济宁信息安全解决方案.docx

济宁职业技术学院 信息安全解决方案 北京启明星辰信息技术股份有限公司 Venus Information Technology ( Beijing ) 2011年4月 文档说明 本文档内容为济宁职业技术学院信息系统网络安全的建议书，旨在通过本文档为济宁职业技术学院的信息系统提供安全保障的思路和建议。 本文档所涉及到的文字、图表等，仅限于北京启明星辰信息技术股份有限公司及济宁职业技术学院使用，未经同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 目 　录 1 概述 6 1.1 建设目标 6 1.2 设计原则 7 2 需求分析 10 2.1 物理层安全风险分析 10 2.1.1 物理设备的脆弱性 10 2.1.2 环境因素的脆弱性分析 11 2.2 网络层安全风险分析 11 2.2.1 网络的访问控制 11 2.2.2 内部用户的违规行为 12 2.2.3 网络拓扑结构的安全风险 12 2.2.4 内部网用户带来的安全威胁 12 2.2.5 数据库的安全风险 13 2.2.6 网络动态监控 13 2.2.7 互连设备的安全隐患 14 2.2.8 网络设备的风险分析 14 2.3 系统层的安全风险分析 14 2.3.1 Windows NT/2000/XP的安全问题 15 2.3.2 Unix的安全问题 15 2.3.3 主机访问安全脆弱性 16 2.3.4 泄密信息安全控制 16 2.4 应用层安全风险分析 16 2.4.1 恶意代码 16 2.4.2 抵赖性 17 2.4.3 入侵取证问题 17 2.4.4 应用系统自身的脆弱性 18 2.5 管理层安全风险分析 18 2.5.1 误操作 18 2.5.2 人为故意 18 2.5.3 安全意识 19 2.5.4 管理手段 19 3 安全保障设计思路 20 3.1 保障框架 20 3.1.1 安全保障总体框架 20 3.1.2 信息风险模型 21 3.1.3 三观安全体系 22 3.2 安全保障模型 23 3.2.1 安全事件处理模型—PDR模型 23 3.2.2 信息安全保障体系建设模型—花瓶模型 24 4 安全解决方案设计 26 4.1 安全保障体系建设内容 26 4.2 安全域的划分 27 4.2.1 安全域划分原则 28 4.3 网络防护子系统建设 29 4.3.1 网络防护 29 4.4 网络监控子系统建设 30 4.4.1 脆弱性监控 30 4.4.2 内部威胁监控 31 4.4.3 应用监控 31 4.5 应用审计子系统建设 31 4.5.1 网络行为审计 31 4.5.2 业务行为审计 32 4.6 安全管理子系统建设 32 4.6.1 安全管理组织 33 4.6.2 安全管理策略 33 4.6.3 安全管理制度 34 5 信息系统安全部署方案 35 5.1 产品部署 35 5.2 产品选型和报价 36 6 安全咨询服务 37 6.1 安全评估与审计服务 37 6.1.1 评估范围 37 6.1.2 评估内容 38 6.1.3 评估流程 38 6.1.4 评估方法 38 6.1.5 评估工具 46 6.1.6 形成报告 47 6.2 增强与加固服务 47 6.2.1 服务描述 47 6.2.2 服务流程 48 6.2.3 安全加固服务内容 50 7 方案优势 52 7.1 产品优势 52 7.2 安全技术优势 52 7.3 工程能力优势 53 7.4 案例优势 53 8 安全产品指标要求 56 8.1 入侵检测 56 8.2 网络安全审计 57 8.3 漏洞扫描 59 8.4 WEB安全防护网关 61 8.5 安全服务 63 1 概述 济宁职业技术学院是经教育部备案山东省人民政府批准成立的全日制国办普通高等职业院校，向全社会宣传科教兴国战略和人才强国战略，培养高素质人才的场所。 随着校园数字化进程的加快，济宁职业技术学院希望加大数字化改造的力度，以实际行动充分发挥现在网络系统的优势，努力提高办学能力。建设数字化网络环境、数字化教学资源、数字化教学与学习环境、数字化管理手段和工作环境，实现数字化学习、数字化教学、数字化科研和数字化管理。 济宁职业技术学院是一个融合了多种网络、多种终端、多种传输路径的教育平台。