分級保護項目方案設計

/分級愛惜項目方案設計第三章平安保密風險分析3.1脆弱性分析脆弱性是指資產或資產組中能被威逼所利用的弱點它包括物理環(huán)境、組織機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面。脆弱性是資產本身存在的假如沒有被相應的威逼利用單純的脆弱性本身不會對資產造成損害而且假如系統(tǒng)足夠強健嚴峻的威逼也不會導致平安事務發(fā)生并造成損失。威逼總是要利用資產的脆弱性才可能造成危害。資產的脆弱性具有隱藏性有些脆弱性只有在確定條件和環(huán)境下才能顯現這是脆弱性識別中最為困難的部分。不正確的、起不到任何作用的或沒有正的確施的平安措施本身就可能是一個弱點脆弱性是風險產生的內在緣由各種平安薄弱環(huán)節(jié)、平安弱點自身并不會造成什么危害它們只有在被各種平安威逼利用后才可能造成相應的危害。針對XXX機關涉密信息系統(tǒng)我們主要從技術和管理兩個方面分析其存在的平安脆弱性。技術脆弱性1.物理平安脆弱性環(huán)境平安物理環(huán)境的平安是整個基地涉密信息系統(tǒng)平安得以保障的前提。假如物理平安得不到保障那么網絡設備、設施、介質和信息就簡潔受到自然災難、環(huán)境事故以及人為物理操作失誤或錯誤等各種物理手段的破壞造成有價值信息的丟失。目前各級XXX企業(yè)的中心機房大部分接受獨立的工作空間并且能夠達到國家標準GB501741993《電子計算機機房設計規(guī)范》、GB28871989《計算機場地技術條件》、GB93611998《計算站場地平安要求》和BMBl7—2006《涉及國家隱私的信息系統(tǒng)分級愛惜技術要求》等要求。設備平安涉密信息系統(tǒng)的中心機房均依據保密標準要求實行了平安防范措施防止非授權人員進入避開設備發(fā)生被盜、被毀的平安事故。介質平安目前各級XXX企業(yè)的軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲第2頁共129頁信息的最高密級標明密級并按相應的密級管理。2.運行平安脆弱性分析備份和復原備份和復原是保證涉密信息系統(tǒng)運行平安的一個不行忽視問題當遇到如火災、水災等不行抗因素不會造成關鍵業(yè)務數據無法復原的慘痛局面。同時將備份關鍵業(yè)務數據的存儲介質放置在其他建筑屋內防止在異樣事故發(fā)生時被同時破壞。網絡防病毒各級XXX企業(yè)涉密網絡中的操作系統(tǒng)主要是windows系列操作系統(tǒng)。雖有平安措施卻在不同程度上存在平安漏洞。同時病毒也是對涉密網絡平安的主要威逼有些病毒可感染擴展名為corn、exe和ovl的可執(zhí)行文件當運行這些被感染的可執(zhí)行文件時就可以激活病毒有些病毒在系統(tǒng)底層活動使系統(tǒng)變得特殊不穩(wěn)定簡潔造成系統(tǒng)崩潰。還有蠕蟲病毒可通過網絡進行傳播感染的計算機簡潔導致系統(tǒng)的癱瘓。近年來木馬的泛濫為計算機的平安帶來了嚴峻的平安問題。木馬通常是病毒攜帶的一個附屬程序在被感染的計算機上打開一個后門使被感染的計算機丟失部分限制權另外還有黑客程序等可以利用系統(tǒng)的漏洞和缺陷進行破壞都會為涉密網絡帶來平安風險。各級XXX企業(yè)涉密網絡中接受網絡版殺毒軟件對涉密系統(tǒng)進行病毒防護并制定合理的病毒升級策略和病毒應急響應支配以保證涉密網絡的平安。