分级保护项目方案设计.docx

1、分级保护项目方案设计分级保护工程方案设计Lt D分级保护工程方案设计第三章 平安保密风险分析 3.1脆弱性分析 脆弱性是指资产或资产组中能被威胁所利用的弱点它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的如果没有被相应的威胁利用单纯的脆弱性本身不会对资产造成损害而且如果系统足够强健严重的威胁也不会导致平安事件发生并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性有些脆弱性只有在一定条件和环境下才能显现这是脆弱性识别中最为困难的局部。不正确的、起不到任何作用的或没有正确实施的平安措施本身就可能是一个弱点脆弱性是风险

2、产生的内在原因各种平安薄弱环节、平安弱点自身并不会造成什么危害它们只有在被各种平安威胁利用后才可能造成相应的危害。 针对XXX机关涉密信息系统我们主要从技术和管理两个方面分析其存在的平安脆弱性。 技术脆弱性 1. 物理平安脆弱性 环境平安物理环境的平安是整个基地涉密信息系统平安得以保障的前提。如果物理平安得不到保障那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏造成有价值信息的丧失。目前各级XXX企业的中心机房大局部采用独立的工作空间并且能够到达国家标准GB501741993?电子计算机机房设计标准?、GB28871989?计算机场地技术

3、条件?、GB93611998?计算站场地平安要求?和BMBl72006?涉及国家秘密的信息系统分级保护技术要求?等要求。 设备平安涉密信息系统的中心机房均按照保密标准要求采取了平安防范措施防止非授权人员进入防止设备发生被盗、被毁的平安事故。 介质平安目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储 第 2 页 共129页 信息的最高密级标明密级并按相应的密级管理。 2. 运行平安脆弱性分析 备份与恢复备份与恢复是保证涉密信息系统运行平安的一个不可无视问题当遇到如火灾、水灾等不可抗因素不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其他建筑屋内防止在异

4、常事故发生时被同时破坏。 网络防病毒各级XXX企业涉密网络中的操作系统主要是windows系列操作系统。虽有平安措施却在不同程度上存在平安漏洞。同时病毒也是对涉密网络平安的主要威胁有些病毒可感染扩展名为corn、exe和ovl的可执行文件当运行这些被感染的可执行文件时就可以激活病毒有些病毒在系统底层活动使系统变得非常不稳定容易造成系统崩溃。还有蠕虫病毒可通过网络进行传播感染的计算机容易导致系统的瘫痪。近年来木马的泛滥为计算机的平安带来了严重的平安问题。木马通常是病毒携带的一个附属程序在被感染的计算机上翻开一个后门使被感染的计算机丧失局部控制权另外还有黑客程序等可以利用系统的漏洞和缺陷进行破坏都

5、会为涉密网络带来平安风险。各级XXX企业涉密网络中采用网络版杀毒软件对涉密系统进行病毒防护并制定合理的病毒升级策略和病毒应急响应方案以保证涉密网络的平安。 应急响应与运行管理各级XXX企业采用管理与技术结合的手段设置定期备份机制在系统正常运行时就通过各种备份措施为灾害和故障做准备健全平安管理机构建立健全的平安事件管理机构明确人员的分工和责任建立处理流程图制定平安事件响应与处理方案及事件处理过程示意图以便迅速恢复被平安事件破坏的系统。 3. 信息平安保密脆弱性 自身脆弱性任何应用软件都存在不同程度的平安问题主要来自于两个方面一方面是软件设计上的平安漏洞另一方面是平安配置的漏洞。针对软件设计上的平

6、安漏洞和平安配置的漏洞如果没有进行适宜的配置加固和平安修补就会存在比拟多的平安风险。由于目前防病毒软件大多集成了局部漏洞扫描功能并且涉密网络中的涉密终端与互联网物理隔离因此可以通过对涉密网络进行漏洞扫描定期下载升级补丁并制定相应的平安策略来防护。 第 3 页 共129页 电磁泄漏发射防护信息设备在工作中产生的时变电流引起电磁泄漏发射将设备处理的信息以电磁波的形式泄露在自由空间和传导线路上通过接收这种电磁波并采取相应的信号处理技术可以窃取到信息。这种窃收方式危险小不易被发现和发觉随着我国信息化水平的不断提高我国涉密部门大量使用计算机、网络终端等办公自动化设备涉密信息的平安保密受到严重威胁这种威胁

