GBT26318-2010物流网络信息系统风险与防范.pdf 28页

'ICS03．100．01A02囝雪中华人民共和国国家标准GB／T26318—2010物流网络信息系统风险与防范LOgisticsnetworkinformationsystemsriskandpreVention2011-01—14发布2011—05—01实施宰瞀徽紫瓣訾矬瞥星发布中国国家标准化管理委员会巩1” 前言⋯⋯⋯⋯⋯⋯·⋯·⋯·⋯⋯⋯⋯⋯⋯···引言⋯⋯⋯⋯···⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯1范围⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯⋯·⋯⋯·2规范性引用文件⋯⋯⋯⋯⋯···⋯⋯⋯·3术语和定义·⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯-4物流网络信息系统技术原则和风险分类5物流基础数据风险与防范措施·⋯⋯⋯6实体风险与防范措施⋯⋯⋯⋯··⋯⋯⋯·7硬件风险与防范措施⋯⋯⋯⋯⋯⋯⋯⋯8软件风险与防范措施···⋯⋯⋯⋯⋯⋯···9管理风险与防范措施⋯⋯⋯⋯⋯⋯⋯⋯参考文献⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯目次GB／T26318—2010ⅢⅣ●●，08∽MM加弘 www.bzfxw.com刖茜GB／T26318—2010本标准按照GB／T1．1—2009给出的规则起草。本标准由中华人民共和国商务部提出并归口。本标准起草单位：浙江双马国际货运有限公司、深圳市联合纵横国际货运代理有限公司、新景程国际物流有限公司、中国国际电子商务有限公司、全国国际货运代理标准化技术委员会、中外运长航集团有限公司、中国海运(集团)总公司、中国中钢集团公司、锦程物流(集团)公司、北京交通大学、中钢国际货运有限公司、上海宝霖国际危险品物流有限公司、福建金航国际货运代理有限公司厦门分公司、上海港虹信息科技有限公司、厦门通程物流有限公司、内蒙古安快物流集团、新时代保险经纪有限公司、新疆德鲁亚国际物流有限公司、新疆托木尔货运代理有限责任公司。本标准主要起草人：林忠、王喜富、蒋寒松、胡荣、杨爽、陈峥、冯建萍、杨旭、景洪德、张海峰、陈智勇、李莉丽。Ⅲ www.bzfxw.comGB／T26318—2010引言本标准通过对物流信息资产、面临的威胁、资产存在的脆弱性以及脆弱性被威胁利用后所产生的实际负面影响等进行识别、分析，从而得到资产、威胁和脆弱性相映射的资产价值、威胁等级和薄弱点等级等，转化成以提示的形式给出了物流基础数据风险、实体风险、硬件风险、软件风险和管理风险五个方面的主要风险来源和相应的防范措施，以对付威胁、减少脆弱性、限制意外事件影响，实现以下一种或多种功能；预防、延迟、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。当前，由于我国中、小物流企业占多数，而企业规模、服务水平、人员素质、地域等差异不一，导致企业在信息化建设和技术运用与其实际的经营规模、业务范围、流程和管理之间发展不平衡，制约了企业和行业的信息化的发展，加大了企业的运营风险。本标准旨在提高中、小物流企业的物流网络信息风险防范的能力。Ⅳ www.bzfxw.com1范围物流网络信息系统风险与防范GB／T26318—2010本标准规定了物流网络信息系统的风险评估、安全防范措施和安全管理要求。本标准适用于我国物流企业对信息系统或物流信息系统公共服务平台进行规范与管理，并可作为相关机构对物流网络信息系统进行安全评价的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB／T209842007信息安全技术信息安全风险评估规范3术语和定义下列术语和定义适用于本文件。3．1资产asset对组织具有价值的信息或资源，是安全策略保护的对象。[GB／T209842007，定义3．1]3．2资产价值∞setvalue资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。[GB／T20984—2007，定义3．2]3．3威胁threat可能导致对系统或组织危害的不希望事故潜在起因。[GB／T20984—2007，定义3．17]3．4薄弱点vulne髓bility资产或资产组中能被威胁利用的弱点。3．5风险risk特定的威胁利用资产的一种或一组薄弱点，导致资产的损害的潜在的可能性，即特定威胁事件发生的可能性与后果的结合。3．6信息系统的风险info咖ati蚰systemrisk特定的威胁利用信息资产的漏洞或弱点从而造成对资产的一种潜在损害，包括信息资产、威胁和自身的漏洞或弱点三个组成部分。注：信息系统风险的严重程度可用资产受损害的程度与威胁发生的概率的乘积来衡量。1 www.bzfxw.com37物藏网络信息系统Iogisti∞nnworkin如rmati蚰掣stem以计算机技术和通信技术结合为基础，通过对物流相关信息的收集、加工、处理，存储和传递来达到对物流恬动的有效控制管理，并为企业提供信息分析和头策支持的人机系统。