企業(yè)網(wǎng)絡(luò)安全相關(guān)概念及解決方案（素材庫）

企業(yè)網(wǎng)絡(luò)安全相關(guān)概念及解決方案

（素材庫）

目錄............................................................1

1.信息安全概述.................................................4

什么是信息安全？..........................................4

為什么需要信息安全........................................4

1.1安全理念..............................................5

1.1.1系統(tǒng)生命周期與安全生命周期........................5

1.1.23S安全體系-以客戶價值為中心.....................6

1.1.3關(guān)注資產(chǎn)的安全風(fēng)險................................6

1.1.4安全統(tǒng)一管理......................................7

1.1.5安全=管理+技術(shù)...............................8

1.2計算機(jī)系統(tǒng)安全問題....................................8

1.2.1從計算機(jī)系統(tǒng)的發(fā)展看安全問題......................9

1.2.2從計算機(jī)系統(tǒng)的特點(diǎn)看安全問題......................9

2.物理安全....................................................10

2.1設(shè)備的安全.............................................10

3.訪問控制....................................................14

3.1訪問控制的業(yè)務(wù)需求.....................................14

3.2用戶訪問的管理.........................................15

3.3用戶責(zé)任...............................................17

3.4網(wǎng)絡(luò)訪問控制...........................................18

3.5操作系統(tǒng)的訪問控制.....................................22

3.6應(yīng)用系統(tǒng)的訪問控制.....................................26

3.7系統(tǒng)訪問和使用的監(jiān)控...................................27

3.8移動操作及遠(yuǎn)程辦公.....................................30

4.網(wǎng)絡(luò)與通信安全..............................................32

4.1網(wǎng)絡(luò)中面臨的威脅.......................................32

5.系統(tǒng)安全設(shè)計方案............................................43

5.1系統(tǒng)安全設(shè)計原則.......................................43

5.2建設(shè)目標(biāo)...............................................44

5.3總體方案...............................................45

5.4總體設(shè)計思想...........................................45

5.4.1內(nèi)網(wǎng)設(shè)計原則......................................46

542有步驟、分階段實(shí)現(xiàn)安全建設(shè)........................46

5.4.3完整的安全生命周期...............................47

5.5網(wǎng)絡(luò)區(qū)域劃分與安全隱患.................................48

6.0網(wǎng)絡(luò)安全部署................................................48

保護(hù)目標(biāo)...............................................48

威脅來源...............................................48

安全策略...............................................49

6.1防火墻系統(tǒng).............................................50

6.2入侵檢測系統(tǒng)...........................................59

6.2.1什么是入侵檢測系統(tǒng)..................................59

6.2.2如何選擇合適的入侵檢測系統(tǒng).........................60

6.2.3IDS的實(shí)現(xiàn)方式-――網(wǎng)絡(luò)IDS................................................61

6.2.4IDS的實(shí)現(xiàn)方式-一一主機(jī)IDS................................................62

6.2.5基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)有：..............63

6.2.6入侵檢測系統(tǒng)的設(shè)計思想.............................63

6.2.7入侵檢測產(chǎn)品的選型與推薦...........................65

6.3漏洞掃描系統(tǒng).............................................70

6.3.1漏洞掃描系統(tǒng)產(chǎn)品選型與推薦.........................70

6.3.2漏洞掃描系統(tǒng)的部署方案.............................72

6.4網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)..................................73

6.4.1網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)產(chǎn)品的選型與推薦............73

6.4.2網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)的部署方案...................76

6.5內(nèi)部安全管理系統(tǒng)（防水墻系統(tǒng)）.........................78

6.5.1內(nèi)部安全管理系統(tǒng)產(chǎn)品選型與推薦.....................79

6.5.2內(nèi)部安全管理系統(tǒng)的部署方案.........................85

6.6其他計算機(jī)系統(tǒng)安全產(chǎn)品介紹.............................86

6.6.1天鏡系一漏洞掃描....................................86

6.6.2數(shù)據(jù)庫審計系統(tǒng)......................................89

6.6.3iGuard網(wǎng)頁防篡改系統(tǒng)................................93

6.6.4防垃圾郵件網(wǎng)關(guān)......................................99

6.6.5集中安全管理平臺GSMDesktop7.1...................................106

6.6.6中軟運(yùn)行管理系統(tǒng)2.0R2......................................................110

L信息安全概述

什么是信息安全？

信息是一家機(jī)構(gòu)的資產(chǎn)，與其它資產(chǎn)一樣，應(yīng)受到保護(hù)。信息安全的作用是

保護(hù)信息不受大范圍威脅所干擾，使機(jī)構(gòu)業(yè)務(wù)能夠暢順，減少損失及提供最大的

投資回報和商機(jī)。

信息可以有多種存在方式，可以寫在紙上、儲存在電子文檔里，也可以用郵

遞或電子手段發(fā)送，可以在電影上放映或者說話中提到。無論信息以何種方式表

示、共享和存儲，都應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)起來。

因此信息安全的特征是保留信息的如下特性：

＞保密性(confidentiality):保證信息只讓合法用戶訪問；

＞完整性(integrity):保障信息及其處理方法的準(zhǔn)確性(accuracy)、完全性

(completeness)；

＞可用性(availability):保證合法用戶在需要時可以訪問到信息及相關(guān)資

產(chǎn)。

實(shí)現(xiàn)信息安全要有一套合適的控制(controls),如策略(policies)、慣例

(practices).程序(procedures)、組織的機(jī)構(gòu)(organizationalstructures)和軟件功能

(softwarefunctions)o這些控制需要被建立以保證機(jī)構(gòu)的安全目標(biāo)能夠最終實(shí)現(xiàn)。

為什么需要信息安全

信息及其支持進(jìn)程、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)。信息的保密性、完整性

和可用性對機(jī)構(gòu)保持競爭能力、現(xiàn)金流、利潤、守法及商業(yè)形象至關(guān)重要。

但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威脅，如計算機(jī)

輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。損失的來源如計算機(jī)病毒、計算機(jī)黑

客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。

機(jī)構(gòu)對信息系統(tǒng)及服務(wù)的依賴意味著更容易受到攻擊。公網(wǎng)和專網(wǎng)的互聯(lián)以

及信息資源的共享增加了訪問控制的難度。分布式計算的趨勢已經(jīng)削弱了集中管

理的效果。

很多信息系統(tǒng)沒有設(shè)計得很安全。利用技術(shù)手段獲得的安全是受限制的，因

而還應(yīng)該得到相應(yīng)管理和程序的支持。選擇使用那些安全控制需要事前小心周密

計劃和對細(xì)節(jié)的關(guān)注。信息安全管理至少需要機(jī)構(gòu)全體員工的參與，同時也應(yīng)讓

供應(yīng)商、客戶或股東參與，如果有必要，可以向外界尋求專家的建議。

對信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計階段，則效果會更好，成

本也更便宜。

1.1安全理念

絕對安全與可靠的信息系統(tǒng)并不存在。一個所謂的安全系統(tǒng)實(shí)際上應(yīng)該是

“使入侵者花費(fèi)不可接受的時間與金錢，并且承受很高的風(fēng)險才能闖入”系統(tǒng)。

安全性的增加通常導(dǎo)致企業(yè)費(fèi)用的增長，這些費(fèi)用包括系統(tǒng)性能下降、系統(tǒng)復(fù)雜

性增加、系統(tǒng)可用性降低和操作與維護(hù)成本增加等等。安全是一個過程而不是目

的。弱點(diǎn)與威脅隨時間變化。安全的努力依賴于許多因素，例如職員的調(diào)整、新

業(yè)務(wù)應(yīng)用的實(shí)施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞。

1.1.1系統(tǒng)生命周期與安全生命周期

系統(tǒng)生命周期通常由以下階段組成：概念與需求定義、系統(tǒng)功能設(shè)計、系統(tǒng)

