信息系统网络安全设计方案培训资料

1、内外网安安全等级级保护建建设项目目初步设计计方案编制单位位： 编制时间间：二一五年三月目录TOC o 1-3 h z u HYPERLINK l _Toc472084030 1.信息息安全概概述 PAGEREF _Toc472084030 h 6 HYPERLINK l _Toc472084031 什么是信信息安全全？ PAGEREF _Toc472084031 h 6 HYPERLINK l _Toc472084032 为什么需需要信息息安全 PAGEREF _Toc472084032 h 66 HYPERLINK l _Toc472084033 1.1 安全理理念 PAGEREF _Toc

2、472084033 h 7 HYPERLINK l _Toc472084034 1.1.1系统统生命周周期与安安全生命命周期 PAGEREF _Toc472084034 h 77 HYPERLINK l _Toc472084035 1.1.23SS安全体体系以以客户价价值为中中心 PAGEREF _Toc472084035 h 8 HYPERLINK l _Toc472084036 1.1.3关注注资产的的安全风风险 PAGEREF _Toc472084036 h 9 HYPERLINK l _Toc472084037 1.1.4安全全统一管管理 PAGEREF _Toc472084037 h

3、 9 HYPERLINK l _Toc472084038 1.1.5安全全 = 管理 + 技术术 PAGEREF _Toc472084038 h 10 HYPERLINK l _Toc472084039 1.2 计算机机系统安安全问题题 PAGEREF _Toc472084039 h 10 HYPERLINK l _Toc472084040 1.2.1 从计算算机系统统的发展展看安全全问题 PAGEREF _Toc472084040 h 111 HYPERLINK l _Toc472084041 1.2.2 从从计算机机系统的的特点看看安全问问题 PAGEREF _Toc472084041 h

4、 111 HYPERLINK l _Toc472084042 2.物理理安全 PAGEREF _Toc472084042 h 112 HYPERLINK l _Toc472084043 2.1 设备的的安全 PAGEREF _Toc472084043 h 112 HYPERLINK l _Toc472084044 3.访问问控制 PAGEREF _Toc472084044 h 116 HYPERLINK l _Toc472084045 3.1访访问控制制的业务务需求 PAGEREF _Toc472084045 h 116 HYPERLINK l _Toc472084046 3.2用用户访问问的

5、管理理 PAGEREF _Toc472084046 h 17 HYPERLINK l _Toc472084047 3.3用用户责任任 PAGEREF _Toc472084047 h 19 HYPERLINK l _Toc472084048 3.4网网络访问问控制 PAGEREF _Toc472084048 h 220 HYPERLINK l _Toc472084049 3.5操操作系统统的访问问控制 PAGEREF _Toc472084049 h 224 HYPERLINK l _Toc472084050 3.6应应用系统统的访问问控制 PAGEREF _Toc472084050 h 228

6、HYPERLINK l _Toc472084051 3.7系系统访问问和使用用的监控控 PAGEREF _Toc472084051 h 29 HYPERLINK l _Toc472084052 3.8移移动操作作及远程程办公 PAGEREF _Toc472084052 h 332 HYPERLINK l _Toc472084053 4.网络络与通信信安全 PAGEREF _Toc472084053 h 334 HYPERLINK l _Toc472084054 4.1网网络中面面临的威威胁 PAGEREF _Toc472084054 h 344 HYPERLINK l _Toc47208405

7、5 5.系统统安全设设计方案案 PAGEREF _Toc472084055 h 44 HYPERLINK l _Toc472084056 5.1系系统安全全设计原原则 PAGEREF _Toc472084056 h 444 HYPERLINK l _Toc472084057 5.2建建设目标标 PAGEREF _Toc472084057 h 45 HYPERLINK l _Toc472084058 5.3总总体方案案 PAGEREF _Toc472084058 h 46 HYPERLINK l _Toc472084059 5.4总总体设计计思想 PAGEREF _Toc472084059 h

8、447 HYPERLINK l _Toc472084060 5.4.1内网网设计原原则 PAGEREF _Toc472084060 h 477 HYPERLINK l _Toc472084061 5.4.2有步步骤、分分阶段实实现安全全建设 PAGEREF _Toc472084061 h 448 HYPERLINK l _Toc472084062 5.4.3完整整的安全全生命周周期 PAGEREF _Toc472084062 h 499 HYPERLINK l _Toc472084063 5.5网网络区域域划分与与安全隐隐患 PAGEREF _Toc472084063 h 499 HYPERL

9、INK l _Toc472084064 6.0网网络安全全部署 PAGEREF _Toc472084064 h 449 HYPERLINK l _Toc472084065 保护目标标 PAGEREF _Toc472084065 h 49 HYPERLINK l _Toc472084066 威胁来源源 PAGEREF _Toc472084066 h 49 HYPERLINK l _Toc472084067 安全策略略 PAGEREF _Toc472084067 h 50 HYPERLINK l _Toc472084068 6.1防防火墙系系统 PAGEREF _Toc472084068 h 51

10、1 HYPERLINK l _Toc472084069 6.1.1防火火墙系统统的设计计思想 PAGEREF _Toc472084069 h 551 HYPERLINK l _Toc472084070 6.1.2 防防火墙的的目的 PAGEREF _Toc472084070 h 552 HYPERLINK l _Toc472084071 6.1.3 防防火墙的的控制能能力 PAGEREF _Toc472084071 h 533 HYPERLINK l _Toc472084072 6.1.4 防防火墙特特征 PAGEREF _Toc472084072 h 533 HYPERLINK l _Toc