利用网络系统为教师和学生提供服务，整合各种优质教育资源，方便快捷的现代传输方式满足多样化的学习需求。 随着网络规模的扩大，网络安全问题也成为一个重点需要解决的问题。网络安全是一个复杂的、相对的、动态的系统工程，它贯穿于信息系统的整个生命周期之中，其核心任务是综合运用技术、管理等手段，保障济宁职业技术学院信息系统的安全运行，保证业务的连续性。 同时，随着国家等级保护制度相关标准的出台，为了贯彻等级化保护“坚持积极防御、综合防范”的方针，济宁职业技术学院网络建设也需要进行整体安全体系规划设计，全面提高信息安全防护能力，满足国家等级保护制度的相关要求，保障信息系统安全稳定的运行。 1.1 建设目标 济宁职业技术学院系统安全解决方案的目标是建立适用于济宁职业技术学院的信息安全保障体系，保障网络与业务系统的安全性和稳定性，保证相关信息的保密性、完整性和可用性。 n 建立济宁职业技术学院信息安全保障体系 随着IT技术的融入，济宁职业技术学院的信息系统逐步成为日常办公也主要业务的支撑网络，信息安全建设作为IT建设的重要组成部分，在保障济宁职业技术学院各业务系统涉及的物理、网络、系统、应用、终端等各IT层面的安全方面，都具有十分重要的意义。 信息安全是一个复杂的、相对的、动态的系统工程，它贯穿于信息系统的整个生命周期之中，为有效保障济宁职业技术学院的信息安全，必须从济宁职业技术学院网络信息化的实际需求出发，建立一个本地化的信息安全保障体系，综合运用技术、管理等手段，保障济宁职业技术学院网络和各业务系统的正常运行，保证业务的连续性。 n 保证业务持续性，促进业务安全稳定发展 信息安全必须为业务服务，脱离业务的信息安全也就失去了其真正的意义。 随着业务的发展，济宁职业技术学院对信息系统的依赖越来越高，因此信息安全体系的重要性也就越来越突出。另一方面，随着信息技术的飞速发展，信息技术已经实现了从支持业务发展到促进业务发展的转变，信息安全的含义也从保障系统的稳定运行发展到全面促进业务开展。 n 保证信息的机密性、完整性和可用性 信息安全体系必须保证信息的机密性、完整性和可用性，这是信息安全体系建设的重要目标。信息的保密性、完整性和可用性对保持济宁职业技术学院的竞争优势、效益、法律法规符合性和社会形象都是至关重要的。 1.2 设计原则 济宁职业技术学院信息安全解决方案的设计遵循以下原则： n 合规性原则 合规性原则指济宁职业技术学院信息安全保障体系的设计必须满足外部的合规要求。 我国针对涉及国家安全、经济命脉、社会稳定的重点行业、重点企业的关键信息系统发布了一系列文件，要求开展风险评估和等级保护工作，建立信息安全保障体系。作为国家教育类的济宁职业技术学院，济宁职业技术学院也须遵守国家等级保护的基本制度 除我国的等级保护制度外，济宁职业技术学院信息系统的安全解决方案设计还遵循了国际和国内的相关标准和规范，遵循了国内外的行业惯例与最佳实践指导，遵循了国内外相关信息安全项目的建设规范。 n 综合防范原则 信息安全是一个庞大的系统工程，信息系统任何一个环节的疏漏都有可能导致安全事件的发生。因此，济宁职业技术学院信息安全解决方案的设计坚持综合防范原则，以保证未来各类安全措施的全面和完整。 n 适度保护原则 在信息安全方面没有必要也不可能追求绝对的安全。一方面过度的追求安全不但将大大提高信息安全的成本，还往往会影响业务的正常开展，大大降低业务活动的灵活性；另一方面信息安全工作过于薄弱又会给业务开展留下很大的隐患。因此方案设计依据适度保护原则，即济宁职业技术学院信息安全工作的目标是将信息安全风险控制在合理的、可接受的范围内。 n 先进性原则 济宁职业技术学院信息安全解决方案的设计充分借鉴了国际信息安全实践经验，做到技术先进，理念领先，以“站在巨人的肩膀上看问题”的姿态，实现信息安全保障体系建设的跨越式发展。 n 成熟性原则 充分借鉴国际信息安全最佳实践，采用成熟的技术，规避风险，济宁职业技术学院信息安全解决方案的设计采用了成熟的技术和产品，防止由于单纯追求技术领先而成为先进技术的试验品。 n 可扩展性原则 方案设计充分考虑了济宁职业技术学院未来一段时间内网络、业务规模和网络安全需求的变化，能够实现对新业务网络的安全保障，具有较强的可扩展性，有效保护了用户的投资。 