中海信托信息安全风险评估及整改项目技术设计方案

1、.wd.wd.wd.目 录 TOC o 1-2 h z u HYPERLINK l _Toc2365431871概述 PAGEREF _Toc236543187 h 35HYPERLINK l _Toc2365431881.1工程背景 PAGEREF _Toc236543188 h 35HYPERLINK l _Toc2365431891.2工程目标 PAGEREF _Toc236543189 h 35HYPERLINK l _Toc2365431901.3工程内容 PAGEREF _Toc236543190 h 36HYPERLINK l _Toc2365431911.4工程设计原那么 PA

2、GEREF _Toc236543191 h 37HYPERLINK l _Toc2365431921.5工程范围 PAGEREF _Toc236543192 h 38HYPERLINK l _Toc2365431931.6文件和法律法规 PAGEREF _Toc236543193 h 38HYPERLINK l _Toc2365431942天融信对本工程的理解 PAGEREF _Toc236543194 h 39HYPERLINK l _Toc2365431952.1对工程目标的理解 PAGEREF _Toc236543195 h 39HYPERLINK l _Toc2365431962.2对

3、工程特点的理解 PAGEREF _Toc236543196 h 39HYPERLINK l _Toc2365431973工程总体方法与流程 PAGEREF _Toc236543197 h 41HYPERLINK l _Toc2365431983.1概述 PAGEREF _Toc236543198 h 41HYPERLINK l _Toc2365431993.2天融信风险评估方法 PAGEREF _Toc236543199 h 44HYPERLINK l _Toc2365432003.3本工程采用的安全风险评估方法 PAGEREF _Toc236543200 h 45HYPERLINK l _T

4、oc2365432013.4技术难点和关键突破 PAGEREF _Toc236543201 h 48HYPERLINK l _Toc2365432024信息资产调查和赋值 PAGEREF _Toc236543202 h 50HYPERLINK l _Toc2365432034.1信息资产概述 PAGEREF _Toc236543203 h 50HYPERLINK l _Toc2365432044.2信息资产分类 PAGEREF _Toc236543204 h 50HYPERLINK l _Toc2365432054.3保护对象框架 PAGEREF _Toc236543205 h 56HYPER

5、LINK l _Toc2365432064.4资产识别过程 PAGEREF _Toc236543206 h 58HYPERLINK l _Toc2365432074.5信息资产赋值 PAGEREF _Toc236543207 h 59HYPERLINK l _Toc2365432084.6赋值工作操作方法指南 PAGEREF _Toc236543208 h 64HYPERLINK l _Toc2365432095IT设备评估 PAGEREF _Toc236543209 h 66HYPERLINK l _Toc2365432105.1评估的过程 PAGEREF _Toc236543210 h 6

6、6HYPERLINK l _Toc2365432115.2评估的方法 PAGEREF _Toc236543211 h 68HYPERLINK l _Toc2365432125.3评估的内容 PAGEREF _Toc236543212 h 70HYPERLINK l _Toc2365432135.4评估的风险和应对 PAGEREF _Toc236543213 h 72HYPERLINK l _Toc2365432146网络设备安全风险评估 PAGEREF _Toc236543214 h 73HYPERLINK l _Toc2365432156.1评估过程描述 PAGEREF _Toc236543

7、215 h 74HYPERLINK l _Toc2365432166.2评估的方法 PAGEREF _Toc236543216 h 77HYPERLINK l _Toc2365432176.3评估的内容 PAGEREF _Toc236543217 h 78HYPERLINK l _Toc2365432186.4评估的风险和应对 PAGEREF _Toc236543218 h 81HYPERLINK l _Toc2365432197应用系统和管理安全风险评估 PAGEREF _Toc236543219 h 81HYPERLINK l _Toc2365432207.1评估过程描述 PAGEREF

8、_Toc236543220 h 84HYPERLINK l _Toc2365432217.2评估方法 PAGEREF _Toc236543221 h 46HYPERLINK l _Toc2365432227.3评估内容 PAGEREF _Toc236543222 h 47HYPERLINK l _Toc2365432237.4风险及应对措施 PAGEREF _Toc236543223 h 60HYPERLINK l _Toc2365432248安全增强与加固 PAGEREF _Toc236543224 h 61HYPERLINK l _Toc2365432258.1安全加固内容 PAGEREF