8风险评估risk一一nt对信息和信息处理设施的威胁(threat)、影响(I”p8ct)和薄弱点(vulnerablIl‘y)及三者发生的可能性的评估。＆m险*怙＆月络安全防∞中∞一Ⅲig技$，其Ⅲg是栗月模m攻击白勺*i”目镕日＆#＆∞e目￡±*月女行《m#女(目镕日“镕I作站，m务#、交换m、数据库应月等各#对象)，#i#据扫描结*向％坑管日日提供月女日靠白寸女±性丹*报☆，**自月镕女±#体m}F±t§依*．9风险管理ri呔一az⋯nt以可接受的费用识别、控制、降低或消除可能影响信鼠系统的安全风险的过程。风险管理是个识别、控制、降低或消除安全风险的活动．通过风险评估来识别风险大小．通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至个可被接受的水平。在风险管理方而应考虑控制费用与风险之间的平衡。4物流网络信息系统技术原则和风险分类41物流网络信息系统示例物流网络信息系统是物辩【实体网络的重要支撑．伴随物流基础设施网络，实体服务网络而相应收集、加工、处理，存储和传递有关用户需求信息、市场动态、物流服务、企业内部业务处理情况等各类信息，有救地管理物流月If务的各个环节．能够提供诸如结算功能、实时的客户奁询功能以及各种接口模块等，并为企业提供信息分析和决策支持。由于物流基础设施网络，实体服务网络、服务技术、服务范围、月|￡务层次、服务程度、服务区域等的不同，物流剐络信息系统也因此根据不问企业的需求．以有不同层敬、不同程度的应用和不同子系统构成．诸如以下示例中不同功能的系统有着不同的构成。}目1：跨#，跨R#女B物m商**同平自．H贸目物％m程中*g《行盘换∞数据m行＆理、分析自归*，土曾％各*#*∞#i4+&★＆＆*m}I#*填gI”，女高信息生#∞#率*准自性，#宴m与±F女，采％方．物女口*《供A，i《人镕口、**、＆§＆痉*m§}自自#镕女E，E目1。到型型图1跨境、跨区域贸易物流商务协同平台 www.bzfxw.com}d2：缘旨*a＆月}自，自货±ti^、#mⅨ**供女**货∞《#白勺执#、监＆、m％自*。Ai持g月点#n#、；自＆作n日白镕合管理∞％月镕信息§娆，Ⅲ目z。图2综台管理应用平台id3：n线{”}自，H$女Ⅲ、}月＆}％tn提*起《*目∞镕}《^M＆、镕!／数t、《*§合∞#m月镕镕E∞十§＆，Ⅲ月3圄3航线运价平台 www.bzfxw.comGB／T26318—2010i目4单证管理平台，Nt十贸易物流环节中所涉&到单证进行综合管理＆信息nn《∞#％月镕信Ef§‰Ⅲ目4。图4单证管理平台id5：％＆*理}自，自i堆i人女Ⅱ*＆、自＆女任保障赏《代4责任保险提单责任保险辅“货物《辅保险财产保险目物m目镕信息}§统，Ⅲ目：。 www.bzfxw.comGB／T26318—2010i自6：结算支付管4平自，镕《资金☆逾目目厦简％支付i#∞n4＆《供№资担保∞物m目络信Ef§托，E图6结算支付管理平台}d7：GPs管日平自，将；目*、$#$，#标＆∞GPs女§Ⅱ{‰女#i分集成井应月fi#I具Ⅱ货物目#tm镕2＆∞#m月镕镕Bf§＆，Ⅲ目7．图7GPs管理平台 www.bzfxw.comGB／T26318—2010id8：Ⅲ务管理}台，目自《、传真，《信#进#*理∞％m目镕镕自子§＆．Ⅲ目8i目10：库#信自系统，W月＆女Ⅻ∞物m信息，制2＆最优库存方式、库存t、库存日种“&女±防范措施等}目11E女信息§统，#商￡＆EⅨ方向、日粪，制定科学，合Ⅻ、女济∞i输I具Ⅷn计划自E％路#等。{目12-目单n4幕统，订单E备、订单}人、H单传输、H单履"、Ⅱ单#M报*等订单％程n理∞∞m月镕信Ef{‰。6 www.bzfxw.comGB／T26318—20104．2技术原则4．2．1先进性物流业务涉及跨区域(跨境)业务协同、流程协同、管理协同，系统宜采用国际先进的网络技术模式和软件体系结构，使系统具有一定的前瞻性，支持系统可持续发展的需要。4．2．2实用性物流业务涉及的业务范围广，应结合企业的个性化服务需要，在实用性系统设计过程中应考虑与原有的业务应用系统之间无缝、平滑接人。4．2．3可靠性物流业务具有多元化的特点，业务环节多，流程复杂，服务链长，系统应具备可靠性和容错性，能不问断和有足够的延时来处理突发事件。4．2．4安全性物流业务涉及单证制作、递交、审核，流转交换；货权转移；货币结算等，应构建完整的安全体系，包括安全基础设施以及传输安全、网络安全、数据安全、信息安全、应用安全以及系统安全。系统在安全等级、交叉验证、cA认证系统、网络安全等各个环节应采取有力的安全保证措施。4．2．5标准规范性物流业务涉及多个参与方，系统建设应符合一定的规范要求，以达到互联互通，统一管理的目的。4．2．6扩展性随着现代物流业务的日益发展，系统应满足长期、可持续发展的需要，具有良好的扩展性，适应未来信息量与业务量增长的需要。系统应为各业务系统及整体应用系统的接人预留接口，以增强系统的弹性、通用性与可替换性。4．3风险分类4．3．1物流基础数据风险数据的收集和输入、信息的存储、信息的传输、信息的处理和信息输出过程中，如因不及时、不真实、不准确、丢失、外泄等引发的风险。4．3．2实体风险包括参与方的风险、未经授权的操作风险或人为地对设施、设备进行攻击和破坏等。4．3．