深圳市公司信息安全规划方案专项方案

深圳市**企业信息安全计划汇报书深圳**软件3月目录TOC\o"1-3"\h\z1 概述 12 深圳市**企业业务网络现实状况及需求分析 23 信息安全计划思绪 33.1 信息安全目标和工作思绪 33.2 信息安全建设关键任务 34 第一阶段-迫切阶段 74.1 加强区企业和地州企业边界访问控制 74.2 处理区企业网页安全问题 74.3 提升入侵防御能力 74.4 加强对区企业、地州终端桌面管理能力 84.5 处理VPN系统更新而且有效过渡问题 94.6 提升区企业及地州企业对网络可管理能力 94.7 加强对上网行为审计能力 95 第二阶段信息安全建设方案 115.1 建设标准 115.2 遵照标准或规范 125.3 安全建设思绪和方法 135.4 安全域建设 135.4.1 安全域基础概念 145.4.2 安全域划分标准 145.4.3 安全域理论 175.5 统一认证授权系统技术方案 225.6 深圳市**企业网络安全评定 316 第三阶段信息安全建设方案 616.1 建设内容 616.2 建设需求 616.3 4A统一管理平台建设方案 616.3.1 统一日志审计子系统技术方案 636.3.2 功效概述 636.3.3 安全日志采集 646.3.4 安全日志多维分析 646.3.5 安全日志实时展现 656.3.6 报表分析 676.3.7 审计策略配置 696.4 系统平台和应用系统安全建设方案 706.4.1 认证、授权和行为审计基础概念 706.4.2 认证、授权和行为审计体系建设标准 706.4.3 实施效果 716.5 综合信息安全支撑平台概念 726.5.1 综合安全支撑平台建设标准 736.5.2 实施效果 737 第四阶段信息安全建设方案 777.1 建设内容 777.2 建设方案 777.3 信息安全管理体系计划制订 777.3.1 深圳市**企业信息安全体系计划提议 797.3.2 安全策略体系 807.3.3 三年计划建设任务 82概述**行业信息安全保障体系是行业信息化健康发展基础和保障，是行业各级数据中心关键组成部分。为推进行业信息安全保障体系建设，提升信息安全管理水平和保障能力，深圳市**企业结合本单位实际情况认真落实《**行业信息安全保障体系建设指南》各项要求，构建“组织机制、规章制度、技术架构”三位一体信息安全保障体系，做到信息安全工作和信息化建设同时计划、同时建设、协调发展。深圳市**企业业务网络现实状况及需求分析深圳市**企业业务网络是全省业务办公和通信基础和支撑平台，整个信息系统现在存在很多安全隐患：1）没有一个完整信息安全体系，不能对**企业信息安全程度进行有效评定。2）缺乏完整安全管理制度规范，一旦发生安全问题，没有处理依据。3）安全域划分不清楚，网络安全边界防护采取技术比较单一;防火墙只能基于端口和流量进行控制，却无法防御复杂攻击和入侵。4）内部信息系统所存在安全漏洞和隐患，不能立即发觉；对于网络而言，内外网互连私接情况不能进行有效监控。5）终端安全没有保障，缺乏统一终端管理平台。无法有效对**企业网络进行准入控制，致使网络接入存在一定风险。6）没有数据安全保障体系，数据传输和存放全部没措施确保不被窃取。7）没有一个统一职员身份管理系统，无法做到各类内部权限细分，和信息安全加密和事前、事中、事后审计。8）缺乏主机和应用系统安全保障机制，没有立即发觉和填补系统漏洞和弱点，存在大量弱口令等问题。9）没有统一审计和响应机制，即便是发生攻击事件无法快速定位到源头，并进行针对性处理。信息安全计划思绪信息安全目标和工作思绪我们应该根据信息安全总体计划，从信息安全管理、信息安全风险控制、信息安全技术等方面入手，采取优异可行技术手段和管理理念，逐步建成全方面、完整、有效一套信息安全体系。经过系统化安全技术和安全管理建设，深圳市**企业逐步形成安全管理规范和安全体系架构，逐步有机融合安全技术和安全管理，使深圳市**企业安全建设逐步成熟，为整个业务正常运行提供强有力支持和保障。信息化安全体系建设过程中应遵照以下工作思绪：“分级保护”标准：应依据各业务系统关键程度和面临风险大小等原因决定各类信息安全保护等级，分级保护，合理投资。“三分技术、七分管理”标准：**企业信息安全不是单纯技术问题，需要在采取安全技术和产品同时，重视安全管理，不停完善各类安全管理规章制度和操作规程，全方面提升安全管理水平。“内外并重”标准：安全工作需要做到内外并重，在防范外部威胁同时，加强规范内部人员行为和审计机制。“整体计划，分步实施”标准：需要对**企业信息安全建设进行整体计划，分步实施，逐步建立完善信息安全体系。“风险管理”标准：进行安全风险管理，确定可能影响信息系统安全风险，并以较低成本将其降低到可接收水平。“适度安全”标准：没有绝正确安全，安全和易用性是矛盾，需要做到适度安全，找到安全和易用性平衡点。信息安全建设关键任务基于企业信息安全逐步建设和节省投资考虑，深圳市**企业信息安全建设采取分阶段实施方法，根据多种安全技术和安全管理在安全建设体系中优先地位进行安全建设。具体实施步骤以下图所表示：安全建设阶段和内容1、第一阶段——紧迫阶段根据此次深圳市**企业安全建设要求，关键是对深圳市**企业网络中服务器群区域进行安全防护，尤其是对办公业务网进行安全防护。1.1建设要求此次网络基础安全建设关键考虑安全域划分和加强安全边界防护方法，优先考虑办公业务网出口安全问题。办公业务网中有深圳市**企业网络中关键服务器群，确保这些服务器安全是保障深圳市**企业网络安全基础。所以在办公业务网和关键交换区边界处，应采取多个安全技术和手段来防范外来威胁。关键采取技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面。1.2第二阶段——加强阶段1.2.1安全建设第一阶段成功结束后，网络状态能够达成相对安全状态。在第二阶段安全建设中需要考虑加强手段。关键从安全日志审计、系统平台和应用系统安全两个方面展开。1.2.2（1）安全日志审计系统第一阶段布署了大量安全产品。这些安全产品和大量网络产品和应用系统产生海量日志和事件，尤其是入侵检测之类安全产品，天天事件量巨大，靠人工方法极难检索全部事件，如遗漏关键事件很可能会带来较大损失，鉴于此，需要布署统一日志审计管理平台。这个平台能够搜集全部网络产品、安全产品、主机和应用系统日志和安全事件，对其进行规范化处理，依据审计规则发觉真正有价值事件后立即告警，并能够存放海量事件，能够提供事后取证.（2）系统平台和应用系统安全在第一阶段建设了安全评定体系，定时进行评定和加固，已经有效地增强主机和应用安全，第二阶段需要深入加强系统平台和应用系统安全管理，考虑从完整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功效，就能够针对各业务系统帐号级信息安全审计和追踪。1.3第三阶段——管理阶段1.3.1待安全建设一、二阶段建设完成后，深圳市**企业全网安全基础达成了系统化程度，多种安全产品充足发挥作用，安全管理也逐步到位和正规化。此时进行安全管理建设，关键从安全管理中心、安全管理体系着手完善。1.3.2（1）安全管理中心建设安全管理统一平台，将全网安全管理经过该平台进行。经过该平台能够立即正确地获知网络安全体系效果和现实状况，帮助安全管理员进行正确决议分析。该平台应该含有风险管理、策略中心、事件中心、响应中心、知识中心等功效模块，而且应含有很好开放性和可定制性。（2）安全管理体系安全管理建设应该自始至终，而且对安全建设和运维起到指导作用。关键从安全策略制订、组建安全管理队伍、安全评定、资产判别和分类、安全认证等多个管理领域开展，最终形成管理和技术相融合，共同形成真正安全体系架构。信息化安全建设计划方案基于企业信息安全逐步建设和节省投资考虑，本省信息安全建设采取分阶段实施方法，根据多种安全技术和安全管理在安全建设体系中优先地位进行安全建设。