1、精選優質文檔-傾情為你奉上分級保護項目方案設計第三章 安全保密風險分析 3.1脆弱性分析 脆弱性是指資產或資產組中能被威脅所利用的弱點它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面。脆弱性是資產本身存在的如果沒有被相應的威脅利用單純的脆弱性本身不會對資產造成損害而且如果系統足夠強健嚴重的威脅也不會導致安全事件發生并造成損失。威脅總是要利用資產的脆弱性才可能造成危害。 資產的脆弱性具有隱蔽性有些脆弱性只有在一定條件和環境下才能顯現這是脆弱性識別中最為困難的部分。不正確的、起不到任何作用的或沒有正確實施的安全措施本身就可能是一個弱點脆弱性是風險產生的內在原因各種安全

2、薄弱環節、安全弱點自身并不會造成什么危害它們只有在被各種安全威脅利用后才可能造成相應的危害。 針對XXX機關涉密信息系統我們主要從技術和管理兩個方面分析其存在的安全脆弱性。 3.1.1 技術脆弱性 1. 物理安全脆弱性 環境安全物理環境的安全是整個基地涉密信息系統安全得以保障的前提。如果物理安全得不到保障那么網絡設備、設施、介質和信息就容易受到自然災害、環境事故以及人為物理操作失誤或錯誤等各種物理手段的破壞造成有價值信息的丟失。目前各級XXX企業的中心機房大部分采用獨立的工作空間并且能夠達到國家標準GB電子計算機機房設計規范、GB計算機場地技術條件、GB計算站場地安全要求和BMBl72006涉

3、及國家秘密的信息系統分級保護技術要求等要求。 設備安全涉密信息系統的中心機房均按照保密標準要求采取了安全防范措施防止非授權人員進入避免設備發生被盜、被毀的安全事故。 介質安全目前各級XXX企業的軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲 第 2 頁 共129頁 信息的最高密級標明密級并按相應的密級管理。 2. 運行安全脆弱性分析 備份與恢復備份與恢復是保證涉密信息系統運行安全的一個不可忽視問題當遇到如火災、水災等不可抗因素不會造成關鍵業務數據無法恢復的慘痛局面。同時將備份關鍵業務數據的存儲介質放置在其他建筑屋內防止在異常事故發生時被同時破壞。 網絡防病毒各級XXX企業涉密網絡中的操作系統主要是

4、windows系列操作系統。雖有安全措施卻在不同程度上存在安全漏洞。同時病毒也是對涉密網絡安全的主要威脅有些病毒可感染擴展名為corn、exe和ovl的可執行文件當運行這些被感染的可執行文件時就可以激活病毒有些病毒在系統底層活動使系統變得非常不穩定容易造成系統崩潰。還有蠕蟲病毒可通過網絡進行傳播感染的計算機容易導致系統的癱瘓。近年來木馬的泛濫為計算機的安全帶來了嚴重的安全問題。木馬通常是病毒攜帶的一個附屬程序在被感染的計算機上打開一個后門使被感染的計算機喪失部分控制權另外還有黑客程序等可以利用系統的漏洞和缺陷進行破壞都會為涉密網絡帶來安全風險。各級XXX企業涉密網絡中采用網絡版殺毒軟件對涉密系

5、統進行病毒防護并制定合理的病毒升級策略和病毒應急響應計劃以保證涉密網絡的安全。 應急響應與運行管理各級XXX企業采用管理與技術結合的手段設置定期備份機制在系統正常運行時就通過各種備份措施為災害和故障做準備健全安全管理機構建立健全的安全事件管理機構明確人員的分工和責任建立處理流程圖制定安全事件響應與處理計劃及事件處理過程示意圖以便迅速恢復被安全事件破壞的系統。 3. 信息安全保密脆弱性 自身脆弱性任何應用軟件都存在不同程度的安全問題主要來自于兩個方面一方面是軟件設計上的安全漏洞另一方面是安全配置的漏洞。針對軟件設計上的安全漏洞和安全配置的漏洞如果沒有進行合適的配置加固和安全修補就會存在比較多的安

6、全風險。由于目前防病毒軟件大多集成了部分漏洞掃描功能并且涉密網絡中的涉密終端與互聯網物理隔離因此可以通過對涉密網絡進行漏洞掃描定期下載升級補丁并制定相應的安全策略來防護。 第 3 頁 共129頁 電磁泄漏發射防護信息設備在工作中產生的時變電流引起電磁泄漏發射將設備處理的信息以電磁波的形式泄露在自由空間和傳導線路上通過接收這種電磁波并采取相應的信號處理技術可以竊取到信息。這種竊收方式危險小不易被發現和察覺隨著我國信息化水平的不斷提高我國涉密部門大量使用計算機、網絡終端等辦公自動化設備涉密信息的安全保密受到嚴重威脅這種威脅不像病毒攻擊和網絡攻擊那樣可以看到或者有跡可尋它的隱蔽性強危害極大。 安全審

