网络安全解决方案.doc

1、目录 目录 1 1.信息安全概述 .4 什么是信息安全？ 4 为什么需要信息安全 4 1.1 安全理念 .5 1.1.1 系统生命周期与安全生命周期 .5 1.1.2 3S 安全体系以客户价值为中心 .6 1.1.3 关注资产的安全风险 .6 1.1.4 安全统一管理 .7 1.1.5 安全 = 管理 + 技 术 .8 1.2 计算机系统安全问题 .8 1.2.1 从计算机系统的发展看安全问题 9 1.2.2 从计算机系统的特点看安全问题 9 2.物理安全 .10 2.1 设备的安全 .10 3.访问控制 .14 3.1 访问控制的业务需求 14 3.2 用户访问的管理 15 3.3 用户责任

2、 17 3.4 网络访问控制 18 3.5 操作系统的访问控制 22 3.6 应用系统的访问控制 26 3.7 系统访问和使用的监控 27 3.8 移动操作及远程办公 30 4.网络与通信安全 .32 4.1 网络中面临的威胁 32 5.系统安全设计方案 .43 5.1 系统安全设计原则 43 5.2 建设目标 44 5.3 总体方案 45 5.4 总体设计思想 45 5.4.1 内网设计原则 .46 5.4.2 有步骤、分阶段实现安全建设 46 5.4.3 完整的安全生命周期 .47 5.5 网络区域划分与安全隐患 48 6.0 网络安全部署 48 保护目标 48 威胁来源 48 安全策略

3、49 6.1 防火墙系统 51 6.2 入侵检测系统 60 6.2.1 什么是入侵检测系统 .60 6.2.2 如何选择合适的入侵检测系统 .61 6.2.3 IDS 的实现方式-网络 IDS.62 6.2.4 IDS 的实现方式-主机 IDS.63 6.2.5 基于网络的入侵检测系统的主要优点有： .64 6.2.6 入侵检测系统的设计思想 .64 6.2.7 入侵检测产品的选型与推荐 .66 6.3 漏洞扫描系统 70 6.3.1 漏洞扫描系统产品选型与推荐 .71 6.3.2 漏洞扫描系统的部署方案 .73 6.4 网络信息监控与取证系统 73 6.4.1 网络信息监控与取证系统产品的选

4、型与推荐 .74 6.4.2 网络信息监控与取证系统的部署方案 .77 6.5 内部安全管理系统（防水墙系统） 78 6.5.1 内部安全管理系统产品选型与推荐 .79 6.5.2 内部安全管理系统的部署方案 .85 6.6 其他计算机系统安全产品介绍 86 6.6.1 天镜系 漏洞扫描 .86 6.6.2 数据库审计系统 .89 6.6.3 iGuard 网页防篡改系 统 93 6.6.4 防垃圾邮件网关 .99 6.6.5 集中安全管理平台 GSMDesktop 7.1 .106 6.6.6 中软运行管理系统 2.0R2.110 1.信息安全概述 什么是信息安全？ 信息是一家机构的资产，与

5、其它资产一样， 应受到保护。信息安全的作用是 保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的 投资回报和商机。 信息可以有多种存在方式，可以写在纸上、 储存在电子文档里，也可以用 邮 递或电子手段发送，可以在 电影上放映或者说话中提到。无论信息以何种方式表 示、共享和存储，都应当适当地保护起来。 因此信息安全的特征是保留信息的如下特性： 保密性(confidentiality) ：保证信息只让合法用户访问； 完整性(integrity)：保障信息及其处理方法的准确性（accuracy ）、完全性 （completeness）； 可用性(availability)：保证合

6、法用户在需要时可以访问到信息及相关资产。 实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例 (practices)、程序(procedures)、 组织的机构(organizational structures)和软件功能 (software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。 为什么需要信息安全 信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性 和可用性对机构保持竞争能力、现金流、利 润、守法及商业形象至关重要。 但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算 机辅助的诈骗、间谍、

