1、XXXX集团公司办公及邮件系统信息等级保护(三级)建设方案2016年5月目 录1总述41.1项目背景41.2设计依据51.3设计目标51.4设计范围52安全目标分析62.1系统定级情况62.2定级系统现状62.3等保三级安全要求102.3.1基本要求三级要求122.3.2设计技术要求三级要求142.4安全需求分析152.4.1合标差距分析安全需求162.4.2风险评估分析安全需求213等级保护总体设计243.1方案设计原则243.2方案设计思想253.3总体安全框架273.3.1分区分域设计283.3.2安全技术架构303.3.3安全管理架构323.4等级保护建设流程规范化324等级保护安全技
2、术建设344.1物理安全344.1.1物理安全设计344.1.2物理安全设计具体措施344.2技术安全354.2.1技术安全设计354.2.2等级保护安全建设后网络拓扑404.2.3安全区域划分404.2.4等级保护安全技术措施414.3应用安全434.3.1应用安全设计434.3.1办公系统和邮件系统应开发安全功能444.4等级保护所需安全产品清单445安全管理建设455.1安全管理要求455.2信息安全管理体系设计465.2.1安全管理体系设计原则465.2.2安全管理体系设计指导思想465.2.3安全管理设计具体措施465.3信息安全管理体系设计总结556安全产品选型及指标566.1设备
3、选型原则566.2安全产品列表586.3主要安全产品功能性能要求596.3.1网络接入控制系统596.3.2服务器操作系统安全加固软件646.3.3主机监控与审计系统661 总述1.1 项目背景随着国家信息化发展战略的不断推进,信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方
4、面的重要办公系统和邮件系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化设计健康发展的一项基本制度,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施,保障信息安全与信息化设计相协调;有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全设计成本;能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全;能够明确国家、法人和
5、其他组织、公民的信息安全责任,加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义,是国家对重要工程项目信息系统安全保护设计提出的强制性要求。XXXX公司(以下简称为“XXXX”)的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股,全国社会保障基金理事会、北京普拓瀚华投资管理中心(有限合伙)和中航建银航空产业股权投资(天津)有限公司共同持股。XXXX是中国航空工业的重要组成部分,是中国航空工业发展的先锋队,改革的试验田,是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。XXXX从自身信息化业务需求和安全需求角度出发,为了满足XXXX总部各类业
6、务信息系统的安全稳定运行,提高对重要商业信息安全的基本防护水平,更好的实现与中航工业金航商网的对接,决定针对企业内部的办公系统和邮件系统,按照国家信息安全等级保护三级水平开展安全整改建设工作,确保信息系统安全、可靠、稳定运行和长远发展。1.2 设计依据本方案主要依据以下文件和技术标准进行编写:关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术 信息系统等级保护安全设计技术要求(GB/T25070-2010)信息安全技术 信息系统安全等级保护基本要求(GB/T2223
7、9-2008)信息安全技术 信息系统安全等级保护实施指南(GB/T25058-2010)1.3 设计目标通过开展等级保护安全体系设计,从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统提供安全保障,实现系统安全和信息安全,保障系统资源和信息资源的最大化安全使用,达到通过国家信息安全等级保护(三级)测评的水平,最终实现有效支撑办公系统和邮件系统安全、可靠、长远发展的总体目标。1.4 设计范围XXXX办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统,本建设方案将以国家信息安全等级保护相关文件和技术标准为依据,将以自主知识产权和国产化信息安全装置为基础,对XXXX的办公系统和
