《集团信息安全建设方案.doc》由会员分享,可在线阅读,更多相关《集团信息安全建设方案.doc(59页珍藏版)》请在三一办公上搜索。
1、某集团信息安全建设方案2011年7月目录1.前言31.1.项目背景31.2.安全目标41.3.设计范围41.4.设计依据41.5.设计原则52.信息系统分析72.1.网络现状描述72.2.计算机基础设施建设方面82.3.业务应用系统现状82.4.安全定级情况83.安全需求分析93.1.等级保护基本需求分析93.1.1.信息系统安全等级保护基本要求说明93.1.2.技术类安全需求113.1.2.1.物理安全113.1.2.2.网络安全123.1.2.3.主机安全143.1.2.4.应用安全153.1.2.5.数据安全及备份恢复163.1.3.管理类安全需求163.1.3.1.安全管理制度163.
2、1.3.2.安全管理机构163.1.3.3.人员安全管理173.1.3.4.系统建设管理173.1.3.5.系统运维管理173.2.额外/特殊保护需求分析183.2.1.重要资产分析183.2.2.安全弱点分析183.2.3.安全威胁分析203.2.4.安全风险分析233.2.4.1.物理层面的安全风险233.2.4.2.网络层面的安全风险233.2.4.3.主机层面的安全风险253.2.4.4.应用层面的安全风险263.2.4.5.管理方面的安全风险273.2.5.额外/特殊保护需求分析283.3.安全需求总结293.3.1.安全技术防护293.3.1.1.通信网络安全303.3.1.2.区
3、域边界安全313.3.1.3.计算环境安全313.3.1.4.安全管理中心323.3.2.安全管理措施333.3.2.1.安全管理组织343.3.2.2.安全管理制度343.3.2.3.安全运维服务344.总体安全设计354.1.安全体系框架354.2.安全策略体系354.3.安全组织体系364.3.1.安全组织建设364.3.2.人员安全管理374.4.安全技术体系384.4.1.安全技术体系框架384.4.2.安全域划分404.4.3.安全技术措施选择414.4.3.1.区域边界安全保护措施414.4.3.2.通信网络安全保护措施424.4.3.3.计算环境安全保护措施424.4.3.4.
4、安全管理中心464.4.4.安全软硬件产品部署484.5.安全运行体系505.信息安全建设规划515.1.信息安全总体建设过程515.2.信息安全工程实施规划535.2.1.阶段一:实现基本的安全部署535.2.2.阶段二:实现全面的安全部署555.2.3.阶段三:实现全面的安全优化566.安全产品采购预算561. 前言1.1. 项目背景某集团为提高企业竞争力、适应新环境、实现科学管理、融入全球经济,已经启动ERP项目,吹响了全面实施信息化管理的号角。企业ERP是一个以管理会计为核心的信息系统,识别和规划企业资源,从而获取客户订单,完成加工和交付,最后得到客户付款。换言之,ERP将企业内部所有
5、资源整合在一起,对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划,从而达到最佳资源组合,取得最佳效益。ERP系统的合理运用将改变企业运作的面貌,给企业的经营管理带来深刻变革,但与此同时,集中的数据处理,多方位多层次的信息应用也将为某集团带来新的问题信息安全。由于某集团的信息系统安全问题直接关系到生产、销售、人力资源管理等诸多核心业务的顺利开展,因此,在不断加强企业ERP建设的同时,信息安全也成为集团企业必须努力解决的首要问题。某集团领导也充分认识到了在进行信息系统建设的同时,同步建设信息安全保障体系的必要性,决定启动信息安全建设项目,对信息系统可能面临的风险进行分析、控制,全面提升
6、某集团信息系统的安全防护能力,尽快打造出一个高效、稳定、安全的网络及系统环境,为某集团即将上线的ERP系统保驾护航。对信息系统分级实行保护是国际上通行的做法,我国也已经把等级保护制度列入国务院关于加强信息安全保障工作的意见之中,对影响到国家安全、社会稳定、公众利益的重要部门实施强制监管,对信息系统按照重要程度划分不同的安全等级进行安全保护,并制定和发布了一系列相应的信息安全建设、管理的政策和标准。如何遵照国家的信息安全等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建设的重点。某集团作为我国重点国有企业之一,其信息系统的重要性不言而喻,依据国家等级保护建
7、设的相关要求和规范,结合自身发展要求和业务应用特点,建立一套符合实际的按等级标准进行保护的信息安全体系是必要的,也是必须的。1.2. 安全目标本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合某集团ERP系统的安全需求分析,通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等,全面提升某集团ERP系统的安全性,能面对目前和未来一段时期内的安全威胁,实现对全网安全状况的统一管理,更好地保障某集团ERP系统的正常运行,全面提升某集团信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。通过本次项目的实施,将为某集团信息系统
