【導(dǎo)讀】鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)。西安鼎藍(lán)通訊技術(shù)有限公司。鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案

　　

【正文】 體的侵害程度，確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。 （一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定 業(yè)務(wù)信息描述 該系統(tǒng)的主要業(yè)務(wù)信息包括 XXX 繼續(xù)教育及培訓(xùn)項(xiàng)目申報(bào)、審核和備案信息，以及學(xué)分、證書信息數(shù)據(jù)。 業(yè)務(wù)信息受到 破壞時(shí)所侵害客體的確定 該系統(tǒng)為 XXX 繼續(xù)教育相關(guān)機(jī)構(gòu)及社會(huì)公眾提供服務(wù)，主要承擔(dān)著全國(guó) XXX行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書查詢服務(wù)。當(dāng)信息系統(tǒng)受到破壞時(shí)，將主要影響申報(bào)和查詢工作，因此，所侵害的客體為社會(huì)秩序和公共利益類。 業(yè)務(wù)信息受到破壞后對(duì)侵害客體侵害程度的確定 該信息系統(tǒng)受到破壞時(shí)，可能會(huì)導(dǎo)致國(guó)家 XXX 行業(yè)繼續(xù)教育及培訓(xùn)申報(bào)數(shù)據(jù)及學(xué)分、證書信息的泄漏和篡改，影響國(guó)家 XXX 行業(yè)繼續(xù)教育管理工作的有序開(kāi)展。根據(jù)系統(tǒng)的重要性，確定其侵害程度為一般損害。 業(yè)務(wù)信息安全 等級(jí)的確定 業(yè)務(wù)信息安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類。侵害程度為一般損害，根據(jù)表 1，確定該系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)。 業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合 第一級(jí) 第二級(jí) 第二級(jí) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 24 頁(yè) 共 130 頁(yè) 法權(quán)益 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 表 1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表 （二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定 系統(tǒng)服務(wù)描述 該系統(tǒng)主要服務(wù)于全國(guó) XXX 行業(yè)繼續(xù)教育及培 訓(xùn)項(xiàng)目的申報(bào)、審核和備案工作，同時(shí)提供學(xué)分證書查詢服務(wù)。 系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定 該系統(tǒng)為國(guó)家 XXX 行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，受到破壞時(shí)將影響國(guó)家XXX 行業(yè)繼續(xù)教育和培訓(xùn)工作的開(kāi)展，因此，所侵害的客體為社會(huì)秩序和公共利益類。 系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體侵害程度的確定 該系統(tǒng)為國(guó)家 XXX 行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，當(dāng)遭到破壞時(shí)將對(duì)國(guó)家XXX 行業(yè)繼續(xù)教育管理工作的順利進(jìn)行造成一定的損害。根據(jù)系統(tǒng)的重要性，確定其侵害程度為一般損害。 系統(tǒng)服務(wù)安全等級(jí)的確定 信息系統(tǒng)服務(wù)安全受到破壞時(shí)， 受到影響的客體是社會(huì)秩序、公共利益類。侵害程度為一般損害，根據(jù)表 2，確定該系統(tǒng)的信息系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)。 系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 表 2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表 （三）安全保護(hù)等級(jí)的確定 信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。