7、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑 客及拒绝服务攻击等手段变得更普遍、大胆和复杂。 机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联 以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集 中管理的效果。 很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因 而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周 密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应 让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。 对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成 本

8、也更便宜。 1.1 安全理念 绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是 “使入侵者花 费不可接受的 时间与金钱，并且承受很高的风险才能闯入”系统。安 全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性 增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。 弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新 业务 应用的实施、新攻击技术与工具的导入和安全漏洞。 1.1.1 系统生命周期与安全生命周期 系统生命周期通常由以下阶段组成：概念与需求定义、系统功能设计、系统 开发与获取、系统实现与测试 、系 统的持久操作支持

9、和最终系统处理。在 过去的 几年里，实现系统生命周期支持的途径已经转变，以适应将安全组成部分和安全 过程综合到系统工程过程中的需要。与系统生命周期相对应，安全生命周期由以 下几个阶段构成：安全概念和需求定义、安全机制设计、安全集成与实现、安全管 理解决方案和安全风险分析。 涉及到任何功能和系统级别的需求，通过理解安全需求、参加安全产品评估 并最终在工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全 问题。近年来发现，在系统开发之后实现系统安全非常困难，而且已 经有了不少 教训。因此，必 须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过 程中有效地集成安全方法与控制，设计者与开

10、发者应该调整现有的过程模型，以 产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控 制和保护机制。 1.1.2 3S 安全体系以客户价值为中心 3S 安全体系由三部分 组成：安全解决方案（ Security Solution）、安全应用 （Security Application）和安全服务（Security Service）。这三部分又都以客户价值为 中心。 安全解决方案（Security Solution）包括安全解决方案的设计与实施，安全产 品选型与系统集成。安全应 用（Security Application）包括根据用户的实际应用环 境，为用 户定制应用安全系 统。

11、安全服 务（Security Service）则贯穿了整个安全建 设的始终，从最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统， 系统安全加固，紧急安全响 应，到安全 项目实施后的安全培训教育。 附图 1. 3S 安全体系 1.1.3 关注资产的安全风险 安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一 个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资 产的安全漏洞发起的攻击， 这些攻击才会对资产形成威胁。因此， 对于企业资产 和资产风险的管理应该是整个安全管理的第一步，即通过对这些资产的安全评 估，了解资产安全状况的水准。这些工作是其他安全保

12、护技术的基础，也是有效 管理企业 IT 安全的基石。 安全弱点管理平台可以智能发现关键 IT 业务资产和经营这些资产的技术 （操作系统、应用程序、硬件版本等等），将其与确 认 的弱点进行对比，并提供包 含逐步修补指导说明的基于风险的弱点管理任务列表，指导 IT 管理员合理及时 处理安全弱点，从而显著地降低风险。 安全对抗平台对关键网段进行监视，并且可以随时准备转移到安全事件的 突发区， 进行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生 后，可以重建安全事件过程、恢复关键数据，能 够极大地提高系 统的生存能力， 并且起到威慑攻击者的目的。 1.1.4 安全统一管理 安全事件不是独立

13、的、偶然的。一次成功的攻击事件，必然会在网络的相关 设备和系统中有所反应。不 论是人为发起的攻击， 还 是来自病毒的攻击行为，都 可以从防火墙、路由器、交换机、入侵 检测和主机系 统中获取相关的证据。攻击 的证据零散地分布在这些系统中，如果能够有效地、智能地加以整合，我 们就可 以清晰地了解到整个安全事件的过程，帮助管理员更好地管理信息系统的安全。 来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度 来看，网络设备应该也属于网 络安全的一部分。在一个大型的网络中， 对于分布 在不同网段、不同地理位置的网络设备、安全 设备的管理会消耗管理员大量的精 力。而安全系统往往会部署在异构平

