【正文】 件資產(chǎn)和數(shù)據(jù)資產(chǎn)的強(qiáng)壯性。具體而言，軟件是安裝在服務(wù)器、工作站等硬件之上的，所以軟件資產(chǎn)的安全威脅和脆弱性也就必然要包括這些硬件所受的技術(shù)故障、人員錯(cuò)誤以及物理和環(huán)境的威脅和脆弱性。而數(shù)據(jù)是依賴于軟件而存在的，也就是說(shuō)數(shù)據(jù)資產(chǎn)也間接地依賴于某些硬件，因此數(shù)據(jù)資產(chǎn)的安全威脅和脆弱性也顯然包括了服務(wù)器、工作站等硬件所受的技術(shù)故障、人員錯(cuò)誤以及物理和環(huán)境的威脅和脆弱性。 管理脆弱性再安全的網(wǎng)絡(luò)設(shè)備離不開(kāi)人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)，在管理方面的弱點(diǎn)包括：252。 缺乏針對(duì)性的安全策略和安全技術(shù)規(guī)范，安全管理和運(yùn)行維護(hù)的組織不健全。252。 缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，無(wú)法有效的發(fā)現(xiàn)和監(jiān)控安全事件，不利于及時(shí)發(fā)現(xiàn)安全事件并采取相應(yīng)的措施。252。 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒(méi)有制定有效的應(yīng)對(duì)措施，沒(méi)有有效的對(duì)安全事件的處理流程和制度。隨著蕪湖社保局信息網(wǎng)絡(luò)安全建設(shè)的深入，將有越來(lái)越多的安全防護(hù)產(chǎn)品被引入到網(wǎng)絡(luò)中，這樣多種技術(shù)和產(chǎn)品多層面、分布式共存，不同廠商的不同產(chǎn)品產(chǎn)生大量不同形式的安全信息，使得整個(gè)系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理的難點(diǎn)。整體的安全管理體制也變得非常復(fù)雜，其系統(tǒng)配置、規(guī)則設(shè)置、反應(yīng)處理、設(shè)備管理、運(yùn)行管理的復(fù)雜性所帶來(lái)的管理成本和管理難度直接制約了安全防御體系的有效性，因而導(dǎo)致了網(wǎng)絡(luò)安全的重大隱患。 網(wǎng)絡(luò)安全威脅分析威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件,包括威脅來(lái)源和威脅手段，網(wǎng)絡(luò)安全所面臨的威脅來(lái)自很多方面，針對(duì)蕪湖社保局信息網(wǎng)絡(luò)，其面臨的安全威脅有非人為威脅和人為的威脅。 威脅來(lái)源對(duì)于蕪湖社保局信息網(wǎng)絡(luò)的主要威脅來(lái)源包括：216。 敵對(duì)國(guó)家：由政府主導(dǎo)，有很好的組織和充足的財(cái)力； 利用國(guó)外的服務(wù)引擎來(lái)收集來(lái)自被認(rèn)為是敵對(duì)國(guó)的信息。而蕪湖社保局是國(guó)家職能的重要組成，其信息網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)連接，必然會(huì)成為敵對(duì)國(guó)家的關(guān)注焦點(diǎn)；216。 黑客：攻擊網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)在運(yùn)行系統(tǒng)中的弱點(diǎn)或其它錯(cuò)誤的一些個(gè)人，這些人員可能在系統(tǒng)外部，也可能在系統(tǒng)內(nèi)部，其對(duì)網(wǎng)絡(luò)的攻擊帶有很強(qiáng)的預(yù)謀性，往往對(duì)系統(tǒng)的正常運(yùn)行造成很大的破壞，或者造成機(jī)密信息的外泄。216。 恐怖分子/計(jì)算機(jī)恐怖分子：使用暴力或威脅使用暴力以迫使政府或社會(huì)同意其條件的恐怖分子或團(tuán)伙，這些組織或團(tuán)體會(huì)采用收買(mǎi)的方式，利用社交工程侵入蕪湖社保局信息網(wǎng)絡(luò)，造成涉密信息外泄。216。 國(guó)際媒體：向紙業(yè)和娛樂(lè)業(yè)的媒體收集并散發(fā)——有時(shí)是非授權(quán)的——新聞的組織。包括收集任何時(shí)間關(guān)于任何一個(gè)人的任意一件新聞，特別是針對(duì)政府涉密類(lèi)信息，有著狂熱的執(zhí)著。216。 