信息系统安全规划建议书

1、项目编号：项目编号： 信息系统安全规划 2006-3 信息系统安全规划建议书 第 2 页 共 216 页 文档控制 一 文档信息 文档名称文档名称信息系统安全规划建议书 保密级别保密级别秘密项目编号项目编号 文档管理编号文档管理编号管理人管理人 制作人制作人制作日期制作日期 2006.3.23 复审人复审人复审日期复审日期 2006.3.31 扩散范围扩散范围项目相关人员 二版本控制 版本提交日期修改者版本描述 v1.02006.3.31初稿 三 分发说明 鉴于本文档介绍了实施信息系统安全规划及其他安全服务的主要思 路和方法，为保障的利益，建议采取可信的渠道分发本文档，要 求如下： 由负责信息

2、安全的专职机构统一规定可获取本文档的授权人员。未经专 职机构允许，授权人员不得将本文档（包括复制件）传递给他人。 专职机构应规定获取本文档的途径，包括以纸面文本形式下发，以电子 版方式分发，以电子邮件的方式传递等。对各种分发途径应采取密封或 者加密的保密方式。 专职机构应及时将本文档的版本变更情况通知给授权人员。对变更内容 的分发也应遵循以上所有要求。 信息系统安全规划建议书 第 3 页 共 216 页 目录 一一 文档信息文档信息.2 二版本控制二版本控制.2 三三 分发说明分发说明.2 1前言前言.10 1.1背景介绍.10 1.2目标和范围.10 2安全现状和需求分析安全现状和需求分析.

3、14 2.1安全现状.14 2.1.1信息系统安全构成要素.14 2.2信息系统面临的威胁.17 2.2.1威胁的来源.18 2.2.2威胁的方法.19 2.3系统信息安全风险分析.21 2.3.1物理层面的安全风险.21 2.3.2网络层面的安全风险.22 2.3.3系统层面的安全风险.24 2.3.4应用层面的安全风险.26 2.3.5管理层面的安全风险.28 2.4安全体系需求分析.30 2.4.1建设安全基础设施的需求.30 2.4.2信息和网络安全级别划分的需求.30 2.4.3信息安全策略需求.30 2.4.4安全组织保障需求.31 2.4.5信息安全管理需求.32 2.4.6信息

4、安全标准与规范需求.32 2.4.7物理安全需求.33 2.4.8网络安全需求.34 2.4.9系统安全需求.35 2.4.10数据库系统安全需求.36 2.4.11应用安全需求.38 2.4.12运行安全需求.38 3安全设计的依据安全设计的依据.41 3.1依据的标准和规范.41 3.2依据计算机信息系统安全保护等级划分准则.43 3.3参照国家 27 号文件精神.43 3.4参照信息保障技术框架.44 3.4.1安全方法论模型.44 信息系统安全规划建议书 第 4 页 共 216 页 3.4.2逻辑结构模型.44 4安全规划思路和体系结构安全规划思路和体系结构.45 4.1规划原则和目标

5、.45 4.1.1安全设计原则.45 4.1.2安全设计目标.46 4.1.3安全设计策略.46 4.2规划思路.48 4.3安全总体体系结构.52 4.3.1信息安全总体体系.52 4.3.2安全模型的分层安全保护.53 4.3.3安全机制和服务.55 4.3.4安全管理.56 4.4安全等级保护的要求.59 4.5安全等级管理要求.59 4.5.1第一级 一般管理要求.59 4.5.2第二级 重要管理要求.60 4.5.3第三级 关键管理要求.65 4.6等级安全域的设计.68 4.6.1安全域的概念.68 4.6.2安全域设计的原则.68 4.6.3安全域的设计.69 4.7信息资产的分

6、级和分类.70 4.7.1应用系统业务安全级别划分.71 4.7.2信息和数据安全级别划分.71 4.7.3服务器安全级别划分.72 4.7.4操作系统安全级别划分.72 4.7.5数据库管理系统安全级别划分.73 4.7.6网络节点安全级别划分.73 4.7.7机房安全级别划分.74 4.7.8介质安全级别划分.74 4.7.9安全设施的安全级别.75 5信息系统安全管理体系信息系统安全管理体系.76 5.1概述.76 5.2安全组织管理.78 5.2.1安全组织体系.79 5.2.2人员安全管理.82 5.3安全管理策略.86 5.3.1安全策略规划.86 5.3.2物理环境和设备安全.9

7、0 5.3.3运行及维护安全.98 5.3.4业务应用安全.106 5.3.5系统规划与开发安全.109 5.3.6信息安全应急管理.114 信息系统安全规划建议书 第 5 页 共 216 页 5.4系统安全运作管理.117 5.4.1系统安全生命周期.117 5.4.2系统安全风险评估.118 5.4.3系统的安全规划和验证.118 5.4.4日常运维和操作.118 5.4.5安全集中管理.120 5.5安全管理规章制度完善.122 5.5.1安全管理制度范围.122 5.5.2安全管理规章制度的制定和评审.125 5.5.3安全管理规章制度的实施和监督.126 5.5.4安全管理规章制度要

8、点.128 5.6安全体系建设管理保障.131 5.6.1领导重视.131 5.6.2规范管理.131 5.6.3信息安全保障组织体系.132 5.6.4信息安全队伍的建设.132 5.6.5资金保证.132 6网络与系统安全体系网络与系统安全体系.133 6.1目标.133 6.2原则.133 6.3总体架构.133 6.4边界确认和安全域划分.133 6.5骨干网安全.134 6.5.1骨干网传输安全.134 6.5.2流量与带宽控制.135 6.5.3改善措施.135 6.6边界防护.135 6.6.1对外信息发布系统的防护.135 6.6.2下属省局接入控制.137 6.6.3第三方网