安全建设第一阶完成后，网络状态能够达成相对安全状态。请结合深圳市**企业信息安全建设，考虑第二阶段安全建设将怎样进行。和待深圳市**企业全网安全基础达成了系统化程度，多种安全产品充足发挥作用，安全管理也逐步到位和正规化，即可考虑第三阶段和第四阶段将怎样开展。第一阶段-迫切阶段加强区企业和地州企业边界访问控制现在，深圳市**企业已经全疆范围内布署了防火墙和VPN系统，不过因为时间已经很长，设备在性能和功效上全部不能适应现在网络和业务发展。在此次项目中，我们提议更换防火墙系统，加强网络边界防御工作。从节省资金角度出发，在此次防火墙选型中，直接选择带有VPN功效防火墙系统，便于操作和管理。处理区企业网页安全问题目前国际、中国政治形势和经济形势比较特殊，又正值7.5事件发生后期，网站安全问题越来越复杂，Web服务器以其强大计算能力、处理性能及所蕴含高价值逐步成为关键攻击目标。针对网站，各类安全威胁正在飞速增加。，CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，比增加了1.5倍。谷歌最新数据表明，过去10个月中，谷歌经过对互联网上几十亿URL进行抓取分析，发觉有300多万个恶意URL。其中，中国恶意站点占到了总数67%。传统边界安全设备，如防火墙，作为整体安全策略中不可缺乏关键模块，局限于本身产品定位和防护深度，不能有效地提供针对Web应用攻击完善防御能力。所以，深圳市**企业网站有必需采取专业安全防护系统，有效防护各类攻击、降低网站安全风险。提升入侵防御能力防火墙作为深圳市**企业安全保障体系第一道防线，已经得到了很好应用效果，不过各式各样攻击行为还是被不停发觉和报道，这就意味着有一类攻击行为是防火墙所不能防御，比如说应用层攻击行为。深圳市**企业想要实现完全入侵防御，首先需要对多种攻击能正确发觉，其次是需要实时阻断防御和响应。防火墙等访问控制设备没有能做到完全协议分析，仅能实现较为低层入侵防御，对应用层攻击等行为无法进行判定，而入侵检测等旁路设备因为布署方法局限，在发觉攻击后无法立即切断可疑连接，全部达不到完全防御要求。深圳市**企业想要实现完全入侵防御，就需要在网络上将完全协议分析和在线防御相融合，这就是入侵防御系统（IPS）：online式在线布署，深层分析网络实时数据，正确判定隐含其中攻击行为，实施立即阻断。加强对区企业、地州终端桌面管理能力区企业采取本类产品目标在于，能够对用户端进行状态安全控管，关键包含用户端联网监控、用户端状态管理、设备注册、用户端桌面安全审计、用户端补丁分发管理、用户端应用资源控制和远程帮助管理等能。系统实时监控和报警网络中存在用户端违规、病毒事件等行为，提供在线用户端安全状态信息；依据系统报警信息和用户端上报安全信息，管理人员在控制台远程对异常网络或违规用户端机器采取处理方法（如断网、告警、远程帮助等）。对补丁进行自动分公布署和管理控制。用户端进程黑白名单控制，预防非法进程开启。全网用户端进程统一汇总监视。用户端软件黑白名单管理，用户端软件统一汇总监视。用户端软件自动分发和管理。用户端统一端口策略控制。怎样有效进行网络资源管理和设备资产管理。网络节点控制。弱口令监控。Usb移动存放设备行为审计和控制。预防防范用户绕过防火墙等边界防护设施，直接联入外网带来严重安全隐患行为（对于物理隔离网络，切实保障其有效隔离度，确保专网专用）。进行外来笔记本电脑和其它移动设备（如u盘、移动硬盘等）随意接入控制。正确有效定位网络中病毒引入点，快速、安全切断安全事件发生点和相关网络。安全、方便将非安全计算机阻断出网。监控内网敏感信息。根据既定策略统一配置用户端端口策略、注册表策略等用户端安全策略。有效监控用户端运维信息，方便网管了解网络中用户端是否已超负荷运转，是否需要升级。策略根据（区域、操作系统、时间等）进行控制和多级级联。软件使用简单，全部策略均在策略中心统一配置，用户上手简便。处理VPN系统更新而且有效过渡问题在此次项目中，我们在采购防火墙时，就带有VPN模块，其中支持IPSEC、SSL两种模式，能够依据应用自由选择，比现有VPN系统速度愈加快，配置更方便，使用更便捷。使现有VPN系统很平滑地向新技术过渡。提升区企业及地州企业对网络可管理能力伴随信息化发展加速和深入，深圳市**企业IT系统和网络越来越复杂，各级分企业对网络正常运转依靠性逐步增大，IT和网络应用逐步融入到单位日常工作中。网络基础设施和多种应用系统在不停增加，一旦IT系统和网络运行出现问题，将会对全部依靠于信息化平台正常工作产生影响。所以，高效系统和管理已经成为**企业信息化建设是否成功关键条件。网络管理系统可广泛应用于对局域网、广域网、城域网和关键IT业务系统中路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间件、网站、域名、URL、OA、CRM、ERP、SCM、HIS等多种IT网络组件和业务系统进行7X24连续监控、不间断数据采集和分析，对错误和故障数据进行颜色、声音、短信息、邮件等多个方法报警，提供多个图形和报表帮助用户进行故障分析和性能诊疗，确保IT业务系统和网络连续、稳定运行，提升IT系统效率，降低因为IT业务系统故障而造成损失。加强对上网行为审计能力伴随Internet接入普及和网络带宽增加，使用户上网条件得到改善，同时也给**企业网络带来了更高危险性、复杂性。终端用户随意使用网络资源将造成三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为增多。**企业网络作为一个开放网络系统，运行情况愈来愈复杂。网管中心怎样立即了解网络运行基础情况，并对网络整体情况作出基础分析，发觉可能存在问题（如病毒、木马造成网络异常），并进行快速故障定位，这些全部是对**企业信息安全管理挑战，这些问题包含：管理员怎样对网络效能行为进行统计、分析和评定，管理员怎样监控、控制部分非工作上网行为和非正常上网行为，管理员怎样杜绝用户经过电子邮件、MSN等路径泄漏内部机密资料，和管理员怎样在发生问题时有查证依据。所以，怎样有效地处理这些问题，方便提升用户工作效率，降低安全风险，降低损失，对网络进行统一管理，调整网络资源合理利用，已经成为**企业信息中心迫在眉睫紧要任务。所以内网安全管理也随之提升到一个新高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。第二阶段信息安全建设方案在这三年信息安全建设过程中，我们实现安全信息安全体系框架计划设计和实现，并关键围绕深圳市**企业目前网络中存在问题进行处理，而且该安全体系框架计划设计，要能够适应深圳市**企业在本身发展中可能出现业务调整和改变。建设标准在设计技术方案时要遵从以下标准：实用性标准深圳市**企业安全体系建设将一直遵照“面向应用，重视实效”指导思想。紧密结合深圳市**企业现有网络和应用情况，充足确保原有系统和结构可用性。协商标准对于一个应用系统而言，她安全性有时候和合理性存在着矛盾，从使用者角度讲是合理，站在安全角度来分析则是不安全，存在着风险，这时候就需要协调和论证在二者之间做出平衡。完整性标准深圳市**企业网络安全建设必需确保整个防御体系完整性。在安全体系建设中，我们采取多个安全防御技术和方法来保障深圳市**企业网络系统安全运行。整体均衡标准要对信息系统进行全方面均衡保护，要提升整个信息系统"安全最低点"安全性能，确保各个层面防护均衡。安全目标和效率、投入之间平衡标准要综合考虑安全目标和效率、投入之间均衡关系，确定适宜平衡点，不能为了追求安全而牺牲效率，或投入过大。标准化和一致性标准在技术、设备选型方面必需遵照一系列业界标准，充足考虑不一样设备技术之间兼容一致性。产品异构性标准在安全产品选型时，考虑不一样厂商安全产品功效互补特点，在进行多层防护时，将选择不一样厂商安全产品。区域等级标准要将信息系统根据合理标准划分为不一样安全等级，分区域分等级进行安全防护。