安全是一个汉语词语,拼音是ān quán,通常指人没有危险。人类的整体与生存环境资源的和谐相处,互相不伤害,不存在危险的隐患,是免除了使人感觉难受的损害风险的状态。安全是在人类生产过程中,将系统的运行状态对人类的生命、财产、环境可能产生的损害, 以下是为大家整理的关于网络安全总结200字5篇 , 供大家参考选择。
网络安全总结200字5篇
【篇1】网络安全总结200字
2018年XXXX网络安全竞赛总结会议主持词
(2018年10月24日)
大家好!2018年XXXX网络安全培训和竞赛活动在全体裁判员、参赛选手及工作人员的共同努力下,即将落下帷幕。今天下午的总结会议,将对本次竞赛活动情况进行总结汇报,对获奖团队和个人进行表彰,并请与会领导、专家进行点评和指导。
首先,请允许我介绍参加本次总结会议的领导和嘉宾,他们是:
参加总结会议的还有各二级单位信息化和网络安全工作分管领导、信息化部门负责人。让我们用热烈的掌声欢迎他们的到来。
本次总结会议共有六项议程,下面进行第一项议程:由我向各位领导简要报告竞赛和培训情况。
本次竞赛和培训活动由XXX流程与信息化管理部主办,XXX和XXXX组织协办,XXXXX具体承办。来自XXXX40家主要二级单位的77名网络安全工作人员参加了培训和技术比赛,40余位分管领导和信息化负责人参加了比赛观摩。
本次活动总体策划分为两部分,首先是为期两天半的赛前培训;第二是为期一天的个人赛和团队赛。在培训班的开班仪式上,明确了培训纪律和学习要求,成立培训班临时班委会;在课程设置上,理论与实践相结合,并鉴于时间紧迫,在晚上增加了培训课程。整个培训过程,各位学员严守纪律,按时参培;各位临时班委尽职尽责,圆满完成了服务、组织、监督职责。通过两天半的技术培训,学员们表示虽然时间紧张但是收获颇丰,做好了竞赛准备。
在竞赛过程中,各参赛人员和参赛团队经过理论和实操的综合比拼,都发挥了较好的竞技水平,展现了网络安全工作人员的良好精神风貌和综合素质。根据最终综合成绩,经竞赛裁判员共同评定出个人赛一等奖1名,二等奖8名,三等奖15名;团队赛一等奖1个,二等奖2个,三等奖3个。稍后将对获奖人员和团队颁奖。
网络空间的竞争,归根结底是人才竞争,高效健全的网络安全人才培养机制是落实中央企业网络安全责任的有力保障。本次XXXX集合了全集团内的网络安全骨干进行竞技比拼,彰显了XXXX对人才培养、选拔的重视和踏踏实实做好网络安全工作的坚定决心。在此也希望各位参赛选手,无论是否获得荣誉,都要端正态度,正视差距,深入主动对标,真正做到以赛代练,提升网络安全工作水平。
本次活动的总体情况,简要汇报到此。
下面进行第二项议程:首先请XXXX致辞。
(领导致辞)……
感谢XXX的精彩致辞,本次活动的顺利举办得益于XXXXX的高度重视和大力支持,得益于XXXXX相关部门工作人员的悉心筹划和辛勤付出,在此一并表示感谢,并期待在未来能够有更多、更深入的培训、交流机会。
下面有请XXX做点评和指导讲话。
(领导点评和指导)……
感谢XXX的精彩点评和工作指导。近几年,公安部、国资委逐步加大了对中央企业的网络安全检查工作,公安部领导也曾多次带队来公司总部检查网络安全工作开展情况,并给予了高度评价,提出了宝贵意见。刚才XXXX又从《网络安全法》、信息系统等级保护制度等国策出发,为我们阐述了国家层面对网络安全工作的总体要求,并对XXXX下一步的网络安全工作进行了指导,在接下来的工作中,XXXX总部及各单位将继续践行国家要求,落实工作指导意见,做好集团网络安全保障工作。
下面进行第三项议程:颁发个人赛相关奖项。
首先,请XXXX颁发个人赛三等奖,请获奖人员有序上台领奖,并合影留念。
(颁奖并合影)……
接下来,请XXXX颁发个人赛二等奖,请获奖人员有序上台领奖,并合影留念。
(颁奖并合影)……
接下来,请XXXX颁发个人赛一等奖,请获奖人员有序上台领奖,并合影留念。
(颁奖并合影)……
让我们以热烈的掌声,再次祝贺各位获奖人员!
下面进行第四项议程:颁发团队赛相关奖项。
首先,请XXXXX三等奖,请获奖团队有序上台领奖,并合影留念。
(颁奖并合影)……
接下来,请XXXX颁发团队赛二等奖,请获奖团队有序上台领奖,并合影留念。
(颁奖并合影)……
接下来,请XXXX颁发团队赛一等奖,请获奖团队有序上台领奖,并合影留念。
(颁奖并合影)……
让我们以热烈的掌声,再次祝贺各个获奖团队!
下面进行第五项议程:请XXXX总结讲话。
(总结讲话)……
感谢XXX的总结讲话。XX的讲话了明确表达了XXX对信息化和网络安全工作的高度重视,总结了信息化和网络安全工作的现有成果,同时,也深入研判了XXXX网络安全面临的严峻形势,分析了差距,明确了工作重点,有肯定、有警示、有要求、更有期望。并着重提出了三点意见和三点具体要求,在接下来的工作中,我们要在XXXX信息化总体发展规划的指引下,认真对标,完成网络安全“三年行动计划”,有序落实各项计划预算和建设任务,加强网络安全意识宣贯,持续优化资源配置和人才培养机制,进一步明确网络安全基线,控住网络安全底线,通过网络安全建设工作的落实推进,为公司整体信息化健康发展保驾护航。
下面进行第六项议程,也是最后一个重要议程:有请XXXXX为我们做网络安全专题讲座。先请各位领导在第一排就坐。
为了更好的学习贯彻国家网络安全战略规划和工作要求,了解网络安全最新态势,今天,我们非常有幸邀请到了知名专家,XXXX,来给我们做专题讲座。
借此机会,特邀请XXX向各位领导及参赛学员做主题为《XXXXXXX》的专题讲座。下面欢迎XXX给我们授课!
(专题讲座)……
感谢XXX精彩授课!
XXX的授课深入浅出,详细介绍了世界各国网络空间军事化现状,国家护网2018演习总体情况,并着重探讨了大型专网安全主动防御的体系策略。通过XXX的讲解,我们切实感受到了在网络空间发起的军事化攻击和军事化防御的激烈战况,也深刻体会到“没有网络安全就没有国安安全”的深刻意义。另外,XXXX还结合XXXX作为信息网络的使用者和运营者,应当如何做好等保工作、如何对自身的基础设施做好安全防护等方面做出了指导,给我们下一步的工作提供了指引!最后,让我们以热烈的掌声,再次感谢XXXX的精彩讲解。
各位领导、各位同事、各位参赛学员,至此,2018年XXXX网络安全竞赛活动及总结会议圆满结束,请各位参赛学员将本次学习成果带回去,融入到日常工作中,也请各单位信息化负责人按照领导要求抓紧落实各项工作,继续深入做好信息化和网络安全工作。最后,再次感谢各位领导、专家莅临参会,并祝返程顺利!
谢谢大家!散会!
【篇2】网络安全总结200字
XX公司
信息安全建设规划建议书
昆明睿哲科技有限公司
2013年11月
第1章 综述 3
1.1 概述 3
1.2 现状分析 4
1.3 设计目标 8
第2章 信息安全总体规划 10
2.1设计目标、依据及原则 10
2.1.1设计目标 10
2.1.2设计依据 10
2.1.3设计原则 11
2.2总体信息安全规划方案 12
2.2.1信息安全管理体系 12
2.2.2分阶段建设策略 18
第3章 分阶段安全建设规划 20
3.1 规划原则 20
3.2 安全基础框架设计 21
第4章 初期规划 23
4.1 建设目标 23
4.2 建立信息安全管理体系 23
4.3 建立安全管理组织 25
第5章 中期规划 28
5.1 建设目标 28
5.2 建立基础保障体系 28
5.3 建立监控审计体系 28
5.4 建立应急响应体系 30
5.5 建立灾难备份与恢复体系 34
第6章 三期规划 37
6.1 建设目标 37
6.2 建立服务保障体系 37
6.3 保持和改进ISMS 38
第7章 总结 39
7.1 综述 39
7.2 效果预期 39
7.3 后期 39
第1章综述1.1概述信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。
企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。
与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑, 应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。
本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。
1.2现状分析目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部威胁能有一个基本的防护能力,但是如今的安全威胁和攻击手段日新月异,层出不穷,各种高危零日漏洞不断被攻击者挖掘出来,攻击的目标越来越有针对性,目前的企业所面临的全球安全威胁呈现如下几个新的趋势:
●恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击?
●高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业:如何阻止不同的攻击手段?不仅仅是防病毒!需要服务器,终端,网络,数据等各方面多层次的防护,增加威胁防范能力
●复杂混乱的应用与外接设备环境:如何确保应用和设备的准入控制?
●繁琐枯燥的系统维护和安全管理:如何更有效利用有限的信息人力资源?
●工具带来的新问题:如何保证安全策略的强制要求,统一管理和实施效果?
●终端接入不受控:如何确保终端满足制定的终端安全策略-终端准入控制
●网页式攻击(Web-based Attack) 已成为最主流的攻击手法:如何确保访问可靠网站?
●内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失
从目前大多数企业的信息安全建设来看,针对以上的目前主流的新形势的信息威胁,企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御,纵深防御的能力,目前大多数企业在安全防护上还有如下的欠缺:
1.2.1 目前信息安全存在的问题
在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估,发现主要有如下的问题:
网络设备安全:
访问控制问题 ?
网络设备安全漏洞 ?
设备配置安全
系统安全: ?
补丁问题 ?
运行服务问题 ?
安全策略问题 ?
弱口令问题 ?
默认共享问题 ?
防病毒情况
应用安全: ?
exchange邮件系统的版本问题 ?
apache、iis、weblogic的安全配置问题 ?
serv-U的版本问题 ?
radmin远程管理的安全问题
数据安全: ?
数据库补丁问题 ?
Oracle数据库默认帐号问题 ?
Oracle数据库弱口令问题 ?
Oracle数据库默认配置问题 ?
Mssql数据库默认有威胁的存储过程问题
网络区域安全: ?
市局政务外网安全措施完善 ?
市局与分局的访问控制问题 ?
分局政务外网安全措施加强
安全管理: ?
没有建立安全管理组织 ?
没有制定总体的安全策略 ?
没有落实各个部门信息安全的责任人 ?
缺少安全管理文档
通过安全评估中的安全修复过程,我们对上述大部分的的安全问题进行了修补,但是依然存在残余的风险,主要是数据安全(已安排升级计划)、网络区域安全和安全管理方面的问题。 所以当前信息安全存在的问题,主要表现在如下的几个方面:
1. 在政务外网中,市局建立了基本的安全体系,但是还需要进一步的完善,例 如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施,存在被黑客入侵的安全隐患;
2. 在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散的 可能。另外,如果黑客入侵了分局的政务内网后,可能进一步的向市局进行渗透攻击。
3. 原有的信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息 安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度,信息安全管理没有落到实处。
4. 通过安全评估,建立了基本的安全管理制度;但是这些安全管理制度还没有 落实到日常工作中,并且可能在实际的操作中根据实际的情况做一些修改。
5. 没有成立安全应急小组,没有相应的应急事件预案;缺少安全事件应急处理 流程与规范,也没有对安全事件的处理过程做记录归档。
6. 没有建立数据备份与恢复制度;应该对备份的数据做恢复演练,保证备份数 据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
7. 目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。 万一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。
通过信息安全风险评估,对发现的关于操作系统、数据库系统、网络设备、应用系统等等方面的漏洞,并且由于当时信息安全管理中并没有规范的安全管理制度,也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。为了达到对安全风险的长期有效的管理,我们建议建设ISMS(信息安全管理体系),对安全风险通过PDCA模型,输出为可管理的安全风险。
1.2.2 常见的信息系统面临的风险和威胁大致如下:
根据目前的安全威胁,企业的信息安全面临的问题是
信息安全仅作为后台数据的保障
前端业务应用和后端数据库信息安全等级不高
信息安全只是建立在简单的“封、堵”上,不利提升工作效率和协同办公
因此,对于企业来说,在新的IT环境下,需要就如下的安全考虑,根据合理的规划进行分期建设。
业务模式正在发生改变,生产、研发等系统的实施,信息安全应全面面向应用,信息安全须前置,以适应业务的安全要求。
用户终端的多样化也应保持足够的安全。
数据集中化管控和网络融合后所需的安全要求。
数据中心业务分区模块化管理及灾备应急机制
1.3设计目标为企业设计完善的信息安全管理体系,增强企业信息系统抵御安全风险的能力,为企业生产及销售业务的健康发展提供强大的保障。
1.通过对企业各IT系统的风险分析,了解企业信息系统的安全现状和存在的各种安全风险,明确未来的安全建设需求。
2.完成安全管理体系规划设计,涵盖安全管理的各个方面,设计合理的建设流程,满足中长期的安全管理要求。提供如下安全管理项目:
人员管理
规划制订和建设流程规划
安全运维管理及资产管理
3.完成安全技术体系规划设计,设计有前瞻性的安全解决方案,在进行成本/效益分析的基础上,选用主流的安全技术和产品,建设主动、全面、高效的技术防御体系,将企业面临的各种风险控制在可以接受的范围之内。针对整体安全规划计划,在接下来的几年内分期建设,最终满足如下安全防护需求:
网络边界安全防护
安全管理策略
关键业务服务器的系统加固,入侵防护,关键文件监控和系统防护
网络和服务器安全防护及安全基线检查与漏洞检测
增强终端综合安全防护
强化内部人员上网行为管理
建设机密数据防泄漏和数据加密,磁盘加密
网络信任和加密技术防护
建设,强化容灾和备份管理
4.加强企业内部的IT控制与审计,确保IT与法律、法规,上级监管单位的要求相符合,比如:
需要满足国家信息系统安全系统的安全检查要求
需要满足国家《信息系统安全等级保护基本要求》
第2章信息安全总体规划2.1设计目标、依据及原则2.1.1设计目标
电子政务网是深圳市电子政务业务的承载和体现,是电子政务的重要应用,存储着的重要的数据资源,流动着经济建设和社会生活中重要的数据信息。所以必须从硬件设施、软件系统、安全管理几方面,加强安全保障体系的建设,为电子政务应用提供安全可靠的运行环境。
2.1.2设计依据
《国家信息化领导小组关于我国电子政务建设指导意见》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《电子政务总体框架》
《电子政务信息安全保障技术框架》
《电子政务信息安全等级保护实施指南》
《信息安全等级保护管理办法》
《信息技术安全技术信息技术安全性评估准则》
《计算机信息系统安全保护等级划分准则》
《电子计算机场地通用规范》
《计算机场地安全要求》
《计算机信息系统安全保密测评指南》
同时在评定其信息资产的价值等级时,也将参考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等国际标准。
电子政务网将依据信息价值的保密性影响、信息价值完整性影响、信息价值的可用性影响等多个方面,来对信息资产的价值等级进行划分为五级,第一级为最低级,第五级为最高级。
2.1.3设计原则
电子政务网安全系统在整体设计过程中应遵循如下的原则:
需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行。
分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。
最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。
标准化与一致性原则:电子政务网是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个电子政务网安全地互联互通、信息共享。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。
整体性和统一性原则:一个大型网络系统的各个环节,包括设备、软件、数据、人员等,在网络安全中的地位和影响作用,只有从系统整体的角度去统一看待、分析,才可能实现有效、可行的安全保护。
技术与管理相结合原则:电子政务网是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据网络的实际需要,先建立基本的的安全保障体系,保证基本的、必须的安全性。随着今后网络应用和复杂程度的变化,调整或增强安全防护力度,保证整个网络最根本的安全需求。
动态发展原则:要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
遵守有关法规:在安全支撑平台设计和设备选型过程中,涉及到密码产品的销售应符合国家有关法律法规的规定,涉及到其他安全产品的销售应具有主管部门的销售许可证。同时安全产品应具有良好升级及售后维护。
2.2总体信息安全规划方案总体目标
通过建立建设ISMS(信息安全管理体系),达到对安全风险的长期有效的管理,并且对于存在的安全风险/安全需求通过适用于ISMS的PDCA(Plan-Do-Check-Act)模型,输出为可管理的安全风险。
解决问题
当前的信息安全经过了一次完整的信息安全评估,并且进行了相应的安全修复后,信息安全风险已经得到了比较有效的管理,但是还是存在部分遗留的风险,以及其它的一些可预见的风险。在这里将会对这些安全问题进行处理。
2.2.1信息安全管理体系
为了达到对信息安全进行管理,我们可以通过建立ISMS(信息安全管理体系),然后通过向ISMS输入的信息安全要求和期望经过必需的活动和过程产生满足需求和期望信息安全的输出(例如可管理的信息安全)。
策划建立ISMS:根据组织的整体方针和目标建立安全方针目标目的以及与管理风险和改进信息安全相关的过程和程序以获得结果。
实施和运行ISMS:实施和运行安全方针控制过程和程序。
检查监视和评审ISMS:适用时根据安全方针目标和惯有经验评估和测量过程业绩向管理层报告结果进行评审。
保持和改进ISMS:根据管理评审结果采取纠正和预防措施以持续改进ISMS。
针对当前的信息安全问题,我们可以视为是对信息安全的需求和期望,所以我们可以把这些信息安全需求,提交到ISMS(信息安全管理体系)的过程中,进行处理。对于将来出现的信息安全问题,也可以提交到ISMS(信息安全管理体系)的过程中,进行处理,并最终输出可被管理的信息安全。
所以对于信息安全的总体规划是:首先建立ISMS(信息安全管理体系),然后通过ISMS过程的PDCA模式处理当前的信息安全问题。对于当前存在的信息安全问题,我们可以通过下面的四个阶段来解决:
策划建立ISMS:建立信息安全管理系统,包括建立安全管理组织、制定总体安全策略。并且根据当前的信息安全问题,提出安全解决方案。
实施和运行ISMS:根据当前的信息安全问题的安全解决方案进行实施,妥善的处理这些信息安全问题。
检查监视和评审ISMS:通过专业的安全评估来检查信息安全问题是否得到了有效的管理。
保持和改进ISMS:根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
2.2.1.1策划建立ISMS建立信息安全管理系统,包括建立安全管理组织、制定总体信息安全策略、落实各个部门信息安全负责人、信息安全培训等等。并且根据当前的信息安全问题,提出安全解决方案。
2.2.1.1.1建立信息安全管理系统信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。在信息安全保障体系中,技术是工具,组织是运作,管理是指导,它们紧密配合,共同实现信息安全保障的目标。信息安全保障体系的技术、组织和管理等方面都存在着相关风险,需要采用信息安全风险管理的方法加以控制。
由于当前市的安全管理组织并没有真正运作起来,所以没有在一个高度上来制定信息的安全策略,因此没有落实各个部门信息安全的责任人,没有对各个部门信息安全人员的职责进行定义;也没有制定安全管理文档;导致安全管理没有落到实处。另外需要对网络用户进行安全教育和培训,使他们具备基本的网络安全知识。
2.2.1.1.2根据安全问题提出解决方案针对以下两个问题,通过建立信息安全管理系统来解决,见《2.2.1.1.1建立信息安全管理系统》
1.原有的信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度,信息安全管理没有落到实处。
2.通过安全评估,建立了基本的安全管理制度;但是这些安全管理制度还没有落实到日常工作中,并且可能在实际的操作中根据实际的情况做一些修改。
基础保障体系
针对以下两个问题,通过建立基础保障体系来解决,同时根据这些基础的安全设备建立信息监控与审计体系。
1.在政务外网中,市局建立了基本的安全体系,但是还需要进一步的完善,例如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施,存在被黑客入侵的安全隐患;
2.在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散的可能。另外,如果黑客入侵了分局的政务内网后,可能进一步的向市局进行渗透攻击。
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前电子政务基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
监控审计体系
监控审计体系设计的实现,能完成对电子政务网所有网上行为的监控。通过此体系监控到的数据能对电子政务网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
应急响应体系
针对下面的这个问题,通过建立应急响应体系来解决。
没有成立安全应急小组,没有相应的应急事件预案;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
电子政务网络承载了大量的政务网络应用,因此网络系统的应急响应功能变得更加关键,需要建立一个应急响应体系。它的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个电子政务系统或整个网络的可用性,完整性、数据的保密性。因此需要特别注重响应、处理安全事件,因为安全事件可能带来重大破坏。那些引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个政务网络的安全风险。
灾难备份与恢复体系
针对下面的这个个问题,通过建立灾难备份与恢复体系来解决。
1.没有建立数据备份与恢复制度;应该对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2.目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。万一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。