有怨言的員工：懷有危害局域網(wǎng)絡(luò)或系統(tǒng)想法的氣憤、不滿的員工，或者是一些技術(shù)愛(ài)好者，希望嘗試一些技術(shù)，這些員工由于掌握了蕪湖社保局信息網(wǎng)絡(luò)的一些訪問(wèn)資源（比如訪問(wèn)帳號(hào)，訪問(wèn)某些業(yè)務(wù)系統(tǒng)的權(quán)限，IP地址等信息），所以攻擊成功的可能性很高，并且對(duì)系統(tǒng)的破壞也很可觀。 非人為的安全威脅非人為的安全威脅主要分為兩類(lèi)：一類(lèi)是自然災(zāi)難，另一類(lèi)為技術(shù)局限性。典型的自然災(zāi)難包括：地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等。自然災(zāi)難可以對(duì)網(wǎng)絡(luò)系統(tǒng)造成毀滅性的破壞，其特點(diǎn)是：發(fā)生概率小，但后果嚴(yán)重。技術(shù)局限性體現(xiàn)在網(wǎng)絡(luò)技術(shù)本身的局限性、漏洞和缺陷，典型的漏洞包括：鏈路老化、電磁輻射、設(shè)備以外鼓掌、自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備自然老化等。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，技術(shù)局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設(shè)計(jì)上可能存在存在，實(shí)現(xiàn)上存在不足，配置上沒(méi)有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運(yùn)行的強(qiáng)壯性、可靠性和安全性。信息系統(tǒng)的高度復(fù)雜性以及信息技術(shù)的高速發(fā)展和變化，使得信息系統(tǒng)的技術(shù)局限性成為嚴(yán)重威脅信息系統(tǒng)安全的重大隱患。 人為的安全威脅主要指對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過(guò)過(guò)尋找系統(tǒng)的弱點(diǎn)，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。一般來(lái)講，這種人為的安全威脅主要包括被動(dòng)攻擊、主動(dòng)攻擊、鄰近攻擊、分發(fā)攻擊和內(nèi)部威脅。被動(dòng)攻擊被動(dòng)攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動(dòng)攻擊可能造成在沒(méi)有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，被動(dòng)攻擊的行為可能有以下幾種形式：216。 監(jiān)聽(tīng)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包；216。 對(duì)明文傳遞的數(shù)據(jù)、報(bào)文進(jìn)行截取或篡改；216。 對(duì)加密不善的帳號(hào)和口令進(jìn)行截取，從而在網(wǎng)絡(luò)內(nèi)獲得更大的訪問(wèn)權(quán)限；216。 對(duì)網(wǎng)絡(luò)中存在漏洞的操作系統(tǒng)進(jìn)行探測(cè)；216。 對(duì)信息進(jìn)行未授權(quán)的訪問(wèn)；主動(dòng)攻擊主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，主動(dòng)攻擊的行為可能有以下幾種形式：216。 假冒：某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體，以便使一線的防衛(wèi)者相信它是一個(gè)合法的實(shí)體，取得合法用戶的權(quán)利和特權(quán)，這是侵入安全防線最為常用的方法；216。 截?。浩髨D截取并修改在蕪湖社保局信息網(wǎng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)；216。 欺騙：進(jìn)行IP地址欺騙，在設(shè)備之間發(fā)布假路由，虛假ARP數(shù)據(jù)包，比如一個(gè)互聯(lián)網(wǎng)上的攻擊者將數(shù)據(jù)包的源地址更改為內(nèi)網(wǎng)地址，就有可能越過(guò)外網(wǎng)邊界部署的問(wèn)控制設(shè)備；216。 重放：攻擊者對(duì)截獲的某次合法數(shù)據(jù)進(jìn)行拷貝，以后出于非法目的而重新發(fā)送。216。 篡改：通信數(shù)據(jù)在傳輸過(guò)程中被改變、刪除或替代。216。 業(yè)務(wù)拒絕：對(duì)通信設(shè)備的使用和管理被無(wú)條件地拒絕。