1、信息系统安全风险评估总结报告文档信息文档名称 xxxxxx 信息系统安全风险评估总结报告保密级别 商密 文档版本编号 1.0文档管理编号 XJAIR-PGBG 管理人 xxxxxx 信息部起草人 制作日期 2005/05/26复审人 评估工作领导小组风险评估专家咨询小组 复审日期 2005/06/16扩散范围 xxxxxx 风险评估项目组,风险评估专家咨询小组,xxxxxx 信息部文档说明本文档为 xxxxxx 信息系统安全风险评估总结报告,包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个部分。版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另
2、有特别注明,版权均属 xxxxxx 监理公司所有,受到有关产权及版权法保护。任何个人、机构未经 xxxxxx 监理公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。前 言2003 年中共中央办公厅、国务院办公厅下发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号) ,即 27 号文件,文件指出:“为了进一步提高信息安全保障工作的能力和水平,要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。 ”为加强信息安全保障工作,
3、开展重要行业信息系统的安全风险评估工作指明了方向。金融、电信和民航一向被认为是我国信息化程度最高的三大行业,也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重,但是由于信息安全保障不足,2003 年 7 月,某机场的计算机网络系统突然瘫痪,一时间,所有飞机无法起降,大量乘客被困机场,严重影响机场的正常运营,并造成了巨大的损失。而在不久之后,某大型民航机场的信息系统又突然出现问题,所幸几分钟后机场备用系统成功地接替了工作,顺利化险为夷。这些例子说明,当前民航网络和信息安全形势不容乐观,重要的网络和信息系统缺乏必要的安全防范手段,这同样也成为了民航信息化建设的隐患。
4、值得一提的是,和国外相比,信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够,投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前,银行、电力、铁路、民航、证券、保险、海关、税务已经被列入与国计民生密切相关的八大重点行业之中,其信息安全保障工作受到国信办的高度重视。xxxxxx 致力于信息系统建设近十年,期间信息系统经历了多次的升级改造,同时在信息系统的建设过程中,航空公司也经历了重大的机构调整,实行了机场、民航管理局和航空公司的分离,成立了 xxxxxx 集团 xx 分公司,并形成了 xxxxxx 独立的网络系统。在信息系统建设形成一定规模、网络系统经过重大调整的情
5、况下,xxxxxx 部适时提出了进行“信息系统安全风险评估”这一具有前瞻性、建设性的要求,请第三方机构对信息系统的安全管理、网络通讯、应用系统进行全面的安全风险评估。本报告是整个评估工作的总结性报告,综合分析了 xxxxxx 系统的特征、面临的安全威胁、系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险,描述了针对脆弱性提出的信息安全风险控制建议。评估过程及详细的测试分析内容分别体现在本报告的附件-01 到附件-18。目 录第一部分 概述 41.1 风险评估的背景 41.2 风险评估项目组 41.3 风险评估的目的 61.4 风险评估的依据 7第二部分 风险评估方法 72.1 风险评估流程
6、 72.2 风险评估的结果文档 92.3 风险评估的现场测试 102.4 风险评估的分析方法 11第三部分 系统特征描述 123.1 系统定位 123.2 网络拓扑结构 123.3 现行系统的安全策略 133.4 信息资产识别和定义 15第四部分 风险分析 174.1 威胁识别 174.2 脆弱性识别 204.3 信息安全风险分析 24第五部分 风险控制 265.1 评估结果分析 265.2 风险控制建议 275.3 风险控制措施实施建议 28附表 1 XXXXXX 信息系统安全保护等级符合情况对照表 .28附表 2 XXXXXX 信息系统安全风险评估技术 文档交接单 .28第一部分 概述1.