14、台上， 对于这些异构平台的掌握、对于安全 系统的掌握也会浪费管理员的时间和精力。 安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火 墙等安全产品的事件数据，同 时通过其客户端以及 SAPI 有效收集第三方安全检 测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问 和编写报表。管理员使用安全 统一管理平台管理、 监视 、报警和报告跨平台的用 户活动信息。有了这些信息，系统管理员将可以在出 现可能对关键电子商务系统 造成负面影响的袭击和问题之前，立即做出反应。 1.1.5 安全 = 管理 + 技术 信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞

15、争 力，保持现金流顺畅和组织赢 利，以及遵 纪守法和维护组织的良好商业形象，信 息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时，没有考 虑 到安全问题。通过技术手段获得安全保障十分有限，必须辅之以相应的管理手 段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密 计划，并 对细节问题加以注意 。 作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管 理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外 的专家的建议。 如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施， 那么信息安全控制的成本会很低，并更有效率。 1.2

16、计算机系统安全问题 目前，计算机系统和信息安全问题是 IT 业最为关心和关注的焦点之一。据 ICSA 统计，有 11的安全 问题导致网络数据被破坏，14导致数据失密，15 的攻击来自系统外部，来自系 统内部的安全威胁高达 60。由于受到内部心怀不 满的职工安放的程序炸弹侵害，Omega Engineering 公司蒙受了价值 300 万美元 的销售收入和合同损失，由于受到来自网络的侵袭，Citibank 银行被窃了 1000 万 美元，后来他们虽然追回了 750 万美元损失，但却因此失去了 7的重要客户， 其声誉受到了沉重打击。这 只是人们知道的两个因安全问题造成巨大损失的例 子，实际 上，更

17、多的安全入侵事件没有 报告。据美国联邦调查局估计，仅有 7的 入侵事件被报告了，而澳大利 亚联邦警察局则认为这个数字只有 5。因为许多 入侵根本没有被检测到，还 有一些受到侵袭的企业由于害怕失去客户的信任而 没有报告。 那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出 呢？这是与计算机系统的发展、当今流行系统的设计思路、当前 IT 系统的使用 状况紧密相关的。下面，我们从以下几个方面简要论 述。 1.2.1 从计算机系统的发展看安全问题 安全问题如此突出和严重是与 IT 技术和环境的发展分不开的。早期的 业务 系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用

18、系统 的人员也很少，系统安全隐患尚不明显。 现在业务系统大多是基于客户/服务器模 式和 Internet/Intranet 网络计算模式的分布式应用，用户、程序和数据可能分布在 世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业 内部，与外界的物理连接很少，对于外部入侵的防范较为容易， 现在，网络已发 展到全球一体化的 Internet，每个企业的 Intranet 都会有 许多与外部连接的链路， 如通过专线连入 Internet，提供 远程接入服务供业务伙伴和出差员工访问等等。 在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、 WWW 服务器、文件服务器

19、、 应用服务器等等每一个都是一个供人出入的“ 门户”， 只要有一个“ 门户” 没有完全保 护好忘了上锁或不很牢固， “黑客” 就会通过这道 门进入系统，窃取或破坏所有系统资源。随着系 统和网络的不断开放，供黑客攻 击系统的简单易用的“ 黑客工具 ”和“黑客程序”不断出 现，一个人不必掌握很高深 的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是 1416 岁。 1.2.2 从计算机系统的特点看安全问题 在现代典型的计算机系统中，大都采用 TCP/IP 作为 主要的网络通讯协议， 主要服务器为 UNIX 或 Windows NT 操作系统。众所周知，TCP/IP 和 UNIX 都是 以开

