内安全等级保护建设项目
初步设计方案
编制单位:
编制时间: 二〇一五年三月
目录
1.信息安全概述 ............................................................................................................................................................ 4
什么是信息安全? ................................................................................................................................................. 4 为什么需要信息安全 ............................................................................................................................................. 4 1.1 安全理念 ......................................................................................................................................................... 5
1.1.1 系统生命周期与安全生命周期 .......................................................................................................... 5 1.1.2 3S安全体系-以客户价值为中心 ...................................................................................................... 6 1.1.3 关注资产的安全风险 .......................................................................................................................... 7 1.1.4 安全统一管理 ...................................................................................................................................... 8 1.1.5 安全 = 管理 + 技术 .......................................................................................................................... 8 1.2 计算机系统安全问题 ..................................................................................................................................... 9
1.2.1 从计算机系统的发展看安全问题 ..................................................................................................... 9 1.2.2 从计算机系统的特点看安全问题 ..................................................................................................... 10
2.物理安全 ................................................................................................................................................................... 11
2.1 设备的安全 ................................................................................................................................................... 11 3.访问控制 ................................................................................................................................................................... 16
3.1访问控制的业务需求 .................................................................................................................................... 16 3.2用户访问的管理 ............................................................................................................................................ 18 3.3用户责任 ........................................................................................................................................................ 21 3.4网络访问控制 ................................................................................................................................................ 23 3.5操作系统的访问控制 .................................................................................................................................... 28 3.6应用系统的访问控制 .................................................................................................................................... 33
3.7系统访问和使用的监控 ................................................................................................................................ 35 3.8移动操作及远程办公 .................................................................................................................................... 39 4.网络与通信安全 ....................................................................................................................................................... 41
4.1网络中面临的威胁 ........................................................................................................................................ 41
1.信息安全概述
什么是信息安全?
信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机。
信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适当地保护起来。
因此信息安全的特征是保留信息的如下特性:
➢ 保密性(confidentiality):保证信息只让合法用户访问;
➢ 完整性(integrity):保障信息及其处理方法的准确性(accuracy)、完全性(completeness);
➢ 可用性(availability):保证合法用户在需要时可以访问到信息及相关资产。
实现信息安全要有一套合适的控制(controls),如策略(policies)、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。
为什么需要信息安全
信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。
但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。
机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。
很多信息系统没有设计得很安全。利用技术手段获得的安全是受的,因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与,同时也应让供应商、客户或股东参与,如果有必要,可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段,则效果会更好,成本也更便宜。
1.1 安全理念
绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱,并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长,这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素,例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。
1.1.1
系统生命周期与安全生命周期
系统生命周期通常由以下阶段组成:概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里,实现系统生命周期支持的途径已经转变,以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应,安全生命周期由以下几个阶段构成:安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。
涉及到任何功能和系统级别的需求,通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式,应该在生命周期过程的早期便提出安全问题。近年来发现,在系统开发之后实现系统安全非常困难,而且已经有了不少教训。因此,必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制,设计者与开发者应该调整现有的过程模型,以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。
1.1.2 3S安全体系-以客户价值为中心
3S安全体系由三部分组成:安全解决方案(Security Solution)、安全应用(Security Application)和安全服务(Security Service)。这三部分又都以客户价值为中心。
安全解决方案(Security Solution)包括安全解决方案的设计与实施,安全产品选型与系统集成。安全应用(Security Application)包括根据用户的实际应用环境,为用户定制应用安全系统。安全服务(Security Service)则贯穿了整个安全建设的始终,从最初的安全风险评估与风险管理,帮助用户制定信息安全管理系统,系统安全加固,紧急安全响应,到安全项目实施后的安全培训教育。
附图1.
