《分级保护方案设计详解.doc》由会员分享,可在线阅读,更多相关《分级保护方案设计详解.doc(115页珍藏版)》请在金锄头文库上搜索。
1、iiu第三章 安全保密风险分析3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点,脆弱性是风险产生的内在原因,各种安全薄弱环节、安全弱点自身并不
2、会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。针对XXX机关涉密信息系统,我们主要从技术和管理两个方面分析其存在的安全脆弱性。3.1.1 技术脆弱性1. 物理安全脆弱性:环境安全:物理环境的安全是整个基地涉密信息系统安全得以保障的前提。如果物理安全得不到保障,那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏,造成有价值信息的丢失。目前各级XXX企业的中心机房大部分采用独立的工作空间,并且能够达到国家标准GB501741993电子计算机机房设计规范、GB28871989计算机场地技术条件、GB93611998计算站场地
3、安全要求和BMBl72006涉及国家秘密的信息系统分级保护技术要求等要求。设备安全:涉密信息系统的中心机房均按照保密标准要求采取了安全防范措施,防止非授权人员进入,避免设备发生被盗、被毁的安全事故。介质安全:目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储信息的最高密级标明密级,并按相应的密级管理。2. 运行安全脆弱性分析备份与恢复:备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题,当遇到(如火灾、水灾等)不可抗因素,不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其他建筑屋内,防止在异常事故发生时被同时破坏。网络防病毒:各级XXX企业涉密网络
4、中的操作系统主要是windows系列操作系统。虽有安全措施,却在不同程度上存在安全漏洞。同时,病毒也是对涉密网络安全的主要威胁,有些病毒可感染扩展名为corn、exe和ovl的可执行文件,当运行这些被感染的可执行文件时就可以激活病毒,有些病毒在系统底层活动,使系统变得非常不稳定,容易造成系统崩溃。还有蠕虫病毒可通过网络进行传播,感染的计算机容易导致系统的瘫痪。近年来,木马的泛滥为计算机的安全带来了严重的安全问题。木马通常是病毒携带的一个附属程序,在被感染的计算机上打开一个后门,使被感染的计算机丧失部分控制权,另外还有黑客程序等,可以利用系统的漏洞和缺陷进行破坏,都会为涉密网络带来安全风险。各级
5、XXX企业涉密网络中采用网络版杀毒软件对涉密系统进行病毒防护,并制定合理的病毒升级策略和病毒应急响应计划以保证涉密网络的安全。应急响应与运行管理:各级XXX企业采用管理与技术结合的手段,设置定期备份机制,在系统正常运行时就通过各种备份措施为灾害和故障做准备;健全安全管理机构,建立健全的安全事件管理机构,明确人员的分工和责任;建立处理流程图,制定安全事件响应与处理计划及事件处理过程示意图,以便迅速恢复被安全事件破坏的系统。3. 信息安全保密脆弱性自身脆弱性:任何应用软件都存在不同程度的安全问题,主要来自于两个方面:一方面是软件设计上的安全漏洞;另一方面是安全配置的漏洞。针对软件设计上的安全漏洞和
6、安全配置的漏洞,如果没有进行合适的配置加固和安全修补,就会存在比较多的安全风险。由于目前防病毒软件大多集成了部分漏洞扫描功能,并且涉密网络中的涉密终端与互联网物理隔离,因此可以通过对涉密网络进行漏洞扫描,定期下载升级补丁,并制定相应的安全策略来防护。电磁泄漏发射防护:信息设备在工作中产生的时变电流引起电磁泄漏发射,将设备处理的信息以电磁波的形式泄露在自由空间和传导线路上,通过接收这种电磁波并采取相应的信号处理技术可以窃取到信息。这种窃收方式危险小,不易被发现和察觉,随着我国信息化水平的不断提高,我国涉密部门大量使用计算机、网络终端等办公自动化设备,涉密信息的安全保密受到严重威胁,这种威胁不像病
7、毒攻击和网络攻击那样可以看到或者有迹可寻,它的隐蔽性强,危害极大。安全审计:安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应动作,XXXXXX企业涉密信息系统没有有效的审计,应用系统出现了问题之后无法追查,也不便于发现问题,造成了损失也很难对原因进行定性。边界安全防护:计算机连接互联网存在着木马、病毒、黑客入侵的威胁,并且我国安全保密技术手段尚不完备、对操作系统和网络设备的关键技术尚未掌握,不足以抵挡高技术窃密,因此涉密网络必须与互联网物理隔离,而仅将涉密系统置于独立的环境内进行物理隔离,并不能做到与互联网完全隔离,内部用户还可以通过ADSL、Modem
8、、无线网卡等方式连接国际互联网,因此应该通过技术手段,对违规外联行为进行阻断,另外,涉密网络中的内部介入问题也为涉密网络带来安全威胁。数据库安全:数据库系统作为计算机信息系统的重要组成部分,数据库文件作为信息的聚集体,担负着存储和管理数据信息的任务,其安全性将是信息安全的重中之重。数据库的安全威胁主要分为非人为破坏和人为破坏,对于非人为破坏,主要依靠定期备份或者热备份等,并在异地备份。人为破坏可以从三个方面来防护:一、物理安全,保证数据库服务器、数据库所在环境、相关网络的物理安全性;二、访问控制,在帐号管理、密码策略、权限控制、用户认证等方面加强限制;三、数据备份,定期的进行数据备份是减少数据