8、构建技术与管理相结合的全方位、多层次、可动态发展的纵深安全防范体系。1.3. 设计范围本项目的设计范围为某集团ERP系统,以集团总部为重点进行建设,并对各分支机构提出建议。1.4. 设计依据基于某集团业务的特殊性,其信息安全保障体系的建设,除了要满足系统安全可靠运行的需求,还必须符合国家和行业相关政策和要求。我们国家对信息安全保障工作非常重视,国家相关部门陆续出台了相应的文件和要求,因此本项目的建设应当遵从国务院、公安部、国资委等相关机构的要求,参考国际、国内、行业信息安全标准和规范,对信息安全保障体系进行全面、深入的规划和设计,确保某集团信息系统安全保障体系建设的先进性和规范化。某集团信息安
9、全建设中需遵从的信息安全政策法规包括: 中华人民共和国计算机信息系统安全保护条例(国务院1994年147号令) 国家信息化领导小组关于加强信息安全保障工作的意见(中办200327号) 关于信息安全等级保护工作的实施意见(公通字200466号) 信息安全等级保护管理办法(公通字200743号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号) 关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070号)某集团信息安全建设中需参照的信息安全标准规范包括: 计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术 信息系统安全等级保护实
10、施指南 信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008) 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息安全技术 信息系统安全管理要求(GB/T 20269-2006) 信息安全技术 信息系统通用安全技术要求(GB/T 20271-2006) 信息系统等级保护安全设计技术要求(GB/T 24856-2009)某集团ERP系统信息安全建设中可借鉴的其他信息安全标准包括: GB/T 22080-2008(idt ISO/IEC 27001:2005)信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008(idt IS
11、O/IEC 27002:2005)信息技术 安全技术 信息安全管理实用准则 ISO/IEC 13335信息技术 安全技术 信息技术安全管理指南 IATF信息保障技术框架1.5. 设计原则某集团信息安全保障体系的建设需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则:统一规划、分步实施原则在信息安全保障技术体系的建设过程中,将首先从一个完整的网络系统体系结构出发,全方位、多层次的综合考虑信息网络的各种实体和各个环节,运用信息系统工程的观点和方法论进行统一的、整
12、体性的设计,将有限的资源集中解决最紧迫问题,为后继的安全实施提供基础保障,通过逐步实施,来达到信息网络系统的安全强化。从解决主要的问题入手,伴随信息系统应用的开展,逐步提高和完善信息系统的建设,充分利用现有资源进行合理整合的原则。标准性和规范化原则信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范的要求,从业务、技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;本方案在设计中将重点保护某集团总部网
13、络信息系统,防范来自内、外网络的安全威胁。 适度安全原则任何信息系统都不能做到绝对的安全,在安全规划过程中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。技术管理并重原则信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解
14、为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。先进形和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际、国内先进实用的安全技术和安全产品,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设,必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性,必须能够及时地、
15、不断地改进和完善系统的安全保障措施。经济性原则项目设计和建设过程中,将充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。2. 信息系统分析信息系统分析是为了确定信息安全体系设计应覆盖的范围,并根据分析结果进行信息系统划分和安全保护级别定义。2.1. 网络现状描述目前集团信息系统主要分布在北京、上海、兰州、长春、武汉、成都等几个地方,每个地方的信息系统都不是非常的完善,信息化的步伐需要大大加强。图 21 集团信息系统分布示意图2.2. 计算机基础设施建设方面目前集团有9个分支机构,集团有三台IBM X系列服务器和一个EMC磁盘阵列。服务器上有集团网站、O
16、A系统、用友U8财务系统、久琪预算系统 。2.3. 业务应用系统现状目前,集团先后建立办公OA、预算系统邮件系统、生产系统、财务系统等多个信息化应用系统。这些系统对于一个集团公司的发展来说,远远不够。2.4. 安全定级情况信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据信息安全等级保护管理办法,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。某集团ERP系统目前定为三级。3. 安全需求分析安全需求
