【導讀】自治區(qū)煙草安全規(guī)劃方案建議書。新疆志冠信息技術有限公司

　　

【正文】 統(tǒng)來講，我們建議，先對核心網(wǎng)絡設備，主機和 VPN 接入及重要的 Web 系統(tǒng)做訪問控制。具體配置和實現(xiàn)如下描述： 自治區(qū)煙草安全規(guī)劃方案 建議書 26 網(wǎng)絡設備的身份認證及授權 在需要保護的骨干路由器、中心交換機、防火墻等網(wǎng)絡設備中配置使用RADIUS 驗證，將 RADIUS 服務器指向到 統(tǒng)一 認證系統(tǒng) 內(nèi)置的 RADIUS Server。從而為網(wǎng)絡設備的訪問提供身份認證和授權。為網(wǎng)絡管理員配置硬件令牌卡。 不同的網(wǎng)絡設備通過標準的 RADIUS 協(xié)議使用 統(tǒng)一認證系統(tǒng) 服務器進行身份認證，由于 統(tǒng)一認證系統(tǒng) 系統(tǒng)動態(tài)口令的優(yōu)勢，網(wǎng)絡管理員可以利用令牌卡進行遠程登錄，如果使用基于挑戰(zhàn)－應答的異步密碼方式，由于密碼根本不在傳輸過程中出現(xiàn)，從而可以徹底避免密碼在網(wǎng)絡中明文傳輸和泄漏的問題。 網(wǎng)絡設備身份認證的系統(tǒng)結(jié)構(gòu) 主機系統(tǒng)的身份認證及授權 自治區(qū)煙草公司 網(wǎng)絡 系統(tǒng)中有大量的核心服務器，對這些服務器的管理需 要通過遠程 Tel 或本機登錄認證。 應用系統(tǒng)的管理員管理著業(yè)務系統(tǒng)主機，承擔很大的安全風險。主機也是不法分子最好的目標，因此，加強主機的安全保護十分重要。在服務器主機上安裝 統(tǒng)一認證系統(tǒng) 的登錄代理軟件，并做好相應的配置。 系統(tǒng)管理員通過終端登錄到服務器主機的時候，或使用 Ftp, rLogin, SSH, X Window, Su 登錄系統(tǒng)時， 登錄代理軟件 將認證請求轉(zhuǎn)發(fā)至 統(tǒng)一認證 系統(tǒng)，在 統(tǒng)一認證系統(tǒng) 對用戶的身份進行有效核實后，將認證的結(jié)果轉(zhuǎn)發(fā)給服務器主機，允許或拒絕用戶進入，同時在系統(tǒng)日志中記錄認證的全部過程。 通過動態(tài)口令認證 自治區(qū)煙草安全規(guī)劃方案 建議書 27 的方式，確保能夠限制未經(jīng)授權的用戶無法登錄到服務器主機上。 Unix 系統(tǒng)的身份認證結(jié)構(gòu)圖 遠程接入或 VPN 接入用戶的認證及授權 自治區(qū)煙草公司 網(wǎng)絡 系統(tǒng)存在一些遠程接入人員，一些是內(nèi)部的移動辦公人員，還有一些是代維的第三方人員，他們都需要通過外網(wǎng)接入 自治區(qū)煙草公司 網(wǎng)絡 ，進行遠程訪問。對于這些人員有的是通過 VPN 接入，有些是通過撥號路由器撥號接入。 VPN 系統(tǒng)提供 自治區(qū)煙草公司 網(wǎng)絡 的安全通道，使得從外網(wǎng)訪問用戶訪問內(nèi)部網(wǎng)絡上的應用服務更加簡單，數(shù)據(jù)傳輸更加安全。但同時帶來的安全隱患也是不 容忽視的。一旦非法用戶通過某種手段得到合法用戶的密碼，他們就可以通過 VPN 自由出入企業(yè)的內(nèi)部網(wǎng)絡，利用黑客工具，收集企業(yè)機密信息，攻擊應用服務器，有可能造成非常嚴重的后果（例如：破壞關鍵服務器，盜取重要數(shù)據(jù)等等）。我們建議使用 統(tǒng)一認證系統(tǒng) 的動態(tài)口令來解決 VPN 系統(tǒng)的撥號系統(tǒng)存在的嚴重安全缺陷。 