內(nèi)外網(wǎng)安全等級(jí)保護(hù)建設(shè)項(xiàng)目初步設(shè)計(jì)方案編制單位： 編制時(shí)間：二〇一五年三月

目錄TOC\o"1-3"\h\z\u1.信息安全概述 6什么是信息安全？ 6為什么需要信息安全 61.1安全理念 71.1.1 系統(tǒng)生命周期與安全生命周期 71.1.2 3S安全體系－以客戶價(jià)值為中心 81.1.3 關(guān)注資產(chǎn)的安全風(fēng)險(xiǎn) 91.1.4 安全統(tǒng)一管理 91.1.5 安全=管理+技術(shù) 101.2計(jì)算機(jī)系統(tǒng)安全問(wèn)題 101.2.1從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問(wèn)題 111.2.2從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問(wèn)題 112.物理安全 122.1設(shè)備的安全 123.訪問(wèn)控制 163.1訪問(wèn)控制的業(yè)務(wù)需求 163.2用戶訪問(wèn)的管理 173.3用戶責(zé)任 193.4網(wǎng)絡(luò)訪問(wèn)控制 203.5操作系統(tǒng)的訪問(wèn)控制 243.6應(yīng)用系統(tǒng)的訪問(wèn)控制 283.7系統(tǒng)訪問(wèn)和使用的監(jiān)控 293.8移動(dòng)操作及遠(yuǎn)程辦公 324.網(wǎng)絡(luò)與通信安全 344.1網(wǎng)絡(luò)中面臨的威脅 345.系統(tǒng)安全設(shè)計(jì)方案 445.1系統(tǒng)安全設(shè)計(jì)原則 445.2建設(shè)目標(biāo) 455.3總體方案 465.4總體設(shè)計(jì)思想 475.4.1內(nèi)網(wǎng)設(shè)計(jì)原則 475.4.2有步驟、分階段實(shí)現(xiàn)安全建設(shè) 485.4.3完整的安全生命周期 495.5 網(wǎng)絡(luò)區(qū)域劃分與安全隱患 496.0網(wǎng)絡(luò)安全部署 49保護(hù)目標(biāo) 49威脅來(lái)源 49安全策略 506.1防火墻系統(tǒng) 516.1.1 防火墻系統(tǒng)的設(shè)計(jì)思想 516.1.2防火墻的目的 526.1.3防火墻的控制能力 536.1.4防火墻特征 536.1.5第四代防火墻的抗攻擊能力 556.1.6防火墻產(chǎn)品的選型與推薦 566.2 入侵檢測(cè)系統(tǒng) 616.2.1 什么是入侵檢測(cè)系統(tǒng) 616.2.2 如何選擇合適的入侵檢測(cè)系統(tǒng) 616.2.3 IDS的實(shí)現(xiàn)方式網(wǎng)絡(luò)IDS 626.2.4 IDS的實(shí)現(xiàn)方式主機(jī)IDS 636.2.5 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有： 646.2.6 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)思想 656.2.7 入侵檢測(cè)產(chǎn)品的選型與推薦 666.3 漏洞掃描系統(tǒng) 716.3.1 漏洞掃描系統(tǒng)產(chǎn)品選型與推薦 716.3.2 漏洞掃描系統(tǒng)的部署方案 736.4 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng) 746.4.1 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)產(chǎn)品的選型與推薦 746.4.2 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)的部署方案 776.5 內(nèi)部安全管理系統(tǒng)（防水墻系統(tǒng)） 786.5.1 內(nèi)部安全管理系統(tǒng)產(chǎn)品選型與推薦 796.5.2 內(nèi)部安全管理系統(tǒng)的部署方案 856.6 其他計(jì)算機(jī)系統(tǒng)安全產(chǎn)品介紹 866.6.1 天鏡系—漏洞掃描 866.6.2 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) 896.6.3 iGuard網(wǎng)頁(yè)防篡改系統(tǒng) 936.6.4 防垃圾郵件網(wǎng)關(guān) 996.6.5 集中安全管理平臺(tái)GSMDesktop7.1 1066.6.6 中軟運(yùn)行管理系統(tǒng)2.0R2 1101.信息安全概述什么是信息安全？信息是一家機(jī)構(gòu)的資產(chǎn)，與其它資產(chǎn)一樣，應(yīng)受到保護(hù)。信息安全的作用是保護(hù)信息不受大范圍威脅所干擾，使機(jī)構(gòu)業(yè)務(wù)能夠暢順，減少損失及提供最大的投資回報(bào)和商機(jī)。信息可以有多種存在方式，可以寫(xiě)在紙上、儲(chǔ)存在電子文檔里，也可以用郵遞或電子手段發(fā)送，可以在電影上放映或者說(shuō)話中提到。無(wú)論信息以何種方式表示、共享和存儲(chǔ)，都應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)起來(lái)。因此信息安全的特征是保留信息的如下特性：保密性(confidentiality)：保證信息只讓合法用戶訪問(wèn)；完整性(integrity)：保障信息及其處理方法的準(zhǔn)確性（accuracy）、完全性（completeness）；可用性(availability)：保證合法用戶在需要時(shí)可以訪問(wèn)到信息及相關(guān)資產(chǎn)。實(shí)現(xiàn)信息安全要有一套合適的控制（controls），如策略（policies）、慣例(practices)、程序(procedures)、組織的機(jī)構(gòu)(organizationalstructures)和軟件功能(softwarefunctions)。這些控制需要被建立以保證機(jī)構(gòu)的安全目標(biāo)能夠最終實(shí)現(xiàn)。為什么需要信息安全信息及其支持進(jìn)程、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)。信息的保密性、完整性和可用性對(duì)機(jī)構(gòu)保持競(jìng)爭(zhēng)能力、現(xiàn)金流、利潤(rùn)、守法及商業(yè)形象至關(guān)重要。但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來(lái)越要面對(duì)來(lái)自四面八方的威脅，如計(jì)算機(jī)輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。損失的來(lái)源如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。機(jī)構(gòu)對(duì)信息系統(tǒng)及服務(wù)的依賴意味著更容易受到攻擊。公網(wǎng)和專網(wǎng)的互聯(lián)以及信息資源的共享增加了訪問(wèn)控制的難度。分布式計(jì)算的趨勢(shì)已經(jīng)削弱了集中管理的效果。很多信息系統(tǒng)沒(méi)有設(shè)計(jì)得很安全。利用技術(shù)手段獲得的安全是受限制的，因而還應(yīng)該得到相應(yīng)管理和程序的支持。選擇使用那些安全控制需要事前小心周密計(jì)劃和對(duì)細(xì)節(jié)的關(guān)注。信息安全管理至少需要機(jī)構(gòu)全體員工的參與，同時(shí)也應(yīng)讓供應(yīng)商、客戶或股東參與，如果有必要，可以向外界尋求專家的建議。對(duì)信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計(jì)階段，則效果會(huì)更好，成本也更便宜。1.1安全理念絕對(duì)安全與可靠的信息系統(tǒng)并不存在。一個(gè)所謂的安全系統(tǒng)實(shí)際上應(yīng)該是“使入侵者花費(fèi)不可接受的時(shí)間與金錢(qián)，并且承受很高的風(fēng)險(xiǎn)才能闖入”系統(tǒng)。安全性的增加通常導(dǎo)致企業(yè)費(fèi)用的增長(zhǎng)，這些費(fèi)用包括系統(tǒng)性能下降、系統(tǒng)復(fù)雜性增加、系統(tǒng)可用性降低和操作與維護(hù)成本增加等等。