根據(jù)表 3，最終確定該系統(tǒng)的安全 保護(hù)等級(jí)為第二級(jí)。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 25 頁(yè) 共 130 頁(yè) 表 3 系統(tǒng)安全保護(hù)等級(jí)矩陣表 通過(guò)上述的分析過(guò)程，最終確定 繼續(xù)教育管理系統(tǒng) 的定級(jí)為 2 級(jí)， 且對(duì)應(yīng) 等級(jí)保護(hù)要求選擇措施 為： S2A2G2 外網(wǎng) 安全風(fēng)險(xiǎn) 分析 信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的 安全屬性（ 保密性、完整性和可用性 等） 遭到破壞的可能性。在 分析 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 網(wǎng)絡(luò)所面臨的信息安全風(fēng)險(xiǎn)時(shí)，主要 考慮那些對(duì) 國(guó)家 XX 局 有負(fù)面影響的事件，安全風(fēng)險(xiǎn)的存在來(lái)源于兩個(gè)方面，一是 信息資產(chǎn)的價(jià)值，所謂信息資產(chǎn)的價(jià)值就是指因信息的泄露、系統(tǒng)的停滯或網(wǎng)絡(luò)的破壞，對(duì) 國(guó)家 XX 局 正常運(yùn)作所帶來(lái)的損失，信息資產(chǎn)價(jià)值越高，那么安全風(fēng)險(xiǎn)也必然越高；二是威脅的來(lái)源和威脅轉(zhuǎn)換為攻擊的可能，綜合上述的 資產(chǎn)分析， 弱點(diǎn)分析，威脅分析。 為了全面地對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析和歸類，參考信息資產(chǎn)的分類，對(duì)安全風(fēng)險(xiǎn)將從物理（主要指設(shè)備運(yùn)行故障帶來(lái)的安全風(fēng)險(xiǎn)）、網(wǎng)絡(luò)（主要指?jìng)鬏斁€路、網(wǎng)絡(luò)設(shè)備方面存在的安全風(fēng)險(xiǎn)）、 系統(tǒng)（主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng) 、通用應(yīng)用平臺(tái)系統(tǒng) 方面存在的安全風(fēng)險(xiǎn)）、應(yīng)用（主要指 實(shí)現(xiàn)業(yè)務(wù)的專有 應(yīng)用系統(tǒng)自身及應(yīng) 用交互過(guò)程 中 的安全風(fēng)險(xiǎn)） 、數(shù)據(jù)（主要指威脅到信息數(shù)據(jù)的安全風(fēng)險(xiǎn)）、管理（主要指網(wǎng)絡(luò)和系統(tǒng)管理不善帶來(lái)的安全風(fēng)險(xiǎn)）六個(gè)層面進(jìn)行。 物理安全風(fēng)險(xiǎn) 這里所說(shuō)的物理層指的是整個(gè)網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、硬件設(shè)備等， 保證計(jì)算機(jī)信息系統(tǒng) 基礎(chǔ)設(shè)施 的物理安全是保障整個(gè) 鳳翔縣社會(huì)管理信息系統(tǒng)名稱 安全保護(hù)等級(jí) 業(yè)務(wù)信息安全等級(jí) 系統(tǒng)服務(wù)安全等級(jí) 國(guó)家 XX局 繼續(xù)教育管理系統(tǒng) 第二級(jí) 第二級(jí) 第二級(jí) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 26 頁(yè) 共 130 頁(yè) 服務(wù)信息平臺(tái)項(xiàng)目 網(wǎng)絡(luò)系統(tǒng)安全的前提 。 物理層面存在的安全風(fēng)險(xiǎn) 具體如下 ： ? 機(jī)房為新建，尚未建立起機(jī)房安全管理制度； ? 尚未指定專職的機(jī)房管理員和機(jī)房職守人員； ? 尚未建立來(lái)訪人員的批準(zhǔn)、限制和監(jiān)控程序以及監(jiān)控人員； ? 尚未建立介質(zhì)管理制度； ? 尚 未建立機(jī)房基礎(chǔ)實(shí)施的運(yùn)行維護(hù)管理制度和流程，未明確相關(guān)工作責(zé)任人； ? 此外，政府網(wǎng)站系統(tǒng)采用了托管方式，基礎(chǔ)實(shí)施安全取決于托管機(jī)房的安全防護(hù)水平和管理水平。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)的渠道和通路，許多安全問(wèn)題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。