7、1 风险评估的背景xxxxxx 是 xxxxxx 股份公司的成员单位之一,是国有大型航空运输企业,开辟有50 多条国内航线和多条国际航线。现已形成以 xxxx 为中心的枢纽-辐射式营运网。xxxxxx 信息系统建设开始于 1995 年,经过 1996 年(原)办公楼综合布线、1997-1998 年建立了覆盖五个相关办公楼的局域网及这五个办公大楼内部的综合布线、1999年建立 INTERNET 出口、 2000 年启用公司新办公楼, 2000-2001 年通过光缆连接了七个主要业务楼,形成了以公司办公楼为核心覆盖全公司的主干网,目前公司与管理局分离,形成了公司独立的局域网。信息化综合管理机构设置
8、了信息部,目前信息部已有技术人员二十一人,形成了一支信息系统软件开发、系统管理、日常维护的专业队伍。在 xxxxxx 网络中,目前有二十几个应用系统在运行。可以说,信息系统已经是航空公司日常工作不可缺少的工具和手段,信息系统的安全稳定运行,直接关系到生产和管理一线业务的正常运转,也间接影响到航空公司社会形象及信誉度等无形资产。目前 xxxxxx 系统虽然仍保持着正常运行的状态,但整个系统运行中存在哪些风险,安全管理中存在哪些漏洞,针对这些问题应该采取什么措施,这都需要进行更高层次的评估与检测。因此,经过在近十年信息系统的建设,对信息网络系统做一次全面的安全风险评估,找出系统漏洞,进行风险控制,
9、防患于未然,保证系统稳定运行,是管理人员在两年前就酝酿的一项工作,希望通过风险评估,找出整个系统运行中存在的风险,评价信息系统建设的效果,并针对存在的问题提出解决方案,为今后xxxxxx 化的进一步发展提供参考依据。1.2 风险评估项目组本次风险评估项目由多方共同组建项目组,项目委托单位为 xxxxxx,项目组织单位为 xxxxxx 监理公司,参加单位有 xx 质量技术监督局、xx 大学现代教育中心、中国科学院 xx 理化所等。安全评估领导小组组成如下:分组 姓名 职务/职称 工作单位 工作职责总经理 组长/组织协调总工 副组长/技术负责部长 协调管理副部长 协调管理主任/教授 应用系统组组长
10、领导小组总监 网络通讯组组长安全评估小组组成如下:分组 姓名 职务/职称 工作单位 工作职责主任/教授 应用系统组组长计算机硕士 副组长主任 副组长监理工程师 成员应用系统小组工程师 成员网络总监 组长副主任 副组长网络通讯小组 副主任 成员高级程序员 流量分析与系统测试计算机硕士 成员助理工程师 成员助理工程师 成员副研究员 xxxxxx 监理公司 组长副主任 xxxxxx 信息部运行室 副组长助理工程师 xxxxxx 信息部运行室 成员安全管理小组监理工程师 xxxxxx 监理公司 成员为了保证评估工作的质量,项目组还聘请了以下专家组成本项目的专家咨询组:分组 姓名 工作单位 职务/职称
11、联系电话副主任/教授主任副所长/研究员副处长教授CCIE副主任专家咨询组副主任1.3 风险评估的目的风险分析与评估作为一种重要的信息安全工程技术方法,其目的是帮助相关人员明确信息系统对于用户的作用、价值大小,明确信息系统故障、安全事故可能对用户造成的影响。风险分析与评估的结果是信息安全方面投资、决策的依据,同时也是评估投资效果的重要手段和依据。风险分析与评估最重要的成果就是目前系统的风险大小,以及相应的降低风险的安全措施部署策略建议。本次风险评估的主要目标就是要帮助用户确定信息系统的安全风险,通过这次风险评估,可以全面了解当前 xxxxxx 系统的安全状况,分析系统所面临的各种风险,根据评估结
12、果发现信息系统存在的安全问题,并对严重的问题提出相应的风险控制策略,通过信息安全相关系统工程的实施,使信息系统的安全风险降到用户可以承受的范围内。1.4 风险评估的依据信息安全是信息技术发展过程中提出的课题,是一个与时俱进的概念,评价标准随时代及信息技术的发展而变化。可以说所有与 IT 相关的标准都是我们评估的依据,通用的主要依据和国际、国内、行业标准有:1、 信息系统安全评估合同书2、 中办发200327 号文件 国家信息化领导小组关于加强信息安全保障工作的意见3、 GB/T18336-2001 信息技术安全技术信息技术安全性评估准则 (CC)4、 ISO17799:2000基于风险管理的信