为了保证深圳市政务网的正常运行,抵抗包括地震、火灾、水灾等自然灾难, 以及战争、恐怖袭击、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,因此应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
2.2.1.2实施和运行ISMS在上面策划建立ISMS的过程中,我们提出了根据当前信息安全问题处理的解决方案,包括:
建立基础保障体系
建立信息监控与审计体系
建立应急服务体系
建立灾难备份与恢复体系
上述的四个安全体系将在这个阶段进行实施。
2.2.1.3检查监视和评审ISMS通过专业的安全评估来检查信息安全问题是否得到了有效的管理。同时建立服务与保障体系来保障系统的正常运行。
服务保障是指保护和防御信息及信息系统,确保其可用性、完整性、保密性、可控性、不可否认性等特性。服务保障体系则包括:风险评估、软硬件升级、设备安全巡检、设备日常维护等等。
2.2.1.4保持和改进ISMS根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
总结从其它组织或组织自身的安全经验得到的教训。
确保改进活动达到了预期的目的。
2.2.2分阶段建设策略
安全风险长期存在,并不断变化,这导致安全保障建设没办法一步到位。所以必须对安全保障建设分阶段实施。工程实施的渐进性、逐步性,根据先后缓急,初步将安全实施计划分为以下四个阶段:
第一阶段:策划建立ISMS
建立信息安全管理系统
建立安全管理组织并落实各个部门信息安全责任人
根据当前信息安全的问题制定解决方案
第二阶段:实施和运行ISMS
根据当前信息安全的问题解决方案进行安全实施,包括:
建立基础保障体系
建立监控审计体系
建立应急响应体系
建立灾难备份与恢复体系
第三阶段:检查监视和评审ISMS
通过建立服务保障体系中的信息风险安全评估、设备巡检等评审当前信息安全问题的处理情况
第四阶段:保持和改进ISMS
根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
第3章分阶段安全建设规划传统的安全设计理念基本上仍处于忙于封堵现有系统漏洞的阶段,有人形象的称之为“修修补补”或“围、追、堵、截”,基于这样的设计理念建成的安全体系只能是局部的、被动的安全,而无法提供整体的、主动的安全;同时也缺乏有效的管理和监控手段,使得信息安全状况令人担忧,表现在病毒、蠕虫层出不穷、系统漏洞众多,另外经过很多国际权威机构的调查,内部发生的安全事件占全部安全事件的70%甚至更多,比如内部的误用和嗅探、攻击等滥用行为,都因为缺乏有效的监控和管理而不能及时发现,也给网络的安全带来巨大挑战;安全是一个整体,任何一部分的薄弱都会使得整体的安全防御能力大打折扣,不但使得组织重金建设的边界安全防御体系失去作用,同时还会严重影响组织业务的正常运营,从经济、法律、声誉等多方面对企业造成负面影响。
新的安全形势下需要新的思维和新的解决方案。安全是一个整体的、动态的过程,需要全面深入的考虑,那种头痛医头、脚痛医脚的方法已无法满足用户日益复杂的安全需求,要解决这些问题,归根结底取决于信息安全保障体系的建设。
“企业面对的是一个以信息为核心的世界”信息是企业的核心,规划开始前,这一点必须要有清晰认识,我们可以从三个层面来看:
基础架构层面:
包括终端、服务器、存储、网络在内的基础设施,乃至数据中心和容灾中心,这些都是信息数据的产生、存储、传输、处理的载体,围绕信息处理和流转所搭建的基础设施,同时也是IT系统和管理人员为保证信息和数据的安全、可用的最基础和重要的管理对象;
信息为核心层面:
信息和数据是整个企业业务运行中最为核心的部分,所有的业务运转都围绕着信息而进行,而信息的保障、安全存储流转都是信息保护所关注的重点;
安全治理层面:
为了保障信息的安全,不能仅仅停留在单独建设的分散的安全上,最终安全的目标是要实现安全的治理,安全的目标则是为企业定制打造所需的技术运维、技术管理体系,帮助企业提升整体安全管理水平。
3.1规划原则IT管理的基础、核心和重点内容,应该有相应的信息安全建设和保障内容与之配套,因此以信息为核心的IT管理视角,也同样是当前进行信息安全规划的出发点。为此,我们规划企业的整体安全的时候,应遵循如下原则:
整体规划,应对变化
安全建设规划要有相对完整和全面的框架结构,能应对当前安全威胁的变化趋势。
立足现有,提升能力
在现有IT建设基础上,完善安全基础架构建设,通过优化和调整挖掘潜力,提升整体安全保障能力。
着眼信息,重点防范
以安全治理为工作目标,着重提升安全整体水平,对目前企业和主管部门关注的,以及法律法规要求的内容进行重点关注。
3.2安全基础框架设计明确了本次规划的目标,我们就可以进一步确立一个针对企业信息安全建设的工作框架
附图1.安全工作总体框架
上述总体框架中,通过基础架构安全、信息安全、安全治理三个层次的工作内容,来达成我们的总体规划目标;通过技术、管理、运维三大支撑体系为支柱,实现企业在安全体系建设、法规遵从与落实、安全风险管控和安全高效管理四个信息安全主体目标的不断治理和改善。
第4章初期规划4.1建设目标建立信息安全管理体系
建立安全管理组织并落实各个部门信息安全责任人
根据当前信息安全的问题制定解决方案
4.2建立信息安全管理体系信息安全管理系统的规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。下面将介绍应该如何建立信息安全管理体系的步骤,如下图所示:
?图1 建立信息安全管理体系的步骤
1)定义信息安全策略
??? 信息安全策略是组织信息安全的最高方针,需要根据内各个部门的实际情况,分别制订不同的信息安全策略。例如,开发部、数据部、系统都分别有一个信息安全策略,适用于其部门内所有员工。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于内所有员工的脑海并落实到实际工作中。
在安全管理文档的制定中,我们对如下的文档进行了定义:
《安全管理文档--业务系统软件安全技术标准》
《安全管理文档--网络信息发布制度》
《安全管理文档--通用网络服务安全标准》
《安全管理文档--网络连接策略和标准》
《安全管理文档--邮件系统安全管理标准》
《安全管理文档--用户单位用户帐号和口令管理规程》
《安全管理文档--信息管理人员的安全手册》
《安全管理文档--用户单位信息系统安全策略》
《安全管理文档--机房管理制度》
《安全管理文档--系统管理员手册》
《安全管理文档--安全事件处理流程》
《安全管理文档--病毒防治管理规定》
《安全管理文档--网络管理员手册》
《安全管理文档--备份和恢复管理制度》
(2)定义ISMS(信息安全管理系统)的范围
ISMS(信息安全管理系统)的范围确定需要重点进行信息安全管理的领域,需要根据自己的实际情况,在整个范围内、或者在个别部门或领域构架ISMS。在本阶段,应将划分成不同的信息安全控制领域,以易于对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于信息和系统的性质、使用信息的目的、所采用的系统环境等因素,在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
??? 管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明记录了内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向内的员工声明面对信息安全风险的态度,在更大程度上则是为了向外界表明的态度和作为,以表明已经全面、系统地审视了其信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
4.3建立安全管理组织当前信息中心成立的安全领导小组,负责制定安全策略、落实信息安全责任,并下发到下面的几个部门。但是,这个组织结构并没有实施起来,实际上是各个部门的信息安全策略和安全管理或者没有实施,或者不全面;并且相关的信息安全责任也没有明确的定义。可以说信息安全体系并没有建立起来。
因此,我们建议设立一个首席安全官来代替原来的安全领导小组,负责对信息安全制定总体安全策略、监督和协调各项安全措施在的执行情况、设立各个部门的信息安全责任人,落实信息安全责任。
以下是各个责任人的职责定义:
1.CSO:首席安全官 负责对信息安全制定总体安全策略,监督和协调各项安全措施在的执行情况,并确定安全工作的标准和主动性,包括开发部、数据部、系统部等部门。
2.系统运维管理员:系统运维部门管理人员 对整个系统运维部门进行管理。
3.系统管理员:系统权限管理员 对所有系统进行管理、建设、维护的相关人员,需要有广泛的知识面,丰富的理论和实际操作经验。
4.网络管理员:网络设备管理员 所有的网络设备、安全设备的维护人员,需要有丰富的理论和实际操作经验。
5.数据库管理员:网络设备管理员 所有的应用数据库的管理和维护人员,需要有丰富的理论和实际操作经验。
6.文档管理员:资料管理员 记录各类设备、系统操作,维护、整理相关文档,以及日志备份等相关信息。
7.机房管理员:设备物理安全保障员 记录机房进出相关记录,包括系统管理员、系统用户以及文档管理员的相关记录;对计算机硬件进行检修、维护;对物理环境的维护等。
8.开发管理员:软件安全保障员 监督软件开发工作的安全性措施实施情况,制定软件开发的安全标准。
安全应急小组:安全事件紧急响应小组 应急响应中心组长由系统运维部主管担任,组员包括:系统管理员,网络管理员,数据库管理员。
第5章中期规划5.1建设目标根据当前信息安全的问题解决方案进行安全实施,包括:
建立基础保障体系
建立监控审计体系
建立应急响应体系
建立灾难备份与恢复体系
5.2建立基础保障体系通过拓扑图描述安全现状。
5.3建立监控审计体系建设电子政务的审计监控体系就是要建设完整的责任认定体系和健全授权管理体系,从技术上加强了电子政务安全管理,从而保证了电子政务的安全性。
一、审计监控体系为电子政务建立了一个完整的责任认定体系
1)在信任体系中对合法操作行为的责任认定
责任认定体系设计的定位就是所有的操作者都是不可信任的,这就决定了责任认定在这里所处的地位:起到完善信任体系中痕迹保留以及事后追查的作用,是和身份认证、授权管理并列的保证网络内网安全的三大重要措施。在信任体系中的责任认定,传统的手段是通过查阅应用程序的操作日志、通过调用数据库的操作日志、通过审计其他设备的操作日志来反映合法操作行为和非法行为的责任认定问题。这部分的责任认定体系是整个完整的责任认定体系中的一部分。它不能解决所有的责任认定问题。相反地,由于各产品缺乏有效的协调性,记录的信息无法互通,所以在很大的程度上,这部分分散的、凌乱的信息在工作中很难被有效使用,一直是整个信息安全建设中的一个软肋。
2)对网络中非法操作行为的责任认定
对于非法操作的责任认定,现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强,目的明确,又有响应实时、警告及时等特点,所以在电子政务建设中越来越被重视。它的作用与审计机关在国家经济体系中的审计行为有着非常类似的共性--同样是对非法的操作行为进行审计。所不同的是,审计机关是对非法的经济行为进行审计,而信息安全强审计是对电子政务网络中的非法操作行为进行审计。他的作用已经决定了它是责任认定体系中最重要的一个组成部分,对整个责任认定体系起着决定性的作用。
3)以强审计为核心建立完整的责任认定体系
要解决一个完整的责任认定体系,我们不仅要考虑到对合法操作行为的责任认定,更要考虑到对非法操作行为的责任认定。同时我们又要兼顾网络中各个设备审计信息的全面收集,以及对审计数据的集中化管理以及分析。以强审计为核心的责任认定体系,我们通过对网络组成要素的审计,通过对应用系统的审计,通过对安全产品的审计,通过对主机、服务器、网络、数据库等网络中所有资源的审计。构建了一个完整的责任认定体系。同时,由于强审计系统强大的审计分析功能,可以及时有效的反映责任认定数据。确保了责任认定体系强有力、完整等特性。
二、健全授权管理体系
在授权管理中,对网络资源的授权管理是非常重要的问题。不解决这个问题,就无法建立起完整的授权管理体系。审计监控体系从根本上对全网进行授权监督管理。主要有以下内容:
1)网络连接的授权管理
必须保证所有连接入网络的计算机都是合法的;
任何非法接入的企图都是能够得到有效控制和管理的;
网络内各主机之间的访问和连接都是得到授权并可以控制;
所有能够连入外网计算机的访问外网的权限都是有限的、受控的和经过授权的。
2)主机的授权管理
对网络内的用户使用光驱(含刻录光驱)、软驱、USB口授以权限并统一输入输出通道,从而保证数据进出的安全性。
对主机中重要文件资源的使用实行严格的授权管理。
对于有统一出口的网络或者物理隔离于公网的网络通过拨号上网(包括ADSL拨号、MODEM拨号、GPRS拨号、手机拨号等)的方式存在诸多的安全隐患,必须严格的授权与限制。
3)数据库的授权管理
对操作者向数据库中字符、段的访问进行授权。
4)服务器的授权管理
对重要文件的进行授权管理;
对终端访问服务器的进行授权管理;
5)对网络打印机的权限分配、控制与管理
对网络打印机进行权限分配;
对网络打印机进行访问控制;
通过审计监控体系完成对网络资源的授权管理既是构建完善的授权管理基础设施的重要组成部分,同时也是建立健全责任认定体系的必要前提。
5.4建立应急响应体系应急响应体系的建立主要有三个方面,成立安全应急小组,制定安全应急预案,安全应急过程文档归档。
安全应急小组成立安全应急小组,应急响应中心组长由系统运维部主管担任,组员包括:系统管理员,网络管理员,数据库管理员。
word/media/image1_1.png
应急响应小组的职能:对网络安全问题能积极预防、及时发现、快速响应、确保及时恢复。
应急响应小组成员职责:
(1)组长:协调应急响应小组其它成员的工作,协调与其它部门的接口关系,组织应急计划的评审、组织各类安全问题的交流等。
(2)系统管理员:操作系统和应用系统的备份与恢复,系统的安全配置,系统层安全事件的处理。
(3)网络管理员:维护网络正常运行,网络的安全配置和维护,网络层安全事件的处理。
(4)数据库管理员:数据库的备份与恢复,维护应用系统的数据,出现安全事故时配合系统管理员和网络管理员处理安全事件以及恢复应用系统的数据。
安全应急预案制定安全应急预案的过程:
(1) 预先定义深圳市的各种安全事件
通过调研,预测可能会遇到的安全事件,将其一一列出定义,并根据其相关性进行分类,对每一类又按照其发作范围和危害程度进行分级。最后制作安全事件一览表。
1)常见的安全事件列表:
系统崩溃;
用户在奇怪的时间和地点登录;
猜口令的企图;
非授权用户使用有特权的服务;
系统时钟改变;
系统不知原因的重新启动;
活动较少的账号突然活动明显增加;
用大量变化的号码对用户进行呼叫;
非编程人员利用编译工具与开发工具;
新的或陌生的文件;
账号变化,查明是否有入侵者;
文件长度或数据内容发生变化;
企图写系统,尤其是特权用户的行为;
数据被修改或删除;
拒绝服务;
系统性能严重下降,有奇怪的进程运行并占用大量的CPU处理时间;
网络性能严重下降,用户反映无法正常使用服务;
发现有人在不断强行登录系统;
系统中出现奇怪的新用户帐号;
管理员收到来自其它系统管理员的警告信,指出系统可能被威胁等。
2)常见的安全事件类型:
发现后门软件、间谍软件;
计算机病毒;
程序化入侵;
发现入侵者;
破坏和删除文件;
拒绝服务攻击等。
3)划分安全事件的级别。
考察安全事件发作的范围:
是否是多点事件;
在一个点上有多少台计算机被影响;
检查涉密信息是否被攻击;
事件的入侵点在什么地方,确定攻击来自的方向;
安全事件发生的时间和持续时间;
处理该安全事件需要什么资源等。
考察安全事件的危害性:
是否造成了损失,确定损失的大小;
判断信息失密发生与否及其程度;
判断事件是否构成犯罪;
分析安全事件采用的手法;
分析安全事件制造者类型;
分析事件的潜在危险。
(2) 为安全事件制订应急计划(预案)
对分类分级的安全事件制订应急计划,并予以评审。
对不可预测的安全事件,也要制订通用的应急计划。
应急计划包括:
a.安全事件序号、名称、类别、级别
b.安全事件处理目标
事件处理目标是消除当前安全事件造成的威胁,避免和减少损失,健全和改善信息系统的安全措施。
c.需要保护的信息
将的信息划分密级,一般分为五级:公开、内部、秘密、机密、绝密。确定对哪类密级的信息采取哪类保护措施。
d.设计安全事件处理过程
针对本安全事件,设计现场处理流程。
e.设计安全事件处理的验证方法
设计验证安全事件是否排除的方法。
(3)安全事件处理流程
本次风险评估项目中已经定义了安全事件处理流程,所以该流程参见《安全管理文档—安全事件处理流程》
安全应急过程文档安全事件处理完毕,系统恢复正常运行后,要对整个事故的相关文档进行归档,总结经验教训,并形成一个《安全事件调查研究报告》。报告中应详细描述整个事件的经过,记录紧急响应事件的起因、处理过程、建议改进的安全方案等。应急响应中心人员必须进行事后调查,评估事件损失,调查事件原委,追究事件责任,编写《安全事件调查研究报告》。
应急响应中心人员对照事件处理过程,发现应急计划的不足,完善应急计划。
对事件原因进行彻底分析,找到确切根源,制订消除安全事件根源的措施,保证同一安全事件不再发生。
5.5建立灾难备份与恢复体系政务内网线路冗余通过拓扑图来表达建立冗余线路的基本做法。
服务器系统备份与恢复备份:
系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求,双方协商备份策略,诸如备份范围、备份时间、备份频率、保存期限、备份拷贝数目等。
备份系统管理员根据双方协商形成的备份需求书面文档,在备份系统上建立相应的备份策略,并更新《备份信息汇总表》。
在备份系统保护之下的文件系统在做调整(诸如目录名称更换)或者增加、减小备份内容时,应该向备份系统管理员提交备份申请表,具体描述调整的内容。
备份系统管理员根据备份申请表的要求,在备份系统上调整备份策略,并更新《备份信息汇总表》。完成备份策略调整工作后,核对备份申请表,并归档备案。
对于某些先前不在备份策略保护内的数据,且需要临时保护的,系统管理员可向备份系统管理员提交备份申请表,具体描述备份需求。
备份系统管理员根据备份申请表的要求,建立临时备份策略对数据进行备份。完成备份工作后,跟数据库/系统管理员核对备份申请表,并归档备案。
对于每日全备份的数据,在磁带中保留期限为两个星期,过期后磁带被覆盖。
对于每周全备份,每个星期六或者星期日做一次全备份,备份数据保留时间为三个月,下一个星期一、星期二将每周备份的所有磁带迁移到带库外,异地存放,确保机房发生灾难后,数据丢失不超过一个星期。
对于每月全备份,备份数据保留时间为半年,做两份磁带拷贝,其中一份磁带留在本地,另外一份磁带异地存放。
在备份策略发生更变时,应该相应的更新《备份信息汇总表》文档,保持该文档的内容与备份系统内的策略内容同步。
恢复:
相关人员在需要恢复文件系统类型的数据时,应当向备份系统管理员提交恢复申请表,描述需要恢复数据所在的主机、数据所在路径、数据大概备份时间、要求恢复的目的地的目录路径等。
备份系统管理员根据恢复申请表的要求,查询备份系统进行恢复。
完成恢复工作后,通知相关人员及核对恢复申请表,并归档备案。
数据库系统备份与恢复备份:
系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求,双方协商备份策略,诸如备份范围、备份时间、备份频度、保存期限、备份拷贝数目等。
备份系统管理员根据双方协商形成的备份需求书面文档,在备份系统上建立相应的备份策略,并更新《备份信息汇总表》。
在备份系统保护之下的文件系统在做调整(诸如目录名称更换)或者增加、减小备份内容时,应该向备份系统管理员提交备份申请表,具体描述调整的内容。
备份系统管理员根据备份申请表的要求,在备份系统上调整备份策略,并更新《备份信息汇总表》。完成备份策略调整工作后,核对备份申请表,并归档备案。
对于每日全备份的数据,在磁带中保留期限为两个星期,过期后磁带被覆盖。
对于每周全备份,每个星期六或者星期日做一次全备份,备份数据保留时间为三个月,下一个星期一、星期二将每周备份的所有磁带迁移到带库外,异地存放,确保机房发生灾难后,数据丢失不超过一个星期。
对于每月全备份,备份数据保留时间为半年,做两份磁带拷贝,其中一份磁带留在本地,另外一份磁带异地存放。
在备份策略发生更变时,应该相应的更新《备份信息汇总表》文档,保持该文档的内容与备份系统内的策略内容同步。
恢复:
相关人员在需要恢复数据库类型的数据时,应当向备份系统管理员提交恢复申请表,描述需要恢复数据所在的主机、数据库服务器名称及库名、数据大概备份时间、要求恢复的目的地等。
数据库管理员要提供数据库恢复的环境、空间,授权,满足数据库恢复的权限。
备份系统管理员根据恢复申请表的要求,查询备份系统进行恢复。
完成恢复工作后,通知相关人员及核对恢复申请表,并归档备案。
第6章三期规划6.1建设目标通过建立服务保障体系中的信息风险安全评估、设备巡检等评审当前信息安全问题的处理情况
根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
6.2建立服务保障体系实施信息安全风险评估信息安全是一个动态的系统工程,随着新技术的产生,新的安全漏洞的发现,原本是安全的系统也会变得不安全。所以深圳市必须建立专业的安全风险评估体系。安全风险评估体系包括周期性的安全评估和当引入新的业务系统或者网络或者业务系统发生重大改变时的风险评估。
风险评估需要周期性地进行,并通过实施风险安全控制使的整体安全保持在一个较高的水平。全面的风险评估每年进行一次。风险评估的执行者可以是信息安全部门或者是在信息安全部门的组织下由安全服务提供商执行。当引入新的业务系统或者网络或者业务系统发生重大改变时,需要立刻进行局部或者整体的风险评估。
风险评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。
风险评估内容包括:
物理层风险评估:机房、设备、办公、线路、环境;
系统层风险评估:系统漏洞、配置缺陷;
网络层风险评估:架构安全、设备漏洞、设备配置缺陷;
应用层风险评估:软件漏洞、安全功能缺陷;
管理层风险评估:组织、策略、技术管理。
风险评估的过程包含以下4个步骤:
1. 识别资产并进行确定资产价值赋值:在确定的评估范围内识别要保护的资产,并对资产进行分类,根据资产的安全属性进行资产价值评估。参见《信息资产安全价值评估列表》。
2. 评估对资产的威胁:评估在当前安全环境中资产能够受到的威胁来源和威胁的可能性。参见《信息系统安全威胁评估报告》
3. 评估资产威胁相关的弱点:评估威胁可能利用的资产的弱点及其严重程度。参见《信息系统安全脆弱性评估报告》
4. 评估资产安全风险:根据威胁和弱点评估的结果,评估资产受到的风险,计算资产的安全风险。参见《信息安全风险综合评估分析报告》
根据风险评估结果,制定对风险实施安全控制的计划。
实施设备安全巡检/日常维护在本次的安全评估过程中,我们制定了如下的安全巡检/日常维护制度:
《机房管理制度》
《系统管理员手册》
《网络管理员手册》
通过上述的这些管理制定来定期的对机房的物理设备、操作系统、网络设备等等进行日常维护,确保这些设备的正常运行。
6.3保持和改进ISMS信息安全是一个动态的系统工程,安全管理制度也有一个不断完善的过程。经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
第7章总结7.1综述网络安全工程是一个系统工程,是一个牵一发而动全身的工程,也是一个一把手工程,只有领导的高度重视,才能做好这个项目。
同时,网络安全工程也是一个人人参与的工程,需要所有涉及网络资源使用的客户都进行安全控制,才能确保网络安全无漏洞、无死角。
7.2效果预期1.内网服务器的安全可控程度;
2.内网客户端的行为控制;
3.内网各应用系统的安全防护级别提升;
4.园区网络整体安全级别提升。
7.3后期根据PDCA的循环,做好后期的查缺补漏。
附:
本文档的书写引用了:
GB/T 20008-2005 信息安全技术 操作系统安全评估准则
