安全风险分析报告

涉密计算机安全风险分析报告1 前言对于军工企业来说，严格地遵守保密管理工作法律法规和各项保密工作管理规章制度，从而有效地保护本单位的涉密信息安全，防止本单位国家秘密信息不被非法获取，是进行涉密计算机（含涉密信息，下同）安全保密方案设计以及涉密计算机安全风险分析报告必须予以考虑的。本报告试图通过对本单位涉密计算机的物理安全、信息安全及管理安全进行描述和分析，提出本单位涉密计算机普遍存在的可能威胁，并提出解决问题的框架建议。2 涉密计算机安全对于单独运行的涉密计算机而言，计算机安全的主要目标是保护计算机资源免受毁坏、盗窃和丢失。这些资源涵盖计算机设备、储存介质、软件、计算机输出材料和数据等。计算机安全主要应包括以下几个方面：a） 进入计算机系统之后，对文件、程序等资源的访问进行控制，即访问控制；b） 防止或控制不同种类的病毒和计算机破坏程序对计算机施加影响；c） 文件、数据等信息加密。对信息编码和解码，以保证只有被授权人才能访问信息；d） 保证计算机装置和设备的安全；e） 通讯安全问题；f） 计划、组织和管理计算机相关设备的策略和过程以保证资源安全。3 信息安全在涉密信息的安全管理上，主要应通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。一个安全的、完善的信息安全管理主要应涉及以下几方面的内容：3.1 策略和制度3.1.1 信息安全策略是对允许做什么，禁止做什么的具体规定。既要制定说明信息系统安全的总体目标、范围和安全框架的总体安全策略，也要制定包含风险管理策略、业务连续性策略、安全培训与教育策略、审计策略、规划策略、机构策略、人员策略等具体的安全策略。3.1.2 安全策略属于安全战略的管理范畴，无需指定所使用的技术。需要在安全策略指导下，根据公司的总体安全策略和业务需求，制定信息安全管理的规程和制度。如信息安全管理规定、数据安全管理规定等。3.2 机构和人员信息安全管理，需要建全安全管理机构，配置不同层次和类型的安全管理人员，明确各层各类安全管理机构、人员的职责分工，建立涉密人员登记、离岗、考核和审查制度，定期对涉密信息相关工作人员进行再教育和培训等。3.3 风险管理3.3.1 信息安全的实质是通过对信息系统分析，了解所存在的安全风险，通过相应的安全技术和措施，将安全风险降低到可接受的程度。3.3.2 风险管理包括威胁风险管理和残余风险管理。必要时进行风险评估，分析信息安全面临的威胁风险及信息安全的脆弱性残余风险，进而了解信息安全存在的风险，采取相应的安全措施避免风险的发生。定期进行风险评估，并确定安全对策。3.4 环境和资源管理需要对涉密计算机环境、办公环境、介质和设备进行管理，保障其安全可靠、稳定运行。如涉密计算机环境要防水、防火、防潮、防静电、防雷击、防磁等；设备、介质等要防盗，确保其安全可用。3.5 运行和维护管理运行和维护管理涉及的内容包括用户管理、设备管理、运行状况监控、软硬件维护管理等。并对采用的各种技术手段进行管理，对安全机制和安全信息进行集中管理和整合的管理等。3.6 业务连续性管理对数据备份的内容和周期进行管理，对介质、系统和设备进行冗余备份，制定应急响应机制和预案，在灾难发生时能够进行应急处理和灾难恢复，保障业务的连续性。3.7 监督和检查管理对涉密计算机进行审计、监管、检查。对建立的规章制度，定期进行监督和检查，确保制度落实。同时，需要结合审计，对安全事件进行记录，对违规操作进行报告，按照审计结果进行责任确认，并据此对进行奖惩。4 信息安全技术信息安全技术主要通过在信息系统中安装部署软硬件并正确的配置其安全功能来实现，目前常用的安全技术手段有以下几种：a) 身份鉴别用于对用户的身份进行确认常用的身份鉴别方式有口令、指纹等。