动态发展标准安全防范体系建设不是一个一劳永逸工作，而是一个长久不停完善过程，所以技术方案要能够伴随安全技术发展、外部环境改变、安全目标调整而不停升级发展。统筹计划分步实施标准技术方案布署不可能一步到位，所以要在一个全方面计划基础上，依据实际情况，在不影响正常生产前提下，分步实施。保护原有投资标准设计技术方案时，要尽可能利用现有设备和软件，避免投资浪费，这些设备包含安全设备、网络设备等。遵照标准或规范GB/T9387.2-1995开放系统互连基础参考模型第2部分：安全体系结构RFC1825 TCP/IP安全体系结构 ISO10181:1996信息技术开放系统互连开放系统安全框架 GB/T18237- 信息技术开放系统互连通用高层安全GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T18336- 信息技术安全技术信息技术安全性评定准则ISO/ISE17799:/BS7799ISO/ISE15408（CC）AS/NZS4360:1999《风险管理标准》GAO/AIMD-00-33《信息安全风险评定》IATF《信息保障技术框架》安全建设思绪和方法我们着眼于整个安全体系建设和安全计划建设长久目标，逐步完善深圳市**企业风险管理体系，将安全建设分解成多个可实施性较强工程阶段，明确标识出各阶段安全建设内容和处理安全问题，为深圳市**企业提供一个可供参考安全建设远景计划和每期工程需要处理风险管理计划，各期工程建设内容全部是依据深圳市**企业所面临安全风险等级和迫切需要处理安全问题依据从高至低排序。这么建设思绪让深圳市**企业明确未来安全建设内容和建设方法，我们首先将处理目前对深圳市**企业威胁最大安全风险，在以后各期项目再逐步完善和调整安全框架内容。安全域建设风险管理基础处理思绪在于能够正确识别风险，并将高等级风险降低或转移，风险管理需要主动落实到深圳市**企业各业务系统。只有贴近具体业务系统，对业务系统关键性和特点有了清楚定义和识别，风险管理才可能取得确实成效。要将风险管理和业务系统联络起来，用安全域是一个比很好处理思绪。经过划分安全域，我们能够将网络依据业务系统、功效和关键性划分成不一样层次，而且不一样安全域面临是不完全相同安全风险，关注程度和处理方法也就不一样。安全域基础概念通常常常了解安全域（网络安全域）是指同一系统内有相同安全保护需求，相互信任，并含有相同安全访问控制和边界控制策略子网或网络，且相同网络安全域共享一样安全策略。假如了解广义安全域概念则是，含有相同业务要求和安全要求IT系统要素集合。这些IT系统要素包含：网络区域主机和系统人和组织物理环境策略和步骤业务和使命……安全域划分标准安全域理论和方法所遵照根本标准：等级保护标准依据安全域在业务支撑系统中关键程度和考虑风险威胁、安全需求、安全成本等原因，将其划为不一样安全保护等级并采取对应安全保护技术、管理方法，以保障业务支撑网络和信息安全。在参考工信部等级保护指导意见《TC260-N0015信息系统安全技术要求》对安全等级划分基础上，结合业务支撑系统具体情况，安全域所包含应用和资产价值越高，面临威胁越大，那么它安全保护等级也就越高。本文档定义了不相同级安全域，对这些安全域等级保护从业务数据流角度来看，要求高等级安全域许可向低等级安全域提议业务访问请求，确保发送数据机密性，判别低等级安全域正当性，对接收数据进行完整性校验，对业务操作进行日志统计和审计；低等级安全域向高等级安全域只许可受限访问，确保发送数据完整性，对业务操作进行日志统计和审计。在基于等级保护标准同时遵照策略最大化标准。业务保障标准安全域方法根本目标是能够愈加好保障网络上承载业务。在确保安全同时，还要保障业务正常运行和运行效率。结构简化标准安全域划分直接目标和效果是要将整个网络变得愈加简单，简单网络结构便于设计防护体系。安全域划分不宜过于复杂。生命周期标准对于安全域划分和布防不仅仅要考虑静态设计，还要考虑不停改变；另外，在安全域建设和调整过程中要考虑工程化管理。深度防御标准依据网络应用访问次序，逐层进行防御，保护关键应用安全。安全最大化标准针对业务系统可能跨越多个安全域情况，对该业务系统安全防护必需要使该系统在全局上达成要求安全等级，即实现安全最大化防护，同时满足多个安全域保护策略。分步实施标准分布实施标准：落实安全工作“统一计划，分步实施”标准，依据本身情况分阶段落实安全域划分和边界整合工作。可扩展性标准当有新业务系统需要接入业务支撑网时，根据等级保护、对端可信度等标准将其分别划分至不一样安全等级域各个子域。安全域边界防护标准依据本文档提出安全域划分标准及相关标准，在不一样安全等级域间进行数据互访必需遵照以下防护标准。归并系统接口深圳市**企业网络现在确实存在边界不清实际问题，在此情况下只有在确保支撑系统多种互联需求有效提供前提下对安全域边界进行合理整合，对系统接口进行有效整理和归并，降低接口数量，提升系统接口规范性，才能做到“关键防护、重兵把守”，达成事半功倍效果。最小授权标准安全子域间防护需要根据安全最小授权标准，依据“缺省拒绝”方法制订防护策略。防护策略在身份判别基础上，只授权开放必需访问权限，并确保数据安全完整性、机密性、可用性。业务相关性标准对安全子域安全防护要充足考虑该子域业务特点，在确保业务正常运行、确保效率情况下分别设置对应安全防护策略。假如子域之间业务关联性、互访信任度、数据流量、访问频度等较低，通常情况下没有数据互访业务需求，所以安全防护策略很严格，标准上不许可数据互访。假如子域之间互访信任度、数据流量、访问频度等比较高，通常情况下业务关系比较紧密，安全防护策略能够较为宽松，通常许可受限信任互访。策略最大化标准本文档针对各域分别制订了多项防护策略。关键域防护包含关键域和接入域边界和关键域各子域之间防护，接入域防护包含接入域内部边界和外部边界防护，当存在多项不一样安全策略时，安全域防护策略包含这些策略合集，并选择最严格防护策略，安全域防护必需遵照策略最大化标准。安全域理论安全域划分和基于安全域整体安全工作，对深圳市**企业含有很大意义和实际作用：安全域划分基于网络和系统进行，是下一步安全建设布署依据，能够指导系统安全计划、设计、入网和验收工作；能够愈加好利用系统安全方法，发挥安全设备利用率；基于网络和系统进行安全检验和评定基础，能够在运行维护阶段降低系统风险，提供检验审核依据；安全域能够愈加好控制网络安全风险，降低系统风险；安全域分割是出现问题时预防，能够预防有害行为渗透；安全域边界是灾难发生时抑制点，能够预防影响扩散。早期在进行安全域划分时，完全从一个业务单元或行政机构角度考虑。将自己网络和系统看成内部网络，将全部其它网络全部作为不可信网络来看待；将自己看成中心，然后基于这个见解进行整个系统分析和安全布署。伴随安全区域方法发展，发觉这么方法难于构建全局安全体系，局部设计和实施经验也难于推广到全局，也难于借鉴。“同构性简化”安全域划分方法，其基础思绪是认为一个复杂网络应该是由部分相通网络结构元所组成，这些进行拼接、递归等方法结构出一个大网络。“3+1同构性简化”安全域方法是用一个3+1网络结构元来分析深圳市**企业网络系统。（注：除了3+1结构之外，还存在其它形式结构。）具体来说深圳市**企业承载网络和支撑系统根据其维护数据分类能够分为安全服务域、安全接入域、安全互联域和安全支撑域四类。在此基础上确定不一样区域信息系统安全保护等级。同一区域内资产实施统一保护，如进出信息保护机制，访问控制，物理安全特征等。安全互联域连接传输共同数据安全服务域和安全接入域组成互联基础设施组成了安全互联域。安全互联域安全等级确实定和网络所连接安全接入域和安全服务域安全等级相关。当一个网络所连接安全服务域和安全接入域含有单一安全等级时，该安全互联域安全等级应和该安全等级相同；当一个网络所连接安全服务域和安全接入域含有多安全等级时，应尽可能组成不一样安全等级安全互联域，为这些安全服务域和安全接入域中不一样安全等级提供不一样支持；假如确实无法分别提供支持，则应按这些安全服务域和安全接入域中最高安全等级提供安全支持，组成和最高安全等级相同安全等级安全互联域。