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
GB/T 19716-2005 信息安全技术 信息安全管理实用规则
【篇3】网络安全总结200字
XX公司
信息安全建设规划建议书
昆明睿哲科技有限公司
2013年11月
第1章综述1.1概述信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。
企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。
与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑, 应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。
本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。
1.2现状分析目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部威胁能有一个基本的防护能力,但是如今的安全威胁和攻击手段日新月异,层出不穷,各种高危零日漏洞不断被攻击者挖掘出来,攻击的目标越来越有针对性,目前的企业所面临的全球安全威胁呈现如下几个新的趋势:
恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击
高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业:如何阻止不同的攻击手段不仅仅是防病毒!需要服务器,终端,网络,数据等各方面多层次的防护,增加威胁防范能力
复杂混乱的应用与外接设备环境:如何确保应用和设备的准入控制
繁琐枯燥的系统维护和安全管理:如何更有效利用有限的信息人力资源
工具带来的新问题:如何保证安全策略的强制要求,统一管理和实施效果
终端接入不受控:如何确保终端满足制定的终端安全策略-终端准入控制
网页式攻击(Web-based Attack) 已成为最主流的攻击手法:如何确保访问可靠网站
内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失
从目前大多数企业的信息安全建设来看,针对以上的目前主流的新形势的信息威胁,企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御,纵深防御的能力,目前大多数企业在安全防护上还有如下的欠缺:
目前信息安全存在的问题
在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估,发现主要有如下的问题:
网络设备安全:
访问控制问题
网络设备安全漏洞
设备配置安全
系统安全:
补丁问题
运行服务问题
安全策略问题
弱口令问题
默认共享问题
防病毒情况
应用安全:
exchange邮件系统的版本问题
apache、iis、weblogic的安全配置问题
serv-U的版本问题
radmin远程管理的安全问题
数据安全:
数据库补丁问题
Oracle数据库默认帐号问题
Oracle数据库弱口令问题
Oracle数据库默认配置问题
Mssql数据库默认有威胁的存储过程问题
网络区域安全:
市局政务外网安全措施完善
市局与分局的访问控制问题
分局政务外网安全措施加强
安全管理:
没有建立安全管理组织
没有制定总体的安全策略
没有落实各个部门信息安全的责任人
缺少安全管理文档
通过安全评估中的安全修复过程,我们对上述大部分的的安全问题进行了修补,但是依然存在残余的风险,主要是数据安全(已安排升级计划)、网络区域安全和安全管理方面的问题。 所以当前信息安全存在的问题,主要表现在如下的几个方面:
1. 在政务外网中,市局建立了基本的安全体系,但是还需要进一步的完善,例 如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施,存在被黑客入侵的安全隐患;
2. 在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散的 可能。另外,如果黑客入侵了分局的政务内网后,可能进一步的向市局进行渗透攻击。
3. 原有的信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息 安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度,信息安全管理没有落到实处。
4. 通过安全评估,建立了基本的安全管理制度;但是这些安全管理制度还没有 落实到日常工作中,并且可能在实际的操作中根据实际的情况做一些修改。
5. 没有成立安全应急小组,没有相应的应急事件预案;缺少安全事件应急处理 流程与规范,也没有对安全事件的处理过程做记录归档。
6. 没有建立数据备份与恢复制度;应该对备份的数据做恢复演练,保证备份数 据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
7. 目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。 万一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。
通过信息安全风险评估,对发现的关于操作系统、数据库系统、网络设备、应用系统等等方面的漏洞,并且由于当时信息安全管理中并没有规范的安全管理制度,也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。为了达到对安全风险的长期有效的管理,我们建议建设ISMS(信息安全管理体系),对安全风险通过PDCA模型,输出为可管理的安全风险。
常见的信息系统面临的风险和威胁大致如下:
根据目前的安全威胁,企业的信息安全面临的问题是
信息安全仅作为后台数据的保障
前端业务应用和后端数据库信息安全等级不高
信息安全只是建立在简单的“封、堵”上,不利提升工作效率和协同办公
因此,对于企业来说,在新的IT环境下,需要就如下的安全考虑,根据合理的规划进行分期建设。
业务模式正在发生改变,生产、研发等系统的实施,信息安全应全面面向应用,信息安全须前置,以适应业务的安全要求。
用户终端的多样化也应保持足够的安全。
数据集中化管控和网络融合后所需的安全要求。
数据中心业务分区模块化管理及灾备应急机制
1.3设计目标为企业设计完善的信息安全管理体系,增强企业信息系统抵御安全风险的能力,为企业生产及销售业务的健康发展提供强大的保障。
1.通过对企业各IT系统的风险分析,了解企业信息系统的安全现状和存在的各种安全风险,明确未来的安全建设需求。
2.完成安全管理体系规划设计,涵盖安全管理的各个方面,设计合理的建设流程,满足中长期的安全管理要求。提供如下安全管理项目:
人员管理
规划制订和建设流程规划
安全运维管理及资产管理
3.完成安全技术体系规划设计,设计有前瞻性的安全解决方案,在进行成本/效益分析的基础上,选用主流的安全技术和产品,建设主动、全面、高效的技术防御体系,将企业面临的各种风险控制在可以接受的范围之内。针对整体安全规划计划,在接下来的几年内分期建设,最终满足如下安全防护需求:
网络边界安全防护
安全管理策略
关键业务服务器的系统加固,入侵防护,关键文件监控和系统防护
网络和服务器安全防护及安全基线检查与漏洞检测
增强终端综合安全防护
强化内部人员上网行为管理
建设机密数据防泄漏和数据加密,磁盘加密
网络信任和加密技术防护
建设,强化容灾和备份管理
4.加强企业内部的IT控制与审计,确保IT与法律、法规,上级监管单位的要求相符合,比如:
需要满足国家信息系统安全系统的安全检查要求
需要满足国家《信息系统安全等级保护基本要求》
第2章信息安全总体规划设计目标、依据及原则2.1.1设计目标
电子政务网是深圳市电子政务业务的承载和体现,是电子政务的重要应用,存储着的重要的数据资源,流动着经济建设和社会生活中重要的数据信息。所以必须从硬件设施、软件系统、安全管理几方面,加强安全保障体系的建设,为电子政务应用提供安全可靠的运行环境。
2.1.2设计依据
《国家信息化领导小组关于我国电子政务建设指导意见》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《电子政务总体框架》
《电子政务信息安全保障技术框架》
《电子政务信息安全等级保护实施指南》
《信息安全等级保护管理办法》
《信息技术安全技术信息技术安全性评估准则》
《计算机信息系统安全保护等级划分准则》
《电子计算机场地通用规范》
《计算机场地安全要求》
《计算机信息系统安全保密测评指南》
同时在评定其信息资产的价值等级时,也将参考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等国际标准。
电子政务网将依据信息价值的保密性影响、信息价值完整性影响、信息价值的可用性影响等多个方面,来对信息资产的价值等级进行划分为五级,第一级为最低级,第五级为最高级。
2.1.3设计原则
电子政务网安全系统在整体设计过程中应遵循如下的原则:
需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行。
分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。
最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。
标准化与一致性原则:电子政务网是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个电子政务网安全地互联互通、信息共享。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。
整体性和统一性原则:一个大型网络系统的各个环节,包括设备、软件、数据、人员等,在网络安全中的地位和影响作用,只有从系统整体的角度去统一看待、分析,才可能实现有效、可行的安全保护。
技术与管理相结合原则:电子政务网是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据网络的实际需要,先建立基本的的安全保障体系,保证基本的、必须的安全性。随着今后网络应用和复杂程度的变化,调整或增强安全防护力度,保证整个网络最根本的安全需求。
动态发展原则:要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
遵守有关法规:在安全支撑平台设计和设备选型过程中,涉及到密码产品的销售应符合国家有关法律法规的规定,涉及到其他安全产品的销售应具有主管部门的销售许可证。同时安全产品应具有良好升级及售后维护。
总体信息安全规划方案总体目标
通过建立建设ISMS(信息安全管理体系),达到对安全风险的长期有效的管理,并且对于存在的安全风险/安全需求通过适用于ISMS的PDCA(Plan-Do-Check-Act)模型,输出为可管理的安全风险。
解决问题
当前的信息安全经过了一次完整的信息安全评估,并且进行了相应的安全修复后,信息安全风险已经得到了比较有效的管理,但是还是存在部分遗留的风险,以及其它的一些可预见的风险。在这里将会对这些安全问题进行处理。
2.2.1信息安全管理体系
为了达到对信息安全进行管理,我们可以通过建立ISMS(信息安全管理体系),然后通过向ISMS输入的信息安全要求和期望经过必需的活动和过程产生满足需求和期望信息安全的输出(例如可管理的信息安全)。
策划建立ISMS:根据组织的整体方针和目标建立安全方针目标目的以及与管理风险和改进信息安全相关的过程和程序以获得结果。
实施和运行ISMS:实施和运行安全方针控制过程和程序。
检查监视和评审ISMS:适用时根据安全方针目标和惯有经验评估和测量过程业绩向管理层报告结果进行评审。
保持和改进ISMS:根据管理评审结果采取纠正和预防措施以持续改进ISMS。
针对当前的信息安全问题,我们可以视为是对信息安全的需求和期望,所以我们可以把这些信息安全需求,提交到ISMS(信息安全管理体系)的过程中,进行处理。对于将来出现的信息安全问题,也可以提交到ISMS(信息安全管理体系)的过程中,进行处理,并最终输出可被管理的信息安全。
所以对于信息安全的总体规划是:首先建立ISMS(信息安全管理体系),然后通过ISMS过程的PDCA模式处理当前的信息安全问题。对于当前存在的信息安全问题,我们可以通过下面的四个阶段来解决:
策划建立ISMS:建立信息安全管理系统,包括建立安全管理组织、制定总体安全策略。并且根据当前的信息安全问题,提出安全解决方案。
实施和运行ISMS:根据当前的信息安全问题的安全解决方案进行实施,妥善的处理这些信息安全问题。
检查监视和评审ISMS:通过专业的安全评估来检查信息安全问题是否得到了有效的管理。
保持和改进ISMS:根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
2.2.1.1策划建立ISMS建立信息安全管理系统,包括建立安全管理组织、制定总体信息安全策略、落实各个部门信息安全负责人、信息安全培训等等。并且根据当前的信息安全问题,提出安全解决方案。
2.2.1.建立信息安全管理系统信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。在信息安全保障体系中,技术是工具,组织是运作,管理是指导,它们紧密配合,共同实现信息安全保障的目标。信息安全保障体系的技术、组织和管理等方面都存在着相关风险,需要采用信息安全风险管理的方法加以控制。
由于当前市的安全管理组织并没有真正运作起来,所以没有在一个高度上来制定信息的安全策略,因此没有落实各个部门信息安全的责任人,没有对各个部门信息安全人员的职责进行定义;也没有制定安全管理文档;导致安全管理没有落到实处。另外需要对网络用户进行安全教育和培训,使他们具备基本的网络安全知识。
2.2.1.根据安全问题提出解决方案针对以下两个问题,通过建立信息安全管理系统来解决,见《2.2.1.建立信息安全管理系统》
1.原有的信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度,信息安全管理没有落到实处。
2.通过安全评估,建立了基本的安全管理制度;但是这些安全管理制度还没有落实到日常工作中,并且可能在实际的操作中根据实际的情况做一些修改。
基础保障体系
针对以下两个问题,通过建立基础保障体系来解决,同时根据这些基础的安全设备建立信息监控与审计体系。
1.在政务外网中,市局建立了基本的安全体系,但是还需要进一步的完善,例如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施,存在被黑客入侵的安全隐患;
2.在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散的可能。另外,如果黑客入侵了分局的政务内网后,可能进一步的向市局进行渗透攻击。
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前电子政务基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
监控审计体系
监控审计体系设计的实现,能完成对电子政务网所有网上行为的监控。通过此体系监控到的数据能对电子政务网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
应急响应体系
针对下面的这个问题,通过建立应急响应体系来解决。
没有成立安全应急小组,没有相应的应急事件预案;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
电子政务网络承载了大量的政务网络应用,因此网络系统的应急响应功能变得更加关键,需要建立一个应急响应体系。它的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个电子政务系统或整个网络的可用性,完整性、数据的保密性。因此需要特别注重响应、处理安全事件,因为安全事件可能带来重大破坏。那些引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个政务网络的安全风险。
灾难备份与恢复体系
针对下面的这个个问题,通过建立灾难备份与恢复体系来解决。
1.没有建立数据备份与恢复制度;应该对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2.目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。万一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。
为了保证深圳市政务网的正常运行,抵抗包括地震、火灾、水灾等自然灾难, 以及战争、恐怖袭击、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,因此应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
2.2.1.2实施和运行ISMS在上面策划建立ISMS的过程中,我们提出了根据当前信息安全问题处理的解决方案,包括:
建立基础保障体系
建立信息监控与审计体系
建立应急服务体系
建立灾难备份与恢复体系
上述的四个安全体系将在这个阶段进行实施。
2.2.1.3检查监视和评审ISMS通过专业的安全评估来检查信息安全问题是否得到了有效的管理。同时建立服务与保障体系来保障系统的正常运行。
服务保障是指保护和防御信息及信息系统,确保其可用性、完整性、保密性、可控性、不可否认性等特性。服务保障体系则包括:风险评估、软硬件升级、设备安全巡检、设备日常维护等等。
2.2.1.4保持和改进ISMS根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
总结从其它组织或组织自身的安全经验得到的教训。
确保改进活动达到了预期的目的。
2.2.2分阶段建设策略
安全风险长期存在,并不断变化,这导致安全保障建设没办法一步到位。所以必须对安全保障建设分阶段实施。工程实施的渐进性、逐步性,根据先后缓急,初步将安全实施计划分为以下四个阶段:
第一阶段:策划建立ISMS
建立信息安全管理系统
建立安全管理组织并落实各个部门信息安全责任人
根据当前信息安全的问题制定解决方案
第二阶段:实施和运行ISMS
根据当前信息安全的问题解决方案进行安全实施,包括:
建立基础保障体系
建立监控审计体系
建立应急响应体系
建立灾难备份与恢复体系
第三阶段:检查监视和评审ISMS
通过建立服务保障体系中的信息风险安全评估、设备巡检等评审当前信息安全问题的处理情况
第四阶段:保持和改进ISMS
根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
第3章分阶段安全建设规划传统的安全设计理念基本上仍处于忙于封堵现有系统漏洞的阶段,有人形象的称之为“修修补补”或“围、追、堵、截”,基于这样的设计理念建成的安全体系只能是局部的、被动的安全,而无法提供整体的、主动的安全;同时也缺乏有效的管理和监控手段,使得信息安全状况令人担忧,表现在病毒、蠕虫层出不穷、系统漏洞众多,另外经过很多国际权威机构的调查,内部发生的安全事件占全部安全事件的70%甚至更多,比如内部的误用和嗅探、攻击等滥用行为,都因为缺乏有效的监控和管理而不能及时发现,也给网络的安全带来巨大挑战;安全是一个整体,任何一部分的薄弱都会使得整体的安全防御能力大打折扣,不但使得组织重金建设的边界安全防御体系失去作用,同时还会严重影响组织业务的正常运营,从经济、法律、声誉等多方面对企业造成负面影响。
新的安全形势下需要新的思维和新的解决方案。安全是一个整体的、动态的过程,需要全面深入的考虑,那种头痛医头、脚痛医脚的方法已无法满足用户日益复杂的安全需求,要解决这些问题,归根结底取决于信息安全保障体系的建设。
“企业面对的是一个以信息为核心的世界”信息是企业的核心,规划开始前,这一点必须要有清晰认识,我们可以从三个层面来看:
基础架构层面:
包括终端、服务器、存储、网络在内的基础设施,乃至数据中心和容灾中心,这些都是信息数据的产生、存储、传输、处理的载体,围绕信息处理和流转所搭建的基础设施,同时也是IT系统和管理人员为保证信息和数据的安全、可用的最基础和重要的管理对象;
信息为核心层面:
信息和数据是整个企业业务运行中最为核心的部分,所有的业务运转都围绕着信息而进行,而信息的保障、安全存储流转都是信息保护所关注的重点;
安全治理层面:
为了保障信息的安全,不能仅仅停留在单独建设的分散的安全上,最终安全的目标是要实现安全的治理,安全的目标则是为企业定制打造所需的技术运维、技术管理体系,帮助企业提升整体安全管理水平。
3.1规划原则IT管理的基础、核心和重点内容,应该有相应的信息安全建设和保障内容与之配套,因此以信息为核心的IT管理视角,也同样是当前进行信息安全规划的出发点。为此,我们规划企业的整体安全的时候,应遵循如下原则:
整体规划,应对变化
安全建设规划要有相对完整和全面的框架结构,能应对当前安全威胁的变化趋势。
立足现有,提升能力
在现有IT建设基础上,完善安全基础架构建设,通过优化和调整挖掘潜力,提升整体安全保障能力。
着眼信息,重点防范
以安全治理为工作目标,着重提升安全整体水平,对目前企业和主管部门关注的,以及法律法规要求的内容进行重点关注。
3.2安全基础框架设计明确了本次规划的目标,我们就可以进一步确立一个针对企业信息安全建设的工作框架
附图1.安全工作总体框架
上述总体框架中,通过基础架构安全、信息安全、安全治理三个层次的工作内容,来达成我们的总体规划目标;通过技术、管理、运维三大支撑体系为支柱,实现企业在安全体系建设、法规遵从与落实、安全风险管控和安全高效管理四个信息安全主体目标的不断治理和改善。
第4章初期规划4.1建设目标建立信息安全管理体系
建立安全管理组织并落实各个部门信息安全责任人
根据当前信息安全的问题制定解决方案
4.2建立信息安全管理体系信息安全管理系统的规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。下面将介绍应该如何建立信息安全管理体系的步骤,如下图所示:
图1 建立信息安全管理体系的步骤
1)定义信息安全策略
信息安全策略是组织信息安全的最高方针,需要根据内各个部门的实际情况,分别制订不同的信息安全策略。例如,开发部、数据部、系统都分别有一个信息安全策略,适用于其部门内所有员工。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于内所有员工的脑海并落实到实际工作中。
在安全管理文档的制定中,我们对如下的文档进行了定义:
《安全管理文档--业务系统软件安全技术标准》
《安全管理文档--网络信息发布制度》
《安全管理文档--通用网络服务安全标准》
《安全管理文档--网络连接策略和标准》
《安全管理文档--邮件系统安全管理标准》
《安全管理文档--用户单位用户帐号和口令管理规程》
《安全管理文档--信息管理人员的安全手册》
《安全管理文档--用户单位信息系统安全策略》
《安全管理文档--机房管理制度》
《安全管理文档--系统管理员手册》
《安全管理文档--安全事件处理流程》
《安全管理文档--病毒防治管理规定》
《安全管理文档--网络管理员手册》
《安全管理文档--备份和恢复管理制度》
(2)定义ISMS(信息安全管理系统)的范围
ISMS(信息安全管理系统)的范围确定需要重点进行信息安全管理的领域,需要根据自己的实际情况,在整个范围内、或者在个别部门或领域构架ISMS。在本阶段,应将划分成不同的信息安全控制领域,以易于对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于信息和系统的性质、使用信息的目的、所采用的系统环境等因素,在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明记录了内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向内的员工声明面对信息安全风险的态度,在更大程度上则是为了向外界表明的态度和作为,以表明已经全面、系统地审视了其信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