安全是一個(gè)過(guò)程而不是目的。弱點(diǎn)與威脅隨時(shí)間變化。安全的努力依賴于許多因素，例如職員的調(diào)整、新業(yè)務(wù)應(yīng)用的實(shí)施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞。系統(tǒng)生命周期與安全生命周期系統(tǒng)生命周期通常由以下階段組成：概念與需求定義、系統(tǒng)功能設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)與獲取、系統(tǒng)實(shí)現(xiàn)與測(cè)試、系統(tǒng)的持久操作支持和最終系統(tǒng)處理。在過(guò)去的幾年里，實(shí)現(xiàn)系統(tǒng)生命周期支持的途徑已經(jīng)轉(zhuǎn)變，以適應(yīng)將安全組成部分和安全過(guò)程綜合到系統(tǒng)工程過(guò)程中的需要。與系統(tǒng)生命周期相對(duì)應(yīng)，安全生命周期由以下幾個(gè)階段構(gòu)成：安全概念和需求定義、安全機(jī)制設(shè)計(jì)、安全集成與實(shí)現(xiàn)、安全管理解決方案和安全風(fēng)險(xiǎn)分析。涉及到任何功能和系統(tǒng)級(jí)別的需求，通過(guò)理解安全需求、參加安全產(chǎn)品評(píng)估并最終在工程設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)等方式，應(yīng)該在生命周期過(guò)程的早期便提出安全問(wèn)題。近年來(lái)發(fā)現(xiàn)，在系統(tǒng)開(kāi)發(fā)之后實(shí)現(xiàn)系統(tǒng)安全非常困難，而且已經(jīng)有了不少教訓(xùn)。因此，必須在發(fā)掘需求和定義系統(tǒng)時(shí)便考慮安全需求。為了在系統(tǒng)工程過(guò)程中有效地集成安全方法與控制，設(shè)計(jì)者與開(kāi)發(fā)者應(yīng)該調(diào)整現(xiàn)有的過(guò)程模型，以產(chǎn)生一個(gè)交互的系統(tǒng)開(kāi)發(fā)生命周期。該周期更關(guān)注使系統(tǒng)獲得安全性的安全控制和保護(hù)機(jī)制。3S安全體系－以客戶價(jià)值為中心3S安全體系由三部分組成：安全解決方案（SecuritySolution）、安全應(yīng)用（SecurityApplication）和安全服務(wù)（SecurityService）。這三部分又都以客戶價(jià)值為中心。安全解決方案（SecuritySolution）包括安全解決方案的設(shè)計(jì)與實(shí)施，安全產(chǎn)品選型與系統(tǒng)集成。安全應(yīng)用（SecurityApplication）包括根據(jù)用戶的實(shí)際應(yīng)用環(huán)境，為用戶定制應(yīng)用安全系統(tǒng)。安全服務(wù)（SecurityService）則貫穿了整個(gè)安全建設(shè)的始終，從最初的安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理，幫助用戶制定信息安全管理系統(tǒng)，系統(tǒng)安全加固，緊急安全響應(yīng)，到安全項(xiàng)目實(shí)施后的安全培訓(xùn)教育。3S安全體系關(guān)注資產(chǎn)的安全風(fēng)險(xiǎn)安全技術(shù)涉及到方方面面的問(wèn)題。對(duì)各種系統(tǒng)和設(shè)備的安全管理必然是一個(gè)復(fù)雜的、高負(fù)荷的工作。在若干的安全事件中，我們關(guān)注的是那些針對(duì)關(guān)鍵資產(chǎn)的安全漏洞發(fā)起的攻擊，這些攻擊才會(huì)對(duì)資產(chǎn)形成威脅。因此，對(duì)于企業(yè)資產(chǎn)和資產(chǎn)風(fēng)險(xiǎn)的管理應(yīng)該是整個(gè)安全管理的第一步，即通過(guò)對(duì)這些資產(chǎn)的安全評(píng)估，了解資產(chǎn)安全狀況的水準(zhǔn)。這些工作是其他安全保護(hù)技術(shù)的基礎(chǔ)，也是有效管理企業(yè)IT安全的基石。安全弱點(diǎn)管理平臺(tái)可以智能發(fā)現(xiàn)關(guān)鍵IT業(yè)務(wù)資產(chǎn)和經(jīng)營(yíng)這些資產(chǎn)的技術(shù)（操作系統(tǒng)、應(yīng)用程序、硬件版本等等），將其與確認(rèn)的弱點(diǎn)進(jìn)行對(duì)比，并提供包含逐步修補(bǔ)指導(dǎo)說(shuō)明的基于風(fēng)險(xiǎn)的弱點(diǎn)管理任務(wù)列表，指導(dǎo)IT管理員合理及時(shí)處理安全弱點(diǎn)，從而顯著地降低風(fēng)險(xiǎn)。安全對(duì)抗平臺(tái)對(duì)關(guān)鍵網(wǎng)段進(jìn)行監(jiān)視，并且可以隨時(shí)準(zhǔn)備轉(zhuǎn)移到安全事件的突發(fā)區(qū)，進(jìn)行事件分析，幫助管理員和專家抵抗、反擊攻擊者。在安全事件發(fā)生后，可以重建安全事件過(guò)程、恢復(fù)關(guān)鍵數(shù)據(jù)，能夠極大地提高系統(tǒng)的生存能力，并且起到威懾攻擊者的目的。安全統(tǒng)一管理安全事件不是獨(dú)立的、偶然的。一次成功的攻擊事件，必然會(huì)在網(wǎng)絡(luò)的相關(guān)設(shè)備和系統(tǒng)中有所反應(yīng)。不論是人為發(fā)起的攻擊，還是來(lái)自病毒的攻擊行為，都可以從防火墻、路由器、交換機(jī)、入侵檢測(cè)和主機(jī)系統(tǒng)中獲取相關(guān)的證據(jù)。攻擊的證據(jù)零散地分布在這些系統(tǒng)中，如果能夠有效地、智能地加以整合，我們就可以清晰地了解到整個(gè)安全事件的過(guò)程，幫助管理員更好地管理信息系統(tǒng)的安全。來(lái)自管理方面的需求也迫切地需要一個(gè)安全統(tǒng)一管理平臺(tái)。從廣義的角度來(lái)看，網(wǎng)絡(luò)設(shè)備應(yīng)該也屬于網(wǎng)絡(luò)安全的一部分。在一個(gè)大型的網(wǎng)絡(luò)中，對(duì)于分布在不同網(wǎng)段、不同地理位置的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理會(huì)消耗管理員大量的精力。而安全系統(tǒng)往往會(huì)部署在異構(gòu)平臺(tái)上，對(duì)于這些異構(gòu)平臺(tái)的掌握、對(duì)于安全系統(tǒng)的掌握也會(huì)浪費(fèi)管理員的時(shí)間和精力。安全統(tǒng)一管理自動(dòng)整合來(lái)自運(yùn)行路由器、交換機(jī)、入侵檢測(cè)、防病毒、防火墻等安全產(chǎn)品的事件數(shù)據(jù)，同時(shí)通過(guò)其客戶端以及SAPI有效收集第三方安全檢測(cè)產(chǎn)品產(chǎn)生的安全事件數(shù)據(jù)，并將其存儲(chǔ)在中心數(shù)據(jù)庫(kù)中以便方便地進(jìn)行訪問(wèn)和編寫(xiě)報(bào)表。管理員使用安全統(tǒng)一管理平臺(tái)管理、監(jiān)視、報(bào)警和報(bào)告跨平臺(tái)的用戶活動(dòng)信息。有了這些信息，系統(tǒng)管理員將可以在出現(xiàn)可能對(duì)關(guān)鍵電子商務(wù)系統(tǒng)造成負(fù)面影響的襲擊和問(wèn)題之前，立即做出反應(yīng)。安全=管理+技術(shù)信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證企業(yè)富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信息的保密性、完整性和可用性是至關(guān)重要的。很多信息系統(tǒng)在設(shè)計(jì)時(shí)，沒(méi)有考慮到安全問(wèn)題。通過(guò)技術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段和操作程序才能得到真正的安全保障。確定需要使用什么控制措施需要周密計(jì)劃，并對(duì)細(xì)節(jié)問(wèn)題加以注意。作為信息安全管理的最基本要求，企業(yè)內(nèi)所有的雇員都應(yīng)參與信息安全管理。