【正文】 器的防護(hù)，如：郵件服務(wù)器需要部署垃圾郵件過濾等等。 安全支撐域?yàn)檎麄€ IT 架構(gòu)提供集中的安全服務(wù)，進(jìn)行集中的安全管理和監(jiān)控以及響應(yīng)。主要需要解決的安全問題包括：安全支撐域要能夠?qū)τ谄渌踩蛱峁┍匾陌踩?；安全支撐域自身不能帶來新的安全風(fēng)險(xiǎn)，要做好自身的防護(hù)。代理方式比如：業(yè)務(wù)支撐系統(tǒng)會放置計(jì)費(fèi)前端服務(wù)器在業(yè)務(wù)系統(tǒng)中，安全監(jiān)控系統(tǒng)會將 IDS 等檢測引擎放置在被監(jiān)控的網(wǎng)絡(luò)中等等；調(diào)用服務(wù)方式比如：認(rèn)證中心提供證書服務(wù)或者其他認(rèn)證服務(wù)。因此插入點(diǎn)和安全支撐域之間常常需要采用相應(yīng)的安全措施，比如：帶外管理：即插入點(diǎn)到安全支撐域之間建立單獨(dú)的物理鏈路或者 vpn 連接；鏈路加密：插入點(diǎn)和安全支撐域之間的數(shù)據(jù)傳輸和命令傳輸都使用加密傳輸，比如采用 ssl 等；插入點(diǎn)自身安全性：插入點(diǎn)對于安全支撐域來說屬于域外的飛地，因此對于插入點(diǎn)要能夠做到比較強(qiáng)的安全性，其產(chǎn)品的安全性可以用 CC 的等級來描述。根據(jù)深圳市**公司網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全需求，提出解決方案如下： 認(rèn)證服務(wù)器高可用性部署在深圳市**公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上，部署兩臺 MS Windows 2022服務(wù)器，安裝統(tǒng)一認(rèn)證子系統(tǒng)，形成兩臺相互復(fù)制的認(rèn)證服務(wù)器，用以實(shí)現(xiàn)冗余備份及負(fù)載分擔(dān)。整體上，由這兩臺認(rèn)證服務(wù)器提供網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證、授權(quán)、審核以及用戶管理。當(dāng)用戶需求增加，兩臺服務(wù)器已經(jīng)不能滿足大量的認(rèn)證請求時，或23 / 86需要考慮高可靠災(zāi)難冗余時，統(tǒng)一認(rèn)證系統(tǒng)可以簡單、迅速的增加鏡像服務(wù)器的數(shù)量，近乎無限的擴(kuò)充認(rèn)證的支持?jǐn)?shù)目，確保用戶的投資得到保護(hù)。當(dāng)某臺認(rèn)證服務(wù)器出現(xiàn)故障時，另外一臺服務(wù)器零間隙、無延時的自動接管原故障服務(wù)器的認(rèn)證服務(wù)，直到故障服務(wù)器恢復(fù)正常。 統(tǒng)一身份認(rèn)證身份認(rèn)證是保護(hù)業(yè)務(wù)系統(tǒng)中非常重要的一個部份。為了解決傳統(tǒng)靜態(tài)口令認(rèn)證存在的各種弊病和安全隱患，統(tǒng)一認(rèn)證系統(tǒng)采用多因素身份認(rèn)證方式動態(tài)口令認(rèn)證來加強(qiáng)用戶對各種系統(tǒng)訪問前的身份認(rèn)證問題。對于深圳市**公司這種大型企業(yè)來說，內(nèi)部的應(yīng)用和人員角色都很多，反映到IT 系統(tǒng)中會導(dǎo)致不同的認(rèn)證強(qiáng)度的要求，在后續(xù)的使用過程中會需要按照每個應(yīng)用的實(shí)際要求來確認(rèn)認(rèn)證強(qiáng)度。通過在一個平臺上支持多種身份認(rèn)證手段，來實(shí)現(xiàn)對用戶統(tǒng)一的身份認(rèn)證24 / 86和統(tǒng)一的身份管理。在介紹此方案之前，我們先確定如下兩個概念：? 自然人賬號：企業(yè)人員唯一的賬號信息? 資源賬號：資源系統(tǒng)內(nèi)部賬號信息在深圳市**公司網(wǎng)絡(luò)系統(tǒng)中，為每人頒發(fā)一個硬件口令牌，擯棄原有的靜態(tài)口令認(rèn)證方式，用戶無需再記憶自已的口令，每次登陸系統(tǒng)時，只需輸入從硬件口令牌中得到的口令即可。用過的口令立刻作廢，不能再使用。也解放了管理人員在這方面的工作。