1、Page 1 of 29中国联通信息化系统风险评估流程及规范(试行)Page 2 of 29目 录1 目标 32 引用标准 33 相关术语 34 风险评估概述 44.1 风险评估概念 .44.1.1 信息安全 44.1.2 安全风险 44.1.3 信息安全风险评估 54.2 风险评估要素关系模型 .55 风险评估规范 65.1 风险评估规范概述 .65.2 资产评估 .65.2.1 资产识别 65.3 脆弱性评估 .75.3.1 脆弱性分类 75.3.2 脆弱性赋值 85.3.3 脆弱性评估方法 85.4 综合风险分析 .205.5 实施改进 .215.5.1 制定策略 215.5.2 安全加
2、固 215.5.3 安全工程实施 216 风险评估流程 226.1 风险评估沟通阶段 .226.2 风险评估实施阶段 .226.2.1 项目启动 226.2.2 资产识别 226.2.3 安全漏洞扫描 226.2.4 渗透测试检查 236.2.5 安全基线检查 246.2.6 安全管理评估 266.2.7 配合情况检查 276.3 风险评估总结阶段 .286.3.1 风险评估报告 286.3.2 风险整改 28附录 29Page 3 of 291 目标本指导手册用于指导中国联通信息化部系统安全风险评估工作,是中国联通信息化部开展安全风险评估的指导性文件。本指导手册适用于中国联通信息化总部、各直
3、属单位和各省级分公司。2 引用标准下列标准所包含的条文,通过在本手册中引用而成为本手册的参考。注:所有标准都会被修订,使用本手册的各方应探讨使用下列标准最新版本的可能性。1. ISO/IEC 13335-1 信息技术安全管理 第 1 部分:IT 安全概念和模型2. ISO/IEC 27001:2005 信息技术 -安全技术-信息安全管理体系规范 3. 信息系统安全风险评估实施指南4. 电信网和互联网安全防护管理指南5. 电信网和互联网安全风险评估实施指南3 相关术语 资产对组织具有价值的任何东西。资产价值资产的重要程度和敏感程度。资产价值是资产的属性,也是进行资产评估的具体内容。威胁可能对资产
4、或单位造成损害的事故的潜在原因。威胁由多种属性来刻画:威胁的主体(威胁源) 、能力、资源、动机、途径、可能性和后果。脆弱性资产或资产中能被威胁利用的脆弱性。风险由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。残余风险Page 4 of 29采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。风险评估是对各方面风险进行辨识和分析的过程,是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。保密性使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。完整性保护信息及处理方
5、法的准确性和完备性。可用性已授权实体一旦需要就可访问和使用的特性。安全需求为保证单位的业务战略能够正常行使,在信息安全保障措施方面提出的要求。安全措施对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。4 风险评估概述4.1 风险评估概念风险评估是对信息安全风险评估的简称,它的概念是安全、风险以及评估三者概念的一个综合,以下分别对这些概念进行叙述。4.1.1 信息安全ISO/IEC 27001:2005 对信息安全进行了如下的定义: 1、信息安全是对信息进行保护,防范大范围的系列威胁以确保业务连续性,最小化业务风
6、险、最大化投资回报和商业机会。2、信息安全通过实施一系列适宜的控制(包括策略、过程、流程、组织机构及软硬件功能)来获得。这些控制应该被建立、实施、监控、评审和改进,必要时,确保满足特定的安全及业务目标。4.1.2 安全风险ISO/IEC TR 13335-1 将安全风险定义为特定威胁利用某个( 些)资产的脆弱性,造成资产Page 5 of 29损失或破坏的潜在可能性。4.1.3 信息安全风险评估信息安全风险评估是对各方面风险进行辨识和分析的过程,是对威胁、影响、脆弱性的评估。它是确认安全风险及其大小的过程,其结论将为风险处置提供不可或缺的依据。风险评估是风险管理的前提和基础,没有了风险评估,风
7、险管理就无从谈起。4.2 风险评估要素关系模型国家标准风险评估实施指南给出的风险评估要素关系模型如下图所示:业业业业业业业业业业业业业业业业业业业 业业业业业业业业业业业业 业业业业业业业 业业 业业业业业业业业 业业业业业业业业业业业业业业业 业业业业业业 业业业业图 1 风险评估要素关系模型图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中也需要充分考虑业务战略、资产价值、安全事件、残余风险等相关属性。风险评估要素之间存在着如下关系:1. 业务战略依赖于资产去完成;2. 资产
