【正文】 錄系統(tǒng)時，登錄代理軟件將認證請求轉(zhuǎn)發(fā)至統(tǒng)一認證系統(tǒng)，在統(tǒng)一認證系統(tǒng)對用戶的身份進行有效核實后，將認證的結(jié)果轉(zhuǎn)發(fā)給服務(wù)器主機，允許或拒絕用戶進入，同時在系統(tǒng)日志中記錄認證的全部過程。通過動態(tài)口令認證的方式，確保能夠限制未經(jīng)授權(quán)的用戶無法登錄到服務(wù)器主機上。Unix 系統(tǒng)的身份認證結(jié)構(gòu)圖 遠程接入或 VPN 接入用戶的認證及授權(quán)自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)存在一些遠程接入人員，一些是內(nèi)部的移動辦公人員，還有一些是代維的第三方人員，他們都需要通過外網(wǎng)接入自治區(qū)煙草公司網(wǎng)絡(luò)，進行遠程訪問。對于這些人員有的是通過 VPN 接入，有些是通過撥號路由器撥號接入。VPN 系統(tǒng)提供自治區(qū)煙草公司網(wǎng)絡(luò)的安全通道，使得從外網(wǎng)訪問用戶訪問內(nèi)部網(wǎng)絡(luò)上的應(yīng)用服務(wù)更加簡單，數(shù)據(jù)傳輸更加安全。但同時帶來的安全隱患也是不容忽視的。一旦非法用戶通過某種手段得到合法用戶的密碼，他們就可 自治區(qū)煙草安全規(guī)劃方案建議書 28以通過 VPN 自由出入企業(yè)的內(nèi)部網(wǎng)絡(luò)，利用黑客工具，收集企業(yè)機密信息，攻擊應(yīng)用服務(wù)器，有可能造成非常嚴重的后果（例如：破壞關(guān)鍵服務(wù)器，盜取重要數(shù)據(jù)等等） 。我們建議使用統(tǒng)一認證系統(tǒng)的動態(tài)口令來解決 VPN 系統(tǒng)的撥號系統(tǒng)存在的嚴重安全缺陷。在 VPN 網(wǎng)關(guān)上或是撥號路由器上配置使用 RADIUS 驗證，將 RADIUS 服務(wù)器指向統(tǒng)一認證系統(tǒng)內(nèi)置的 RADIUS Server，不用對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行任何調(diào)整，就可將 VPN 用戶與統(tǒng)一認證系統(tǒng)相結(jié)合，對使用 VPN 接入的用戶實現(xiàn)了高強度的安全身份認證。對于 VPN 產(chǎn)品同統(tǒng)一認證系統(tǒng)的集成，我們已經(jīng)有很多的案例。無論是IPsec VPN， PPTP，還是 SSL VPN，都能很好的同統(tǒng)一認證系統(tǒng)結(jié)合。 圖：遠程接入認證系統(tǒng)結(jié)構(gòu)圖 數(shù)據(jù)庫管理的身份認證及授權(quán)數(shù)據(jù)庫是業(yè)務(wù)運營的重中之重，而數(shù)據(jù)庫的管理也存在著身份認證的要求。傳統(tǒng)的靜態(tài)口令認證方式迫使數(shù)據(jù)庫管理員記憶大量的復(fù)雜密碼，要不就是所有管理用戶都使用同一個密碼，顯然這增加了管理人員的工作強度或者降低了系統(tǒng)安全性，二者不能兼顧。由于工作的需要，數(shù)據(jù)庫管理人員經(jīng)常需要通過 自治區(qū)煙草安全規(guī)劃方案建議書 29遠程控制臺等方式連接到數(shù)據(jù)庫進行操作，對于非加密的遠程連接，輸入的靜態(tài)密碼在網(wǎng)絡(luò)中是明文傳播的，很有可能被竊聽并非法利用，形成安全隱患。在需要保護的數(shù)據(jù)庫中配置使用 RADIUS 驗證，將 RADIUS 服務(wù)器指向到統(tǒng)一認證系統(tǒng)內(nèi)置的 RADIUS Server，從而為數(shù)據(jù)庫的訪問提供身份驗證。為數(shù)據(jù)庫管理員配置硬件令牌卡。管理員可以利用令牌卡進行本地或遠程登錄，即使密碼在遠程傳輸過程中被竊聽，由于動態(tài)密碼是一次作廢，非法用戶竊聽到的口令已經(jīng)失效，徹底避免了盜用口令的隱患。數(shù)據(jù)庫管理用戶身份認證結(jié)構(gòu)圖 基于 Web 的運營系統(tǒng)的身份認證及授權(quán)對于自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)上基于 Web 的運營系統(tǒng)，可以采用統(tǒng)一認證系統(tǒng)的 Web 登錄代理將統(tǒng)一認證系統(tǒng)和運營系統(tǒng)相集成。