【正文】 ? 通過對(duì)組織的人員、制度等相關(guān)安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況。 評(píng)估內(nèi)容 評(píng)估內(nèi)容包括如下方面： ? 通過 網(wǎng)絡(luò)弱點(diǎn) 檢測(cè)， 識(shí)別信息系統(tǒng)在技術(shù)層面存在的 安全 弱點(diǎn) 。因此，在系統(tǒng)中就總是有殘余風(fēng)險(xiǎn)（ RR）的存在，這樣，系統(tǒng)安全需求的確定實(shí)際上也是對(duì)余留風(fēng)險(xiǎn)及其接受程度的確定。完整的安全保護(hù)體系應(yīng)協(xié)調(diào)建立于物理環(huán)境、技術(shù)環(huán)境、人員和管理等四個(gè)領(lǐng)域。 安防措施是阻止威脅、降低風(fēng)險(xiǎn)、控制事故影響、檢測(cè)事故及實(shí)施恢復(fù)的一系列實(shí)踐、程序或機(jī)制。風(fēng)險(xiǎn) 自治區(qū)煙草安全規(guī)劃方案 建議書 34 的大小主要表現(xiàn)在兩個(gè)方面：事故發(fā)生的可能性及事故造成影響的大小。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施 /設(shè)備錯(cuò)誤等。威脅可能源于對(duì)組織信息直接或間接的攻擊，例如非授權(quán)的泄露、篡 改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。弱點(diǎn)也稱為“脆弱性”或“漏洞”。它包括計(jì)算機(jī)硬件、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、服務(wù)能力、人員及知識(shí)等等。我們所理解的風(fēng)險(xiǎn)關(guān)系如圖所示，其意義為： 1) 資產(chǎn)具有價(jià)值，并會(huì)受到威脅的潛在影響； 2) 薄弱點(diǎn)將資產(chǎn)暴露給威脅，威脅利用薄弱點(diǎn)對(duì)資產(chǎn)造成影響； 3) 威脅與薄弱點(diǎn)的增加導(dǎo)致安全風(fēng)險(xiǎn)的增加； 4) 安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安全提出要求； 5) 安全控制應(yīng)滿足安全要求； 6) 組織通過實(shí)施安全控制防范威脅，以降低安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理過程如圖所示。 風(fēng)險(xiǎn)管理以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。 通過實(shí)施基于動(dòng)態(tài)口令的身份認(rèn)證，加強(qiáng)了業(yè)務(wù)系統(tǒng)的整體安全性，為業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供了強(qiáng)有力的保證。 SDK 包含源代碼、文檔、所有可使用的計(jì)算機(jī)操作系統(tǒng)平臺(tái)清單，包括 MS WINDOWS 和大部分 UNIX 平臺(tái)，源代碼的版本可根據(jù)需要而升級(jí)。對(duì)于 C/S 結(jié)構(gòu)的應(yīng)用，需開發(fā)一個(gè)適用于不同業(yè)務(wù)系統(tǒng)的代理 Agent，此代理的作用是截獲用戶的訪問請(qǐng)求，并轉(zhuǎn)發(fā)給 統(tǒng)一認(rèn)證 服務(wù)器，使其對(duì)動(dòng)態(tài)口令進(jìn)行驗(yàn)證。目前的業(yè)務(wù)系統(tǒng)操作人員還是使用固定密碼訪問系統(tǒng)，一旦密碼泄漏，對(duì)業(yè)務(wù)系統(tǒng)的安全運(yùn)行以及內(nèi)部數(shù)據(jù)的保密將構(gòu)成嚴(yán)重威脅。 