信息系統安全解決方案1.1什么是安全保障體系我們在本書討論安全保障體系是因為安全保障體系是解決信息系統安全方案的基礎。若想構造一個安全的信息系統需要做許多工作,信息系統安全保障體系必須從安全的各個方面進行綜合考慮。構建安全保障體系已經成為非常重要的一項工作。安全保障體系目前對ー個信息系統而言變得越來越重要,引起了人們的廣泛關注,只有有了的安全保障體系才能指導人們進行安全設計。對于不同的信息系統其安全保障體系有所不同,我們這里所討論的是一般情況下的信息系統的安全保障體系。目前,對安全保障體系的研究很多,也有許多不同看法。這里我們討論的安全保障體系僅供參考。信息系統安全保障體系一般來講應由三大部分構成:安全保障體系的核心是人,人在安全保障中是第一位的,也是最脆弱的環節。克服人的脆弱性最主要的方法是安全意識的教育和安全技能的培訓以及組織安全、人員安全管理和技術安全管理。在我國信息安全技術還比較落后的情況下,加強安全管理、安全培訓、安全教育是ー個十分迫切需要解決的問題。安全法律法規的建設和教育也是非常重要的方面。當然,在新的形式下如何搞好人員安全也是我們面臨的新的課題。物理安全是最容易被人們接受的ー項安全措施,但是也是最不容易解決的問題。安全是ー個復雜的系統工程,它是多學科的綜合工程,人是其中的重要因素之一,特別對信息系統的信息保障而言,人是那些重要因素中的關鍵因素。鑒于上述情況,安全管理也是安全保障體系中不可缺少的ー個重要組成部分。隨著信息系統的飛速發展和廣泛應用,安全管理變得越來越重要,國際標準化組織（ISO）已經制定了相應的國際標準——ISO-177990該標準詳細規定了安全管理得各個方面,我們將在后面進行詳細介紹。安全保障體系是一個多層次、縱深的防御體系,它不僅要解決人的問題,也要解決信息安全的技術問題和運行的安全問題。因此,安全保障體系的第二個因素就是技術。信息安全技術不僅要體現主動防御和被動防御相結合的原則,還要體現安全技術和安全管理相結合的原則。安全技術包括:信息保障技術框架、安全標準、法律法規、評估和認證、風險分析和評估、認證和鑒別等。我們在以后的討論中將會更深入論述信息保障技術框架。還要綜合采用各種信息安全技術以防止一種技術被攻破不會危及全系統使全系統崩潰。在安全保障體系中采用先進有效的安全技術是十分必要的,隨著信息安全技術的不斷發展,防御技術的不斷提高,安全技術在安全保障體系中的重要性將會越來越明顯。由于安全的特點是對抗性非常強,使得安全的相對性和多變性特別突出。因此,加速開發信息安全技術在安全保障體系的建設中是不可忽視的重要問題。在安全保障體系中采用的安全技術一般情況下包括:加解密技術防火墻與訪問控制技術?識別與鑒別技術,防病毒技術入侵檢測與防范技術安全性測試與評估技術內容監控與偵控技術安全管理,安全審計,物理安全上述所列的安全技術將會隨著技術的不斷發展會有新的內容出現。安全保障體系的另ー個人們關注的因素是系統運行安全。系統運行安全體現了全生命期的安全風險管理。它包括:安全評估、安全監測、安全報警、入侵檢測、病毒防范、響應和恢復等。安全保障體系目前對ー個信息系統而言變得越來越重要,引起了人們的廣泛關注,只有有了信息系統的安全保障體系才能指導人們對系統進行安全設計。2安全保障體系的內容正如前面已經提到的安全保障體系是一個復雜的系統工程,它綜合了多種學科,它是系統工程的具體體現。系統工程有一個過程,如下圖所示。圖1系統工程系統工程有其方法論,安全工程也有自己的方法論和工程原理,那就是我們經常說的信息系統安全工程（ISSE）。由于信息系統安全エ程已經在第二篇有了專門的論述,在這里就不在論述。

通過一系列的標準和控制、安全管理、人的知識和經驗,通過培訓和溝通,利用相應的開發工具使要求或問題變成產品輸出。系統工程關系統工程關鍵項圖2系統工程關鍵項圖二給出了系統工程的關鍵項。這些項明顯的體現了以用戶為中心,以人為本的的精神。我們反復介紹系統工程的目的是使讀者不要忘記以系統工程的思想來指導信息系統安全的各項工作。21世紀信息系統安全已經從信息安全發展成為信息保障這一新的概念,這ー概念是由美國國家安全局提出的ー種新的概念并提出了信息保障技術框架,目前該框架已經發展到V2.0版本。我們知道,以往我們所說的信息安全一般包括四大部分:IT安全、物理安全、人員安全和程序安全。其中:IT安全中包括:計算機安全、電磁輻射安全、密碼安全、網絡安全和傳輸安全。物理安全包括：安全區的劃分、設備的物理安全、出入口的控制、安全問題的檢測方法、安全標記等。人員安全包括：設置人員安全屏障、人員的安全定位、人員的應知程序、安全責任的劃分以及人員工作的終止程序等。程序安全包括:運行安全、介質安全、機構安全、技術管理安全。信息安全有著悠久的歷史,從古代的古典密碼到通信保密,從保密通信到網絡安全,從網絡安全到安全。當前,又從安全發展到信息保障。信息安全的概念是隨著信息技術的發展而不斷發展的,信息技術每發展到ー個階段,相應的信息安全技術也會有新的發展。古代的保密是以密本和密表為代表的保密體制。近代的點對點通信的保密理論基礎是香農的《通信的保密理論》。隨著信息技術不斷發展,通信網絡的迅速擴大應用,保密技術已經顯得力不從心,特別是密鑰的分配問題形成了一個很大的瓶徑,在這種情況下由狄菲與赫爾曼編寫了《密碼學的新方向》一書,提出了公開密鑰密碼學的新概念。這一新的概念和技術不僅解決了網絡安全的密鑰分配問題,而且附帶又解決了數字簽名和認證等一系列的問題。進入信息安全階段后,新的技術層出不窮,如,病毒防范技術、入侵檢測技術、漏洞掃描技術、新的密碼算法、物理安全、安全評估技術、安全測評認證技術等等。信息安全的概念是從網絡安全概念發展過來的,它把網絡安全用系統工程的方法進行論述,因此,信息安全應當稱為信息系統安全。在安全中引入了系統工程概念使得安全所含蓋的內容更加豐富,系統受到的保護更完善。但是,信息系統安全通過利用平面式的保護措施,也就是信息系統安全的各種措施是平行地用于ー個信息系統上,沒有一個層次和深度。正如前面提到的那樣,安全保障體系對保證ー個信息系統的安全是至關重要的。我們認為機構的的穩健的、考慮較完善的安全保障體系需要考慮的因素人、安全技術和安全運行,其具體內容如下表所示:?人?技術?運行系統安全管理縱深防御技術框架評估培訓安全標準和法律法規監測物理安全風險評估入侵檢測人員安全認證和鑒定報警響應和恢復病毒防范