3S安全体系
1.1.3 关注资产的安全风险
安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中,我们关注的是那些针对关键资产的安全漏洞发起的攻击,这些攻击才会对资产形成威胁。因此,对于企业资产和资产风险的管理应该是整个安全管理的第一步,即通过对这些资产的安全评估,了解资产安全状况的水准。这些工作是其他安全保护技术的基础,也是有效管理企业IT安全的基石。
安全弱点管理平台可以智能发现关键IT业务资产和经营这些资产的技术(操作系统、应用程序、硬件版本等等),将其与确认的弱点进行对比,并提供包含逐步修补指导说明的基于风险的弱点管理任务列表,指导IT管理员合理及时处理安全弱点,从而显著地降低风险。
安全对抗平台对关键网段进行监视,并且可以随时准备转移到安全事件的突发区,进行事件分析,帮助管理员和专家抵抗、反击攻击者。在安全事件发生后,可以重建安全事件过程、恢复关键数据,能够极大地提高系统的生存能力,并且起到威慑攻击者的目的。
1.1.4 安全统一管理
安全事件不是的、偶然的。一次成功的攻击事件,必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击,还是来自病毒的攻击行为,都可以从防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中,如果能够有效地、智能地加以整合,我们就可以清晰地了解到整个安全事件的过程,帮助管理员更好地管理信息系统的安全。
来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看,网络设备应该也属于网络安全的一部分。在一个大型的网络中,对于分布在不同网段、不同地理位置的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上,对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。
安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件数据,同时通过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据,并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息,系统管理员将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前,立即做出反应。
1.1.5 安全 = 管理 + 技术
信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时,没有考虑到安全问题。通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。
作为信息安全管理的最基本要求,企业内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。
如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。
1.2 计算机系统安全问题
目前,计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计,有11%的安全问题导致网络数据被破坏,14%导致数据失密,15%的攻击来自系统外部,来自系统内部的安全威胁高达60%。由于受到内部心怀不满的职工安放的程序侵害,Omega Engineering公司蒙受了价值300万美元的销售收入和合同损失,由于受到来自网络的侵袭,Citibank银行被窃了1000万美元,后来他们虽然追回了750万美元损失,但却因此失去了7%的重要客户,其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子,实际上,更多的安全入侵事件没有报告。据美国联邦调查局估计,仅有7%的入侵事件被报告了,而澳大利亚联邦局则认为这个数字只有5%。因为许多入侵根本没有被检测到,还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。
那么,为什么当今信息系统中存在如此之多的安全隐患,安全问题如此突出呢?这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面,我们从以下几个方面简要论述。
1.2.1 从计算机系统的发展看安全问题
安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用,与外界联系较少,能够接触和使用系统的人员也很少,系统安全隐患尚不明显。
现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落,给系统的安全管理造成了很大困难。早期的网络大多限于企业内部,与外界的物理连接很少,对于外部入侵的防范较为容易,现在,网络已发展到全球一体化的Internet,每个企业的Intranet都会有许多与外部连接的链路,如通过专线连入Internet,提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。随着系统和网络的不断开放,供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现,一个人不必掌握很高深的计算机技术就可以成为黑客,黑客的平均年龄越来越小,现在是14-16岁。
