又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架),建立“保护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型,从而相对准确地描述信息系统的安全属性和等级保护的逻辑思维。
分域防护、综合防范的原则:任何安全措施都不是绝对安全的,都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层和多重保护。
需求、风险、代价平衡的原则:对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系,等级保护,适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行。
技术与管理相结合原则:信息安全涉及人、技术、操作等各方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
动态发展和可扩展原则:随着网络攻防技术的进一步发展,网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性,今后随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。
第4页
3 安全需求分析
3.1 系统现状
xxxxxxxx信息系统正处于建设当中,根据沟通交流,用户基础网络建设方案计划如下:
1. 计算机网络系统采用两套网络:内网和外网。两套网络物理隔离,采用万兆
主干、千兆到桌面;
2. 内网只覆盖监测大楼,供内部办公、地市上联使用;外网覆盖3栋楼(有线、
无线),供3栋楼的终端联入Internet和电子政务网; 3. 网络系统设计采用TCP/IP协议作为统一使用的通讯协议;
4. 网络中心设在监测大楼的2层网络机房,采用万兆光纤作为主干,千兆光纤
到桌面的全交换以太网技术;
5. 中心交换机具有模块化结构,三层交换、VLAN功能及高密度的千兆位光纤
交换端口;
6. 采用多协议路由器作外部连接,利用4M SDH链路下联地市; 7. 配置网络管理系统,对整个计算机网络进行统一部署和管理。
3.2 具体安全需求
3.2.1 技术需求
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有:
第5页
安全威胁的来源非人为安全威胁人为安全威胁自然灾难系统漏洞技术局限性硬件缺陷软件缺陷配置缺陷外部威胁内部威胁地震···火灾水灾敌对势力恐怖组织犯罪团伙黑客管理人员合法用户供应商服务商 威胁的主要来源视图
威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。
被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。 主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。
邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。 分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的的后门或攻击途径、
内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。 3.2.1.1. 物理威胁与需求
a1、雷击、地震和台风等自然灾难,需要通过对物理位置进行选择、建立数据备份和恢复系统、实行备份与恢复管理,以及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题;
a2、水患和火灾等灾害,需要采取防水、防潮、防火措施、建立数据备份和恢复系统、实行备份与恢复管理,来解决水患和火灾等威胁带来的安全威胁;
a3、高温、低温、多雨等原因引起温度、湿度异常,应该采取温湿度控制措施,同时,建立数据备份和恢复系统、实行备份与恢复管理来解决因高温、低温和多雨带来的安全威胁;
a4、电压波动,需要合理设计电力供应系统,同时,建立数据备份和恢复系统、实行备份与恢复管理来解决因电压波动带来的安全威胁;
第6页
a5、供电系统故障,需要合理设计电力供应系统,如:购买UPS系统或者建立发电机机房来保障电力的供应,同时,建立数据备份和恢复系统、实行备份与恢复管理来解决因供电系统故障带来的安全威胁;
a6、静电、设备寄生耦合干扰和外界电磁干扰,需要采取防静电和电磁防护措施来解决静电、设备寄生耦合干扰和外界电磁干扰带来的安全威胁;
a7、强电磁场、强震动源、强噪声源等污染,需要通过对物理位置的选择、采取适当的电磁防护措施,同时,建立数据备份和恢复系统、实行备份与恢复管理来解决强电磁场、强震动源、强噪声源等污染带来的安全隐患;
a8、线路老化等原因导致通信线路损坏或传输质量下降,需要通过采取对网络进行安全管理,对网络通信线路的传输能力进行必要的监控,以及建立数据备份和恢复系统、实行备份与恢复管理来解决因线路老化等原因导致通信线路损坏或传输质量下降带来的安全问题;
a9、存储介质使用时间过长或质量问题等导致不可用,需要通过对存储介质存放的环境进行管理,对介质和设备进行管理,检查通信的完整性和数据的完整性,建立数据备份和恢复系统、实行备份与恢复管理来解决存储介质使用时间过长或质量问题等导致不可用带来的安全问题;
a10、网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件故障,需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理,网络设备、系统设备存放的环境进行管理,对存储介质进行管理,对网络和系统设备以及其他设备进行管理,建立一套监控管理体系,建立数据备份和恢复系统、实行备份与恢复管理,通过上述措施来解决网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件故障带来的安全问题;
a11、攻击者利用非法手段进入机房内部盗窃、破坏等,需要通过进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施,建立数据备份和恢复系统、实行备份与恢复管理来解决非法手段进入机房内部盗窃、破坏等带来的安全问题;
a12、攻击者采用在通信线缆上搭接或切断等导致线路不可用,需要通过采取物理访问控制策略、实施防盗窃和防破坏等控制措施,建立数据备份和恢复系统、实行备份与恢复管理来解决在通信线缆上搭接或切断等导致线路不可用带来
第7页
的安全问题;
a13、攻击者利用工具捕捉电磁泄漏的信号,导致信息泄露,需要通过采取防电磁措施,加强对产品采购的管理,加强对密码的管理,加强通信的保密性和数据的保密性,来解决电磁、信息泄漏带来的安全问题。
a14、攻击者非法物理访问系统设备、网络设备或存储介质等,需要通过数据保密、通信保密性、防盗窃和防破坏、物理访问控制、产品采购、密码管理等技术手段完成。
3.2.1.2. 网络威胁与需求
b1、内部人员未授权接入外部网络,需要通过边界的完整性检查、网络审计、主机审计、应用审计等手段解决。
b2、网络设计不合理,需要通过优化设计、安全域改造完成。
b3、设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障,需要通过线路状态检测、线路冗余、数据备份与恢复等技术手段解决。
b4、攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务,需要通过主机资源优化、网络入侵检测与防范、网络结构调整与优化等技术手段解决。
b5、攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源,需要通过恶意代码防护、控制台审计、漏洞扫描、访问控制、身份鉴别、GB17859三级以上操作系统、网络和主机审计系统等技术手段解决。
b6、攻击者利用网络协议存在的漏洞进行可躲避检测的攻击(如碎片重组,协议端口重定位等),需通过网络入侵检测、防病毒系统、控制台审计、访问控制等技术手段解决。
b7、攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络,需通过网络入侵检测、访问控制、身份鉴别、网络结构优化和调整等技术手段解决。
b8、攻击者利用通用安全协议/算法/软件等缺陷,获取信息、解密密钥或破坏通信完整性,需要通过控制台审计、恶意代码防范、国密办认证的算法及协议产品。
b9、攻击者盗用授权用户的会话连接,需通过身份鉴别、访问控制、通信
第8页