4.3建立安全管理组织当前信息中心成立的安全领导小组,负责制定安全策略、落实信息安全责任,并下发到下面的几个部门。但是,这个组织结构并没有实施起来,实际上是各个部门的信息安全策略和安全管理或者没有实施,或者不全面;并且相关的信息安全责任也没有明确的定义。可以说信息安全体系并没有建立起来。
因此,我们建议设立一个首席安全官来代替原来的安全领导小组,负责对信息安全制定总体安全策略、监督和协调各项安全措施在的执行情况、设立各个部门的信息安全责任人,落实信息安全责任。
以下是各个责任人的职责定义:
1.CSO:首席安全官 负责对信息安全制定总体安全策略,监督和协调各项安全措施在的执行情况,并确定安全工作的标准和主动性,包括开发部、数据部、系统部等部门。
2.系统运维管理员:系统运维部门管理人员 对整个系统运维部门进行管理。
3.系统管理员:系统权限管理员 对所有系统进行管理、建设、维护的相关人员,需要有广泛的知识面,丰富的理论和实际操作经验。
4.网络管理员:网络设备管理员 所有的网络设备、安全设备的维护人员,需要有丰富的理论和实际操作经验。
5.数据库管理员:网络设备管理员 所有的应用数据库的管理和维护人员,需要有丰富的理论和实际操作经验。
6.文档管理员:资料管理员 记录各类设备、系统操作,维护、整理相关文档,以及日志备份等相关信息。
7.机房管理员:设备物理安全保障员 记录机房进出相关记录,包括系统管理员、系统用户以及文档管理员的相关记录;对计算机硬件进行检修、维护;对物理环境的维护等。
8.开发管理员:软件安全保障员 监督软件开发工作的安全性措施实施情况,制定软件开发的安全标准。
安全应急小组:安全事件紧急响应小组 应急响应中心组长由系统运维部主管担任,组员包括:系统管理员,网络管理员,数据库管理员。
第5章中期规划5.1建设目标根据当前信息安全的问题解决方案进行安全实施,包括:
建立基础保障体系
建立监控审计体系
建立应急响应体系
建立灾难备份与恢复体系
5.2建立基础保障体系通过拓扑图描述安全现状。
5.3建立监控审计体系建设电子政务的审计监控体系就是要建设完整的责任认定体系和健全授权管理体系,从技术上加强了电子政务安全管理,从而保证了电子政务的安全性。
一、审计监控体系为电子政务建立了一个完整的责任认定体系
1)在信任体系中对合法操作行为的责任认定
责任认定体系设计的定位就是所有的操作者都是不可信任的,这就决定了责任认定在这里所处的地位:起到完善信任体系中痕迹保留以及事后追查的作用,是和身份认证、授权管理并列的保证网络内网安全的三大重要措施。在信任体系中的责任认定,传统的手段是通过查阅应用程序的操作日志、通过调用数据库的操作日志、通过审计其他设备的操作日志来反映合法操作行为和非法行为的责任认定问题。这部分的责任认定体系是整个完整的责任认定体系中的一部分。它不能解决所有的责任认定问题。相反地,由于各产品缺乏有效的协调性,记录的信息无法互通,所以在很大的程度上,这部分分散的、凌乱的信息在工作中很难被有效使用,一直是整个信息安全建设中的一个软肋。
2)对网络中非法操作行为的责任认定
对于非法操作的责任认定,现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强,目的明确,又有响应实时、警告及时等特点,所以在电子政务建设中越来越被重视。它的作用与审计机关在国家经济体系中的审计行为有着非常类似的共性--同样是对非法的操作行为进行审计。所不同的是,审计机关是对非法的经济行为进行审计,而信息安全强审计是对电子政务网络中的非法操作行为进行审计。他的作用已经决定了它是责任认定体系中最重要的一个组成部分,对整个责任认定体系起着决定性的作用。
3)以强审计为核心建立完整的责任认定体系
要解决一个完整的责任认定体系,我们不仅要考虑到对合法操作行为的责任认定,更要考虑到对非法操作行为的责任认定。同时我们又要兼顾网络中各个设备审计信息的全面收集,以及对审计数据的集中化管理以及分析。以强审计为核心的责任认定体系,我们通过对网络组成要素的审计,通过对应用系统的审计,通过对安全产品的审计,通过对主机、服务器、网络、数据库等网络中所有资源的审计。构建了一个完整的责任认定体系。同时,由于强审计系统强大的审计分析功能,可以及时有效的反映责任认定数据。确保了责任认定体系强有力、完整等特性。
二、健全授权管理体系
在授权管理中,对网络资源的授权管理是非常重要的问题。不解决这个问题,就无法建立起完整的授权管理体系。审计监控体系从根本上对全网进行授权监督管理。主要有以下内容:
1)网络连接的授权管理
必须保证所有连接入网络的计算机都是合法的;
任何非法接入的企图都是能够得到有效控制和管理的;
网络内各主机之间的访问和连接都是得到授权并可以控制;
所有能够连入外网计算机的访问外网的权限都是有限的、受控的和经过授权的。
2)主机的授权管理
对网络内的用户使用光驱(含刻录光驱)、软驱、USB口授以权限并统一输入输出通道,从而保证数据进出的安全性。
对主机中重要文件资源的使用实行严格的授权管理。
对于有统一出口的网络或者物理隔离于公网的网络通过拨号上网(包括ADSL拨号、MODEM拨号、GPRS拨号、手机拨号等)的方式存在诸多的安全隐患,必须严格的授权与限制。
3)数据库的授权管理
对操作者向数据库中字符、段的访问进行授权。
4)服务器的授权管理
对重要文件的进行授权管理;
对终端访问服务器的进行授权管理;
5)对网络打印机的权限分配、控制与管理
对网络打印机进行权限分配;
对网络打印机进行访问控制;
通过审计监控体系完成对网络资源的授权管理既是构建完善的授权管理基础设施的重要组成部分,同时也是建立健全责任认定体系的必要前提。
5.4建立应急响应体系应急响应体系的建立主要有三个方面,成立安全应急小组,制定安全应急预案,安全应急过程文档归档。
安全应急小组成立安全应急小组,应急响应中心组长由系统运维部主管担任,组员包括:系统管理员,网络管理员,数据库管理员。
应急响应小组的职能:对网络安全问题能积极预防、及时发现、快速响应、确保及时恢复。
应急响应小组成员职责:
(1)组长:协调应急响应小组其它成员的工作,协调与其它部门的接口关系,组织应急计划的评审、组织各类安全问题的交流等。
(2)系统管理员:操作系统和应用系统的备份与恢复,系统的安全配置,系统层安全事件的处理。
(3)网络管理员:维护网络正常运行,网络的安全配置和维护,网络层安全事件的处理。
(4)数据库管理员:数据库的备份与恢复,维护应用系统的数据,出现安全事故时配合系统管理员和网络管理员处理安全事件以及恢复应用系统的数据。
安全应急预案制定安全应急预案的过程:
(1) 预先定义深圳市的各种安全事件
通过调研,预测可能会遇到的安全事件,将其一一列出定义,并根据其相关性进行分类,对每一类又按照其发作范围和危害程度进行分级。最后制作安全事件一览表。
1)常见的安全事件列表:
系统崩溃;
用户在奇怪的时间和地点登录;
猜口令的企图;
非授权用户使用有特权的服务;
系统时钟改变;
系统不知原因的重新启动;
活动较少的账号突然活动明显增加;
用大量变化的号码对用户进行呼叫;
非编程人员利用编译工具与开发工具;
新的或陌生的文件;
账号变化,查明是否有入侵者;
文件长度或数据内容发生变化;
企图写系统,尤其是特权用户的行为;
数据被修改或删除;
拒绝服务;
系统性能严重下降,有奇怪的进程运行并占用大量的CPU处理时间;
网络性能严重下降,用户反映无法正常使用服务;
发现有人在不断强行登录系统;
系统中出现奇怪的新用户帐号;
管理员收到来自其它系统管理员的警告信,指出系统可能被威胁等。
2)常见的安全事件类型:
发现后门软件、间谍软件;
计算机病毒;
程序化入侵;
发现入侵者;
破坏和删除文件;
拒绝服务攻击等。
3)划分安全事件的级别。
考察安全事件发作的范围:
是否是多点事件;
在一个点上有多少台计算机被影响;
检查涉密信息是否被攻击;
事件的入侵点在什么地方,确定攻击来自的方向;
安全事件发生的时间和持续时间;
处理该安全事件需要什么资源等。
考察安全事件的危害性:
是否造成了损失,确定损失的大小;
判断信息失密发生与否及其程度;
判断事件是否构成犯罪;
分析安全事件采用的手法;
分析安全事件制造者类型;
分析事件的潜在危险。
(2) 为安全事件制订应急计划(预案)
对分类分级的安全事件制订应急计划,并予以评审。
对不可预测的安全事件,也要制订通用的应急计划。
应急计划包括:
a.安全事件序号、名称、类别、级别
b.安全事件处理目标
事件处理目标是消除当前安全事件造成的威胁,避免和减少损失,健全和改善信息系统的安全措施。
c.需要保护的信息
将的信息划分密级,一般分为五级:公开、内部、秘密、机密、绝密。确定对哪类密级的信息采取哪类保护措施。
d.设计安全事件处理过程
针对本安全事件,设计现场处理流程。
e.设计安全事件处理的验证方法
设计验证安全事件是否排除的方法。
(3)安全事件处理流程
本次风险评估项目中已经定义了安全事件处理流程,所以该流程参见《安全管理文档—安全事件处理流程》
安全应急过程文档安全事件处理完毕,系统恢复正常运行后,要对整个事故的相关文档进行归档,总结经验教训,并形成一个《安全事件调查研究报告》。报告中应详细描述整个事件的经过,记录紧急响应事件的起因、处理过程、建议改进的安全方案等。应急响应中心人员必须进行事后调查,评估事件损失,调查事件原委,追究事件责任,编写《安全事件调查研究报告》。
应急响应中心人员对照事件处理过程,发现应急计划的不足,完善应急计划。
对事件原因进行彻底分析,找到确切根源,制订消除安全事件根源的措施,保证同一安全事件不再发生。
5.5建立灾难备份与恢复体系政务内网线路冗余通过拓扑图来表达建立冗余线路的基本做法。
服务器系统备份与恢复备份:
系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求,双方协商备份策略,诸如备份范围、备份时间、备份频率、保存期限、备份拷贝数目等。
备份系统管理员根据双方协商形成的备份需求书面文档,在备份系统上建立相应的备份策略,并更新《备份信息汇总表》。
在备份系统保护之下的文件系统在做调整(诸如目录名称更换)或者增加、减小备份内容时,应该向备份系统管理员提交备份申请表,具体描述调整的内容。
备份系统管理员根据备份申请表的要求,在备份系统上调整备份策略,并更新《备份信息汇总表》。完成备份策略调整工作后,核对备份申请表,并归档备案。
对于某些先前不在备份策略保护内的数据,且需要临时保护的,系统管理员可向备份系统管理员提交备份申请表,具体描述备份需求。
备份系统管理员根据备份申请表的要求,建立临时备份策略对数据进行备份。完成备份工作后,跟数据库/系统管理员核对备份申请表,并归档备案。
对于每日全备份的数据,在磁带中保留期限为两个星期,过期后磁带被覆盖。
对于每周全备份,每个星期六或者星期日做一次全备份,备份数据保留时间为三个月,下一个星期一、星期二将每周备份的所有磁带迁移到带库外,异地存放,确保机房发生灾难后,数据丢失不超过一个星期。
对于每月全备份,备份数据保留时间为半年,做两份磁带拷贝,其中一份磁带留在本地,另外一份磁带异地存放。
在备份策略发生更变时,应该相应的更新《备份信息汇总表》文档,保持该文档的内容与备份系统内的策略内容同步。
恢复:
相关人员在需要恢复文件系统类型的数据时,应当向备份系统管理员提交恢复申请表,描述需要恢复数据所在的主机、数据所在路径、数据大概备份时间、要求恢复的目的地的目录路径等。
备份系统管理员根据恢复申请表的要求,查询备份系统进行恢复。
完成恢复工作后,通知相关人员及核对恢复申请表,并归档备案。
数据库系统备份与恢复备份:
系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求,双方协商备份策略,诸如备份范围、备份时间、备份频度、保存期限、备份拷贝数目等。
备份系统管理员根据双方协商形成的备份需求书面文档,在备份系统上建立相应的备份策略,并更新《备份信息汇总表》。
在备份系统保护之下的文件系统在做调整(诸如目录名称更换)或者增加、减小备份内容时,应该向备份系统管理员提交备份申请表,具体描述调整的内容。
备份系统管理员根据备份申请表的要求,在备份系统上调整备份策略,并更新《备份信息汇总表》。完成备份策略调整工作后,核对备份申请表,并归档备案。
对于每日全备份的数据,在磁带中保留期限为两个星期,过期后磁带被覆盖。
对于每周全备份,每个星期六或者星期日做一次全备份,备份数据保留时间为三个月,下一个星期一、星期二将每周备份的所有磁带迁移到带库外,异地存放,确保机房发生灾难后,数据丢失不超过一个星期。
对于每月全备份,备份数据保留时间为半年,做两份磁带拷贝,其中一份磁带留在本地,另外一份磁带异地存放。
在备份策略发生更变时,应该相应的更新《备份信息汇总表》文档,保持该文档的内容与备份系统内的策略内容同步。
恢复:
相关人员在需要恢复数据库类型的数据时,应当向备份系统管理员提交恢复申请表,描述需要恢复数据所在的主机、数据库服务器名称及库名、数据大概备份时间、要求恢复的目的地等。
数据库管理员要提供数据库恢复的环境、空间,授权,满足数据库恢复的权限。
备份系统管理员根据恢复申请表的要求,查询备份系统进行恢复。
完成恢复工作后,通知相关人员及核对恢复申请表,并归档备案。
第6章三期规划6.1建设目标通过建立服务保障体系中的信息风险安全评估、设备巡检等评审当前信息安全问题的处理情况
根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
6.2建立服务保障体系实施信息安全风险评估信息安全是一个动态的系统工程,随着新技术的产生,新的安全漏洞的发现,原本是安全的系统也会变得不安全。所以深圳市必须建立专业的安全风险评估体系。安全风险评估体系包括周期性的安全评估和当引入新的业务系统或者网络或者业务系统发生重大改变时的风险评估。
风险评估需要周期性地进行,并通过实施风险安全控制使的整体安全保持在一个较高的水平。全面的风险评估每年进行一次。风险评估的执行者可以是信息安全部门或者是在信息安全部门的组织下由安全服务提供商执行。当引入新的业务系统或者网络或者业务系统发生重大改变时,需要立刻进行局部或者整体的风险评估。
风险评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。
风险评估内容包括:
物理层风险评估:机房、设备、办公、线路、环境;
系统层风险评估:系统漏洞、配置缺陷;
网络层风险评估:架构安全、设备漏洞、设备配置缺陷;
应用层风险评估:软件漏洞、安全功能缺陷;
管理层风险评估:组织、策略、技术管理。
风险评估的过程包含以下4个步骤:
1. 识别资产并进行确定资产价值赋值:在确定的评估范围内识别要保护的资产,并对资产进行分类,根据资产的安全属性进行资产价值评估。参见《信息资产安全价值评估列表》。
2. 评估对资产的威胁:评估在当前安全环境中资产能够受到的威胁来源和威胁的可能性。参见《信息系统安全威胁评估报告》
3. 评估资产威胁相关的弱点:评估威胁可能利用的资产的弱点及其严重程度。参见《信息系统安全脆弱性评估报告》
4. 评估资产安全风险:根据威胁和弱点评估的结果,评估资产受到的风险,计算资产的安全风险。参见《信息安全风险综合评估分析报告》
根据风险评估结果,制定对风险实施安全控制的计划。
实施设备安全巡检/日常维护在本次的安全评估过程中,我们制定了如下的安全巡检/日常维护制度:
《机房管理制度》
《系统管理员手册》
《网络管理员手册》
通过上述的这些管理制定来定期的对机房的物理设备、操作系统、网络设备等等进行日常维护,确保这些设备的正常运行。
6.3保持和改进ISMS信息安全是一个动态的系统工程,安全管理制度也有一个不断完善的过程。经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
第7章总结7.1综述网络安全工程是一个系统工程,是一个牵一发而动全身的工程,也是一个一把手工程,只有领导的高度重视,才能做好这个项目。
同时,网络安全工程也是一个人人参与的工程,需要所有涉及网络资源使用的客户都进行安全控制,才能确保网络安全无漏洞、无死角。
7.2效果预期1.内网服务器的安全可控程度;
2.内网客户端的行为控制;
3.内网各应用系统的安全防护级别提升;
4.园区网络整体安全级别提升。
7.3后期根据PDCA的循环,做好后期的查缺补漏。
附:
本文档的书写引用了:
GB/T 20008-2005 信息安全技术 操作系统安全评估准则
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
GB/T 19716-2005 信息安全技术 信息安全管理实用规则
【篇4】网络安全总结200字
网络与信息安全检查总结
根据上级网络安全管理文件精神,我站成立了网络信息安全工作领导小组,在组长李旭东站长的领导下,制定计划,明确责任,具体落实,对全站各系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强网络信息系统安全管理工作,我站成立了网络与信息系统安全工作领导小组,做到分工明确,责任具体到人。安全工作领导小组组长为XXX,副组长XXX,成员有XXX、XXX、XXX。分工与各自的职责如下:站长XXX为计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。副站长XXX负责计算机网络与信息安全管理工作的日常事务。XX、XXX负责计算机网络与信息安全管理工作的日常协调、网络维护和日常技术管理工作。
二、我站信息安全工作情况
我站在信息安全管理方面,制定了一系列的管理制度。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。存储介质管理,完善了《存储介质管理制度》。运行维护管理,建立了《信息网络系统日常运行维护制度》。
1、技术防护方面
系统安装正牌的防病毒软件和防火墙,对计算机病毒、有害电子邮件采取有效防范,根据系统服务需求,按需开放端口,遵循最小服务配置原则。一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。
2、微软公司将自2014年4月8日起,停止Windows XP桌面操作系统的用户支持服务,同时也停止系统和安全补丁的推送,由于我站部分计算机仍在使用XP系统,我站网络信息安全小组积极应对这一情况,对部分能够升级的电脑升级到了WIN7系统,对未能升级的内网电脑,我站联系上级信息安全部门对网络安全状况进行了评估,并修改了网络安全策略,保证了系统的安全运行。
3、应急处理方面
拥有专门的网络安全员,对突发网络信息安全事故可快速安全地处理。
4、容灾备份
对数据进行即时备份,当出现设备故障时,保证了数据完整。
三、自查发现的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节
在本次检查过程中,也暴露出了一些问题,如:由于投入不足,光电系统出现故障,致使系统设备停止运行,虽然不会丢失数据,但是服务会出现中断。
自查中发现个别人员计算机安全意识不强。在以后的工作中我们将继续加强对计算机安全意识教育和防范技能训练让干部职工充分认识到计算机泄密后的严重性与可怕性。
2、面临的安全威胁与风险
无
3、整体安全状况的基本判断
我站网络安全总体状况良好,未发生重大信息安全事故。
四、 改进措施及整改效果
1. 改进措施
为保证网络安全有效地运行,减少病毒和黑客的侵入,我站对相关网络系统操作人员就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
2. 整改效果
经过培训教育,全体干部职工对网络信息安全有了更深入的了解,并在工作中时刻注意维护信息安全。
【篇5】网络安全总结200字
目 录
烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,自治区烟草公司结合本单位实际情况认真落实《烟草行业信息安全保障体系建设指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。
2自治区烟草公司业务网络现状及需求分析自治区烟草公司业务网络是全省业务办公与通信的基础和支撑平台,整个信息系统目前存在诸多安全隐患:
1)没有一个完整的信息安全体系,不能对烟草公司信息安全程度进行有效评估。
2)缺少完整的安全管理制度规范,一旦发生安全问题,没有解决依据。
3)安全域划分不清晰,网络安全边界防护采取的技术比较单一;防火墙只能基于端口和流量进行控制,却无法防御复杂的攻击和入侵。
4)内部信息系统所存在的安全漏洞和隐患,不能及时发现;对于网络而言,内外网互连私接的情况不能进行有效监控。
5)终端安全没有保障,缺乏统一终端管理平台。无法有效的对烟草公司网络进行准入控制,致使网络接入存在一定的风险。
6)没有数据安全保障体系,数据的传输和存储都没办法保证不被窃取。
7)没有一个统一的员工身份管理系统,无法做到各类内部权限的细分,以及信息安全的加密以及事前、事中、事后的审计。
8)缺乏主机和应用系统安全保障机制,没有及时发现和弥补系统的漏洞和弱点,存在大量弱口令等问题。
9)没有统一的审计和响应机制,即便是发生攻击事件无法快速定位到源头,并进行针对性的解决。
3信息安全规划思路3.1信息安全目标和工作思路我们应该按照信息安全总体规划,从信息安全管理、信息安全风险控制、信息安全技术等方面入手,采用先进可行的技术手段和管理理念,逐步建成全面、完整、有效的一套信息安全体系。
通过系统化的安全技术和安全管理建设,自治区烟草公司逐步形成安全管理规范和安全体系架构,逐步有机的融合安全技术和安全管理,使自治区烟草公司的安全建设逐渐成熟,为整个业务的正常运行提供强有力的支持和保障。
信息化安全体系建设过程中应遵循以下工作思路:
“分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。
“三分技术、七分管理”原则:烟草公司信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。
“整体规划,分步实施”原则:需要对烟草公司信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。
“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
3.2信息安全建设主要任务基于企业信息安全逐步建设和节省投资的考虑,自治区烟草公司信息安全建设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。
具体实施步骤如下图所示:
安全建设阶段和内容
1、第一阶段——紧迫阶段
按照本次自治区烟草公司安全建设的要求,主要是对自治区烟草公司网络中的服务器群区域进行安全防护,尤其是对办公业务网进行安全防护。
1.1建设要求
本次网络基础安全建设主要考虑安全域划分和加强安全边界防护措施,优先考虑办公业务网出口的安全问题。办公业务网中有自治区烟草公司网络中重要的服务器群,保证这些服务器的安全是保障自治区烟草公司网络安全的基础。因此在办公业务网与核心交换区的边界处,应采用多种安全技术和手段来防范外来的威胁。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面。
1.2第二阶段——加强阶段
1.2.1建设内容
安全建设第一阶段成功结束后,网络状态可以达到相对安全的状态。在第二阶段的安全建设中需要考虑加强手段。主要从安全日志审计、系统平台和应用系统安全两个方面展开。
1.2.2建设方案
(1)安全日志审计系统
第一阶段部署了大量的安全产品。这些安全产品和大量的网络产品以及应用系统产生海量的日志和事件,尤其是入侵检测之类的安全产品,每天的事件量巨大,靠人工的方式很难检索所有的事件,如漏掉重要事件很可能会带来较大损失,鉴于此,需要部署统一的日志审计管理平台。这个平台能够收集所有网络产品、安全产品、主机以及应用系统的日志和安全事件,对其进行规范化处理,根据审计规则发现真正有价值的事件后及时告警,并能够存储海量事件,能够提供事后取证.