下面分別對(duì) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的主干通訊網(wǎng)絡(luò)、不同的網(wǎng)絡(luò)區(qū)域以及區(qū)域邊界分別進(jìn)行網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)分析。 網(wǎng)絡(luò)通信鏈路的安全風(fēng)險(xiǎn) 網(wǎng)絡(luò)的主要功能就是用來(lái)傳輸數(shù)據(jù)，因此網(wǎng)絡(luò)通信鏈路中存在的安全風(fēng)險(xiǎn)將直接給信息數(shù)據(jù)的安全性 帶來(lái)極大的挑戰(zhàn)。 在 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間、 不同網(wǎng)絡(luò)區(qū)域之間、不同部門網(wǎng)絡(luò)之間的數(shù)據(jù)交互的活動(dòng)中，對(duì) TCP/IP 網(wǎng)絡(luò) 通訊過(guò)程 的任一環(huán)節(jié)的攻擊，都有可能威脅到 重要信息數(shù)據(jù)的安全，存在一定的安全風(fēng)險(xiǎn)，主要包括： ? 攻擊 者可能在傳輸線路上安裝竊聽(tīng)裝置，竊取網(wǎng)上傳輸?shù)?業(yè)務(wù) 數(shù)據(jù) 或賬戶信息 ， 或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性 ， 任何一個(gè) 具有網(wǎng)絡(luò)偵聽(tīng)工具的人 都可以對(duì)通信進(jìn)行監(jiān)測(cè) ； ? 通信鏈路上的中間人攻擊，將導(dǎo)致兩個(gè)節(jié)點(diǎn)之間的所有通信內(nèi)容被非法的第三方截獲和篡改； ? 局域網(wǎng)用戶隨意更改物理地址或盜用他人 的 物理地址 來(lái)進(jìn)行網(wǎng)絡(luò)活動(dòng)，鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 27 頁(yè) 共 130 頁(yè) 將會(huì)給訪問(wèn)控制、 網(wǎng)絡(luò)審計(jì) 等帶來(lái) 麻煩 ； 這些都將對(duì) 信息數(shù)據(jù) 構(gòu)成嚴(yán)重安全威脅。 網(wǎng)絡(luò)邊界 的安全 風(fēng)險(xiǎn) 對(duì)于 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 而言 ， 主要的網(wǎng)絡(luò)邊界就是 政府網(wǎng)站互聯(lián)網(wǎng)邊界 ， 外網(wǎng)互聯(lián)網(wǎng)邊界 以及 內(nèi) 部不同 區(qū)域 之間的邊界，都存在一定的安全風(fēng)險(xiǎn)。 政府網(wǎng)站系統(tǒng) 互聯(lián) 網(wǎng) 邊界的安全風(fēng)險(xiǎn) 對(duì)于 國(guó)家 XX 局 托管的政府網(wǎng)站 的互聯(lián)網(wǎng)邊界，可能存在的安全風(fēng)險(xiǎn)包括： ? 非法訪問(wèn)： 外部 用戶 或托管機(jī)房?jī)?nèi)其他網(wǎng)絡(luò)區(qū)域的用戶 試圖訪問(wèn) 國(guó)家 XX局 政府網(wǎng)站系統(tǒng) 所開(kāi)放 服務(wù) 之外的信息和服務(wù)； ? 非法入侵：黑客通過(guò)身份假冒、應(yīng)用層攻 擊等方式，穿透訪問(wèn)控制機(jī)制，進(jìn)入 國(guó)家 XX 局 政府網(wǎng)站系統(tǒng) 內(nèi)部 進(jìn)行非法操作； ? 惡意攻擊： 包括各種常規(guī)攻擊和 DoS/DDoS 攻擊 ； ? 病毒 和 蠕蟲(chóng) ：計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲(chóng) 的傳播和爆發(fā)，將 可能 使整個(gè) 政府網(wǎng)站系統(tǒng) 處于癱瘓狀態(tài) 。 外網(wǎng)互聯(lián)網(wǎng)邊界的安全風(fēng)險(xiǎn) 對(duì)于 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的互聯(lián)網(wǎng)邊界，可能存在的安全風(fēng)險(xiǎn)和包括： ? 非法訪問(wèn)： 外部 用戶試圖訪問(wèn) 國(guó)家 XX 局 內(nèi)部業(yè)務(wù) 系統(tǒng) 所開(kāi)放 服務(wù) 之外的信息和服務(wù)； ? 非法入侵：黑客通過(guò)身份假冒、應(yīng)用層攻擊等方式，穿透訪問(wèn)控制機(jī)制，進(jìn)入 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 業(yè)務(wù) 系統(tǒng)內(nèi)部 進(jìn)行非 法操作； ? 