【正文】 安全風(fēng)險(xiǎn) 對(duì)策主機(jī)故障、停機(jī)、操作系統(tǒng)失敗致使 采用高質(zhì)量主機(jī)和配件提高系統(tǒng)的可信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 26基層系統(tǒng)無(wú)法正常工作 用性、連續(xù)運(yùn)行的可靠性和惡劣環(huán)境下的正常運(yùn)轉(zhuǎn)數(shù)據(jù)錯(cuò)誤、丟失致使系統(tǒng)無(wú)法工作或工作混亂采用鏡像技術(shù)進(jìn)行數(shù)據(jù)的實(shí)時(shí)鏡像，對(duì)數(shù)據(jù)和全系統(tǒng)進(jìn)行備份，以備故障發(fā)生時(shí)能夠及時(shí)恢復(fù)病毒 采用病毒防火墻產(chǎn)品和防病毒策略防止病毒對(duì)系統(tǒng)的侵害惡意邏輯破壞或非法操作 采用加密卡（IC 卡認(rèn)證）產(chǎn)品對(duì)主機(jī)及各類(lèi)資源的操作權(quán)限進(jìn)行控制，防止非法操作和越權(quán)操作數(shù)據(jù)被竊取、篡改，抵賴 采用加密技術(shù)對(duì)通信信息進(jìn)行加密，與銀行清算的數(shù)據(jù)及卡、資金、帳戶信息的通信由銀行提供加密和通信標(biāo)準(zhǔn)通信線路故障，致使數(shù)據(jù)無(wú)法提交給上級(jí)機(jī)構(gòu)和銀行制定用軟盤(pán)報(bào)送數(shù)據(jù)的后備方案，當(dāng)通信無(wú)法進(jìn)行時(shí)采用軟盤(pán)將數(shù)據(jù)提交給上級(jí)公司和銀行，并取得已更新的數(shù)據(jù)，同步基層系統(tǒng)數(shù)據(jù)庫(kù)4．5．2 基層公司信息系統(tǒng)基層公司的信息系統(tǒng)主要是負(fù)責(zé)基層或終端的業(yè)務(wù)運(yùn)作與管理，是業(yè)務(wù)執(zhí)行機(jī)構(gòu)，由于其覆蓋面廣、地域差異大，除業(yè)務(wù)運(yùn)作外還包括管理的職能，因此在不同的條件和環(huán)境下可能會(huì)有多種信息流向的模式并存，同時(shí)也就有不同的安全風(fēng)險(xiǎn)，總的來(lái)說(shuō)，其安全風(fēng)險(xiǎn)如下：安全風(fēng)險(xiǎn) 對(duì)策主機(jī)故障、停機(jī)、操作系統(tǒng)失敗致使基層公司管理系統(tǒng)無(wú)法工作采用雙機(jī)熱備份產(chǎn)品（Octopus）提高系統(tǒng)的可用性和連續(xù)運(yùn)行的可靠性數(shù)據(jù)錯(cuò)誤、丟失致使系統(tǒng)無(wú)法工作或工作混亂采用雙機(jī)熱備份產(chǎn)品（Octopus）進(jìn)行數(shù)據(jù)的實(shí)時(shí)鏡像，采用數(shù)據(jù)存儲(chǔ)管理系統(tǒng)進(jìn)行對(duì)數(shù)據(jù)和全系統(tǒng)的備份，以備故障發(fā)生時(shí)能夠及時(shí)恢復(fù)病毒 采用病毒防火墻產(chǎn)品和病毒多層防御策略（入口防病毒、網(wǎng)絡(luò)防病毒、。4． 5 信息系統(tǒng)中各級(jí)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與對(duì)策4．5．1 基層網(wǎng)絡(luò)或終端基層網(wǎng)絡(luò)或終端是整個(gè)信息系統(tǒng)的末端，也是安全性最為薄弱的環(huán)節(jié)，對(duì)于信息系統(tǒng)的攻擊與危害主要來(lái)源于這里，由于其覆蓋面廣、跨地域性強(qiáng)，各地應(yīng)用水平和人員素質(zhì)參差不齊，因此對(duì)其安全風(fēng)險(xiǎn)和防護(hù)應(yīng)重點(diǎn)考慮。 ★在公司一 半的PC上每天運(yùn)行一次病毒掃描程序，費(fèi)用可再降一半至40萬(wàn)美元。NCSA提供了一種病毒成本分析模型,根據(jù)這一模型進(jìn)行分析出的結(jié)果如下: ★如果一個(gè)公司不采取任何防范措施，那么每1000臺(tái)PC每年要花180萬(wàn)美元進(jìn)行病毒襲擊后的恢復(fù)工作。4．4．4 因計(jì)算機(jī)病毒造成的損失計(jì)算機(jī)病毒帶來(lái)的損失大家都有深刻的印象，從“黑色星期五” 、 “切爾諾貝利”到 4 月 26 日的 CIH 病毒發(fā)作都曾引起全球計(jì)算機(jī)用戶的恐慌。在我國(guó)也發(fā)生了入侵INTERNET 的事件。據(jù)美車(chē)金融時(shí)報(bào)報(bào)道，平均每 20 秒就發(fā)生一次入侵 INTERNET 計(jì)算機(jī)事件。