9、络接入控制.139 6.6.4业务系统的防护.141 6.7计算环境安全.143 6.7.1主机和数据库安全.143 6.7.2网络设备安全.145 6.7.3安全管理平台.147 6.7.4用户环境安全.148 6.8备份系统.152 6.8.1线路备份.152 6.8.2设备备份.152 6.8.3系统备份.152 6.8.4应用数据的备份方案.152 6.9数据容灾备份.154 6.9.1灾难备份和灾难恢复中心建设需求.155 6.9.2灾难恢复与灾难备份中心的现状.155 信息系统安全规划建议书 第 6 页 共 216 页 6.9.3建设灾难恢复与灾难备份中心的考虑.155 7安全基础

10、设施安全基础设施.157 7.1技术原理.157 7.2网上系统的安全基础设施.160 7.2.1网上系统ca系统的部署结构.160 7.2.2网上系统证书认证系统配置.160 7.2.3网上系统授权管理系统部署.161 7.2.4网上系统授权管理系统配置.162 7.3内网系统的安全基础设施.162 7.3.1系统结构设计.163 7.3.2策略设计.164 7.3.3内网ca系统设计.165 7.3.4网络结构和具体部署.171 7.3.5综合技术指标要求.172 7.3.6内网pki/ca安全基础设施系统配置.174 8应用系统安全体系应用系统安全体系.176 8.1应用支撑平台.176

11、 8.1.1平台的设计目标.176 8.1.2平台结构与功能.177 8.2应用系统安全方案.179 8.2.1业务系统现状.179 8.2.2业务系统安全需求分析.181 8.2.3安全改造方案基本原则.183 8.2.4安全方案的主要依据.183 8.2.5业务系统安全改造策略.184 8.2.6内网应用安全结构设计.187 8.2.7内网应用安全功能设计.188 8.2.8业务系统安全流程设计.190 9安全培训与第三方服务安全培训与第三方服务.196 9.1安全培训.196 9.1.1信息安全教育与培训的重要意义.196 9.1.2信息安全培训对象.197 9.1.3培训内容分类设置.

12、198 9.1.4信息安全培训建议.202 9.2第三方安全服务设计.203 9.2.1安全威胁管理.203 9.2.2设计与实施.203 9.2.3安全运维支持.203 9.2.4安全检测服务.203 10项目规划与投资预算项目规划与投资预算.205 10.1规划项目的导出.205 信息系统安全规划建议书 第 7 页 共 216 页 10.2项目列表.206 10.3项目优先级分析.207 10.4总体实施计划.209 10.5投资估算.211 10.5.1投资估算原则.211 10.5.2投资预算.213 10.5.3总投资.215 信息系统安全规划建议书 第 8 页 共 216 页 图例

13、索引 图 2-1数据城域网.错误！未定义书签。错误！未定义书签。 图 2-2 调整后的数据城域网结构.错误！未定义书签。错误！未定义书签。 图 2-3 局域网结构.错误！未定义书签。错误！未定义书签。 图 3-1iatf 方法论模型图.44 图 3-2iatf 逻辑结构模型图.45 图 4-1 安全体系规划思路图.49 图 4-2 信息安全总体体系图.53 图 4-3 安全管理体系架构图.57 图 5-1信息系统安全管理体系框架.78 图 5-2 信息安全管理组织示意图.80 图 5-3 信息安全管理机构主要职责示意图.81 图 5-4 安全目标、安全策略与安全机制的相互关系示意图.87 图

14、5-5 信息安全策略创建与执行流程图.89 图 6-1信息系统总体体系结构图.133 图 6-2数据中心安全区域划分图.134 图 6-3备份中心安全区域划分图.134 图 6-4 对外信息发布系统的安全防护图.136 图 6-5 下属省局安全接入控制图.138 图 6-6 第三方安全接入系统图.140 图 6-7 业务系统的防护.142 图 7-1ca 系统的部署.160 图 7-2信息系统证书认证代理点配置结构.161 图 7-3 授权管理（pmi）系统层次结构 .161 图 7-4 授权管理代理点配置结构.162 图 7-5内网信息系统 pki/ca 系统结构示意图 .163 图 7-6

15、 根 ca 的结构示意图.165 图 7-7 运营 ca 示意图 .168 图 7-8 目录服务系统示意图.170 图 7-9 ca 系统的网络结构示意图.172 图 8-1 应用支撑平台逻辑结构图.177 图 8-2 业务系统结构图.180 图 8-3 内网业务系统结构图.181 图 8-4 内网应用安全结构图.187 图 8-5 业务系统证书身份认证流程图.191 图 8-6 业务系统访问控制流程图.192 图 8-7 业务系统审计日志记录流程图.193 图 8-8 可信日志记录流程图.193 图 8-9 敏感数据的安全上传流程图.194 图 8-10 敏感数据的安全下发流程图.194 图

16、 9-1信息安全培训对象.197 图 9-2cisp 知识体系结构.199 图 9-3cisp 证书样式.199 信息系统安全规划建议书 第 9 页 共 216 页 表格索引 表格 4-1 规划思路准备阶段工作内容表.49 表格 4-2 规划思路评估阶段工作内容表.50 表格 4-3 规划思路规划设计阶段工作内容表.51 表格 4-4 规划思路实施阶段工作内容表.51 表格 4-5 规划思路运行维护阶段工作内容表.51 表格 4-6 规划思路优化完善阶段工作内容表.52 表格 4-7 业务系统等级划分表.71 表格 7-1 证书认证代理点配置表.161 表格 7-2 授权管理代理点配置表.16