9、损失的有效手段,能让数据库遭到破坏后,恢复数据资源。操作系统安全:操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用,没有操作系统提供的安全性,信息系统和其他应用系统就好比“建筑在沙滩上的城堡”。我国使用的操作系统95以上是Windows,微软的Windows操作系统源码不公开,无法对其进行分析,不能排除其中存在着人为“陷阱”。现已发现存在着将用户信息发送到微软网站的“后门”。在没有源码的情形下,很难加强操作系统内核的安全性,从保障我国网络及信息安全的角度考虑,必须增强它的安全性,因此采用设计安全隔离层中间件的方式,增加安全模块,以解燃眉之急。3.1.2管理脆弱性任何信息系统都离
10、不开人的管理,再好的安全策略最终也要靠人来实现,因此管理是整个网络安全中最为重要的一环,所以有必要认真地分析管理所存在的安全风险,并采取相应的安全措施。物理环境与设施管理脆弱性:包括周边环境、涉密场所和保障设施等。人员管理脆弱性:包括内部人员管理、外部相关人员管理等。设备与介质管理脆弱性:采购与选型、操作与使用、保管与保存、维修与报废等。运行与开发管理脆弱性:运行使用、应用系统开发、异常事件等。信息保密管理脆弱性:信息分类与控制、用户管理与授权、信息系统互联。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等。当网络出现攻击行为、网络受到其它一些安全威胁(如:内部人员违规操作)以及网络中出
11、现未加保护而传播工作信息和敏感信息时,系统无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供追踪攻击行为的线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对网络内出现的各种访问活动进行多层次记录,及时发现非法入侵行为和泄密行为。要建设涉密信息系统建立有效的信息安全机制,必须深刻理解网络和网络安全,并能提供直接的安全解决方案,因此最可行的做法是安全管理制度和安全解决方案相结合,并辅之以相应的安全管理工具。3.2 威胁分析3.2.1 威胁源分析作为一个较封闭的内网,攻击事件的威胁源以内部人员为主,内部人员攻击可以分为恶意和无恶意攻击,攻击目标通常为机房、网络设备、
12、主机、介质、数据和应用系统等,恶意攻击指XXX企业内部人员对信息的窃取;无恶意攻击指由于粗心、无知以及其它非恶意的原因而造成的破坏。对于XXX机关涉密信息系统来讲,内部人员攻击的行为可能有以下几种形式:1被敌对势力、腐败分子收买,窃取业务资料;2恶意修改设备的配置参数,比如修改各级XXX企业网络中部署的防火墙访问控制策略,扩大自己的访问权限;3恶意进行设备、传输线路的物理损坏和破坏;4出于粗心、好奇或技术尝试进行无意的配置,这种行为往往对系统造成严重的后果,而且防范难度比较高。3.2.2 攻击类型分析1. 被动攻击:被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如
13、口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。对于各级XXX企业网络来讲,被动攻击的行为可能有以下几种形式:1) 有意识的对涉密信息应用系统进行窃取和窥探尝试;2) 监听涉密信息网络中传输的数据包;3) 对涉密信息系统中明文传递的数据、报文进行截取或篡改;4) 对加密不善的帐号和口令进行截取,从而在网络内获得更大的访问权限;5) 对网络中存在漏洞的操作系统进行探测;6) 对信息进行未授权的访问;2. 主动攻击:主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改。对于XXX
14、机关涉密信息系统来讲,主动攻击的行为可能有以下几种形式:1) 字典攻击:黑客利用一些自动执行的程序猜测用户名和密码,获取对内部应用系统的访问权限;2) 劫持攻击:在涉密信息系统中双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话,获得其关注的信息;3) 假冒:某个实体假装成另外一个实体,以便使一线的防卫者相信它是一个合法的实体,取得合法用户的权利和特权,这是侵入安全防线最为常用的方法;4) 截取:企图截取并修改在本院涉密信息系统络内传输的数据,以及省院、地市院、区县院之间传输的数据;5) 欺骗:进行IP地址欺骗,在设备之间发布假路由,虚假AI冲数据包;6) 重放
15、:攻击者对截获的某次合法数据进行拷贝,以后出于非法目的而重新发送:7) 篡改:通信数据在传输过程中被改变、删除或替代;8) 恶意代码:恶意代码可以通过涉密信息网络的外部接口和软盘上的文件、软件侵入系统,对涉密信息系统造成损害;9) 业务拒绝:对通信设备的使用和管理被无条件地拒绝。绝对防止主动攻击是十分困难的,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。3.3风险的识别与确定3.3.1风险识别物理环境安全风险:网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用,如:1) 涉密信息的非授权访问,异常的审计事件;2) 设备被盗、被
16、毁坏;3) 线路老化或被有意或者无意的破坏;4) 因电子辐射造成信息泄露;5) 因选址不当造成终端处理内容被窥视;6) 打印机位置选择不当或设置不当造成输出内容被盗窃;7) 设备意外故障、停电;8) 地震、火灾、水灾等自然灾害。因此,XXX企业涉密信息系统在考虑网络安全风险时,首先要考虑物理安全风险。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。介质安全风险:因温度、湿度或其它原因,各种数据存储媒体不能正常使用;因介质丢失或被盗造成的泄密;介质被非授权使用等。运行安全风险:涉密信息系统中运行着大量的网络设备、服务器、终端,这些系统的正常运行都依靠电力系统的良好运转,因电力供应突然中断或由于UPS和油机未能及时开始供电造成服务器、应用系统