8、邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身,从管理和技术两个方面进行总体的规划和设计。2 安全目标分析2.1 系统定级情况编号系统名称安全等级系统状态1办公系统(含门户系统、OA系统端和移动端)三级拟定级2邮件系统三级拟定级2.2 定级系统现状XXXX的办公系统和邮件系统是本次开展等级保护建设的目标系统。两个系统尚未进行定级备案,拟定级为等保三级。(一)定级系统概述办公系统主要用于XXXX内部工作人员办公使用。办公系统由门户系统和OA系统两个子系统组成,OA系统又包括PC系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问,系统用户总数约为1800人,XXXX总部大厦约
9、有办公人员500人。办公系统可通过PC和智能移动终端进行访问,PC端系统为B/S架构,智能移动终端系统为C/S架构,需安装相应的APP客户端软件。邮件系统为XXXX内部工作人员提供邮件服务,系统总用户数为3023人,用户分布于国内和国外。邮件系统通过互联网访问,用户可使用Web方式或第三方邮件客户端软件进行收发操作。图:定级系统现状拓扑图(二)定级系统服务器情况办公系统共有6台服务器,均部署在北京总部机房中。这6台服务器的功用:OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器(虚拟机)。OA系统的PC系统端和移动端有各自的应用服务器,
10、后端数据库为同一个数据库。OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中,移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器(虚拟机)均划分在内网服务器区中。OA系统的4台服务器均采用Windows操作系统,系统版本为Windows2003;门户系统服务器均采用红帽子(RHEL)Linux操作系统,系统版本为5.4。邮件系统服务器共有两台,这两台服务器采用镜像方式部署,分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点,北京节点为镜像节点,两服务器之间通过一条10M电信邮件专线互联、同步。邮件服务器操作系统为红帽子Linux6.3。由
11、于等级保护采用属地化管理,因此,本次安全保护建设将只针对邮件系统北京节点服务器,不涉及深圳节点服务器。表:定级系统服务器列表序号系统用途操作系统版本安全域1办公系统OA数据库服务器Windows2003DMZ区2办公系统OA应用服务器Windows2003DMZ区3办公系统移动OA应用服务器Windows2003内网服务器区4办公系统OA数据库备份服务器Windows2003内网服务器区5办公系统门户数据库服务器RHEL5.4内网服务器区6办公系统门户应用服务器RHEL5.4内网服务器区7邮件系统邮件服务器RHEL6.3DMZ区(三)现有安全资源(设备)表:现有安全产品列表编号设备类型和名称数
12、量单位说明1深信服负载均衡M5400 AD1台访问出口安全防护;2山石UTM-M61101台访问出口安全防护;3深信服流控系统AC-20801台访问出口安全防护;4深信服负载均衡AD-16801台访问入口安全防护;5启明星辰防火墙USG-2010D1台访问入口安全防护;6绿盟入侵防护NIPS N1000A1台访问入口安全防护;7深信服Web应用防火墙WAF1台访问入口安全防护;8创佳互联移动设备管理1套移动安全防护;9江南信安移动安全接入网关1台移动接入安全防护;10深信服SSL VPN1台移动接入安全防护;11绿盟网络安全审计SAS1000C1台网络安全及数据库审计;12绿盟BVSS安全核查
13、1台网络安全审计;13安恒综合日志管理DAS-2001台网络安全审计;14绿盟WSMS网站检测1台网络安全审计;15绿盟运维审计SASNX3-H600C1台网络安全审计;16绿盟入侵检测NIDS N1000A1台网络安全审计;17无线AC1台无线网络控制管理;18启明星辰防火墙USG-FW-2010D1台服务器区安全防护;19启明星辰天榕电子文档安全系统500点终端数据防泄漏;20绿盟堡垒机1台安全运维管理;21华为Esigh网管系统1套网络设备运维管理(仅限华为设备);22虚拟化移动OA500点移动办公信息防泄漏;(四)其他安全措施1、 设备管理权限a) 专线路由器和楼层交换机通过ACL控制
14、,只允许管理员的IP地址登陆设备,并且创建不同级别的用户权限,超级管理员拥有所有权限,一般管理员只有访问权限不可修改;b) 根据部门划分VLAN,不同VLAN不能互访;c) 安全设备没有对登陆设备的源IP进行限制,创建不同级别权限的用户,网络管理员拥有最高权限,普通管理员只允许查看;2、 内外网访问设备途径;a) 管理员统一通过绿盟堡垒机登录设备进行网管;b) 管理员在公司以外的地方需要管理设备的时候,首先登录公司深信服VPN设备,然后登录堡垒机对设备进行网管;3、 每月月初根据IPS日志,汇总上月入侵防护事件,形成安全月报(专人负责);4、 内部用户上网,通过深信服行为管理实现上网认证,认证
