...wd......wd......wd...信息系統安全風險評估總結報告文檔信息文檔名稱xxxxxx信息系統安全風險評估總結報告保密級別商密文檔版本編號1.0文檔管理編號XJAIR-PGBG管理人xxxxxx信息部起草人制作日期200復審人評估工作領導小組風險評估專家咨詢小組復審日期2005/06/擴散范圍xxxxxx風險評估工程組，風險評估專家咨詢小組，xxxxxx信息部文檔說明本文檔為xxxxxx信息系統安全風險評估總結報告，包括風險評估概述、風險評估方法、系統特征描述、風險分析和風險控制幾個局部。版權聲明本文件中出現的任何文字表達、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬xxxxxx監理公司所有，受到有關產權及版權法保護。任何個人、機構未經xxxxxx監理公司的書面授權許可，不得以任何方式復制或引用本文件的任何片斷。前言2003年中共中央辦公廳、國務院辦公廳下發了?國家信息化領導小組關于加強信息安全保障工作的意見?(中辦發[2003]27號)，即27號文件，文件指出：“為了進一步提高信息安全保障工作的能力和水平，……要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進展分析評估，綜合考慮網絡與信息系統的重要性、涉密程度和面臨的信息安全風險等因素，進展相應等級的安全建設和管理。〞為加強信息安全保障工作，開展重要行業信息系統的安全風險評估工作指明了方向。金融、電信和民航一向被認為是我國信息化程度最高的三大行業，也是信息化手段更新最快、對信息技術依賴性最強的行業。安全生產是民航運輸業的重中之重，但是由于信息安全保障缺乏，2003年7月，某機場的計算機網絡系統突然癱瘓，一時間，所有飛機無法起降，大量乘客被困機場，嚴重影響機場的正常運營，并造成了巨大的損失。而在不久之后，某大型民航機場的信息系統又突然出現問題，所幸幾分鐘后機場備用系統成功地接替了工作，順利化險為夷。這些例子說明，當前民航網絡和信息安全形勢不容樂觀，重要的網絡和信息系統缺乏必要的安全防范手段，這同樣也成為了民航信息化建設的隱患。值得一提的是，和國外相比，信息網絡安全在國內的信息系統建設過程中所受到的重視程度往往不夠，投資所占的比例明顯偏低。也許這正是我國信息系統安全的隱憂所在。目前，銀行、電力、鐵路、民航、證券、保險、海關、稅務已經被列入與國計民生密切相關的八大重點行業之中，其信息安全保障工作受到國信辦的高度重視。xxxxxx致力于信息系統建設近十年，期間信息系統經歷了屢次的升級改造，同時在信息系統的建設過程中，航空公司也經歷了重大的機構調整，實行了機場、民航管理局和航空公司的別離，成立了xxxxxx集團xx分公司，并形成了xxxxxx獨立的網絡系統。在信息系統建設形成一定規模、網絡系統經過重大調整的情況下，xxxxxx部適時提出了進展“信息系統安全風險評估〞這一具有前瞻性、建設性的要求，請第三方機構對信息系統的安全管理、網絡通訊、應用系統進展全面的安全風險評估。本報告是整個評估工作的總結性報告，綜合分析了xxxxxx系統的特征、面臨的安全威脅、系統存在的脆弱性以及威脅利用脆弱性可能對系統造成的風險，描述了針對脆弱性提出的信息安全風險控制建議。評估過程及詳細的測試分析內容分別表達在本報告的附件-01到附件-18。目錄TOC\o"1-2"\h\z\u第一局部概述41.1風險評估的背景41.2風險評估工程組41.3風險評估的目的61.4風險評估的依據7第二局部風險評估方法72.1風險評估流程72.2風險評估的結果文檔92.3風險評估的現場測試102.4風險評估的分析方法11第三局部系統特征描述123.1系統定位123.2網絡拓撲構造123.3現行系統的安全策略133.4信息資產識別和定義15第四局部風險分析174.1威脅識別174.2脆弱性識別204.3信息安全風險分析24第五局部風險控制265.1評估結果分析265.2風險控制建議275.3風險控制措施實施建議28附表1xxxxxx信息系統安全保護等級符合情況對照表28附表2xxxxxx信息系統安全風險評估技術文檔交接單28第一局部概述1.1風險評估的背景xxxxxx是xxxxxx股份公司的成員單位之一，是國有大型航空運輸企業，開辟有50多條國內航線和多條國際航線?，F已形成以xxxx為中心的樞紐-輻射式營運網。xxxxxx信息系統建設開場于1995年，經過1996年〔原〕辦公樓綜合布線、1997-1998年建設了覆蓋五個相關辦公樓的局域網及這五個辦公大樓內部的綜合布線、1999年建設INTERNET出口、2000年啟用公司新辦公樓，2000-2001年通過光纜連接了七個主要業務樓，形成了以公司辦公樓為核心覆蓋全公司的主干網，目前公司與管理局別離，形成了公司獨立的局域網。信息化綜合管理機構設置了信息部，目前信息部已有技術人員二十一人，形成了一支信息系統軟件開發、系統管理、日常維護的專業隊伍。在xxxxxx網絡中，目前有二十幾個應用系統在運行。可以說，信息系統已經是航空公司日常工作不可缺少的工具和手段，信息系統的安全穩定運行，直接關系到生產和管理一線業務的正常運轉，也間接影響到航空公司社會形象及信譽度等無形資產。目前xxxxxx系統雖然仍保持著正常運行的狀態，但整個系統運行中存在哪些風險，安全管理中存在哪些漏洞，針對這些問題應該采取什么措施，這都需要進展更高層次的評估與檢測。因此，經過在近十年信息系統的建設，對信息網絡系統做一次全面的安全風險評估，找出系統漏洞，進展風險控制，防患于未然，保證系統穩定運行，是管理人員在兩年前就醞釀的一項工作，希望通過風險評估，找出整個系統運行中存在的風險，評價信息系統建設的效果，并針對存在的問題提出解決方案，為今后xxxxxx化的進一步開展提供參考依據。