网络管理方面:没有必要的制度保证及时更新系统、发现并修补安全漏洞;访问控制权限的分配缺乏统一有效的管理,没有关闭所有不必要的服务;系统配置方面都采用默认的安全策略存在不安全的隐患;没有完备的网络设备配置管理制度。
应用系统方面:不是所有磁盘分区都采用了NTFS格式;没有建立完善的访问控制机制;没有取消所有不必要的文件共享;数据库有弱口令问题,这个问题在网络扫描中表现的比较突出;在系统管理上缺乏统一的管理策略,很多重要软件未升级到最新版本;系统配置存在的安全隐患,没有完全禁用不必要的服务,包括应该关闭的服务没有关闭、参数配置不完整;系统访问控制存在的漏洞,包括赋予的访问权限过大、开放的服务较多等。
数据库方面:系统的使用者、开发者、管理者使用了属于DBA的角色的帐户,权限过大;数据库系统本身没有设置安全审计特性,无法记录对数据库系统安全条件变化做有效的记录。
虽然其中许多问题表现在技术层面上,但是究其原因,信息安全管理没有得到企业领导层应有的重视,管理机制不完善,没有相应的岗位责任制度及管理考核制度是造成上述问题的根源。因此建立完善的安全管理机制是信息系统正常运行的重要保证。
3、系统及数据库安全漏洞给内、外部入侵者提供了方便之门,对系统的威胁最为直接,许多恶意代码的攻击都依赖于系统漏洞;系统访问控制策略的完备性和审计机制的完备性对外部攻击来源的追溯和内部攻击的控制起着重要的作用。因此系统及数据库的安全漏洞直接关系到系统的完整性、可用性、可控性及抗抵赖性,对系统的影响可以排在第三位。
4、在信息网络系统中,应用系统的重要性不言而喻。xxxxxx应用系统和国内大多数企业一样,存在着缺乏统一规划、分散开发、分散管理、数据共享不便、数据安全得不到保障等问题。但是根据实际情况,xxxxxx公司不可能用一个平台去涵盖所有的系统,要想开发一套MIS系统(管理信息系统)来解决所有的问题,是不可能做到的。同时,在目前情况下,如果对数据库结构进行大的调整,结果只能是对所有应用系统软件的调整,甚至是重新开发,不具有可行性。为了信息系统的稳定运行,我们提出了建立数据交换平台的建议,但是软件开发是一个周期比较长的工作,xxxxxx应用系统的规划也要符合xxxxxx的统一规划,为了业务的持续性,目前应用系统的状态还需要保留
一段时间,因此我们把应用系统的问题排在了最后。
由于xxxxxx的应用系统涉及范围较广,各部门使用的各自的应用系统软件,一些应用系统的服务器存放在各自的部门,并没有形成统一的数据结构及软件平台;作为xxxxxx集团的分公司,xxxxxx有很多应用系统统一采用xxxxxx下发的软件,采取数据大集中方式,由xxxxxx信息中心统一管理;信息中心所有的数据都存放在一台数据库服务器上,采用SQL Server2000数据库系统,内建两个实例,其中一个实例内存建有十几个数据库,分别存放着这些应用系统的数据。这种局面固然是由于这些应用的实际需求决定,但也为充分、有效的利用数据带来了很大的不便。这些问题应该得到足够的重视,否则将影响系统的可持续发展。
当然这样的排列不是一成不变的,随着目前发现的各种安全问题的解决,随着网络技术的发展,其顺序也会随之变动。
第五部分 风险控制
通过上面的风险分析,可以清楚地看出所评估的信息系统中某种资产对应各种风险的情况。因此必须提出降低风险的措施,最终达到xxxxxx信息系统认同的残余风险的目标。风险控制建议将按照客户的需求(如降低,避免,接受风险),选出某个范围内的所有风险,并找到与这些风险相关的资产、威胁和脆弱性,制定相应的风险控制策略。
5.1 评估结果分析
虽然从目前的情况来看,由于xxxxxx系统采取了一些安全措施,没有非常明显的的高风险资产,但是系统的脆弱性是存在的,人员的脆弱性主要表现为管理方面的问题,而硬件、软件资产和数据资产的脆弱性在管理和技术两方面都存在着问题。如果不采取相应的措施,就会对系统安全造成极大的威胁。具体风险控制措施请参见附件-14、附件15、附件-16。
根据目前xxxxxx安全现状,对照GA/T390-2002计算机信息系统安全保护等级安全功能技术要求,我们制作了《xxxxxx系统安全保护等级符合情况对照表》(见附表1)。对比条目主要针对安全保护等级1、2、3的要求,对比条目共有108项,其中物理环境占43项。由于本次评估不包括的物理环境部分,所以物理环境保护等级要求的对比结