17、2 表格 7-3 根 ca 技术指标表.166 表格 7-4 运营 ca 技术指标表.169 表格 7-5ldap 技术指标表.171 表格 7-6ca 认证系统技术指标表.174 表格 7-7 内网 pki/ca 安全基础设施系统配置表 .175 表格 10-1 安全项目导出表.206 表格 10-2 项目列表.207 表格 10-3 项目优先级表.209 表格 10-4 总体实施计划表.211 表格 10-5 费用预算表.214 信息系统安全规划建议书 第 10 页 共 216 页 1 前言前言 1.1 背景介绍背景介绍 随着（以下简称）信息化的发展，其对信息系统的依赖程度 也越来越高，信

18、息安全的问题也越来越突出，对计算机信息安全保障工作也提 出了更高的要求。为了有效防范和化解风险，保证信息系统平稳运行和业务持 续开展，须建立的信息安全保障体系，以增强的信息安全风险防 范能力。 通过对信息系统进行信息安全评估，为信息系统的网络结构、 管理结构和应用系统等方面的安全改造和完善提供依据，进而制定系统 的信息系统的信息安全发展规划，是本服务项目的目的。 随着信息系统建设的深化，网络及应用的不断拓展，信息网络及系 统所面临的威胁越来越多，造成的影响也越来越大。为提高信息系统及 网络安全防护水平，保障系统业务的高效、安全运行，局计算中心特 别提出针对现有的信息系统、网络平台、安全运维、管

19、理等各个方面，进行客 观详实的评估。 安全建设或安全改造的起步从安全风险评估开始，在了解和明确了信息系 统面临的威胁，信息系统存在的安全隐患，信息系统需要保护的资产，才能有 效地采取防范措施降低风险。安全风险评估是全面解决安全问题的基础。依据 本次信息安全评估的结果，对信息系统安全管理制度进行系统化规范化的修改 完善，考虑今后信息系统安全工程的发展规划，为信息系统安全建设、安全改 造、安全使用的依据。结合自身信息系统和网络平台不断扩大的特点， 考虑到系统的特殊性和重要性，提出针对的安全评估与规划项目， 旨在通过评估和规划，全面了解信息系统各个层面存在的问题，确定系 统所面临的威胁和风险，以及相

20、应的改进建议，指导的信息安全规划。 1.2 目标和范围目标和范围 为了实现和满足局信息系统安全的相关要求，针对信息系统安 信息系统安全规划建议书 第 11 页 共 216 页 全状况评估过程中发现的一些主要问题，根据信息系统本规划中提出的 信息分类保护、系统分级保护的要求，结合未来五年在安全建设和安全 改造方面的可能投资力度，提出信息系统五年安全建设目标如下： 建立信息安全基础设施 pki 系统，确保网络安全和应用安全有一 个坚实的基础； 统一本部和省局的网络出口，合理配置边界防护设备，确保内部 系统免受攻击； 调整本部和各个省局的网络结构，合理地划分安全区域，确保数 据信息分类保护和网络区域

21、分级保护； 针对本部和备份中心的核心安全区域，合理配置安全设备，确保 核心安全区域获得重点保护； 统一配置和管理防病毒软件，合理配置防病毒服务器、防病毒软 件，确保有效建立防病毒体系； 对应用系统的运行平台、操作系统和数据库系统进行安全加固，配置漏 洞扫描软件，确保应用平台的安全； 对应用系统进行安全方面的改造，包括增加缺少的安全模块、调整安全 数据接口，开发 pki 系统应用接口等，确保业务应用的安全； 针对信息安全管理存在的问题，建立健全信息安全管理体 系。 按照五年建设目标，我们将根据项目的优先程度，划分为三个阶段工作来 进行信息系统安全建设，其实施步骤为： 第一阶段：1.5 年期，从

22、2006 年 1 月到 12 月至 2007 年 6 月，启动 阶段任务为实现短期目标，初步搭建安全体系框架，并解决目前急迫和关 键的问题，为下一阶段工作做好准备； 第二阶段：1.5 年期，从 2007 年 6 月到 2008 年 12 月 阶段任务为全面启动安全保障体系的建设工作； 第三阶段：2 年期，从 2009 年 1 月到 2010 年 12 月 阶段任务为信息安全保障体系在范围内的持续完善，基本建成 信息系统安全规划建议书 第 12 页 共 216 页 行业一流的安全保障体系。 完成上述三个阶段建设任务后，将使的信息安全保障体系按照本规 划的技术框架思路初步建立起来，信息系统将达到如

23、下的安全目标： （1） 、通过安全规划和安全实施后，、通过安全规划和安全实施后，网络信息系统的安全防护体系网络信息系统的安全防护体系 能够达到能够达到总局的相关安全保障要求，符合总局的相关安全保障要求，符合总局的安全要求。总局的安全要求。 （2） 、通过安全规划和安全实施后，、通过安全规划和安全实施后，的核心业务系统将达到现阶段的核心业务系统将达到现阶段 已经公布的国家等级保护三级要求，辅助业务系统也将满足二级要求。已经公布的国家等级保护三级要求，辅助业务系统也将满足二级要求。 （3） 、有了一个支持各类安全服务，如访问控制、身份认证、数据加密、 数字签名等的安全基础设施，保证了网络系统和应用

