640 likes | 714 Views
信息系统 安全保障. 杭州市基础信息安全测评认证中心 2010.6. 主要内容. 信息安全现状. 1. 信息系统安全保障体系. 2. 安全保障技术要求. 3. 安全保障管理要求. 4. 安全现状 —— 网站安全. 2009 年全年中国大陆网站监测到被篡改数量 有 4.2 万个网站被黑客篡改 其中:政府网站被篡改 2765 个 2010 年 1-2 月中国大陆网站监测到被篡改数量 4185 个网站被黑客篡改 其中:政府网站被篡改 764 个 6 月份:大量高校网站被黑(包括北大、清华、浙大) (依据“ 国家计算机网络应急技术处理协调中心 ”报告).
E N D
信息系统安全保障 杭州市基础信息安全测评认证中心 2010.6
主要内容 信息安全现状 1 信息系统安全保障体系 2 安全保障技术要求 3 安全保障管理要求 4 WWW.HZTEC.ORG.CN
安全现状——网站安全 • 2009年全年中国大陆网站监测到被篡改数量 • 有4.2 万个网站被黑客篡改 • 其中:政府网站被篡改2765 个 • 2010年1-2月中国大陆网站监测到被篡改数量 • 4185个网站被黑客篡改 • 其中:政府网站被篡改764个 • 6月份:大量高校网站被黑(包括北大、清华、浙大) (依据“国家计算机网络应急技术处理协调中心”报告) WWW.HZTEC.ORG.CN
安全现状——主要攻击目标 • 网络攻击的主要目标 • 根据电信运营商2009年调查结果(基于对2亿8500万次累计攻击行为数据进行分析):对数据库系统的攻击行为占比最高,在75%左右。 WWW.HZTEC.ORG.CN
安全现状——安全漏洞 • 系统安全漏洞 • 网络设备、操作系统、数据库、应用软件甚至是安全产品的高危漏洞越来越多,2009年,CNCERT整理和发布的高危漏洞公告133个,比2008年增加32% • 2010年仅以6月份的第2个礼拜为例: • 周二微软发布10 个安全补丁,修复34个安全漏洞,随后又发布一个0-Day攻击安全漏洞。 • 苹果为Safari浏览器推出了安全补丁,修复了 48个安全漏洞。 • 星期五Adobe发布的补丁涉及32个安全漏洞 • 终端安全:2009年我国计算机病毒感染率为70%,其中多次感染病毒的比率为43% WWW.HZTEC.ORG.CN
安全现状——本市安全现状 • 测评中心2009年安全评估结果 • 93%的系统存在高风险安全漏洞; • 43%的系统存在10个以上高风险安全漏洞 • 85%的系统在网络边界安全控制上不符合安全评估要求 • 85%的网站存在SQL注入漏洞,可直接修改、删除后台数据库数据 • 14%网站存在黑客植入的后门 WWW.HZTEC.ORG.CN
安全形势——卫生系统 • 医院医疗业务的开展对网络信息系统的依赖 • 2009.12,北京某医院,内网服务器受蠕虫攻击,所有应用系统无法运行 • 医院信息系统在规模、复杂度上的快速提高 • HIS、LIS、PACS/RIS、麻醉系统、…… • 新的外部信息安全威胁及挑战 • 各医院院领导及主管部门对信息安全建设工作的重视 WWW.HZTEC.ORG.CN
主要内容 信息安全现状 1 信息系统安全保障体系 2 安全保障技术要求 3 安全保障管理要求 4 WWW.HZTEC.ORG.CN
面临的安全威胁 软件安全缺陷 窃听 黑客 病毒 恶意软件 洪水 偷窃 雷电 硬件故障 火灾 电力供应故障 地震 网络组件故障 非法软件 维护错误 环境 …… 通讯线路电缆损坏 WWW.HZTEC.ORG.CN
应用系统 系统平台 运行维护 物理环境 网络平台 信息系统安全保障体系 管理制度 WWW.HZTEC.ORG.CN
信息系统安全保障体系 • 物理——机房是否提供系统正常运行的场所,并保证硬件设备、通信链路、机房环境的物理安全 • 网络——是否合理划分了不同的网络区域,并根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置 WWW.HZTEC.ORG.CN
