信息系统网络安全设计方案

1、内外网安全等级保护建设项目初步设计方案编制单位:编制时间：二0一五年三月目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document .信息安全概述 77 HYPERLINK l bookmark6 o Current Document 什么是信息安全？ 77 HYPERLINK l bookmark8 o Current Document 为什么需要信息安全 77 HYPERLINK l bookmark10 o Current Document 安全理念 88 HYPERLINK l bookmark12 o Current Docum

2、ent 系统生命周期与安全生命周期 88 HYPERLINK l bookmark14 o Current Document 3s安全体系一以客户价值为中心88 HYPERLINK l bookmark16 o Current Document 关注资产的安全风险 99 HYPERLINK l bookmark18 o Current Document 安全统一管理 1010安全=管理+技术 1010 HYPERLINK l bookmark20 o Current Document 计算机系统安全问题 1010 HYPERLINK l bookmark22 o Current Documen

3、t 从计算机系统的发展看安全问题 1111 HYPERLINK l bookmark24 o Current Document 从计算机系统的特点看安全问题 1111 HYPERLINK l bookmark26 o Current Document .物理安全 1212 HYPERLINK l bookmark28 o Current Document 设备的安全 1212 HYPERLINK l bookmark42 o Current Document .访问控制 1515 HYPERLINK l bookmark44 o Current Document 访问控制的业务需求 1616

4、HYPERLINK l bookmark48 o Current Document 用户访问的管理 1616 HYPERLINK l bookmark54 o Current Document 用户责任 1818 HYPERLINK l bookmark58 o Current Document 网络访问控制 2020 HYPERLINK l bookmark76 o Current Document 操作系统的访问控制 2323 HYPERLINK l bookmark92 o Current Document 应用系统的访问控制 2727 HYPERLINK l bookmark98 o

5、Current Document 系统访问和使用的监控 2727 HYPERLINK l bookmark108 o Current Document 移动操作及远程办公 3030.网络与通信安全 3131网络中面临的威胁 32325.系统安全设计方案系统安全设计原则建设目标总体方案总体设计思想 内网设计原则.错误！未定义书签。错误！未定义书签 错误！未定义书签。错误！未定义书签 错误！未定义书签。错误！未定义书签 错误！未定义书签。错误！未定义书签 错误！未定义书签。错误！未定义书签 错误！未定义书签。错误！未定义书签有步骤、分阶段实现安全建设错误！未定义书签。错误！未定义书签。完整的安全生

6、命周期 错误！未定义书签。错误！未定义书签。网络区域划分与安全隐患.错误！未定义书签。错误！未定义书签。网络安全部署 错误！未定义书签。错误！未定义书签。保护目标 错误！未定义书签。错误！未定义书签。威胁来源 错误！未定义书签。错误！未定义书签。安全策略 错误！未定义书签。错误！未定义书签。防火墙系统 错误！未定义书签。错误！未定义书签。防火墙系统的设计思想 错误！未定义书签。错误！未定义书签。防火墙的目的.错误！未定义书签。错误！未定义书签。防火墙的控制能力 错误！未定义书签。错误！未定义书签。防火墙特征. 错误！未定义书签。错误！未定义书签。第四代防火墙的抗攻击能力 错误！未定义书签。错误

7、！未定义书签防火墙产品的选型与推荐 错误！未定义书签。错误！未定义书签入侵检测系统 错误！未定义书签。错误！未定义书签,什么是入侵检测系统 错误！未定义书签。错误！未定义书签如何选择合适的入侵检测系统错误！未定义书签。错误！未定义书签。 IDS的实现方式- 网络IDS 错 误未定义书签。错误！未定义书签。 IDS的实现方式-主机IDS 错 误未定义书签。错误！未定义书签。基于网络的入侵检测系统的主要优点有：错误！未定义书签。错误！未定义书签。入侵检测系统的设计思想 错误！未定义书签。错误！未定义书签。入侵检测产品的选型与推荐 错误！未定义书签。错误！未定义书签。漏洞扫描系统 错误！未定义书签。

