信息安全风险评估方案

第一章网络安全现状与问题

目前安全解决方案的盲目性

现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、

防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性,

自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，

会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取

什麽措施，这些用户真正关心的问题却很少有人提及。

网络安全规划上的滞后

网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威协等

行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再

加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其

原因是由于没有一套完整的安全体系，不能从整体上有所把握。

在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的

趋势下，安全规划显然未跟上网络管理方式发展的趋势。

第二章网络动态安全防范体系

用户FI前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方

面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略

基础上，需要构寸一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边

界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、

数据库、操作系统、DNS、WWW、MAIL及其它应用系统。

Y

静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论

静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构

件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。

目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，

因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部

的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系

化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

形成动态的安全防御体系。

网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的

安全机制，全网动态安全体系可由下面的公式概括：

网络安全=风险分析+制定策略+防御系统+安全管理+安全服务

动态安全模型，如图所示。

动态风险分析

■

保

防

I(，

范

全

障

全

全

御

体

标

体

技

体

管

系

准

系

术

理

系

动态安全体系

从安全体系的可实施、动态性角度，动态安全体系的设计充分考虑到风险评估、安全策

略的制定、防御系统、安全管理、安全服务支持体系等各个方面，并且考虑到各个部分之间

的动态关系与依赖性。

进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析（又称风险评估、

风险管理），是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的

过程。风险分析有两种基本方法：定性分析和定量分析。在制定网络安全策略的时候，要从

全局进行考虑，基于风险分析的结果进行决策，建议公司究竟是加大投入，采取更强有力的

保护措施，还是容忍一些小的损失而不采取措施。因此，采取科学的风险分析方法对公司的

网络进行风险分析是非常关键的。

一旦确定有关的安全要求，下一步应是制定及实施安全策略，来保证把风险控制在可接

受的范围之内。安全策略的制定，可以依据相关的国内外标准或行业标准，也可以自己设计。

有很多方法可以用于制定安全策略，但是，并不是每一组安全策略都适用于每个信息系统或

环境，或是所有类型的企业。安全策略的制定，要针对不同的网络应用、不同的安全环境、

不同的安全目标而量身定制，各公司应该按照自己的要求，选择合适的安全体系规划网络的

安全。制定自己的安全策略应考虑以下三点内容：（1）评估风险。＜2）企业与合作伙伴、供

应商及服务提供者共同遵守的法律、法令、规例及合约条文。（3）企业为网络安全运作所订

立的原则、目标及信息处理的规定。

安全管理贯穿在安全的各个层次实施。实践一再告诉人们仅有安全技术

防范，而无严格的安全管理体系相配套，是难以保障网络系统安全的。必须制定