n 最小影响原则 信息安全的建设不能影响原有业务系统的正常运行，济宁职业技术学院信息安全解决方案的设计充分考虑到这一点，从项目管理、技术应用和产品选型等众多的层面综合优化，使信息安全建设对原有业务系统和网络的正常运行不造成影响或将所可能造成的影响降到最低程度。 2 需求分析 针对济宁职业技术学院实际的网络情况，对其信息系统进行需求和风险分析，将从以下层面进行： n 物理层安全风险: 物理设备的脆弱性分析、物理设备和线路的泄漏分析、环境因素的脆弱性分析。 n 网络层安全风险：网络资源的访问控制脆弱性分析、可能存在的入侵脆弱性分析、网络旁路分析、非法访问分析、假冒攻击、网络设备安全隐患分析。 n 系统层安全风险：操作系统本身的脆弱性分析、对操作系统本身的安全配置脆弱性分析、个人用机安全的脆弱性分析。 n 应用层安全风险：恶意代码分析、应用系统自身脆弱性分析、抵赖性分析、取证分析、应用系统的认证分析、应用系统的审计分析。 n 管理层安全风险：操作失误、人为故意、安全意识、安全管理制度。 2.1 物理层安全风险分析 物理层面的安全风险指针对物理环境、设备及介质的安全风险。主要表现在以下方面。 2.1.1 物理设备的脆弱性 网络信息系统存在的载体为计算机、服务器、交换机、线路等物理设备，这些物理设备本身也存在一定的安全风险。比如： n 设备的损坏、介质老化造成的数据丢失和数据交换可靠性的降低等； n 可能存在的恶意的物理破坏，比如存放相对集中的服务器区等； n 可移动存储设备丢失、被盗，造成涉密信息泄露； n 设备网络接口与数据接口没有采取有效的访问控制，造成非授权使用。 2.1.2 环境因素的脆弱性分析 环境因素的脆弱性对系统造成的安全威胁也比较大，比如机房的防火和防盗措施还不够完善、介质和介质数据因机房出入控制不严或管理不善丢失或被盗窃、毁坏。 介质管理不严或废弃介质处理不当，导致信息的随意复制或泄漏等。 2.2 网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路，许多安全问题都集中体现在网络的安全方面。由于济宁职业技术学院的信息系统所采用的基础协议TCP/IP在设计之初没有考虑到安全方面的因素，导致协议自身存在一些安全隐患。网络入侵者一般利用协议上的隐患，采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 网络的边界访问控制安全是网络安全的重要环节，其指导思想在于：避免造成旁路可通，避免可疑用户跨过控制区进入敏感区；把不同需求的用户划分为不同的组或域，从而加强对用户非法访问的控制；避免造成信息流瓶颈，降低网络的整体性能。 2.2.1 网络的访问控制 随着济宁职业技术学院网络规模的扩大，仅仅依赖现有的交换设备的配置策略已经不能够满足需求，交换设备很难做到细粒度的访问策略，这就势必给内部的访问造成混乱，无法对相应的服务和访问进行有效的控制，整个网络区域没有通过较好的技术手段对网络进行一个合理的划分，将网络划分为安全区域与非安全区域，也没有根据部门与部门之间实际的业务需求进行细粒度的访问控制，这就给网络内部重要服务器和重要部门的安全管理带来了不可忽视的安全隐患。 2.2.2 内部用户的违规行为 虽然济宁职业技术学院目前对不同级别的网络之间配置了防火墙，但防火墙只能防外不防内，初步抵御网络外部安全威胁；同时通常的防火墙只能对用户连接情况进行控制，并不能监控用户的其它动作行为；其控制规则的设定是静态的，不具智能化特点；可疑人员可能绕过防火墙、或骗过防火墙进入网络内部，或内部人员直接对服务器系统（操作系统、数据库系统和各种应用系统）通过网络实施各种攻击，防火墙都无能为力。 更重要的是，防火墙实现的是边界控制，对内部的用户没有任何约束力，因此，应该采取有效的技术措施，弥补防火墙的不足。 2.2.3 网络拓扑结构的安全风险 网络拓扑结构的安全性能优化是网络安全的重要环节，同时也是一项基本措施，其指导思想在于：避免造成旁路可通，以利于实施统一的强制安全策略；避免造成信息流瓶颈，降低网络的整体性能，造成网络拥塞，形成安全故障；将非法用户与网络资源相互隔离，把不同需求的用户划分为不同的网段，从而加强对用户访问的控制。 如果不能在网络结构上进行优化、安全的设计，就可能造成以下危害： n 造成网络拥塞，用户不能实现正常的访问，降低使用效率； n 出现安全漏洞，危险人员可能从旁路访问到重要资源，使采用的访问控制措施虚设； n 将不同用户群、不同权限的访问者混在一起，不能实现有效的分离，从而降低网络资源、用户群之间相对安全性。 