13、息安全管理体系5、 ISO13335 信息技术 安全技术 信息技术安全管理指南6、 GA/T378391-2002 计算机信息系统安全等级保护技术要求系列标准7、 美国标准与技术研究院开发的信息技术系统的风险管理指南8、 GB/T 信息安全风险评估指南(报批稿)9、 微软安全风险管理指南10、 相关各方达成的协议第二部分 风险评估方法2.1 风险评估流程本次风险评估的过程从组织管理的角度可以分为五个阶段,而从技术分析的角度可以分为九个步骤,五个阶段和九个步骤及其相互之间的关系可以用图 3-1 表示。图 3-1 对风险评估的每个阶段所要完成的工作做出了清晰的描述,在风险评估的五个阶段中,业务调研
14、的目的是为了准确地对系统的特征进行描述,从而界定信息系统安全评估的边界,为信息资产定义提供第一手资料;而现场测试则为系统漏洞的检测分析提供了依据。、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、
15、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、图
16、3-1 信息安全风险评估过程及步骤风险评估的技术分析的九个步骤是和评估各个阶段的工作紧密结合的,从业务调研阶段开始进入技术分析的步骤。系统特征描述是在对信息系统软、硬件结构、系统接口、系统任务、系统信息以及人员情况进行充分了解的基础上,对信息系统功能、边界的描述和对关键信息资产的定义;在系统特征描述过程中,对系统面临的威胁、系统存在的弱点、目前已经采取的控制措施进行初步的了解,在现场测试阶段,通过现场测试、实地堪查、座谈讨论等方式,进一步了解系统特征,掌握信息系统在采取了一系列控制措施后,仍然存在的各种弱点;在综合评估阶段,具体分析信息系统的潜在威胁,系统存在的弱点,这些弱点被威胁利用后可能产
17、生的风险以及这些风险对系统的实际影响的大小等,最后安全风险评估小组根据业务调研、现场测试以及系统特征分析的结果确定各类风险的大小,提出风险控制建议,直至最后形成结果文档。2.2 风险评估的结果文档在整个风险评估的过程中,我们按照这五个阶段的顺序组织管理整个评估工作,而且每个阶段的工作都有详细的文字记载,评估工作产生的文档包括:文档名称 隶属阶段 隶属步骤xxxxxx 系统安全风险评估方案xxxxxx 安全风险评估实施计划xxxxxx 安全风险评估调查提纲评估准备阶段信息安全风险评估调查反馈表xxxxxx 化现状介绍xxxxxx 系统管理规章制度业务调研阶段系统特征分析报告 资产定义阶段系统特征
18、描述信息系统安全现场测试计划信息系统安全现场测试记录表系统及数据库漏洞检测报告网络通信漏洞检测报告网络通信性能检测报告现场测试阶段安全管理风险评估报告网络与通讯风险评估报告综合评估阶段威胁识别脆弱性识别控制分析影响分析可能性分析风险确定应用系统风险评估报告xxxxxx 系统安全风险评估报告信息安全管理机制风险控制建议书信息系统安全风险控制建议书信息系统安全风险控制措施实施计划控制建议以上所有文档均作为结果文档提交给 xxxxxx 信息部(技术文档交接单见附表2) ,这些文档既是对本次评估工作的总结,也是本次评估工作的成果,可以作为xxxxxx 安全方面投资、决策的依据;也是今后进行动态信息安全
19、评估的参考资料。可以看出,风险评估的整个过程都是在充分的信息收集、调查研究的基础上进行的,信息收集的工作贯穿于评估工作的始终。因此其结果可以客观地反映被评估系统存在的安全风险,使 xxxxxx 可以及时采取相应的措施,防患于未然。2.3 风险评估的现场测试根据安全风险评估方案的安排,本次安全评估的现行信息安全状况的现场测试工作由 “网络通信”、“应用系统”两个小组承担,现场测试采用自动化弱点扫描工具、人工测量分析、分析仪器测试、现场勘察、上机操作、对照标准进行分析评价等方法对评估对象进行测试。“安全管理”小组根据前期调研结果进行了现场访谈,进一步了解信息安全管理方面存在的问题。在测试之前各小组
