00-信息系統(tǒng)安全評估總結(jié)報告

...wd......wd......wd...信息系統(tǒng)安全風(fēng)險評估總結(jié)報告文檔信息文檔名稱xxxxxx信息系統(tǒng)安全風(fēng)險評估總結(jié)報告保密級別商密文檔版本編號1.0文檔管理編號XJAIR-PGBG管理人xxxxxx信息部起草人制作日期200復(fù)審人評估工作領(lǐng)導(dǎo)小組風(fēng)險評估專家咨詢小組復(fù)審日期2005/06/擴散范圍xxxxxx風(fēng)險評估工程組，風(fēng)險評估專家咨詢小組，xxxxxx信息部文檔說明本文檔為xxxxxx信息系統(tǒng)安全風(fēng)險評估總結(jié)報告，包括風(fēng)險評估概述、風(fēng)險評估方法、系統(tǒng)特征描述、風(fēng)險分析和風(fēng)險控制幾個局部。版權(quán)聲明本文件中出現(xiàn)的任何文字表達、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬xxxxxx監(jiān)理公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)xxxxxx監(jiān)理公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。前言2003年中共中央辦公廳、國務(wù)院辦公廳下發(fā)了?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見?(中辦發(fā)[2003]27號)，即27號文件，文件指出：“為了進一步提高信息安全保障工作的能力和水平，……要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進展分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進展相應(yīng)等級的安全建設(shè)和管理。〞為加強信息安全保障工作，開展重要行業(yè)信息系統(tǒng)的安全風(fēng)險評估工作指明了方向。金融、電信和民航一向被認為是我國信息化程度最高的三大行業(yè)，也是信息化手段更新最快、對信息技術(shù)依賴性最強的行業(yè)。安全生產(chǎn)是民航運輸業(yè)的重中之重，但是由于信息安全保障缺乏，2003年7月，某機場的計算機網(wǎng)絡(luò)系統(tǒng)突然癱瘓，一時間，所有飛機無法起降，大量乘客被困機場，嚴(yán)重影響機場的正常運營，并造成了巨大的損失。而在不久之后，某大型民航機場的信息系統(tǒng)又突然出現(xiàn)問題，所幸?guī)追昼姾髾C場備用系統(tǒng)成功地接替了工作，順利化險為夷。這些例子說明，當(dāng)前民航網(wǎng)絡(luò)和信息安全形勢不容樂觀，重要的網(wǎng)絡(luò)和信息系統(tǒng)缺乏必要的安全防范手段，這同樣也成為了民航信息化建設(shè)的隱患。值得一提的是，和國外相比，信息網(wǎng)絡(luò)安全在國內(nèi)的信息系統(tǒng)建設(shè)過程中所受到的重視程度往往不夠，投資所占的比例明顯偏低。也許這正是我國信息系統(tǒng)安全的隱憂所在。目前，銀行、電力、鐵路、民航、證券、保險、海關(guān)、稅務(wù)已經(jīng)被列入與國計民生密切相關(guān)的八大重點行業(yè)之中，其信息安全保障工作受到國信辦的高度重視。xxxxxx致力于信息系統(tǒng)建設(shè)近十年，期間信息系統(tǒng)經(jīng)歷了屢次的升級改造，同時在信息系統(tǒng)的建設(shè)過程中，航空公司也經(jīng)歷了重大的機構(gòu)調(diào)整，實行了機場、民航管理局和航空公司的別離，成立了xxxxxx集團xx分公司，并形成了xxxxxx獨立的網(wǎng)絡(luò)系統(tǒng)。在信息系統(tǒng)建設(shè)形成一定規(guī)模、網(wǎng)絡(luò)系統(tǒng)經(jīng)過重大調(diào)整的情況下，xxxxxx部適時提出了進展“信息系統(tǒng)安全風(fēng)險評估〞這一具有前瞻性、建設(shè)性的要求，請第三方機構(gòu)對信息系統(tǒng)的安全管理、網(wǎng)絡(luò)通訊、應(yīng)用系統(tǒng)進展全面的安全風(fēng)險評估。本報告是整個評估工作的總結(jié)性報告，綜合分析了xxxxxx系統(tǒng)的特征、面臨的安全威脅、系統(tǒng)存在的脆弱性以及威脅利用脆弱性可能對系統(tǒng)造成的風(fēng)險，描述了針對脆弱性提出的信息安全風(fēng)險控制建議。評估過程及詳細的測試分析內(nèi)容分別表達在本報告的附件-01到附件-18。目錄TOC\o"1-2"\h\z\u第一局部概述41.1風(fēng)險評估的背景41.2風(fēng)險評估工程組41.3風(fēng)險評估的目的61.4風(fēng)險評估的依據(jù)7第二局部風(fēng)險評估方法72.1風(fēng)險評估流程72.2風(fēng)險評估的結(jié)果文檔92.3風(fēng)險評估的現(xiàn)場測試102.4風(fēng)險評估的分析方法11第三局部系統(tǒng)特征描述123.1系統(tǒng)定位123.2網(wǎng)絡(luò)拓撲構(gòu)造123.3現(xiàn)行系統(tǒng)的安全策略133.4信息資產(chǎn)識別和定義15第四局部風(fēng)險分析174.1威脅識別174.2脆弱性識別204.3信息安全風(fēng)險分析24第五局部風(fēng)險控制265.1評估結(jié)果分析265.2風(fēng)險控制建議275.3風(fēng)險控制措施實施建議28附表1xxxxxx信息系統(tǒng)安全保護等級符合情況對照表28附表2xxxxxx信息系統(tǒng)安全風(fēng)險評估技術(shù)文檔交接單28第一局部概述1.1風(fēng)險評估的背景xxxxxx是xxxxxx股份公司的成員單位之一，是國有大型航空運輸企業(yè)，開辟有50多條國內(nèi)航線和多條國際航線?，F(xiàn)已形成以xxxx為中心的樞紐-輻射式營運網(wǎng)。xxxxxx信息系統(tǒng)建設(shè)開場于1995年，經(jīng)過1996年〔原〕辦公樓綜合布線、1997-1998年建設(shè)了覆蓋五個相關(guān)辦公樓的局域網(wǎng)及這五個辦公大樓內(nèi)部的綜合布線、1999年建設(shè)INTERNET出口、2000年啟用公司新辦公樓，2000-2001年通過光纜連接了七個主要業(yè)務(wù)樓，形成了以公司辦公樓為核心覆蓋全公司的主干網(wǎng)，目前公司與管理局別離，形成了公司獨立的局域網(wǎng)。信息化綜合管理機構(gòu)設(shè)置了信息部，目前信息部已有技術(shù)人員二十一人，形成了一支信息系統(tǒng)軟件開發(fā)、系統(tǒng)管理、日常維護的專業(yè)隊伍。在xxxxxx網(wǎng)絡(luò)中，目前有二十幾個應(yīng)用系統(tǒng)在運行。可以說，信息系統(tǒng)已經(jīng)是航空公司日常工作不可缺少的工具和手段，信息系統(tǒng)的安全穩(wěn)定運行，直接關(guān)系到生產(chǎn)和管理一線業(yè)務(wù)的正常運轉(zhuǎn)，也間接影響到航空公司社會形象及信譽度等無形資產(chǎn)。目前xxxxxx系統(tǒng)雖然仍保持著正常運行的狀態(tài)，但整個系統(tǒng)運行中存在哪些風(fēng)險，安全管理中存在哪些漏洞，針對這些問題應(yīng)該采取什么措施，這都需要進展更高層次的評估與檢測。因此，經(jīng)過在近十年信息系統(tǒng)的建設(shè)，對信息網(wǎng)絡(luò)系統(tǒng)做一次全面的安全風(fēng)險評估，找出系統(tǒng)漏洞，進展風(fēng)險控制，防患于未然，保證系統(tǒng)穩(wěn)定運行，是管理人員在兩年前就醞釀的一項工作，希望通過風(fēng)險評估，找出整個系統(tǒng)運行中存在的風(fēng)險，評價信息系統(tǒng)建設(shè)的效果，并針對存在的問題提出解決方案，為今后xxxxxx化的進一步開展提供參考依據(jù)。1.2風(fēng)險評估工程組本次風(fēng)險評估工程由多方共同組建工程組，工程委托單位為xxxxxx，工程組織單位為xxxxxx監(jiān)理公司，參加單位有xx質(zhì)量技術(shù)監(jiān)視局、xx大學(xué)現(xiàn)代教育中心、中國科學(xué)院xx理化所等。