安全风险评估服务方案案例

TITLE****信息系统

安全风险评估服务方案■文档编号DOCPROPERTY文档编号NSF-XA-G-S-0801■密级DOCPROPERTY密级商业秘密■版本编号1.0■日期2008-8-7©DATE\@"yyyy"2009绿盟科技

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。■版本变更记录时间版本说明修改人2008-08-71.0文档创建张晟■适用性声明本文档是北京神州绿盟科技有限公司（以下简称：绿盟科技）为陕西省地方税务局（以下简称：****）所撰写的安全评估服务方案书，仅供****相关项目人员参考。 -商业秘密项目简介为了更好的发现并了解******信息系统的安全现状，为日后保障陕西省地方税务局的税务信息系统安全投资的有效性，陕西省地方税务局准备启动本项目。绿盟科技针对****本次项目的具体要求，特制定本安全评估方案，通过安全风险评估帮助****系统的了解税务信息系统的安全技术现状与安全管理现状。项目范围本次对******信息系统的安全评估范围是涉及到陕西省地税税务信息系统的主机系统、网络设备、应用系统、数据库以及管理运行维护体系。本方案中，涉及的主要评估对象有：****省中心服务器主机系统****省中心服务器维护管理PC系统****省中心网络设备****省中心信息安全设备****省中心信息系统的管理制度方案设计原则与依据在本方案中绿盟科技主要针对税务信息系统的维护、管理方面进行整体的评估方案的撰写。方案设计原则绿盟科技安全评估服务将遵循以下相关原则，保障准确的达到评估目的。标准性原则：绿盟科技安全评估服务的相关方案、文档、内容以及安全评估服务的实施将依据国内或国际以及行业的相关标准进行。规范性原则：绿盟科技在项目实施过程中，将严格按照相关质量控制体系的规范进行安全评估实施。可控性原则：绿盟科技的评估的工具、方法和过程将采用双方确定、双方认可的方式进行评估，评估服务的进度安排将依照计划进行相关安全评估，保证****与绿盟科技对于评估工作的可控性。整体性原则：绿盟科技的安全评估方案设计中，遵照整体性原则进行设计，根据该方案所设计的评估流程与评估内容所产生的风险评估结果，具备较好的覆盖性。最小影响原则：绿盟科技的评估工作采取尽可能小的影响系统和网络的正常运行的方式进行，尽可能不对正在的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况会在风险提示报告上详细描述）。保密原则：绿盟科技安全评估工作将进行严格的信息保密制度，绿盟科技将对信息安全评估的内容、评估的结果以及相关内容进行严格保密，并签署相应的保密协议。方案设计依据方案设计理论模型依照信息系统风险管理的具体要求，信息安全建设的过程必须从物理、网络、系统、应用、管理等各个方面进行全方位的保护。因此一个有效的安全评估过程也同样需要对信息系统安全的各个方面全方位考虑。因此，绿盟科技在进行安全评估的方案设计时，主要通过了以下的模型与思想，进行安全评估的方案指导设计。安全需求安全目标OTPAPTRAPDR机构建设人员管理制度管理资产管理物理管理技术管理风险管理安全评估安全防护入侵检测应急恢复组织体系管理体系技术体系信息系统安全体系架构InformationSystemSecurityFramework整体安全保障体系建设模型 绿盟科技在进行信息安全风险评估方案设计时，严格遵循信息安全保障体系几建设模型，从组织体系、管理体系、技术体系多方面来进行信息系统现状的调研、分析，根据税务税务信息系统的业务特点，安全特点进行细致的分析。 另外，绿盟科技在进行安全风险评估过程中，贯彻等级化思想，针对不同业务系统的安全需求等级，来确定某一安全区域的安全机制是否服务该安全等级的要求。通过等级化思想，可以良好的避免安全体系建设中投资的浪费，提高安全投资的有效性。方案设计依据标准及规范任何信息系统的安全建设均需要符合所处行业的相关标准，因此，绿盟科技在设计本方案时，依照了目前国际、国内对信息安全评估的主要要求，以及在行业内部对信息安全的整体建设思路进行安全评估方案的设计。 绿盟科技在本次安全评估方案设计时主要遵循了以下的一些标准： 信息安全管理标准ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO13335（GB/T19715)信息安全通用准则ISO15408（GB/T18336）系统安全工程能力成熟模型SSE-CMM国家信息中心《风险评估指南》国家信息中心《风险管理指南》计算机信息系统安全等级保护划分准则（GB17859）计算机信息系统等级保护相关规范（GB/T20269、GB/T20270、GB/T20271、GB/T20272、GB/T20273等）《国家税务总局关于加强税务信息系统安全风险管理工作的意见》（国税函【2008】308号）其他相关标准（AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF）方案设计思路在本方案设计中，绿盟科技的主要设计思路是为了更好的发现****网络信息系统所存在的安全问题，以及发现安全威胁的可能性。