7、不像病毒攻击和网络攻击那样可以看到或者有迹可寻它的隐蔽性强危害极大。 平安审计平安审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应动作XXXXXX企业涉密信息系统没有有效的审计应用系统出现了问题之后无法追查也不便于发现问题造成了损失也很难对原因进行定性。 边界平安防护计算机连接互联网存在着木马、病毒、黑客入侵的威胁并且我国平安保密技术手段尚不完备、对操作系统和网络设备的关键技术尚未掌握缺乏以抵挡高技术窃密因此涉密网络必须与互联网物理隔离而仅将涉密系统置于独立的环境内进行物理隔离并不能做到与互联网完全隔离内部用户还可以通过ADSL、Modem、无线网卡等方式连

8、接国际互联网因此应该通过技术手段对违规外联行为进行阻断另外涉密网络中的内部介入问题也为涉密网络带来平安威胁。 数据库平安数据库系统作为计算机信息系统的重要组成局部数据库文件作为信息的聚集体担负着存储和管理数据信息的任务其平安性将是信息平安的重中之重。数据库的平安威胁主要分为非人为破坏和人为破坏对于非人为破坏主要依靠定期备份或者热备份等并在异地备份。人为破坏可以从三个方面来防护一、物理平安保证数据库效劳器、数据库所在环境、相关网络的物理平安性二、访问控制在帐号管理、密码策略、权限控制、用户认证等方面加强限制三、数据备份定期的进行数据备份是减少数据损失的有效手段能让数据库遭到破坏后恢复数据资源。

9、操作系统平安操作系统的平安性在计算机信息系统的整体平安性中具有至关重要的作用没有操作系统提供的平安性信息系统和其他应用系统就好比“建筑在沙滩上的城堡。我国使用的操作系统95以上是Windows微软的Windows操作系统源码不公开无法对其进行分析不能排除其中存在着人为“陷阱。现已发现存在着将用户信息发送到微软网站的“后门。在没有源码的情形下很难加强操作系统内核的平安性从保障我国网络及信息平安的角度考虑必须增强它的平安性因 第 4 页 共129页 此采用设计平安隔离层中间件的方式增加平安模块以解燃眉之急。 3.1.2管理脆弱性 任何信息系统都离不开人的管理再好的平安策略最终也要靠人来实现因此管理

10、是整个网络平安中最为重要的一环所以有必要认真地分析管理所存在的平安风险并采取相应的平安措施。 物理环境与设施管理脆弱性包括周边环境、涉密场所和保障设施等。 人员管理脆弱性包括内部人员管理、外部相关人员管理等。 设备与介质管理脆弱性采购与选型、操作与使用、保管与保存、维修与报废等。 运行与开发管理脆弱性运行使用、应用系统开发、异常事件等。 信息保密管理脆弱性信息分类与控制、用户管理与授权、信息系统互联。责权不明、管理混乱、平安管理制度不健全及缺乏可操作性等。 当网络出现攻击行为、网络受到其它一些平安威胁如内部人员违规操作以及网络中出现未加保护而传播工作信息和敏感信息时系统无法进行实时的检测、监控

11、、报告与预警。同时当事故发生后也无法提供追踪攻击行为的线索及破案依据即缺乏对网络的可控性与可审查性。这就要求我们必须对网络内出现的各种访问活动进行多层次记录及时发现非法入侵行为和泄密行为。 要建设涉密信息系统建立有效的信息平安机制必须深刻理解网络和网络平安并能提供直接的平安解决方案因此最可行的做法是平安管理制度和平安解决方案相结合并辅之以相应的平安管理工具。 3.2 威胁分析 3.2.1 威胁源分析 作为一个较封闭的内网攻击事件的威胁源以内部人员为主内部人员攻击可以分为恶意和无恶意攻击攻击目标通常为机房、网络设备、主机、介质、数据和应用系统等恶意攻击指XXX企业内部人员对信息的窃取无恶意攻击指