安全評估領(lǐng)導(dǎo)小組組成如下：分組姓名職務(wù)/職稱工作單位工作職責(zé)領(lǐng)導(dǎo)小組總經(jīng)理組長/組織協(xié)調(diào)總工副組長/技術(shù)負責(zé)部長協(xié)調(diào)管理副部長協(xié)調(diào)管理主任/教授應(yīng)用系統(tǒng)組組長總監(jiān)網(wǎng)絡(luò)通訊組組長安全評估小組組成如下：分組姓名職務(wù)/職稱工作單位工作職責(zé)應(yīng)用系統(tǒng)小組主任/教授應(yīng)用系統(tǒng)組組長計算機碩士副組長主任副組長監(jiān)理工程師成員工程師成員網(wǎng)絡(luò)通訊小組網(wǎng)絡(luò)總監(jiān)組長副主任副組長副主任成員高級程序員流量分析與系統(tǒng)測試計算機碩士成員助理工程師成員助理工程師成員安全管理小組副研究員xxxxxx監(jiān)理公司組長副主任xxxxxx信息部運行室副組長助理工程師xxxxxx信息部運行室成員監(jiān)理工程師xxxxxx監(jiān)理公司成員為了保證評估工作的質(zhì)量，工程組還聘請了以下專家組成本工程的專家咨詢組：分組姓名工作單位職務(wù)/職稱聯(lián)系專家咨詢組副主任/教授主任副所長/研究員副處長教授CCIE副主任副主任1.3風(fēng)險評估的目的風(fēng)險分析與評估作為一種重要的信息安全工程技術(shù)方法，其目的是幫助相關(guān)人員明確信息系統(tǒng)對于用戶的作用、價值大小，明確信息系統(tǒng)故障、安全事故可能對用戶造成的影響。風(fēng)險分析與評估的結(jié)果是信息安全方面投資、決策的依據(jù)，同時也是評估投資效果的重要手段和依據(jù)。風(fēng)險分析與評估最重要的成果就是目前系統(tǒng)的風(fēng)險大小，以及相應(yīng)的降低風(fēng)險的安全措施部署策略建議。本次風(fēng)險評估的主要目標(biāo)就是要幫助用戶確定信息系統(tǒng)的安全風(fēng)險，通過這次風(fēng)險評估，可以全面了解當(dāng)前xxxxxx系統(tǒng)的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險，根據(jù)評估結(jié)果發(fā)現(xiàn)信息系統(tǒng)存在的安全問題，并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略，通過信息安全相關(guān)系統(tǒng)工程的實施，使信息系統(tǒng)的安全風(fēng)險降到用戶可以承受的范圍內(nèi)。1.4風(fēng)險評估的依據(jù)信息安全是信息技術(shù)開展過程中提出的課題，是一個與時俱進的概念，評價標(biāo)準(zhǔn)隨時代及信息技術(shù)的開展而變化?？梢哉f所有與IT相關(guān)的標(biāo)準(zhǔn)都是我們評估的依據(jù)，通用的主要依據(jù)和國際、國內(nèi)、行業(yè)標(biāo)準(zhǔn)有：信息系統(tǒng)安全評估合同書中辦發(fā)[2003]27號文件?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見?GB/T18336-2001?信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)那么?〔CC〕ISO17799:2000?基于風(fēng)險管理的信息安全管理體系?ISO13335信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南GA/T378~391-2002計算機信息系統(tǒng)安全等級保護技術(shù)要求系列標(biāo)準(zhǔn)美國標(biāo)準(zhǔn)與技術(shù)研究院開發(fā)的?信息技術(shù)系統(tǒng)的風(fēng)險管理指南?GB/T××××信息安全風(fēng)險評估指南〔報批稿〕微軟安全風(fēng)險管理指南相關(guān)各方達成的協(xié)議第二局部風(fēng)險評估方法2.1風(fēng)險評估流程本次風(fēng)險評估的過程從組織管理的角度可以分為五個階段，而從技術(shù)分析的角度可以分為九個步驟，五個階段和九個步驟及其相互之間的關(guān)系可以用圖3-1表示。圖3-1對風(fēng)險評估的每個階段所要完成的工作做出了清晰的描述，在風(fēng)險評估的五個階段中，業(yè)務(wù)調(diào)研的目的是為了準(zhǔn)確地對系統(tǒng)的特征進展描述，從而界定信息系統(tǒng)安全評估的邊界，為信息資產(chǎn)定義提供第一手資料；而現(xiàn)場測試那么為系統(tǒng)漏洞的檢測分析提供了依據(jù)。圖3-1信息安全風(fēng)險評估過程及步驟風(fēng)險評估的技術(shù)分析的九個步驟是和評估各個階段的工作嚴(yán)密結(jié)合的，從業(yè)務(wù)調(diào)研階段開場進入技術(shù)分析的步驟。系統(tǒng)特征描述是在對信息系統(tǒng)軟、硬件構(gòu)造、系統(tǒng)接口、系統(tǒng)任務(wù)、系統(tǒng)信息以及人員情況進展充分了解的根基上，對信息系統(tǒng)功能、邊界的描述和對關(guān)鍵信息資產(chǎn)的定義；在系統(tǒng)特征描述過程中，對系統(tǒng)面臨的威脅、系統(tǒng)存在的弱點、目前已經(jīng)采取的控制措施進展初步的了解，在現(xiàn)場測試階段，通過現(xiàn)場測試、實地堪查、座談討論等方式，進一步了解系統(tǒng)特征，掌握信息系統(tǒng)在采取了一系列控制措施后，仍然存在的各種弱點；在綜合評估階段，具體分析信息系統(tǒng)的潛在威脅，系統(tǒng)存在的弱點，這些弱點被威脅利用后可能產(chǎn)生的風(fēng)險以及這些風(fēng)險對系統(tǒng)的實際影響的大小等，最后安全風(fēng)險評估小組根據(jù)業(yè)務(wù)調(diào)研、現(xiàn)場測試以及系統(tǒng)特征分析的結(jié)果確定各類風(fēng)險的大小，提出風(fēng)險控制建議，直至最后形成結(jié)果文檔。2.2風(fēng)險評估的結(jié)果文檔在整個風(fēng)險評估的過程中，我們按照這五個階段的順序組織管理整個評估工作，而且每個階段的工作都有詳細的文字記載，評估工作產(chǎn)生的文檔包括：文檔名稱隸屬階段隸屬步驟xxxxxx系統(tǒng)安全風(fēng)險評估方案評估準(zhǔn)備階段xxxxxx安全風(fēng)險評估實施方案xxxxxx安全風(fēng)險評估調(diào)查提綱信息安全風(fēng)險評估調(diào)查反響表業(yè)務(wù)調(diào)研階段系統(tǒng)特征描述xxxxxx化現(xiàn)狀介紹xxxxxx系統(tǒng)管理規(guī)章制度系統(tǒng)特征分析報告資產(chǎn)定義階段信息系統(tǒng)安全現(xiàn)場測試方案現(xiàn)場測試階段威脅識別脆弱性識別控制分析影響分析可能性分析風(fēng)險確定信息系統(tǒng)安全現(xiàn)場測試記錄表系統(tǒng)及數(shù)據(jù)庫漏洞檢測報告網(wǎng)絡(luò)通信漏洞檢測報告網(wǎng)絡(luò)通信性能檢測報告安全管理風(fēng)險評估報告綜合評估階段網(wǎng)絡(luò)與通訊風(fēng)險評估報告應(yīng)用系統(tǒng)風(fēng)險評估報告xxxxxx系統(tǒng)安全風(fēng)險評估報告信息安全管理機制風(fēng)險控制建議書控制建議信息系統(tǒng)安全風(fēng)險控制建議書信息系統(tǒng)安全風(fēng)險控制措施實施方案以上所有文檔均作為結(jié)果文檔提交給xxxxxx信息部〔?技術(shù)文檔交接單?見附表2〕，這些文檔既是對本次評估工作的總結(jié)，也是本次評估工作的成果，可以作為xxxxxx安全方面投資、決策的依據(jù)；也是今后進展動態(tài)信息安全評估的參考資料?？梢钥闯?，風(fēng)險評估的整個過程都是在充分的信息收集、調(diào)查研究的根基上進展的，信息收集的工作貫穿于評估工作的始終。因此其結(jié)果可以客觀地反映被評估系統(tǒng)存在的安全風(fēng)險，使xxxxxx可以及時采取相應(yīng)的措施，防患于未然。