1.2風險評估工程組本次風險評估工程由多方共同組建工程組，工程委托單位為xxxxxx，工程組織單位為xxxxxx監理公司，參加單位有xx質量技術監視局、xx大學現代教育中心、中國科學院xx理化所等。安全評估領導小組組成如下：分組姓名職務/職稱工作單位工作職責領導小組總經理組長/組織協調總工副組長/技術負責部長協調管理副部長協調管理主任/教授應用系統組組長總監網絡通訊組組長安全評估小組組成如下：分組姓名職務/職稱工作單位工作職責應用系統小組主任/教授應用系統組組長計算機碩士副組長主任副組長監理工程師成員工程師成員網絡通訊小組網絡總監組長副主任副組長副主任成員高級程序員流量分析與系統測試計算機碩士成員助理工程師成員助理工程師成員安全管理小組副研究員xxxxxx監理公司組長副主任xxxxxx信息部運行室副組長助理工程師xxxxxx信息部運行室成員監理工程師xxxxxx監理公司成員為了保證評估工作的質量，工程組還聘請了以下專家組成本工程的專家咨詢組：分組姓名工作單位職務/職稱聯系專家咨詢組副主任/教授主任副所長/研究員副處長教授CCIE副主任副主任1.3風險評估的目的風險分析與評估作為一種重要的信息安全工程技術方法，其目的是幫助相關人員明確信息系統對于用戶的作用、價值大小，明確信息系統故障、安全事故可能對用戶造成的影響。風險分析與評估的結果是信息安全方面投資、決策的依據，同時也是評估投資效果的重要手段和依據。風險分析與評估最重要的成果就是目前系統的風險大小，以及相應的降低風險的安全措施部署策略建議。本次風險評估的主要目標就是要幫助用戶確定信息系統的安全風險，通過這次風險評估，可以全面了解當前xxxxxx系統的安全狀況，分析系統所面臨的各種風險，根據評估結果發現信息系統存在的安全問題，并對嚴重的問題提出相應的風險控制策略，通過信息安全相關系統工程的實施，使信息系統的安全風險降到用戶可以承受的范圍內。1.4風險評估的依據信息安全是信息技術開展過程中提出的課題，是一個與時俱進的概念，評價標準隨時代及信息技術的開展而變化?？梢哉f所有與IT相關的標準都是我們評估的依據，通用的主要依據和國際、國內、行業標準有：信息系統安全評估合同書中辦發[2003]27號文件?國家信息化領導小組關于加強信息安全保障工作的意見?GB/T18336-2001?信息技術安全技術信息技術安全性評估準那么?〔CC〕ISO17799:2000?基于風險管理的信息安全管理體系?ISO13335信息技術安全技術信息技術安全管理指南GA/T378~391-2002計算機信息系統安全等級保護技術要求系列標準美國標準與技術研究院開發的?信息技術系統的風險管理指南?GB/T××××信息安全風險評估指南〔報批稿〕微軟安全風險管理指南相關各方達成的協議第二局部風險評估方法2.1風險評估流程本次風險評估的過程從組織管理的角度可以分為五個階段，而從技術分析的角度可以分為九個步驟，五個階段和九個步驟及其相互之間的關系可以用圖3-1表示。圖3-1對風險評估的每個階段所要完成的工作做出了清晰的描述，在風險評估的五個階段中，業務調研的目的是為了準確地對系統的特征進展描述，從而界定信息系統安全評估的邊界，為信息資產定義提供第一手資料；而現場測試那么為系統漏洞的檢測分析提供了依據。圖3-1信息安全風險評估過程及步驟風險評估的技術分析的九個步驟是和評估各個階段的工作嚴密結合的，從業務調研階段開場進入技術分析的步驟。系統特征描述是在對信息系統軟、硬件構造、系統接口、系統任務、系統信息以及人員情況進展充分了解的根基上，對信息系統功能、邊界的描述和對關鍵信息資產的定義；在系統特征描述過程中，對系統面臨的威脅、系統存在的弱點、目前已經采取的控制措施進展初步的了解，在現場測試階段，通過現場測試、實地堪查、座談討論等方式，進一步了解系統特征，掌握信息系統在采取了一系列控制措施后，仍然存在的各種弱點；在綜合評估階段，具體分析信息系統的潛在威脅，系統存在的弱點，這些弱點被威脅利用后可能產生的風險以及這些風險對系統的實際影響的大小等，最后安全風險評估小組根據業務調研、現場測試以及系統特征分析的結果確定各類風險的大小，提出風險控制建議，直至最后形成結果文檔。2.2風險評估的結果文檔在整個風險評估的過程中，我們按照這五個階段的順序組織管理整個評估工作，而且每個階段的工作都有詳細的文字記載，評估工作產生的文檔包括：文檔名稱隸屬階段隸屬步驟xxxxxx系統安全風險評估方案評估準備階段xxxxxx安全風險評估實施方案xxxxxx安全風險評估調查提綱信息安全風險評估調查反響表業務調研階段系統特征描述xxxxxx化現狀介紹xxxxxx系統管理規章制度系統特征分析報告資產定義階段信息系統安全現場測試方案現場測試階段威脅識別脆弱性識別控制分析影響分析可能性分析風險確定信息系統安全現場測試記錄表系統及數據庫漏洞檢測報告網絡通信漏洞檢測報告網絡通信性能檢測報告安全管理風險評估報告綜合評估階段網絡與通訊風險評估報告應用系統風險評估報告xxxxxx系統安全風險評估報告信息安全管理機制風險控制建議書控制建議信息系統安全風險控制建議書信息系統安全風險控制措施實施方案以上所有文檔均作為結果文檔提交給xxxxxx信息部〔?技術文檔交接單?見附表2〕，這些文檔既是對本次評估工作的總結，也是本次評估工作的成果，可以作為xxxxxx安全方面投資、決策的依據；也是今后進展動態信息安全評估的參考資料?？梢钥闯?，風險評估的整個過程都是在充分的信息收集、調查研究的根基上進展的，信息收集的工作貫穿于評估工作的始終。因此其結果可以客觀地反映被評估系統存在的安全風險，使xxxxxx可以及時采取相應的措施，防患于未然。