24、系统中各种安全服务实现 能够获得有效支持，同时为今后使用新的安全措施或加强和完善原有安全措施 提供了扎实的基础； （4） 、信息系统在省局和省局的对外边界出口清晰明确，配置的网 络边界防护设备给予信息系统内部有效的保护，可以防止和抵抗来自外 部对信息系统的攻击； （5） 、信息系统内部网络结构更加合理，根据信息和业务的重要性 有效地在内部划分出了级别不同的安全区域，安全区域之间的访问控制措施有 效地防止了非授权访问现象和防御了系统内部可能的攻击行为； （6） 、信息系统内部的重要区域，省局本部和备份中心得到更 高强度的保护，使各类业务应用可以安全、高效地开展，有效地保证了 各类业务的连续性；

25、（7） 、各类业务应用开展需要的基础平台，包括网络平台、网络操作系统、 主机操作系统、数据库系统的安全性，通过防病毒、入侵检测、漏洞检查、安 全加固等工作均获得加强，业务应用系统中的访问控制、身份认证、数据传输 等过程更加安全、可靠。 针对上述建设目标，本安全建设规划书的规划内容包括： 信息安全保障系统技术框架总体规划 针对“数据信息”为保护核心的要求，提出信息安全保障系统的技 术框架模型、应用模型规划；依据本规划的要求提出网络分级保护的网 信息系统安全规划建议书 第 13 页 共 216 页 络区域分级保护模型规划以及主要技术安全策略； 安全管理体系规划 安全管理体系规划和安全管理体系建设。

26、通过外部咨询和内容的建设，完 善的安全管理制定、规范其安全管理流程，落实各项安全管理行为。 网络与系统安全体系规划 依据总体规划思路，针对本部和省局的调度数据网络和综合信息网 络，提出网络规划方案；描述网络安全区域的划分、安全产品在实际网络环境 中的部署等； 安全基础设施（pki）建设规划 为全方位地保证应用系统的安全，以适应公司的业务发展，提出建 设以 pki 技术为核心的安全基础设施的规划思路，包括建设以 pki 为核心技术 的证书体系基础平台和建设安全应用支撑平台的方案； 应用系统安全规划 应用系统的安全规划主要涉及业务应用系统和系统应用平台，业务应用系 统的安全从访问控制，识别和认证、

27、数据传输安全、应用数据接口安全等几方 面考虑，系统应用平台的安全从主机安全、数据库安全、数据的存储和备份、 文件加密等几方面考虑； 五年实施计划及投资估算 提出未来五年内信息系统安全建设和安全改造的实施计划和工作内容；针 对上述安全基础设施（pki）建设规划、网络系统规划、应用系统规划内容分别 给出投资估算；针对五年实施计划和工作内容给出未来五年的安全建设投资估 算。 需要说明的是，本安全建设规划书规划的内容主要着眼于未来五年内的建设 目标，并未覆盖本规划的全部内容，建议在五年以后的安全规划中，应考虑覆 盖本规划的其他方面，如灾难备份等，逐步按照本规划的要求，建立起 信息系统的信息安全保障体系

28、。 信息系统安全规划建议书 第 14 页 共 216 页 2 安全现状和需求分析安全现状和需求分析 2.1 安全安全现状现状 经过多年的努力，的信息化建设取得了重大成绩，信息系统在 工作中的作用发挥了重要作用。信息化建设的发展，有效地促进了工 作的开展，提高了工作的监察和管理的水平。在大力发展信息化建设的同 时，信息系统及其支撑平台的安全建设也越来越受到相关领导、信息中 心、业务人员等的重视，并已经在信息系统安全防护方面作了一些投入。 2.1.1 信息系统安全构成要素信息系统安全构成要素 信息系统安全的构成要素是与信息系统安全相关的各个方面，包括信息安 全保护的对象、信息安全的管理者和参与者等

29、。信息系统安全的构成要 素主要有物理环境、硬件设施、软件设施、数据、网络、应用系统、组织 及人员。 物理环境物理环境 物理环境设施现状描述，省略。 硬件设施硬件设施 硬件设施现状描述，省略。 软件设施软件设施 软件设施现状描述，省略。 网络网络 网络环境现状描述，省略。 应用系统应用系统 应用义务系统现状描述，省略。 组织组织 信息安全组织体系现状描述，省略。 信息系统安全规划建议书 第 15 页 共 216 页 物理安全物理安全建设建设 对信息系统的物理安全十分重视，在组织、管理、技术等多个 层

30、面采取了有效措施。在技术上主要有： 机房都设置在专有空间。 根据防灾的要求建设机房，为机房配备了消防器材，开辟了消防通道， 防止灾害带来的安全事故。 设置了门禁和防盗监控装置，按标准进行网络布线等，防止设备、信 息的被盗和信息的泄露。 采用双路供电模式，同时配置了 ups，对一些数据库服务器、网络线 路等重要设备进行了冗余备份，提高了设备和系统的可靠性和可用性。 网络安全网络安全建设建设 各级部门在网络安全上主要采取了以下技术措施： 1.隔离和访问控制 在 internet 出口采用异构模式的防火墙设置，实现内部网与 internet 的隔离和访问控制。 在系统内部网络中，广泛采

31、用了虚拟子网(vlan)技术，在一定程 度上防范了不同行政部门间的非法访问。 在节点局域网与数据城域网的接入点布置加密机，实现粗粒度的访问 控制。 目前信息网络系统均与互联网、外联网物理隔离。 缺少细粒度的访问控制策略。 2.信息传输加密 省局、备份中心以及各省局之间都采用加密机实现数据城域网数据传 输的安全。 3.网络安全评估和防范 省局配置了网络漏洞扫描产品，发现安全漏洞及时采取措施，防范攻 击者利用漏洞或后门。 信息系统安全规划建议书 第 16 页 共 216 页 在 internet 出口处部署了入侵监测系统，监控和防范网络攻击。 聘请专业的第三方机构对进行了全面评估。 4.病毒防范