2.3風(fēng)險評估的現(xiàn)場測試根據(jù)安全風(fēng)險評估方案的安排，本次安全評估的現(xiàn)行信息安全狀況的現(xiàn)場測試工作由“網(wǎng)絡(luò)通信〞、“應(yīng)用系統(tǒng)〞兩個小組承擔(dān)，現(xiàn)場測試采用自動化弱點掃描工具、人工測量分析、分析儀器測試、現(xiàn)場勘察、上機操作、對照標(biāo)準(zhǔn)進展分析評價等方法對評估對象進展測試。“安全管理〞小組根據(jù)前期調(diào)研結(jié)果進展了現(xiàn)場訪談，進一步了解信息安全管理方面存在的問題。在測試之前各小組均根據(jù)本組的測試任務(wù)制定了詳細的測試方案〔具體內(nèi)容見xxxxxx系統(tǒng)現(xiàn)場測試方案〕，并經(jīng)過安全評估領(lǐng)導(dǎo)小組組織的討論審查。在整個評估過程中，現(xiàn)場測試工作為風(fēng)險評估提供了大量的原始資料，是評估工作不可缺少的組成局部。關(guān)于各小組詳細的測試范圍、測試依據(jù)、測試方法及測試步驟等內(nèi)容見各小組的測試方案〔附件-06〕、現(xiàn)場測試表〔附件-07〕及測試報告〔附件-08、09、10〕。現(xiàn)場測試的調(diào)查對象包括：網(wǎng)絡(luò)信現(xiàn)場測試：現(xiàn)場測試的物理環(huán)境包括位于機關(guān)辦公大樓的信息中心機房，維修基地機房和飛行部機房三個物理位置，直接調(diào)查對象為xxxxxx的關(guān)鍵網(wǎng)絡(luò)通信設(shè)備〔包括核心交換機、遠程接入路由器、所有二級接入網(wǎng)絡(luò)設(shè)備等〕及信息中心安全設(shè)備，并且對網(wǎng)絡(luò)性能進展了測試。應(yīng)用系統(tǒng)現(xiàn)場測試：測試對象為xxxxxx系統(tǒng)的數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器。應(yīng)用系統(tǒng)測試主要在xxxxxx中心機房內(nèi)進展。使用機房內(nèi)的PC機，安裝掃描軟件或直接登錄到相應(yīng)的服務(wù)器上，對服務(wù)器及數(shù)據(jù)庫的配置情況進展檢查，對照漏洞，發(fā)現(xiàn)安全隱患。信息安全管理機制：參照GA/T391-2002?計算機信息系統(tǒng)等級保護管理技術(shù)要求?中相關(guān)內(nèi)容，及調(diào)研階段收集的xxxxxx安全管理規(guī)章制度，采取進展現(xiàn)場訪談的方式，對安全管理機制的健全性進展進一步的驗證。調(diào)查對象包括：安全管理組織、人員管理、安全管理制度、備份恢復(fù)機制、應(yīng)急響應(yīng)機制。2.4風(fēng)險評估的分析方法本次評估采用了以以下圖所示的風(fēng)險評估模型：在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅、影響和風(fēng)險五個要素。每個要素各自有一個或兩個屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是被威脅利用的難易程度、威脅的屬性是威脅的可能性、影響的屬性是嚴(yán)重性，風(fēng)險的兩個屬性風(fēng)險的后果和風(fēng)險的可能性。其中資產(chǎn)價值和影響的嚴(yán)重性構(gòu)成風(fēng)險的后果，弱點被威脅利用的難易程度和威脅的可能性構(gòu)成風(fēng)險的可能性，風(fēng)險的后果和風(fēng)險的可能性構(gòu)成風(fēng)險。本次評估，我們采用了定性與半定量相結(jié)合的風(fēng)險分析方法，通過調(diào)查、測試等手段了解信息系統(tǒng)的潛在威脅、脆弱性及其對關(guān)鍵資產(chǎn)可能產(chǎn)生的影響，從而確定風(fēng)險的等級。半定量風(fēng)險計算的過程是：〔1〕根據(jù)信息資產(chǎn)識別的結(jié)果，計算資產(chǎn)價值；〔2〕對威脅進展分析，并對威脅發(fā)生的可能性賦值；〔3〕識別信息資產(chǎn)的脆弱性，并對弱點的嚴(yán)重程度賦值；〔4〕根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；〔5〕結(jié)合信息資產(chǎn)的重要性和在此資產(chǎn)上發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。第三局部系統(tǒng)特征描述3.1系統(tǒng)定位xxxxxx是xxxxxx股份公司的成員單位之一，是國有大型航空運輸企業(yè)，開辟有50多條國內(nèi)航線和多條國際航線。現(xiàn)已形成以xxxx為中心的樞紐-輻射式營運網(wǎng)。航空企業(yè)是一個關(guān)系到人民生命安全的行業(yè)，信息系統(tǒng)作為其業(yè)務(wù)支撐體系，具有應(yīng)用系統(tǒng)涉及面廣、數(shù)據(jù)準(zhǔn)確性、實時性要求高的特點。因此在信息安全的定位中，評估小組認為xxxxxx系統(tǒng)是企業(yè)級、非涉密信息網(wǎng)絡(luò)系統(tǒng)，要求信息系統(tǒng)穩(wěn)定、可靠運行；信息系統(tǒng)中包含有商密信息、敏感信息、業(yè)務(wù)信息及公眾服務(wù)信息，在機密性、完整性、可用性、可控性、抗抵賴性各方面都有一定的安全要求。3.2網(wǎng)絡(luò)拓撲構(gòu)造3.2.1網(wǎng)絡(luò)主干拓撲構(gòu)造xxxxxx系統(tǒng)網(wǎng)絡(luò)采用TCP/IP網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)主干拓撲構(gòu)造見圖3-1圖3-1xxx網(wǎng)絡(luò)主干拓撲構(gòu)造圖3.2.2中心機房信息系統(tǒng)構(gòu)成圖3-2信息中心核心設(shè)備拓撲圖3.3現(xiàn)行系統(tǒng)的安全策略xxxxxx目前的網(wǎng)絡(luò)基于Internet/Intranet和同城網(wǎng)絡(luò)流行的符合國際標(biāo)準(zhǔn)的TCP/IP網(wǎng)絡(luò)協(xié)議和WEB等技術(shù)，提供了與中國xxxxxx公司的數(shù)據(jù)傳輸與信息發(fā)布的專用網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)不受到有意、無意的的破壞，采取了以下安全防范措施：配置防火墻：為減少局域網(wǎng)用戶受到病毒及黑客的威脅，在局域網(wǎng)與internet之間安裝了思科SecurePIX525防火墻，實現(xiàn)了局域網(wǎng)用戶對internet資源的單向訪問；通過防火墻的過濾規(guī)那么，實現(xiàn)ip控制，限制局域網(wǎng)用戶對internet的訪問等。安裝網(wǎng)管軟件：公司專門安裝了Ciscoworks網(wǎng)管軟件，利用管理軟件直觀地以圖形方式顯示Cisco的設(shè)備，以及基本的故障排除信息，進展有效的網(wǎng)絡(luò)管理。進展網(wǎng)絡(luò)性能監(jiān)測分析：為了給網(wǎng)絡(luò)管理人員提供深入監(jiān)測、分析和優(yōu)化網(wǎng)絡(luò)的信息，公司購置了美國福祿克網(wǎng)絡(luò)公司的OptiViewII系列集成式網(wǎng)絡(luò)分析儀〔OPVS2INA〕，該產(chǎn)品具有協(xié)議分析、流量分析和網(wǎng)絡(luò)搜索的功能。入侵檢測系統(tǒng)〔IDS〕：作為防火墻的補充，公司在網(wǎng)絡(luò)上增加了干將/莫邪入侵檢測系統(tǒng)，該系統(tǒng)主要作用是保護網(wǎng)絡(luò)、幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力。定期進展漏洞掃描：承影網(wǎng)絡(luò)漏洞掃描器是一種基于網(wǎng)絡(luò)的漏洞掃描和分析工具軟件，用來檢查網(wǎng)絡(luò)環(huán)境下各種網(wǎng)絡(luò)系統(tǒng)與設(shè)備的安全缺陷和弱點，信息部工作人員每周對中心服務(wù)器進展一次掃描，幫助管理員穩(wěn)固企業(yè)的信息系統(tǒng)安全。