自治區(qū)煙草安全規(guī)劃方案 建議書 30 ? 在 Web 登錄代理 系統(tǒng)中為基于 URL 的訪問制訂靈活、縝密的訪 問策略，為業(yè)務(wù)應(yīng)用提供針對(duì) Web 的訪問授權(quán)。 在不影響任何業(yè)務(wù)應(yīng)用的前提下，將 Web登錄代理 安裝在 Web服務(wù)器前端，同時(shí)，我們建議在客戶端： ? 為內(nèi)部人員分配硬件令牌卡，提供安全保障并便于攜帶使用。 Web 登錄代理 是安裝在 Web Server 前端提供反向代理功能的軟件。管理員可以利用令牌卡進(jìn)行本地或遠(yuǎn)程登錄，即使密碼在遠(yuǎn)程傳輸過程中被竊聽，由于動(dòng)態(tài)密碼是一次作廢，非法用戶竊聽到的口令已經(jīng)失效，徹底避免了盜用口令的隱患。 在需要保護(hù)的數(shù)據(jù)庫中配置使用 RADIUS 驗(yàn)證，將 RADIUS 服務(wù)器指向到統(tǒng)一認(rèn)證系統(tǒng) 內(nèi)置的 RADIUS Server，從而為數(shù)據(jù)庫的訪問提供身份驗(yàn)證。傳統(tǒng)的靜態(tài)口令認(rèn)證方式迫使數(shù)據(jù)庫管理員記憶大量的復(fù)雜密碼，要不就是所有管理用戶都使用同一個(gè)密碼，顯然這增加了管理人員的工作強(qiáng)度或者降低了系統(tǒng)安全性，二者不能兼顧。無論是IPsec VPN， PPTP，還是 SSL VPN，都能很好的同 統(tǒng)一認(rèn)證系統(tǒng) 結(jié)合。 在 VPN 網(wǎng)關(guān)上或是撥號(hào)路由器上配置使用 RADIUS 驗(yàn)證，將 RADIUS 服務(wù)器指向 統(tǒng)一認(rèn)證系統(tǒng) 內(nèi)置的 RADIUS Server，不用對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行任何調(diào)整，就可將 VPN 用戶與 統(tǒng)一認(rèn)證系統(tǒng) 相結(jié)合，對(duì)使用 VPN 接入的用 戶實(shí)現(xiàn)了高 自治區(qū)煙草安全規(guī)劃方案 建議書 28 強(qiáng)度的安全身份認(rèn)證。一旦非法用戶通過某種手段得到合法用戶的密碼，他們就可以通過 VPN 自由出入企業(yè)的內(nèi)部網(wǎng)絡(luò)，利用黑客工具，收集企業(yè)機(jī)密信息，攻擊應(yīng)用服務(wù)器，有可能造成非常嚴(yán)重的后果（例如：破壞關(guān)鍵服務(wù)器，盜取重要數(shù)據(jù)等等）。 VPN 系統(tǒng)提供 自治區(qū)煙草公司 網(wǎng)絡(luò) 的安全通道，使得從外網(wǎng)訪問用戶訪問內(nèi)部網(wǎng)絡(luò)上的應(yīng)用服務(wù)更加簡(jiǎn)單，數(shù)據(jù)傳輸更加安全。 Unix 系統(tǒng)的身份認(rèn)證結(jié)構(gòu)圖 遠(yuǎn)程接入或 VPN 接入用戶的認(rèn)證及授權(quán) 自治區(qū)煙草公司 網(wǎng)絡(luò) 系統(tǒng)存在一些遠(yuǎn)程接入人員，一些是內(nèi)部的移動(dòng)辦公人員，還有一些是代維的第三方人員，他們都需要通過外網(wǎng)接入 自治區(qū)煙草公司 網(wǎng)絡(luò) ，進(jìn)行遠(yuǎn)程訪問。 系統(tǒng)管理員通過終端登錄到服務(wù)器主機(jī)的時(shí)候，或使用 Ftp, rLogin, SSH, X Window, Su 登錄系統(tǒng)時(shí)， 登錄代理軟件 將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至 統(tǒng)一認(rèn)證 系統(tǒng)，在 統(tǒng)一認(rèn)證系統(tǒng) 對(duì)用戶的身份進(jìn)行有效核實(shí)后，將認(rèn)證的結(jié)果轉(zhuǎn)發(fā)給服務(wù)器主機(jī)，允許或拒絕用戶進(jìn)入，同時(shí)在系統(tǒng)日志中記錄認(rèn)證的全部過程。