信息系统安全保障体系 • 系统平台——是否对应用系统所依赖的操作系统、数据库及应用平台进行了合理的安全配置,以保障系统平台的安全 • 应用系统——业务应用软件应根据安全需求开发各类安全功能,并有效启用安全功能,以达到保护应用信息的目的。 WWW.HZTEC.ORG.CN
信息系统安全保障体系 • 运维——是否建立了合理的恶意代码防范、数据备份、网络监控和系统冗余备份等安全运维机制,保障系统的运行安全 • 管理制度——管理层应针对本单位应用状况建立合理的安全管理制度并有效执行,在统一的安全策略下对各类可能影响系统信息安全的行为进行有效管理。 WWW.HZTEC.ORG.CN
信息系统安全保障体系 • 产品选择——必须选用经国家主管部门许可、并经国家测评认证机构认可的安全产品。 • 密码产品——对非涉密信息进行加密保护或安全认证时所采用的技术或产品应符合《商用密码管理条例》的要求 WWW.HZTEC.ORG.CN
安全三原则(CIA) • Confidentiality 保密性 • 数据库数据泄漏、…… • Integrity 完整性 • 网站篡改、…… • Availability 可用性 • 局域网瘫痪、…… WWW.HZTEC.ORG.CN
主要内容 信息安全现状 1 信息系统安全保障体系 2 安全保障技术要求 3 安全保障管理要求 4 WWW.HZTEC.ORG.CN
安全技术要求之——物理安全 物理 环境 • 机房建设应满足: • GB/T 2887《电子计算机场地通用规范》 • GB/T 9361《计算机场地安全要求》 WWW.HZTEC.ORG.CN
物理环境安全——案例 • 某信息中心机房——消防安全隐患 • 机房堆放了包装纸箱、文件柜及杂物,易燃 • 未配备机房专用灭火设备,使用水喷淋灭火 • 某单位机房——设备及线路安全 • 机房拥挤,主机摆放随意:地板上、桌子上 • 设备无标签,布线凌乱,弱电/强电线路混合 • 某单位机房——防盗、防尘 • 机房临街,未安装防盗窗 • 经常开窗,机房内存在较多灰尘 WWW.HZTEC.ORG.CN
物理环境安全——案例 WWW.HZTEC.ORG.CN
物理环境安全——机房环境 • 具体安全要求 • 机房的外部环境条件、照明、接地、供电、建筑结构、介质存放、监视防护设备等应满足GB/T 2887《电子计算机场地通用规范》4.3~4.9节的要求; • 机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361《计算机场地安全要求》4~8节的要求,在防火、防雷、防静电、安防监控等方面时,应经过相关专业机构的检测。 WWW.HZTEC.ORG.CN
物理环境安全——设备及监控 • 其它具体要求 • 提供合理的短期备用电力供应 • 设备防盗、防毁措施; • 通讯线路连接、设备标签、布线合理性; • 机房出入口配置门禁系统及监控报警系统; • 机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等。 WWW.HZTEC.ORG.CN
安全技术要求之——网络结构安全 网络 结构 • 内部结构——应根据应用需求在划分内网/外网、终端接入区/服务器区等区域,并在相关网络设备中配置安全策略进行隔离; • 外部边界——应根据安全需求在系统与Internet、政务外网、业务专网等外部网络的互连处配置网关设备实施访问控制,并对通信及操作事件进行审计。 WWW.HZTEC.ORG.CN
网络结构安全——案例 • 典型案例 • 某单位外网防火墙:将多台内部服务器的Oracle数据库服务端口、内部核心业务应用系统Web服务端口直接开放至Internet (1年前开发商调试遗留) • 某单位连接下属机构的专网防火墙:将业务服务器的所有网络端口不加区分地全部向区县分局开放 • 某单位基于Internet的VPN接入设备:对VPN用户的认证口令易猜测(单位名称缩写),可轻易接入该单位局域网。 • 某单位内网:服务器区和终端接入区仅划分了不同VLAN,无访问控制规则,无法防止病毒及蠕虫的传播及内部非授权人员的访问。 WWW.HZTEC.ORG.CN