12、由于粗心、无知以及其它非恶意的原因而造成的破坏。 对于XXX机关涉密信息系统来讲内部人员攻击的行为可能有以下几种形式 1被敌对势力、腐败分子收买窃取业务资料 第 5 页 共129页 2恶意修改设备的配置参数比方修改各级XXX企业网络中部署的防火墙访问控制策略扩大自己的访问权限 3恶意进行设备、传输线路的物理损坏和破坏 4出于粗心、好奇或技术尝试进行无意的配置这种行为往往对系统造成严重的后果而且防范难度比拟高。 3.2.2 攻击类型分析 1. 被动攻击被动攻击包括分析通信流监视未被保护的通讯解密弱加密通讯获取鉴别信息比方口令。被动攻击可能造成在没有得到用户同意或告知用户的情况下将信息或文件泄露给

13、攻击者。对于各级XXX企业网络来讲被动攻击的行为可能有以下几种形式 1 有意识的对涉密信息应用系统进行窃取和窥探尝试 2 监听涉密信息网络中传输的数据包 3 对涉密信息系统中明文传递的数据、报文进行截取或篡改 4 对加密不善的帐号和口令进行截取从而在网络内获得更大的访问权限 5 对网络中存在漏洞的操作系统进行探测 6 对信息进行未授权的访问 2. 主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播或导致拒绝效劳以及数据的篡改。对于XXX机关涉密信息系统来讲主动攻击的行为可能有以下几种形式 1 字典攻击黑客利用一些自动执行的程序猜想用户

14、名和密码获取对内部应用系统的访问权限 2 劫持攻击在涉密信息系统中双方进行会话时被第三方黑客入侵黑客黑掉其中一方并冒充他继续与另一方进行会话获得其关注的信息 3 假冒某个实体假装成另外一个实体以便使一线的防卫者相信它是一个合法的实体取得合法用户的权利和特权这是侵入平安防线最为常用的方法 4 截取企图截取并修改在本院涉密信息系统络内传输的数据以及省院、地市院、区县院之间传输的数据 5 欺骗进行IP地址欺骗在设备之间发布假路由虚假AI冲数据包 第 6 页 共129页 6 重放攻击者对截获的某次合法数据进行拷贝以后出于非法目的而重新发送 7 篡改通信数据在传输过程中被改变、删除或替代 8 恶意代码恶

15、意代码可以通过涉密信息网络的外部接口和软盘上的文件、软件侵入系统对涉密信息系统造成损害 9 业务拒绝对通信设备的使用和管理被无条件地拒绝。 绝对防止主动攻击是十分困难的因此抗击主动攻击的主要途径是检测以及对此攻击造成的破坏进行恢复。 3.3风险的识别与确定 3.3.1风险识别 物理环境平安风险网络的物理平安风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成网络系统的不可用如 1 涉密信息的非授权访问异常的审计事件 2 设备被盗、被毁坏 3 线路老化或被有意或者无意的破坏 4 因电子辐射造成信息泄露 5 因选址不当造成终端处理内容被窥视 6 打印机位置选择不当或设置不当造成输出内

16、容被盗窃 7 设备意外故障、停电 8 地震、火灾、水灾等自然灾害。 因此XXX企业涉密信息系统在考虑网络平安风险时首先要考虑物理平安风险。例如设备被盗、被毁坏设备老化、意外故障计算机系统通过无线电辐射泄露秘密信息等。 介质平安风险因温度、湿度或其它原因各种数据存储媒体不能正常使用因介质丧失或被盗造成的泄密介质被非授权使用等。 运行平安风险涉密信息系统中运行着大量的网络设备、效劳器、终端这些系统的正常运行都依靠电力系统的良好运转因电力供给突然中断或由于UPS和油机未能及时开始供电造成效劳器、应用系统不能及时关机保存数据造成的数据丧失。因 第 7 页 共129页 为备份措施不到位造成备份不完整或恢

