信息系统安全规划建议书.doc

项目编号：××××××信息系统安全规划2006-3文档控制一 文档信息文档名称×××信息系统安全规划建议书保密级别秘密项目编号文档管理编号管理人制作人制作日期2006.3.23复审人复审日期2006.3.31扩散范围××项目相关人员二版本控制版本提交日期修改者版本描述V1.02006.3.31初稿三 分发说明鉴于本文档介绍了实施信息系统安全规划及其他安全服务的主要思路和方法，为保障的利益，建议×××采取可信的渠道分发本文档，要求如下：² 由负责信息安全的专职机构统一规定可获取本文档的授权人员。未经专职机构允许，授权人员不得将本文档（包括复制件）传递给他人。² 专职机构应规定获取本文档的途径，包括以纸面文本形式下发，以电子版方式分发，以电子邮件的方式传递等。对各种分发途径应采取密封或者加密的保密方式。² 专职机构应及时将本文档的版本变更情况通知给授权人员。对变更内容的分发也应遵循以上所有要求。目录一 文档信息2二版本控制2三 分发说明21前言101.1背景介绍101.2目标和范围102安全现状和需求分析142.1安全现状142.1.1×××信息系统安全构成要素142.2××信息系统面临的威胁172.2.1威胁的来源182.2.2威胁的方法192.3××系统信息安全风险分析212.3.1物理层面的安全风险212.3.2网络层面的安全风险222.3.3系统层面的安全风险242.3.4应用层面的安全风险262.3.5管理层面的安全风险282.4安全体系需求分析302.4.1建设安全基础设施的需求302.4.2信息和网络安全级别划分的需求302.4.3信息安全策略需求302.4.4安全组织保障需求312.4.5信息安全管理需求322.4.6信息安全标准与规范需求322.4.7物理安全需求332.4.8网络安全需求342.4.9系统安全需求352.4.10数据库系统安全需求362.4.11应用安全需求382.4.12运行安全需求383安全设计的依据413.1依据的标准和规范413.2依据计算机信息系统安全保护等级划分准则433.3参照国家27号文件精神433.4参照信息保障技术框架443.4.1安全方法论模型443.4.2逻辑结构模型444安全规划思路和体系结构454.1规划原则和目标454.1.1安全设计原则454.1.2安全设计目标464.1.3安全设计策略464.2规划思路484.3安全总体体系结构524.3.1信息安全总体体系524.3.2安全模型的分层安全保护534.3.3安全机制和服务554.3.4安全管理564.4安全等级保护的要求594.5安全等级管理要求594.5.1第一级 一般管理要求594.5.2第二级 重要管理要求604.5.3第三级 关键管理要求654.6等级安全域的设计684.6.1安全域的概念684.6.2安全域设计的原则684.6.3安全域的设计694.7×××信息资产的分级和分类704.7.1应用系统业务安全级别划分714.7.2信息和数据安全级别划分714.7.3服务器安全级别划分724.7.4操作系统安全级别划分724.7.5数据库管理系统安全级别划分734.7.6网络节点安全级别划分734.7.7机房安全级别划分744.7.8介质安全级别划分744.7.9安全设施的安全级别755信息系统安全管理体系765.1概述765.2安全组织管理785.2.1安全组织体系795.2.2人员安全管理825.3安全管理策略865.3.1安全策略规划865.3.2物理环境和设备安全905.3.3运行及维护安全985.3.4业务应用安全1065.3.5系统规划与开发安全1095.3.6信息安全应急管理1145.4系统安全运作管理1175.4.1系统安全生命周期1175.4.2系统安全风险评估1185.4.3系统的安全规划和验证1185.4.4日常运维和操作1185.4.5安全集中管理1205.5安全管理规章制度完善1225.5.1安全管理制度范围1225.