開發(fā)與獲取、系統(tǒng)實(shí)現(xiàn)與測試、系統(tǒng)的持久操作支持和最終系統(tǒng)處理。在過去的

幾年里，實(shí)現(xiàn)系統(tǒng)生命周期支持的途徑已經(jīng)轉(zhuǎn)變，以適應(yīng)將安全組成部分和安全

過程綜合到系統(tǒng)工程過程中的需要。與系統(tǒng)生命周期相對應(yīng)，安全生命周期由以

下幾個階段構(gòu)成：安全概念和需求定義、安全機(jī)制設(shè)計、安全集成與實(shí)現(xiàn)、安全

管理解決方案和安全風(fēng)險分析。

涉及到任何功能和系統(tǒng)級別的需求，通過理解安全需求、參加安全產(chǎn)品評估

并最終在工程設(shè)計和實(shí)現(xiàn)系統(tǒng)等方式，應(yīng)該在生命周期過程的早期便提出安全問

題。近年來發(fā)現(xiàn)，在系統(tǒng)開發(fā)之后實(shí)現(xiàn)系統(tǒng)安全非常困難，而且已經(jīng)有了不少教

訓(xùn)。因此，必須在發(fā)掘需求和定義系統(tǒng)時便考慮安全需求。為了在系統(tǒng)工程過程

中有效地集成安全方法與控制，設(shè)計者與開發(fā)者應(yīng)該調(diào)整現(xiàn)有的過程模型，以產(chǎn)

生一個交互的系統(tǒng)開發(fā)生命周期。該周期更關(guān)注使系統(tǒng)獲得安全性的安全控制和

保護(hù)機(jī)制。

1.1.23S安全體系一以客戶價值為中心

3S安全體系由三部分組成：安全解決方案(SecuritySolution)＞安全應(yīng)用

(SecurityApplication)和安全服務(wù)(SecurityService)。這三部分又都以客戶價

值為中心。

安全解決方案(SecuritySolution)包括安全解決方案的設(shè)計與實(shí)施，安全產(chǎn)

品選型與系統(tǒng)集成。安全應(yīng)用(SecurityApplication)包括根據(jù)用戶的實(shí)際應(yīng)用

環(huán)境，為用戶定制應(yīng)用安全系統(tǒng)。安全服務(wù)(SecurityService)則貫穿了整個安

全建設(shè)的始終，從最初的安全風(fēng)險評估與風(fēng)險管理，幫助用戶制定信息安全管理

系統(tǒng)，系統(tǒng)安全加固，緊急安全響應(yīng)，到安全項(xiàng)目實(shí)施后的安全培訓(xùn)教育。

附圖1.3s安全體系

1.1.3關(guān)注資產(chǎn)的安全風(fēng)險

安全技術(shù)涉及到方方面面的問題。對各種系統(tǒng)和設(shè)備的安全管理必然是一個

復(fù)雜的、高負(fù)荷的工作。在若干的安全事件中，我們關(guān)注的是那些針對關(guān)鍵資產(chǎn)

的安全漏洞發(fā)起的攻擊，這些攻擊才會對資產(chǎn)形成威脅。因此，對于企業(yè)資產(chǎn)和

資產(chǎn)風(fēng)險的管理應(yīng)該是整個安全管理的第一步，即通過對這些資產(chǎn)的安全評估，

了解資產(chǎn)安全狀況的水準(zhǔn)。這些工作是其他安全保護(hù)技術(shù)的基礎(chǔ)，也是有效管理

企業(yè)IT安全的基石。

安全弱點(diǎn)管理平臺可以智能發(fā)現(xiàn)關(guān)鍵IT業(yè)務(wù)資產(chǎn)和經(jīng)營這些資產(chǎn)的技術(shù)

（操作系統(tǒng)、應(yīng)用程序、硬件版本等等），將其與確認(rèn)的弱點(diǎn)進(jìn)行對比，并提供

包含逐步修補(bǔ)指導(dǎo)說明的基于風(fēng)險的弱點(diǎn)管理任務(wù)列表，指導(dǎo)IT管理員合理及

時處理安全弱點(diǎn)，從而顯著地降低風(fēng)險。

安全對抗平臺對關(guān)鍵網(wǎng)段進(jìn)行監(jiān)視，并且可以隙時準(zhǔn)備轉(zhuǎn)移到安全事件的突

發(fā)區(qū)，進(jìn)行事件分析，幫助管理員和專家抵抗、反擊攻擊者。在安全事件發(fā)生后，

可以重建安全事件過程、恢復(fù)關(guān)鍵數(shù)據(jù)，能夠極大地提高系統(tǒng)的生存能力，并且

起到威懾攻擊者的目的。

1.1.4安全統(tǒng)一管理

安全事件不是獨(dú)立的、偶然的。一次成功的攻擊事件，必然會在網(wǎng)絡(luò)的相關(guān)

設(shè)備和系統(tǒng)中有所反應(yīng)。不論是人為發(fā)起的攻擊，還是來自病毒的攻擊行為，都

可以從防火墻、路由器、交換機(jī)、入侵檢測和主機(jī)系統(tǒng)中獲取相關(guān)的證據(jù)。攻擊

的證據(jù)零散地分布在這些系統(tǒng)中，如果能夠有效地、智能地加以整合，我們就可

以清晰地了解到整個安全事件的過程，幫助管理員更好地管理信息系統(tǒng)的安全。

來自管理方面的需求也迫切地需要一個安全統(tǒng)一管理平臺。從廣義的角度來

看，網(wǎng)絡(luò)設(shè)備應(yīng)該也屬于網(wǎng)絡(luò)安全的一部分。在一個大型的網(wǎng)絡(luò)中，對于分布在

不同網(wǎng)段、不同地理位置的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理會消耗管理員大量的精力。

而安全系統(tǒng)往往會部署在異構(gòu)平臺上，對于這些異構(gòu)平臺的掌握、對于安全系統(tǒng)

的掌握也會浪費(fèi)管理員的時間和精力。

安全統(tǒng)一管理自動整合來自運(yùn)行路由器、交換機(jī)、入侵檢測、防病毒、防火

墻等安全產(chǎn)品的事件數(shù)據(jù)，同時通過其客戶端以及SAPI有效收集第三方安全檢

測產(chǎn)品產(chǎn)生的安全事件數(shù)據(jù)，并將其存儲在中心數(shù)據(jù)庫中以便方便地進(jìn)行訪問和

編寫報表。管理員使用安全統(tǒng)一管理平臺管理、監(jiān)視、報警和報告跨平臺的用戶

活動信息。有了這些信息，系統(tǒng)管理員將可以在出現(xiàn)可能對關(guān)鍵電子商務(wù)系統(tǒng)造

成負(fù)面影響的襲擊和問題之前，立即做出反應(yīng)。

1.1.5安全=管理+技術(shù)

信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證企業(yè)富有競爭

力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信

息的保密性、完整性和可用性是至關(guān)重要的。很多信息系統(tǒng)在設(shè)計時，沒有考慮

到安全問題。通過技術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段

和操作程序才能得到真正的安全保障。確定需要使用什么控制措施需要周密計

劃，并對細(xì)節(jié)問題加以注意。

作為信息安全管理的最基本要求，企業(yè)內(nèi)所有的雇員都應(yīng)參與信息安全管

理。信息安全管理還需要供應(yīng)商、客戶或股東的參與。也需要參考來自組織之外

的專家的建議。

如果在制定安全需求規(guī)范和設(shè)計階段時就考慮到了信息安全的控制措施，那

么信息安全控制的成本會很低，并更有效率。

1.2計算機(jī)系統(tǒng)安全問題

目前，計算機(jī)系統(tǒng)和信息安全問題是IT業(yè)最為關(guān)心和關(guān)注的焦點(diǎn)之一。據(jù)

ICSA統(tǒng)計，有11%的安全問題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)被破壞，14%導(dǎo)致數(shù)據(jù)失密，15%

的攻擊來自系統(tǒng)外部，來自系統(tǒng)內(nèi)部的安全威脅高達(dá)60%.由于受到內(nèi)部心懷

不滿的職工安放的程序炸彈侵害，OmegaEngineering公司蒙受了價值300萬美

元的銷售收入和合同損失，由于受到來自網(wǎng)絡(luò)的侵襲，Citibank銀行被竊了1000

萬美元，后來他們雖然追回了750萬美元損失，但卻因此失去了7%的重要客戶，

其聲譽(yù)受到了沉重打擊。這只是人們知道的兩個因安全問題造成巨大損失的例

子，實(shí)際上，更多的安全入侵事件沒有報告。據(jù)美國聯(lián)邦調(diào)查局估計，僅有7%

的入侵事件被報告了，而澳大利亞聯(lián)邦警察局則認(rèn)為這個數(shù)字只有5%。因?yàn)樵S

多入侵根本沒有被檢測到，還有一些受到侵襲的企業(yè)由于害怕失去客戶的信任而

沒有報告。

那么，為什么當(dāng)今信息系統(tǒng)中存在如此之多的安全隱患，安全問題如此突出

呢？這是與計算機(jī)系統(tǒng)的發(fā)展、當(dāng)今流行系統(tǒng)的設(shè)計思路、當(dāng)前IT系統(tǒng)的使用

狀況緊密相關(guān)的。下面，我們從以下幾個方面簡要論述。

1.2.1從計算機(jī)系統(tǒng)的發(fā)展看安全問題

安全問題如此突出和嚴(yán)重是與IT技術(shù)和環(huán)境的發(fā)展分不開的。早期的業(yè)務(wù)