同時在各個需訪問的系統(tǒng)上（網(wǎng)絡(luò)設(shè)備或主機(jī)）為每一個用戶建立一個賬號（我們稱之為資源賬號） ，將資源賬號與統(tǒng)一認(rèn)證上建立的自然人賬號綁定。徹底解決多人使用同一賬號和口令的問題。 通過統(tǒng)一認(rèn)證系統(tǒng)的策略管理組件，管理人員可以設(shè)置動態(tài)口令安全策略：? 動態(tài)口令的長度? 動態(tài)口令的組合方式：數(shù)字、字母還是數(shù)字字母的混合? 保護(hù)動態(tài)口令牌的 PIN 碼長度? 動態(tài)口令工作方式：同步，挑戰(zhàn)／應(yīng)答 對用戶的管理：為方便管理需求，可以實(shí)現(xiàn)對用戶的集中管理，分級管理，25 / 86委托管理和遠(yuǎn)程管理。? 分級管理：可以將用戶分成組，并為每一個組指定本地管理員，這個管理員只可管理本組而不能管理其他的組。? 委托管理：對于臨時的工作，可以委托他人管理用戶信息。并對用戶的訪問做集中的控制。統(tǒng)一認(rèn)證系統(tǒng)根據(jù)用戶的任務(wù)以及與組織的關(guān)系來提供粒狀授權(quán)，來控制用戶可能訪問什么，不可以訪問什么。集中認(rèn)證和訪問控制流程如下：1. 在統(tǒng)一認(rèn)證系統(tǒng)管理平臺上注冊深圳市**公司網(wǎng)絡(luò)系統(tǒng)內(nèi)的 IT 資源；2. 對每一個用戶選擇為動態(tài)口令認(rèn)證方式；3. 為用戶分配其可訪問的 IT 資源，包括撥號服務(wù)器、路由器、交換機(jī)，防火墻、主流的 UNIX 系統(tǒng)主機(jī)、VPN、Windows 系統(tǒng)、B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)，C/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)等。制定詳細(xì)的訪問控制規(guī)則。對于系統(tǒng)來講，我們建議，先對核心網(wǎng)絡(luò)設(shè)備，主機(jī)和 VPN 接入及重要的 Web 系統(tǒng)做訪問控制。從而為網(wǎng)絡(luò)設(shè)備的訪問提供身份認(rèn)證和授權(quán)。不同的網(wǎng)絡(luò)設(shè)備通過標(biāo)準(zhǔn)的 RADIUS 協(xié)議使用統(tǒng)一認(rèn)證系統(tǒng)服務(wù)器進(jìn)行身份認(rèn)證，由于統(tǒng)一認(rèn)證系統(tǒng)系統(tǒng)動態(tài)口令的優(yōu)勢，網(wǎng)絡(luò)管理員可以利用令牌卡進(jìn)行遠(yuǎn)程登錄，如果使用基于挑戰(zhàn)－應(yīng)答的異步密碼方式，由于密碼根本不在傳輸過程中出現(xiàn)，從而可以徹底避免密碼在網(wǎng)絡(luò)中明文傳輸和泄漏的問題。應(yīng)用系統(tǒng)的管理員管理著業(yè)務(wù)系統(tǒng)主機(jī)，承27 / 86擔(dān)很大的安全風(fēng)險(xiǎn)。在服務(wù)器主機(jī)上安裝統(tǒng)一認(rèn)證系統(tǒng)的登錄代理軟件，并做好相應(yīng)的配置。通過動態(tài)口令認(rèn)證的方式，確保能夠限制未經(jīng)授權(quán)的用戶無法登錄到服務(wù)器主機(jī)上。對于這些人員有的是通過 VPN 接入，有些是通過撥號路由器撥號接入。但同時帶來的安全隱患也是不容忽視的。我們建議使用統(tǒng)一認(rèn)證系統(tǒng)的動態(tài)口令來解決 VPN 系統(tǒng)的撥號系統(tǒng)存在的嚴(yán)重安全缺陷。對于 VPN 產(chǎn)品同統(tǒng)一認(rèn)證系統(tǒng)的集成，我們已經(jīng)有很多的案例。 圖：遠(yuǎn)程接入認(rèn)證系統(tǒng)結(jié)構(gòu)圖 數(shù)據(jù)庫管理的身份認(rèn)證及授權(quán)數(shù)據(jù)庫是業(yè)務(wù)運(yùn)營的重中之重，而數(shù)據(jù)庫的管理也存在著身份認(rèn)證的要求。由于工作的需要，數(shù)據(jù)庫管理人員經(jīng)常需要通過29 / 86遠(yuǎn)程控制臺等方式連接到數(shù)據(jù)庫進(jìn)行操作，對于非加密的遠(yuǎn)程連接，輸入的靜態(tài)密碼在網(wǎng)絡(luò)中是明文傳播的，很有可能被竊聽并非法利用，形成安全隱患。