信息系统安全保障课件

信息系统杭州市基础信息安全测评认证中心2010.6信息系统杭州市基础信息安全测评认证中心主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全现状——网站安全2009年全年中国大陆网站监测到被篡改数量有4.2万个网站被黑客篡改其中：政府网站被篡改2765个2010年1-2月中国大陆网站监测到被篡改数量4185个网站被黑客篡改其中：政府网站被篡改764个6月份：大量高校网站被黑（包括北大、清华、浙大）（依据“国家计算机网络应急技术处理协调中心”报告）安全现状——网站安全2009年全年中国大陆网站监测到被篡改数网络攻击的主要目标根据电信运营商2009年调查结果(基于对2亿8500万次累计攻击行为数据进行分析)：对数据库系统的攻击行为占比最高，在75%左右。安全现状——主要攻击目标网络攻击的主要目标安全现状——主要攻击目标安全现状——安全漏洞系统安全漏洞网络设备、操作系统、数据库、应用软件甚至是安全产品的高危漏洞越来越多，2009年，CNCERT整理和发布的高危漏洞公告133个，比2008年增加32%2010年仅以6月份的第2个礼拜为例：周二微软发布10个安全补丁，修复34个安全漏洞，随后又发布一个0-Day攻击安全漏洞。苹果为Safari浏览器推出了安全补丁，修复了48个安全漏洞。星期五Adobe发布的补丁涉及32个安全漏洞终端安全：2009年我国计算机病毒感染率为70%，其中多次感染病毒的比率为43%安全现状——安全漏洞系统安全漏洞安全现状——本市安全现状测评中心2009年安全评估结果93%的系统存在高风险安全漏洞；43%的系统存在10个以上高风险安全漏洞85%的系统在网络边界安全控制上不符合安全评估要求85%的网站存在SQL注入漏洞，可直接修改、删除后台数据库数据14%网站存在黑客植入的后门安全现状——本市安全现状测评中心2009年安全评估结果安全形势——卫生系统医院医疗业务的开展对网络信息系统的依赖2009.12，北京某医院，内网服务器受蠕虫攻击，所有应用系统无法运行医院信息系统在规模、复杂度上的快速提高HIS、LIS、PACS/RIS、麻醉系统、……新的外部信息安全威胁及挑战各医院院领导及主管部门对信息安全建设工作的重视安全形势——卫生系统医院医疗业务的开展对网络信息系统的依赖主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求面临的安全威胁地震偷窃洪水雷电火灾恶意软件窃听硬件故障电力供应故障非法软件环境……软件安全缺陷通讯线路电缆损坏病毒网络组件故障维护错误黑客面临的安全威胁地震偷窃洪水雷电火灾恶意软件窃听硬件故障电力供信息系统安全保障体系管理制度应用系统网络平台系统平台物理环境运行维护信息系统安全保障体系管理制度应用系统网络平台系统平台物理环境信息系统安全保障体系物理——机房是否提供系统正常运行的场所，并保证硬件设备、通信链路、机房环境的物理安全网络——是否合理划分了不同的网络区域，并根据应用需求设置合理的访问控制策略，强化网络设备自身安全配置信息系统安全保障体系物理——机房是否提供系统正常运行的场所，信息系统安全保障体系系统平台——是否对应用系统所依赖的操作系统、数据库及应用平台进行了合理的安全配置，以保障系统平台的安全应用系统——业务应用软件应根据安全需求开发各类安全功能，并有效启用安全功能，以达到保护应用信息的目的。信息系统安全保障体系系统平台——是否对应用系统所依赖的操作系信息系统安全保障体系运维——是否建立了合理的恶意代码防范、数据备份、网络监控和系统冗余备份等安全运维机制，保障系统的运行安全管理制度——管理层应针对本单位应用状况建立合理的安全管理制度并有效执行，在统一的安全策略下对各类可能影响系统信息安全的行为进行有效管理。信息系统安全保障体系运维——是否建立了合理的恶意代码防范、数信息系统安全保障体系产品选择——必须选用经国家主管部门许可、并经国家测评认证机构认可的安全产品。密码产品——对非涉密信息进行加密保护或安全认证时所采用的技术或产品应符合《商用密码管理条例》的要求信息系统安全保障体系产品选择——必须选用经国家主管部门许可、安全三原则（CIA）Confidentiality保密性数据库数据泄漏、……Integrity完整性网站篡改、……Availability可用性局域网瘫痪、……安全三原则（CIA）主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全技术要求之——物理安全物理环境机房建设应满足：