系統(tǒng)是局限于大型主機(jī)上的集中式應(yīng)用，與外界聯(lián)系較少，能夠接觸和使用系統(tǒng)

的人員也很少，系統(tǒng)安全隱患尚不明顯?，F(xiàn)在業(yè)務(wù)系統(tǒng)大多是基于客戶/服務(wù)器

模式和Intemet/Intranet網(wǎng)絡(luò)計算模式的分布式應(yīng)用，用戶、程序和數(shù)據(jù)可能分布

在世界的各個角落，給系統(tǒng)的安全管理造成了很大困難。早期的網(wǎng)絡(luò)大多限于企

業(yè)內(nèi)部，與外界的物理連接很少，對于外部入侵的防范較為容易，現(xiàn)在，網(wǎng)絡(luò)已

發(fā)展到全球一體化的Internet,每個企業(yè)的Intranet都會有許多與外部連接的鏈路,

如通過專線連入Internet,提供遠(yuǎn)程接入服務(wù)供業(yè)務(wù)伙伴和出差員工訪問等等。

在這樣一個分布式應(yīng)用的環(huán)境中，企業(yè)的數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、WWW

服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等等每一個都是一個供人出入的“門戶”，只

要有一個“門戶”沒有完全保護(hù)好-忘了上鎖或不很牢固，“黑客”就會通過這

道門進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。隨著系統(tǒng)和網(wǎng)絡(luò)的不斷開放，供黑客

攻擊系統(tǒng)的簡單易用的“黑客工具”和“黑客程序”不斷出現(xiàn)，一個人不必掌握

很高深的計算機(jī)技術(shù)就可以成為黑客，黑客的平均年齡越來越小，現(xiàn)在是14-

16歲。

1.2.2從計算機(jī)系統(tǒng)的特點(diǎn)看安全問題

在現(xiàn)代典型的計算機(jī)系統(tǒng)中，大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，

主要服務(wù)器為UNIX或WindowsNT操作系統(tǒng)。眾所周知，TCP/IP和UNIX都

是以開放性著稱的。系統(tǒng)之間易于互聯(lián)和共享信息的設(shè)計思路貫穿與系統(tǒng)的方方

面面，對訪問控制、用戶驗(yàn)證授權(quán)、實(shí)時和事后審計等安全內(nèi)容考慮較少，只實(shí)

現(xiàn)了基本安全控制功能，實(shí)現(xiàn)時還存在一些這樣那樣的漏洞。

TCP/IP的結(jié)構(gòu)與基于專用主機(jī)(如IBMES/3OOO、AS/400)和網(wǎng)絡(luò)(如SNA網(wǎng)

絡(luò))的體系結(jié)構(gòu)相比，靈活性、易用性、開發(fā)性都很好，但是，在安全性方面卻

存在很多隱患。TCP/IP的網(wǎng)絡(luò)結(jié)構(gòu)沒有集中的控制，每個節(jié)點(diǎn)的地址由自己配

置，節(jié)點(diǎn)之間的路由可任意改變。服務(wù)器很難驗(yàn)證某客戶機(jī)的真實(shí)性。IP協(xié)議

是一種無連接的通訊協(xié)議，無安全控制機(jī)制，存在IPSpoofing、TCPsequence

numberpredictionattacks、Sourceoutingattacks、RIPattacksICMPattacks.

Data-drivenattacks（SMTPandMIME）、DomainNameServiceattacksFragment

attacks、Tinyfragmentattacks、Hijackingattacks、Dataintegrityattacks、

EncapsulatedIPattacks等各種各樣的攻擊手段。實(shí)際上，從TCP/IP的網(wǎng)絡(luò)層，

人們很難區(qū)分合法信息流和入侵?jǐn)?shù)據(jù)，DoS（DenialofServices,拒絕服務(wù)）就是其

中明顯的例子。

UNIX操作系統(tǒng)更是以開放性著稱的，在安全性方面存在許多缺限。如用戶

認(rèn)證和授權(quán)管理方面，UNIX操作系統(tǒng)對用戶登錄的管理是靠用戶名和口令實(shí)現(xiàn)

的，存在很多安全上的隱患；在對資源的訪問控制管理方面，UNIX只有讀、寫

和執(zhí)行三種權(quán)限，無法對文件進(jìn)行更為細(xì)致的控制，且缺乏完善有效的跟蹤審計

能力。嚴(yán)格的控制需要復(fù)雜的配置過程，不同系統(tǒng)上配置方法也很不一致，實(shí)際

上無法全面有效地實(shí)施。另外UNIX中的root用戶為特權(quán)用戶，擁有至高無上

的特權(quán)，它也成為黑客窺視的主要目標(biāo)，給系統(tǒng)安全造成了極大危害。

2.物理安全

2.1設(shè)備的安全

目的：防止資產(chǎn)丟失、損失或被破壞，防止業(yè)務(wù)活動的停頓。

設(shè)備應(yīng)有物理保護(hù)不受安全威脅及環(huán)境事故的影響。

要保護(hù)設(shè)備（包括用在離線的地方）以減少非法訪問數(shù)據(jù)的風(fēng)險，和保護(hù)不

會丟失或損失，也要考慮設(shè)備應(yīng)放在什么地方及如何處理掉?？赡苄枰貏e的

控制來保護(hù)故障或非法訪問，和保障支援設(shè)備，例如電力供應(yīng)和線纜架構(gòu)。

2.1.1設(shè)備的放置及保護(hù)

設(shè)備應(yīng)放在安全的地方，保護(hù)減少來自環(huán)境威脅及事故的風(fēng)險，減少非法訪

問的機(jī)會。要考慮的有:

＞設(shè)備的位置，應(yīng)是盡量減少不必要的到工作地方的訪問；

＞處理敏感數(shù)據(jù)的信息處理及儲存設(shè)備應(yīng)該好好放置，以減少使用時被俯

瞰的風(fēng)險；

＞需要特別保護(hù)的東西，應(yīng)被隔離；

＞應(yīng)控制并減少潛在威脅出現(xiàn)的風(fēng)險：

■偷竊；

■火；

■爆炸物；

■煙；

■水(或供水有問題)；

■塵埃；

■震動；

■化學(xué)效應(yīng)；

■電力供應(yīng)干擾；

■電磁輻射；

＞機(jī)構(gòu)應(yīng)考慮在信息處理設(shè)備附近的飲食及吸煙策略；

＞應(yīng)監(jiān)控那些嚴(yán)重影響信息處理設(shè)備操作的環(huán)境；

＞考慮在工業(yè)環(huán)境設(shè)備的特殊保護(hù)方法，例如采用鍵盤薄膜；

＞應(yīng)考慮在大廈附近發(fā)生災(zāi)難的后果，例如隔離大廈著火、房頂漏水，地

下層滲水、街道發(fā)生爆炸。

2.1.2電力的供應(yīng)

應(yīng)保證設(shè)備電源不會出現(xiàn)故障，或其它電力異常。應(yīng)有適當(dāng)?shù)?、符合設(shè)備生

產(chǎn)商規(guī)格的電力供應(yīng)。關(guān)于連續(xù)性供電的選項(xiàng)有：

＞多個輸電點(diǎn)，避免單點(diǎn)輸電導(dǎo)致全部停電；

＞不間斷電源(UPS);

＞備份發(fā)電機(jī)。

建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS,保持有次序的停電或連續(xù)性

供電。應(yīng)急計劃應(yīng)包括UPS發(fā)生故障時應(yīng)采取什么行動。UPS設(shè)備應(yīng)定期檢查,

保證有足夠的容量，并按生產(chǎn)商的建議進(jìn)行測試。

如果發(fā)生長時間電源失敗還要繼續(xù)信息處理的話，請考慮配備后備發(fā)電機(jī)。

發(fā)電機(jī)安裝后，應(yīng)按生產(chǎn)商的指示定期進(jìn)行測試。應(yīng)提供足夠的燃料保證發(fā)電機(jī)

