分級保護項目方案設計

1、分級保護工程方案設計第三章 平安保密風險分析 3.1 脆弱性分析 脆弱性是指資 產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點它包括物理環(huán)境、組織 機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各 個方面。脆弱性是資產(chǎn)本身存在的如果沒有被相應的威脅利 用單純的脆弱性本身不會對資產(chǎn)造成損害而且如果系統(tǒng)足 夠強健嚴重的威脅也不會導致平安事件發(fā)生并造成損失。威 脅總是要利用資產(chǎn)的脆弱性才可能造成危害。 資產(chǎn)的脆弱 性具有隱蔽性有些脆弱性只有在一定條件和環(huán)境下才能顯 現(xiàn)這是脆弱性識別中最為困難的局部。不正確的、起不到任 何作用的或沒有正確實施的平安措施本身就可能是一個弱 點脆弱性是風險產(chǎn)生的內(nèi)在原因各種平安薄弱

2、環(huán)節(jié)、平安弱 點自身并不會造成什么危害它們只有在被各種平安威脅利 用后才可能造成相應的危害。針對XXX機關涉密信息系統(tǒng)我們主要從技術和管理兩個方面分析其存在的平安脆弱性。 技術脆弱性 1. 物理平安脆弱性 環(huán)境平安物理環(huán)境的平安 是整個基地涉密信息系統(tǒng)平安得以保障的前提。如果物理安 全得不到保障那么網(wǎng)絡設備、設施、介質和信息就容易受到 自然災害、環(huán)境事故以及人為物理操作失誤或錯誤等各種物 理手段的破壞造成有價值信息的喪失。目前各級XXX企業(yè)的中心機房大局部采用獨立的工作空間并且能夠到達國家標 準GB501741993?電子電腦機房設計標準?、GB28871989?電腦場地技術條件?、GB936

3、11998?計算站場地平安要求?和BMBI7 2006?涉及國家秘密的信息系統(tǒng)分級保護技術要求? 等要求。 設備平安涉密信息系統(tǒng)的中心機房均按照保密標 準要求采取了平安防范措施防止非授權人員進入防止設備 發(fā)生被盜、被毀的平安事故。介質平安目前各級 XXX企業(yè)的軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲 第 2 頁 共 129 頁 信息的最高密級標明密級并按相應的密級管理。 2. 運行平安脆弱性分析 備份與恢復備份與恢復是保證涉密信 息系統(tǒng)運行平安的一個不可無視問題當遇到如火災、水災等 不可抗因素不會造成關鍵業(yè)務數(shù)據(jù)無法恢復的慘痛局面。同 時將備份關鍵業(yè)務數(shù)據(jù)的存儲介質放置在其他建筑屋內(nèi)防 止在

4、異常事故發(fā)生時被同時破壞。網(wǎng)絡防病毒各級 XXX企業(yè)涉密網(wǎng)絡中的操作系統(tǒng)主要是 windows 系列操作系統(tǒng)。雖 有平安措施卻在不同程度上存在平安漏洞。同時病毒也是對 涉密網(wǎng)絡平安的主要威脅有些病毒可感染擴展名為 corn 、 exe 和 ovI 的可執(zhí)行文件當運行這些被感染的可執(zhí)行文件時 就可以激活病毒有些病毒在系統(tǒng)底層活動使系統(tǒng)變得非常 不穩(wěn)定容易造成系統(tǒng)崩潰。還有蠕蟲病毒可通過網(wǎng)絡進行傳 播感染的電腦容易導致系統(tǒng)的癱瘓。近年來木馬的泛濫為電 腦的平安帶來了嚴重的平安問題。木馬通常是病毒攜帶的一 個附屬程序在被感染的電腦上翻開一個后門使被感染的電 腦喪失局部控制權另外還有黑客程序等可以利用