5.2安全管理规章制度的制定和评审1255.5.3安全管理规章制度的实施和监督1265.5.4安全管理规章制度要点1285.6安全体系建设管理保障1315.6.1领导重视1315.6.2规范管理1315.6.3信息安全保障组织体系1325.6.4信息安全队伍的建设1325.6.5资金保证1326网络与系统安全体系1336.1目标1336.2原则1336.3总体架构1336.4边界确认和安全域划分1336.5骨干网安全1346.5.1骨干网传输安全1346.5.2流量与带宽控制1356.5.3改善措施1356.6边界防护1356.6.1对外信息发布系统的防护1356.6.2下属省局接入控制1376.6.3第三方网络接入控制1396.6.4业务系统的防护1416.7计算环境安全1436.7.1主机和数据库安全1436.7.2网络设备安全1456.7.3安全管理平台1476.7.4用户环境安全1486.8备份系统1526.8.1线路备份1526.8.2设备备份1526.8.3系统备份1526.8.4应用数据的备份方案1526.9数据容灾备份1546.9.1灾难备份和灾难恢复中心建设需求1556.9.2灾难恢复与灾难备份中心的现状1556.9.3建设灾难恢复与灾难备份中心的考虑1557安全基础设施1577.1技术原理1577.2×××网上系统的安全基础设施1607.2.1网上系统CA系统的部署结构1607.2.2网上系统证书认证系统配置1607.2.3网上系统授权管理系统部署1617.2.4网上系统授权管理系统配置1627.3×××内网系统的安全基础设施1627.3.1系统结构设计1637.3.2策略设计1647.3.3内网CA系统设计1657.3.4网络结构和具体部署1717.3.5综合技术指标要求1727.3.6内网PKI/CA安全基础设施系统配置1748应用系统安全体系1768.1应用支撑平台1768.1.1平台的设计目标1768.1.2平台结构与功能1778.2应用系统安全方案1798.2.1业务系统现状1798.2.2业务系统安全需求分析1818.2.3安全改造方案基本原则1838.2.4安全方案的主要依据1838.2.5业务系统安全改造策略1848.2.6内网应用安全结构设计1878.2.7内网应用安全功能设计1888.2.8业务系统安全流程设计1909安全培训与第三方服务1969.1安全培训1969.1.1信息安全教育与培训的重要意义1969.1.2信息安全培训对象1979.1.3培训内容分类设置1989.1.4×××信息安全培训建议2029.2第三方安全服务设计2039.2.1安全威胁管理2039.2.2设计与实施2039.2.3安全运维支持2039.2.4安全检测服务20310项目规划与投资预算20510.1规划项目的导出20510.2项目列表20610.3项目优先级分析20710.4总体实施计划20910.5投资估算21110.5.1投资估算原则21110.5.2投资预算21310.5.3总投资215图例索引图 21×××数据城域网错误！未定义书签。图 22调整后的数据城域网结构错误！未定义书签。图 23局域网结构错误！未定义书签。图 31IATF方法论模型图44图 32IATF逻辑结构模型图45图 41安全体系规划思路图49图 42信息安全总体体系图53图 43安全管理体系架构图57图 51×××信息系统安全管理体系框架78图 52信息安全管理组织示意图80图 53信息安全管理机构主要职责示意图81图 54安全目标、安全策略与安全机制的相互关系示意图87图 55信息安全策略创建与执行流程图89图 61×××信息系统总体体系结构图133图 62×××数据中心安全区域划分图134图 63××备份中心安全区域划分图134图 64对外信息发布系统的安全防护图136图 65下属省局安全接入控制图138图 66第三方安全接入系统图140图 67业务系统的防护142图 71×××CA系统的部署160图 