主機(jī)也是不法分子最好的目標(biāo)，因此，加強(qiáng)主機(jī)的安全保護(hù)十分重要。 網(wǎng)絡(luò)設(shè)備身份認(rèn)證的系統(tǒng)結(jié)構(gòu) 主機(jī)系統(tǒng)的身份認(rèn)證及授權(quán) 自治區(qū)煙草公司 網(wǎng)絡(luò) 系統(tǒng)中有大量的核心服務(wù)器，對(duì)這些服務(wù)器的管理需 要通過遠(yuǎn)程 Tel 或本機(jī)登錄認(rèn)證。為網(wǎng)絡(luò)管理員配置硬件令牌卡。具體配置和實(shí)現(xiàn)如下描述： 自治區(qū)煙草安全規(guī)劃方案 建議書 26 網(wǎng)絡(luò)設(shè)備的身份認(rèn)證及授權(quán) 在需要保護(hù)的骨干路由器、中心交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備中配置使用RADIUS 驗(yàn)證，將 RADIUS 服務(wù)器指向到 統(tǒng)一 認(rèn)證系統(tǒng) 內(nèi)置的 RADIUS Server。如： ? 角色授權(quán)，屬于什么角色的人可以訪問什么系統(tǒng) ? 時(shí)間授權(quán)，什么時(shí)間段可以訪問哪個(gè)系統(tǒng) ? 使用何種認(rèn)證方式（或認(rèn)證器）的人可以訪問哪個(gè)系統(tǒng) ? 可以對(duì)哪個(gè) IP 地址的系統(tǒng)訪問做控制 ? 合作伙伴可以從哪個(gè) VPN 系統(tǒng)進(jìn)入進(jìn)行訪問等 盡管 統(tǒng)一認(rèn)證系統(tǒng) 可以對(duì) 自治區(qū)煙草公司 網(wǎng)絡(luò) 系統(tǒng)中的所有網(wǎng)絡(luò)設(shè)備和系統(tǒng)進(jìn)行認(rèn)證和訪問控制，但在第一階段，我們建議先對(duì)系統(tǒng)管理員，第三方接入人員，以及操作權(quán)限較高的人員進(jìn)行認(rèn)證和管理。 4. 設(shè)置安全訪問策略， 統(tǒng)一認(rèn)證系統(tǒng) 提供基于角色的訪問控制策略， 管理員可以根據(jù)用戶的身份、所屬組織或訪問動(dòng)作的屬性來制定訪問策略。 沒有通過 統(tǒng)一認(rèn)證系統(tǒng) 檢驗(yàn)和授權(quán)的訪問將不被送到后臺(tái)真正的各種系統(tǒng)上。 首先確認(rèn)用戶的身份，然后控制用戶能去什么地方、哪些系統(tǒng)和網(wǎng)絡(luò)資源該用戶可以訪問。 統(tǒng)一認(rèn)證和授權(quán) 統(tǒng)一認(rèn)證系統(tǒng) 可以作為一個(gè)集中的認(rèn)證和訪問控制入口，為所有的用戶進(jìn)行認(rèn)證和授權(quán)。 ? 遠(yuǎn)程管理：通過遠(yuǎn)程連接方式，對(duì)下屬地區(qū)的用戶實(shí)現(xiàn)遠(yuǎn)程管 理。 ? 集中管理： 統(tǒng)一認(rèn)證系統(tǒng)的 系統(tǒng)管理員可以輕松的管理多個(gè) 統(tǒng)一認(rèn)證系統(tǒng) 上的用戶，不論在企業(yè)的管理中心或是其它地方，在 自治區(qū)煙草公司網(wǎng)絡(luò) 中可以建立一個(gè)中央控制臺(tái)來管理所有的用戶。規(guī)范了管理流程。用戶登陸系統(tǒng)時(shí)必須使用 統(tǒng)一認(rèn)證系統(tǒng) 上建立的自然人賬號(hào)，并用自己的令牌才可登陸。 通過管理控制 臺(tái)，為所有 IT 支撐網(wǎng)系統(tǒng)中需要認(rèn)證的用戶建立賬號(hào)（我們稱之為自然人賬號(hào)），設(shè)置用戶的各種屬性，并將每個(gè)自然人賬號(hào)上分配一個(gè)硬件口令牌。這樣完全解決了要求用戶密碼定期修改的問題。管理人員也無需定期通知用戶修改口令，因?yàn)閯?dòng)態(tài)口令本身每次登陸時(shí)使用的是不同的口令。 