圖3安全保障體系的要素由圖3我們看到,安全保障體系的核心是人的這一本質。這就是說安全保障歸根結底是ー個管理問題。安全策略也是保障體系的重要方面,我們將在下一章有較為詳細的論述。安全保障體系的另一個重要因素就是技術。安全技術所包含的內容我們在前面已經有了論述,這里就不在詳述。通過上述三方面,我們把安全形成一個閉環,一個的保護必須有一個預警系統來不斷監視入侵者的活動,一旦發生入侵系統就會采取措施或進行保護。保護的內容涉及的方面很多,例如,網絡和基礎設施的保護、邊界和遠程訪問的保護、計算環境的保護等。任何保護都要有檢測系統予以輔助,檢測包括入侵檢測、漏洞檢測（或者稱為脆弱性檢測）。通過檢測發現系統的漏洞（或脆弱性）并及時進行有效的響應。一般情況下很難做到全自動的響應,但是,要盡量減少人工的干預。如果系統受到影響就必須盡快的恢復,當然恢復要有緊急恢復計劃和相應的措施。如果有必要還要進行必要的反擊。安全保障體系是ー個非常復雜的問題,目前人們對其關注的程度越來越高,此處僅對其中的主要問題做了考慮。2.信息系統安全技術解決方案安全技術解決方案是根據信息系統的保障體系而形成的具體的、技術的安全解決方案。這里提出的安全技術解決方案是根據以往的工作經驗結合!ATF的有關概念提出來的。信息系統安全技術解決方案對不同的會有很多差別,這要結合具體的信息系統而定。在這里僅提出我們認為在設計安全技術解決方案時應當考慮的內容,供參考。1信息系統分析為了設計信息系統安全方案,必須首先了解系統,也就是要對信息系統進行分析。一般情況,對信息系統進行分析包括以下內容:1）系統組成和網絡拓撲結構信息系統的組成和系統的網絡拓撲的構成必須了解清楚,這樣才能配置好安全設備。2）信息系統的資產3）信息系統的信息傳輸協議4）信息系統傳輸帶寬5）信息系統的管理6）信息系統的應用系統7）信息系統的工作流程8）信息系統的信息流程9）系統已經采用的安全措施（包括技術的和其他方面的）10）信息系統與其它系統或網絡的互聯關系11）系統安全管理的組織機構及措施2安全風險分析信息系統的安全風險分析是安全保障體系的建設和安全解決方案設計的重要環節,也是安全解決方案的重要依據。隨著復雜程度的增加以及用戶對安全的認識水平的提高,相信今后對安全風險分析的要求將會越來越高。不僅需要定性的分析還需要定量分析。這將是非常困難的事情。一般情況下信息系統的安全風險分析要解決如下問題:.需要保護什么資源?.要保護他們免受那些攻擊?.可能有誰威脅自己的?.潛在的威脅可能造成的破壞的可能性有多大?.如果資源被破壞會造成什么樣的直接損失?.恢復被破壞的資源需要多少花費?.怎樣能夠最有效的提高保護資金的利用率?.是否有人規定用戶的環境安全所需的水平?安全風險分析是為了確保信息系統安全的最重要的一步。分析安全風險的目的是:了解信息系統所遇到的安全威脅;了解信息系統的脆弱性;了解信息系統在安全管理方面的漏洞;了解信息系統抵抗自然災害的能力；了解信息系統的資產以便提出需要保護哪些重要的資源。在全面了解上述情況的基礎上,確定安全風險等級；為安全需求提供依據；為安全目標的制定、安全方案的制定、安全的經費投入提供指導。由此可知,安全風險分析在安全設計的重要性。一般情況下,安全風險分析包括三部分:安全威脅分析、安全漏洞分析和資產分析。下面我們將分別對三種分析進行較詳細的論述。2. 1安全威脅分析安全威脅分析首要問題是辨別有哪些是你的信息系統的“敵人”,也就是有哪些國家、團體、個人對你的系統不利。

一般情況下,分為惡意的和無意的兩種威脅。下面的圖表則顯示了按國家、團體、個人來分的。敵人描述惡意國家由政府主導,有很好的組織和充足的財カ:利用國外的服務引擎來收集來自被認為是敵對國的信息黑客攻擊網絡和系統以發現在運行系統中的弱點或其它錯誤的一些個人恐怖分子/計算機恐怖分子代表使用暴力或威脅使用暴力以迫使政府或社會同意其條件的恐怖分子或團伙有組織的犯罪有協調的犯罪行為,包括賭博、詐騙、販毒和許多其它的行為其它犯罪團體犯罪社團之一,一般沒有好的組織或財カ。通常只有很少的幾個人,完全是ー個人的行為國際媒體向紙業和娛樂業的媒體收集并散發——有時是非授權的一—新聞的組織。包括收集任何時間關于任何ー個人的任意一件新聞工業競爭者在市場競爭中運行的國內或國際企業常以企業間諜的形式致カ于非授權收集關于競爭對手或外國政府的信息有怨言的員エ懷有危害局域網絡或系統想法的氣憤、不滿的員エ

非惡意粗心或未受到良好訓練的員エ那些或因缺乏訓練,或因缺乏考慮,或因缺乏警惕的人給帶來的威脅。這是內部威脅與敵人的另ー個例子。在上述集體和個人對蓄意攻擊時一般采取的攻擊方式如下表所示,表中把攻擊分為五種并對五種攻擊作了解釋。這種解釋只能泛泛的說明五種攻擊所涉及的方面,在威脅分析時還要進行更為詳細地分析。被動攻擊被動攻擊包括分析通信流,監視未被保護的通訊,解密弱加密通訊,獲取鑒別信息（比如口令）等。被動攻擊是在沒有得到用戶同意或告知用戶的情況下,將信息或文件泄露給攻擊者。這樣的例子如搭線竊聽等。主動攻擊主動攻擊包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數據資料的泄露和散播,或導致拒絕服務以及數據的篡改。物理臨近攻擊是指一未被授權的個人,在物理意義上接近網絡、系統或設備,試圖改變、收集信息或拒絕他人對信息的訪問。內部人內部人員攻擊可以分為惡意或無惡意攻擊。前者指內部人員對信員攻擊息的惡意破壞或不當使用,或使他人的訪問遭到拒絕;后者指由于粗心、無知以及其它非惡意的原因而造成的破壞。軟硬件指在工廠生產或分銷過程中對硬件和軟件進行的惡意修改。這種裝配分攻擊可能是在產品里引入惡意代碼,比如后門。發攻擊對ー個信息系統而言,它所遇到的攻擊是多種多樣的。但是,對于不同的信息系統所遇到的攻擊有相同的,也有不同的,主要與其網絡環境有關。1)被動攻擊產生的威脅＞網絡和基礎設施的被動攻擊威脅:線路竊聽:局域網/骨干網線路的竊聽監視沒被保護的通信線路破譯弱保護的通信線路信息信息流量分析利用被動攻擊為主動攻擊創造條件實現對網絡基礎設施設備的破壞,如截獲用戶的帳號或密碼對網絡設備進行破壞。機房和處理信息的終端的信息電磁泄露＞區域邊界/外部連接的被動攻擊威脅:機房和處理信息的終端的信息電磁泄露截取未受保護的網絡信息流量分析攻擊＞計算環境的被動攻擊威脅:機房和處理信息的終端的信息電磁泄露獲取鑒別信息和控制信息獲取明文或解密弱密文實施重放攻擊＞支持性基礎設施的被動攻擊威脅:機房和處理信息的終端的信息電磁泄露獲取鑒別信息和控制信息2）主動攻擊產生的威脅＞網絡和基礎設施的主動攻擊威脅:可用帶寬的損失攻擊,如網絡阻塞攻擊、擴散攻擊等。網絡管理通訊混亂使網絡基礎設施失去控制的攻擊。最嚴重的網絡攻擊是使網絡基礎設施運行控制失靈。如對網絡運行和設備之間通信的直接攻擊,他企圖切斷網管人員與基礎設施的設備之間的通信,比如切斷網管人員與交換機、路由器之間的通信,使網管人員無法控制他們。網絡管理通信的中斷攻擊,它是通過攻擊網絡底層設備的控制信號來干擾網絡傳輸的用戶信息。引入病毒攻擊引入惡意代碼攻擊＞區域邊界/外部連接的主動攻擊威脅:試圖阻斷或攻破保護機制（內網或外網）偷竊或篡改信息利用社會工程攻擊欺騙合法用戶偽裝成合法用戶和服器進行攻擊IP地址欺騙攻擊拒絕服務攻擊利用協議和基礎設施的安全漏洞進行攻擊利用遠程接入用戶對內網進行攻擊建立非授權的網絡連接監測遠程用戶電路,修改傳輸的數據解讀未加密或弱加密的傳輸信息惡意代碼和病毒攻擊＞計算環境的主動攻擊威脅引入病毒攻擊引入惡意代碼攻擊冒充超級用戶或其他合法用戶拒絕服務和數據的篡改偽裝成合法用戶和服器進行攻擊利用配置漏洞進行攻擊＞支持性基礎設施的主動攻擊威脅PKI/KMI配置漏洞攻擊?引入病毒攻擊?惡意代碼攻擊3）物理臨近攻擊＞網絡和基礎設施的物理臨近攻擊威脅未授權的人偷偷潛入破壞、修改網絡基礎設施內部人員進入無意修改網絡控制參數非法闖入重要基礎設施竊取各種介質上的重要數據（軟盤、光盤、硬盤）非法闖入機房等重要場所對基礎設施進行破壞和改動＞區域邊界/外部連接的物理臨近攻擊威脅:非法闖入機房等重要場所對設備進行破壞或改動非法闖入重要基礎設施竊取各種介質上的重要數據（軟盤、光盤、硬盤）＞計算環境的物理臨近攻擊威脅:非法闖入機房等重要場所對設備進行破壞或改動非法闖入重要基礎設施竊取各種介質上的重要數據（軟盤、光盤、硬盤）＞支持性基礎設施的物理臨近攻擊威脅:非法闖入機房等重要場所對設備進行破壞或改動非法闖入重要基礎設施竊取各種介質上的重要數據（軟盤、光盤、硬盤）非法盜竊重要的設備非法竊取證書的內容和密鑰4）內部人員的攻擊＞網絡和基礎設施的內部人員攻擊威脅:網管中心內部人員的惡意攻擊。他們有能力向網絡提供錯誤的信息實現不容易發覺的的攻擊遠程操作人員的惡意攻擊。他們是網絡專家,可以和內部人員ー樣對網絡實施攻擊。內部人員的無意攻擊。＞區域邊界/外部連接的內部人員攻擊威脅:內部人員的無意攻擊。內部人員的惡意攻擊＞計算環境的內部人員攻擊威脅:內部人員的無意攻擊內部人員的惡意攻擊內部人員利用職權竊取用戶身份證明實現越權訪問＞支持性基礎設施的內部人員攻擊威脅:內部人員的無意攻擊內部人員的有意攻擊5）軟硬件裝配和分發攻擊系統集成商、設備供應商、軟件供應商為了維護的目的或其他ー些惡意的目的,留有后門、改變設備的參數和配置等使系統造成嚴重的安全隱患。6）自然災害嚴重的自然災害:水災、火災、地震、雷電等.2.2系統脆弱性分析＞通信協議（如TCP/IP）的安全脆弱性＞操作系統和數據庫的安全脆弱性＞系統配置的安全脆弱性＞系統管理協議的安全漏洞＞訪問控制機制的安全脆弱性＞審計和授權系統的安全漏洞＞安全管理存在的各種漏洞.2.3系統資產分析我們知道,對系統資產價值的分析會使人們知道應當如何保護好那些重要的資產。其中的主要資源包括:物理資源:計算機系統、通信系統、網絡系統、環境設施智力資源：數據和記錄、軟件、其它任何形式的信息、敏感信息。時間資源：系統的時間要求。信譽資源：由于系統被破壞造成的信譽損失。上述四種資源中最重要的資源是用戶的信息,我們知道,信息系統中有三種信息,它們是用戶信息、控制信息和管理信息,其中最重要的是保護用戶信息的機密性、完整性、可用性以及不可否認性。無論何時,安全風險分析都是一個非常重要的環節,它在安全設計中的作用就象醫生給病人看病前作各種檢查ー樣,如果不進行身體檢查就不知道病人什么地方出了毛病,因此也就不知道病人得了什么病,也就不知道給病人吃什么藥,也就治不好病人。安全風險分析也是同樣,如果ー個不知道受到那些威脅,也不知道系統本身有那些脆弱性,也不知道那些資產是最重要的應當受到高等級的保護,那么我們如何去保護ー個呢?我們預計,隨著安全用戶對安全了解水平的提高,用戶第一個需要的報告不是安全解決方案,而是的安全風險分析。遺憾的是,目前我國對安全風險分析的研究還剛剛起步,只能做到定性分析,還不能進行定量分析。這是我們需要進ー步努力的地方。下面我們列舉了有關風險,可供風險分析和編寫方案時參考:組件構件tuM風險點風險描述保護措施硬件設施硬件設施監控設備攝象機斷電供電中斷,無法監控應急供電裝置損壞可能因壽命或人為破壞,導致失效提供物理保護,并良好維護,定期更換干擾可能受到干擾導致性能下降或完全失效適當的預防措施,如采用抗干擾技術監視器斷電供電中斷,無法監控應急供電裝置損壞可能因壽命或人為破壞,導致失效提供物理保護,并良好維護,定期更換