关键需要处理安全问题包含：网络设备强壮性，预防被非法访问；预防网络拥塞；预防线路嗅探；预防成为恶意代码传输和扩散载体等等。安全互联域有时会将其它域边界融合在本域中，所以，可能会以一个平台方法存在。安全互联域因为关键起到承载作用，应该以通为主、以隔为辅。基于这么防护标准，其中关键采取安全方法包含：路由器本身路由和过滤功效；交换机ACL功效；线路监测功效。在骨干上提议只监控流量，在接入端能够考虑监控入侵行为等等。安全接入域由访问同类数据用户终端组成安全接入域，安全接入域划分应以用户所能访问安全服务域中数据类和用户计算机所处物理位置来确定。安全接入域安全防护等级和其所能访问安全服务域安全等级相关。当一个安全接入域中终端能访问多个安全服务域时，该安全接入域安全防护等级应和这些安全服务域最高安全等级相同。安全接入域应有明确边界，方便于进行保护。关键需要处理安全问题包含：用户主体信任问题，也就是对于用户身份认证；用户端主机信任问题，也就是用户端是否被感染和侵占；安全接入域内，主机（包含用户端）之间相互感染和影响；安全接入域内，一个用户端对于另外部分用户端攻击和嗅探；安全接入域内，各个用户之间混淆，造成非授权操作；安全接入域内用户和用户端突破域边界安全规则等等。针对上述关键问题，在安全接入域内需要考虑以下部分防护关键点，包含安全接入域内和安全接入域边界。安全接入域内防护关键点：安全接入域内节点加固，包含主机操作系统补丁、主机和网络设备安全配置等；进而能够布署补丁管理等强制系统。安全接入域内节点访问控制，关键是主机和网络设备管理访问控制等；假如需要加强，还能够布署集中身份认证系统、一次登录系统(SSO)等，能够基于CA证书、或口令卡等；安全接入域内节点防病毒；安全域内主机全部应该布署防病毒系统，能够考虑布署对于用户端强制防病毒软件安装和强制升级和更新。安全接入域内节点防入侵；能够在用户端布署单机防入侵系统。安全接入域内能够依据用户主体分类，分成子域。对于很不可信用户和用户端，能够关键布署流量监控，方便能够最快地发觉可能出现蠕虫传输和拒绝服务攻击。安全接入域内假如依据用户所操作业务分类进行子域划分，能够针对不一样子域进行应用监控和审计；安全接入域内防泄密；监控安全接入域用户非业务流量，尤其是进行文件和信息交换协议，比如：电子邮件、FTP、WEB访问等。安全接入域边界防护，关键是要确保从安全接入域到其它域访问全部是由可信用户从可信用户端上提议；同时还要确保安全接入域不受其它域侵害和影响。安全接入域和其它安全域之间边界和连线防护关键点：安全接入域和内部边界上需要安全网关，关键考虑访问控制要求；这么安全网关能够是路由器、防火墙、交换机ACL等等。对安全接入域边界上流经数据进行检测，监测内容包含：入侵、病毒、蠕虫、流量、应用等；在安全接入域边界上进行恶意代码防护；安全接入域和其它安全域互联方法可能需要加密传输，VPN就是一个常见方法；为了预防安全接入域内用户突破或绕过，需要建立预防用户端非授权访问控制系统，如非法外联络统能够预防用户端经过拨号、无线网卡等方法绕过边界防护；为了预防安全接入域内用户相互嗅探而且越权操作，需要对用户和其对应用户端进行分组。比如：对于用户分组后划入不一样VLAN就是一个方法等等。安全服务域在局域范围内存放，传输、处理同类数据，含有相同安全等级保护单一计算机（主机/服务器）或多个计算机组成了安全服务域，不一样数据在计算机上分布情况，是确定安全服务域基础依据。依据数据分布，能够有以下安全服务域：单一计算机单一安全等级服务域，多计算机单一安全等级服务域，单一计算机多安全等级综合服务域，多计算机多安全等级综合服务域。关键需要处理安全问题包含：服务器被入侵，完整性受到破坏；服务器被拒绝服务攻击；服务器成为恶意代码传输载体；服务器成为垃圾传输载体等等。防护关键点：安全服务域内节点加固，包含主机操作系统补丁、主机和网络设备安全配置等；安全服务域内节点访问控制，关键是主机和网络设备管理访问控制等；访问控制机制要和安全接入域判别机制之间相互结合；安全服务域内节点防病毒：尤其是基于windows平台服务器；安全服务域内节点防入侵；安全服务域内关键链路流量监控；安全服务域内业务监控和审计；服务域内防泄密；安全服务域内部分可能产生或传输垃圾服务器防护，如：邮件服务器需要布署垃圾邮件过滤等等。安全服务域和其它域之间边界和连线防护关键点：安全服务域边界上安全网关，关键考虑访问控制要求；安全服务域边界上监测，监测内容包含：入侵、病毒、蠕虫、流量、应用等；安全服务域边界上恶意代码防护；安全服务域中服务器和其它域服务器发生业务关联时，很可能需要考虑加密传输等等。安全支撑域为整个IT架构提供集中安全服务，进行集中安全管理和监控和响应。具体来说可能包含以下内容：病毒监控中心、认证中心、安全管理中心等。关键需要处理安全问题包含：安全支撑域要能够对于其它安全域提供必需安全支撑；安全支撑域本身不能带来新安全风险，要做好本身防护。安全支撑域不一样于其它系统独特征在于，安全支撑域会以代理Agent方法或提供调用服务方法，插入（plug-into）到被监管系统中。代理方法比如：业务支撑系统会放置计费前端服务器在业务系统中，安全监控系统会将IDS等检测引擎放置在被监控网络中等等；调用服务方法比如：认证中心提供证书服务或其它认证服务。为了能够确保这种插入机制正确和安全，要确保插入功效对于被监管系统不产生不良影响；同时还要确保插入点不会使安全支撑域受到被监管系统影响。所以插入点和安全支撑域之间常常需要采取对应安全方法，比如：带外管理：即插入点到安全支撑域之间建立单独物理链路或vpn连接；链路加密：插入点和安全支撑域之间数据传输和命令传输全部使用加密传输，比如采取ssl等；插入点本身安全性：插入点对于安全支撑域来说属于域外飞地，所以对于插入点要能够做到比较强安全性，其产品安全性能够用CC等级来描述。统一认证授权系统技术方案统一认证系统经过动态口令卡、PKI数字证书、IC卡等多个通用认证手段对用户进行身份验证，是一个对企业内部系统及网络设备多种访问进行统一认证、授权、审核企业级认证服务平台，能够确保企业用户访问多种资源安全性，全方面实施和落实用户制订资源访问策略。依据深圳市**企业网络系统现实状况和安全需求，提出处理方案以下：认证服务器高可用性布署在深圳市**企业现有网络系统结构基础上，布署两台MSWindows服务器，安装统一认证子系统，形成两台相互复制认证服务器，用以实现冗余备份及负载分担。同时，启用认证服务器内置RADIUSServer，做好为主机、网络设备等资源提供身份认证准备工作。整体上，由这两台认证服务器提供网络系统中认证、授权、审核和用户管理。两台认证服务器之间自动进行同时数据复制，确保数据整体完整和协调一致。当用户需求增加，两台服务器已经不能满足大量认证请求时，或需要考虑高可靠灾难冗余时，统一认证系统能够简单、快速增加镜像服务器数量，近乎无限扩充认证支持数目，确保用户投资得到保护。正常工作状态下，用户端请求根据配置权重自动分配到两台认证服务器上，用以降低单台服务器工作负载，提升系统运转性能。当某台认证服务器出现故障时，另外一台服务器零间隙、无延时自动接管原故障服务器认证服务，直到故障服务器恢复正常。不管在正常工作状态下，还是发生单机故障时，SPA系统每台服务器上均能够独立完成全部系统管理任务，真正实现认证系统高可用性。统一身份认证身份认证是保护业务系统中很关键一个部份。再安全网络环境下，用户身份信息被人盗取，那么业务系统中全部信息机密性也就无从谈起。为了处理传统静态口令认证存在多种弊病和安全隐患，统一认证系统采取多原因身份认证方法--动态口令认证来加强用户对多种系统访问前身份认证问题。多原因包含：用户必需持有认证器――口令牌用户认证器保护――保护口令牌PIN码用户登陆信息――口令牌生成口令用户登陆信息改变――口令牌每次生成口令不一样经过这些多个原因组合，确保用户登陆时就是其本人，而不是因非法用户盗取得到口令而登陆系统。对于深圳市**企业这种大型企业来说，内部应用和人员角色全部很多，反应到IT系统中会造成不一样认证强度要求，在后续使用过程中会需要根据每个应用实际要求来确定认证强度。除动态口令之外，统一认证系统在同一台认证服务器中还支持其它几乎全部已知认证方法,如：静态口令；基于同时方法动态口令；基于异步方法动态口令（挑战-应答）；IC卡；数字证书；USB口令牌；IP地址；短信认证；生物识别技术。经过在一个平台上支持多个身份认证手段，来实现对用户统一身份认证和统一身份管理。