信息安全管理還需要供應(yīng)商、客戶或股東的參與。也需要參考來(lái)自組織之外的專家的建議。如果在制定安全需求規(guī)范和設(shè)計(jì)階段時(shí)就考慮到了信息安全的控制措施，那么信息安全控制的成本會(huì)很低，并更有效率。1.2計(jì)算機(jī)系統(tǒng)安全問(wèn)題目前，計(jì)算機(jī)系統(tǒng)和信息安全問(wèn)題是IT業(yè)最為關(guān)心和關(guān)注的焦點(diǎn)之一。據(jù)ICSA統(tǒng)計(jì)，有11％的安全問(wèn)題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)被破壞，14％導(dǎo)致數(shù)據(jù)失密，15％的攻擊來(lái)自系統(tǒng)外部，來(lái)自系統(tǒng)內(nèi)部的安全威脅高達(dá)60％。由于受到內(nèi)部心懷不滿的職工安放的程序炸彈侵害，OmegaEngineering公司蒙受了價(jià)值300萬(wàn)美元的銷售收入和合同損失，由于受到來(lái)自網(wǎng)絡(luò)的侵襲，Citibank銀行被竊了1000萬(wàn)美元，后來(lái)他們雖然追回了750萬(wàn)美元損失，但卻因此失去了7％的重要客戶，其聲譽(yù)受到了沉重打擊。這只是人們知道的兩個(gè)因安全問(wèn)題造成巨大損失的例子，實(shí)際上，更多的安全入侵事件沒(méi)有報(bào)告。據(jù)美國(guó)聯(lián)邦調(diào)查局估計(jì)，僅有7％的入侵事件被報(bào)告了，而澳大利亞聯(lián)邦警察局則認(rèn)為這個(gè)數(shù)字只有5％。因?yàn)樵S多入侵根本沒(méi)有被檢測(cè)到，還有一些受到侵襲的企業(yè)由于害怕失去客戶的信任而沒(méi)有報(bào)告。那么，為什么當(dāng)今信息系統(tǒng)中存在如此之多的安全隱患，安全問(wèn)題如此突出呢？這是與計(jì)算機(jī)系統(tǒng)的發(fā)展、當(dāng)今流行系統(tǒng)的設(shè)計(jì)思路、當(dāng)前IT系統(tǒng)的使用狀況緊密相關(guān)的。下面，我們從以下幾個(gè)方面簡(jiǎn)要論述。1.2.1從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問(wèn)題安全問(wèn)題如此突出和嚴(yán)重是與IT技術(shù)和環(huán)境的發(fā)展分不開(kāi)的。早期的業(yè)務(wù)系統(tǒng)是局限于大型主機(jī)上的集中式應(yīng)用，與外界聯(lián)系較少，能夠接觸和使用系統(tǒng)的人員也很少，系統(tǒng)安全隱患尚不明顯?，F(xiàn)在業(yè)務(wù)系統(tǒng)大多是基于客戶/服務(wù)器模式和Internet/Intranet網(wǎng)絡(luò)計(jì)算模式的分布式應(yīng)用，用戶、程序和數(shù)據(jù)可能分布在世界的各個(gè)角落，給系統(tǒng)的安全管理造成了很大困難。早期的網(wǎng)絡(luò)大多限于企業(yè)內(nèi)部，與外界的物理連接很少，對(duì)于外部入侵的防范較為容易，現(xiàn)在，網(wǎng)絡(luò)已發(fā)展到全球一體化的Internet，每個(gè)企業(yè)的Intranet都會(huì)有許多與外部連接的鏈路，如通過(guò)專線連入Internet，提供遠(yuǎn)程接入服務(wù)供業(yè)務(wù)伙伴和出差員工訪問(wèn)等等。在這樣一個(gè)分布式應(yīng)用的環(huán)境中，企業(yè)的數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、WWW服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等等每一個(gè)都是一個(gè)供人出入的“門(mén)戶”，只要有一個(gè)“門(mén)戶”沒(méi)有完全保護(hù)好－忘了上鎖或不很牢固，“黑客”就會(huì)通過(guò)這道門(mén)進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。隨著系統(tǒng)和網(wǎng)絡(luò)的不斷開(kāi)放，供黑客攻擊系統(tǒng)的簡(jiǎn)單易用的“黑客工具”和“黑客程序”不斷出現(xiàn)，一個(gè)人不必掌握很高深的計(jì)算機(jī)技術(shù)就可以成為黑客，黑客的平均年齡越來(lái)越小，現(xiàn)在是14－16歲。1.2.2從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問(wèn)題在現(xiàn)代典型的計(jì)算機(jī)系統(tǒng)中，大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，主要服務(wù)器為UNIX或WindowsNT操作系統(tǒng)。眾所周知，TCP/IP和UNIX都是以開(kāi)放性著稱的。系統(tǒng)之間易于互聯(lián)和共享信息的設(shè)計(jì)思路貫穿與系統(tǒng)的方方面面，對(duì)訪問(wèn)控制、用戶驗(yàn)證授權(quán)、實(shí)時(shí)和事后審計(jì)等安全內(nèi)容考慮較少，只實(shí)現(xiàn)了基本安全控制功能，實(shí)現(xiàn)時(shí)還存在一些這樣那樣的漏洞。TCP/IP的結(jié)構(gòu)與基于專用主機(jī)(如IBMES/3000、AS/400)和網(wǎng)絡(luò)(如SNA網(wǎng)絡(luò))的體系結(jié)構(gòu)相比，靈活性、易用性、開(kāi)發(fā)性都很好，但是，在安全性方面卻存在很多隱患。TCP/IP的網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有集中的控制，每個(gè)節(jié)點(diǎn)的地址由自己配置，節(jié)點(diǎn)之間的路由可任意改變。服務(wù)器很難驗(yàn)證某客戶機(jī)的真實(shí)性。IP協(xié)議是一種無(wú)連接的通訊協(xié)議，無(wú)安全控制機(jī)制，存在IPSpoofing、TCPsequencenumberpredictionattacks、Sourceoutingattacks、RIPattacks、ICMPattacks、Data-drivenattacks(SMTPandMIME)、DomainNameServiceattacks、Fragmentattacks、Tinyfragmentattacks、Hijackingattacks、Dataintegrityattacks、EncapsulatedIPattacks等各種各樣的攻擊手段。實(shí)際上，從TCP/IP的網(wǎng)絡(luò)層，人們很難區(qū)分合法信息流和入侵?jǐn)?shù)據(jù)，DoS(DenialofServices，拒絕服務(wù))就是其中明顯的例子。UNIX操作系統(tǒng)更是以開(kāi)放性著稱的，在安全性方面存在許多缺限。如用戶認(rèn)證和授權(quán)管理方面，UNIX操作系統(tǒng)對(duì)用戶登錄的管理是靠用戶名和口令實(shí)現(xiàn)的，存在很多安全上的隱患；在對(duì)資源的訪問(wèn)控制管理方面，UNIX只有讀、寫(xiě)和執(zhí)行三種權(quán)限，無(wú)法對(duì)文件進(jìn)行更為細(xì)致的控制，且缺乏完善有效的跟蹤審計(jì)能力。嚴(yán)格的控制需要復(fù)雜的配置過(guò)程，不同系統(tǒng)上配置方法也很不一致，實(shí)際上無(wú)法全面有效地實(shí)施。另外UNIX中的root用戶為特權(quán)用戶，擁有至高無(wú)上的特權(quán)，它也成為黑客窺視的主要目標(biāo)，給系統(tǒng)安全造成了極大危害。2.物理安全2.1設(shè)備的安全目的：防止資產(chǎn)丟失、損失或被破壞，防止業(yè)務(wù)活動(dòng)的停頓。設(shè)備應(yīng)有物理保護(hù)不受安全威脅及環(huán)境事故的影響。要保護(hù)設(shè)備（包括用在離線的地方）以減少非法訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)，和保護(hù)不會(huì)丟失或損失，也要考慮設(shè)備應(yīng)放在什么地方及如何處理掉。可能需要特別的控制來(lái)保護(hù)故障或非法訪問(wèn)，和保障支援設(shè)備，例如電力供應(yīng)和線纜架構(gòu)。