17、复不及时等问题。 信息平安保密风险涉密信息系统中采用的操作系统主要为Windows 2000 serverWindows XP、数据库都不可防止地存在着各种平安漏洞并且漏洞被发现与漏洞被利用之间的时间差越来越大这就使得操作系统本身的平安性给整个涉密信息系统带来巨大的平安风险。另一方面病毒已成为系统平安的主要威胁之一特别是随着网络的开展和病毒网络化趋势病毒不仅对网络中单机构成威胁同时也对网络系统造成越来越严重的破坏所有这些都造成了系统平安的脆弱性。 涉密信息系统中网络应用系统中主要存在以下平安风险 1. 用户提交的业务信息被监听或修改用户对成功提交的业务事后抵赖 2. 由于网络一些应用系统中存在

18、着一些平安漏洞包括数据库系统与IIS系统中大量漏洞被越来越多地发现因此存在非法用户利用这些漏洞对专网中的这些效劳器进行攻击等风险。 效劳系统登录和主机登录使用的是静态口令口令在一定时间内是不变的且在数据库中有存储记录可重复使用。这样非法用户通过网络窃听非法数据库访问穷举攻击重放攻击等手段很容易得到这种静态口令然后利用口令可对资源非法访问和越权操作。另外在XXX企业涉密信息系统中运行多种应用系统各应用系统中几乎都需要对用户权限的划分与分配这就不可防止地存在着假冒越权操作等身份认证漏洞。此外网络边界缺少防护或访问控制措施不力、以及没有在重要信息点采取必要的电磁泄漏发射防护措施都是导致信息泄露的因素

19、。 平安保密管理风险再平安的网络设备离不开人的管理再好的平安策略最终要靠人来实现因此管理是整个网络平安中最为重要的一环尤其是对于一个比拟庞大和复杂的网络更是如此。 XXX企业在平安保密管理方面可能会存在以下风险当网络出现攻击行为或网络受到其它一些平安威胁时如内部人员的违规操作等无法进行实时的检测、监控、报告与预警。虽然制定了相关管理制度但是缺少支撑管理的技术手段使事故发生后无法提供攻击行为的追踪线索及破案依据。因此最可行的做法是管理制度和管理解决方案的结合。 第 8 页 共129页 3.3.2 风险分析结果描述 风险只能预防、防止、降低、转移和接受但不可能完全被消灭。风险分析就是分析风险产生/

20、存在的客观原因描述风险的变化情况并给出可行的风险降低方案。 XXX企业涉密信息系统的分级保护方案应该建立在风险分析的根底之上根据“脆弱性分析和“威胁分析中所得到的系统脆弱性和威胁的分析结果详细分析它们被利用的可能性的大小并且要评估如果攻击得手所带来的后果然后再根据涉密信息系统所能承受的风险来确定系统的保护重点。本方案所采用的风险分析方法为“平安威胁因素分析法围绕信息的“机密性、“完整性和“可用性三个最根本的平安需求针对前述每一类脆弱性的潜在威胁和后果进行风险分析并以表格的形式表达对于可能性、危害程度、风险级别采用五级来表示等级最高为五级如下表 层面 脆弱和威胁 可能性 危害程度 风险级别 物理

