深圳市某公司信息安全规划方案

深圳市＊＊公司信息安全规划报告书深圳**软件有限公司2010年3月目录TOC\o"1-3"\h\zHYPERLINK\l”_Toc237669695"1 概述 12 深圳市*＊公司业务网络现状及需求分析 2HYPERLINK\l”_Toc237669697"3 信息安全规划思路 3_Toc237669699”3.2 信息安全建设主要任务 3HYPERLINK\l”_Toc237669700”4 第一阶段—迫切阶段 7HYPERLINK\l”_Toc237669701"4.1 加强区公司与地州公司的边界访问控制 74.2 解决区公司的网页安全问题 74。3 提升入侵防御能力 7_Toc237669706"4.6 提升区公司及地州公司对网络可管理的能力 94。7 加强对上网行为审计的能力 95 第二阶段信息安全建设方案 11HYPERLINK\l”_Toc237669709"5。1 建设原则 115。2 遵照的标准或规范 12HYPERLINK\l”_Toc237669711”5.3 安全建设的思路和方法 135.4 安全域建设 135。4.1 安全域基本概念 145。4。3 安全域理论 17_Toc237669717”5.6 深圳市**公司网络安全评估 31HYPERLINK\l”_Toc237669718"6 第三阶段信息安全建设方案 61HYPERLINK\l”_Toc237669719"6.1 建设内容 61HYPERLINK\l”_Toc237669720”6.2 建设需求 61HYPERLINK\l”_Toc237669721”6。3 4A统一管理平台建设方案 616。3。2 功能概述 63HYPERLINK\l”_Toc237669724"6.3。3 安全日志采集 64_Toc237669726"6.3。5 安全日志实时展现 65_Toc237669728”6.3.7 审计策略配置 696。4 系统平台和应用系统安全建设方案 706.4。2 认证、授权与行为审计体系的建设原则 706.4。3 实施效果 71HYPERLINK\l”_Toc237669733”6.5 综合信息安全支撑平台的概念 72HYPERLINK\l”_Toc237669734”6.5.1 综合安全支撑平台的建设原则 736.5。2 实施效果 73HYPERLINK\l”_Toc237669736”7 第四阶段信息安全建设方案 77HYPERLINK\l”_Toc237669737”7。1 建设内容 777。2 建设方案 77HYPERLINK\l”_Toc237669739”7.3 信息安全管理体系规划制定 77_Toc237669741”7。3。2 安全策略体系 80HYPERLINK\l”_Toc237669742"7.3.3 三年规划建设任务 82概述＊＊行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，深圳市＊*公司结合本单位实际情况认真落实《*＊行业信息安全保障体系建设指南》的各项要求，构建“组织机制、规章制度、技术架构"三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。深圳市*＊公司业务网络现状及需求分析深圳市＊*公司业务网络是全省业务办公与通信的基础和支撑平台，整个信息系统目前存在诸多安全隐患：1）没有一个完整的信息安全体系,不能对＊＊公司信息安全程度进行有效评估.2）缺少完整的安全管理制度规范,一旦发生安全问题，没有解决依据。3）安全域划分不清晰，网络安全边界防护采取的技术比较单一;防火墙只能基于端口和流量进行控制，却无法防御复杂的攻击和入侵。4)内部信息系统所存在的安全漏洞和隐患，不能及时发现;对于网络而言，内外网互连私接的情况不能进行有效监控。5）终端安全没有保障，缺乏统一终端管理平台。无法有效的对＊＊公司网络进行准入控制，致使网络接入存在一定的风险。6）没有数据安全保障体系,数据的传输和存储都没办法保证不被窃取。7）没有一个统一的员工身份管理系统，无法做到各类内部权限的细分，以及信息安全的加密以及事前、事中、事后的审计。8）缺乏主机和应用系统安全保障机制，没有及时发现和弥补系统的漏洞和弱点,存在大量弱口令等问题。9）没有统一的审计和响应机制，即便是发生攻击事件无法快速定位到源头，并进行针对性的解决。信息安全规划思路信息安全目标和工作思路我们应该按照信息安全总体规划，从信息安全管理、信息安全风险控制、信息安全技术等方面入手,采用先进可行的技术手段和管理理念,逐步建成全面、完整、有效的一套信息安全体系.通过系统化的安全技术和安全管理建设，深圳市*＊公司逐步形成安全管理规范和安全体系架构，逐步有机的融合安全技术和安全管理,使深圳市*＊公司的安全建设逐渐成熟,为整个业务的正常运行提供强有力的支持和保障。信息化安全体系建设过程中应遵循以下工作思路：“分级保护”原则：应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。“三分技术、七分管理”原则：＊*公司信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。“内外并重”原则:安全工作需要做到内外并重，在防范外部威胁的同时,加强规范内部人员行为和审计机制。“整体规划，分步实施”原则：需要对＊*公司信息安全建设进行整体规划，分步实施,逐步建立完善的信息安全体系。“风险管理”原则:进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平.“适度安全”原则：没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全，找到安全和易用性的平衡点。信息安全建设主要任务基于企业信息安全逐步建设和节省投资的考虑，深圳市**公司信息安全建设采用分阶段实施的方式，按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。具体实施步骤如下图所示：安全建设阶段和内容1、第一阶段-—紧迫阶段按照本次深圳市**公司安全建设的要求，主要是对深圳市＊*公司网络中的服务器群区域进行安全防护，尤其是对办公业务网进行安全防护。1.1建设要求本次网络基础安全建设主要考虑安全域划分和加强安全边界防护措施，优先考虑办公业务网出口的安全问题。办公业务网中有深圳市＊＊公司网络中重要的服务器群，保证这些服务器的安全是保障深圳市**公司网络安全的基础。因此在办公业务网与核心交换区的边界处，应采用多种安全技术和手段来防范外来的威胁。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面.1。2第二阶段--加强阶段1.2.1安全建设第一阶段成功结束后，网络状态可以达到相对安全的状态。在第二阶段的安全建设中需要考虑加强手段。主要从安全日志审计、系统平台和应用系统安全两个方面展开。