7、計安全審計是對信息系統的各種事件及行為實行監測、信息采集、分析并針對特定事件及行為采取相應動作XXXXXX企業涉密信息系統沒有有效的審計應用系統出現了問題之后無法追查也不便于發現問題造成了損失也很難對原因進行定性。 邊界安全防護計算機連接互聯網存在著木馬、病毒、黑客入侵的威脅并且我國安全保密技術手段尚不完備、對操作系統和網絡設備的關鍵技術尚未掌握不足以抵擋高技術竊密因此涉密網絡必須與互聯網物理隔離而僅將涉密系統置于獨立的環境內進行物理隔離并不能做到與互聯網完全隔離內部用戶還可以通過ADSL、Modem、無線網卡等方式連接國際互聯網因此應該通過技術手段對違規外聯行為進行阻斷另外涉密網絡中的內部介

8、入問題也為涉密網絡帶來安全威脅。 數據庫安全數據庫系統作為計算機信息系統的重要組成部分數據庫文件作為信息的聚集體擔負著存儲和管理數據信息的任務其安全性將是信息安全的重中之重。數據庫的安全威脅主要分為非人為破壞和人為破壞對于非人為破壞主要依靠定期備份或者熱備份等并在異地備份。人為破壞可以從三個方面來防護一、物理安全保證數據庫服務器、數據庫所在環境、相關網絡的物理安全性二、訪問控制在帳號管理、密碼策略、權限控制、用戶認證等方面加強限制三、數據備份定期的進行數據備份是減少數據損失的有效手段能讓數據庫遭到破壞后恢復數據資源。 操作系統安全操作系統的安全性在計算機信息系統的整體安全性中具有至關重要的作用

9、沒有操作系統提供的安全性信息系統和其他應用系統就好比“建筑在沙灘上的城堡”。我國使用的操作系統95以上是Windows微軟的Windows操作系統源碼不公開無法對其進行分析不能排除其中存在著人為“陷阱”。現已發現存在著將用戶信息發送到微軟網站的“后門”。在沒有源碼的情形下很難加強操作系統內核的安全性從保障我國網絡及信息安全的角度考慮必須增強它的安全性因 第 4 頁 共129頁 此采用設計安全隔離層中間件的方式增加安全模塊以解燃眉之急。 3.1.2管理脆弱性 任何信息系統都離不開人的管理再好的安全策略最終也要靠人來實現因此管理是整個網絡安全中最為重要的一環所以有必要認真地分析管理所存在的安全風險

10、并采取相應的安全措施。 物理環境與設施管理脆弱性包括周邊環境、涉密場所和保障設施等。 人員管理脆弱性包括內部人員管理、外部相關人員管理等。 設備與介質管理脆弱性采購與選型、操作與使用、保管與保存、維修與報廢等。 運行與開發管理脆弱性運行使用、應用系統開發、異常事件等。 信息保密管理脆弱性信息分類與控制、用戶管理與授權、信息系統互聯。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等。 當網絡出現攻擊行為、網絡受到其它一些安全威脅如內部人員違規操作以及網絡中出現未加保護而傳播工作信息和敏感信息時系統無法進行實時的檢測、監控、報告與預警。同時當事故發生后也無法提供追蹤攻擊行為的線索及破案依據即

11、缺乏對網絡的可控性與可審查性。這就要求我們必須對網絡內出現的各種訪問活動進行多層次記錄及時發現非法入侵行為和泄密行為。 要建設涉密信息系統建立有效的信息安全機制必須深刻理解網絡和網絡安全并能提供直接的安全解決方案因此最可行的做法是安全管理制度和安全解決方案相結合并輔之以相應的安全管理工具。 3.2 威脅分析 3.2.1 威脅源分析 作為一個較封閉的內網攻擊事件的威脅源以內部人員為主內部人員攻擊可以分為惡意和無惡意攻擊攻擊目標通常為機房、網絡設備、主機、介質、數據和應用系統等惡意攻擊指XXX企業內部人員對信息的竊取無惡意攻擊指由于粗心、無知以及其它非惡意的原因而造成的破壞。 對于XXX機關涉密信

12、息系統來講內部人員攻擊的行為可能有以下幾種形式 1被敵對勢力、腐敗分子收買竊取業務資料 第 5 頁 共129頁 2惡意修改設備的配置參數比如修改各級XXX企業網絡中部署的防火墻訪問控制策略擴大自己的訪問權限 3惡意進行設備、傳輸線路的物理損壞和破壞 4出于粗心、好奇或技術嘗試進行無意的配置這種行為往往對系統造成嚴重的后果而且防范難度比較高。 3.2.2 攻擊類型分析 1. 被動攻擊被動攻擊包括分析通信流監視未被保護的通訊解密弱加密通訊獲取鑒別信息比如口令。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下將信息或文件泄露給攻擊者。對于各級XXX企業網絡來講被動攻擊的行為可能有以下幾種形式 1