5、系統(tǒng)的漏洞和缺陷進行破壞都會為涉密網(wǎng)絡帶來平安風險。各級 XXX 企業(yè)涉密網(wǎng)絡中采用網(wǎng)絡版殺毒軟件對涉密系統(tǒng)進行病毒 防護并制定合理的病毒升級策略和病毒應急響應方案以保 證涉密網(wǎng)絡的平安。應急響應與運行管理各級 XXX企業(yè)采用管理與技術結合的手段設置定期備份機制在系統(tǒng)正常運 行時就通過各種備份措施為災害和故障做準備健全平安管 理機構建立健全的平安事件管理機構明確人員的分工和責 任建立處理流程圖制定平安事件響應與處理方案及事件處 理過程示意圖以便迅速恢復被平安事件破壞的系統(tǒng)。3. 信息平安保密脆弱性 自身脆弱性任何應用軟件都存在不同程 度的平安問題主要來自于兩個方面一方面是軟件設計上的 平安漏洞

6、另一方面是平安配置的漏洞。針對軟件設計上的安 全漏洞和平安配置的漏洞如果沒有進行適宜的配置加固和 平安修補就會存在比擬多的平安風險。由于目前防病毒軟件 大多集成了局部漏洞掃描功能并且涉密網(wǎng)絡中的涉密終端 與互聯(lián)網(wǎng)物理隔離因此可以通過對涉密網(wǎng)絡進行漏洞掃描 定期下載升級補丁并制定相應的平安策略來防護。第 3 頁共 129 頁 電磁泄漏發(fā)射防護信息設備在工作中產(chǎn)生的時變 電流引起電磁泄漏發(fā)射將設備處理的信息以電磁波的形式 泄露在自由空間和傳導線路上通過接收這種電磁波并采取 相應的信號處理技術可以竊取到信息。這種竊收方式危險小 不易被發(fā)現(xiàn)和覺察隨著我國信息化水平的不斷提高我國涉 密部門大量使用電腦、

7、網(wǎng)絡終端等辦公自動化設備涉密信息 的平安保密受到嚴重威脅這種威脅不像病毒攻擊和網(wǎng)絡攻 擊那樣可以看到或者有跡可尋它的隱蔽性強危害極大。 安 全審計平安審計是對信息系統(tǒng)的各種事件及行為實行監(jiān)測、 信息采集、 分析并針對特定事件及行為采取相應動作 XXXXXX 企業(yè)涉密信息系統(tǒng)沒有有效的審計應用系統(tǒng)出現(xiàn)了問題之 后無法追查也不便于發(fā)現(xiàn)問題造成了損失也很難對原因進 行定性。 邊界平安防護電腦連接互聯(lián)網(wǎng)存在著木馬、病毒、 黑客入侵的威脅并且我國平安保密技術手段尚不完備、對操 作系統(tǒng)和網(wǎng)絡設備的關鍵技術尚未掌握缺乏以抵擋高技術 竊密因此涉密網(wǎng)絡必須與互聯(lián)網(wǎng)物理隔離而僅將涉密系統(tǒng) 置于獨立的環(huán)境內(nèi)進行物理

8、隔離并不能做到與互聯(lián)網(wǎng)完全 隔離內(nèi)部用戶還可以通過 ADSL Modem無線網(wǎng)卡等方式連 接國際互聯(lián)網(wǎng)因此應該通過技術手段對違規(guī)外聯(lián)行為進行 阻斷另外涉密網(wǎng)絡中的內(nèi)部介入問題也為涉密網(wǎng)絡帶來安 全威脅。 數(shù)據(jù)庫平安數(shù)據(jù)庫系統(tǒng)作為電腦信息系統(tǒng)的重要 組成局部數(shù)據(jù)庫文件作為信息的聚集體擔負著存儲和管理 數(shù)據(jù)信息的任務其平安性將是信息平安的重中之重。數(shù)據(jù)庫 的平安威脅主要分為非人為破壞和人為破壞對于非人為破 壞主要依靠定期備份或者熱備份等并在異地備份。人為破壞 可以從三個方面來防護一、物理平安保證數(shù)據(jù)庫效勞器、數(shù) 據(jù)庫所在環(huán)境、相關網(wǎng)絡的物理平安性二、訪問控制在帳號 管理、密碼策略、權限控制、用戶認