网络结构安全——要求 • 具体安全要求 • 应对网络边界上部署的网络隔离设备中根据应用需求设置合理的访问控制规则,合理开放对外服务 • 应对系统内部服务器区域进行划分及隔离,在终端计算机与服务器之间进行访问控制,建立安全的访问路径。 • 当有重要信息通过公共网络进行传输时,应在传输线路中配置加密设备,以保证信息传输的保密性; • 禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置鉴别与认证服务器。 • 禁止非授权设备接入内部网络,尤其是服务器区域。 WWW.HZTEC.ORG.CN
安全技术要求之——网络设备安全 网络 设备 • 根据系统安全策略和维护需求设置合理的设备自身安全配置: • 版本更新与漏洞修补 • 版本信息保护 • 身份鉴别 • 链接安全 • 配置备份 • 安全审计 WWW.HZTEC.ORG.CN
网络设备安全——案例 • 典型案例 • 某单位Internet防火墙:将防火墙所有管理界面(Web/Telnet/SSH)开放至Internet,且未修改出厂默认管理员密码(天融信:superman/talnet) • 某单位Cisco核心交换机:使用多年的Cisco交换机,IOS版本未升级,存在可遭受拒绝服务攻击的漏洞 • 某单位所有Cisco交换机:未在设备配置中对管理员密码进行加密;且配置文件曾被多人拷贝,可通过配置文件破解管理员密码。 WWW.HZTEC.ORG.CN
网络设备安全——要求 • 具体安全要求(以路由器交换机为例) • 保持路由器/交换机软件版本的更新,修补高风险的漏洞;(软件更新) • 禁止与应用无关的网络服务,关闭与应用无关的网络接口;( 最少服务) • 对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息; • 修改路由器/交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;(用户管理,最小权限) • 当登录连接超时,应自动断开连接,并要求重新鉴别; WWW.HZTEC.ORG.CN
网络设备安全——要求 • 具体安全要求 • 对能够登录路由器/交换机的网络地址进行限制,关闭与应用无关的远程访问接口;(访问控制) • 对登录提示信息进行设置,不显示路由器/交换机型号、引擎版本、部门信息等; • 对路由器/交换机配置进行备份,且对备份文件的读取实施访问控制; • 开启路由器/交换机日志功能,对修改访问控制列表、调整设备配置的操作行为进行审计记录。(安全审计) WWW.HZTEC.ORG.CN
安全技术要求之——操作系统安全 操作 系统 • 版本更新与漏洞修补 • 身份鉴别 • 用户权限分配 • 口令质量 • 鉴别失败处理 • 默认服务开放 • 终端限制 • 安全审计 WWW.HZTEC.ORG.CN
操作系统安全——案例 • 典型案例 • 某单位内网Windows服务器:内网和Internet隔离,需手工升级,超过6个月未进行系统安全补丁升级,2009年3月,因终端感染Worm.Win32.MS08-067蠕虫病毒,造成服务器中毒,服务异常。 • 某信息中心服务器:不明人员通过猜测密码成功登录服务器远程桌面后,多次恶意关闭OA应用服务,但因未开启全面的登陆审计,无法追踪其来源。 WWW.HZTEC.ORG.CN
操作系统安全——要求 • 具体安全要求 • 定期更新操作系统版本,修补漏洞; • 关闭与应用无关的服务、启动脚本或网络功能; • 对登录用户进行身份标识和鉴别;用户的身份标识唯一; • 身份鉴别如采用用户名/口令方式,应设置口令长度、复杂性和更新周期; • 修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围; • 具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户; WWW.HZTEC.ORG.CN
操作系统安全——要求 • 具体安全要求 • 实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系; • 对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制; • 系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息; • 通过设定终端接入方式、网络地址范围等条件限制终端的登录; WWW.HZTEC.ORG.CN
