分级保护项目方案设计

1、分级保护工程方案设计第三章 平安保密风险分析 3.1 脆弱性分析 脆弱性是指资 产或资产组中能被威胁所利用的弱点它包括物理环境、组织 机构、业务流程、人员、管理、硬件、软件及通讯设施等各 个方面。脆弱性是资产本身存在的如果没有被相应的威胁利 用单纯的脆弱性本身不会对资产造成损害而且如果系统足 够强健严重的威胁也不会导致平安事件发生并造成损失。威 胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱 性具有隐蔽性有些脆弱性只有在一定条件和环境下才能显 现这是脆弱性识别中最为困难的局部。不正确的、起不到任 何作用的或没有正确实施的平安措施本身就可能是一个弱 点脆弱性是风险产生的内在原因各种平安薄弱

2、环节、平安弱 点自身并不会造成什么危害它们只有在被各种平安威胁利 用后才可能造成相应的危害。针对XXX机关涉密信息系统我们主要从技术和管理两个方面分析其存在的平安脆弱性。 技术脆弱性 1. 物理平安脆弱性 环境平安物理环境的平安 是整个基地涉密信息系统平安得以保障的前提。如果物理安 全得不到保障那么网络设备、设施、介质和信息就容易受到 自然灾害、环境事故以及人为物理操作失误或错误等各种物 理手段的破坏造成有价值信息的丧失。目前各级XXX企业的中心机房大局部采用独立的工作空间并且能够到达国家标 准GB501741993?电子电脑机房设计标准?、GB28871989?电脑场地技术条件?、GB936

3、11998?计算站场地平安要求?和BMBI7 2006?涉及国家秘密的信息系统分级保护技术要求? 等要求。 设备平安涉密信息系统的中心机房均按照保密标 准要求采取了平安防范措施防止非授权人员进入防止设备 发生被盗、被毁的平安事故。介质平安目前各级 XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储 第 2 页 共 129 页 信息的最高密级标明密级并按相应的密级管理。 2. 运行平安脆弱性分析 备份与恢复备份与恢复是保证涉密信 息系统运行平安的一个不可无视问题当遇到如火灾、水灾等 不可抗因素不会造成关键业务数据无法恢复的惨痛局面。同 时将备份关键业务数据的存储介质放置在其他建筑屋内防 止在

4、异常事故发生时被同时破坏。网络防病毒各级 XXX企业涉密网络中的操作系统主要是 windows 系列操作系统。虽 有平安措施却在不同程度上存在平安漏洞。同时病毒也是对 涉密网络平安的主要威胁有些病毒可感染扩展名为 corn 、 exe 和 ovI 的可执行文件当运行这些被感染的可执行文件时 就可以激活病毒有些病毒在系统底层活动使系统变得非常 不稳定容易造成系统崩溃。还有蠕虫病毒可通过网络进行传 播感染的电脑容易导致系统的瘫痪。近年来木马的泛滥为电 脑的平安带来了严重的平安问题。木马通常是病毒携带的一 个附属程序在被感染的电脑上翻开一个后门使被感染的电 脑丧失局部控制权另外还有黑客程序等可以利用

5、系统的漏洞和缺陷进行破坏都会为涉密网络带来平安风险。各级 XXX 企业涉密网络中采用网络版杀毒软件对涉密系统进行病毒 防护并制定合理的病毒升级策略和病毒应急响应方案以保 证涉密网络的平安。应急响应与运行管理各级 XXX企业采用管理与技术结合的手段设置定期备份机制在系统正常运 行时就通过各种备份措施为灾害和故障做准备健全平安管 理机构建立健全的平安事件管理机构明确人员的分工和责 任建立处理流程图制定平安事件响应与处理方案及事件处 理过程示意图以便迅速恢复被平安事件破坏的系统。3. 信息平安保密脆弱性 自身脆弱性任何应用软件都存在不同程 度的平安问题主要来自于两个方面一方面是软件设计上的 平安漏洞

6、另一方面是平安配置的漏洞。针对软件设计上的安 全漏洞和平安配置的漏洞如果没有进行适宜的配置加固和 平安修补就会存在比拟多的平安风险。由于目前防病毒软件 大多集成了局部漏洞扫描功能并且涉密网络中的涉密终端 与互联网物理隔离因此可以通过对涉密网络进行漏洞扫描 定期下载升级补丁并制定相应的平安策略来防护。第 3 页共 129 页 电磁泄漏发射防护信息设备在工作中产生的时变 电流引起电磁泄漏发射将设备处理的信息以电磁波的形式 泄露在自由空间和传导线路上通过接收这种电磁波并采取 相应的信号处理技术可以窃取到信息。这种窃收方式危险小 不易被发现和觉察随着我国信息化水平的不断提高我国涉 密部门大量使用电脑、