9、證等方面加強限制三、 數(shù)據(jù)備份定期的進行數(shù)據(jù)備份是減少數(shù)據(jù)損失的有效手段 能讓數(shù)據(jù)庫遭到破壞后恢復數(shù)據(jù)資源。 操作系統(tǒng)平安操作 系統(tǒng)的平安性在電腦信息系統(tǒng)的整體平安性中具有至關重 要的作用沒有操作系統(tǒng)提供的平安性信息系統(tǒng)和其他應用 系統(tǒng)就好比“建筑在沙灘上的城堡。我國使用的操作系統(tǒng) 95以上是 Windows微軟的 Windows操作系統(tǒng)源碼不公開無法 對其進行分析不能排除其中存在著人為“陷阱?，F(xiàn)已發(fā)現(xiàn) 存在著將用戶信息發(fā)送到微軟網(wǎng)站的“后門。在沒有源碼 的情形下很難加強操作系統(tǒng)內(nèi)核的平安性從保障我國網(wǎng)絡 及信息平安的角度考慮必須增強它的平安性因 第 4 頁 共 129 頁 此采用設計平安隔離

10、層中間件的方式增加平安 模塊以解燃眉之急。 3.1.2 管理脆弱性 任何信息系統(tǒng)都離 不開人的管理再好的平安策略最終也要靠人來實現(xiàn)因此管 理是整個網(wǎng)絡平安中最為重要的一環(huán)所以有必要認真地分 析管理所存在的平安風險并采取相應的平安措施。 物理環(huán) 境與設施管理脆弱性包括周邊環(huán)境、涉密場所和保障設施 等。 人員管理脆弱性包括內(nèi)部人員管理、外部相關人員管 理等。 設備與介質管理脆弱性采購與選型、操作與使用、 保管與保存、維修與報廢等。 運行與開發(fā)管理脆弱性運行 使用、應用系統(tǒng)開發(fā)、異常事件等。 信息保密管理脆弱性 信息分類與控制、用戶管理與授權、信息系統(tǒng)互聯(lián)。責權不 明、管理混亂、 平安管理制度不健全

11、及缺乏可操作性等。 當 網(wǎng)絡出現(xiàn)攻擊行為、網(wǎng)絡受到其它一些平安威脅如內(nèi)部人員 違規(guī)操作以及網(wǎng)絡中出現(xiàn)未加保護而傳播工作信息和敏感 信息時系統(tǒng)無法進行實時的檢測、監(jiān)控、報告與預警。同時 當事故發(fā)生后也無法提供追蹤攻擊行為的線索及破案依據(jù) 即缺乏對網(wǎng)絡的可控性與可審查性。這就要求我們必須對網(wǎng) 絡內(nèi)出現(xiàn)的各種訪問活動進行多層次記錄及時發(fā)現(xiàn)非法入 侵行為和泄密行為。 要建設涉密信息系統(tǒng)建立有效的信息 平安機制必須深刻理解網(wǎng)絡和網(wǎng)絡平安并能提供直接的安 全解決方案因此最可行的做法是平安管理制度和平安解決 方案相結合并輔之以相應的平安管理工具。 3.2 威脅分析 3.2.1 威脅源分析 作為一個較封閉的內(nèi)

12、網(wǎng)攻擊事件的威脅 源以內(nèi)部人員為主內(nèi)部人員攻擊可以分為惡意和無惡意攻 擊攻擊目標通常為機房、網(wǎng)絡設備、主機、介質、數(shù)據(jù)和應 用系統(tǒng)等惡意攻擊指 XXX企業(yè)內(nèi)部人員對信息的竊取無惡意 攻擊指由于粗心、無知以及其它非惡意的原因而造成的破 壞。對于XXX機關涉密信息系統(tǒng)來講內(nèi)部人員攻擊的行為 可能有以下幾種形式 1 被敵對勢力、 腐敗分子收買竊取業(yè)務 資料 第 5 頁 共129頁 2 惡意修改設備的配置參數(shù)比方修 改各級XXX企業(yè)網(wǎng)絡中部署的防火墻訪問控制策略擴大自己 的訪問權限 3 惡意進行設備、 傳輸線路的物理損壞和破壞 4 出于粗心、好奇或技術嘗試進行無意的配置這種行為往往對系統(tǒng)造成嚴重的后果