一系列安全管理制度，对安全技术和安全设施进行管理。从全局管理角度来看，

要制定全局的安全管理策略；从技术管理角度来看，要实现安全的配置和管理；

从人员管理角度来看，要实现统一的用户角色划分策略，制定一系列的管理规范。

实现安全管理应遵循以下几个原则：可操作性原则；全局性原则；动态性原则；

管理与技术的有机结合；责权分明原则；分权制约原则；安全管理的制度化。

第三章动态风险分析

根据木桶原理，木桶所能容纳水的多少是由木桶壁中最短那块木头决定的，

同样，一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的，往往解决最

主要的安全问题可以使系统的安全性有很大提高。

动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被

评估系统中的薄弱之处，评估发生此类问题造成的损失，提供最佳的解决方案，

使用户清楚的知道被评估系统中面临的威胁是什麽，最主要的问题是什麽，避免

在网络安全方面的盲目性，获得最佳的投资效费比。如下图所示

定义问题的范围要有什么信息及为什么

•把企业的信息资产重新估价

定义企业的安全策略把问题的关切程度顺序排好

找出有什么威胁3

进行风险评估

弄清楚企业的网络配置

找出有那些漏洞

顺序选出要实施的保障措施

是否能接受所余下的风险

）

实施选定的安全保障措施

监控这些措施的有效性

重新衡量现有状况

&

定义范围

动态安全风险分析的第一步就是要确定被保护系统的范围，即确定我

们有什么资源、要保护什么资源，如：

信息发布系统，WWW系统等。

办公系统，如Email系统、总部及分部办公系统等。

其次是要定义用户对选定资源中各系统的关切顺序，不同系统遭受破

坏后带来的损失是不一样的，如交易系统中的交易服务器的重要程度应是

最高的。

威胁评估与分析

确定了风险管理范围后，在充分分析系统现状的基础上，一方面进一步分

析可能存在的安全威胁，及其传播途径，另一方面通过对网络、系统等各个环节

的脆弱性分析，验证这些威胁对系统的危害程度，找出主要安全问题。

现状调查与分析

现状调查是风险管理的基础，根据用户的总体要求对用户环境和安全现状进

行全面和细致的调查，可以准确理解用户安全需求。

下一步进行的威胁分析及脆弱性分析将针对用户环境中的网络系统、服务器

系统、应用系统以及数据系统等展开安全分析工作，因此用户现状调查也必须针

对这些方面进行。用户现状调查的主要内容如下图所示。

接口系统

操作系统调查

发布系统

用

户

t

现

状

调办公系统

查

最后生成用户现状调查总结是对用户现状调查过程的总结报告。它总结性描

述我公司对用户现状及用户系统安全性的大概印象。包括以下内容：

用户环境中各个设备及所含系统的大致情况，主要针对与安全漏洞有关的项

目。

用户对安全策略的要求。

对用户系统安全性的初步分析。

面临威胁种类

由于政府业是个开放化、社会化的行业，其信息系统由封闭式系统逐步转向

开放式系统，势必存在着诸多不安全风险因素，主要包括：

/

系统错误

主要包括系统设计缺陷、系统配置管理问题等，如操作系统漏洞、用户名管

理问题，弱身份认证机制等:

内部人员作案

个别政府职员利用自己掌握的内部系统或数据信息，从事非法挪用资金、破

坏系统等活动；

黑客攻击

黑客主要利用分部工作站、电话、互联网等设备进行非法网络或查看、复制、

修改数据，常见攻击手法有：

后门

由于设计、维护或者黑客的攻击而产生的计算机系统的一个安全漏洞，通过

它一个隐藏的软件或硬件工具可以绕过安全系统的控制进行信息访问。

)

缓冲区溢出

大量的数据进入程序堆栈，导致返回地址被破坏，恶意准备的数据能够导致

系统故障或者非授权访问的产生。

口令破解

通过工具对加密密码进行破解的方法，系统管理员也可用来评估系统用户密

码的健壮性。

网络监听

通过监听网络上的数据包，来获取有关信息的行为，常见于以太网中。黑客

可以使用它捕获用户名和密码，同时也被网络管理人员用来发现网络故障。

欺骗

出于一种有预谋的动机，假装成IP网络上另一个人或另一台机器，以便进

行非法访问。常见的欺骗有以下几种：

DNS欺骗

冒充其他系统的DNS,提供虚假的IP地址和名字之间的解析。

路由欺骗

向其它路由器提供虚假的路由，导致网络不能正常访问或者信息的泄露。

IP劫持

未经授权的用户对经过授权的会话(TCP连接)的攻击行为，使该用户以一个

已经通过授权的用户角色出现，完成非授权访问。

IP地址盗用

一非法使用未分配给自己的IP地址进行的网络活动。

击键监视

记录用户的每一次击键和信息系统反馈给用户的每一个字符的活动。

跳跃式攻击

通过非法获得的未授权访问，从一个被攻击的主机上进行危及另一个主机安

全的活动。

]

恶意邮件

一种针对开放系统的含有恶意数据的电子邮件，如果打开邮件，就会对系统

产生破坏或导致信息的泄露。

逻辑炸弹

故意被包含在一个系统中的软件、硬件或固件中，看起来无害，当其被执行

时，将引发未授权的收集、利用、篡改或破坏数据的行为，如特洛伊木马。

根工具包(Rootkit)