72×××信息系统证书认证代理点配置结构161图 73授权管理（PMI）系统层次结构161图 74授权管理代理点配置结构162图 75×××内网信息系统PKI/CA系统结构示意图163图 76根CA的结构示意图165图 77 运营CA示意图168图 78目录服务系统示意图170图 79 CA系统的网络结构示意图172图 81应用支撑平台逻辑结构图177图 82业务系统结构图180图 83内网业务系统结构图181图 84内网应用安全结构图187图 85业务系统证书身份认证流程图191图 86业务系统访问控制流程图192图 87业务系统审计日志记录流程图193图 88可信日志记录流程图193图 89敏感数据的安全上传流程图194图 810敏感数据的安全下发流程图194图 91×××信息安全培训对象197图 92CISP知识体系结构199图 93CISP证书样式199表格索引表格 41规划思路准备阶段工作内容表49表格 42规划思路评估阶段工作内容表50表格 43规划思路规划设计阶段工作内容表51表格 44规划思路实施阶段工作内容表51表格 45规划思路运行维护阶段工作内容表51表格 46规划思路优化完善阶段工作内容表52表格 47 ×××业务系统等级划分表71表格 71证书认证代理点配置表161表格 72授权管理代理点配置表162表格 73根CA技术指标表166表格 74运营CA技术指标表169表格 75LDAP技术指标表171表格 76CA认证系统技术指标表174表格 77内网PKI/CA安全基础设施系统配置表175表格 101安全项目导出表206表格 102项目列表207表格 103项目优先级表209表格 104总体实施计划表211表格 105费用预算表2141 前言1.1 背景介绍随着×××（以下简称×××）信息化的发展，其对信息系统的依赖程度也越来越高，信息安全的问题也越来越突出，对计算机信息安全保障工作也提出了更高的要求。为了有效防范和化解风险，保证信息系统平稳运行和业务持续开展，须建立×××的信息安全保障体系，以增强×××的信息安全风险防范能力。通过对×××信息系统进行信息安全评估，为×××信息系统的网络结构、管理结构和应用系统等方面的安全改造和完善提供依据，进而制定×××系统的信息系统的信息安全发展规划，是本服务项目的目的。随着×××信息系统建设的深化，网络及应用的不断拓展，信息网络及系统所面临的威胁越来越多，造成的影响也越来越大。为提高×××信息系统及网络安全防护水平，保障××系统业务的高效、安全运行，××局计算中心特别提出针对现有的信息系统、网络平台、安全运维、管理等各个方面，进行客观详实的评估。安全建设或安全改造的起步从安全风险评估开始，在了解和明确了信息系统面临的威胁，信息系统存在的安全隐患，信息系统需要保护的资产，才能有效地采取防范措施降低风险。安全风险评估是全面解决安全问题的基础。依据本次信息安全评估的结果，对信息系统安全管理制度进行系统化规范化的修改完善，考虑今后信息系统安全工程的发展规划，为信息系统安全建设、安全改造、安全使用的依据。结合×××自身信息系统和网络平台不断扩大的特点，考虑到×××系统的特殊性和重要性，提出针对×××的安全评估与规划项目，旨在通过评估和规划，全面了解×××信息系统各个层面存在的问题，确定系统所面临的威胁和风险，以及相应的改进建议，指导×××的信息安全规划。