為數(shù)據(jù)庫管理員配置硬件令牌卡。數(shù)據(jù)庫管理用戶身份認(rèn)證結(jié)構(gòu)圖 基于 Web 的運(yùn)營系統(tǒng)的身份認(rèn)證及授權(quán)對于深圳市**公司網(wǎng)絡(luò)系統(tǒng)上基于 Web 的運(yùn)營系統(tǒng)，可以采用統(tǒng)一認(rèn)證系統(tǒng)的 Web 登錄代理將統(tǒng)一認(rèn)證系統(tǒng)和運(yùn)營系統(tǒng)相集成。它和后端的 Web Server 在對 Web 請求的處理上面是分離的，首先由 Web 登錄代理截獲 Web 用戶的訪問請求，將用戶的信息送到統(tǒng)一認(rèn)證系統(tǒng)，如果經(jīng)過判斷這個用戶為合法用戶，那么統(tǒng)一認(rèn)證系統(tǒng)將用戶對 Web 頁面訪問權(quán)限和相關(guān)信息傳遞給 Web 登錄代理 ，Web 登錄代理對用戶 Web 請求進(jìn)行判斷，然后將允許的 Web 請求傳遞到 Web Server 上，Web Server 對用戶的請求做出相關(guān)的回應(yīng)，從而實(shí)現(xiàn)對 Web 訪問用戶的身份認(rèn)證和訪問控制。? 為代理商分發(fā)硬件令牌，該令牌帶有鑰匙扣，攜帶方便，同時可以用硬 Pin碼保護(hù)，能夠支持同步口令和異步挑戰(zhàn)－應(yīng)答口令，在保證安全需求前提下，方便使用分發(fā)。 圖 5　Web 系統(tǒng)的身份認(rèn)證結(jié)構(gòu) 基于 C/S 結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)的身份認(rèn)證在深圳市**公司網(wǎng)絡(luò)中同時也存在大量的基于 C/S 結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)操作員通過 Client 端和 Server 端建立連接，進(jìn)行相應(yīng)業(yè)務(wù)方面的處理。鑒于業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中所處的重要位置，我們建議對這些業(yè)務(wù)系統(tǒng)也實(shí)施統(tǒng)一身份認(rèn)證。使用統(tǒng)一認(rèn)證系統(tǒng)提供的 SDK，可以非常容易的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)的無縫結(jié)合。在業(yè)務(wù)系統(tǒng)服務(wù)器上安裝好 Agent 后，當(dāng)操作員連接到業(yè)務(wù)系統(tǒng)時，服務(wù)器獲取操作員的用戶戶名和密碼，并且通過加密方式將其傳送到統(tǒng)一認(rèn)證服務(wù)器，由統(tǒng)一認(rèn)證服務(wù)器比較服務(wù)器送來的用戶名和動態(tài)密碼是否和統(tǒng)一認(rèn)證服務(wù)器中的用戶名及生成的動態(tài)密碼相一致，從而確認(rèn)用戶的身份是否正確，并將認(rèn)證結(jié)果（是或否）返回給業(yè)務(wù)系統(tǒng)服務(wù)器，同時將認(rèn)證過程記錄于統(tǒng)一認(rèn)證系統(tǒng)日志中，業(yè)務(wù)系統(tǒng)服務(wù)器收到認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，根據(jù)其認(rèn)證成功與否決定是否允許用戶調(diào)用應(yīng)用系統(tǒng)中的應(yīng)用程序。圖：C/S 結(jié)構(gòu)業(yè)務(wù)系統(tǒng)認(rèn)證結(jié)構(gòu)圖 深圳市 **公司網(wǎng)絡(luò)安全評估 風(fēng)險(xiǎn)評估簡介風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的重要組成部分，要想更好地理解風(fēng)險(xiǎn)評估，首先要了解風(fēng)險(xiǎn)管理。