惡意攻擊： 包括各種常規(guī)攻擊和 DoS/DDoS 攻擊 ； ? 病毒 和 蠕蟲(chóng) ：計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲(chóng) 的傳播和爆發(fā)，將 可能 使整 外網(wǎng)網(wǎng)絡(luò)系統(tǒng) 處于癱瘓狀態(tài) 。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 28 頁(yè) 共 130 頁(yè) 內(nèi)部網(wǎng)絡(luò)不同區(qū)域邊界的安全風(fēng)險(xiǎn) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 劃分成了對(duì)外服務(wù)區(qū)域、安全管理區(qū)域和辦公區(qū)域 ， 主要目的是為了對(duì)安全級(jí)別要求比較高的網(wǎng)絡(luò)系統(tǒng)資源和信息數(shù)據(jù)進(jìn)行保護(hù)，防范來(lái)自低安全級(jí)別區(qū)域的安全威脅，同時(shí)盡可能將安全風(fēng)險(xiǎn)（如黑客攻擊或病毒蠕蟲(chóng)傳播）限制在較小的、不太重要的局部區(qū)域范圍內(nèi)。 但由于 多數(shù)區(qū)域之間 都要通過(guò) 主 干 通信 網(wǎng)絡(luò)互聯(lián)起來(lái)，并實(shí)現(xiàn)一定的信息 共享，如果在各 區(qū)域 邊界 尤其是重要業(yè)務(wù)服務(wù)器區(qū)域的邊界 上沒(méi)有 嚴(yán)格 的控制手段，則 很容易被來(lái)自其他區(qū)域的無(wú)關(guān)用戶 隨意 訪問(wèn)，侵入重要服務(wù)器系統(tǒng)進(jìn)行非法操作，或竊取、篡改關(guān)鍵業(yè)務(wù)數(shù)據(jù)和信息 ， 對(duì)業(yè)務(wù)的可用性和數(shù)據(jù)的完整性、保密性造成極大的威脅 。 網(wǎng)絡(luò)訪問(wèn) 的安全 風(fēng)險(xiǎn) 網(wǎng)絡(luò)訪問(wèn)策略是 否可行 ， 網(wǎng)絡(luò) 訪問(wèn)的 來(lái)源和 目標(biāo)是否受控， 網(wǎng)絡(luò) 訪問(wèn) 行為 是否有記錄 等問(wèn)題，都會(huì)直接影響到 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的穩(wěn)定與安全。如果 沒(méi)有進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)控制、沒(méi)有對(duì)終端接入和網(wǎng)絡(luò)地址的使用進(jìn)行適當(dāng)限制、對(duì) 網(wǎng)絡(luò) 訪問(wèn)行為沒(méi)有監(jiān)管和審計(jì)措施 ， 很容易造 成網(wǎng)絡(luò)資源濫用、信息泄露 ， 輕則降低 網(wǎng)絡(luò)工作效率， 重則導(dǎo)致經(jīng)濟(jì)損失或名譽(yù)損失 。這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的各種訪問(wèn)，乃至網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包進(jìn)行很好的監(jiān)控 。 但由于 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的管理與監(jiān)控機(jī)制尚不完善，無(wú)法對(duì)用戶訪問(wèn)行為的合法性作出正確判斷，缺乏對(duì)所采集的數(shù)據(jù)進(jìn)行深入挖掘、詳細(xì)分析和實(shí)時(shí)預(yù)警等功能，一旦發(fā)生了非法的網(wǎng)絡(luò)訪問(wèn)，也很難及時(shí)發(fā)現(xiàn)和處理。 主機(jī)安全風(fēng)險(xiǎn) 主機(jī)安全通常是指服務(wù)器和客戶機(jī)的操作系統(tǒng)及運(yùn)行在其上的應(yīng)用支撐平臺(tái)系統(tǒng)的安全。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 29 頁(yè) 共 130 頁(yè) 服務(wù)器安全風(fēng)險(xiǎn) 對(duì) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 來(lái)講 ，運(yùn)行在網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)服務(wù)器構(gòu)成了最重要的信息資產(chǎn)之一，特別是 政府網(wǎng)站 服務(wù)器和 電子政務(wù)交換 服務(wù)器，構(gòu)成 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 中最重要的信息資產(chǎn)。