Web 登錄代理是安裝在 Web Server 前端提供反向代理功能的軟件。它和后端的 Web Server 在對 Web 請求的處理上面是分離的，首先由 Web 登錄代理截獲 Web 用戶的訪問請求，將用戶的信息送到統(tǒng)一認證系統(tǒng)，如果經(jīng)過判斷這個用戶為合法用戶，那么統(tǒng)一認證系統(tǒng)將用戶對 Web 頁面訪問權(quán)限和相關(guān)信息傳遞給 Web 登錄代理 ，Web 登錄代理對用戶 Web 請求進行判斷，然后將允許的 Web 請求傳遞到 Web Server 上，Web Server 對用戶的請求做出相關(guān)的回應(yīng)，從而實現(xiàn)對 Web 訪問用戶的身份認證和訪問控制。 自治區(qū)煙草安全規(guī)劃方案建議書 30在不影響任何業(yè)務(wù)應(yīng)用的前提下，將 Web 登錄代理安裝在 Web 服務(wù)器前端，同時，我們建議在客戶端：? 為內(nèi)部人員分配硬件令牌卡，提供安全保障并便于攜帶使用。? 為代理商分發(fā)硬件令牌，該令牌帶有鑰匙扣，攜帶方便，同時可以用硬 Pin碼保護，能夠支持同步口令和異步挑戰(zhàn)－應(yīng)答口令，在保證安全需求前提下，方便使用分發(fā)。? 在 Web 登錄代理系統(tǒng)中為基于 URL 的訪問制訂靈活、縝密的訪問策略，為業(yè)務(wù)應(yīng)用提供針對 Web 的訪問授權(quán)。 圖 5　Web 系統(tǒng)的身份認證結(jié)構(gòu) 基于 C/S 結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)的身份認證在自治區(qū)煙草公司網(wǎng)絡(luò)中同時也存在大量的基于 C/S 結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)操作員通過 Client 端和 Server 端建立連接，進行相應(yīng)業(yè)務(wù)方面的處理。目前的業(yè)務(wù)系統(tǒng)操作人員還是使用固定密碼訪問系統(tǒng)，一旦密碼泄漏，對業(yè)務(wù)系統(tǒng)的安全運行以及內(nèi)部數(shù)據(jù)的保密將構(gòu)成嚴重威脅。鑒于業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中所處的重要位置，我們建議對這些業(yè)務(wù)系統(tǒng)也實施統(tǒng)一身份認證。對于 C/S 結(jié)構(gòu)的應(yīng)用，需開發(fā)一個適用于不同業(yè)務(wù)系統(tǒng)的代理 Agent，此代理的作用是截獲用戶的訪問請求，并轉(zhuǎn)發(fā)給統(tǒng)一認證服務(wù)器， 自治區(qū)煙草安全規(guī)劃方案建議書 31使其對動態(tài)口令進行驗證。使用統(tǒng)一認證系統(tǒng)提供的 SDK，可以非常容易的實現(xiàn)業(yè)務(wù)系統(tǒng)和統(tǒng)一認證系統(tǒng)的無縫結(jié)合。SDK 包含源代碼、文檔、所有可使用的計算機操作系統(tǒng)平臺清單，包括 MS WINDOWS 和大部分 UNIX 平臺，源代碼的版本可根據(jù)需要而升級。在業(yè)務(wù)系統(tǒng)服務(wù)器上安裝好 Agent 后，當(dāng)操作員連接到業(yè)務(wù)系統(tǒng)時，服務(wù)器獲取操作員的用戶戶名和密碼，并且通過加密方式將其傳送到統(tǒng)一認證服務(wù)器，由統(tǒng)一認證服務(wù)器比較服務(wù)器送來的用戶名和動態(tài)密碼是否和統(tǒng)一認證服務(wù)器中的用戶名及生成的動態(tài)密碼相一致，從而確認用戶的身份是否正確，并將認證結(jié)果（是或否）返回給業(yè)務(wù)系統(tǒng)服務(wù)器，同時將認證過程記錄于統(tǒng)一認證系統(tǒng)日志中，業(yè)務(wù)系統(tǒng)服務(wù)器收到認證服務(wù)器返回的認證結(jié)果，根據(jù)其認證成功與否決定是否允許用戶調(diào)用應(yīng)用系統(tǒng)中的應(yīng)用程序。 通過實施基于動態(tài)口令的身份認證，加強了業(yè)務(wù)系統(tǒng)的整體安全性，為業(yè)務(wù)系統(tǒng)的安全運行提供了強有力的保證。