(2)系统平台和应用系统安全
在第一阶段建设了安全评估体系,定期进行评估和加固,已经有效地增强主机和应用的安全,第二阶段需要进一步加强系统平台和应用系统的安全管理,考虑从完整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功能,就可以针对各业务系统的帐号级的信息安全审计和追踪。
1.3第三阶段——管理阶段
1.3.1建设内容
待安全建设一、二阶段建设完成后,自治区烟草公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化。此时进行安全管理建设,主要从安全管理中心、安全管理体系着手完善。
1.3.2建设方案
(1)安全管理中心
建设安全管理统一平台,将全网的安全管理通过该平台进行。通过该平台可以及时准确地获知网络安全体系的效果和现状,帮助安全管理员进行正确的决策分析。该平台应该具备风险管理、策略中心、事件中心、响应中心、知识中心等功能模块,并且应具备很好的开放性和可定制性。
(2)安全管理体系
安全管理建设应该自始至终,并且对安全建设和运维起到指导作用。主要从安全策略制定、组建安全管理队伍、安全评估、资产鉴别和分类、安全认证等多种管理领域开展,最终形成管理和技术相融合,共同形成真正的安全体系架构。
信息化安全建设规划方案
基于企业信息安全逐步建设和节省投资的考虑,我省信息安全建设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。
安全建设第一阶完成后,网络状态可以达到相对安全的状态。请结合自治区烟草公司信息安全建设,考虑第二阶段的安全建设将如何进行。以及待自治区烟草公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化,即可考虑第三阶段和第四阶段将如何开展。
4第一阶段-迫切阶段4.1加强区公司与地州公司的边界访问控制目前,自治区烟草公司已经全疆范围内部署了防火墙与VPN系统,但是由于时间已经很长,设备在性能与功能上都不能适应现在的网络与业务的发展。在本次项目中,我们建议更换防火墙系统,加强网络边界防御工作。从节省资金的角度出发,在本次的防火墙选型中,直接选用带有VPN功能的防火墙系统,便于操作与管理。
4.2解决区公司的网页安全问题当前国际、国内的政治形势和经济形势比较特殊,又正值7. 5事件发生后期,网站安全问题越来越复杂,Web服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。针对网站,各类安全威胁正在飞速增长。2008年,CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个,比2007年增加了1.5倍。Google最新数据表明,过去10个月中,Google通过对互联网上几十亿URL进行抓取分析,发现有300多万个恶意URL。其中,中国的恶意站点占到了总数的67%。
传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对Web应用攻击完善的防御能力。因此,自治区烟草公司网站有必要采用专业的安全防护系统,有效防护各类攻击、降低网站安全风险。
4.3提升入侵防御能力防火墙作为自治区烟草公司安全保障体系的第一道防线,已经得到了非常好的应用效果,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。
自治区烟草公司想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。
自治区烟草公司想要实现完全的入侵防御,就需要在网络上将完全协议分析和在线防御相融合,这就是入侵防御系统(IPS):online式在线部署,深层分析网络实时数据,精确判断隐含其中的攻击行为,实施及时的阻断。
4.4加强对区公司、地州终端的桌面管理能力区公司采用本类产品目的在于,能够对客户端进行状态安全控管,主要涉及客户端联网监控、客户端状态管理、设备注册、客户端桌面安全审计、客户端补丁分发管理、客户端应用资源控制以及远程协助管理等能。系统实时监控和报警网络中存在的客户端违规、病毒事件等行为,提供在线客户端安全状态信息;依据系统报警信息和客户端上报的安全信息,管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施(如断网、告警、远程协助等)。对补丁进行自动分发部署和管理控制。
⏹客户端进程黑白名单控制,防止非法进程启动。全网客户端进程统一汇总监视。
⏹客户端软件黑白名单管理,客户端软件统一汇总监视。
⏹客户端软件自动分发和管理。
⏹客户端统一的端口策略控制。
⏹如何有效进行网络资源管理和设备资产管理。
⏹网络节点控制。
⏹弱口令监控。
⏹Usb移动存储设备的行为审计和控制。
⏹防止防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患行为(对于物理隔离的网络,切实保障其有效的隔离度,保证专网专用)。
⏹进行外来笔记本电脑以及其它移动设备(如u盘、移动硬盘等)的随意接入控制。
⏹准确有效的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络。
⏹安全、方便的将非安全计算机阻断出网。
⏹监控内网的敏感信息。
⏹按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。
⏹有效监控客户端的运维信息,以便网管了解网络中的客户端是否已超负荷运转,是否需要升级。
⏹策略按照(区域、操作系统、时间等)进行控制和多级级联。
⏹软件使用简单,所有的策略均在策略中心统一配置,用户上手简便。
4.5解决VPN系统的更新并且有效过渡的问题在本次项目中,我们在采购防火墙时,就带有VPN模块,其中支持IPSEC、SSL两种模式,可以根据应用自由选择,比现有的VPN系统速度更快,配置更方便,使用更便捷。使现有的VPN系统很平滑地向新技术过渡。
4.6提升区公司及地州公司对网络可管理的能力随着信息化发展的加速和深入,自治区烟草公司的IT系统和网络越来越复杂,各级分公司对网络正常运转的依赖性逐渐增大,IT和网络应用逐渐融入到单位的日常工作中。网络基础设施和各种应用系统在不断增加,一旦IT系统和网络运行出现问题,将会对所有的依赖于信息化平台的正常工作产生影响。因此,高效的系统与管理已经成为烟草公司信息化建设是否成功的重要条件。
网络管理系统可广泛应用于对局域网、广域网、城域网和关键IT业务系统中的路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间件、网站、域名、URL、OA、CRM、ERP、SCM、HIS等各种IT网络组件和业务系统进行7X24的持续监控、不间断的数据采集和分析,对错误和故障数据进行颜色、声音、短信息、邮件等多种方式的报警,提供多种图形和报表帮助用户进行故障分析和性能诊断,保证IT业务系统和网络持续、稳定运行,提高IT系统的效率,降低由于IT业务系统故障而导致的损失。
4.7加强对上网行为审计的能力随着Internet接入的普及和网络带宽的增加,使用户上网条件得到改善,同时也给烟草公司网络带来了更高的危险性、复杂性。
终端用户随意使用网络资源将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为增多。
烟草公司网络作为一个开放的网络系统,运行状况愈来愈复杂。网管中心如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这些都是对烟草公司信息安全管理的挑战,这些问题包括:
管理员如何对网络效能行为进行统计、分析和评估,管理员如何监控、控制一些非工作上网行为和非正常上网行为,管理员如何杜绝用户通过电子邮件、MSN等途径泄漏内部机密资料,以及管理员如何在发生问题时有查证的依据。
因此,如何有效地解决这些问题,以便提高用户的工作效率,降低安全风险,减少损失,对网络进行统一管理,调整网络资源的合理利用,已经成为烟草公司信息中心迫在眉睫的紧要任务。因此内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。
5第二阶段信息安全建设方案在这三年信息安全建设过程中,我们实现安全信息安全体系框架的规划设计与实现,并重点围绕自治区烟草公司当前网络中存在的问题进行解决,而且该安全体系框架的规划设计,要能够适应自治区烟草公司在自身发展中可能出现的业务调整和变化。
5.1建设原则在设计技术方案时要遵从以下原则:
1.实用性原则
自治区烟草公司的安全体系建设将始终遵循“面向应用,注重实效”的指导思想。紧密结合自治区烟草公司现有网络和应用情况,充分保证原有系统和结构的可用性。
2.协商原则
对于一个应用系统而言,他的安全性有时候与合理性存在着矛盾,从使用者的角度讲是合理的,站在安全的角度来分析则是不安全的,存在着风险,这时候就需要协调和论证在二者之间做出平衡。
3.完整性原则
自治区烟草公司网络安全建设必需保证整个防御体系的完整性。在安全体系建设中,我们采取多种安全防御的技术和措施来保障自治区烟草公司的网络系统安全运行。
4.整体均衡原则
要对信息系统进行全面均衡的保护,要提高整个信息系统的"安全最低点"的安全性能,保证各个层面防护的均衡。
5.安全目标与效率、投入之间的平衡原则
要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,不能为了追求安全而牺牲效率,或投入过大。
6.标准化与一致性原则
在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。
7.产品异构性原则
在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。
8.区域等级原则
要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。
9.动态发展原则
安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。
10.统筹规划分步实施原则
技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。
11.保护原有投资原则
设计技术方案时,要尽量利用现有的设备与软件,避免投资浪费,这些设备包括安全设备、网络设备等。
5.2遵照的标准或规范GB/T 9387.2-1995 开放系统互连基本参考模型第2部分:安全体系结构
RFC 1825 TCP/IP安全体系结构
ISO 10181:1996 信息技术 开放系统互连开放系统安全框架
GB/T 18237-2000 信息技术 开放系统互连通用高层安全
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
ISO/ISE 17799: 2000 /BS7799
ISO/ISE 15408(CC)
AS/NZS 4360: 1999 《风险管理标准》
GAO/AIMD-00-33《信息安全风险评估》
IATF《信息保障技术框架》
5.3安全建设的思路和方法我们着眼于整个安全体系建设以及安全规划建设的长期目标,逐步完善自治区烟草公司风险管理体系,将安全建设分解成多个可实施性较强的工程阶段,明确标识出各阶段安全建设内容和解决的安全问题,为自治区烟草公司提供一个可供参考的安全建设远景规划以及每期工程需要解决的风险管理规划,各期工程建设内容都是依据自治区烟草公司所面临的安全风险级别和迫切需要解决的安全问题依照从高至低排序。这样的建设思路让自治区烟草公司明确将来安全建设的内容以及建设方法,我们首先将解决当前对自治区烟草公司威胁最大的安全风险,在以后的各期项目再逐渐完善和调整安全框架内容。
5.4安全域建设风险管理的基本解决思路在于能够准确的识别风险,并将高级别风险降低或者转移,风险管理需要积极的落实到自治区烟草公司的各业务系统。只有贴近具体业务系统,对业务系统的重要性和特点有了清楚的定义和识别,风险管理才可能取得确实的成效。要将风险管理和业务系统联系起来,用安全域是一个比较好的解决思路。通过划分安全域,我们可以将网络根据业务系统、功能和重要性划分成不同的层次,并且不同的安全域面临的是不完全相同的安全风险,关注程度和解决的方法也就不同。
5.4.1安全域基本概念
一般常常理解的安全域(网络安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
如果理解广义的安全域概念则是,具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括:
网络区域
主机和系统
人和组织
物理环境
策略和流程
业务和使命
… …
5.4.2安全域划分的原则
安全域的理论和方法所遵循的根本原则:
5.4.2.1 等级保护原则根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障业务支撑的网络和信息安全。
在参考工信部等级保护的指导意见《TC260-N0015 信息系统安全技术要求》对安全等级的划分基础上,结合业务支撑系统的具体情况,安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
本文档定义了不同等级的安全域,对这些安全域的等级保护从业务数据流角度来看,要求高等级安全域允许向低等级安全域发起业务访问的请求,保证发送数据的机密性,鉴别低等级安全域的合法性,对接受的数据进行完整性校验,对业务操作进行日志记录与审计;低等级安全域向高等级安全域只允许受限访问,保证发送数据的完整性,对业务操作进行日志记录与审计。在基于等级保护原则同时遵循策略最大化原则。
5.4.2.2 业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。
5.4.2.3 结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。安全域划分不宜过于复杂。
5.4.2.4 生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
5.4.2.5 深度防御原则根据网络应用访问的顺序,逐层进行防御,保护核心应用的安全。
5.4.2.6 安全最大化原则针对业务系统可能跨越多个安全域的情况,对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级,即实现安全的最大化防护,同时满足多个安全域的保护策略。
5.4.2.7 分步实施原则分布实施原则:贯彻安全工作“统一规划,分步实施”的原则,根据自身情况分阶段落实安全域划分和边界整合的工作。
5.4.2.8 可扩展性原则当有新的业务系统需要接入业务支撑网时,按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。
5.4.2.9 安全域边界防护原则根据本文档提出安全域划分原则及相关标准,在不同安全等级的域间进行数据互访必须遵循以下防护原则。
归并系统接口
自治区烟草公司的网络目前确实存在边界不清的实际问题,在此情况下只有在保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界进行合理的整合,对系统接口的进行有效的整理和归并,减少接口数量,提高系统接口的规范性,才能做到“重点防护、重兵把守”,达到事半功倍的效果。
最小授权原则
安全子域间的防护需要按照安全最小授权原则,依据“缺省拒绝”的方式制定防护策略。防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性。
业务相关性原则
对安全子域的安全防护要充分考虑该子域的业务特点,在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。
如果子域之间的业务关联性、互访信任度、数据流量、访问频度等较低,通常情况下没有数据互访的业务需求,因此安全防护策略非常严格,原则上不允许数据互访。如果子域之间互访信任度、数据流量、访问频度等比较高,通常情况下业务关系比较紧密,安全防护策略可以较为宽松,通常允许受限的信任互访。
策略最大化原则
本文档针对各域分别制定了多项防护策略。核心域防护包括核心域与接入域边界和核心域各子域之间的防护,接入域防护包括接入域内部边界和外部边界的防护,当存在多项不同安全策略时,安全域防护策略包含这些策略的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。
5.4.3安全域理论
安全域划分以及基于安全域的整体安全工作,对自治区烟草公司具有很大的意义和实际作用:
安全域划分基于网络和系统进行,是下一步安全建设的部署依据,可以指导系统的安全规划、设计、入网和验收工作;
可以更好的利用系统安全措施,发挥安全设备的利用率;
基于网络和系统进行安全检查和评估的基础,可以在运行维护阶段降低系统风险,提供检查审核依据;
安全域可以更好的控制网络安全风险,降低系统风险;
安全域的分割是出现问题时的预防,能够防止有害行为的渗透;
安全域边界是灾难发生时的抑制点,能够防止影响的扩散。
早期在进行安全域的划分时,完全从一个业务单元或者行政机构的角度考虑。将自己的网络和系统看成内部网络,将所有的其他网络都作为不可信的网络来看待;将自己看成中心,然后基于这个观点进行整个系统的分析和安全部署。随着安全区域方法的发展,发现这样的方法难于构建全局的安全体系,局部的设计和实施经验也难于推广到全局,也难于借鉴。
“同构性简化”的安全域划分方法,其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些进行拼接、递归等方式构造出一个大的网络。“3+1同构性简化”的安全域方法是用一种3+1的网络结构元来分析自治区烟草公司网络的系统。(注:除了3+1构造之外,还存在其他形式的构造。)具体来说自治区烟草公司的承载网络和支撑系统按照其维护数据的分类可以分为安全服务域、安全接入域、安全互联域以及安全支撑域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
5.4.3.1 安全互联域连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。安全互联域的安全等级的确定与网络所连接的安全接入域和安全服务域的安全等级有关。
当一个网络所连接的安全服务域和安全接入域具有单一安全级别时,该安全互联域的安全等级应与该安全等级相同;
当一个网络所连接的安全服务域和安全接入域具有多安全级别时,应尽量组成不同安全等级的安全互联域,为这些安全服务域和安全接入域中的不同安全级别提供不同的支持;如果确实无法分别提供支持,则应按这些安全服务域和安全接入域中的最高安全级别提供安全支持,组成与最高安全级别相同安全等级的安全互联域。
主要需要解决的安全问题包括:网络设备的强壮性,防止被非法访问;防止网络的拥塞;防止线路的嗅探;防止成为恶意代码传播和扩散的载体等等。
安全互联域有时会将其他域的边界融合在本域中,因此,可能会以一种平台的方式存在。安全互联域由于主要起到承载作用,应当以通为主、以隔为辅。基于这样的防护原则,其中主要采用的安全措施包括:路由器本身的路由和过滤功能;交换机的ACL功能;线路的监测功能。在骨干上建议只监控流量,在接入端可以考虑监控入侵行为等等。
5.4.3.2 安全接入域由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来确定。
安全接入域的安全防护等级与其所能访问的安全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全防护等级应与这些安全服务域的最高安全等级相同。
安全接入域应有明确的边界,以便于进行保护。
主要需要解决的安全问题包括:用户主体的信任问题,也就是对于用户的身份认证;客户端主机的信任问题,也就是客户端是否被感染和侵占;安全接入域内,主机(包括客户端)之间的互相感染和影响;安全接入域内,一个客户端对于另外一些客户端的攻击和嗅探;安全接入域内,各个用户之间的混淆,导致非授权操作;安全接入域内的用户和客户端突破域的边界安全规则等等。
针对上述主要问题,在安全接入域内需要考虑如下一些防护要点,包括安全接入域内和安全接入域的边界。
安全接入域内的防护要点:
安全接入域内节点的加固,包括主机操作系统的补丁、主机和网络设备的安全配置等;进而可以部署补丁管理等强制系统。
安全接入域内节点的访问控制,主要是主机和网络设备管理的访问控制等;如果需要加强,还可以部署集中身份认证系统、一次登录系统(SSO)等,可以基于CA证书、或者口令卡等;
安全接入域内节点的防病毒;安全域内的主机都应当部署防病毒系统,可以考虑部署对于客户端的强制防病毒软件安装和强制升级和更新。
安全接入域内节点的防入侵;可以在客户端部署单机防入侵系统。
安全接入域内可以根据用户主体的分类,分成子域。对于非常不可信的用户和客户端,可以重点部署流量监控,以便能够最快地发现可能出现的蠕虫传播和拒绝服务攻击。
安全接入域内如果根据用户所操作业务分类进行子域划分,可以针对不同的子域进行应用的监控和审计;
安全接入域内防泄密;监控安全接入域客户的非业务流量,特别是进行文件和信息交换的协议,比如:电子邮件、FTP、WEB访问等。
安全接入域的边界防护,主要是要保证从安全接入域到其他域的访问都是由可信的用户从可信的客户端上发起的;同时还要保证安全接入域不受其他域的侵害和影响。
安全接入域和其他安全域之间边界和连线的防护要点:
安全接入域和内部的边界上需要安全网关,主要考虑访问控制的要求;这样的安全网关可以是路由器、防火墙、交换机的ACL等等。
对安全接入域边界上流经的数据进行检测,监测内容包括:入侵、病毒、蠕虫、流量、应用等;
在安全接入域边界上进行恶意代码防护;
安全接入域和其他安全域的互联方式可能需要加密传输,VPN就是一种常见的方式;
为了防止安全接入域内的用户突破或者绕过,需要建立防止客户端非授权访问的控制系统,如非法外联系统可以防止客户端通过拨号、无线网卡等方式绕过边界防护;
为了防止安全接入域内的用户互相嗅探并且越权操作,需要对用户和其相应的客户端进行分组。比如:对于用户分组后划入不同的VLAN就是一种方式等等。
5.4.3.3 安全服务域在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的基本依据。
根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。
主要需要解决的安全问题包括:服务器被入侵,完整性受到破坏;服务器被拒绝服务攻击;服务器成为恶意代码的传播载体;服务器成为垃圾的传播载体等等。
防护要点:安全服务域内节点的加固,包括主机操作系统的补丁、主机和网络设备的安全配置等;安全服务域内节点的访问控制,主要是主机和网络设备管理的访问控制等;访问控制机制要和安全接入域的鉴别机制之间相互结合;安全服务域内节点的防病毒:特别是基于windows平台的服务器;安全服务域内节点的防入侵;安全服务域内重要链路的流量监控;安全服务域内业务的监控和审计;服务域内防泄密;安全服务域内一些可能产生或者传播垃圾的服务器的防护,如:邮件服务器需要部署垃圾邮件过滤等等。
安全服务域和其他域之间边界和连线的防护要点:安全服务域边界上的安全网关,主要考虑访问控制的要求;安全服务域边界上的监测,监测内容包括:入侵、病毒、蠕虫、流量、应用等;安全服务域边界上的恶意代码防护;安全服务域中的服务器和其他域的服务器发生业务关联时,很可能需要考虑加密传输等等。
5.4.3.4 安全支撑域为整个IT架构提供集中的安全服务,进行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认证中心、安全管理中心等。
主要需要解决的安全问题包括:安全支撑域要能够对于其他安全域提供必要的安全支撑;安全支撑域自身不能带来新的安全风险,要做好自身的防护。
安全支撑域不同于其他系统的独特性在于,安全支撑域会以代理Agent的方式或者提供调用服务的方式,插入(plug-into)到被监管的系统中。代理方式比如:业务支撑系统会放置计费前端服务器在业务系统中,安全监控系统会将IDS等检测引擎放置在被监控的网络中等等;调用服务方式比如:认证中心提供证书服务或者其他认证服务。
为了能够保证这种插入机制的正确和安全,要确保插入的功能对于被监管的系统不产生不良的影响;同时还要确保插入的点不会使安全支撑域受到被监管系统的影响。因此插入点和安全支撑域之间常常需要采用相应的安全措施,比如:带外管理:即插入点到安全支撑域之间建立单独的物理链路或者vpn连接;链路加密:插入点和安全支撑域之间的数据传输和命令传输都使用加密传输,比如采用ssl等;插入点自身安全性:插入点对于安全支撑域来说属于域外的飞地,因此对于插入点要能够做到比较强的安全性,其产品的安全性可以用CC的等级来描述。
5.5统一认证授权系统技术方案统一认证系统通过动态口令卡、PKI数字证书、IC卡等多种通用认证手段对用户进行身份验证,是一个对企业内部系统及网络设备的各种访问进行统一认证、授权、审核的企业级认证服务平台,能够确保企业用户访问各种资源的安全性,全面的实施和贯彻用户制订的资源访问策略。