GB/T2887《电子计算机场地通用规范》

GB/T9361《计算机场地安全要求》安全技术要求之——物理安全物理机房建设应满足：某信息中心机房——消防安全隐患机房堆放了包装纸箱、文件柜及杂物，易燃未配备机房专用灭火设备，使用水喷淋灭火某单位机房——设备及线路安全机房拥挤，主机摆放随意：地板上、桌子上设备无标签，布线凌乱，弱电/强电线路混合某单位机房——防盗、防尘机房临街，未安装防盗窗经常开窗，机房内存在较多灰尘物理环境安全——案例某信息中心机房——消防安全隐患物理环境安全——案例物理环境安全——案例物理环境安全——案例具体安全要求机房的外部环境条件、照明、接地、供电、建筑结构、介质存放、监视防护设备等应满足GB/T2887《电子计算机场地通用规范》4.3~4.9节的要求；机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T9361《计算机场地安全要求》4～8节的要求，在防火、防雷、防静电、安防监控等方面时，应经过相关专业机构的检测。物理环境安全——机房环境具体安全要求物理环境安全——机房环境其它具体要求提供合理的短期备用电力供应设备防盗、防毁措施；通讯线路连接、设备标签、布线合理性；机房出入口配置门禁系统及监控报警系统；机房出入记录，记录内容包括人员姓名、出入日期和时间，操作内容，携带物品等。物理环境安全——设备及监控其它具体要求物理环境安全——设备及监控安全技术要求之——网络结构安全网络结构内部结构——应根据应用需求在划分内网/外网、终端接入区/服务器区等区域，并在相关网络设备中配置安全策略进行隔离；外部边界——应根据安全需求在系统与Internet、政务外网、业务专网等外部网络的互连处配置网关设备实施访问控制，并对通信及操作事件进行审计。安全技术要求之——网络结构安全网络内部结构——应根据应用需求典型案例某单位外网防火墙：将多台内部服务器的Oracle数据库服务端口、内部核心业务应用系统Web服务端口直接开放至Internet(1年前开发商调试遗留)某单位连接下属机构的专网防火墙：将业务服务器的所有网络端口不加区分地全部向区县分局开放某单位基于Internet的VPN接入设备：对VPN用户的认证口令易猜测（单位名称缩写），可轻易接入该单位局域网。某单位内网：服务器区和终端接入区仅划分了不同VLAN，无访问控制规则，无法防止病毒及蠕虫的传播及内部非授权人员的访问。网络结构安全——案例典型案例网络结构安全——案例具体安全要求应对网络边界上部署的网络隔离设备中根据应用需求设置合理的访问控制规则，合理开放对外服务应对系统内部服务器区域进行划分及隔离，在终端计算机与服务器之间进行访问控制，建立安全的访问路径。当有重要信息通过公共网络进行传输时，应在传输线路中配置加密设备，以保证信息传输的保密性；禁止内部网络用户未授权与外部网络连接；如提供远程拨号或移动用户连接，应在系统入口处配置鉴别与认证服务器。禁止非授权设备接入内部网络，尤其是服务器区域。网络结构安全——要求具体安全要求网络结构安全——要求安全技术要求之——网络设备安全网络设备根据系统安全策略和维护需求设置合理的设备自身安全配置：版本更新与漏洞修补版本信息保护身份鉴别链接安全配置备份安全审计安全技术要求之——网络设备安全网络根据系统安全策略和维护需求典型案例某单位Internet防火墙：将防火墙所有管理界面（Web/Telnet/SSH）开放至Internet，且未修改出厂默认管理员密码（天融信：superman/talnet）某单位Cisco核心交换机：使用多年的Cisco交换机，IOS版本未升级，存在可遭受拒绝服务攻击的漏洞某单位所有Cisco交换机：未在设备配置中对管理员密码进行加密；且配置文件曾被多人拷贝，可通过配置文件破解管理员密码。