17、的主要依据是合规性要求分析和安全风险评估,通过分析国家等级保护标准要求确定基本安全需求,同时通过分析信息系统自身可能存在的安全风险对基本需求进行特殊/额外需求的必要补充,形成最终的安全建设需求。3.1. 等级保护基本需求分析等保合规性需求分析的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。由于某集团ERP系统为一个新建系统,尚未进行安全建设,因此无法进行等保差距分析,以下将直接采用等级保护基本要求作为某集团ERP系统安全建设的基本需求。在此基础上,结合对已知安全风险的分析结果进行额外/特殊安全需求的补
18、充。3.1.1. 信息系统安全等级保护基本要求说明根据信息安全等级保护管理办法的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各个级别信息系统的安全保护要求构成了GB/T22239-2008信息系统安全等级保护基本要求(以下简称基本要求)。基本要求分为基本技术要求和基本管理要求两大类,其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统
19、运行维护管理五个方面。技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;服务保证类要求是指保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用。技术要求
20、整体框架如下图所示:图3-1 等级保护基本要求-技术要求管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。在管理要求中提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等
21、要求。管理要求整体框架如下图所示:图3-2 等级保护基本要求-管理要求由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着信息系统安全级别提高,安全要求的项数增加;二是随着信息系统安全级别的提高,同一项安全要求的强度有所增加。例如,三级信息系统基本要求是在二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心等两项要求,同时对安全管理制度评审、人员安全和系统建设过程管理提出了进
22、一步要求。3.1.2. 技术类安全需求下面我们将主要参考基本要求中的第三级技术要求,提出某集团ERP系统符合等级保护要求的基本技术需求。3.1.2.1. 物理安全1、物理访问控制重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。2、防盗窃和防破坏应利用光、电等技术设置机房防盗报警系统;应对机房设置监控报警系统。3、防雷击应设置防雷保安器,防止感应雷。4、防火机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。5、防水和防潮应安装对水敏感的检测仪表或元件,对机房
23、进行防水检测和报警。6、防静电主要设备应采用必要的接地防静电措施;机房应采用防静电地板。7、温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。8、电力供应应在机房供电线路上配置稳压器和过电压防护设备;应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;应建立备用供电系统。9、电磁防护应对关键设备和磁介质实施电磁屏蔽。3.1.2.2. 网络安全1、安全评估需由专业安全服务人员根据相关要求对网络结构和网络设备进行安全评估,并根据需要进行适当加固和提供整改建议。2、结构安全应保证主要网络设备的业务处理能力和网络链路的传输带宽具备冗余空间,满足
24、业务高峰期需要。应按照业务类型、重要程度等对网络进行安全域划分,对重要的安全域与其他网段、外部网络之间需采取可靠的技术隔离手段。应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保证重要主机的通信带宽。3、访问控制应在网络边界部署具有会话状态检测功能的访问控制设备,控制粒度为端口级,可控制单个用户对受控系统资源的访问,并能对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。应限制网络最大流量数及网络连接数。重要网段应采取技术手段防止地址欺骗。4、安全审计需要开启网络设备的日志功能,对网络设备运行状况、网络流
25、量、用户行为等进行日志记录,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。能够根据记录数据进行分析,生成审计报表。需设置安全、独立的日志存储系统,保护审计记录不被非法删除、修改或覆盖等。5、边界完整性检查需要部署非法接入监控系统和非法外联监控系统,对非授权设备私自联到内部网络或内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。6、入侵防范需要在网络边界部署网络入侵检测机制,对进出边界的网络数据流进行端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等的检测。应在检测到攻击行为时,记录攻击源