操作系统安全——要求 • 具体安全要求 • 对安全事件进行审计,审计事件至少包括:用户管理、审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的系统操作、重要用户的各项操作进行审计; • 审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖; • 用户鉴别信息及与应用信息所在的存储空间,被释放或再分配给其他用户之前应完全清除; • 限制单个用户对系统资源的最大使用额度。 WWW.HZTEC.ORG.CN
安全技术要求之——数据库安全 数据库 • 版本更新与漏洞修补 • 口令质量 • 用户权限分配 • 存储过程及函数开放 • 安全审计 WWW.HZTEC.ORG.CN
数据库安全——案例 • 典型案例 • 某单位内网核心业务Oralce数据库:管理员密码易猜测(manager),内部非授权人员可轻易进入数据库查询本无权访问的业务信息、甚至删除数据。 • 85%的Oracle数据库:都未设Oralce监听服务的密码,导致局域网内任何人都可随意关闭数据库对外服务。 WWW.HZTEC.ORG.CN
数据库安全——要求 • 具体安全要求 • 定期更新数据库版本,修补漏洞; • 修改默认用户的口令或禁止默认用户访问 • 设置合理的口令长度、复杂性和更新周期; • 取消不必要的权限开放,严格限制Public角色权限; • 禁用或删除数据库不需要的内置存储过程及函数; • 严格限制系统管理员及应用系统用户的权限分配,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限; WWW.HZTEC.ORG.CN
数据库安全——要求 • 具体安全要求 • 严格限制数据库链接的设置; • 对数据库的安全事件进行审计,建议应审计:用户管理、审计功能启动关闭、审计策略调整、权限变更、数据字典访问、管理员用户各项操作、对存储重要信息的数据表的各项操作; • 限制单个用户对数据库资源的最大使用额度 WWW.HZTEC.ORG.CN
安全技术要求之——应用平台安全 应用 平台 • 版本更新与漏洞修补 • 默认口令 • 默认权限开放 • 安全审计 • …… WWW.HZTEC.ORG.CN
应用平台安全——案例 • 典型案例 • 2008年陕西省地震局门户网站虚假信息发布:“今晚陕西等地会有强烈地震发生”,网站后台管理员弱口令被破解。 • 2009年宁波某政府网站被植入后门:黑客利用IIS6文件名解析漏洞植入后门,可以向WEB目录写入任意内容; • 2010年3月杭州某单位门户网站被植入后门:网站Tomcat服务后台管理员默认密码(tomcat)未修改且对外开放,黑客上传后门程序,可随意对网站进行文件下载、删除、修改。 WWW.HZTEC.ORG.CN
应用平台安全——要求 • 基本目标 • Web服务、应用层服务、邮件服务等通用应用平台应该根据系统总体安全策略进行选择和安全配置,并及时升级补丁包。安全配置的内容包括:身份鉴别、用户权限分配、口令质量等 WWW.HZTEC.ORG.CN
应用平台安全——要求 • 具体安全要求(以Web服务为例) • 定期更新Web服务软件的补丁,修补高风险漏洞; • 配置Web服务的提示信息,不显示Web服务软件和操作系统的版本和类型; • 合理设置Web服务的管理密码,并定期更改 • 禁止将Web服务的管理界面开放至外网 • 禁止非授权用户对Web服务根目录的访问; • 禁用或删除默认安装的应用示例; • 启用Web服务软件日志功能,记录合理的日志内容; • 限制对日志的访问权限; • 禁止匿名用户在服务器上远程运行可执行文件 WWW.HZTEC.ORG.CN