9、 _Toc236543225 h 62HYPERLINK l _Toc2365432268.2安全加固流程 PAGEREF _Toc236543226 h 64HYPERLINK l _Toc2365432279应急响应服务 PAGEREF _Toc236543227 h 65HYPERLINK l _Toc2365432289.1服务目标： PAGEREF _Toc236543228 h 65HYPERLINK l _Toc2365432299.2服务特点： PAGEREF _Toc236543229 h 66HYPERLINK l _Toc2365432309.3一般实施流程： PAGER

10、EF _Toc236543230 h 66HYPERLINK l _Toc2365432319.4流程说明： PAGEREF _Toc236543231 h 66HYPERLINK l _Toc23654323210安全解决方案 PAGEREF _Toc236543232 h 68HYPERLINK l _Toc23654323310.1解决方案设计概述 PAGEREF _Toc236543233 h 68HYPERLINK l _Toc23654323410.2安全需求分析 PAGEREF _Toc236543234 h 68HYPERLINK l _Toc23654323510.3安全解决

11、方案设计 PAGEREF _Toc236543235 h 69HYPERLINK l _Toc23654323611工程组织构造 PAGEREF _Toc236543236 h 71HYPERLINK l _Toc23654323711.1现场实施阶段，工程组织构造 PAGEREF _Toc236543237 h 71HYPERLINK l _Toc23654323811.2工程角色和责任 PAGEREF _Toc236543238 h 71HYPERLINK l _Toc23654323912工程进度方案 PAGEREF _Toc236543239 h 74HYPERLINK l _Toc2

12、3654324012.1工程主要过程时间安排 PAGEREF _Toc236543240 h 74HYPERLINK l _Toc23654324113工程启动和准备阶段 PAGEREF _Toc236543241 h 75HYPERLINK l _Toc23654324213.1概述 PAGEREF _Toc236543242 h 75HYPERLINK l _Toc23654324313.2参加人员 PAGEREF _Toc236543243 h 75HYPERLINK l _Toc23654324413.3过程描述 PAGEREF _Toc236543244 h 75HYPERLINK

13、l _Toc23654324513.4需要中海信托配合的工作 PAGEREF _Toc236543245 h 75HYPERLINK l _Toc23654324613.5输出 PAGEREF _Toc236543246 h 76HYPERLINK l _Toc23654324714现场实施阶段 PAGEREF _Toc236543247 h 76HYPERLINK l _Toc23654324814.1资产调查 PAGEREF _Toc236543248 h 76HYPERLINK l _Toc23654324914.2安全评估包括漏洞扫描、人工检查等 PAGEREF _Toc2365432

14、49 h 77HYPERLINK l _Toc23654325014.3渗透测试 PAGEREF _Toc236543250 h 79HYPERLINK l _Toc23654325114.4安全加固 PAGEREF _Toc236543251 h 80HYPERLINK l _Toc23654325214.5应急响应服务 PAGEREF _Toc236543252 h 81HYPERLINK l _Toc23654325315数据分析及报告阶段 PAGEREF _Toc236543253 h 83HYPERLINK l _Toc23654325415.1概述 PAGEREF _Toc2365

15、43254 h 83HYPERLINK l _Toc23654325515.2过程描述 PAGEREF _Toc236543255 h 83HYPERLINK l _Toc23654325615.3需要中海信托配合的工作 PAGEREF _Toc236543256 h 84HYPERLINK l _Toc23654325715.4输出 PAGEREF _Toc236543257 h 84HYPERLINK l _Toc23654325816工程收尾阶段 PAGEREF _Toc236543258 h 84HYPERLINK l _Toc23654325916.1概述 PAGEREF _Toc2

16、36543259 h 84HYPERLINK l _Toc23654326016.2过程描述 PAGEREF _Toc236543260 h 85HYPERLINK l _Toc23654326116.3需要中海信托配合的工作 PAGEREF _Toc236543261 h 85HYPERLINK l _Toc23654326216.4输出 PAGEREF _Toc236543262 h 85HYPERLINK l _Toc23654326317售后服务 PAGEREF _Toc236543263 h 85HYPERLINK l _Toc23654326417.1安全服务技术支持服务 PAGE

17、REF _Toc236543264 h 85HYPERLINK l _Toc23654326517.2安全服务跟踪服务 PAGEREF _Toc236543265 h 85HYPERLINK l _Toc23654326617.3天融信安全服务业务关键能力 PAGEREF _Toc236543266 h 86HYPERLINK l _Toc23654326718工程管理及沟通方法 PAGEREF _Toc236543267 h 87HYPERLINK l _Toc23654326818.1天融信工程工程管理方法 PAGEREF _Toc236543268 h 87HYPERLINK l _To