3硬件风险由于计算机及网络设备因各种突发灾害或因运行环境或因硬件本身及相关元器件的技术缺陷、故障导致系统不能正常工作而带来的风险；物流信息技术运用或系统配置不当或使用未经授权或不符合标准的设备引发的风险等。4．3．4软件风险网络层、应用层、系统层的风险以及由于各种程序开发、使用过程中包含的潜在错误导致系统不能7 www.bzfxw.comGB／T26318—2010正常工作而带来的风险。4．3．5管理风险由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而带来的风险，主要分为技术管理风险和组织管理风险。技术管理包括物理和环境安全、通信与操作管理、访问控制、系统开发与维护等。组织管理包括安全策略、组织安全、资产分类与控制、人员安全等。5物流基础数据风险与防范措施5．1数据的收集和输入风险与防范措施5．1．1主要风险来源5。l，1．1物流业务所需要的数据类型繁多，来源复杂，发生、处理地点和扩散范围各不相同，使得物流信息的采集、分类、统计、分析的难度加大。5．1．1．2大量新信息不断更新原有的信息。5．1．1．3初始静态数据和业务输入数据、业务输出数据不完全或不正确。5．1．1．4基础数据采集的技术实现手段差异大，且未完全实现自动化，尚需依靠人工录入。5．1．1．5物流客体在物流信息系统中的逻辑位置或状态表达存在二义性，无法根除。由于物流客体编码、数据格式、数据采集技术不统一而导致物流数据采集、共享和交换难于进行。5．1．2主要防范措施5．1．2．1信息收集是保证整个物流网络信息系统得以进行的基础和前提，直接关系到整个物流过程管理的质量。为了保证所获取的信息的质量，应遵循以下原则：a)准确性原则。对收集到的信息应反复核实、校验，力求把误差减少到最低限度，确保所收集到b)c)5．1．2．25．1．2．35．1．2．4一致。5．1．2．5aJb)c)d)eJ5．1．2．65．1．2．75．1．2．88的信息真实可靠。全面性原则。要求做到所搜集到的信息要广泛，全面完整。时效性原则。物流信息动态性强，信息价值衰减和更新快，应保证信息采集的及时性和信息加工处理的快速性。在数据输入前做好合理的人员分组和组内分工。加强数据格式设计与数据输入人员或部门之间的沟通与协调。简化作业流程，提升员工的操作技能水平。提高了数据输入的效率与效果，保证数据的完整保证收集到的数据本身的准确性，没有遗漏、重复、过时、失实。定义关键的数据元素，如物料代码、项目类型和损耗率等。在数据输入系统前，将系统的信息需求与信息使用者的需求进行核对。定义系统的全部信息和信息来源，识别关键信息与非关键信息。对经常变化的数据，保证系统能实时反映其变化情况，并应定期检查，如有必要应及时修改。设立合理的数据输入的逻辑顺序。依照公共标准．设置了合理的、准确的代码体系和数据格式，保证数据输入格式的准确性。选择合适的数据格式转换程序，既保证数据录入的效率又保证数据格式的正确性。保证数据关系安全性。 GB／T26318—20105．2信息的存储风险与防范措施5．2．1主要风险来源数据整理不当，数据的丢失、外泄、失真。5．2．2主要防范措施5．2．2．1存储功能保证已得到的物流信息不丢失、不走样、不外泄，整理得当、适时可用。5．2．2．2应考虑信息存储量、存储方式、存储时间、信息格式、使用方式、安全保密等因素。5．3信息的传输风险与防范措施5．3．1主要风险来源5．3．1．1数据传输方式不统一。5．3．1．2数据传输不及时。5．3．1．3数据传输不准确。5．3．2主要防范措施5．3．2．1传输格式要符台公共标准。5．3．2．2要充分考虑物流信息传输的时效性。5．3．2．3要充分考虑所要传递的信息种类、数量、频率、可靠性要求等因素。5．4信息的处理风险与防范措施5．4．1主要风险来源5．4．1．1信息处理技术。5．4．1．2信息处理时效。5．4．1．3信息处理不当。5．4．2主要防范措施5．4．2．1统一源数据，如字段的同名异义、异名同义、单位不统一、字长不一致等。5．4．2．2进行有效数据综合和计算，避免因程序逻辑错误、计算错误、处理非法数据、重复输入等造成信息处理错误。5．4．2．3采取各种技术手段，对处理数据的准确性进行校验。5．4．2．4准确捕获由于数据的插入、修改等操作而引发的数据改变。5．4．2．5确保经过综合、重构、筛选、重新格式化等操作，生成同样的、能有效支持决策分析的分析型数据。5．5物流信息输出风险与防范措施5．5．1主要风险来源输出信息与输入信息不一致，出现差异、失真；信息输出缺乏时效性；输出的对象错误、格式不符等。5．5．2主要防范措施5．5．2．1加强对输出信息的内容、格式和传送过程的控制，确保输出信息的正确性、可靠性、及时性和9 GB／T26318—2010保密性。5．5．2．2输出信息的结构与格式，易读易懂，直观醒目。5．5．2．3确保输出信息的接触者是经过授权的人员。6实体风险与防范措施6．1参与方的风险与防范措施6．1．1主要风险来源6．1．1．1在物流服务过程中，随着参与方增多，对其掌控、管理、协调的难度和风险增大。6．1．1．2信息不对称引起的信用风险；参与方越权对物流数据进行处理、访问、修改等。6．1．1．3参与方的误操作，导致数据丢失、被破坏。6．1．1．4非法占用网络资源，切断或阻断网络通讯，使信息无法传递。6．1．1．5参与方管理不善，造成信息丢失、损坏或泄密等。