1.2.2（1）安全日志审计系统第一阶段部署了大量的安全产品.这些安全产品和大量的网络产品以及应用系统产生海量的日志和事件，尤其是入侵检测之类的安全产品，每天的事件量巨大，靠人工的方式很难检索所有的事件，如漏掉重要事件很可能会带来较大损失，鉴于此，需要部署统一的日志审计管理平台。这个平台能够收集所有网络产品、安全产品、主机以及应用系统的日志和安全事件，对其进行规范化处理，根据审计规则发现真正有价值的事件后及时告警，并能够存储海量事件,能够提供事后取证.（2）系统平台和应用系统安全在第一阶段建设了安全评估体系，定期进行评估和加固,已经有效地增强主机和应用的安全，第二阶段需要进一步加强系统平台和应用系统的安全管理，考虑从完整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功能，就可以针对各业务系统的帐号级的信息安全审计和追踪。1.3第三阶段-—管理阶段1.3.1待安全建设一、二阶段建设完成后,深圳市＊＊公司的全网安全基本达到了系统化的程度，各种安全产品充分发挥作用,安全管理也逐步到位和正规化。此时进行安全管理建设，主要从安全管理中心、安全管理体系着手完善.1.3。2（1)安全管理中心建设安全管理统一平台,将全网的安全管理通过该平台进行。通过该平台可以及时准确地获知网络安全体系的效果和现状，帮助安全管理员进行正确的决策分析。该平台应该具备风险管理、策略中心、事件中心、响应中心、知识中心等功能模块，并且应具备很好的开放性和可定制性。（2）安全管理体系安全管理建设应该自始至终，并且对安全建设和运维起到指导作用。主要从安全策略制定、组建安全管理队伍、安全评估、资产鉴别和分类、安全认证等多种管理领域开展，最终形成管理和技术相融合，共同形成真正的安全体系架构。信息化安全建设规划方案基于企业信息安全逐步建设和节省投资的考虑，我省信息安全建设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。安全建设第一阶完成后，网络状态可以达到相对安全的状态。请结合深圳市**公司信息安全建设，考虑第二阶段的安全建设将如何进行。以及待深圳市*＊公司的全网安全基本达到了系统化的程度，各种安全产品充分发挥作用，安全管理也逐步到位和正规化，即可考虑第三阶段和第四阶段将如何开展。第一阶段-迫切阶段加强区公司与地州公司的边界访问控制目前,深圳市＊*公司已经全疆范围内部署了防火墙与VPN系统，但是由于时间已经很长,设备在性能与功能上都不能适应现在的网络与业务的发展。在本次项目中，我们建议更换防火墙系统，加强网络边界防御工作。从节省资金的角度出发，在本次的防火墙选型中，直接选用带有VPN功能的防火墙系统,便于操作与管理。解决区公司的网页安全问题当前国际、国内的政治形势和经济形势比较特殊，又正值7.5事件发生后期，网站安全问题越来越复杂，Web服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。针对网站，各类安全威胁正在飞速增长。2008年,CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个,比2007年增加了1.5倍。Google最新数据表明，过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发现有300多万个恶意URL.其中，中国的恶意站点占到了总数的67％。传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力.因此，深圳市**公司网站有必要采用专业的安全防护系统，有效防护各类攻击、降低网站安全风险.提升入侵防御能力防火墙作为深圳市**公司安全保障体系的第一道防线,已经得到了非常好的应用效果,但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。深圳市＊＊公司想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。深圳市**公司想要实现完全的入侵防御，就需要在网络上将完全协议分析和在线防御相融合，这就是入侵防御系统(IPS）：online式在线部署,深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。加强对区公司、地州终端的桌面管理能力区公司采用本类产品目的在于，能够对客户端进行状态安全控管，主要涉及客户端联网监控、客户端状态管理、设备注册、客户端桌面安全审计、客户端补丁分发管理、客户端应用资源控制以及远程协助管理等能。系统实时监控和报警网络中存在的客户端违规、病毒事件等行为，提供在线客户端安全状态信息；依据系统报警信息和客户端上报的安全信息,管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施（如断网、告警、远程协助等）。对补丁进行自动分发部署和管理控制。客户端进程黑白名单控制,防止非法进程启动.全网客户端进程统一汇总监视。客户端软件黑白名单管理,客户端软件统一汇总监视。客户端软件自动分发和管理。客户端统一的端口策略控制。如何有效进行网络资源管理和设备资产管理。网络节点控制.弱口令监控.Usb移动存储设备的行为审计和控制。防止防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患行为（对于物理隔离的网络，切实保障其有效的隔离度，保证专网专用）。进行外来笔记本电脑以及其它移动设备（如u盘、移动硬盘等）的随意接入控制.准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络.安全、方便的将非安全计算机阻断出网.监控内网的敏感信息。按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。有效监控客户端的运维信息,以便网管了解网络中的客户端是否已超负荷运转，是否需要升级.策略按照（区域、操作系统、时间等）进行控制和多级级联。软件使用简单，所有的策略均在策略中心统一配置，用户上手简便。解决VPN系统的更新并且有效过渡的问题在本次项目中，我们在采购防火墙时，就带有VPN模块，其中支持IPSEC、SSL两种模式，可以根据应用自由选择,比现有的VPN系统速度更快,配置更方便，使用更便捷.使现有的VPN系统很平滑地向新技术过渡。提升区公司及地州公司对网络可管理的能力随着信息化发展的加速和深入，深圳市**公司的IT系统和网络越来越复杂，各级分公司对网络正常运转的依赖性逐渐增大,IT和网络应用逐渐融入到单位的日常工作中.网络基础设施和各种应用系统在不断增加，一旦IT系统和网络运行出现问题，将会对所有的依赖于信息化平台的正常工作产生影响。因此，高效的系统与管理已经成为＊＊公司信息化建设是否成功的重要条件。