應急響應和運行管理各級XXX企業(yè)接受管理和技術結合的手段設置定期備份機制在系統(tǒng)正常運行時就通過各種備份措施為災難和故障做準備健全平安管理機構建立健全的平安事務管理機構明確人員的分工和責任建立處理流程圖制定平安事務響應和處理支配及事務處理過程示意圖以便快速復原被平安事務破壞的系統(tǒng)。3.信息平安保密脆弱性自身脆弱性任何應用軟件都存在不同程度的平安問題主要來自于兩個方面一方面是軟件設計上的平安漏洞另一方面是平安配置的漏洞。針對軟件設計上的平安漏洞和平安配置的漏洞假如沒有進行合適的配置加固和平安修補就會存在比較多的平安風險。由于目前防病毒軟件大多集成了部分漏洞掃描功能并且涉密網絡中的涉密終端和互聯網物理隔離因此可以通過對涉密網絡進行漏洞掃描定期下載升級補丁并制定相應的平安策略來防護。第3頁共129頁電磁泄漏放射防護信息設備在工作中產生的時變電流引起電磁泄漏放射將設備處理的信息以電磁波的形式泄露在自由空間和傳導線路上通過接收這種電磁波并實行相應的信號處理技術可以竊取到信息。這種竊收方式緊急小不易被發(fā)覺和察覺隨著我國信息化水平的不斷提高我國涉密部門大量運用計算機、網絡終端等辦公自動化設備涉密信息的平安保密受到嚴峻威逼這種威逼不像病毒攻擊和網絡攻擊那樣可以看到或者有跡可尋它的隱藏性強危害極大。平安審計平安審計是對信息系統(tǒng)的各種事務及行為實行監(jiān)測、信息采集、分析并針對特定事務及行為實行相應動作XXXXXX企業(yè)涉密信息系統(tǒng)沒有有效的審計應用系統(tǒng)出現了問題之后無法追查也不便于發(fā)覺問題造成了損失也很難對緣由進行定性。邊界平安防護計算機連接互聯網存在著木馬、病毒、黑客入侵的威逼并且我國平安保密技術手段尚不完備、對操作系統(tǒng)和網絡設備的關鍵技術尚未駕馭不足以反抗高技術竊密因此涉密網絡必需和互聯網物理隔離而僅將涉密系統(tǒng)置于獨立的環(huán)境內進行物理隔離并不能做到和互聯網完全隔離內部用戶還可以通過ADSL、Modem、無線網卡等方式連接國際互聯網因此應當通過技術手段對違規(guī)外聯行為進行阻斷另外涉密網絡中的內部介入問題也為涉密網絡帶來平安威逼。數據庫平安數據庫系統(tǒng)作為計算機信息系統(tǒng)的重要組成部分數據庫文件作為信息的聚集體擔負著存儲和管理數據信息的任務其平安性將是信息平安的重中之重。數據庫的平安威逼主要分為非人為破壞和人為破壞對于非人為破壞主要依靠定期備份或者熱備份等并在異地備份。人為破壞可以從三個方面來防護一、物理平安保證數據庫服務器、數據庫所在環(huán)境、相關網絡的物理平安性二、訪問限制在帳號管理、密碼策略、權限限制、用戶認證等方面加強限制三、數據備份定期的進行數據備份是削減數據損失的有效手段能讓數據庫遭到破壞后復原數據資源。操作系統(tǒng)平安操作系統(tǒng)的平安性在計算機信息系統(tǒng)的整體平安性中具有至關重要的作用沒有操作系統(tǒng)供應的平安性信息系統(tǒng)和其他應用系統(tǒng)就好比“建筑在沙灘上的城堡”。我國運用的操作系統(tǒng)95以上是Windows微軟的Windows操作系統(tǒng)源碼不公開無法對其進行分析不能解除其中存在著人為“陷阱”。現已發(fā)覺存在著將用戶信息發(fā)送到微軟網站的“后門”。在沒有源碼的情形下很難加強操作系統(tǒng)內核的平安性從保障我國網絡及信息平安的角度考慮必需增加它的平安性因第4頁共129頁此接受設計平安隔離層——中間件的方式增加平安模塊以解燃眉之急。3.1.2管理脆弱性任何信息系統(tǒng)都離不開人的管理再好的平安策略最終也要靠人來實現因此管理是整個網絡平安中最為重要的一環(huán)所以有必要細致地分析管理所存在的平安風險并實行相應的平安措施。