13、而且防范難度比擬高。 3.2.2 攻擊類 型分析 1. 被動攻擊被動攻擊包括分析通信流監(jiān)視未被保 護的通訊解密弱加密通訊獲取鑒別信息比方口令。被動攻擊 可能造成在沒有得到用戶同意或告知用戶的情況下將信息 或文件泄露給攻擊者。對于各級XXX企業(yè)網(wǎng)絡來講被動攻擊的行為可能有以下幾種形式 1 有意識的對涉密信息應用系 統(tǒng)進行竊取和窺探嘗試 2 監(jiān)聽涉密信息網(wǎng)絡中傳輸?shù)臄?shù)據(jù) 包 3 對涉密信息系統(tǒng)中明文傳遞的數(shù)據(jù)、報文進行截取或 篡改 4 對加密不善的帳號和口令進行截取從而在網(wǎng)絡內(nèi)獲 得更大的訪問權限 5 對網(wǎng)絡中存在漏洞的操作系統(tǒng)進行探 測 6 對信息進行未授權的訪問 2. 主動攻擊主動攻擊包括 試

14、圖阻斷或攻破保護機制、 引入惡意代碼、 偷竊或篡改信息。 主動進攻可能造成數(shù)據(jù)資料的泄露和散播或導致拒絕效勞 以及數(shù)據(jù)的篡改。對于 XXX機關涉密信息系統(tǒng)來講主動攻擊 的行為可能有以下幾種形式 1 字典攻擊黑客利用一些自動 執(zhí)行的程序猜想用戶名和密碼獲取對內(nèi)部應用系統(tǒng)的訪問 權限 2 劫持攻擊在涉密信息系統(tǒng)中雙方進行會話時被第三 方黑客入侵黑客黑掉其中一方并冒充他繼續(xù)與另一方進行 會話獲得其關注的信息 3 假冒某個實體假裝成另外一個實 體以便使一線的防衛(wèi)者相信它是一個合法的實體取得合法 用戶的權利和特權這是侵入平安防線最為常用的方法 4 截 取企圖截取并修改在本院涉密信息系統(tǒng)絡內(nèi)傳輸?shù)臄?shù)據(jù)以

15、及省院、地市院、區(qū)縣院之間傳輸?shù)臄?shù)據(jù) 5 欺騙進行 IP 地 址欺騙在設備之間發(fā)布假路由虛假 AI 沖數(shù)據(jù)包 第 6 頁 共 129 頁 6 重放攻擊者對截獲的某次合法數(shù)據(jù)進行拷貝以后 出于非法目的而重新發(fā)送 7 篡改通信數(shù)據(jù)在傳輸過程中被 改變、刪除或替代 8 惡意代碼惡意代碼可以通過涉密信息 網(wǎng)絡的外部接口和軟盤上的文件、軟件侵入系統(tǒng)對涉密信息 系統(tǒng)造成損害 9 業(yè)務拒絕對通信設備的使用和管理被無條 件地拒絕。 絕對防止主動攻擊是十分困難的因此抗擊主動 攻擊的主要途徑是檢測以及對此攻擊造成的破壞進行恢復。 3.3 風險的識別與確定 3.3.1 風險識別 物理環(huán)境平安風險 網(wǎng)絡的物理平安風險

16、主要指網(wǎng)絡周邊環(huán)境和物理特性引起 的網(wǎng)絡設備和線路的不可用而造成網(wǎng)絡系統(tǒng)的不可用如 1 涉密信息的非授權訪問異常的審計事件 2 設備被盜、被毀 壞 3 線路老化或被有意或者無意的破壞 4 因電子輻射造 成信息泄露 5 因選址不當造成終端處理內(nèi)容被窺視 6 打 印機位置選擇不當或設置不當造成輸出內(nèi)容被盜竊 7 設備 意外故障、 停電 8 地震、 火災、 水災等自然災害。 因此 XXX 企業(yè)涉密信息系統(tǒng)在考慮網(wǎng)絡平安風險時首先要考慮物理 平安風險。例如設備被盜、被毀壞設備老化、意外故障電腦 系統(tǒng)通過無線電輻射泄露秘密信息等。 介質平安風險因溫 度、濕度或其它原因各種數(shù)據(jù)存儲媒體不能正常使用因介質