1.2.2 从计算机系统的特点看安全问题
在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX或Windows NT操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
TCP/IP的结构与基于专用主机(如IBM ES/3000、AS/400)和网络(如SNA网络)的体系结构相比,灵活性、易用性、开发性都很好,但是,在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议,无安全控制机制,存在IP Spoofing、TCP sequence number prediction attacks、Source outing attacks 、RIP attacks、ICMP attacks、Data-driven attacks (SMTP and MIME) 、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、 Hijacking attacks、Data integrity attacks、 Encapsulated IP attacks等各种各样的攻击手段。实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数
据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。
UNIX操作系统更是以开放性著称的,在安全性方面存在许多缺限。如用户认证和授权管理方面,UNIX操作系统对用户登录的管理是靠用户名和口令实现的,存在很多安全上的隐患;在对资源的访问控制管理方面,UNIX只有读、写和执行三种权限,无法对文件进行更为细致的控制,且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配置过程,不同系统上配置方法也很不一致,实际上无法全面有效地实施。另外UNIX中的root用户为特权用户,拥有至高无上的特权,它也成为黑客窥视的主要目标,给系统安全造成了极大危害。
2.物理安全
2.1 设备的安全
目的: 防止资产丢失、损失或被破坏,防止业务活动的停顿。
设备应有物理保护不受安全威胁及环境事故的影响。
要保护设备(包括用在离线的地方)以减少非法访问数据的风险,和保护不会丢失或损失,也要考虑设备应放在什么地方及如何处理掉。 可能需要特别的控制来保护故障或非法访问,和保障支援设备,例如电力供应和线缆架构。
2.1.1设备的放置及保护
设备应放在安全的地方,保护减少来自环境威胁及事故的风险,减少非法访问的机会。要考虑的有:
➢ 设备的位置,应是尽量减少不必要的到工作地方的访问;
➢ 处理敏感数据的信息处理及储存设备应该好好放置,以减少使用时被俯瞰的风险;
➢ 需要特别保护的东西,应被隔离;
➢ 应控制并减少潜在威胁出现的风险:
偷窃;
火;
爆炸物;
烟;
水(或供水有问题);
尘埃;
震动;
化学效应;
电力供应干扰;
电磁辐射;
➢ 机构应考虑在信息处理设备附近的饮食及吸烟策略;
➢ 应监控那些严重影响信息处理设备操作的环境;
➢ 考虑在工业环境设备的特殊保护方法,例如采用键盘薄膜;
➢ 发生爆炸。
应考虑在大厦附近发生灾难的后果,例如隔离大厦着火、房顶漏水,地下层渗水、街道
2.1.2电力的供应
应保证设备电源不会出现故障,或其它电力异常。应有适当的、符合设备生产商规格的电力供应。关于连续性供电的选项有:
➢ 多个输电点,避免单点输电导致全部停电;
➢ 不间断电源(UPS);
➢ 备份发电机。
建议为那些支持重要业务操作的设备配备UPS,保持有次序的停电或连续性供电。应急计划应包括UPS 发生故障时应采取什么行动。UPS设备应定期检查,保证有足够的容量,并按生产商的建议进行测试。
如果发生长时间电源失败还要继续信息处理的话,请考虑配备后备发电机。发电机安装后,应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。
此外,紧急电力开关应放置设备房紧急出口的附近,以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯,及在所有外部通讯线路都要装上灯光保护过滤器。
2.1.3电缆线路的安全
应保护带有数据或支持信息服务的电力及电讯电缆,使之不被侦听或破坏。要注意的有:
➢ 进入信息处理设备的电力及电讯电缆线路应放在地下下面,如可能,也可以考虑其它有
足够保护能力的办法;
➢ 的路径;
网络布线应受到保护,不要被非法截取或被破坏,举例,使用管道或避免通过公众地方
➢ 电源电缆应与通讯电缆分开,避免干扰;
➢ 至于敏感或重要的系统,更要考虑更多的控制,包括:
安装装甲管道,加了锁的作为检查及终点的房间或盒子;
使用可选路由或者传输介质;
光纤光缆;
清除附加在电缆上的未授权设备。
2.1.4设备的维护
设备应正确维护来保证连续性可用合完整性。 以下是要注意的:
➢ 设备应按供应商的建议服务间隔及规格维护;
➢ 只有授权的维护人员才可以修理设备;
➢ 记录所有可疑的或真实的故障,以及所有防范及改正措施;
➢ 实施适当的控制如何把设备送出大厦进行修理
2.1.4设备离开大厦的安全
无论是谁拥有的,在机构外面使用任何设备处理信息应有管理层的授权。 所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格,放在家里或从日常工作地方搬走。要考虑的有:
➢ 从大厦取走的设备及介质,不应放在公众地方无人看管。 笔记本计算机应当作手提行