18、c23654326918.2天融信工程管理遵循的标准 PAGEREF _Toc236543269 h 88HYPERLINK l _Toc23654327018.3工程沟通方法 PAGEREF _Toc236543270 h 88HYPERLINK l _Toc23654327119工程风险管理及保密控制 PAGEREF _Toc236543271 h 92HYPERLINK l _Toc23654327219.1工程风险分析及躲避措施 PAGEREF _Toc236543272 h 92HYPERLINK l _Toc23654327319.2工程的保密控制 PAGEREF _Toc2365

19、43273 h 94HYPERLINK l _Toc23654327420天融信信息安全服务业务介绍 PAGEREF _Toc236543274 h 95HYPERLINK l _Toc23654327520.1安全服务组织构造图 PAGEREF _Toc236543275 h 95HYPERLINK l _Toc23654327620.2安全服务业务范围 PAGEREF _Toc236543276 h 96HYPERLINK l _Toc23654327721工程实施质量保证 PAGEREF _Toc236543277 h 98HYPERLINK l _Toc23654327821.1工程执

20、行人员的质量职责 PAGEREF _Toc236543278 h 98HYPERLINK l _Toc23654327921.2天融信安全服务质量保证体系严格贯彻以下过程 PAGEREF _Toc236543279 h 98HYPERLINK l _Toc23654328022工程验收方式 PAGEREF _Toc236543280 h 101HYPERLINK l _Toc23654328122.1验收方法确认 PAGEREF _Toc236543281 h 102HYPERLINK l _Toc23654328222.2验收程序 PAGEREF _Toc236543282 h 103HYP

21、ERLINK l _Toc23654328322.3版本控制 PAGEREF _Toc236543283 h 105HYPERLINK l _Toc23654328422.4交付件归档方法 PAGEREF _Toc236543284 h 106HYPERLINK l _Toc23654328523工程分项报价表 PAGEREF _Toc236543285 h 107概述工程背景近年来，随着信息化技术越来越深入和广泛的应用，信息安全的风险日益加大，国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的?信息安全等级化保障体系?系列标准文件对我国信息安全保障工作做出原那么性战略

22、性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障根基信息网络和重要信息系统安全，经过五年左右的努力， 基本形成国家信息安全保障体系。2006年起，银监会发布了?商业银行内部控制指引?，并进一步发出了关于信托投资公司加强内部控制和风险控制的要求。2008年7月，国家财政部和证监会、银监会、保监会等联合发布了?企业内部控制 基本标准?，对企业的内部控制提出了较为具体的要求。为进一步保障银联网络的边界安全，降低信息安全风险，中海信托投资拟于2009年在业界知名互联网安全服务公司的协助下，对中海信托信息系统实施安全风险管理服务包括安全技术和管理评估、互联网应用渗透测试、安

23、全体系建设咨询、安全加固服务、紧急安全事件响应等服务 ，为中海信托的核心业务系统稳定运行提供安全保障。工程目标通过实施整体信息安全风险评估服务包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务提高中海信托信息系统的安全性和可靠性，并在紧急情况下对提供紧急安全事件响应支持，控制并降低来自于互联网的安全风险。通过本次对中海信托网络安全服务工程，可以到达以下主要目标：通过安全风险评估，得到中海信托的整体安全现状；通过渗透测试和安全技术评估，分析中海信托信息系统存在的各类技术性安全缺陷，并进展整改；通过管理体系评估，发现中海信托在风险管理、安全策略和内部

24、控制等方面存在的问题并加以改进；通过安全加固和策略体系改进，全方位的提升中海信托的信息安全管理水平。工程内容本次整体信息安全风险评估工程的内容可以分为几个局部：信息安全风险评估信息资产调查调查和统计中海信托信息系统所包含的信息资产包含物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等，明确其现有状况、配置情况和管理情况。如主机系统，需要明确其平台、版本、补丁等 基本情况外，还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进展资产赋值。现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统

25、、域控制服务器等)的部署情况和使用情况；同时了解在建网络与信息安全建设工程，使之服从统一部署原那么。安全风险评估根据中海信托现有的安全标准标准和业务对安全的要求，分析主机、网络及安全设备面临的威胁，评估现有系统的存在的弱点，明确所有信息系统面临的安全风险和隐患。应用系统渗透测试通过黑客或白客方式对指定的Internet业务系统进展渗透攻击，发现该系统存在的安全隐患，并提出解决措施。信息系统安全加固安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在中海信托信息系统的网络层、主机层和应用层等层次建设符合中海信托安全需求的安全状态，并以此作为保证中海信托信息系统安全的起点。安