32、各级局域网普遍安装有病毒防护软件，通过安装不同的网络版和单 机版病毒防护软件，及时进行升级和病毒代码库更新，降低了病毒的危害程度。 系统安全系统安全建设建设 对操作系统和数据库管理系统的安全防范非常重视，各级系统操作 人员也较重视系统安全，对系统按要求进行安全配置，及时了解系统安全漏洞 的通告，并及时对系统进行升级，修补漏洞，在一定程度上降低了系统安全的 风险。 0 应用安全应用安全建设建设 对应用系统安全也采取了一些措施。 1.身份认证 信息系统的身份认证大都基于操作系统或数据库管理系统的帐号和 口令，大多数应用系统也是采用基于帐号和口令的身份认证技术，只有部分

33、局在网上系统中对*采用了基于数字证书的认证。 2.访问控制 目前，信息系统大都通过对操作系统、数据库管理系统或应用业务 系统的帐号进行授权，并通过帐号进行访问控制。 3.数据安全保护 采用访问控制限制不同用户对信息的访问、使用和处理，实现对信息的安 全保护。 4.通用应用软件安全 目前，对通用应用软件的安全主要从行政管理和安全配置两个方面保障， 如对邮件帐号的统一管理等。 5.安全审计 信息系统安全规划建议书 第 17 页 共 216 页 基本上还是使用系统原有的审计功能，如操作系统日志、数据库管理日志、 访问日志等。各日志的产生、使用、分析相互独立。其中，系统的应用审 计工作较好。 2.1.

34、1.11 组织与安全管理组织与安全管理建设建设 对组织机构建设十分重视，建立了相应的机构负责安全问题，制定 了安全规定与制度，指派了专人进行各种安全管理工作。 1.组织机构建设 的安全由省局、各省局的信息中心负责，省局的职责主要是制定全 局的安全策略和省局的安全维护，包括方案的制定、技术手段的选择、设备的 选型、工程的实施、系统的维护等，省局设立专职的安全专员。各省局信息中 心设立了兼职的安全管理员，负责信息系统的日常安全管理，如系统安全检查、 系统漏洞修补、病毒防护软件升级、病毒代码更新等。 2.安全管理 非常重视安全管理规章制度的建设，制定了信息系统管理规范 ， 各省局也根据自己的实际情况

35、，制定了一些相应的规章制度，有力地保障了信 息系统的安全。 信息系统管理规范涉及计算机管理机构的设置及工作职责、信息化工 程管理、计算机信息系统安全管理和计算机信息系统日常维护管理： 机房环境建设：用电、防火、防灾、防盗、除尘、电器使用规定等。 机房安全管理：出入管理、人员控制等规定。 安全操作流程：权限管理、数据备份、安全检查、漏洞修补、防病毒 软件升级和代码更新等。 媒体管理：数据媒体的保管、使用、借阅规定； 人员管理：人员职责等。 其它管理制度：帐号管理、口令管理等。 每年组织和开展人员安全培训，通过讲座、技能培训、能力考核等 方式，增强人员的安全防范意识、提高人员安全防范技能。 信息系

36、统安全规划建议书 第 18 页 共 216 页 2.2 信息系统面临的威胁信息系统面临的威胁 信息系统面临的安全威胁多种多样，这些威胁针对信息系统的保密 性、完整性、可用性和资源的可授权访问等基本安全目标，主要有信息泄漏、 完整性破坏、服务拒绝、未授权访问等，这些威胁来自各方面，威胁的方法各 异。 2.2.1 威胁的来源威胁的来源 对信息系统的威胁来源主要有自然的威胁、来自外部和内部的人为威 胁及病毒和恶意代码的威胁。 自然威胁自然威胁 地处我国南部，夏天气温高，湿度大，冬天湿冷，春秋天雨水较多， 自然威胁方面因素较多，主要是针对物理环境和硬件设施的。主要的自然威胁 有： 火灾、

37、雷击等自然灾害； 恶劣的环境，如不适宜的温度、湿度，以及尘埃、静电等； 电源、设备故障等。 外部威胁外部威胁 由于目前业务专网与互联网、外联网基本是通过专用的物理隔离设 备进行隔离的，因此信息系统面临的外部威胁还不多，但是随着网上系 统的发展和数据交互信息的增大，业务专网将面临更多的外部威胁。这些威胁 对象主要来自黑客和恶意罪犯的攻击，这些攻击可以分为个体的、群体的、甚 至国家级的攻击。 内部威胁内部威胁 内部人员操作不当，特别是系统管理员和安全管理员对管理配置的操作失 误，这些失误可能造成重大的安全事故。此外，缺乏健全的管理制度和制度执 行不力，给内部人员的违规操

38、作和犯罪留下了可乘之机。 信息系统安全规划建议书 第 19 页 共 216 页 病毒和恶意代码的威胁病毒和恶意代码的威胁 病毒和恶意代码的威胁主要针对操作系统、数据库管理系统、应用系统等 软件。病毒和恶意代码的威胁主要来自互联网、内部网络的传播，软盘、usb 盘、光盘等介质的传播。 2.2.2 威胁的方法威胁的方法 针对信息系统的外部和内部威胁的方法是多种多样的，这些方法易 掌握、易传播，因此对信息系统的危害很大。 偷盗和物理破坏偷盗和物理破坏 对设施和设备的偷盗和破坏可以来自外部，也可以来自内部。偷盗和破坏 将导致设备的丢失或毁坏，破坏系统的可用性和完整性。个别省