干擾可能受到干擾導致性能下降或完全失效適當的預防措施,如采用抗干擾技術電視機斷電供電中斷,無法監控應急供電裝置損壞可能因壽命或人為破壞,導致失效提供物理保護,并良好維護,定期更新干擾可能受到干擾導致性能下降或完全失效適當的預防措施,如采用抗干擾技術報警裝置斷電供電中斷,無法報警應急供電裝置損壞可能因壽命或人為破壞,導致失效提供物理保護,并良好維護,定期更新干擾可能受到干擾導致性能下降或完全失效適當的預防措施,如采用抗干擾技術計算機大中小型計算老化超生命期使用,部件可能失效,影響系統的正常運行有效維護,硬件備份,制定更新換代計劃

機處理器缺陷/兼容性設計缺陷和制造商有意留有的后門;升級不支持原有功能等;運算出錯和系統故障確保來源可靠,且經過權威部門測試人為破壞操作人員有意或失誤,對計算機的破壞如拆卸等制定嚴格的管理制度,專人操作、維護,維修應經過授權并有負責人在場輻射計算機運行時會產生電磁輻射,相互影響并可能導致信息泄露采取有效措施,控制輻射強度和范圍。濫用將存儲敏感信息的計算機提供給非授權者,導致信息泄露嚴格的管理措施,增強人員安全意識,明確責任。

組件構件元素風險點風險描述保護措施硬件設施計算機個人計算機老化超生命期使用,部件可能失效,影響系統的正常運行有效維護,硬件備份,制定更新換代計劃處理器缺陷/兼容性設計缺陷和制造商有意留有的后門;升級后不支持原有功能等,導致運算出錯和系統故障確保來源可靠,且經過權威部門測試人為破壞操作人員有意或無意地對計算機的破壞如拆卸,帶電撥插等嚴禁私自拆卸計算機,維修應經過授權并有負責人在場輻射計算機內的數據傳輸線纜,接插件、顯示屏等會產生電磁輻射,可能導致信息泄露采取有效措施,控制“紅信號”的輻射強度和范圍。

濫用將存儲敏感信息的計算機提供給非授權者,導致信息泄露嚴格的管理措施,增強人員安全意識,明確責任。網絡設備交換機老化超過生命期使用,可能影響系統的正常運行或造成網絡癱瘓定期維護和檢測,并有硬件備份和其它應急措施人為破壞操作人員有意/無意地造成損壞,導致傳輸中斷、網絡癱瘓等嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場電磁輻射產生的電磁輻射,可能導致信息泄露采取有效措施,控制的輻射強度和范圍。集線器老化同上同上人為破壞同上同上電磁輻射同上同上網關老化同上同上

設備人為破壞同上同上電磁輻射同上同上中繼器老化同上同上人為破壞同上同上電磁輻射同上同上組件構件元素風險點風險描述保護措施硬件設施網絡設備橋接設備老化同上同上人為破壞同上同上電磁輻射同上同上調制解調器老化同上同上人為破壞同上同上

電磁輻射同上同上傳輸介質及轉換器同軸電纜輻射電磁輻射,導致信息泄露傳輸信息加密干擾攻擊者可能進行電磁干擾,破壞信息的完整性,甚至導致網絡癱瘓采取屏蔽、抗干擾措施竊聽攻擊者利用設備或搭線進行監聽,以獲取信息對信息加密傳輸是有效措施破壞攻擊者直接物理攻擊,如割斷電纜,導致通信中斷或網絡癱瘓加強法律保護,采取有效的應急措施,降低遭受攻擊時的風險雙絞線輻射同上采用屏蔽措施,傳輸信息加密干擾同上同上竊聽同上同上破壞同上同上光纜/輻射同上同上

光端機干擾同上同上竊聽同上同上破壞同上同上衛星信道輻射同上同上干擾同上同上竊聽同上同上破壞同上同上微波信道輻射同上同上干擾同上同上竊聽同上同上破壞同上同上終端輻射同上采用屏蔽措施,傳輸信息加密干擾同上同上竊聽同上同上破壞同上同上組件構件元素風險點風險描述保護措施