其中最为广泛的使用为口令进行身份鉴别，随着对信息安全的要求不断提高，指纹识别等一系列生物认证方式得到大范围应用；b) 访问控制通过限制只有授权用户才可以访问指定资源，防止非授权的访问和授权人员的违规访问；c) 标记对计算机系统资源(如用户、文件、设备)进行标记，通过标记来实现对系统资源的访问控制。d) 可信路径提供计算机和用户之间的可信通信路径。目前，Windows为部分应用提供可信路径，比如口令的输入等；e) 安全审计对受保护客体的访问进行审计，阻止非授权用户对审计记录的访问和破坏，安全审计作为信息安全的一种事后补救或追踪手段，对发现和追踪违规操作起着非常重要的作用；f) 剩余信息保护在客体重新被分配给一个主体前，对客体所含内容进行彻底清除，防止新主体获得原主体活动的任何信息。尤其是对于一些曾经存储过涉密信息的介质，在使用前必须采取一定措施，确保不会造成涉密信息泄露；g) 数据机密性保护防止涉密信息泄露给非授权用户。通常采用加密技术来确保信息的机密性；h) 数据完整性保护防止非授权用户对信息进行修改或破坏。随着计算机技术的不断发展，完整性被破坏所造成的危害已远大于机密性所造成的危害。目前常用的完整性保护是通过对被保护信息计算哈希值，通过将被保护信息的哈希值和预先存储的哈希值进行比较来确定信息是否被篡改。上述技术手段主要通过一些相关的安全产品来实现。常用的安全产品有：VPN设备、安全路由器、安全防火墙、入侵检测系统、入侵防御系统、CA系统、防病毒网关、漏洞扫描、抗拒绝服务、流量控制等。按照制定的安全策略，正确的信息安全技术并配置相应的安全产品，方能最大程度地为涉密计算机提供信息安全的保障。5 主要威胁风险5.1 机密性威胁涉密计算机的机密性要求其涉密信息严禁泄露给非授权的个人、实体和过程，或供其使用的特性。面临的主要机密性威胁参见表1所示。表1 主要机密性威胁威胁因素动 机途 径事 件严重程度内部故意介质（移动介质）未经许可，复制机密文件，外带扩散高故意介质（硬盘）拆卸硬盘外带高故意介质盗窃介质高故意物理盗窃设备高故意笔记本电脑非法复制涉密信息，外带扩散高故意网络通过非法连接方式发送高故意打印私自打印后外带高故意胶片拍摄图象外带中故意涉密计算机从未设防范的设备中查看到机密文件中无意介质外带保护不当被盗窃，造成涉密信息扩散高无意笔记本电脑外带保护不当被盗窃，造成涉密信息扩散高无意对外网站未经审核发布了涉密信息高无意上网电脑存放了涉密信息，被黑客获取高外部故意电磁搭线窃听高故意物理盗窃设备高故意介质通过垃圾进行还原高故意网络通过个人携带设备非法接入网络，获取信息高故意介质通过介质非法复制信息外带高故意介质盗取介质非法复制信息外带高设备故障屏蔽或干扰设备故障引起涉密信息外泄中5.2 完整性威胁涉密计算机的完整性要求涉密信息未经授权不能进行改变的特性，即涉密信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟和不丢失的特性。对信息安全进行攻击其最终的目的就是破坏信息的完整性。面临的主要完整性威胁参见表2所示。表2 主要完整性威胁威胁因素动 机途 径事 件严重程度内部故意物理直接篡改存贮在服务器内的数据中故意涉密计算机截取数据后，篡改中故意涉密计算机通过操作系统漏洞获得权限，篡改业务数据中故意涉密计算机修改技术参数，导致生产事故中无意涉密计算机输入错误导致差错发生低无意涉密计算机导入数据时引入恶意代码，导致数据破坏低外部无意涉密计算机在服务的过程中误操作导致数据破坏高故意涉密计算机利用管理员权限破坏数据高设备故障硬盘损坏导致数据破坏高软件故障导致数据破坏电力故障导致硬件损坏继而造成数据破坏自然灾害环境火灾、地震、雷电等灾害造成数据损毁高5.3 可用性威胁涉密计算机的可用性主要是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息及相关资源。