根据自治区烟草公司网络系统现状和安全需求,提出解决方案如下:
5.5.1.1 认证服务器高可用性部署在自治区烟草公司现有网络系统结构的基础上,部署两台MS Windows 2003服务器,安装统一认证子系统,形成两台相互复制的认证服务器,用以实现冗余备份及负载分担。同时,启用认证服务器内置的RADIUS Server,做好为主机、网络设备等资源提供身份认证的准备工作。
整体上,由这两台认证服务器提供网络系统中的认证、授权、审核以及用户管理。两台认证服务器之间自动进行同步数据复制,确保数据的整体完整和协调一致。当用户需求增加,两台服务器已经不能满足大量的认证请求时,或需要考虑高可靠灾难冗余时,统一认证系统可以简单、迅速的增加镜像服务器的数量,近乎无限的扩充认证的支持数目,确保用户的投资得到保护。
正常工作状态下,客户端的请求按照配置的权重自动分配到两台认证服务器上,用以降低单台服务器的工作负载,提高系统的运转性能。当某台认证服务器出现故障时,另外一台服务器零间隙、无延时的自动接管原故障服务器的认证服务,直到故障服务器恢复正常。无论在正常工作状态下,还是发生单机故障时,SPA系统的每台服务器上均可以独立完成全部的系统管理任务,真正实现认证系统的高可用性。
5.5.1.2 统一身份认证身份认证是保护业务系统中非常重要的一个部份。再安全的网络环境下,用户的身份信息被人盗取,那么业务系统中的所有信息的机密性也就无从谈起。
为了解决传统静态口令认证存在的各种弊病和安全隐患,统一认证系统采用多因素身份认证方式--动态口令认证来加强用户对各种系统访问前的身份认证问题。多因素包括:
用户必须持有认证器――口令牌
用户认证器的保护――保护口令牌的PIN码
用户登陆的信息――口令牌生成的口令
用户登陆信息的变化――口令牌每次生成的口令不同
通过这些多种因素的组合,确保用户登陆时就是其本人,而不是因非法用户盗取得到的口令而登陆系统。
对于自治区烟草公司这种大型企业来说,内部的应用和人员角色都很多,反映到IT系统中会导致不同的认证强度的要求,在后续的使用过程中会需要按照每个应用的实际要求来确认认证强度。除动态口令之外,统一认证系统在同一台认证服务器中还支持其他几乎所有已知的认证方式,如:静态口令;基于同步方式的动态口令;基于异步方式的动态口令(挑战-应答);IC卡;数字证书;USB口令牌;IP地址;短信认证;生物辨认技术。
通过在一个平台上支持多种身份认证手段,来实现对用户统一的身份认证和统一的身份管理。
5.5.1.3 集中账号口令管理
统一认证系统采用动态口令的认证方式来解决传统的静态口令存在的诸多弊病,如口令易泄漏,多人使用同一账号和口令等问题。
在介绍此方案之前,我们先确定如下两个概念:
自然人账号:企业人员唯一的账号信息
资源账号:资源系统内部账号信息
在自治区烟草公司网络系统中,为每人颁发一个硬件口令牌,摈弃原有的静态口令认证方式,用户无需再记忆自已的口令,每次登陆系统时,只需输入从硬件口令牌中得到的口令即可。管理人员也无需定期通知用户修改口令,因为动态口令本身每次登陆时使用的是不同的口令。用过的口令立刻作废,不能再使用。这样完全解决了要求用户密码定期修改的问题。也解放了管理人员在这方面的工作。
通过管理控制台,为所有IT支撑网系统中需要认证的用户建立账号(我们称之为自然人账号),设置用户的各种属性,并将每个自然人账号上分配一个硬件口令牌。同时在各个需访问的系统上(网络设备或主机)为每一个用户建立一个账号(我们称之为资源账号),将资源账号与统一认证上建立的自然人账号绑定。用户登陆系统时必须使用统一认证系统上建立的自然人账号,并用自己的令牌才可登陆。彻底解决多人使用同一账号和口令的问题。规范了管理流程。
通过统一认证系统的策略管理组件,管理人员可以设置动态口令安全策略:
动态口令的长度
动态口令的组合方式:数字、字母还是数字字母的混合
保护动态口令牌的PIN码长度
动态口令工作方式:同步,挑战/应答
对用户的管理:为方便管理需求,可以实现对用户的集中管理,分级管理,委托管理和远程管理。
集中管理: 统一认证系统的系统管理员可以轻松的管理多个统一认证系统上的用户,不论在企业的管理中心或是其它地方,在自治区烟草公司网络中可以建立一个中央控制台来管理所有的用户。
分级管理:可以将用户分成组,并为每一个组指定本地管理员,这个管理员只可管理本组而不能管理其他的组。
远程管理:通过远程连接方式,对下属地区的用户实现远程管理。
委托管理:对于临时的工作,可以委托他人管理用户信息。
5.5.1.4 统一认证和授权统一认证系统可以作为一个集中的认证和访问控制入口,为所有的用户进行认证和授权。并对用户的访问做集中的控制。首先确认用户的身份,然后控制用户能去什么地方、哪些系统和网络资源该用户可以访问。统一认证系统根据用户的任务以及与组织的关系来提供粒状授权,来控制用户可能访问什么,不可以访问什么。 没有通过统一认证系统检验和授权的访问将不被送到后台真正的各种系统上。集中认证和访问控制流程如下:
1.在统一认证系统管理平台上注册自治区烟草公司网络系统内的IT资源;
2.对每一个用户选择为动态口令认证方式;
3.为用户分配其可访问的IT资源,包括拨号服务器、路由器、交换机,防火墙、主流的UNIX系统主机、VPN、Windows系统、B/S结构的应用系统,C/S结构的应用系统等。
4.设置安全访问策略,统一认证系统提供基于角色的访问控制策略,管理员可以根据用户的身份、所属组织或访问动作的属性来制定访问策略。制定详细的访问控制规则。如:
角色授权,属于什么角色的人可以访问什么系统
时间授权,什么时间段可以访问哪个系统
使用何种认证方式(或认证器)的人可以访问哪个系统
可以对哪个IP地址的系统访问做控制
合作伙伴可以从哪个VPN系统进入进行访问等
尽管统一认证系统可以对自治区烟草公司网络系统中的所有网络设备和系统进行认证和访问控制,但在第一阶段,我们建议先对系统管理员,第三方接入人员,以及操作权限较高的人员进行认证和管理。对于系统来讲,我们建议,先对核心网络设备,主机和VPN接入及重要的Web系统做访问控制。具体配置和实现如下描述:
5.5.1.4.1网络设备的身份认证及授权在需要保护的骨干路由器、中心交换机、防火墙等网络设备中配置使用RADIUS验证,将RADIUS服务器指向到统一认证系统内置的RADIUS Server。从而为网络设备的访问提供身份认证和授权。为网络管理员配置硬件令牌卡。
不同的网络设备通过标准的RADIUS协议使用统一认证系统服务器进行身份认证,由于统一认证系统系统动态口令的优势,网络管理员可以利用令牌卡进行远程登录,如果使用基于挑战-应答的异步密码方式,由于密码根本不在传输过程中出现,从而可以彻底避免密码在网络中明文传输和泄漏的问题。
网络设备身份认证的系统结构
5.5.1.4.2主机系统的身份认证及授权
自治区烟草公司网络系统中有大量的核心服务器,对这些服务器的管理需要通过远程Telnet或本机登录认证。应用系统的管理员管理着业务系统主机,承担很大的安全风险。主机也是不法分子最好的目标,因此,加强主机的安全保护十分重要。在服务器主机上安装统一认证系统的登录代理软件,并做好相应的配置。
系统管理员通过终端登录到服务器主机的时候,或使用Ftp, rLogin, SSH, X Window, Su登录系统时,登录代理软件将认证请求转发至统一认证系统,在统一认证系统对用户的身份进行有效核实后,将认证的结果转发给服务器主机,允许或拒绝用户进入,同时在系统日志中记录认证的全部过程。通过动态口令认证的方式,确保能够限制未经授权的用户无法登录到服务器主机上。
Unix系统的身份认证结构图
5.5.1.4.3远程接入或VPN接入用户的认证及授权
自治区烟草公司网络系统存在一些远程接入人员,一些是内部的移动办公人员,还有一些是代维的第三方人员,他们都需要通过外网接入自治区烟草公司网络,进行远程访问。对于这些人员有的是通过VPN接入,有些是通过拨号路由器拨号接入。
VPN系统提供自治区烟草公司网络的安全通道,使得从外网访问用户访问内部网络上的应用服务更加简单,数据传输更加安全。但同时带来的安全隐患也是不容忽视的。一旦非法用户通过某种手段得到合法用户的密码,他们就可以通过VPN自由出入企业的内部网络,利用黑客工具,收集企业机密信息,攻击应用服务器,有可能造成非常严重的后果(例如:破坏关键服务器,盗取重要数据等等)。我们建议使用统一认证系统的动态口令来解决VPN系统的拨号系统存在的严重安全缺陷。
在VPN网关上或是拨号路由器上配置使用RADIUS验证,将RADIUS服务器指向统一认证系统内置的RADIUS Server,不用对现有网络结构进行任何调整,就可将VPN用户与统一认证系统相结合,对使用VPN接入的用户实现了高强度的安全身份认证。
对于VPN产品同统一认证系统的集成,我们已经有很多的案例。无论是IPsec VPN,PPTP,还是SSL VPN,都能很好的同统一认证系统结合。
图:远程接入认证系统结构图
5.5.1.4.4数据库管理的身份认证及授权数据库是业务运营的重中之重,而数据库的管理也存在着身份认证的要求。传统的静态口令认证方式迫使数据库管理员记忆大量的复杂密码,要不就是所有管理用户都使用同一个密码,显然这增加了管理人员的工作强度或者降低了系统安全性,二者不能兼顾。由于工作的需要,数据库管理人员经常需要通过远程控制台等方式连接到数据库进行操作,对于非加密的远程连接,输入的静态密码在网络中是明文传播的,很有可能被窃听并非法利用,形成安全隐患。
在需要保护的数据库中配置使用RADIUS验证,将RADIUS服务器指向到统一认证系统内置的RADIUS Server,从而为数据库的访问提供身份验证。
为数据库管理员配置硬件令牌卡。管理员可以利用令牌卡进行本地或远程登录,即使密码在远程传输过程中被窃听,由于动态密码是一次作废,非法用户窃听到的口令已经失效,彻底避免了盗用口令的隐患。
数据库管理用户身份认证结构图
5.5.1.4.5基于Web的运营系统的身份认证及授权
对于自治区烟草公司网络系统上基于Web的运营系统,可以采用统一认证系统的Web登录代理将统一认证系统和运营系统相集成。
Web登录代理是安装在Web Server前端提供反向代理功能的软件。它和后端的Web Server在对Web请求的处理上面是分离的,首先由Web登录代理截获Web用户的访问请求,将用户的信息送到统一认证系统,如果经过判断这个用户为合法用户,那么统一认证系统将用户对Web页面访问权限和相关信息传递给Web登录代理 ,Web登录代理对用户Web请求进行判断,然后将允许的Web请求传递到Web Server上,Web Server对用户的请求做出相关的回应,从而实现对Web访问用户的身份认证和访问控制。
在不影响任何业务应用的前提下,将Web登录代理安装在Web服务器前端,同时,我们建议在客户端:
为内部人员分配硬件令牌卡,提供安全保障并便于携带使用。
为代理商分发硬件令牌,该令牌带有钥匙扣,携带方便,同时可以用硬Pin码保护,能够支持同步口令和异步挑战-应答口令,在保证安全需求前提下,方便使用分发。
在Web登录代理系统中为基于URL的访问制订灵活、缜密的访问策略,为业务应用提供针对Web的访问授权。
图5 Web系统的身份认证结构
5.5.1.4.6基于C/S结构的业务系统的身份认证
在自治区烟草公司网络中同时也存在大量的基于C/S结构的业务系统,业务操作员通过Client端和Server端建立连接,进行相应业务方面的处理。目前的业务系统操作人员还是使用固定密码访问系统,一旦密码泄漏,对业务系统的安全运行以及内部数据的保密将构成严重威胁。
鉴于业务系统在网络系统中所处的重要位置,我们建议对这些业务系统也实施统一身份认证。对于C/S结构的应用,需开发一个适用于不同业务系统的代理Agent,此代理的作用是截获用户的访问请求,并转发给统一认证服务器,使其对动态口令进行验证。使用统一认证系统提供的SDK,可以非常容易的实现业务系统和统一认证系统的无缝结合。SDK 包含源代码、文档、所有可使用的计算机操作系统平台清单,包括MS WINDOWS和大部分UNIX 平台,源代码的版本可根据需要而升级。
在业务系统服务器上安装好Agent后,当操作员连接到业务系统时,服务器获取操作员的用户户名和密码,并且通过加密方式将其传送到统一认证服务器,由统一认证服务器比较服务器送来的用户名和动态密码是否和统一认证服务器中的用户名及生成的动态密码相一致,从而确认用户的身份是否正确,并将认证结果(是或否)返回给业务系统服务器,同时将认证过程记录于统一认证系统日志中,业务系统服务器收到认证服务器返回的认证结果,根据其认证成功与否决定是否允许用户调用应用系统中的应用程序。
通过实施基于动态口令的身份认证,加强了业务系统的整体安全性,为业务系统的安全运行提供了强有力的保证。
图:C/S结构业务系统认证结构图
5.6自治区烟草公司网络安全评估5.6.1.1 风险评估简介风险评估是风险管理的重要组成部分,要想更好地理解风险评估,首先要了解风险管理。
风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。风险管理过程如图所示。
图:风险管理过程
风险评估是对组织存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果,是风险管理的重要组成部分,是信息安全工作中的重要一环。我们所理解的风险关系如图所示,其意义为:
1)资产具有价值,并会受到威胁的潜在影响;
2)薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成影响;
3)威胁与薄弱点的增加导致安全风险的增加;
4)安全风险的存在对组织的信息安全提出要求;
5)安全控制应满足安全要求;
6)组织通过实施安全控制防范威胁,以降低安全风险。
风险关系图
在上述关系图中:
资产指组织要保护的资产,是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。
弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足,它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。
威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。
安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。
安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。
通常安防措施只是降低了安全风险而并未完全杜绝风险,而且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险(RR)的存在,这样,系统安全需求的确定实际上也是对余留风险及其接受程度的确定。
5.6.1.2 评估目的进行风险评估的目的通常包括以下几个方面:
❑了解组织的管理、网络和系统安全现状;
❑确定可能对资产造成危害的威胁,包括入侵者、罪犯、不满员工、恐怖分子和自然灾害;
❑通过对历史资料和专家的经验确定威胁实施的可能性;
❑对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
❑对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
❑明晰组织的安全需求,指导组织建立安全管理框架,提出安全建议,合理规划未来的安全建设和投入。
5.6.1.3评估内容评估内容包括如下方面:
❑通过网络弱点检测,识别信息系统在技术层面存在的安全弱点。
❑通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息,并进行相应的分析。
❑通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的信息安全管理状况。
❑通过对以上各种安全风险的分析和汇总,形成组织安全风险评估报告。
❑根据组织安全风险评估报告和安全现状,提出相应的安全建议,指导下一步的信息安全建设。
5.6.1.4评估时机在信息系统的生存周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估:
❑在设计规划或升级至新的信息系统时;
❑给目前的信息系统增加新应用时;
❑在与其它组织(部门)进行网络互联时;
❑在技术平台进行大规模更新(例如,从Linux系统移植到Solaris系统)时;
❑在发生计算机安全事件之后,或怀疑可能会发生安全事件时;
❑关心组织现有的信息安全措施是否充分或是否具有相应的安全效力时;
❑在组织具有结构变动(例如,组织合并)时;
❑在需要对信息系统的安全状况进行定期或不定期的评估、以查看是否满足组织持续运营需要时等。
5.6.1.5指导原则在风险评估中遵循以下一些原则:
❑标准性原则
评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。
❑可控性原则
评估过程和所使用的工具具有可控性。评估项目所采用的工具都经过多次评估项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有很好的可控性。
❑整体性原则
评估服务从组织的实际需求出发,从业务角度进行评估,而不是局限于网络、主机等单个的安全层面,涉及到安全管理和业务运营,保障整体性和全面性。
❑最小影响原则
评估工作做到充分的计划性,不对现网的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
❑保密性原则
从公司、人员、过程三个方面进行保密控制:
⏹公司双方签署保密协议,不得利用评估中的任何数据进行其他有损甲方利益的用途;
⏹人员保密,公司内部签订保密协议;
⏹在评估过程中对评估数据严格保密。
5.6.1.6 参考标准与风险评估有一定关系的信息安全标准也是我们的重要参照。它们或者在基本概念上,或者在信息安全管理上,为我们提供了国际化的准则。这些标准包括:
❑AS/NZS 4360:1999 风险管理指南——澳大利亚和新西兰关于风险管理的标准。
❑NIST SP 800-30——美国国家标准和技术学会(NIST)开发的信息技术系统风险管理指南。
❑NIST SP 800-26——美国国家标准和技术学会(NIST)开发的信息技术系统安全自我评估指南。
❑ISO17799——由英国标准协会BSI(British Standard Institute)开发的,后来成为信息安全管理体系的国际标准。
❑BS7799-2——由英国标准协会BSI(British Standard Institute)开发的信息安全管理标准。
❑OCTAVE——Operationally Critical Threat, Asset, and Vulnerability Evaluation,由美国卡耐基梅隆大学软件工程学院开发的一种风险评估方法。
❑BS15000(ITIL)——信息系统服务管理
❑ISO13335——信息技术-IT安全管理指南。
❑G51——安全风险评估及审计指南
❑ISO15408 / CC
❑GB/T 18336——信息技术 安全技术 信息技术安全性评估准则
❑GB 17859-1999——计算机信息系统安全保护等级划分准则
5.6.1.7风险评估模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准,建立安全风险管理流程模型、安全风险关系模型和安全风险计算模型,共同组成安全风险模型。本模型分别从风险管理的流程,描述风险评估、风险管理的标准规范流程;从安全风险的所有要素:资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响;在安全风险计算模型中详细具体地提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险评估矩阵得出安全风险。
安全风险管理过程模型如图所示。
图:安全风险管理过程模型
风险评估过程
组织的信息安全评估包括技术评估和管理评估。风险评估包括资产评估、威胁分析、弱点分析、风险计算等方面。
安全风险报告
提交组织安全风险报告,获知组织安全风险状况是安全评估的主要目标。通过上述描述的重要过程,向组织提交组织风险评估综合报告,主要目的是提供风险列表,归类风险等级。
风险评估管理系统
根据对组织安全风险分析与风险评估的结果,建立组织的风险评估管理系统RAMS,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。风险评估管理系统还包括设备弱点库和弱点资料库。风险评估管理系统提供WEB方式的用户操作界面。
安全需求分析
根据组织安全风险评估报告,确定组织的有效安全需求。获知组织需要立即解决的安全问题,获知组织面临的巨大安全威胁,获知组织将有可能面临的巨大经济损失,和潜在的重要安全影响等。同时在考虑组织安全建设投资的合理性、针对性、适当性、有效性。
安全建议
依据风险评估结果,提出相关建议,协助构建组织安全体系结构,结合组织本地、远程网络架构,依据策略,为组织制定完整动态的安全解决方案提供参考。考虑的方面包括物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等内容,并且注重高可用性、动态性、整体性。
风险控制
根据组织安全风险报告,结合组织特点,针对组织面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。风险控制包括降低、控制、转移风险,以及不加控制的残余风险。通过风险控制最终使系统风险转变为可以接受的残余风险。在降低风险的需求和风险控制的代价之间取得平衡。风险控制措施通常也可以放在风险评估报告中,通过与相应风险对象的对应,可以使得用户知道为什么选择该措施。
监控审核
在整个组织的风险管理过程中,每一个步骤都需要进行监控和审核程序,保证整个评估过程的规范,安全,可信。监控和审核任务将由组织组建的风险评估项目组以及特别专家组执行。
沟通、咨询与文档管理
对于整个风险管理过程的沟通、咨询是保证风险评估项目成功实施很关键的因素。在整个风险管理、评估过程中,针对每一个步骤应该交流风险管理经验,同时形成相关文档,保留资料。在项目进展过程中,风险评估的方法和结果可能发生变化,所以,详细而完整的文档和材料非常重要。
5.6.1.8评估成功的关键因素对于风险评估而言,其有效实施有一揽子关键要素,这些要素将有助于组织的高层管理和职员积累其独到有效的经验,以确保风险评估的有效实施以及采取恰当的补救控制措施。
❑需要高层领导的大力支持和参与
如果想让单位的各执行层对风险评估寄于充分的关注,想让评估实施期间有足够的可利用资源,想让评估的结果映射到政策和控制管理上的相应调整变更,就必须赢得高层领导的大力支持和足够的重视。它具体表现在几个环节,如:
a)在着手于评估项目的启动期时,首先必须考虑到评估实施的范围和负责参与的人员;
b)在得到评估的结果后,采取即时应对措施和控制策略,并致力于每项评估实施范围的决策并对评估结果采取即时的应对措施。
❑业务管理部门的核心作用
风险评估的启动及随之控制策划的实施,业务管理部门都起着不可忽视的作用。在降低风险的有效措施,确定评估具体时间的问题上,业务管理部门最具有发言权。业务管理部门从各种信息渠道,包括前期风险评估的结果中实施每年一次的风险管理策划。它为实施风险评估,为指定专员疏通、协调和实施风险评估活动,为指定操作系统设定风险基线的有效实施奠定了坚实的基础。
❑浓缩评估的范围
评估的范围不在于立即对组织操作所涉及的整个范围内进行一次规模宏大的风险评估,而在于对关于业务的几个环节实施一次“浓缩性的评估”。因此,评估的范围可能仅包含一些特定的业务管理部门、系统、设备或逻辑上相关的一整套操作系统。
❑评估结果的有效管理
需对风险评估的结果进行有效的管理,以确保评估结果的可用性。首先是文件化的管理,以确保在涉及管理层决策时有法可依。其次,也是更重要的,由于评估结果往往在形成文档后内容较多,难于翻看,往往对实际工作的指导有限。这时需要对资产信息、安全威胁信息、安全弱点信息、评估结果进行统一的管理,通过建设风险评估管理系统(RAMS)来实现。风险评估管理系统是风险评估过程和结果管理的基础性必备工具。
❑风险评估的实施方法
为更好地实施风险评估,须制定一套标准的实施方法,如图表、问卷标准化的汇报模式并利用软件工具,它们有助于评估启动期间的顺利执行,确保实施方法的连贯性和一致性。它们大部分是便于访问和存储的电子档案。
5.6.1.9评估内容和过程5.6.1.9.1评估内容和阶段从评估对象这个角度,评估内容要覆盖组织所有节点中的重要信息资产。它包括两个层面的内容:
❑技术层面:评估和分析在网络和主机上存在的安全技术风险,包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。
❑管理层面:从组织的人员、组织结构、管理制度、系统运行保障措施,以及其它运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。
风险评估过程划分为四个大的阶段:制定项目计划与培训、收集资料、风险分析、形成评估报告。其中,风险分析又可细分为如下六个步骤:
❑步骤一:资产识别与赋值