8、拥有价值,组织的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;3. 资产的价值越大则遭致威胁越大;4. 风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;5. 威胁需要利用脆弱性来达到目的,因此脆弱性越大则风险越大;6. 脆弱性使资产暴露,威胁要通过利用脆弱性来危害资产,从而形成风险;Page 6 of 297. 依据资产的重要性和对风险的评估结果可以导出安全需求;8. 安全需求要通过安全措施来得以满足,且是有成本的;9. 安全措施可以抗击威胁,降低风险,减弱安全事件的影响;10. 风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。一部分残余风险来自于安
9、全措施可能不当或无效,在以后需要继续控制这部分风险;11. 另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它会在将来诱发新的安全事件。5 风险评估规范5.1 风险评估规范概述风险评估包括资产识别、脆弱性评估、综合风险分析和实施改进四个主要内容。资产评估通过现场调查、现场访谈、资料分析等方法识别出评估范围内的所有信息资产,为脆弱性评估及综合风险分析提供基础。脆弱性评估通过工具扫描、安全管理访谈等方法对资产用的脆弱性进行识别、分析并给出脆弱性严重程度级别,以及安全检查点是否符合规范。综合风险分析通过对资产、脆弱性进
10、行统计和分析,评估资产存在的脆弱性被威胁利用的可能性和影响,并提供详细的解决建议。实施改进通过改进安全策略、安全加固漏洞以及安全工程实施来降低安全风险,提高安全防护水平。5.2 资产评估资产是对组织具有价值的东西,因而需要保护。资产可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码、数据等,也有商业秘密、企业部门形象等。具体的资产分类方法可以根据具体环境,由评估人员灵活把握。5.2.1 资产识别目标按照评估范围的要求,无遗漏地识别出系统所包括的所有相关资产,保证信息完备、准确,为后续工作奠定良好的基础。方法描述Page 7 of 29通过现场调查、访谈或历史资料整理三个途径
11、识别出评估范围内的所有资产。在现场调查前往往需要进行历史资料整理。在现场实地调查时,如果有必要应及时访谈配合人员,保证资产清单中的信息完备、准确。识别的主要内容包括设备单点调查和信息设备关联关系(如物理连接)调查两部分。在信息设备单点调查过程中不考虑信息设备之间的联系。在信息设备关系调查过程中需要获得与信息设备的实际情况完全一致的网络物理连接图(设备之间的物理连接信息,如以太网、光纤连接等) 、网络逻辑连接图(如 VLAN 等网络层信息) 、网络 IP 连接图(体现 IP 层的路由、地址转换等信息)等。5.3 脆弱性评估脆弱性也称为弱点,脆弱性评估也称为弱点评估,是风险评估中最重要的内容。弱点
12、是资产本身存在的,它可以被威胁利用、引起资产的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。值得注意的是,脆弱性虽然是资产本身固有的,但它本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生,单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不实施安全保护措施,但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对
13、脆弱性的严重程度进行评估。脆弱性评估所采用的方法主要包括问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。5.3.1 脆弱性分类脆弱性主要从技术和管理两个方面进行评估,涉及网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描,对网络设备和主机等进行人工抽查,保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面主要根据中国联通信息化系统核心数据安全防护责任分解矩阵(试行)和工信部通信网络安全防护管理办法的要求,发现其中的管理漏洞和不足。常见的脆弱性分类方法如下表所示:脆弱性分类 脆弱性子类 脆弱性描述网络设备安全 访问控制,安全
14、策略,安全漏洞,安全配置等技术脆弱性 主机系统安全 系统安全策略,安全漏洞,配置安全,端口与服务配置等Page 8 of 29数据库安全 访问控制,安全漏洞,安全策略等应用系统安全 访问控制,安全漏洞,编码安全等管理脆弱性 安全管理安全策略、组织安全、资产分类与控制、人员安全、物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性5.3.2 脆弱性赋值脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁可能利用的脆弱性,并对脆弱性的严重程度进行评估。最终脆弱性的赋值采用定性的相对等级的方式。脆弱性的严重程度等级建议划分为三级,从 1 到 3 分别代表三个级别的脆弱性严