11、472084073 6.1.5 第第四代防防火墙的的抗攻击击能力 PAGEREF _Toc472084073 h 555 HYPERLINK l _Toc472084074 6.1.6 防防火墙产产品的选选型与推推荐 PAGEREF _Toc472084074 h 566 HYPERLINK l _Toc472084075 6.2入入侵检测测系统 PAGEREF _Toc472084075 h 661 HYPERLINK l _Toc472084076 6.2.1什么么是入侵侵检测系系统 PAGEREF _Toc472084076 h 611 HYPERLINK l _Toc472084077

12、 6.2.2如何何选择合合适的入入侵检测测系统 PAGEREF _Toc472084077 h 661 HYPERLINK l _Toc472084078 6.2.3IDDS的实实现方式式网网络IDDS PAGEREF _Toc472084078 h 622 HYPERLINK l _Toc472084079 6.2.4IDDS的实实现方式式主主机IDDS PAGEREF _Toc472084079 h 633 HYPERLINK l _Toc472084080 6.2.5基于于网络的的入侵检检测系统统的主要要优点有有： PAGEREF _Toc472084080 h 644 HYPERLIN

13、K l _Toc472084081 6.2.6入侵侵检测系系统的设设计思想想 PAGEREF _Toc472084081 h 65 HYPERLINK l _Toc472084082 6.2.7入侵侵检测产产品的选选型与推推荐 PAGEREF _Toc472084082 h 666 HYPERLINK l _Toc472084083 6.3漏漏洞扫描描系统 PAGEREF _Toc472084083 h 771 HYPERLINK l _Toc472084084 6.3.1漏洞洞扫描系系统产品品选型与与推荐 PAGEREF _Toc472084084 h 771 HYPERLINK l _To

14、c472084085 6.3.2漏洞洞扫描系系统的部部署方案案 PAGEREF _Toc472084085 h 73 HYPERLINK l _Toc472084086 6.4网网络信息息监控与与取证系系统 PAGEREF _Toc472084086 h 744 HYPERLINK l _Toc472084087 6.4.1网络络信息监监控与取取证系统统产品的的选型与与推荐 PAGEREF _Toc472084087 h 774 HYPERLINK l _Toc472084088 6.4.2网络络信息监监控与取取证系统统的部署署方案 PAGEREF _Toc472084088 h 777 HY

15、PERLINK l _Toc472084089 6.5内内部安全全管理系系统（防防水墙系系统） PAGEREF _Toc472084089 h 778 HYPERLINK l _Toc472084090 6.5.1内部部安全管管理系统统产品选选型与推推荐 PAGEREF _Toc472084090 h 799 HYPERLINK l _Toc472084091 6.5.2内部部安全管管理系统统的部署署方案 PAGEREF _Toc472084091 h 885 HYPERLINK l _Toc472084092 6.6其其他计算算机系统统安全产产品介绍绍 PAGEREF _Toc4720840

16、92 h 86 HYPERLINK l _Toc472084093 6.6.1天镜镜系漏洞扫扫描 PAGEREF _Toc472084093 h 866 HYPERLINK l _Toc472084094 6.6.2数据据库审计计系统 PAGEREF _Toc472084094 h 889 HYPERLINK l _Toc472084095 6.6.3iGGuarrd网页页防篡改改系统 PAGEREF _Toc472084095 h 993 HYPERLINK l _Toc472084096 6.6.4防垃垃圾邮件件网关 PAGEREF _Toc472084096 h 999 HYPERLIN

17、K l _Toc472084097 6.6.5集中中安全管管理平台台 GSSMDeeskttop 7.11 PAGEREF _Toc472084097 h 1066 HYPERLINK l _Toc472084098 6.6.6中软软运行管管理系统统2.00R2 PAGEREF _Toc472084098 h 11101.信息息安全概概述什么是信信息安全全？信息是一一家机构构的资产产，与其其它资产产一样，应应受到保保护。信信息安全全的作用用是保护护信息不不受大范范围威胁胁所干扰扰，使机机构业务务能够畅畅顺，减减少损失失及提供供最大的的投资回回报和商商机。信息可以以有多种种存在方方式，可可以写在

18、在纸上、储存在在电子文文档里，也也可以用用邮递或或电子手手段发送送，可以以在电影影上放映映或者说说话中提提到。无无论信息息以何种种方式表表示、共共享和存存储，都都应当适适当地保保护起来来。因此信息息安全的的特征是是保留信信息的如如下特性性：保密性(connfiddenttiallityy)：保保证信息息只让合合法用户户访问；完整性(inttegrrityy)：保保障信息息及其处处理方法法的准确确性（aaccuuraccy）、完全性性（coomplleteenesss）；可用性(avaailaabillityy)：保保证合法法用户在在需要时时可以访访问到信信息及相相关资产产。实现信息息安全要要有