2.3風險評估的現場測試根據安全風險評估方案的安排，本次安全評估的現行信息安全狀況的現場測試工作由“網絡通信〞、“應用系統〞兩個小組承擔，現場測試采用自動化弱點掃描工具、人工測量分析、分析儀器測試、現場勘察、上機操作、對照標準進展分析評價等方法對評估對象進展測試?！鞍踩芾悫曅〗M根據前期調研結果進展了現場訪談，進一步了解信息安全管理方面存在的問題。在測試之前各小組均根據本組的測試任務制定了詳細的測試方案〔具體內容見xxxxxx系統現場測試方案〕，并經過安全評估領導小組組織的討論審查。在整個評估過程中，現場測試工作為風險評估提供了大量的原始資料，是評估工作不可缺少的組成局部。關于各小組詳細的測試范圍、測試依據、測試方法及測試步驟等內容見各小組的測試方案〔附件-06〕、現場測試表〔附件-07〕及測試報告〔附件-08、09、10〕?，F場測試的調查對象包括：網絡信現場測試：現場測試的物理環境包括位于機關辦公大樓的信息中心機房，維修基地機房和飛行部機房三個物理位置，直接調查對象為xxxxxx的關鍵網絡通信設備〔包括核心交換機、遠程接入路由器、所有二級接入網絡設備等〕及信息中心安全設備，并且對網絡性能進展了測試。應用系統現場測試：測試對象為xxxxxx系統的數據庫服務器和應用服務器。應用系統測試主要在xxxxxx中心機房內進展。使用機房內的PC機，安裝掃描軟件或直接登錄到相應的服務器上，對服務器及數據庫的配置情況進展檢查，對照漏洞，發現安全隱患。信息安全管理機制：參照GA/T391-2002?計算機信息系統等級保護管理技術要求?中相關內容，及調研階段收集的xxxxxx安全管理規章制度，采取進展現場訪談的方式，對安全管理機制的健全性進展進一步的驗證。調查對象包括：安全管理組織、人員管理、安全管理制度、備份恢復機制、應急響應機制。2.4風險評估的分析方法本次評估采用了以以下圖所示的風險評估模型：在風險評估模型中，主要包含信息資產、弱點、威脅、影響和風險五個要素。每個要素各自有一個或兩個屬性，信息資產的屬性是資產價值，弱點的屬性是被威脅利用的難易程度、威脅的屬性是威脅的可能性、影響的屬性是嚴重性，風險的兩個屬性風險的后果和風險的可能性。其中資產價值和影響的嚴重性構成風險的后果，弱點被威脅利用的難易程度和威脅的可能性構成風險的可能性，風險的后果和風險的可能性構成風險。本次評估，我們采用了定性與半定量相結合的風險分析方法，通過調查、測試等手段了解信息系統的潛在威脅、脆弱性及其對關鍵資產可能產生的影響，從而確定風險的等級。半定量風險計算的過程是：〔1〕根據信息資產識別的結果，計算資產價值；〔2〕對威脅進展分析，并對威脅發生的可能性賦值；〔3〕識別信息資產的脆弱性，并對弱點的嚴重程度賦值；〔4〕根據威脅和脆弱性計算安全事件發生的可能性；〔5〕結合信息資產的重要性和在此資產上發生安全事件的可能性計算信息資產的風險值。第三局部系統特征描述3.1系統定位xxxxxx是xxxxxx股份公司的成員單位之一，是國有大型航空運輸企業，開辟有50多條國內航線和多條國際航線?，F已形成以xxxx為中心的樞紐-輻射式營運網。航空企業是一個關系到人民生命安全的行業，信息系統作為其業務支撐體系，具有應用系統涉及面廣、數據準確性、實時性要求高的特點。因此在信息安全的定位中，評估小組認為xxxxxx系統是企業級、非涉密信息網絡系統，要求信息系統穩定、可靠運行；信息系統中包含有商密信息、敏感信息、業務信息及公眾服務信息，在機密性、完整性、可用性、可控性、抗抵賴性各方面都有一定的安全要求。3.2網絡拓撲構造3.2.1網絡主干拓撲構造xxxxxx系統網絡采用TCP/IP網絡協議，網絡主干拓撲構造見圖3-1圖3-1xxx網絡主干拓撲構造圖3.2.2中心機房信息系統構成圖3-2信息中心核心設備拓撲圖3.3現行系統的安全策略xxxxxx目前的網絡基于Internet/Intranet和同城網絡流行的符合國際標準的TCP/IP網絡協議和WEB等技術，提供了與中國xxxxxx公司的數據傳輸與信息發布的專用網絡，為了保障網絡不受到有意、無意的的破壞，采取了以下安全防范措施：配置防火墻：為減少局域網用戶受到病毒及黑客的威脅，在局域網與internet之間安裝了思科SecurePIX525防火墻，實現了局域網用戶對internet資源的單向訪問；通過防火墻的過濾規那么，實現ip控制，限制局域網用戶對internet的訪問等。安裝網管軟件：公司專門安裝了Ciscoworks網管軟件，利用管理軟件直觀地以圖形方式顯示Cisco的設備，以及基本的故障排除信息，進展有效的網絡管理。進展網絡性能監測分析：為了給網絡管理人員提供深入監測、分析和優化網絡的信息，公司購置了美國福祿克網絡公司的OptiViewII系列集成式網絡分析儀〔OPVS2INA〕，該產品具有協議分析、流量分析和網絡搜索的功能。入侵檢測系統〔IDS〕：作為防火墻的補充，公司在網絡上增加了干將/莫邪入侵檢測系統，該系統主要作用是保護網絡、幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力。定期進展漏洞掃描：承影網絡漏洞掃描器是一種基于網絡的漏洞掃描和分析工具軟件，用來檢查網絡環境下各種網絡系統與設備的安全缺陷和弱點，信息部工作人員每周對中心服務器進展一次掃描，幫助管理員穩固企業的信息系統安全。劃分VLAN：通過路由訪問列表等Vlan劃分原那么，可以有效的控制網絡播送風暴和邏輯網段大小，將不同部門劃分在不同Vlan，從而提高交換式網絡的整體性能安裝網絡防病毒軟件：為了保證用戶在使用網絡時不受病毒的感染，公司于2004年2月建設防病毒系統，局域網內的用戶必須安裝Symantec防病毒軟件。