15、重程度。等级越高,脆弱严重程度越高,如下表所示:脆弱性严重程度等级 标识 脆弱性严重程度定义3 高存在一个或多个比较脆弱的技术或管理漏洞,被威胁利用成功的可能性较高。如果被威胁利用,将对资产造成重大损害2 中存在一个或多个中等脆弱的技术或管理漏洞,被威胁利用成功的可能性中。如果被威胁利用,将对资产造成一般损害 1 低存在一个或多个较低脆弱程度的技术或管理漏洞,被威胁利用成功的可能性较低。如果被威胁利用,将对资产造成较小损害评估人员也可以根据被评估系统的实际情况自定义脆弱性严重程度的等级。5.3.3 脆弱性评估方法脆弱性评估中主要通过安全漏洞扫描、安全渗透测试、安全基线检查、恶意代码检查、安全代
16、码检查、安全管理评估等几方面进行安全检测来发现系统的脆弱性。5.3.3.1 安全漏洞扫描安全扫描是安全评估过程中,发现系统、主机等设备存在安全脆弱性的必要手段之一,安全漏洞扫描主要采用自动化的漏洞扫描工具,对主机、网络设备和数据库等网元进行远程漏洞扫描,以主动发现网络设备、服务器主机、数据和用户账号/口令等扫描对象中存在的安全风险和漏洞。安全漏洞扫描主要内容为: 网络设备与防火墙 口令猜测 RPC 服务Page 9 of 29 Web 服务 CGI 问题 文件服务 域名服务 Mail 服务 Windows 远程访问 数据库问题 后门程序 其他服务等安全扫描过程中会消耗一定的网络资源,但不会对系
17、统正常运行造成影响。实际使用情况表明,100M 环境下,网络扫描对网络资源和被评估系统的资源占用在 1%-3%之间,并且可以通过配置扫描策略来使这些资源消耗降低至最小。为了确保扫描的可靠性和安全性,评估方将根据业务情况,与系统管理员一起制定扫描计划。扫描计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要提供配合等。5.3.3.2 安全渗透测试安全渗透测试主要通过模拟攻击者的技术和行为,对系统进行安全攻击测试,深入挖掘系统漏洞,发现系统中存在的较严重安全问题,渗透结果主要以获取敏感信息和管理员权限为依据。安全应用渗透测试主要包括应用安全渗透测试和网络主机渗透测试。5.3.
18、3.2.1 应用安全渗透测试应用安全渗透测试主要是针对 Web 应用系统的渗透测试,应用安全渗透测试围绕OWASP Top10 漏洞展开,主要内容包括:1. 注入攻击漏洞:例如 SQL,OS 以及 LOAP 注入,这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候,攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未授权的数据。2. 跨站脚本(XSS) :当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生跨站脚本攻击(简称 XSS) 。XSS 允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、
19、危害网站、或者将用户转向恶意网站。3. 失效的身份认证和会话管理:与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充Page 10 of 29其他用户的身份。4. 不安全的直接对象引用:当开发人员暴露一个对内部实现对象的引用时,例如,一个文件、目录或者数据库密匙,就会产生一个不安全的直接对象引用,在没有访问控制检测或者其他保护时,攻击者会操控这些引用去访问未授权数据。5. 跨站请求伪造:一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的 HTTP 请求,包括该用户的会话 cookie 和其他认证信息,发送到一个存在漏洞的 w
20、eb 应用程序,这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。6. 安全配置错误:好的安全需要对应用程序、框架、应用程序服务器、web 服务器、数据库服务器和平台,定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护所有这些设置。这包括了对所有的软件保持及时地更新,包括所有应用程序的库文件。7. 不安全的加密存储:许多 web 应用程序并没有使用恰当的加密措施或 Hash 算法保护敏感数据,比如信用卡、社会安全号码(SSN) 、身份认证证书等等。攻击者可能利用这种弱保护数据实行身份盗窃、信用卡诈骗或其他犯罪。
21、8. 没有限制 URL 访问:许多 web 应用程序在显示受保护的链接和按钮之前会检测 URL 访问权限。但是,当这些页面被访问时,应用程序也需要执行类似的访问控制检测,否则攻击者将可以伪造这些 URL 去访问隐藏的页面。9. 传输层得保护不足:应用程序时常没有进行身份认证,加密措施,甚至没有保护敏感网络数据的保密性和完整性。而当进行保护时,应用程序有时采用弱算法,使用过期或者无效的证书,或不正确地使用这些技术。10. 未验证的重定向和转发 :WEB 应用程序经常将用户重新定向和转发到其他网页和网站,并且利用不可信的数据去判定目的页面,如果没有得到适当验证,攻击者可以重定向受害用户到钓鱼软件或