17、喪失或被盜造成的泄密介質被非授權使用等。 運行平安風 險涉密信息系統(tǒng)中運行著大量的網(wǎng)絡設備、效勞器、終端這 些系統(tǒng)的正常運行都依靠電力系統(tǒng)的良好運轉因電力供應 突然中斷或由于 UPS和油機未能及時開始供電造成效勞器、 應用系統(tǒng)不能及時關機保存數(shù)據(jù)造成的數(shù)據(jù)喪失。因 第 7 頁 共 129 頁 為備份措施不到位造成備份不完整或恢復不及 時等問題。 信息平安保密風險涉密信息系統(tǒng)中采用的操作 系統(tǒng)主要為 Windows 2000 serverWindows XP 、數(shù)據(jù)庫都不 可防止地存在著各種平安漏洞并且漏洞被發(fā)現(xiàn)與漏洞被利 用之間的時間差越來越大這就使得操作系統(tǒng)本身的平安性 給整個涉密信息系統(tǒng)帶

18、來巨大的平安風險。另一方面病毒已 成為系統(tǒng)平安的主要威脅之一特別是隨著網(wǎng)絡的開展和病 毒網(wǎng)絡化趨勢病毒不僅對網(wǎng)絡中單機構成威脅同時也對網(wǎng) 絡系統(tǒng)造成越來越嚴重的破壞所有這些都造成了系統(tǒng)平安 的脆弱性。 涉密信息系統(tǒng)中網(wǎng)絡應用系統(tǒng)中主要存在以下 平安風險 1. 用戶提交的業(yè)務信息被監(jiān)聽或修改用戶對成 功提交的業(yè)務事后抵賴 2. 由于網(wǎng)絡一些應用系統(tǒng)中存在 著一些平安漏洞包括數(shù)據(jù)庫系統(tǒng)與 IIS 系統(tǒng)中大量漏洞被越 來越多地發(fā)現(xiàn)因此存在非法用戶利用這些漏洞對專網(wǎng)中的 這些效勞器進行攻擊等風險。 效勞系統(tǒng)登錄和主機登錄使 用的是靜態(tài)口令口令在一定時間內(nèi)是不變的且在數(shù)據(jù)庫中 有存儲記錄可重復使用。這樣

19、非法用戶通過網(wǎng)絡竊聽非法數(shù) 據(jù)庫訪問窮舉攻擊重放攻擊等手段很容易得到這種靜態(tài)口令然后利用口令可對資源非法訪問和越權操作。另外在 XXX 企業(yè)涉密信息系統(tǒng)中運行多種應用系統(tǒng)各應用系統(tǒng)中幾乎 都需要對用戶權限的劃分與分配這就不可防止地存在著假 冒越權操作等身份認證漏洞。此外網(wǎng)絡邊界缺少防護或訪問 控制措施不力、以及沒有在重要信息點采取必要的電磁泄漏 發(fā)射防護措施都是導致信息泄露的因素。 平安保密管理風 險再平安的網(wǎng)絡設備離不開人的管理再好的平安策略最終 要靠人來實現(xiàn)因此管理是整個網(wǎng)絡平安中最為重要的一環(huán) 尤其是對于一個比擬龐大和復雜的網(wǎng)絡更是如此。XXX 企業(yè)在平安保密管理方面可能會存在以下風險當

20、網(wǎng)絡出現(xiàn)攻擊 行為或網(wǎng)絡受到其它一些平安威脅時如內(nèi)部人員的違規(guī)操 作等無法進行實時的檢測、監(jiān)控、報告與預警。雖然制定了 相關管理制度但是缺少支撐管理的技術手段使事故發(fā)生后 無法提供攻擊行為的追蹤線索及破案依據(jù)。因此最可行的做 法是管理制度和管理解決方案的結合。 第 8 頁 共 129 頁 3.3.2 風險分析結果描述 風險只能預防、防止、降低、轉 移和接受但不可能完全被消滅。風險分析就是分析風險產(chǎn)生 / 存在的客觀原因描述風險的變化情況并給出可行的風險降 低方案。 XXX 企業(yè)涉密信息系統(tǒng)的分級保護方案應該建立在 風險分析的根底之上根據(jù)“脆弱性分析和“威脅分析中 所得到的系統(tǒng)脆弱性和威脅的分析