劃分VLAN：通過路由訪問列表等Vlan劃分原那么，可以有效的控制網(wǎng)絡(luò)播送風(fēng)暴和邏輯網(wǎng)段大小，將不同部門劃分在不同Vlan，從而提高交換式網(wǎng)絡(luò)的整體性能安裝網(wǎng)絡(luò)防病毒軟件：為了保證用戶在使用網(wǎng)絡(luò)時不受病毒的感染，公司于2004年2月建設(shè)防病毒系統(tǒng)，局域網(wǎng)內(nèi)的用戶必須安裝Symantec防病毒軟件。安全管理組織：xxxxxx成立了由信息部部長任安全領(lǐng)導(dǎo)小組組長，由運行室副主任任副組長的“安全領(lǐng)導(dǎo)小組〞，安全管理人員由信息中心兩名技術(shù)人員擔(dān)任。負責(zé)與xxxxxx總部聯(lián)系，并發(fā)布信息安全的相關(guān)信息。安全管理制度：xxxxxx制定了以下與信息系統(tǒng)管理相關(guān)的規(guī)章制度：xxxxxx網(wǎng)絡(luò)管理暫行規(guī)定網(wǎng)絡(luò)設(shè)備運行管理制度xxxxxx計算機病毒防治管理方法xxxxxx計算機系統(tǒng)密碼設(shè)置和使用規(guī)那么xxxxxx郵件帳號使用管理及安全管理規(guī)定系統(tǒng)運行室管理規(guī)章制度系統(tǒng)運行室值班職責(zé)2005系統(tǒng)維護室工作職責(zé)劃分系統(tǒng)運行室各系統(tǒng)應(yīng)急預(yù)案xxxxxx在信息系統(tǒng)的建設(shè)中已經(jīng)采取了以上的安全措施，這些安全措施也確實起到了安全防范的作用，信息系統(tǒng)運行至今，沒有出現(xiàn)過重大的安全事故。但是從實際測試以及業(yè)務(wù)調(diào)研中，還是發(fā)現(xiàn)了不少系統(tǒng)的安全漏洞，有些系統(tǒng)的脆弱性還具有比較高的風(fēng)險〔參見本文第四局部〕。這些問題是必須引起高度重視的。3.4信息資產(chǎn)識別和定義在資產(chǎn)定義階段，通過對前期業(yè)務(wù)調(diào)研的總結(jié)和討論，產(chǎn)生了xxxxxx中心信息資產(chǎn)工作表，并從中挑選出本次評估的關(guān)鍵資產(chǎn)，見表一：表一：資產(chǎn)定義匯總表資產(chǎn)資產(chǎn)的作用和重要性信息xxxxxx財務(wù)信息財務(wù)信息是公司的核心數(shù)據(jù)，目前xxxxxx公司的財務(wù)系統(tǒng)由xxxxxx公司統(tǒng)一管理，數(shù)據(jù)主要集中在xxxxxx公司航務(wù)、機務(wù)、采供、飛行、貨運、客戶信息這些信息直接關(guān)系到航空公司業(yè)務(wù)的正常進展，是企業(yè)的重要信息。原始資料及相關(guān)檔案通常指第一手資料，如硬件、軟件設(shè)計文檔、數(shù)據(jù)庫設(shè)計文檔、原程序、軟件安裝介質(zhì)、使用手冊、配置手冊、管理制度等等，有些內(nèi)容喪失會造成泄密及無法恢復(fù)的損失應(yīng)用軟件業(yè)務(wù)系統(tǒng)軟件xxxxxx公司的應(yīng)用軟件包括有FOC系統(tǒng)、航空維修綜合管理信息系統(tǒng)客艙采供管理系統(tǒng)、飛行統(tǒng)計系統(tǒng)、航班查詢系統(tǒng)、950333系統(tǒng)ISO9000手冊電子版管理系統(tǒng)來保證xxxxxx業(yè)務(wù)的正常運行。數(shù)據(jù)庫管理系統(tǒng)xxxxxx的數(shù)據(jù)庫管理系統(tǒng)主要采用的是MSSQLSERVER，局部應(yīng)用系統(tǒng)采用DB2、SYBASE和ORACLE數(shù)據(jù)庫，來保障系統(tǒng)的正常運行，它們關(guān)系到數(shù)據(jù)的完整性和可用性操作系統(tǒng)xxxxxx公司各類服務(wù)器的操作平臺，目前全部采用MSWIN2000系列操作系統(tǒng)，是各類服務(wù)器及工作站正常運行的根基環(huán)境，也是信息系統(tǒng)的最后一道安全防線。辦公應(yīng)用軟件包括：xxxxxx的電子郵件〔采用的mdaemon6.5.3、xxxxxx的電子郵件系統(tǒng)Exchange2000〕；xxxxxx內(nèi)、外部網(wǎng)站；辦公自動化系統(tǒng)〔服務(wù)器在xxxxxx〕、視頻系統(tǒng)等，是正常辦公的輔助工具。網(wǎng)絡(luò)管理軟件信息中心采用CISCOWORK2000網(wǎng)管軟件對網(wǎng)絡(luò)運行狀況的監(jiān)控和維護提供了技術(shù)手段網(wǎng)絡(luò)防病毒軟件采用Symantec網(wǎng)絡(luò)防病毒軟件〔1000客戶端〕，該系統(tǒng)主要用于為公司服務(wù)器和pc機防病毒，保證用戶在使用網(wǎng)絡(luò)時不受病毒的感染。關(guān)系網(wǎng)絡(luò)中所有計算機的安全。承影網(wǎng)絡(luò)漏洞掃描軟件基于網(wǎng)絡(luò)的漏洞掃描和分析工具軟件，用來檢查網(wǎng)絡(luò)環(huán)境下各種網(wǎng)絡(luò)系統(tǒng)與設(shè)備的安全缺陷和弱點，幫助管理員穩(wěn)固企業(yè)的信息系統(tǒng)安全。網(wǎng)絡(luò)設(shè)備及硬件數(shù)據(jù)庫存儲設(shè)備采用DELL磁盤陣列保存及備份xxxxxx公司局部的重要信息及數(shù)據(jù)數(shù)據(jù)庫服務(wù)器采用HP和DELL的PC服務(wù)器做數(shù)據(jù)庫系統(tǒng)載體，為xxxxxx公司提供各種查詢、方案等數(shù)據(jù)服務(wù)核心路由及核心交換機核心交換機CISCO6509網(wǎng)絡(luò)核心設(shè)備，一旦出現(xiàn)故障，會導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓通訊線路主干光纜線路和機房內(nèi)連接各設(shè)備的線纜，保證xxxxxx業(yè)務(wù)的正常運行其他路由器及交換機CISCO3640和CISCO3750等是網(wǎng)絡(luò)互聯(lián)設(shè)備，提供對xxxxxx和市區(qū)售票處的接入，出現(xiàn)故障，會造成無法與中心網(wǎng)絡(luò)連接，影響業(yè)務(wù)正常進展防火墻Pix525防火墻提供xxxxxx公司INTERNET的安全接入入侵檢測系統(tǒng)防火墻的補充，提高系統(tǒng)對外部攻擊的檢測能力，擴展了系統(tǒng)管理員的安全管理能力〔包括安全審計、監(jiān)視、攻擊識別和響應(yīng)〕。網(wǎng)絡(luò)測試儀OptiViewII將網(wǎng)絡(luò)分析和監(jiān)測能力結(jié)合在一起，能夠完整的透視整個網(wǎng)絡(luò)。人員應(yīng)用系統(tǒng)管理員負責(zé)應(yīng)用軟件升級、擴展、更新及數(shù)據(jù)備份。人是第一位的，其它因素，如：設(shè)備、軟件程序、信息系統(tǒng)均由人來操作使用，信息資料由人來調(diào)用。安全管理人員負責(zé)信息系統(tǒng)安全管理及安全支持軟件開發(fā)維護人員應(yīng)用系統(tǒng)開發(fā)、升級、擴展及維護。網(wǎng)絡(luò)硬件管理人員網(wǎng)絡(luò)設(shè)備系統(tǒng)配置、網(wǎng)絡(luò)檢測。技術(shù)文檔系統(tǒng)配置信息系統(tǒng)功能參數(shù)設(shè)定。源程序應(yīng)用系統(tǒng)的程序清單。系統(tǒng)設(shè)計開發(fā)文檔系統(tǒng)設(shè)計的依據(jù)、技術(shù)特征、業(yè)務(wù)及數(shù)據(jù)模式、開發(fā)方法等。系統(tǒng)說明文檔說明系統(tǒng)的功能、使用范圍。系統(tǒng)維護文檔記載系統(tǒng)升級、維修的文字記錄。在系統(tǒng)資產(chǎn)定義階段，還根據(jù)資產(chǎn)的工作范圍及重要性，對信息資產(chǎn)的安全優(yōu)先級別進展了定義，在風(fēng)險躲避中，要優(yōu)先考慮安全要求高的資產(chǎn)；根據(jù)系統(tǒng)對信息安全的機密性、完整性、可用性、可控性以及抗抵賴性的要求，對信息資產(chǎn)的安全需求進展了定義。具體內(nèi)容見?系統(tǒng)特征分析報告?文檔。第四局部風(fēng)險分析4.1威脅識別威脅是指可能對資產(chǎn)或組織造成損害事故的潛在因素。