一种黑客工具集合，可以截获被入侵计算机上传送的信息、掩饰系统已被入

侵的事实或提供后门等。

拒绝服务

一种通过网络来阻止一个信息系统的部分或全部功能正常工作的行为，常见

的拒绝服务如下。

邮件炸弹

发送给单个系统或人的大量的电子邮件，阻塞或者破坏接收系统。

ICMP包泛滥攻击(IPSmurf)

攻击者利用伪造的源IP地址，频繁地向网络上的广播地址发送无用的ICMP

数据包，造成网络上流量的增大，从而妨碍了正常的网络服务。

数据拥塞(Spam)

通过输入过分大的数据使得固定网站缓冲区溢出，从而破环程序。或是，将

一些无用的或不相关的信息灌入到某个人或某个新闻组的信箱内，使其数据溢

出。

TCP连接拥塞(SYNFlood)

大量的TCPSYN数据包拥塞被攻击机器，导致无法建立新的连接。

蠕虫

能在因特网上进行自我复制和扩散的一种计算机程序，它极大地耗费网络资

源，造成拒绝服务。

拨号服务查找器(WildDialer)

1

通过MODEM拨号，在电话网中搜寻能提供MODEM拨号服务的系统的工

具。

网络扫描

一种通过发送网络信息，获得其它网络连接状态的行为。

病毒

将自身连接到可执行文件、驱动程序或文件模板上，从而感染目标主机或文

件的可自我复制、自我传播的程序

威胁产生途径

面对上述种种威胁，如果逐个分析每种威胁，就会陷入舍本逐末的工作中而

无法自拔，对系统的安全建设没有实际指导意义，我们应将重点集中在可能发生

的威胁及它将如何发生这两个问题上来。先来分析威胁发生的途径，针对网络系

统，其主要面对来自两方面的威胁：

来自周边系统的威胁

政府信息系统在由封闭式系统逐步转向开放式系统的过程中，与外界的接口

也在不断增多，由原来只与总部接口逐渐扩大到与电信接口、银行接口、与

Internet接口等，在带来业务上发展同时，也带来可能遭受攻击的途径，包括：

来自公司其他部门的危险因素

来自Internet的危险因素

即有多少接口就有多少威胁发生的途径。

来自内部的威胁

通过对网络已有犯罪案例的分析可以发现，内部犯罪一直以其严重的危害性

与相对较高的成功机率给网络带来巨大损失，其威胁途径基本是：

来自本地网的内部威胁

(

指从本地一台主机通过内部网对本地另一台主机的攻击。

来自本地系统的内部威胁

指直接对主机的非法行为，如侵袭者通过磁盘拷贝、电子邮件等盗窃主机上

的机密数据。

脆弱性分析

在分析了威胁发生的途径后，就需要验证可能发生的威胁在系统上是否存在

在这些方面的薄弱环节，有可能使恶意行为通过这些方法得逞。对系统的脆弱性

评估应从以下三个角度进行：

系统角度：采用系统分析工具对选定系统的分析；

内网角度：采用漏洞扫描工具从内部网络进行扫描，采用渗透性测试，模拟

已进入内网的非法行为进行安全性测试；

外网角度：从外部对系统进行扫描及渗透性测试，如从Internet发起测试。

损失分析

风险事故造成的损失大小要从三个方面来衡量：损失性质、损失范围和损失

时间分布。

损失性质指损失是属于公司品牌性质的、经济性的还是技术性的。损失范围

包括：严重程度、分布情况。时间分布指损失的时间范围，即遭受损失后可以在

多长的时间内恢复回来。

对于损失的严重程度，可以采用定量评估的方式进行财产估价，针对业务系

统的财产估价，主要通过估算每日平均交易额、分部开户数、分部平均开户金额

等儿个方面估价。

风险评价

上述工作是对各部分威胁逐一分析，而在风险评价阶段主要考虑单个风险综

合起来的效果，及风险是否能被用户接受。主要工作分三步：

i.确定风险评价基准。指用户对每一种风险后果的可接受水平，单个

风险和整体风险都要确定评价基准。

ii.确定整体风险水平，它是综合了所有个别风险后确定的。

iii.