20、均根据本组的测试任务制定了详细的测试计划(具体内容见 xxxxxx 系统现场测试计划),并经过安全评估领导小组组织的讨论审查。在整个评估过程中,现场测试工作为风险评估提供了大量的原始资料,是评估工作不可缺少的组成部分。关于各小组详细的测试范围、测试依据、测试方法及测试步骤等内容见各小组的测试计划(附件-06)、现场测试表(附件-07)及测试报告(附件-08、09、10 )。现场测试的调查对象包括:网络信现场测试:现场测试的物理环境包括位于机关办公大楼的信息中心机房,维修基地机房和飞行部机房三个物理位置,直接调查对象为 xxxxxx 的关键网络通信设备(包括核心交换机、远程接入路由器、所有二级接
21、入网络设备等)及信息中心安全设备,并且对网络性能进行了测试。应用系统现场测试:测试对象为 xxxxxx 系统的数据库服务器和应用服务器。应用系统测试主要在 xxxxxx 中心机房内进行。使用机房内的 PC 机,安装扫描软件或直接登录到相应的服务器上,对服务器及数据库的配置情况进行检查,对照已知漏洞,发现安全隐患。信息安全管理机制:参照 GA/T 391-2002计算机信息系统等级保护管理技术要求中相关内容,及调研阶段收集的 xxxxxx 安全管理规章制度,采取进行现场访谈的方式,对安全管理机制的健全性进行进一步的验证。调查对象包括:安全管理组织、人员管理、安全管理制度、备份恢复机制、应急响应机
22、制。2.4 风险评估的分析方法本次评估采用了下图所示的风险评估模型:在风险评估模型中,主要包含信息资产、弱点、威胁、影响和风险五个要素。每个要素各自有一个或两个属性,信息资产的属性是资产价值,弱点的属性是被威胁利用的难易程度、威胁的属性是威胁的可能性、影响的属性是严重性,风险的两个属性风险的后果和风险的可能性。其中资产价值和影响的严重性构成风险的后果,弱点被威胁利用的难易程度和威胁的可能性构成风险的可能性,风险的后果和风险的可能性构成风险。本次评估,我们采用了定性与半定量相结合的风险分析方法,通过调查、测试等手段了解信息系统的潜在威胁、脆弱性及其对关键资产可能产生的影响,从而确定风险的等级。半
23、定量风险计算的过程是:(1)根据信息资产识别的结果,计算资产价值;(2)对威胁进行分析,并对威胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。第三部分 系统特征描述3.1 系统定位xxxxxx 是 xxxxxx 股份公司的成员单位之一,是国有大型航空运输企业,开辟有50 多条国内航线和多条国际航线。现已形成以 xxxx 为中心的枢纽-辐射式营运网。航空企业是一个关系到人民生命安全的行业,信息系统作为其业务支撑体系,具有应用系统涉及面广、数据准确
24、性、实时性要求高的特点。因此在信息安全的定位中,评估小组认为 xxxxxx 系统是企业级、非涉密信息网络系统,要求信息系统稳定、可靠运行;信息系统中包含有商密信息、敏感信息、业务信息及公众服务信息,在机密性、完整性、可用性、可控性、抗抵赖性各方面都有一定的安全要求。3.2 网络拓扑结构3.2.1 网络主干拓扑结构xxxxxx 系统网络采用 TCP/IP 网络协议,网络主干拓扑结构见图 3-1图 3-1 xxx 网络主干拓扑结构图Ggs_yunkog10.5.124/WS-90- Xjair_gs10.5.145/2WS-290-现 场 指 挥 中 心10.5.16.254飞 行 部10.5.1
25、7.254/Xjair_hycg10.5.137/24WS-290GXjair-hyjg进 港10.5.139/24WS-20-Xjair-hygt柜 台10.5.138/24WS-290- Xjair-hyjgk监 管 库10.5.140/2WS-29- 货 运10.5.1.254/培 训 中 心10.5.231.54/2Xjair_pxz10.5.146/2WS-29M-XL Xjair_scb110.5.431WS-294C市 场 营 销 部10.5.14.25/4Xjair-fxb1/Xjair-fxb210.5.4718WS-350-4Xjair_zwb110.5./24WS-290
26、-2-110.5.74/81510.5.761WS 2950 Xjair_kcb1/c2/3/410.5.13410.5.1635WS-290G-48客 舱 部10.5.18.254/10.5.180/24机 务 CISO450610.5.186ciso350-48机 库 ciso2950c-24四 车 间ciso2950c-24西 附 楼 2ciso2950-410.5.189 10.5.187/2 10.5.18310.5.185 ciso294c-2西 楼 2ciso294五 车 间ciso350g-48西 楼 1ciso2950g-48航 材 10.5.1810.5.18410.5.1