2.2.4 内部网用户带来的安全威胁 真正有效的攻击绝大多数来自系统内部，而内部网的攻击形式也多种多样。 n 各节点内部网中用户之间通过网络共享网络资源。系统用户都可读写操作，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏； n 内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息； n 泄漏内部网的网络结构以及重要信息的分布情况； n 通过非法连接进行信息窃听等。 2.2.5 数据库的安全风险 在济宁职业技术学院的网络中的如WEB网站等关键业务系统都运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。数据库安全隐患有可能表现在： n 系统认证：口令强度不够，过期帐号，登录攻击等； n 系统授权：帐号权限，登录时间超时等； n 系统完整性：特洛伊木马，审核配置，补丁和修正程序等； n 数据丢失，操作日志被删除； n 没有采用数据冗余备份； n 数据库系统自身的BUG； n 没有打最新的数据库系统的补丁； n 选择了不安全的默认配置； 2.2.6 网络动态监控 济宁职业技术学院没有能监控用户的其它动作行为的工具。如果内部人员通过管理漏洞获取了某些权限，直接对服务器系统（操作系统、数据库系统和应用系统）通过网络实施各种攻击，目前将无能为力，因此还应该有一些补充措施来预防这些意外事件的发生。 对于一般的网络用户来说，通过网络可以进行浏览、电子邮件通信、数据传输、数据共享、设备共享等。除了这些正常的操作，还会存在着与工作无关的浏览、浏览不良站点、下载不良信息、出于好奇使用一些黑客程序、数据共享、更改设定的IP地址、网上泄密等行为。如何及早发现、监督是网络管理员的责任，因此需要一套行之有效的管理工具。 2.2.7 互连设备的安全隐患 在济宁职业技术学院的网络中部署了各种网络和交换设备，他们都支持SNMP协议，这些设备都维护着一个有着设备运行状态，接口等信息的MIBS库，运行着SNMP的主机或设备可以称为SNMP AGENT。SNMP 管理端和代理端的通信验证问题仅仅取决于两个Community 值，一个是Read Only（RO）值，另一个是Read /Write (RW) 值，拥有RO 值的管理端可以查看设备的一些信息包括名称、接口、ip地址等；拥有RW值的管理端则可以完全管理该设备。令人担忧的是大多支持snmp的互连设备都是处于运行模式，至少有一个RO的默认值为PUBLIC，会泄漏很多信息。拥有RW默认值的设备在互联网上也很多，加之SNMP V2版本本身的安全验证能力很低，所以极易受到攻击，从而导致互连设备的瘫痪和流量不正常，如果没有冗余设备，那样整个内部网络就会瘫痪。 互连设备的弱管理口令，IOS版本太低也会使交换设备受到入侵和拒绝服务攻击，导致不能正常工作，影响信息中心的工作。 2.2.8 网络设备的风险分析 济宁职业技术学院业务网络系统中使用网络接入交换机、防火墙等网络设备。这些设备的自身安全性也会直接关系到济宁职业技术学院各种网络应用的正常运转。例如，路由设备如果配置不安全，无法防范地址欺骗等安全问题等。 2.3 系统层的安全风险分析 所有的操作系统在不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix，Windows 2000、NT，其安全漏洞更是广为流传。同时，不能正确配置或使用缺省配置，还会人为增加新的漏洞。因系统漏洞造成的信息泄密屡见不鲜。 济宁职业技术学院信息中心的服务器使用的操作系统主要是Windows 2000 Server、Windows NT和Unix，这些操作系统的漏洞和配置尤其值得关注。 2.3.1 Windows NT/2000/XP的安全问题 Windows NT/2000/XP操作系统由于其简单明了的图形化操作界面，以及逐渐提高的系统稳定性等因素，正逐步成为主要的网络操作系统，尤其在办公网络中占有重要地位。