具 WarRoom 的調(diào)查表明，因內(nèi)部及外部攻擊造成的影響在不斷增長(zhǎng)：45％以上的內(nèi)部攻擊導(dǎo)致大于 200,000 美元的損失；15％以上的內(nèi)部攻擊造成大于1,000,000 美元的損失；50％以上的外部攻擊導(dǎo)致大于 200,000 美元的損失；17％以上的外部攻擊造成大于 1,000,000 美元的損失。可見(jiàn)數(shù)據(jù)的安全和完整性對(duì)信息系統(tǒng)的正常運(yùn)轉(zhuǎn)有著重大意義。下表是因系統(tǒng)停機(jī)而造成損失的參考：行業(yè)種類(lèi) 商業(yè)操作 平均損失(每小時(shí))經(jīng)紀(jì)人業(yè)務(wù) $ Million信用卡 $ Million金融ATM $14,500按次數(shù)收費(fèi) $150,000中介服務(wù)遠(yuǎn)程售票 $69,000零售業(yè) 家庭電視購(gòu)物 $113,000航空定票 $89,500運(yùn)輸包裹運(yùn)輸 $28,0004．4．2 因數(shù)據(jù)丟失而帶來(lái)的損失統(tǒng)計(jì)據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全（NCSA）調(diào)查，企業(yè) 20M 的重要信息丟失或損壞及恢復(fù)的代價(jià)，對(duì)于市場(chǎng)營(yíng)銷(xiāo)部門(mén)來(lái)說(shuō),恢復(fù)其被摧毀的數(shù)據(jù)至少需要 19 天,耗資17000 美元；對(duì)于財(cái)務(wù)部門(mén)來(lái)說(shuō),這一過(guò)程至少需要 21 天 ,耗資 19000 美元；而對(duì)于工程部門(mén)來(lái)說(shuō),這一過(guò)程將延至 42 天,耗資達(dá) 98000 美元。從表面上看，這種可用性已經(jīng)很好了，對(duì)于一些可用性要求不高的應(yīng)用來(lái)說(shuō)應(yīng)該是能滿足要求的了。4． 4 信息系統(tǒng)安全損失統(tǒng)計(jì)4．4．1 因系統(tǒng)停機(jī)帶來(lái)的損失統(tǒng)計(jì)由于計(jì)算機(jī)技術(shù)的飛速發(fā)展，硬件服務(wù)器平臺(tái)已經(jīng)有了相當(dāng)好的可用性。4．3．7 缺少安全管理 現(xiàn)有的信息系統(tǒng)，絕大多數(shù)都缺少安全管理員，缺少信息系統(tǒng)安全管理的技術(shù)規(guī)范，沒(méi)有定期的安全測(cè)試與檢查，更沒(méi)有安全監(jiān)控。? …… 4．3．6 數(shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性 首先，數(shù)據(jù)庫(kù)管理系統(tǒng)安全必須與操作系統(tǒng)的安全進(jìn)行配套，例如DBMS 的安全級(jí)別是 B2 級(jí)，那么操作系統(tǒng)的安全級(jí)別也應(yīng)當(dāng)是 B2 級(jí)的。? 操作系統(tǒng)安排的無(wú)口令入口，實(shí)際上它是為系統(tǒng)開(kāi)放人員提供便捷入口。許多搞系統(tǒng)軟件的人員，他們的基本技能就是 patching +系統(tǒng) debug，有了這兩樣技術(shù)，幾乎可以做“黑客”的所有事情。一個(gè) NFS 系統(tǒng)是一個(gè)基于 RPC 網(wǎng)絡(luò)文件系統(tǒng)的應(yīng)用。? 操作系統(tǒng)提供遠(yuǎn)程過(guò)程調(diào)用（RPC）服務(wù)。這些軟件通常都是“黑客”利用的手段。再加上第一條，還可以把這種間諜軟件以打補(bǔ)丁的方式打在一個(gè)合法的用戶上，尤其打在一個(gè)特權(quán)用戶上，可以做到系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序都看不到它的存在。? 操作系統(tǒng)不安全的原因還在于可以創(chuàng)建進(jìn)程，甚至支持在網(wǎng)絡(luò)的結(jié)點(diǎn)上進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，更加重要的是被創(chuàng)建進(jìn)程還繼承創(chuàng)建進(jìn)程的權(quán)力。然而操作系統(tǒng)支持程序動(dòng)態(tài)連接與數(shù)據(jù)動(dòng)態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴(kuò)展的需要，顯然這與安全是有矛盾的。