6．1．1．6信息错误、丢失、外泄的风险。6．1．1．7信息缺乏准确性、及时性和可靠性。6．1．1．8多环节、多通道容易发生一些突发事件。6．1．2主要防范措旆6．1．2．16．1．2．261．2．3律责任。6．1．2．46．1．2．56．1．2．6矛盾。加强协调、监管，保证信息的准确性、及时性、可靠性、实时性和有效性。在最大范围内实现信息资源的共享、管理与监督，防止客户信息、核心技术、商业机密等泄露。保证参与各方在信息共享的同时做到相互保密，避免因泄露对方的商业机密而承担相应的法可预先制定应变措施，制定应对突发事件的工作流程。将参与各方的目标融为一个整体，建立相互信任、良好沟通、协调一致的合作机制。建立有效的绩效评价考核体系和冲突处理机制，对预见性的潜在问题进行分析，及时化解6．1．2．7签订具有约束力的合作协议。6．2工作人员的风险与防范措施6．2．1主要风险来源6．2．1．1工作人员的可靠性不足。6．2．1．2工作人员的恶意破坏。6．2．1．3工作人员的失职。6．2．1．4工作人员缺乏责任心。6．2．1．5工作人员缺乏培训，专业技能不足。6．2．1．6关键操作监控和责任制度的不完善。6．2．1．7管理权限模糊和系统操作人员责任不明确。6．2．1．8超越权限访问网络资源。6．2．1．9滥用自己的职权，做出破坏信息系统的行为。6．2．1．10人事管理上的漏洞。10 6．2．2主要防范措施GB／T26318—20106．2．2．1建立岗位责任制度和授权制度，要求对关键岗位的人员实施严格的背景调查和管理控制，切实落实最小特权原则和分权制衡原则，关键安全事务要求双人共管。6．2．2．2确定人员的资质标准、考核和评估制度。6．2．2．3所有人员对管理规定和要求的充分理解和有效执行。6．2．2．4确定人员背景的调查程序。6．2．2．5所涉及的工作人员，应签署保密协议。6．2．2．6建立和实施用户管理制度。6．2．2．7建立操作系统变更控制制度。6．2．2．8签署针对用户的授权和安全协议。6．2．2．9建立和实施针对用户访问情况的审计和检查制度。6．2．2．10建立和实施针对非授权访问的违规操作的调查、取证和惩罚制度。6．2．2．11建立和实施针对离岗人员可能威胁的评估制度和防范措施。6．2．2．12与关键管理人员签订安全责任书。6．3内部用户未经授权的操作风险与防范措施6．3．1主要风险来源6．3．1．1安全保卫意思淡薄，缺乏保密意识。6．3．1．2包括以前的员工故意破坏的行为，或者目前现有员工故意或疏忽而破坏服务设备或信息设备的行为。6．3．1．3机房设计简陋，防护装置达不到规定标准，人为助长了计算机实体风险。6．3．2主要防范措施6．3．2．1机房设计、防护装置达到规定标准。6．3．2．2实施物理安全区域管理。6．3．2．3建立物理安全规章制度。6．3．2．4建立系统关键物理设施登记制度。6．3．2．5建立出入人员授权书制度。6．3．2．6加强设备接触人员的认证管理。6．3．2．7应用系统开发人员与审计工作的隔离，操作系统管理人员与应用系统安全管理工作的隔离。6．3．2．8实施安全区域标记管理和安全区域隔离管理。6．3．2．9加强安全保卫措施，对安全区域活动实施实时监控。6．3．2．10物理安全保障的持续改善。6．4关键操作的风险与防范措施6．4．1主要风险来源关键操作监控和关键操作责任制度的不完善。6．4．2主要防范措施6．4．2．1对用户在关键操作系统上的使用情况进行登记和监视。6．4．2．2建立责任明确的人员管理制度。11 GB／T26318—20106．4．2．3签订与关键管理人员约定的安全责任书。6．5物理盗窃风险与防范措施6．5．1主要风险来源主要风险来源包括物理硬件／软件被盗、被毁造成数据丢失或信息泄露。6．5．2主要防范措施6．5．2．1完善门禁控制系统，防止内部失窃。6．5．2．2加强设备周边环境安全控制，防止外部盗窃。6．5．2．3设备自身安全防护，例如，加锁，报警设备等。7硬件风险与防范措施7．1物理和环境风险与防范措施7．1．1主要风险来源7．1．1．1由于不可抗力，如火灾、水灾、地震、雷击等突发性自然灾害引发事故造成的损失。7．1．1．2由于断电、电磁干扰、静电、灰尘、潮湿、温度、鼠蚁虫害等引发事故造成的损失。7．1．1．3由于设备本身及元部件的短路、断线、接触不良、老化、超期服役或人为减少运行寿命带来的风险。7．1．2主要防范措施7．1．2．1加强基础设施和运行环境的建设，在设计、安装上应达到国家规定的计算机执行安全运行环境的有关标准。如计算机房环境应干净、整洁，装置必要的电磁屏蔽设施，保持特定的温度和湿度，采取防静电、防尘、防雷、防电磁辐射、防鼠和防水措施；采用uPs不间断电源供电；供电、通信线路的布线、连接要符合规范要求。7．1．2．2建立健全安全管理内控制度，杜绝内部安全隐患。7．1．2．3安排专人负责应急计划和实施灾难恢复计划的管理工作。7．1．2．4制定应急计划和灾难恢复计划全面管理细则。7．1．2．5制定灾难恢复及事故处理、紧急响应策略及相应的定期测试。7．1．2．6对不同等级的应用系统，制定不同的备份计划和应急计划。7．1．2．7实施应急计划和灾难恢复计划的独立审计。7．1．2．8对应急计划和灾难恢复计划进行定期评估和持续评估。7．1．2．