8、错误！未定义书签。漏洞扫描系统产品选型与推荐 错误！未定义书签。错误！未定义书签。漏洞扫描系统的部署方案 错误！未定义书签。错误！未定义书签。网络信息监控与取证系统.错误！未定义书签。错误！未定义书签。网络信息监控与取证系统产品的选型与推荐错误！未定义书签。错误！ 未定义书签。网络信息监控与取证系统的部署方案 错误！未定义书签。错误！未定义 书签。内部安全管理系统（防水墙系统）错误！未定义书签。错误！未定义书签。内部安全管理系统产品选型与推荐 错误！未定义书签。错误！未定义书 签。内部安全管理系统的部署方案 错误！未定义书签。错误！未定义书签。其他计算机系统安全产品介绍 错误！未定义书签。错误

9、！未定义书签。大镜系一漏洞扫描.错误！未定义书签。错误！未定义书签数据库审计系统.错误！未定义书签。错误！未定义书签6.6.3 未定义书签。错误！未定义书签i Guard网页防篡改系统错误防垃圾邮件网关.错误！未定义书签。错误！未定义书签。集中安全管理平台GSMDesktop 7.1错误！未定义书签。错误！未定义书错误！未定义书签中软运行管理系统.信息安全概述什么是信息安全？信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息 不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递

10、或电子 手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储， 都应当适当地保护起来。因此信息安全的特征是保留信息的如下特性：? 保密性(con巾dentiaHty):保证信息只让合法用户访问；? 完整性(integrity):保障信息及其处理方法的准确性( accuracy )、完全性 (completeness)；? 可用性(availability):保证合法用户在需要时可以访问到信息及相关资产。实现信息安全要有一套 合适的控制(controls ),如策略(policies )、惯例 (practices)、程序(procedures)、组织的机构(organi

11、zational structures) 和软件功能 (software functions) 。这些控制需要被建立以保证机构的安全目标能够最终实现。为什么需要信息安全信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性 对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈 骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击 等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资 源的共享增加了访问控制的难度。分布式

12、计算的趋势已经削弱了集中管理的效果。很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该 得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关 注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便 宜。安全理念绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者 花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安全性的增加通常导 致企业费用的增长，这些费用包括系统性能下降、系统

13、复杂性增加、系统可用性降低和操 作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努 力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安 全漏洞。系统生命周期与安全生命周期系统生命周期通常由以下阶段组成：概念与需求定义、系统功能设计、系统开发与获 取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里，实现系统 生命周期支持的途径已经转变，以适应将安全组成部分和安全过程综合到系统工程过程中 的需要。与系统生命周期相对应，安全生命周期由以下几个阶段构成：安全概念和需求定 义、安全机制设计、安全集成与实现、安全管理解决方案和安全风

14、险分析。涉及到任何功能和系统级别的需求，通过理解安全需求、参加安全产品评估并最终在 工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全问题。近年来发现， 在系统开发之后实现系统安全非常困难，而且已经有了不少教训。因此，必须在发掘需求 和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制，设计 者与开发者应该调整现有的过程模型，以产生一个交互的系统开发生命周期。该周期更关 注使系统获得安全性的安全控制和保护机制。3S安全体系一以客户价值为中心3s安全体系由三部分组成：安全解决方案(Secuhty Solution )、安全应用 (Security Applicati

15、on )和安全服务(Security Service )。这三部分又都以客户价值 为中心。安全解决方案(Security Solution )包括安全解决方案的设计与实施，安全产品选型与系统集成。安全应用(Security Application )包括根据用户的实际应用环境，为用 户定制应用安全系统。安全服务(Security Service )则贯穿了整个安全建设的始终，从 最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统，系统安全加固，紧急 安全响应，到安全项目实施后的安全培训教育。附图1.3s安全体系关注资产的安全风险安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必

16、然是一个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资产的安全漏洞发起的 攻击，这些攻击才会对资产形成威胁。因此，对于企业资产和资产风险的管理应该是整个 安全管理的第一步，即通过对这些资产的安全评估，了解资产安全状况的水准。这些工作 是其他安全保护技术的基础，也是有效管理企业 IT安全的基石。安全弱点管理平台可以智能发现关键 IT业务资产和经营这些资产的技术(操作系统、 应用程序、硬件版本等等)，将其与确认的弱点进行对比，并提供包含逐步修补指导说明 的基于风险的弱点管理任务列表，指导IT管理员合理及时处理安全弱点，从而显著地降低风险。安全对抗平台对关键网段进行监视，并且可

17、以随时准备转移到安全事件的突发区，进 行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生后，可以重建安全事 件过程、恢复关键数据，能够极大地提高系统的生存能力，并且起到威慑攻击者的目的。安全统一管理安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系 统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，都可以从防火墙、路 由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系 统中，如果能够有效地、智能地加以整合，我们就可以清晰地了解到整个安全事件的过程， 帮助管理员更好地管理信息系统的安全。来自管理方面的需求也迫切地需要一个安全