网络管理系统可广泛应用于对局域网、广域网、城域网和关键IT业务系统中的路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间件、网站、域名、URL、OA、CRM、ERP、SCM、HIS等各种IT网络组件和业务系统进行7X24的持续监控、不间断的数据采集和分析,对错误和故障数据进行颜色、声音、短信息、邮件等多种方式的报警，提供多种图形和报表帮助用户进行故障分析和性能诊断，保证IT业务系统和网络持续、稳定运行,提高IT系统的效率,降低由于IT业务系统故障而导致的损失。加强对上网行为审计的能力随着Internet接入的普及和网络带宽的增加，使用户上网条件得到改善，同时也给**公司网络带来了更高的危险性、复杂性。终端用户随意使用网络资源将导致三个问题：(1）工作效率低下、（2）网络性能恶化、(3)网络泄密和违法行为增多.**公司网络作为一个开放的网络系统，运行状况愈来愈复杂。网管中心如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析，发现可能存在的问题(如病毒、木马造成的网络异常）,并进行快速的故障定位,这些都是对*＊公司信息安全管理的挑战,这些问题包括：管理员如何对网络效能行为进行统计、分析和评估，管理员如何监控、控制一些非工作上网行为和非正常上网行为，管理员如何杜绝用户通过电子邮件、MSN等途径泄漏内部机密资料，以及管理员如何在发生问题时有查证的依据.因此,如何有效地解决这些问题，以便提高用户的工作效率，降低安全风险，减少损失,对网络进行统一管理，调整网络资源的合理利用，已经成为*＊公司信息中心迫在眉睫的紧要任务。因此内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现.第二阶段信息安全建设方案在这三年信息安全建设过程中，我们实现安全信息安全体系框架的规划设计与实现，并重点围绕深圳市＊＊公司当前网络中存在的问题进行解决，而且该安全体系框架的规划设计，要能够适应深圳市＊*公司在自身发展中可能出现的业务调整和变化。建设原则在设计技术方案时要遵从以下原则:实用性原则深圳市＊*公司的安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合深圳市**公司现有网络和应用情况,充分保证原有系统和结构的可用性。协商原则对于一个应用系统而言,他的安全性有时候与合理性存在着矛盾，从使用者的角度讲是合理的，站在安全的角度来分析则是不安全的，存在着风险，这时候就需要协调和论证在二者之间做出平衡.完整性原则深圳市*＊公司网络安全建设必需保证整个防御体系的完整性.在安全体系建设中，我们采取多种安全防御的技术和措施来保障深圳市＊*公司的网络系统安全运行.整体均衡原则要对信息系统进行全面均衡的保护，要提高整个信息系统的"安全最低点"的安全性能,保证各个层面防护的均衡。安全目标与效率、投入之间的平衡原则要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。标准化与一致性原则在技术、设备选型方面必须遵循一系列的业界标准，充分考虑不同设备技术之间的兼容一致性。产品异构性原则在安全产品选型时，考虑不同厂商安全产品功能互补的特点,在进行多层防护时，将选用不同厂商的安全产品。区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护.动态发展原则安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展.统筹规划分步实施原则技术方案的部署不可能一步到位，所以要在一个全面规划的基础上，根据实际情况,在不影响正常生产的前提下，分步实施.保护原有投资原则设计技术方案时，要尽量利用现有的设备与软件，避免投资浪费，这些设备包括安全设备、网络设备等.遵照的标准或规范GB/T9387。2—1995开放系统互连基本参考模型第2部分：安全体系结构RFC1825 TCP/IP安全体系结构 ISO10181：1996信息技术开放系统互连开放系统安全框架 GB/T18237-2000 信息技术开放系统互连通用高层安全GB17859—1999 计算机信息系统安全保护等级划分准则 GB/T18336—2001 信息技术安全技术信息技术安全性评估准则ISO/ISE17799:2000/BS7799ISO/ISE15408（CC)AS/NZS4360：1999《风险管理标准》GAO/AIMD—00—33《信息安全风险评估》IATF《信息保障技术框架》安全建设的思路和方法我们着眼于整个安全体系建设以及安全规划建设的长期目标，逐步完善深圳市*＊公司风险管理体系,将安全建设分解成多个可实施性较强的工程阶段，明确标识出各阶段安全建设内容和解决的安全问题，为深圳市**公司提供一个可供参考的安全建设远景规划以及每期工程需要解决的风险管理规划，各期工程建设内容都是依据深圳市＊＊公司所面临的安全风险级别和迫切需要解决的安全问题依照从高至低排序。这样的建设思路让深圳市**公司明确将来安全建设的内容以及建设方法,我们首先将解决当前对深圳市*＊公司威胁最大的安全风险,在以后的各期项目再逐渐完善和调整安全框架内容。安全域建设风险管理的基本解决思路在于能够准确的识别风险，并将高级别风险降低或者转移，风险管理需要积极的落实到深圳市*＊公司的各业务系统。只有贴近具体业务系统,对业务系统的重要性和特点有了清楚的定义和识别，风险管理才可能取得确实的成效。要将风险管理和业务系统联系起来，用安全域是一个比较好的解决思路.通过划分安全域，我们可以将网络根据业务系统、功能和重要性划分成不同的层次，并且不同的安全域面临的是不完全相同的安全风险，关注程度和解决的方法也就不同.安全域基本概念一般常常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。如果理解广义的安全域概念则是，具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：网络区域主机和系统人和组织物理环境策略和流程业务和使命……安全域划分的原则安全域的理论和方法所遵循的根本原则：等级保护原则根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障业务支撑的网络和信息安全。在参考工信部等级保护的指导意见《TC260—N0015信息系统安全技术要求》对安全等级的划分基础上，结合业务支撑系统的具体情况，安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。本文档定义了不同等级的安全域，对这些安全域的等级保护从业务数据流角度来看，要求高等级安全域允许向低等级安全域发起业务访问的请求,保证发送数据的机密性，鉴别低等级安全域的合法性，对接受的数据进行完整性校验，对业务操作进行日志记录与审计；低等级安全域向高等级安全域只允许受限访问，保证发送数据的完整性，对业务操作进行日志记录与审计。