而拒绝服务、破坏有关涉密计算机的正常运行都属于对可用性的攻击。面临的主要可用性威胁参见表3所示。表2 主要可用性威胁威胁因素动 机途 径事 件严重程度内部故意物理通过操作系统漏洞，造成服务中断中无意涉密计算机配置参数失误造成服务中断中故意涉密计算机对设备进行攻击造成服务中断中故意涉密计算机破坏设备导致服务中断高无意涉密计算机引入恶意代码造成阻塞，导致服务中断中无意涉密计算机错误配置导致中断中故意涉密计算机引入恶意代码，造成服务中断高设备故障电力故障导致服务中断中设备故障造成服务中断高线路故障造成服务中断高硬盘故障造成服务中断中操作系统故障造成服务中断中应用软件故障造成服务中断中自然灾害环境火灾、地震、雷电等灾害造成设备损毁，导致服务中断高6 采取的措施6.1 安全措施深刻理解涉密计算机安全保密策略，用可行的技术措施、管理制度相结合。安全措施能够在以上设定的环境下保障涉密计算机的安全运行和涉密信息的安全保密。6.1.1 技术措施采取技术措施的主要目标是通过技术的手段保护涉密计算机和涉密信息，针对不同的威胁主要采取的措施如下：a) 机密性采取的技术措施1) 环境保护；2) 视频监控；3) 物理隔离；4) 屏蔽与干扰；5）网络接入控制；6）身份鉴别与访问控制；7）信息传输加密；8）信息存贮加密；9) 防火墙；10) 保密性检查；11) 安全审计；12) 入侵监控。 b) 完整性采取的技术措施主要是通过对技术措施的校验和确认，达到安全保密的目的；c) 可用性采取的技术措施1) 病毒防治；2) 备份与恢复；3) 电力、资源保障。6.1.2 管理措施采取管理措施的主要目的是加强对人员以及操作的管理，加强人员的安全保密意识，规范操作行为，针对各类威胁采取的管理措施如下：a）机密性采取的管理措施1) 建立保密管理组织机构；2) 人员管理；3）人员培训；4）涉密机审批；5）环境管理与出入控制；6）门禁、值班管理；7) 密钥、口令管理；8）设备管理；9）软件管理；10）涉密信息密级定密、标识与变更；11）信息发布控制；12）审计；13）涉密介质管理；14）笔记本电脑管理；15）信息访问控制管理；16）入侵监控；17）保密检查制度；18）打印管理。b）完整性采取的管理措施主要是通过以上管理手段，对技术措施的校验和确认，从而达到涉密文档、数据安全保密的目的；c）可用性采取的管理措施1) 防病毒；2) 运行检查制度；3) 建立运行维护体系；4）建立应急响应及故障恢复体系。6.2 残余风险通过以上述描述可知，公司军工涉密计算机、涉密信息的综合管理与技术上采取的措施，对于公司涉密计算机、涉密信息面临的机密性风险有着比较强的控制作用，实施完善可以对抗来自于内部、外部乃至间谍人员对于涉密计算机、涉密信息的机密性威胁。因此，涉密计算机、涉密信息安全保密工作的侧重点偏重于对涉密计算机、涉密信息安全的机密性的保护。但对于涉密计算机、涉密信息安全面临的完整性与可用性方面措施方面，突显得比较粗略。因此，具体针对涉密计算机、涉密信息安全的完整性和可用性的安全保护措施则需要根据具体的情况分别进行制定，特别对于面临灾难以及各类涉密文档、数据损失的问题时需要根据具体的要求进行制定。7 结束语 当前，要认清保密工作的严峻形势，增强责任意识，始终以安全发展理念统筹保密工作，坚定不移地为促进公司的发展提供有力保障；要以保密资格审查/复查工作做为近期保密工作的重点，夯实基础，强化薄弱环节管理；要突出工作重点，提高保密工作的技术与管理能力，严禁“三密”事件在我公司的发生，确保实现零泄密目标；要认真抓好日常保密管理工作，切实加大技术防范力度，切实加强涉密人员管理，切实加强监督检查，越是核心越要督查，严防“灯下黑”，严格考核奖惩，努力做好各项保密工作的落实。XXXXXXXXXXXXXXXX保密办公室2016年11月30日