网络设备安全——案例典型案例网络设备安全——案例具体安全要求（以路由器交换机为例）保持路由器/交换机软件版本的更新，修补高风险的漏洞；（软件更新)禁止与应用无关的网络服务，关闭与应用无关的网络接口；(最少服务)对登录的用户进行身份标识和鉴别，身份标识唯一，不反馈鉴别信息；修改路由器/交换机默认用户的口令或禁止默认用户访问，用户口令应满足长度和复杂性要求，并对配置口令进行加密保护；（用户管理,最小权限)当登录连接超时，应自动断开连接，并要求重新鉴别；网络设备安全——要求具体安全要求（以路由器交换机为例）网络设备安全——要求具体安全要求对能够登录路由器/交换机的网络地址进行限制，关闭与应用无关的远程访问接口；(访问控制)对登录提示信息进行设置，不显示路由器/交换机型号、引擎版本、部门信息等；对路由器/交换机配置进行备份，且对备份文件的读取实施访问控制；开启路由器/交换机日志功能，对修改访问控制列表、调整设备配置的操作行为进行审计记录。(安全审计)网络设备安全——要求具体安全要求网络设备安全——要求安全技术要求之——操作系统安全操作系统版本更新与漏洞修补身份鉴别用户权限分配口令质量鉴别失败处理默认服务开放终端限制安全审计安全技术要求之——操作系统安全操作版本更新与漏洞修补典型案例某单位内网Windows服务器：内网和Internet隔离，需手工升级，超过6个月未进行系统安全补丁升级，2009年3月，因终端感染Worm.Win32.MS08-067蠕虫病毒，造成服务器中毒，服务异常。某信息中心服务器：不明人员通过猜测密码成功登录服务器远程桌面后，多次恶意关闭OA应用服务，但因未开启全面的登陆审计，无法追踪其来源。操作系统安全——案例典型案例操作系统安全——案例具体安全要求定期更新操作系统版本，修补漏洞；关闭与应用无关的服务、启动脚本或网络功能；对登录用户进行身份标识和鉴别；用户的身份标识唯一；身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和更新周期；修改默认用户的口令或禁止默认用户访问，禁止匿名访问或限制访问的范围；具有登录失败处理功能，当登录失败次数达到限制值时，应结束会话、锁定用户；操作系统安全——要求具体安全要求操作系统安全——要求具体安全要求实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系；对系统内的重要文件（如启动脚本文件、口令文件、服务配置文件）、服务、环境变量、进程等实施访问控制；系统管理员实施远程登录时，应使用强鉴别机制，且操作系统应记录详细的登录信息；通过设定终端接入方式、网络地址范围等条件限制终端的登录；操作系统安全——要求具体安全要求操作系统安全——要求具体安全要求对安全事件进行审计，审计事件至少包括：用户管理、审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的系统操作、重要用户的各项操作进行审计；审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖；用户鉴别信息及与应用信息所在的存储空间，被释放或再分配给其他用户之前应完全清除；限制单个用户对系统资源的最大使用额度。操作系统安全——要求具体安全要求操作系统安全——要求安全技术要求之——数据库安全数据库版本更新与漏洞修补口令质量用户权限分配存储过程及函数开放安全审计安全技术要求之——数据库安全数据库典型案例某单位内网核心业务Oralce数据库：管理员密码易猜测(manager)，内部非授权人员可轻易进入数据库查询本无权访问的业务信息、甚至删除数据。