安全管理組織：xxxxxx成立了由信息部部長任安全領導小組組長，由運行室副主任任副組長的“安全領導小組〞，安全管理人員由信息中心兩名技術人員擔任。負責與xxxxxx總部聯系，并發布信息安全的相關信息。安全管理制度：xxxxxx制定了以下與信息系統管理相關的規章制度：xxxxxx網絡管理暫行規定網絡設備運行管理制度xxxxxx計算機病毒防治管理方法xxxxxx計算機系統密碼設置和使用規那么xxxxxx郵件帳號使用管理及安全管理規定系統運行室管理規章制度系統運行室值班職責2005系統維護室工作職責劃分系統運行室各系統應急預案xxxxxx在信息系統的建設中已經采取了以上的安全措施，這些安全措施也確實起到了安全防范的作用，信息系統運行至今，沒有出現過重大的安全事故。但是從實際測試以及業務調研中，還是發現了不少系統的安全漏洞，有些系統的脆弱性還具有比較高的風險〔參見本文第四局部〕。這些問題是必須引起高度重視的。3.4信息資產識別和定義在資產定義階段，通過對前期業務調研的總結和討論，產生了xxxxxx中心信息資產工作表，并從中挑選出本次評估的關鍵資產，見表一：表一：資產定義匯總表資產資產的作用和重要性信息xxxxxx財務信息財務信息是公司的核心數據，目前xxxxxx公司的財務系統由xxxxxx公司統一管理，數據主要集中在xxxxxx公司航務、機務、采供、飛行、貨運、客戶信息這些信息直接關系到航空公司業務的正常進展，是企業的重要信息。原始資料及相關檔案通常指第一手資料，如硬件、軟件設計文檔、數據庫設計文檔、原程序、軟件安裝介質、使用手冊、配置手冊、管理制度等等，有些內容喪失會造成泄密及無法恢復的損失應用軟件業務系統軟件xxxxxx公司的應用軟件包括有FOC系統、航空維修綜合管理信息系統客艙采供管理系統、飛行統計系統、航班查詢系統、950333系統ISO9000手冊電子版管理系統來保證xxxxxx業務的正常運行。數據庫管理系統xxxxxx的數據庫管理系統主要采用的是MSSQLSERVER，局部應用系統采用DB2、SYBASE和ORACLE數據庫，來保障系統的正常運行，它們關系到數據的完整性和可用性操作系統xxxxxx公司各類服務器的操作平臺，目前全部采用MSWIN2000系列操作系統，是各類服務器及工作站正常運行的根基環境，也是信息系統的最后一道安全防線。辦公應用軟件包括：xxxxxx的電子郵件〔采用的mdaemon6.5.3、xxxxxx的電子郵件系統Exchange2000〕；xxxxxx內、外部網站；辦公自動化系統〔服務器在xxxxxx〕、視頻系統等，是正常辦公的輔助工具。網絡管理軟件信息中心采用CISCOWORK2000網管軟件對網絡運行狀況的監控和維護提供了技術手段網絡防病毒軟件采用Symantec網絡防病毒軟件〔1000客戶端〕，該系統主要用于為公司服務器和pc機防病毒，保證用戶在使用網絡時不受病毒的感染。關系網絡中所有計算機的安全。承影網絡漏洞掃描軟件基于網絡的漏洞掃描和分析工具軟件，用來檢查網絡環境下各種網絡系統與設備的安全缺陷和弱點，幫助管理員穩固企業的信息系統安全。網絡設備及硬件數據庫存儲設備采用DELL磁盤陣列保存及備份xxxxxx公司局部的重要信息及數據數據庫服務器采用HP和DELL的PC服務器做數據庫系統載體，為xxxxxx公司提供各種查詢、方案等數據服務核心路由及核心交換機核心交換機CISCO6509網絡核心設備，一旦出現故障，會導致整個網絡系統癱瘓通訊線路主干光纜線路和機房內連接各設備的線纜，保證xxxxxx業務的正常運行其他路由器及交換機CISCO3640和CISCO3750等是網絡互聯設備，提供對xxxxxx和市區售票處的接入，出現故障，會造成無法與中心網絡連接，影響業務正常進展防火墻Pix525防火墻提供xxxxxx公司INTERNET的安全接入入侵檢測系統防火墻的補充，提高系統對外部攻擊的檢測能力，擴展了系統管理員的安全管理能力〔包括安全審計、監視、攻擊識別和響應〕。網絡測試儀OptiViewII將網絡分析和監測能力結合在一起，能夠完整的透視整個網絡。人員應用系統管理員負責應用軟件升級、擴展、更新及數據備份。人是第一位的，其它因素，如：設備、軟件程序、信息系統均由人來操作使用，信息資料由人來調用。安全管理人員負責信息系統安全管理及安全支持軟件開發維護人員應用系統開發、升級、擴展及維護。網絡硬件管理人員網絡設備系統配置、網絡檢測。技術文檔系統配置信息系統功能參數設定。源程序應用系統的程序清單。系統設計開發文檔系統設計的依據、技術特征、業務及數據模式、開發方法等。系統說明文檔說明系統的功能、使用范圍。系統維護文檔記載系統升級、維修的文字記錄。在系統資產定義階段，還根據資產的工作范圍及重要性，對信息資產的安全優先級別進展了定義，在風險躲避中，要優先考慮安全要求高的資產；根據系統對信息安全的機密性、完整性、可用性、可控性以及抗抵賴性的要求，對信息資產的安全需求進展了定義。具體內容見?系統特征分析報告?文檔。第四局部風險分析4.1威脅識別威脅是指可能對資產或組織造成損害事故的潛在因素。作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統，它都存在。通過對各業務系統關鍵資產進展的直觀的威脅分析，可以清楚地看出本次評估范圍內各業務系統及關鍵資產所面臨的威脅種類。下面針對xxxxxx的信息資產目前所面臨的各種威脅進展綜合描述，包括威脅的主體、威脅的客體以及威脅發生的可能性。來自系統內部的威脅：操作失誤：這種威脅的主體為系統管理員用戶或其他合法用戶，威脅的客體為所有物理資產、軟件資產、硬件資產和信息資產。這種威脅是合法用戶的無意行為，但是對資產的種類接觸很多，處理和維護操作比較多，因此這種威脅發生的可能性根據不同的用戶〔主體〕和不同的資產〔客體〕而不同，一般發生可能性適中。