硬件設施輸入輸出設備掃描儀輻射使用時存在電磁輻射,導致信息泄露*1涉及高密級信息,應控制其輻射強度*a后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息*2來源可靠并經權威部門認可?b濫用未授權者使用,可能對系統危害?3控制使用場合打印機輻射同?1同?a后門同?2同?b濫用同?3控制使用場合鍵盤輻射同?1同?a濫用同?3,如造成信息泄露加強管理,如使用登記顯示器輻射同?1同?a偷看造成信息泄露控制使用場合磁盤驅動器輻射同?1同?a濫用同?3,如造成信息泄露使用無盤工作站

電話傳真輻射同?1同?a后門同?2同?b濫用同?3加強管理,如使用登記安全設備訪問控制類設備后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場濫用未授權者使用,可能對系統危害控制使用場介選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見

設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓,獲得資格證書以后才能上111岡組件構件元素風險點風險描述保護措施制造者可能留下供維護后門或其他用途的后門,通過這些后門可獲得敏感來源可靠并經權威部門認可硬安識別信息件全與鑒操作人員有意/無意地造嚴格的管理制度,專設設別設人為破成損壞,導致設備安全人負責,嚴禁私自拆施備備壞性能降低,甚至系統癱卸,維修經授權并有瘓負責人在場濫用未授權者使用,可能對系統危害控制使用場合

選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓1,獲得資格證書以后オ能上崗安全審計設備后門制造者可能留ド供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場濫用未授權者使用,可能對系統危害控制使用場合選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見

設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓1,獲得資格證書以后オ能上崗安全管理設備后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場濫用未授權者使用,可能對系統危害控制使用場合選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓1,獲得資格證書以后オ能上崗組件構件元素風險點風險描述保護措施制造者可能留下第二后門套密鑰等后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可操作人員有意/無意地嚴格的管理制度,硬安人為造成損壞,導致設備專人負責,嚴禁私件全密碼破壞安全性能降低,甚至自拆卸,維修經授設設設備系統癱瘓權并有負責人在場施備濫用未授權者使用,可能對系統危害捽制使用場合所采購的產品不與系選型統的安全策略相符選型時征求有關安不當合,造成系統漏洞或全專家的意見開支增加

設備自ワ配置不當操作人員對設備配置不熟悉,對設備管理不當,導致系統安全性能降低所有操作人員都應當參加技能培訓,獲得資格證書以后才能上崗防病毒設備人為破壞操作人員有意/無意地造成損壞,導致設備防病毒能力降低嚴格的管理制度,專人負責。基礎應用類安全設備后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場濫用未授權者使用,可能對系統危害控制使用場合選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見

設備自ワ配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓,獲得資格證書以后才能上崗組件構件元素風險點風險描述保護措施硬件設施安全設備電子商務產品后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場

濫用未授權者使用,可能對系統危害控制使用場合選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓1,獲得資格證書以后オ能上崗安全功能集成設備后門制造者可能留下供維護或其他用途的后門,通過這些后門可獲得敏感信息來源可靠并經權威部門認可人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低,甚至系統癱瘓嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場濫用未授權者使用,可能對系統危害控制使用場合

選型不當所采購的產品不與系統的安全策略相符合,造成系統漏洞或開支增加選型時征求有關安全專家的意見設備自身配置不當操作人員對設備配置不熟悉,造成不當的服務開放了,導致系統安全性能降低所有操作人員都應當參加技能培訓,獲得資格證書以后オ能上崗防信息干擾、防輻射產品人為破壞操作人員有意/無意地造成損壞,導致設備安全性能降低嚴格的管理制度,專人負責,嚴禁私自拆卸,維修經授權并有負責人在場選型不當所采購的產品不與系統的安全策略相符合,造成不必要開支增加選型時征求有關安全專家的意見設備自ワ配置不當操作人員對設備配置不熟悉,造成設備配置不當,并不能達到抗干擾、防輻射等信息泄露等要求所有操作人員都應當參加技能培訓,獲得資格證書以后オ能上崗

組件構件元素風險點風險描述保護措施硬件設施存儲介質紙介質保管不、與重要文件可能失竊而泄密;因發霉、鼠害等丟失信息加強管理,保存場所滿足一定的條件廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀磁盤硬盤損壞或出錯超過使用生命期而損壞或者隨機錯誤導致數據可用性喪失采用雙エ、鏡像等技術容錯,并定期信號更新保管不當可能因發霉、變形、劃傷或強磁場干擾等造成數據丟失:失竊造成信息泄露保存場所滿足適當的溫度、濕度,防磁、防盜,多重備份并定期信號更新廢棄處理不當攻擊者可能利用一定技術恢復殘留信息,造成信息泄露集中處理,由兩個或兩個以上的責任人徹底銷毀軟盤保管不當可能失竊而泄密；因發霉、劃傷、強磁場磁化等丟失信息加強管理,保存場所滿足一定的條件

隨便使用軟盤便于攜帶,隱蔽性強,容易導致泄密或弓1入病毒加強管理,嚴禁私下拷貝、安裝軟件或帶軟盤進入敏感場所廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀光盤□讀損壞可能因發霉、劃傷丟失信息,造成損失加強管理,保存場所滿足一定的條件次寫入保管不當可能失竊而泄密;發霉、劃傷等丟失信息加強管理,保存場所滿足一定的條件隨便使用光盤容量大,易攜帶,隱蔽,容易導致泄密加強管理,嚴禁私下刻盤或帶入敏感場所廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀多次擦損壞可能因發霉、劃傷丟失信息,造成損失加強管理,保存場所滿足一定的條件

寫隨便使用光盤容量大,易攜帶,隱蔽,容易導致泄密加強管理,嚴禁私下刻盤或帶入敏感場所廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀保管不可能失竊而泄密:發霉、加強管理,需要時磁帶磁化等丟失信息重新備份廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀錄音ノ保管不、|]可能失竊而泄密;發霉、磁化等丟失信息加強管理,需要時重新備份水帯豕廢棄處理不當處理不徹底導致泄密集中處理、徹底銷毀組件元素風險點風險描述保護措施

軟件設施操作系統缺陷常用操作系統如Unix,Dos,Windows/NT等在開發時對安全問題考慮不周而留下的缺陷或漏洞,往往被攻擊者開發或直接利用來進行系統攻擊使用系統掃描軟件進行掃描,對發現的漏洞及時填補;配備一定的エ具軟件進行實時監控和審計。對處理機要信息的系統選擇安全等級較高的專用操作系統。后門操作系統開發者用于系統診斷、維護或其它目的有意或無意留下的,攻擊者可用此獲得操作特權使用工具軟件進行實時監控和審計,盡量降低風險。對處理機要信息的操作系統盡可能使用專用或政府可控的軟件。腐敗操作系統不及時整理和維護,使安全特性和運行的穩定性降低系統管理人員定期進行系統清理和維護。

口令獲取包括偷竊、猜測、字典攻擊和轉讓等手段獲取系統ロ令,非法取得對系統的操作特權,導致信息系統的管理權轉移使用與用戶信息無關,包含特殊字符,最小長度限制且不是字典中的單詞的口令;限制登錄次數;ロ令存儲加密;定期改變ロ令等特洛伊木馬是ー種程序,將惡意代碼藏在表面上無害的程序中,一旦進入系統,在滿足一定條件時便會危及系統制定相應的制度和策略,控制軟驅、光驅和網卡等中的特洛伊木馬程序進入系統的接口。病毒一種能將自己復制進入全機或磁盤執行自檢區域的程序,一旦執行被感染的程序,便會破壞系統的正常功能制定相應的制度和策略,控制軟驅、光驅和網卡等中的病毒程序進入系統的接口,并安裝殺毒軟、硬件。

升級缺陷操作系統版本升級/更新后,功能調整和出現向下不兼容問題,導致系統脆弱性分布發生變化,使得原有安全策略/措施失效控制版本升級的途徑,對升級后的操作系統進行掃描以發現其缺陷。并采用安全審計,以發現外來攻擊。