物理環(huán)境和設施管理脆弱性包括周邊環(huán)境、涉密場所和保障設施等。人員管理脆弱性包括內部人員管理、外部相關人員管理等。設備和介質管理脆弱性選購 和選型、操作和運用、保管和保存、修理和報廢等。運行和開發(fā)管理脆弱性運行運用、應用系統(tǒng)開發(fā)、異樣事務等。信息保密管理脆弱性信息分類和限制、用戶管理和授權、信息系統(tǒng)互聯。責權不明、管理混亂、平安管理制度不健全及缺乏可操作性等。當網絡出現攻擊行為、網絡受到其它一些平安威逼如內部人員違規(guī)操作以及網絡中出現未加愛惜而傳播工作信息和敏感信息時系統(tǒng)無法進行實時的檢測、監(jiān)控、報告和預警。同時當事故發(fā)生后也無法供應追蹤攻擊行為的線索及破案依據即缺乏對網絡的可控性和可審查性。這就要求我們必需對網絡內出現的各種訪問活動進行多層次記錄剛好發(fā)覺非法入侵行為和泄密行為。要建設涉密信息系統(tǒng)建立有效的信息平安機制必需深刻理解網絡和網絡平安并能供應干脆的平安解決方案因此最可行的做法是平安管理制度和平安解決方案相結合并輔之以相應的平安管理工具。3.2威逼分析3.2.1威逼源分析作為一個較封閉的內網攻擊事務的威逼源以內部人員為主內部人員攻擊可以分為惡意和無惡意攻擊攻擊目標通常為機房、網絡設備、主機、介質、數據和應用系統(tǒng)等惡意攻擊指XXX企業(yè)內部人員對信息的竊取無惡意攻擊指由于馬虎、無知以及其它非惡意的緣由而造成的破壞。對于XXX機關涉密信息系統(tǒng)來講內部人員攻擊的行為可能有以下幾種形式1被敵對勢力、腐敗分子收買竊取業(yè)務資料第5頁共129頁2惡意修改設備的配置參數比如修改各級XXX企業(yè)網絡中部署的防火墻訪問限制策略擴大自己的訪問權限3惡意進行設備、傳輸線路的物理損壞和破壞4出于馬虎、新穎 或技術嘗試進行無意的配置這種行為往往對系統(tǒng)造成嚴峻的后果而且防范難度比較高。3.2.2攻擊類型分析1.被動攻擊被動攻擊包括分析通信流監(jiān)視未被愛惜的通訊解密弱加密通訊獲得鑒別信息比如口令。被動攻擊可能造成在沒有得到用戶同意或告知用戶的狀況下將信息或文件泄露給攻擊者。對于各級XXX企業(yè)網絡來講被動攻擊的行為可能有以下幾種形式1有意識的對涉密信息應用系統(tǒng)進行竊取和窺探嘗試2監(jiān)聽涉密信息網絡中傳輸的數據包3對涉密信息系統(tǒng)中明文傳遞的數據、報文進行截取或篡改4對加密不善的帳號和口令進行截取從而在網絡內獲得更大的訪問權限5對網絡中存在漏洞的操作系統(tǒng)進行探測6對信息進行未授權的訪問2.主動攻擊主動攻擊包括試圖阻斷或攻破愛惜機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數據資料的泄露和散播或導致拒絕服務以及數據的篡改。對于XXX機關涉密信息系統(tǒng)來講主動攻擊的行為可能有以下幾種形式1字典攻擊黑客利用一些自動執(zhí)行的程序揣測用戶名和密碼獲得對內部應用系統(tǒng)的訪問權限2劫持攻擊在涉密信息系統(tǒng)中雙方進行會話時被第三方黑客入侵黑客黑掉其中一方并冒充他接著和另一方進行會話獲得其關注的信息3假冒某個實體假裝成另外一個實體以便使一線的防衛(wèi)者信任它是一個合法的實體取得合法用戶的權利和特權這是侵入平安防線最為常用的方法4截取企圖截取并修改在本院涉密信息系統(tǒng)絡內傳輸的數據以及省院、地市院、區(qū)縣院之間傳輸的數據5欺瞞進行IP地址欺瞞在設備之間發(fā)布假路由虛假AI沖數據包第6頁共129頁6重放攻擊者對截獲的某次合法數據進行拷貝以后出于非法目的而重新發(fā)送7篡改通信數據在傳輸過程中被變更、刪除或替代8惡意代碼惡意代碼可以通過涉密信息網絡的外部接口和軟盤上的文件、軟件侵入系統(tǒng)對涉密信息系統(tǒng)造成損害9業(yè)務拒確定通信設備的運用和管理被無條件地拒絕。