39、局与省局连接 的专线，存在被第三方人员破坏的事件和行为。 假冒假冒 假冒攻击可以来自外部和内部，主要有： 假冒管理员对网络设备或系统进行非法的配置或修改配置； 假冒主机欺骗合法的主机和用户，如 ip 地址欺骗； 假冒控制程序套取或修改使用权限、口令、密钥等信息； 非授权个人利用授权用户的机器； 假冒合法用户欺骗系统，占用合法用户资源； 对软件程序代码的假冒，破坏系统流程的完整性等。 抵赖抵赖 抵赖指实体出于某些目的否认自己的行为，主要有： 信息发送者对信息发送行为或发送的信息内容的抵赖； 信息接收者对信息接收行为或接收的信息内容的抵赖； 信息处理者对信息处理行为或处

40、理的信息内容的抵赖； 管理员、用户对系统配置或操作及系统资源使用等行为的抵赖等。 信息系统安全规划建议书 第 20 页 共 216 页 完整性破坏完整性破坏 完整性破坏包括对信息和系统的完整性破坏，主要有： 改变信息流的次序、时序、流向、格式、内容； 删除信息全部或一部分； 在信息中插入一些无意义或有害的数据； 篡改、删除、插入软件程序代码，特别是被外部人员故意种植木马 等后门程序，破坏业务系统和平台的完整性； 修改路由信息，导致路由破坏； 非法使用拨号设备上网，破坏网络边界保护的完整性等。 可用性破坏可用性破坏 对信息系统的可用性的破坏主要有： 利用网络协议或系统

41、漏洞对系统进行的拒绝服务攻击，如 tcp syn flooding 攻击等； 通过修改合法用户鉴别信息，使合法用户不能正常访问系统资源； 使有严格时间要求的服务不能及时响应； 对系统软件、硬件或网络结构的破坏，导致网络或系统不可用。 旁路控制旁路控制 旁路控制指对信息系统的鉴别或访问控制机制设置旁路，从而绕过系统对 用户身份和权限的检查，进行非法操作和非法使用资源。攻击者利用信息系统 的弱点或安全性上缺陷实现旁路控制。 侦听和截收侦听和截收 攻击者通过搭线窃听或电磁辐射探测等方法截获信息，如窃取帐号、口令、 网络控制信息、保密信息等。 重放重放 攻击者

42、先截收有效信息或保密信息，如身份信息、口令、网络控制信息等， 然后重放这些信息，从而实现假冒、完整性破坏、可用性破坏等。 信息系统安全规划建议书 第 21 页 共 216 页 陷门陷门 陷门是存在于软件、硬件或文件中的机关，在特定的条件下危害系统安全， 如修改口令的有效性、建立隐蔽信道、植入病毒和恶意程序等，以达到窃取、 更改、伪造、破坏信息资源的目的。 0 资源滥用资源滥用 对资源的滥用主要来自内部，如： 内部人员有意或无意的泄漏重要信息，如口令、密钥、敏感信息等； 内部人员未经授权使用网络设备和系统、修改网络设备和系统的配置； 内部人员对磁盘、光盘、键盘、电话、

43、传真等存储介质和输入输出设 备的滥用，造成信息泄漏、病毒和恶意代码的传播、口令随意尝试等； 内部人员对设备、软件的滥用，造成设备损坏、病毒和恶意代码的传 播、陷门和形成隐蔽信道等，带来严重安全隐患。 2.3 系统信息安全风险分析系统信息安全风险分析 经过多年建设，已取得了很大的成绩，但随着网络技术的发展、尤 其是各种网络攻击技术的发展，使得原有的安全防护技术不能满足新的发展需 求。我们将综合评估报告 ，从物理、网络、系统、应用和管理等层面 对安全风险进行全面的分析，为其后续系统信息安全体系的建设提供依 据。 2.3.1 物理层面的安全风险物理层面的安全风险 物理层面的安全风险指针对物理环境、设

44、备及介质的安全风险。主要表现 在它对电源及温度、湿度、尘埃、电磁场等环境比较敏感，容易受到自然灾害 和人为的物理破坏。 信息系统安全规划建议书 第 22 页 共 216 页 环境安全风险环境安全风险 环境安全风险主要包括自然威胁、电磁辐射和干扰，以及对中心机房和工 作场地的出入控制、区域保护、灾难保护、管理制度不完善等。 的环境方面，做到了办公场地专用，所以，此类风险较低。 设备安全风险设备安全风险 设备的安全风险主要有： 设备或部件没有明显的不可去除的标记，丢失后无法追查等。 设备可用性的风险，如计算机主机、外部设备、网络设备及其它辅助 设备等没有有效的故障报警、

45、诊断机制；设备提供商不能及时提供技 术支持等，这些因素将会严重影响系统的运行持续性。 人为操作失误或违规操作引起设备故障，造成系统运行中断。 介质安全风险介质安全风险 存储介质的安全风险主要有： 介质由于霉变、电磁干扰、物理损伤等原因很可能会导致部分甚至全 部数据的损坏。 介质老化造成的数据丢失和数据交换可靠性的降低。 介质和介质数据因机房出入控制不严或管理不善丢失或被盗窃、毁坏。 介质管理不严或废弃介质处理不当，导致信息的随意复制或泄漏。 由于数据存储介质中的作废数据没有被彻底销毁，造成数据被恢复， 泄漏重要信息。 2.3.2 网络层面的安全风险网络层面的安全风险 网络层面的安