27、82/4飞 机 维 修 基 地10.5.3.24网 络 公 司光 纤 汇 聚 24芯 光 缆 24芯光纤终端盒 16路光收发器池 10.5.1254CISO609CISOxm260 公 司 办 公 楼Cisco601.5.125航 站 楼 航 务 部干 将 /莫 邪 IDS承 影 漏 洞 扫 描 路 由 器Cisco3640192.8.122XM南航2M北 门网 络 公 司 核 心 交 换 机PIX52 防 火 墙103 路 由 器Cisco374510.5.12 2M光 明 路路 由 器ciso362068号 楼10.5.241.5/2410.5.12/4公 司 6楼10.5.19/24 公
28、 司 3楼10.5.12/4公 司 2楼10.5.13/24公 司 楼10.5.1/24西 附 楼 至 网 络 公 司ciso294公 司 5楼1018/24 公 司 4楼10.5.15/24 4 210.5.173/48010.5.172WS 950光纤跳线10.5.178/24w服 务 器 mail服 务 器带 宽 管 理 器192.68.13网 络 公 司 至 地服 、 航 食 、 物 业 10.63.17/24至 凯 亚 公 司客 舱 部 保 障 中 队DLINK交 换 机10253现 场 指 挥 中 心飞 行 部进 港柜 台监 管 库货 运培 训 中 心 市 场 营 销 部客 舱 部
29、机 务机 库 四 车 间西 附 楼 西 楼五 车 间 西 楼航 材飞 机 维 修 基 地网 络 公 司光 纤 汇 聚网 络 公 司光 纤 汇 聚 芯 光 缆 芯光纤终端盒 路光收发器池 公 司 办 公 楼航 站 楼 航 务 部干 将 莫 邪承 影 漏 洞 扫 描 路 由 器 南航北 门网 络 公 司 核 心 交 换 机防 火 墙 路 由 器 光 明 路路 由 器号 楼公 司 楼公 司 楼公 司 楼公 司 楼西 附 楼 至 网 络 公 司公 司 楼公 司 楼光纤跳线服 务 器 服 务 器带 宽 管 理 器网 络 公 司 至 地服 、 航 食 、 物 业 至 凯 亚 公 司客 舱 部 保 障 中
30、队交 换 机3.2.2 中心机房信息系统构成图 3-2 信息中心核心设备拓扑图3.3 现行系统的安全策略xxxxxx 目前的网络基于 Internet/Intranet 和同城网络流行的符合国际标准的 TCP/IP网络协议和 WEB 等技术,提供了与中国 xxxxxx 公司的数据传输与信息发布的专用网络,为了保障网络不受到有意、无意的的破坏,采取了以下安全防范措施:1. 配置防火墙:为减少局域网用户受到病毒及黑客的威胁,在局域网与 internet之间安装了思科 Secure PIX525 防火墙,实现了局域网用户对 internet 资源的单向访问;通过防火墙的过滤规则,实现 ip 控制,限
31、制局域网用户对 internet 的访问等。2. 安装网管软件:公司专门安装了 Cisco works 网管软件,利用管理软件直观地以图形方式显示 Cisco 的设备,以及基本的故障排除信息,进行有效的网络管理。 3. 进行网络性能监测分析:为了给网络管理人员提供深入监测、分析和优化网络的信息,公司购买了美国福禄克网络公司的 OptiView II 系列集成式网络分析仪(OPVS2 INA ) ,该产品具有 协议分析、流量分析和网络搜索的功能。4. 入侵检测系统(IDS):作为防火墙的补充,公司在网络上增加了干将/莫邪入侵检测系统,该系统主要作用是保护网络、帮助系统对付网络攻击,扩展了系统管理
32、员的安全管理能力。5. 定期进行漏洞扫描:承影网络漏洞扫描器是一种基于网络的漏洞扫描和分析工具软件,用来检查网络环境下各种网络系统与设备的安全缺陷和弱点,信息部工作人员每周对中心服务器进行一次扫描,帮助管理员巩固企业的信息系统安全。6. 划分 VLAN:通过路由访问列表等 Vlan 划分原则,可以有效的控制网络广播风暴和逻辑网段大小,将不同部门划分在不同 Vlan,从而提高交换式网络的整体性能7. 安装网络防病毒软件:为了保证用户在使用网络时不受病毒的感染,公司于2004 年 2 月建立防病毒系统,局域网内的用户必须安装 Symantec 防病毒软件。8. 安全管理组织:xxxxxx 成立了由