15、方式用户名加密码和短信认证;5、 网络入口和出口各部署一台深信服链路负载均衡设备,入口联通20M,电信20M;出口联通40M,电信40M;6、 网络入口负载均衡主要负责智能DNS和网络地址转换,有效隐藏内部服务器的IP地址;网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡;7、 通过网络入口防火墙,允许内部用户对DMZ区资源的访问,控制粒度为用户加端口;8、 通过内部服务器区防火墙,允许内部用户对内部服务器区资源的访问,控制粒度为用户加端口;9、 深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为;10、 现有网络中,Esigh网管软件只能对华为设备的运行状况产生
16、日志,不支持第三方设备;11、 IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断;12、 IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间,在发送严重入侵事件时应提供报警;13、 IPS和VPN有专人负责策略下发和资源控制。2.3 等保三级安全要求计算机信息系统安全保护等级划分准则(GB17859-1999)(以下简称为“等级划分准则”)中定义三级信息系统安全防护等级为安全标记保护级。安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制
17、访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。等级划分准则中规定,信息系统需要具备以下安全特性以保证相应的安全等级:n 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。n 强制访问控制计算机信息系统可信计算基对所有主体及其所
18、控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴别用
19、户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。n 标记计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。n 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)
20、来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。n 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。n 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入
21、用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。n 数据完整性计算机
22、信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。2.3.1 基本要求三级要求信息安全技术 信息系统等级保护安全设计技术要求(GB/T25070-2010)(以下简称为“基本要求”)。基本要求中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误
23、、较严重的技术故障等)所造成的主要资源损害并能够检测到此类威胁,并在威胁发生造成损害后,能够较快恢复绝大部分功能。基本要求是针对不同安全等级信息系统应该具有的基本安全保护能力提出的安全要求,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;基本管理要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从“物理安全、网络安全、主机安全、应用安全和数据安全”几个层面提出;基本管理要求从“安全管理机构、安全管理制度、
24、人员安全管理、系统建设管理和系统运维管理”几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。基本要求安全三级对信息系统安全防护能力所提出的具体要求参看信息系统安全等级保护基本要求(GB/T22239-2008)第七章节。另外,在依据基本要求分层面采取各种安全措施时,还应考虑以下总体性要求,保证信息系统的整体安全保护能力。a) 构建纵深的防御体系基本要求从技术和管理两个方面提出基本安全要求,在采取由点到面的各种安全措施时,在系统整体上还
25、应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施,形成纵深防御体系。b) 采取互补的安全措施基本要求以安全控制组件的形式提出基本安全要求,在将各种安全控制组件集成到特定信息系统中时,应考虑各个安全控制组件的互补性,关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制组件共同综合作用于信息系统的安全功能上,使得信息系统的整体安全保护能力得以保证。c) 保证一致的安全强度基本要求将基本安全功能要求,如