濫用授權：這種威脅的主體為系統管理員用戶或其他合法用戶，威脅的客體為所有物理資產、軟件資產、硬件資產和數據資產。這種威脅是合法用戶的成心行為，與xxxxxx員工的素質有關，也與用戶的權限大小和威脅資產的可利用程度有關，一般發生可能性偏低。特權升級：這種威脅的主體為合法用戶，客體為軟件資產和數據資產。特權升級是指使用惡意手段獲取比正常分配的權限更多的權限。例如，在一個得逞的特權升級攻擊中，惡意用戶設法獲得Web服務器的管理特權，使他能夠隨意地進展破壞，發生的可能性適中。行為抵賴：這種威脅的主體為系統管理員用戶或其他合法用戶，威脅的客體為所有物理資產、軟件資產、硬件資產和信息資產。這種威脅是合法用戶對自己所作操作的否認，一般發生可能性較低，但對于員工素質較差、操作造成損失較大、沒有監控記錄的情形下可能會發生。來自系統外部的威脅：身份假冒：這種威脅的主體主要為非法用戶，也有少量的合法用戶，威脅的客體為所有物理資產、軟件資產和數據資產。這種威脅主要是合法用戶冒用別人的身份或賬號進展一些合法操作，或者非法用戶盜用合法用戶身份或賬號進展非法操作，這兩種情形在冒用賬號方面發生可能性比較高。信息泄漏：這種威脅的主體為非法用戶，也有少量合法用戶，主要是蓄意盜取敏感數據或泄露應該保密的信息，威脅的客體為軟件資產和數據資產。這些非法用戶利用社交等手段獲取系統軟件或應用軟件的配置數據，以便為后面的破壞做好根基，或者直接騙取業務敏感數據，這種威脅很隱藏，利用的手段很多，因此該威脅發生的可能性比較高，但屬于中風險范疇。篡改：這種威脅的主體為非法用戶，客體為數據資產。篡改是在未經授權的情況下更改或刪除資源。數據在傳輸中〔以物理或電子方式〕和存儲時都會受到該威脅。例如，未受保護的數據包可被截獲和修改，或者數據可因為攻擊者利用緩沖區溢出脆弱性所執行的惡意代碼而損壞。該威脅發生的可能性適中。拒絕服務：這種威脅的主體為非法用戶，主要是成心破壞的攻擊者，威脅的客體為軟件資產。這種威脅一般是內部的破壞者針對內部應用系統的有效攻擊方式，發生可能性較大。外部的攻擊者針對公開服務的各種系統都有可能進展攻擊，發生可能性很大。竊聽數據：這種威脅的主體為非法用戶，威脅的客體為軟件資產和數據資產。非法用戶通過竊聽手段竊取系統軟件和應用軟件的系統數據及敏感的業務數據，為了到達攻擊和入侵系統的目的，攻擊者一般都會進展這方面的嘗試，因此此威脅發生的可能性較高。物理破壞：這種威脅的主體為非法用戶，主要是成心破壞的攻擊者，威脅的客體為物理資產。非法用戶通過各種手段接近資產進展物理破壞，這種威脅發生的可能性與xxxxxx的安全保衛制度和相關的訪問控制制度有關，發生可能性適中。社會工程：這種威脅的主體為非法用戶，主要是蓄意盜取敏感數據或破壞系統的攻擊者，威脅的客體為軟件資產、信息資產和人員。這些非法用戶利用社交等手段獲取系統軟件或應用軟件的配置數據，以便為后面的破壞做好根基，或者直接騙取業務敏感數據，這種威脅很隱藏，利用的手段很多，因此該威脅發生的可能性較高。系統原因：意外故障：這種威脅的主體為系統組件，即資產自身；威脅的客體為所有物理資產、軟件資產和數據資產。這種威脅是資產在系統運行期間自身偶然發生的故障，該威脅發生的可能性根據資產的類別不同而不同，一般發生可能性非常高。惡意代碼：這種威脅的主體可以視為系統問題，也可以看作系統外部人員的惡意行為。但是惡意代碼往往不是有針對性的行為，可能是其它軟件或系統漏洞引發的結果。威脅的客體為軟件資產和信息資產，目前有些惡意代碼也可能威脅硬件資產的安全。系統感染病毒的可能性較多，但也有可能被非法用戶利用漏洞安裝惡意代碼，這種威脅的可能性與系統的防病毒體系建設和安全漏洞的嚴重程度有關。配置中的威脅：這種威脅的主體為非法用戶，主體為操作系統、應用軟件和TCP/IP協議。大多數系統軟件和應用軟件為了方便用戶，初始安裝完畢之后，存在一些默認的用戶名、口令和開放的服務端口。往往會被攻擊者利用，造成網絡癱瘓或機密被竊取。另外，TCP/IP某些協議存在一些漏洞，非法用戶可以利用此漏洞進展入侵系統，獲取管理員的權限。這些威脅發生的可能性適中。其它問題：通信中斷：這種威脅的主體為通信線路，威脅的客體為軟件資產和數據資產。不明原因的通信意外故障造成傳輸中斷是不定時出現的，這種威脅發生的可能性適中。電源中斷：這種威脅的主體為電源，威脅的客體為所有的物理資產、軟件資產和數據資產。電源中斷是由于xxxxxx自身的一些因素或者意外因素，由于xxxxxx辦公樓信息中心一側全部采用UPS供電，這種威脅發生可能性較低。但是UPS設備間無大門防護，有被撬經歷，增加了威脅發生的可能性。災難：這種威脅的主體為環境因素，如火、水、雷電、灰塵、老鼠等，威脅的客體為物理資產。這種威脅發生的可能性與各業務系統所處環境有直接關系，另外也與xxxxxx的相應防范措施有關，這里主要是雷電和水災的威脅可能性較大，其他發生的可能性適中。4.2脆弱性識別脆弱性是信息資產或資產組中可能被威脅所利用的弱點，它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面。這些都可能被各種安全威脅利用來侵害有關資產及這些資產所支持的業務系統。在這一階段，將針對每一項需要保護的信息資產，找出每一種威脅所能利用的各種脆弱性，并對脆弱性的嚴重程度進展評估。由于本次評估工作分2個專業組、三個方面進展現場測試，為了便于總結歸納，在脆弱性識別階段，我們根據前期調查及各專業測評小組現場檢測的結果，分析了xxxxxx系統中可能存在的各種脆弱性，分別對安全管理機制、網絡與通信、應用系統三個方面各自存在的脆弱性〔即：安全漏洞〕進展了識別。