❑步骤二:弱点分析
❑步骤三:威胁分析
❑步骤四:已有控制措施分析
❑步骤五:可能性及影响分析
❑步骤六:风险识别
形成评估报告阶段包括提出控制建议和形成评估结果文档两个步骤。下图表示了风险评估的过程和步骤。
建设风险评估管理系统RAMS,作为对风险评估过程和风险评估结果管理的基础性必备工具,实现对资产信息、安全威胁信息、安全弱点信息、评估结果的统一管理,是有效管理评估过程、合理利用评估结果的重要手段。
图:风险评估过程
5.6.1.9.2制定计划与培训在评估安全风险前,应就筹备、监督和控制等工作制定计划,并请评估者对被评估单位的相关人员进行培训。主要工作包括:
❑进行培训交流
❑确定项目范围和目标
❑提出工作限制要求
❑确定参与各方的职务和职责
❑项目进度安排
❑确定项目协调会制度
5.6.1.9.2.1 培训风险评估是一个复杂的过程,涉及组织的各个方面,主观因素较强。评估参与各方,包括组织的高层主管、技术主管、一般人员,对评估的要求和理解可能是不一样的,对评估结果的期待可能是不一致的、甚至是矛盾的。为此,在评估之前,对被评估单位的相关人员进行培训,让他们了解信息系统风险评估的含义与意义,与他们沟通评估的目的、过程,并明确需要他们配合的工作内容,是非常关键的。
5.6.1.9.2.2 项目范围和目标风险评估的范围可能涵盖内部网络与因特网的连接、业务网络的安全保护措施,直至整个单位的信息技术安全状况。因此,明确评估目标是风险评估成果的关键步骤,应首先确定组织的目的,如:是否要确定内部网络与因特网连接时的安全要求和保护措施、找出业务网络存在的潜在风险、或评估单位的整体信息技术安全水平。
5.6.1.9.2.3 工作限制要求各种工作限制包括时间、财政预算、技术因素等均须加以考虑。这些限制可能影响项目的进度安排和支持评估的可用资源。例如,技术评估可能要在非繁忙办公时间,甚至非办公时间进行。
5.6.1.9.2.4 项目进度安排评估的最重要步骤之一是制定项目的进度安排。进度安排列明评估项目将要进行的所有重要工作。预定的项目规模,例如项目成本和参与项目的人数均可直接影响项目进度安排。项目进度安排可用来控制进度和监督项目。
5.6.1.9.2.5 项目协调会应确定由项目负责人定期组织的项目协调会制度。项目协调会就上次例会所确立的事项进行监督检查,并对存在的项目实施问题予以协调,确定解决方案和进度安排;遇有紧急情况,项目总协调人可随时召集项目协调会议。每次会议出具会议纪要,交各相关单位备案。评估工作启动时会召开首次项目协调会。
5.6.1.9.3收集资料收集资料的目的在于了解现有系统和状况,并通过分析所收集的资料/数据,以确认风险所在,它是参与风险评估的双方就资产、弱点、威胁达成一致认识的第一步。收集资料需要花费大量的时间用于确认相关信息,因此,合理利用访谈、调查问卷等手段可以事半功倍。
评估小组与组织相关人员进行沟通,以了解组织的基本情况(包括组织使命、主要业务、机构设置、区域分布等),理解本次评估的目的和组织对本次评估的期望,获得将要评估的系统的基本信息(功能用途、所处理的信息或所提供的服务)。同时,评估小组与组织相关人员对组织信息系统的构成进行分析,鉴别信息系统的物理边界和逻辑边界,完善网络结构,收集与信息系统有关的各种组件的软硬件、相关介质、使用/管理该信息系统的人员等信息,分析系统的信息流,鉴别各应用之间的依存关系。
通过与组织相关人员的沟通,评估小组鉴别组织里目前存在着的与信息安全工作有关或有助于本次风险评估工作的文档,并通过被评估组织的协调员收集这些文档以进行分析。文档的鉴别和收集可能发生在整个评估过程中,本阶段的文档鉴别收集仅仅是资料收集的开始。在评估的过程中,评估小组通过访谈等多种方式,可能还将获得其它的文档信息。
5.6.1.9.3.1 收集资料的方法根据项目范围,收集相关资料的方法包括:
❑问卷调查
❑与各级人员进行访谈
❑小组讨论
❑文档查看
❑现场勘查
5.6.1.9.3.1.1问卷调查问卷调查和清单是有效的简单工具,用来判断是否需要更详尽风险评估。调查问卷(Questionnaire)由一组相关的封闭式或开放式问题组成,用于在评估过程中获取信息系统在各个层面的安全状况,包括安全策略、组织制度、执行情况等。
5.6.1.9.3.1.2人员访谈评估小组与被评估组织内有关的管理、技术和一般员工进行逐个沟通。根据对评估人员所提问题的回答,评估人员为评估获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。
通过访谈管理和技术人员,评估人员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,不同于调查表,评估人员可以广泛提问,从多个角度获得多方面的信息。
5.6.1.9.3.1.3小组讨论评估小组与被评估组织的若干人员进行交流,从而获得相关信息或就某些问题达成共识。
5.6.1.9.3.1.4文档查看为了分析业务系统现有的或计划采取的安全控制措施,需要查看策略文档(例如政策法规、指导性文档)、系统文档(例如用户手册、管理员手册、系统设计和需求文档)和安全相关文档(例如以前的审计报告、风险评估报告、测试报告、安全策略、应急预案)等。
5.6.1.9.3.1.5现场勘查评估人员也可对办公环境和机房内设备作现场检查,或观察人员的行为或环境状况、系统命令或工具的输出,寻找是否有违反安全策略的现象,比如敏感文件随意放置、人离开电脑不锁屏幕、设备的网络连接情况等。根据现场勘查的结果,获得相应评估信息。
5.6.1.9.4 风险分析风险分析有助确定资产价值及资产的相关风险。风险分析程序一般可分为如下几步:
❑资产识别与赋值
❑威胁分析
❑弱点分析
❑控制分析
❑可能性及影响分析
❑风险识别
下面将阐述风险分析的各个阶段。在风险分析的各个阶段中,有大量的数据需要进行数据化的分析,需要以合理的结构存储,并利用自动化的工具来处理。风险评估管理系统RAMS是进行数据收集、数据处理、评估信息管理,并提升评估结果可用性的一种非常必要的工具。
5.6.1.9.4.1 资产识别与赋值资产是构成整个系统的各种元素的组合,它直接地表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。评估小组采集资产信息,确定系统划分原则和等级评估原则,并与组织共同确认系统和CIA等级划分。
资产识别和赋值的目的就是要对组织的各类资产做潜在价值分析,了解其资产利用、维护和管理现状;明确各类资产具备的保护价值和需要的保护层次,从而使组织能够更合理地利用现有资产,更有效地进行资产管理,更有针对性地进行资产保护,最具策略性地进行新的资产投入。
风险评估范围内的所有资产必须予以确认,包括数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产。考虑到应用系统是组织业务信息化的体现,因此将应用系统定义为组织的关键资产。与应用系统有关的信息或服务、组件(包括与组件相关的软硬件)、人员、物理环境等都是组织关键资产——应用系统的子资产,从而使得子资产与应用系统之间更加具有关联性。
5.6.1.9.4.1.1资产类别各项资产可归入不同的类别,归类的目的是反映这些资产对评估对象系统或领域的重要性。依据资产的属性,主要分为以下几个类别:
❑信息资产
信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、用户存储的各类电子文档以及各种日志等等,信息资产也包括各种管理制度,而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。
❑软件资产
软件资产包括各种专门购进的系统与应用软件(比如操作系统、业务系统、办公软件、防火墙系统软件等)、随设备赠送的各种配套软件、以及自行开发的各种业务软件等。
❑物理资产
物理资产主要包括各种主机设备(比如各类PC机、工作站、服务器等)、各种网络设备(比如交换、路由、拨号设备等)、各种安全设备(比如防火墙设备、入侵检测设备等)、数据存储设备以及各类基础物理设施(比如办公楼、机房以及辅助的温度控制、湿度控制、防火防盗报警设备等)。
❑人员资产
人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分,它主要包括组织内部各类具备不同综合素质的人员,包括各层管理人员、技术人员以及其他的保障与维护人员等。
5.6.1.9.4.1.2资产价值资产分析是与风险评估相关联的重要任务之一,资产分析通过分析评估对象——资产的各种属性,进而对资产进行确认、价值分析和统计报告。简单地说资产分析是一种为资产业务提供价值尺度的行为。资产价值可以下列方式表达:
❑有形价值,例如重置成本
❑无形价值,例如商誉
❑信息价值,例如保密性、完整性及可用性
5.6.1.9.4.1.3资产管理资产作为风险评估的基本对象,从宏观上,资产定义为组织内任何需要保护的对象,包括有形资产和无形资产。在实际评估过程中,有可能将共同服务于特定业务功能或者具有共同属性的几个独立单位的资产看作一个资产组(业务、系统、区域)。
资产识别与赋值是制定资产清单的首要步骤。资产清单以有形价值和无形价值反映资产的相应价值,或以保密性、完整性及可用性等显示资产的信息价值。清单所列的资产价值越精确,完成资产识别与赋值步骤所需的时间也越长。
资产信息还有助于组织对资产的后续管理。为了有效管理资产信息,利用风险评估管理系统RAMS进行单独的资产管理,并可与组织现有的资产管理系统结合,增加对资产安全属性的管理。
资产管理包括资产基本信息的管理、资产的归属属性管理(业务、系统、区域)、资产价值管理等。
5.6.1.9.4.2 弱点分析弱点是指于管理、操作、技术和其它安全控制措施和程序中使威胁可能有机可乘,以致资产因而受损的薄弱环节,例如第三方拦截传输中的数据,未授权访问数据等。
弱点分析的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷和弱点对系统安全策略造成危害的主体。弱点分析强调系统化地衡量这些弱点。
5.6.1.9.4.2.1弱点源弱点可能存在于硬件设备、软件程序、数据中,也可能存在于管理制度、安全策略等方面。因此,弱点包括两类:技术弱点和非技术弱点。
技术弱点主要是指操作系统和业务应用系统等存在的设计和实现缺陷。技术弱点广泛地存在于操作系统、数据库、网络设备、通讯协议等设备和系统中。
非技术性弱点主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。
5.6.1.9.4.2.2弱点分析手段弱点分析针对技术弱点和非技术弱点进行。
❑非技术弱点分析
非技术弱点分析主要采取调查表、人员访谈、现场勘查、文档查看等手段进行。首先要明确组织高层管理人员对组织重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。通过运作管理人员、组织职员进一步了解组织存在的这些弱点。
❑技术弱点分析
技术弱点分析可以采取多种手段,可选择以下手段收集和获取信息:
⏹网络扫描
⏹主机审计
⏹渗透测试
⏹系统分析
其中,需要注意渗透测试的风险较其它几种手段要大得多,在实际评估中需要斟酌使用。
❑网络扫描
网络扫描用于本地或远程检测系统可能存在的弱点。弱点扫描工具(Scanner)是一个或一组自动化工具,使用弱点扫描工具能够高效率地收集业务系统的信息。例如,一个网络端口扫描工具可以快速识别大量主机开放的服务,获得业务系统所涉及的每个IT设备的运行状态。网络扫描遵循扫描时间段选择、单点试扫、主备分开等原则。扫描结束后,提交经过分析的扫描报告,以及扫描原始报告。
❑主机审计
主机审计针对网络设备、主机、数据库进行,实施时采用脚本工具或人工参照审计手册进行。审计手册通常以检查列表(Checklist)的形式存在,用于人工检查系统存在的各种安全弱点,它针对不同的系统列出待检查的条目,以保证人工审计结果数据的完备性。需要时,也可利用入侵检测系统等工具进行网络审计,分析网络的安全运行状况,发觉配置和运行中的隐患。
❑渗透测试
渗透测试利用人工模拟黑客攻击方式发现网络、系统的弱点。需要注意,渗透测试的风险较其它几种手段要大得多,在实际评估中需要斟酌使用。
❑系统分析
系统分析主要指网络结构和边界分析,它是风险评估中对业务系统安全性进行全面了解的基础。一个业务系统的网络结构是整个业务系统的承载基础,及时发现网络结构存在的安全性、网络负载问题,网络设备存在的安全性,抗攻击的问题是整个业务系统评估的重要环节。
对评估对象的物理网络结构,逻辑网络结构及网络的关键设备进行评估(基本信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络管理),发现存在的安全性,合理性,使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络,由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外,鉴定关键网络拓扑,对于成功地实施基于网络的风险管理方案是很关键的。
5.6.1.9.4.2.3弱点管理应将所有弱点导入风险评估管理系统RAMS,进行弱点管理,并对评估过程中的各类弱点进行查询、统计。此外,通过对被评估对象两次弱点分析结果的比较,可以了解业务系统的安全状态在两次评估之间的变化,了解安全基线的变化情况。
维护基础的弱点信息库,为各弱点评估工具提供标准接口,兼容各种弱点扫描工具,能够导入各类工具得到的弱点评估结果。某些扫描器的弱点库在产品中是公开可获取的,如天镜网络漏洞扫描系统、Nessus等。
5.6.1.9.4.3 威胁分析威胁是指对系统或资产的保密性、完整性及可用性构成潜在损害,以致影响系统或资产正常使用及操作的任何事件或行动。威胁分析主要指在明确组织关键资产、描述关键资产的安全需求的情况下,标识关键资产面临的威胁,并界定发生威胁的可能性及破坏系统或资产的潜力。评估小组通过鉴别与各业务系统有关的网络,分析各业务系统可能遭受的内部人员和/或外部人员的无意和/或故意威胁;通过鉴别与各业务系统有关的网络以及可能的威胁源,详细分析各业务系统可能通过网络途径可能遭受的威胁。
5.6.1.9.4.3.1威胁源识别威胁会对资产造成危害,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。信息系统根据自身应用的特点和地理位置可能会面对不同的威胁源。常见的威胁源如下表所示。
ID
威胁源
描述
1
不可抗力
由于自然(洪水、地震、飓风、泥石流、雪崩、电风暴及其它类似事件)、环境(长时间电力故障,污染,化学,液体泄露等)、政治等因素造成的威胁
2
组织弱点
由于组织机构、行政制度等因素造成的安全威胁
3
人为失误
由于人员的技能、培训、无意识行为(疏忽的数据条目)等方面原因造成的安全威胁。
4
技术缺陷
由于信息技术、产品的设计、实现、配置、使用等造成的安全威胁
5
恶意行为
故意行为(基于网络的攻击、恶意软件上传、对保密信息未经授权的访问等)、人为造成的安全威胁
表1 威胁源分类
5.6.1.9.4.3.2威胁分析手段威胁获取的方法有:安全策略文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等。业务流程分析和网络拓扑分析以与组织交流为主进行,结合业务流程图和网络拓扑图,同时收集历史安全事件。评估人员可以根据具体的评估对象、评估目的选择具体的安全威胁获取方式。
5.6.1.9.4.3.3威胁管理威胁分析的整个过程以及威胁分析的结果(威胁源,威胁赋值),应与资产价值通过风险评估管理系统RAMS结合起来,同时管理识别的威胁源,以及由详细的威胁分类表构建的威胁库。
5.6.1.9.4.4 已有控制措施分析要产生一个总体可能性评价来说明一个潜在弱点在相关威胁环境下被攻击的可能性,就必须要考虑到当前已经实现或计划实现的安全控制。比如,如果威胁源的兴趣或能力级别很低、或如果有有效的安全控制可以消除或减轻危害后果,那么一个弱点(比如业务系统或流程中的薄弱环节)被攻击的可能性就低。
5.6.1.9.4.5 可能性及影响分析结合现有控制措施,与资产面临的威胁和存在的弱点结合起来,威胁具有两个属性:可能性(Likelihood)、影响(Impact)。评估小组和组织相关人员进行影响和可能性分析,以鉴别各业务系统对组织的相对重要性,分析各业务系统发生安全事件可能对组织的影响,创建影响评价准则,并确定各业务系统的保密性、完整性、可用性所需的防护级别。
5.6.1.9.4.5.1可能性分析可能性分析(或称可能性评估)是对威胁发生频率的估计,即威胁发生的或然率。可能性分析须观察影响风险发生可能性的环境。一般而言,威胁的可能性会随获授权用户人数的增加而提高。可能性是以发生的频率(例如每天一次、每月一次及每年一次)表达。威胁的可能性越高,风险也越高。
5.6.1.9.4.5.2影响分析度量风险级别的下一主要步骤是确定对弱点一次成功的攻击所产生的负面影响。影响分析(或称影响评估或后果评估)即估计可能发生的整体破坏或损失的程度。评估的影响包括收入、利润、成本、服务水平和政府声誉。此外还须考虑能够承受的风险水平,以及哪些资产会如何和何时受到这些风险影响。威胁的影响越严重,风险也越高。
业务影响分析是风险评估方法最关键的任务之一。它使得组织清晰理解各业务系统对他们的重要性,以及如果发生安全事件,将会对组织有什么样的影响,从而确定相应的安全需求。影响分析时,现有控制措施的存在和有效性也是应该考虑的重要因素。
5.6.1.9.4.6 风险识别从风险的定义可以看出,风险评估的策略是首先选定某项业务系统(或者资产)、评估业务系统的资产价值、挖掘并评估业务系统/资产面临的威胁、挖掘并评估业务系统/资产存在的弱点、进而评估该业务系统/资产的风险,得出整个评估目标的风险。撰写评估报告需要在这种分析的基础上找出风险的属性之间的关系,陈述综合分析结果。
我们把最终的风险级别最多划分为四级,并可用不同的颜色表示,如表所示。
符号
含义
建议处置、措施
表示颜色
E
极度风险
要求立即采取措施:避免?转移?降低?
红色
H
高风险
需要高级管理部门的注意:避免?转移?降低?
橙色
M
中等风险
必须规定管理责任:避免?接受?转移?降低?
黄色
L
低风险
用日常程序处理:避免?接受?转移?降低?
绿色
表2 风险级别和措施
确定风险程度后,便能够为已确认的各项业务系统/资产考虑技术、操作和管理上的解决方案清单。由于不可能完全杜绝风险,有关清单可成为接受、降低、避免或转移风险决策的依据。下表是可采取的风险处理措施。
评估结果
可选方案
描述
后果轻微/可能性低
可用性或其它因素比安全因素重要
接受风险
承担责任
不可承受的高风险
降低风险
减轻后果或减低可能性,或一起减低
风险过高,或费用过高,因而无法减低,也无法管理
避免风险
采用其它方法,或不再进行可能引发风险的工作
另一方愿意承受风险
另一方控制风险的能力更强
转移风险
将部分或全部风险责任转移给另一方
表3 风险处理方案表
5.6.1.9.5形成评估报告风险评估报告是风险评估结果的记录文件,是组织实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料。风险分析过程结束后,会形成风险评估报告。风险评估报告还可以包括风险控制措施建议、残余风险描述等。
5.6.1.9.5.1 控制建议采取可行的安全保障措施,可以将已找出的威胁和弱点的可能性及其影响减至可接受的水平。
评估小组根据不可接受风险级别的定义,鉴别组织存在的不可接受风险,分析可以控制不可接受风险的相应安全措施,最终组织参与人员根据评估小组所提的建议,结合组织的实际情况,确定适用于组织的安全措施,制定保护策略,最终形成控制建议。形成控制建议的目的是为组织制定保护策略,降低关键资产风险的方案,以及制定短期内的措施清单。
评估小组可以对组织目前的技术安全状况需要进行分析,并通过与组织相关IT人员的沟通,优先确认需要立即采取措施以修复的技术弱点,制定所存在的技术弱点及相应的安全建议。
可以从体系化的角度采取控制措施,例如依据风险评估结果建立纵深防御体系。常见的控制措施类型包括:
❑安全加固建议
这是一种有针对性的资产点对点风险减免。主要是通过各种技术手段来补救单个资产的弱点。
❑安全体系结构建议
这是从系统的角度来重要设计更安全的系统。主要通过更合理的网络结构与系统逻辑关系设计来补救整个系统的弱点。
❑安全管理建议
这是从管理的角度来保护资产不受威胁。主要通过把具有弱点而且难以补救的资产保护起来,不受威胁的影响,也就起到了降低风险的作用。
应该注意的是,并非所有可能的建议控制都可以被实现来降低损失。针对组织要确定哪一个控制是所要求的而且还是适合的,应对被提出的建议控制作一个成本收益分析,从而证明实现这些控制来降低风险级别在成本上是合理的。另外,在降低风险过程中,对引入这些建议控制所带来的操作影响(如对系统性能的影响)和可行性(如技术要求,用户的接受程度)等方面也要仔细评价。
5.6.1.9.5.2 评估结果文档一旦风险评估全部结束(威胁源和弱点已经被识别出来,风险也被评估,控制建议也已经提出),结果应该被整理为正式文档。
根据收集的信息和完成的分析,评估小组创建风险评估报告书,并向组织相关人员陈述本次风险评估结果,提出相应的安全措施建议,利用风险评估管理系统RAMS管理评估结果,使组织充分理解信息系统存在的风险,以尽早采取措施管理不可接受的风险,最终完成本次风险评估活动。
5.6.1.9.6评估过程风险控制在评估过程中,不可避免地会对评估对象造成影响,相应地会造成各种损失。这些影响包括信息泄漏、业务停顿或处理能力受损等。因此,必须充分考虑各种可能的影响及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。下表给出了评估过程中可能的风险与控制方式。
项目
可能的影响和方式
等级
控制方式(措施)
备注
资产评估
资产信息泄漏
高
合同、协议、规章、制度、法律、法规
安全管理评估
安全管理信息泄漏
高
合同、协议、规章、制度、法律、法规
应急安全评估
系统切换测试导致部分业务中断、部分数据遗失
高
和DBA、SA、NA协同工作
做好系统备份和恢复措施;
通知相关业务人员在相应时间段注意保护数据,并检查提交的数据是否在测试后完整;
可选
网络威胁收集
网络流量
低
控制中心与探测引擎直接连接,不占用网络流量
网络/安全设备评估
误操作引起设备崩溃或数据丢失、损坏
高
规范审计流程;
严格选择审计人员;
用户进行全程监控;
制定可能的恢复计划;
网络/安全设备资源占用
低
避开业务高峰;
控制扫描策略(线程数量、强度)
弱点扫描
网络流量
低
避开业务高峰;
控制扫描策略(线程数量、强度)
主机资源占用
低
避开业务高峰;
控制扫描策略(线程数量、强度)
控制台审计
误操作引起系统崩溃或数据丢失、损坏
高
规范审计流程;
严格选择审计人员;
用户进行全程监控;
制定可能的恢复计划;
网络流量和主机资源占用
低
避开业务高峰
应用平台
产生非法数据,致使系统不能正常工作
中
和DBA、SA、NA协同工作
做好系统备份和恢复措施
可选
异常输入(畸形数据、极限测试)导致系统崩溃
高
和DBA、SA、NA协同工作
做好系统备份和恢复措施
可选
表4 风险评估过程中可能的风险及控制方式
5.6.1.10项目组织为使评估达到最佳效果,应明确界定参与项目各方的职务和职责。评估者和被评估者均应指派各个工作领域的团队或小组,分别负责指定的工作。
5.6.1.10.1人员组成及职责图:评估项目小组划分
小组
职责
项目领导小组
由评估方和客户的有关领导组成,主要是对项目实施的整个过程中的重大问题进行决策。
客户项目经理
从合同签订之日起,客户指定客户方面的项目负责人员,主要是对评估方的项目总负责人进行接口,协调客户的资源,解决项目中需要配合的问题,推进项目的进度。
项目经理/项目总负责人
工程项目实施队伍组建之日起,就承担了将合同范围内的各项工程任务全面完成的重要职责。项目总负责人须做好日常资源管理工作,并直接控制项目管理计划(PMP)的各个要素,包括项目执行、检查、控制和协调。
项目技术顾问组
由评估方的安全方面的专家组成,主要职责是会同项目组完成各项工程任务,并提供技术指导和把关。
技术评估小组
采用安全扫描软件对组织各部门的典型网段进行弱点扫描,对典型服务器进行控制台审计,结合与系统管理员的交流对管理、配置和维护等方面进行技术性的检测和评估,并提供扫描报告和审计报告。
管理评估小组
在典型节点,通过问卷调查等方式,对被评估节点的安全控制、安全管理各个环节进行全面的评估,并提供现场评估报告。
表5 评估项目小组职责
5.6.1.10.2项目实施流程一次典型的风险评估项目实施步骤如下图所示。
图:风险评估工程实施流程
5.6.1.10.3接口5.6.1.10.3.1工程组织接口项目总负责人作为本次工程的组织接口,是本次工程的核心和枢纽,如组织结构图所示。项目总负责人也是所有其他小组间的管理组织接口。
5.6.1.10.3.2技术接口由网络管理员和技术评估组组长负责协调有关技术性检测的相关事宜,有关组织和工作计划的协调由双方的项目负责人负责。
5.6.1.11项目质量管理与保障5.6.1.11.1项目管理方法在项目的实施过程中,根据项目的具体要求,整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学,以及一些安全专业领域的专家、顾问对项目的实施进行规范管理实施。同时通过规范化的项目管理,保证项目进程中的过程的质量。