2.1.1設(shè)備的放置及保護(hù)設(shè)備應(yīng)放在安全的地方，保護(hù)減少來(lái)自環(huán)境威脅及事故的風(fēng)險(xiǎn)，減少非法訪問(wèn)的機(jī)會(huì)。要考慮的有：設(shè)備的位置，應(yīng)是盡量減少不必要的到工作地方的訪問(wèn)；處理敏感數(shù)據(jù)的信息處理及儲(chǔ)存設(shè)備應(yīng)該好好放置，以減少使用時(shí)被俯瞰的風(fēng)險(xiǎn)；需要特別保護(hù)的東西，應(yīng)被隔離；應(yīng)控制并減少潛在威脅出現(xiàn)的風(fēng)險(xiǎn)：偷竊；火；爆炸物；煙；水（或供水有問(wèn)題）；塵埃；震動(dòng)；化學(xué)效應(yīng)；電力供應(yīng)干擾；電磁輻射；機(jī)構(gòu)應(yīng)考慮在信息處理設(shè)備附近的飲食及吸煙策略；應(yīng)監(jiān)控那些嚴(yán)重影響信息處理設(shè)備操作的環(huán)境；考慮在工業(yè)環(huán)境設(shè)備的特殊保護(hù)方法，例如采用鍵盤(pán)薄膜；應(yīng)考慮在大廈附近發(fā)生災(zāi)難的后果，例如隔離大廈著火、房頂漏水，地下層滲水、街道發(fā)生爆炸。2.1.2電力的供應(yīng)應(yīng)保證設(shè)備電源不會(huì)出現(xiàn)故障，或其它電力異常。應(yīng)有適當(dāng)?shù)摹⒎显O(shè)備生產(chǎn)商規(guī)格的電力供應(yīng)。關(guān)于連續(xù)性供電的選項(xiàng)有：多個(gè)輸電點(diǎn)，避免單點(diǎn)輸電導(dǎo)致全部停電；不間斷電源（UPS）；備份發(fā)電機(jī)。建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS，保持有次序的停電或連續(xù)性供電。應(yīng)急計(jì)劃應(yīng)包括UPS發(fā)生故障時(shí)應(yīng)采取什么行動(dòng)。UPS設(shè)備應(yīng)定期檢查，保證有足夠的容量，并按生產(chǎn)商的建議進(jìn)行測(cè)試。如果發(fā)生長(zhǎng)時(shí)間電源失敗還要繼續(xù)信息處理的話，請(qǐng)考慮配備后備發(fā)電機(jī)。發(fā)電機(jī)安裝后，應(yīng)按生產(chǎn)商的指示定期進(jìn)行測(cè)試。應(yīng)提供足夠的燃料保證發(fā)電機(jī)可以長(zhǎng)時(shí)間發(fā)電。此外，緊急電力開(kāi)關(guān)應(yīng)放置設(shè)備房緊急出口的附近，以便一旦發(fā)生緊急事故馬上關(guān)閉電源。也要考慮一旦電源失敗時(shí)的應(yīng)急燈。要保護(hù)全大廈的燈，及在所有外部通訊線路都要裝上燈光保護(hù)過(guò)濾器。2.1.3電纜線路的安全應(yīng)保護(hù)帶有數(shù)據(jù)或支持信息服務(wù)的電力及電訊電纜，使之不被偵聽(tīng)或破壞。要注意的有：進(jìn)入信息處理設(shè)備的電力及電訊電纜線路應(yīng)放在地下下面，如可能，也可以考慮其它有足夠保護(hù)能力的辦法；網(wǎng)絡(luò)布線應(yīng)受到保護(hù)，不要被非法截取或被破壞，舉例，使用管道或避免通過(guò)公眾地方的路徑；電源電纜應(yīng)與通訊電纜分開(kāi)，避免干擾；至于敏感或重要的系統(tǒng)，更要考慮更多的控制，包括：安裝裝甲管道，加了鎖的作為檢查及終點(diǎn)的房間或盒子；使用可選路由或者傳輸介質(zhì)；光纖光纜；清除附加在電纜上的未授權(quán)設(shè)備。2.1.4設(shè)備的維護(hù)設(shè)備應(yīng)正確維護(hù)來(lái)保證連續(xù)性可用合完整性。以下是要注意的：設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格維護(hù)；只有授權(quán)的維護(hù)人員才可以修理設(shè)備；記錄所有可疑的或真實(shí)的故障，以及所有防范及改正措施；實(shí)施適當(dāng)?shù)目刂迫绾伟言O(shè)備送出大廈進(jìn)行修理2.1.4設(shè)備離開(kāi)大廈的安全無(wú)論是誰(shuí)擁有的，在機(jī)構(gòu)外面使用任何設(shè)備處理信息應(yīng)有管理層的授權(quán)。所提供的安全保護(hù)應(yīng)與設(shè)備在大廈內(nèi)使用時(shí)相同。還要考慮在機(jī)構(gòu)大廈外面工作的風(fēng)險(xiǎn)。信息處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、商務(wù)通、移動(dòng)電話紙張或其它表格，放在家里或從日常工作地方搬走。要考慮的有：從大廈取走的設(shè)備及介質(zhì)，不應(yīng)放在公眾地方無(wú)人看管。筆記本計(jì)算機(jī)應(yīng)當(dāng)作手提行李隨身，及在外時(shí)盡量遮蔽，不要顯露在外被人看到；應(yīng)時(shí)常注意生產(chǎn)商保護(hù)設(shè)備的指示，例如不要暴露在強(qiáng)大的電磁場(chǎng)內(nèi)；在家工作的控制，應(yīng)在評(píng)估風(fēng)險(xiǎn)后確定，并適當(dāng)?shù)貙?shí)施，舉例，可上鎖的文件柜、清除桌子的策略及計(jì)算機(jī)的訪問(wèn)控制；應(yīng)有足夠的保險(xiǎn)保護(hù)不在大廈的設(shè)備。安全風(fēng)險(xiǎn)，例如損壞、被盜及偷聽(tīng)，可能每個(gè)地方都不同，所以應(yīng)仔細(xì)考慮后確定最適當(dāng)?shù)目刂?。參?.8.1的關(guān)于如何保護(hù)移動(dòng)設(shè)備。2.1.5設(shè)備的安全清除或重用信息可以通過(guò)不小心清除或重復(fù)使用設(shè)備而被破壞（參看8.6.4），有敏感信息的存儲(chǔ)設(shè)備應(yīng)該物理被銷毀或安全地覆蓋，而不是使用標(biāo)準(zhǔn)的刪除功能。所有儲(chǔ)存設(shè)備，例如固定硬盤(pán)，應(yīng)被檢查以保證已清除所有敏感數(shù)據(jù)及授權(quán)軟件，或在清除前已被覆蓋。損壞了、有敏感數(shù)據(jù)的儲(chǔ)存設(shè)備可能需要評(píng)估風(fēng)險(xiǎn)后確定是否把設(shè)備銷毀、修理或丟掉。3.訪問(wèn)控制3.1訪問(wèn)控制的業(yè)務(wù)需求目的：控制信息的訪問(wèn)。應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問(wèn)，應(yīng)把信息發(fā)布及授權(quán)的策略內(nèi)容加入到考慮范圍之內(nèi)。3.1.1訪問(wèn)控制策略策略及業(yè)務(wù)需求首先要定義業(yè)務(wù)需求的訪問(wèn)控制，并記錄下來(lái)。訪問(wèn)策略的文件應(yīng)清楚寫(xiě)明每個(gè)用戶或每組用戶應(yīng)有的訪問(wèn)控制規(guī)定及權(quán)限，用戶及服務(wù)提供商都應(yīng)有一份這樣的文件，明白訪問(wèn)控制要達(dá)到什么業(yè)務(wù)需求。訪問(wèn)控制策略應(yīng)包括以下內(nèi)容：每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求；確認(rèn)所有與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的信息；信息發(fā)布及授權(quán)的策略，例如：安全級(jí)別及原則，以及信息分類的需要；不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問(wèn)控制及信息分類策略的一致性；關(guān)于保護(hù)訪問(wèn)數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定；一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問(wèn)配置；在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問(wèn)權(quán)限。