33、信息部部长任安全领导小组组长,由运行室副主任任副组长的“安全领导小组” ,安全管理人员由信息中心两名技术人员担任。负责与 xxxxxx 总部联系,并发布信息安全的相关信息。9. 安全管理制度:xxxxxx 制定了以下与信息系统管理相关的规章制度:1) xxxxxx 网络管理暂行规定2) 网络设备运行管理制度3) xxxxxx 计算机病毒防治管理办法4) xxxxxx 计算机系统密码设置和使用规则5) xxxxxx 邮件帐号使用管理及安全管理规定6) 系统运行室管理规章制度7) 系统运行室值班职责8) 2005 系统维护室工作职责划分9) 系统运行室各系统应急预案xxxxxx 在信息系统的建设中
34、已经采取了以上的安全措施,这些安全措施也的确起到了安全防范的作用,信息系统运行至今,没有出现过重大的安全事故。但是从实际测试以及业务调研中,还是发现了不少系统的安全漏洞,有些系统的脆弱性还具有比较高的风险(参见本文第四部分) 。这些问题是必须引起高度重视的。3.4 信息资产识别和定义在资产定义阶段,通过对前期业务调研的总结和讨论,产生了 xxxxxx 中心信息资产工作表,并从中挑选出本次评估的关键资产,见表一:表 一 : 资 产 定 义 汇 总 表资 产 资 产 的 作 用 和 重 要 性xxxxxx 财 务 信 息 财 务 信 息 是 公 司 的 核 心 数 据 , 目 前 xxxxxx 公
35、 司 的 财 务 系 统 由xxxxxx 公 司 统 一 管 理 , 数 据 主 要 集 中 在 xxxxxx 公 司航 务 、 机 务 、 采 供 、 飞 行 、货 运 、 客 户 信 息这 些 信 息 直 接 关 系 到 航 空 公 司 业 务 的 正 常 进 行 , 是 企 业 的 重 要信 息 。信 息原始资料及相关档案通 常 指 第 一 手 资 料 , 如 硬 件 、 软 件 设 计 文 档 、 数 据 库 设 计 文 档 、原 程 序 、 软 件 安 装 介 质 、 使 用 手 册 、 配 置 手 册 、 管 理 制 度 等 等 ,有 些 内 容 丢 失 会 造 成 泄 密 及 无
36、 法 恢 复 的 损 失业 务 系 统 软 件xxxxxx 公 司 的 应 用 软 件 包 括 有 FOC 系 统 、 航 空 维 修 综 合 管 理 信息 系 统 客 舱 采 供 管 理 系 统 、 飞 行 统 计 系 统 、 航 班 查 询 系 统 、950333 系 统 ISO 9000 手 册 电 子 版 管 理 系 统 来 保 证 xxxxxx 业务 的 正 常 运 行 。数据库管理系统xxxxxx 的 数 据 库 管 理 系 统 主 要 采 用 的 是 MS SQL SERVER, 部 分应 用 系 统 采 用 DB2 、 SYBASE 和 ORACLE 数 据 库 , 来 保 障
37、 系 统 的正 常 运 行 , 它 们 关 系 到 数 据 的 完 整 性 和 可 用 性操作系统xxxxxx 公 司 各 类 服 务 器 的 操 作 平 台 , 目 前 全 部 采 用 MS WIN2000 系 列 操 作 系 统 , 是 各 类 服 务 器 及 工 作 站 正 常 运 行 的 基础 环 境 , 也 是 信 息 系 统 的 最 后 一 道 安 全 防 线 。办公应用软件包 括 : xxxxxx 的 电 子 邮 件 ( 采 用 的 mdaemon6.5.3、 xxxxxx 的电 子 邮 件 系 统 Exchange2000) ; xxxxxx 内 、 外 部 网 站 ; 办 公
38、 自动 化 系 统 ( 服 务 器 在 xxxxxx) 、 视 频 系 统 等 , 是 正 常 办 公 的 辅助 工 具 。网络管理软件 信 息 中 心 采 用 CISCOWORK 2000 网 管 软 件 对 网 络 运 行 状 况 的 监 控和 维 护 提 供 了 技 术 手 段网络防病毒软件采用 Symantec 网络防病毒软件(1000 客户端) ,该系统主要用于为公司服务器和 pc 机防病毒,保证用户在使用网络时不受病毒的感染。关系网络中所有计算机的安全。应 用软 件承影网络漏洞扫描软件基于网络的漏洞扫描和分析工具软件,用来检查网络环境下各种网络系统与设备的安全缺陷和弱点,帮助管理员