是一個識別、控制、降低或消除安全風(fēng)險(xiǎn)的活動，通過風(fēng)險(xiǎn)評估來識別風(fēng)險(xiǎn)大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個可被接受的水平。風(fēng) 險(xiǎn) 管 理風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評 估 降 低 風(fēng) 險(xiǎn)圖：風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評估是對組織存在的威脅進(jìn)行評估、對安全措施有效性進(jìn)行評估、以及對系統(tǒng)弱點(diǎn)被利用的可能性進(jìn)行評估后的綜合結(jié)果，是風(fēng)險(xiǎn)管理的重要組成部分，是信息安全工作中的重要一環(huán)。33 / 86風(fēng)險(xiǎn)關(guān)系圖在上述關(guān)系圖中：資產(chǎn)指組織要保護(hù)的資產(chǎn)，是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。弱點(diǎn)是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產(chǎn)造成危害，但弱點(diǎn)可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。一般來說，威脅總是要利用組織網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對資產(chǎn)造成傷害。安全風(fēng)險(xiǎn)是環(huán)境中的威脅利用弱點(diǎn)造成資產(chǎn)毀壞或損失的潛在可能性。資產(chǎn)、威脅、弱點(diǎn)及保護(hù)的任何變化都可能帶來較大的風(fēng)險(xiǎn)，因此，為了降低安全風(fēng)險(xiǎn)，應(yīng)對環(huán)境或系統(tǒng)的變化進(jìn)行檢測以便及時采取有效措施加以控制或防范。安全措施主要體現(xiàn)在檢測、阻止、防護(hù)、限制、修正、恢復(fù)和監(jiān)視等多方面。通常安防措施只是降低了安全風(fēng)險(xiǎn)而并未完全杜絕風(fēng)險(xiǎn)，而且風(fēng)險(xiǎn)降低得越多，所需的成本就越高。 評估目的進(jìn)行風(fēng)險(xiǎn)評估的目的通常包括以下幾個方面：? 了解組織的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；? 確定可能對資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖分子和自然災(zāi)害；? 通過對歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性；? 對可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；? 對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；? 明晰組織的安全需求，指導(dǎo)組織建立安全管理框架，提出安全建議，合理規(guī)劃未來的安全建設(shè)和投入。? 通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全35 / 86管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析。? 通過對以上各種安全風(fēng)險(xiǎn)的分析和匯總，形成組織安全風(fēng)險(xiǎn)評估報(bào)告。 時機(jī)在信息系統(tǒng)的生存周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術(shù)環(huán)境、物理環(huán)境進(jìn)行風(fēng)險(xiǎn)評估：? 在設(shè)計(jì)規(guī)劃或升級至新的信息系統(tǒng)時；? 給目前的信息系統(tǒng)增加新應(yīng)用時；? 在與其它組織（部門）進(jìn)行網(wǎng)絡(luò)互聯(lián)時；? 在技術(shù)平臺進(jìn)行大規(guī)模更新（例如，從 Linux 系統(tǒng)移植到 Solaris 系統(tǒng)）時；? 