1.2 目标和范围为了实现和满足××局信息系统安全的相关要求，针对×××信息系统安全状况评估过程中发现的一些主要问题，根据×××信息系统本规划中提出的信息分类保护、系统分级保护的要求，结合×××未来五年在安全建设和安全改造方面的可能投资力度，提出×××信息系统五年安全建设目标如下：l 建立×××信息安全基础设施PKI系统，确保网络安全和应用安全有一个坚实的基础；l 统一×××本部和省局的网络出口，合理配置边界防护设备，确保内部系统免受攻击；l 调整×××本部和各个省局的网络结构，合理地划分安全区域，确保数据信息分类保护和网络区域分级保护；l 针对×××本部和备份中心的核心安全区域，合理配置安全设备，确保核心安全区域获得重点保护；l 统一配置和管理×××防病毒软件，合理配置防病毒服务器、防病毒软件，确保有效建立×××防病毒体系；l 对应用系统的运行平台、操作系统和数据库系统进行安全加固，配置漏洞扫描软件，确保应用平台的安全；l 对应用系统进行安全方面的改造，包括增加缺少的安全模块、调整安全数据接口，开发PKI系统应用接口等，确保业务应用的安全；l 针对×××信息安全管理存在的问题，建立健全×××信息安全管理体系。 按照五年建设目标，我们将根据项目的优先程度，划分为三个阶段工作来进行×××信息系统安全建设，其实施步骤为：第一阶段：1.5年期，从2006年1月到12月至2007年6月，启动阶段任务为实现短期目标，初步搭建安全体系框架，并解决目前急迫和关键的问题，为下一阶段工作做好准备； 第二阶段：1.5年期，从2007年6月到2008年12月阶段任务为全面启动安全保障体系的建设工作；第三阶段：2年期，从2009年1月到2010年12月阶段任务为信息安全保障体系在×××范围内的持续完善，基本建成××行业一流的安全保障体系。完成上述三个阶段建设任务后，将使×××的信息安全保障体系按照本规划的技术框架思路初步建立起来，×××信息系统将达到如下的安全目标：（1）、通过安全规划和安全实施后，×××网络信息系统的安全防护体系能够达到××总局的相关安全保障要求，符合××总局的安全要求。（2）、通过安全规划和安全实施后，×××的核心业务系统将达到现阶段已经公布的国家等级保护三级要求，辅助业务系统也将满足二级要求。（3）、有了一个支持各类安全服务，如访问控制、身份认证、数据加密、数字签名等的安全基础设施，保证了网络系统和应用系统中各种安全服务实现能够获得有效支持，同时为今后使用新的安全措施或加强和完善原有安全措施提供了扎实的基础；（4）、×××信息系统在省局和省局的对外边界出口清晰明确，配置的网络边界防护设备给予×××信息系统内部有效的保护，可以防止和抵抗来自外部对信息系统的攻击；（5）、×××信息系统内部网络结构更加合理，根据信息和业务的重要性有效地在内部划分出了级别不同的安全区域，安全区域之间的访问控制措施有效地防止了非授权访问现象和防御了系统内部可能的攻击行为；（6）、×××信息系统内部的重要区域，省局本部和××备份中心得到更高强度的保护，使×××各类业务应用可以安全、高效地开展，有效地保证了×××各类业务的连续性；（7）、各类业务应用开展需要的基础平台，包括网络平台、网络操作系统、主机操作系统、数据库系统的安全性，通过防病毒、入侵检测、漏洞检查、安全加固等工作均获得加强，业务应用系统中的访问控制、身份认证、数据传输等过程更加安全、可靠。针对上述建设目标，本安全建设规划书的规划内容包括：l 信息安全保障系统技术框架总体规划针对“数据信息”为保护核心的要求，提出×××信息安全保障系统的技术框架模型、应用模型规划；依据本规划的要求提出×××网络分级保护的网络区域分级保护模型规划以及主要技术安全策略；l 安全管理体系规划安全管理体系规划和安全管理体系建设。通过外部咨询和内容的建设，完善×××的安全管理制定、规范其安全管理流程，落实各项安全管理行为。l 网络与系统安全体系规划依据总体规划思路，针对×××本部和省局的调度数据网络和综合信息网络，提出网络规划方案；描述网络安全区域的划分、安全产品在实际网络环境中的部署等；l 安全基础设施（PKI）建设规划为全方位地保证应用系统的安全，以适应公司的业务发展，提出×××建设以PKI技术为核心的安全基础设施的规划思路，包括建设以PKI为核心技术的证书体系基础平台和建设安全应用支撑平台的方案；l 应用系统安全规划应用系统的安全规划主要涉及业务应用系统和系统应用平台，业务应用系统的安全从访问控制，识别和认证、数据传输安全、应用数据接口安全等几方面考虑，系统应用平台的安全从主机安全、数据库安全、数据的存储和备份、文件加密等几方面考虑；l 五年实施计划及投资估算提出未来五年内信息系统安全建设和安全改造的实施计划和工作内容；针对上述安全基础设施（PKI）建设规划、网络系统规划、应用系统规划内容分别给出投资估算；针对五年实施计划和工作内容给出未来五年的安全建设投资估算。