9制定系统信息和文档备份制度，对不同的信息等级，制定不同备份策略。7．1．2．10制定对备份信息介质的标记制度。7．2物流信息技术运用的风险与防范措施7．2．1主要风险来源7．2．1．1设备或硬件选配不当或选配的质量低劣、功能欠缺、性能落后、工作不稳定、配合不当等，导致其功能发挥不充分，软件无法运行或运行不稳定，制约网络运行和数据传输的速度甚至造成部分或全部数据的丢失或出错。7．2．1．2网络的传输介质或其他介质可能存在缺陷。12 7．2．1．3设备或硬件安装不规范、线路不畅通、接触不良等。7．2．1．4设备或硬件的工作环境达不到要求。7．2．1．5数据传输格式、频率等的技术规范未达到要求。7．2．2主要防范措施GB／T26318—20107．2．2．1数据(信息)集成能保证系统中每个部分，在运行的每个阶段，将正确的数据(信息)，在正确的时间、正确的地点，以正确的方式，传送给需要该数据(信息)的人，实现不同系统的数据交换与共享。7．2．2．2应用系统集成要实现不同系统之间，各种分立的设备、单元技术的互操作，实现不同应用系统之间数据和方法的共享。7．2．2．3业务流程集成能在完成数据集成的基础上，使在不同应用系统中的流程能进行无缝连接，实现业务流程之间的协调运作和流程信息的充分共享。7．2．2．4对业务过程进行集成时，应在各种业务系统中定义、授权和管理各种业务信息的交换，以改进操作，提高响应速度。7．2．2．5按国际惯例和国家标准规范进行物流标准化改造，在每个环节中实行统一的技术标准和技术管理标准。7．2．2．6使有关联的软件与技术功能能互相发出对方能理解的指令，激活相应的功能，共享或修改公共数据和信息。7．2．2．7数据定义和格式应符合标准要求。7．2．2．8保证信息通过接口后能被识别和认同。7．2．2．9对不同企业、不同地区、不同行业的技术标准、运作规范、管理制度等进行无缝化连接，保证物流运作机制的畅通。7．2．2．10选择符合要求、合格的设备。7．3系统配置风险与防范措施7．3．1主要风险来源管理人员对系统配置不当造成的风险。7．3．2主要防范措施7．3．2．1建立对系统工具标记的管理制度。7．3．2．2针对系统内置角色、操作系统安全管理人员，分别配制权限。7．4未经授权或不符合标准的设备风险与防范措施7．4．1主要风险来源7．4．1．1未经授权的设备：试图连接到网络上的设备未被认可或授权，包括未经授权的设备或用户，也包括授权的用户错误地把无线接人点连接到网络中，使得设备能够通过该连接点进入网络，其可能会引起潜在的安全漏洞。7．4．1．2不符合标准的设备(如配置错误的系统)：系统没有使用厂商最新发布的安全修复程序或相应的防病毒文件进行升级。7．4．2主要防范措施7．4．2．1物理隔断：可信网和不可信网要物理隔断，使可信网络上的计算机不能访问不可信网络。7．4．2．2可选择数据交换：两个网络能够有选择地交换数据。13 GB／T26318—20107．4．2．3在隔离区(DMz)进行内容检测：所有交换数据在允许通过之前在一个独立的隔离区(DMz)进行检测。7．4．2．4及时更新设备的安全防护文件，调整相关设置。7．5基础设备风险与防范措施7．5．1主要风险来源软硬件可靠性和稳定性，包括电源的稳定性、端口的可用性、网络的可用性等。7．5．2主要防范措施7．5．2．1制定设施、设备的配置计划、安装、运行、操作流程。7．5．2．2加强设备的日常维护保养。7．5．2．3强化定期例行检查及记录制度。7．5．2．4配备足够的备用电源、线路等设备。7．6电磁安全风险与防范措施7．6．1主要风险来源包括利用侦听技术以及不断增强的计算机处理能力导致的电磁波被人窃听。7．6．2主要防范措施7．6．2．1防电磁信息辐射泄漏技术。7．6．2．2防止线路截获。7．6．2．3抗电磁干扰技术。7．7终端安全风险与防范措施7．7．1主要风险来源因为典型的多业务终端是一个计算机，与传统的专用傻终端，例如电话相比，智能终端故障率以及配置难度都大大提高。7．7．2主要防范措施7．7．2．1终端机性能的检测与评价。7．7．2．2终端机的日常维护与检测。7．7．2．3终端机故障保修系统的建立。8软件风险与防范措施8．1网络层风险与防范措施8．1．1黑客攻击风险与防范措施8．1．1．1主要风险来源主要风险包括：a)IP欺骗类攻击；】4 GB／T26318—2010b)IP重放或重演类攻击；c)拒绝服务攻击和分布式拒绝服务攻击；d)入侵者寻找防火墙背后可能敞开的后门；e)入侵者在防火墙内；f)利用防火墙不能提供实时的入侵检测；g)利用企业自身保护措施不完善。8．’．1．2主要防范措施应建立完善的安全网络入侵检测系统，并具有以下功能：a)在网络环境下实现实时、分布、协同的入侵检测。全面检测可能的入侵行为，及时识别各种黑客攻击行为；发现攻击时，应阻断、弱化攻击行为，并能详细记录、生成人侵检测报告，及时向管理员报警。b)进行多个层次的扫描，按照特定的时间、广度和细度的需求配置多个扫描。c)支持大规模并行检测，可对大型网络同时执行多个检测。d)所采用的入侵检测产品和技术不会被绕过或旁路。e)检测和扫描行为不影响正常的网络连接服务和网络的效率。f)检测的特征库应全面及时更新。g)设定完整的安全检测策略，根据不同需求选择相应的检测策略；对检测强度和风险程度进行分级管理。h)制定实际的、可强制执行的网络安全策略。