从标准化的安全管理要求中，满足信息系统的安全风险的发现、定量、定性的评估。并最终根据通用的优化标准，为****提出合理化的安全建议。本方案所选择的安全评估服务模块主要从物理网络、系统、应用、管理五个方面，对税务信息系统进行风险评估。物理上，主要了解目前****信息系统在防尘、防静电、防火、防漏水等多个方面进行评估，了解目前****税务信息系统的具体安全状况。网络上，通过网络设备的手工检查了解目前网络设备的信息、了解信息系统中的网络设备在系统漏洞、系统配置上是否存在安全问题；另外通过网络构架分析了解网络在业务连续性、数据存储、传输的安全性进行系统的安全评估。在系统方面，绿盟科技安全专家采用远程安全评估、人工安全检查等多个方面进行系统的安全评估，了解系统在配置、使用以及系统自身的脆弱性上进行细致的安全评估。应用上主要通过人工安全检查了解应用中各个信息系统的整体安全状况，另外，根据信息系统的业务调研和访谈过程，了解应用中所涉及到的各个安全状况、安全解决方式方法。管理上，主要中ISO17799的11个方面对****的安全现状进行分析。通过对****的具体安全管理策略与安全措施的了解，分析出****在管理方面所存在的安全漏洞与潜在风险，管理上采用的主要方式为管理问卷调查、访谈、管理文档分析。安全评估服务的范围依照****目前的网络状况，建议****在进行安全评估中，采用多期分网络层次的安全评估服务，即在进行安全评估服务时，采用分节点、分层次的进行信息安全评估。依照目前****的网络现状，绿盟科技建议在一期阶段，针对省中心进行安全评估，而后续再分别正对地市中心以及县中心进行安全评估。省中心网络结构如下图所示：依照绿盟科技建议，本次评估将直接针对****的省中心网络进行安全评估，包括了省中心的Internet接入区、税务内网办公网以及Intranet节点。内部办公网络服务器区、小型机区。安全评估服务手段在安全评估中，所采取的评估方式针对不同的评估方式，将直接影响到评估结果，绿盟科技将采用以下的评估方式进行安全评估，发现目前****税务信息系统的安全状况。远程安全评估为了充分了解****税务信息系统当前存在的安全隐患，保障进一步提供****各个业务主机系统的具体安全漏洞情况，绿盟科技将采用“极光”远程安全评估系统对****相关设备、服务器系统和应用系统进行扫描，并检查网络设备、服务器系统和其上提供的服务的安全脆弱性，识别被攻击者可能用来非法进入网络的漏洞，主动发现安全问题。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动。安全扫描技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上的风险与漏洞，而后者则是通过网络远程探测其他主机的安全风险与漏洞。在本项目中，安全扫描主要是通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描，来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。从网络层次的角度来看，扫描涉及了如下三个层面的安全问题。1．系统层安全：该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、WindowsNT系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证：通过telnet进行口令猜测……访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录……系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞……安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统……2．网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsNTDNS拒绝服务攻击……路由器：CiscoIOSWeb配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令……3．应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞……Web服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS5.0.