這種動(dòng)態(tài)連接也是計(jì)算機(jī)病毒產(chǎn)生的環(huán)境。信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 23許多 UNIX 操作系統(tǒng)的版本進(jìn)化開(kāi)發(fā)，都是采用打補(bǔ)丁的方式進(jìn)行開(kāi)發(fā)的。4．3．5 操作系統(tǒng)的脆弱性操作系統(tǒng)不安全，也是計(jì)算機(jī)系統(tǒng)不安全的根本原因：? 操作系統(tǒng)不安全首要的原因是操作系統(tǒng)結(jié)構(gòu)體制造成的，操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的，包括 I/0 的驅(qū)動(dòng)程序與系統(tǒng)服務(wù)，都可以用打補(bǔ)丁的方式進(jìn)行動(dòng)態(tài)連接。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來(lái)的威脅。如 Ping炸彈可使一臺(tái)主機(jī)宕機(jī)、無(wú)需口令通過(guò) Rlogin 以 root 身份登錄到一臺(tái)主機(jī)等，都是利用了 TCP/IP 協(xié)議本身的漏洞。信息系統(tǒng)所受到的威脅主要有：? 來(lái)自內(nèi)部的竊密和破壞：? 內(nèi)部涉密人員有意或無(wú)意泄密、更改記錄信息? 內(nèi)部非授權(quán)人員有意竊取機(jī)密信息、更改記錄信息? 內(nèi)部人員破壞信息系統(tǒng)? 非法訪問(wèn)：? 非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)? 合法用戶越權(quán)操作? 破壞信息的完整性：? 篡改：改變信息流的次序、時(shí)序或流向，更改信息的內(nèi)容或形式? 刪除：刪除某條數(shù)據(jù)或數(shù)據(jù)的某些部分? 插入：在數(shù)據(jù)中插入一些信息? 冒充：? 冒充超級(jí)管理員，調(diào)閱秘密文件? 冒充主機(jī)欺騙合法主機(jī)及合法用戶? 冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源? 接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源? 破壞系統(tǒng)的可用性：? 使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源、使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)? 摧毀系統(tǒng)? 重演：? 截收并錄制信息，然后在必要時(shí)重發(fā)或反復(fù)發(fā)送這些信息信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 22? 抵賴：? 事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息或某條消息的內(nèi)容? 事后否認(rèn)曾經(jīng)收到過(guò)某條消息或某條消息的內(nèi)容? 其他安全威脅：? 計(jì)算機(jī)病毒? 電磁泄露? 各種災(zāi)害? 操作失誤4．3．4 信息系統(tǒng)的安全漏洞根據(jù)網(wǎng)絡(luò)構(gòu)造，可以把網(wǎng)絡(luò)安全問(wèn)題具體定位在以下三個(gè)層次上： 信 息 系 統(tǒng) 層 次ModemAcsRouterComsThe WorldThe World 通 訊 amp。我們可能將面對(duì)財(cái)政損失、人力、物力耗費(fèi)、遺失機(jī)會(huì)、內(nèi)部責(zé)任推諉、信譽(yù)下降等各種問(wèn)題。信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 19第四章 安全風(fēng)險(xiǎn)概述在信息系統(tǒng)建設(shè)中充滿安全危機(jī)，一個(gè)小小的硬件故障或誤操作都有可能造成網(wǎng)絡(luò)出現(xiàn)停滯或癱瘓，使業(yè)務(wù)蒙受損失。安全技術(shù)主要指認(rèn)證的安全和通信的安全，以及數(shù)據(jù)完整性，如包過(guò)濾路由器技術(shù)、防火墻技術(shù)、IC 卡技術(shù)、動(dòng)態(tài)口令技術(shù)、生物特性身份認(rèn)證技術(shù)、密碼技術(shù)、數(shù)據(jù)源加密、鏈路加密技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、電子屏蔽技術(shù)、防病毒技術(shù)、數(shù)據(jù)備份與恢復(fù)技術(shù)等，從技術(shù)實(shí)現(xiàn)的角度探討對(duì)網(wǎng)絡(luò)的安全防護(hù)。? 