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。通過對各業(yè)務(wù)系統(tǒng)關(guān)鍵資產(chǎn)進展的直觀的威脅分析，可以清楚地看出本次評估范圍內(nèi)各業(yè)務(wù)系統(tǒng)及關(guān)鍵資產(chǎn)所面臨的威脅種類。下面針對xxxxxx的信息資產(chǎn)目前所面臨的各種威脅進展綜合描述，包括威脅的主體、威脅的客體以及威脅發(fā)生的可能性。來自系統(tǒng)內(nèi)部的威脅：操作失誤：這種威脅的主體為系統(tǒng)管理員用戶或其他合法用戶，威脅的客體為所有物理資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)和信息資產(chǎn)。這種威脅是合法用戶的無意行為，但是對資產(chǎn)的種類接觸很多，處理和維護操作比較多，因此這種威脅發(fā)生的可能性根據(jù)不同的用戶〔主體〕和不同的資產(chǎn)〔客體〕而不同，一般發(fā)生可能性適中。濫用授權(quán)：這種威脅的主體為系統(tǒng)管理員用戶或其他合法用戶，威脅的客體為所有物理資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)。這種威脅是合法用戶的成心行為，與xxxxxx員工的素質(zhì)有關(guān)，也與用戶的權(quán)限大小和威脅資產(chǎn)的可利用程度有關(guān)，一般發(fā)生可能性偏低。特權(quán)升級：這種威脅的主體為合法用戶，客體為軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。特權(quán)升級是指使用惡意手段獲取比正常分配的權(quán)限更多的權(quán)限。例如，在一個得逞的特權(quán)升級攻擊中，惡意用戶設(shè)法獲得Web服務(wù)器的管理特權(quán)，使他能夠隨意地進展破壞，發(fā)生的可能性適中。行為抵賴：這種威脅的主體為系統(tǒng)管理員用戶或其他合法用戶，威脅的客體為所有物理資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)和信息資產(chǎn)。這種威脅是合法用戶對自己所作操作的否認，一般發(fā)生可能性較低，但對于員工素質(zhì)較差、操作造成損失較大、沒有監(jiān)控記錄的情形下可能會發(fā)生。來自系統(tǒng)外部的威脅：身份假冒：這種威脅的主體主要為非法用戶，也有少量的合法用戶，威脅的客體為所有物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。這種威脅主要是合法用戶冒用別人的身份或賬號進展一些合法操作，或者非法用戶盜用合法用戶身份或賬號進展非法操作，這兩種情形在冒用賬號方面發(fā)生可能性比較高。信息泄漏：這種威脅的主體為非法用戶，也有少量合法用戶，主要是蓄意盜取敏感數(shù)據(jù)或泄露應(yīng)該保密的信息，威脅的客體為軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。這些非法用戶利用社交等手段獲取系統(tǒng)軟件或應(yīng)用軟件的配置數(shù)據(jù)，以便為后面的破壞做好根基，或者直接騙取業(yè)務(wù)敏感數(shù)據(jù)，這種威脅很隱藏，利用的手段很多，因此該威脅發(fā)生的可能性比較高，但屬于中風(fēng)險范疇。篡改：這種威脅的主體為非法用戶，客體為數(shù)據(jù)資產(chǎn)。篡改是在未經(jīng)授權(quán)的情況下更改或刪除資源。數(shù)據(jù)在傳輸中〔以物理或電子方式〕和存儲時都會受到該威脅。例如，未受保護的數(shù)據(jù)包可被截獲和修改，或者數(shù)據(jù)可因為攻擊者利用緩沖區(qū)溢出脆弱性所執(zhí)行的惡意代碼而損壞。該威脅發(fā)生的可能性適中。拒絕服務(wù)：這種威脅的主體為非法用戶，主要是成心破壞的攻擊者，威脅的客體為軟件資產(chǎn)。這種威脅一般是內(nèi)部的破壞者針對內(nèi)部應(yīng)用系統(tǒng)的有效攻擊方式，發(fā)生可能性較大。外部的攻擊者針對公開服務(wù)的各種系統(tǒng)都有可能進展攻擊，發(fā)生可能性很大。竊聽數(shù)據(jù)：這種威脅的主體為非法用戶，威脅的客體為軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。非法用戶通過竊聽手段竊取系統(tǒng)軟件和應(yīng)用軟件的系統(tǒng)數(shù)據(jù)及敏感的業(yè)務(wù)數(shù)據(jù)，為了到達攻擊和入侵系統(tǒng)的目的，攻擊者一般都會進展這方面的嘗試，因此此威脅發(fā)生的可能性較高。物理破壞：這種威脅的主體為非法用戶，主要是成心破壞的攻擊者，威脅的客體為物理資產(chǎn)。非法用戶通過各種手段接近資產(chǎn)進展物理破壞，這種威脅發(fā)生的可能性與xxxxxx的安全保衛(wèi)制度和相關(guān)的訪問控制制度有關(guān)，發(fā)生可能性適中。社會工程：這種威脅的主體為非法用戶，主要是蓄意盜取敏感數(shù)據(jù)或破壞系統(tǒng)的攻擊者，威脅的客體為軟件資產(chǎn)、信息資產(chǎn)和人員。這些非法用戶利用社交等手段獲取系統(tǒng)軟件或應(yīng)用軟件的配置數(shù)據(jù)，以便為后面的破壞做好根基，或者直接騙取業(yè)務(wù)敏感數(shù)據(jù)，這種威脅很隱藏，利用的手段很多，因此該威脅發(fā)生的可能性較高。系統(tǒng)原因：意外故障：這種威脅的主體為系統(tǒng)組件，即資產(chǎn)自身；威脅的客體為所有物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。這種威脅是資產(chǎn)在系統(tǒng)運行期間自身偶然發(fā)生的故障，該威脅發(fā)生的可能性根據(jù)資產(chǎn)的類別不同而不同，一般發(fā)生可能性非常高。惡意代碼：這種威脅的主體可以視為系統(tǒng)問題，也可以看作系統(tǒng)外部人員的惡意行為。但是惡意代碼往往不是有針對性的行為，可能是其它軟件或系統(tǒng)漏洞引發(fā)的結(jié)果。威脅的客體為軟件資產(chǎn)和信息資產(chǎn)，目前有些惡意代碼也可能威脅硬件資產(chǎn)的安全。系統(tǒng)感染病毒的可能性較多，但也有可能被非法用戶利用漏洞安裝惡意代碼，這種威脅的可能性與系統(tǒng)的防病毒體系建設(shè)和安全漏洞的嚴(yán)重程度有關(guān)。配置中的威脅：這種威脅的主體為非法用戶，主體為操作系統(tǒng)、應(yīng)用軟件和TCP/IP協(xié)議。大多數(shù)系統(tǒng)軟件和應(yīng)用軟件為了方便用戶，初始安裝完畢之后，存在一些默認的用戶名、口令和開放的服務(wù)端口。往往會被攻擊者利用，造成網(wǎng)絡(luò)癱瘓或機密被竊取。另外，TCP/IP某些協(xié)議存在一些漏洞，非法用戶可以利用此漏洞進展入侵系統(tǒng)，獲取管理員的權(quán)限。這些威脅發(fā)生的可能性適中。其它問題：通信中斷：這種威脅的主體為通信線路，威脅的客體為軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。不明原因的通信意外故障造成傳輸中斷是不定時出現(xiàn)的，這種威脅發(fā)生的可能性適中。電源中斷：這種威脅的主體為電源，威脅的客體為所有的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。電源中斷是由于xxxxxx自身的一些因素或者意外因素，由于xxxxxx辦公樓信息中心一側(cè)全部采用UPS供電，這種威脅發(fā)生可能性較低。但是UPS設(shè)備間無大門防護，有被撬經(jīng)歷，增加了威脅發(fā)生的可能性。災(zāi)難：這種威脅的主體為環(huán)境因素，如火、水、雷電、灰塵、老鼠等，威脅的客體為物理資產(chǎn)。這種威脅發(fā)生的可能性與各業(yè)務(wù)系統(tǒng)所處環(huán)境有直接關(guān)系，另外也與xxxxxx的相應(yīng)防范措施有關(guān)，這里主要是雷電和水災(zāi)的威脅可能性較大，其他發(fā)生的可能性適中。4.2脆弱性識別脆弱性是信息資產(chǎn)或資產(chǎn)組中可能被威脅所利用的弱點，它包括物理環(huán)境、組織機構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面。