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞……电子邮件系统：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞……防火墙及应用网管系统：AxentRaptor防火墙拒绝服务漏洞……其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞……人工安全检查仅仅通过扫描是不能够及时的发现目前网络中各个主机、网络设备的具体安全状况。因此需要通过其他的辅助手段对主机、网络设备的安全状况进行更为细致的判断。人工安全检查采用人工方式对被评估主机、网络设备以及安全产品进行配置信息获取，并对信息进行详细的分析，了解被评估系统的脆弱点与安全风险。人工安全检查的主要内容为：路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；主机系统的安全配置策略是否最优，是否进行了安全增强；终端设备的安全配置策略是否最优，是否进行了安全增强;对防火墙、入侵检测、SUS、SMS等安全产品安全策略及其日志进行分析。网络构架分析网络构架分析是绿盟科技在进行安全评估时，针对网络构架、网络体系等进行细致的分析，网络构架分析的目的是检查网络整体的构架是否存在缺陷，是否存在导致信息安全事件发生的隐患。在网络构架分析中，所涉及的检查项目为：网络建设的规范性：网络安全规划、设备命名规范性、网络架构安全性。网络的可靠性：网络设备和链路冗余、设备选型及可扩展性。网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN（二层ACL）等。网络协议分析：路由、交换、组播、IGMP、CGMP、IPv4、IPv6等协议。网络流量分析：带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力。网络通信安全：通信监控、通信加密、VPN分析等。设备自身安全：SNMP、口令、设备版本、系统漏洞、服务、端口等。网络安全管理：网管系统、客户端远程登陆协议、日志审计、设备身份验证等。应用系统调研针对税务信息系统，绿盟科技将会针对税务信息系统的开发与管理人员进行人工访谈以及人工检查。通过人工访谈，能够从系统设计思路上做出信息系统安全的依据，了解设计思路是否存在安全隐患与缺陷。人工检查的作用是通过人工安全检查了解目前应用系统本身的安全性内容，了解设计中的安全思想是否能够准确的表达与使用。安全评估服务流程安全评估服务需要一个标准的服务流程才能充分保障服务的效果，本次****的主要目标是依照国家税务总局的要求，做好网上营业厅的信息安全风险管理工作。依照****本次评估的范围和目标，绿盟科技设计实施安全评估服务的主要流程如下：明确评估范围在评估工作正式开始前，需要针对被评估的系统进行准确的范围确定，其中，范围不仅仅包括信息系统的逻辑范围，还包含了信息系统维护、管理体系，规章制度等方面的内容。为保障后续实施评估的可控性，绿盟科技在进行安全评估过程之前，需要针对具体的安全评估范围进行明确的确定与划分。评估前培训为了保障评估的质量，以及提高各个管理维护人员对信息安全评估的理解，绿盟科技建议在评估前，对****的主要网管维护人员进行评估前的培训，培训内容包括了信息系统安全建设的基础理论，信息安全评估的目的以及本次评估的主要作用与目的。由于信息安全评估工作的特殊性，在评估时，部分员工会认为是进行检查工作，潜意识中对信息安全评估会产生一定的抵触情绪，因此，在进行信息安全评估之前，需要对主要参与人员以及配合人员将信息安全评估的重要性，信息安全评估的目的、内容进行明确。降低抵触情绪。因此在明确完成评估范围的确定后，对****相关项目参与、配合人员进行安全评估前的培训，保障评估效果达到最佳。资产识别与估价信息安全建设的基础是信息资产，因此通过对信息资产的识别与估价，能够有准确的了解被评估系统的基础信息，并根据基础信息，确定具体的安全评估的操作步骤。依照本次安全评估的目标，绿盟科技将针对税务信息系统的硬件、软件资产进行识别，根据识别结果，确定后续的安全评估的工作的具体开展方式。在评估过程中，绿盟科技针对具体的资产内容，列出资产清单列表，在经过业务访谈后，将根据资产的重要性，从完整性、可用性、机密性三个方面对其进行赋值。系统业务流程调研在结束资产识别与估价后，绿盟科技针对****的税务信息系统的具体业务流程进行调研，通过调研了解业务数据的具体工作流程与内容。系统业务流程调研的主要目的通过对业务流的梳理，了解各个业务流中各个信息安全关键点，并根据此内容制定后期的评估重点，设计具体的评估技术手段。脆弱性评估脆弱性评估是了解信息系统的网络、操作系统、应用的重要手段，通过脆弱性评估能够细致的了解目前信息系统的具体内容、安全模式。在进行脆弱性评估时，绿盟科技主要采用远程安全评估、手工检查、网络构架评估以及渗透测试的方式对****的税务信息系统进行评估。通过上述的评估手段，能够了解到目前****税务信息系统中，主机安全增强设置，帐户口令策略，系统漏洞，配置漏