可以長時間發(fā)電。

此外，緊急電力開關(guān)應(yīng)放置設(shè)備房緊急出口的附近，以便一旦發(fā)生緊急事故

馬上關(guān)閉電源。也要考慮一旦電源失敗時的應(yīng)急燈。要保護(hù)全大廈的燈，及在所

有外部通訊線路都要裝上燈光保護(hù)過濾器。

2.1.3電纜線路的安全

應(yīng)保護(hù)帶有數(shù)據(jù)或支持信息服務(wù)的電力及電訊電纜，使之不被偵聽或破壞。

要注意的有：

＞進(jìn)入信息處理設(shè)備的電力及電訊電纜線路應(yīng)放在地下下面，如可能，也

可以考慮其它有足夠保護(hù)能力的辦法；

＞網(wǎng)絡(luò)布線應(yīng)受到保護(hù)，不要被非法截取或被破壞，舉例，使用管道或避

免通過公眾地方的路徑；

＞電源電纜應(yīng)與通訊電纜分開，避免干擾；

＞至于敏感或重要的系統(tǒng)，更要考慮更多的控制，包括：

■安裝裝甲管道，加了鎖的作為檢查及終點(diǎn)的房間或盒子；

■使用可選路由或者傳輸介質(zhì)；

■光纖光纜；

■清除附加在電纜上的未授權(quán)設(shè)備。

2.1.4設(shè)備的維護(hù)

設(shè)備應(yīng)正確維護(hù)來保證連續(xù)性可用合完整性。以下是要注意的：

＞設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格維護(hù)；

＞只有授權(quán)的維護(hù)人員才可以修理設(shè)備；

＞記錄所有可疑的或真實(shí)的故障，以及所有防范及改正措施；

＞實(shí)施適當(dāng)?shù)目刂迫绾伟言O(shè)備送出大廈進(jìn)行修理

2.1.4設(shè)備離開大廈的安全

無論是誰擁有的，在機(jī)構(gòu)外面使用任何設(shè)備處理信息應(yīng)有管理層的授權(quán)。所

提供的安全保護(hù)應(yīng)與設(shè)備在大廈內(nèi)使用時相同。還要考慮在機(jī)構(gòu)大廈外面工作的

風(fēng)險。信息處理設(shè)備包括所有形式的個人計算機(jī)、商務(wù)通、移動電話紙張或其它

表格，放在家里或從日常工作地方搬走。要考慮的有：

＞從大廈取走的設(shè)備及介質(zhì)，不應(yīng)放在公眾地方無人看管。筆記本計算機(jī)

應(yīng)當(dāng)作手提行李隨身，及在外時盡量遮蔽，不要顯露在外被人看到；

＞應(yīng)時常注意生產(chǎn)商保護(hù)設(shè)備的指示，例如不要暴露在強(qiáng)大的電磁場內(nèi)；

＞在家工作的控制，應(yīng)在評估風(fēng)險后確定，并適當(dāng)?shù)貙?shí)施，舉例，可上鎖

的文件柜、清除桌子的策略及計算機(jī)的訪問控制；

＞應(yīng)有足夠的保險保護(hù)不在大廈的設(shè)備。

安全風(fēng)險，例如損壞、被盜及偷聽，可能每個地方都不同，所以應(yīng)仔細(xì)考慮

后確定最適當(dāng)?shù)目刂?。參?.8.1的關(guān)于如何保護(hù)移動設(shè)備。

2.1.5設(shè)備的安全清除或重用

信息可以通過不小心清除或重復(fù)使用設(shè)備而被破壞（參看8.6.4）,有敏感信

息的存儲設(shè)備應(yīng)該物理被銷毀或安全地覆蓋，而不是使用標(biāo)準(zhǔn)的刪除功能。

所有儲存設(shè)備，例如固定硬盤，應(yīng)被檢查以保證已清除所有敏感數(shù)據(jù)及授權(quán)

軟件，或在清除前已被覆蓋。損壞了、有敏感數(shù)據(jù)的儲存設(shè)備可能需要評估風(fēng)險

后確定是否把設(shè)備銷毀、修理或丟掉。

3.訪問控制

3.1訪問控制的業(yè)務(wù)需求

目的：控制信息的訪問。

應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，應(yīng)把信息發(fā)布及授權(quán)的

策略內(nèi)容加入到考慮范圍之內(nèi)。

3.1.1訪問控制策略

策略及業(yè)務(wù)需求

首先要定義業(yè)務(wù)需求的訪問控制，并記錄下來。訪問策略的文件應(yīng)清楚寫明

每個用戶或每組用戶應(yīng)有的訪問控制規(guī)定及權(quán)限，用戶及服務(wù)提供商都應(yīng)有一份

這樣的文件，明白訪問控制要達(dá)到什么業(yè)務(wù)需求。訪問控制策略應(yīng)包括以下內(nèi)容:

＞每個業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求；

＞確認(rèn)所有與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的信息；

＞信息發(fā)布及授權(quán)的策略，例如：安全級別及原則，以及信息分類的需要；

＞不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問控制及信息分類策略的一致性；

＞關(guān)于保護(hù)訪問數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定；

＞一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問配置；

＞在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問權(quán)限。

3.L1.2訪問控制規(guī)定

在制定訪問控制規(guī)定時，應(yīng)小心考慮以下：

＞將必須實(shí)施的規(guī)定和可以選擇實(shí)施或有條件實(shí)施的規(guī)定分開考慮；

＞根據(jù)“除非有明文準(zhǔn)可，否則一般是被禁止”的原則建立規(guī)定，而不是“在

一般情況下全都可以，除非有明文禁止”的模糊概念；

＞由信息處理設(shè)備自動啟動與經(jīng)過用戶判斷啟動的信息標(biāo)記改動；

＞由信息系統(tǒng)自動啟動的與由管理員啟動的用戶許可的變動。

＞需要與不需要管理員或其它批準(zhǔn)才能頒布的規(guī)定。

3.2用戶訪問的管理

目的：防止非法訪問信息系統(tǒng)。

應(yīng)有一套正式程序來控制分配信息系統(tǒng)及服務(wù)的訪問權(quán)限。

手續(xù)應(yīng)包括用戶訪問生命周期的所有階段，從一開始注冊新用戶直到最后注

銷那些不再需要訪問信息安全及服務(wù)的用戶。應(yīng)特別注意控制分配特級訪問權(quán)

限，因?yàn)檫@些特級權(quán)限讓用戶越過系統(tǒng)的控制。

3.2.1用戶登記

應(yīng)有一套正式的用戶注冊及注銷手續(xù)，以便授予訪問所有多用戶信息系統(tǒng)及

服務(wù)。

多用戶信息服務(wù)的訪問應(yīng)通過正式的用戶注冊手續(xù)控制，內(nèi)容應(yīng)包括：

＞使用唯一的用戶ID,以便鑒定是誰做什么操作，并予以追究責(zé)任；

＞檢查用戶是否已被系統(tǒng)擁有者授權(quán)使用信息系統(tǒng)或服務(wù)。有時，還需要管理

個別批準(zhǔn)訪問權(quán)限；

＞檢查所準(zhǔn)許的訪問級別是否適用于業(yè)務(wù)目的（參看3.1）,是否與機(jī)構(gòu)的安全

策略一致，例如不會破壞責(zé)任的分開；

＞發(fā)送用戶訪問權(quán)限聲明書給用戶；

＞要求用戶在聲明書上簽字，表示明白了訪問的條件；

＞確保服務(wù)提供者不能訪問，直到授權(quán)手續(xù)已完成；

＞保存一份所有注冊使用服務(wù)的正式名單；

＞馬上取消已更換崗位、或已離開機(jī)構(gòu)的用戶的訪問權(quán)限；

＞定期檢查是否有多余的用戶ID及賬號，并予以除掉；

＞確保多余的用戶ID不會發(fā)給其它用戶。

此外，應(yīng)仔細(xì)研究員工合同及服務(wù)合同中涉及員工或服務(wù)商試圖非法訪問后

所受到的制裁的條款。

3.2.2特權(quán)管理

應(yīng)禁止及控制特權(quán)（指任何一種功能或設(shè)備會讓用戶可以越過系統(tǒng)或應(yīng)用系

統(tǒng)控制的多用戶信息系統(tǒng)）的分配與使用。不適當(dāng)使用系統(tǒng)特權(quán)往往是系統(tǒng)安全

被破壞的主要原因。

需要保護(hù)不被非法訪問的多用戶系統(tǒng)應(yīng)有正式授權(quán)手續(xù)控制特權(quán)的分配，應(yīng)

考慮以下的步驟：

＞認(rèn)與每個系統(tǒng)產(chǎn)品（例如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及每個應(yīng)用系統(tǒng)，以