訪問(wèn)控制規(guī)定在制定訪問(wèn)控制規(guī)定時(shí)，應(yīng)小心考慮以下：將必須實(shí)施的規(guī)定和可以選擇實(shí)施或有條件實(shí)施的規(guī)定分開(kāi)考慮；根據(jù)“除非有明文準(zhǔn)可，否則一般是被禁止”的原則建立規(guī)定，而不是“在一般情況下全都可以，除非有明文禁止”的模糊概念；由信息處理設(shè)備自動(dòng)啟動(dòng)與經(jīng)過(guò)用戶判斷啟動(dòng)的信息標(biāo)記改動(dòng)；由信息系統(tǒng)自動(dòng)啟動(dòng)的與由管理員啟動(dòng)的用戶許可的變動(dòng)。需要與不需要管理員或其它批準(zhǔn)才能頒布的規(guī)定。3.2用戶訪問(wèn)的管理目的：防止非法訪問(wèn)信息系統(tǒng)。應(yīng)有一套正式程序來(lái)控制分配信息系統(tǒng)及服務(wù)的訪問(wèn)權(quán)限。手續(xù)應(yīng)包括用戶訪問(wèn)生命周期的所有階段，從一開(kāi)始注冊(cè)新用戶直到最后注銷那些不再需要訪問(wèn)信息安全及服務(wù)的用戶。應(yīng)特別注意控制分配特級(jí)訪問(wèn)權(quán)限，因?yàn)檫@些特級(jí)權(quán)限讓用戶越過(guò)系統(tǒng)的控制。3.2.1用戶登記應(yīng)有一套正式的用戶注冊(cè)及注銷手續(xù)，以便授予訪問(wèn)所有多用戶信息系統(tǒng)及服務(wù)。多用戶信息服務(wù)的訪問(wèn)應(yīng)通過(guò)正式的用戶注冊(cè)手續(xù)控制，內(nèi)容應(yīng)包括：使用唯一的用戶ID，以便鑒定是誰(shuí)做什么操作，并予以追究責(zé)任；檢查用戶是否已被系統(tǒng)擁有者授權(quán)使用信息系統(tǒng)或服務(wù)。有時(shí)，還需要管理個(gè)別批準(zhǔn)訪問(wèn)權(quán)限；檢查所準(zhǔn)許的訪問(wèn)級(jí)別是否適用于業(yè)務(wù)目的（參看3.1），是否與機(jī)構(gòu)的安全策略一致，例如不會(huì)破壞責(zé)任的分開(kāi)；發(fā)送用戶訪問(wèn)權(quán)限聲明書(shū)給用戶；要求用戶在聲明書(shū)上簽字，表示明白了訪問(wèn)的條件；確保服務(wù)提供者不能訪問(wèn)，直到授權(quán)手續(xù)已完成；保存一份所有注冊(cè)使用服務(wù)的正式名單；馬上取消已更換崗位、或已離開(kāi)機(jī)構(gòu)的用戶的訪問(wèn)權(quán)限；定期檢查是否有多余的用戶ID及賬號(hào)，并予以除掉；確保多余的用戶ID不會(huì)發(fā)給其它用戶。此外，應(yīng)仔細(xì)研究員工合同及服務(wù)合同中涉及員工或服務(wù)商試圖非法訪問(wèn)后所受到的制裁的條款。3.2.2特權(quán)管理應(yīng)禁止及控制特權(quán)（指任何一種功能或設(shè)備會(huì)讓用戶可以越過(guò)系統(tǒng)或應(yīng)用系統(tǒng)控制的多用戶信息系統(tǒng)）的分配與使用。不適當(dāng)使用系統(tǒng)特權(quán)往往是系統(tǒng)安全被破壞的主要原因。需要保護(hù)不被非法訪問(wèn)的多用戶系統(tǒng)應(yīng)有正式授權(quán)手續(xù)控制特權(quán)的分配，應(yīng)考慮以下的步驟：認(rèn)與每個(gè)系統(tǒng)產(chǎn)品（例如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及每個(gè)應(yīng)用系統(tǒng)，以關(guān)聯(lián)的特權(quán)，以及找出那些應(yīng)配有特權(quán)的員工。權(quán)應(yīng)按照“需要使用”及“按事件”的原則分配，即只在需要時(shí)所賦有的最低功能角色要求。應(yīng)有一套授權(quán)程序，及記錄所有被分配的特權(quán)。不應(yīng)授予特權(quán)，直到完成整個(gè)授權(quán)程序。鼓勵(lì)開(kāi)發(fā)及使用系統(tǒng)例行程序，以避免授予用戶特權(quán)的需要特權(quán)應(yīng)賦予不同的用戶ID，與用作業(yè)務(wù)的ID分開(kāi)3.2.3用戶口令的管理口令是一個(gè)常用方法，來(lái)核查訪問(wèn)某個(gè)信息系統(tǒng)或服務(wù)的用戶身份。所以，應(yīng)通過(guò)正式的管理程序分配口令，辦法以下：要求用戶在聲明書(shū)上簽字，保證不泄露個(gè)人口令，以及只讓在同一組的組員知道作業(yè)組的口令；當(dāng)需要用戶保密自己的口令時(shí)，保證在開(kāi)始時(shí)只提供一個(gè)暫時(shí)的口令，強(qiáng)迫用戶馬上更改。當(dāng)用戶忘記自己口令時(shí)，應(yīng)在確認(rèn)清楚用戶身份后才提供臨時(shí)性口令；要求安全地發(fā)給用戶臨時(shí)性口令。應(yīng)避免使用第三方或未加保護(hù)（明文）的電子郵件信息。用戶應(yīng)確認(rèn)收到口令?？诹罱^不能以不加保護(hù)的形式儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中（參看3.5.4）。其它用來(lái)確認(rèn)及認(rèn)證用戶的技術(shù)，例如生物測(cè)定學(xué)，指紋核查、簽名核查及硬件令牌，例如chip-cards，都可以考慮使用。3.2.4用戶訪問(wèn)權(quán)限的檢查為了有效控制數(shù)據(jù)及信息服務(wù)的訪問(wèn)，管理層應(yīng)該定期正式檢查，看看用戶的訪問(wèn)權(quán)限是否：定期（建議是每隔六個(gè)月）及在任何改動(dòng)后（參看3.2.1）接受檢查；更頻繁地檢查特權(quán)訪問(wèn)的授權(quán)（參看3.2.2），建議是每隔三個(gè)月；定期檢查特權(quán)的分配，以確保沒(méi)有用戶取得非法特權(quán)。3.3用戶責(zé)任目的：防止非法的用戶訪問(wèn)。合法用戶的合作對(duì)推行有效的安全非常重要。用戶應(yīng)知道自己有責(zé)任維護(hù)有效的訪問(wèn)控制，特別是如何使用口令及用戶設(shè)備的安全。3.3.1口令的使用用戶應(yīng)遵守良好的選擇及使用口令的安全慣例?？诹钐峁┝艘粋€(gè)核查用戶身份的途徑，從而可以建立信息處理或服務(wù)的訪問(wèn)權(quán)限，建議所有用戶應(yīng)：保密口令；避免書(shū)寫(xiě)記錄口令，除非保存妥當(dāng)；每當(dāng)懷疑系統(tǒng)被破壞或口令被公開(kāi)時(shí)，應(yīng)馬上更改口令；選一個(gè)至少有六個(gè)字的好口令：容易記住；不根據(jù)與個(gè)人有關(guān)的信息如名字、電話號(hào)碼、出生日期等（容易被猜出）訂出口令；不是連續(xù)的同一個(gè)字，或全是數(shù)字或全字母；定期或按訪問(wèn)次數(shù)更改口令（特權(quán)賬號(hào)的口令應(yīng)比一般口令更改更頻繁），避免重復(fù)使用舊口令；第一次登錄后應(yīng)馬上更改臨時(shí)性口令；不要在自動(dòng)登錄程序中把口令納入，例如儲(chǔ)存在宏或函數(shù)密鑰中；不要與別人共享口令。如果用戶需要使用好幾個(gè)口令來(lái)訪問(wèn)多個(gè)服務(wù)或平臺(tái)，建議他們應(yīng)使用一個(gè)很好的單一口令（參看3.3.1(4)）為這好幾個(gè)口令的存儲(chǔ)提供合理水平的保護(hù)。3.3.2無(wú)人看管的用戶設(shè)備用戶應(yīng)檢查無(wú)人看管的設(shè)備是否適當(dāng)?shù)乇Ｗo(hù)起來(lái)了。安裝在用戶使用地方的設(shè)備，例如工作站或文件服務(wù)器，如一段時(shí)間內(nèi)無(wú)人看守時(shí)，更需要格外保護(hù)并使之免于被非法訪問(wèn)。所有用戶及合作伙伴應(yīng)都知道保護(hù)無(wú)人看管設(shè)備的安全要求及手續(xù)，以及有責(zé)任實(shí)施保護(hù)措施。建議用戶應(yīng)：除非有合適的鎖定機(jī)制保護(hù)（例如有口令保護(hù)的屏幕保護(hù)（screensaver），否則應(yīng)終止已完成的活動(dòng)會(huì)話；會(huì)話結(jié)束后應(yīng)退出登錄主機(jī)（即不僅僅是關(guān)閉PC或終端）；當(dāng)PC或終端不用時(shí)，應(yīng)保護(hù)它們不被非法使用，例如使用密鑰鎖或等同的安全機(jī)制，如口令訪問(wèn)。3.4網(wǎng)絡(luò)訪問(wèn)控制目的：互聯(lián)服務(wù)的保護(hù)。應(yīng)控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問(wèn)，以確?？