26、IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。7、恶意代码防范需要在网络边界部署网关级的病毒过滤系统,对恶意代码进行检测和清除,并提供代码库的升级和检测引擎的更新功能。8、网络设备防护需要部署双因素身份认证系统对网络管理员进行身份鉴别,身份鉴别信息应不易被冒用。需要对远程身份认证过程提供加密保护。需要将系统特权用户的权限进行分离。3.1.2.3. 主机安全1、安全评估需由专业安全服务人员根据相关要求对主机操作系统和数据库系统进行安全评估,并根据需要进行适当加固和提供整改建议。2、身份鉴别(S)需要部署双因素身份认证系统对操作系统和数据库系统的管理员进行身份鉴别,身份鉴别信
27、息应不易被冒用。需要对远程身份认证过程提供加密保护。3、访问控制(S)应对重要信息资源设置敏感标记,依据安全策略严格控制用户对有敏感标记重要信息资源的操作。4、安全审计需要对服务器操作系统、数据库系统和重要客户端操作系统进行用户行为、系统事件的审计,审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。需设置安全、独立的日志存储系统,保护审计记录不被非法删除、修改或覆盖等。能够根据记录数据进行分析,生成审计报表。5、入侵防范需要在重要服务器上部署入侵检测机制,对非法入侵和攻击行为进行检测、记录和告警,并对系统重要程序的完整性进行检测和保护。6、恶意代码防范需安装网络版防病毒软件,提
28、供统一管理和更新,且需与网关防病毒系统的代码库异构。7、资源控制(A)需要对重要服务器的运行情况进行实时监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,限制单个用户对系统资源的最大或最小使用限度,并能够对系统的服务水平降低到预先规定的最小值进行检测和报警。3.1.2.4. 应用安全1、安全评估需由专业安全服务人员根据相关要求对应用系统进行安全评估,并根据需要进行适当加固和提供整改建议。2、身份鉴别(S)需要部署双因素身份认证系统对应用系统用户进行身份鉴别,身份鉴别信息应不易被冒用。3、访问控制(S)应对重要信息资源设置敏感标记,依据安全策略严格控制用户对有敏感标记重要信息资源的
29、操作。4、安全审计需要对应用系统进行用户行为、重要安全事件的审计,审计记录应包括事件的日期、时间、发起者信息、类型、描述和结果等。需设置安全、独立的日志存储系统,保护审计记录不被非法删除、修改或覆盖等。能够对记录数据进行统计、查询、分析,生成审计报表。5、应用通信安全(S)应采用密码技术,提供通信双方的会话初始化验证,对重要通信过程进行加解密运算和密钥管理,保证通信过程中数据的完整性,保证整个通信报文或会话过程的保密性,保证通信双方数据收发行为的抗抵赖性。 6、资源控制(A)需要对应用系统的运行情况进行实时监视,对系统的资源分配进行合理设制,并能够对系统的服务水平降低到预先规定的最小值进行检测
30、和报警。3.1.2.5. 数据安全及备份恢复1、数据传输完整性、保密性(S)应采用密码技术或其他有效措施,保证系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性、保密性。2、数据存储完整性、保密性(S)应采用专门的存储安全措施,保证系统管理数据、鉴别信息和重要业务数据在存储过程中的完整性、保密性。3、数据备份和恢复(A)应建立或完善数据备份和恢复机制,在提供本地备份和恢复功能的基础上,建立异地数据备份机制。应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。3.1.3. 管理类安全需求3.1.3.1. 安全管
31、理制度需要制定信息安全工作的总体方针和安全策略,对安全管理活动中各类管理内容建立安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程。要求形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。3.1.3.2. 安全管理机构需要建立或完善既满足相关要求又符合实际情况的安全管理机构。应加强与外部组织的沟通和合作,并聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。3.1.3.3. 人员安全管理需要制定既满足相关要求又符合实际情况的人员安全管理条例,并进行必要的人员安全意识和安全技能培训。3.1.3.4. 系统建设管理需要依照等级保护相关政策
32、和标准的要求进行系统定级、规划、设计、实施,并委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告作为验收依据。应选择具有国家相关技术资质和安全资质的测评单位至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改。3.1.3.5. 系统运维管理需要对系统运行进行维护和管理,涵盖环境管理、资产管理、 介质管理、 设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等各个方面,并在环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、密码管理、变更管理、备份与恢复管理等方面要求进行规范的