26、身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容,分解到信息系统中的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;要实现强制访问控制,则应保证在各个层面均基于低层操作系统实现强制访问控制,并保证标记数据在整个信息系统内部流动时标记的唯一性等。d) 建立统一的支撑平台基本要求在较高级别信息系统的安全功能要求上,提到了使用密码技术,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度
27、,均要基于密码技术,为了保证信息系统整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。e) 进行集中的安全管理基本要求在较高级别信息系统的安全功能管理要求上,提到了统一安全策略、统一安全管理等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制组件在可控情况下发挥各自的作用,应建立安全管理中心,集中管理信息系统中的各个安全控制组件,支持统一安全管理。2.3.2 设计技术要求三级要求为贯彻和实施信息安全等级保护制度,国家出台了相关的法规、政策文件、国家标准和公共安全行业标准,这些内容为信息安全等
28、级保护工作的开展提供了法律、政策、和技术标准依据。信息安全技术信息系统等级保护安全设计技术要求(GB/T25070-2010)(以下简称为“设计技术要求”)规范了信息系统等级保护安全设计技术要求,为等级保护安全技术方案的设计和实施提供了指导,是进行信息系统安全建设和加固工作的重要依据。设计技术要求对三级安全防护系统提出了总体的安全目标:通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。其核心安全策略为:构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规
29、则实现对主体及其客体的访问控制。 “统一管理、统一策略”和“访问控制”是设计技术要求的核心安全思想。设计技术要求规定等级保护系统应按照“一个中心三重防护”体系架构进行安全技术体系规划和设计,构建“由安全管理中心进行统一管理,由安全计算环境、安全区域边界和安全通信网络三重防护环节”所组成的纵深、立体的信息安全防护体系。安全计算环境、安全区域边界、安全通信网络必须在安全管理中心的统一管控下运转,各安全环节各司其职、相互配合,共同构成定级系统的安全保护环境,确保信息的存储、处理和传输的安全,并在跨域安全管理中心的统一安全策略控制下,实现不同定级系统的安全互操作和信息安全交换。设计技术要求对安全计算环
30、境、安全区域边界、安全通信网络以及安全管理中心四个部分分别提出了明确的安全要求。设计技术要求对安全计算环境提出了“用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护”等安全要求;对安全区域边界提出了“区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护”等安全要求;对安全通信网络提出了“通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护”等安全要求;要求安全管理中心需要由“系统管理分中心、安全管理分中心以及审计管理分中心”三个部分组成,即按照“三权分立
31、,相互监督、相互制约”的架构进行设计和建设。设计技术要求安全三级对等级系统安全防护体系所提出的具体要求请参看信息安全技术 信息系统等级保护安全设计技术要求(GB/T25070-2010)第七章节。2.4 安全需求分析信息安全建设是一个量体裁衣的过程,因此安全体系的规划和设计,应该以办公系统和邮件系统的信息安全现状为基础展开。为了掌握办公系统和邮件系统当前信息安全现状,特通过信息安全现状合标差距分析以及安全风险评估两种方法,对系统安全现状进行了客观、细致、详实的调研和安全需求分析。2.4.1 合标差距分析安全需求2.4.1.1 物理安全1) 机房选址在建筑高层;2) 定级系统相关的服务器等设备,
32、并非所有设备上都有标签;标签粘贴的位置、格式、内容等不统一,标签上信息不完整;3) 不明确办公系统、邮件系统有哪些相关的光、磁类存储介质;办公系统采用一块活动硬盘定期进行数据备份,该活动硬盘完全由系统管理员个人保管,管理不规范;4) 机房内无防盗报警装置或系统;5) 在机房过渡区存有大量空纸箱等易燃物,带来火灾隐患,影响通过顺畅。2.4.1.2 网络安全1) 网络设备存在着多人共用账号进行维护管理的情况;2) 网络设备通过用户名/口令方式进行登录身份鉴别,未采用双因子等强身份鉴别技术;3) 缺少网络准入控制措施。2.4.1.3 主机安全1) 操作系统均使用系统默认的管理员账户,容易被冒用;管理