22、恶意网站,或者使用转发去访问未授权的页面。5.3.3.2.2 网络主机渗透测试网络主机渗透测试主要采取敏感信息收集、账号口令猜测、权限提升、网络嗅探等形式进行模拟攻击。1. 敏感信息收集Page 11 of 292. 帐号口令猜解目的: 了解系统在帐号口令管理及口令设置的安全强度是否有不足对象: 网络设备、安全设备,操作系统、数据库及其它重要系统等结果: 获取可以登陆系统的帐号及密码,为下一步渗透做准备3. 权限提升目的: 在已经获取了一定权限的目标上,做进一步的操作以扩展或提升权限。对象: 操作系统,数据库,网络设备等结果: 尽可能充分地控制被渗透的目标。4. 网络嗅探目的:1了解服务器和终
23、端的安全状况(例如,系统版本、补丁情况、开启的服务和端口等等) ,确定进一步深入渗透的目标2了解系统内的各品牌的路由器、交换机、防火墙、IDS、IPS、VPN 等网络设备和安全设备的安全配置状况(例如开放端口情况、防火墙的访问控制等)对象:服务器、终端(已装终端管理) ,网络设备(路由器、交换机、IDS、IPS、VPN等)结果: 确定可能存在漏洞的系统或网络,做为进一步渗透的候选Page 12 of 29目的: 通过嗅探方式获取被渗透网络的机密信息,如口令等。对象:渗透发起终端同网段内的:服务器、终端、网络设备、安全设备的通信报文, VPN,远程管理系统(终端管理)结果: 从网络报文中抓取敏感
24、信息。5. 社交工程目的:在非技术环境中,通过面谈或电话等形式,利用被渗透组织员工心理学上的弱点,获取机密信息,如口令等。对象: 服务器、终端、网络设备、安全设备的管理者结果: 被渗透者泄露机密信息给渗透发起者5.3.3.3 安全基线检查安全基线检查主要使用自动化的安全配置审计工具,检查主机、网络设备、数据库和中间件的安全配置是否符合安全基线要求, 对于不能使用自动化工具检查的系统使用进行人工核查,具体检查及配置方法可参见中国联通信息化事业部系统安全配置指南。安全基线检查的内容主要包括:1. 账号管理、认证授权安全要求策略配置;2. 日志安全要求;3. IP 协议安全4. 系统服务策略配置;5
25、. 系统重要文件访问控制配置;6. 系统资源使用情况配置;7. 其它安全配置等。Page 13 of 295.3.3.3.1 操作系统安全基线操作系统安全基线主要检查各类主机操作系统的安全配置是否符合安全基线要求(根据各省调研结果,不属于下列操作系统类型的主机后续扩展添加) 。5.3.3.3.1.1 Windows 系统基线要求Windows 系统包括 windows2003、windows2008、windows2000 等系统,具体基线检查要求如下:1. 账号管理、认证授权安全要求a) 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号;b) 最短密码长度8个字符,启用本机组
26、策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:英语大写字母、英语小写字母、西方阿拉伯数字、非字母数字字符;c) 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天;d) 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号;e) 在本地安全设置中从远端系统强制关机只指派给Administrators组;f) 在本地安全设置中关闭系统仅指派给Administrators组;g) 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。2. 日志安全要求a) 设备应配置日志功能,对用
27、户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;b) 启用组策略中对Windows系统的审核策略更改,成功和失败都要审核;c) 启用组策略中对Windows系统的审核对象访问,成功和失败都要审核;d) 启用组策略中对Windows系统的审核目录服务访问,失败;e) 启用组策略中对Windows系统的审核特权使用,成功和失败都要审核;f) 启用组策略中对Windows系统的审核系统事件,成功和失败都要审核;g) 启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核;h) 启用组策略中对Windows系统的审核过程追踪失败;
28、i) 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。3. IP 协议安全要求Page 14 of 29a) 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500 ;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。4. 其他安全要求a) 非域环境中,关闭Windows硬盘默认共享,例如C$,D$;b) 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行
29、保护),防止在受保护内存位置运行有害代码;c) 如需启用SNMP服务,则修改默认的SNMP Community String设置;d) 关闭Windows自动播放功能。5.3.3.3.1.2 Unix 类系统基线要求Unix 类系统包括 AIX、Solaris、Linux、HP-UX 等系列系统,具体基线检查要求如下:1. 账号管理、认证授权安全要求a) 操作系统只存在系统必须用到的帐号,删除无用的系统默认帐号;b) 删除不必要的用户组,用户组文件配置安全属性;c) 禁止root用户直接登录系统;d) 保证只有root用户的UID为0;e) 确保root用户的系统路径中不包含父目录,在非必要的