26、全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析，对现有安全管理制度和内控制度进展改善，使之能够完全符合当前国内相关控制标准的要求，并向相关的国际化标准看齐。工程设计原那么符合性原那么：符合国家等级化保护体系指出的积极防御、综合防范的方针和等级保护的原那么。标准性原那么：服务方案的设计与实施应依据国内或国际的相关标准进展；标准性原那么：服务工作中的过程和文档，具有很好的标准性，可以便于工程的跟踪和控制；可控性原那么：方法和过程在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证甲方对于服务工作的可控性；整体性原那么：安全服务的范围和内容整体全面，包括安全涉及的各个层

27、面应用、系统、网络、管理制度、人员等，防止由于遗漏造成未来的安全隐患；最小影响原那么：安全服务中的工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响；保密性原那么：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进展任何侵害甲方的行为，否那么甲方有权追究乙方的责任。甲方有权要求乙方在服务完毕之后销毁所有和本工程有关的数据和文档。工程范围本工程选择中海信托的核心业务系统作为服务对象。文件和法律法规国内政策与标准：?国家信息化领导小组关于加强信息安全保障工作的意见?中办发200327号；?关于开展信息安全风险评估工作的意见?2006年

28、1月国家网络与信息安全协调小组；?关于印发?信息安全风险评估指南?的通知?2006年2月国信办国信办综20069号；?商业银行内部控制指引? 2006年12月 银监会?企业内部控制 基本标准? 2008年7月 财政部、证监会、审计署、银监会、保监会国际政策与标准：ISO/IEC 27001信息安全管理体系标准COSO/COBIT 内控和信息技术控制框架ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS)，1996-2001NIST SP800 Series, Computer Security

29、 Special Publications，1991-2005天融信对本工程的理解对工程目标的理解安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要组成局部，通过周期性的安全风险评估工作发现公司的安全现状，为公司安全建设和安全加固提供数据根基。综上所述，本期工程的目标是：通过安全评估的技术手段，尽可能发现和定位中海信托各信息系统存在的安全风险，为安全加固、系统整改及应急响应提供依据和技术指导，降低中海信托整体的安全风险。对工程特点的理解通过上面对本工程目标的分析，本期深度安全风险评估工作存在如下特点：要求高：由于中海信托业务的快速增长，对信息安全的要求越来越高，所以要比以前采用更加

30、标准的工程管理要求；本次评估的技术深度和广度，都要强于以前的工程及同行业的要求多个系统的应用分析；采用的技术标准，是当前最新、最及时的，相比历史评估工作和同行业类似工作的技术要求是最高的；技术与管理并重：由于面临的外部威胁的压力和影响力比以往要大很多，所以本次工程更加侧重于通过外部渗透测试的方法，发现从外部的威胁和影响尤其是从外部Internet进展渗透测试；本次工程渗透测试涉及的系统范围更广，而且更深地分析通过“信任关系发生的渗透，从而发现“木桶原理中的“最短那块板；更加侧重于应用系统自身特点的安全评估：综合分析业务和管理层数据流，角色权限；应用层数据库，中间件；系统层主机操作系统；网络层网

31、络架构，网络设备，提出的安全风险更加有针对性；中海信托各应用系统有不同的特点，在本次工程中要结合不同部门、不同系统特点进展相应的应用系统安全评估；更加考虑安全加固和应急响应体系建设的可行性：本次工程在实施过程中安排了时间，对发现的问题进展及时地讲解和答疑；对发现的问题提出的解决方案，和系统管理员及时沟通，并协助进展讲解和培训，对不能直接解决的，提出综合解决、降低风险的方案。工程总体方法与流程概述风险管理Risk Management旨在对潜在时机和不利影响进展有效管理的文化、程序和构造。风险管理是良好管理的一个组成局部，它用一种将损失减小到最低程度而使商业时机到达最大限度的方式，对与机构的任何

32、活动、功能和过程相关的风险进展环境建设、鉴定、分析、评价、处理、监控和信息交流。风险管理过程Risk Management Process是指系统地将管理方针、程序和构造应用于风险的环境建设、鉴定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域，同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花费、以及工作效率的严重降低。所以，如何适度和有效地进展信息安全的风险的管理和控制，成为了一项迫切和重要的任务。下面的描述即是说明风险评估过