絕對(duì)防止主動(dòng)攻擊是十分困難的，因?yàn)樾枰S時(shí)隨地對(duì)通信設(shè)備和通信線路進(jìn)行物理保護(hù)，因此抗擊主動(dòng)攻擊的主要途徑是檢測(cè)，以及對(duì)此攻擊造成的破壞進(jìn)行恢復(fù)。物理臨近攻擊是指一未被授權(quán)的個(gè)人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對(duì)信息的訪問(wèn)。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，物理臨近攻擊的行為可能有以下幾種形式：216。 對(duì)骨干交換設(shè)備的毀壞、偷竊；216。 對(duì)配置數(shù)據(jù)的收集、修改；216。 對(duì)通信線路物理破壞或數(shù)據(jù)阻塞，影響網(wǎng)絡(luò)的可用性；216。 利用電磁干擾，破壞線路的傳輸。分發(fā)攻擊指在工廠生產(chǎn)或分銷(xiāo)過(guò)程中對(duì)硬件和軟件進(jìn)行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門(mén)。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，物理臨近攻擊的行為可能有以下幾種形式：216。 利用制造商在設(shè)備上進(jìn)行軟硬件配置修改；216。 在設(shè)備分發(fā)、安裝時(shí)修改軟、硬件配置。內(nèi)部人員攻擊內(nèi)部人員攻擊可以分為惡意或無(wú)惡意攻擊。前者指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用，或使他人的訪問(wèn)遭到拒絕；后者指由于粗心、無(wú)知以及其它非惡意的原因而造成的破壞。對(duì)于蕪湖社保局信息網(wǎng)絡(luò)來(lái)講，內(nèi)部人員攻擊的行為可能有以下幾種形式：216。 惡意修改設(shè)備的配置參數(shù)，比如修改網(wǎng)絡(luò)中部署的防火墻訪問(wèn)控制策略，擴(kuò)大自己的訪問(wèn)權(quán)限；216。 惡意進(jìn)行設(shè)備、傳輸線路的物理?yè)p壞和破壞；216。 出于粗心、好奇或技術(shù)嘗試進(jìn)行無(wú)意的配置，這種行為往往對(duì)組織造成嚴(yán)重的后果，而且防范難度比較高。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析根據(jù)業(yè)界的標(biāo)準(zhǔn)，我們知道，信息安全的三個(gè)特征是：216。 保密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；216。 完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；216。 可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問(wèn)信息和相關(guān)的資產(chǎn)。那么，信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。在考慮蕪湖社保局所面臨的信息安全風(fēng)險(xiǎn)時(shí)，我們主要考慮那些對(duì)組織有負(fù)面影響的事件，安全風(fēng)險(xiǎn)的存在來(lái)源于兩個(gè)方面，一是信息資產(chǎn)的價(jià)值，所謂信息資產(chǎn)的價(jià)值就是指因信息的泄露、系統(tǒng)的停滯或網(wǎng)絡(luò)的破壞，對(duì)組織正常運(yùn)作所帶來(lái)的損失，信息資產(chǎn)價(jià)值越高，那么安全風(fēng)險(xiǎn)也必然越高；二是威脅的來(lái)源和威脅轉(zhuǎn)換為攻擊的可能，綜合上述的弱點(diǎn)分析，威脅分析，我們意識(shí)到，蕪湖社保局信息網(wǎng)絡(luò)存在以下的安全風(fēng)險(xiǎn)。 物理安全風(fēng)險(xiǎn)216。 地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；216。 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；216。 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；216。 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；216。 