集中账号口令管理统一认证系统采取动态口令认证方法来处理传统静态口令存在很多弊病，如口令易泄漏，多人使用同一账号和口令等问题。在介绍此方案之前，我们先确定以下两个概念：自然人账号：企业人员唯一账号信息资源账号：资源系统内部账号信息在深圳市**企业网络系统中，为每人颁发一个硬件口令牌，摈弃原有静态口令认证方法，用户无需再记忆自已口令，每次登陆系统时，只需输入从硬件口令牌中得到口令即可。管理人员也无需定时通知用户修改口令，因为动态口令本身每次登陆时使用是不一样口令。用过口令立即作废，不能再使用。这么完全处理了要求用户密码定时修改问题。也解放了管理人员在这方面工作。

经过管理控制台，为全部IT支撑网系统中需要认证用户建立账号（我们称之为自然人账号），设置用户多种属性，并将每个自然人账号上分配一个硬件口令牌。同时在各个需访问系统上（网络设备或主机）为每一个用户建立一个账号（我们称之为资源账号），将资源账号和统一认证上建立自然人账号绑定。用户登陆系统时必需使用统一认证系统上建立自然人账号，并用自己令牌才可登陆。根本处理多人使用同一账号和口令问题。规范了管理步骤。

经过统一认证系统策略管理组件，管理人员能够设置动态口令安全策略：动态口令长度动态口令组合方法：数字、字母还是数字字母混合保护动态口令牌PIN码长度动态口令工作方法：同时，挑战／应答

对用户管理：为方便管理需求，能够实现对用户集中管理，分级管理，委托管理和远程管理。集中管理：统一认证系统系统管理员能够轻松管理多个统一认证系统上用户，不管在企业管理中心或是其它地方，在深圳市**企业网络中能够建立一个中央控制台来管理全部用户。分级管理：能够将用户分成组，并为每一个组指定当地管理员，这个管理员只可管理本组而不能管理其它组。远程管理：经过远程连接方法，对下属地域用户实现远程管理。委托管理：对于临时工作，能够委托她人管理用户信息。

统一认证和授权统一认证系统能够作为一个集中认证和访问控制入口，为全部用户进行认证和授权。并对用户访问做集中控制。首先确定用户身份，然后控制用户能去什么地方、哪些系统和网络资源该用户能够访问。统一认证系统依据用户任务和和组织关系来提供粒状授权，来控制用户可能访问什么，不能够访问什么。没有经过统一认证系统检验和授权访问将不被送到后台真正多种系统上。集中认证和访问控制步骤以下：在统一认证系统管理平台上注册深圳市**企业网络系统内IT资源；对每一个用户选择为动态口令认证方法；为用户分配其可访问IT资源，包含拨号服务器、路由器、交换机，防火墙、主流UNIX系统主机、VPN、Windows系统、B/S结构应用系统，C/S结构应用系统等。设置安全访问策略，统一认证系统提供基于角色访问控制策略，管理员能够依据用户身份、所属组织或访问动作属性来制订访问策略。制订具体访问控制规则。如：角色授权，属于什么角色人能够访问什么系统时间授权，什么时间段能够访问哪个系统使用何种认证方法（或认证器）人能够访问哪个系统能够对哪个IP地址系统访问做控制合作伙伴能够从哪个VPN系统进入进行访问等

尽管统一认证系统能够对深圳市**企业网络系统中全部网络设备和系统进行认证和访问控制，但在第一阶段，我们提议先对系统管理员，第三方接入人员，和操作权限较高人员进行认证和管理。对于系统来讲，我们提议，先对关键网络设备，主机和VPN接入及关键Web系统做访问控制。具体配置和实现以下描述：

网络设备身份认证及授权在需要保护骨干路由器、中心交换机、防火墙等网络设备中配置使用RADIUS验证，将RADIUS服务器指向到统一认证系统内置RADIUSServer。从而为网络设备访问提供身份认证和授权。为网络管理员配置硬件令牌卡。不一样网络设备经过标准RADIUS协议使用统一认证系统服务器进行身份认证，因为统一认证系统系统动态口令优势，网络管理员能够利用令牌卡进行远程登录，假如使用基于挑战－应答异步密码方法，因为密码根本不在传输过程中出现，从而能够根本避免密码在网络中明文传输和泄漏问题。

网络设备身份认证系统结构

主机系统身份认证及授权深圳市**企业网络系统中有大量关键服务器，对这些服务器管理需要经过远程Telnet或本机登录认证。应用系统管理员管理着业务系统主机，负担很大安全风险。主机也是不法分子最好目标，所以，加强主机安全保护十分关键。在服务器主机上安装统一认证系统登录代理软件，并做好对应配置。系统管理员经过终端登录到服务器主机时候，或使用Ftp,rLogin,SSH,XWindow,Su登录系统时，登录代理软件将认证请求转发至统一认证系统，在统一认证系统对用户身份进行有效核实后，将认证结果转发给服务器主机，许可或拒绝用户进入，同时在系统日志中统计认证全部过程。经过动态口令认证方法，确保能够限制未经授权用户无法登录到服务器主机上。Unix系统身份认证结构图

远程接入或VPN接入用户认证及授权深圳市**企业网络系统存在部分远程接入人员，部分是内部移动办公人员，还有部分是代维第三方人员，她们全部需要经过外网接入深圳市**企业网络，进行远程访问。对于这些人员有是经过VPN接入，有些是经过拨号路由器拨号接入。VPN系统提供深圳市**企业网络安全通道，使得从外网访问用户访问内部网络上应用服务愈加简单，数据传输愈加安全。但同时带来安全隐患也是不容忽略。一旦非法用户经过某种手段得到正当用户密码，她们就能够经过VPN自由出入企业内部网络，利用黑客工具，搜集企业机密信息，攻击应用服务器，有可能造成很严重后果（比如：破坏关键服务器，盗取关键数据等等）。我们提议使用统一认证系统动态口令来处理VPN系统拨号系统存在严重安全缺点。在VPN网关上或是拨号路由器上配置使用RADIUS验证，将RADIUS服务器指向统一认证系统内置RADIUSServer，不用对现有网络结构进行任何调整，就可将VPN用户和统一认证系统相结合，对使用VPN接入用户实现了高强度安全身份认证。对于VPN产品同统一认证系统集成，我们已经有很多案例。不管是IPsecVPN，PPTP，还是SSLVPN，全部能很好同统一认证系统结合。

图：远程接入认证系统结构图数据库管理身份认证及授权数据库是业务运行重中之重，而数据库管理也存在着身份认证要求。传统静态口令认证方法迫使数据库管理员记忆大量复杂密码，要不就是全部管理用户全部使用同一个密码，显然这增加了管理人员工作强度或降低了系统安全性，二者不能兼顾。因为工作需要，数据库管理人员常常需要经过远程控制台等方法连接到数据库进行操作，对于非加密远程连接，输入静态密码在网络中是明文传输，很有可能被窃听并非法利用，形成安全隐患。在需要保护数据库中配置使用RADIUS验证，将RADIUS服务器指向到统一认证系统内置RADIUSServer，从而为数据库访问提供身份验证。为数据库管理员配置硬件令牌卡。管理员能够利用令牌卡进行当地或远程登录，即使密码在远程传输过程中被窃听，因为动态密码是一次作废，非法用户窃听到口令已经失效，根本避免了盗用口令隐患。数据库管理用户身份认证结构图