20、放性著称的。系统之间 易于互联和共享信息的设计思路贯穿与系统的方方 面面，对访问控制、用户验证授权、实时和事后审计 等安全内容考虑较少，只实 现了基本安全控制功能，实现时还存在一些这样那样的漏洞。 TCP/IP 的结构与基于专用主机(如 IBM ES/3000、AS/400)和网络(如 SNA 网 络)的体系 结构相比，灵活性、易用性、开 发性都很好，但是，在安全性方面却存 在很多隐患。TCP/IP 的网络结构没有集中的控制，每个节点的地址由自己配置， 节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP 协议是一种 无连接的通讯协议，无安全控制机制，存在 IP Spoofing、T

21、CP sequence number prediction attacks、Source outing attacks 、RIP attacks、ICMP attacks、Data-driven attacks (SMTP and MIME) 、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、 Hijacking attacks、Data integrity attacks、 Encapsulated IP attacks 等各种各样的攻击 手段。 实际上，从 TCP/IP 的网络层，人们很难区分合法 信息流

22、和入侵数据，DoS(Denial of Services，拒 绝服 务)就是其中明显的例子。 UNIX 操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户 认证和授权管理方面，UNIX 操作系统对用户登录 的管理是靠用户名和口令实现 的，存在很多安全上的隐患；在对资源的访问控制管理方面，UNIX 只有读、写和 执行三种权限，无法对文件 进行更为细致的控制，且缺乏完善有效的跟踪审计能 力。严格的控制需要复杂的配置过程，不同系 统上配置方法也很不一致，实际上 无法全面有效地实施。另外 UNIX 中的 root 用户为特权用户，拥有至高无上的特 权，它也成为黑客窥视的主要目标， 给系统安全

23、造成了极大危害。 2.物理安全 2.1 设备的安全 目的： 防止资产丢失、损失或被破坏，防止业务活动的停顿。 设备应有物理保护不受安全威胁及环境事故的影响。 要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不 会丢失或损失，也要考虑设备应放在什么地方及如何处理掉。 可能需要特别的 控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。 2.1.1 设备的放置及保护 设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访 问的机会。要考虑的有： 设备的位置，应是尽量减少不必要的到工作地方的访问； 处理敏感数据的信息处理及储存设备应该好好放置，以减少使用时被

24、俯 瞰的风险； 需要特别保护的东西，应被隔离； 应控制并减少潜在威胁出现的风险： 偷窃； 火； 爆炸物； 烟； 水（或供水有问题）； 尘埃； 震动； 化学效应； 电力供应干扰； 电磁辐射； 机构应考虑在信息处理设备附近的饮食及吸烟策略； 应监控那些严重影响信息处理设备操作的环境； 考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜； 应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下 层渗水、街道发生爆炸。 2.1.2 电力的供应 应保证设备电源不会出现故障，或其它电力异常。 应有适当的、符合 设备生 产商规格的电力供应。关于 连续性供电的选项有： 多个输电点，避免单点输电导致全

25、部停电； 不间断电源（UPS）； 备份发电机。 建议为那些支持重要业务操作的设备配备 UPS，保持有次序的停电或连续 性供电。 应急计划应包括 UPS 发生故障时应采取什么行动。UPS 设备应定期检 查，保证 有足够的容量，并按生产商的建议进行测试 。 如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。 发电机安装后，应按生产商的指示定期进行测试。 应 提供足够的燃料保证发电机 可以长时间发电。 此外，紧急电力开关应放置设备房紧急出口的附近，以便一旦发生紧急事故 马上关闭电源。也要考虑一旦 电源失败时的应急灯。要保护全大厦的灯，及在所 有外部通讯线路都要装上灯光保护过滤器。 2

26、.1.3 电缆线路的安全 应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。 要注意的有： 进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，也 可以考虑其它有足够保护能力的办法； 网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免 通过公众地方的路径； 电源电缆应与通讯电缆分开，避免干扰； 至于敏感或重要的系统，更要考虑更多的控制，包括： 安装装甲管道，加了锁的作为检查及终点的房间或盒子； 使用可选路由或者传输介质； 光纤光缆； 清除附加在电缆上的未授权设备。 2.1.4 设备的维护 设备应正确维护来保证连续性可用合完整性。 以下是要注意的： 设备应按