梢栽L問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全，保證：在機(jī)構(gòu)網(wǎng)及其它機(jī)構(gòu)網(wǎng)或公用網(wǎng)之間要有合適的界面；要有合適的認(rèn)證機(jī)制認(rèn)證用戶及設(shè)備；控制用戶訪問(wèn)信息服務(wù)。3.4.1網(wǎng)絡(luò)服務(wù)的使用策略不安全地連接到網(wǎng)絡(luò)服務(wù)會(huì)影響整個(gè)機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問(wèn)已明確授權(quán)使用的服務(wù)。這種安全控制對(duì)連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò)，或連接到在高風(fēng)險(xiǎn)地方（例如不在機(jī)構(gòu)安全管理及控制范圍的公用或外部地方）的用戶尤其重要。策略應(yīng)與網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的使用有關(guān)，應(yīng)覆蓋：容許被訪問(wèn)的網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)；定出誰(shuí)可以訪問(wèn)哪個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的授權(quán)手續(xù)；保護(hù)接入網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的管理控制及手續(xù)；這個(gè)策略應(yīng)與業(yè)務(wù)訪問(wèn)控制策略一致（參看3.1）。3.4.2強(qiáng)制式路徑從用戶終端到計(jì)算機(jī)服務(wù)的路徑應(yīng)受到控制。網(wǎng)絡(luò)是用來(lái)在最大范圍之內(nèi)共享資源及提供最大程度的路由，但網(wǎng)絡(luò)這樣的功能也同時(shí)提供機(jī)會(huì)非法訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)或非法使用信息設(shè)備，所以，在用戶終端與計(jì)算機(jī)服務(wù)之間設(shè)置路由控制（例如，建立一條強(qiáng)制式路徑）會(huì)減少這樣的風(fēng)險(xiǎn)。強(qiáng)制式路徑的目的是阻止用戶選擇一條不是用戶終端與用戶可訪問(wèn)服務(wù)之間的路由。這樣，就需要在路由的不同點(diǎn)上實(shí)施多個(gè)安全控制，控制原則是按事先定義的選擇限制每個(gè)網(wǎng)點(diǎn)的路由選擇，這方面的例子有：分配專用線或電話號(hào)碼；自動(dòng)把端口連接到指定的應(yīng)用系統(tǒng)或安全網(wǎng)關(guān)；限制供每個(gè)用戶使用的菜單及子菜單；禁止無(wú)限量的網(wǎng)絡(luò)漫游；強(qiáng)迫外部網(wǎng)絡(luò)用戶使用指定的應(yīng)用系統(tǒng)及/或安全網(wǎng)關(guān)；通過(guò)安全網(wǎng)關(guān)（例如防火墻）嚴(yán)格控制從源地址到目的地址的通訊；設(shè)置不同的邏輯域（例如VPN）限制機(jī)構(gòu)內(nèi)用戶組對(duì)網(wǎng)絡(luò)的訪問(wèn)（請(qǐng)參看3.4.6）。對(duì)強(qiáng)制式路徑的需求應(yīng)該基于業(yè)務(wù)訪問(wèn)控制策略（參看3.1）3.4.3外部連接的用戶認(rèn)證外部的連接（例如撥號(hào)訪問(wèn)）是非法訪問(wèn)業(yè)務(wù)信息的隱患。所以，遠(yuǎn)程用戶的訪問(wèn)應(yīng)被認(rèn)證。認(rèn)證方法有很多種，保護(hù)的程度也有強(qiáng)弱之分，例如使用密碼技術(shù)的方法提供非常安全的認(rèn)證。所以，應(yīng)在風(fēng)險(xiǎn)評(píng)估后決定需要哪一級(jí)別的保護(hù)，然后決定需要哪種認(rèn)證機(jī)制。認(rèn)證遠(yuǎn)程用戶的方法可以基于密碼技術(shù)、硬件令牌或是一個(gè)挑戰(zhàn)/響應(yīng)（challenge/response）的協(xié)議。專用線或網(wǎng)絡(luò)用戶地址的檢查設(shè)備也可以被用來(lái)提供源地址的保障?；?fù)埽╠ial-back）的程序及控制（如使用回?fù)苷{(diào)制解調(diào)器），可以拒絕非法或不受歡迎的連接到達(dá)機(jī)構(gòu)的信息處理設(shè)備。這樣的控制可以對(duì)試圖從遠(yuǎn)程地點(diǎn)與機(jī)構(gòu)網(wǎng)絡(luò)建立連接的用戶進(jìn)行認(rèn)證。使用這種控制的機(jī)構(gòu)就不要使用有呼叫傳送（callforwarding）功能的網(wǎng)絡(luò)服務(wù)，如果堅(jiān)持要使用的話，機(jī)構(gòu)應(yīng)中止使用這樣的功能，避免因callforwarding所帶來(lái)的安全隱患。同時(shí)，在回?fù)苓M(jìn)程中包括保證機(jī)構(gòu)確實(shí)斷絕連接的功能是很重要的，要不然，遠(yuǎn)程用戶便可以把線路一直保持是通的，假裝已確實(shí)發(fā)生了回?fù)茯?yàn)證。應(yīng)仔細(xì)檢查回?fù)艿某绦蚺c控制是否會(huì)可能有此情況發(fā)生。3.4.4 網(wǎng)點(diǎn)認(rèn)證能夠自動(dòng)連接到遠(yuǎn)程計(jì)算機(jī)間接等于是提供非法訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)的機(jī)會(huì)，所以要有認(rèn)證機(jī)制來(lái)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的連接，尤其是使用機(jī)構(gòu)安全管理控制范圍之外的網(wǎng)絡(luò)連接。以上的3.4.3舉了幾個(gè)認(rèn)證例子，以及實(shí)現(xiàn)這些機(jī)制的建議。網(wǎng)點(diǎn)認(rèn)證也可以當(dāng)作是另一方法去認(rèn)證一組連接到安全、共享的計(jì)算機(jī)設(shè)備的遠(yuǎn)程用戶。（參看3.4.3）3.4.5遠(yuǎn)程診斷端口的保護(hù)應(yīng)安全地控制診斷端口的訪問(wèn)。很多計(jì)算機(jī)及通訊系統(tǒng)已安裝撥號(hào)遠(yuǎn)程診斷設(shè)備為維護(hù)工程師使用。如果不好好保護(hù)，這些診斷端口就變成非法訪問(wèn)的途徑，所以，應(yīng)有合適的安全機(jī)制保護(hù)這些端口，例如，有一個(gè)密鑰鎖及程序，保證只能使用通過(guò)計(jì)算機(jī)服務(wù)管理員與需要訪問(wèn)的軟硬件技術(shù)支持人員商量后所同意的訪問(wèn)方法訪問(wèn)。3.4.6網(wǎng)絡(luò)的隔離網(wǎng)絡(luò)不斷擴(kuò)大，已超出傳統(tǒng)的機(jī)構(gòu)式范圍，業(yè)務(wù)伙伴的相繼形成，同時(shí)也要求大家互聯(lián)或共享信息處理及聯(lián)網(wǎng)設(shè)施。這樣的擴(kuò)大，也增加了非法訪問(wèn)現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)，而這些系統(tǒng)因有敏感信息或是非常重要的不能讓別的網(wǎng)絡(luò)用戶訪問(wèn)的信息，在這樣的情況下，應(yīng)考慮在網(wǎng)絡(luò)設(shè)置控制，把不同的信息服務(wù)組、用戶及信息系統(tǒng)隔離。一種控制大網(wǎng)絡(luò)安全的方法是把網(wǎng)絡(luò)分成幾個(gè)邏輯網(wǎng)域，例如，機(jī)構(gòu)的內(nèi)部網(wǎng)域及外部網(wǎng)域，每個(gè)網(wǎng)域都有特別指定的安全邊界，實(shí)現(xiàn)這樣的安全邊界是在兩個(gè)要聯(lián)網(wǎng)的網(wǎng)絡(luò)之間安裝一個(gè)安全的網(wǎng)關(guān)，來(lái)控制兩個(gè)網(wǎng)域之間的訪問(wèn)及信息流量。