關(guān)聯(lián)的特權(quán)，以及找出那些應(yīng)配有特權(quán)的員工。

＞權(quán)應(yīng)按照“需要使用”及“按事件”的原則分配，即只在需要時所賦有的最

低功能角色要求。

＞應(yīng)有一套授權(quán)程序，及記錄所有被分配的特權(quán)。不應(yīng)授予特權(quán)，直到完成整

個授權(quán)程序。

＞鼓勵開發(fā)及使用系統(tǒng)例行程序，以避免授予用戶特權(quán)的需要

＞特權(quán)應(yīng)賦予不同的用戶ID,與用作業(yè)務(wù)的ID分開

3.2.3用戶口令的管理

口令是一個常用方法，來核查訪問某個信息系統(tǒng)或服務(wù)的用戶身份。所以，

應(yīng)通過正式的管理程序分配口令，辦法以下：

＞要求用戶在聲明書上簽字，保證不泄露個人口令，以及只讓在同一組的組員

知道作業(yè)組的口令；

＞當(dāng)需要用戶保密自己的口令時，保證在開始時只提供一個暫時的口令，強(qiáng)迫

用戶馬上更改。當(dāng)用戶忘記自己口令時，應(yīng)在確認(rèn)清楚用戶身份后才提供臨

時性口令;

＞要求安全地發(fā)給用戶臨時性口令。應(yīng)避免使用第三方或未加保護(hù)（明文）的

電子郵件信息。用戶應(yīng)確認(rèn)收到口令。

?口令絕不能以不加保護(hù)的形式儲存在計算機(jī)系統(tǒng)中（參看3.5.4）。其

它用來確認(rèn)及認(rèn)證用戶的技術(shù)，例如生物測定學(xué)，指紋核查、簽名

核查及硬件令牌，例如chip-cards,都可以考慮使用。

3.2.4用戶訪問權(quán)限的檢查

為了有效控制數(shù)據(jù)及信息服務(wù)的訪問，管理層應(yīng)該定期正式檢查，看看用戶

的訪問權(quán)限是否：

＞定期（建議是每隔六個月）及在任何改動后（參看3.2.1）接受檢查；

＞更頻繁地檢查特權(quán)訪問的授權(quán)（參看322）,建議是每隔三個月；

＞定期檢查特權(quán)的分配，以確保沒有用戶取得非法特權(quán)。

3.3用戶責(zé)任

目的：防止非法的用戶訪問。

合法用戶的合作對推行有效的安全非常重要。

用戶應(yīng)知道自己有責(zé)任維護(hù)有效的訪問控制，特別是如何使用口令及用戶設(shè)

備的安全。

3.3.1口令的使用

用戶應(yīng)遵守良好的選擇及使用口令的安全慣例。

口令提供了一個核查用戶身份的途徑，從而可以建立信息處理或服務(wù)的訪問

權(quán)限，建議所有用戶應(yīng)：

＞保密口令；

＞避免書寫記錄口令，除非保存妥當(dāng)；

＞每當(dāng)懷疑系統(tǒng)被破壞或口令被公開時，應(yīng)馬上更改口令;

＞選一個至少有六個字的好口令：

?容易記??；

＞不根據(jù)與個人有關(guān)的信息如名字、電話號碼、出生日期等（容易被猜出）訂

出口令；

＞不是連續(xù)的同一個字，或全是數(shù)字或全字母；

■定期或按訪問次數(shù)更改口令（特權(quán)賬號的口令應(yīng)比一般口令更改更頻

繁），避免重復(fù)使用舊口令；

■第一次登錄后應(yīng)馬上更改臨時性口令；

■不要在自動登錄程序中把口令納入，例如儲存在宏或函數(shù)密鑰中；

■不要與別人共享口令。

如果用戶需要使用好幾個口令來訪問多個服務(wù)或平臺，建議他們應(yīng)使用一個

很好的單一口令（參看331（4））為這好幾個口令的存儲提供合理水平的保護(hù)。

3.3.2無人看管的用戶設(shè)備

用戶應(yīng)檢查無人看管的設(shè)備是否適當(dāng)?shù)乇Ｗo(hù)起來了。安裝在用戶使用地方的

設(shè)備，例如工作站或文件服務(wù)器，如一段時間內(nèi)無人看守時，更需要格外保護(hù)并

使之免于被非法訪問。所有用戶及合作伙伴應(yīng)都知道保護(hù)無人看管設(shè)備的安全要

求及手續(xù)，以及有責(zé)任實(shí)施保護(hù)措施。建議用戶應(yīng)：

＞除非有合適的鎖定機(jī)制保護(hù)（例如有口令保護(hù)的屏幕保護(hù)（screensaver）,否

則應(yīng)終止已完成的活動會話；

＞會話結(jié)束后應(yīng)退出登錄主機(jī)（即不僅僅是關(guān)閉PC或終端）；

A當(dāng)PC或終端不用時，應(yīng)保護(hù)它們不被非法使用，例如使用密鑰鎖或等同的

安全機(jī)制，如口令訪問。

3.4網(wǎng)絡(luò)訪問控制

目的：互聯(lián)服務(wù)的保護(hù)。

應(yīng)控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問，以確?？梢栽L問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶

不會破壞這些網(wǎng)絡(luò)服務(wù)的安全，保證：

＞在機(jī)構(gòu)網(wǎng)及其它機(jī)構(gòu)網(wǎng)或公用網(wǎng)之間要有合適的界面；

＞要有合適的認(rèn)證機(jī)制認(rèn)證用戶及設(shè)備；

＞控制用戶訪問信息服務(wù)。

3.4.1網(wǎng)絡(luò)服務(wù)的使用策略

不安全地連接到網(wǎng)絡(luò)服務(wù)會影響整個機(jī)構(gòu)的安全，所以，只能讓用戶直接訪

問已明確授權(quán)使用的服務(wù)。這種安全控制對連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò)，或連接

到在高風(fēng)險地方（例如不在機(jī)構(gòu)安全管理及控制范圍的公用或外部地方）的用戶

尤其重要。

策略應(yīng)與網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的使用有關(guān)，應(yīng)覆蓋：

＞容許被訪問的網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)；

＞定出誰可以訪問哪個網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的授權(quán)手續(xù)；

＞保護(hù)接入網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的管理控制及手續(xù)；

?這個策略應(yīng)與業(yè)務(wù)訪問控制策略一致（參看3.1）。

3.4.2強(qiáng)制式路徑

從用戶終端到計算機(jī)服務(wù)的路徑應(yīng)受到控制。網(wǎng)絡(luò)是用來在最大范圍之內(nèi)共

享資源及提供最大程度的路由，但網(wǎng)絡(luò)這樣的功能也同時提供機(jī)會非法訪問業(yè)務(wù)

應(yīng)用系統(tǒng)或非法使用信息設(shè)備，所以，在用戶終端與計算機(jī)服務(wù)之間設(shè)置路由控

制（例如，建立一條強(qiáng)制式路徑）會減少這樣的風(fēng)險。

強(qiáng)制式路徑的目的是阻止用戶選擇一條不是用戶終端與用戶可訪問服務(wù)之

間的路由。這樣，就需要在路由的不同點(diǎn)上實(shí)施多個安全控制，控制原則是按事

先定義的選擇限制每個網(wǎng)點(diǎn)的路由選擇，這方面的例子有：

＞分配專用線或電話號碼；

＞自動把端口連接到指定的應(yīng)用系統(tǒng)或安全網(wǎng)關(guān);

＞限制供每個用戶使用的菜單及子菜單；

＞禁止無限量的網(wǎng)絡(luò)漫游；

＞強(qiáng)迫外部網(wǎng)絡(luò)用戶使用指定的應(yīng)用系統(tǒng)及/或安全網(wǎng)關(guān)；

＞通過安全網(wǎng)關(guān)（例如防火墻）嚴(yán)格控制從源地址到目的地址的通訊；

＞設(shè)置不同的邏輯域（例如VPN）限制機(jī)構(gòu)內(nèi)用戶組對網(wǎng)絡(luò)的訪問（請參看

3.4.6）。

?對強(qiáng)制式路徑的需求應(yīng)該基于業(yè)務(wù)訪問控制策略（參看3.1）

3.4.3外部連接的用戶認(rèn)證

外部的連接（例如撥號訪問）是非法訪問業(yè)務(wù)信息的隱患。所以，遠(yuǎn)程用戶

的訪問應(yīng)被認(rèn)證。認(rèn)證方法有很多種，保護(hù)的程度也有強(qiáng)弱之分，例如使用密碼

技術(shù)的方法提供非常安全的認(rèn)證。所以，應(yīng)在風(fēng)險評估后決定需要哪一級別的保

護(hù)，然后決定需要哪種認(rèn)證機(jī)制。

認(rèn)證遠(yuǎn)程用戶的方法可以基于密碼技術(shù)、硬件令牌或是一個挑戰(zhàn)/響應(yīng)