這些都可能被各種安全威脅利用來侵害有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。在這一階段，將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利用的各種脆弱性，并對脆弱性的嚴(yán)重程度進展評估。由于本次評估工作分2個專業(yè)組、三個方面進展現(xiàn)場測試，為了便于總結(jié)歸納，在脆弱性識別階段，我們根據(jù)前期調(diào)查及各專業(yè)測評小組現(xiàn)場檢測的結(jié)果，分析了xxxxxx系統(tǒng)中可能存在的各種脆弱性，分別對安全管理機制、網(wǎng)絡(luò)與通信、應(yīng)用系統(tǒng)三個方面各自存在的脆弱性〔即：安全漏洞〕進展了識別。4.2.1根據(jù)標(biāo)準(zhǔn)GA/T391-2002的要求，對照現(xiàn)行安全管理制度及被測方提供的?安全威脅及風(fēng)險描述?，并將物理環(huán)境中存在的問題也歸并在一起，共有以下12項內(nèi)容不符合安全標(biāo)準(zhǔn)的要求。xxxxxx系統(tǒng)在安全管理機制及物理環(huán)境方面存在以下問題：安全管理組織不健全，信息安全管理沒有得到公司主管領(lǐng)導(dǎo)足夠的重視；安全管理人員配置及責(zé)任劃分不合理；數(shù)據(jù)庫安全管理沒有受到應(yīng)有的重視沒有建設(shè)信息安全的分級培訓(xùn)及宣傳教育制度；工作職責(zé)的劃分沒有表達“分權(quán)制衡〞、“最小特權(quán)〞的原那么；沒有信息管理技術(shù)人員調(diào)離安全管理制度；安全管理制度不健全，缺少以下重要的管理制度：物理安全方面：機房安全管理制度、主機設(shè)備安全管理制度、網(wǎng)絡(luò)設(shè)施安全管理制度、物理設(shè)施分類標(biāo)記管理制度不健全；系統(tǒng)與數(shù)據(jù)庫安全方面：目前還沒有建設(shè)明確的規(guī)章制度；網(wǎng)絡(luò)安全方面：缺少網(wǎng)絡(luò)維護管理制度和操作流程；運行安全方面：缺少人員安全管理制度、安全意識與安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、系統(tǒng)運行記錄編寫制度、系統(tǒng)維護管理制度、安全審計管理制度等；信息安全方面：沒有信息分類標(biāo)記制度、技術(shù)文檔管理制度、存儲介質(zhì)管理制度、信息披露與發(fā)布審批管理制度。已經(jīng)制定了一些安全制度但執(zhí)行力度不夠，起不到相應(yīng)安全的作用。應(yīng)急預(yù)案中缺少中心關(guān)鍵設(shè)備故障、數(shù)據(jù)庫故障、黑客攻擊等方面的應(yīng)急措施，缺少解決問題的具體操作流程；沒有完整的設(shè)備及數(shù)據(jù)備份制度以及與備份制度相對應(yīng)的災(zāi)難恢復(fù)方案。機房門窗沒有采取防護措施，不利于防盜、防塵。僅有辦公大樓門衛(wèi)制度，不能保證機房環(huán)境安全不受外來人員的威脅。從被測方提供的技術(shù)文檔、管理制度以及調(diào)查問卷中反映出來的管理方面的問題是比較多的，從這些問題上可以總結(jié)出，安全管理機制的脆弱性表現(xiàn)在信息安全管理組織機構(gòu)建設(shè)、信息安全管理制度制定、安全技術(shù)及安全知識的培訓(xùn)等幾個方面，造成信息管理人員安全職責(zé)不明確，安全管理制度執(zhí)行力度不夠，授權(quán)訪問機制、應(yīng)急處理及災(zāi)難恢復(fù)機制不健全等問題〔詳細內(nèi)容見?安全管理機制評估報告?〕。4.2.2網(wǎng)絡(luò)通信方面的脆弱性網(wǎng)絡(luò)通訊組使用安全評估掃描工具進展了對網(wǎng)絡(luò)進展了漏洞檢測，涉及xxxxxx核心網(wǎng)絡(luò)設(shè)備，包括：核心網(wǎng)絡(luò)設(shè)備、接入線路、二級網(wǎng)絡(luò)設(shè)備、信息中心安全設(shè)備。網(wǎng)絡(luò)設(shè)備的軟件版本號一致、配置也基本一樣，通過網(wǎng)絡(luò)安全評估工具檢測出網(wǎng)絡(luò)設(shè)備中每臺設(shè)備都存在高風(fēng)險漏洞3項，中風(fēng)險漏洞1項，低風(fēng)險漏洞1項。詳細情況見?網(wǎng)絡(luò)與通信漏洞檢測報告?。在高風(fēng)險漏洞中：未升級網(wǎng)絡(luò)設(shè)備的軟件版本到最新版本的高風(fēng)險就占2項網(wǎng)絡(luò)設(shè)備的配置方面所引起的高風(fēng)險占1項我們對安全評估掃描工具和靜態(tài)分析的結(jié)果進展了統(tǒng)計分析，在網(wǎng)絡(luò)通信方面存在的脆弱性包括：關(guān)鍵的網(wǎng)絡(luò)核心設(shè)備沒有采用冗余設(shè)計沒有升級網(wǎng)絡(luò)設(shè)備的IOS到最新的版本網(wǎng)絡(luò)設(shè)備的配置中采用的SNMP默認的讀寫字符串對網(wǎng)絡(luò)配置的更改及維護沒有日志及審計制度沒有有效的安全策略，容易遭到拒絕服務(wù)攻擊VALN之間未實施安全策略4.2.3應(yīng)用系統(tǒng)的脆弱性本次評估采用了本地和遠程的方式對xxxxxx應(yīng)用服務(wù)器和信息部的PC機進展了動態(tài)掃描和手動檢查，并嘗試性的進展了滲透性測試。我們一共對54臺機器進展了檢測，其中以本地的方式測試了52臺，依次為：信息部機房內(nèi)22臺服務(wù)器及24臺PC機，基地2臺服務(wù)器，68號樓3臺財務(wù)結(jié)算服務(wù)器，飛行部1臺服務(wù)器。根據(jù)Retina掃描報告，對安全優(yōu)先級別為3以上的12臺服務(wù)器的漏洞統(tǒng)計如下：由于沒有及時升級和安裝補丁程序造成的：高風(fēng)險漏洞有74項占到了90.24%中風(fēng)險漏洞有44項占到了29.53%低風(fēng)險漏洞有6項占到了7.79%由于沒有關(guān)閉不必要的服務(wù)造成的：高風(fēng)險漏洞有0項占到了0中風(fēng)險漏洞有1項占到了0.67%低風(fēng)險漏洞有7項占到了9.09%由于系統(tǒng)配置不當(dāng)造成的：高風(fēng)險漏洞有0項占到了0中風(fēng)險漏洞有94項占到了63.09%低風(fēng)險漏洞有64項占到了83.12%由于弱口令造成的：高風(fēng)險漏洞有8項占到了9.76%中風(fēng)險漏洞有10項占到了6.71%低風(fēng)險漏洞有0項占到了0通過分析Retina掃描結(jié)果，可以看出：68號樓財務(wù)結(jié)算的兩臺應(yīng)用服務(wù)器存在的漏洞最多，其原因除了管理因素外，主要是操作系統(tǒng)為WindowsNT，版本較低，且沒有及時升級。信息中心的主要數(shù)據(jù)庫服務(wù)器上存在因為沒有及時升級造成的高風(fēng)險漏洞，該漏洞存在緩沖區(qū)溢出，容易造成拒絕服務(wù)攻擊；開啟了1433端口，這些端口的開啟使攻擊者可以很容易獲得主機的訪問權(quán)限，存在很大的安全隱患。弱口令漏洞所占的比例不算太高，但是，其危害相當(dāng)大。從掃描結(jié)果中可以發(fā)現(xiàn)：950333錄音服務(wù)器上存在sa空口令；數(shù)據(jù)庫服務(wù)器上有1個賬戶名與密碼一樣；航空維修服務(wù)器上有一個帳號未設(shè)置密碼；68號樓應(yīng)用服務(wù)器1上有1個賬戶名與密碼一樣、2個帳戶密碼為空；68號樓應(yīng)用服務(wù)器2上有2個帳戶密碼為空。根據(jù)BaselineSecurityAnalyzer的掃描報告，掃描了17臺主機，17項內(nèi)容中有10項不符合要求，包括：序號名稱不合格主機數(shù)不合格率11.驗證所有磁盤分區(qū)都以NTFS格式進展了格式化423.5%23.禁用不必要的服務(wù)529.4%36.確保禁用來賓帳戶211.8%47.保護注冊表防止匿名訪問17100%59.限制對公用的本地安全權(quán)限〔LSA〕信息的訪問1270.6%610.設(shè)置更加可靠的密碼策略17100%711.設(shè)置帳戶鎖定策略17100%812.配置管理員帳戶17100%913.