19、一套套合适的的控制（cconttrolls），如如策略（ppoliiciees）、惯例(praactiicess)、程程序(pprocceduuress)、组组织的机机构(oorgaanizzatiionaal sstruuctuuress)和软软件功能能(sooftwwaree fuuncttionns)。这些控控制需要要被建立立以保证证机构的的安全目目标能够够最终实实现。为什么需需要信息息安全信息及其其支持进进程、系系统和网网络是机机构的重重要资产产。信息息的保密密性、完完整性和和可用性性对机构构保持竞竞争能力力、现金金流、利利润、守守法及商商业形象象至关重重要。但机构及及其信息息系统和和

20、网络也也越来越越要面对对来自四四面八方方的威胁胁，如计计算机辅辅助的诈诈骗、间间谍、破破坏、火火灾及水水灾等。损失的的来源如如计算机机病毒、计算机机黑客及及拒绝服服务攻击击等手段段变得更更普遍、大胆和和复杂。机构对信信息系统统及服务务的依赖赖意味着着更容易易受到攻攻击。公公网和专专网的互互联以及及信息资资源的共共享增加加了访问问控制的的难度。分布式式计算的的趋势已已经削弱弱了集中中管理的的效果。很多信息息系统没没有设计计得很安安全。利利用技术术手段获获得的安安全是受受限制的的，因而而还应该该得到相相应管理理和程序序的支持持。选择择使用那那些安全全控制需需要事前前小心周周密计划划和对细细节的关关

21、注。信信息安全全管理至至少需要要机构全全体员工工的参与与，同时时也应让让供应商商、客户户或股东东参与，如如果有必必要，可可以向外外界寻求求专家的的建议。对信息安安全的控控制如果果融合到到需求分分析和系系统设计计阶段，则则效果会会更好，成成本也更更便宜。1.1 安全理理念绝对安全全与可靠靠的信息息系统并并不存在在。一个个所谓的的安全系系统实际际上应该该是“使入侵侵者花费费不可接接受的时时间与金金钱，并并且承受受很高的的风险才才能闯入入”系统。安全性性的增加加通常导导致企业业费用的的增长，这这些费用用包括系系统性能能下降、系统复复杂性增增加、系系统可用用性降低低和操作作与维护护成本增增加等等等。安

22、全全是一个个过程而而不是目目的。弱弱点与威威胁随时时间变化化。安全全的努力力依赖于于许多因因素，例例如职员员的调整整、新业业务应用用的实施施、新攻攻击技术术与工具具的导入入和安全全漏洞。系统生命命周期与与安全生生命周期期系统生命命周期通通常由以以下阶段段组成：概念与与需求定定义、系系统功能能设计、系统开开发与获获取、系系统实现现与测试试、系统统的持久久操作支支持和最最终系统统处理。在过去去的几年年里，实实现系统统生命周周期支持持的途径径已经转转变，以以适应将将安全组组成部分分和安全全过程综综合到系系统工程程过程中中的需要要。与系系统生命命周期相相对应，安安全生命命周期由由以下几几个阶段段构成：

23、安全概概念和需需求定义义、安全全机制设设计、安安全集成成与实现现、安全全管理解解决方案案和安全全风险分分析。涉及到任任何功能能和系统统级别的的需求，通通过理解解安全需需求、参参加安全全产品评评估并最最终在工工程设计计和实现现系统等等方式，应应该在生生命周期期过程的的早期便便提出安安全问题题。近年年来发现现，在系系统开发发之后实实现系统统安全非非常困难难，而且且已经有有了不少少教训。因此，必必须在发发掘需求求和定义义系统时时便考虑虑安全需需求。为为了在系系统工程程过程中中有效地地集成安安全方法法与控制制，设计计者与开开发者应应该调整整现有的的过程模模型，以以产生一一个交互互的系统统开发生生命周期

24、期。该周周期更关关注使系系统获得得安全性性的安全全控制和和保护机机制。3S安全全体系以客户户价值为为中心3S安全全体系由由三部分分组成：安全解解决方案案（Seecurrityy Sooluttionn）、安安全应用用（Seecurrityy Apppliicattionn）和安安全服务务（Seecurrityy Seerviice）。这三部部分又都都以客户户价值为为中心。安全解决决方案（SSecuuritty SSoluutioon）包包括安全全解决方方案的设设计与实实施，安安全产品品选型与与系统集集成。安安全应用用（Seecurrityy Apppliicattionn）包括括根据用用户的实

25、实际应用用环境，为为用户定定制应用用安全系系统。安安全服务务（Seecurrityy Seerviice）则则贯穿了了整个安安全建设设的始终终，从最最初的安安全风险险评估与与风险管管理，帮帮助用户户制定信信息安全全管理系系统，系系统安全全加固，紧紧急安全全响应，到到安全项项目实施施后的安安全培训训教育。3S安全全体系关注资产产的安全全风险安全技术术涉及到到方方面面面的问问题。对对各种系系统和设设备的安安全管理理必然是是一个复复杂的、高负荷荷的工作作。在若若干的安安全事件件中，我我们关注注的是那那些针对对关键资资产的安安全漏洞洞发起的的攻击，这这些攻击击才会对对资产形形成威胁胁。因此此，对于于企