李随身,及在外时尽量遮蔽,不要显露在外被人看到;
➢ 应时常注意生产商保护设备的指示,例如不要暴露在强大的电磁场内;
➢ 在家工作的控制,应在评估风险后确定,并适当地实施,举例,可上锁的文件柜、清除
桌子的策略及计算机的访问控制;
➢ 应有足够的保险保护不在大厦的设备。
安全风险,例如损坏、被盗及偷听,可能每个地方都不同,所以应仔细考虑后确定最适当的控
制。参看3.8.1的关于如何保护移动设备。
2.1.5设备的安全清除或重用
信息可以通过不小心清除或重复使用设备而被破坏(参看8.6.4),有敏感信息的存储设备应该物理被销毁或安全地覆盖,而不是使用标准的删除功能。
所有储存设备,例如固定硬盘,应被检查以保证已清除所有敏感数据及授权软件,或在清除前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险后确定是否把设备销毁、修理或丢掉。
3.访问控制
3.1访问控制的业务需求
目的:控制信息的访问。
应按照业务及安全要求控制信息及业务程序的访问,应把信息发布及授权的策略内容加入到考虑范围之内。
3.1.1访问控制策略
3.1.1.1策略及业务需求
首先要定义业务需求的访问控制,并记录下来。访问策略的文件应清楚写明每个用户或每组用户应有的访问控制规定及权限,用户及服务提供商都应有一份这样的文件,明白访问控制要达到什么业务需求。访问控制策略应包括以下内容:
➢ 每个业务应用系统的安全要求;
➢ 确认所有与业务应用系统有关的信息;
➢ 信息发布及授权的策略,例如:安全级别及原则,以及信息分类的需要;
➢ 不同系统及网络之间的访问控制及信息分类策略的一致性;
➢ 关于保护访问数据或服务的相关法律或任何合同规定;
➢ 一般作业类的标准用户访问配置;
➢ 在分布式及互联的环境中,管理所有类别的连接的访问权限。
3.1.1.2访问控制规定
在制定访问控制规定时,应小心考虑以下:
➢ 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑;
➢ 根据“除非有明文准可,否则一般是被禁止”的原则建立规定,而不是“在一般情况下
全都可以,除非有明文禁止”的模糊概念;
➢ 由信息处理设备自动启动与经过用户判断启动的信息标记改动;
➢ 由信息系统自动启动的与由管理员启动的用户许可的变动。
➢ 需要与不需要管理员或其它批准才能颁布的规定。
3.2用户访问的管理
目的:防止非法访问信息系统。
应有一套正式程序来控制分配信息系统及服务的访问权限。
手续应包括用户访问生命周期的所有阶段,从一开始注册新用户直到最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限,因为这些特级权限让用户越过系统的控制。
3.2.1用户登记
应有一套正式的用户注册及注销手续,以便授予访问所有多用户信息系统及服务。
多用户信息服务的访问应通过正式的用户注册手续控制,内容应包括:
➢ 使用唯一的用户ID,以便鉴定是谁做什么操作,并予以追究责任;
➢ 问权限;
检查用户是否已被系统拥有者授权使用信息系统或服务。有时,还需要管理个别批准访
➢ 检查所准许的访问级别是否适用于业务目的(参看3.1),是否与机构的安全策略一致,
例如不会破坏责任的分开;
➢
发送用户访问权限声明书给用户;
➢ 要求用户在声明书上签字,表示明白了访问的条件;
➢ 确保服务提供者不能访问,直到授权手续已完成;
➢ 保存一份所有注册使用服务的正式名单;
➢ 马上取消已更换岗位、或已离开机构的用户的访问权限;
➢ 定期检查是否有多余的用户ID及账号,并予以除掉;
➢ 确保多余的用户ID不会发给其它用户。
此外,应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的制裁的条款。
3.2.2特权管理
应禁止及控制特权(指任何一种功能或设备会让用户可以越过系统或应用系统控制的多用户信息系统)的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。
需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配,应考虑以下的步骤:
➢ 认与每个系统产品(例如操作系统、数据库管理系统以及每个应用系统,以关联的特权,
以及找出那些应配有特权的员工。
➢ 要求。
权应按照“需要使用”及“按事件”的原则分配,即只在需要时所赋有的最低功能角色
➢ 应有一套授权程序,及记录所有被分配的特权。不应授予特权,直到完成整个授权程序。
➢ 鼓励开发及使用系统例行程序,以避免授予用户特权的需要
➢ 特权应赋予不同的用户ID,与用作业务的ID分开
3.2.3用户口令的管理
口令是一个常用方法,来核查访问某个信息系统或服务的用户身份。所以,应通过正式的管理程序分配口令,办法以下:
➢ 的口令;
要求用户在声明书上签字,保证不泄露个人口令,以及只让在同一组的组员知道作业组
➢ 当需要用户保密自己的口令时,保证在开始时只提供一个暂时的口令,强迫用户马上更
改。当用户忘记自己口令时,应在确认清楚用户身份后才提供临时性口令;
➢ 要求安全地发给用户临时性口令。应避免使用第三方或未加保护(明文)的电子邮件信
息。用户应确认收到口令。
口令绝不能以不加保护的形式储存在计算机系统中(参看3.5.4)。其它用来确认及认证
用户的技术,例如生物测定学,指纹核查、签名核查及硬件令牌,例如chip-cards,都可以考虑使用。
3.2.4用户访问权限的检查
为了有效控制数据及信息服务的访问,管理层应该定期正式检查,看看用户的访问权限是否:
➢ 定期(建议是每隔六个月)及在任何改动后(参看3.2.1)接受检查;
➢ 更频繁地检查特权访问的授权(参看3.2.2),建议是每隔三个月;
➢ 定期检查特权的分配,以确保没有用户取得非法特权。
3.3用户责任
目的:防止非法的用户访问。
合法用户的合作对推行有效的安全非常重要。
用户应知道自己有责任维护有效的访问控制,特别是如何使用口令及用户设备的安全。
3.3.1口令的使用
用户应遵守良好的选择及使用口令的安全惯例。
口令提供了一个核查用户身份的途径,从而可以建立信息处理或服务的访问权限,建议所有用户应:
➢ 保密口令;
➢ 避免书写记录口令,除非保存妥当;
➢ 每当怀疑系统被破坏或口令被公开时,应马上更改口令;
➢ 选一个至少有六个字的好口令:
容易记住;
➢ 不根据与个人有关的信息如名字、电话号码、出生日期等(容易被猜出)订出口令;
➢ 不是连续的同一个字,或全是数字或全字母;
定期或按访问次数更改口令(特权账号的口令应比一般口令更改更频繁),避免重复使用旧口令;
第一次登录后应马上更改临时性口令;
不要在自动登录程序中把口令纳入,例如储存在宏或函数密钥中;
不要与别人共享口令。
如果用户需要使用好几个口令来访问多个服务或平台,建议他们应使用一个很好的单一口令(参看3.3.1(4))为这好几个口令的存储提供合理水平的保护。
3.3.2无人看管的用户设备
用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设备,例如工作站或文件服务器,如一段时间内无人看守时,更需要格外保护并使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安全要求及手续,以及有责任实施保护措施。建议用户应:
➢
除非有合适的锁定机制保护(例如有口令保护的屏幕保护(screensaver),否则应终止
已完成的活动会话;
➢ 会话结束后应退出登录主机(即不仅仅是关闭PC或终端);
➢ 当PC 或终端不用时,应保护它们不被非法使用,例如使用密钥锁或等同的安全机制,
如口令访问。
3.4网络访问控制
目的:互联服务的保护。
应控制内部及外部联网服务的访问,以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全,保证:
➢ 在机构网及其它机构网或公用网之间要有合适的界面;
➢ 要有合适的认证机制认证用户及设备;
➢ 控制用户访问信息服务。
3.4.1网络服务的使用策略
不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问已明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在机构安全管理及控制范围的公用或外部地方)的用户尤其重要。
策略应与网络及网络服务的使用有关,应覆盖:
➢ 容许被访问的网络及网络服务;
➢ 定出谁可以访问哪个网络及网络服务的授权手续;
➢ 保护接入网络及网络服务的管理控制及手续;
这个策略应与业务访问控制策略一致(参看3.1)。
3.4.2强制式路径
从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内共享资源及提供最大程度的路由,但网络这样的功能也同时提供机会非法访问业务应用系统或非法使用信息设备,所以,在用户终端与计算机服务之间设置路由控制(例如,建立一条强制式路径)会减少这样的风险。
强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问服务之间的路由。这样,就需要在路由的不同点上实施多个安全控制,控制原则是按事先定义的选择每个网点的路由选择,这方面的例子有:
➢ 分配专用线或电话号码;
➢ 自动把端口连接到指定的应用系统或安全网关;
➢ 供每个用户使用的菜单及子菜单;
➢ 禁止无限量的网络漫游;
➢
强迫外部网络用户使用指定的应用系统 及/或 安全网关;
➢ 通过安全网关(例如防火墙)严格控制从源地址到目的地址的通讯;
➢ 设置不同的逻辑域(例如VPN)机构内用户组对网络的访问(请参看3.4.6)。
对强制式路径的需求应该基于业务访问控制策略(参看3.1)
3.4.3外部连接的用户认证
外部的连接(例如拨号访问)是非法访问业务信息的隐患。所以,远程用户的访问应被认证。认证方法有很多种,保护的程度也有强弱之分,例如使用密码技术的方法提供非常安全的认证。所以,应在风险评估后决定需要哪一级别的保护,然后决定需要哪种认证机制。
认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响应(challenge/response)的协议。专用线或网络用户地址的检查设备也可以被用来提供源地址的保障。
回拨(dial-back)的程序及控制(如使用回拨调制解调器),可以拒绝非法或不受欢迎的连接到达机构的信息处理设备。这样的控制可以对试图从远程地点与机构网络建立连接的用户进行认证。使用这种控制的机构就不要使用有呼叫传送(call forwarding)功能的网络服务,如果坚持要使用的话,机构应中止使用这样的功能,避免因call forwarding 所带来的安全隐患。同时,在回拨进程中包括保证机构确实断绝连接的功能是很重要的,要不然,远程用户便可以把线路一直保持是通的,假装已确实发生了回拨验证。应仔细检查回拨的程序与控制是否会可能有此情况发生。
3.4.4 网点认证
能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会,所以要有认证机制来认证到远程计算机系统的连接,尤其是使用机构安全管理控制范围之外的网络连接。以上的