Windows NT/2000/XP系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的WINDOWS NT/2000/XP操作系统的安全问题非常严重，它们通常会出现下述安全问题： n 没有安装最新的Service Pack. n 没有关闭不必要的系统服务 n 最新的SERVICE PACK没有解决的安全漏洞 n 缺省安装的服务程序带来的各种安全问题 n 系统注册表属性安全问题 n 文件系统属性安全问题 n 缺省帐号安全问题 n 文件共享方面的安全问题 2.3.2 Unix的安全问题 UNIX类服务器和工作站由于其出色的稳定性和高性能而成为网络系统常采用的操作系统，承担着各种应用的关键任务。缺省安装的UNIX操作系统（以HP UNIX为例）会存在以下安全问题： n FINGER（泄露系统信息） n 各类RPC（存在大量的远程缓冲区溢出、泄露系统信息） n SENDMAIL（许多安全漏洞、垃圾邮件转发等） n NAMED（远程缓冲区溢出、拒绝服务攻击等） n SNMP（泄露系统信息） n 操作系统内核中的网络参数存在许多安全隐患（IP转发、堆栈参数等） n 存在各种缓冲区溢出漏洞 n 存在其它方面的安全问题 2.3.3 主机访问安全脆弱性 WINDOWS操作系统所采用的传统的用户名和密码的验证方式已经经不起密码字典档的推敲，攻击者可以从网络或本机针对目标机器发起验证试探，并且网络验证时用户名和密码是以明文的形式传输，非常容易被窃取，所以必须使用更先进安全的认证方式。 2.3.4 泄密信息安全控制 主要是一些重要的文件信息在终端被非法外传，从而导致泄密。为此，必须从控制文件信息的流转来保证这些信息的安全。主要面临的威胁是主机拥有者的主动泄密行为。 2.4 应用层安全风险分析 根据济宁职业技术学院所提供的服务器可能开放以下端口服务，公共服务有： HTTP、SMTP/POP3、NETBIOS等。 这些软件和服务都或多或少包含一些安全管理和控制程序，如身份认证、访问控制、用户与资源的管理等，但这些安全措施无论是强度上还是在标准上都不能满足安全需求，主要表现在： 2.4.1 恶意代码 由于济宁职业技术学院的需要对互联网提供服务，同时内部办公又需要主动访问互联网，因此，外部恶意代码很容易通过各种方式侵入到系统内部；另外，系统内部通过外部存储介质（如：软驱、光驱、U盘、移动硬盘等方式）带入恶意代码也是不容忽视的。 济宁职业技术学院的防病毒主要是针对桌面机客户端的病毒防护，但是这样的部署具有过于的单一性，网络安全的防护其实是一个整体的防护，忽略了任何的一面都会成为攻击的切入点，比如邮件的防护、服务器的防护都是防毒的重点，所以如何合理、科学、切实有效的部署和利用其现有的安全产品成为安全防护的关键。 2.4.2 抵赖性 抵赖，可能有多种情况：网络攻击抵赖，破坏数据后的抵赖，破坏机密数据的抵赖。网络攻击抵赖由于目前网络协议对安全性问题考虑得很少，所以单单依靠协议地址或一些简单的通信标志来判定攻击者的身份是很难的，也是证据不足的，高水平的攻击者在攻击时一定会掩饰自己的身份和标志，这样才不会暴露自己的身份。 破坏数据的抵赖主要是因为现行系统平台的审计机制较弱和权限划分不清造成的；并且系统内目前针对成果数据的完整性校验工具和体系尚未建立，这类事件在今后是极有可能发生的。 这类风险较多的存在与数据库的应用上面，对数据库的行为没有合适的审计手段就很难做到抗抵赖。 2.4.3 入侵取证问题 济宁职业技术学院的网络划分比较明确，各个部门之间只是通过简单的网络互联设备相互连接，虽然有防火墙实现基本的访问控制，但是系统内部没有安全有效的防范措施和产品，一方面非法用户极其容易的通过黑客技术透过防火墙侵入到信息系统中，另一方面合法用户的违规操作或无意的攻击极其容易造成对信息系统的瘫痪，所以针对内部网络的安全防范体系的建立是非常重要的。 攻击的手法和技术总是出现在针对该技术的防范之前，现有的防范体系都是建立在已发现的手法的研究之上的，一旦入侵出现，攻击成功，如何发现攻击者的身份和攻击的步骤，手段对及时调整网络安全设计和挽回损失会起到极其重要的作用。 缺乏有效的网络安全审计手段，单单依靠入侵检测系统，入侵行为的取证会显得比较困难，所以这一个方面的工作要综合考虑。 2.4.4 应用系统自身的脆弱性 济宁职业技术学院重要应用之一就是其对外的WEB发布系统，由于大多数WEB系统在代码编写阶段都没有考虑安全的问题，使得正常运行后的WEB系统都没有对用户的输入进行合规性审查和过滤，留下了大量的漏洞，如针对WEB网站攻击的跨站脚本攻击和SQL注入等，导致网页被篡改、网站被挂马，对网站自身和浏览者危害极大。 