【正文】 置。系統(tǒng)管理員通過終端登錄到服務器主機的時候，或使用 Ftp, rLogin, SSH, X Window, Su 登錄系統(tǒng)時，登錄代理軟件將認證請求轉發(fā)至統(tǒng)一認證系統(tǒng)，在統(tǒng)一認證系統(tǒng)對用戶的身份進行有效核實后，將認證的結果轉發(fā)給服務器主機，允許或拒絕用戶進入，同時在系統(tǒng)日志中記錄認證的全部過程。通過動態(tài)口令認證的方式，確保能夠限制未經授權的用戶無法登錄到服務器主機上。Unix 系統(tǒng)的身份認證結構圖 遠程接入或 VPN 接入用戶的認證及授權自治區(qū)煙草公司網絡系統(tǒng)存在一些遠程接入人員，一些是內部的移動辦公人員，還有一些是代維的第三方人員，他們都需要通過外網接入自治區(qū)煙草公司網絡，進行遠程訪問。對于這些人員有的是通過 VPN 接入，有些是通過撥號路由器撥號接入。VPN 系統(tǒng)提供自治區(qū)煙草公司網絡的安全通道，使得從外網訪問用戶訪問內部網絡上的應用服務更加簡單，數(shù)據(jù)傳輸更加安全。但同時帶來的安全隱患也是不容忽視的。一旦非法用戶通過某種手段得到合法用戶的密碼，他們就可 自治區(qū)煙草安全規(guī)劃方案建議書 28以通過 VPN 自由出入企業(yè)的內部網絡，利用黑客工具，收集企業(yè)機密信息，攻擊應用服務器，有可能造成非常嚴重的后果（例如：破壞關鍵服務器，盜取重要數(shù)據(jù)等等） 。我們建議使用統(tǒng)一認證系統(tǒng)的動態(tài)口令來解決 VPN 系統(tǒng)的撥號系統(tǒng)存在的嚴重安全缺陷。在 VPN 網關上或是撥號路由器上配置使用 RADIUS 驗證，將 RADIUS 服務器指向統(tǒng)一認證系統(tǒng)內置的 RADIUS Server，不用對現(xiàn)有網絡結構進行任何調整，就可將 VPN 用戶與統(tǒng)一認證系統(tǒng)相結合，對使用 VPN 接入的用戶實現(xiàn)了高強度的安全身份認證。對于 VPN 產品同統(tǒng)一認證系統(tǒng)的集成，我們已經有很多的案例。無論是IPsec VPN， PPTP，還是 SSL VPN，都能很好的同統(tǒng)一認證系統(tǒng)結合。 圖：遠程接入認證系統(tǒng)結構圖 數(shù)據(jù)庫管理的身份認證及授權數(shù)據(jù)庫是業(yè)務運營的重中之重，而數(shù)據(jù)庫的管理也存在著身份認證的要求。傳統(tǒng)的靜態(tài)口令認證方式迫使數(shù)據(jù)庫管理員記憶大量的復雜密碼，要不就是所有管理用戶都使用同一個密碼，顯然這增加了管理人員的工作強度或者降低了系統(tǒng)安全性，二者不能兼顧。由于工作的需要，數(shù)據(jù)庫管理人員經常需要通過 自治區(qū)煙草安全規(guī)劃方案建議書 29遠程控制臺等方式連接到數(shù)據(jù)庫進行操作，對于非加密的遠程連接，輸入的靜態(tài)密碼在網絡中是明文傳播的，很有可能被竊聽并非法利用，形成安全隱患。在需要保護的數(shù)據(jù)庫中配置使用 RADIUS 驗證，將 RADIUS 服務器指向到統(tǒng)一認證系統(tǒng)內置的 RADIUS Server，從而為數(shù)據(jù)庫的訪問提供身份驗證。為數(shù)據(jù)庫管理員配置硬件令牌卡。管理員可以利用令牌卡進行本地或遠程登錄，即使密碼在遠程傳輸過程中被竊聽，由于動態(tài)密碼是一次作廢，非法用戶竊聽到的口令已經失效，徹底避免了盜用口令的隱患。