18、统一管理平台。从广义的角度来看，网络 设备应该也属于网络安全的一部分。在一个大型的网络中，对于分布在不同网段、不同地 理位置的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在 异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精 力。安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全 产品的事件数据，同时通过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全 统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息，系统管理 员

19、将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前，立即做出反应。安全=管理+技术信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力，保持 现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整 性和可用性是至关重要的。很多信息系统在设计时，没有考虑到安全问题。通过技术手段 获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。 确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管理。信息安 全管理还需要供应商、客户或股东的参与。也需要参考来自

20、组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安 全控制的成本会很低，并更有效率。计算机系统安全问题目前，计算机系统和信息安全问题是 IT业最为关心和关注的焦点之一。据ICSA统计, 有11 %的安全问题导致网络数据被破坏，14%导致数据失密，15%的攻击来自系统外部， 来自系统内部的安全威胁高达 60%。由于受到内部心怀不满的职工安放的程序炸弹侵害， Omega Engineering公司蒙受了价值300万美元的销售收入和合同损失，由于受到来自网 络的侵袭，Citibank银行被窃了 1000万美元，后来他们虽然追回了 750万美元损失，但 却

21、因此失去了 7%的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问 题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计， 仅有7%的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5%。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是 与计算机系统的发展、当今流行系统的设计思路、当前 IT系统的使用状况紧密相关的。 下面，我们从以下几个方面简要论述。从计算机系统的发展看安全问题安全问题如此突出和严重是与 IT技术和环境的发展分不开的。早

22、期的业务系统是局 限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系 统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安 全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外 部入侵的防范较为容易，现在，网络已发展到全球一体化的Internet ,每个企业的Intranet 都会有许多与外部连接的链路，如通过专线连入Internet ,提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据

23、库服务器、 电子邮件服务器、WWW务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好一忘了上锁或不很牢固，“黑客”就会通 过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击 系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算 机技术就可以成为黑客，黑客的平均年龄越来越小，现在是 14- 16岁。从计算机系统的特点看安全问题在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务 器为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都是以开放性著称

24、的。系 统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授 权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一 些这样那样的漏洞。TCP/IP的结构与基于专用主机（如 旧M ES/3000、AS/400）和网络（如SNA网络）的体系 结构相比，灵活性、易用性、开发性都很好，但是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由自己配置，节点之间的路由可任意 改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制 机制，存在 IP Spoofing 、 TCP sequence n

25、umber prediction attacks 、 Source outing attacks 、RIP attacks、ICMP attacks、Data-driven attacks （SMTP and MIME）、 Domain Name Service attacks 、 Fragment attacks 、 Tiny fragment attacks 、 Hijacking attacks 、 Data integrity attacks 、 Encapsulated IP attacks等各种各样的攻击手段。实际上，从 TCP/IP的网络层，人们很难区分合法信息流和入侵数据， D

26、oS（Denial of Services ,拒绝服务）就是其中明显的例子。UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户认证和授权 管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，存在很多安全上的 隐患；在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制，且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配置过程，不 同系统上配置方法也很不一致，实际上无法全面有效地实施。另外 UNIX中的root用户为 特权用户，拥有至高无上的特权，它也成为黑客窥视的主要目标，给系统安全造成了极大 危害。.物理安全设备的安全目的

27、：防止资产丢失、损失或被破坏，防止业务活动的停顿。设备应有物理保护不受安全威胁及环境事故的影响。要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不会丢失或 损失，也要考虑设备应放在什么地方及如何处理掉。可能需要特别的控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。设备的放置及保护设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访问的机会。 要考虑的有：?设备的位置，应是尽量减少不必要的到工作地方的访问；?处理敏感数据的信息处理及储存设备应该好好放置，以减少使用时被俯瞰的风险；?需要特别保护的东西，应被隔离；?应控制并减少潜在威胁出现的风险：偷窃