4.2.1根據標準GA/T391-2002的要求，對照現行安全管理制度及被測方提供的?安全威脅及風險描述?，并將物理環境中存在的問題也歸并在一起，共有以下12項內容不符合安全標準的要求。xxxxxx系統在安全管理機制及物理環境方面存在以下問題：安全管理組織不健全，信息安全管理沒有得到公司主管領導足夠的重視；安全管理人員配置及責任劃分不合理；數據庫安全管理沒有受到應有的重視沒有建設信息安全的分級培訓及宣傳教育制度；工作職責的劃分沒有表達“分權制衡〞、“最小特權〞的原那么；沒有信息管理技術人員調離安全管理制度；安全管理制度不健全，缺少以下重要的管理制度：物理安全方面：機房安全管理制度、主機設備安全管理制度、網絡設施安全管理制度、物理設施分類標記管理制度不健全；系統與數據庫安全方面：目前還沒有建設明確的規章制度；網絡安全方面：缺少網絡維護管理制度和操作流程；運行安全方面：缺少人員安全管理制度、安全意識與安全技術教育制度、操作安全管理制度、操作系統和數據庫安全管理制度、系統運行記錄編寫制度、系統維護管理制度、安全審計管理制度等；信息安全方面：沒有信息分類標記制度、技術文檔管理制度、存儲介質管理制度、信息披露與發布審批管理制度。已經制定了一些安全制度但執行力度不夠，起不到相應安全的作用。應急預案中缺少中心關鍵設備故障、數據庫故障、黑客攻擊等方面的應急措施，缺少解決問題的具體操作流程；沒有完整的設備及數據備份制度以及與備份制度相對應的災難恢復方案。機房門窗沒有采取防護措施，不利于防盜、防塵。僅有辦公大樓門衛制度，不能保證機房環境安全不受外來人員的威脅。從被測方提供的技術文檔、管理制度以及調查問卷中反映出來的管理方面的問題是比較多的，從這些問題上可以總結出，安全管理機制的脆弱性表現在信息安全管理組織機構建設、信息安全管理制度制定、安全技術及安全知識的培訓等幾個方面，造成信息管理人員安全職責不明確，安全管理制度執行力度不夠，授權訪問機制、應急處理及災難恢復機制不健全等問題〔詳細內容見?安全管理機制評估報告?〕。4.2.2網絡通信方面的脆弱性網絡通訊組使用安全評估掃描工具進展了對網絡進展了漏洞檢測，涉及xxxxxx核心網絡設備，包括：核心網絡設備、接入線路、二級網絡設備、信息中心安全設備。網絡設備的軟件版本號一致、配置也基本一樣，通過網絡安全評估工具檢測出網絡設備中每臺設備都存在高風險漏洞3項，中風險漏洞1項，低風險漏洞1項。詳細情況見?網絡與通信漏洞檢測報告?。在高風險漏洞中：未升級網絡設備的軟件版本到最新版本的高風險就占2項網絡設備的配置方面所引起的高風險占1項我們對安全評估掃描工具和靜態分析的結果進展了統計分析，在網絡通信方面存在的脆弱性包括：關鍵的網絡核心設備沒有采用冗余設計沒有升級網絡設備的IOS到最新的版本網絡設備的配置中采用的SNMP默認的讀寫字符串對網絡配置的更改及維護沒有日志及審計制度沒有有效的安全策略，容易遭到拒絕服務攻擊VALN之間未實施安全策略4.2.3應用系統的脆弱性本次評估采用了本地和遠程的方式對xxxxxx應用服務器和信息部的PC機進展了動態掃描和手動檢查，并嘗試性的進展了滲透性測試。我們一共對54臺機器進展了檢測，其中以本地的方式測試了52臺，依次為：信息部機房內22臺服務器及24臺PC機，基地2臺服務器，68號樓3臺財務結算服務器，飛行部1臺服務器。根據Retina掃描報告，對安全優先級別為3以上的12臺服務器的漏洞統計如下：由于沒有及時升級和安裝補丁程序造成的：高風險漏洞有74項占到了90.24%中風險漏洞有44項占到了29.53%低風險漏洞有6項占到了7.79%由于沒有關閉不必要的服務造成的：高風險漏洞有0項占到了0中風險漏洞有1項占到了0.67%低風險漏洞有7項占到了9.09%由于系統配置不當造成的：高風險漏洞有0項占到了0中風險漏洞有94項占到了63.09%低風險漏洞有64項占到了83.12%由于弱口令造成的：高風險漏洞有8項占到了9.76%中風險漏洞有10項占到了6.71%低風險漏洞有0項占到了0通過分析Retina掃描結果，可以看出：68號樓財務結算的兩臺應用服務器存在的漏洞最多，其原因除了管理因素外，主要是操作系統為WindowsNT，版本較低，且沒有及時升級。信息中心的主要數據庫服務器上存在因為沒有及時升級造成的高風險漏洞，該漏洞存在緩沖區溢出，容易造成拒絕服務攻擊；開啟了1433端口，這些端口的開啟使攻擊者可以很容易獲得主機的訪問權限，存在很大的安全隱患。弱口令漏洞所占的比例不算太高，但是，其危害相當大。從掃描結果中可以發現：950333錄音服務器上存在sa空口令；數據庫服務器上有1個賬戶名與密碼一樣；航空維修服務器上有一個帳號未設置密碼；68號樓應用服務器1上有1個賬戶名與密碼一樣、2個帳戶密碼為空；68號樓應用服務器2上有2個帳戶密碼為空。根據BaselineSecurityAnalyzer的掃描報告，掃描了17臺主機，17項內容中有10項不符合要求，包括：序號名稱不合格主機數不合格率11.驗證所有磁盤分區都以NTFS格式進展了格式化423.5%23.禁用不必要的服務529.4%36.確保禁用來賓帳戶211.8%47.保護注冊表防止匿名訪問17100%59.限制對公用的本地安全權限〔LSA〕信息的訪問1270.6%610.設置更加可靠的密碼策略17100%711.設置帳戶鎖定策略17100%812.配置管理員帳戶17100%913.取消所有不必要的文件共享17100%1017.在安裝ServicePack之后安裝適當的安全修補程序17100%綜合分析結果,操作系統及其提供的服務、數據庫系統及應用軟件的脆弱性包括：Windows操作系統安全特有的安全漏洞：不是所有磁盤分區都采用了NTFS格式、沒有取消所有不必要的文件共享。