在基于等级保护原则同时遵循策略最大化原则。业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系.安全域划分不宜过于复杂。生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理.深度防御原则根据网络应用访问的顺序,逐层进行防御，保护核心应用的安全。安全最大化原则针对业务系统可能跨越多个安全域的情况，对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级，即实现安全的最大化防护,同时满足多个安全域的保护策略。分步实施原则分布实施原则：贯彻安全工作“统一规划，分步实施”的原则，根据自身情况分阶段落实安全域划分和边界整合的工作.可扩展性原则当有新的业务系统需要接入业务支撑网时，按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域.安全域边界防护原则根据本文档提出安全域划分原则及相关标准,在不同安全等级的域间进行数据互访必须遵循以下防护原则。归并系统接口深圳市＊*公司的网络目前确实存在边界不清的实际问题，在此情况下只有在保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界进行合理的整合,对系统接口的进行有效的整理和归并，减少接口数量,提高系统接口的规范性，才能做到“重点防护、重兵把守”，达到事半功倍的效果。最小授权原则安全子域间的防护需要按照安全最小授权原则,依据“缺省拒绝”的方式制定防护策略。防护策略在身份鉴别的基础上,只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。业务相关性原则对安全子域的安全防护要充分考虑该子域的业务特点，在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。如果子域之间的业务关联性、互访信任度、数据流量、访问频度等较低，通常情况下没有数据互访的业务需求，因此安全防护策略非常严格，原则上不允许数据互访。如果子域之间互访信任度、数据流量、访问频度等比较高，通常情况下业务关系比较紧密，安全防护策略可以较为宽松，通常允许受限的信任互访。策略最大化原则本文档针对各域分别制定了多项防护策略。核心域防护包括核心域与接入域边界和核心域各子域之间的防护，接入域防护包括接入域内部边界和外部边界的防护,当存在多项不同安全策略时，安全域防护策略包含这些策略的合集,并选取最严格的防护策略，安全域的防护必须遵循策略最大化原则。安全域理论安全域划分以及基于安全域的整体安全工作，对深圳市＊＊公司具有很大的意义和实际作用：安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；可以更好的利用系统安全措施,发挥安全设备的利用率;基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低系统风险,提供检查审核依据；安全域可以更好的控制网络安全风险，降低系统风险；安全域的分割是出现问题时的预防，能够防止有害行为的渗透；安全域边界是灾难发生时的抑制点，能够防止影响的扩散。早期在进行安全域的划分时，完全从一个业务单元或者行政机构的角度考虑。将自己的网络和系统看成内部网络，将所有的其他网络都作为不可信的网络来看待;将自己看成中心，然后基于这个观点进行整个系统的分析和安全部署。随着安全区域方法的发展，发现这样的方法难于构建全局的安全体系，局部的设计和实施经验也难于推广到全局，也难于借鉴。“同构性简化”的安全域划分方法，其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的网络。“3+1同构性简化”的安全域方法是用一种3+1的网络结构元来分析深圳市＊＊公司网络的系统。（注：除了3+1构造之外,还存在其他形式的构造。）具体来说深圳市＊＊公司的承载网络和支撑系统按照其维护数据的分类可以分为安全服务域、安全接入域、安全互联域以及安全支撑域四类.在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理安全特性等。安全互联域连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。安全互联域的安全等级的确定与网络所连接的安全接入域和安全服务域的安全等级有关。当一个网络所连接的安全服务域和安全接入域具有单一安全级别时,该安全互联域的安全等级应与该安全等级相同;当一个网络所连接的安全服务域和安全接入域具有多安全级别时,应尽量组成不同安全等级的安全互联域，为这些安全服务域和安全接入域中的不同安全级别提供不同的支持；如果确实无法分别提供支持，则应按这些安全服务域和安全接入域中的最高安全级别提供安全支持，组成与最高安全级别相同安全等级的安全互联域。主要需要解决的安全问题包括：网络设备的强壮性，防止被非法访问；防止网络的拥塞；防止线路的嗅探；防止成为恶意代码传播和扩散的载体等等。安全互联域有时会将其他域的边界融合在本域中，因此，可能会以一种平台的方式存在。安全互联域由于主要起到承载作用，应当以通为主、以隔为辅.基于这样的防护原则，其中主要采用的安全措施包括：路由器本身的路由和过滤功能；交换机的ACL功能;线路的监测功能。在骨干上建议只监控流量，在接入端可以考虑监控入侵行为等等。安全接入域由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全防护等级与其所能访问的安全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时，该安全接入域的安全防护等级应与这些安全服务域的最高安全等级相同.安全接入域应有明确的边界，以便于进行保护。主要需要解决的安全问题包括：用户主体的信任问题，也就是对于用户的身份认证；客户端主机的信任问题，也就是客户端是否被感染和侵占；安全接入域内，主机（包括客户端)之间的互相感染和影响；安全接入域内,一个客户端对于另外一些客户端的攻击和嗅探;安全接入域内，各个用户之间的混淆，导致非授权操作;安全接入域内的用户和客户端突破域的边界安全规则等等.针对上述主要问题，在安全接入域内需要考虑如下一些防护要点,包括安全接入域内和安全接入域的边界。安全接入域内的防护要点：安全接入域内节点的加固，包括主机操作系统的补丁、主机和网络设备的安全配置等；进而可以部署补丁管理等强制系统。安全接入域内节点的访问控制，主要是主机和网络设备管理的访问控制等；如果需要加强，还可以部署集中身份认证系统、一次登录系统(SSO）等，可以基于CA证书、或者口令卡等；安全接入域内节点的防病毒；安全域内的主机都应当部署防病毒系统，可以考虑部署对于客户端的强制防病毒软件安装和强制升级和更新.