27、供应商的建议服务间隔及规格维护； 只有授权的维护人员才可以修理设备； 记录所有可疑的或真实的故障，以及所有防范及改正措施； 实施适当的控制如何把设备送出大厦进行修理 2.1.4 设备离开大厦的安全 无论是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。 所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工 作的风险。信息处理设备包括所有形式的个人计算机、商务通、移 动电话纸张或 其它表格，放在家里或从日常工作地方搬走。要考虑 的有： 从大厦取走的设备及介质，不应放在公众地方无人看管。 笔记本计算机 应当作手提行李随身，及在外时尽量遮蔽，不要 显露在外被人看到； 应时常

28、注意生产商保护设备的指示，例如不要暴露在强大的电磁场内； 在家工作的控制，应在评估风险后确定，并适当地实施， 举例，可上锁的 文件柜、清除桌子的策略及计算机的访问控制； 应有足够的保险保护不在大厦的设备。 安全风险，例如损坏、被盗及偷听，可能每个地方都不同，所以应仔细考虑 后确定最适当的控制。参看 3.8.1 的关于如何保护移动设备。 2.1.5 设备的安全清除或重用 信息可以通过不小心清除或重复使用设备而被破坏（参看 8.6.4），有敏感信 息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。 所有储存设备，例如固定硬盘， 应被检查以保证已清除所有敏感数据及授权 软件，或在清除

29、前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险 后确定是否把设备销毁、修理或丢掉。 3.访问控制 3.1 访问控制的业务需求 目的：控制信息的访问。 应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权 的策略内容加入到考虑范围之内。 3.1.1 访问控制策略 3.1.1.1 策略及业务需求 首先要定义业务需求的访问控制，并记录下来。 访问策略的文件应清楚写明 每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一 份这样的文件，明白访问控制要达到什么业务需求。访问控制策略应包括以下内 容： 每个业务应用系统的安全要求； 确认所有与业务应用系统有关的信息；

30、信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要； 不同系统及网络之间的访问控制及信息分类策略的一致性； 关于保护访问数据或服务的相关法律或任何合同规定； 一般作业类的标准用户访问配置； 在分布式及互联的环境中，管理所有类别的连接的访问权限。 3.1.1.2 访问控制规定 在制定访问控制规定时，应小心考虑以下： 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑； 根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般 情况下全都可以，除非有明文禁止”的模糊概念； 由信息处理设备自动启动与经过用户判断启动的信息标记改动； 由信息系统自动启动的与由管理员启动的

31、用户许可的变动。 需要与不需要管理员或其它批准才能颁布的规定。 3.2 用户访问的管理 目的：防止非法访问信息系统。 应有一套正式程序来控制分配信息系统及服务的访问权限。 手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后 注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问 权限，因 为这些特级权限让 用户越过系统的控制。 3.2.1 用户登记 应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统 及服务。 多用户信息服务的访问应通过正式的用户注册手续控制，内容应包括： 使用唯一的用户 ID，以便鉴定是谁做什么操作，并予以追究责任； 检查用户是否已被

32、系统拥有者授权使用信息系统或服务。有时，还需要管理 个别批准访问权限； 检查所准许的访问级别是否适用于业务目的（参看 3.1），是否与机构的安全 策略一致，例如不会破坏责任的分开； 发送用户访问权限声明书给用户； 要求用户在声明书上签字，表示明白了访问的条件； 确保服务提供者不能访问，直到授权手续已完成； 保存一份所有注册使用服务的正式名单； 马上取消已更换岗位、或已离开机构的用户的访问权限； 定期检查是否有多余的用户 ID 及账号，并予以除掉； 确保多余的用户 ID 不会发给其它用户。 此外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问 后所受到的制裁的条款。 3.2.2 特权