30、情况下,不应包含组权限为777的目录;f) 确保Passwd/group等重要文件权限合理;g) 各帐号相应口令长度均应不少于8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。不使用与帐号名相同(或相似)拼写的字符串作为口令;h) “密码最长存留期”设置不大于“90天”;i) 删除任何人都有写权限的目录;j) 删除任何人都有写权限的文件;k) 所有文件都有属主;l) 只允许指定授权用户启用cron/at任务;m) 确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录。2. 日志安全要求a) 记录所有登录事件;b) 配置专门的日志服务器,加强日志信
31、息的异地同步备份。3. IP 协议安全要求Page 15 of 29a) 确保web / mail / ftp等常规网络服务的运行正常;b) 确保端口的开启合理。4. 其他安全要求a) 关闭系统的core dump;b) 及时处理磁盘空间不足情况;c) 如非必要,建议停止NFS;d) 禁止不必要的基本网络服务;e) 确保危险的SUID程序没有被安装,注意系统中所有的SUID和SGID的程序,并进行监控和跟踪;f) 建议设置用户的默认umask=077。5.3.3.3.2 数据库安全基线数据库安全基线主要检查各类数据库的安全配置是否符合安全基线要求。数据库包括如下类型(根据各省调研结果,不属于下
32、列数据库类型的主机后续扩展添加):Oracle 数据库、DB2 数据库、My SQL 数据库、Microsoft SQL Server。具体基线要求如下:1. 账号管理安全要求a) 应删除或锁定与数据库运行、维护等工作无关的账号;b) 对用户的属性进行控制,配置用户需用的最小权限,包括密码策略、资源限制等;2. 口令安全要求a) 对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天(根据具体的业务系统需要可进行调整);b) 对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令;c) 对于采用静态口令认证技术的数据库,应配置当用户连续认证失
33、败次数超过6次(不含6次),锁定该用户使用的账号;d) 更改数据库默认帐号的密码;e) 软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等;f) 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。3. 日志审计安全要求a) 根据业务要求制定数据库审计策略。Page 16 of 29b) 对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;c) 记录用户对数据库的操作,包括但不限于以下内容:账号创建、删除和权限修改、口令修改、
34、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果;d) 记录对与数据库相关的安全事件。4. 其他安全要求a) 定期备份数据库,并且确认在故障发生时,可以有效的恢复;b) 删除范例数据库;c) 为oracle10g版本之前的数据库监听器(LISTENER)的关闭和启动设置密码。5.3.3.3.3 中间件安全基线中间件安全基线主要检查各类中间件的安全配置是否符合安全基线要求。中间件包括如下类型(根据各省调研结果,不属于下列中间件类型的主机后续扩展添加):Apache、Tomcat、WebSphere、WebLogi
35、c、IIS 等。具体基线要求如下:1. 账号管理、认证授权安全要求a) 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享;b) 应删除或锁定与设备运行、维护等工作无关的账号;c) 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;d) 对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号口令的生存期不长于90天;e) 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。2. 日志安全要求a) 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登
36、录时间,以及远程登录时,用户使用的IP地址;b) 更改默认日志记录路径,并配置日志文件合理的权限;3. 其他安全要求a) 对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统;b) 更改服务器默认端口;c) 错误页面重定向;Page 17 of 29d) 禁止列表显示文件;e) 隐藏版本号及其他敏感信息;e) IIS应删除不必要的脚本影射。5.3.3.3.4 路由交换设备安全基线路由交换设备安全基线主要检查各类路由器、交换机设备的安全配置是否符合安全基线要求。路由交换设备包括如下类型(根据各省调研结果,不属于下列类型的网络设备后续扩展添加):Cisco 路由交换