33、程的理念和方法论，以作为天融信安全服务的标准方法论和理论根基，指导和标准天融信的安全风险安全服务工作。安全模型参考在澳大利亚和新西兰国家标准?风险管理Risk Management?AS/NZS 4360:1999中描述了风险管理过程，如以以下图所示：在国际标准ISO13335中，安全模型如以以下图所示，特点是以风险为核心。在国际标准中，安全模型如以以下图所示，其特点是强调了模型的对抗性和动态性。可以看出，安全模型中的核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也 基本类似，只是描述和关注的角度不同。风险评估标准风险评估过程中主要选择的标准和标准包括：中海信托技术标准和标准

34、：国内政策与标准：?国家信息化领导小组关于加强信息安全保障工作的意见?中办发200327号；?关于开展信息安全风险评估工作的意见?2006年1月国家网络与信息安全协调小组；?关于印发?信息安全风险评估指南?的通知?2006年2月国信办国信办综20069号；国际政策与标准：ISO/IEC 27001ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS)，1996-2001NIST SP800 Series, Computer Security Special Publications，1991-2

35、005ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准那么简称CC天融信风险评估方法风险评估模型在安全评估服务中，天融信参照上述两个安全模型，根据自己的工程实践，建设了自己的风险评估模型，描述如下：在天融信的风险评估模型中，主要包含信息资产，弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的路径。因此，天融信风险评估的过程是：对信息资产进展识别，并对资产赋值；识别信息资产的脆弱性弱点/漏洞，并对弱点的严重程度赋值；对威胁进展分

36、析，并对威胁发生的可能性赋值；综合分析资产价值、资产的脆弱性和威胁发生的可能性，得到信息资产的风险发生的路径和级别，并对风险进展处置，选择适宜的控制措施。总体工作流程图根据安全风险评估模型，天融信安全风险评估的总体工作流程如以以下图：在评估过程中首先要进展全网的资产调查，识别的内容包括：“信息设备、应用系统、网络环境、组织构造及物理环境；然后进展应用系统安全目标的识别和分析；以及通过安全评估的“业务系统评估、“渗透测试、“网络架构评估、“IT设备弱点评估、“应用安全评估、“安全管理评估、“物理安全评估各项内容获取“安全现状(包括：安全威胁)、“安全弱点 。最后通过各系统、子系统的安全目标和其“

37、安全现状、“安全弱点的比照分析，得到安全现状和解决方案。本工程采用的安全风险评估方法本次工程由于侧重点于技术问题的发现，并指导今后的安全加固和系统技术整改等技术工作；根据本次工程的特点，准备采用如下三种安全风险评估的方法，主要针对非重点系统、重点系统网络类、重点系统计算类；非重点系统的IT设备弱点评估如以以下图所示：本评估主要目标是为IT设备的弱点提供安全加固的指导和依据，主要涉及“主机系统弱点评估；“网络设备弱点评估；“安全设备弱点评估 。主机系统弱点评估采用人工现场检查和工具扫描两种方式；网络设备弱点评估和安全设备弱点评估，对能够导出配置信息、并配置信息可识别分析的，采用后台人工分析方式；

38、对不能导出配置信息、或配置信息不可识别分析的，采用人工现场检查方式。评估的结果，是表达各单点资产的弱点状况，以及综合的统计分析报告，主要为指导单点设备的安全加固工作。网络类重点系统的安全评估如以以下图所示：网络类重点系统是公司主要承载各业务的根基平台，其评估的目标不仅是发现现存系统的问题，指导安全加固和系统整改的工作和依据；而且还要根据业务开展需要，为网络建设提供安全保障的规划依据。本安全评估包含：“IT设备弱点评估；网络架构安全评估和渗透测试 ，其中IT设备弱点评估和前面的一致。网络架构安全评估包括：网络现状安全合理性分析以及随业务开展需要的网络安全需求分析，主要采用的方法是：后台分析对网络

39、拓扑、相关技术文档、访问控制等配置信息分析、现场设备检查对网络设备或网管系统的安全状况查看、系统管理员的参谋访谈网络现状存在的问题、网络安全事件、业务开展对网络的影响及假设、主管领导的参谋访谈业务开展对网络安全的要求；渗透测试，主要采用嗅探及入侵的手法，分析从外部越权进入本系统的路径和可能性，以及可越权访问接入本网络系统的系统范围和影响。注：如无特殊需要，不采用DOS等恶意攻击手段。本评估的结果，除表达单个资产的弱点状况，指导安全加固外；还可为系统整改，划分安全域以及未来网络规划提供参考；同时由于公司涉及网络类系统之间是有强的关联，最后要综合分析各网络类系统和应用系统的关联性，设计全网的网络安