5.6.1.11.2变更控制管理不受控制的项目变更,包括目标变更,范围变更,人员变更,环境变化,文档修改等等是对整个项目质量的重大威胁。
在项目实施过程中,将以实施方案的维护为核心,对实施方案及其衍生文档进行正规的变更控制管理。
5.6.1.11.3项目沟通管理采用正规的项目沟通程序,保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。
5.6.1.11.4评估过程控制为保证评估项目中的各评估小组有效的工作,并保证整个项目的可控,需要双方共同组成评估小组并在评估之前举行会议,予以讨论,并形成正式文字质料,即书面确定双方在评估工作中的责任和义务,在评估期间双方将本着友好合作的态度完成各自的职责。
6第三阶段信息安全建设方案6.1建设内容安全建设第一阶段成功结束后,网络状态可以达到相对安全的状态。在第二阶段的安全建设中需要考虑加强手段。主要从安全日志审计、系统平台和应用系统安全两个方面展开。
6.2建设需求1、安全日志审计系统
第一阶段部署了大量的安全产品。这些安全产品和大量的网络产品以及应用系统产生海量的日志和事件,尤其是入侵检测之类的安全产品,每天的事件量巨大,靠人工的方式很难检索所有的事件,如漏掉重要事件很可能会带来较大损失,鉴于此,需要部署统一的日志审计管理平台。这个平台能够收集所有网络产品、安全产品、主机以及应用系统的日志和安全事件,对其进行规范化处理,根据审计规则发现真正有价值的事件后及时告警,并能够存储海量事件,能够提供事后取证。
2、系统平台和应用系统安全
在第一阶段建设了安全评估体系,定期进行评估和加固,已经有效地增强主机和应用的安全,第二阶段需要进一步加强系统平台和应用系统的安全管理,考虑从完整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功能,就可以针对各业务系统的帐号级的信息安全审计和追踪。
6.34A统一管理平台建设方案4A统一管理平台主要实现对各个部件的参数统一管理,并采集来自各个部件的运行信息,包括如下几个部分:
1、4A统一管理平台提供账号模型参数的维护,包括自然人账号参数(自然人的角色、认证方式)维护,各资源设备账号维护,自然人账号与各资源账号对应关系维护;
2、4A统一管理平台提供对统一审计策略参数的维护,包括要重点审计哪些设备的安全性,重点关注哪些用户的操作行为;
4A统一管理控制平台对各个子系统的参数维护模型
4A统一管理控制平台对账号权限模型的参数维护
3、4A统一管理平台对各个部件运行状态进行实时检测,形成4A平台自身安全运行数据。并传输给4A平台的统一日志审计子系统,进行自身安全性的审计。
6.3.1统一日志审计子系统技术方案
为自治区烟草公司提供的4A统一日志审计平台主要分为三个层面:
●日志采集层:负责搜集来自各种设备的记录
●资料分析层:负责资料的分析及保存
●数据的展示及作业层:数据分析后的呈现及处置作业阶段
6.3.2功能概述
针对自治区烟草公司本次提出的需求,需要对安全产品和网络产品以及应用系统提供统一日志采集分析:
审计平台资料分析层对来自上面三个审计信息源的日志信息进行多维度关联分析,形成完整会话的日志记录,供自治区烟草公司的管理员实时查看和定期出审计分析报表。
整个系统架构如下图所示:
6.3.3安全日志采集
日志采集部件(Data Acquisition-简称DA):负责搜集来自数据源的纪录,并进行纪录的正规化、聚集化及初步的关联分析。DA也是平台可以根据数据来源数量的增加及地域性距离的考虑而扩大DA的部署。DA本身可支持多种标准的记录传送协议,如:Syslog、SNMP Trap、SMTP、DB、FTP、SCP等,可涵盖几乎所有的计算机及网络设备的记录接收。在经过DA的整理及过滤后的事件,可依指定类别的记录再往左上传到多维度的关联分析器进行进阶的数据分析作业(本案规划DA将安全事件送交关联分析器),并且将所有记录往上传到安全日志的数据仓储设备,做为审核保留使用。
6.3.4安全日志多维分析
多维度关联分析器是由日志审计平台的Advanced Function Server (简称AF)中的Correlation模块所担任,主要执行事件进阶的关联性分析作业。平台的多维度关联分析器可以达到下列目的:
●提高判断真实攻击事件的机率
●侦测到未知的攻击模式
●攻击行为的鉴识
●攻击行为的确认
平台之所称为多维度关联分析器(Multi-dimensional Correlation)的原因是因为威胁事件关联性必须从事件多个层面及角度来找出异常,其分析维度如下:
●活动的本质
a. Recon
b. Exploit
c. Denial of Service
d. Virus
e. Authentication
f. Configuration Changes
g. Access Transaction
h. OS/App
●受影响主机之弱点状态
●网络流量之合法性(是否这流量应该存在)
●受影响主机之资产严重性
●资产被攻陷之可能性
●之前攻击者之观察名单
●违反政策
●可疑之不正常网络流量(不需靠事件特征分析)
●混合攻击的一部份
●User ID 和 事件的关系
目前平台的多维度关联分析器至少可分辨出100种以上的攻击类型。
6.3.5安全日志实时展现
安全监控主控台(Security Mornitoring):又称为平台的Remote Console(称称RC),为各系统监控作业人员提供持续监控的画面,所有平台的实时分析的事件将在这个主控台中呈现。并透过这个主控台进行安全日志信息的分析、调查、通报、追踪的作业。
为有效呈现关联性分析后的成果,平台的 RC与事件呈现时就区分为下列四个层次(Assurance Level Zones):
●AL1 – 一般不重要的事件。
●AL2 – 被加入「观查名单(Watchlist)」主机所产生的事件。
●AL3 – 被认定为受监控的设备,但数据较不敏感的主机所产生的事 件。
●AL4 –被认定为受监控的设备,但数据较敏感的主机所产生的事件。
安全日志的调查与分析(Security Assessment):当发现可疑行为时,平台可提供下列界面提供分析与调整的参考:
●Remote Console上的实时攻击事件关系图
●安全知识库的查询功能
●报表展现
●图形化的事件分析
安全日志的响应(Incident Response):经分析后,若符合通报原则的事件应进行下列响应操作:
●追踪案件(Ticket)的建立
●紧急防御措施的设定
●安全通报的发送
●案件处理状况的追踪及修补防御的支持
采证分析作业(Forensic Analysis):若确定发生安全事故(Incident)时,可透过平台 Advizor协助进行事件分析作业,并由评台Reporting工具调阅SDW中的原始纪录。
政策定义及调整(Policy Definition):随着安全日志的处置结果或最新安全预警事件,安全监控中心应提供安全政策的调整建议,以维持安全风险在可接受的程度。
实际上用户可通过 Remote Console 和所有平台服务器沟通,并在用户主机上装置 Advizor 以做进一步分析探查之用。同时也安装 Secure Reporter 于某一使用者主机,以做定期报表产生。
6.3.6报表分析
安全报表分析(Security Report):提供长期性的报表统计及分析,并提供进阶的威胁分析服务,可找出长期潜伏的异常现象或威胁事件。可透过平台Reporting工具查询SDW中的历史纪录。
分析报表包括运营层看的业务安全分析报表,管理层看的系统安全趋势报表;技术层看的设备安全运行日志报表。
在系统预装的时候,平台的web报表部件对历史日志数据提供高阶和详细的呈现。平台提供大于100种的报表,专门设计给4A平台的分析层、管理层和企业运营层的各类报表。
平台目前提供的报表可以被扩展成为能够 “drill down” 的报表。并提供一种新的概念叫所谓的 “hyper-drilling”。所谓hyper-drilling 就是说能够简易的浏览多面向数据。让分析者能够追寻攻击者的足迹。事实上,hyper-drilling 能够关联可能的深层数据,并让所谓的 ‘chain-of-evidence’ 浏览成为可能。
例子:开始:展现 DMZ 的所有攻击
‧针对某一个攻击者
‧看这个攻击者做过何种攻击
‧针对某种特殊的攻击形态,看是否有资产受到威胁
‧针对某个特定资产,看是否有被入侵然后再去入侵他人
‧再观察通讯端口、网卡地址、事件特征名称、企业单位等信息
另外,平台提供的 Secure Reporter,更能达成以下功能:
1. 以排程方式设定报表产生(如日、周、月等),并以电子邮件发送。
2. 提供多样报表输出格式、如 PDF, ,MS Word, Excel 等。
6.3.7审计策略配置
根据自治区烟草公司内部网络的审计需要,在统一审计平台上可以设置审计策略,需要重点关注的用户行为,需要重点审计的主机安全等,都是可以通过平台配置审计策略。
平台配置好审计策略后,将策略下发到下面的各个审计部件进行全面的或者有选择的采集审计日志和用户行为,形成符合自治区烟草公司要求的日志记录。
6.4系统平台和应用系统安全建设方案在企业信息系统中,业务系统是核心内容,而对业务系统来说,不恰当的权限分配和操作行为简直就是毁灭性的灾难,但是出于使用上的方便或者系统资源以及业务系统设计本身的原因,往往在认证、授权与行为审计上存在一定的缺陷,这已经成为了众多大型企业信息系统面临的最严重的安全风险,尤其是将自身信息系统大量外包给第三方进行管理和维护这种现象就更加严重,现实生活中我们已经碰到大量由于账号和权限管理带来的重大安全事故和经济损失的事件。
6.4.1认证、授权与行为审计的基本概念
认证和授权主要是对传统操作系统层面和业务系统层面这部分功能的加强,如集中的账号管理,二次强身份认证,更细致的操作授权功能。行为审计要能够针对业务系统的操作行为进行详细记录并且能够与账号和授权关联起来,知道什么人在什么时间做了些什么操作,对于此账号尝试进行的未授权操作,可以采用告警通知、阻断操作等。
6.4.2认证、授权与行为审计体系的建设原则
认证、授权与行为审计体系的建立遵循以下基本原则:
最大化安全原则:能够为原有网络提供最大限度对安全,如高强度认证(令牌、动态口令卡),细致到命令级的操作权限划分,完整的操作审计与回放。
⏹基于传统的用户名、密码身份认证技术,很容易被破解或盗用,在使用上存在较大的安全隐患,故而在重要的网络应用环境下采用更复杂、强度更高的身份认证技术已成了解决因用户名密码强度不足的主要办法。通过更高强度的身份认证技术可建成一个通用的可信安全操作平台,只有确认具有可信身份权限的用户才能够进行系统操作,提高网络,尤其是关键应用的认证安全强度。
⏹采用高强度的身份认证和权限控制措施只能降低越权访问引起的安全威胁,但是并不能避免某些恶意用户权限范围内所做的操作行为或者管理员因为误操作带来的安全风险,我们要通过详细的安全审计来转嫁风险。
最小化影响原则:必须保证对原有网络和业务系统进行最小的改动,尽量不影响原有系统。
⏹认证、授权与审计系统需要能够无缝的接入到网络中,最好采用旁路接入方式,这样就避免了因串行接入带来的性能损失和单点故障问题。
⏹对后台服务器不需要做任何改动或者尽量少的安全配置就满足安全保护需求。
6.4.3实施效果
在网络中实施了认证、授权和行为审计系统后,需要达到以下效果:
⏹加固、提升原系统的身份认证强度:强身份认证功能实际上是在原系统的基础上,增加了一层安全措施,使得攻击者不能够轻易地对受保护的主机、服务器、数据库发起网络攻击。
⏹行为审计:操作审计功能充当了网络摄像机的功能,真实地记录用户的操作;并且,当发现不符合规定的越权操作时,能及时告警并阻断。操作审计的另外一个重要作用是:威慑作用。如果某人进行了网络攻击,行为审计系统提供的审计记录能迅速地查找出攻击者的真实身份。
⏹系统身份关联及命令级的审计和访问控制:
操作审计可以解析出远程操作维护协议中登录者所使用的系统账号,如Unix系统中的root账号等。
操作审计可以将解析出来的系统账号和认证系统为用户设置的身份信息关联起来,对FTP、Telnet、SQL数据库操作、应用(业务)系统等进行命令级的审计和访问控制。
⏹对数据库、FTP、Telnet等登录的操作进实时监控、过程回放:
对数据库、FTP、Telnet等登录的操作进行详细的审计,包括登录者输入的各种命令、操作结果等。
系统管理员在控制台上可以实时监控在线的登录用户,并且通过“实时监控”功能,在系统管理员的计算机上,将出现与操作者计算机完全相同的操作界面。如果发现可疑操作,系统管理员可以立即阻断登录者的操作。
系统管理员也可以从审计记录中提取历史数据来回放,使得当时的FTP、Telnet等操作,直观地呈献在系统管理员的计算机屏幕上。
⏹ 系统性能监控和辅助故障分析
在数据库层次,可以对数据库表、存储过程等进行监控和统计,实时地提供这些数据库资源的访问量、访问用户的分布情况、资源访问的响应时间等信息。
利用访问响应时间的统计和报警功能,管理员能动态地掌握数据库的运行效率;并可根据经验或历史统计数据设置报警阈值,当响应时间超过设定的阈值时,主动发出告警信息,使得系统管理员有充分的时间进行故障排查。
在故障排查阶段,可以利用审计的实时监控、过程回放、审计查询等功能,查找引起数据库系统性能波动或故障的原因。
在数据库层次、业务系统层次,管理员也可以针对某些关键的操作过程定义匹配规则,对这些过程的响应时间、响应结果进行监控和统计,并设置报警阈值。
6.5综合信息安全支撑平台的概念综合安全支撑平台包括两方面的内容,一个是网络风险管理,包含了网络设备日志的集中收集和自动关联分析,同时与业务应用、安全域及资产相结合,分析网络中各应用的安全风险。另一个是应用安全审计,主要是分析网络中各业务操作行为规律,将其与用户账号相结合,找出对各应用系统的非法操作行为并确认相关责任人以及所执行的具体非法操作。
6.5.1综合安全支撑平台的建设原则
综合安全支撑平台建设所遵循的根本原则:
⏹业务保障原则:信息安全建设的根本目的是保证自治区烟草公司各业务系统的安全稳定运行,而为了达到这个目标,需要采用大量的安全防护设备和一系列的管理及技术手段,如何将管理、技术以及自治区烟草公司的业务系统和资产联系起来是我们在安全保障框架设计中重点考虑的一个问题。
⏹基于安全域的风险管理:在安全域建设方案中我们已经提到将网络根据业务系统、功能和重要性划分成不同的安全域,在综合安全审计平台的风险管理模块,我们采用从安全域风险>资产风险>相应安全事件的方式,逐步向下钻取分析的方式来管理业务应用所面临的安全风险。
⏹基于业务和用户身份的行为审计:不同权限用户对业务系统所执行的操作行为是我们最应该关注的,安全审计平台能够将各个用户对不同业务系统的操作行为分析归类,通过综合安全审计平台,可以了解不同角色的用户在网络中对各个业务系统执行来一些什么操作,操作的结果如何,以及该操作的合法性。
⏹开放性原则:由于综合安全审计平台需要采集大量的日志信息,其开放性决定了该平台在自治区烟草公司的适用性,要求能够兼容市面上主流的网络设备、主机和安全设备,并且提供多种数据接口,能够方便的进行功能和性能的扩容。
6.5.2实施效果
在网络中实施了综合安全审计平台后,需要达到以下实施效果。
⏹集中事件采集与监控:网络与安全事件监控对象涵盖网络设备、主机系统、安全系统、应用系统,包括防火墙系统、NIDS系统、漏洞扫描系统、防病毒系统、网络安全审计、帐号管理系统、认证鉴权、路由器、交换机等上报的事件日志。通过专用安全代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等),通过安全通讯方式,集中收集安全事件到综合安全审计平台中的风险管理服务器进行处理,即:采集、分析、聚并、过滤、范式化,从而实现了针对全网的安全事件的集中收集和处理。
⏹关联分析:关联分析模块是集中审计系统的重要组成部分,关联分析能够将海量的日志信息收缩成少量管理员可以识别分析的风险信息,并且将这些风险信息同业务与资产信息关联起来,管理员能够清晰的了解当前网络中各个业务系统的风险状况,在发现高危险级别的风险时,能够迅速定位是由于什么资产受到了什么威胁而引起。系统提供基于规则和基于统计的分析手段。
⏹基于规则的关联:又称“纵向关联”。它对从平台所监控的各个设备中收到的每个消息进行“时间警觉型”规则匹配,从而将假的安全警报从重要的安全事件区别开来。采用基于规则的关联时,首先是按厂家、咨询顾问或最终用户来预定义若干种可疑活动。一种情况中包括一系列用来定义某种可能的恶意安全事件或滥用的事件。当收到安全事件并将其与规则进行比较时规则就会触发。随着时间的推移,系统就会创建出事件“状态”来跟踪那些成功执行的关联规则。
⏹基于统计的关联:又称“横向关联”。在统计关联过程中,可对事件数据进行范化处理,确定安全事件类型及其发生的风险。通过使用这些常见的事件类型,操作员和分析员就能查看到归类事件数据并轻松确定正在进行中的攻击。最后,可对所产生的事件类型进行“评分”来确定威胁程度。威胁评分是针对警报严重程度(Alarm Severity)再结合资产价值的时间加权衡量。警报严重程度(Alarm Severity)或资产价值越高,威胁分数就越大。
⏹系统支持的关联分析类型
根据源进行信息聚合分析;
根据目标进行信息聚合分析;
根据事件类型进行聚合分析;
根据用户的策略定制;
根据特定时间要求和用户策略进行横向事后关联分析,使系统管理员能确认可疑活动并在没有造成实质性的损害之前及早采取行动;
操作行为分析能力;
高危操作审计;
支持数据库操作指令还原,可通过与认证审计系统的配合完成;
⏹快速安全响应:响应管理专注于收集安全事件数据并将其组织成逻辑形式,然后执行适当的安全响应工作流,从而实现对安全事故的快速和有效响应,专门针对安全事件的处理过程的。这套方法包括处理安全事故的六个关键步骤:1. 准备;2. 识别;3. 封堵;4. 根除;5. 恢复;6. 后续。它包含了全部或至少大部分解决哪怕是最复杂的安全事故所需要的数据和程序信息。更具体地说,事故响应管理专注于收集安全事件数据并将其组织成逻辑形式,然后执行适当的安全响应工作流,从而实现对安全事故的快速和有效响应。此外,通过利用事故响应管理知识库,用户就能获得进一步的决策支持来帮助自己解决几乎任何安全事件。
⏹知识库:包括漏洞信息知识库和专家处理信息知识库。安全知识管理实现了安全信息的共享和利用,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质网络安全技术人员提供培训资源。
漏洞信息知识库:这是一套对当前主要的安全漏洞进行详细描述的知识库,在漏洞信息库里面包含了漏洞的风险级别、影响范围、攻击手段、补丁库等内容,并及时对最新的安全漏洞进行更新。
专家处理信息知识库:该库提供针对不同的安全威胁如何防范的解决方案建议,还能够由用户自己添加事件处理知识,网络安全维护人员可将自身网络中发生的安全事件和处理办法形成自治区烟草公司自身的安全专家知识库。
培训考核知识库:通过采用此培训考核知识库能够形成一个闭环的“培训学习-技术提升-考试审核-再培训学习”过程。能够为企业网络技术人员提供基础和高级的培训并通过考试来考察技术人员的知识储备情况,提升自治区烟草公司信息技术人员的整体技术水平。
7第四阶段信息安全建设方案7.1建设内容待安全建设一、二阶段建设完成后,自治区烟草公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化。此时进行安全管理建设,主要从安全管理中心、安全管理体系着手完善。
7.2建设方案(1)安全管理中心
建设安全管理统一平台,将全网的安全管理通过该平台进行。通过该平台可以及时准确地获知网络安全体系的效果和现状,帮助安全管理员进行正确的决策分析。该平台应该具备风险管理、策略中心、事件中心、响应中心、知识中心等功能模块,并且应具备很好的开放性和可定制性。
(2)安全管理体系
安全管理建设应该自始至终,并且对安全建设和运维起到指导作用。主要从安全策略制定、组建安全管理队伍、安全评估、资产鉴别和分类、安全认证等多种管理领域开展,最终形成管理和技术相融合,共同形成真正的安全体系架构。
7.3信息安全管理体系规划制定自治区烟草公司将根据信息安全总体战略目标,从信息安全管理、信息安全风险控制、信息安全技术等方面入手,采用先进可行的技术手段和管理理念,初步建成全面、完整、有效的信息安全保障体系。
从国际化的大公司来看,其信息安全建设存在如下几个成熟度阶段:
自治区烟草公司力争达到卓越运营阶段,就应在适当的时机,启动自治区烟草公司信息安全规划工作,全面规划未来3年的信息安全工作。
下面是制定信息安全规划的工作阶段划分:
第一阶段:安全现状评估与需求调研,通过安全访谈和检查对自治区烟草公司业务安全需求进行调研,对自治区烟草公司信息安全现状进行评估,识别自治区烟草公司的安全现状和期望达到的安全目标。
第二阶段:制定安全战略与总体架构设计,制定与业务战略相一致的安全战略。自治区烟草公司安全战略定义了3年可执行安全远景以及安全的原则和方向,定义了为达成业务安全目标而提出的一致的、明确的安全建设蓝图。安全能力蓝图将被用于制定安全建设计划,从业务流程和技术角度描绘对企业的安全变革。
第三阶段:信息安全总体规划,提出自治区烟草公司信息安全建设总体规划,定义安全改进项目群,进行项目投资回报分析,定义安全能力演进路线,制定项目建设时间计划。
第四阶段:安全项目专题规划,确定09、10、11三年的主要建设项目,规划项目的建设目标、实施计划、提出费用估算、资源需求等,进行效益分析和实施风险分析等,开发项目高阶解决方案。
7.3.1自治区烟草公司信息安全体系规划建议
随着网络技术的不断发展,信息化在企业发展的过程中逐步占有越来越重要的地位,尤其对于大型企业来说,信息化程度的高低,决定了企业的规模和发展速度,影响到一个企业的核心竞争力。一个高效的应用系统能够大幅提升企业的运作效率,而网络安全体系的规划建设对企业信息化建设来说,就像是信息系统的保护者,如果一个企业的信息安全问题解决不了,那么就影响到了整个企业信息系统的正常运作和发展。
对于自治区烟草公司网络来说,信息化建设已经达到了一个相当的高度,日常的业务开展和企业的管理都要依靠信息系统来进行,而安全体系的规划还处于比较初级的阶段,还满足不了自治区烟草公司对于保证自身信息系统的要求,尤其是对数据保密性和完整性的要求。为了提升企业自身的核心竞争力,提高信息系统的安全性,自治区烟草公司提出了信息安全体系规划的要求。
安全体系的规划包括宏观、中观和微观三个层面,宏观的层面主要指自身发展的策略,以及总局的各项要求。中观层面是根据策略要求导出的组织结构设计和运营策略。微观层面主要指的是为了满足自治区烟草公司信息系统安全保障的需要能构形成的安全防护系统,该安全防护系统的建设重点围绕保持自治区烟草公司各个业务系统的连续性进行设计,安全保障的根本是建立基于数字认证技术的网络基础可信体系,包括各个网络组件、业务系统组件以及人员的可信接入和整合,在此基础上建立风险可控体系,将安全风险在一个可以接受的范围之内进行控制,如果出现高危险级别的安全风险和事件能够进行追查,并能够及时的响应和恢复。
7.3.2安全策略体系
根据国际最新的安全管理标准和最佳实践,结合自治区烟草公司信息系统的实际情况,将分别从以下几个层面进行安全管理规范和管理制度的设计和完善:
信息安全最高安全方针是纲领性的安全策略文档,陈述自治区烟草公司整体安全策略的目标、适用范围、信息安全的管理意图以及指导原则。此文档要指导其他策略的制定,规范全局的信息安全工作,明确信息安全的工作方向。此文档需要由自治区烟草公司的决策层签署并在企业内颁布执行。
安全组织机构和人员的管理规范包括自治区烟草公司安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。
技术标准和规范主要包括自治区烟草公司各个网络设备、主机操作系统和主要应用程序应遵守的安全配置技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准(基线),不允许在执行中发生违背和冲突。
安全操作流程将详细规定自治区烟草公司各应用系统和各类事件处理的流程和步骤以及相关注意事项。
制定自治区烟草公司信息安全运维方面有关的具体管理规定、管理办法和实施办法。包括物理和环境安全、通讯与运行安全、系统开发和维护、信息安全事件管理、业务连续性管理、符合性管理等方面。
只有人员的安全意识和技能得到提高才能保证安全策略的有效执行。在安全培训管理的策略中,要包含培训策略和培训文档管理两方面的内容。
7.3.3三年规划建设任务
下列内容建议作为自治区烟草公司的三年以内信息安全规划建设内容。之所以放在下一步再实施,主要是考虑重要性、紧迫性和可实施性。例如,安全规划需要在安全运维过程中动态修订,安全策略体系需要在充分了解自治区烟草公司实际情况后有针对性地制定,信息安全管理体系并非一蹴而就,需要一个分步走的阶段。
下面这些工作都很重要,应纳入规划,在后续的工作中及时实施。
⏹安全策略体系制定
⏹安全管理体系建设
a)安全管理组织结构建立
b)管理管理方针和运营流程建立
c)安全运维外包管理规定建立
⏹安全建设规划
d)基础网络可信体系完善
e)网络安全防护系统完善,提高安全可控性。如防拒绝服务攻击系统,更全面的内网安全风险管理和分析
f)重要基础设施及数据的异地灾备
⏹安全管理监控
⏹应急响应
⏹专业的风险评估
⏹专业的安全加固