圖：C/S 結(jié)構(gòu)業(yè)務(wù)系統(tǒng)認證結(jié)構(gòu)圖 自治區(qū)煙草公司網(wǎng)絡(luò)安全評估 風(fēng)險評估簡介風(fēng)險評估是風(fēng)險管理的重要組成部分，要想更好地理解風(fēng)險評估，首先要了解風(fēng)險管理。風(fēng)險管理以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)的安 自治區(qū)煙草安全規(guī)劃方案建議書 32全風(fēng)險的過程。是一個識別、控制、降低或消除安全風(fēng)險的活動，通過風(fēng)險評估來識別風(fēng)險大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進行控制，使風(fēng)險被避免、轉(zhuǎn)移或降至一個可被接受的水平。風(fēng)險管理過程如圖所示。風(fēng) 險 管 理風(fēng) 險 控 制風(fēng) 險 評 估 降 低 風(fēng) 險圖：風(fēng)險管理過程風(fēng)險評估是對組織存在的威脅進行評估、對安全措施有效性進行評估、以及對系統(tǒng)弱點被利用的可能性進行評估后的綜合結(jié)果，是風(fēng)險管理的重要組成部分，是信息安全工作中的重要一環(huán)。我們所理解的風(fēng)險關(guān)系如圖所示，其意義為：1) 資產(chǎn)具有價值，并會受到威脅的潛在影響；2) 薄弱點將資產(chǎn)暴露給威脅，威脅利用薄弱點對資產(chǎn)造成影響；3) 威脅與薄弱點的增加導(dǎo)致安全風(fēng)險的增加；4) 安全風(fēng)險的存在對組織的信息安全提出要求；5) 安全控制應(yīng)滿足安全要求；6) 組織通過實施安全控制防范威脅，以降低安全風(fēng)險。 自治區(qū)煙草安全規(guī)劃方案建議書 33風(fēng)險關(guān)系圖在上述關(guān)系圖中：資產(chǎn)指組織要保護的資產(chǎn)，是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護價值。它包括計算機硬件、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、服務(wù)能力、人員及知識等等。弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產(chǎn)造成危害，但弱點可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。弱點也稱為“脆弱性”或“漏洞”。威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對組織信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用組織網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯誤、以及設(shè)施/設(shè)備錯誤等。安全風(fēng)險是環(huán)境中的威脅利用弱點造成資產(chǎn)毀壞或損失的潛在可能性。風(fēng) 自治區(qū)煙草安全規(guī)劃方案建議書 34險的大小主要表現(xiàn)在兩個方面：事故發(fā)生的可能性及事故造成影響的大小。資產(chǎn)、威脅、弱點及保護的任何變化都可能帶來較大的風(fēng)險，因此，為了降低安全風(fēng)險，應(yīng)對環(huán)境或系統(tǒng)的變化進行檢測以便及時采取有效措施加以控制或防范。安防措施是阻止威脅、降低風(fēng)險、控制事故影響、檢測事故及實施恢復(fù)的一系列實踐、程序或機制。安全措施主要體現(xiàn)在檢測、阻止、防護、限制、修正、恢復(fù)和監(jiān)視等多方面。完整的安全保護體系應(yīng)協(xié)調(diào)建立于物理環(huán)境、技術(shù)環(huán)境、人員和管理等四個領(lǐng)域。通常安防措施只是降低了安全風(fēng)險而并未完全杜絕風(fēng)險，而且風(fēng)險降低得越多，所需的成本就越高。因此，在系統(tǒng)中就總是有殘余風(fēng)險（RR）的存在，這樣，系統(tǒng)安全需求的確定實際上也是對余留風(fēng)險及其接受程度的確定。 評估目的進行風(fēng)險評估的目的通常包括以下幾個方面：? 了解組織的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；? 確定可能對資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖分子和自然災(zāi)害；? 