26、业资资产和资资产风险险的管理理应该是是整个安安全管理理的第一一步，即即通过对对这些资资产的安安全评估估，了解解资产安安全状况况的水准准。这些些工作是是其他安安全保护护技术的的基础，也也是有效效管理企企业ITT安全的的基石。安全弱点点管理平平台可以以智能发发现关键键IT业业务资产产和经营营这些资资产的技技术（操操作系统统、应用用程序、硬件版版本等等等），将将其与确确认的弱弱点进行行对比，并并提供包包含逐步步修补指指导说明明的基于于风险的的弱点管管理任务务列表，指指导ITT管理员员合理及及时处理理安全弱弱点，从从而显著著地降低低风险。安全对抗抗平台对对关键网网段进行行监视，并并且可以以随时准准备转

27、移移到安全全事件的的突发区区，进行行事件分分析，帮帮助管理理员和专专家抵抗抗、反击击攻击者者。在安安全事件件发生后后，可以以重建安安全事件件过程、恢复关关键数据据，能够够极大地地提高系系统的生生存能力力，并且且起到威威慑攻击击者的目目的。安全统一一管理安全事件件不是独独立的、偶然的的。一次次成功的的攻击事事件，必必然会在在网络的的相关设设备和系系统中有有所反应应。不论论是人为为发起的的攻击，还还是来自自病毒的的攻击行行为，都都可以从从防火墙墙、路由由器、交交换机、入侵检检测和主主机系统统中获取取相关的的证据。攻击的的证据零零散地分分布在这这些系统统中，如如果能够够有效地地、智能能地加以以整合，

28、我我们就可可以清晰晰地了解解到整个个安全事事件的过过程，帮帮助管理理员更好好地管理理信息系系统的安安全。来自管理理方面的的需求也也迫切地地需要一一个安全全统一管管理平台台。从广广义的角角度来看看，网络络设备应应该也属属于网络络安全的的一部分分。在一一个大型型的网络络中，对对于分布布在不同同网段、不同地地理位置置的网络络设备、安全设设备的管管理会消消耗管理理员大量量的精力力。而安安全系统统往往会会部署在在异构平平台上，对对于这些些异构平平台的掌掌握、对对于安全全系统的的掌握也也会浪费费管理员员的时间间和精力力。安全统一一管理自自动整合合来自运运行路由由器、交交换机、入侵检检测、防防病毒、防火墙墙

29、等安全全产品的的事件数数据，同同时通过过其客户户端以及及SAPPI有效效收集第第三方安安全检测测产品产产生的安安全事件件数据，并并将其存存储在中中心数据据库中以以便方便便地进行行访问和和编写报报表。管管理员使使用安全全统一管管理平台台管理、监视、报警和和报告跨跨平台的的用户活活动信息息。有了了这些信信息，系系统管理理员将可可以在出出现可能能对关键键电子商商务系统统造成负负面影响响的袭击击和问题题之前，立立即做出出反应。安全 = 管理理 + 技术信息和支支持进程程、系统统以及网网络都是是重要的的业务资资产。为为保证企企业富有有竞争力力，保持持现金流流顺畅和和组织赢赢利，以以及遵纪纪守法和和维护组

30、组织的良良好商业业形象，信信息的保保密性、完整性性和可用用性是至至关重要要的。很很多信息息系统在在设计时时，没有有考虑到到安全问问题。通过技技术手段段获得安安全保障障十分有有限，必必须辅之之以相应应的管理理手段和和操作程程序才能能得到真真正的安安全保障障。确定需需要使用用什么控控制措施施需要周周密计划划，并对对细节问问题加以以注意。作为信息息安全管管理的最最基本要要求，企企业内所所有的雇雇员都应应参与信信息安全全管理。信息安安全管理理还需要要供应商商、客户户或股东东的参与与。也需需要参考考来自组组织之外外的专家家的建议议。如果在制制定安全全需求规规范和设设计阶段段时就考考虑到了了信息安安全的控

31、控制措施施，那么么信息安安全控制制的成本本会很低低，并更更有效率率。1.2 计算机机系统安安全问题题目前，计计算机系系统和信信息安全全问题是是IT业业最为关关心和关关注的焦焦点之一一。据IICSAA统计，有有11的安全全问题导导致网络络数据被被破坏，114导导致数据据失密，115的的攻击来来自系统统外部，来来自系统统内部的的安全威威胁高达达60。由于于受到内内部心怀怀不满的的职工安安放的程程序炸弹弹侵害，OOmegga EEngiineeerinng公司司蒙受了了价值3300万万美元的的销售收收入和合合同损失失，由于于受到来来自网络络的侵袭袭，Ciitibbankk银行被被窃了110000万美

32、元元，后来来他们虽虽然追回回了7550万美美元损失失，但却却因此失失去了77的重重要客户户，其声声誉受到到了沉重重打击。这只是是人们知知道的两两个因安安全问题题造成巨巨大损失失的例子子，实际际上，更更多的安安全入侵侵事件没没有报告告。据美美国联邦邦调查局局估计，仅仅有7的入侵侵事件被被报告了了，而澳澳大利亚亚联邦警警察局则则认为这这个数字字只有55。因因为许多多入侵根根本没有有被检测测到，还还有一些些受到侵侵袭的企企业由于于害怕失失去客户户的信任任而没有有报告。那么，为为什么当当今信息息系统中中存在如如此之多多的安全全隐患，安安全问题题如此突突出呢？这是与与计算机机系统的的发展、当今流流行系统