39、巩固企业的信息系统安全。网 络设 备 数 据 库 存 储 设 备采 用 DELL 磁 盘 阵 列 保 存 及 备 份 xxxxxx 公 司 部 分 的 重 要 信 息 及数 据表 一 : 资 产 定 义 汇 总 表资 产 资 产 的 作 用 和 重 要 性数 据 库 服 务 器 采 用 HP 和 DELL 的 PC 服 务 器 做 数 据 库 系 统 载 体 , 为 xxxxxx 公司 提 供 各 种 查 询 、 计 划 等 数 据 服 务核 心 路 由 及 核 心 交 换 机 核 心 交 换 机 CISCO 6509 网 络 核 心 设 备 , 一 旦 出 现 故 障 , 会 导 致整 个
40、网 络 系 统 瘫 痪通 讯 线 路 主 干 光 缆 线 路 和 机 房 内 连 接 各 设 备 的 线 缆 , 保 证 xxxxxx 业 务 的正 常 运 行其 他 路 由 器 及 交 换 机CISCO 3640 和 CISCO 3750 等 是 网 络 互 联 设 备 , 提 供 对 xxxxxx和 市 区 售 票 处 的 接 入 , 出 现 故 障 , 会 造 成 无 法 与 中 心 网 络 连 接 ,影 响 业 务 正 常 进 行防 火 墙 Pix 525 防 火 墙 提 供 xxxxxx 公 司 INTERNET 的 安 全 接 入入 侵 检 测 系 统防火墙的补充,提高系统对外部攻
41、击的检测能力,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应) 。及 硬件网 络 测 试 仪 OptiView II 将网络分析和监测能力结合在一起,能够完整的透视整个网络。应用系统管理员 负 责 应 用 软 件 升 级 、 扩 展 、 更 新 及 数 据 备份 。安全管理人员 负 责 信 息 系统安全管理及安全支持软件开发维护人员 应 用 系统开发、升 级 、 扩 展 及 维 护 。人 员网 络 硬 件 管 理 人 员 网 络 设 备 系统配置、网 络 检 测 。人 是 第 一 位 的 , 其它 因 素 , 如 : 设 备 、软 件 程 序 、 信 息 系统 均 由 人
42、来 操 作 使用 , 信 息 资 料 由 人来 调 用 。系统配置信息 系统功能参数设定。源程序 应 用 系统的程序清单。系统设计开发文档 系统设计的依据、技术特征、业务及数据模式、开发方法等。系统说明文档 说明系统的功能、使用范围。技术文档系统维护文档 记 载 系统升级、维修的文字记录。在系统资产定义阶段,还根据资产的工作范围及重要性,对信息资产的安全优先级别进行了定义,在风险规避中,要优先考虑安全要求高的资产;根据系统对信息安全的机密性、完整性、可用性、可控性以及抗抵赖性的要求,对信息资产的安全需求进行了定义。具体内容见系统特征分析报告文档。第四部分 风险分析4.1 威胁识别威胁是指可能对
43、资产或组织造成损害事故的潜在因素。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。通过对各业务系统关键资产进行的直观的威胁分析,可以清楚地看出本次评估范围内各业务系统及关键资产所面临的威胁种类。下面针对 xxxxxx 的信息资产目前所面临的各种威胁进行综合描述,包括威胁的主体、威胁的客体以及威胁发生的可能性。来自系统内部的威胁:1操作失误:这种威胁的主体为系统管理员用户或其他合法用户,威胁的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户的无意行为,但是对资产的种类接触很多,处理和维护操作比较多,因此这种威胁发生的可能性根据不同的用户
44、(主体)和不同的资产(客体)而不同,一般发生可能性适中。2滥用授权:这种威胁的主体为系统管理员用户或其他合法用户,威胁的客体为所有物理资产、软件资产、硬件资产和数据资产。这种威胁是合法用户的故意行为,与xxxxxx 员工的素质有关,也与用户的权限大小和威胁资产的可利用程度有关,一般发生可能性偏低。3特权升级:这种威胁的主体为合法用户,客体为软件资产和数据资产。特权升级是指使用恶意手段获取比正常分配的权限更多的权限。例如,在一个得逞的特权升级攻击中,恶意用户设法获得 Web 服务器的管理特权,使他能够随意地进行破坏,发生的可能性适中。4行为抵赖:这种威胁的主体为系统管理员用户或其他合法用户,威胁