泣将单个风险与单个评价基准、整体风险水平与整体评价基准对比，

确定风险是否在可接受范围内，进而确定下一步应该进行的工作。

由于威胁的程度很难用具体数字来表示,而为了尽可能明晰风险程度,我们

采用下述风险评级的方式进行标识:

风险评级风险级别说明

极高5极有可能出问题

I4很有可能出问题

很高

高3有可能出问题

一般2Y

不会出大问题

低1基本不会出问题

建议方案

对于发现的风险，一般有三种策略去处理它，具体选择哪一种取决于面临的

风险形势：

接受风险

评估后用户认为风险事件造成的损失在可容忍的范围之内，可以把风险事件

的不利后果接受下来。或有良好的组织管理及应急"划管理，当风险事件发生时

可以马上执行应急计划。

降低风险

降低风险发生的可能性或减少后果造成的不利影响，具体要达到的目标及采

用的措施要根据上述分析结果中发现的问题及用户的期望来定。

转移风险

即外包的方式，借用合同或协议，在风险事故发生时将损失一部分转移到第

三方，一般在用户资源有限，不能实行降低风险策略时采用。

第四章网络安全策略

（

安全策略是整体安全策略应包含三个层面：人、技术和行动。

与人相关的安全策略

培训

针对具体岗位的知识需求开展基于角色的网络安全知识与技能培训。培

训的投资回报比极高（）o（oninvestment,数据来源于2001年CSI会

议论文）

意识培养

培养全体工作人员以及用户的安全意识与自我保护水平（）。

人事安全

定义工作囱位、合理分配资源，减少内部攻击事件发生的可能性。

物理安全

物理安全较早便已引起了人们的关注，但实践表明，信息时代，物理安

全恰恰是信息系统安全中最容易被忽视然而却会造成巨大损失的环节。

安全管理

要加强网络和信息安全管理.，包括规章制度和操作流程的制定、相关法

律法规的普及以及安全组织结构的建立。

与“技术”相关的安全策略

网络可用性的保护

在信息安全的三大属性（保密性、完整性、可用性）中，安全需求主要

体现为可用性需求。因此，在“技术”的层面上，首先要保证网络可用。

接入保护

¥

接入访问用户是网络一个重要的业务，俣障接入的安全性也是网络安全

工作的重点。

行业标准的遵循

行业标准作为技术性法规，是网络安全日常操作和工程实施的依据，作

为生产任务重、执行上级颁布的政府部门来说，更好地理解行业标准，

并准确而有效地遵循，是非常重要的。

系统采购

系统采购对安全工作的成败影响很大，在许多方面直接影响安全工

作。

认证与授权

认证与授权是实现网络行为可信、有序的基础，也是网络安全的前

提。因此，除要在用户接入时实施认证技术外，还应注意内部工作人员

行为的授权以及与外界交流活动中的认证和授权。

与“行动”相关的策略

防护

应根据资产风险级别进行等级防护，并确定安全策略的执行次序，

有效地进行投资。

监控

加强安全监控，提高风险管理能力，掌握网络状态，将安全事故控

制在初期或一定规模之下。

响应和恢复

逐步建立完善的应急响应体系，将安全事故的损失减小到最小。在

安全建设的初期，可以将大部分专业安全服务外包，但应逐步形成自己

的应急响应力量。

第五章纵深防御体系

安全不论攻击和防守总体来说都是过程。安全的成功与否关键在于我门对过

程的把握。在这个过程中我们的防御层数越多，对网络资源进行未授权访问的难

度就越大。这一战略通过提供冗余防御层来确保安全性，在某一层-或者在某

些情况下多个层-被攻破时，冗余的防御层能够对资源进行保护。

纵

深

防

御

体

系

边界安全

边界：我们保护的系统和外界接口部分。

在我们防护的范围的边界，是整个防护过程的开始。也是我们要防护的第一

个堑壕。如何把守这个堑壕，

分为以下几个重点：从可能接触到系统的几个途径来分析。

边界接入网络设备安全(router,firewall)