28、；火；爆炸物；烟；水（或供水有问题）；尘埃；震动；化学效应；电力供应干扰；电磁辐射；?机构应考虑在信息处理设备附近的饮食及吸烟策略；?应监控那些严重影响信息处理设备操作的环境；?考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜；?应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下层渗水、 街道发生爆炸。电力的供应应保证设备电源不会出现故障，或其它电力异常。应有适当的、符合设备生产商规格 的电力供应。关于连续性供电的选项有：?多个输电点，避免单点输电导致全部停电；?不间断电源（UPS ;?备份发电机。建议为那些支持重要业务操作的设备配备 ups保持有次序的停电或连续性供电。应 急

29、计划应包括UPS发生故障时应采取什么行动。UPS设备应定期检查，保证有足够的容量, 并按生产商的建议进行测试。如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。发电机安 装后，应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。止匕外，紧急电力开关应放置设备房紧急出口的附近，以便一旦发生紧急事故马上关闭 电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯，及在所有外部通讯线路都 要装上灯光保护过滤器。电缆线路的安全应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。要注意的 有：?进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，

30、也可以考虑其 它有足够保护能力的办法；?网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免通过公众 地方的路径；?电源电缆应与通讯电缆分开，避免干扰；?至于敏感或重要的系统，更要考虑更多的控制，包括：安装装甲管道，加了锁的作为检查及终点的房间或盒子；使用可选路由或者传输介质；光纤光缆； 消除附加在电缆上的未授权设备设备的维护设备应正确维护来保证连续性可用合完整性。以下是要注意的:? 设备应按供应商的建议服务间隔及规格维护；? 只有授权的维护人员才可以修理设备；? 记录所有可疑的或真实的故障，以及所有防范及改正措施；? 实施适当的控制如何把设备送出大厦进行修理设备离开大厦的安全无论

31、是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理 设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格，放在家里或从日常 工作地方搬走。要考虑的有：?从大厦取走的设备及介质，不应放在公众地方无人看管。笔记本计算机应当作手提行李随身，及在外时尽量遮蔽，不要显露在外被人看到；?应时常注意生产商保护设备的指示，例如不要暴露在强大的电磁场内；?在家工作的控制，应在评估风险后确定，并适当地实施，举例，可上锁的文件柜、 清除桌子的策略及计算机的访问控制；?应有足够的保险保护不在大厦的设备。安全风险，例

32、如损坏、被盗及偷听，可能每个地方都不同，所以应仔细考虑后确定最 适当的控制。参看3.8.1的关于如何保护移动设备。设备的安全清除或重用信息可以通过不小心清除或重复使用设备而被破坏（参看8.6.4 ）,有敏感信息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。所有储存设备，例如固定硬盘，应被检查以保证已消除所有敏感数据及授权软件，或 在清除前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险后确定是否把设备 销毁、修理或丢掉。.访问控制访问控制的业务需求目的：控制信息的访问。应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权的策略内容 加入到考虑范围之内。访问控

33、制策略策略及业务需求首先要定义业务需求的访问控制，并记录下来。访问策略的文件应清楚写明每个用户 或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白 访问控制要达到什么业务需求。访问控制策略应包括以下内容：? 每个业务应用系统的安全要求；? 确认所有与业务应用系统有关的信息；? 信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要；? 不同系统及网络之间的访问控制及信息分类策略的一致性；? 关于保护访问数据或服务的相关法律或任何合同规定；? 一般作业类的标准用户访问配置；? 在分布式及互联的环境中，管理所有类别的连接的访问权限。访问控制规定在制定访问控制规定

34、时，应小心考虑以下：? 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑；? 根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般情况 下全都可以，除非有明文禁止”的模糊概念；? 由信息处理设备自动启动与经过用户判断启动的信息标记改动；? 由信息系统自动启动的与由管理员启动的用户许可的变动。? 需要与不需要管理员或其它批准才能颁布的规定。用户访问的管理目的：防止非法访问信息系统应有一套正式程序来控制分配信息系统及服务的访问权限。手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后注销那些不 再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限，因

35、为这些特级权 限让用户越过系统的控制。用户登记应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统及服务。多用户信息服务的访问应通过正式的用户注册手续控制，内容应包括：? 使用唯一的用户ID,以便鉴定是谁做什么操作，并予以追究责任；? 检查用户是否已被系统拥有者授权使用信息系统或服务。有时，还需要管理个别批准 访问权限；? 检查所准许的访问级别是否适用于业务目的（参看 3.1）,是否与机构的安全策略一 致，例如不会破坏责任的分开；? 发送用户访问权限声明书给用户；? 要求用户在声明书上签字，表示明白了访问的条件；? 确保服务提供者不能访问，直到授权手续已完成；? 保存一份所有注册使