46、全风险主要包括网络边界接入风险、网络节点间数据传输风 险、网络节点计算环境安全风险等。 信息系统安全规划建议书 第 23 页 共 216 页 网络边界接入风险网络边界接入风险 网络的广泛互联促进了业务的发展，但也增加了网络边界的风险。 这些边界风险包括： 1.数据城域网接入风险 由于数据城域网线路由电信运营商提供，运营商只负责提供足够的网络带 宽和可用性，并不保证安全，因此存在较大风险。 2.移动用户接入风险 通常移动用户所处的安全环境较复杂，在使用拨号连接接入业务专网时， 身份认证、数据安全等风险较大。 3.互联网接入风险 目前，业务专网与互联网是通过物理隔离设备进行隔离，因此

47、外部没 有对业务专网进行攻击的途径，安全风险相对较小。随着网上系统业务的开展 和推广，为了确保对*的服务，互联网与业务专网之间信息交互的信息将增大 很多，业务专网将直接面对来自互联网的各类威胁，如路由破坏、未授权访问、 信息窃听、拒绝服务攻击、针对路由器和交换机等边界网络设备的攻击，以及 病毒、蠕虫的传播等，风险巨大。 4.外联网接入风险 系统需要与业务合作单位之间通过外联网进行业务数据交换，这种接 入也会引入包括非法入侵、数据破坏等各种安全风险。 网络节点间数据传输风险网络节点间数据传输风险 尽管在省局和省局业务专网的各级网络节点间不传输涉密数据，但仍然会 传输许多系统内部的敏

48、感数据，包括大量信息、决策信息、 数据等，若被泄漏或破坏，将对的执行及和国民经济政策的决策造成 重大影响。 网络节点局域网安全风险网络节点局域网安全风险 根据调查，在已发生的危害网络安全的事件中，约 80%来自内部网络，根 信息系统安全规划建议书 第 24 页 共 216 页 据局域网的情况分析，面临的安全风险主要有： 网络中存在的单点故障风险。 由于在系统内部，没有明确界定不同用户、不同信息和不同系统 的安全级别，没有实现基于安全域的访问控制，给关键系统和信息的 安全保护带来了风险。 在内部网不同安全域之间普遍没有防护措施，不能有效抵御内部的安 全威胁。 对擅自利用拨号上网设备

49、连接互联网的现象没有有效的技术防范措施， 造成内部局域网络边界完整性的破坏，为来自互联网的攻击和病毒、 恶意代码的传播提供了通道。 内部人员由于好奇或某些目的，运行可能危害网络安全的软件和程序， 造成病毒、恶意代码的扩散、传播。 内部人员有意或无意间泄漏内部网络结构、帐号、口令等重要信息， 为针对网络的攻击提供了条件。 内部人员通过各种方式盗取他人或系统的敏感信息并传播出去。 针对路由器、交换机的攻击，造成路由破坏。 网络管理安全风险网络管理安全风险 目前，使用的网管软件大都基于 snmp 协议，由于 snmp 协议在安 全上有脆弱性，以及软件配置不合理，网络管理上存在着很大的安

50、全风险。加 上策略不统一，难以对整个网络进行有效、统一的管理。 其它安全风险其它安全风险 信息系统的网络安全基本上还是以防火墙技术为主，没有形成完整 的网络安全防护技术体系，无法实现对网络的深度多重防御，主要表现在以下 方面： 网络安全风险评估没有制度化、规范化，不能及时发现安全隐患并做 出响应。 还没有形成全网统一的病毒防范机制。 信息系统安全规划建议书 第 25 页 共 216 页 2.3.3 系统层面的安全风险系统层面的安全风险 系统层面的安全风险指操作系统和数据库管理系统面临的风险。 操作系统安全风险操作系统安全风险 操作系统面临的安全风险主要来自两个方面，

51、一方面来自操作系统本身的 脆弱性，另一方面来自对系统的使用、配置和管理，主要有： 信息系统使用的操作系统为通用系统，在安全机制的设计上有 很多缺陷，如访问控制大都采用帐号/口令机制、没有口令强度的要求、 超级管理员权限过大、数据保密性和完整性靠访问控制来保护等，带 来很大的安全风险。 信息系统的主机较多采用了 windows 2000/2003 操作系统，由于 windows 的安全性比较差，对网络系统的整体安全构成较大的威胁。 aix 操作系统开放了含有弱点的服务和过多的无用系统服务，这些服 务一方面可能增加系统的运行负载，另一方面也可能引发一些较为严 重的安全问题。如 finger 服务可

52、以获取系统用户情况，某些 rpc 的远 程溢出则可能通过含有安全弱点的 rpc 服务绕过系统的认证体系，直 接获取系统管理员的权限。 没有及时安装安全补丁，致使系统存在许多已被公开的漏洞，降低了 系统自身的安全性和可靠性。 没有有效的主机漏洞扫描、入侵检测手段，缺乏必要和足够的日志审 计功能，不能及时发现系统漏洞和对系统的入侵，也不能对已经发生 或者潜在的安全事件进行有效的纪录和追溯定位。 缺乏统一的安全策略和用户管理及访问控制措施，大量采用了简单的 或者默认的口令，甚至是空口令，无法有效拒绝非法的未经授权的访 问和越权访问。 信息系统安全规划建议书 第 26 页 共 216 页 2.3.3.