取消所有不必要的文件共享17100%1017.在安裝ServicePack之后安裝適當(dāng)?shù)陌踩扪a程序17100%綜合分析結(jié)果,操作系統(tǒng)及其提供的服務(wù)、數(shù)據(jù)庫系統(tǒng)及應(yīng)用軟件的脆弱性包括：Windows操作系統(tǒng)安全特有的安全漏洞：不是所有磁盤分區(qū)都采用了NTFS格式、沒有取消所有不必要的文件共享。系統(tǒng)弱口令問題，沒有建設(shè)更加可靠的密碼策略。包括用戶名與口令一樣、口令為空、口令容易猜測等。在系統(tǒng)管理上缺乏統(tǒng)一的管理策略。重要的軟件未升級到最新版本，沒有及時安裝系統(tǒng)安全補丁。系統(tǒng)配置存在的問題，包括應(yīng)該關(guān)閉的服務(wù)沒有關(guān)閉、參數(shù)配置不完整。系統(tǒng)訪問控制存在的問題，包括賦予的訪問權(quán)限過大、沒有禁用和刪除不必要的帳戶，沒有保護注冊表防止匿名訪問。沒有設(shè)置客戶端登錄次數(shù)限制，可以嘗試進展暴力破解。缺乏用戶標(biāo)識及鑒別機制，操作者的身份無法得到確認。SQLSERVER安裝目錄權(quán)限設(shè)置不正確。SQLSERVER的身份驗證設(shè)置成混合模式。以上系統(tǒng)的脆弱性在防止內(nèi)外部攻擊、數(shù)據(jù)安全、身份鑒別、訪問控制、抗抵賴等方面增加了系統(tǒng)的風(fēng)險。4.3信息安全風(fēng)險分析總結(jié)上述所有系統(tǒng)現(xiàn)有的脆弱性，按照風(fēng)險影響的大小分析如下：1、在所有系統(tǒng)的脆弱性中，缺乏核心網(wǎng)絡(luò)設(shè)備的冗余備份是整個信息系統(tǒng)中威脅最大的脆弱性，其主要原因就是：在xxxxxx公司很多重要的應(yīng)用數(shù)據(jù)在xxxxxx公司信息中心，各部門之間通過核心交換訪問和交換關(guān)鍵的業(yè)務(wù)信息，其可用性的要求最高，一旦出現(xiàn)單點故障，將造成核心網(wǎng)絡(luò)癱瘓，所有的業(yè)務(wù)中斷的后果，其損失難以用金錢估量，目前的核心網(wǎng)絡(luò)設(shè)備冗余備份措施不能防止由于各種災(zāi)害造成的風(fēng)險。2、安全管理機制方面的脆弱性僅次與災(zāi)備系統(tǒng)，主要原因在于：在信息系統(tǒng)已經(jīng)發(fā)現(xiàn)的漏洞中，很多漏洞與管理機制不健全有關(guān)，包括：網(wǎng)絡(luò)管理方面：沒有必要的制度保證及時更新系統(tǒng)、發(fā)現(xiàn)并修補安全漏洞；訪問控制權(quán)限的分配缺乏統(tǒng)一有效的管理，沒有關(guān)閉所有不必要的服務(wù)；系統(tǒng)配置方面都采用默認的安全策略存在不安全的隱患；沒有完備的網(wǎng)絡(luò)設(shè)備配置管理制度。應(yīng)用系統(tǒng)方面：不是所有磁盤分區(qū)都采用了NTFS格式；沒有建設(shè)完善的訪問控制機制；沒有取消所有不必要的文件共享；數(shù)據(jù)庫有弱口令問題，這個問題在網(wǎng)絡(luò)掃描中表現(xiàn)的比較突出；在系統(tǒng)管理上缺乏統(tǒng)一的管理策略，很多重要軟件未升級到最新版本；系統(tǒng)配置存在的安全隱患，沒有完全禁用不必要的服務(wù)，包括應(yīng)該關(guān)閉的服務(wù)沒有關(guān)閉、參數(shù)配置不完整；系統(tǒng)訪問控制存在的漏洞，包括賦予的訪問權(quán)限過大、開放的服務(wù)較多等。數(shù)據(jù)庫方面：系統(tǒng)的使用者、開發(fā)者、管理者使用了屬于DBA的角色的帳戶，權(quán)限過大；數(shù)據(jù)庫系統(tǒng)本身沒有設(shè)置安全審計特性，無法記錄對數(shù)據(jù)庫系統(tǒng)安全條件變化做有效的記錄。雖然其中許多問題表現(xiàn)在技術(shù)層面上，但是究其原因，信息安全管理沒有得到企業(yè)領(lǐng)導(dǎo)層應(yīng)有的重視，管理機制不完善，沒有相應(yīng)的崗位責(zé)任制度及管理考核制度是造成上述問題的根源。因此建設(shè)完善的安全管理機制是信息系統(tǒng)正常運行的重要保證。3、系統(tǒng)及數(shù)據(jù)庫安全漏洞給內(nèi)、外部入侵者提供了方便之門，對系統(tǒng)的威脅最為直接，許多惡意代碼的攻擊都依賴于系統(tǒng)漏洞；系統(tǒng)訪問控制策略的完備性和審計機制的完備性對外部攻擊來源的追溯和內(nèi)部攻擊的控制起著重要的作用。因此系統(tǒng)及數(shù)據(jù)庫的安全漏洞直接關(guān)系到系統(tǒng)的完整性、可用性、可控性及抗抵賴性，對系統(tǒng)的影響可以排在第三位。4、在信息網(wǎng)絡(luò)系統(tǒng)中，應(yīng)用系統(tǒng)的重要性不言而喻。xxxxxx應(yīng)用系統(tǒng)和國內(nèi)大多數(shù)企業(yè)一樣，存在著缺乏統(tǒng)一規(guī)劃、分散開發(fā)、分散管理、數(shù)據(jù)共享不便、數(shù)據(jù)安全得不到保障等問題。但是根據(jù)實際情況，xxxxxx公司不可能用一個平臺去涵蓋所有的系統(tǒng)，要想開發(fā)一套MIS系統(tǒng)〔管理信息系統(tǒng)〕來解決所有的問題，是不可能做到的。同時，在目前情況下，如果對數(shù)據(jù)庫構(gòu)造進展大的調(diào)整，結(jié)果只能是對所有應(yīng)用系統(tǒng)軟件的調(diào)整，甚至是重新開發(fā)，不具有可行性。為了信息系統(tǒng)的穩(wěn)定運行，我們提出了建設(shè)數(shù)據(jù)交換平臺的建議，但是軟件開發(fā)是一個周期比較長的工作，xxxxxx應(yīng)用系統(tǒng)的規(guī)劃也要符合xxxxxx的統(tǒng)一規(guī)劃，為了業(yè)務(wù)的持續(xù)性，目前應(yīng)用系統(tǒng)的狀態(tài)還需要保存一段時間，因此我們把應(yīng)用系統(tǒng)的問題排在了最后。由于xxxxxx的應(yīng)用系統(tǒng)涉及范圍較廣，各部門使用的各自的應(yīng)用系統(tǒng)軟件，一些應(yīng)用系統(tǒng)的服務(wù)器存放在各自的部門，并沒有形成統(tǒng)一的數(shù)據(jù)構(gòu)造及軟件平臺；作為xxxxxx集團的分公司，xxxxxx有很多應(yīng)用系統(tǒng)統(tǒng)一采用xxxxxx下發(fā)的軟件，采取數(shù)據(jù)大集中方式，由xxxxxx信息中心統(tǒng)一管理；信息中心所有的數(shù)據(jù)都存放在一臺數(shù)據(jù)庫服務(wù)器上，采用SQLServer2000數(shù)據(jù)庫系統(tǒng)，內(nèi)建兩個實例，其中一個實例內(nèi)存建有十幾個數(shù)據(jù)庫，分別存放著這些應(yīng)用系統(tǒng)的數(shù)據(jù)。這種局面固然是由于這些應(yīng)用的實際需求決定，但也為充分、有效的利用數(shù)據(jù)帶來了很大的不便。這些問題應(yīng)該得到足夠的重視，否那么將影響系統(tǒng)的可持續(xù)開展。當(dāng)然這樣的排列不是一成不變的，隨著目前發(fā)現(xiàn)的各種安全問題的解決，隨著網(wǎng)絡(luò)技術(shù)的開展，其順序也會隨之變動。第五局部風(fēng)險控制通過上面的風(fēng)險分析，可以清楚地看出所評估的信息系統(tǒng)中某種資產(chǎn)對應(yīng)各種風(fēng)險的情況。因此必須提出降低風(fēng)險的措施，最終到達xxxxxx信息系統(tǒng)認同的剩余風(fēng)險的目標(biāo)。風(fēng)險控制建議將按照客戶的需求〔如降低，防止，承受風(fēng)險〕，選出某個范圍內(nèi)的所有風(fēng)險，并找到與這些風(fēng)險相關(guān)的資產(chǎn)、威脅和脆弱性，制定相應(yīng)的風(fēng)險控制策略。5.1評估結(jié)果分析雖然從目前的情況來看，由于xxxxxx系統(tǒng)采取了一些安全措施，沒有非常明顯的的高風(fēng)險資產(chǎn)，但是系統(tǒng)的脆弱性是存在的，人員的脆弱性主要表現(xiàn)為管理方面的問題，而硬件、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的脆弱性在管理和技術(shù)兩方面都存在著問題。