85%的Oracle数据库：都未设Oralce监听服务的密码，导致局域网内任何人都可随意关闭数据库对外服务。数据库安全——案例典型案例数据库安全——案例具体安全要求定期更新数据库版本，修补漏洞；修改默认用户的口令或禁止默认用户访问设置合理的口令长度、复杂性和更新周期；取消不必要的权限开放，严格限制Public角色权限；禁用或删除数据库不需要的内置存储过程及函数；严格限制系统管理员及应用系统用户的权限分配，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限；数据库安全——要求具体安全要求数据库安全——要求具体安全要求严格限制数据库链接的设置；对数据库的安全事件进行审计，建议应审计：用户管理、审计功能启动关闭、审计策略调整、权限变更、数据字典访问、管理员用户各项操作、对存储重要信息的数据表的各项操作；限制单个用户对数据库资源的最大使用额度数据库安全——要求具体安全要求数据库安全——要求安全技术要求之——应用平台安全应用平台版本更新与漏洞修补默认口令默认权限开放安全审计……安全技术要求之——应用平台安全应用版本更新与漏洞修补典型案例2008年陕西省地震局门户网站虚假信息发布：“今晚陕西等地会有强烈地震发生”，网站后台管理员弱口令被破解。2009年宁波某政府网站被植入后门：黑客利用IIS6文件名解析漏洞植入后门，可以向WEB目录写入任意内容；2010年3月杭州某单位门户网站被植入后门：网站Tomcat服务后台管理员默认密码(tomcat)未修改且对外开放，黑客上传后门程序，可随意对网站进行文件下载、删除、修改。应用平台安全——案例典型案例应用平台安全——案例基本目标Web服务、应用层服务、邮件服务等通用应用平台应该根据系统总体安全策略进行选择和安全配置，并及时升级补丁包。安全配置的内容包括：身份鉴别、用户权限分配、口令质量等应用平台安全——要求基本目标应用平台安全——要求具体安全要求（以Web服务为例）定期更新Web服务软件的补丁，修补高风险漏洞；配置Web服务的提示信息，不显示Web服务软件和操作系统的版本和类型；合理设置Web服务的管理密码，并定期更改禁止将Web服务的管理界面开放至外网禁止非授权用户对Web服务根目录的访问；禁用或删除默认安装的应用示例；启用Web服务软件日志功能，记录合理的日志内容；限制对日志的访问权限；禁止匿名用户在服务器上远程运行可执行文件应用平台安全——要求具体安全要求（以Web服务为例）应用平台安全——要求安全技术要求之——应用软件安全应用软件应具备身份鉴别、用户管理、访问控制、运行审计等基本安全功能，并定期进行版本维护及更新。应根据业务需求在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。当采用密码技术时，应在密钥的产生、分配、销毁、备份与恢复等环节具备安全机制。安全技术要求之——应用软件安全应用应具备身份鉴别、用户管理、典型案例iPad用户信息泄漏：2010年6月10日黑客团体GoatseSecurity破解了AT&T网站的安全漏洞，获得了大约11.4万名iPad用户的注册信息，包括E-mail地址、SIM卡串号浙江省政府门户网站数据库数据被删除：网站页面代码未对用户输入参数进行合法性检查，存在SQL注入漏洞，通过网页删除了后台Oracle数据库所有表单；2009年本市某单位网站考试报名系统数据泄露：可通过SQL注入绕过密码验证，可直接下载报考人姓名/照片/身份证号码/电话/住址等隐私信息应用软件安全——案例典型案例应用软件安全——案例具体安全要求——基本安全功能具有身份鉴别机制，根据应用需求采取适当的鉴别机制来鉴别访问用户的身份，用户身份唯一，并保证鉴别机制不可旁路；如果采用口令鉴别机制，应采用技术机制保证口令的质量强度；如果采用密码技术的鉴别机制，相关密码技术应符合国家密码管理部门的规定；具备鉴别失败的处理机制。