數(shù)據(jù)存儲(chǔ)管理 沒(méi)有絕對(duì)的安全，應(yīng)在安全性和可用性上找到一個(gè)平衡點(diǎn)，因此對(duì)系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用等的數(shù)據(jù)備份尤為重要，當(dāng)因某種因素系統(tǒng)被破壞、應(yīng)用錯(cuò)誤、數(shù)據(jù)丟失時(shí)，可以通過(guò)數(shù)據(jù)存儲(chǔ)管理進(jìn)行及時(shí)恢復(fù)，以免造成不良影響。? 安全監(jiān)測(cè) 在信息系統(tǒng)的總部各下級(jí)信息系統(tǒng)中對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)進(jìn)行定期的漏洞檢測(cè)，發(fā)現(xiàn)漏洞并在攻擊、破壞發(fā)生前修補(bǔ)漏洞，同時(shí)，實(shí)時(shí)監(jiān)控通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，發(fā)現(xiàn)非法行為，向系統(tǒng)管理員或安全管理員報(bào)警，并可根據(jù)預(yù)先定義的安全策略對(duì)非法行為記錄全部會(huì)話、保留犯罪現(xiàn)場(chǎng)、切斷連接、提交完整的日志和報(bào)告。? 實(shí)時(shí)防病毒 網(wǎng)絡(luò)版和單機(jī)版的實(shí)時(shí)防毒強(qiáng)技術(shù)和產(chǎn)品，可以在病毒通過(guò)網(wǎng)絡(luò)或病毒在工作站上啟動(dòng)時(shí)被查出并殺除。? 安全通信 通信的安全性主要依靠加密技術(shù)，包括在網(wǎng)絡(luò) OSI 參考模型的多個(gè)邏輯層次上的加密，總的來(lái)說(shuō)可以理解為對(duì)信息的加密和對(duì)信道的加密，來(lái)保證通信中信息的安全性和通信線路的安全性。因此，對(duì)密鑰的產(chǎn)生、存儲(chǔ)、傳遞和定期更換進(jìn)行有效地控制而引入密鑰管理機(jī)制，對(duì)增加網(wǎng)絡(luò)的安全性和抗攻擊性也是非常重要的。? 跟蹤審計(jì)和信息過(guò)濾　系統(tǒng)應(yīng)不斷地收集和積累有關(guān)的安全事件記錄加以分析，有選擇地對(duì)其中的某些節(jié)點(diǎn)或用戶進(jìn)行跟蹤審計(jì)，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)，并定期向信息系統(tǒng)各級(jí)網(wǎng)絡(luò)相關(guān)的安全系統(tǒng)秘密發(fā)送有關(guān)消息(一般是有害節(jié)點(diǎn)地址)，其它系統(tǒng)則根據(jù)這些消息，更新各自的路由過(guò)濾列表，通過(guò)信息過(guò)濾機(jī)制，拒絕接收一切來(lái)自過(guò)濾列表上 IP 地址的信息，以杜絕網(wǎng)上的某些節(jié)點(diǎn)產(chǎn)生的信息垃圾或不良行為對(duì)用戶進(jìn)行信息干擾和信息轟炸。通過(guò)加入一些驗(yàn)證碼等冗余信息，用驗(yàn)證函數(shù)進(jìn)行處理，以發(fā)現(xiàn)信息是否被非法修改，避免用戶或主機(jī)被偽信息欺騙。在實(shí)際應(yīng)用中，一般是對(duì)傳送的多個(gè)數(shù)據(jù)包中的一個(gè) IP 包進(jìn)行一次簽名驗(yàn)證，以提高網(wǎng)絡(luò)運(yùn)行效率。? 數(shù)字簽名　如用 RSA 等公開(kāi)密鑰算法，生成一對(duì)公鑰和私鑰。在開(kāi)放系統(tǒng)中，網(wǎng)上資源的使用應(yīng)制訂一些規(guī)定：一是定義哪些用戶可以訪問(wèn)哪些資源，二是定義可以訪問(wèn)的用戶各自具備的權(quán)限，這是存取權(quán)限控制的主要任務(wù)。在信息系統(tǒng)中，考慮信息、管理、業(yè)務(wù)及交易等系統(tǒng)的多層次、跨地域，情況復(fù)雜，我們將采用多種身份識(shí)別技術(shù)，其中 IC 卡應(yīng)用和一次性口令將是身份識(shí)別的主流。原因是用戶為了便于記憶而使用了生日、電話號(hào)碼等 Password，使得Password 很容易猜出。