安全接入域内节点的防入侵；可以在客户端部署单机防入侵系统.安全接入域内可以根据用户主体的分类，分成子域。对于非常不可信的用户和客户端，可以重点部署流量监控，以便能够最快地发现可能出现的蠕虫传播和拒绝服务攻击。安全接入域内如果根据用户所操作业务分类进行子域划分，可以针对不同的子域进行应用的监控和审计；安全接入域内防泄密；监控安全接入域客户的非业务流量,特别是进行文件和信息交换的协议，比如:电子邮件、FTP、WEB访问等。安全接入域的边界防护，主要是要保证从安全接入域到其他域的访问都是由可信的用户从可信的客户端上发起的;同时还要保证安全接入域不受其他域的侵害和影响。安全接入域和其他安全域之间边界和连线的防护要点：安全接入域和内部的边界上需要安全网关,主要考虑访问控制的要求；这样的安全网关可以是路由器、防火墙、交换机的ACL等等.对安全接入域边界上流经的数据进行检测,监测内容包括：入侵、病毒、蠕虫、流量、应用等；在安全接入域边界上进行恶意代码防护；安全接入域和其他安全域的互联方式可能需要加密传输，VPN就是一种常见的方式；为了防止安全接入域内的用户突破或者绕过，需要建立防止客户端非授权访问的控制系统，如非法外联系统可以防止客户端通过拨号、无线网卡等方式绕过边界防护；为了防止安全接入域内的用户互相嗅探并且越权操作，需要对用户和其相应的客户端进行分组.比如：对于用户分组后划入不同的VLAN就是一种方式等等。安全服务域在局域范围内存储，传输、处理同类数据,具有相同安全等级保护的单一计算机（主机/服务器）或多个计算机组成了安全服务域，不同数据在计算机的上分布情况，是确定安全服务域的基本依据.根据数据分布，可以有以下安全服务域:单一计算机单一安全级别服务域，多计算机单一安全级别服务域，单一计算机多安全级别综合服务域，多计算机多安全级别综合服务域。主要需要解决的安全问题包括：服务器被入侵，完整性受到破坏；服务器被拒绝服务攻击；服务器成为恶意代码的传播载体；服务器成为垃圾的传播载体等等。防护要点：安全服务域内节点的加固，包括主机操作系统的补丁、主机和网络设备的安全配置等；安全服务域内节点的访问控制，主要是主机和网络设备管理的访问控制等；访问控制机制要和安全接入域的鉴别机制之间相互结合;安全服务域内节点的防病毒：特别是基于windows平台的服务器；安全服务域内节点的防入侵；安全服务域内重要链路的流量监控；安全服务域内业务的监控和审计；服务域内防泄密；安全服务域内一些可能产生或者传播垃圾的服务器的防护，如：邮件服务器需要部署垃圾邮件过滤等等.安全服务域和其他域之间边界和连线的防护要点：安全服务域边界上的安全网关，主要考虑访问控制的要求;安全服务域边界上的监测,监测内容包括：入侵、病毒、蠕虫、流量、应用等;安全服务域边界上的恶意代码防护;安全服务域中的服务器和其他域的服务器发生业务关联时，很可能需要考虑加密传输等等。安全支撑域为整个IT架构提供集中的安全服务，进行集中的安全管理和监控以及响应.具体来说可能包括如下内容：病毒监控中心、认证中心、安全管理中心等。主要需要解决的安全问题包括：安全支撑域要能够对于其他安全域提供必要的安全支撑；安全支撑域自身不能带来新的安全风险，要做好自身的防护。安全支撑域不同于其他系统的独特性在于，安全支撑域会以代理Agent的方式或者提供调用服务的方式,插入（plug-into)到被监管的系统中.代理方式比如：业务支撑系统会放置计费前端服务器在业务系统中，安全监控系统会将IDS等检测引擎放置在被监控的网络中等等;调用服务方式比如：认证中心提供证书服务或者其他认证服务。为了能够保证这种插入机制的正确和安全，要确保插入的功能对于被监管的系统不产生不良的影响;同时还要确保插入的点不会使安全支撑域受到被监管系统的影响。因此插入点和安全支撑域之间常常需要采用相应的安全措施，比如：带外管理：即插入点到安全支撑域之间建立单独的物理链路或者vpn连接；链路加密：插入点和安全支撑域之间的数据传输和命令传输都使用加密传输,比如采用ssl等；插入点自身安全性：插入点对于安全支撑域来说属于域外的飞地，因此对于插入点要能够做到比较强的安全性,其产品的安全性可以用CC的等级来描述.统一认证授权系统技术方案统一认证系统通过动态口令卡、PKI数字证书、IC卡等多种通用认证手段对用户进行身份验证,是一个对企业内部系统及网络设备的各种访问进行统一认证、授权、审核的企业级认证服务平台,能够确保企业用户访问各种资源的安全性，全面的实施和贯彻用户制订的资源访问策略。根据深圳市*＊公司网络系统现状和安全需求，提出解决方案如下：认证服务器高可用性部署在深圳市**公司现有网络系统结构的基础上，部署两台MSWindows2003服务器,安装统一认证子系统，形成两台相互复制的认证服务器，用以实现冗余备份及负载分担。同时，启用认证服务器内置的RADIUSServer，做好为主机、网络设备等资源提供身份认证的准备工作。整体上，由这两台认证服务器提供网络系统中的认证、授权、审核以及用户管理。两台认证服务器之间自动进行同步数据复制，确保数据的整体完整和协调一致。当用户需求增加，两台服务器已经不能满足大量的认证请求时，或需要考虑高可靠灾难冗余时，统一认证系统可以简单、迅速的增加镜像服务器的数量，近乎无限的扩充认证的支持数目，确保用户的投资得到保护。正常工作状态下，客户端的请求按照配置的权重自动分配到两台认证服务器上，用以降低单台服务器的工作负载，提高系统的运转性能。当某台认证服务器出现故障时，另外一台服务器零间隙、无延时的自动接管原故障服务器的认证服务，直到故障服务器恢复正常。无论在正常工作状态下，还是发生单机故障时,SPA系统的每台服务器上均可以独立完成全部的系统管理任务，真正实现认证系统的高可用性。统一身份认证身份认证是保护业务系统中非常重要的一个部份.再安全的网络环境下，用户的身份信息被人盗取，那么业务系统中的所有信息的机密性也就无从谈起。为了解决传统静态口令认证存在的各种弊病和安全隐患，统一认证系统采用多因素身份认证方式--动态口令认证来加强用户对各种系统访问前的身份认证问题。多因素包括：用户必须持有认证器――口令牌用户认证器的保护――保护口令牌的PIN码用户登陆的信息――口令牌生成的口令用户登陆信息的变化――口令牌每次生成的口令不同通过这些多种因素的组合,确保用户登陆时就是其本人，而不是因非法用户盗取得到的口令而登陆系统.对于深圳市＊＊公司这种大型企业来说,内部的应用和人员角色都很多,反映到IT系统中会导致不同的认证强度的要求，在后续的使用过程中会需要按照每个应用的实际要求来确认认证强度。除动态口令之外,统一认证系统在同一台认证服务器中还支持其他几乎所有已知的认证方式，如：静态口令；基于同步方式的动态口令；基于异步方式的动态口令（挑战-应答)；IC卡;数字证书；USB口令牌;IP地址；短信认证;生物辨认技术。通过在一个平台上支持多种身份认证手段,来实现对用户统一的身份认证和统一的身份管理.