A

关注对流入和流出一个边界的数据进行有效的控制和监视。边界保护主要体

现在对路由交换设备的保护以及防火墙系统的设置。在边界保护中主要采用的技

术可以通过路由器和交换机上的各种策略配置实现，对于路由器可以采用关闭各

种不必要的服务和增加ACL的方式，对交换机采用配置虚拟局域网的方式。如

果考虑对边界点的深入防范的能力，还需要采用防火墙和入侵监测的辅助设备。

边界主机设备

接入边界设备的途径：身份认证。

边界信息点的安全。

信息点的安全。

平台安全

应用是搭建在平台上的，因此平台是我门要保护的的第二个堑壕。平台总体

上分网络，系统平台。

网络平台的安全

安全网络环境建设原则：

1.对原由系统平滑改造，不对原系统造成影响。

2.采用不同等级的安全区域隔离方式。

3.对不同等级间的网络连接采月中间件（或防火墙）互联，并

加入审计功能。

对接入网络和核心网络进行安全监视。内部网，（vlan划分，routerswitch

设置，及其本身的安全）

系统平台

保障各种应用服务和操作系统的可用性和安全性。

采用最小权限原则启动服务。

配置各类应用服务自身的安全属性，及时升级各类应用服务的安全补

To

适当考虑负载均衡措施。

制定标准的各类操作系统安装与初始化配置流程

)

制定应用软件的安装、升级与卸载规范

按权限等级划分不同用户组，并严格控制目录及文件的权限

及时安装系统补丁和应用程序补丁

配置操作系统H志功能，并做好日志的统计分析和安全备份

制定服务器和网络设备的远程控制规范

1)windows系列，Novell系列，Linux系列

]

参照WindowsNT和Windows2000系统的标准安全配置方案。

参照Novell系统的标准安全配置方案

参照Linux系统的标准安全配置方案

2)sqlserver和orcale自身的安全

参照MsSQLserver,ORECAL数据库标准安全配置方案

业务系统开发的安全

业务开发安全规范

定制相应的软件开发项目管理制度如:

《软件阶段评审报告》

《软件测试记录单》

《软件变更记录单》

《软件产品升级意见单》

《应用业务上网操作规范》

安全的开发程序===培训

业务开发的安全性测试

不论是外购软件还是自编软件，我们都要对其进行验收安全测试，采取的方

法，业务应用完成后，搭建模拟环境，进行安全外围测试。

自编软件源代码级安全风险分析和安全测试

第六章安全管理保障体系

实践一再告诉人们仅有安全技术防范，而无严格的安全管理制度相配套，是

难以保障系统安全的。我们必须通过制订完善的安全管理制度并且利用最新的信

息安全技术对整个网络系统进行安全管理。

安全保障管理系统

本管理体系将分为三层结构：安全手册（框架）、运作程序文件（包括作业

指导书）、操作表单（记录）。下层文件直接支撑上层文件。

安全管理组织架构

安全总监（CSO）

I

)