这些攻击都是模拟的正常应用进行逐步的渗透和侵入，防火墙无法防御，因此，目前的环境下，济宁职业技术学院的WEB网站的防护能力差，面临着较高的安全风险。 2.5 管理层安全风险分析 安全的网络设备离不开人的管理，好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。 管理层的安全风险可能存在于以下几个方面： 2.5.1 误操作 系统管理员和普通用户都可能有操作失误，前者的影响往往是致命的，直接危害到系统和数据安全；后者主要影响用户数据的完整性。 2.5.2 人为故意 来自系统内部人员的攻击是很难防范的，内部人员本身在重要应用系统上都有一定的使用权限，并且对系统应用非常清楚，一次试探性的攻击演练都可能会对应用造成瘫痪的影响，这种行为单单依靠工具的检测是很难彻底避免的，还应该建立完善的管理制度。 2.5.3 安全意识 法律靠人来执行，管理靠人来实现。人是各个安全环节中最为重要的因素。全面提高人员的道德品质和技术水平是网络信息安全与保密的最重要保证。 当前，信息网络的规模在不断扩大，技术在不断更新，这就要求工作人员不断提高其技术和业务水平。另外，思想品德的教育也是十分重要的，因为大部分安全时间都是由思想素质有问题的内部人员引起的。 2.5.4 管理手段 单一的安全产品部署是不能够解决问题的，必须要配合以管理的手段，在整个安全体系中最为重要的实际上是管理。目前在济宁职业技术学院缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不健全；缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全事件，不利于及时发现安全事件并采取相应的措施；缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的对安全事件的处理流程和制度。 3 安全保障设计思路 3.1 保障框架 3.1.1 安全保障总体框架 信息安全保障采用AST的架构为基础，对资产进行评估，对威胁进行分析后，设计保障措施。 在保障措施中采用PPT模型。PP是指People人、Process过程、Technology技术这三个方面。这个模型是一个在国外大型企业和机构中应用非常广泛的模型。 保障功能要素模型（FEM --- Function Element Model），或者用缩写表达式表示为AST(PPT*AIDARC)。这个模型提出安全的最根本问题是被保护的资产、对于资产的威胁和防护措施。防护措施又分为人（组织）、过程（策略、运营）和技术三个大方面。 PPT中的技术部分形成一个AIDARC模型。 n 鉴别和认证 Identification & Authentication n 逻辑访问控制 Access Control n 检测、监控和预警Detection, Monitoring&Early warning n 审计和跟踪 Audit Trail n 恢复和冗余 Redundancy & Recovery n 内容安全 Content Security 3.1.2 信息风险模型 风险管理方法是信息安全工作应当遵循的核心方法和观点。对于风险的描述又不同的模型和方法，其中最具影响的是ISO13335的6要素风险模型： ISO13335中描述的6要素风险关系模型是最经典的描述信息安全领域风险理论的模型。其中阐述的风险评估要素已经成为当前业界进行风险评估的理论依据。目前，各种风险评估项目中都会进行资产评估、威胁评估、漏洞评估，进而综合计算出风险，然后再考虑和分析控制措施。 模型中以资产为起点，因为资产有价值，所以有风险，同时系统的漏洞与外部的威胁都增加了系统风险，安全防护用来降低风险，抗击威胁。安全是相对的，防护与风险是共同存在的。 3.1.3 三观安全体系 三观安全包括：微观安全、宏观安全和中观安全。 安全三观论 三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层，体现为安全部件，即安全产品和规范化的安全服务；中间的运营层，体现为对于安全产品的集成管理和各种安全任务的流程管理；顶层的决策层，包括决策支持、残余风险确认，以及顶尖上的“使命”。 