40、全解决方案建议。应用计算类重点系统的安全评估如以以下图所示：应用计算类重点系统是公司各独立的业务单元，包括完整的主机、网络、应用各项内容；其评估的目标是从深度上业务管理层；应用层；到广度上系统层主机操作系统；网络层网络架构，网络设备，提出全面的安全风险分析报告。本安全评估包含：“IT设备弱点评估；网络架构安全评估；应用系统安全评估和渗透测试 ，其中IT设备弱点评估和前面一致。网络架构安全评估主要从网络构造上分析其应用系统安全域划分的合理性及访问控制策略的符合性，具体方法和前面一致。应用系统安全评估，主要包括：对业务逻辑和数据流的安全分析；对应用平台的安全分析。主要方法是：后台分析对业务系统设计

41、、运行相关技术文档、现场设备检查对应用平台和数据库进展安全状况查看、源代码评估对局部关键流程的代码进展分析、系统管理员的参谋访谈现状存在的问题、安全事件、业务开展的影响及假设。渗透测试，主要采用入侵和角色提升的手法，分析从外部越权侵入本系统的路径和可能性；以及模拟不同用户角色提升权限，进展数据篡改或越权访问的可能性分析。本评估的结果，除表达单个资产的弱点状况，指导安全加固外；重点为系统整改，安全域划分以及系统开发提供参考。技术难点和关键突破在对中海信托进展安全风险评估的过程中，由于其规模庞大，信息系统复杂，业务系统的特性和安全属性存在巨大差异，因此对于评估标准的选择，以及评估成果的适用性都提出

42、了巨大的挑战。评估指标的定制面临困难：安全没有定制化的适用的安全指标，造成评估结果不可信一般在安全评估时，评估服务提供者因为在评估前并不熟悉和理解被评估方的业务特性和安全特性，所以不能定制非常适用的评估标准指标，也就是说没有非常适用，反映被评估对象特性的评估标准，一般都采用国际或国家标准。虽然国际或国家标准适用于所有信息系统，但其适用广泛性原因，评估标准比较笼统，不反映行业特性和企业特性。这样，因为缺乏适用的评估标准，造成的评估结果可用性差，也缺乏针对性，不能反映业务特性和行业特性。尤其是如果服务提供者对客户首次评估，存在评估质量较低的风险，这是评估服务业务一个多年存在的难题，很难解决。通常情

43、况下，评估质量取决于评估服务提供者和评估参谋的经历是否丰富，是否非常熟悉被评估者的业务特性和行业特性。解决方法：在评估前设计行业安全评估指标，并在评估开场阶段尽可能的定制能否准确定制行业安全评估指标，即行业评估标准是评估工程能否成功的关键环节之一，它对评估结果的适用性和真实性起着关键作用。在作评估前，我们根据多年对不同行业的丰富评估经历和深刻理解，根据不同的行业业务特性和安全要求特性的理解，总结出反映行业特性的安全要求，设计出针对不同行业的安全对策指标体系，再细化成不同行业的安全评估指标。强调评估成果的适用性面临困难：评估成果和建议难以实施，技术和管理难以有效融合，缺乏抗打击能力和可控性信息安

44、全问题包含管理方面问题、技术方面问题以及两者的穿插，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。中海信托现有的安全防护措施大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决方法，单纯防范黑客入侵和病毒感染更是是片面的。一旦单点防护措施被突破、绕过或失效，整个安全保障将会失效，威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化的全面考虑，防止单点考虑，形成系统化措施。解决方案：强调多重深度保障和抗打击能力，强调评估成果的可用性27号文件提出 “坚持积极防御、综合防范的方针，?美国国家安全战略?中指出，国家的关键根基设施的“这些关键功能遭

45、到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样一个规模上。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的严密结合，防止单点突破。天融信在输出评估结果时，会将管理手段和安全技术严密结合，充分吸收业务特性，建设一个适用性强、可行性强并具有多重深度保障手段的防护网络。信息资产调查和赋值信息资产概述资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进展的保护和

46、安全控制都各不一样。为此，有必要对企业、机构中的信息资产进展科学识别，以便于进展后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。虽然信息资产具有非常广泛的含义，但这里将信息资产定义如下：信息资产是指组织的信息系统、其提供的服务以及处理的数据。信息资产分类参照ISO 27001对信息资产的描述和定义，结合安全评估的经历，将信息资产按照下面的方法进展分类：类别解释/例如网络设备一台或一组互备的网络设备，包括网络设备中的硬件，IOS，配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等，防火墙、IDS等安全设备除外。服务器一台或一组服务器，包括服务器硬件、运行于其上的OS、通用