33、统的设计计思路、当前IIT系统统的使用用状况紧紧密相关关的。下下面，我我们从以以下几个个方面简简要论述述。1.2.1 从计算算机系统统的发展展看安全全问题安全问题题如此突突出和严严重是与与IT技技术和环环境的发发展分不不开的。早期的的业务系系统是局局限于大大型主机机上的集集中式应应用，与与外界联联系较少少，能够够接触和和使用系系统的人人员也很很少，系系统安全全隐患尚尚不明显显。现在在业务系系统大多多是基于于客户/服务器器模式和和Intternnet/Inttrannet网网络计算算模式的的分布式式应用，用用户、程程序和数数据可能能分布在在世界的的各个角角落，给给系统的的安全管管理造成成了很大大

34、困难。早期的的网络大大多限于于企业内内部，与与外界的的物理连连接很少少，对于于外部入入侵的防防范较为为容易，现现在，网网络已发发展到全全球一体体化的IInteerneet，每每个企业业的Inntraanett都会有有许多与与外部连连接的链链路，如如通过专专线连入入Intternnet，提提供远程程接入服服务供业业务伙伴伴和出差差员工访访问等等等。在这这样一个个分布式式应用的的环境中中，企业业的数据据库服务务器、电电子邮件件服务器器、WWWW服务务器、文文件服务务器、应应用服务务器等等等每一个个都是一一个供人人出入的的“门户”，只要要有一个个“门户”没有完完全保护护好忘忘了上锁锁或不很很牢固，“

35、黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是1416岁。1.2.2 从从计算机机系统的的特点看看安全问问题在现代典典型的计计算机系系统中，大大都采用用TCPP/IPP作为主主要的网网络通讯讯协议，主主要服务务器为UUNIXX或Wiindoows NT操操作系统统。众所所周知，TTCP/IP和和UNIIX都是是以开放放性著称称的。系系统之间间易于互互联和共共享信息息的设计计思路贯贯穿与系系统的方方方面面面，对访访问控制制、

36、用户户验证授授权、实实时和事事后审计计等安全全内容考考虑较少少，只实实现了基基本安全全控制功功能，实实现时还还存在一一些这样样那样的的漏洞。TCP/IP的的结构与与基于专专用主机机(如IIBM ES/30000、AAS/4400)和网络络(如SSNA网网络)的的体系结结构相比比，灵活活性、易易用性、开发性性都很好好，但是是，在安安全性方方面却存存在很多多隐患。TCPP/IPP的网络络结构没没有集中中的控制制，每个个节点的的地址由由自己配配置，节节点之间间的路由由可任意意改变。服务器器很难验验证某客客户机的的真实性性。IPP协议是是一种无无连接的的通讯协协议，无无安全控控制机制制，存在在IP S

37、pooofiing、TCPP seequeencee nuumbeer ppreddicttionn atttaccks、Souurcee ouutinng aattaackss 、RRIP atttackks、IICMPP atttaccks、Datta-ddrivven atttackks (SMTTP aand MIMME) 、Doomaiin NNamee Seerviice atttackks、FFraggmennt aattaackss、Tiiny fraagmeent atttackks、 Hijjackkingg atttaccks、Datta iinteegriity att

38、tackks、 Enccapssulaatedd IPP atttaccks等等各种各各样的攻攻击手段段。实际际上，从从TCPP/IPP的网络络层，人人们很难难区分合合法信息息流和入入侵数据据，DooS(DDeniial of Serrvicces，拒拒绝服务务)就是是其中明明显的例例子。UNIXX操作系系统更是是以开放放性著称称的，在在安全性性方面存存在许多多缺限。如用户户认证和和授权管管理方面面，UNNIX操操作系统统对用户户登录的的管理是是靠用户户名和口口令实现现的，存存在很多多安全上上的隐患患；在对对资源的的访问控控制管理理方面，UUNIXX只有读读、写和和执行三三种权限限，无法法对文

39、件件进行更更为细致致的控制制，且缺缺乏完善善有效的的跟踪审审计能力力。严格格的控制制需要复复杂的配配置过程程，不同同系统上上配置方方法也很很不一致致，实际际上无法法全面有有效地实实施。另另外UNNIX中中的rooot用用户为特特权用户户，拥有有至高无无上的特特权，它它也成为为黑客窥窥视的主主要目标标，给系系统安全全造成了了极大危危害。2.物理理安全2.1 设备的的安全目的： 防止资资产丢失失、损失失或被破破坏，防防止业务务活动的的停顿。设备应有有物理保保护不受受安全威威胁及环环境事故故的影响响。要保护设设备（包包括用在在离线的的地方）以以减少非非法访问问数据的的风险，和和保护不不会丢失失或损失

40、失，也要要考虑设设备应放放在什么么地方及及如何处处理掉。 可能能需要特特别的控控制来保保护故障障或非法法访问，和和保障支支援设备备，例如如电力供供应和线线缆架构构。2.1.1设备备的放置置及保护护设备应放放在安全全的地方方，保护护减少来来自环境境威胁及及事故的的风险，减减少非法法访问的的机会。要考虑虑的有：设备的位位置，应应是尽量量减少不不必要的的到工作作地方的的访问；处理敏感感数据的的信息处处理及储储存设备备应该好好好放置置，以减减少使用用时被俯俯瞰的风风险；需要特别别保护的的东西，应应被隔离离；应控制并并减少潜潜在威胁胁出现的的风险：偷窃；火；爆炸物；烟；水（或供供水有问问题）；尘埃；震动