7、网络终端等办公自动化设备涉密信息 的平安保密受到严重威胁这种威胁不像病毒攻击和网络攻 击那样可以看到或者有迹可寻它的隐蔽性强危害极大。 安 全审计平安审计是对信息系统的各种事件及行为实行监测、 信息采集、 分析并针对特定事件及行为采取相应动作 XXXXXX 企业涉密信息系统没有有效的审计应用系统出现了问题之 后无法追查也不便于发现问题造成了损失也很难对原因进 行定性。 边界平安防护电脑连接互联网存在着木马、病毒、 黑客入侵的威胁并且我国平安保密技术手段尚不完备、对操 作系统和网络设备的关键技术尚未掌握缺乏以抵挡高技术 窃密因此涉密网络必须与互联网物理隔离而仅将涉密系统 置于独立的环境内进行物理

8、隔离并不能做到与互联网完全 隔离内部用户还可以通过 ADSL Modem无线网卡等方式连 接国际互联网因此应该通过技术手段对违规外联行为进行 阻断另外涉密网络中的内部介入问题也为涉密网络带来安 全威胁。 数据库平安数据库系统作为电脑信息系统的重要 组成局部数据库文件作为信息的聚集体担负着存储和管理 数据信息的任务其平安性将是信息平安的重中之重。数据库 的平安威胁主要分为非人为破坏和人为破坏对于非人为破 坏主要依靠定期备份或者热备份等并在异地备份。人为破坏 可以从三个方面来防护一、物理平安保证数据库效劳器、数 据库所在环境、相关网络的物理平安性二、访问控制在帐号 管理、密码策略、权限控制、用户认

9、证等方面加强限制三、 数据备份定期的进行数据备份是减少数据损失的有效手段 能让数据库遭到破坏后恢复数据资源。 操作系统平安操作 系统的平安性在电脑信息系统的整体平安性中具有至关重 要的作用没有操作系统提供的平安性信息系统和其他应用 系统就好比“建筑在沙滩上的城堡。我国使用的操作系统 95以上是 Windows微软的 Windows操作系统源码不公开无法 对其进行分析不能排除其中存在着人为“陷阱。现已发现 存在着将用户信息发送到微软网站的“后门。在没有源码 的情形下很难加强操作系统内核的平安性从保障我国网络 及信息平安的角度考虑必须增强它的平安性因 第 4 页 共 129 页 此采用设计平安隔离

10、层中间件的方式增加平安 模块以解燃眉之急。 3.1.2 管理脆弱性 任何信息系统都离 不开人的管理再好的平安策略最终也要靠人来实现因此管 理是整个网络平安中最为重要的一环所以有必要认真地分 析管理所存在的平安风险并采取相应的平安措施。 物理环 境与设施管理脆弱性包括周边环境、涉密场所和保障设施 等。 人员管理脆弱性包括内部人员管理、外部相关人员管 理等。 设备与介质管理脆弱性采购与选型、操作与使用、 保管与保存、维修与报废等。 运行与开发管理脆弱性运行 使用、应用系统开发、异常事件等。 信息保密管理脆弱性 信息分类与控制、用户管理与授权、信息系统互联。责权不 明、管理混乱、 平安管理制度不健全

11、及缺乏可操作性等。 当 网络出现攻击行为、网络受到其它一些平安威胁如内部人员 违规操作以及网络中出现未加保护而传播工作信息和敏感 信息时系统无法进行实时的检测、监控、报告与预警。同时 当事故发生后也无法提供追踪攻击行为的线索及破案依据 即缺乏对网络的可控性与可审查性。这就要求我们必须对网 络内出现的各种访问活动进行多层次记录及时发现非法入 侵行为和泄密行为。 要建设涉密信息系统建立有效的信息 平安机制必须深刻理解网络和网络平安并能提供直接的安 全解决方案因此最可行的做法是平安管理制度和平安解决 方案相结合并辅之以相应的平安管理工具。 3.2 威胁分析 3.2.1 威胁源分析 作为一个较封闭的内

12、网攻击事件的威胁 源以内部人员为主内部人员攻击可以分为恶意和无恶意攻 击攻击目标通常为机房、网络设备、主机、介质、数据和应 用系统等恶意攻击指 XXX企业内部人员对信息的窃取无恶意 攻击指由于粗心、无知以及其它非恶意的原因而造成的破 坏。对于XXX机关涉密信息系统来讲内部人员攻击的行为 可能有以下几种形式 1 被敌对势力、 腐败分子收买窃取业务 资料 第 5 页 共129页 2 恶意修改设备的配置参数比方修 改各级XXX企业网络中部署的防火墙访问控制策略扩大自己 的访问权限 3 恶意进行设备、 传输线路的物理损坏和破坏 4 出于粗心、好奇或技术尝试进行无意的配置这种行为往往对系统造成严重的后果