33、制度化管理。要求对安全事件根据等级分级响应,同时加强对应急预案的演练和审查。此外还需结合采用以下的技术手段实现网络和系统的安全运维: 监控管理和安全管理中心需采用适当的技术手段建立安全管理中心和网络管理中心,实现对构成IT系统的通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为和安全审计记录等的集中监测、管理,对发现的异常事件进行报警,形成记录并妥善保存。 网络准入控制和非法外联管理应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;应定期检查违反规定拨号上网或其他违反网络安全策略的行为 安全漏洞扫描应定期对网络系统和主机系统进行漏洞扫描,对发现的安全漏洞进行及时的修补。 系
34、统补丁升级应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。 恶意代码防范管理应能自动检测接入到内部网络的终端系统的防病毒软件安装情况和版本更新情况,确保终端防病毒软件版本是当前最新版本;在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查;对外来计算机或存储设备接入网络系统之前也应进行病毒检查。3.2. 额外/特殊保护需求分析风险就是威胁利用弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。瞄准计算机网络系统可能存在的安全弱点,各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和
35、网络应用服务等因素密切相关。下面我们就从某集团ERP系统中重要资产所存在的安全弱点以及可能面临的安全威胁入手,针对物理、网络、主机、应用及管理等各个层面可能存在的安全风险进行分析。3.2.1. 重要资产分析某集团ERP系统中的重要资产包括边界路由器、核心交换机等网络设备,WEB服务器、应用服务器、数据库服务器、业务及管理用户终端等主机设备及其上运行的操作系统、通用应用软件及为特定业务专门开发的应用系统等。除此之外,作为信息系统的管理者和维护者,IT管理人员也是信息系统的重要资产之一。3.2.2. 安全弱点分析1、网络设备自身存在的安全弱点某集团网络中部署的网络设备,如路由器、交换机等,存在固有
36、的或配置、使用上的安全弱点,一旦被暴露,可能导致网络设备自身的不安全。例如对网络设备登录用户的身份鉴别机制过于简单,对用户的登录和访问行为缺少控制和审计,对特权用户没有进行权限分离等。此外,有些网络设备还可能存在系统开发时留下的“后门”(back door),容易造成设备被他人非法操控。2、主机系统自身存在的安全弱点目前的操作系统或应用平台系统无论是Windows、UNIX、类UNIX操作系统以,都不可能是百分之百的无缺陷和无漏洞的,而且其开发厂商可能还留有后门(例如用于远程维护)。一旦系统中存在的漏洞和缺陷被暴露,就给入侵者进行非法操作提供了便利。另外,从实际应用上,系统的安全程度跟对其进行
37、安全配置及系统的应用方式也有很大关系,系统如果没有采用相应的访问控制和授权机制,那么掌握一般攻击技术的人都可能入侵得手。3、数据库系统自身存在的安全弱点许多关键业务系统的数据都依赖关系型数据库进行存储和管理,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全风险集中在: 系统认证:口令强度不够,过期帐号,登录攻击等; 系统授权:帐号权限,登录时间超时等; 系统完整性:特洛伊木马,审核配置,补丁和修正程序等; 数据丢失,操作日志被删除; 没有采用数据冗余备份; 数据库系统自身的BUG; 没有打最新的数据库系统的补丁;选择了不安全的默认配置;4、应用系统自身存在的安全弱点各种通
38、用的应用平台程序,如数据库管理系统、Web Server程序,FTP服务程序,E-mail服务程序,浏览器,MS Office办公软件等,以及为业务系统专门开发的应用程序,其自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。常见的应用系统安全弱点包括: 源程序中存在的BUG,被利用发起攻击,造成业务应用被中断; 源程序中出于程序调试的方便,人为设置许多“后门”,一旦被黑客利用后,将直接通过“后门”控制系统; 应用系统自身很弱的身份认证,使得黑客获得访问应用系统的权限,从而访问到业务系统的敏感信息,造成信息外泄; 应用系统的用户名和口令以明文方式被传递,容易被截获,从而发起对
39、系统的非授权访问; 各种可执行文件成为病毒的直接攻击对象。应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。5、人员安全弱点再安全的设备和系统离不开人的管理,再好的安全策略最终要靠人来实现,因此IT运维和管理人员是整个信息系统安全中极为重要的一环。IT管理人员的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患。3.2.3. 安全威胁分析威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,主要有两个特点:一、威胁总是针对具体的信息资产,比如信息网络中的机密及敏感信息、信息网络中的网络资源