在 VPN 網(wǎng)關上或是撥號路由器上配置使用 RADIUS 驗證，將 RADIUS 服務器指向 統(tǒng)一認證系統(tǒng) 內(nèi)置的 RADIUS Server，不用對現(xiàn)有網(wǎng)絡結(jié)構(gòu)進行任何調(diào)整，就可將 VPN 用戶與 統(tǒng)一認證系統(tǒng) 相結(jié)合，對使用 VPN 接入的用 戶實現(xiàn)了高 自治區(qū)煙草安全規(guī)劃方案 建議書 28 強度的安全身份認證。 對于 VPN 產(chǎn)品同 統(tǒng)一認證系統(tǒng) 的集成，我們已經(jīng)有很多的案例。無論是IPsec VPN， PPTP，還是 SSL VPN，都能很好的同 統(tǒng)一認證系統(tǒng) 結(jié)合。 圖 ： 遠程接入認證系統(tǒng)結(jié)構(gòu)圖 數(shù)據(jù)庫管理的身份認證及授權 數(shù)據(jù)庫是業(yè)務運營的重中之重，而數(shù)據(jù)庫的管理也存在著身份認證的要求。傳統(tǒng)的靜態(tài)口令認證方式迫使數(shù)據(jù)庫管理員記憶大量的復雜密碼，要不就是所有管理用戶都使用同一個密碼，顯然這增加了管理人員的工作強度或者降低了系統(tǒng)安全性，二者不能兼顧。由于工作的需要，數(shù)據(jù)庫管理人員經(jīng)常需要通過遠 程控制臺等方式連接到數(shù)據(jù)庫進行操作，對于非加密的遠程連接，輸入的靜態(tài)密碼在網(wǎng)絡中是明文傳播的，很有可能被竊聽并非法利用，形成安全隱患。 在需要保護的數(shù)據(jù)庫中配置使用 RADIUS 驗證，將 RADIUS 服務器指向到統(tǒng)一認證系統(tǒng) 內(nèi)置的 RADIUS Server，從而為數(shù)據(jù)庫的訪問提供身份驗證。 為數(shù)據(jù)庫管理員配置硬件令牌卡。管理員可以利用令牌卡進行本地或遠程登錄，即使密碼在遠程傳輸過程中被竊聽，由于動態(tài)密碼是一次作廢，非法用戶竊聽到的口令已經(jīng)失效，徹底避免了盜用口令的隱患。 自治區(qū)煙草安全規(guī)劃方案 建議書 29 數(shù)據(jù)庫管理用戶身份認證結(jié)構(gòu)圖 基 于 Web 的運營系統(tǒng)的身份認證及授權 對于 自治區(qū)煙草公司 網(wǎng) 絡 系統(tǒng)上基于 Web 的運營系統(tǒng)，可以采用 統(tǒng)一 認證系統(tǒng)的 Web 登錄代理將 統(tǒng)一 認證系統(tǒng)和運營系統(tǒng)相集成。 Web 登錄代理 是安裝在 Web Server 前端提供反向代理功能的軟件。它和后端的 Web Server 在對 Web 請求的處理上面是分離的，首先由 Web 登錄代理 截獲 Web 用戶的訪問請求，將用戶的信息送到 統(tǒng)一認證系統(tǒng) ，如果經(jīng)過判斷這個用戶為合法用戶，那么 統(tǒng)一認證系統(tǒng) 將用戶對 Web 頁面訪問權限和相關信息傳遞給 Web 登錄代理 ， Web 登錄代理 對用戶 Web 請求進行判斷 ，然后將允許的Web 請求傳遞到 Web Server 上， Web Server 對用戶的請求做出相關的回應，從而實現(xiàn)對 Web 訪問用戶的身份認證和訪問控制。 在不影響任何業(yè)務應用的前提下，將 Web登錄代理 安裝在 Web服務器前端，同時，我們建議在客戶端： ? 為內(nèi)部人員分配硬件令牌卡，提供安全保障并便于攜帶使用。 ? 為代理商分發(fā)硬件令牌，該令牌帶有鑰匙扣，攜帶方便，同時可以用硬 Pin碼保護，能夠支持同步口令和異步挑戰(zhàn)－應答口令，在保證安全需求前提下，方便使用分發(fā)。 自治區(qū)煙草安全規(guī)劃方案 建議書 30 ? 在 Web 登錄代理 系統(tǒng)中為基于 URL 的訪問制訂靈活、縝密的訪 問策略，為業(yè)務應用提供針對 Web 的訪問授權。 圖 5 Web 系統(tǒng)的身份認證結(jié)構(gòu) 基于 C/S 結(jié)構(gòu)的業(yè)務系統(tǒng)的身份認證 在 自治區(qū)煙草公司 網(wǎng)絡 中同時也存在大量的基于 C/S 結(jié)構(gòu)的業(yè)務系統(tǒng)，業(yè)務操作員通過 Client 端和 Server 端建立連接，進行相應業(yè)務方面的處理。