当不成功鉴别尝试次数达到限定值时，系统应锁定用户，并予以记录和告警；具备对不同角色用户权限的分配和管理功能：权限分离原则、最小授权原则应用软件安全——要求具体安全要求——基本安全功能应用软件安全——要求具体安全要求——基本安全功能具备对用户执行的系统操作和重要业务操作的应用审计功能。审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖。发生错误时有出错提示，并可以通过手工或自动方式从错误状态恢复到正常状态；(可靠性保障)当专用应用软件退出后，在本地机和服务器的有关目录下不留下任何残余文件；应用软件安全——要求具体安全要求——基本安全功能应用软件安全——要求具体安全要求——应用数据保护信息生成环节：信息源标识和鉴别、远程录入加密、输入数据合法性性检验（如：引发溢出、注入等漏洞）等信息处理环节：限制单一用户多重并发会话（防止暴力破解)、制定并执行访问控制策略、安全功能不可旁路及容错性信息传输环节：通过加密、签名，实现保密性、完整性及抗抵赖性(HTTPS、证书)信息存储环节：保密性、完整性保障数据库的安全性应用软件安全——要求具体安全要求——应用数据保护应用软件安全——要求安全技术要求之——运行维护安全运行维护恶意代码防范数据备份恢复系统冗余入侵检测与保护网络管理安全审计……安全技术要求之——运行维护安全运行恶意代码防范典型案例某单位所有服务器无防护运行10个月：网络防病毒系统许可过期，所有服务器防病毒软件近10个月未升级病毒库。某单位网管系统：部署的网络管理系统未设置合理的监控指标阈值，部分指标设置过低导致常年报警，系统管理员未进行有效监管，网管系统形同虚设。某信息中心备份系统罢工4个月无人知晓：磁带库设备故障，系统管理员未进行周期性备份有效性检查。系统运维安全——案例典型案例系统运维安全——案例安全技术要求——恶意代码防范安装防病毒产品，对存储介质访问、系统访问、网络访问等进行实时监控，在病毒入侵时及时报警，并进行清除、删除或隔离；定期更新病毒特征库，及时对防病毒产品进行版本升级；定期进行文件系统全面病毒查杀；对病毒相关审计记录进行详细统计与分析，及时调整病毒防范策略；系统运维安全——要求安全技术要求——恶意代码防范系统运维安全——要求安全技术要求——数据备份恢复系统应对系统软件代码、系统软硬件平台配置数据、数据库数据、系统用户关键信息、日志信息等，依照各自备份策略要求进行备份;系统管理员应对设置的数据自动备份任务进行定期监控，确认备份任务得到了有效的执行；系统管理员应对备份进行数据恢复的有效性验证，以确保备份数据的正确性；对以加密方式保存重要数据备份的，应同时保存数据恢复密钥的备份。系统运维安全——要求安全技术要求——数据备份恢复系统运维安全——要求安全技术要求——入侵检测与防护入侵监控产品的安全规则应符合系统安全策略的要求，能检测到违反规则的行为，入侵监控功能不被旁路；定期更新入侵监控产品的特征数据库，定期分析入侵监控记录，并根据系统已经存在或潜在的安全漏洞及时调整监控策略；当检测到入侵行为后应通过电子邮件、声音、短信等方式，及时报告管理员；只允许授权人员管理入侵监控规则，如定义攻击特征库、设置入侵响应方式等。系统运维安全——要求安全技术要求——入侵检测与防护系统运维安全——要求安全技术要求——网络管理及安全审计系统中部署的网络管理及安全审计系统应实现对重要网络设备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息及各类安全事件进行监控分析；应设置合理的监控指标阈值、合理的审计规则和告警响应策略，并根据实际需求提供各类综合分析报告。安全技术要求——系统冗余在实时性及可用性要求较高的系统中，应对关键的网络链路、网络设备、主机及数据库平台进行冗余备份，并进行合理的配置，当系统的某一节点发生故障时能在有效时间内进行切换分配，保证网络及系统相关服务正常运行。系统运维安全——要求安全技术要求——网络管理及安全审计系统运维安全——要求主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全管理要求管理制度