3.4.3 举了几个认证例子,以及实现这些机制的建议。
网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算机设备的远程用户。(参看3.4.3)
3.4.5远程诊断端口的保护
应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊断设备为维护工程师使用。如果不好好保护,这些诊断端口就变成非法访问的途径,所以,应有合适的安全机制保护这些端口,例如,有一个密钥锁及程序,保证只能使用通过计算机服务管理员与需要访问的软硬件技术支持人员商量后所同意的访问方法访问。
3.4.6网络的隔离
网络不断扩大,已超出传统的机构式范围,业务伙伴的相继形成,同时也要求大家互联或共享信息处理及联网设施。这样的扩大,也增加了非法访问现有网络信息系统的风险,而这些系统因有敏感信息或是非常重要的不能让别的网络用户访问的信息,在这样的情况下,应考虑在网络设置控制,把不同的信息服务组、用户及信息系统隔离。
一种控制大网络安全的方法是把网络分成几个逻辑网域,例如,机构的内部网域及外部网域,每个网域都有特别指定的安全边界,实现这样的安全边界是在两个要联网的网络之间安装一个安全的网关,来控制两个网域之间的访问及信息流量。网关的设置应该是过滤这些网域之间的流量(参看3.4.7 及3.4.8),以及按机构的访问控制策略(参看3.1)阻截非法访问,一个这样的网关例子是防火墙。
把网络分隔成网域的标准,应该是按照访问控制策略及访问机制(参看3.1),还要考虑成本及
因设置网络路由或网关技术(参看3.4.7 及3.4.8)后所引致的性能冲击。
3.4.7网络连接控制
共享网络的访问控制策略的要求,特别是超出机构范围的网络,可能需要有另外的控制来禁止用户的连接能力。这样的控制可以使用事先定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及业务需求(参看3.1),并时常更新。
应制定禁止规定的例子是:
➢ 电子邮件;
➢ 单向的文件传输;
➢ 双向的文件传输;
➢ 交互访问;
➢ 有时间日期的网络访问。
3.4.8网络路由的控制
共享网络,特别是超出机构范围的网络,需要设置路由控制,以保证计算机连接及信息流不会破坏业务系统的访问控制策略(参看3.1)。那些与第三方(非机构)用户共享的网络更需要有这些控制。
路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一个很有用的机制来隔
离网络,以及阻止路由从一个机构网络传播到另一个机构的网络。机制可以用软件或硬件实现,但实现者要注意机制的安全程度。
3.4.3 网络服务的安全
现在有很多不同类别的公私网络服务供使用,有些服务是增殖服务,而网络服务应有独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务的安全属性。
3.5操作系统的访问控制
目的:防止不合法的计算机访问。
操作系统级别的安全设施应被用来计算机资源的访问。这些设施应有以下功能:
➢ 标识及检查身份,如有需要,应把每个合法用户的终端或地点都纳入检查之列;
➢ 记录成功及失败的系统访问;
➢ (4));
提供合适认证方法:如果使用口令管理系统,应保证是在用良好的口令(参看3.3.1
➢ 如有需要,用户的连接时间。
其它访问控制方法,例如challenge-response, 如果可以减低业务风险,也可以考虑使用。
3.5.1自动认证终端
在认证连接到指定地点及便携式设备时,可以考虑使用自动认证终端。自动认证终端是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终端中,或附在终端的标识符可以显示这终端是否可以启动或接收交易。如有需要,考虑用物理方法保护终端,以维持终端标识符的安全。认证用户的方法有很多(请参看3.4.3)。
3.5.2终端的登录程序
正常情况是应该可以通过安全的登录过程进入信息服务,登录进入计算机系统的程序应把非法访问的机会减到最低,为了避免提供非法用户不必要的帮助,登录程序应只公开最少量的系统信息。一个良好的登录程序应:
➢ 不显示系统或应用系统的标识符,直到登录成功完成;
➢ 显示一个通知,警告只有合用用户才可进入系统;
➢ 在登录过程中不提供帮助信息,以免被不合法用户利用;
➢ 只有完成输入数据后才核查登录信息。 如有出错,系统应指出哪部分的数据是正确,
哪部分不正确;
➢ 登录失败的次数(建议是三次),以及考虑:
➢ 记录不成功的登录;
➢ 强迫在继续尝试登录前有时间间隔,或者在没有特定授权之下拒绝任何登录尝试;
➢
登录程序的最长及最短时间。限定时间一过,系统应停止登录程序;
➢ 完成成功登录后显示以下信息:
➢ 前一次成功登录的日期及时间;
➢ 自上次成功登录后任何不成功登录尝试的详情。
3.5.3用户标识及认证
所有用户(包括技术支持员工,例如操作员、网管、系统程序员及数据库管理员)应有各自的标识符(用户ID),只为自己使用,以确认谁在操作,及予以追究责任。用户ID应没有任何迹象显示用户的权限(参看3.2.2),例如经理、主管等。
在特殊情况下,如有清晰的业务利益,可以考虑为一组用户或某个作业共享用户ID,但一定要有管理层的书面批准才行。如有需要,可以增加管理措施来贯彻责任。
有很多种认证程序可以被用来充实某个用户所称述的身份。口令(参看3.3.1及以下)是提供标识及认证的最常见方法,认证原则是基于只有用户知道的秘密。但认证也可以使用密码及认证协议来完成。