33、管理 应禁止及控制特权（指任何一种功能或设备会让用户可以越过系统或应用系 统控制的多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全 被破坏的主要原因。 需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配， 应考虑以下的步骤： 认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关 联的特权，以及找出那些应配有特权的员工。 权应按照“ 需要使用” 及 “按事件”的原则分配，即只在需要时所赋有的最低功 能角色要求。 应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整 个授权程序。 鼓励开发及使用系统例行程序，以避免授予用户特权的需要 特权应赋

34、予不同的用户 ID，与用作 业务的 ID 分开 3.2.3 用户口令的管理 口令是一个常用方法，来核查访问某个信息系统或服务的用户身份。所以， 应通过正式的管理程序分配口令，办法以下： 要求用户在声明书上签字，保证不泄露个人口令，以及只让在同一组的组员 知道作业组的口令； 当需要用户保密自己的口令时，保证在开始时只提供一个暂时的口令，强迫 用户马上更改。当用户忘记自己口令时， 应在确认清楚用户身份后才提供临 时性口令； 要求安全地发给用户临时性口令。应避免使用第三方或未加保护（明文）的电 子邮件信息。用户应确认收到口令。 口令绝不能以不加保护的形式储存在计算机系统中（参看 3.5.4）。其 它

35、用来确认及认证用户的技术，例如生物测定学，指纹核查、 签名核 查及硬件令牌，例如 chip-cards，都可以考虑使用。 3.2.4 用户访问权限的检查 为了有效控制数据及信息服务的访问，管理层应该定期正式检查，看看用户 的访问权限是否： 定期（建议是每隔六个月）及在任何改动后（参看 3.2.1）接受检查； 更频繁地检查特权访问的授权（参看 3.2.2），建议是每隔三个月； 定期检查特权的分配，以确保没有用户取得非法特权。 3.3 用户责任 目的：防止非法的用户访问。 合法用户的合作对推行有效的安全非常重要。 用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户 设备的安全。 3.

36、3.1 口令的使用 用户应遵守良好的选择及使用口令的安全惯例。 口令提供了一个核查用户身份的途径，从而可以建立信息处理或服务的访 问权限，建 议所有用户应： 保密口令； 避免书写记录口令，除非保存妥当； 每当怀疑系统被破坏或口令被公开时，应马上更改口令； 选一个至少有六个字的好口令： 容易记住； 不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订出 口令； 不是连续的同一个字，或全是数字或全字母； 定期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁）， 避免重复使用旧口令； 第一次登录后应马上更改临时性口令； 不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中

37、； 不要与别人共享口令。 如果用户需要使用好几个口令来访问多个服务或平台，建议他们应使用一 个很好的单一口令（参看 3.3.1(4)）为这好几个口令的存储提供合理水平的保护。 3.3.2 无人看管的用户设备 用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方 的设备，例如工作站或文件服 务器，如一段 时间内无人看守时，更需要格外保 护 并使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安 全要求及手续，以及有责任 实施保护措施。建 议用户应 ： 除非有合适的锁定机制保护（例如有口令保护的屏幕保护（screensaver），否则 应终止已完成的活动会话； 会话结束后

38、应退出登录主机（即不仅仅是关闭 PC 或终端）； 当 PC 或终端不用时 ，应保护它们不被非法使用，例如使用密钥锁或等同的 安全机制，如口令访问。 3.4 网络访问控制 目的：互联服务的保护。 应控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用 户不会破坏这些网络服务的安全，保证： 在机构网及其它机构网或公用网之间要有合适的界面； 要有合适的认证机制认证用户及设备； 控制用户访问信息服务。 3.4.1 网络服务的使用策略 不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访 问已明确授权使用的服务。 这种安全控制对连接敏感或重要业务的网络，或连接 到在高风险地方（例