8．1．2恶意软件风险与防范措施8．1．2．1主要风险来源如蠕虫风险、木马风险等。8．1．2．2主要防范措施主要防范措施包括：a)制定病毒防护系统使用管理制度；没有得到许可，不私自终止病毒防护系统的运行，并对病毒防护系统的使用建立日志；b)建立应用软件安全管理制度；c)实行应用软件采购批准制度；d)建立应用软件使用授权制度；e)集中实施病毒防护管理制度；f)实现在系统所有终端有效防范病毒或恶意代码引入；g)安装完整的系统防火墙；h)定期或不定期检查杀毒软件；i)实时监控。8．1．3恶意的移动代码和远程登录程序风险与防范措施8．1．3．1主要风险来源主要风险来源包括：a)移动代码可以在不需要用户指示的情况下实现远程系统在本地系统上的执行；】5 GB／T26318—2010b)攻击者常常使用ssH(secureshell，安全外壳)和telnet(用于远程联接服务的标准协议或者实现此协议的软件)远程登录其他系统}c)键盘记录器：键盘记录器用来监视和记录键盘的使用记录；d)Rookits：指一些安装到系统中的文件，采取恶意的和偷窃的方式替代系统的正常功能；e)网络浏览器插件、电子邮件生成器等。8．1．3．2主要防范措施管理人员随时留意系统文件变化，及时检查系统进程，同时使用网络设备安全增强技术，包括a)超时配置：配置VTY、console的超时来增加系统访问安全性；b)访问控制配置：通过配置vTY端口的AccessList来增加系统访问的安全性；c)vTY访问配置：配置vTY的访问方式，如ssH来增加系统访问的安全性；d)用户验证配置：配置用户验证方式以增强系统访问的安全性；e)AAA方式配置：配置AAA方式来增加用户访问安全性；f)路由命令审计配置：配置AAA命令记账来增强系统访问安全性。8．1．4混合攻击风险及防范措施8．1．4．1主要风险来源混合攻击使用多种感染或是攻击方式，主要风险来源如a)电子邮件；b)Wlndows共享；c)网络客户端；d)通过即时通讯和点对点文件共享软件传播。8．1．4．2主要防范措施主要防范措施包括：a)电子邮件打开前的杀毒；b)安全检查后再开启windows共享设置；c)网络客户端的安全使用，例如下机退出，记录删除d)接受陌生文件时的杀毒检查。8．1．5数据传输风险与防范措施8．1．5．1主要风险来源包括数据丢失，数据失密和数据延迟。8．1．5．2主要防范措施主要防范措施是使用VPN保证数据传输安全。VPN的信息透明加解密功能：支持网络IP数据包的机密性保护，网络密码机串联在以太网中，凡是流经的IP报文无一例外地都要受到它的分析和检查，根据需要进行加解密和认证处理。8．1．6各类攻击性扫描器风险与防范措施8．1．6．1主要风险来源网络攻击者可能使用多种工具扫描、攻击系统漏洞，如：16 GB／T26318—2010a)信息包探测器：信息包探测器用来监视网络流量和获取信息包；b)端口扫描器：端口扫描器远程扫描系统中开放的端口；c)漏洞扫描器：漏洞扫描器用来寻找本地或是远程系统上的漏洞；d)密码破解器：使用密码破解器破解操作系统和应用程序密码。8．1．6．2主要防范措施应安装标准的防火墙并具备以下功能：a)基于状态检测的分组过滤；b)多级的立体访问控制机制；c)内置一定的入侵检测功能或能与入侵检测设备联动；d)一次性口令认证机制。8．2应用层风险与防范措施8．2．1应用系统功能风险与防范措施8．2．1．1主要风险来源包括DNs服务器的风险、pmail服务器的风险、web服务器的风险等。8．2．1．2主要防范措施主要防范措旋包括DNs服务器安全性增强方案、E—mail服务器安全性增强方案和web服务器安全性增强方案。a)DNs服务器安全性增强方案包括：1)限制域传输；2)设置堆栈不可执行；3)配置主备服务器间认证；4)修改版本信息；5)防止DNS欺骗；6)禁止转发查询；7)设置A110wQuefy；8)设置重试查询次数。b)E．mail服务器安全性增强方案包括：1)邮件系统自身安全；2)邮件加密与签名；3)邮件系统配置安全；4)执行邮件安全配置；5)邮件覆盖问题；6)远程命令执行配置；7)POP3及IMAP服务安全配置。c)web服务器安全性增强方案包括：1)Web服务器自身安全；2)web服务器参数配置；3)Web服务器权限配置；4)Web服务器配置安全；】7 GB／T26318—20105)网络信息加密配置；6)web应用代码审计。8．2．2应用系统自身风险与防范措施8．2．2．1主要风险来源攻击者熟悉系统的网络结构和系统应用模式，采取的针对性攻击。这类攻击主要来源于企业内部，包括通过授权使用应用系统的员工、开发和维护这些应用系统的员工以及开发商等。如：a)非法用户获取应用系统的合法用户账号和口令，访问应用系统；b)用户通过系统的合法用户账号，利用系统的BuG，获取其授权范围以外的信息；c)攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户账号、非公开的系统访问途径等)，访问应用服务器或数据库服务器；d)在数据传输过程中，通过窃听等方式获取数据包，通过分析、整合，获取企业的机密信息。8．2．2．2主要防范措施主要防范措施是加强身份认证(PKI)技术，主要包括：a)确认发送方的身份；b)保证发送方所发信息的机密性；c)保证发送方所发信息不被篡改；d)发送方无法否认已发该信息的事实；e)加强文件传输保密性，不定期更换传输方式。