36、用服务的正式名单；? 马上取消已更换岗位、或已离开机构的用户的访问权限；? 定期检查是否有多余的用户ID及账号，并予以除掉；? 确保多余的用户ID不会发给其它用户。止匕外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的 制裁的条款。特权管理应禁止及控制特权（指任何一种功能或设备会让用户可以越过系统或应用系统控制的 多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配，应考虑以下 的步骤：? 认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关联的特权，以及找出那些应配

37、有特权的员工? 权应按照“需要使用”及“按事件”的原则分配，即只在需要时所赋有的最低功能角色要求。? 应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整个授权程 序。? 鼓励开发及使用系统例行程序，以避免授予用户特权的需要? 特权应赋予不同的用户ID,与用作业务的ID分开用户口令的管理口令是一个常用方法，来核查访问某个信息系统或服务的用户身份。所以，应通过正 式的管理程序分配口令，办法以下：? 要求用户在声明书上签字，保证不泄露个人口令，以及只让在同一组的组员知道作业组的口令；? 当需要用户保密自己的口令时，保证在开始时只提供一个暂时的口令，强迫用户马上 更改。当用户忘记自己口

38、令时，应在确认清楚用户身份后才提供临时性口令；? 要求安全地发给用户临时性口令。应避免使用第三方或未加保护（明文）的电子邮件 信息。用户应确认收到口令。口令绝不能以不加保护的形式储存在计算机系统中（参看3.5.4 ）。其它用来确认及认证用户的技术，例如生物测定学，指纹核查、签名核查及硬件令牌， 例如chip-cards ,都可以考虑使用。用户访问权限的检查为了有效控制数据及信息服务的访问，管理层应该定期正式检查，看看用户的访问权 限是否：? 定期（建议是每隔六个月）及在任何改动后（参看 3.2.1 ）接受检查；? 更频繁地检查特权访问的授权（参看 3.2.2 ）,建议是每隔三个月；? 定期检查

39、特权的分配，以确保没有用户取得非法特权。用户责任目的：防止非法的用户访问合法用户的合作对推行有效的安全非常重要。用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户设备的安全。口令的使用用户应遵守良好的选择及使用口令的安全惯例。口令提供了一个核查用户身份的途径，从而可以建立信息处理或服务的访问权限，建 议所有用户应：? 保密口令；? 避免书写记录口令，除非保存妥当；? 每当怀疑系统被破坏或口令被公开时，应马上更改口令；? 选一个至少有六个字的好口令：容易记住；? 不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订出口令；? 不是连续的同一个字，或全是数字或全字母；定

40、期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁），避免 重复使用旧口令；第一次登录后应马上更改临时性口令；不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中；不要与别人共享口令。如果用户需要使用好几个口令来访问多个服务或平台，建议他们应使用一个很好的单 一口令（参看3.3.1（4）为这好几个口令的存储提供合理水平的保护。无人看管的用户设备用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设备，例 如工作站或文件服务器，如一段时间内无人看守时，更需要格外保护并使之免于被非法访 问。所有用户及合作伙伴应都知道保护无人看管设备的安全要求及手续，以及有责任实施保护措

41、施。建议用户应:? 除非有合适的锁定机制保护（例如有口令保护的屏幕保护（ screensaver ）,否则应终 止已完成的活动会话；? 会话结束后应退出登录主机（即不仅仅是关闭 PC或终端）；? 当PC或终端不用时，应保护它们不被非法使用，例如使用密钥锁或等同的安全机制， 如口令访问。网络访问控制目的：互联服务的保护。应控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏 这些网络服务的安全，保证：? 在机构网及其它机构网或公用网之间要有合适的界面；? 要有合适的认证机制认证用户及设备；? 控制用户访问信息服务。网络服务的使用策略不安全地连接到网络服务会影响整个机构的安全，

42、所以，只能让用户直接访问已明确 授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在机构安全管理及控制范围的公用或外部地方）的用户尤其重要。策略应与网络及网络服务的使用有关，应覆盖：? 容许被访问的网络及网络服务；? 定出谁可以访问哪个网络及网络服务的授权手续；? 保护接入网络及网络服务的管理控制及手续；这个策略应与业务访问控制策略一致（参看 3.1 ）。强制式路径从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内共享资源及 提供最大程度的路由，但网络这样的功能也同时提供机会非法访问业务应用系统或非法使 用信息设备，所以，在用户终端与计算机服务之