需要说明的是，本安全建设规划书规划的内容主要着眼于未来五年内的建设目标，并未覆盖本规划的全部内容，建议在五年以后的安全规划中，应考虑覆盖本规划的其他方面，如灾难备份等，逐步按照本规划的要求，建立起×××信息系统的信息安全保障体系。2 安全现状和需求分析2.1 安全现状经过多年的努力，×××的信息化建设取得了重大成绩，××信息系统在××工作中的作用发挥了重要作用。信息化建设的发展，有效地促进了××工作的开展，提高了××工作的监察和管理的水平。在大力发展信息化建设的同时，信息系统及其支撑平台的安全建设也越来越受到×××相关领导、信息中心、业务人员等的重视，并已经在信息系统安全防护方面作了一些投入。2.1.1 ×××信息系统安全构成要素信息系统安全的构成要素是与信息系统安全相关的各个方面，包括信息安全保护的对象、信息安全的管理者和参与者等。×××信息系统安全的构成要素主要有物理环境、硬件设施、软件设施、××数据、网络、应用系统、组织及人员。2.1.1.1 物理环境物理环境设施现状描述，省略。2.1.1.2 硬件设施硬件设施现状描述，省略。2.1.1.3 软件设施软件设施现状描述，省略。2.1.1.4 网络网络环境现状描述，省略。2.1.1.5 应用系统应用义务系统现状描述，省略。2.1.1.6 组织信息安全组织体系现状描述，省略。2.1.1.7 物理安全建设×××对××信息系统的物理安全十分重视，在组织、管理、技术等多个层面采取了有效措施。在技术上主要有：l 机房都设置在专有空间。l 根据防灾的要求建设机房，为机房配备了消防器材，开辟了消防通道，防止灾害带来的安全事故。l 设置了门禁和防盗监控装置，按标准进行网络布线等，防止设备、信息的被盗和信息的泄露。l 采用双路供电模式，同时配置了UPS，对一些数据库服务器、网络线路等重要设备进行了冗余备份，提高了设备和系统的可靠性和可用性。2.1.1.8 网络安全建设各级××部门在网络安全上主要采取了以下技术措施：1. 隔离和访问控制l 在INTERNET出口采用异构模式的防火墙设置，实现内部网与INTERNET的隔离和访问控制。l 在××系统内部网络中，广泛采用了虚拟子网(VLAN)技术，在一定程度上防范了不同行政部门间的非法访问。l 在节点局域网与数据城域网的接入点布置加密机，实现粗粒度的访问控制。l 目前××信息网络系统均与互联网、外联网物理隔离。l 缺少细粒度的访问控制策略。2. 信息传输加密省局、××备份中心以及各省局之间都采用加密机实现数据城域网数据传输的安全。3. 网络安全评估和防范l 省局配置了网络漏洞扫描产品，发现安全漏洞及时采取措施，防范攻击者利用漏洞或后门。l 在INTERNET出口处部署了入侵监测系统，监控和防范网络攻击。l 聘请专业的第三方机构对×××进行了全面评估。4. 病毒防范×××各级局域网普遍安装有病毒防护软件，通过安装不同的网络版和单机版病毒防护软件，及时进行升级和病毒代码库更新，降低了病毒的危害程度。2.1.1.9 系统安全建设×××对操作系统和数据库管理系统的安全防范非常重视，各级系统操作人员也较重视系统安全，对系统按要求进行安全配置，及时了解系统安全漏洞的通告，并及时对系统进行升级，修补漏洞，在一定程度上降低了系统安全的风险。2.1.1.10 应用安全建设×××对应用系统安全也采取了一些措施。1. 身份认证×××信息系统的身份认证大都基于操作系统或数据库管理系统的帐号和口令，大多数应用系统也是采用基于帐号和口令的身份认证技术，只有部分××局在网上系统中对*采用了基于数字证书的认证。2. 