经理一人：职能部门安全专员X人：

与副经理制定策略；每个职能部门一人，如总

协调本部门的工作；裁办、财务部、投资银行等各

协调各职能部门的工作有一人。

副经理二人：>

审计检查职责：

1、在本部门推行、检察

实施策略安全策略和制度的执行；

安全专员X人：2、本部门征求并反映本

网络小组二人，组长a;部门建议和意见：

系统小组二人，组长b;3、给出本部门每个员工

在网络总部设立安全管理专职机构-----安全管理部（组），设置安全管理

专门负责人-----安全总监，以负责对公司安全进行统一管理（当然也包括网上

交易的安全管理）。在全国各个分部的电脑部设立安全专员，受安全管理部垂直

领导，负责分部日常安全管理工作，负责保持与总部的联系。

安全管理部具有以下职能：

安全资源管理

对各种软硬件安全资源（包括人员）统一管理，包括购置、登录、保管（包

括异地备份）、标识、分类、分级等。

安全监察评估

不定期/定期（月末）督查、测试和评估公司安全状况（技术和管理两方面）,

发现问题予以解决。

1

安全事件响应

对公司发生的各种安全事件迅速响应，抢修恢复，调查事故原因，划分责任,

撰写事故调查分析报告，采取纠正和预防措施，收集证据，为处罚或起诉提

供客观依据。

安全管理体系维护

对公司安全管理体系的动态变更进行操作和管理。

安全设施维修

对公司安全设施（主要是通讯线路、服务器、防火墙等硬件）进行定期检修、

保养。

安全课程培训

组织和协调对新、老员工定期开展公司基本安全知识、技术、上岗技能等方

面的培训、考核。

制订安全策略

协助安全总监制订公司安全策略，定义公司的安全事件和审计事件的种类和

级别。

业界安全动态跟踪

对网络的安全技术和管理方面的最新发展状况进行关注和跟踪，为更新和增

强公司的安全策略提供建议。

安全总监的职责：

制订安全战略

负责制订公司安全战略和安全策略，推动公司实施安全策略，对公司安全负

责。

监控安全管理体系

主持建立、运作和保持安全管理体系工作。

报告公司安全状况

定期以书面报告向总经理汇报公司安全状况，并提出相应问题解决方案。

处理最大安全事故

主持处理公司重大安全事故，并解决与客户的安全纠纷。

跟踪信息安全的最新进展

保持对外联络和仗,调工作，跟踪信息安全的最新进展，适时向公司总经理提

出提升公司安全的方案或建议。

安全管理体系运行管理

公司对安全管理体系的执行情况需要进行定期监督审核，保证体系运行的有

效性，主要分为三个层次的活动。

1.每月的安全督查

由安全管理部经理主持，由安全管理部组织实施，作为日常监督活动，主要

以询问和查看记录为主，最后出具督查报告。

2.每季的安全审核

由安全总监主持，组织专门人员成立审核组，事先发放审核计划，准备书面

检查表，逐个部门进行审核。审核结果必须获得部门经理的认可。最后形成

审核报告，经安全总监审批后予以发放。

3.每年的安全会议

由总经理主持，安全总监组织策划，安全管理部负责会议记录，会议出席对

象是总部部门经理、分部总经理以及电脑部经理。会议对公司安全管理体系的年

度执行情况进行报告，评估，提出问题和对策。会议最后形成年度安全报告，经

总经理审批后予以发放

安全技术管理

为了能使网络对整个网络安全状况有一个全局性把握，我们建议用户建立集

中的安全技术管理体系，主要包括以下两方面内容：

分布式部署、分级管理、与集中监控

所谓分级管理，是从纵向上加强总部的集中监控能力，并保持各分部一定的

灵活性，即在总部设立整个网络的安全管理中心，在各分部设立安全管理子控制

中心，由总部制定全局安全策略，制定能由计算机、路由器等设备实施的安全措

施的规则和约束，不能由计算机等自动实施的安全策略由安全管理制度等手段实

施。分部在总部统一安全策略的指导下，实施符合本地特点的局部可执行安全策

略，即分布在各端系统、中继系统和应用系统中的安全策略，从而做到牵一发而

动全身的目的。

分布式部署，指网络为降低风险，在整个公司所采用的安全措施与安全产品，

能够在公司总部统一策略管理下，分布部署在各分部。

集中监控，是指分部本地的安全策略与安全状况监控集中在分部安全控制中

心，所有分部的安全策略与安全状况监控集中在总部安全管理中心。

管理服