如果不采取相應(yīng)的措施，就會對系統(tǒng)安全造成極大的威脅。具體風(fēng)險控制措施請參見附件-14、附件15、附件-16。根據(jù)目前xxxxxx安全現(xiàn)狀，對照GA/T390-2002計算機信息系統(tǒng)安全保護等級安全功能技術(shù)要求，我們制作了?xxxxxx系統(tǒng)安全保護等級符合情況對照表?〔見附表1〕。比照條目主要針對安全保護等級1、2、3的要求，比照條目共有108項，其中物理環(huán)境占43項。由于本次評估不包括的物理環(huán)境局部，所以物理環(huán)境保護等級要求的比照結(jié)果是由xxxxxx部技術(shù)人員根據(jù)附件-17?信息系統(tǒng)安全保護等級要求?確定的，主要對象是xxxxxx辦公大樓內(nèi)的信息中心機房。其他各項的比照根據(jù)實際評估的結(jié)果確定。從比照的結(jié)果看，有42項符合安全保護等級要求，有14項局部符合安全保護等級要求，其余各項沒有到達相應(yīng)安全保護等級的要求。目前xxxxxx系統(tǒng)在很多方面沒有到達安全保護等級2的要求，有些甚至不能到達等級1的要求。但是也有一些方面已經(jīng)到達了安全保護等級3的要求，可見，在安全措施的實施過程中，有些安全問題得到了重視、也有些問題受到了無視，安全保護的措施考慮的還不夠周全。附表一是安全狀況的直觀反映，待航空公司信息系統(tǒng)安全保護等級要求確定后，可以根據(jù)保護等級的要求、對照本表進一步完善安全風(fēng)險控制措施。5.2風(fēng)險控制建議根據(jù)安全評估機構(gòu)對xxxxxx系統(tǒng)的定位，“防止數(shù)據(jù)的非授權(quán)修改、喪失和破壞，防止系統(tǒng)能力的喪失、降低，防止欺騙，保證信息系統(tǒng)的可靠運行〞是本系統(tǒng)的主要安全目標(biāo)。針對xxxxxx系統(tǒng)存在的脆弱性，特提出以下風(fēng)險控制建議，供被測方在今后制定安全管理制度，建設(shè)完善的管理措施，進一步改善系統(tǒng)環(huán)境，完善系統(tǒng)功能時做參考：信息系統(tǒng)安全風(fēng)險控制建議〔參見附件-14〕信息系統(tǒng)安全風(fēng)險控制建議包括了應(yīng)用系統(tǒng)及網(wǎng)絡(luò)通訊兩方面的風(fēng)險控制措施。應(yīng)用系統(tǒng)方面包括：根據(jù)各個威脅事件構(gòu)成的風(fēng)險大小提出的應(yīng)用系統(tǒng)風(fēng)險控制建議、數(shù)據(jù)的存儲藏份整體加固建議、重要主機的整體保護加固建議、數(shù)據(jù)庫整體加固建議和CA服務(wù)的建議。網(wǎng)絡(luò)通訊方面包括：根據(jù)各個威脅事件構(gòu)成的風(fēng)險大小提出的網(wǎng)絡(luò)通訊風(fēng)險控制建議、核心節(jié)點設(shè)備安全加固建議、核心網(wǎng)絡(luò)加固建議、交換機安全配置加固建議和VLAN規(guī)劃與IP分配方案加固建議。信息安全管理機制完善建議〔參見附件－15〕安全管理機制在信息安全中往往是一個薄弱環(huán)節(jié)，制定適宜的安全策略，建設(shè)完整的安全管理機制，才能配合安全產(chǎn)品的使用，使安全產(chǎn)品及其配置策略發(fā)揮最大的作用，從而建設(shè)全方位的安全防護體系。?信息系統(tǒng)安全管理機制風(fēng)險控制建議?根據(jù)GA/T391-2002安全保護等級二的要求提出，它不僅給出了一般性的原那么，也收集了一些具體的規(guī)章制度供被測方參考，xxxxxx安全管理機構(gòu)應(yīng)根據(jù)企業(yè)的特點制定符合實際的安全管理制度。安全管理制度涉及的內(nèi)容很多，有一個逐步完善的過程，只要建設(shè)起安全管理的意識，就可以在不斷完善的過程中形成一整套切實可行的安全管理機制。系統(tǒng)及數(shù)據(jù)庫安全加固建議〔參見附件－16〕系統(tǒng)和數(shù)據(jù)庫存在的漏洞應(yīng)該受到高度重視，尤其是目前存在的高風(fēng)險漏洞，必須盡快采取措施加以修補。在這方面，我們認為應(yīng)該做好以下幾方面的工作：安排專人負責(zé)盡快修復(fù)系統(tǒng)現(xiàn)有漏洞，具體做法可參考?網(wǎng)絡(luò)通信漏洞檢測報告?、?系統(tǒng)及數(shù)據(jù)庫漏洞檢測報告?以及?系統(tǒng)及數(shù)據(jù)庫安全加固建議?；制定系統(tǒng)管理配置策略，及時安裝安全補丁，防止造成安全隱患；制定安全審計策略，啟動系統(tǒng)審計機制；完善系統(tǒng)管理制度，在系統(tǒng)維護人員的崗位責(zé)任中，增加相關(guān)的制度，并制定監(jiān)視檢查條理。信息系統(tǒng)安全保護等級要求〔參見附件－17〕根據(jù)GA/T390-2002關(guān)于信息系統(tǒng)安全保護等級的要求，我們特別整理了其中安全保護等級2、3的“安全功能技術(shù)要求〞和“安全保護技術(shù)要求〞，雖然它給出的是一般性原那么，但是這些要求來自公安部的標(biāo)準(zhǔn)，在全面性、標(biāo)準(zhǔn)性上更具有權(quán)威性，是信息系統(tǒng)安全建設(shè)方面很有價值的參考資料。5.3風(fēng)險控制措施實施建議風(fēng)險控制建議的實施要考慮風(fēng)險對信息系統(tǒng)安全性影響的大小，控制措施實施的難易程度，也要考慮xxxxxx實際投資能力。在6.1節(jié)，我們已經(jīng)根據(jù)風(fēng)險影響的大小對各方面的脆弱性進展了排序。但是考慮到資金方面的限制和實現(xiàn)的難易程度，我們建議，對那些不需要資金投入就可以實施的內(nèi)容可以優(yōu)先進展，而目前尚不具備實施條件的建議可以作為今后的投資參考。因此提出如下建議：首先應(yīng)該組織信息系統(tǒng)管理人員對網(wǎng)絡(luò)設(shè)備、系統(tǒng)及數(shù)據(jù)庫的漏洞進展修補，包括安裝補丁、修改系統(tǒng)配置、關(guān)閉不必要的服務(wù)、刪除多余帳戶、修改弱口令等。因為這項工作目標(biāo)明確，容易實現(xiàn)，效果明顯；在系統(tǒng)漏洞修補過程中，及時補充安全管理制度，將以上問題的處理以制度的形式確定下來，并制定考核制度，定期進展檢查，防止今后再出現(xiàn)類似的問題。安全管理制度的制定不是一朝一夕可以完成的，可以先制定那些對系統(tǒng)穩(wěn)定運行造成明顯影響的制度〔如崗位責(zé)任制、機房管理制度〕，然后逐步補充完善；建全信息安全組織機構(gòu)，或在原安全機構(gòu)的根基上明確信息安全管理人員的職責(zé)，義務(wù)、權(quán)限等，將安全管理機制的建設(shè)納入日常工作的軌道中，這樣有助于建設(shè)常備不泄的安全管理意識，保障信息安全管理制度的落實。在所有安全措施中，核心設(shè)備冗余備份具有最高優(yōu)先級。這是因為在xxxxxx的信息系統(tǒng)中，最關(guān)鍵的是網(wǎng)絡(luò)通信的高可用性，這是應(yīng)用系統(tǒng)運行的根基，建議xxxxxx在開展前三項工作的同時，盡快落實核心設(shè)備容災(zāi)的實施方案，以及其他重要網(wǎng)絡(luò)設(shè)備的冗余備份，以保證xxxxxx系統(tǒng)的正常運行。把災(zāi)難備份及數(shù)據(jù)交換平臺建設(shè)的工作提上議事日程，需要進展市場調(diào)研，了解目前成熟的災(zāi)難備份及數(shù)據(jù)整合技術(shù)及產(chǎn)品，也可以請專業(yè)公司為xxxxxx數(shù)據(jù)整合提供方案。同時還要把握xxxxxx集團數(shù)據(jù)整合，建設(shè)數(shù)據(jù)交換平臺的思路，保證工作的有效性，防止重復(fù)勞動。本局部具體內(nèi)容參見附件-18?信息系統(tǒng)安全風(fēng)險控制措施實施建議?。附表1xxxxxx信息系統(tǒng)安全保護等級符合情況對照表安全功能技術(shù)要求安全保護等級實際情況用戶自主保護級系統(tǒng)審計保護級安全標(biāo)記保護級1、物理安全1.1環(huán)境安全1.1.1.a)基本要求★★★b)防火要求★★c)防污染要求★d)防潮及防雷要求★★e)防震動和噪聲要求★f)防強電場、磁場要求★e)防地震、水