確定防止主動攻擊是特殊困難的因此抗擊主動攻擊的主要途徑是檢測以及對此攻擊造成的破壞進行復原。3.3風險的識別和確定3.3.1風險識別物理環(huán)境平安風險網絡的物理平安風險主要指網絡周邊環(huán)境和物理特性引起的網絡設備和線路的不行用而造成網絡系統(tǒng)的不行用如1涉密信息的非授權訪問異樣的審計事務2設備被盜、被毀壞3線路老化或被有意或者無意的破壞4因電子輻射造成信息泄露5因選址不當造成終端處理內容被窺視6打印機位置選擇不當或設置不當造成輸出內容被盜竊7設備意外故障、停電8地震、火災、水災等自然災難。因此XXX企業(yè)涉密信息系統(tǒng)在考慮網絡平安風險時首先要考慮物理平安風險。例如設備被盜、被毀壞設備老化、意外故障計算機系統(tǒng)通過無線電輻射泄露隱私信息等。介質平安風險因溫度、濕度或其它緣由各種數據存儲媒體不能正常運用因介質丟失或被盜造成的泄密介質被非授權運用等。運行平安風險涉密信息系統(tǒng)中運行著大量的網絡設備、服務器、終端這些系統(tǒng)的正常運行都依靠電力系統(tǒng)的良好運轉因電力供應突然中斷或由于UPS和油機未能剛好起先供電造成服務器、應用系統(tǒng)不能剛好關機保存數據造成的數據丟失。因第7頁共129頁為備份措施不到位造成備份不完整或復原不剛好等問題。信息平安保密風險涉密信息系統(tǒng)中接受的操作系統(tǒng)主要為Windows2000serverWindowsXP、數據庫都不行避開地存在著各種平安漏洞并且漏洞被發(fā)覺和漏洞被利用之間的時間差越來越大這就使得操作系統(tǒng)本身的平安性給整個涉密信息系統(tǒng)帶來巨大的平安風險。另一方面病毒已成為系統(tǒng)平安的主要威逼之一特殊是隨著網絡的發(fā)展和病毒網絡化趨勢病毒不僅對網絡中單機構成威逼同時也對網絡系統(tǒng)造成越來越嚴峻的破壞全部這些都造成了系統(tǒng)平安的脆弱性。涉密信息系統(tǒng)中網絡應用系統(tǒng)中主要存在以下平安風險1.用戶提交的業(yè)務信息被監(jiān)聽或修改用戶對成功提交的業(yè)務事后抵賴2.由于網絡一些應用系統(tǒng)中存在著一些平安漏洞包括數據庫系統(tǒng)和IIS系統(tǒng)中大量漏洞被越來越多地發(fā)覺因此存在非法用戶利用這些漏洞對專網中的這些服務器進行攻擊等風險。服務系統(tǒng)登錄和主機登錄運用的是靜態(tài)口令口令在確定時間內是不變的且在數據庫中有存儲記錄可重復運用。這樣非法用戶通過網絡竊聽非法數據庫訪問窮舉攻擊重放攻擊等手段很簡潔得到這種靜態(tài)口令然后利用口令可對資源非法訪問和越權操作。另外在XXX企業(yè)涉密信息系統(tǒng)中運行多種應用系統(tǒng)各應用系統(tǒng)中幾乎都須要對用戶權限的劃分和支配這就不行避開地存在著假冒越權操作等身份認證漏洞。此外網絡邊界缺少防護或訪問限制措施不力、以及沒有在重要信息點實行必要的電磁泄漏放射防護措施都是導致信息泄露的因素。平安保密管理風險再平安的網絡設備離不開人的管理再好的平安策略最終要靠人來實現因此管理是整個網絡平安中最為重要的一環(huán)尤其是對于一個比較浩大和困難的網絡更是如此。