41、；化学效应应；电力供应应干扰；电磁辐射射；机构应考考虑在信信息处理理设备附附近的饮饮食及吸吸烟策略略；应监控那那些严重重影响信信息处理理设备操操作的环环境；考虑在工工业环境境设备的的特殊保保护方法法，例如如采用键键盘薄膜膜；应考虑在在大厦附附近发生生灾难的的后果，例例如隔离离大厦着着火、房房顶漏水水，地下下层渗水水、街道道发生爆爆炸。2.1.2电力力的供应应应保证设设备电源源不会出出现故障障，或其其它电力力异常。应有适适当的、符合设设备生产产商规格格的电力力供应。关于连连续性供供电的选选项有：多个输电电点，避避免单点点输电导导致全部部停电；不间断电电源（UUPS）；备份发电电机。建议为那那些支

42、持持重要业业务操作作的设备备配备UUPS，保保持有次次序的停停电或连连续性供供电。应应急计划划应包括括UPSS 发生生故障时时应采取取什么行行动。UUPS设设备应定定期检查查，保证证有足够够的容量量，并按按生产商商的建议议进行测测试。如果发生生长时间间电源失失败还要要继续信信息处理理的话，请请考虑配配备后备备发电机机。发电电机安装装后，应应按生产产商的指指示定期期进行测测试。应应提供足足够的燃燃料保证证发电机机可以长长时间发发电。此外，紧紧急电力力开关应应放置设设备房紧紧急出口口的附近近，以便便一旦发发生紧急急事故马马上关闭闭电源。也要考考虑一旦旦电源失失败时的的应急灯灯。要保保护全大大厦的灯

43、灯，及在在所有外外部通讯讯线路都都要装上上灯光保保护过滤滤器。2.1.3电缆缆线路的的安全应保护带带有数据据或支持持信息服服务的电电力及电电讯电缆缆，使之之不被侦侦听或破破坏。要要注意的的有：进入信息息处理设设备的电电力及电电讯电缆缆线路应应放在地地下下面面，如可可能，也也可以考考虑其它它有足够够保护能能力的办办法；网络布线线应受到到保护，不不要被非非法截取取或被破破坏，举举例，使使用管道道或避免免通过公公众地方方的路径径；电源电缆缆应与通通讯电缆缆分开，避避免干扰扰；至于敏感感或重要要的系统统，更要要考虑更更多的控控制，包包括：安装装甲甲管道，加加了锁的的作为检检查及终终点的房房间或盒盒子；

44、使用可选选路由或或者传输输介质；光纤光缆缆；清除附加加在电缆缆上的未未授权设设备。2.1.4设备备的维护护设备应正正确维护护来保证证连续性性可用合合完整性性。 以以下是要要注意的的：设备应按按供应商商的建议议服务间间隔及规规格维护护；只有授权权的维护护人员才才可以修修理设备备；记录所有有可疑的的或真实实的故障障，以及及所有防防范及改改正措施施；实施适当当的控制制如何把把设备送送出大厦厦进行修修理2.1.4设备备离开大大厦的安安全无论是谁谁拥有的的，在机机构外面面使用任任何设备备处理信信息应有有管理层层的授权权。 所所提供的的安全保保护应与与设备在在大厦内内使用时时相同。还要考考虑在机机构大厦厦

45、外面工工作的风风险。信信息处理理设备包包括所有有形式的的个人计计算机、商务通通、移动动电话纸纸张或其其它表格格，放在在家里或或从日常常工作地地方搬走走。要考考虑的有有：从大厦取取走的设设备及介介质，不不应放在在公众地地方无人人看管。 笔记记本计算算机应当当作手提提行李随随身，及及在外时时尽量遮遮蔽，不不要显露露在外被被人看到到；应时常注注意生产产商保护护设备的的指示，例例如不要要暴露在在强大的的电磁场场内；在家工作作的控制制，应在在评估风风险后确确定，并并适当地地实施，举举例，可可上锁的的文件柜柜、清除除桌子的的策略及及计算机机的访问问控制；应有足够够的保险险保护不不在大厦厦的设备备。安全风险

46、险，例如如损坏、被盗及及偷听，可可能每个个地方都都不同，所所以应仔仔细考虑虑后确定定最适当当的控制制。参看看3.88.1的的关于如如何保护护移动设设备。2.1.5设备备的安全全清除或或重用信息可以以通过不不小心清清除或重重复使用用设备而而被破坏坏（参看看8.66.4），有有敏感信信息的存存储设备备应该物物理被销销毁或安安全地覆覆盖，而而不是使使用标准准的删除除功能。所有储存存设备，例例如固定定硬盘，应应被检查查以保证证已清除除所有敏敏感数据据及授权权软件，或或在清除除前已被被覆盖。损坏了了、有敏敏感数据据的储存存设备可可能需要要评估风风险后确确定是否否把设备备销毁、修理或或丢掉。3.访问问控制