33、员账户口令复杂度未形成规范化、文档化要求;口令长时间不更换;2) 服务器操作系统和数据库系统未为每个用户分配不同的用户名,管理人员共用管理账户,一旦出现安全问题,无法落实责任到个人;3) 服务器本地登录只通过“用户名/口令”方式进行身份鉴别,远程登录限制了登录终端地址,但也仅通过“用户名/口令”这一种方式鉴别用户身份,未实现双因子或更强的身份鉴别要求;4) 应依据“三权分立”原则设置管理权限体系,即设置安全管理员、系统管理员、审计管理员等,根据管理员角色赋予相应的功能权限,避免出现超级用户;5) 无论是Windows还是Linux服务器操作系统,均使用系统默认的管理员账号进行维护管理,未重命名
34、系统默认账户或采用自定义账户;6) 服务器和重要终端上并未安装专门的主机审计类产品,存在着审计信息不完整、不全面的问题;7) 操作系统的审计主要依赖操作系统自身的审计日志功能,对审计记录并无任何额外的保护措施,无法阻止被删除、修改;8) 服务器上未部署检测和防范入侵行为的安全防护措施;9) 服务器上未部署对重要程序完整性进行检测和恢复的安全防护措施;10) 服务器上无对用户系统资源占用进行限制的技术措施;2.4.1.4 应用安全1) 办公系统的用户通过用户名/口令方式登录XXXX的办公门户,未采用双因子身份认证;邮件系统的管理员账户通过口令和动态口令双因子方式进行登录身份鉴别,普通业务用户则只
35、通过用户名/口令方式进行身份鉴别,未采用双因子身份认证。邮件系统其实内置有绑定动态密码登录的安全功能,不过这样会对邮件系统使用的便捷性和习惯带来很大影响,因此应先对邮件系统是否需要双因子身份认证功能进行讨论确认,然后再确定是否开启该安全策略;2) 办公系统中无任何设置敏感标记或重要程度的功能;3) 办公系统暂无审计功能;邮件系统有针对管理员操作行为的审计功能;普通业务用户有登录日志及收发日志,且设有备档系统,对收发的所有邮件均有留档;4) 邮件系统提供记住用户名、记住密码的功能,存在着被他人未经认证即可登录的可能;5) 办公系统暂无数据原发成功验证功能;6) 办公系统暂无数据接收成功验证功能;
36、7) 办公系统具备防止单个账户多重登录限制功能,但未启用;8) 办公系统无任何系统服务水平检测功能;邮件系统会检测空间容量,当小于一定数值则会只提供基本的邮件收发功能,不会再自动存档,不会进行报警;2.4.1.5 数据安全及备份恢复1) 办公系统和邮件系统均通过SSL协议进行数据传输,可以保证数据传输的完整性,但出现完整性错误时,无恢复机制;2) 办公系统和邮件系统均通过SSL协议进行数据的传输保存,可以检测数据的完整性,但出现完整性错误时,无恢复机制;3) 目前办公系统中的数据,正文、附件等内容保存在系统的应用服务器中,应用服务器中的数据通过人工方式每周一次备份在移动硬盘中,备份数据只保留一
37、次;系统数据库中的数据,通过数据库备份工具,每天一次自动进行备份,备份数据保存在数据库服务器本地,保留最近7天数据;4) 办公系统无异地备份措施;5) 办公系统目前已经出现不规律的系统慢等问题;2.4.1.6 安全管理制度1) 暂未制定信息安全管理的总体方针、纲领、策略;2) 已经编制了信息安全管理办法,且内容基本能够覆盖办公系统和邮件系统日常的安全管理内容,但该管理办法当前尚处于拟定状态,并未正式发布和实施;3) 现在已经有了应用系统事业部日常巡检管理办法、应用系统事业部运维管理办法、XXXX总部办公系统运维服务规范手册等几个管理规范方面的文件,这个文件为运营团队内部文件,并未在公司层面正式
38、发布;且操作规程文件覆盖不完整;4) 已经建立了一些信息安全管理制度、规范及相关文件,但制度、规范文件覆盖不完整;制度规范文件并未形成体系化的安全管理制度体系;5) 安全管理制度格式没有统一要求;未进行版本控制;6) 针对管理制度文件定期进行合理性和适用性审定工作,并未规范化和制度化;7) 无安全管理制度定期或不定期进行检查审定的机制,制度一经发布基本不会再修改,只有当适用性太差时,才会重新制定和发布新标准;2.4.1.7 安全管理机构1) 没有明确、具体的职能部门负责信息安全管理工作;暂未设置专门的信息安全岗位;暂未有明确的信息安全岗位的工作职责说明;2) 暂未设立指导和管理信息安全工作的委
39、员会或领导小组;3) 目前的日常运维工作中,有一些是与系统的安全性、可用性相关的,但这些安全运维动作并不是完全由安全管理员完成,而是由相应的管理员各自完成;而且有些关键性的安全运维动作并不在当前的日常运维工作范围内,比如服务器操作系统的补丁升级,办公系统和邮件系统服务器的补丁升级策略是关闭的,目前最新的补丁打到了2012年6月;4) 暂无规范化、制度化的定期开展安全技术措施有效性、安全配置与安全策略一致性、安全管理制度执行情况检查、核查的要求;5) 无信息安全方面的检查,没有相关配套的安全检查表格、报告、数据等;6) 无安全审核和安全检查制度规范;无安全检查报告;无安全检查报告通报机制;2.4