基于Web运行系统身份认证及授权对于深圳市**企业网络系统上基于Web运行系统，能够采取统一认证系统Web登录代理将统一认证系统和运行系统相集成。Web登录代理是安装在WebServer前端提供反向代理功效软件。它和后端WebServer在对Web请求处理上面是分离，首先由Web登录代理截获Web用户访问请求，将用户信息送到统一认证系统，假如经过判定这个用户为正当用户，那么统一认证系统将用户对Web页面访问权限和相关信息传输给Web登录代理，Web登录代理对用户Web请求进行判定，然后将许可Web请求传输到WebServer上，WebServer对用户请求做出相关回应，从而实现对Web访问用户身份认证和访问控制。在不影响任何业务应用前提下，将Web登录代理安装在Web服务器前端，同时，我们提议在用户端：为内部人员分配硬件令牌卡，提供安全保障并便于携带使用。为代理商分发硬件令牌，该令牌带有钥匙扣，携带方便，同时能够用硬Pin码保护，能够支持同时口令和异步挑战－应答口令，在确保安全需求前提下，方便使用分发。在Web登录代理系统中为基于URL访问制订灵活、缜密访问策略，为业务应用提供针对Web访问授权。图5Web系统身份认证结构

基于C/S结构业务系统身份认证在深圳市**企业网络中同时也存在大量基于C/S结构业务系统，业务操作员经过Client端和Server端建立连接，进行对应业务方面处理。现在业务系统操作人员还是使用固定密码访问系统，一旦密码泄漏，对业务系统安全运行和内部数据保密将组成严重威胁。鉴于业务系统在网络系统中所处关键位置，我们提议对这些业务系统也实施统一身份认证。对于C/S结构应用，需开发一个适适用于不一样业务系统代理Agent，此代理作用是截获用户访问请求，并转发给统一认证服务器，使其对动态口令进行验证。使用统一认证系统提供SDK，能够很轻易实现业务系统和统一认证系统无缝结合。SDK包含源代码、文档、全部可使用计算机操作系统平台清单，包含MSWINDOWS和大部分UNIX平台，源代码版本可依据需要而升级。在业务系统服务器上安装好Agent后，当操作员连接到业务系统时，服务器获取操作员用户户名和密码，而且经过加密方法将其传送到统一认证服务器，由统一认证服务器比较服务器送来用户名和动态密码是否和统一认证服务器中用户名及生成动态密码相一致，从而确定用户身份是否正确，并将认证结果（是或否）返回给业务系统服务器，同时将认证过程统计于统一认证系统日志中，业务系统服务器收到认证服务器返回认证结果，依据其认证成功是否决定是否许可用户调用应用系统中应用程序。经过实施基于动态口令身份认证，加强了业务系统整体安全性，为业务系统安全运行提供了强有力确保。图：C/S结构业务系统认证结构图深圳市**企业网络安全评定风险评定介绍风险评定是风险管理关键组成部分，要想愈加好地了解风险评定，首先要了解风险管理。风险管理以可接收费用识别、控制、降低或消除可能影响信息系统安全风险过程。是一个识别、控制、降低或消除安全风险活动，经过风险评定来识别风险大小，经过制订信息安全方针，采取合适控制目标和控制方法对风险进行控制，使风险被避免、转移或降至一个可被接收水平。风险管理过程图所表示。图：风险管理过程风险评定是对组织存在威胁进行评定、对安全方法有效性进行评定、和对系统弱点被利用可能性进行评定后综合结果，是风险管理关键组成部分，是信息安全工作中关键一环。我们所了解风险关系图所表示，其意义为：资产含有价值，并会受到威胁潜在影响；微弱点将资产暴露给威胁，威胁利用微弱点对资产造成影响；威胁和微弱点增加造成安全风险增加；安全风险存在对组织信息安全提出要求；安全控制应满足安全要求；组织经过实施安全控制防范威胁，以降低安全风险。风险关系图在上述关系图中：资产指组织要保护资产，是组成整个系统多种元素组合，它直接表现了这个系统业务或任务关键性，这种关键性进而转化为资产应含有保护价值。它包含计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在缺点和不足，它们不直接对资产造成危害，但弱点可能被环境中威胁所利用从而危害资产安全。弱点也称为“脆弱性”或“漏洞”。威胁是引发不期望事件从而对资产造成损害潜在可能性。威胁可能源于对组织信息直接或间接攻击，比如非授权泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；威胁也可能源于偶发、或蓄意事件。通常来说，威胁总是要利用组织网络中系统、应用或服务弱点才可能成功地对资产造成伤害。从宏观上讲，威胁根据产生起源能够分为非授权蓄意行为、不可抗力、人为错误、和设施/设备错误等。安全风险是环境中威胁利用弱点造成资产毁坏或损失潜在可能性。风险大小关键表现在两个方面：事故发生可能性及事故造成影响大小。资产、威胁、弱点及保护任何改变全部可能带来较大风险，所以，为了降低安全风险，应对环境或系统改变进行检测方便立即采取有效方法加以控制或防范。安防方法是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复一系列实践、程序或机制。安全方法关键表现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防方法只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需成本就越高。所以，在系统中就总是有残余风险（RR）存在，这么，系统安全需求确实定实际上也是对余留风险及其接收程度确实定。评定目标进行风险评定目标通常包含以下多个方面：了解组织管理、网络和系统安全现实状况；确定可能对资产造成危害威胁，包含入侵者、罪犯、不满职员、恐怖分子和自然灾难；经过对历史资料和教授经验确定威胁实施可能性；对可能受到威胁影响资产确定其价值、敏感性和严重性，和对应等级，确定哪些资产是最关键；对最关键、最敏感资产，确定一旦威胁发生其潜在损失或破坏；明晰组织安全需求，指导组织建立安全管理框架，提出安全提议，合理计划未来安全建设和投入。评定内容评定内容包含以下方面：经过网络弱点检测，识别信息系统在技术层面存在安全弱点。经过采集当地安全信息，取得现在操作系统安全、网络设备、多种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面信息，并进行对应分析。经过对组织人员、制度等相关安全管理方法分析，了解组织现有信息安全管理情况。经过对以上多种安全风险分析和汇总，形成组织安全风险评定汇报。依据组织安全风险评定汇报和安全现实状况，提出对应安全提议，指导下一步信息安全建设。评定时机在信息系统生存周期里，有很多个情况必需对信息系统所包含人员、技术环境、物理环境进行风险评定：在设计计划或升级至新信息系统时；给现在信息系统增加新应用时；在和其它组织（部门）进行网络互联时；在技术平台进行大规模更新（比如，从Linux系统移植到Solaris系统）时；在发生计算机安全事件以后，或怀疑可能会发生安全事件时；关心组织现有信息安全方法是否充足或是否含有对应安全效力时；在组织含有结构变动（比如，组织合并）时；在需要对信息系统安全情况进行定时或不定时评定、以查看是否满足组织连续运行需要时等。指导标准在风险评定中遵照以下部分标准：标准性标准评定方案设计和具体实施全部依据中国和国外相关标准进行及理论模型。可控性标准评定过程和所使用工具含有可控性。评定项目所采取工具全部经过数次评定项目考验，或是依据具体要求和组织具体网络特点定制，含有很好可控性。整体性标准评定服务从组织实际需求出发，从业务角度进行评定，而不是局限于网络、主机等单个安全层面，包含到安全管理和业务运行，保障整体性和全方面性。最小影响标准评定工作做到充足计划性，不对现网运行和业务正常提供产生显著影响，尽可能小地影响系统和网络正常运行。保密性标准从企业、人员、过程三个方面进行保密控制：企业双方签署保密协议，不得利用评定中任何数据进行其它有损甲方利益用途；人员保密，企业内部签署保密协议；在评定过程中对评定数据严格保密。参考标准和风险评定有一定关系信息安全标准也是我们关键参考。它们或在基础概念上，或在信息安全管理上，为我们提供了国际化准则。这些标准包含：AS/NZS4360：1999风险管理指南——澳大利亚和新西兰相关风险管理标准。NISTSP800-30——美国国家标准和技术学会(NIST)开发信息技术系统风险管理指南。