系統弱口令問題，沒有建設更加可靠的密碼策略。包括用戶名與口令一樣、口令為空、口令容易猜測等。在系統管理上缺乏統一的管理策略。重要的軟件未升級到最新版本，沒有及時安裝系統安全補丁。系統配置存在的問題，包括應該關閉的服務沒有關閉、參數配置不完整。系統訪問控制存在的問題，包括賦予的訪問權限過大、沒有禁用和刪除不必要的帳戶，沒有保護注冊表防止匿名訪問。沒有設置客戶端登錄次數限制，可以嘗試進展暴力破解。缺乏用戶標識及鑒別機制，操作者的身份無法得到確認。SQLSERVER安裝目錄權限設置不正確。SQLSERVER的身份驗證設置成混合模式。以上系統的脆弱性在防止內外部攻擊、數據安全、身份鑒別、訪問控制、抗抵賴等方面增加了系統的風險。4.3信息安全風險分析總結上述所有系統現有的脆弱性，按照風險影響的大小分析如下：1、在所有系統的脆弱性中，缺乏核心網絡設備的冗余備份是整個信息系統中威脅最大的脆弱性，其主要原因就是：在xxxxxx公司很多重要的應用數據在xxxxxx公司信息中心，各部門之間通過核心交換訪問和交換關鍵的業務信息，其可用性的要求最高，一旦出現單點故障，將造成核心網絡癱瘓，所有的業務中斷的后果，其損失難以用金錢估量，目前的核心網絡設備冗余備份措施不能防止由于各種災害造成的風險。2、安全管理機制方面的脆弱性僅次與災備系統，主要原因在于：在信息系統已經發現的漏洞中，很多漏洞與管理機制不健全有關，包括：網絡管理方面：沒有必要的制度保證及時更新系統、發現并修補安全漏洞；訪問控制權限的分配缺乏統一有效的管理，沒有關閉所有不必要的服務；系統配置方面都采用默認的安全策略存在不安全的隱患；沒有完備的網絡設備配置管理制度。應用系統方面：不是所有磁盤分區都采用了NTFS格式；沒有建設完善的訪問控制機制；沒有取消所有不必要的文件共享；數據庫有弱口令問題，這個問題在網絡掃描中表現的比較突出；在系統管理上缺乏統一的管理策略，很多重要軟件未升級到最新版本；系統配置存在的安全隱患，沒有完全禁用不必要的服務，包括應該關閉的服務沒有關閉、參數配置不完整；系統訪問控制存在的漏洞，包括賦予的訪問權限過大、開放的服務較多等。數據庫方面：系統的使用者、開發者、管理者使用了屬于DBA的角色的帳戶，權限過大；數據庫系統本身沒有設置安全審計特性，無法記錄對數據庫系統安全條件變化做有效的記錄。雖然其中許多問題表現在技術層面上，但是究其原因，信息安全管理沒有得到企業領導層應有的重視，管理機制不完善，沒有相應的崗位責任制度及管理考核制度是造成上述問題的根源。因此建設完善的安全管理機制是信息系統正常運行的重要保證。3、系統及數據庫安全漏洞給內、外部入侵者提供了方便之門，對系統的威脅最為直接，許多惡意代碼的攻擊都依賴于系統漏洞；系統訪問控制策略的完備性和審計機制的完備性對外部攻擊來源的追溯和內部攻擊的控制起著重要的作用。因此系統及數據庫的安全漏洞直接關系到系統的完整性、可用性、可控性及抗抵賴性，對系統的影響可以排在第三位。4、在信息網絡系統中，應用系統的重要性不言而喻。xxxxxx應用系統和國內大多數企業一樣，存在著缺乏統一規劃、分散開發、分散管理、數據共享不便、數據安全得不到保障等問題。但是根據實際情況，xxxxxx公司不可能用一個平臺去涵蓋所有的系統，要想開發一套MIS系統〔管理信息系統〕來解決所有的問題，是不可能做到的。同時，在目前情況下，如果對數據庫構造進展大的調整，結果只能是對所有應用系統軟件的調整，甚至是重新開發，不具有可行性。為了信息系統的穩定運行，我們提出了建設數據交換平臺的建議，但是軟件開發是一個周期比較長的工作，xxxxxx應用系統的規劃也要符合xxxxxx的統一規劃，為了業務的持續性，目前應用系統的狀態還需要保存一段時間，因此我們把應用系統的問題排在了最后。由于xxxxxx的應用系統涉及范圍較廣，各部門使用的各自的應用系統軟件，一些應用系統的服務器存放在各自的部門，并沒有形成統一的數據構造及軟件平臺；作為xxxxxx集團的分公司，xxxxxx有很多應用系統統一采用xxxxxx下發的軟件，采取數據大集中方式，由xxxxxx信息中心統一管理；信息中心所有的數據都存放在一臺數據庫服務器上，采用SQLServer2000數據庫系統，內建兩個實例，其中一個實例內存建有十幾個數據庫，分別存放著這些應用系統的數據。這種局面固然是由于這些應用的實際需求決定，但也為充分、有效的利用數據帶來了很大的不便。這些問題應該得到足夠的重視，否那么將影響系統的可持續開展。當然這樣的排列不是一成不變的，隨著目前發現的各種安全問題的解決，隨著網絡技術的開展，其順序也會隨之變動。第五局部風險控制通過上面的風險分析，可以清楚地看出所評估的信息系統中某種資產對應各種風險的情況。因此必須提出降低風險的措施，最終到達xxxxxx信息系統認同的剩余風險的目標。風險控制建議將按照客戶的需求〔如降低，防止，承受風險〕，選出某個范圍內的所有風險，并找到與這些風險相關的資產、威脅和脆弱性，制定相應的風險控制策略。5.1評估結果分析雖然從目前的情況來看，由于xxxxxx系統采取了一些安全措施，沒有非常明顯的的高風險資產，但是系統的脆弱性是存在的，人員的脆弱性主要表現為管理方面的問題，而硬件、軟件資產和數據資產的脆弱性在管理和技術兩方面都存在著問題。如果不采取相應的措施，就會對系統安全造成極大的威脅。具體風險控制措施請參見附件-14、附件15、附件-16。根據目前xxxxxx安全現狀，對照GA/T390-2002計算機信息系統安全保護等級安全功能技術要求，我們制作了?xxxxxx系統安全保護等級符合情況對照表?〔見附表1〕。比照條目主要針對安全保護等級1、2、3的要求，比照條目共有108項，其中物理環境占43項。