目前的業(yè)務系統(tǒng)操作人員還是使用固定密碼訪問系統(tǒng)，一旦密碼泄漏，對業(yè)務系統(tǒng)的安全運行以及內(nèi)部數(shù)據(jù)的保密將構(gòu)成嚴重威脅。 鑒于業(yè)務系統(tǒng)在網(wǎng)絡系統(tǒng)中所處的重要位置，我們建議對這些業(yè)務系統(tǒng)也實施 統(tǒng)一 身份認證。對于 C/S 結(jié)構(gòu)的應用，需開發(fā)一個適用于不同業(yè)務系統(tǒng)的代理 Agent，此代理的作用是截獲用戶的訪問請求，并轉(zhuǎn)發(fā)給 統(tǒng)一認證 服務器，使其對動態(tài)口令進行驗證。使用 統(tǒng)一認證系統(tǒng) 提供的 SDK，可以非常容易的實現(xiàn)業(yè)務系統(tǒng)和 統(tǒng)一 認證系統(tǒng)的無縫結(jié)合。 SDK 包含源代碼、文檔、所有可使用的計算機操作系統(tǒng)平臺清單，包括 MS WINDOWS 和大部分 UNIX 平臺，源代碼的版本可根據(jù)需要而升級。 在業(yè)務系統(tǒng)服務器上安裝好 Agent 后，當操作員連接到業(yè)務 系統(tǒng)時，服務器獲取操作員的用戶戶名和密碼，并且通過加密方式將其傳送到 統(tǒng)一 認證服務 自治區(qū)煙草安全規(guī)劃方案 建議書 31 器，由 統(tǒng)一 認證服務器比較服務器送來的用戶名和動態(tài)密碼是否和 統(tǒng)一 認證服務器中的用戶名及生成的動態(tài)密碼相一致，從而確認用戶的身份是否正確，并將認證結(jié)果（是或否）返回給業(yè)務系統(tǒng)服務器，同時將認證過程記錄于 統(tǒng)一認證 系統(tǒng)日志中，業(yè)務系統(tǒng)服務器收到認證服務器返回的認證結(jié)果，根據(jù)其認證成功與否決定是否允許用戶調(diào)用應用系統(tǒng)中的應用程序。 通過實施基于動態(tài)口令的身份認證，加強了業(yè)務系統(tǒng)的整體安全性，為業(yè)務系統(tǒng)的安全運行提供了強有力的保證。 圖： C/S 結(jié)構(gòu)業(yè)務系統(tǒng)認證結(jié)構(gòu)圖 自治區(qū)煙草公司 網(wǎng)絡 安全評估 風險評估簡介 風險評估是風險管理的重要組成部分，要想更好地理解風險評估，首先要了解風險管理。 風險管理以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)的安全風險的過程。是一個識別、控制、降低或消除安全風險的活動，通過風險評估來識別風險大小，通過制定信息安全方針，采取適當?shù)目刂颇繕伺c控制方式對風險進行控制，使風險被避免、轉(zhuǎn)移或降至一個可被接受的水平。風險管理過程如圖所示。 自治區(qū)煙草安全規(guī)劃方案 建議書 32 風 險 管 理風 險 控 制風 險 評 估 降 低 風 險 圖 ： 風險管 理過程 風險評估是對組織存在的威脅進行評估、對安全措施有效性進行評估、以及對系統(tǒng)弱點被利用的可能性進行評估后的綜合結(jié)果，是風險管理的重要組成部分，是信息安全工作中的重要一環(huán)。我們所理解的風險關系如圖所示，其意義為： 1) 資產(chǎn)具有價值，并會受到威脅的潛在影響； 2) 薄弱點將資產(chǎn)暴露給威脅，威脅利用薄弱點對資產(chǎn)造成影響； 3) 威脅與薄弱點的增加導致安全風險的增加； 4) 安全風險的存在對組織的信息安全提出要求； 5) 安全控制應滿足安全要求； 6) 組織通過實施安全控制防范威脅，以降低安全風險。 