組件元素風險點風險描述保護措施軟件設施網絡通信協議包監視協議數據流采用明文傳輸,可被在線竊聽、篡改和偽造;啟動連接的鑒別信息、用戶帳號和口令等采用明文傳輸,為網絡偵聽如使用網絡分析儀等截獲數據包提供了途徑評估傳輸信息的路徑,對可能搭線竊聽、輻射偵測的地方進行控制,并對傳輸的包進行加密封裝。涉及機要信息的傳輸,應選擇可信信道,進行加密專網連接。內部網絡暴露TCP/IP通信協議將內部網絡拓撲信息暴露給公共網絡,為外部攻擊內部提供了目標信息。使用具有NAT功能的網關設備,將內部網絡的!P地址轉換成網關設備地址,從而隱藏內部網絡拓撲。地址欺騙源IP地址極易被偽造和更改以及!P地址鑒別機制的缺乏,使攻擊者通過修改或偽造源IP地址進行地址欺騙和假冒攻擊使用地址綁定和鑒別機制,將!P地址同網卡的物理地址捆綁,并給每ー個用戶唯ー的標志。

序列號攻擊利用TCP/IP協議中所使用的隨機序列號是ー個具有上下限的偽隨機數因而是可猜測的。攻擊者利用猜測的序列號來組織攻擊。進行實時監控和源鑒別。路山攻擊TCP/IP網絡動態地傳遞新的路山信息,但缺乏對路由信息的認證,因此偽造的或來自非可信源的路由信息就可能導致對路由機制的攻擊使用防火墻等網關設備保護網絡內部設備,并進行審計跟蹤和實時監控。使用帶有鑒別機制的路由器。拒絕服務許多TCP/IP協議實現中的缺點都能被用來實施拒絕服務攻擊,如:郵件炸彈、 TCPSYNfloodingヽICMPechofloods等使用防火墻等網關設備保護網絡內部設備,并進行審計跟蹤和實時監控。

版本升級缺陷協議相關軟件版本升級/更新后,功能調整和出現向下不兼容問題,導致系統安全脆弱性分布發生變化,使得原有安全策略/措施失效/減弱控制版本升級的途徑,對升級后的協議軟件進行掃描和評估以發現其缺陷,并調整安全策略。鑒別攻擊TCP/IP協議不能對節點上的用戶進行有效的身份認證,因此服務器無法鑒別登錄用戶的身份合法性將!P地址同網卡的物理地址捆綁,并給每ー個用戶分配唯一的標志。地址診斷運行TCP/IP協議的機器有一個用于局域網卡本地診斷的特殊地址,它常常被攻擊者操縱來實施攻擊使用防火墻等網關設備隱藏內部機器可供攻擊者利用的信息其他缺陷其他非TCP/IP協議的缺陷進行掃描和評估以發現其缺陷;采用實時監控和安全審計,以發現外來攻擊。

組件元素風險點風險描述保護措施軟件設施通用應用軟件平臺后門指在應用軟件中含有其所有者未授權的特殊代碼,一般是程序開發者為維護或其它用途有意或無意留下的,這類后門可提供進入系統核心的途徑。采用行政手段控制軟件的來源,包括對軟件開發商的評估,對涉及處理機要信息的軟件盡量自主開發。邏輯炸彈指故意書寫或修改的程序,當滿足某種條件時就會產生預料不到的結果,這些結果是合法用戶或軟件所有者沒有授權的。可以在單獨的程序中,可以是蠕蟲的一部分,也可以是病毒。時間炸彈就是其中一種制定相應的制度和策略,控制軟驅、光驅和網卡等邏輯炸彈程序進入系統的接口,防止其侵入系統。惡卮、代碼ー些有不良企圖的程序代碼,能夠影響應用軟件的正常功能,一般包含在其他程序中如作為病毒的組成部分。制定相應的制度和策略,控制可供惡意代碼進入系統的接口（軟驅、光驅和網卡等）,防止其侵入系統。

病毒一種能將自己復制進入系統或磁盤特定執行自檢區域的程序,一旦執行被感染的程序,便會破壞軟件的正常功能或進行其他破壞制定相應的制度，控制軟驅、光驅和網卡等病毒程序進入系統的接ロ。對外來軟件進行先殺毒再使用,禁止使用來歷不明的軟件。蠕蟲ー種獨立式的程序,通常在網絡中復制。使用網絡實時監控系統,對發現的蠕蟲及時控制。版本升級缺陷軟件版本升級/更新后,功能調整和出現向下不兼容問題,導致系統安全脆弱性分布發生變化,使得原有安全策略/措施失效/減弱控制版本升級的途徑,對升級后的軟件進行及時掃描以發現其缺陷,并調整安全策略。缺陷指軟件開發者無意留下的缺陷或漏洞使用掃描軟件進行漏洞掃描,對所發現的漏洞及時封堵,并配備一定的工具軟件進行實時監控和審計。

網絡笹理軟件后門指在網絡管理軟件中含有的特殊代碼,一般是程序開發者有意或無意留下的,本身沒有危害,但可通過這些代碼獲得軟硬件設備的標識信息,或進入系統特權控制的信息。采用行政手段控制網絡管理軟件的來源,包括對軟件開發商的評估。逐步并提倡采用我國自主版本的網絡管理軟件。惡意代碼ー些有不良企圖的程序代碼,能夠影響網絡管理軟件的正常功能,一般包含在其他程序中如作為病毒的組成部分。制定相應的制度和策略,控制可供惡意代碼進入系統的接口（軟驅、光驅和網卡等）,防止其侵入系統。缺乏厶話鑒別機制大部分網絡管理軟件的通信會話采用極為簡單的會話鑒別機制,且使用“公共變量格式”傳輸和存儲管理信息。攻擊者一旦猜到會話ロ令,便能修改或刪除管理信息造成災難性后果。使用附加鑒別信息對通信會活進彳了鑒別和驗證;必要時采用加密技術傳輸網絡管理信息。

組件元素風險點風險描述保護措施管理者網絡管理員操作失誤由于業務素質原因或疏忽大意違反操作規程造成系統運行混亂和安全隱患。對網絡管理人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職責。蓄意破壞包括篡改系統數據、泄露信息和破壞系統的軟硬件等。制定崗位制度,相應的保密政策。依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。信息安全管理員失職由于業務素質原因或疏忽大意違反操作規程造成系統安全管理不當,不能體現本網絡業主符合國家法律、法規的最高安全利益。對信息管理人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職責。

蓄后破壞篡改系統數據、泄露信息和破壞系統的軟硬件等。制定崗位制度,相應的保密政策。依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。機要信息操作員失職創建、編輯或傳輸數據時違反操作規程導致機要信息受損或泄露對機要人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職貝。蓄意破壞包括篡改數據、泄露信息和破壞系統的軟硬件等制定崗位制度,相應的保密政策。依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。文檔管理員失職對文檔保管違反操作規程導致文檔損壞、丟失或信息泄露對文檔管理人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職責。

蓄后破壞包括篡改文檔、泄露文檔內容等制定崗位制度,相應的保密政策。依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。信息存儲介質管理員失職對存儲介質保管違反操作規程導致備份數據的存儲介質損壞或信息泄露等對介質管理人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職責。蓄意破壞包括篡改數據、泄露信息、非法復制等制定崗位制度,相應的保密政策。依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。

系統結構ノし糸風險點風險描述安全保障網絡層次結構縱向層面分級管理內聯網通過公共網絡的物理連接與公共網絡的物理連接,為從公共網絡進入內部網絡提供了直接途徑,導致外部攻擊者可以進入內部主機和資源站點。內聯網各個子網與公共網絡的連接界面處配置具有訪問控制功能的物理隔離設備。采用TCP/IP協議時內部網絡拓撲暴露問題以Internet的TCP/IP協議為基礎技術的內聯網內以IP地址為公共網絡遞交協議數據的唯一標識,因此,內部網絡的網絡拓撲實際上是暴露,這就是為外部攻擊者提供了可供攻擊使用的重要信息。使用具有NAT功能的網關設備,將跨越公共網絡連接的內部網格站點及ビ機的IP地址轉換成網關設備地址,將內部網絡拓撲隱藏起來。

安全域的管理中央一省級,省級一地級,地級ー縣級的逐級管理網絡層次模型,要求對安全域的劃分和管理有相應的策略和設備,否則內聯網不能有序、協調和安全地運行。由上至下以樹形結構劃分邏輯網絡,分別由上級機構以密鑰管理體系和訪問控制管理策略為制約條件逐級確定內聯網安全域、子域及其關聯性。與公共網絡的物理連內聯網各個子網與橫向通過公接,為從公共網絡進入公共網絡的連接界層而共網絡內部網絡提供了直接面處配置具有邏輯內聯的物理途徑,導致外部攻擊者訪問捽制功能的物網連接可以進入內部主機和理隔離設備。資源站點。