13、而且防范难度比拟高。 3.2.2 攻击类 型分析 1. 被动攻击被动攻击包括分析通信流监视未被保 护的通讯解密弱加密通讯获取鉴别信息比方口令。被动攻击 可能造成在没有得到用户同意或告知用户的情况下将信息 或文件泄露给攻击者。对于各级XXX企业网络来讲被动攻击的行为可能有以下几种形式 1 有意识的对涉密信息应用系 统进行窃取和窥探尝试 2 监听涉密信息网络中传输的数据 包 3 对涉密信息系统中明文传递的数据、报文进行截取或 篡改 4 对加密不善的帐号和口令进行截取从而在网络内获 得更大的访问权限 5 对网络中存在漏洞的操作系统进行探 测 6 对信息进行未授权的访问 2. 主动攻击主动攻击包括 试

14、图阻断或攻破保护机制、 引入恶意代码、 偷窃或篡改信息。 主动进攻可能造成数据资料的泄露和散播或导致拒绝效劳 以及数据的篡改。对于 XXX机关涉密信息系统来讲主动攻击 的行为可能有以下几种形式 1 字典攻击黑客利用一些自动 执行的程序猜想用户名和密码获取对内部应用系统的访问 权限 2 劫持攻击在涉密信息系统中双方进行会话时被第三 方黑客入侵黑客黑掉其中一方并冒充他继续与另一方进行 会话获得其关注的信息 3 假冒某个实体假装成另外一个实 体以便使一线的防卫者相信它是一个合法的实体取得合法 用户的权利和特权这是侵入平安防线最为常用的方法 4 截 取企图截取并修改在本院涉密信息系统络内传输的数据以

15、及省院、地市院、区县院之间传输的数据 5 欺骗进行 IP 地 址欺骗在设备之间发布假路由虚假 AI 冲数据包 第 6 页 共 129 页 6 重放攻击者对截获的某次合法数据进行拷贝以后 出于非法目的而重新发送 7 篡改通信数据在传输过程中被 改变、删除或替代 8 恶意代码恶意代码可以通过涉密信息 网络的外部接口和软盘上的文件、软件侵入系统对涉密信息 系统造成损害 9 业务拒绝对通信设备的使用和管理被无条 件地拒绝。 绝对防止主动攻击是十分困难的因此抗击主动 攻击的主要途径是检测以及对此攻击造成的破坏进行恢复。 3.3 风险的识别与确定 3.3.1 风险识别 物理环境平安风险 网络的物理平安风险

16、主要指网络周边环境和物理特性引起 的网络设备和线路的不可用而造成网络系统的不可用如 1 涉密信息的非授权访问异常的审计事件 2 设备被盗、被毁 坏 3 线路老化或被有意或者无意的破坏 4 因电子辐射造 成信息泄露 5 因选址不当造成终端处理内容被窥视 6 打 印机位置选择不当或设置不当造成输出内容被盗窃 7 设备 意外故障、 停电 8 地震、 火灾、 水灾等自然灾害。 因此 XXX 企业涉密信息系统在考虑网络平安风险时首先要考虑物理 平安风险。例如设备被盗、被毁坏设备老化、意外故障电脑 系统通过无线电辐射泄露秘密信息等。 介质平安风险因温 度、湿度或其它原因各种数据存储媒体不能正常使用因介质

17、丧失或被盗造成的泄密介质被非授权使用等。 运行平安风 险涉密信息系统中运行着大量的网络设备、效劳器、终端这 些系统的正常运行都依靠电力系统的良好运转因电力供应 突然中断或由于 UPS和油机未能及时开始供电造成效劳器、 应用系统不能及时关机保存数据造成的数据丧失。因 第 7 页 共 129 页 为备份措施不到位造成备份不完整或恢复不及 时等问题。 信息平安保密风险涉密信息系统中采用的操作 系统主要为 Windows 2000 serverWindows XP 、数据库都不 可防止地存在着各种平安漏洞并且漏洞被发现与漏洞被利 用之间的时间差越来越大这就使得操作系统本身的平安性 给整个涉密信息系统带

18、来巨大的平安风险。另一方面病毒已 成为系统平安的主要威胁之一特别是随着网络的开展和病 毒网络化趋势病毒不仅对网络中单机构成威胁同时也对网 络系统造成越来越严重的破坏所有这些都造成了系统平安 的脆弱性。 涉密信息系统中网络应用系统中主要存在以下 平安风险 1. 用户提交的业务信息被监听或修改用户对成 功提交的业务事后抵赖 2. 由于网络一些应用系统中存在 着一些平安漏洞包括数据库系统与 IIS 系统中大量漏洞被越 来越多地发现因此存在非法用户利用这些漏洞对专网中的 这些效劳器进行攻击等风险。 效劳系统登录和主机登录使 用的是静态口令口令在一定时间内是不变的且在数据库中 有存储记录可重复使用。这样

