靠并经权威

后门

通过这些后门可获得部门认可

敏感信息

安全

功能操作人员有意/无意地严格的管理制度，专

集成人为造成损坏，导致设备安人负责，严禁私自拆

设备破坏全性能降低，甚至系统卸，维修经授权并有

瘫痪负责人在场

未授权者使用，可能对

滥用控制使用场合

系统危害

所采购的产品不与系

选型统的安全策略相符合，选型时征求有关安

不当造成系统漏洞或开支全专家的意见

增加

设备操作人员对设备配置所有操作人员都应

自身不熟悉，造成不当的服当参加技能培训1,获

配置务开放了，导致系统安得资格证书以后才

不当全性能降低能上岗

严格的管理制度，专

操作人员有意/无意地

人为人负责，严禁私自拆

造成损坏，导致设备安

破坏卸，维修经授权并有

全性能降低

负责人在场

防信

所采购的产品不与系

息干选型选型时征求有关安

统的安全策略相符合，

扰、防不当全专家的意见

造成不必要开支增加

辐射

操作人员对设备配置

产品

设备所有