37、设备、华为路由交换设备、Juniper 路由交换设备。具体基线要求如下:1. 账号管理、认证授权安全要求a) 应按照用户分配账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享;b) 应删除与设备运行、维护等工作无关的账号;c) 静态口令必须使用不可逆加密算法加密,以密文形式存放;d) 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;e) 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限;f) 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。2. 日志安全要求a) 设备应配置日志功能,对
38、用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;b) 设备应配置日志功能,记录用户对设备的操作,如账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果;c) 开启NTP服务,保证日志功能记录的时间的准确性;d) 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。3. IP 协议安全要求a) 配置路由器,防止地址欺骗;b) 路由器以
39、UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问;Page 18 of 29c) 过滤已知攻击,在网络边界,设置安全访问控制,过滤掉已知安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫);d) 对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量;e) 采用BGP协议作为EGP协
40、议时,使用Route flap damping功能防止路由风暴;f) 在网络边界运行IGP或EGP动态路由协议时,配置路由更新策略,只接受合法的路由更新,防止非法路由注入。只发布所需的路由更新,防止路由信息泄漏;g) 修改SNMP的Community默认通行字,通行字符串应符合口令强度要求;h) 只与特定主机进行SNMP协议交互;i) 未使用SNMP的WRITE功能时,禁用SNMP的写(WRITE)功能;4. 其他安全要求a) 关闭未使用的接口,如路由器的AUX口;b) 要修改路由缺省器缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息;c) 配置定时账户自动登出;d)
41、配置consol口密码保护功能;e) 关闭不必要的网络服务或功能。5.3.3.3.5 防火墙设备安全基线防火墙设备安全基线主要检查各类防火墙设备的安全配置是否符合安全基线要求。防火墙设备包括如下类型(根据各省调研结果,不属于下列类型的网络设备后续扩展添加):Cisco 防火墙、华为防火墙、Juniper 防火墙,Checkpoint 防火墙。具体基线要求如下:1. 账号管理、认证授权安全要求a) 设备通过本地Console登录需要口令;b) 用户从用户执行状态进入超级用户状态时,需要输入的口令;c) 口令长度应不少于8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。不使用默认口令作
42、为口令;2. 应用和服务管理安全要求a) 设备应该禁用Telent方式访问系统;b) 对SSH访问进行了严格的源地址控制,保证授权的地址才可以通过SSH方式访问设备;Page 19 of 29c) 如果用户不采用SNMP方式管理防火墙,则应关闭SNMP服务;d) 在开启了SNMP服务的前提下,检查SNMP服务的共同体字符串设置情况,应该取消使用默认的public和private,应该设置复杂一些的字符串;e) 在开启了SNMP服务的前提下,检查SNMP服务的访问控制设置情况,确定只有有权限的主机才能通过SNMP访问到防火墙;f) 如果用户不采用HTTP方式管理防火墙,HTTP服务应该关闭;3.
43、 日志安全要求a) 应该对设备启用日志记录功能,并设置正确的syslog服务器,远程记录日志,日志保存时间大于6个月;4. 其他安全要求a) 防火墙策略遵循服务最小化的原则;b) 维护人员定期进行设备检测,及时升级.5.3.3.4 恶意代码检查恶意代码检查主要利用一些自动化的小工具以及手工分析方法,来检查主机中是否存在计算机病毒、蠕虫、木马等恶意程序。5.3.3.5 安全代码检查安全代码检查可发现代码构造期间引入实现级别的安全漏洞,并为这些编码错误提供建议补救措施。安全代码检查利用静态代码分析工具和人工审查来确定代码中存在的漏洞,漏洞种类包含缓冲区溢出、跨站脚本,SQL 注入、后门等。5.3.