47、应用、服务，数据库、磁盘阵列等。工作站客户端用机、个人用机等。安全设备作为安全用途的硬件和软件,如:防火墙、IDS、AV等。存储设备提供存储用途的硬件和软件，如：磁盘阵列等。业务系统指组织为其应用而开发或购置的各类应用软件及其提供的业务服务。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等； 数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括数据库数据、存放于硬盘上的文件、代码；财务数据及书面报告等。组织和人员指和安全相关的组织和人员，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人

48、员等物理环境指支持IT系统运行的根基物理设施，如：机房、空调、UPS、监控器等。网络设备网络设备是指构成信息系统网络传输环境的设备，软件和介质。包括路由器、交换机、通信终端和网关以及网络设备控制台等硬件设施和软件系统，为了更清晰地区别资产的安全属性，网络设备类资产不包括防火墙、VPN、网络入侵检测等网络安全产品。服务器服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、小型机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。除此之外，行业特殊的设备，例如银行的ATM等，也属于主机系统。同一台主机系统，安装两种或以上操作系统主

49、要针对工作站、移动计算设备，并均能接入到网络中的，应视为多项主机系统信息资产。工作站工作站是指信息系统中承载业务系统软件客户端软件的计算环境和OA系统中个人用机。同一台主机系统，安装两种或以上操作系统主要针对工作站、移动计算设备，并均能接入到网络中的，应视为多项主机系统信息资产。安全设备安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件系统，包括：防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统的控制台软硬件设施。存储设备存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统，并均能接入到网络中的信息资产。包括：DAS、NAS、SAN等软硬件设施。业务系统业务系统

50、主要指为业务生产、管理支撑及办公等业务需求提供服务的软件系统，此类资产在信息资产中占有非常重要的地位。本工程所指的业务系统是指独立应用、运作的系统，例如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等，网管系统等。业务系统属于需要重点评估、保护的对象。业务系统作为独立的资产存在的同时，对于其他资产又存在如下关系：作为“网络设备、服务器、工作站、安全设备、存储设备资产的属性之一列出。在其资产赋值时，作为考虑的因素。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；通常将其所代表的安全属性落实到如下局部来表达：应用平台

51、软件作为“服务器、工作站、安全设备、存储设备资产的属性之一列出，在进展资产赋值和弱点的时候，作为考虑的因素。数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括源代码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理规程、方案、报告、用户手册等。数据及文档资产在信息资产中占有非常重要的地位，通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常，数据及文档类资产需要保护的安全属性是机密性。例如，公司的财务信息和薪酬数据就是属于高度机密性的数据。但是，完整性的重要性会随着机密性的提高而提高。企业内部对于数据类资产的分类方法通常根据数据的

52、敏感性Sensitivity来进展，与机密性非常类似。例如，下表是常用的一种数据分类方法：简称解释/举例公开Public不需要任何保密机制和措施，可以公开使用例如产品发表新闻等。内部Internal公司内部员工或文档所属部门使用，或文档涉及的公司使用例如合同等秘密Private由和工程相关公司和客户公司成员使用机密Confidential只有在文档中指定的人员可使用，文档的保管要在规定的时间内受到控制绝密Secret非文档的拟订者或文档的所有者及管理者，其他指定人员在使用文档后迅速的按要求销毁但是，由于数据及文档数量巨大，且对其分类存在巨大的偏差和困难，通常将其所代表的安全属性落实到如下局部来

53、表达：作为“服务器、工作站、存储设备资产的属性之一列出。在进展资产赋值和弱点及威胁分析的时候，作为考虑的因素。作为“组织和人员资产的属性之一列出。在进展弱点及威胁分析的时候，作为考虑的因素。组织和人员主要指企业与信息相关的人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等与被评估信息系统相关人员和组织。组织和人员作为独立的资产存在进展识别，但不对其进展资产赋值，对其安全性因素的考虑如下：作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备资产的属性之一列出。物理环境主要指支持信息系统运行的环境的非IT类的设备，主要包括机房、UPS、空调

54、、保险柜、文件柜、门禁、消防设施等。此处一般属于物理安全的问题，主要的设备一般集中在机房内，所以评估时应重点考虑机房提供的环境安全。物理环境与其他资产存在如下关系：物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备资产的属性之一列出。在其弱点及威胁评估时，作为考虑的因素。信息资产分类整体图网络设备服务器工作站安全设备存储设备组织和人员业务系统信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型的进一步说明，例如网络设备中的路由器、交换机等操作系统类型设备所承载的系统的类型，