8．2．3网络病毒攻击风险与防范措施8．2．3．1主要风险来源网络存在的各种类型的病毒，这些病毒会攻击应用系统和各个服务器。8．2．3．2主要防范措施主要防范措施包括：a)能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成；b)防病毒客户端安装在系统的关键主机中，如关键服务器、工作站和网管终端；c)在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略；d)能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。8．3系统层风险评估与防范措施8．3．1操作系统自身风险与防范措施8．3．1．1主要风险来源企业采用的各种操作系统都有一定的漏洞和缺陷，使得系统成为黑客攻击的目标。8．3．1．2主要防范措施a)数据库服务器安全应采用服务器版本的操作系统，数据库服务器安全内容包括1)自主访问控制(DAc)：DAc用来决定用户是否有权访问数据库对象；18 2)验证：保证只有授权的合法用户才能注册和访问；3)授权：对不同的用户访问数据库授予不同的权限；4)审计：监视各用户对数据库施加的动作；5)数据库管理系统应提供与安全相关事件的审计能力；6)系统应提供在数据库级和记录级标识数据库信息的能力；7)网管终端、办公终端可采用通用图形窗VI操作系统。b)系统定期功能具有全面、智能化检测。c)管理员应及时跟踪、安装操作系统漏洞补丁。8．3．2入侵感染风险与防范措施8．3．2．1主要风险来源包括文件感染，引导区感染，混合体感染，内存感染等。8．3．2．2主要防范措施主要防范措施包括：a)管理人员应随时留意系统文件变化，对可疑系统变化进行原因查找b)及时更新杀毒软件，进行内存、引导区、硬盘杀毒；c)对感染的文件或区段，应及时隔离和杀毒。8．3．3系统认证风险与防范措施8．3．3．1主要风险来源主要风险包括：a)口令强度不够；b)过期账号；c)登录攻击。8．3．3．2主要防范措施主要防范措施包括：a)身份认证、授权和权限分布管理制度的制定；b)账号设定制度的建立；c)完善账号的认证制度；d)可疑IP端口的认证管理。8．3．4系统授权风险与防范措施8．3．4．1主要风险来源主要风险包括：a)账号权限；b)登录时间超时。8．3．4．2主要防范措施主要防范措施包括：GB／T26318～2010 GB／T26318—2010a)完善账号授权制度；b)不同IP端口的登陆授权时长限制c)可疑IP端口的授权管理。9管理风险与防范措施9．1制度风险与防范措施9．1．1主要风险来源9．1．1．1安全制度不健全。9．1．1．2安全操作原则未建立。9．1．1．3岗位职责不明。9．1．1．4操作规章不明确。9．1．1．5操作流程不合理。9．1．1．6监督作用未发挥。9．1．1．7审计不力。9．1．1．8评估考核体系和奖惩制度不合理。9．1．1．9从业人员职业资格未达到要求。9．1．2主要防范措施9．1．2．1确立风险防范的目标风险防范的目标包括：a)保护网络系统的可用性；b)保护系统服务的连续性；c)防范网络资源的非法访问及非授权访问；d)防范入侵者的恶意攻击与破坏；e)保护信息在存储、处理、传输等过程环节上的机密性、完整性f)防范病毒的侵害；g)实现网络的安全管理。9．1．2．2制定安全管理要求安全管理要求包括：a)设立安全管理机构，保证系统安全管理的正确性和有效性；b)建立健全各项规章制度；c)制定、执行总体安全策略，要有完整安全策略的覆盖范围，既要符合现实业务状态，又要满足业务发展要求；d)确定负责安全策略制定及实施的人员与组织结构，人员组织中的每个角色和职责分配合理、明确，保证既定的信息安全策略的执行，不允许违反安全策略的行为存在；e)确定人员组织中具有要保护的关键数据的实体；f)制定系统设施、配置的计划、安装、运行和安全操作规程；g)实施全面质量管理，保证安全管理在生命周期中的贯穿实施；h)按风险管理计划和使用规范的操作规程，确定安全风险量化和估价方法，分析施加在业务资产上的威胁，评估和确定与每个威胁相关联的风险和影响。风险评估应包括但不仅限以下内容：20 GB／T26318—20101)对安全策略、操作规程、规章制度和安全措施的程序化、周期化的评估；2)系统安全性的定期和不定期评估；3)对关键系统资源的定期风险分析和评估；4)对关键控制措施的失效风险测试和评估；5)对明显的风险变化进行及时风险评估；6)对所有变更的安全评估；7)对安全事件记录进行例行评估；8)对网络连接、网络安全措施、网络设备进行定期评估；9)与外部网络接口的安全边界确定并进行定期的评估；10)对全面安全事务一致性的检查和评估。建立风险管理质量管理体系文件；信息系统生命周期各阶段的安全管理工作有明确的目标、明确的职责，并对信息系统生命周期管理建立质量控制体系文件；针对所有计划和制度执行情况的定期或不定期监督、检查；建立和执行对设备、操作系统、数据库、应用系统、人员、服务、内外风险等变更控制制度，保证变更后的信息系统能满足既定的安全目标；定期或不定期对所有计划和制度执行情况进行监督检查，并对安全策略和管理计划进行修订；针对所有变更的安全评估和应对措施的建立和执行；基于变更带来的各种规章制度的修订和完善；列出支持业务操作的应用程序，并对其规划、设计、行动、改进、优化、监督、检查等各个环节进行有效控制。