44、3.6 安全管理评估安全管理评估主要对根据中国联通信息化系统核心数据安全防护责任分解矩阵(试行)和工信部通信网络安全防护管理办法的要求,检查各省企业信息化系统的安全管理管控情况。5.3.3.6.1 安全责任矩阵评估根据中国联通信息化系统核心数据安全防护责任分解矩阵(试行)要求,检查各省企业信息化系统在开发、运行、维护等各个环节中的安全责任落实情况。安全责任矩阵评估的主要依据是中国联通信息化系统核心数据安全防护责任分解矩阵(试行) 。Page 20 of 295.3.3.6.2 帐号权限核查对系统和应用的帐号权限使用、分配情况进行核查,检查是否存在过期帐号、权限滥用、过度授权、异常登录等情况。帐
45、号权限核查主要由人工进行审计,审计对象包括:1. 帐号权限管理办法;2. 帐号权限分离原则;3. 系统帐号权限列表;4. 应用帐号权限列表;5. 帐号权限审计记录;6. 帐号申请记录;7. 帐号变更记录等。帐号权限核查的主要依据是中国联通信息化系统核心数据安全防护责任分解矩阵(试行)中的帐号权限要求。5.4 综合风险分析风险评估的人员按照相应的职责和程序进行系统资产评估、脆弱性评估,结合中国联通信息化部的特点,纵向、横向分析各种系统发现的漏洞,总结共同特点,在考虑已有安全措施的情况下,提供详细的安全解决建议和方案。Page 21 of 295.5 实施改进在完成风险评估后,应当根据评估报告提出
46、的相关风险处置建议和方案等进行改进。通常的改进措施可以分为制定安全策略、安全加固、安全工程实施等。5.5.1 制定策略安全策略是为了将风险降低到可以接受的水平而制定的制度、规范、规则或程序,具体内容可包括如下方面:1. 信息安全管理办法、制度;2. 信息安全工作流程;3. 信息安全技术规范、标准;4. 信息安全设备配置标准;5. 信息安全操作流程;6. 信息安全运行维护计划;7. 信息安全应急响应计划等。5.5.2 安全加固安全加固是为了弥补安全漏洞而采取的技术措施,如及时打最新补丁、检查并更改不安全的权限配置、删除过期账号、更改弱口令、关闭不必要的服务端口等。安全加固包括对网络设备、主机系统
47、、应用平台和数据库的加固。安全加固的内容应当和评估报告中的风险处置建议和方案相一致。如果在加固过程中,经测试和验证,发现某些漏洞无法加固,应当进行详细说明,并提供与之相当的其他解决办法和措施。5.5.3 安全工程实施安全工程实施是当系统现有的安全机制和措施无法满足安全需求,或者遇到安全加固仍然无法解决的安全问题时,所采取的增加相应的安全功能、安全机制的措施。安全工程可能使系统安全措施进一步完善,从而提升系统的安全防护水平。Page 22 of 296 风险评估流程6.1 风险评估沟通阶段风险评估沟通阶段包括以下内容: 至少提前五天向被评估部门确认配合工作内容; 以邮件的方式通知被评估部门应内容
48、包括:要求配合的内容、系统检查顺序、现场授权书、风险告知书; 被评估部门提供介绍提纲、矩阵填写表、参会人员要求等;6.2 风险评估实施阶段6.2.1 项目启动风险评估启动前召开风险评估启动会,主要包括以下内容: 介绍背景、目的、时间计划、日程安排、评估组组织结构、职责分工、实施内容介绍、省公司配合工作现状要求,预期评估成果(被评估单位签字确认) ; 被评估单位介绍系统情况,包括但不限于以下内容:组织情况、系统情况、安全建设、安全维护、配合工作落实情况等 被评估单位确认相关文件:风险告知书、现场测评授权书; 现场签署保密协议6.2.2 资产识别被评估单位需提供详细的资产清单,包括网络拓扑图、主机
49、系统清单、应用系统情况、互联网出口等,参考中国联通信息化部风险评估调研表 ;6.2.3 安全漏洞扫描安全漏洞扫描检查流程如下:1. 确定扫描范围a) 描述:扫描范围应包含被评估平台的所有设备,必要时应扫描被评估平台设备所在的网段;b) 输入:被评估平台所有设备的 IP 地址或网段;Page 23 of 29c) 输出:扫描工作结束后后导出工具默认格式的漏洞报告,填写到评估实施表中的安全漏洞扫描一栏;d) 注意事项:扫描过程中实施人员与配合人员实时监控被扫描主机,一旦发现扫描操作对主机系统产生不良影响,应立即终止扫描。2. 时间a) 描述:扫描工作不应当影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生影响,所以扫描的时间应该避开业务高峰;b) 输入:评估人员应向省分公司配合人员说明扫描过程中可能对系统产生的影响及存在的风险;c) 输出: 省公司配合人员根据业务现状及风险规避措施确认扫描的具体时间段;d) 注意事项:扫描过程中实施人员与配合人员实时监控被扫描主机,一旦发现扫描操作对主机系统产生不良影响,应立即终止扫描。3. 环境工具a) 安全漏洞扫描主要采用极光自动化的漏洞扫描工具;b) 使用扫描工具默认的扫描策略;c) 为了扫描工作的顺利实施,省分公司配合人员应协助搭建扫描环