45、的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户对自己所作操作的否认,一般发生可能性较低,但对于员工素质较差、操作造成损失较大、没有监控记录的情形下可能会发生。来自系统外部的威胁:5身份假冒:这种威胁的主体主要为非法用户,也有少量的合法用户,威胁的客体为所有物理资产、软件资产和数据资产。这种威胁主要是合法用户冒用别人的身份或账号进行一些合法操作,或者非法用户盗用合法用户身份或账号进行非法操作,这两种情形在冒用账号方面发生可能性比较高。6信息泄漏:这种威胁的主体为非法用户,也有少量合法用户,主要是蓄意盗取敏感数据或泄露应该保密的信息,威胁的客体为软件资产和数据资产。这些非法
46、用户利用社交等手段获取系统软件或应用软件的配置数据,以便为后面的破坏做好基础,或者直接骗取业务敏感数据,这种威胁很隐藏,利用的手段很多,因此该威胁发生的可能性比较高,但属于中风险范畴。7篡改:这种威胁的主体为非法用户,客体为数据资产。篡改是在未经授权的情况下更改或删除资源。数据在传输中(以物理或电子方式)和存储时都会受到该威胁。例如,未受保护的数据包可被截获和修改,或者数据可因为攻击者利用缓冲区溢出脆弱性所执行的恶意代码而损坏。该威胁发生的可能性适中。8拒绝服务:这种威胁的主体为非法用户,主要是故意破坏的攻击者,威胁的客体为软件资产。这种威胁一般是内部的破坏者针对内部应用系统的有效攻击方式,发
47、生可能性较大。外部的攻击者针对公开服务的各种系统都有可能进行攻击,发生可能性很大。9窃听数据:这种威胁的主体为非法用户,威胁的客体为软件资产和数据资产。非法用户通过窃听手段窃取系统软件和应用软件的系统数据及敏感的业务数据,为了达到攻击和入侵系统的目的,攻击者一般都会进行这方面的尝试,因此此威胁发生的可能性较高。10 物理破坏:这种威胁的主体为非法用户,主要是故意破坏的攻击者,威胁的客体为物理资产。非法用户通过各种手段接近资产进行物理破坏,这种威胁发生的可能性与 xxxxxx 的安全保卫制度和相关的访问控制制度有关,发生可能性适中。11 社会工程:这种威胁的主体为非法用户,主要是蓄意盗取敏感数据
48、或破坏系统的攻击者,威胁的客体为软件资产、信息资产和人员。这些非法用户利用社交等手段获取系统软件或应用软件的配置数据,以便为后面的破坏做好基础,或者直接骗取业务敏感数据,这种威胁很隐藏,利用的手段很多,因此该威胁发生的可能性较高。系统原因:12 意外故障:这种威胁的主体为系统组件,即资产自身;威胁的客体为所有物理资产、软件资产和数据资产。这种威胁是资产在系统运行期间自身偶然发生的故障,该威胁发生的可能性根据资产的类别不同而不同,一般发生可能性非常高。13 恶意代码:这种威胁的主体可以视为系统问题,也可以看作系统外部人员的恶意行为。但是恶意代码往往不是有针对性的行为,可能是其它软件或系统漏洞引发
49、的结果。威胁的客体为软件资产和信息资产,目前有些恶意代码也可能威胁硬件资产的安全。系统感染病毒的可能性较多,但也有可能被非法用户利用漏洞安装恶意代码,这种威胁的可能性与系统的防病毒体系建设和安全漏洞的严重程度有关。14 配置中的威胁:这种威胁的主体为非法用户,主体为操作系统、应用软件和TCP/IP 协议。大多数系统软件和应用软件为了方便用户,初始安装结束之后,存在一些默认的用户名、口令和开放的服务端口。往往会被攻击者利用,造成网络瘫痪或机密被窃取。另外,TCP/IP 某些协议存在一些漏洞,非法用户可以利用此漏洞进行入侵系统,获取管理员的权限。这些威胁发生的可能性适中。其它问题:15 通信中断:这种威胁的主体为通信线路,威胁的客体为软件资产和数据资产。不明原因的通信意外故障造成传输中断是不定时出现的,这种威胁发生的可能性适中。16 电源中断:这种威胁的主体为电源,威胁的客体为所有的物理资产、软件资产和数据资产。电源中断是由于 xxxxxx 自身的一些因素或者意外因素,由于 xxxxxx 办公楼信息中心一侧全部采用 UPS 供电,这种威胁发生可能性较