集中账号口令管理统一认证系统采用动态口令的认证方式来解决传统的静态口令存在的诸多弊病,如口令易泄漏，多人使用同一账号和口令等问题。在介绍此方案之前，我们先确定如下两个概念：自然人账号：企业人员唯一的账号信息资源账号：资源系统内部账号信息在深圳市**公司网络系统中，为每人颁发一个硬件口令牌，摈弃原有的静态口令认证方式，用户无需再记忆自已的口令,每次登陆系统时，只需输入从硬件口令牌中得到的口令即可.管理人员也无需定期通知用户修改口令，因为动态口令本身每次登陆时使用的是不同的口令。用过的口令立刻作废，不能再使用。这样完全解决了要求用户密码定期修改的问题。也解放了管理人员在这方面的工作。

通过管理控制台，为所有IT支撑网系统中需要认证的用户建立账号（我们称之为自然人账号)，设置用户的各种属性，并将每个自然人账号上分配一个硬件口令牌。同时在各个需访问的系统上（网络设备或主机)为每一个用户建立一个账号(我们称之为资源账号)，将资源账号与统一认证上建立的自然人账号绑定。用户登陆系统时必须使用统一认证系统上建立的自然人账号，并用自己的令牌才可登陆.彻底解决多人使用同一账号和口令的问题。规范了管理流程。

通过统一认证系统的策略管理组件，管理人员可以设置动态口令安全策略：动态口令的长度动态口令的组合方式：数字、字母还是数字字母的混合保护动态口令牌的PIN码长度动态口令工作方式：同步,挑战／应答

对用户的管理：为方便管理需求，可以实现对用户的集中管理，分级管理，委托管理和远程管理。集中管理：统一认证系统的系统管理员可以轻松的管理多个统一认证系统上的用户，不论在企业的管理中心或是其它地方，在深圳市**公司网络中可以建立一个中央控制台来管理所有的用户。分级管理：可以将用户分成组,并为每一个组指定本地管理员,这个管理员只可管理本组而不能管理其他的组.远程管理：通过远程连接方式，对下属地区的用户实现远程管理.委托管理：对于临时的工作，可以委托他人管理用户信息。

统一认证和授权统一认证系统可以作为一个集中的认证和访问控制入口,为所有的用户进行认证和授权。并对用户的访问做集中的控制。首先确认用户的身份，然后控制用户能去什么地方、哪些系统和网络资源该用户可以访问。统一认证系统根据用户的任务以及与组织的关系来提供粒状授权，来控制用户可能访问什么，不可以访问什么。没有通过统一认证系统检验和授权的访问将不被送到后台真正的各种系统上。集中认证和访问控制流程如下：在统一认证系统管理平台上注册深圳市*＊公司网络系统内的IT资源；对每一个用户选择为动态口令认证方式;为用户分配其可访问的IT资源,包括拨号服务器、路由器、交换机,防火墙、主流的UNIX系统主机、VPN、Windows系统、B/S结构的应用系统,C/S结构的应用系统等。设置安全访问策略，统一认证系统提供基于角色的访问控制策略，管理员可以根据用户的身份、所属组织或访问动作的属性来制定访问策略。制定详细的访问控制规则。如:角色授权，属于什么角色的人可以访问什么系统时间授权，什么时间段可以访问哪个系统使用何种认证方式（或认证器）的人可以访问哪个系统可以对哪个IP地址的系统访问做控制合作伙伴可以从哪个VPN系统进入进行访问等

尽管统一认证系统可以对深圳市＊*公司网络系统中的所有网络设备和系统进行认证和访问控制，但在第一阶段，我们建议先对系统管理员，第三方接入人员，以及操作权限较高的人员进行认证和管理。对于系统来讲，我们建议，先对核心网络设备，主机和VPN接入及重要的Web系统做访问控制。具体配置和实现如下描述：

网络设备的身份认证及授权在需要保护的骨干路由器、中心交换机、防火墙等网络设备中配置使用RADIUS验证,将RADIUS服务器指向到统一认证系统内置的RADIUSServer。从而为网络设备的访问提供身份认证和授权。为网络管理员配置硬件令牌卡.不同的网络设备通过标准的RADIUS协议使用统一认证系统服务器进行身份认证，由于统一认证系统系统动态口令的优势，网络管理员可以利用令牌卡进行远程登录，如果使用基于挑战－应答的异步密码方式，由于密码根本不在传输过程中出现,从而可以彻底避免密码在网络中明文传输和泄漏的问题。

网络设备身份认证的系统结构

主机系统的身份认证及授权深圳市**公司网络系统中有大量的核心服务器,对这些服务器的管理需要通过远程Telnet或本机登录认证。应用系统的管理员管理着业务系统主机，承担很大的安全风险。主机也是不法分子最好的目标，因此,加强主机的安全保护十分重要。在服务器主机上安装统一认证系统的登录代理软件,并做好相应的配置。系统管理员通过终端登录到服务器主机的时候，或使用Ftp,rLogin，SSH，XWindow,Su登录系统时，登录代理软件将认证请求转发至统一认证系统,在统一认证系统对用户的身份进行有效核实后，将认证的结果转发给服务器主机,允许或拒绝用户进入，同时在系统日志中记录认证的全部过程.通过动态口令认证的方式，确保能够限制未经授权的用户无法登录到服务器主机上。Unix系统的身份认证结构图

远程接入或VPN接入用户的认证及授权深圳市**公司网络系统存在一些远程接入人员,一些是内部的移动办公人员，还有一些是代维的第三方人员，他们都需要通过外网接入深圳市**公司网络，进行远程访问.对于这些人员有的是通过VPN接入，有些是通过拨号路由器拨号接入。VPN系统提供深圳市**公司网络的安全通道,使得从外网访问用户访问内部网络上的应用服务更加简单，数据传输更加安全。但同时带来的安全隐患也是不容忽视的。一旦非法用户通过某种手段得到合法用户的密码，他们就可以通过VPN自由出入企业的内部网络,利用黑客工具，收集企业机密信息,攻击应用服务器,有可能造成非常严重的后果（例如：破坏关键服务器，盗取重要数据等等）。我们建议使用统一认证系统的动态口令来解决VPN系统的拨号系统存在的严重安全缺陷。在VPN网关上或是拨号路由器上配置使用RADIUS验证，将RADIUS服务器指向统一认证系统内置的RADIUSServer，不用对现有网络结构进行任何调整,就可将VPN用户与统一认证系统相结合，对使用VPN接入的用户实现了高强度的安全身份认证。对于VPN产品同统一认证系统的集成，我们已经有很多的案例.无论是IPsecVPN，PPTP，还是SSLVPN，都能很好的同统一认证系统结合。

图：远程接入认证系统结构图数据库管理的身份认证及授权数据库是业务运营的重中之重，而数据库的管理也存在着身份认证的要求。传统的静态口令认证方式迫使数据库管理员记忆大量的复杂密码，要不就是所有管理用户都使用同一个密码，显然这增加了管理人员的工作强度或者降低了系统安全性，二者不能兼顾。由于工作的需要，数据库管理人员经常需要通过远程控制台等方式连接到数据库进行操作，对于非加密的远程连接，输入的静态密码在网络中是明文传播的，很有可能被窃听并非法利用，形成安全隐患。在需要保护的数据库中配置使用RADIUS验证，将RADIUS服务器指向到统一认证系统内置的RADIUSServer,从而为数据库的访问提供身份验证.为数据库管理员配置硬件令牌卡.管理员可以利用令牌卡进行本地或远程登录，即使密码在远程传输过程中被窃听，由于动态密码是一次作废，非法用户窃听到的口令已经失效，彻底避免了盗用口令的隐患。数据库管理用户身份认证结构图