访问控制目前，×××信息系统大都通过对操作系统、数据库管理系统或应用业务系统的帐号进行授权，并通过帐号进行访问控制。3. 数据安全保护采用访问控制限制不同用户对信息的访问、使用和处理，实现对信息的安全保护。4. 通用应用软件安全目前，对通用应用软件的安全主要从行政管理和安全配置两个方面保障，如对邮件帐号的统一管理等。5. 安全审计基本上还是使用系统原有的审计功能，如操作系统日志、数据库管理日志、访问日志等。各日志的产生、使用、分析相互独立。其中，××系统的应用审计工作较好。2.1.1.11 组织与安全管理建设×××对组织机构建设十分重视，建立了相应的机构负责安全问题，制定了安全规定与制度，指派了专人进行各种安全管理工作。1. 组织机构建设×××的安全由省局、各省局的信息中心负责，省局的职责主要是制定全局的安全策略和省局的安全维护，包括方案的制定、技术手段的选择、设备的选型、工程的实施、系统的维护等，省局设立专职的安全专员。各省局信息中心设立了兼职的安全管理员，负责信息系统的日常安全管理，如系统安全检查、系统漏洞修补、病毒防护软件升级、病毒代码更新等。2. 安全管理×××非常重视安全管理规章制度的建设，制定了信息系统管理规范，各省局也根据自己的实际情况，制定了一些相应的规章制度，有力地保障了信息系统的安全。信息系统管理规范涉及计算机管理机构的设置及工作职责、信息化工程管理、计算机信息系统安全管理和计算机信息系统日常维护管理：l 机房环境建设：用电、防火、防灾、防盗、除尘、电器使用规定等。l 机房安全管理：出入管理、人员控制等规定。l 安全操作流程：权限管理、数据备份、安全检查、漏洞修补、防病毒软件升级和代码更新等。l 媒体管理：数据媒体的保管、使用、借阅规定；l 人员管理：人员职责等。l 其它管理制度：帐号管理、口令管理等。×××每年组织和开展人员安全培训，通过讲座、技能培训、能力考核等方式，增强人员的安全防范意识、提高人员安全防范技能。2.2 ××信息系统面临的威胁×××信息系统面临的安全威胁多种多样，这些威胁针对信息系统的保密性、完整性、可用性和资源的可授权访问等基本安全目标，主要有信息泄漏、完整性破坏、服务拒绝、未授权访问等，这些威胁来自各方面，威胁的方法各异。2.2.1 威胁的来源对××信息系统的威胁来源主要有自然的威胁、来自外部和内部的人为威胁及病毒和恶意代码的威胁。2.2.1.1 自然威胁×××地处我国南部，夏天气温高，湿度大，冬天湿冷，春秋天雨水较多，自然威胁方面因素较多，主要是针对物理环境和硬件设施的。主要的自然威胁有：l 火灾、雷击等自然灾害；l 恶劣的环境，如不适宜的温度、湿度，以及尘埃、静电等；l 电源、设备故障等。2.2.1.2 外部威胁由于目前×××业务专网与互联网、外联网基本是通过专用的物理隔离设备进行隔离的，因此信息系统面临的外部威胁还不多，但是随着×××网上系统的发展和数据交互信息的增大，业务专网将面临更多的外部威胁。这些威胁对象主要来自黑客和恶意罪犯的攻击，这些攻击可以分为个体的、群体的、甚至国家级的攻击。2.2.1.3 内部威胁内部人员操作不当，特别是系统管理员和安全管理员对管理配置的操作失误，这些失误可能造成重大的安全事故。此外，缺乏健全的管理制度和制度执行不力，给内部人员的违规操作和犯罪留下了可乘之机。2.2.1.4 病毒和恶意代码的威胁病毒和恶意代码的威胁主要针对操作系统、数据库管理系统、应用系统等软件。病毒和恶意代码的威胁主要来自互联网、内部网络的传播，软盘、USB盘、光盘等介质的传播。2.2.2 威胁的方法针对×××信息系统的外部和内部威胁的方法是多种多样的，这些方法易掌握、易传播，因此对××信息系统的危害很大。2.2.2.1 偷盗和物理破坏对设施和设备的偷盗和破坏可以来自外部，也可以来自内部。偷盗和破坏将导致设备的丢失或毁坏，破坏系统的可用性和完整性。个别省局与省局连接的专线，存在被第三方人员破坏的事件和行为。