如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運(yùn)行，是保證 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 各項(xiàng)業(yè)務(wù)正常開(kāi)展的基礎(chǔ)。一般來(lái)講，網(wǎng)絡(luò)服務(wù)器所面臨的主要安全風(fēng)險(xiǎn)包括： ? 非法訪問(wèn)：非法用戶可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)、暴力破解或社會(huì)工程等手段獲取合法用戶登錄信息從而進(jìn)入系統(tǒng)進(jìn)行有限范圍內(nèi)的數(shù)據(jù)訪問(wèn)操作，或進(jìn)而利用系統(tǒng)漏洞提升自己的訪問(wèn)權(quán)限以達(dá)到完全控制系統(tǒng)的目的，普通合法用 戶也可以利用這種方式實(shí)現(xiàn)越權(quán)訪問(wèn)，這樣所導(dǎo)致的直接后果就是系統(tǒng)文件和機(jī)密信息的泄露和破壞； ? 合法用戶誤用、濫用：無(wú)論是普通用戶還是系統(tǒng)管理員，在正常操作過(guò)程中難免會(huì)發(fā)生誤操作，可能導(dǎo)致系統(tǒng)故障或數(shù)據(jù)丟失；用戶也可能因受利益驅(qū)使或心懷不滿等原因，故意利用職權(quán)進(jìn)行泄密和破壞； ? 拒絕服務(wù)攻擊：在一個(gè)完全互聯(lián)互通的網(wǎng)絡(luò)環(huán)境中，任意用戶只要能接入網(wǎng)絡(luò)就可以嘗試訪問(wèn)服務(wù)器，即使無(wú)法登錄到系統(tǒng)中，也可以通過(guò)一些拒絕服務(wù)攻擊工具，利用網(wǎng)絡(luò)通訊協(xié)議的缺陷和操作系統(tǒng)的開(kāi)放端口，對(duì)服務(wù)器發(fā)動(dòng)拒絕服務(wù)攻擊，造成系統(tǒng)崩潰，無(wú)法提供正 常的業(yè)務(wù)應(yīng)用服務(wù)； ? 計(jì)算機(jī)病毒：計(jì)算機(jī)病毒不僅能侵入 WINDOWS 文件系統(tǒng)，而且也有可能 通過(guò)各種途徑進(jìn)入 Linux/UNIX 文件系統(tǒng)中 ，即使它不會(huì)對(duì)服務(wù)器系統(tǒng)本身造成威脅，但是 一旦服務(wù)器感染了病毒，就會(huì)對(duì)所有的訪問(wèn) 終端構(gòu)成威脅 ； ? 否認(rèn)： 只要在用戶非法操作過(guò)程中或操作完成后沒(méi)有留下任何有效的證據(jù)，用戶完全可以否認(rèn)自己的操作行為，例如 發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息，或者接收者否認(rèn)曾經(jīng)受到過(guò)某條信息； ? 缺乏審計(jì)能力：對(duì)系統(tǒng)的運(yùn)行情況和用戶的操作行為缺乏有效的審計(jì)手段，將造成安全管理人員的“盲區(qū)”，安全管理人員無(wú) 法了解到系統(tǒng)的安鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 30 頁(yè) 共 130 頁(yè) 全狀況和系統(tǒng)的訪問(wèn)態(tài)勢(shì)，無(wú)法及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，更談不上采取安全措施了。 客戶終端安全風(fēng)險(xiǎn) 計(jì)算機(jī)終端涉及到每個(gè)使用電腦的人員，由于其分散性、不被重視、安全手段缺乏的特點(diǎn)，已經(jīng)成為信息安全體系的薄弱環(huán)節(jié)，除了本身易遭攻擊破壞 、病毒感染 外，還容易通過(guò)它迅速傳播網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。 此外，計(jì)算機(jī)操作人員自身的安全意識(shí)和自覺(jué)性也是影響終端安全的關(guān)鍵因素。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 中，客戶終端的安全風(fēng)險(xiǎn)主要存在于辦公網(wǎng)絡(luò)的大量采用 Windows 桌面操作系統(tǒng)的辦公終端中，來(lái)自客戶終端的安全問(wèn)題 包括： ? 終端設(shè)備自身操作系統(tǒng)的弱點(diǎn)，會(huì)造成整體網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)； ? 用戶利用終端設(shè)備進(jìn)行的誤操作、違規(guī)操作和故意破壞，對(duì) 鳳翔縣社