集中賬號(hào)口令管理 統(tǒng)一 認(rèn)證系統(tǒng)采用動(dòng)態(tài)口令的認(rèn)證方式來解決傳統(tǒng)的靜態(tài)口令存在的諸多 自治區(qū)煙草安全規(guī)劃方案 建議書 24 弊病，如口令易泄漏 ，多人使用同一賬號(hào)和口令等問題。除動(dòng)態(tài)口令之外， 統(tǒng)一認(rèn)證系統(tǒng) 在同一 臺(tái)認(rèn)證服務(wù)器中還支持其他幾乎所有已知的認(rèn)證方式 ,如：靜態(tài) 口令；基于同步方式的動(dòng)態(tài)口令；基于異步方式的動(dòng)態(tài)口令（挑戰(zhàn) 應(yīng)答）； IC卡；數(shù)字證書； USB口令牌； IP地址；短信認(rèn)證；生物辨認(rèn)技術(shù)。多因素包括： ? 用戶必須持有認(rèn)證器――口令牌 ? 用戶認(rèn)證器的保護(hù)――保護(hù)口令牌的 PIN 碼 ? 用戶登陸的信息――口令牌生成的口令 ? 用戶登陸信息的變化――口令牌每次生成的口令不同 通過這些多種因素的組合，確保用戶登陸時(shí)就是其本人，而不是因非法用戶盜取得到的口令而登陸系統(tǒng)。再安全的網(wǎng)絡(luò)環(huán)境下，用戶的身份信息被人盜取，那么業(yè)務(wù)系統(tǒng)中的 所有信息的機(jī)密性也就無從談起。無論在正常工作狀態(tài)下，還是發(fā)生單機(jī)故障時(shí)，SPA 系統(tǒng)的每臺(tái)服務(wù)器上均可以獨(dú)立完成全部的系統(tǒng)管理任務(wù)，真正實(shí)現(xiàn)認(rèn)證系統(tǒng)的高可用性。 正常工作狀態(tài)下，客戶端的請(qǐng)求按照配置的權(quán)重自動(dòng)分配到兩臺(tái)認(rèn)證服務(wù)器上，用以降低單臺(tái)服務(wù)器的工作負(fù)載，提高系統(tǒng)的運(yùn)轉(zhuǎn)性能。兩臺(tái)認(rèn)證服務(wù)器之間自動(dòng)進(jìn)行同步數(shù)據(jù)復(fù)制，確保數(shù)據(jù)的整體完整和協(xié)調(diào)一致。同時(shí)，啟用認(rèn)證服務(wù)器內(nèi)置的 RADIUS Server，做好為主機(jī)、網(wǎng)絡(luò)設(shè)備等資源提供身份認(rèn)證的準(zhǔn)備工作。 統(tǒng)一認(rèn)證授權(quán)系統(tǒng)技術(shù)方案 統(tǒng)一 認(rèn)證系統(tǒng)通過動(dòng)態(tài)口令卡、 PKI 數(shù)字證書、 IC 卡等多種通用認(rèn)證手段對(duì)用戶進(jìn)行身份驗(yàn)證，是一個(gè)對(duì)企業(yè)內(nèi)部系統(tǒng)及網(wǎng)絡(luò)設(shè)備的各種訪問進(jìn)行統(tǒng)一認(rèn)證、授權(quán)、審核的企業(yè)級(jí)認(rèn)證服務(wù)平臺(tái)，能夠確保企業(yè)用戶訪問各種資源的安全性，全面的實(shí)施和貫徹用戶制訂的資源訪問策略。 為了能夠保證這種插入機(jī)制的正確和安全，要確保插入的功能對(duì)于被監(jiān)管的 自治區(qū)煙草安全規(guī)劃方案 建議書 22 系統(tǒng)不產(chǎn)生不良的影響；同時(shí)還要確保插入的點(diǎn)不會(huì)使安全支撐域受到被監(jiān)管系統(tǒng)的影響。 安全支撐域不同于其他系統(tǒng)的獨(dú)特性在于，安全支撐域會(huì)以代理 Agent 的方式或者提供調(diào)用服務(wù)的方式，插入（ pluginto）到被監(jiān)管的系統(tǒng)中。具體來說可能包括如下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、安全管理中心等。 