基于Web的运营系统的身份认证及授权对于深圳市＊*公司网络系统上基于Web的运营系统，可以采用统一认证系统的Web登录代理将统一认证系统和运营系统相集成。Web登录代理是安装在WebServer前端提供反向代理功能的软件。它和后端的WebServer在对Web请求的处理上面是分离的，首先由Web登录代理截获Web用户的访问请求，将用户的信息送到统一认证系统，如果经过判断这个用户为合法用户，那么统一认证系统将用户对Web页面访问权限和相关信息传递给Web登录代理,Web登录代理对用户Web请求进行判断，然后将允许的Web请求传递到WebServer上，WebServer对用户的请求做出相关的回应,从而实现对Web访问用户的身份认证和访问控制。在不影响任何业务应用的前提下，将Web登录代理安装在Web服务器前端,同时，我们建议在客户端：为内部人员分配硬件令牌卡，提供安全保障并便于携带使用。为代理商分发硬件令牌，该令牌带有钥匙扣,携带方便，同时可以用硬Pin码保护，能够支持同步口令和异步挑战－应答口令，在保证安全需求前提下,方便使用分发。在Web登录代理系统中为基于URL的访问制订灵活、缜密的访问策略,为业务应用提供针对Web的访问授权.图5Web系统的身份认证结构

基于C/S结构的业务系统的身份认证在深圳市＊＊公司网络中同时也存在大量的基于C/S结构的业务系统，业务操作员通过Client端和Server端建立连接,进行相应业务方面的处理.目前的业务系统操作人员还是使用固定密码访问系统,一旦密码泄漏，对业务系统的安全运行以及内部数据的保密将构成严重威胁。鉴于业务系统在网络系统中所处的重要位置，我们建议对这些业务系统也实施统一身份认证。对于C/S结构的应用，需开发一个适用于不同业务系统的代理Agent，此代理的作用是截获用户的访问请求，并转发给统一认证服务器，使其对动态口令进行验证。使用统一认证系统提供的SDK,可以非常容易的实现业务系统和统一认证系统的无缝结合.SDK包含源代码、文档、所有可使用的计算机操作系统平台清单，包括MSWINDOWS和大部分UNIX平台，源代码的版本可根据需要而升级.在业务系统服务器上安装好Agent后，当操作员连接到业务系统时，服务器获取操作员的用户户名和密码，并且通过加密方式将其传送到统一认证服务器，由统一认证服务器比较服务器送来的用户名和动态密码是否和统一认证服务器中的用户名及生成的动态密码相一致,从而确认用户的身份是否正确，并将认证结果（是或否）返回给业务系统服务器,同时将认证过程记录于统一认证系统日志中，业务系统服务器收到认证服务器返回的认证结果，根据其认证成功与否决定是否允许用户调用应用系统中的应用程序.通过实施基于动态口令的身份认证，加强了业务系统的整体安全性，为业务系统的安全运行提供了强有力的保证。图：C/S结构业务系统认证结构图深圳市＊＊公司网络安全评估风险评估简介风险评估是风险管理的重要组成部分，要想更好地理解风险评估，首先要了解风险管理.风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。风险管理过程如图所示。图:风险管理过程风险评估是对组织存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果,是风险管理的重要组成部分，是信息安全工作中的重要一环。我们所理解的风险关系如图所示，其意义为：资产具有价值，并会受到威胁的潜在影响；薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成影响；威胁与薄弱点的增加导致安全风险的增加；安全风险的存在对组织的信息安全提出要求；安全控制应满足安全要求；组织通过实施安全控制防范威胁，以降低安全风险.风险关系图在上述关系图中：资产指组织要保护的资产，是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值.它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等.弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害.从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等.安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性.风险的大小主要表现在两个方面：事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险，因此,为了降低安全风险，应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需的成本就越高.因此,在系统中就总是有残余风险(RR）的存在，这样，系统安全需求的确定实际上也是对余留风险及其接受程度的确定。评估目的进行风险评估的目的通常包括以下几个方面:了解组织的管理、网络和系统安全现状；确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害;通过对历史资料和专家的经验确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别,确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明晰组织的安全需求,指导组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入。评估内容评估内容包括如下方面:通过网络弱点检测,识别信息系统在技术层面存在的安全弱点。通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析。通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的信息安全管理状况。通过对以上各种安全风险的分析和汇总，形成组织安全风险评估报告.根据组织安全风险评估报告和安全现状，提出相应的安全建议,指导下一步的信息安全建设。评估时机在信息系统的生存周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估：在设计规划或升级至新的信息系统时；给目前的信息系统增加新应用时；在与其它组织（部门）进行网络互联时;在技术平台进行大规模更新(例如,从Linux系统移植到Solaris系统）时；在发生计算机安全事件之后，或怀疑可能会发生安全事件时；关心组织现有的信息安全措施是否充分或是否具有相应的安全效力时；在组织具有结构变动（例如，组织合并）时；在需要对信息系统的安全状况进行定期或不定期的评估、以查看是否满足组织持续运营需要时等。指导原则在风险评估中遵循以下一些原则:标准性原则评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。可控性原则评估过程和所使用的工具具有可控性.评估项目所采用的工具都经过多次评估项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有很好的可控性.整体性原则评估服务从组织的实际需求出发,从业务角度进行评估，而不是局限于网络、主机等单个的安全层面，涉及到安全管理和业务运营，保障整体性和全面性。最小影响原则评估工作做到充分的计划性，不对现网的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。保密性原则从公司、人员、过程三个方面进行保密控制：公司双方签署保密协议，不得利用评估中的任何数据进行其他有损甲方利益的用途；人员保密，公司内部签订保密协议；在评估过程中对评估数据严格保密。参考标准与风险评估有一定关系的信息安全标准也是我们的重要参照。它们或者在基本概念上,或者在信息安全管理上,为我们提供了国际化的准则.这些标准包括:AS/NZS4360：1999风险管理指南——澳大利亚和新西兰关于风险管理的标准。NISTSP800—30——美国国家标准和技术学会（NIST）开发的信息技术系统风险管理指南.NISTSP800—26-—美国国家标准和技术学会(NIST）开发的信息技术系统安全自我评估指南.ISO17799——由英国标准协会BSI（BritishStandardInstitute）开发的,后来成为信息安全管理体系的国际标准。