39、如不在机构安全管理及控制范围的公用或外部地方）的用户 尤其重要。 策略应与网络及网络服务的使用有关，应覆盖： 容许被访问的网络及网络服务； 定出谁可以访问哪个网络及网络服务的授权手续； 保护接入网络及网络服务的管理控制及手续； 这个策略应与业务访问控制策略一致（参看 3.1）。 3.4.2 强制式路径 从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内 共享资源及提供最大程度的路由，但网络这样的功能也同时提供机会非法访问 业务应用系统或非法使用信息设备，所以，在用户终 端与计算机服务之间设置路 由控制（例如，建立一条强 制式路径）会减少这样的风险。 强制式路径的目的是阻止用户选择

40、一条不是用户终端与用户可访问服务之 间的路由。这样，就需要在路由的不同点上 实施多个安全控制，控制原则是按事 先定义的选择限制每个网点的路由选择，这方面的例子有： 分配专用线或电话号码； 自动把端口连接到指定的应用系统或安全网关； 限制供每个用户使用的菜单及子菜单； 禁止无限量的网络漫游； 强迫外部网络用户使用指定的应用系统 及/或 安全网关； 通过安全网关（例如防火墙）严格控制从源地址到目的地址的通讯； 设置不同的逻辑域（例如 VPN）限制机构内用户组对 网络的访问（请参看 3.4.6）。 对强制式路径的需求应该基于业务访问控制策略（参看 3.1） 3.4.3 外部连接的用户认证 外部的连接

41、（例如拨号访问）是非法访问业务信息的隐患。所以，远程用户的 访问应被认证。认证方法有很多种，保护的程度也有 强弱之分，例如使用密 码技 术的方法提供非常安全的认证。所以，应在风险评估后决定需要哪一级别的保护， 然后决定需要哪种认证机制。 认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响应 （challenge/response）的协议。 专用线或网络用户地址的检查设备也可以被用来提 供源地址的保障。 回拨（dial-back ）的程序及控制（如使用回拨调制解调器），可以拒绝非法或不 受欢迎的连接到达机构的信息处理设备。这样的控制可以对试图从远程地点与 机构网络建立连接的用户进行认证

42、。使用这种控制的机构就不要使用有呼叫传 送（call forwarding）功能的网络服务，如果坚持要使用的话，机构应中止使用这样 的功能，避免因 call forwarding 所带来的安全隐患。同时，在回拨进程中包括保 证机构确实断绝连接的功能是很重要的，要不然，远 程用户便可以把线路一直保 持是通的，假装已确实发生了回拨验证。 应仔细检查 回拨的程序与控制是否会可 能有此情况发生。 3.4.4 网点认证 能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会， 所以要有认证机制来认证到远程计算机系统的连接，尤其是使用机构安全管理 控制范围之外的网络连接。以上的 3.4.3 举了

43、几个认证例子，以及实现这些机制 的建议。 网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算机设 备的远程用户。 （参看 3.4.3） 3.4.5 远程诊断端口的保护 应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊 断设备为维护工程师使用。如果不好好保护， 这些诊 断端口就变成非法访问的途 径，所以，应有合适的安全机制保护这些端口，例如，有一个密钥锁及程序，保证 只能使用通过计算机服务管理员与需要访问的软硬件技术支持人员商量后所同 意的访问方法访问。 3.4.6 网络的隔离 网络不断扩大，已超出传统的机构式范围， 业务伙伴的相继形成，同 时也要 求大家互联或共享信息

44、处理及联网设施。这样的扩大，也增加了非法访问现有网 络信息系统的风险，而这些系 统因有敏感信息或是非常重要的不能让别的网络 用户访问的信息，在这样的情况下，应考虑在网络设 置控制，把不同的信息服 务 组、用户 及信息系统隔离。 一种控制大网络安全的方法是把网络分成几个逻辑网域，例如，机构的内部 网域及外部网域，每个网域都有特别指定的安全边界，实现这样的安全边界是在 两个要联网的网络之间安装一个安全的网关，来控制两个网域之间的访问及信 息流量。网关的设置应该是 过滤这些网域之间的流量（参看 3.4.7 及 3.4.8），以及 按机构的访问控制策略（参看 3.1）阻截非法访问，一个这样的网关例子是