安全服務(wù)域和其他域之間邊界和連線的防護(hù)要點(diǎn)：安全服務(wù)域邊界上的安全網(wǎng)關(guān)，主要考慮訪問控制的要求；安全服務(wù)域邊界上的監(jiān)測(cè)，監(jiān)測(cè)內(nèi)容包括：入侵、病毒、蠕蟲、流量、應(yīng)用等；安全服務(wù)域邊界上的惡意代碼防護(hù)；安全服務(wù)域中的服務(wù)器和其他域的服務(wù)器發(fā)生業(yè)務(wù)關(guān)聯(lián)時(shí)，很可能需要考慮加密傳輸?shù)鹊取? 自治區(qū)煙草安全規(guī)劃方案 建議書 21 主要需要解決的安全問題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等等。 安全服務(wù)域 在局域范圍內(nèi)存儲(chǔ)，傳輸、處理同類數(shù)據(jù)，具有相同安全等級(jí)保護(hù)的單一計(jì)算機(jī)（主機(jī) /服務(wù)器）或多個(gè)計(jì)算機(jī)組成了安全服務(wù)域，不同數(shù)據(jù)在計(jì)算機(jī)的上分布情況，是確定安全服務(wù)域的基本依據(jù)。 對(duì)安全接入域邊界上流經(jīng)的數(shù)據(jù)進(jìn)行檢測(cè)，監(jiān)測(cè)內(nèi)容包括：入侵、病毒、蠕蟲、流量、應(yīng)用等； 在安全接入域邊界上進(jìn)行惡意代碼防護(hù)； 安全接入域和其他安全域的互聯(lián)方式可能需要加密傳輸， VPN 就是 一種常見的方式； 為了防止安全接入域內(nèi)的用戶突破或者繞過，需要建立防止客戶端非授權(quán)訪問的控制系統(tǒng)，如非法外聯(lián)系統(tǒng)可以防止客戶端通過撥號(hào)、無線網(wǎng)卡等方式繞過邊界防護(hù)； 為了防止安全接入域內(nèi)的用戶互相嗅探并且越權(quán)操作，需要對(duì)用戶和其相應(yīng)的客戶端進(jìn)行分組。 安全接入域的邊界防護(hù)，主要是要保證從安全接入域到其他域的訪問都是由可信的用戶從可信的客戶端上發(fā)起的；同時(shí)還要保證安全接入域不受其他域的侵害和影響。對(duì)于非常不可信的用戶和客戶端，可以重點(diǎn)部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲傳播和拒絕服務(wù)攻擊。 安全接入域內(nèi)節(jié)點(diǎn)的防入侵；可以在客戶端部署單機(jī)防入侵系統(tǒng)。 安全接入域內(nèi)的防護(hù)要點(diǎn)： 安全接入域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；進(jìn)而可以部署補(bǔ)丁管理等強(qiáng)制系統(tǒng)。 主要需要解決的安全問題包括：用戶主體的信任問題，也就是對(duì)于用戶的身份認(rèn)證；客戶端主機(jī)的信任問題，也就是客戶端是否被感染和侵占；安全接入域內(nèi)，主機(jī)（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個(gè)客戶端對(duì)于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個(gè)用戶之 間的混淆，導(dǎo)致非授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。當(dāng)一個(gè)安全接入域中的終端能訪問多個(gè)安全服務(wù)域時(shí)，該安全接入域的安全防護(hù)等級(jí)應(yīng)與這些安全服務(wù)域的最高安全等級(jí)相同。 安全接入域 由訪問同類數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所 自治區(qū)煙草安全規(guī)劃方案 建議書 19 能訪問的安全服務(wù)域中的數(shù)據(jù)類和用戶 計(jì)算機(jī)所處的物理位置來確定?；谶@樣的防護(hù)原則，其中主要采用的安全措施包括：路由器本身的路由和過濾功能；交換機(jī)的 ACL 功能；線路的監(jiān)測(cè)功能。 安全互聯(lián)域有時(shí)會(huì)將其他域的邊界融合