9．1．2．3制定安全审计制度安全审计制度包括：a)健全内部审计机构；b)加强内部审计监督；c)保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件；d)内部审计人员应当具备内审人员从业资格，拥有与工作职责相匹配的道德操守和专业胜任能力；e)内部审计机构依照法律规定和企业授权开展审计监督，其工作范围不应受到人为限制；f)安全审计的内容应包括但不仅限于以下内容：1)对风险管理过程的审计；2)对安全措施落实情况的审计；3)对网络使用情况的审计；4)对系统安全的自动监视和审计；5)对操作系统配置、使用情况的审计；6)对系统工具使用情况的审计；7)操作系统管理过程的可审计性保证；8)对系统生命周期管理的审计；9)信息访问控制机制的安装、授权和审计：10)针对用户访问情况的审计和检查；11)针对标记信息访问的授权和审计；12)建立外部访问接人点的审计制度；21DpbD GB，T26318—2Q1Q13)制定应用软件安全管理和授权管理制度，未获明确验证的软件不得装入运行的操作系统，并对应用软件的使用进行审计；14)周期更短的安全审计和检查；15)网络安全事件、事故报告制度，及相应可审计性的保证；16)对应急计划和灾难恢复计划的审计。9．1．2．4管理文档运行过程中，应建立管理文档并做好记录。9．1．2．5制定全面的应急计划和灾难恢复计划管理制定全面的应急计划和灾难恢复计划管理应包括：a)制定全面的应急计划和灾难恢复计划管理细则，以及相应的实施规程，进行必要验证和实际测试；b)要求有专人负责应急计划和灾难恢复计划的管理工作，保证应急计划和灾难恢复计划重点突出、有效执行；c)对应急计划涉及的人员进行培训，达到具备执行应急计划的能力；d)对需借助外部资源的应急计划，要与有关各方签署正式合同，合同中应规定服务质量，并包括安全责任和保密条款；e)制定系统的信息和文档的备份制度，对关键设备和数据应采取可靠的备份措施；f)指定专人负责备份管理，保证自动备份和人工备份的准确性、可用性。9．1．2．6访问控制管理应在以下方面加强访问控制管理：a)建立访问控制安全管理制度；b)制定连接资源授权制度；c)对从内部网络向外发起的连接的资源进行控制；d)对外部访问接入点进行控制；e)建立第三方访问的安全管理制度，对第三方访问进行监视、风险分析、安全评估和控制；f)建立和实施对非授权访问和违规操作的调查、取证和惩罚制度}g)与外部服务方签署不违背总的安全策略的安全保密合同。9．2安全意识教育和培训风险与防范措施9．2．1主要风险来源9．2．1．1安全意识淡薄。9．2．1．2各部门合作乏力，配合不畅。9．2．1．3培训内容不合理。9．2．1．4教育方式不得当。9．2．2主要防范措施提高人员的安全意识，树立安全观念。针对不同层次、不同岗位、不同等级的需要，制定合理的教育和培训计划。计划制定和实施可遵循以下过程：a)需求分析：复查信息安全策略及程序，根据人员的安全意识和技能状况，确定教育和培训的目22 GB／T26318—2010标受众。b)制定程序：根据需求分析的结果，制定不同的教育和培训程序，以确定教育和培训的计划、组织、实施、方法、主题、资料等内容。c)获取支持：要进行有效的安全培训和教育，应取得全体人员的支持，使其能够有效地完成任务并承担责任。d)合格师资：指定合格的培训教师。e)组织和实施：按教育和培训程序进行安全意识教育和技能培训。f)维护程序：根据实际情况，应对教育和培训程序进行更新。g)监督检查：通过定期绩效考核或其他方式，监督检查所有人员对信息安全策略和操作规程的认知程度。h)安全意识成为所有人员的自觉存在。 GB／T26318—2010模型要求参考文献[1]GB17859计算机信息系统安全保护等级划分准则[2]17900网络代理服务器的安全技术要求[3]GB／T17901．1信息技术安全技术密钥管理第1部分：框架[4]GB／T17902．1信息技术安全技术带附录的数字签名第1部分：概述[5]GB／T17903．1信息技术安全技术抗抵赖第l部分：概述[6]17963信息技术开放系统互连网络层安全协议[7]GB／T18336．1信息技术安全技术信息技术安全性评估准则第1部分：简介和一般[8]GB／T18336．2信息技术安全技术信息技术安全性评估准则第2部分：安全功能[9]GB／T18336．3信息技术安全技术信息技术安全性评估准则第3部分：安全保证20008信息安全技术操作系统安全评估准则20009信息安全技术数据库管理系统安全评估准则20010信息安全技术包过滤防火墙评估准则20011信息安全技术路由器安全评估准则GA370端设备隔离部件安全技术要求GA／T387计算机信息系统安全等级保护网络技术要求GA／T404信息技术网络安全漏洞扫描产品技术要求GA／T483计算机信息系统安全等级保护工程管理要求Yz／z003l邮政储蓄计算机网络系统安全保密技术体制YD／T1163IP网络安全技术要求——安全框架YDN126增值电信业务网络信息安全保障基本要求l呈__三I【兰!_l兰_l兰_l兰lml兰lml兰ll墨J'