不嚴(yán)格的機(jī)房管理制度使系統(tǒng)遭受物理臨近攻擊； 終端安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)還體現(xiàn)在對(duì)網(wǎng)絡(luò)內(nèi)一些突發(fā)事件很難進(jìn)行范圍的控制，比如對(duì)于蕪湖社保局的某臺(tái)機(jī)器，如果遭受蠕蟲(chóng)病毒的感染后（可能在下載文件或者拷貝文件的過(guò)程中感染），由于大多數(shù)機(jī)器處于一個(gè)大的網(wǎng)絡(luò)，因此導(dǎo)致蠕蟲(chóng)病毒在網(wǎng)絡(luò)中很容易大面積傳播；終端的自身安全性，是決定了蕪湖社保局信息網(wǎng)絡(luò)是否能夠持續(xù)、穩(wěn)定支撐上層業(yè)務(wù)應(yīng)用的關(guān)鍵，而我們看到，蕪湖社保局內(nèi)終端的數(shù)量眾多，管理起來(lái)難度很大，很容易造成安全管理的盲區(qū)，而一旦形成安全管理的盲區(qū)后，對(duì)整個(gè)系統(tǒng)都會(huì)造成不良的后果。（比如被檔案館信息網(wǎng)絡(luò)外部的訪問(wèn)者利用，形成進(jìn)一步攻擊檔案館信息網(wǎng)絡(luò)的跳板）終端訪問(wèn)行為的安全性，也是蕪湖社保局信息網(wǎng)絡(luò)整體安全性確保的關(guān)鍵因素，特別是終端在訪問(wèn)互聯(lián)網(wǎng)時(shí)，是否訪問(wèn)了不安全的網(wǎng)站，造成惡意腳本的傳播，或者終端使用者由于好奇心的驅(qū)使，在信息網(wǎng)絡(luò)內(nèi)嘗試一些攻擊工具，從而造成大面積的網(wǎng)絡(luò)癱瘓或服務(wù)停滯等后果。終端行為的安全性，還體現(xiàn)在對(duì)外存設(shè)備的使用方面，即終端使用者是否利用外存，拷貝了一些敏感信息，造成信息外泄；是否安裝了一些非法的軟件，進(jìn)入系統(tǒng)；終端自身的強(qiáng)壯性：終端是否有足夠的抗攻擊能力，是否能夠檢測(cè)出針對(duì)終端攻擊行為，并能夠保護(hù)終端設(shè)備的可用性。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)216。 非授權(quán)的訪問(wèn)和攻擊行為，或者假冒身份、偽裝類(lèi)攻擊行為，對(duì)蕪湖社保局信息網(wǎng)絡(luò)形成滲透，獲取關(guān)鍵信息；216。 DOS/DDOS攻擊、DNS欺騙攻擊，會(huì)造成服務(wù)器服務(wù)的中斷，影響業(yè)務(wù)的正常運(yùn)行；216。 內(nèi)部用戶通過(guò)Sniffer等嗅探程序在網(wǎng)絡(luò)內(nèi)部抓包，獲得系統(tǒng)用戶名和口令等關(guān)鍵信息或其他機(jī)密數(shù)據(jù)，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息；216。 內(nèi)部用戶通過(guò)掃描軟件或取其他用戶系統(tǒng)或服務(wù)器的各種信息，并利用這些信息對(duì)整個(gè)網(wǎng)絡(luò)或其他系統(tǒng)進(jìn)行破壞。216。 病毒，尤其是蠕蟲(chóng)病毒爆發(fā)，將使整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)；216。 目前，垃圾郵件已經(jīng)成為網(wǎng)絡(luò)安全的又一種重大威脅，垃圾郵件或郵件炸彈的爆發(fā)將使網(wǎng)絡(luò)帶寬大量被消耗，郵件服務(wù)器系統(tǒng)資源消耗殆盡，不能夠進(jìn)行正常的郵件轉(zhuǎn)發(fā)服務(wù)。 系統(tǒng)安全風(fēng)險(xiǎn)目前蕪湖社保局信息網(wǎng)絡(luò)中所使用的操作系統(tǒng)主要是WINDOWS系統(tǒng)，我們知道，WINDOWS系統(tǒng)中存在眾多的安全隱患，這些安全隱患很容易被攻擊者利用，對(duì)蕪湖社保局信息網(wǎng)絡(luò)造成很大的破壞，嚴(yán)重地將導(dǎo)致系統(tǒng)的崩潰和癱瘓。系統(tǒng)自身存在的安全漏洞，還將導(dǎo)致系統(tǒng)被非法接管，將導(dǎo)致蕪湖社保局大量的信息被非法獲得，從而導(dǎo)致無(wú)法估量的損失。 管理安全風(fēng)險(xiǎn)對(duì)于管理風(fēng)險(xiǎn)包括：216。 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。216。 機(jī)房重地卻被任何人都可以進(jìn)進(jìn)出出，來(lái)去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。216。 內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞，如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。216。 非法人員進(jìn)入重要部門(mén)或機(jī)房，非法獲得