數(shù)據(jù)庫管理用戶身份認證結構圖 基于 Web 的運營系統(tǒng)的身份認證及授權對于自治區(qū)煙草公司網絡系統(tǒng)上基于 Web 的運營系統(tǒng)，可以采用統(tǒng)一認證系統(tǒng)的 Web 登錄代理將統(tǒng)一認證系統(tǒng)和運營系統(tǒng)相集成。Web 登錄代理是安裝在 Web Server 前端提供反向代理功能的軟件。它和后端的 Web Server 在對 Web 請求的處理上面是分離的，首先由 Web 登錄代理截獲 Web 用戶的訪問請求，將用戶的信息送到統(tǒng)一認證系統(tǒng)，如果經過判斷這個用戶為合法用戶，那么統(tǒng)一認證系統(tǒng)將用戶對 Web 頁面訪問權限和相關信息傳遞給 Web 登錄代理 ，Web 登錄代理對用戶 Web 請求進行判斷，然后將允許的 Web 請求傳遞到 Web Server 上，Web Server 對用戶的請求做出相關的回應，從而實現(xiàn)對 Web 訪問用戶的身份認證和訪問控制。 自治區(qū)煙草安全規(guī)劃方案建議書 30在不影響任何業(yè)務應用的前提下，將 Web 登錄代理安裝在 Web 服務器前端，同時，我們建議在客戶端：? 為內部人員分配硬件令牌卡，提供安全保障并便于攜帶使用。? 為代理商分發(fā)硬件令牌，該令牌帶有鑰匙扣，攜帶方便，同時可以用硬 Pin碼保護，能夠支持同步口令和異步挑戰(zhàn)－應答口令，在保證安全需求前提下，方便使用分發(fā)。? 在 Web 登錄代理系統(tǒng)中為基于 URL 的訪問制訂靈活、縝密的訪問策略，為業(yè)務應用提供針對 Web 的訪問授權。 圖 5　Web 系統(tǒng)的身份認證結構 基于 C/S 結構的業(yè)務系統(tǒng)的身份認證在自治區(qū)煙草公司網絡中同時也存在大量的基于 C/S 結構的業(yè)務系統(tǒng)，業(yè)務操作員通過 Client 端和 Server 端建立連接，進行相應業(yè)務方面的處理。目前的業(yè)務系統(tǒng)操作人員還是使用固定密碼訪問系統(tǒng)，一旦密碼泄漏，對業(yè)務系統(tǒng)的安全運行以及內部數(shù)據(jù)的保密將構成嚴重威脅。鑒于業(yè)務系統(tǒng)在網絡系統(tǒng)中所處的重要位置，我們建議對這些業(yè)務系統(tǒng)也實施統(tǒng)一身份認證。對于 C/S 結構的應用，需開發(fā)一個適用于不同業(yè)務系統(tǒng)的代理 Agent，此代理的作用是截獲用戶的訪問請求，并轉發(fā)給統(tǒng)一認證服務器， 自治區(qū)煙草安全規(guī)劃方案建議書 31使其對動態(tài)口令進行驗證。使用統(tǒng)一認證系統(tǒng)提供的 SDK，可以非常容易的實現(xiàn)業(yè)務系統(tǒng)和統(tǒng)一認證系統(tǒng)的無縫結合。SDK 包含源代碼、文檔、所有可使用的計算機操作系統(tǒng)平臺清單，包括 MS WINDOWS 和大部分 UNIX 平臺，源代碼的版本可根據(jù)需要而升級。在業(yè)務系統(tǒng)服務器上安裝好 Agent 后，當操作員連接到業(yè)務系統(tǒng)時，服務器獲取操作員的用戶戶名和密碼，并且通過加密方式將其傳送到統(tǒng)一認證服務器，由統(tǒng)一認證服務器比較服務器送來的用戶名和動態(tài)密碼是否和統(tǒng)一認證服務器中的用戶名及生成的動態(tài)密碼相一致，從而確認用戶的身份是否正確，并將認證結果（是或否）返回給業(yè)務系統(tǒng)服務器，同時將認證過程記錄于統(tǒng)一認證系統(tǒng)日志中，業(yè)務系統(tǒng)服務器收到認證服務器返回的認證結果，根據(jù)其認證成功與否決定是否允許用戶調用應用系統(tǒng)中的應用程序。 