由于本次評估不包括的物理環境局部，所以物理環境保護等級要求的比照結果是由xxxxxx部技術人員根據附件-17?信息系統安全保護等級要求?確定的，主要對象是xxxxxx辦公大樓內的信息中心機房。其他各項的比照根據實際評估的結果確定。從比照的結果看，有42項符合安全保護等級要求，有14項局部符合安全保護等級要求，其余各項沒有到達相應安全保護等級的要求。目前xxxxxx系統在很多方面沒有到達安全保護等級2的要求，有些甚至不能到達等級1的要求。但是也有一些方面已經到達了安全保護等級3的要求，可見，在安全措施的實施過程中，有些安全問題得到了重視、也有些問題受到了無視，安全保護的措施考慮的還不夠周全。附表一是安全狀況的直觀反映，待航空公司信息系統安全保護等級要求確定后，可以根據保護等級的要求、對照本表進一步完善安全風險控制措施。5.2風險控制建議根據安全評估機構對xxxxxx系統的定位，“防止數據的非授權修改、喪失和破壞，防止系統能力的喪失、降低，防止欺騙，保證信息系統的可靠運行〞是本系統的主要安全目標。針對xxxxxx系統存在的脆弱性，特提出以下風險控制建議，供被測方在今后制定安全管理制度，建設完善的管理措施，進一步改善系統環境，完善系統功能時做參考：信息系統安全風險控制建議〔參見附件-14〕信息系統安全風險控制建議包括了應用系統及網絡通訊兩方面的風險控制措施。應用系統方面包括：根據各個威脅事件構成的風險大小提出的應用系統風險控制建議、數據的存儲藏份整體加固建議、重要主機的整體保護加固建議、數據庫整體加固建議和CA服務的建議。網絡通訊方面包括：根據各個威脅事件構成的風險大小提出的網絡通訊風險控制建議、核心節點設備安全加固建議、核心網絡加固建議、交換機安全配置加固建議和VLAN規劃與IP分配方案加固建議。信息安全管理機制完善建議〔參見附件－15〕安全管理機制在信息安全中往往是一個薄弱環節，制定適宜的安全策略，建設完整的安全管理機制，才能配合安全產品的使用，使安全產品及其配置策略發揮最大的作用，從而建設全方位的安全防護體系。?信息系統安全管理機制風險控制建議?根據GA/T391-2002安全保護等級二的要求提出，它不僅給出了一般性的原那么，也收集了一些具體的規章制度供被測方參考，xxxxxx安全管理機構應根據企業的特點制定符合實際的安全管理制度。安全管理制度涉及的內容很多，有一個逐步完善的過程，只要建設起安全管理的意識，就可以在不斷完善的過程中形成一整套切實可行的安全管理機制。系統及數據庫安全加固建議〔參見附件－16〕系統和數據庫存在的漏洞應該受到高度重視，尤其是目前存在的高風險漏洞，必須盡快采取措施加以修補。在這方面，我們認為應該做好以下幾方面的工作：安排專人負責盡快修復系統現有漏洞，具體做法可參考?網絡通信漏洞檢測報告?、?系統及數據庫漏洞檢測報告?以及?系統及數據庫安全加固建議?；制定系統管理配置策略，及時安裝安全補丁，防止造成安全隱患；制定安全審計策略，啟動系統審計機制；完善系統管理制度，在系統維護人員的崗位責任中，增加相關的制度，并制定監視檢查條理。信息系統安全保護等級要求〔參見附件－17〕根據GA/T390-2002關于信息系統安全保護等級的要求，我們特別整理了其中安全保護等級2、3的“安全功能技術要求〞和“安全保護技術要求〞，雖然它給出的是一般性原那么，但是這些要求來自公安部的標準，在全面性、標準性上更具有權威性，是信息系統安全建設方面很有價值的參考資料。5.3風險控制措施實施建議風險控制建議的實施要考慮風險對信息系統安全性影響的大小，控制措施實施的難易程度，也要考慮xxxxxx實際投資能力。在6.1節，我們已經根據風險影響的大小對各方面的脆弱性進展了排序。但是考慮到資金方面的限制和實現的難易程度，我們建議，對那些不需要資金投入就可以實施的內容可以優先進展，而目前尚不具備實施條件的建議可以作為今后的投資參考。因此提出如下建議：首先應該組織信息系統管理人員對網絡設備、系統及數據庫的漏洞進展修補，包括安裝補丁、修改系統配置、關閉不必要的服務、刪除多余帳戶、修改弱口令等。因為這項工作目標明確，容易實現，效果明顯；在系統漏洞修補過程中，及時補充安全管理制度，將以上問題的處理以制度的形式確定下來，并制定考核制度，定期進展檢查，防止今后再出現類似的問題。安全管理制度的制定不是一朝一夕可以完成的，可以先制定那些對系統穩定運行造成明顯影響的制度〔如崗位責任制、機房管理制度〕，然后逐步補充完善；建全信息安全組織機構，或在原安全機構的根基上明確信息安全管理人員的職責，義務、權限等，將安全管理機制的建設納入日常工作的軌道中，這樣有助于建設常備不泄的安全管理意識，保障信息安全管理制度的落實。在所有安全措施中，核心設備冗余備份具有最高優先級。這是因為在xxxxxx的信息系統中，最關鍵的是網絡通信的高可用性，這是應用系統運行的根基，建議xxxxxx在開展前三項工作的同時，盡快落實核心設備容災的實施方案，以及其他重要網絡設備的冗余備份，以保證xxxxxx系統的正常運行。把災難備份及數據交換平臺建設的工作提上議事日程，需要進展市場調研，了解目前成熟的災難備份及數據整合技術及產品，也可以請專業公司為xxxxxx數據整合提供方案。同時還要把握xxxxxx集團數據整合，建設數據交換平臺的思路，保證工作的有效性，防止重復勞動。本局部具體內容參見附件-18?信息系統安全風險控制措施實施建議?。附表1xxxxxx信息系統安全保護等級符合情況對照表安全功能技術要求安全保護等級實際情況用戶自主保護級系統審計保護級安全標記保護級1、物理安全1.1環境安全1.1.1.a)基本要求★★★b)防火要求★★c)防污染要求★d)防潮及防雷要求★★e)防震動和噪聲要求★f)防強電場、磁場要求★e)防地震、水