通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；? 對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；? 對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；? 明晰組織的安全需求，指導(dǎo)組織建立安全管理框架，提出安全建議，合理規(guī)劃未來的安全建設(shè)和投入。評估內(nèi)容包括如下方面：? 通過網(wǎng)絡(luò)弱點檢測，識別信息系統(tǒng)在技術(shù)層面存在的安全弱點。? 通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全 自治區(qū)煙草安全規(guī)劃方案建議書 35管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息，并進行相應(yīng)的分析。? 通過對組織的人員、制度等相關(guān)安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況。? 通過對以上各種安全風(fēng)險的分析和匯總，形成組織安全風(fēng)險評估報告。? 根據(jù)組織安全風(fēng)險評估報告和安全現(xiàn)狀，提出相應(yīng)的安全建議，指導(dǎo)下一步的信息安全建設(shè)。 時機在信息系統(tǒng)的生存周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術(shù)環(huán)境、物理環(huán)境進行風(fēng)險評估：? 在設(shè)計規(guī)劃或升級至新的信息系統(tǒng)時；? 給目前的信息系統(tǒng)增加新應(yīng)用時；? 在與其它組織（部門）進行網(wǎng)絡(luò)互聯(lián)時；? 在技術(shù)平臺進行大規(guī)模更新（例如，從 Linux 系統(tǒng)移植到 Solaris 系統(tǒng)）時；? 在發(fā)生計算機安全事件之后，或懷疑可能會發(fā)生安全事件時；? 關(guān)心組織現(xiàn)有的信息安全措施是否充分或是否具有相應(yīng)的安全效力時；? 在組織具有結(jié)構(gòu)變動（例如，組織合并）時；? 在需要對信息系統(tǒng)的安全狀況進行定期或不定期的評估、以查看是否滿足組織持續(xù)運營需要時等。在風(fēng)險評估中遵循以下一些原則：? 標(biāo)準性原則評估方案的設(shè)計和具體實施都依據(jù)國內(nèi)和國外的相關(guān)標(biāo)準進行及理論模型。? 可控性原則評估過程和所使用的工具具有可控性。評估項目所采用的工具都經(jīng)過多次評 自治區(qū)煙草安全規(guī)劃方案建議書 36估項目考驗，或者是根據(jù)具體要求和組織的具體網(wǎng)絡(luò)特點定制的，具有很好的可控性。? 整體性原則評估服務(wù)從組織的實際需求出發(fā)，從業(yè)務(wù)角度進行評估，而不是局限于網(wǎng)絡(luò)、主機等單個的安全層面，涉及到安全管理和業(yè)務(wù)運營，保障整體性和全面性。? 最小影響原則評估工作做到充分的計劃性，不對現(xiàn)網(wǎng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響，盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行。? 保密性原則從公司、人員、過程三個方面進行保密控制：? 公司雙方簽署保密協(xié)議，不得利用評估中的任何數(shù)據(jù)進行其他有損甲方利益的用途；? 人員保密，公司內(nèi)部簽訂保密協(xié)議；? 在評估過程中對評估數(shù)據(jù)嚴格保密。 參考標(biāo)準與風(fēng)險評估有一定關(guān)系的信息安全標(biāo)準也是我們的重要參照。它們或者在基本概念上，或者在信息安全管理上，為我們提供了國際化的準則。這些標(biāo)準包括：? AS/NZS 4360：1999 風(fēng)險管理指南——澳大利亞和新西蘭關(guān)于風(fēng)險管理的標(biāo)準。? NIST SP 80030——美國國家標(biāo)準和技術(shù)學(xué)會(NIST)開發(fā)的信息技術(shù)系統(tǒng)風(fēng)險管理指南。? NIST SP 80026——美國