采用TCP/IP協議時內部網絡拓撲暴露問題以Internet的TCP/IP協議為基礎技術的內聯網內以IP地址為公共網絡遞交協議數據的唯一標識,因此,內部網絡的網絡拓撲實際上是暴露,這就是為外部攻擊者提供了可供攻擊使用的重要信息。使用具有NAT功能的網關設備,將跨越公共網絡連接的內部網格站點及ビ機的IP地址轉換成網關設備地址,將內部網絡拓撲隱藏起來。安全域的管理橫向層次內聯網為同ー行政級別機構各子網的集合,各個業務部門及其業務信息對安全等級的要求差別很大,安全域的管理不當會造成系統運行無序和安全隱患。上一層信息安全機構依次為下ー層內聯網制定安全策略并確定安全域、子網及其相關性。中央ー層內聯網的安全域、子域及其關聯性由中央黨政信息系統安全機構制定。

系統結構~■*兒糸風險點風險描述安全保障局域網結構同一建筑物內單一局域網內部資源（群）信息系統與用戶信息系統混雜資源信息系統與用戶信息系統混雜可造成系統運行混亂并衍生出相關的安全問題;涉密信息系統與非涉密信息系統混雜必然導致運行安全和管理安全問題。利用VLAN技術將內部資源（群）信息系統和用戶信息系統劃分成邏輯子網,實現邏輯隔離;將涉密信息單獨組成網段或子網并與其它非涉密系統隔離。局域網內子網Z間的直接物理連接局域網內各物理/邏輯子網之間存在著安全策略的差異,直接連接可導致非授權訪問和非法入侵。必要時局域網內部各子網之間進行物理隔離和邏輯隔離。

相鄰建筑物之間構成局域網內部資源（群）信息系統與用戶信息系統混雜資源信息系統與用戶信息系統混雜可造成系統運行混亂并衍生出相關的安全問題;涉密信息系統與非涉密信息系統混雜必然導致運行安全和管理安全問題。利用VLAN技術將內部資源（群）信息系統和用戶信息系統劃分成邏輯子網,實現邏輯隔離;將涉密信息單獨組成網段或子網并與其它非涉密系統隔離。局域網內子網之間的直接物理連接局域網內各物理/邏輯子網之間存在著安全策略的差異,直接連接可導致非授權訪問和非法入侵。必要時局域網內部各子網之間進行物理隔離和邏輯隔離。建筑物之間的戶外連接戶外物理連接可能被搭線竊聽和電磁輻射偵測。采用密碼技術保護涉密信息的戶外傳輸

利用廣域網技術連接的網絡內部資源（群）信息系統與用戶信息系統混雜資源信息系統與用戶信息系統混雜可造成系統運行混亂并衍生出相關的安全問題;涉密信息系統與非涉密信息系統混雜必然導致運行安全和管理安全問題。利用VLAN技術將內部資源（群）信息系統和用戶信息系統劃分成邏輯子網,實現邏輯隔離;將涉密信息單獨組成網段或子網并與其它非涉密系統隔離。跨地域的廣域網連接來自與公共通信設施連接的外部網絡可通過廣域網連接進入內部局域網。采用TCP/IP協議連接的,在連接界面配置具有NAT功能的防火墻;利用非IP協議連接的,可進行“非!P—IP”轉換后配置防火墻,也リ利用專用協議在連接兩端強化鑒別機制。

系統結構元素風險點風險描述安全保障信息傳遞結構在安全域內或跨域傳遞同一安全域內自上逐級或多級向下或相反方向傳遞的敏感信息需穿過公共網絡通過公共網絡交換的協議數據包可能遭受搭線、輻射偵測和網絡工具探測,導致信息完整性、機密性的破壞。采用密碼技術對敏感信息進行穿越公共網絡的加密傳輸;采用鑒別技術對信息在傳輸中進行完整性保護。同一安全域內具有若干安全等級和安全策略不同的子域不同安全子域之間信息傳遞風險,可導致低密級子域接受高密級域信息;保護高密級信息的密碼技術及其設備被用于保護低密級信息。嚴格按信息安全需求劃分信息密級等級,并以此嚴格確定安全子域和安全策略,并配置相應的安全設備。

同一安全域內,不同子域之間和跨域與另ー個子域之間的橫向信息傳遞跨域或子域的子網之間的橫向信息傳遞,可導致直接經由該城區ISP進行,從而旁通安全策略的控制。安全策略的制定必須堅持跨域或子域進行的橫向信息傳遞,必須經由兩個通信子網共同相交的安全域網關轉發。與Internet之間傳遞各級政府向社會公開的信息發布以Web形式向社會發布的網絡信息,可能招致敵對勢カ對發布信息的完整性破壞以及攻擊信息發布系統本身。在內部網絡與Internet之間配置防火墻子網,將信息發布系統置于防火墻子網的非軍事區內,并定期更新發布系統,委派專人負責系統監控和維護。

黨政機關工作人員通過Internet瀏覽和下載信息瀏覽和下載非許可信息,將病毒等惡意代碼帶入內部網絡系統因公需要進行!nternet瀏覽和下載信息的瀏覽器,必須與黨政機關信息系統實行物理或邏輯隔離,必要時實行物理連接的斷開。下載信息必須先進行病毒掃描,再存入磁盤。電子郵件交換將未授權信息通過電子郵件泄露和利用電子郵件開展與本職工作不相稱的信息交換;外部攻擊者利用郵件炸彈等方式進行攻擊,使得郵件服務器正常服務中斷。將電子郵件服務器置于防火墻子網中的非軍事區,或置于內部網絡中的代理服務器中;所有電子郵件均需經過信息檢查系統的審查才能轉發。

系統結構元素風險點風險描述安全保障信息存取方式主機方式戶外連接存取搭線竊聽,輻射偵聽。戶外連接的介質采取電磁屏蔽;涉密信息采用加密技術存取。C/S方式客戶身份確認客戶機身份識別標志及口令、帳戶信息泄露導致非授權存取和行為后抵賴。強化客戶身份標識、U令及帳戶等信息的管理（包括禁止使用權轉讓）,增加抗抵賴促使措施。通過公網存取通過公網的存取信息可被竊取和偵聽。采用傳輸介質屏蔽措施,涉密信息采用加密技術存取。B/S方式Web服務器與信為服務器供連接Web服務器與信息服務器直接連接可導致對信息服務器的入侵攻擊。Web服務器與信息服務器之間實行隔離,阻斷外部攻擊者與信息服務器的直接接觸。

Web服務器對用戶的控制Web服務器對用戶無控制措施可導致運行無序和非授權訪問。Web服務器中建立完善的訪問控制機制,并有完善的口令、計帳和審計功能。

系統功能元素風險點風險描述保護措施基礎功能信息生成信息在本地生成并存儲信息在本地生成時,源數據及其載體的提供與轉移中的管理缺陷導致源數據丟失、泄露;數據錄入時可能產生擊鍵電脈沖輻射和電子顯示輻射,導致電磁輻射;信息生成后的存儲與備份管理缺陷,導致有用信息的泄露、丟失和永久性不可恢復。制定嚴格規范的信息源、數據及其載體的提供與轉移管理規程,以防止提供給未授權者或中途丟失、損壞;對錄入設備和回顯設備采用防輻射措施,防止輻射信息擴散到未授權者可以偵測的范圍；制定嚴格規范的信息存儲和備份管理規程,既能防止信息的泄露、丟失,又能保證災難可恢復。生成后的涉密信息予以加密存儲。

信息在遠程錄入,本地生成并存儲信息源數據由遠程提供并錄入,可能導致源數據丟失、泄露;數據錄入時可能產生擊鍵電脈沖輻射和電子顯示輻射,導致電磁輻射;信息生成后的存儲與備份管理缺陷,導致有用信息的泄露、丟失和永久性不可恢復；錄入信息通過遠程傳輸到達本地,導致傳輸過程的信息泄露、竊聽和篡改。制定嚴格規范的信息源、數據及其載體的提供與轉移管理規程,以防止提供給未授權者或中途丟失、損壞;對錄入設備和回顯設備采用防輻射措施,防止輻射信息擴散到未授權者可以偵測的范圍；制定嚴格規范的信息存儲和備份管理規程,既能防止信息的泄露、丟失,又能保證災難可恢復；錄入信息由遠程到本地的傳輸應予加密并有鑒別措施,以保證錄入信息在傳輸過程中的完整性和機密性。生成后的涉密信息予以加密存儲。