果是由xxxxxx部技术人员根据附件-17《信息系统安全保护等级要求》确定的,主要对象是xxxxxx办公大楼内的信息中心机房。其他各项的对比根据实际评估的结果确定。从对比的结果看,有42项符合安全保护等级要求,有14项部分符合安全保护等级要求,其余各项没有达到相应安全保护等级的要求。
目前xxxxxx系统在很多方面没有达到安全保护等级2的要求,有些甚至不能达到等级1的要求。但是也有一些方面已经达到了安全保护等级3的要求,可见,在安全措施的实施过程中,有些安全问题得到了重视、也有些问题受到了忽视,安全保护的措施考虑的还不够周全。附表一是安全状况的直观反映,待航空公司信息系统安全保护等级要求确定后,可以根据保护等级的要求、对照本表进一步完善安全风险控制措施。
5.2 风险控制建议
根据安全评估机构对xxxxxx系统的定位,“防止数据的非授权修改、丢失和破坏,防止系统能力的丧失、降低,防止欺骗,保证信息系统的可靠运行”是本系统的主要安全目标。针对xxxxxx系统存在的脆弱性,特提出以下风险控制建议,供被测方在今后制定安全管理制度,建立完善的管理措施,进一步改善系统环境,完善系统功能时做参考:
1、
信息系统安全风险控制建议(参见附件-14)
信息系统安全风险控制建议包括了应用系统及网络通讯两方面的风险控制措施。应用系统方面包括:根据各个威胁事件构成的风险大小提出的应用系统风险控制建议、数据的存储备份整体加固建议、重要主机的整体保护加固建议、数据库整体加固建议和CA服务的建议。网络通讯方面包括:根据各个威胁事件构成的风险大小提出的网络通讯风险控制建议、核心节点设备安全加固建议、核心网络加固建议、交换机安全配置加固建议和VLAN规划与IP分配方案加固建议。
2、
信息安全管理机制完善建议(参见附件-15)
安全管理机制在信息安全中往往是一个薄弱环节,制定合适的安全策略,建立完整的安全管理机制,才能配合安全产品的使用,使安全产品及其配置策略发挥最大的作用,从而建立全方位的安全防护体系。
《信息系统安全管理机制风险控制建议》根据GA/T391-2002安全保护等级二的要
求提出,它不仅给出了一般性的原则,也收集了一些具体的规章制度供被测方参考,xxxxxx安全管理机构应根据企业的特点制定符合实际的安全管理制度。安全管理制度涉及的内容很多,有一个逐步完善的过程,只要建立起安全管理的意识,就可以在不断完善的过程中形成一整套切实可行的安全管理机制。
3、
系统及数据库安全加固建议(参见附件-16)
系统和数据库存在的漏洞应该受到高度重视,尤其是目前存在的高风险漏洞,必须尽快采取措施加以修补。在这方面,我们认为应该做好以下几方面的工作:
? 安排专人负责尽快修复系统现有漏洞,具体做法可参考《网络通信漏洞检
测报告》、《系统及数据库漏洞检测报告》以及《系统及数据库安全加固建议》;
? 制定系统管理配置策略,及时安装安全补丁,防止造成安全隐患; ? 制定安全审计策略,启动系统审计机制;
? 完善系统管理制度,在系统维护人员的岗位责任中,增加相关的制度,并
制定监督检查条理。 4、
信息系统安全保护等级要求(参见附件-17)
根据GA/T390-2002关于信息系统安全保护等级的要求,我们特别整理了其中安全保护等级2、3的“安全功能技术要求”和“安全保护技术要求”,虽然它给出的是一般性原则,但是这些要求来自公安部的标准,在全面性、规范性上更具有权威性,是信息系统安全建设方面很有价值的参考资料。
5.3 风险控制措施实施建议
风险控制建议的实施要考虑风险对信息系统安全性影响的大小,控制措施实施的难易程度,也要考虑xxxxxx实际投资能力。在6.1节,我们已经根据风险影响的大小对各方面的脆弱性进行了排序。但是考虑到资金方面的限制和实现的难易程度,我们建议,对那些不需要资金投入就可以实施的内容可以优先进行,而目前尚不具备实施条件的建议可以作为今后的投资参考。因此提出如下建议:
1、首先应该组织信息系统管理人员对网络设备、系统及数据库的漏洞进行修补,
相关推荐:
loading