43、间设置路由控制（例如，建立一条强制式路径）会减少这样的风险。强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问服务之间的路由。 这样，就需要在路由的不同点上实施多个安全控制，控制原则是按事先定义的选择限制每 个网点的路由选择，这方面的例子有：? 分配专用线或电话号码；? 自动把端口连接到指定的应用系统或安全网关；? 限制供每个用户使用的菜单及子菜单；? 禁止无限量的网络漫游；? 强迫外部网络用户使用指定的应用系统及/或 安全网关；? 通过安全网关（例如防火墙）严格控制从源地址到目的地址的通讯；? 设置不同的逻辑域（例如 VPN限制机构内用户组对网络的访问（请参看3.4.6 ）。对强制式

44、路径的需求应该基于业务访问控制策略（参看3.1 ）外部连接的用户认证外部的连接（例如拨号访问）是非法访问业务信息的隐患。所以，远程用户的访问应 被认证。认证方法有很多种，保护的程度也有强弱之分，例如使用密码技术的方法提供非 常安全的认证。所以，应在风险评估后决定需要哪一级别的保护，然后决定需要哪种认证 机制。认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响应（challenge/response ）的协议。专用线或网络用户地址的检查设备也可以被用来提供源 地址的保障。回拨（dial-back ）的程序及控制（如使用回拨调制解调器），可以拒绝非法或不受 欢迎的连接到达机构的信息处理设

45、备。这样的控制可以对试图从远程地点与机构网络建立 连接的用户进行认证。使用这种控制的机构就不要使用有呼叫传送（ call forwarding ） 功能的网络服务，如果坚持要使用的话，机构应中止使用这样的功能，避免因 call forwarding所带来的安全隐患。同时，在回拨进程中包括保证机构确实断绝连接的功能 是很重要的，要不然，远程用户便可以把线路一直保持是通的，假装已确实发生了回拨验 证。应仔细检查回拨的程序与控制是否会可能有此情况发生。网点认证能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会，所以要有 认证机制来认证到远程计算机系统的连接，尤其是使用机构安全管理控制范

46、围之外的网络 连接。以上的3.4.3举了几个认证例子，以及实现这些机制的建议。网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算机设备的远程用 户。（参看3.4.3 ）远程诊断端口的保护应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊断设备为维 护工程师使用。如果不好好保护，这些诊断端口就变成非法访问的途径，所以，应有合适 的安全机制保护这些端口，例如，有一个密钥锁及程序，保证只能使用通过计算机服务管 理员与需要访问的软硬件技术支持人员商量后所同意的访问方法访问。网络的隔离网络不断扩大，已超出传统的机构式范围，业务伙伴的相继形成，同时也要求大家互 联或共享信息处理及联

47、网设施。这样的扩大，也增加了非法访问现有网络信息系统的风险， 而这些系统因有敏感信息或是非常重要的不能让别的网络用户访问的信息，在这样的情况 下，应考虑在网络设置控制，把不同的信息服务组、用户及信息系统隔离。一种控制大网络安全的方法是把网络分成几个逻辑网域，例如，机构的内部网域及外 部网域，每个网域都有特别指定的安全边界，实现这样的安全边界是在两个要联网的网络 之间安装一个安全的网关，来控制两个网域之间的访问及信息流量。网关的设置应该是过 滤这些网域之间的流量（参看 3.4.7及3.4.8 ）,以及按机构的访问控制策略（参看 3.1 ） 阻截非法访问，一个这样的网关例子是防火墙。把网络分隔成网

48、域的标准，应该是按照访问控制策略及访问机制（参看 3.1 ）,还要 考虑成本及因设置网络路由或网关技术（参看3.4.7及3.4.8 ）后所引致的性能冲击。网络连接控制共享网络的访问控制策略的要求，特别是超出机构范围的网络，可能需要有另外的控 制来禁止用户的连接能力。这样的控制可以使用事先定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及业务需求（参看3.1 ）,并时常更新。应制定禁止规定的例子是：? 电子邮件；? 单向的文件传输；? 双向的文件传输；? 交互访问；? 有时间日期的网络访问。网络路由的控制共享网络，特别是超出机构范围的网络，需要设置路由控制，以保证计算机连接及信 息流不