XXX企業(yè)在平安保密管理方面可能會存在以下風險當網絡出現攻擊行為或網絡受到其它一些平安威逼時如內部人員的違規(guī)操作等無法進行實時的檢測、監(jiān)控、報告和預警。雖然制定了相關管理制度但是缺少支撐管理的技術手段使事故發(fā)生后無法供應攻擊行為的追蹤線索及破案依據。因此最可行的做法是管理制度和管理解決方案的結合。第8頁共129頁3.3.2風險分析結果描述風險只能預防、避開、降低、轉移和接受但不行能完全被殲滅。風險分析就是分析風險產生/存在的客觀緣由描述風險的變更狀況并給出可行的風險降低支配。XXX企業(yè)涉密信息系統(tǒng)的分級愛惜方案應當建立在風險分析的基礎之上依據“脆弱性分析”和“威逼分析”中所得到的系統(tǒng)脆弱性和威逼的分析結果詳細分析它們被利用的可能性的大小并且要評估假如攻擊得手所帶來的后果真后再依據涉密信息系統(tǒng)所能承受的風險來確定系統(tǒng)的愛惜重點。本方案所接受的風險分析方法為“平安威逼因素分析法”圍繞信息的“機密性”、“完整性”和“可用性”三個最基本的平安需求針對前述每一類脆弱性的潛在威逼和后果進行風險分析并以表格的形式表達對于可能性、危害程度、風險級別接受五級來表示等級最高為五級如下表層面脆弱和威逼可能性危害程度風險級別物理層自然災難和環(huán)境事故、電力中斷重要設備被盜內外網信號干擾電磁輻射惡劣環(huán)境對傳輸線路產生電磁干擾接受紙制介質存儲重要的機密信息線路竊聽存儲重要的機密信息移動介質隨意放置網絡層網絡拓撲結構不合理造成旁路可以出現平安漏洞不同用戶群、不同權限的訪問者混在一起不能實現有效的分別網絡堵塞用戶不能實現正常的訪問非法用戶對服務器的平安威逼共享網絡資源帶來的平安威逼系統(tǒng)重要管理信息的泄漏傳播黑客程序進行信息監(jiān)聽ARP攻擊威逼利用TCP協(xié)議缺陷實施拒絕服務攻擊系統(tǒng)層操作系統(tǒng)存在著平安漏洞系統(tǒng)配置不合理操作系統(tǒng)訪問限制脆弱性網絡病毒攻擊合法用戶主動泄密第9頁共129頁非法外連存儲信息丟失應用層應用軟件自身脆弱性應用系統(tǒng)訪問限制風險應用軟件平安策略、代碼設計不當數據庫自身的平安問題抵賴風險缺乏審計操作系統(tǒng)平安帶來的風險數據庫平安風險管理層松散的管理面臨泄密的風險平安保密管理機構不健全人員缺乏平安意識人員沒有足夠的平安技術的培訓平安規(guī)則制度不完善表3-1XXX企業(yè)涉密信息系統(tǒng)風險分析表第10頁共129頁第四章平安保密需求分析4.1技術防護需求分析4.1.1機房和重要部位XXX企業(yè)內網和外網已實現物理隔離置于不同的機房內。內網機房、機要室等重要部位將安裝電子監(jiān)控設備并配備了報警裝置及電子門控系統(tǒng)對進出人員進行了嚴格限制并在其他要害部門安裝了防盜門基本滿足保密標準要求。4.1.2網絡平安物理隔離由于XXX企業(yè)的特殊性XXX企業(yè)已組建了自己的辦公內網和其他公共網絡實行了物理隔離滿足保密標準要求。網絡設備的標識和安放XXX企業(yè)現階段雖然在管理制度上對專網計算機進行管理要求但沒有對設備的密級和主要用途進行標識所以須要進行改進并依據設備涉密屬性進行分類安放以滿足保密標準要求。違規(guī)外聯監(jiān)控XXX企業(yè)專網建成后網絡雖然接受了物理隔離但缺少對涉密計算機的違規(guī)外聯行為的監(jiān)控和阻斷例如內部員工私自撥號上網通過無線網絡上網等。所以為了防止這種行為的發(fā)生在涉密