通過實施基于動態(tài)口令的身份認證，加強了業(yè)務系統(tǒng)的整體安全性，為業(yè)務系統(tǒng)的安全運行提供了強有力的保證。圖：C/S 結構業(yè)務系統(tǒng)認證結構圖 自治區(qū)煙草公司網絡安全評估 風險評估簡介風險評估是風險管理的重要組成部分，要想更好地理解風險評估，首先要了解風險管理。風險管理以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)的安 自治區(qū)煙草安全規(guī)劃方案建議書 32全風險的過程。是一個識別、控制、降低或消除安全風險的活動，通過風險評估來識別風險大小，通過制定信息安全方針，采取適當?shù)目刂颇繕伺c控制方式對風險進行控制，使風險被避免、轉移或降至一個可被接受的水平。風險管理過程如圖所示。風 險 管 理風 險 控 制風 險 評 估 降 低 風 險圖：風險管理過程風險評估是對組織存在的威脅進行評估、對安全措施有效性進行評估、以及對系統(tǒng)弱點被利用的可能性進行評估后的綜合結果，是風險管理的重要組成部分，是信息安全工作中的重要一環(huán)。我們所理解的風險關系如圖所示，其意義為：1) 資產具有價值，并會受到威脅的潛在影響；2) 薄弱點將資產暴露給威脅，威脅利用薄弱點對資產造成影響；3) 威脅與薄弱點的增加導致安全風險的增加；4) 安全風險的存在對組織的信息安全提出要求；5) 安全控制應滿足安全要求；6) 組織通過實施安全控制防范威脅，以降低安全風險。 自治區(qū)煙草安全規(guī)劃方案建議書 33風險關系圖在上述關系圖中：資產指組織要保護的資產，是構成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務或任務的重要性，這種重要性進而轉化為資產應具有的保護價值。它包括計算機硬件、通信設備、物理線路、數(shù)據(jù)、軟件、服務能力、人員及知識等等。弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產造成危害，但弱點可能被環(huán)境中的威脅所利用從而危害資產的安全。弱點也稱為“脆弱性”或“漏洞”。威脅是引起不期望事件從而對資產造成損害的潛在可能性。威脅可能源于對組織信息直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用組織網絡中的系統(tǒng)、應用或服務的弱點才可能成功地對資產造成傷害。從宏觀上講，威脅按照產生的來源可以分為非授權蓄意行為、不可抗力、人為錯誤、以及設施/設備錯誤等。安全風險是環(huán)境中的威脅利用弱點造成資產毀壞或損失的潛在可能性。風 自治區(qū)煙草安全規(guī)劃方案建議書 34險的大小主要表現(xiàn)在兩個方面：事故發(fā)生的可能性及事故造成影響的大小。資產、威脅、弱點及保護的任何變化都可能帶來較大的風險，因此，為了降低安全風險，應對環(huán)境或系統(tǒng)的變化進行檢測以便及時采取有效措施加以控制或防范。安防措施是阻止威脅、降低風險、控制事故影響、檢測事故及實施恢復的一系列實踐、程序或機制。安全措施主要體現(xiàn)在檢測、阻止、防護、限制、修正、恢復和監(jiān)視等多方面。完整的安全保護體系應協(xié)調建立于物理環(huán)境、技術環(huán)境、人員和管理等四個領域。通常安防措施只是降低了安全風險而并未完全杜絕風險，而且風險降低得越多，所需的成本就越高。因此，在系統(tǒng)中就總是有殘余風險（RR）的存在，這樣，系統(tǒng)安全需求的確定實際上也是對余留風險及其接受程度的確定。 評估目的進行風險評估的目的通常包括以下幾個方面：? 