網(wǎng)關(guān)的設(shè)置應(yīng)該是過(guò)濾這些網(wǎng)域之間的流量（參看3.4.7及3.4.8），以及按機(jī)構(gòu)的訪問(wèn)控制策略（參看3.1）阻截非法訪問(wèn)，一個(gè)這樣的網(wǎng)關(guān)例子是防火墻。把網(wǎng)絡(luò)分隔成網(wǎng)域的標(biāo)準(zhǔn)，應(yīng)該是按照訪問(wèn)控制策略及訪問(wèn)機(jī)制（參看3.1），還要考慮成本及因設(shè)置網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)（參看3.4.7及3.4.8）后所引致的性能沖擊。3.4.7網(wǎng)絡(luò)連接控制共享網(wǎng)絡(luò)的訪問(wèn)控制策略的要求，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，可能需要有另外的控制來(lái)禁止用戶的連接能力。這樣的控制可以使用事先定義的表或規(guī)定過(guò)濾流量的網(wǎng)關(guān)實(shí)現(xiàn)。制定禁止規(guī)定應(yīng)按訪問(wèn)策略及業(yè)務(wù)需求（參看3.1），并時(shí)常更新。應(yīng)制定禁止規(guī)定的例子是：電子郵件；單向的文件傳輸；雙向的文件傳輸；交互訪問(wèn)；有時(shí)間日期的網(wǎng)絡(luò)訪問(wèn)。3.4.8網(wǎng)絡(luò)路由的控制共享網(wǎng)絡(luò)，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，需要設(shè)置路由控制，以保證計(jì)算機(jī)連接及信息流不會(huì)破壞業(yè)務(wù)系統(tǒng)的訪問(wèn)控制策略（參看3.1）。那些與第三方（非機(jī)構(gòu)）用戶共享的網(wǎng)絡(luò)更需要有這些控制。路由控制應(yīng)該是按正確檢查源及目的地址的機(jī)制制定。網(wǎng)絡(luò)地址翻譯是一個(gè)很有用的機(jī)制來(lái)隔離網(wǎng)絡(luò)，以及阻止路由從一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)傳播到另一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)。機(jī)制可以用軟件或硬件實(shí)現(xiàn)，但實(shí)現(xiàn)者要注意機(jī)制的安全程度。3.4.3 網(wǎng)絡(luò)服務(wù)的安全現(xiàn)在有很多不同類別的公私網(wǎng)絡(luò)服務(wù)供使用，有些服務(wù)是增殖服務(wù)，而網(wǎng)絡(luò)服務(wù)應(yīng)有獨(dú)特或者復(fù)雜的安全特征。使用網(wǎng)絡(luò)服務(wù)的機(jī)構(gòu)應(yīng)清楚知道所用服務(wù)的安全屬性。3.5操作系統(tǒng)的訪問(wèn)控制目的：防止不合法的計(jì)算機(jī)訪問(wèn)。操作系統(tǒng)級(jí)別的安全設(shè)施應(yīng)被用來(lái)限制計(jì)算機(jī)資源的訪問(wèn)。這些設(shè)施應(yīng)有以下功能：標(biāo)識(shí)及檢查身份，如有需要，應(yīng)把每個(gè)合法用戶的終端或地點(diǎn)都納入檢查之列；記錄成功及失敗的系統(tǒng)訪問(wèn)；提供合適認(rèn)證方法：如果使用口令管理系統(tǒng)，應(yīng)保證是在用良好的口令（參看3.3.1（4））；如有需要，限制用戶的連接時(shí)間。其它訪問(wèn)控制方法，例如challenge-response,如果可以減低業(yè)務(wù)風(fēng)險(xiǎn)，也可以考慮使用。3.5.1自動(dòng)認(rèn)證終端在認(rèn)證連接到指定地點(diǎn)及便攜式設(shè)備時(shí)，可以考慮使用自動(dòng)認(rèn)證終端。自動(dòng)認(rèn)證終端是一種用于只能從某個(gè)地點(diǎn)或計(jì)算機(jī)終端啟動(dòng)會(huì)話的技術(shù)。一個(gè)在終端中，或附在終端的標(biāo)識(shí)符可以顯示這終端是否可以啟動(dòng)或接收交易。如有需要，考慮用物理方法保護(hù)終端，以維持終端標(biāo)識(shí)符的安全。認(rèn)證用戶的方法有很多（請(qǐng)參看3.4.3）。3.5.2終端的登錄程序正常情況是應(yīng)該可以通過(guò)安全的登錄過(guò)程進(jìn)入信息服務(wù)，登錄進(jìn)入計(jì)算機(jī)系統(tǒng)的程序應(yīng)把非法訪問(wèn)的機(jī)會(huì)減到最低，為了避免提供非法用戶不必要的幫助，登錄程序應(yīng)只公開(kāi)最少量的系統(tǒng)信息。一個(gè)良好的登錄程序應(yīng)：不顯示系統(tǒng)或應(yīng)用系統(tǒng)的標(biāo)識(shí)符，直到登錄成功完成；顯示一個(gè)通知，警告只有合用用戶才可進(jìn)入系統(tǒng)；在登錄過(guò)程中不提供幫助信息，以免被不合法用戶利用；只有完成輸入數(shù)據(jù)后才核查登錄信息。如有出錯(cuò)，系統(tǒng)應(yīng)指出哪部分的數(shù)據(jù)是正確，哪部分不正確；限制登錄失敗的次數(shù)（建議是三次），以及考慮：記錄不成功的登錄；強(qiáng)迫在繼續(xù)嘗試登錄前有時(shí)間間隔，或者在沒(méi)有特定授權(quán)之下拒絕任何登錄嘗試；限制登錄程序的最長(zhǎng)及最短時(shí)間。限定時(shí)間一過(guò)，系統(tǒng)應(yīng)停止登錄程序；完成成功登錄后顯示以下信息：前一次成功登錄的日期及時(shí)間；自上次成功登錄后任何不成功登錄嘗試的詳情。3.5.3用戶標(biāo)識(shí)及認(rèn)證所有用戶（包括技術(shù)支持員工，例如操作員、網(wǎng)管、系統(tǒng)程序員及數(shù)據(jù)庫(kù)管理員）應(yīng)有各自的標(biāo)識(shí)符（用戶ID），只為自己使用，以確認(rèn)誰(shuí)在操作，及予以追究責(zé)任。用戶ID應(yīng)沒(méi)有任何跡象顯示用戶的權(quán)限（參看3.2.2），例如經(jīng)理、主管等。在特殊情況下，如有清晰的業(yè)務(wù)利益，可以考慮為一組用戶或某個(gè)作業(yè)共享用戶ID，但一定要有管理層的書(shū)面批準(zhǔn)才行。如有需要，可以增加管理措施來(lái)貫徹責(zé)任。有很多種認(rèn)證程序可以被用來(lái)充實(shí)某個(gè)用戶所稱述的身份?？诹睿▍⒖?.3.1及以下）是提供標(biāo)識(shí)及認(rèn)證的最常見(jiàn)方法，認(rèn)證原則是基于只有用戶知道的秘密。但認(rèn)證也可以使用密碼及認(rèn)證協(xié)議來(lái)完成。用戶擁有的對(duì)象，例如內(nèi)存令牌或智能卡，也是標(biāo)識(shí)及認(rèn)證的方法之一。認(rèn)證某人的身份也可使用生物特征認(rèn)證，一種利用用戶某個(gè)獨(dú)特特征或?qū)傩缘恼J(rèn)證技術(shù)。強(qiáng)大的認(rèn)證可以通過(guò)安全組合多個(gè)認(rèn)證技術(shù)或機(jī)制來(lái)實(shí)現(xiàn)。3.5.4口令管理系統(tǒng)口令是一種基本方法檢查用戶訪問(wèn)某個(gè)計(jì)算機(jī)服務(wù)的權(quán)限，所以，口令管理系統(tǒng)應(yīng)提供一個(gè)有效交互的措施，確保是在使用健全的口令（參看3.3.1的使用口令指引）。一些應(yīng)用系統(tǒng)要求用戶口令由某個(gè)獨(dú)立機(jī)構(gòu)制定，但大部分情況是由用戶選擇及保存自己的口令。一個(gè)良好的口令管理系統(tǒng)應(yīng)是：強(qiáng)制使用個(gè)人口令來(lái)維護(hù)責(zé)任；在適當(dāng)情況下，容許用戶選擇及更改自己的口令，并提供確認(rèn)程序確認(rèn)輸入正確；強(qiáng)令執(zhí)行要選擇健全的口令，如在3.3.1所述；如果是用戶維護(hù)自己的口令，要強(qiáng)迫口令的變化，如3.3.1所述；如果是用戶選擇口令，強(qiáng)迫他們第一次登錄后要更改臨時(shí)的口令（參看3.2.3）；記錄用戶用過(guò)的口令，例如12個(gè)月前用的口令，以防止重復(fù)使用；進(jìn)入系統(tǒng)后不要在屏幕上顯示口令；把口令文件與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)儲(chǔ)存；使用單向加密算法把口令加密儲(chǔ)存；安裝軟件后把供應(yīng)商的缺省口令改掉。