（challenge/response）的協(xié)議。專用線或網(wǎng)絡(luò)用戶地址的檢查設(shè)備也可以被用來

提供源地址的保障。

回?fù)埽╠ial-back）的程序及控制（如使用回?fù)苷{(diào)制解調(diào)器），可以拒絕非法

或不受歡迎的連接到達(dá)機(jī)構(gòu)的信息處理設(shè)備。這樣的控制可以對試圖從遠(yuǎn)程地點(diǎn)

與機(jī)構(gòu)網(wǎng)絡(luò)建立連接的用戶進(jìn)行認(rèn)證。使用這種控制的機(jī)構(gòu)就不要使用有呼叫傳

送（callforwarding）功能的網(wǎng)絡(luò)服務(wù)，如果堅(jiān)持要使用的話，機(jī)構(gòu)應(yīng)中止使用

這樣的功能，避免因callforwarding所帶來的安全隱患。同時，在回?fù)苓M(jìn)程中包

括保證機(jī)構(gòu)確實(shí)斷絕連接的功能是很重要的，要不然，遠(yuǎn)程用戶便可以把線路一

直保持是通的，假裝已確實(shí)發(fā)生了回?fù)茯?yàn)證。應(yīng)仔細(xì)檢查回?fù)艿某绦蚺c控制是否

會可能有此情況發(fā)生。

3.4.4網(wǎng)點(diǎn)認(rèn)證

能夠自動連接到遠(yuǎn)程計算機(jī)間接等于是提供非法訪問業(yè)務(wù)應(yīng)用系統(tǒng)的機(jī)會，

所以要有認(rèn)證機(jī)制來認(rèn)證到遠(yuǎn)程計算機(jī)系統(tǒng)的連接，尤其是使用機(jī)構(gòu)安全管理控

制范圍之外的網(wǎng)絡(luò)連接。以上的343舉了幾個認(rèn)證例子，以及實(shí)現(xiàn)這些機(jī)制的

建議。

網(wǎng)點(diǎn)認(rèn)證也可以當(dāng)作是另一方法去認(rèn)證一組連接到安全、共享的計算機(jī)設(shè)備

的遠(yuǎn)程用戶。（參看3.4.3）

3.4.5遠(yuǎn)程診斷端口的保護(hù)

應(yīng)安全地控制診斷端口的訪問。很多計算機(jī)及通訊系統(tǒng)已安裝撥號遠(yuǎn)程診斷

設(shè)備為維護(hù)工程師使用。如果不好好保護(hù)，這些診斷端口就變成非法訪問的途徑,

所以，應(yīng)有合適的安全機(jī)制保護(hù)這些端口，例如，有一個密鑰鎖及程序，保證只

能使用通過計算機(jī)服務(wù)管理員與需要訪問的軟硬件技術(shù)支持人員商量后所同意

的訪問方法訪問。

3.4.6網(wǎng)絡(luò)的隔離

網(wǎng)絡(luò)不斷擴(kuò)大，已超出傳統(tǒng)的機(jī)構(gòu)式范圍，業(yè)務(wù)伙伴的相繼形成，同時也要

求大家互聯(lián)或共享信息處理及聯(lián)網(wǎng)設(shè)施。這樣的擴(kuò)大，也增加了非法訪問現(xiàn)有網(wǎng)

絡(luò)信息系統(tǒng)的風(fēng)險，而這些系統(tǒng)因有敏感信息或是非常重要的不能讓別的網(wǎng)絡(luò)用

戶訪問的信息，在這樣的情況下，應(yīng)考慮在網(wǎng)絡(luò)設(shè)置控制，把不同的信息服務(wù)組、

用戶及信息系統(tǒng)隔離。

一種控制大網(wǎng)絡(luò)安全的方法是把網(wǎng)絡(luò)分成幾個邏輯網(wǎng)域，例如，機(jī)構(gòu)的內(nèi)部

網(wǎng)域及外部網(wǎng)域，每個網(wǎng)域都有特別指定的安全邊界，實(shí)現(xiàn)這樣的安全邊界是在

兩個要聯(lián)網(wǎng)的網(wǎng)絡(luò)之間安裝一個安全的網(wǎng)關(guān)，來控制兩個網(wǎng)域之間的訪問及信息

流量。網(wǎng)關(guān)的設(shè)置應(yīng)該是過濾這些網(wǎng)域之間的流量（參看347及3.4.8）,以及

按機(jī)構(gòu)的訪問控制策略（參看3.1）阻截非法訪問，一個這樣的網(wǎng)關(guān)例子是防火

墻。

把網(wǎng)絡(luò)分隔成網(wǎng)域的標(biāo)準(zhǔn),應(yīng)該是按照訪問控制策略及訪問機(jī)制（參看3.1）,

還要考慮成本及因設(shè)置網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)（參看3.4.7及3.4.8）后所引致的性

能沖擊。

3.4.7網(wǎng)絡(luò)連接控制

共享網(wǎng)絡(luò)的訪問控制策略的要求，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，可能需要有

另外的控制來禁止用戶的連接能力。這樣的控制可以使用事先定義的表或規(guī)定過

濾流量的網(wǎng)關(guān)實(shí)現(xiàn)。制定禁止規(guī)定應(yīng)按訪問策略及業(yè)務(wù)需求（參看3.1）,并時常

更新。

應(yīng)制定禁止規(guī)定的例子是：

＞電子郵件；

＞單向的文件傳輸；

＞雙向的文件傳輸；

＞交互訪問；

＞有時間日期的網(wǎng)絡(luò)訪問。

3.4.8網(wǎng)絡(luò)路由的控制

共享網(wǎng)絡(luò)，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，需要設(shè)置路由控制，以保證計算機(jī)

連接及信息流不會破壞業(yè)務(wù)系統(tǒng)的訪問控制策略（參看3.1）。那些與第三方（非

機(jī)構(gòu)）用戶共享的網(wǎng)絡(luò)更需要有這些控制。

路由控制應(yīng)該是按正確檢查源及目的地址的機(jī)制制定。網(wǎng)絡(luò)地址翻譯是一個

很有用的機(jī)制來隔離網(wǎng)絡(luò)，以及阻止路由從一個機(jī)構(gòu)網(wǎng)絡(luò)傳播到另一個機(jī)構(gòu)的網(wǎng)

絡(luò)。機(jī)制可以用軟件或硬件實(shí)現(xiàn)，但實(shí)現(xiàn)者要注意機(jī)制的安全程度。

3.4.3網(wǎng)絡(luò)服務(wù)的安全

現(xiàn)在有很多不同類別的公私網(wǎng)絡(luò)服務(wù)供使用，有些服務(wù)是增殖服務(wù)，而網(wǎng)絡(luò)

服務(wù)應(yīng)有獨(dú)特或者復(fù)雜的安全特征。使用網(wǎng)絡(luò)服務(wù)的機(jī)構(gòu)應(yīng)清楚知道所用服務(wù)的

安全屬性。

3.5操作系統(tǒng)的訪問控制

目的：防止不合法的計算機(jī)訪問。

操作系統(tǒng)級別的安全設(shè)施應(yīng)被用來限制計算機(jī)資源的訪問。這些設(shè)施應(yīng)有以

下功能：

＞標(biāo)識及檢查身份，如有需要，應(yīng)把每個合法用戶的終端或地點(diǎn)都納入檢查之

列；

＞記錄成功及失敗的系統(tǒng)訪問；

＞提供合適認(rèn)證方法：如果使用口令管理系統(tǒng)，應(yīng)保證是在用良好的口令(參

看3.3.1(4));