2.2.2.2 假冒假冒攻击可以来自外部和内部，主要有：l 假冒管理员对网络设备或系统进行非法的配置或修改配置；l 假冒主机欺骗合法的主机和用户，如IP地址欺骗；l 假冒控制程序套取或修改使用权限、口令、密钥等信息；l 非授权个人利用授权用户的机器；l 假冒合法用户欺骗系统，占用合法用户资源；l 对软件程序代码的假冒，破坏系统流程的完整性等。2.2.2.3 抵赖抵赖指实体出于某些目的否认自己的行为，主要有：l 信息发送者对信息发送行为或发送的信息内容的抵赖；l 信息接收者对信息接收行为或接收的信息内容的抵赖；l 信息处理者对信息处理行为或处理的信息内容的抵赖；l 管理员、用户对系统配置或操作及系统资源使用等行为的抵赖等。2.2.2.4 完整性破坏完整性破坏包括对信息和系统的完整性破坏，主要有：l 改变信息流的次序、时序、流向、格式、内容；l 删除信息全部或一部分；l 在信息中插入一些无意义或有害的数据；l 篡改、删除、插入软件程序代码，特别是被外部人员故意种植木马等后门程序，破坏业务系统和平台的完整性；l 修改路由信息，导致路由破坏；l 非法使用拨号设备上网，破坏网络边界保护的完整性等。2.2.2.5 可用性破坏对信息系统的可用性的破坏主要有：l 利用网络协议或系统漏洞对系统进行的拒绝服务攻击，如TCP SYN Flooding攻击等；l 通过修改合法用户鉴别信息，使合法用户不能正常访问系统资源；l 使有严格时间要求的服务不能及时响应；l 对系统软件、硬件或网络结构的破坏，导致网络或系统不可用。2.2.2.6 旁路控制旁路控制指对信息系统的鉴别或访问控制机制设置旁路，从而绕过系统对用户身份和权限的检查，进行非法操作和非法使用资源。攻击者利用信息系统的弱点或安全性上缺陷实现旁路控制。2.2.2.7 侦听和截收攻击者通过搭线窃听或电磁辐射探测等方法截获信息，如窃取帐号、口令、网络控制信息、保密信息等。2.2.2.8 重放攻击者先截收有效信息或保密信息，如身份信息、口令、网络控制信息等，然后重放这些信息，从而实现假冒、完整性破坏、可用性破坏等。2.2.2.9 陷门陷门是存在于软件、硬件或文件中的机关，在特定的条件下危害系统安全，如修改口令的有效性、建立隐蔽信道、植入病毒和恶意程序等，以达到窃取、更改、伪造、破坏信息资源的目的。2.2.2.10 资源滥用对资源的滥用主要来自内部，如：l 内部人员有意或无意的泄漏重要信息，如口令、密钥、敏感信息等；l 内部人员未经授权使用网络设备和系统、修改网络设备和系统的配置；l 内部人员对磁盘、光盘、键盘、电话、传真等存储介质和输入输出设备的滥用，造成信息泄漏、病毒和恶意代码的传播、口令随意尝试等；l 内部人员对设备、软件的滥用，造成设备损坏、病毒和恶意代码的传播、陷门和形成隐蔽信道等，带来严重安全隐患。2.3 ××系统信息安全风险分析×××经过多年建设，已取得了很大的成绩，但随着网络技术的发展、尤其是各种网络攻击技术的发展，使得原有的安全防护技术不能满足新的发展需求。我们将×××综合评估报告，从物理、网络、系统、应用和管理等层面对×××安全风险进行全面的分析，为其后续系统信息安全体系的建设提供依据。2.3.1 物理层面的安全风险物理层面的安全风险指针对物理环境、设备及介质的安全风险。主要表现在它对电源及温度、湿度、尘埃、电磁场等环境比较敏感，容易受到自然灾害和人为的物理破坏。2.3.1.1 环境安全风险环境安全风险主要包括自然威胁、电磁辐射和干扰，以及对中心机房和工作场地的出入控制、区域保护、灾难保护、管理制度不完善等。×××的环境方面，做到了办公场地专用，所以，此类风险较低。2.3.1.2 设备安全风险设备的安全风险主要有：l 设备或部件没有明显的不可去除的标记，丢失后无法追查等。l 设备可用性的风险，如计算机主机、外部设备、网络设备及其它辅助设备等没有有效的故障报警、诊断机制；设备提供商不能及时提供技术支持等，这些因素将会严重影响系统的运行持续性。l 人为操作失误或违规操作引起设备故障，造成系统运行中断。