21、結果詳細分析它們被利 用的可能性的大小并且要評估如果攻擊得手所帶來的后果 然后再根據(jù)涉密信息系統(tǒng)所能承受的風險來確定系統(tǒng)的保 護重點。本方案所采用的風險分析方法為“平安威脅因素分 析法圍繞信息的“機密性、“完整性和“可用性三 個最根本的平安需求針對前述每一類脆弱性的潛在威脅和 后果進行風險分析并以表格的形式表達對于可能性、危害程 度、風險級別采用五級來表示等級最高為五級如下表 層面 脆弱和威脅 可能性 危害程度 風險級別 物理層 自然災害 與環(huán)境事故、電力中斷 重要設備被盜 內(nèi)外網(wǎng)信號干擾 電 磁輻射 惡劣環(huán)境對傳輸線路產(chǎn)生電磁干擾 采用紙制介質 存儲重要的機密信息 線路竊聽 存儲重要的機密信

22、息移動 介質隨意放置 網(wǎng)絡層 網(wǎng)絡拓撲結構不合理造成旁路可以 出現(xiàn)平安漏洞 不同用戶群、不同權限的訪問者混在一起不 能實現(xiàn)有效的別離 網(wǎng)絡阻塞用戶不能實現(xiàn)正常的訪問 非 法用戶對效勞器的平安威脅 共享網(wǎng)絡資源帶來的平安威脅 系統(tǒng)重要管理信息的泄漏 傳播黑客程序 進行信息監(jiān)聽 ARP攻擊威脅利用TCP協(xié)議缺陷實施拒絕效勞攻擊 系統(tǒng)層 操作系統(tǒng)存在著平安漏洞 系統(tǒng)配置不合理 操作系統(tǒng)訪問 控制脆弱性 網(wǎng)絡病毒攻擊 合法用戶主動泄密 第 9 頁 共 129 頁 非法外連 存儲信息喪失 應用層 應用軟件自身脆弱 性 應用系統(tǒng)訪問控制風險 應用軟件平安策略、代碼設計不 當 數(shù)據(jù)庫自身的平安問題 抵賴風險

23、 缺乏審計 操作系統(tǒng) 平安帶來的風險 數(shù)據(jù)庫平安風險 管理層 松散的管理面臨泄密的風險 平安保密管理機構不健全 人員缺乏平安意識 人員沒有足夠的平安技術的培訓 平安規(guī)那么制度不完善 表 3-1 XXX 企業(yè)涉密信息系統(tǒng)風險分析表 第 10 頁 共 129 頁 第四章 平安保密需求分析 4.1 技術防護需求分析 4.1.1 機房與重要部位 XXX 企業(yè)內(nèi)網(wǎng)和外網(wǎng)已實現(xiàn)物理隔離置于 不同的機房內(nèi)。內(nèi)網(wǎng)機房、機要室等重要部位將安裝電子監(jiān) 控設備并配備了報警裝置及電子門控系統(tǒng)對進出人員進行 了嚴格控制并在其他要害部門安裝了防盜門根本滿足保密 標準要求。4.1.2 網(wǎng)絡平安 物理隔離由于 XXX企業(yè)的特殊 性XXX企業(yè)已組建了自己的辦公內(nèi)網(wǎng)與其他公共網(wǎng)絡采取了 物理隔離滿足保密標準要求。 網(wǎng)絡設備的標識與安放 XXX 企業(yè)現(xiàn)階段雖然在管理制度上對專網(wǎng)電腦進行管理要求但 沒有對設備的密級和主要用途進行標識所以需要進行改進 并按照設備涉密屬性進行分類安放以滿足保密標準要求。 違規(guī)外聯(lián)監(jiān)控XXX企業(yè)專網(wǎng)建成后網(wǎng)絡雖然采用了物理隔離 但缺少對涉密電腦的違規(guī)外聯(lián)行為的監(jiān)控和阻斷例如內(nèi)部 職工私自撥號上網(wǎng)通過無線網(wǎng)絡上網(wǎng)等。所以為了防止這種 行為