＞如有需要，限制用戶的連接時間。

其它訪問控制方法，例如challenge-response,如果可以減低業(yè)務(wù)風(fēng)險，也可

以考慮使用。

3.5.1自動認(rèn)證終端

在認(rèn)證連接到指定地點(diǎn)及便攜式設(shè)備時，可以考慮使用自動認(rèn)證終端。自動

認(rèn)證終端是一種用于只能從某個地點(diǎn)或計算機(jī)終端啟動會話的技術(shù)。一個在終端

中，或附在終端的標(biāo)識符可以顯示這終端是否可以啟動或接收交易。如有需要，

考慮用物理方法保護(hù)終端，以維持終端標(biāo)識符的安全。認(rèn)證用戶的方法有很多(請

參看3.4.3)0

3.5.2終端的登錄程序

正常情況是應(yīng)該可以通過安全的登錄過程進(jìn)入信息服務(wù)，登錄進(jìn)入計算機(jī)系

統(tǒng)的程序應(yīng)把非法訪問的機(jī)會減到最低，為了避免提供非法用戶不必要的幫助，

登錄程序應(yīng)只公開最少量的系統(tǒng)信息。一個良好的登錄程序應(yīng)：

＞不顯示系統(tǒng)或應(yīng)用系統(tǒng)的標(biāo)識符，直到登錄成功完成；

＞顯示一個通知，警告只有合用用戶才可進(jìn)入系統(tǒng)；

＞在登錄過程中不提供幫助信息，以免被不合法用戶利用；

＞只有完成輸入數(shù)據(jù)后才核查登錄信息。如有出錯，系統(tǒng)應(yīng)指出哪部分的數(shù)

據(jù)是正確，哪部分不正確;

＞限制登錄失敗的次數(shù)（建議是三次），以及考慮：

＞記錄不成功的登錄；

＞強(qiáng)迫在繼續(xù)嘗試登錄前有時間間隔，或者在沒有特定授權(quán)之下拒絕任何登錄

嘗試；

＞限制登錄程序的最長及最短時間。限定時間一過，系統(tǒng)應(yīng)停止登錄程序；

＞完成成功登錄后顯示以下信息：

＞前一次成功登錄的日期及時間；

＞自上次成功登錄后任何不成功登錄嘗試的詳情。

3.5.3用戶標(biāo)識及認(rèn)證

所有用戶（包括技術(shù)支持員工，例如操作員、網(wǎng)管、系統(tǒng)程序員及數(shù)據(jù)庫管

理員）應(yīng)有各自的標(biāo)識符（用戶ID）,只為自己使用，以確認(rèn)誰在操作，及予以

追究責(zé)任。用戶ID應(yīng)沒有任何跡象顯示用戶的權(quán)限（參看322）,例如經(jīng)理、

主管等。

在特殊情況下，如有清晰的業(yè)務(wù)利益，可以考慮為一組用戶或某個作業(yè)共享

用戶ID,但一定要有管理層的書面批準(zhǔn)才行。如有需要，可以增加管理措施來

貫徹責(zé)任。

有很多種認(rèn)證程序可以被用來充實(shí)某個用戶所稱述的身份?？诹睿▍⒖?31

及以下）是提供標(biāo)識及認(rèn)證的最常見方法，認(rèn)證原則是基于只有用戶知道的秘密。

但認(rèn)證也可以使用密碼及認(rèn)證協(xié)議來完成。

用戶擁有的對象，例如內(nèi)存令牌或智能卡，也是標(biāo)識及認(rèn)證的方法之一。認(rèn)

證某人的身份也可使用生物特征認(rèn)證，一種利用用戶某個獨(dú)特特征或?qū)傩缘恼J(rèn)證

技術(shù)。強(qiáng)大的認(rèn)證可以通過安全組合多個認(rèn)證技術(shù)或機(jī)制來實(shí)現(xiàn)。

3.5.4口令管理系統(tǒng)

口令是一種基本方法檢查用戶訪問某個計算機(jī)服務(wù)的權(quán)限，所以，口令管理

系統(tǒng)應(yīng)提供一個有效交互的措施，確保是在使用健全的口令（參看331的使用

口令指引）。

一些應(yīng)用系統(tǒng)要求用戶口令由某個獨(dú)立機(jī)構(gòu)制定，但大部分情況是由用戶選

擇及保存自己的口令。

一個良好的口令管理系統(tǒng)應(yīng)是：

＞強(qiáng)制使用個人口令來維護(hù)責(zé)任；

＞在適當(dāng)情況下，容許用戶選擇及更改自己的口令，并提供確認(rèn)程序確認(rèn)輸入

正確；

＞強(qiáng)令執(zhí)行要選擇健全的口令，如在3.3.1所述；

＞如果是用戶維護(hù)自己的口令，要強(qiáng)迫口令的變化，如3.3.1所述；

＞如果是用戶選擇口令，強(qiáng)迫他們第一次登錄后要更改臨時的口令（參看

3.2.3）;

＞記錄用戶用過的口令，例如12個月前用的口令，以防止重復(fù)使用；

＞進(jìn)入系統(tǒng)后不要在屏幕上顯示口令；

＞把口令文件與應(yīng)用系統(tǒng)數(shù)據(jù)分開儲存；

＞使用單向加密算法把口令加密儲存；

＞安裝軟件后把供應(yīng)商的缺省口令改掉。

3.5.5系統(tǒng)工具的使用

很多計算機(jī)的安裝都有一個以上的系統(tǒng)工具程序，來越過系統(tǒng)及應(yīng)用程序的

控制，所以，有必要限制及嚴(yán)格控制這些工具的使用。以下的控制可以被考慮：

＞使用認(rèn)證程序認(rèn)證系統(tǒng)工具；

＞把系統(tǒng)工具與應(yīng)用軟件分開；

＞把系統(tǒng)工具的使用限制到只有最少數(shù)的可信任合法用戶使用；

＞授權(quán)在特別情況下使用系統(tǒng)工具；

＞限制系統(tǒng)工具的使用期限，例如只在合法更改的期間內(nèi)使用；

＞記錄所有使用系統(tǒng)工具的活動；

＞定義及記錄所有系統(tǒng)工具的授權(quán)級別；

＞取消所有不必要的工具軟件及系統(tǒng)軟件;

3.5.6為保障安全的人員配備強(qiáng)迫警鐘

是否應(yīng)為保障安全用戶提供警鐘，應(yīng)在評估風(fēng)險后決定，同時，要定義負(fù)責(zé)

什么責(zé)任及反應(yīng)警鐘的程序。

3.5.7終端超時

在高風(fēng)險地方（例如公用地方，或超出機(jī)構(gòu)安全管理范圍之外的地方）的交

互終端，或?yàn)楦唢L(fēng)險系統(tǒng)服務(wù)的交互終端，應(yīng)在一段沒有活動的時間后關(guān)閉，以

免被非法用戶訪問。這種超時措施應(yīng)在一段休止時間后清除終端屏幕的內(nèi)容及關(guān)

閉應(yīng)用系統(tǒng)及網(wǎng)絡(luò)會話。超時的延遲應(yīng)能反映這地方的安全風(fēng)險以及誰是終端的

使用者。

可以在某些PC上實(shí)行部分的終端超時措施，即清除屏幕內(nèi)容防止非法訪問,

但不關(guān)閉應(yīng)用系統(tǒng)或網(wǎng)絡(luò)會話。

3.5.8連接時間的限制

限制連接時間在某種程度上加強(qiáng)高風(fēng)險應(yīng)用程序的安全。限制那段時間準(zhǔn)許

終端連接到計算機(jī)服務(wù)的做法，會減少非法訪問的時限。這樣的限制應(yīng)考慮在敏

感的計算機(jī)應(yīng)用系統(tǒng)上實(shí)行，特別是安裝在高風(fēng)險地方（例如公用地方，或超出

機(jī)構(gòu)安全管理范圍之外的地方）的終端。

這樣的限制方法例子可以是：

＞使用已定的時間段，例如傳輸批文件的時間，或短時間的定期交互會話；

＞如果沒有加班或延長工作的要求，限定連接時間在正常的工作時間之內(nèi)。

3.6應(yīng)用系統(tǒng)的訪問控制

目的：防止非法訪問放在信息系統(tǒng)中的信息。應(yīng)有安全設(shè)備來禁止訪問應(yīng)

用系統(tǒng)并只容許合法用戶邏輯訪問軟件及信息。應(yīng)用系統(tǒng)應(yīng)該是:

＞按已定的業(yè)務(wù)訪問控制策略，控制用戶進(jìn)入信息系統(tǒng)及訪問應(yīng)用系統(tǒng)功能；

＞防止可以越過系統(tǒng)或應(yīng)用系統(tǒng)控制的工具及操作系統(tǒng)非法訪問；

＞不破壞其它共享信息資源的系統(tǒng)的安全；

＞只讓擁有者、其它合法用戶或指定的用戶組訪問信息；

3.6.1信息訪問的限制

應(yīng)用系統(tǒng)的用戶，包括技術(shù)支持人員，應(yīng)按訪問控制策略、個別業(yè)務(wù)的應(yīng)用

要求及機(jī)構(gòu)的信息訪問策略訪問信息及應(yīng)用系統(tǒng)功能。要符合訪問限制的要求,

應(yīng)考慮以下的控制：

＞提供菜單來控制對應(yīng)用系統(tǒng)功能的訪問；

＞適當(dāng)編輯用戶說明書，把用戶不該知道的信息或應(yīng)用系統(tǒng)的功能去掉；

＞控制用戶的訪問權(quán)限，例如閱讀、寫入、刪除及執(zhí)行；

＞保證處理敏感信息的應(yīng)用系統(tǒng)的輸出只有與輸出使用有關(guān)的信息，并只發(fā)送

給合法的終端及地點(diǎn)，同時，也要定期檢查這些輸出確實(shí)沒有多余的信息。

3.6.2敏感系統(tǒng)的隔離

敏感系統(tǒng)需要有專用（隔離）的計算機(jī)環(huán)境。一些應(yīng)用系統(tǒng)的信息非常敏感,

需要特別的處理以防止損失。應(yīng)用系統(tǒng)的敏感程度暗示需要在專用的計算機(jī)上運(yùn)

行，只能與可信任的應(yīng)用系統(tǒng)共享資源。要考慮的問題有：

＞應(yīng)明確標(biāo)明應(yīng)用系統(tǒng)的敏感程度，并由這系統(tǒng)的擁有者記錄保存；

＞當(dāng)一個敏感應(yīng)用系統(tǒng)要在共享環(huán)境下運(yùn)行，應(yīng)標(biāo)明有哪些應(yīng)用系統(tǒng)與它共享

資源，并得到敏感應(yīng)用系統(tǒng)擁有者的同意。

3.7系統(tǒng)訪問和使用的監(jiān)控

目的：檢測非法活動。

系統(tǒng)應(yīng)被監(jiān)控來檢測違反訪問控制策略的活動，以及記錄可檢測的事件，以

便在發(fā)生安全事件時提供證據(jù)。

系統(tǒng)監(jiān)控能夠檢查所通過的管理是否有效，是否與訪問控制模型（參看3.1）

一致。

3.7.1事件記錄

應(yīng)有一個記錄異常事件及其它安全事件的審計日志，并在一段已定的時間內(nèi)

保存?zhèn)溆?。審計日志?yīng)包括以下：

＞用戶ID；

＞登錄與推出登錄的日期時間；

＞終端或地點(diǎn)（如可能）的身份；

＞成功及拒絕的系統(tǒng)訪問的日志；

＞成功及拒絕的數(shù)據(jù)及其它資源的訪問。

?某些審計日志因?yàn)楸４娌呗缘男枰蛘咭驗(yàn)橐占C據(jù)而需要?dú)w

檔。

3.7.2監(jiān)控系統(tǒng)的使用

風(fēng)險的程序及區(qū)域

應(yīng)建立監(jiān)控信息處理設(shè)備使用情況的程序，以保證用戶只進(jìn)行明確授權(quán)了的

活動。所需的監(jiān)控級別應(yīng)在評估風(fēng)險后確定。

要考慮的區(qū)域有：

＞合法訪問，包括詳細(xì)情況，如：

■用戶ID;

■重要事件發(fā)生的日期時間；

■事件的種類；

■所訪問的文件；

■所使用的進(jìn)程/工具。

＞所有特權(quán)操作，例如：

■管理賬號的使用；

■系統(tǒng)的啟動及停止；

■I/O設(shè)備的附加裝置/分離裝置。

＞非法訪問的嘗試，例如：

■失敗的嘗試；

■網(wǎng)關(guān)及防火墻的違反訪問策略的訪問及通知；

■入侵檢測系統(tǒng)的預(yù)警。

＞系統(tǒng)預(yù)警或失敗，例如：

■控制臺預(yù)警或消息；

■系統(tǒng)日志的異常；

■網(wǎng)絡(luò)管理的警報。

風(fēng)險因素

應(yīng)定期審查監(jiān)控活動的結(jié)果，審查的頻率應(yīng)依賴于涉及的風(fēng)險。風(fēng)險因素有:

＞應(yīng)用進(jìn)程的重要性；

＞所處理的信息的價值、敏感程度及重要性；

＞過去系統(tǒng)滲透及誤用的經(jīng)驗(yàn)；

＞系統(tǒng)聯(lián)網(wǎng)的范圍（特別是公用網(wǎng)）。

3.7.23對事件進(jìn)行日志記錄和審查

日志檢查包括了解系統(tǒng)所面臨的威脅，以及這些威脅在什么情況下會出現(xiàn)。

3.7.1是如果有安全事件發(fā)生時應(yīng)注意哪一類事件的例子。

系統(tǒng)日志的內(nèi)容一般是非常多，有很多是與安全監(jiān)控?zé)o關(guān)。要找出重要的事

件，應(yīng)考慮自動把合適的消息種類拷貝到第二個日志，以及/或使用合適的系統(tǒng)

工具或?qū)徲嫻ぞ邫z查文件。

當(dāng)指定日志檢查的責(zé)任時，應(yīng)該把進(jìn)行檢查的人員和活動被監(jiān)控的人員的角

色分開。特別要注意日志設(shè)備的安全，因?yàn)槿绻淮鄹模罩镜扔谑翘峁┎徽?/p>

實(shí)的安全，所以，要注意不要被非法更改及操作出錯，如：

＞日志設(shè)備的停用；

＞所記錄的對消息種類的更改；

＞被編輯或刪除的日志文件；

＞日志文件儲存介質(zhì)的用盡，或者不能繼續(xù)記錄日志或者覆蓋自己。

3.7.3時鐘的同步

計算機(jī)時鐘的正確設(shè)置是非常重要的，以保證審計日志的準(zhǔn)確性，留待日后

調(diào)查或當(dāng)作法庭證據(jù)，不準(zhǔn)確的審計日志會妨礙這樣的調(diào)查工作，以及有損證據(jù)

的可信性。

如果是計算機(jī)或通訊設(shè)備能夠?qū)崟r操作時鐘，應(yīng)把時鐘時間設(shè)成已認(rèn)可的標(biāo)

準(zhǔn)，例如統(tǒng)一協(xié)同時間(UniversalCo-ordinatedTime)或當(dāng)?shù)貥?biāo)準(zhǔn)時間。因?yàn)橛?/p>

些時鐘會隨時間變快或變慢，所以，應(yīng)有一個程序檢查時鐘的時間，如發(fā)現(xiàn)不對,

可以予以改正。

3.8移動操作及遠(yuǎn)程辦公

目的：保證信息安全在移動環(huán)境及遠(yuǎn)程工作的設(shè)備上實(shí)現(xiàn)。應(yīng)考慮在這些情

況有哪些風(fēng)險后才決定要指定那些策略。移動環(huán)境是個沒有保護(hù)的環(huán)境，應(yīng)仔細(xì)

考慮會有什么風(fēng)險，以及應(yīng)有哪方面的安全措施。至于遠(yuǎn)程工作模式，機(jī)構(gòu)應(yīng)

保護(hù)遠(yuǎn)程工作的地點(diǎn)，并保證有合適的措施，保護(hù)在這樣的環(huán)境工作的安全。

3.8.1移動操作

當(dāng)使用移動計算機(jī)設(shè)備，例如筆記本、掌上寶、移動電話等，應(yīng)小心業(yè)務(wù)信

息不被破壞。應(yīng)頒布正式的策略，對付移動操作的風(fēng)險，舉例，策略應(yīng)包括物理

保護(hù)的要求、訪問控制和密碼控制技術(shù)、備份、防病毒等等，以及連接移動設(shè)備

到網(wǎng)絡(luò)的規(guī)定及建議，如何在公共場所使用這些設(shè)備的指引。

應(yīng)小心在公共場所、會議室及其它沒有保護(hù)的不在機(jī)構(gòu)辦公地點(diǎn)的地方使用

移動設(shè)備，應(yīng)保護(hù)不被非法訪問或泄露被該設(shè)備儲存或處理的信息，方法之一是

使用密碼技術(shù)。

重要的是，要注意在公共場所使用移動設(shè)備時，小心不要被不認(rèn)識的人在后

面偷看。同時，也要有防止惡意軟件程序，并要時常保持最新版本（參看8.3）。

應(yīng)有隨時可用的設(shè)備，以便快速、輕松地備份信息。這些備份應(yīng)有很好的保護(hù)，

不被盜取或丟失。

應(yīng)保護(hù)移動設(shè)備到網(wǎng)絡(luò)的連接。使用移動設(shè)備在公用網(wǎng)上遠(yuǎn)程訪問業(yè)務(wù)信息

時，只有