了解組織的管理、網絡和系統(tǒng)安全現(xiàn)狀；? 確定可能對資產造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖分子和自然災害；? 通過對歷史資料和專家的經驗確定威脅實施的可能性；? 對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；? 對最重要的、最敏感的資產，確定一旦威脅發(fā)生其潛在的損失或破壞；? 明晰組織的安全需求，指導組織建立安全管理框架，提出安全建議，合理規(guī)劃未來的安全建設和投入。評估內容包括如下方面：? 通過網絡弱點檢測，識別信息系統(tǒng)在技術層面存在的安全弱點。? 通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網絡設備、各種安全 自治區(qū)煙草安全規(guī)劃方案建議書 35管理、安全控制、人員、安全策略、應用系統(tǒng)、業(yè)務系統(tǒng)等方面的信息，并進行相應的分析。? 通過對組織的人員、制度等相關安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況。? 通過對以上各種安全風險的分析和匯總，形成組織安全風險評估報告。? 根據(jù)組織安全風險評估報告和安全現(xiàn)狀，提出相應的安全建議，指導下一步的信息安全建設。 時機在信息系統(tǒng)的生存周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術環(huán)境、物理環(huán)境進行風險評估：? 在設計規(guī)劃或升級至新的信息系統(tǒng)時；? 給目前的信息系統(tǒng)增加新應用時；? 在與其它組織（部門）進行網絡互聯(lián)時；? 在技術平臺進行大規(guī)模更新（例如，從 Linux 系統(tǒng)移植到 Solaris 系統(tǒng)）時；? 在發(fā)生計算機安全事件之后，或懷疑可能會發(fā)生安全事件時；? 關心組織現(xiàn)有的信息安全措施是否充分或是否具有相應的安全效力時；? 在組織具有結構變動（例如，組織合并）時；? 在需要對信息系統(tǒng)的安全狀況進行定期或不定期的評估、以查看是否滿足組織持續(xù)運營需要時等。在風險評估中遵循以下一些原則：? 標準性原則評估方案的設計和具體實施都依據(jù)國內和國外的相關標準進行及理論模型。? 可控性原則評估過程和所使用的工具具有可控性。評估項目所采用的工具都經過多次評 自治區(qū)煙草安全規(guī)劃方案建議書 36估項目考驗，或者是根據(jù)具體要求和組織的具體網絡特點定制的，具有很好的可控性。? 整體性原則評估服務從組織的實際需求出發(fā)，從業(yè)務角度進行評估，而不是局限于網絡、主機等單個的安全層面，涉及到安全管理和業(yè)務運營，保障整體性和全面性。? 最小影響原則評估工作做到充分的計劃性，不對現(xiàn)網的運行和業(yè)務的正常提供產生顯著影響，盡可能小地影響系統(tǒng)和網絡的正常運行。? 保密性原則從公司、人員、過程三個方面進行保密控制：? 公司雙方簽署保密協(xié)議，不得利用評估中的任何數(shù)據(jù)進行其他有損甲方利益的用途；? 人員保密，公司內部簽訂保密協(xié)議；? 在評估過程中對評估數(shù)據(jù)嚴格保密。 參考標準與風險評估有一定關系的信息安全標準也是我們的重要參照。它們或者在基本概念上，或者在信息安全管理上，為我們提供了國際化的準則。這些標準包括：? AS/NZS 4360：1999 風險管理指南——澳大利亞和新西蘭關于風險管理的標準。? NIST SP 80