49、会破坏业务系统的访问控制策略（参看3.1 ） o那些与第三方（非机构）用户共享的网络更需要有这些控制。路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一个很有用的 机制来隔离网络，以及阻止路由从一个机构网络传播到另一个机构的网络。机制可以用软 件或硬件实现，但实现者要注意机制的安全程度。网络服务的安全现在有很多不同类别的公私网络服务供使用，有些服务是增殖服务，而网络服务应有 独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务的安全属性。操作系统的访问控制目的：防止不合法的计算机访问。操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施应有以下功能：? 标识及检查

50、身份，如有需要，应把每个合法用户的终端或地点都纳入检查之列；? 记录成功及失败的系统访问；? 提供合适认证方法：如果使用口令管理系统，应保证是在用良好的口令（参看 3.3.1（4）;? 如有需要，限制用户的连接时间。其它访问控制方法，例如 challenge-response,如果可以减低业务风险，也可以考虑使用自动认证终端在认证连接到指定地点及便携式设备时，可以考虑使用自动认证终端。自动认证终端 是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终端中，或附在终端的 标识符可以显示这终端是否可以启动或接收交易。如有需要，考虑用物理方法保护终端， 以维持终端标识符的安全。认证用户的方法

51、有很多（请参看3.4.3 ）。终端的登录程序正常情况是应该可以通过安全的登录过程进入信息服务，登录进入计算机系统的程序 应把非法访问的机会减到最低，为了避免提供非法用户不必要的帮助，登录程序应只公开 最少量的系统信息。一个良好的登录程序应：? 不显示系统或应用系统的标识符，直到登录成功完成；? 显示一个通知，警告只有合用用户才可进入系统；? 在登录过程中不提供帮助信息，以免被不合法用户利用；? 只有完成输入数据后才核查登录信息。如有出错，系统应指出哪部分的数据是正确，哪部分不正确；? 限制登录失败的次数（建议是三次），以及考虑：? 记录不成功的登录；? 强迫在继续尝试登录前有时间问隔，或者在没

52、有特定授权之下拒绝任何登录尝试；? 限制登录程序的最长及最短时间。限定时间一过，系统应停止登录程序；? 完成成功登录后显示以下信息：? 前一次成功登录的日期及时间；? 自上次成功登录后任何不成功登录尝试的详情。用户标识及认证所有用户（包括技术支持员工，例如操作员、网管、系统程序员及数据库管理员）应 有各自的标识符（用户ID）,只为自己使用，以确认谁在操作，及予以追究责任。用户 ID应没有任何迹象显示用户的权限（参看 3.2.2 ）,例如经理、主管等。在特殊情况下，如有清晰的业务利益，可以考虑为一组用户或某个作业共享用户ID ,但一定要有管理层的书面批准才行。如有需要，可以增加管理措施来贯彻责任

53、。有很多种认证程序可以被用来充实某个用户所称述的身份。口令（参看 3.3.1及以下） 是提供标识及认证的最常见方法，认证原则是基于只有用户知道的秘密。但认证也可以使 用密码及认证协议来完成。用户拥有的对象，例如内存令牌或智能卡，也是标识及认证的方法之一。认证某人的 身份也可使用生物特征认证，一种利用用户某个独特特征或属性的认证技术。强大的认证 可以通过安全组合多个认证技术或机制来实现。口令管理系统口令是一种基本方法检查用户访问某个计算机服务的权限，所以，口令管理系统应提 供一个有效交互的措施，确保是在使用健全的口令（参看 3.3.1的使用口令指引）。一些应用系统要求用户口令由某个独立机构制定，

54、但大部分情况是由用户选择及保存 自己的口令。一个良好的口令管理系统应是：? 强制使用个人口令来维护责任；? 在适当情况下，容许用户选择及更改自己的口令，并提供确认程序确认输入正确；? 强令执行要选择健全的口令，如在 3.3.1所述；? 如果是用户维护自己的口令，要强迫口令的变化，如 3.3.1所述；? 如果是用户选择口令，强迫他们第一次登录后要更改临时的口令（参看 3.2.3 ）;? 记录用户用过的口令，例如12个月前用的口令，以防止重复使用；? 进入系统后不要在屏幕上显示口令；? 把口令文件与应用系统数据分开储存；? 使用单向加密算法把口令加密储存；? 安装软件后把供应商的缺省口令改掉。系统