21、层 自然灾害与环境事故、电力中断 重要设备被盗 内外网信号干扰 电磁辐射 恶劣环境对传输线路产生电磁干扰 采用纸制介质存储重要的机密信息 线路窃听 存储重要的机密信息移动介质随意放置 网络层 网络拓扑结构不合理造成旁路可以出现平安漏洞 不同用户群、不同权限的访问者混在一起不能实现有效的别离 网络阻塞用户不能实现正常的访问 非法用户对效劳器的平安威胁 共享网络资源带来的平安威胁 系统重要管理信息的泄漏 传播黑客程序 进行信息监听 ARP攻击威胁 利用TCP协议缺陷实施拒绝效劳攻击 系统层 操作系统存在着平安漏洞 系统配置不合理 操作系统访问控制脆弱性 网络病毒攻击 合法用户主动泄密 第 9 页

22、共129页 非法外连 存储信息丧失 应用层 应用软件自身脆弱性 应用系统访问控制风险 应用软件平安策略、代码设计不当 数据库自身的平安问题 抵赖风险 缺乏审计 操作系统平安带来的风险 数据库平安风险 管理层 松散的管理面临泄密的风险 平安保密管理机构不健全 人员缺乏平安意识 人员没有足够的平安技术的培训 平安规那么制度不完善 表3-1 XXX企业涉密信息系统风险分析表 第 10 页 共129页 第四章 平安保密需求分析 4.1 技术防护需求分析 4.1.1 机房与重要部位 XXX企业内网和外网已实现物理隔离置于不同的机房内。内网机房、机要室等重要部位将安装电子监控设备并配备了报警装置及电子门控

23、系统对进出人员进行了严格控制并在其他要害部门安装了防盗门根本满足保密标准要求。 4.1.2网络平安 物理隔离由于XXX企业的特殊性XXX企业已组建了自己的办公内网与其他公共网络采取了物理隔离满足保密标准要求。 网络设备的标识与安放XXX企业现阶段虽然在管理制度上对专网计算机进行管理要求但没有对设备的密级和主要用途进行标识所以需要进行改良并按照设备涉密属性进行分类安放以满足保密标准要求。 违规外联监控XXX企业专网建成后网络虽然采用了物理隔离但缺少对涉密计算机的违规外联行为的监控和阻断例如内部员工私自拨号上网通过无线网络上网等。所以为了防止这种行为的发生在涉密网建设中需要一套违规外联监控软件对非

24、授权计算机的上网行为进行阻断。 网络恶意代码与计算机病毒防治病毒对于计算机来说是个永恒的话题就像人会感染病菌而生病一样计算机也会感染病毒而导致异常同时有些病毒的爆发还会导致计算机网络瘫痪、重要数据丧失等后果XXX机关充分考虑到这一问题 配备了网络版杀毒软件系统内的关键入口点以及各用户终端、效劳器和移动计算机设备设置了防护措施保证恶意代码与计算机病毒不会通过网络途径传播进入涉密网同时也确保移动存储设备介入涉密网后不会感染涉密网络。同时还制定了杀毒软件升级的手段根本满足保密标准要求。 网络平安审计目前网络平安问题大多数出现在内部网络而XXX企业涉密信息系统的建设却缺少这种平安防护和审计手段因此为了

25、保证内部网络平安需要配置平安审计系统对公共资源操作进行审计控制了解计算机的局域网内部单台计算机 第 11 页 共129页 网络的连接情况对计算机局域网内网络数据的采集、分析、存储藏案。通过实时审计网络数据流根据用户设定的平安控制策略对受控对象的活动进行审计。 平安漏洞扫描解决网络层平安问题首先要清楚网络中存在哪些隐患、脆弱点。面对大型网络的复杂性和不断变化的情况依靠网络管理员的技术和经验寻找平安漏洞、做出风险评估显然是不现实的。解决的方案是寻找一种能扫描网络平安漏洞、评估并提出修改建议的网络平安扫描工具。所以本工程中需要配置平安漏洞扫描系统。 信息传输密码保护加密传输是网络平安重要手段之一。信息的泄露很多都是在链路上被搭线窃取数据也可能因为在链路上被截获、被篡改后传输给对方造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密使得在网上传的数据以密文传输因为数据是密文。所以即使在传输过程中被截获入侵者也读不懂而且加密机还能通过先进性技术手段对数据传输过程中的完整.