BS7799—2——由英国标准协会BSI（BritishStandardInstitute）开发的信息安全管理标准。OCTAVE—-OperationallyCriticalThreat，Asset,andVulnerabilityEvaluation，由美国卡耐基梅隆大学软件工程学院开发的一种风险评估方法。BS15000（ITIL）--信息系统服务管理ISO13335——信息技术—IT安全管理指南.G51-—安全风险评估及审计指南ISO15408/CCGB/T18336——信息技术安全技术信息技术安全性评估准则GB17859—1999——计算机信息系统安全保护等级划分准则风险评估模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准，建立安全风险管理流程模型、安全风险关系模型和安全风险计算模型，共同组成安全风险模型。本模型分别从风险管理的流程,描述风险评估、风险管理的标准规范流程；从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响；在安全风险计算模型中详细具体地提供了风险计算的方法，通过两个因素：威胁级别、威胁发生的概率，通过风险评估矩阵得出安全风险。安全风险管理过程模型如图所示。图:安全风险管理过程模型风险评估过程组织的信息安全评估包括技术评估和管理评估.风险评估包括资产评估、威胁分析、弱点分析、风险计算等方面。安全风险报告提交组织安全风险报告，获知组织安全风险状况是安全评估的主要目标.通过上述描述的重要过程，向组织提交组织风险评估综合报告，主要目的是提供风险列表，归类风险等级。风险评估管理系统根据对组织安全风险分析与风险评估的结果，建立组织的风险评估管理系统RAMS，将风险评估结果入库保存，为安全管理和问题追踪提供数据基础。风险评估管理系统还包括设备弱点库和弱点资料库。风险评估管理系统提供WEB方式的用户操作界面.安全需求分析根据组织安全风险评估报告，确定组织的有效安全需求。获知组织需要立即解决的安全问题，获知组织面临的巨大安全威胁,获知组织将有可能面临的巨大经济损失，和潜在的重要安全影响等。同时在考虑组织安全建设投资的合理性、针对性、适当性、有效性.安全建议依据风险评估结果，提出相关建议，协助构建组织安全体系结构，结合组织本地、远程网络架构，依据策略，为组织制定完整动态的安全解决方案提供参考。考虑的方面包括物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等内容，并且注重高可用性、动态性、整体性.风险控制根据组织安全风险报告，结合组织特点，针对组织面对的安全风险，分析将面对的安全影响,提供相应的风险控制建议。风险控制包括降低、控制、转移风险，以及不加控制的残余风险。通过风险控制最终使系统风险转变为可以接受的残余风险。在降低风险的需求和风险控制的代价之间取得平衡.风险控制措施通常也可以放在风险评估报告中,通过与相应风险对象的对应，可以使得用户知道为什么选择该措施。监控审核在整个组织的风险管理过程中,每一个步骤都需要进行监控和审核程序，保证整个评估过程的规范，安全，可信。监控和审核任务将由组织组建的风险评估项目组以及特别专家组执行。沟通、咨询与文档管理对于整个风险管理过程的沟通、咨询是保证风险评估项目成功实施很关键的因素.在整个风险管理、评估过程中，针对每一个步骤应该交流风险管理经验，同时形成相关文档，保留资料。在项目进展过程中，风险评估的方法和结果可能发生变化,所以,详细而完整的文档和材料非常重要。评估成功的关键因素对于风险评估而言,其有效实施有一揽子关键要素，这些要素将有助于组织的高层管理和职员积累其独到有效的经验，以确保风险评估的有效实施以及采取恰当的补救控制措施。需要高层领导的大力支持和参与如果想让单位的各执行层对风险评估寄于充分的关注，想让评估实施期间有足够的可利用资源，想让评估的结果映射到政策和控制管理上的相应调整变更，就必须赢得高层领导的大力支持和足够的重视。它具体表现在几个环节，如：在着手于评估项目的启动期时，首先必须考虑到评估实施的范围和负责参与的人员；在得到评估的结果后，采取即时应对措施和控制策略，并致力于每项评估实施范围的决策并对评估结果采取即时的应对措施.业务管理部门的核心作用风险评估的启动及随之控制策划的实施，业务管理部门都起着不可忽视的作用.在降低风险的有效措施，确定评估具体时间的问题上，业务管理部门最具有发言权。业务管理部门从各种信息渠道，包括前期风险评估的结果中实施每年一次的风险管理策划。它为实施风险评估，为指定专员疏通、协调和实施风险评估活动，为指定操作系统设定风险基线的有效实施奠定了坚实的基础。浓缩评估的范围评估的范围不在于立即对组织操作所涉及的整个范围内进行一次规模宏大的风险评估,而在于对关于业务的几个环节实施一次“浓缩性的评估”。因此，评估的范围可能仅包含一些特定的业务管理部门、系统、设备或逻辑上相关的一整套操作系统。评估结果的有效管理需对风险评估的结果进行有效的管理，以确保评估结果的可用性.首先是文件化的管理，以确保在涉及管理层决策时有法可依。其次，也是更重要的，由于评估结果往往在形成文档后内容较多，难于翻看，往往对实际工作的指导有限。这时需要对资产信息、安全威胁信息、安全弱点信息、评估结果进行统一的管理，通过建设风险评估管理系统（RAMS）来实现.风险评估管理系统是风险评估过程和结果管理的基础性必备工具。风险评估的实施方法为更好地实施风险评估，须制定一套标准的实施方法，如图表、问卷标准化的汇报模式并利用软件工具,它们有助于评估启动期间的顺利执行,确保实施方法的连贯性和一致性。它们大部分是便于访问和存储的电子档案。评估内容和过程评估内容和阶段从评估对象这个角度，评估内容要覆盖组织所有节点中的重要信息资产。它包括两个层面的内容：技术层面:评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。管理层面:从组织的人员、组织结构、管理制度、系统运行保障措施,以及其它运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。风险评估过程划分为四个大的阶段：制定项目计划与培训、收集资料、风险分析、形成评估报告。其中，风险分析又可细分为如下六个步骤：步骤一：资产识别与赋值步骤二：弱点分析步骤三:威胁分析步骤四：已有控制措施分析步骤五：可能性及影响分析步骤六：风险识别形成评估报告阶段包括提出控制建议和形成评估结果文档两个步骤.下图表示了风险评估的过程和步骤。建设风险评估管理系统RAMS,作为对风险评估过程和风险评估结果管理的基础性必备工具,实现对资产信息、安全威胁信息、安全弱点信息、评估结果的统一管理，是有效管理评估过程、合理利用评估结果的重要手段。1.1.制定项目计划与培训2.收集资料3.风险分析4.形成评估报告5.项目跟踪资产识别与赋值弱点分析威胁分析已有控制措施分析可能性及影响分析风险识别评估结果文档图：风险评估过程制定计划与培训在评估安全风险前，应就筹备、监督和控制等工作制定计划,并请评估者对被评估单位的相关人员进行培训.主要工作包括：进行培训交流确定项目范围和目标提出工作限制要求确定参与各方的职务和职责项目进度安排确定项目协调会制度培训风险评估是一个复杂的过程，涉及组织的各个方面，主观因素较强。评估参与各方，包括组织的高层主管、技术主管、一般人员，对评估的要求和理解可能是不一样的，对评估结果的期待可能是不一致的、甚至是矛盾的。为此，在评估之前，对被评估单位的相关人员进行培训，让他们了解信息系统风险评估的含义与意义，与他们沟通评估的