55、工具的使用很多计算机的安装都有一个以上的系统工具程序，来越过系统及应用程序的控制，所 以，有必要限制及严格控制这些工具的使用。以下的控制可以被考虑：? 使用认证程序认证系统工具；? 把系统工具与应用软件分开；? 把系统工具的使用限制到只有最少数的可信任合法用户使用；? 授权在特别情况下使用系统工具；? 限制系统工具的使用期限，例如只在合法更改的期间内使用；? 记录所有使用系统工具的活动；? 定义及记录所有系统工具的授权级别；? 取消所有不必要的工具软件及系统软件；为保障安全的人员配备强迫警钟是否应为保障安全用户提供警钟，应在评估风险后决定，同时，要定义负责什么责任 及反应警钟的程序。终端超时在

56、高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的交互终端， 或为高风险系统服务的交互终端，应在一段没有活动的时间后关闭，以免被非法用户访问, 这种超时措施应在一段休止时间后清除终端屏幕的内容及关闭应用系统及网络会话。超时 的延迟应能反映这地方的安全风险以及谁是终端的使用者。可以在某些PC上实行部分的终端超时措施，即消除屏幕内容防止非法访问，但不关 闭应用系统或网络会话。连接时间的限制限制连接时间在某种程度上加强高风险应用程序的安全。限制那段时间准许终端连接 到计算机服务的做法，会减少非法访问的时限。这样的限制应考虑在敏感的计算机应用系 统上实行，特别是安装在高风险地方（例如公用地

57、方，或超出机构安全管理范围之外的地 方）的终端。这样的限制方法例子可以是：? 使用已定的时间段，例如传输批文件的时间，或短时间的定期交互会话；? 如果没有加班或延长工作的要求，限定连接时间在正常的工作时间之内。应用系统的访问控制目的：防止非法访问放在信息系统中的信息。应有安全设备来禁止访问应用系统并只容许合法用户逻辑访问软件及信息。应用系统应该是：? 按已定的业务访问控制策略，控制用户进入信息系统及访问应用系统功能；? 防止可以越过系统或应用系统控制的工具及操作系统非法访问；? 不破坏其它共享信息资源的系统的安全；? 只让拥有者、其它合法用户或指定的用户组访问信息；信息访问的限制应用系统的用户

58、，包括技术支持人员，应按访问控制策略、个别业务的应用要求及机 构的信息访问策略访问信息及应用系统功能。要符合访问限制的要求，应考虑以下的控制：? 提供菜单来控制对应用系统功能的访问；? 适当编辑用户说明书，把用户不该知道的信息或应用系统的功能去掉；? 控制用户的访问权限，例如阅读、写入、删除及执行；? 保证处理敏感信息的应用系统的输出只有与输出使用有关的信息，并只发送给合法的 终端及地点，同时，也要定期检查这些输出确实没有多余的信息。敏感系统的隔离敏感系统需要有专用（隔离）的计算机环境。一些应用系统的信息非常敏感，需要特 别的处理以防止损失。应用系统的敏感程度暗示需要在专用的计算机上运行，只能

59、与可信 任的应用系统共享资源。要考虑的问题有：? 应明确标明应用系统的敏感程度，并由这系统的拥有者记录保存；? 当一个敏感应用系统要在共享环境下运行，应标明有哪些应用系统与它共享资源，并得到敏感应用系统拥有者的同意。系统访问和使用的监控目的：检测非法活动。系统应被监控来检测违反访问控制策略的活动，以及记录可检测的事件，以便在发生安全事件时提供证据。系统监控能够检查所通过的管理是否有效，是否与访问控制模型（参看 3.1 ） 一致事件记录应有一个记录异常事件及其它安全事件的审计日志，并在一段已定的时间内保存备用。 审计日志应包括以下：? 用户ID;? 登录与推出登录的日期时间；? 终端或地点（如可

60、能）的身份；? 成功及拒绝的系统访问的日志；? 成功及拒绝的数据及其它资源的访问。某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。监控系统的使用风险的程序及区域应建立监控信息处理设备使用情况的程序，以保证用户只进行明确授权了的活动。所需的监控级别应在评估风险后确定。要考虑的区域有：? 合法访问，包括详细情况，如：用户ID;重要事件发生的日期时间；事件的种类；所访问的文件；所使用的进程/工具。? 所有特权操作，例如：管理账号的使用；系统的启动及停止；I/O设备的附加装置/分离装置。? 非法访问的尝试，例如：失败的尝试；网关及防火墙的违反访问策略的访问及通知；入侵检测系统的预警。? 系