13、 有意識的對涉密信息應用系統進行竊取和窺探嘗試 2 監聽涉密信息網絡中傳輸的數據包 3 對涉密信息系統中明文傳遞的數據、報文進行截取或篡改 4 對加密不善的帳號和口令進行截取從而在網絡內獲得更大的訪問權限 5 對網絡中存在漏洞的操作系統進行探測 6 對信息進行未授權的訪問 2. 主動攻擊主動攻擊包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數據資料的泄露和散播或導致拒絕服務以及數據的篡改。對于XXX機關涉密信息系統來講主動攻擊的行為可能有以下幾種形式 1 字典攻擊黑客利用一些自動執行的程序猜測用戶名和密碼獲取對內部應用系統的訪問權限 2 劫持攻擊在涉密信息系統中雙方

14、進行會話時被第三方黑客入侵黑客黑掉其中一方并冒充他繼續與另一方進行會話獲得其關注的信息 3 假冒某個實體假裝成另外一個實體以便使一線的防衛者相信它是一個合法的實體取得合法用戶的權利和特權這是侵入安全防線最為常用的方法 4 截取企圖截取并修改在本院涉密信息系統絡內傳輸的數據以及省院、地市院、區縣院之間傳輸的數據 5 欺騙進行IP地址欺騙在設備之間發布假路由虛假AI沖數據包 第 6 頁 共129頁 6 重放攻擊者對截獲的某次合法數據進行拷貝以后出于非法目的而重新發送 7 篡改通信數據在傳輸過程中被改變、刪除或替代 8 惡意代碼惡意代碼可以通過涉密信息網絡的外部接口和軟盤上的文件、軟件侵入系統對涉密

15、信息系統造成損害 9 業務拒絕對通信設備的使用和管理被無條件地拒絕。 絕對防止主動攻擊是十分困難的因此抗擊主動攻擊的主要途徑是檢測以及對此攻擊造成的破壞進行恢復。 3.3風險的識別與確定 3.3.1風險識別 物理環境安全風險網絡的物理安全風險主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用而造成網絡系統的不可用如 1 涉密信息的非授權訪問異常的審計事件 2 設備被盜、被毀壞 3 線路老化或被有意或者無意的破壞 4 因電子輻射造成信息泄露 5 因選址不當造成終端處理內容被窺視 6 打印機位置選擇不當或設置不當造成輸出內容被盜竊 7 設備意外故障、停電 8 地震、火災、水災等自然災害。 因

16、此XXX企業涉密信息系統在考慮網絡安全風險時首先要考慮物理安全風險。例如設備被盜、被毀壞設備老化、意外故障計算機系統通過無線電輻射泄露秘密信息等。 介質安全風險因溫度、濕度或其它原因各種數據存儲媒體不能正常使用因介質丟失或被盜造成的泄密介質被非授權使用等。 運行安全風險涉密信息系統中運行著大量的網絡設備、服務器、終端這些系統的正常運行都依靠電力系統的良好運轉因電力供應突然中斷或由于UPS和油機未能及時開始供電造成服務器、應用系統不能及時關機保存數據造成的數據丟失。因 第 7 頁 共129頁 為備份措施不到位造成備份不完整或恢復不及時等問題。 信息安全保密風險涉密信息系統中采用的操作系統主要為W

17、indows 2000 serverWindows XP、數據庫都不可避免地存在著各種安全漏洞并且漏洞被發現與漏洞被利用之間的時間差越來越大這就使得操作系統本身的安全性給整個涉密信息系統帶來巨大的安全風險。另一方面病毒已成為系統安全的主要威脅之一特別是隨著網絡的發展和病毒網絡化趨勢病毒不僅對網絡中單機構成威脅同時也對網絡系統造成越來越嚴重的破壞所有這些都造成了系統安全的脆弱性。 涉密信息系統中網絡應用系統中主要存在以下安全風險 1. 用戶提交的業務信息被監聽或修改用戶對成功提交的業務事后抵賴 2. 由于網絡一些應用系統中存在著一些安全漏洞包括數據庫系統與IIS系統中大量漏洞被越來越多地發現因此