40、、信息网络中的关键应用等;二、威胁总是在利用信息资产的弱点时,才会造成风险,针对某集团信息网络,威胁可利用的弱点包括在本章上一小节里描述的各类问题。威胁从形式上划分为威胁来源和威胁手段。信息安全所面临的威胁不仅来自人为的破坏(人为威胁),也来自自然环境(非人为威胁)。各种人员、机构出于各种目的攻击行为,系统自身的安全缺陷(脆弱性),以及自然灾难,都可能构成对某集团信息系统的威胁。根据某集团信息系统实际情况,从威胁发生的概率比较,来自内、外网络的人为安全威胁是目前最值得关注的问题。最常见的人为威胁即网络攻击,各种攻击手段都是通过寻找目标系统的弱点,以便达到破坏、欺骗、窃取数据等目的,给组织造成经
41、济上和名誉上不可估量的损失。针对某集团信息系统,可能遭遇的网络攻击类型包括: 被动攻击被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如口令),可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。被动攻击主要是了解所传送的信息,一般不易被发现,典型攻击行为有:a) 监听网络中传输的通信数据;b) 明文或弱加密传递的数据、报文进行截取或篡改;c) 对加密不善的帐号和口令进行截取,从而在网络内获得更大的访问权限;d) 对网络中存在漏洞的操作系统进行探测;e) 通信流量分析。 主动攻击主动攻击为攻击者主动对信息系统实施攻击,包括试图避开、阻断或攻破保护
42、机制,引入恶意代码,偷窃或篡改信息。主动进攻可能造成数据资料的泄露和修改,或导致拒绝服务以及数据的破坏。典型的主动攻击行为有:a) 篡改:通信数据在传输过程中被改变、删除或替代;b) 重放:攻击者对截获的某次合法数据进行拷贝,以后出于非法目的而重新发送;c) 欺骗:进行IP地址欺骗,在设备之间发布假路由,虚假ARP数据包;d) 盗取合法建立的会话;e) 假冒:某个实体假装成另外一个实体,以便使一线的防卫者相信它是一个合法的实体,取得合法用户的权利和特权,这是侵入安全防线最为常用的方法;f) 越权访问;g) 利用缓冲区溢出(BOF)漏洞执行代码;h) 插入和利用恶意代码(如:特洛依木马、后门、病
43、毒等);i) 利用协议、软件、系统故障和后门;j) 拒绝服务攻击:使对通信设施或目标系统的使用和管理被无条件地拒绝。绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。 内部人员攻击由内部办公、管理人员具有对系统的合法访问权限,如果管理不善,很容易造成威胁。内部合法人员对系统的威胁,除了具有上述人为安全威胁的攻击方式,还具有其特有的攻击手段。内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。典型
44、的内部威胁有:a) 恶意修改数据和安全机制配置参数,扩大自己的访问权限;b) 恶意建立未授权的网络连接,如:拨号连接;c) 对设备、传输线路的恶意物理损坏和破坏;d) 出于粗心、好奇或技术尝试进行无意的数据损坏和破坏,这种行为往往对组织造成严重的后果,而且防范难度比较高;e) 滥用网络资源从事与工作无关的活动,大量占用有限的业务带宽。 分发攻击分发攻击是指在信息系统硬件和软件的开发、生产、运输、安装和维护阶段,攻击者恶意修改设计、配置等行为。在某集团信息系统中,尤其要注意使用合法的软件产品,从正式厂家选购硬件产品,由有资质的集成商和服务提供商提供外包服务。否则,设备、软件的采购和交付,系统建设
45、等将成为安全威胁的主要来源之一。典型的分发攻击方式有:a) 利用制造商在设备上设置隐藏的攻击途径,比如后门,便于进行软硬件配置修改;b) 在产品分发、安装时修改软硬件配置,设置隐藏的攻击途径;c) 在设备和系统维护升级过程中修改软硬件配置,设置隐藏的攻击途径。直接通过因特网进行远程升级维护具有较大的安全风险。 物理邻近攻击未授权者可物理上接近网络、系统或设备,目的是修改、收集或拒绝访问信息。主要攻击方式有非法进行串口连接、非法实施密码恢复默认、非法关机等。3.2.4. 安全风险分析3.2.4.1. 物理层面的安全风险物理安全是整个网络系统安全的前提,物理安全存在风险主要有: 火灾、水灾、地震等
46、环境事故,造成整个系统毁灭; 电源故障,造成设备断电以至操作系统引导失败或数据库信息丢失; 设备被盗、被毁等,造成系统毁灭或敏感业务数据泄漏; 不正常的机房温湿度环境,造成服务器、路由器、交换机等局域网核心设备出现故障,甚至烧毁等。3.2.4.2. 网络层面的安全风险网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。网络层面临的安全风险大致可体现在如下几个方面:1、互联网边界安全风险某集团网络及下属各分支机构局域网均进行了互联网接入,方便各分支机构业务人员远程访问总部ERP系统,同时也为本地局域网用户访问外界资源和外部网络用户访问集团信息发布网站提供了统一的互联网访问接口。面对网络上不断出现的各种安全威胁,某集团网络非常容易遭到来自外部网络的各种复杂的恶意攻击,例如: 非法访问:外部用户试图访问集团总部网络所开放的互联网服务之外的其他内部信息和服务; 非法入侵:外部用户通过身份假冒、应用层攻击等方式,穿透访问控制机制,进入网络内部进行非法操作,甚至对核心的业务系统造成威胁; 病毒和蠕虫攻击:外部网络的病毒和