信息處理信息生成后,在機內和網絡內的處理未授權者對信息進行處理,直接危及信息的完整性、機密性和可用性,并可導致信息泄露、丟失和被破壞。嚴格禁止未授權者進入信息處理系統和應用程序;嚴格禁止將信息處理特權提供、泄露給未授權者。イ:；息傳輸局域網內的信息傳輸信息在局域網內的傳輸可導致信息泄露和未授權者使用機密信息,低等級授權者存取高等級機密信息等。在信息資源服務器（群）或子網與用戶（群）之間配置訪問控制設備或代理服務器;嚴格地實施信息存取的操作權限管理。

系統功能元素風險點風險描述保護措施內聯網內部子網之內聯間的信息傳輸,由于內聯網內部子網之內聯間的信息傳輸,由于網內跨越公共網絡進行,信息將導致信息電磁泄傳輸露、搭線竊聽、網絡探測和直接破壞。采用對傳輸信息加密的密碼技術,使跨越公共網絡的傳輸信息對未授權者和攻擊者不可閱讀和理解,從而阻塞對信息進行直接攻擊的途徑,確保信息的完整性、機密性和可用性。基礎功能信息傳輸內聯網之間信息傳輸內聯網及其子網之間的信息傳輸,由于跨越公共網絡進行,將導致信息電磁泄露、搭線竊聽、網絡探測和直接破壞:內聯網之間存在安全策略的差異,安全域管理缺陷將導致信息傳輸混亂和未授權使用信息等安全隱患采用對傳輸信息加密的密碼技術,使跨越公共網絡的傳輸信息對未授權者和攻擊者不可閱讀和理解,從而阻塞對信息進行直接攻擊的途徑,確保信息的完整性、機密性和可用性;必須按安全策略和密鑰管理體制的約朿,科學進行安全域的管理。與Internet之間信息傳輸以Web形式向社會發布的網絡信息,可能招致攻擊者對發布信息的完整性破壞以及攻擊信息發布系統本身。在內部網絡與Internet之間配置防火墻子網,將信息發布系統置于防火墻子網的非軍事區內,并定期更新發布系統,委派專人負責系統監控和維護。

信息存儲存儲介質保存數據的介質如硬盤、磁盤、光盤、磁帶、錄象帶超過使用生命期或者未定期進行信息更新,導致數據可用性喪失;存儲介質由于保管不當,導致發霉'變形、劃傷或強磁場干擾等造成數據丟失和不可恢復:廢棄存儲介質處理不徹底,攻擊者可以利用一定技術恢復殘留信息,造成信息泄露。妥為保存存儲介質,定期檢查并更換介質重新備份;保存場所滿足適當的溫度、濕度,防磁、防盜要求,對丟棄的存儲介質如光盤、磁盤、磁帶等應集中處理,由兩個或兩個以上的責任人徹底銷毀。