53、2数据库管理系统安全风险数据库管理系统安全风险 采用的数据库系统主要有 sybase 和 sql 数据库管理系统，面临的 安全风险有： 脆弱的帐号设置。在许多情况下，数据库用户往往缺乏足够的安全设 置，例如未禁用缺省用户帐号和密码，用户口令设置存在脆弱性和空 口令等。 缺乏角色分离。传统数据库管理并没有“安全管理员（security administrator） ”这一角色，这就迫使数据库管理员（dba）既要负责 帐号的维护管理，又要专门对数据库执行性能和操作行为进行调试跟 踪，从而导致安全管理效率低下。 缺乏审计跟踪。数据库审计经常被 dba 以提高性能或节省磁盘空间为 由忽视或关闭，这大大

54、降低了安全管理的效率。 2.3.4 应用层面的安全风险应用层面的安全风险 应用层面的安全风险指通用应用软件和应用系统面临的安全风险。这些风 险主要来自应用软件或软件的开发、安装、运行、管理过程。 软件设施的脆弱性软件设施的脆弱性 软件设施的脆弱性主要表现在软件设计的漏洞、安全机制的缺陷、网络通 信协议和网络管理协议上的安全缺陷。 1.设计漏洞 软件设计中的疏忽，软件设计中不必要的功能冗余及软件过长、过大，不 按信息安全保护等级要求进行模块化设计，软件工程实现中造成的软件系统内 部逻辑混乱等，都会在软件设计上形成“漏洞” 。这些漏洞很可能成为安全的 隐患，为攻击提供条件。 2.安全

55、机制的缺陷 目前，信息系统采用的操作系统和数据库管理系统都是通用的软件 产品，这些产品为了实现通用的要求，在安全机制的设计上就考虑的比较少， 信息系统安全规划建议书 第 27 页 共 216 页 以至形成一些安全缺陷，例如： 特权用户或超级管理员的存在，使得系统的安全管理完全掌握在特权 用户或超级管理员的手里； 访问控制大都采用帐号/口令机制。口令很容易被猜测，或在传输中被 截获； 数据的保密性、完整性基本上依赖于系统帐号/口令的访问控制机制， 对数据的保护都很弱。一旦口令被攻破，很容易造成数据的泄漏和破 坏； 软件代码没有保护措施，很容易被篡改、替换。 3.网络通信协议的安全缺陷 tcp/i

56、p 协议是信息系统网络通信采用最多的协议。由于 tcp/ip 协议 在最初设计时就没有考虑安全性问题，因此协议自身有许多固有的安全缺陷， 如：以 ip 地址作为网络节点的唯一标识，缺乏对用户身份的鉴别，ip 地址很容 易被伪造和更改；缺乏对路由信息的鉴别认证和保护，路由信息很容易被修改 等。 各层应用服务协议，如 finger、ftp、telnet、pop3、smtp、dns 等，也 存在着许多安全缺陷，这些缺陷涉及鉴别、访问控制、完整性、保密性等多个 方面，这些缺陷都是攻击者利用的目标。 4.网络管理协议的安全缺陷 目前，信息系统使用的主要的网络管理协议是 snmp v1 和 snmp v2

57、，它们不支持或没有完善的对网络管理数据的保密性、完整性和真实性保护 机制。 安全机制的风险安全机制的风险 总体上看，信息系统还没有建立基于 pki 的强认证安全技术体系， 使一些应用系统的安全机制脆弱，给应用的安全带来了风险。应用安全采用的 安全机制主要有身份认证机制、访问控制机制、保密性机制、完整性机制、真 实性机制、抗抵赖机制、安全审计机制、备份和恢复机制等。这些机制可以采 用多种不同的技术实现。 信息系统安全规划建议书 第 28 页 共 216 页 1.身份认证机制和访问控制机制 目前，应用系统采用的身份认证机制主要是帐号/口令认证机制，访问 控制机制主要是建立在上述身份认

58、证机制基础上的粗粒度的自主或强制访问控 制，这种机制的风险在于：一方面，一旦非法用户假冒了合法用户的身份，就 可以完全占用合法用户的资源，对合法用户的资源构成威胁；另一方面，系统 超级管理员可以有意或无意地更改用户权限，对整个系统的安全带来隐患。 网上系统在设计方面进行了基于证书的安全改造，但是，并未得到全面推 广，其系统的认证还主要依赖于帐号/口令认证。 2.保密性、完整性、真实性机制 目前，在应用系统中，数据的保密性和完整性依赖于访问控制机制， 一旦用户口令泄露，信息就会暴露。此外，绕过上层应用系统的访问控制，在 后台阅读、修改、删除信息也将危害信息的保密性、完整性和真实性。 3.抗抵赖机

59、制 由于没有采用数据防抵赖技术，因此，应用系统中信息的不可抵赖 性还得不到保证。 4.安全审计机制 目前，应用系统大都有安全审计机制，但还不完善，多数应用系统 的审计功能都未启动。另外，审计数据自身缺乏有效的完整性保护，给安全审 计的有效性带来了风险。 5.备份和恢复机制 目前，应用系统采用了数据手工备份、异机备份等备份机制， 系统进行了应用系统的备份，关键应用都采用备份中心进行异地备份机制。 但是，所有的备份数据和应用数据缺乏灾难恢复预演和预案，应用系统发生故 障、遭受攻击或发生自然灾害时，系统和数据不能快速有效地恢复，甚至不能 有效防止数据的丢失，风险很大。 软件开发过程的风

60、险软件开发过程的风险 由于系统使用的多数应用系统软件委托软件公司开发，在开发过程 中，开发过程的保密性、开发成果的完整性、应用软件安全性测试和评估、软 信息系统安全规划建议书 第 29 页 共 216 页 件代码的安全保存和发放等方面的风险也不容忽视。 应用软件安全风险应用软件安全风险 目前系统使用的通用应用软件主要有 web 服务软件、ftp 服务软件， 电子邮件服务软件、群件系统、文字处理软件和各类中间件等。这些软件在安 全机制的设计上也存在着缺陷和漏洞，另外，对这些软件配置和使用不当也给 应用系统带来很大的风险。这些风险主要有域名欺骗、web 页面篡改、邮件炸 弹、病毒等。