NISTSP800-26——美国国家标准和技术学会(NIST)开发信息技术系统安全自我评定指南。ISO17799——由英国家标准准协会BSI（BritishStandardInstitute）开发，以后成为信息安全管理体系国际标准。BS7799-2——由英国家标准准协会BSI（BritishStandardInstitute）开发信息安全管理标准。OCTAVE——OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation，由美国卡耐基梅隆大学软件工程学院开发一个风险评定方法。BS15000（ITIL）——信息系统服务管理ISO13335——信息技术-IT安全管理指南。G51——安全风险评定及审计指南ISO15408/CCGB/T18336——信息技术安全技术信息技术安全性评定准则GB17859-1999——计算机信息系统安全保护等级划分准则风险评定模型本方案中提供风险评定和管理模型参考了多个国际风险评定标准，建立安全风险管理步骤模型、安全风险关系模型和安全风险计算模型，共同组成安全风险模型。本模型分别从风险管理步骤，描述风险评定、风险管理标准规范步骤；从安全风险全部要素：资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述她们各自之间关系和影响；在安全风险计算模型中具体具体地提供了风险计算方法，经过两个原因：威胁等级、威胁发生概率，经过风险评定矩阵得出安全风险。安全风险管理过程模型图所表示。图：安全风险管理过程模型风险评定过程组织信息安全评定包含技术评定和管理评定。风险评定包含资产评定、威胁分析、弱点分析、风险计算等方面。安全风险汇报提交组织安全风险汇报，获知组织安全风险情况是安全评定关键目标。经过上述描述关键过程，向组织提交组织风险评定综合汇报，关键目标是提供风险列表，归类风险等级。风险评定管理系统依据对组织安全风险分析和风险评定结果，建立组织风险评定管理系统RAMS，将风险评定结果入库保留，为安全管理和问题追踪提供数据基础。风险评定管理系统还包含设备弱点库和弱点资料库。风险评定管理系统提供WEB方法用户操作界面。安全需求分析依据组织安全风险评定汇报，确定组织有效安全需求。获知组织需要立即处理安全问题，获知组织面临巨大安全威胁，获知组织将有可能面临巨大经济损失，和潜在关键安全影响等。同时在考虑组织安全建设投资合理性、针对性、合适性、有效性。安全提议依据风险评定结果，提出相关提议，帮助构建组织安全体系结构，结合组织当地、远程网络架构，依据策略，为组织制订完整动态安全处理方案提供参考。考虑方面包含物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理步骤、安全管理制度、安全策略等内容，而且重视高可用性、动态性、整体性。风险控制依据组织安全风险汇报，结合组织特点，针对组织面正确安全风险，分析将面正确安全影响，提供对应风险控制提议。风险控制包含降低、控制、转移风险，和不加控制残余风险。经过风险控制最终使系统风险转变为能够接收残余风险。在降低风险需求和风险控制代价之间取得平衡。风险控制方法通常也能够放在风险评定汇报中，经过和对应风险对象对应，能够使得用户知道为何选择该方法。监控审核在整个组织风险管理过程中，每一个步骤全部需要进行监控和审核程序，确保整个评定过程规范，安全，可信。监控和审核任务将由组织组建风险评定项目组和尤其教授组实施。沟通、咨询和文档管理对于整个风险管理过程沟通、咨询是确保风险评定项目成功实施很关键原因。在整个风险管理、评定过程中，针对每一个步骤应该交流风险管理经验，同时形成相关文档，保留资料。在项目进展过程中，风险评定方法和结果可能发生改变，所以，具体而完整文档和材料很关键。评定成功关键原因对于风险评定而言，其有效实施有一揽子关键要素，这些要素将有利于组织高层管理和职员积累其独到有效经验，以确保风险评定有效实施和采取合适补救控制方法。需要高层领导大力支持和参与假如想让单位各实施层对风险评定寄于充足关注，想让评定实施期间有足够可利用资源，想让评定结果映射到政策和控制管理上对应调整变更，就必需赢得高层领导大力支持和足够重视。它具体表现在多个步骤，如：在着手于评定项目标开启期时，首先必需考虑到评定实施范围和负责参与人员；在得到评定结果后，采取即时应对方法和控制策略，并致力于每项评定实施范围决议并对评定结果采取即时应对方法。业务管理部门关键作用风险评定开启及随之控制策划实施，业务管理部门全部起着不可忽略作用。在降低风险有效方法，确定评定具体时间问题上，业务管理部门最含有讲话权。业务管理部门从多种信息渠道，包含前期风险评定结果中实施每十二个月一次风险管理策划。它为实施风险评定，为指定专员疏通、协调和实施风险评定活动，为指定操作系统设定风险基线有效实施奠定了坚实基础。浓缩评定范围评定范围不在于立即对组织操作所包含整个范围内进行一次规模宏大风险评定，而在于对相关业务多个步骤实施一次“浓缩性评定”。所以，评定范围可能仅包含部分特定业务管理部门、系统、设备或逻辑上相关一整套操作系统。评定结果有效管理需对风险评定结果进行有效管理，以确保评定结果可用性。首先是文件化管理，以确保在包含管理层决议时有法可依。其次，也是更关键，因为评定结果往往在形成文档后内容较多，难于翻看，往往对实际工作指导有限。这时需要对资产信息、安全威胁信息、安全弱点信息、评定结果进行统一管理，经过建设风险评定管理系统（RAMS）来实现。风险评定管理系统是风险评定过程和结果管理基础性必备工具。风险评定实施方法为愈加好地实施风险评定，须制订一套标准实施方法，图表、问卷标准化汇报模式并利用软件工具，它们有利于评定开启期间顺利实施，确保实施方法连贯性和一致性。它们大部分是便于访问和存放电子档案。评定内容和过程评定内容和阶段从评定对象这个角度，评定内容要覆盖组织全部节点中关键信息资产。它包含两个层面内容：技术层面：评定和分析在网络和主机上存在安全技术风险，包含网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。管理层面：从组织人员、组织结构、管理制度、系统运行保障方法，和其它运行管理规范等角度，分析业务运作和管理方面存在安全缺点。风险评定过程划分为四个大阶段：制订项目计划和培训、搜集资料、风险分析、形成评定汇报。其中，风险分析又可细分为以下六个步骤：步骤一：资产识别和赋值步骤二：弱点分析步骤三：威胁分析步骤四：已经有控制方法分析步骤五：可能性及影响分析步骤六：风险识别形成评定汇报阶段包含提出控制提议和形成评定结果文档两个步骤。下图表示了风险评定过程和步骤。建设风险评定管理系统RAMS，作为对风险评定过程和风险评定结果管理基础性必备工具，实现对资产信息、安全威胁信息、安全弱点信息、评定结果统一管理，是有效管理评定过程、合理利用评定结果关键手段。1.1.制订项目计划和培训2.搜集资料3.风险分析4.形成评定汇报5.项目跟踪资产识别和赋值弱点分析威胁分析已经有控制方法分析可能性及影响分析风险识别评定结果文档图：风险评定过程制订计划和培训在评定安全风险前，应就筹备、监督和控制等工作制订计划，并请评定者对被评定单位相关人员进行培训。关键工作包含：进行培训交流确定项目范围和目标提出工作限制要求确定参与各方职务和职责项目进度安排确定项目协调会制度培训风险评定是一个复杂过程，包含组织各个方面，主观原因较强。评定参与各方，包含组织高层主管、技术主管、通常人员，对评定要求和了解可能是不一样，对评定结果期待可能是不一致、甚至是矛盾。为此，在评定之前，对被评定单位相关人员进行培训，让她们了解信息系统风险评定含义和意义，和她们沟通评定目标、过程，并明确需要她们配合工作内容，是很关键。项目范围和目标风险评定范围可能涵盖内部网络和因特网连接、业务网络安全保护方法，直至整个单位信息技术安全情况。