安全技术要求之——应用软件安全 应用 软件 • 应具备身份鉴别、用户管理、访问控制、运行审计等基本安全功能,并定期进行版本维护及更新。 • 应根据业务需求在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。 • 当采用密码技术时,应在密钥的产生、分配、销毁、备份与恢复等环节具备安全机制。 WWW.HZTEC.ORG.CN
应用软件安全——案例 • 典型案例 • iPad用户信息泄漏:2010年6月10日黑客团体Goatse Security 破解了AT&T网站的安全漏洞,获得了大约11.4万名iPad用户的注册信息,包括E-mail地址、SIM卡串号 • 浙江省政府门户网站数据库数据被删除:网站页面代码未对用户输入参数进行合法性检查,存在SQL注入漏洞,通过网页删除了后台Oracle数据库所有表单; • 2009年本市某单位网站考试报名系统数据泄露:可通过SQL注入绕过密码验证,可直接下载报考人姓名/照片/身份证号码/电话/住址等隐私信息 WWW.HZTEC.ORG.CN
应用软件安全——要求 • 具体安全要求——基本安全功能 • 具有身份鉴别机制,根据应用需求采取适当的鉴别机制来鉴别访问用户的身份,用户身份唯一,并保证鉴别机制不可旁路; • 如果采用口令鉴别机制,应采用技术机制保证口令的质量强度;如果采用密码技术的鉴别机制,相关密码技术应符合国家密码管理部门的规定; • 具备鉴别失败的处理机制。当不成功鉴别尝试次数达到限定值时,系统应锁定用户,并予以记录和告警; • 具备对不同角色用户权限的分配和管理功能:权限分离原则、最小授权原则 WWW.HZTEC.ORG.CN
应用软件安全——要求 • 具体安全要求——基本安全功能 • 具备对用户执行的系统操作和重要业务操作的应用审计功能。审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖。 • 发生错误时有出错提示,并可以通过手工或自动方式从错误状态恢复到正常状态;(可靠性保障) • 当专用应用软件退出后,在本地机和服务器的有关目录下不留下任何残余文件; WWW.HZTEC.ORG.CN
应用软件安全——要求 • 具体安全要求——应用数据保护 • 信息生成环节:信息源标识和鉴别、远程录入加密、输入数据合法性性检验(如:引发溢出、注入等漏洞)等 • 信息处理环节:限制单一用户多重并发会话(防止暴力破解)、制定并执行访问控制策略、安全功能不可旁路及容错性 • 信息传输环节:通过加密、签名,实现保密性、完整性及抗抵赖性 (HTTPS、证书) • 信息存储环节:保密性、完整性 • 保障数据库的安全性 WWW.HZTEC.ORG.CN
安全技术要求之——运行维护安全 运行 维护 • 恶意代码防范 • 数据备份恢复 • 系统冗余 • 入侵检测与保护 • 网络管理 • 安全审计 • …… WWW.HZTEC.ORG.CN
系统运维安全——案例 • 典型案例 • 某单位所有服务器无防护运行10个月:网络防病毒系统许可过期,所有服务器防病毒软件近10个月未升级病毒库。 • 某单位网管系统:部署的网络管理系统未设置合理的监控指标阈值,部分指标设置过低导致常年报警,系统管理员未进行有效监管,网管系统形同虚设。 • 某信息中心备份系统罢工4个月无人知晓:磁带库设备故障,系统管理员未进行周期性备份有效性检查。 WWW.HZTEC.ORG.CN
系统运维安全——要求 • 安全技术要求——恶意代码防范 • 安装防病毒产品,对存储介质访问、系统访问、网络访问等进行实时监控,在病毒入侵时及时报警,并进行清除、删除或隔离; • 定期更新病毒特征库,及时对防病毒产品进行版本升级; • 定期进行文件系统全面病毒查杀; • 对病毒相关审计记录进行详细统计与分析,及时调整病毒防范策略; WWW.HZTEC.ORG.CN
系统运维安全——要求 • 安全技术要求——数据备份恢复 • 系统应对系统软件代码、系统软硬件平台配置数据、数据库数据、系统用户关键信息、日志信息等,依照各自备份策略要求进行备份; • 系统管理员应对设置的数据自动备份任务进行定期监控,确认备份任务得到了有效的执行; • 系统管理员应对备份进行数据恢复的有效性验证,以确保备份数据的正确性; • 对以加密方式保存重要数据备份的,应同时保存数据恢复密钥的备份。 WWW.HZTEC.ORG.CN