47、3.1访访问控制制的业务务需求目的：控控制信息息的访问问。应按照业业务及安安全要求求控制信信息及业业务程序序的访问问，应把把信息发发布及授授权的策策略内容容加入到到考虑范范围之内内。3.1.1访问问控制策策略1策略及及业务需需求首先要定定义业务务需求的的访问控控制，并并记录下下来。访访问策略略的文件件应清楚楚写明每每个用户户或每组组用户应应有的访访问控制制规定及及权限，用用户及服服务提供供商都应应有一份份这样的的文件，明明白访问问控制要要达到什什么业务务需求。访问控控制策略略应包括括以下内内容：每个业务务应用系系统的安安全要求求；确认所有有与业务务应用系系统有关关的信息息；信息发

48、布布及授权权的策略略，例如如：安全全级别及及原则，以以及信息息分类的的需要；不同系统统及网络络之间的的访问控控制及信信息分类类策略的的一致性性；关于保护护访问数数据或服服务的相相关法律律或任何何合同规规定；一般作业业类的标标准用户户访问配配置；在分布式式及互联联的环境境中，管管理所有有类别的的连接的的访问权权限。2访问控控制规定定在制定访访问控制制规定时时，应小小心考虑虑以下：将必须实实施的规规定和可可以选择择实施或或有条件件实施的的规定分分开考虑虑；根据“除除非有明明文准可可，否则则一般是是被禁止止”的原则则建立规规定，而而不是“在一般般情况下下全都可可以，除除非有明明文禁止止

49、”的模糊糊概念；由信息处处理设备备自动启启动与经经过用户户判断启启动的信信息标记记改动；由信息系系统自动动启动的的与由管管理员启启动的用用户许可可的变动动。需要与不不需要管管理员或或其它批批准才能能颁布的的规定。3.2用用户访问问的管理理目的：防防止非法法访问信信息系统统。应有一套套正式程程序来控控制分配配信息系系统及服服务的访访问权限限。手续应包包括用户户访问生生命周期期的所有有阶段，从从一开始始注册新新用户直直到最后后注销那那些不再再需要访访问信息息安全及及服务的的用户。应特别别注意控控制分配配特级访访问权限限，因为为这些特特级权限限让用户户越过系系统的控控制。3.2.1用户户登记应有一套

50、套正式的的用户注注册及注注销手续续，以便便授予访访问所有有多用户户信息系系统及服服务。多用户信信息服务务的访问问应通过过正式的的用户注注册手续续控制，内内容应包包括：使用唯一一的用户户ID，以以便鉴定定是谁做做什么操操作，并并予以追追究责任任；检查用户户是否已已被系统统拥有者者授权使使用信息息系统或或服务。有时，还还需要管管理个别别批准访访问权限限；检查所准准许的访访问级别别是否适适用于业业务目的的（参看看3.11），是是否与机机构的安安全策略略一致，例例如不会会破坏责责任的分分开；发送用户户访问权权限声明明书给用用户；要求用户户在声明明书上签签字，表表示明白白了访问问的条件件；确保服务务提供

51、者者不能访访问，直直到授权权手续已已完成；保存一份份所有注注册使用用服务的的正式名名单；马上取消消已更换换岗位、或已离离开机构构的用户户的访问问权限；定期检查查是否有有多余的的用户IID及账账号，并并予以除除掉；确保多余余的用户户ID不不会发给给其它用用户。此外，应应仔细研研究员工工合同及及服务合合同中涉涉及员工工或服务务商试图图非法访访问后所所受到的的制裁的的条款。3.2.2特权权管理应禁止及及控制特特权（指指任何一一种功能能或设备备会让用用户可以以越过系系统或应应用系统统控制的的多用户户信息系系统）的的分配与与使用。不适当当使用系系统特权权往往是是系统安安全被破破坏的主主要原因因。需要保护

52、护不被非非法访问问的多用用户系统统应有正正式授权权手续控控制特权权的分配配，应考考虑以下下的步骤骤：认与每个个系统产产品（例例如操作作系统、数据库库管理系系统以及及每个应应用系统统，以关关联的特特权，以以及找出出那些应应配有特特权的员员工。权应按照照“需要使使用”及“按事件件”的原则则分配，即即只在需需要时所所赋有的的最低功功能角色色要求。应有一套套授权程程序，及及记录所所有被分分配的特特权。不不应授予予特权，直直到完成成整个授授权程序序。鼓励开发发及使用用系统例例行程序序，以避避免授予予用户特特权的需需要特权应赋赋予不同同的用户户ID，与与用作业业务的IID分开开3.2.3用户户口令的的管理

53、口令是一一个常用用方法，来来核查访访问某个个信息系系统或服服务的用用户身份份。所以以，应通通过正式式的管理理程序分分配口令令，办法法以下：要求用户户在声明明书上签签字，保保证不泄泄露个人人口令，以以及只让让在同一一组的组组员知道道作业组组的口令令；当需要用用户保密密自己的的口令时时，保证证在开始始时只提提供一个个暂时的的口令，强强迫用户户马上更更改。当当用户忘忘记自己己口令时时，应在在确认清清楚用户户身份后后才提供供临时性性口令；要求安全全地发给给用户临临时性口口令。应应避免使使用第三三方或未未加保护护（明文文）的电电子邮件件信息。用户应应确认收收到口令令。口令绝不不能以不不加保护护的形式式储