2.3.1.3 介质安全风险存储介质的安全风险主要有：l 介质由于霉变、电磁干扰、物理损伤等原因很可能会导致部分甚至全部数据的损坏。l 介质老化造成的数据丢失和数据交换可靠性的降低。l 介质和介质数据因机房出入控制不严或管理不善丢失或被盗窃、毁坏。l 介质管理不严或废弃介质处理不当，导致信息的随意复制或泄漏。l 由于数据存储介质中的作废数据没有被彻底销毁，造成数据被恢复，泄漏重要信息。2.3.2 网络层面的安全风险网络层面的安全风险主要包括网络边界接入风险、网络节点间数据传输风险、网络节点计算环境安全风险等。2.3.2.1 网络边界接入风险网络的广泛互联促进了××业务的发展，但也增加了××网络边界的风险。这些边界风险包括：1. 数据城域网接入风险由于数据城域网线路由电信运营商提供，运营商只负责提供足够的网络带宽和可用性，并不保证安全，因此存在较大风险。2. 移动用户接入风险通常移动用户所处的安全环境较复杂，在使用拨号连接接入业务专网时，身份认证、数据安全等风险较大。3. 互联网接入风险目前，××业务专网与互联网是通过物理隔离设备进行隔离，因此外部没有对业务专网进行攻击的途径，安全风险相对较小。随着网上系统业务的开展和推广，为了确保对*的服务，互联网与业务专网之间信息交互的信息将增大很多，业务专网将直接面对来自互联网的各类威胁，如路由破坏、未授权访问、信息窃听、拒绝服务攻击、针对路由器和交换机等边界网络设备的攻击，以及病毒、蠕虫的传播等，风险巨大。4. 外联网接入风险××系统需要与业务合作单位之间通过外联网进行业务数据交换，这种接入也会引入包括非法入侵、数据破坏等各种安全风险。2.3.2.2 网络节点间数据传输风险尽管在省局和省局业务专网的各级网络节点间不传输涉密数据，但仍然会传输许多××系统内部的敏感数据，包括大量××信息、××决策信息、××数据等，若被泄漏或破坏，将对××的执行及××和国民经济政策的决策造成重大影响。2.3.2.3 网络节点局域网安全风险根据调查，在已发生的危害网络安全的事件中，约80%来自内部网络，根据×××局域网的情况分析，面临的安全风险主要有： l 网络中存在的单点故障风险。l 由于在××系统内部，没有明确界定不同用户、不同信息和不同系统的安全级别，没有实现基于安全域的访问控制，给关键系统和信息的安全保护带来了风险。l 在内部网不同安全域之间普遍没有防护措施，不能有效抵御内部的安全威胁。l 对擅自利用拨号上网设备连接互联网的现象没有有效的技术防范措施，造成内部局域网络边界完整性的破坏，为来自互联网的攻击和病毒、恶意代码的传播提供了通道。l 内部人员由于好奇或某些目的，运行可能危害网络安全的软件和程序，造成病毒、恶意代码的扩散、传播。l 内部人员有意或无意间泄漏内部网络结构、帐号、口令等重要信息，为针对网络的攻击提供了条件。l 内部人员通过各种方式盗取他人或系统的敏感信息并传播出去。l 针对路由器、交换机的攻击，造成路由破坏。2.3.2.4 网络管理安全风险目前，×××使用的网管软件大都基于SNMP协议，由于SNMP协议在安全上有脆弱性，以及软件配置不合理，网络管理上存在着很大的安全风险。加上策略不统一，难以对整个网络进行有效、统一的管理。2.3.2.5 其它安全风险×××信息系统的网络安全基本上还是以防火墙技术为主，没有形成完整的网络安全防护技术体系，无法实现对网络的深度多重防御，主要表现在以下方面： l 网络安全风险评估没有制度化、规范化，不能及时发现安全隐患并做出响应。l 还没有形成全网统一的病毒防范机制。2.3.3 系统层面的安全风险系统层面的安全风险指操作系统和数据库管理系统面临的风险。2.3.3.1 操作系统安全风险操作系统面临的安全风险主要来自两个方面，一方面来自操作系统本身的脆弱性，另一方面来自对系统的使用、配置和管理，主要有：l ×××信息系统使用的操作系统为通用系统，在安全机制的设计上有很多缺陷，如访问控制大都采用帐号/口令机制、没有口令强度的要求、超级管理员权限过大、数据保密性和完整性靠访问控制来保