信息介質存儲保管對存儲介質保管違反操作規程導致備份數據的存儲介質損壞或信息泄露等,包括篡改數據、泄露信息、非法復制、失竊等。對介質保管人員進行業務和職業道德培訓,并制定相應的崗位制度,明確崗位職責和相應的保密規定,并依據國家有關法律、法規和管理規定對違反規定者作出相應的懲罰,嚴重者依法判罪。信息備份信.息沒有備份,仔致災難和損害后永久性丟失;備份保管場地集中,導致災難和損害后永久性丟失:備份過多,導致信息丟失和泄露。必須根據信息的使用情況作適當備份。信息備份不得集中保管在ー個場所；備份信息必須有嚴格存取、調用和信息信號更新的管理規程。3安全需求眾所周知,隨著的應用范圍的逐步擴大,信息系統的重要性也隨著明顯的增加。要解決信息系統的安全問題,就要知道信息系統對安全有那些需求。安全需求是多方面的,一般而言,安全需求分為兩種,一種是用戶的非專業的安全需求。這種用戶的需求有很強的實踐性,它是用戶從非專業的角度提出的安全需求。但是,用戶提出的安全需求是很不規范的,為此安全設計者應當從專業的角度出發進行安全需求分析,得到ー個專業的安全需求,這個安全需求必須征得用戶的認可,最后變成該的安全需求作為系統安全設計的依據。籠統地講,ー個信息系統的安全需求要從以下幾個方面考慮:與環境相關的安全需求分析（如應用系統出入口、場地設施、網絡互聯、門控系統、設備安全等安全要求分析）。與功能相關的安全需求分析（如系統的保密性、數據備份、病毒防范、入侵檢測、監控、災難恢復等安全需求分析）。與性能相關的安全需求分析（如系統的可靠性、完整性、可用性、可控性、可審查性等安全需求分析）。與服務相關的安全需求分析（如應用系統的不可抵賴性、數字簽名、授權、鑒別、CA等安全需求分析）。5）與管理相關的安全需求分析（如開發工具、管理工具、系統內外人員安全管理、系統內外信息交換安全管理、安全管理機構等的安全需求分析）。6）與系統相關的安全需求分析（操作系統安全、數據庫安全）2.4安全策略的制定安全策略是ー套規則,這套規則用來限制由一組或多組元素組成的ー組或多組與安全相關的行為。該框架的每一部分都包括了對每ー安全業務的安全策略形式的描述。在分布式系統中,安全策略不需要應用到所有行為或所有元素之中。也就是說,使用安全策略時必須包括該安全策略應用于哪個行為和哪個元素的定義。每一安全業務的規則來源于該安全策略。該框架的每一部分包括了對每ー種機制的這些規則的描述。其中,在系統的發展過程當中以及不同安全域之間的交互行為中安全策略的規則應仍保持有效。安全策略定義了以下三個方面:第一是該域中安全的含義;第二是規則,通過應用這些規則可以獲得安全權威機構認為滿意的安全;第三是安全策略應用的行為。安全策略也可以定義適用于其他一般安全域和特殊安全域的規則。安全策略的一般介紹:1) 信息安全策略要明確幾個概念;所有主要的信息資產都有一個確定的擁有者。根據信息的法律責任、價值、總體策略和商務需求,信息的擁有者將其擁有的信息定為各種敏感等級中的ー種。信息的擁有者要確定誰可以訪問這些數據。信息的擁有者要對這些數據負責,根據其敏感程度進行適當的加密保護。信息的分類:公開或非保密信息內部信息機密信息根據信息的敏感等級,信息在存儲、傳輸和處理過程中要進行適當的保護（如加密存儲,加密傳輸等）2）人員安全策略人員的安全策略將包括如下幾個方面:公共道德:如用戶不能共享一個帳號和口令、濫用系統資源、下載PC的數據、拷貝無許可證的軟件等。ロ令策略：口令的產生、使用都要有嚴格的規定通用軟件策略:通用軟件的使用也要有明確的規定網絡：在網上傳送機密數據時,要進行加密傳輸、用戶不能與和其有關系的局域網以外的任何機器相連、允許撥號入網,但是必須以安全的手段接入。因特網:與因特網相連是當今商業環境下必然發生的事情,因此,必須盡量避免由于和因特網相連而產生的威脅便攜式計算機和筆記本電腦:便攜式計算機和筆記本電腦為移動辦公創造了很好條件,但是從安全的觀點看必須制定相應的安全策略來避免受到攻擊。計算機和網絡策略系統管理策略:系統的管理保證了系統的正常エ作,使得機密信息只有那些授權的訪問者能夠得至リ,使得信息不被改變。系統管理策略包括:物理安全、訪問控制、登錄策略、保證、責任和審計以及服務的可靠性。網絡策略：計算機之間傳送信息可以造成很大的安全威脅,因此,網絡策略的制定就非常重要。它包括：網絡/分布式系統策略、撥入訪問、撥出(PSTN/ISDN),因特網防火墻、與其它網的接口、事件響應程序。軟件開發策略:安全將作為新的系統的一部分。當設計出系統的功能要求時,安全要求與系統要處理的數據的敏感性和可用性形成明顯的對應。業務連續性規劃重要業務過程的連續性由災難規劃和信息分類來保證。2.5安全建設原則信息系統安全建設必然要按照一定的原則進行。這些原則必須與的實際情況相結合與有關的準則、標準、慣例和機制相匹配。顯然,不同的信息系統有著不同的安全建設原則,也有不同的重點。這里,我們介紹《公認的系統安全準則》(GASSP),播于1990年美國國家研究委員會的研究報告《風險中的計算機》中的一個建議。由10個國家的41名代表組成的GASSP委員會經過反復討論和修改,于1999年6月發布的2.0版本。該版本介紹了在設計、開發、生產和應用時所應遵循的安全原則。系統安全準則分為三類:普遍性安全原則功能廣泛安全原則具體化安全原則普遍性原則涉及信息的以下屬性:保密性完整性可用性可控性可審查性和不可否認性只能由經授權的人員、實體和進程在授權的時間內,以授權的方式揭示開來的信息特性。信息的精確性和完全性以及保持精確性和完全性的特性信息和支持能被適時地以所要求的方式訪問和可用的特性負責原則:必須明確定義和確認信息安全的義務和責任責任表征對交互信息的所有團體和進程行為的審查能力。作用和責任應被明確地定義和查驗,并與信息的敏感性和關鍵性相對應,然后恰如其分地授權。所有團體、進程和信息之間的關系必須明確定義、歸檔并讓所有團體了解。所有團體有責任保持他們的可審計性。所有的用戶,包括但并不限于信息擁有者和信息安全從業人員都必須知道:應該了解已用的或可用的信息和安全的準則、標準或機制。他們還應該知道對信息安全的可能威脅。基本原理:本原則用于各種組織機構之間和內部。了解信息安全準則、標準、慣例和機制可增強控制并使控制得以實施,也有助于緩解威脅。知曉威脅及其危害會增加用戶對信息控制的承受能力。如果用戶對特殊的信息控制必要性沒有認識,就會疏忽、回避現有的信息控制機制或使其失去作用而造成對信息的威脅。授權和非授權部門都適用通曉原則。應以道德來規范信息的利用和信息安全的管理基本原理:普及社會和文化的各個領域。和信息安全要配置得體、利用得宜,舊需要有一些規矩和期待,信息和的利用應該匹配于社會規范和社會公德建立起來的期盼。和安全方面的原則、標準、信息慣例和機制應該考慮和顧及方方面面的用戶。基本原理:信息安全是信息擁有者、用戶、管理人員和信息安全人員共同努力取得的綜合成果。適當兼顧所有有關方面的利益及其技術能力,可以提高信息安全性,有更好的公認性。信息安全的控制程度應該與信息篡改、使用拒絕和信息泄露的風險大小成正比關系。對信息安全的控制應該配比于信息資產的價值及其脆弱性。必須考慮信息的價值、敏感性和重要性,顧及信息的直接或間接的損傷或丟失的可能性的頻度及其嚴重性。本原則承認信息安全從預防保護到認可接受的各種方法的價值。信息安全的原則、標準、慣例和機制應彼此協調和綜合,也應該跟組織機構的策略協調,以形成和維護整個的安全。許多信息安全漏洞不止涉及ー種安全保護。最有效的控制措施就是綜合控制系統的各個組成部分。如果對組織機構系統的控制以及在生命期內對信息能很好的規劃、管理、協調,那么信息安全就是最見效的。所有的責任部門應及時的以協調的方式防止信息和出現漏洞和安全性威脅或對其做出響應。機構應能迅速進行協調,使威脅得以預防或緩解。本原則需要公司的部門共同建立起迅速、高效地報告和處理威脅事件的機制和程序。更多了解威脅歷史,有助于對威脅事件作出高效響應,也有助于防止將來事件的發生。應周期性地評估對信息和的威脅.信息和對其安全性要求隨時間的流逝而不斷改變著。安全風險對信息本身、對其價值、直接或間接破壞/損失的可能性以及這種可能性出現的頻度和嚴重程度都應該進行周期性評估。周期性評估要測定已用上的安全措施及其控制與上述風險的差距,還要評定這些差距帶來的（新的）安全風險。周期性評估使責任部門能作出正確的信息風險管理決策。▼的重大改變▼信息本身或其自身價值的重大改變▼技術上的重大改變▼威脅或脆弱性有重大改變▼現有安全保護措施的重大改變▼用戶環境的重大改變▼潛在的損失有重大變化▼機構/企業有重大變化▼上次評估已到期管理部門在制定政策時,在選擇、實施和強制執行信息安全措施過程中,應尊重個人的權利和尊嚴。組織機構在使命目標的合法范圍內實施信息安全措施時不應侵害信息的合法用戶、信息所有者和其他受影響的團體。功能廣泛原則從表示信息安全目標概念的普遍性原則中派生而來.它在范圍上要窄ー些,所以更易于用計劃的實施來解釋。管理部門應確保策略、所支持的標準、目標、過程和指南必須原原本本地顯示出信息安全的所有原貌。這樣的指南必須分清職責、自由決策選擇度和每個個人或機構實體所允許承擔的風險程度。為了始終確保信息資產按其價值及相關風險來衡量是高效安全的,管理部門必須明確表達安全策略和有關期望值。如果不明確,將會造成某些資源的安全不足,而另外一些將過分安全,即安全不高效。重要的是責任機構要建立、堅持和發布層次清晰的策略、支持標準、目標、過程和指南（包括權利和責任）。討論機構擁有或負責的資產ー支持信息技術的資源的安全性也是必要的。策略應反映信息資產擁有者的任務狀態也包括信息資產的保密性、可用性和完整性對于資產擁有者和其他有關團體的價值。策略還必須反映機構的任務狀態的變化、技術進步以及和其它未被認識或無法稱呼的可能損害信息安全的威脅的變化。圍繞機構的信息資產或其負責的資產安全,進而開發層次鮮明的策略體系,確保信息擁有者、用戶、管理者和信息安全官員在高效保護信息資產方面能有明確的指導。策略研究和開發,那么信息擁有者、用戶、管理者和信息安沒有對信息資產或對其負責的信息資產的安全性作明晰的全官員就沒有明確的指導來確保信息資源的有效安全和高效安全。缺乏必要的策略指導將導致機構的信息資源遭遇很大風險,并且對于機構和其它相關部門來說有增加不可接受的損失、法律責任或受到傷害的可能性。缺乏必要的策略還將可能導致管理上在調整或補救的選擇方面的損失。管理部門應向所有員エ傳達信息安全策略,并確保所有人對此都有一定的了解.教育應包括標準、目標、程序、指南、責任、相關的強制性措施以及不尊重這些所產生的后果。為確保所有員エ都了解信息安全策略,管理部門必須有效并定期傳達他們的要求。若員エ沒有達到管理部門的要求,通常是管理部門蔬于宣傳或宣傳不到位所致而不是員エ的不良動機或非法目的造成的。沒有對所有部門經常有效地宣傳信息安全策略、標準、目標、程序、指南、責任、相關強制性措施以及不遵從的后果,將會導致部門無意識地違反信息安全策略。蔬于宣傳信息安全策略還可能削弱強制措施執行的能力、起訴犯罪行為的能力或成功尋求民事經濟賠償能力。管理部門應使所有部門對訪問信息和利用信息負責,例如對添加、修改、復制、刪除信息以及維持信息技術資源的原版都要負責任。必須對所有的重要事件把日期、時間和責任信息附在個人行為中去。為確保人們的舉止如所希望的那樣,就必須知道誰干了什么,什么時候干的。各個機構建立并保持對信息資產的基本控制是必不可少的。這種控制要求個人和機構各自對自己的行為負責。責任的概念是指能被所有相關部門或實體接受的職務行為。有意讓所有部門具有責任感,能保證信息資源的任何利用或對它的任何舉動以及對信息技術資源的支持都將僅僅是為了授權的公務/任務目的而已,并且這種利用或行為都能被可靠跟蹤,從而可查出具體的責任部門。管理部門應對信息資源定期編目歸類和評估,定出其敏感級和安危臨界級.信息作為一種資產必須被唯一地鑒別并與它所定的級別相對應.為有效地管理信息資產,管理部門必須知道哪些資產是需要保護的。為使信息能被有效管理,重要的是鑒別和列出作為