而系統(tǒng)信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 17應(yīng)具備查驗(yàn)用戶的身份證明的能力。3． 3 安全體系應(yīng)具備的功能ISO 在其安全框架文件中，定義了開(kāi)放環(huán)境下系統(tǒng)安全功能，對(duì)系統(tǒng)內(nèi)部各對(duì)象的保護(hù)方法，保證系統(tǒng)間通信規(guī)則，都作了詳細(xì)說(shuō)明。? 最小授權(quán)的原則（分散權(quán)力，降低災(zāi)難程度）特權(quán)（超級(jí)）網(wǎng)絡(luò)要有制約措施，分散過(guò)大的集中權(quán)力，以降低災(zāi)難程度。? 設(shè)多個(gè)安全單元的原則把整個(gè)網(wǎng)絡(luò)的安全性賦予多個(gè)安全單元，如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān)，形成了多道安全防線。網(wǎng)絡(luò)可從物理上分為若干段，即通過(guò)交換器連接各段。? 網(wǎng)絡(luò)分段的原則（物理和邏輯）網(wǎng)絡(luò)分段是保證安全的重要措施。但是建立一個(gè)多重保護(hù)系統(tǒng)，各重保護(hù)相互補(bǔ)充，當(dāng)一重保護(hù)被攻破時(shí)，其它重保護(hù)仍可保護(hù)信息的安全。信息系統(tǒng)安全方案網(wǎng)路安全建議書(shū) 163． 2 安全體系的設(shè)計(jì)原則為了實(shí)現(xiàn)上述的安全目標(biāo)，對(duì)于信息系統(tǒng)的安全設(shè)計(jì)，應(yīng)基于如下原則：? 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則信息系統(tǒng)中沒(méi)有絕對(duì)的安全，需通過(guò)安全風(fēng)險(xiǎn)分析，從系統(tǒng)建設(shè)需求、安全風(fēng)險(xiǎn)、安全投入、收益等方面找到平衡點(diǎn)，來(lái)規(guī)劃安全體系。保護(hù)信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性，提供物理和邏輯的存取限制方法；維護(hù)和檢查有關(guān)盜竊文件的審記記錄、使用標(biāo)簽等。企業(yè)關(guān)鍵服務(wù)器的可用性和連續(xù)運(yùn)轉(zhuǎn)直接影響著信息系統(tǒng)的運(yùn)行效果。? 可用性　一般是指主機(jī)存放靜態(tài)信息的可用性和可操作性。這一點(diǎn)企業(yè)的財(cái)務(wù)管理、資源管理、電子交易以及與銀行的接口中猶為重要。信息系統(tǒng)中信息的完整性是系統(tǒng)正常運(yùn)轉(zhuǎn)的基本保障。目前，對(duì)于動(dòng)態(tài)傳輸?shù)男畔ⅲS多協(xié)議確保信息完整性的方法大多是收錯(cuò)重傳、丟棄后續(xù)包的方法，但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容。? 完整性 是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，或信息包的丟失、亂序等。3． 1 安全體系的設(shè)計(jì)目標(biāo)鑒于信息系統(tǒng)中的信息流、資金流、工作流、敏感信息的重要性，安全體系的設(shè)計(jì)、規(guī)劃和建設(shè)應(yīng)逐步達(dá)到以下目標(biāo)：? 保密性　是指靜態(tài)信息防止非授權(quán)訪問(wèn)和動(dòng)態(tài)信息防止被截取解密?；诘诙碌母攀?，對(duì)系統(tǒng)安全性概念及發(fā)展的理解，確立安全體系總體規(guī)劃和建設(shè)的目標(biāo)和設(shè)計(jì)原則，以及在信息系統(tǒng)安全體系中應(yīng)具備的功能，對(duì)安全體系進(jìn)行統(tǒng)一規(guī)劃。 (4)安全性恢復(fù) 安全性恢復(fù)機(jī)制可以在系統(tǒng)受到破壞后使系統(tǒng)恢復(fù)到正常的安全狀態(tài)，恢復(fù)手段可以是短期的，也可以是長(zhǎng)期的。 (3)安全審計(jì)安全審計(jì)是指利用日志記錄等歷史事件審計(jì)系統(tǒng)的活動(dòng)是否符合所制定的安全策略和操作規(guī)范；系統(tǒng)的控制是否充分，以及提出對(duì)系統(tǒng)控制和安全策略的改進(jìn)意見(jiàn)。安全標(biāo)簽可以是報(bào)文結(jié)構(gòu)的一部分，如在加密過(guò)程中使用特殊的密鑰，