19、非法用户通过网络窃听非法数 据库访问穷举攻击重放攻击等手段很容易得到这种静态口令然后利用口令可对资源非法访问和越权操作。另外在 XXX 企业涉密信息系统中运行多种应用系统各应用系统中几乎 都需要对用户权限的划分与分配这就不可防止地存在着假 冒越权操作等身份认证漏洞。此外网络边界缺少防护或访问 控制措施不力、以及没有在重要信息点采取必要的电磁泄漏 发射防护措施都是导致信息泄露的因素。 平安保密管理风 险再平安的网络设备离不开人的管理再好的平安策略最终 要靠人来实现因此管理是整个网络平安中最为重要的一环 尤其是对于一个比拟庞大和复杂的网络更是如此。XXX 企业在平安保密管理方面可能会存在以下风险当

20、网络出现攻击 行为或网络受到其它一些平安威胁时如内部人员的违规操 作等无法进行实时的检测、监控、报告与预警。虽然制定了 相关管理制度但是缺少支撑管理的技术手段使事故发生后 无法提供攻击行为的追踪线索及破案依据。因此最可行的做 法是管理制度和管理解决方案的结合。 第 8 页 共 129 页 3.3.2 风险分析结果描述 风险只能预防、防止、降低、转 移和接受但不可能完全被消灭。风险分析就是分析风险产生 / 存在的客观原因描述风险的变化情况并给出可行的风险降 低方案。 XXX 企业涉密信息系统的分级保护方案应该建立在 风险分析的根底之上根据“脆弱性分析和“威胁分析中 所得到的系统脆弱性和威胁的分析

21、结果详细分析它们被利 用的可能性的大小并且要评估如果攻击得手所带来的后果 然后再根据涉密信息系统所能承受的风险来确定系统的保 护重点。本方案所采用的风险分析方法为“平安威胁因素分 析法围绕信息的“机密性、“完整性和“可用性三 个最根本的平安需求针对前述每一类脆弱性的潜在威胁和 后果进行风险分析并以表格的形式表达对于可能性、危害程 度、风险级别采用五级来表示等级最高为五级如下表 层面 脆弱和威胁 可能性 危害程度 风险级别 物理层 自然灾害 与环境事故、电力中断 重要设备被盗 内外网信号干扰 电 磁辐射 恶劣环境对传输线路产生电磁干扰 采用纸制介质 存储重要的机密信息 线路窃听 存储重要的机密信

22、息移动 介质随意放置 网络层 网络拓扑结构不合理造成旁路可以 出现平安漏洞 不同用户群、不同权限的访问者混在一起不 能实现有效的别离 网络阻塞用户不能实现正常的访问 非 法用户对效劳器的平安威胁 共享网络资源带来的平安威胁 系统重要管理信息的泄漏 传播黑客程序 进行信息监听 ARP攻击威胁利用TCP协议缺陷实施拒绝效劳攻击 系统层 操作系统存在着平安漏洞 系统配置不合理 操作系统访问 控制脆弱性 网络病毒攻击 合法用户主动泄密 第 9 页 共 129 页 非法外连 存储信息丧失 应用层 应用软件自身脆弱 性 应用系统访问控制风险 应用软件平安策略、代码设计不 当 数据库自身的平安问题 抵赖风险

23、 缺乏审计 操作系统 平安带来的风险 数据库平安风险 管理层 松散的管理面临泄密的风险 平安保密管理机构不健全 人员缺乏平安意识 人员没有足够的平安技术的培训 平安规那么制度不完善 表 3-1 XXX 企业涉密信息系统风险分析表 第 10 页 共 129 页 第四章 平安保密需求分析 4.1 技术防护需求分析 4.1.1 机房与重要部位 XXX 企业内网和外网已实现物理隔离置于 不同的机房内。内网机房、机要室等重要部位将安装电子监 控设备并配备了报警装置及电子门控系统对进出人员进行 了严格控制并在其他要害部门安装了防盗门根本满足保密 标准要求。4.1.2 网络平安 物理隔离由于 XXX企业的特殊 性XXX企业已组建了自己的办公内网与其他公共网络采取了 物理隔离满足保密标准要求。 网络设备的标识与安放 XXX 企业现阶段虽然在管理制度上对专网电脑进行管理要求但 没有对设备的密级和主要用途进行标识所以需要进行改进 并按照设备涉密属性进行分类安放以满足保密标准要求。 违规外联监控XXX企业专网建成后网络虽然采用了物理隔离 但缺少对涉密电脑的违规外联行为的监控和阻断例如内部 职工私自拨号上网通过无线网络上网等。所以为了防止这种 行为