自治區(qū)煙草安全規(guī)劃方案 建議書 33 風險關系圖 在上述關系圖中： 資產(chǎn)指 組織要保護的資產(chǎn)，是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務或任務的重要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應具有的保護價值。它包括計算機硬件、通信設備、物理線路、數(shù)據(jù)、軟件、服務能力、人員及知識等等。 弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產(chǎn)造成危害，但弱點可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。弱點也稱為“脆弱性”或“漏洞”。 威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對組織信息直接或間接的攻擊，例如非授權的泄露、篡 改、刪除等，在機密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用組織網(wǎng)絡中的系統(tǒng)、應用或服務的弱點才可能成功地對資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權蓄意行為、不可抗力、人為錯誤、以及設施 /設備錯誤等。 安全風險是環(huán)境中的威脅利用弱點造成資產(chǎn)毀壞或損失的潛在可能性。風險 自治區(qū)煙草安全規(guī)劃方案 建議書 34 的大小主要表現(xiàn)在兩個方面：事故發(fā)生的可能性及事故造成影響的大小。資產(chǎn)、威脅、弱點及保護的任何變化都可能帶來較大的風險，因此，為了降低安全風險，應對環(huán)境或系統(tǒng)的變化進行檢測以便 及時采取有效措施加以控制或防范。 安防措施是阻止威脅、降低風險、控制事故影響、檢測事故及實施恢復的一系列實踐、程序或機制。安全措施主要體現(xiàn)在檢測、阻止、防護、限制、修正、恢復和監(jiān)視等多方面。完整的安全保護體系應協(xié)調(diào)建立于物理環(huán)境、技術環(huán)境、人員和管理等四個領域。 通常安防措施只是降低了安全風險而并未完全杜絕風險，而且風險降低得越多，所需的成本就越高。因此，在系統(tǒng)中就總是有殘余風險（ RR）的存在，這樣，系統(tǒng)安全需求的確定實際上也是對余留風險及其接受程度的確定。 評估目的 進行 風險評估的目的 通常 包括以下幾個方 面： ? 了解組織的 管理、 網(wǎng)絡和系統(tǒng)安全現(xiàn)狀； ? 確定可能對資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖分子和自然災害； ? 通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性； ? 對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產(chǎn)是最重要的； ? 對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞 ； ? 明晰組織的安全需求 ， 指導組織建立安全管理框架 ，提出安全建議，合理規(guī)劃 未來的安全建設和投入 。 評估內(nèi)容 評估內(nèi)容包括如下方面： ? 通過 網(wǎng)絡弱點 檢測， 識別信息系統(tǒng)在技術層面存在的 安全 弱點 。 ? 通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡設備、各種安全管理、安全控制、人員、安全策略、應用系統(tǒng)、業(yè)務系統(tǒng)等方面的信息， 自治區(qū)煙草安全規(guī)劃方案 建議書 35 并進行相應的分析。 ? 通過對組織的人員、制度等相關安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況。 ? 通過對以上 各種 安全風險的分析和