任何安全系统、安全项目、安全工作都要在三个层次体现和实现：都要上传到决策层，以确保决策层的支持和指导，并且能够保证对于机构真正使命的支撑和达成；都要下达到实现层，以确保所有问题都落实得非常具体，达成安全要求；而且还要通过运营层，协调、控制、反馈、管理实现层的安全要素，已达成决策层的安全使命和决策。 从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程，从中观到微观是一个控制和配置的过程。 我国信息安全领域的认识和发展过程是一个从微观安全起步，比如加密、防病毒、防火墙等；逐步认识到宏观安全的重要，希望了解全面地安全状况而开展风险评估；进而认识到安全执行的重要性，开始考虑安全运营系统、集中式的安全监控平台，以及和其他IT系统的综合集成等问题；最终全面地认识从微观、中观到宏观三方面的重要性。 3.2 安全保障模型 3.2.1 安全事件处理模型—PDR模型 PDR模型是非常经典的安全模型，简单而实用。PDR模型可以将威胁的外部控制分成威胁的预防、威胁的感知、威胁的处理三个方面。PDR模型是一个可以叠代、滚动的安全事件处理模型，也就是安全事件的生命周期中对应的前、中、后阶段的策略。 安全离开时间是没有意义的。PDR模型给安全加上了时间的要素，其原理可由下图所示： PDR原理示意图 为保护信息系统中要保护的资产，我们要建立起一道一道的防护，而入侵者就是要突破这些防护。入侵者每突破一道防护都要花费时间，不管是破解密码、猜口令、端口扫描、溢出过程等等都要花费时间。入侵者突破防护的时间，也就是防护能够提供的防护时间；在防护的同时，对入侵者的检测也需要时间；最后，发现入侵后进行响应和处理也需要时间。时间是量化的，可以被计算的，将各个防护所花费的时间加起来定义为Pt，将检测时间定义为Dt，将响应时间定义为Rt，只要Pt>Dt+Rt，即系统防护的时间大于入侵者侵入的时间和对系统对入侵行为的响应处理时间之和，这个系统就可以被认为是安全的。 3.2.2 信息安全保障体系建设模型—花瓶模型 信息安全建设体系是一个全方位的信息安全建设与防护过程，包含了策略、防护、监控、应急、审计等多个方面。信息安全保障体系建设按照安全事件的生命周期可分为三个功能块的建设： n 事前防护管理：进行信息安全总体规划，建设各种信息安全策略，实施各种安全措施，建立科学的信息安全体系，防止安全事件的发生。 n 事中监控与应急调度：了解整个网络的安全状态，对安全事件分析、定位、处理并恢复。 n 事后的安全审计：安全事件的统计与分析，重放与取证。 花瓶模型示意图 安全管理既不是单纯的安全事件报警器，也不是安全设备的管理集成，是整个网络的安全管理核心，按照其功能发展的方向，功能平台设计为防护、监控与应急、审计三个平台，数据采集源于同一个数据采集平台，好比是一个插满花的花瓶，因此称作“花瓶”模型。 “花瓶模型”中的防护、监控、审计是有机结合的安全技术，相互补充、相互配合才能有效保障，任何一部分的缺失都容易出现安全的漏洞。 4 安全解决方案设计 4.1 安全保障体系建设内容 结合济宁职业技术学院信息系统的实际情况和当前所面临的风险，在PDR安全事件模型和花瓶模型的指导思路下，济宁职业技术学院的信息安全建设主要包括网络防护子系统、网络监控子系统、应用审计子系统和安全管理子系统等几个方面。 n 网络防护子系统 网络防护子系统的建设主要由物理防护、网络安全防护和应用的安全防护等几部分组成。安全防护体系建设将以满足要求、方便使用、加强管理为原则。 n 网络监控子系统 网络监控子系统包括脆弱性监控、威胁安全监控和应用监控等几部分。安全监控体系是通过“重点部署，全面监控”，做到对济宁职业技术学院信息系统的各个层次实时监控，并对各类危险行为在造成危害前进行报警。 网络监控子系统处在安全保障的核心位置，它对上衔接了应用防护子系统，向下为及时审计安全事件提供报警，通过安全监控系统，网络管理人员可以对全网的安全事件整体把控，及时发现、及时响应。 n 应用审计子系统 应用审计子系统主要包括网络行为审计和业务网行为审计，通过安全审计子系统，能够在济宁职业技术学院系统内部形成强大的威慑作用，一方面保证了内部人员日常的上网操作的合规性，另一方面保证了对系统内重要应用和数据库操作的合规性审计，及时发现违规行为进行报警和记录，并进行相应的阻断等响应措施。 