45、防火墙。 把网络分隔成网域的标准，应该是按照访问控制策略及访问机制（参看 3.1）， 还要考虑成本及因设置网络路由或网关技术（参看 3.4.7 及 3.4.8）后所引致的性 能冲击。 3.4.7 网络连接控制 共享网络的访问控制策略的要求，特别是超出机构范围的网络，可能需要有 另外的控制来禁止用户的连接能力。这样的控制可以使用事先定义的表或规定 过滤流量的网关实现。制定禁止规定应按访问策略及业务需求（参看 3.1），并时 常更新。 应制定禁止规定的例子是： 电子邮件； 单向的文件传输； 双向的文件传输； 交互访问； 有时间日期的网络访问。 3.4.8 网络路由的控制 共享网络，特别是超出机构范

46、围的网络，需要 设置路由控制，以保证计算机 连接及信息流不会破坏业务系统的访问控制策略（参看 3.1）。那些与第三方（非 机构）用户共享的网络更需要有这些控制。 路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一 个很有用的机制来隔离网络，以及阻止路由从一个机构网络传播到另一个机构 的网络。机制可以用软件或硬件实现，但 实现者要注意机制的安全程度。 3.4.3 网络服务的安全 现在有很多不同类别的公私网络服务供使用，有些服务是增殖服务，而网络 服务应有独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务 的安全属性。 3.5 操作系统的访问控制 目的：防止不合法的计算机访

47、问。 操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施应有 以下功能： 标识及检查身份，如有需要，应把每个合法用户的终端或地点都纳入检查之 列； 记录成功及失败的系统访问； 提供合适认证方法：如果使用口令管理系统，应保证是在用良好的口令（参 看 3.3.1 （4）； 如有需要，限制用户的连接时间。 其它访问控制方法，例如 challenge-response, 如果可以减低业务风险，也可 以考虑使用。 3.5.1 自动认证终端 在认证连接到指定地点及便携式设备时，可以考虑使用自动认证终端。自动 认证终端是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终 端中，或附在终端的

48、标识符可以显示这终端是否可以启动或接收交易。如有需要， 考虑用物理方法保护终端，以 维持终端标识符的安全。认证用户的方法有很多 （请参看 3.4.3）。 3.5.2 终端的登录程序 正常情况是应该可以通过安全的登录过程进入信息服务，登录进入计算机 系统的程序应把非法访问的机会减到最低，为了避免提供非法用户不必要的帮 助，登录 程序应只公开最少量的系统信息。一个良好的登录程序应： 不显示系统或应用系统的标识符，直到登录成功完成； 显示一个通知，警告只有合用用户才可进入系统； 在登录过程中不提供帮助信息，以免被不合法用户利用； 只有完成输入数据后才核查登录信息。 如有出错，系统应指出哪部分的数据

49、是正确，哪部分不正确； 限制登录失败的次数（建议是三次），以及考虑： 记录不成功的登录； 强迫在继续尝试登录前有时间间隔，或者在没有特定授权之下拒绝任何登录 尝试； 限制登录程序的最长及最短时间。限定时间一过，系统应停止登录程序； 完成成功登录后显示以下信息： 前一次成功登录的日期及时间； 自上次成功登录后任何不成功登录尝试的详情。 3.5.3 用户标识及认证 所有用户（包括技术支持员工，例如操作员、网管、系 统程序员及数据库管理 员）应有各自的标识符（用户 ID），只为自己使用，以确认谁在操作，及予以追究 责任。用户 ID 应没有任何迹象显示用户的权限（参看 3.2.2），例如经理、主管等。 在特殊情况下，如有清晰的业务利益，可以考 虑为一组用户或某个作业