55、例如包括windows2000,windows2003,hp-unix,aix,solaris等操作系统版本号各类操作系统的版本，例如solaris2.8，8.0等操作系统补丁各类操作系统的安全补丁信息应用软件平台应用系统所需的应用软件，例如WEB、J2EE等应用平台软件版本应用软件所对应的相应版本。应用平台软件补丁应用软件厂商发布的安全补丁。设备型号网络、服务器、工作站等的硬件设备型号设备工作方式硬件、系统之间的工作方式，例如热备、冷备、负载均衡等用途信息资产的主要功能。资产所在地理位置信息资产所处的地域、机房和机柜等资产所在业务系统和部门信息资产所属的业务系统名称和业务系统所属的部门名称资

56、产责任人信息资产在登记过程中的责任人。资产维护人维护信息资产的人员名称资产安全三性安全属性，机密性、完整性和可用性资产创立时间信息资产入网的时间资产最后修改时间信息资产功能修改、人员变换等信息更换的最后时间资产最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称保护对象框架一般来说，信息系统的资产数量十分庞大，为了更好的研究其计算机安全问题，还需要从庞大的信息资产中提炼出保护对象。保护对象框架是指以构造化的方法表达信息系统的框架模型。所谓构造化是指通过特定的构造将问题拆分成子问题的迭代方法。例如“鱼刺图或“问题树。构造化方法包括以下几条 基本原那么：充分覆盖所有子问题的总和必须覆盖原问

57、题。如果不能充分覆盖，那么解决问题的方法就可能出现遗漏，严重影响本方法的可行性。互不重叠所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中：两个不同的子问题其实是同一个子问题的两种表述；某一个子问题其实是另外两个问题或多个问题的合并；不可再细分所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后，所有不可再细分的子问题构成了一个“框架。保护对象的主要作用为：有助于信息资产识别的全面性。在列举信息资产时，保护对象框架有助于识别者系统的进展思考；从资产安全估价到区域的安全性赋值，有助于降低风险分析的难度，同时确保风险分析的有效性。保护对象框架内容保护对象框架主要包括计算区域、网

58、络及根基设施、边界、支撑性根基设施四局部；计算区域还可作为下一级保护对象，向下细分为下一级计算区域、网络及根基设施、边界、支撑性根基设施。1计算区域 计算区域是指由一样功能集合在一起，安全价值相近，且面临相似的威胁来源的一组信息系统组成。同一计算区域内的信息资产在安全性上具有较强的同质性。计算区域还可以按照安全性能进一步细分，直至到安全性完全同质。2网络及根基设施 网络及根基设施是指一样功能集合在一起，安全价值相近，且面临相似的威胁来源的一组网络系统组成。通常包括路由器，交换机和防火墙等提供网路服务的局域网和广域网。3边界 边界是指两个区域或两组区域之间的隔离功能集。边界是一组功能集合，包括访

59、问控制，身份认证等。4支撑性根基设施支撑性根基设施是指在区域内提供安全保障功能的功能集。支撑性根基设施是一组功能集合，包括入侵检测、审计及计算机病毒防护等。保护对象和信息资产保护对象框架就是信息系统的真实模型，计算区域、网络与根基设施作为保护对象框架的两类 基本元素，分别对应了不同信息资产的集合。计算区域：对应信息资产，通常包括：工作站、存储设备，服务器，安全设备不具有访问控制及边界隔离功能；当计算区域作为一级保护对象框架时，应按照保护对象框架的思路向下继续分解。网络与根基设施：对应信息资产，通常包括：网络设备，安全设备具有访问控制及边界隔离功能。边界：对应信息资产，通常包括:网络设备(具有访

60、问控制及边界隔离的功能模块)，安全设备具有访问控制及边界隔离功能。支撑性根基设施：对应信息资产，通常包括：安全设备不具有访问控制及边界隔离功能如上信息资产和保护对象框架的关系，都为各类信息资产的一个或多个属性。对于业务系统资产来说，在确立保护对象框架时，可以将其作为一个独立的保护对象来对待。对于组织和人员资产，通过业务系统的属性和相应的保护对象框架相关联。资产识别过程绘制拓扑图资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说，拓扑图越详细，资产识别的精度也就越高。如果系统非常复杂，一张拓扑图很难描述清楚，那么应采用多张拓扑图。在安全咨询工程中，参谋应要求用户首先提供用