在發(fā)生計(jì)算機(jī)安全事件之后，或懷疑可能會發(fā)生安全事件時；? 關(guān)心組織現(xiàn)有的信息安全措施是否充分或是否具有相應(yīng)的安全效力時；? 在組織具有結(jié)構(gòu)變動（例如，組織合并）時；? 在需要對信息系統(tǒng)的安全狀況進(jìn)行定期或不定期的評估、以查看是否滿足組織持續(xù)運(yùn)營需要時等。? 可控性原則評估過程和所使用的工具具有可控性。? 整體性原則評估服務(wù)從組織的實(shí)際需求出發(fā)，從業(yè)務(wù)角度進(jìn)行評估，而不是局限于網(wǎng)絡(luò)、主機(jī)等單個的安全層面，涉及到安全管理和業(yè)務(wù)運(yùn)營，保障整體性和全面性。? 保密性原則從公司、人員、過程三個方面進(jìn)行保密控制：? 公司雙方簽署保密協(xié)議，不得利用評估中的任何數(shù)據(jù)進(jìn)行其他有損甲方利益的用途；? 人員保密，公司內(nèi)部簽訂保密協(xié)議；? 在評估過程中對評估數(shù)據(jù)嚴(yán)格保密。它們或者在基本概念上，或者在信息安全管理上，為我們提供了國際化的準(zhǔn)則。? NIST SP 80030——美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會(NIST)開發(fā)的信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南。? ISO17799——由英國標(biāo)準(zhǔn)協(xié)會 BSI（British Standard Institute）開發(fā)的，后來成為信息安全管理體系的國際標(biāo)準(zhǔn)。? OCTAVE——Operationally Critical Threat, Asset, and Vulnerability Evaluation，由美國卡耐基梅隆大學(xué)軟件工程學(xué)院開發(fā)的一種風(fēng)險(xiǎn)評估方法。? G51——安全風(fēng)險(xiǎn)評估及審計(jì)指南? ISO15408 / CC? GB/T 18336——信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則? GB 178591999——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 風(fēng)險(xiǎn)評估模型本方案中提供的風(fēng)險(xiǎn)評估與管理模型參考了多個國際風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，建立安全風(fēng)險(xiǎn)管理流程模型、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型，共同組成安全風(fēng)險(xiǎn)模型。安全風(fēng)險(xiǎn)管理過程模型如圖所示。風(fēng)險(xiǎn)評估包括資產(chǎn)評估、威脅分析、弱點(diǎn)分析、風(fēng)險(xiǎn)計(jì)算等方面。通過上述描述的重要過程，向組織提交組織風(fēng)險(xiǎn)評估綜合報(bào)告，主要目的是提供風(fēng)險(xiǎn)列表，歸類風(fēng)險(xiǎn)等級。風(fēng)險(xiǎn)評估管理系統(tǒng)還包括設(shè)備弱點(diǎn)庫和弱點(diǎn)資料庫。安全需求分析根據(jù)組織安全風(fēng)險(xiǎn)評估報(bào)告，確定組織的有效安全需求。同時在考慮組織安全建設(shè)投資的合理性、針對性、適當(dāng)性、有效性?？紤]的方面包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略等內(nèi)容，并且注重高可用性、動態(tài)性、整體性。風(fēng)險(xiǎn)控制包括降低、控制、轉(zhuǎn)移風(fēng)險(xiǎn)，以及不加控制的殘余風(fēng)險(xiǎn)。在降低風(fēng)險(xiǎn)的需求和風(fēng)險(xiǎn)控制的代價(jià)之間取得平衡。監(jiān)控審核在整個組織的風(fēng)險(xiǎn)管理過程中，每一個步驟都需要進(jìn)行監(jiān)控和審核程序，保證整個評估過程的規(guī)范，安全，可