18、存在非法用戶利用這些漏洞對專網中的這些服務器進行攻擊等風險。 服務系統登錄和主機登錄使用的是靜態口令口令在一定時間內是不變的且在數據庫中有存儲記錄可重復使用。這樣非法用戶通過網絡竊聽非法數據庫訪問窮舉攻擊重放攻擊等手段很容易得到這種靜態口令然后利用口令可對資源非法訪問和越權操作。另外在XXX企業涉密信息系統中運行多種應用系統各應用系統中幾乎都需要對用戶權限的劃分與分配這就不可避免地存在著假冒越權操作等身份認證漏洞。此外網絡邊界缺少防護或訪問控制措施不力、以及沒有在重要信息點采取必要的電磁泄漏發射防護措施都是導致信息泄露的因素。 安全保密管理風險再安全的網絡設備離不開人的管理再好的安全策略最終要

19、靠人來實現因此管理是整個網絡安全中最為重要的一環尤其是對于一個比較龐大和復雜的網絡更是如此。 XXX企業在安全保密管理方面可能會存在以下風險當網絡出現攻擊行為或網絡受到其它一些安全威脅時如內部人員的違規操作等無法進行實時的檢測、監控、報告與預警。雖然制定了相關管理制度但是缺少支撐管理的技術手段使事故發生后無法提供攻擊行為的追蹤線索及破案依據。因此最可行的做法是管理制度和管理解決方案的結合。 第 8 頁 共129頁 3.3.2 風險分析結果描述 風險只能預防、避免、降低、轉移和接受但不可能完全被消滅。風險分析就是分析風險產生/存在的客觀原因描述風險的變化情況并給出可行的風險降低計劃。 XXX企業

20、涉密信息系統的分級保護方案應該建立在風險分析的基礎之上根據“脆弱性分析”和“威脅分析”中所得到的系統脆弱性和威脅的分析結果詳細分析它們被利用的可能性的大小并且要評估如果攻擊得手所帶來的后果然后再根據涉密信息系統所能承受的風險來確定系統的保護重點。本方案所采用的風險分析方法為“安全威脅因素分析法”圍繞信息的“機密性”、“完整性”和“可用性”三個最基本的安全需求針對前述每一類脆弱性的潛在威脅和后果進行風險分析并以表格的形式表達對于可能性、危害程度、風險級別采用五級來表示等級最高為五級如下表 層面 脆弱和威脅 可能性 危害程度 風險級別 物理層 自然災害與環境事故、電力中斷 重要設備被盜 內外網信號

21、干擾 電磁輻射 惡劣環境對傳輸線路產生電磁干擾 采用紙制介質存儲重要的機密信息 線路竊聽 存儲重要的機密信息移動介質隨意放置 網絡層 網絡拓撲結構不合理造成旁路可以出現安全漏洞 不同用戶群、不同權限的訪問者混在一起不能實現有效的分離 網絡阻塞用戶不能實現正常的訪問 非法用戶對服務器的安全威脅 共享網絡資源帶來的安全威脅 系統重要管理信息的泄漏 傳播黑客程序 進行信息監聽 ARP攻擊威脅 利用TCP協議缺陷實施拒絕服務攻擊 系統層 操作系統存在著安全漏洞 系統配置不合理 操作系統訪問控制脆弱性 網絡病毒攻擊 合法用戶主動泄密 第 9 頁 共129頁 非法外連 存儲信息丟失 應用層 應用軟件自身脆

22、弱性 應用系統訪問控制風險 應用軟件安全策略、代碼設計不當 數據庫自身的安全問題 抵賴風險 缺乏審計 操作系統安全帶來的風險 數據庫安全風險 管理層 松散的管理面臨泄密的風險 安全保密管理機構不健全 人員缺乏安全意識 人員沒有足夠的安全技術的培訓 安全規則制度不完善 表3-1 XXX企業涉密信息系統風險分析表 第 10 頁 共129頁 第四章 安全保密需求分析 4.1 技術防護需求分析 4.1.1 機房與重要部位 XXX企業內網和外網已實現物理隔離置于不同的機房內。內網機房、機要室等重要部位將安裝電子監控設備并配備了報警裝置及電子門控系統對進出人員進行了嚴格控制并在其他要害部門安裝了防盜門基本滿足保密標準要求。 4.1.2網絡安全 物理隔離由于XXX企業的特殊性XXX企業已組建了自己的辦公內網與其他公共網絡采取了物理隔離滿足保密標準要求。 網絡設備的標識與安放XXX企業現階段雖然在管理制度上對專網計算機進行管理要求但沒有對設備的密級和主要用途進行標識所以需要進行改進并按照設備涉密屬性進行分類安放以滿足保密標準要求。 違規外聯監控XXX企業專網建成后網絡雖然采用了物理隔離但缺少對涉密計算機的違規外聯行為的監控和阻斷例如內部員工私自撥號上網通過無線網絡上網等。所以為了防止這種行為的發生在涉密網建設中需要一套違