用户拥有的对象,例如内存令牌或智能卡,也是标识及认证的方法之一。认证某人的身份也可使用生物特征认证,一种利用用户某个独特特征或属性的认证技术。强大的认证可以通过安全组合多个认证技术或机制来实现。
3.5.4口令管理系统
口令是一种基本方法检查用户访问某个计算机服务的权限,所以,口令管理系统应提供一个有
效交互的措施,确保是在使用健全的口令(参看3.3.1的使用口令指引)。
一些应用系统要求用户口令由某个机构制定,但大部分情况是由用户选择及保存自己的口令。
一个良好的口令管理系统应是:
➢ 强制使用个人口令来维护责任;
➢ 在适当情况下,容许用户选择及更改自己的口令,并提供确认程序确认输入正确;
➢ 强令执行要选择健全的口令,如在3.3.1所述;
➢ 如果是用户维护自己的口令,要强迫口令的变化,如3.3.1所述;
➢ 如果是用户选择口令,强迫他们第一次登录后要更改临时的口令(参看3.2.3);
➢ 记录用户用过的口令,例如12个月前用的口令,以防止重复使用;
➢ 进入系统后不要在屏幕上显示口令;
➢ 把口令文件与应用系统数据分开储存;
➢ 使用单向加密算法把口令加密储存;
➢ 安装软件后把供应商的缺省口令改掉。
3.5.5系统工具的使用
很多计算机的安装都有一个以上的系统工具程序,来越过系统及应用程序的控制,所以,有必要及严格控制这些工具的使用。以下的控制可以被考虑:
➢ 使用认证程序认证系统工具;
➢ 把系统工具与应用软件分开;
➢ 把系统工具的使用到只有最少数的可信任合法用户使用;
➢ 授权在特别情况下使用系统工具;
➢ 系统工具的使用期限,例如只在合法更改的期间内使用;
➢ 记录所有使用系统工具的活动;
➢ 定义及记录所有系统工具的授权级别;
➢ 取消所有不必要的工具软件及系统软件;
3.5.6为保障安全的人员配备强迫警钟
是否应为保障安全用户提供警钟,应在评估风险后决定,同时,要定义负责什么责任及反应警钟的程序。
3.5.7终端超时
在高风险地方(例如公用地方,或超出机构安全管理范围之外的地方)的交互终端,或为高风险系统服务的交互终端,应在一段没有活动的时间后关闭,以免被非法用户访问。这种超时措施应在一段休止时间后清除终端屏幕的内容及关闭应用系统及网络会话。超时的延迟应能反映这地方的安全风险以及谁是终端的使用者。
可以在某些PC上实行部分的终端超时措施,即清除屏幕内容防止非法访问,但不关闭应用系统或网络会话。
3.5.8连接时间的
连接时间在某种程度上加强高风险应用程序的安全。那段时间准许终端连接到计算机服务的做法,会减少非法访问的时限。这样的应考虑在敏感的计算机应用系统上实行,特别是安装在高风险地方(例如公用地方,或超出机构安全管理范围之外的地方)的终端。
这样的方法例子可以是:
➢ 使用已定的时间段,例如传输批文件的时间,或短时间的定期交互会话;
➢ 如果没有加班或延长工作的要求,限定连接时间在正常的工作时间之内。
3.6应用系统的访问控制
目的:防止非法访问放在信息系统中的信息。 应有安全设备来禁止访问应用系统并只容许合法用户逻辑访问软件及信息。 应用系统应该是:
➢ 按已定的业务访问控制策略,控制用户进入信息系统及访问应用系统功能;
➢ 防止可以越过系统或应用系统控制的工具及操作系统非法访问;
➢ 不破坏其它共享信息资源的系统的安全;
➢ 只让拥有者、其它合法用户或指定的用户组访问信息;
3.6.1信息访问的
应用系统的用户,包括技术支持人员,应按访问控制策略、个别业务的应用要求及机构的信息访问策略访问信息及应用系统功能。 要符合访问的要求,应考虑以下的控制:
➢ 提供菜单来控制对应用系统功能的访问;
➢ 适当编辑用户说明书,把用户不该知道的信息或应用系统的功能去掉;
➢ 控制用户的访问权限,例如阅读、写入、删除及执行;
➢ 保证处理敏感信息的应用系统的输出只有与输出使用有关的信息,并只发送给合法的终
端及地点,同时,也要定期检查这些输出确实没有多余的信息。
3.6.2敏感系统的隔离
敏感系统需要有专用(隔离)的计算机环境。一些应用系统的信息非常敏感,需要特别的处理以防止损失。应用系统的敏感程度暗示需要在专用的计算机上运行,只能与可信任的应用系统共享资源。要考虑的问题有:
➢
应明确标明应用系统的敏感程度,并由这系统的拥有者记录保存;
➢ 当一个敏感应用系统要在共享环境下运行,应标明有哪些应用系统与它共享资源,并得
到敏感应用系统拥有者的同意。
3.7系统访问和使用的监控
目的: 检测非法活动。
系统应被监控来检测违反访问控制策略的活动,以及记录可检测的事件,以便在发生安全事件时提供证据。
系统监控能够检查所通过的管理是否有效,是否与访问控制模型(参看3.1)一致。
3.7.1事件记录
应有一个记录异常事件及其它安全事件的审计日志,并在一段已定的时间内保存备用。审计日志应包括以下:
➢ 用户ID;
➢ 登录与推出登录的日期时间;
➢ 终端或地点(如可能)的身份;
➢ 成功及拒绝的系统访问的日志;
➢ 成功及拒绝的数据及其它资源的访问。
某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。
3.7.2监控系统的使用
3.7.2.1风险的程序及区域
应建立监控信息处理设备使用情况的程序,以保证用户只进行明确授权了的活动。控级别应在评估风险后确定。
要考虑的区域有:
➢ 合法访问,包括详细情况,如:
用户ID;
重要事件发生的日期时间;
事件的种类;
所访问的文件;
所使用的进程/工具。
➢ 所有特权操作,例如:
管理账号的使用;
所需的监
系统的启动及停止;
I/O 设备的附加装置/分离装置。
➢ 非法访问的尝试,例如:
失败的尝试;
网关及防火墙的违反访问策略的访问及通知;