3.5.5系統(tǒng)工具的使用很多計(jì)算機(jī)的安裝都有一個(gè)以上的系統(tǒng)工具程序，來(lái)越過(guò)系統(tǒng)及應(yīng)用程序的控制，所以，有必要限制及嚴(yán)格控制這些工具的使用。以下的控制可以被考慮：使用認(rèn)證程序認(rèn)證系統(tǒng)工具；把系統(tǒng)工具與應(yīng)用軟件分開(kāi)；把系統(tǒng)工具的使用限制到只有最少數(shù)的可信任合法用戶使用；授權(quán)在特別情況下使用系統(tǒng)工具；限制系統(tǒng)工具的使用期限，例如只在合法更改的期間內(nèi)使用；記錄所有使用系統(tǒng)工具的活動(dòng)；定義及記錄所有系統(tǒng)工具的授權(quán)級(jí)別；取消所有不必要的工具軟件及系統(tǒng)軟件；3.5.6為保障安全的人員配備強(qiáng)迫警鐘是否應(yīng)為保障安全用戶提供警鐘，應(yīng)在評(píng)估風(fēng)險(xiǎn)后決定，同時(shí)，要定義負(fù)責(zé)什么責(zé)任及反應(yīng)警鐘的程序。3.5.7終端超時(shí)在高風(fēng)險(xiǎn)地方（例如公用地方，或超出機(jī)構(gòu)安全管理范圍之外的地方）的交互終端，或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)的交互終端，應(yīng)在一段沒(méi)有活動(dòng)的時(shí)間后關(guān)閉，以免被非法用戶訪問(wèn)。這種超時(shí)措施應(yīng)在一段休止時(shí)間后清除終端屏幕的內(nèi)容及關(guān)閉應(yīng)用系統(tǒng)及網(wǎng)絡(luò)會(huì)話。超時(shí)的延遲應(yīng)能反映這地方的安全風(fēng)險(xiǎn)以及誰(shuí)是終端的使用者?？梢栽谀承㏄C上實(shí)行部分的終端超時(shí)措施，即清除屏幕內(nèi)容防止非法訪問(wèn)，但不關(guān)閉應(yīng)用系統(tǒng)或網(wǎng)絡(luò)會(huì)話。3.5.8連接時(shí)間的限制限制連接時(shí)間在某種程度上加強(qiáng)高風(fēng)險(xiǎn)應(yīng)用程序的安全。限制那段時(shí)間準(zhǔn)許終端連接到計(jì)算機(jī)服務(wù)的做法，會(huì)減少非法訪問(wèn)的時(shí)限。這樣的限制應(yīng)考慮在敏感的計(jì)算機(jī)應(yīng)用系統(tǒng)上實(shí)行，特別是安裝在高風(fēng)險(xiǎn)地方（例如公用地方，或超出機(jī)構(gòu)安全管理范圍之外的地方）的終端。這樣的限制方法例子可以是：使用已定的時(shí)間段，例如傳輸批文件的時(shí)間，或短時(shí)間的定期交互會(huì)話；如果沒(méi)有加班或延長(zhǎng)工作的要求，限定連接時(shí)間在正常的工作時(shí)間之內(nèi)。3.6應(yīng)用系統(tǒng)的訪問(wèn)控制目的：防止非法訪問(wèn)放在信息系統(tǒng)中的信息。應(yīng)有安全設(shè)備來(lái)禁止訪問(wèn)應(yīng)用系統(tǒng)并只容許合法用戶邏輯訪問(wèn)軟件及信息。應(yīng)用系統(tǒng)應(yīng)該是：按已定的業(yè)務(wù)訪問(wèn)控制策略，控制用戶進(jìn)入信息系統(tǒng)及訪問(wèn)應(yīng)用系統(tǒng)功能；防止可以越過(guò)系統(tǒng)或應(yīng)用系統(tǒng)控制的工具及操作系統(tǒng)非法訪問(wèn)；不破壞其它共享信息資源的系統(tǒng)的安全；只讓擁有者、其它合法用戶或指定的用戶組訪問(wèn)信息；3.6.1信息訪問(wèn)的限制應(yīng)用系統(tǒng)的用戶，包括技術(shù)支持人員，應(yīng)按訪問(wèn)控制策略、個(gè)別業(yè)務(wù)的應(yīng)用要求及機(jī)構(gòu)的信息訪問(wèn)策略訪問(wèn)信息及應(yīng)用系統(tǒng)功能。要符合訪問(wèn)限制的要求，應(yīng)考慮以下的控制：提供菜單來(lái)控制對(duì)應(yīng)用系統(tǒng)功能的訪問(wèn)；適當(dāng)編輯用戶說(shuō)明書(shū)，把用戶不該知道的信息或應(yīng)用系統(tǒng)的功能去掉；控制用戶的訪問(wèn)權(quán)限，例如閱讀、寫(xiě)入、刪除及執(zhí)行；保證處理敏感信息的應(yīng)用系統(tǒng)的輸出只有與輸出使用有關(guān)的信息，并只發(fā)送給合法的終端及地點(diǎn)，同時(shí)，也要定期檢查這些輸出確實(shí)沒(méi)有多余的信息。3.6.2敏感系統(tǒng)的隔離敏感系統(tǒng)需要有專用（隔離）的計(jì)算機(jī)環(huán)境。一些應(yīng)用系統(tǒng)的信息非常敏感，需要特別的處理以防止損失。應(yīng)用系統(tǒng)的敏感程度暗示需要在專用的計(jì)算機(jī)上運(yùn)行，只能與可信任的應(yīng)用系統(tǒng)共享資源。要考慮的問(wèn)題有：應(yīng)明確標(biāo)明應(yīng)用系統(tǒng)的敏感程度，并由這系統(tǒng)的擁有者記錄保存；當(dāng)一個(gè)敏感應(yīng)用系統(tǒng)要在共享環(huán)境下運(yùn)行，應(yīng)標(biāo)明有哪些應(yīng)用系統(tǒng)與它共享資源，并得到敏感應(yīng)用系統(tǒng)擁有者的同意。3.7系統(tǒng)訪問(wèn)和使用的監(jiān)控目的：檢測(cè)非法活動(dòng)。系統(tǒng)應(yīng)被監(jiān)控來(lái)檢測(cè)違反訪問(wèn)控制策略的活動(dòng)，以及記錄可檢測(cè)的事件，以便在發(fā)生安全事件時(shí)提供證據(jù)。系統(tǒng)監(jiān)控能夠檢查所通過(guò)的管理是否有效，是否與訪問(wèn)控制模型（參看3.1）一致。3.7.1事件記錄應(yīng)有一個(gè)記錄異常事件及其它安全事件的審計(jì)日志，并在一段已定的時(shí)間內(nèi)保存?zhèn)溆?。審?jì)日志應(yīng)包括以下：用戶ID；登錄與推出登錄的日期時(shí)間；終端或地點(diǎn)（如可能）的身份；成功及拒絕的系統(tǒng)訪問(wèn)的日志；成功及拒絕的數(shù)據(jù)及其它資源的訪問(wèn)。某些審計(jì)日志因?yàn)楸４娌呗缘男枰蛘咭驗(yàn)橐占C據(jù)而需要?dú)w檔。3.7.2監(jiān)控系統(tǒng)的使用風(fēng)險(xiǎn)的程序及區(qū)域應(yīng)建立監(jiān)控信息處理設(shè)備使用情況的程序，以保證用戶只進(jìn)行明確授權(quán)了的活動(dòng)。所需的監(jiān)控級(jí)別應(yīng)在評(píng)估風(fēng)險(xiǎn)后確定。要考慮的區(qū)域有：合法訪問(wèn)，包括詳細(xì)情況，如：用戶ID；重要事件發(fā)生的日期時(shí)間；事件的種類；所訪問(wèn)的文件；所使用的進(jìn)程/工具。所有特權(quán)操作，例如：管理賬號(hào)的使用；系統(tǒng)的啟動(dòng)及停止；I/O設(shè)備的附加裝置/分離裝置。非法訪問(wèn)的嘗試，例如：失敗的嘗試；網(wǎng)關(guān)及防火墻的違反訪問(wèn)策略的訪問(wèn)及通知；入侵檢測(cè)系統(tǒng)的預(yù)警。系統(tǒng)預(yù)警或失敗，例如：控制臺(tái)預(yù)警或消息；系統(tǒng)日志的異常；網(wǎng)絡(luò)管理的警報(bào)。風(fēng)險(xiǎn)因素應(yīng)定期審查監(jiān)控活動(dòng)的結(jié)果，審查的頻率應(yīng)依賴于涉及的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)因素有：應(yīng)用進(jìn)程的重要性；所處理的信息的價(jià)值、敏感程度及重要性；過(guò)去系統(tǒng)滲透及誤用的經(jīng)驗(yàn)；系統(tǒng)聯(lián)網(wǎng)的范圍（特別是公用網(wǎng)）。對(duì)事件進(jìn)行日志記錄和審查日志檢查包括了解系統(tǒng)所面臨的威脅，以及這些威脅在什么情況下會(huì)出現(xiàn)。3.7.1是如果有安全事件發(fā)生時(shí)應(yīng)注意哪一類事件的例子。系統(tǒng)日志的內(nèi)容一般是非常多，有很多是與安全監(jiān)控?zé)o關(guān)。要找出重要的事件，應(yīng)考慮自動(dòng)把合適的消息種