n 安全管理子系统 济宁职业技术学院的安全管理子系统包括：安全管理组织、安全管理策略和安全管理制度等。 为了保障济宁职业技术学院信息系统的安全，需要从从组织架构上制定人员管理制度，加强对有关人员的管理，明确人员分工，保证网络安全，从管理上制定严格的设备安全管理制度，与各种技术措施互相配合实现信息系统的安全管理。 4.2 安全域的划分 用安全域方法论为主线来设计，能够从安全的角度来分析业务流可能的安全风险。安全域的概念是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的网络或系统。这些网络或系统具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括： n 网络区域 n 主机和系统 n 人和组织 n 物理环境 n 策略和流程 n 业务和使命 n … … 因此，如果按照广义安全域来理解，我们不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。 通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。 针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施； 不同的安全子域之间和不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。 4.2.1 安全域划分原则 安全域的理论和方法所遵循的根本原则： n 业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 Ø 信息安全服务所强调的核心思想是应该从客户（业务）而不是IT 服务提供方（技术）的角度理解IT 服务需求。也就是说，在提供IT 服务的时候，我们首先应该考虑业务需求，根据业务需求来确定IT 需求，包括安全需求。 Ø 在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。 n 结构简化原则：安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 n 等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。 n 立体协防原则：安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。 生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。 4.3 网络防护子系统建设 4.3.1 网络防护 4.3.1.1 边界访问控制的防护 目前济宁职业技术学院有独立的数据中心，存储关于学校与学生的相关信息，可能会被攻击者利用其他服务器作为跳板而对内部服务器产生威胁。因此，建议对内部数据中心中的服务器与其他服务器，如计费系统服务器，采取安全措施，使用防火墙进行边界的访问控制，并制定细粒度的访问策略，保护内部服务器的安全。 4.3.1.2 安全域应用 安全域就是将不同安全等级的网络隔离、控制，对信息资源从安全角度进行规划。而在安全域网络内部有相同的安全保护需求，相互信任的子网或区域，采用相同的安全访问控制和边界控制策略，相同的安全域共享一样的安全策略。采用安全域的思想规划网络体系，可以对济宁职业技术学院的网络起到以下作用： n 更好的利用系统安全措施，发挥安全设备的利用率； n 便于控制网络安全风险，降低系统风险； n 安全域的分割式预防出现问题的防护方式：抗渗透； n 安全域边界时灾难发生时的抑制点，防止影响的扩散； 4.3.1.3 网络恶意代码的防护 部署了终端防病毒系统，能够对恶意代码的防护起到一定的控制作用，但终端防病毒主要是对文件型病毒进行有效检测和防御，无法对网络蠕虫等病毒进行有效查杀，且学院内终端数量较大，流动性强，不便于管理，所以，最有效的方法是在源头有效截断恶意代码的侵入，在济宁职业技术学院与外部接入网的边界位置使用网关型防病毒技术过滤基于网络传输的各种病毒、木马、蠕虫等恶意代码，避