入侵检测系统的预警。
➢ 系统预警或失败,例如:
控制台预警或消息;
系统日志的异常;
网络管理的警报。
3.7.2.2风险因素
应定期审查监控活动的结果,审查的频率应依赖于涉及的风险。风险因素有:
➢ 应用进程的重要性;
➢
所处理的信息的价值、敏感程度及重要性;
➢ 过去系统渗透及误用的经验;
➢ 系统联网的范围(特别是公用网)。
3.7.2.3对事件进行日志记录和审查
日志检查包括了解系统所面临的威胁,以及这些威胁在什么情况下会出现。 3.7.1 是如果有安全事件发生时应注意哪一类事件的例子。
系统日志的内容一般是非常多,有很多是与安全监控无关。要找出重要的事件, 应考虑自动把合适的消息种类拷贝到第二个日志,以及/或使用合适的系统工具或审计工具检查文件。
当指定日志检查的责任时,应该把进行检查的人员和活动被监控的人员的角色分开。 特别要注意日志设备的安全,因为如果被篡改,日志等于是提供不真实的安全,所以,要注意不要被非法更改及操作出错,如:
➢ 日志设备的停用;
➢ 所记录的对消息种类的更改;
➢ 被编辑或删除的日志文件;
➢ 日志文件储存介质的用尽,或者不能继续记录日志或者覆盖自己。
3.7.3时钟的同步
计算机时钟的正确设置是非常重要的,以保证审计日志的准确性,留待日后调查或当作法庭证
据,不准确的审计日志会妨碍这样的调查工作,以及有损证据的可信性。
如果是计算机或通讯设备能够实时操作时钟,应把时钟时间设成已认可的标准,例如统一协同时间(Universal Co-ordinated Time)或当地标准时间。因为有些时钟会随时间变快或变慢,所以,应有一个程序检查时钟的时间,如发现不对,可以予以改正。
3.8移动操作及远程办公
目的:保证信息安全在移动环境及远程工作的设备上实现。应考虑在这些情况有哪些风险后才决定要指定那些策略。移动环境是个没有保护的环境,应仔细考虑会有什么风险,以及应有哪方面的安全措施。 至于远程工作模式,机构应保护远程工作的地点,并保证有合适的措施,保护在这样的环境工作的安全。
3.8.1移动操作
当使用移动计算机设备,例如笔记本、掌上宝、移动电话等,应小心业务信息不被破坏。应颁布正式的策略,对付移动操作的风险,举例,策略应包括物理保护的要求、访问控制和密码控制技术、备份、防病毒等等,以及连接移动设备到网络的规定及建议,如何在公共场所使用这些设备的指引。
应小心在公共场所、会议室及其它没有保护的不在机构办公地点的地方使用移动设备,应保护不被非法访问或泄露被该设备储存或处理的信息,方法之一是使用密码技术。
重要的是,要注意在公共场所使用移动设备时,小心不要被不认识的人在后面偷看。同时,也要有防止恶意软件程序,并要时常保持最新版本(参看8.3)。应有随时可用的设备,以便快速、轻松地备份信息。这些备份应有很好的保护,不被盗取或丢失。
应保护移动设备到网络的连接。使用移动设备在公用网上远程访问业务信息时,只有在成功标识及认证并经过访问控制机制(参看3.4)后才准许连接。
移动计算机的设备应保护不被盗取,特别是放在汽车或其它交通工具、饭店房间、会议中心等情况下。不要把有重要敏感 及/或 重要业务信息的移动设备搁在一旁,如可能的话,最好放在加锁的地方,或是使用特别的锁把设备锁住。更多关于如何物理保护移动设备的方法
应提供培训给使用移动设备的员工,提高他们的认识,明白这样的工作方式所带来的风险,以及有什么管理办法可以使移动工作更安全。
3.8.2远程工作
远程工作是指使用通讯技术使员工在一个不在机构的固定地方远程工作,为了安全,所以要保护远程工作的地点,例如保护设备及信息不要被盗取,不要非法公开信息,不要非法远程访问机构的内部系统或滥用设备。要注意由管理层授权及管理远程工作,保证实施了保护措施使远程工作安全。
机构应制定一套策略,程序及标准来管理远程工作的活动。机构应只授权已有合适的安全安排及管理的远程工作活动,并要求要与机构的安全策略一致,要考虑的有:
➢ 现有远程工作地点的物理安全,包括大厦及当地环境的物理安全;
➢ 建议的远程工作环境;
➢ 安全通讯的要求,包括远程访问机构内部网的需要、被访问信息的敏感程度、内部系统
的敏感程度等;
➢ 工作环境内的其他人(例如亲人及朋友)非法访问信息或资源的威胁
要考虑的管理及安排有:
➢ 远程工作活动有没有合适的设备及保存设备;
➢ 定义什么工作可以进行、工作的时间、要保存的信息分类以及远程工作者被授权可以访
问的内部系统及服务;
➢ 配备合适的通讯设备,包括安全远程访问的方法;
➢ 物理安全;
➢ 朋友或亲人进入设备或信息的规定及指引;
➢ 配备软硬件的支持及维护;
➢ 备份及业务连续性的程序;
➢ 审计及安全监控;
➢ 停止远程工作活动后授权、访问权限的注销及设备的归还。
4.网络与通信安全
4.1网络中面临的威胁
4.1.1针对网络设备的攻击
4.1.1.1 交换机-针对CDP攻击
说明:
Cisco专用协议,用来发现周边相邻的网络设备
链路层帧,30s发送一次可以得到相邻设备名称,操作系统版本,接口数量和类型,接口IP地址等关键信息在所有接口上默认打开
危害:
任何人可以轻松得到整个网络信息,可以被利用发起http://www.phenoelit.de/irpas/
DoS攻击:
对策:
如不需要,禁止CDP,禁止User-End端口的CDP
4.1.1.2 交换机-针对STP攻击
说明:
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- awee.cn 版权所有 湘ICP备2023022495号-5
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务