应参照GB/T22081-2008《信息安全管理实用规则》要求，建立信息系统的安全管理制度；应建立合理有效的监督机制，确保各项制度的有效执行定期评价制度合理性、有效性，并进行改进。安全管理要求管理应参照GB/T22081-2008《信息2009年深圳福利彩票3305万元巨奖诈骗案软件开发商员工，编写木马、进入机房，植入木马，修改中奖数据。深圳福彩承认管理疏漏，对技术合作公司人员监督不力，导致不法分子乘虚而入奥巴马护照及出入境信息被非法查看2009年总统竞选期间，小布什政府的国务院2名临时雇员在“完全没有必要的情况下”检查奥巴马的护照记录，这几人属于一家承包公司，负责维护美国国务院数据管理系统。安全管理体系——案例2009年深圳福利彩票3305万元巨奖诈骗案安全管理体系——安全管理体系——内容11个安全控制域、39个控制目标安全方针

信息安全组织

资产管理人力资源管理物理环境安全管理通信和操作管理访问控制系统获取、开发和维护信息安全事件管理业务连续性管理符合性安全管理体系——内容11个安全控制域、39个控制目标安全方针安全管理体系——文档体系结构策略policy标准standard基线baseline程序procedure指南guideline战略层次战术层次战役层次目标要求实现方法具体步骤最低标准强制性建议性安全管理体系——文档体系结构策略policy标准stand安全管理体系——内容信息安全管理体系主要内容：序号评估项目评估内容涉及部门/岗位1安全策略整体信息安全策略、安全策略的评审单位高层、行政、质管2组织的安全信息安全基础设施、第三方访问的安全、外包合同中的安全要求IT、行政3资产分类与控制资产的保管责任、信息分类行政、财务4人员安全工作设定及人力资源安全、信息安全教育和培训、对安全事故和故障的响应人力资源5物理及环境安全安全区域保障、设备的安全行政、IT6通信和操作管理操作规程和职责、媒体处置和安全、系统规划及验收、对具恶意的软件的防范、信息和软件的交换、日常事务处理（备份、日志、故障处理）IT、各业务部门安全管理体系——内容信息安全管理体系主要内容：序号评估项目评安全管理体系——内容序号评估项目评估内容涉及部门/岗位7访问控制组织营运对访问控制要求、使用者访问管理、使用的责任、网络访问控制、操作系统访问控制、应用程序访问控制、系统访问及使用的监控、可移动式计算机运算及计算机通讯远距工作IT、各业务部门8系统开发与维护系统的安全要求、应用系统中的安全、密码学的控制方法、系统档案的安全、开发及支持流程中的安全IT9安全事件管理应建立管理职责和规程，以确保雇员、承包方和第三方人员及时报告信息安全事件，快速、有效和有序地响应信息安全事件。各部门10业务连续性管理业务连续性管理过程、业务连续性和影响分析、制定和实施连续性计划业务部门、行政、IT11符合性法规要求的符合性、安全政策符合性及技术符合性的审查、系统审核的考虑行政（法律）安全管理体系——内容序号评估项目评估内容涉及部门/岗位安全管理体系——实现途径计划PLAN检查CHECK措施ACTION实施DO根据风险评估结果、法律法规的要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施依据策略、程序、标准和法律法规，对安全措施的实施状况进行符合性检查针对检查结果采取应对措施，改进安全状况安全管理体系——实现途径计划PLAN检查CHECK措施ACT典型问题组织体系：无专职信息安全部门和岗位，安全技术人员较匮乏管理机制：缺乏各安全相关岗位的职责、缺少有效的操作流程安全运维：外部单位的运维缺乏有效管理及限制应急预案：未制定可操作的应急预案，未进行有效的应急演练教育培训：主要为保密培训，很少进行安全技术人员的技能培训及全面的信息安全意识教育安全管理体系——典型问题典型问题安全管理体系——典型问题安全管理体系——风