40、.1.8 人员安全管理1) 目前XXXX内部只有涉密人员及涉及信息安全项目的合作厂商的现场服务人员签署保密协议;2) 暂无针对安全技能及安全认知方面的考核及相关的制度要求;3) 暂无对关键岗位工作人员进行全面安全审查和技能考核方面的制度要求,只是在人员入职的时候做背景调查和安全技能考核;4) 目前暂无安全考核机制,因此也没有安全考核结果需要记录;在人员入职试用期结束时会有考核,该考核结果会由人力资源部门留存;5) 每年XXXX保密办会开展保密方面的培训,无其他安全意识、岗位技能等方面的培训;有时会将内部管理岗位人员外送参加培训,或请相关厂商开展培训;、6) 目前在组织内部只有针对涉密方面的安全
41、奖惩制度和措施(XXXX安全保密管理奖惩办法),未涉密方面则没有任何安全责任、奖惩措施方面的规章制度或书面规定;7) 暂无对要求定期开展安全教育和培训方面的书面规定或规章制度;8) 暂未开展过相应的安全教育和培训,无结果可记录;9) 暂无针对外部人访问的具体范围、系统、设备等进行明确规定的规章制度或书面文件;2.4.1.9 系统建设管理1) 暂无明确的工程实施方面的管理制度;2.4.1.10 系统运维管理1) 暂无办公区工作人员安全管理方面的规章制度;2) 暂无专门针对设备维护、维修方面的管理制度或规范文件;3) 暂无网络安全管理制度或规范文件;4) 暂未有正式发布和执行的针对系统安全的管理制
42、度;5) 办公系统和邮件系统有专门的系统管理员;系统管理员未按照安全、审计、系统等方式再进行细粒度的管理角色划分,都只设有一个系统管理员;6) 暂无定期检查日志和审计数据的行为和规范要求;7) 办公系统和邮件系统的服务器上未安装杀毒软件;外来计算机或存储设备接入内部网络前未做病毒检查,也无相关规范要求;8) 办公系统和邮件系统服务器上未安装杀毒软件;9) 暂无恶意代码软件使用、规范和管理方面的管理制度或明确规定;10) 暂无备份及恢复管理规章制度;11) 办公系统和邮件系统并无明确的备份管理规范或制度性文件,并未对系统数据备份制定明确的备份策略和恢复策略;备份策略应包括数据备份放置的场所、文件
43、命名规则、介质替换频率及数据传输方法等;12) 没有书面化的数据备份和恢复过程的文件;数据备份过程并未做记录;13) 无明确的数据恢复程序,未定期检查或测试备份介质的有效性;针对数据备份恢复,没有相应的管理制度或规范文件;未对数据恢复过程进行过实际的演练、操作;14) 暂未针对应急预案开展过相关的培训;2.4.2 风险评估分析安全需求2.4.2.1 身份鉴别目前所有主机都采用操作系统账户口令方式进行身份鉴别,一旦密码丢失或出现字典攻击、暴力破解等攻击,非授权人员即可非法登录系统进行操作,从而导致主机系统被非授权登陆;发现问题如下:l 目前所有主机都采用操作系统账户口令方式进行身份鉴别,未采用两
44、种或两种以上的组合鉴别技术对管理用户进行身份鉴别;l 存在多人共用一个账户的情况;l OA系统中主机未开启密码复杂度校验,密码有效期采用系统默认设置42天。邮件系统、门户系统密码有效期为:99999天(永久有效),密码最短长度为:5个字符;l 所有主机均未开启账户锁定策略。l OA系统中的3台主机的管理用户administrator均未重命名。2.4.2.2 访问控制未能实现主客体标记的强制访问控制,缺少对服务器重要文件、重要目录、程序、进程等资源的细粒度保护,有可能出现系统正常应用程序和系统配置遭到篡改,且不能实现对主客体标记的细粒度审计,无法及时发现内部运维用户对服务器重要数据的恶意操作、
45、客体资源滥用、破坏数据等行为。因此对于主体人员的权限、管理方面有待完善,内部人员的日常操作有待规范等,一旦安全事件发生时,无法追溯并定位真实的操作者,这种行为往往对系统造成严重的后果;发现问题如下:l OA系统中的应用服务器对OA业务目录的访问权限配置为:EveryOne完全控制,权限过于宽泛,存在业务数据被恶意篡改,恶意删除等风险;l OA系统中的所有主机均开启了磁盘默认共享,存在通过网络窃取敏感数据的风险;l OA系统中的所有主机均未对sethc.exe程序做权限控制,存在提权漏洞,恶意人员无需知道管理员账户密码即可获取管理员权限;l OA系统中的数据备份服务器上存在多余账户、未锁定账户:
46、aaa,test等;l 门户系统中的WebSphere程序包未单独设置服务账户,而采用root用户实施部署。一旦WebSphere应用程序漏洞被利用时,将会直接获取root权限;l 邮件系统、门户系统未针对su命令配置使用权限,任何用户仅需知道root密码即可切换root用户,权限开放过于宽泛。2.4.2.3 安全审计服务器自身的审计功能不能满足等级保护国家标准的要求,作为用户行为的追踪审计,一旦出现安全事件,无据可查,无据可依,无法追溯并定位真实的操作者;发现问题如下:l 所有主机均开启了操作系统自带的审计功能,但未对审计进程做防中断措施,一旦管理员密码被窃,恶意人员即可中断审计进程,造成审计遗漏现象;l 邮件系统、门户系统的审计日志root用户可随意更改,一旦root密码被窃,恶意人员即可中断审计进程,修改审计结果,影响审计日志的权威性;2.4.2.4 剩余信息保护未实现剩余资源保护机制,一旦恶意攻击者登录服务器操作系统,