所以，明确评定目标是风险评定结果关键步骤，应首先确定组织目标，如：是否要确定内部网络和因特网连接时安全要求和保护方法、找出业务网络存在潜在风险、或评定单位整体信息技术安全水平。工作限制要求多种工作限制包含时间、财政预算、技术原因等均须加以考虑。这些限制可能影响项目标进度安排和支持评定可用资源。比如，技术评定可能要在非繁忙办公时间，甚至非办公时间进行。项目进度安排评定最关键步骤之一是制订项目标进度安排。进度安排列明评定项目将要进行全部关键工作。预定项目规模，比如项目成本和参与项目标人数均可直接影响项目进度安排。项目进度安排可用来控制进度和监督项目。项目协调会应确定由项目责任人定时组织项目协调会制度。项目协调会就上次例会所确立事项进行监督检验，并对存在项目实施问题给予协调，确定处理方案和进度安排；遇有紧急情况，项目总协调人可随时召集项目协调会议。每次会议出具会议纪要，交各相关单位立案。评定工作开启时会召开首次项目协调会。搜集资料搜集资料目标在于了解现有系统和情况，并经过分析所搜集资料／数据，以确定风险所在，它是参与风险评定双方就资产、弱点、威胁达成一致认识第一步。搜集资料需要花费大量时间用于确定相关信息，所以，合理利用访谈、调查问卷等手段能够事半功倍。评定小组和组织相关人员进行沟通，以了解组织基础情况（包含组织使命、关键业务、机构设置、区域分布等），了解此次评定目标和组织对此次评定期望，取得将要评定系统基础信息（功效用途、所处理信息或所提供服务）。同时，评定小组和组织相关人员对组织信息系统组成进行分析，判别信息系统物理边界和逻辑边界，完善网络结构，搜集和信息系统相关多种组件软硬件、相关介质、使用/管理该信息系统人员等信息，分析系统信息流，判别各应用之间依存关系。经过和组织相关人员沟通，评定小组判别组织里现在存在着和信息安全工作相关或有利于此次风险评定工作文档，并经过被评定组织协调员搜集这些文档以进行分析。文档判别和搜集可能发生在整个评定过程中，本阶段文档判别搜集仅仅是资料搜集开始。在评定过程中，评定小组经过访谈等多个方法，可能还将取得其它文档信息。搜集资料方法依据项目范围，搜集相关资料方法包含：问卷调查和各级人员进行访谈小组讨论文档查看现场勘查问卷调查问卷调查和清单是有效简单工具，用来判定是否需要更详尽风险评定。调查问卷（Questionnaire）由一组相关封闭式或开放式问题组成，用于在评定过程中获取信息系统在各个层面安全情况，包含安全策略、组织制度、实施情况等。人员访谈评定小组和被评定组织内相关管理、技术和通常职员进行逐一沟通。依据对评定人员所提问题回复，评定人员为评定取得对应信息，并可验证之前搜集到资料，从而提升其正确度和完整性。经过访谈管理和技术人员，评定人员能够搜集到业务系统相关物理、环境、安全组织结构、操作习惯等大量有用信息，也能够了解到被访谈者安全意识和安全技能等本身素质。因为访谈互动性，不一样于调查表，评定人员能够广泛提问，从多个角度取得多方面信息。小组讨论评定小组和被评定组织若干人员进行交流，从而取得相关信息或就一些问题达成共识。文档查看为了分析业务系统现有或计划采取安全控制方法，需要查看策略文档（比如政策法规、指导性文档）、系统文档（比如用户手册、管理员手册、系统设计和需求文档）和安全相关文档（比如以前审计汇报、风险评定汇报、测试汇报、安全策略、应急预案）等。现场勘查评定人员也可对办公环境和机房内设备作现场检验，或观察人员行为或环境情况、系统命令或工具输出，寻求是否有违反安全策略现象，比如敏感文件随意放置、人离开电脑不锁屏幕、设备网络连接情况等。依据现场勘查结果，取得对应评定信息。风险分析风险分析有助确定资产价值及资产相关风险。风险分析程序通常可分为以下几步：资产识别和赋值威胁分析弱点分析控制分析可能性及影响分析风险识别下面将叙述风险分析各个阶段。在风险分析各个阶段中，有大量数据需要进行数据化分析，需要以合理结构存放，并利用自动化工具来处理。风险评定管理系统RAMS是进行数据搜集、数据处理、评定信息管理，并提升评定结果可用性一个很必需工具。资产识别和赋值资产是组成整个系统多种元素组合，它直接地表现了这个系统业务或任务关键性，这种关键性进而转化为资产应含有保护价值。评定小组采集资产信息，确定系统划分标准和等级评定标准，并和组织共同确定系统和CIA等级划分。资产识别和赋值目标就是要对组织各类资产做潜在价值分析，了解其资产利用、维护和管理现实状况；明确各类资产含有保护价值和需要保护层次，从而使组织能够更合理地利用现有资产，更有效地进行资产管理，更有针对性地进行资产保护，最具策略性地进行新资产投入。风险评定范围内全部资产必需给予确定，包含数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制方法等有形和无形资产。考虑到应用系统是组织业务信息化表现，所以将应用系统定义为组织关键资产。和应用系统相关信息或服务、组件（包含和组件相关软硬件）、人员、物理环境等全部是组织关键资产——应用系统子资产，从而使得子资产和应用系统之间愈加含相关联性。资产类别各项资产可归入不一样类别，归类目标是反应这些资产对评定对象系统或领域关键性。依据资产属性，关键分为以下多个类别：信息资产信息资产关键包含多种设备和数据库系统中存放各类信息、设备和系统配置信息、用户存放各类电子文档和多种日志等等，信息资产也包含多种管理制度，而且多种打印和部分其它成文文档也属于信息资产范围。软件资产软件资产包含多种专门购进系统和应用软件（比如操作系统、业务系统、办公软件、防火墙系统软件等）、随设备赠予多种配套软件、和自行开发多种业务软件等。物理资产物理资产关键包含多种主机设备（比如各类PC机、工作站、服务器等）、多种网络设备（比如交换、路由、拨号设备等）、多种安全设备（比如防火墙设备、入侵检测设备等）、数据存放设备和各类基础物理设施（比如办公楼、机房和辅助温度控制、湿度控制、防火防盗报警设备等）。人员资产人员资产是各类资产中极难有效衡量甚至根本无法衡量一部分，它关键包含组织内部各类含有不一样综合素质人员，包含各层管理人员、技术人员和其它保障和维护人员等。资产价值资产分析是和风险评定相关联关键任务之一，资产分析经过分析评定对象——资产多种属性，进而对资产进行确定、价值分析和统计汇报。简单地说资产分析是一个为资产业务提供价值尺度行为。资产价值能够下列方法表示：有形价值，比如重置成本无形价值，比如商誉信息价值，比如保密性、完整性及可用性资产管理资产作为风险评定基础对象，从宏观上，资产定义为组织内任何需要保护对象，包含有形资产和无形资产。在实际评定过程中，有可能将共同服务于特定业务功效或含有共同属性多个独立单位资产看作一个资产组（业务、系统、区域）。资产识别和赋值是制订资产清单首要步骤。资产清单以有形价值和无形价值反应资产对应价值，或以保密性、完整性及可用性等显示资产信息价值。清单所列资产价值越正确，完成资产识别和赋值步骤所需时间也越长。资产信息还有利于组织对资产后续管理。为了有效管理资产信息，利用风险评定管理系统RAMS进行单独资产管理，并可和组织现有资产管理系统结合，增加对资产安全属性管理。资产管理包含资产基础信息管理、资产归属属性管理（业务、系统、区域）、资产价值管理等。弱点分析弱点是指于管理、操作、技术和其它安全控制方法和程序中使威胁可能有机可乘，以致资产所以受损微弱步骤，比如第三方拦截传输中数据，未授权访问数据等。弱点分析目标是给出有可能被潜在威胁源利用系统缺点或弱点列表。所谓威胁源是指能够经过系统缺点和弱点对系统安全策略造成危害主体。弱点分析强调系统化地衡量这些弱点。弱点源弱点可能存在于硬件设备、软件程序、数据中，也可能存在于管理制度、安全策略等方面。所以，弱点包含两类：技术弱点和非技术弱点。技术弱点关键是指操作系统和业务应用系统等存在设计和实现缺点。技术弱点广泛地存在于操作系统、数据库、网络设备、通讯协议等设备和系统中。非技术性弱点关键是指系统安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵照性等方面存在不足或缺