54、存在在计算机机系统中中（参看看3.55.4）。其它用用来确认认及认证证用户的的技术，例例如生物物测定学学，指纹纹核查、签名核核查及硬硬件令牌牌，例如如chiip-ccardds，都都可以考考虑使用用。3.2.4用户户访问权权限的检检查为了有效效控制数数据及信信息服务务的访问问，管理理层应该该定期正正式检查查，看看看用户的的访问权权限是否否：定期（建建议是每每隔六个个月）及及在任何何改动后后（参看看3.22.1）接接受检查查；更频繁地地检查特特权访问问的授权权（参看看3.22.2），建建议是每每隔三个个月；定期检查查特权的的分配，以以确保没没有用户户取得非非法特权权。3.3用用户责任任目的：防防

55、止非法法的用户户访问。合法用户户的合作作对推行行有效的的安全非非常重要要。用户应知知道自己己有责任任维护有有效的访访问控制制，特别别是如何何使用口口令及用用户设备备的安全全。3.3.1口令令的使用用用户应遵遵守良好好的选择择及使用用口令的的安全惯惯例。口令提供供了一个个核查用用户身份份的途径径，从而而可以建建立信息息处理或或服务的的访问权权限，建建议所有有用户应应：保密口令令；避免书写写记录口口令，除除非保存存妥当；每当怀疑疑系统被被破坏或或口令被被公开时时，应马马上更改改口令；选一个至至少有六六个字的的好口令令：容易记住住；不根据与与个人有有关的信信息如名名字、电电话号码码、出生生日期等等（

56、容易易被猜出出）订出出口令；不是连续续的同一一个字，或或全是数数字或全全字母；定期或按按访问次次数更改改口令（特特权账号号的口令令应比一一般口令令更改更更频繁），避避免重复复使用旧旧口令；第一次登登录后应应马上更更改临时时性口令令；不要在自自动登录录程序中中把口令令纳入，例例如储存存在宏或或函数密密钥中；不要与别别人共享享口令。如果用户户需要使使用好几几个口令令来访问问多个服服务或平平台，建建议他们们应使用用一个很很好的单单一口令令（参看看3.33.1(4)）为为这好几几个口令令的存储储提供合合理水平平的保护护。3.3.2无人人看管的的用户设设备用户应检检查无人人看管的的设备是是否适当当地保护

57、护起来了了。安装装在用户户使用地地方的设设备，例例如工作作站或文文件服务务器，如如一段时时间内无无人看守守时，更更需要格格外保护护并使之之免于被被非法访访问。所所有用户户及合作作伙伴应应都知道道保护无无人看管管设备的的安全要要求及手手续，以以及有责责任实施施保护措措施。建建议用户户应：除非有合合适的锁锁定机制制保护（例例如有口口令保护护的屏幕幕保护（screensaver），否则应终止已完成的活动会话；会话结束束后应退退出登录录主机（即即不仅仅仅是关闭闭PC或或终端）；当PC 或终端端不用时时，应保保护它们们不被非非法使用用，例如如使用密密钥锁或或等同的的安全机机制，如如口令访访问。3.4网网

58、络访问问控制目的：互互联服务务的保护护。应控制内内部及外外部联网网服务的的访问，以以确保可可以访问问网络或或网络服服务的用用户不会会破坏这这些网络络服务的的安全，保保证：在机构网网及其它它机构网网或公用用网之间间要有合合适的界界面；要有合适适的认证证机制认认证用户户及设备备；控制用户户访问信信息服务务。3.4.1网络络服务的的使用策策略不安全地地连接到到网络服服务会影影响整个个机构的的安全，所所以，只只能让用用户直接接访问已已明确授授权使用用的服务务。这种种安全控控制对连连接敏感感或重要要业务的的网络，或或连接到到在高风风险地方方（例如如不在机机构安全全管理及及控制范范围的公公用或外外部地方方

59、）的用用户尤其其重要。策略应与与网络及及网络服服务的使使用有关关，应覆覆盖：容许被访访问的网网络及网网络服务务；定出谁可可以访问问哪个网网络及网网络服务务的授权权手续；保护接入入网络及及网络服服务的管管理控制制及手续续；这个策略略应与业业务访问问控制策策略一致致（参看看3.11）。3.4.2强制制式路径径从用户终终端到计计算机服服务的路路径应受受到控制制。网络络是用来来在最大大范围之之内共享享资源及及提供最最大程度度的路由由，但网网络这样样的功能能也同时时提供机机会非法法访问业业务应用用系统或或非法使使用信息息设备，所所以，在在用户终终端与计计算机服服务之间间设置路路由控制制（例如如，建立立一

60、条强强制式路路径）会会减少这这样的风风险。强制式路路径的目目的是阻阻止用户户选择一一条不是是用户终终端与用用户可访访问服务务之间的的路由。这样，就就需要在在路由的的不同点点上实施施多个安安全控制制，控制制原则是是按事先先定义的的选择限限制每个个网点的的路由选选择，这这方面的的例子有有：分配专用用线或电电话号码码；自动把端端口连接接到指定定的应用用系统或或安全网网关；限制供每每个用户户使用的的菜单及及子菜单单；禁止无限限量的网网络漫游游；强迫外部部网络用用户使用用指定的的应用系系统 及及/或 安全网网关；通过安全全网关（例例如防火火墙）严严格控制制从源地地址到目目的地址址的通讯讯；设置不同同的逻