物流网络信息系统风险与防范

物流网络信息系统风险与防范

国家标准 GB/T26318一2010 物流网络信息系统风险与防范 Logistiesnetworkinformationsystemsriskandprevention 2011-01-14发布 2011-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T26318一2010 目 次 前言 引言 范围 规范性引用文件 术语和定义 物流网络信息系统技术原则和风险分类 物流基础数据风险与防范措施 实体风险与防范措施 硬件风险与防范措施 12 软件风险与防范措施 14 管理风险与防范措施 20 24 参考文献
GB/T26318一2010 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由商务部提出并归口 本标准起草单位;浙江双马国际货运有限公司、深圳市联合纵横国际货运代理有限公司新景程国 际物流有限公司、国际电子商务有限公司、全国国际货运代理标准化技术委员会、中外运长航集团 有限公司、海运(集团)总公司、中钢集团公司、锦程物流(集团)公司、北京交通大学、中钢国际 货运有限公司、上海宝霖国际危险品物流有限公司、福建金航国际货运代理有限公司厦门分公司、上海 港虹信息科技有限公司,厦门通程物流有限公司内蒙古安快物流集团、新时代保险经纪有限公司、新班 德鲁亚国际物流有限公司、新疆托木尔货运代理有眼责任公司 本标准主要起草人;林忠、王喜富、蒋寒松、胡荣、杨爽、陈峥、冯建萍、杨旭、景洪德、张海峰、陈智勇、 李莉丽 m
GB/T26318一2010 引 言 本标准通过对物流信息资产,面临的威胁、资产存在的脆弱性以及脆弱性被威胁利用后所产生的实 际负面影响等进行识别、分析,从而得到资产威胁和脆弱性相映射的资产价值、威胁等级和薄弱点等级 等,转化成以提示的形式给出了物流基础数据风险,实体风险,硬件风险、软件风险和管理风险五个方面 的主要风险来源和相应的防范措施,以对付威胁、减少脆弱性、限制意外事件影响,实现以下一种或多种 功能;预防、延迟、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化 当前,由于我国中,小物流企业占多数,而企业规模,服务水平、人员素质、地域等差异不一,导致企 业在信息化建设和技术运用与其实际的经营规模,业务范围,流程和管理之间发展不平衡,制约了企业 和行业的信息化的发展,加大了企业的运营风险 本标准旨在提高中、小物流企业的物流网络信息风险 防范的能力
GB/I26318一2010 物流网络信息系统风险与防范 范围 本标准规定了物流网络信息系统的风险评估,安全防范措施和安全管理要求 本标准适用于我国物流企业对信息系统或物流信息系统公共服务平台进行规范与管理,并可作为 相关机构对物流网络信息系统进行安全评价的依据 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984一2007信息安全技术信息安全风险评估规范 术语和定义 下列术语和定义适用于本文件 3.1 资产asse 对组织具有价值的信息或资源,是安全策略保护的对象 [GB/T20984一2007,定义3.1] 资产价值asetvalue 资产的重要程度或敏感程度的表征 资产价值是资产的属性,也是进行资产识别的主要内容 [GB/T20984一2007,定义3.2] 3.3 threat 威胁 可能导致对系统或组织危害的不希望事故潜在起因 [GB/T20984一2007,定义3.17刀 3 薄弱点 vulnerability 资产或资产组中能被威胁利用的弱点 3.5 风险risk 特定的威胁利用资产的一种或一组薄弱点,导致资产的损害的潜在的可能性,即特定威胁事件发生 的可能性与后果的结合 3.6 信息系统的风险intmatiwnsystemrisk 特定的威胁利用信息资产的漏洞或弱点从而造成对资产的一种潜在损害,包括信息资产,威胁和自 身的漏洞或弱点三个组成部分 注信息系统风险的严重程度可用资产受损害的程度与威胁发生的概率的乘积来衡量
GB/T26318一2010 物流网络信息系统logtsticsnetworkinformationsystem 以计算机技术和通信技术结合为基础,通过对物流相关信息的收集、加工、处理、存储和传递来达到 对物流活动的有效控制管理,并为企业提供信息分析和决策支持的人机系统 风险评估riskassessment 对信息和信息处理设施的威胁(threat)、影响(impact)和薄弱点(vulnerability)及三者发生的可能 性的评估 注:风险评估是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞 进行逐项检查目标可以是工作站、服务器、交换机、数据库应用等各种对象),然后根据扫描结果向系统管理员 提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据 3.9 风险管理riskmanagement 以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程 风险管理是一个识 别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适 当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平 在风险管 理方面应考虑控制费用与风险之间的平衡 物流网络信息系统技术原则和风险分类 物流网络信息系统示例 物流网络信息系统是物流实体网络的重要支撑,伴随物流基础设施网络,实体服务网络而相应收 集,加工,处理,存储和传递有关用户需求信息、市场动态、物流服务、企业内部业务处理情况等各类信 息,有效地管理物流服务的各个环节,能够提供诸如结算功能、实时的客户查询功能以及各种接口模块 等,并为企业提供信息分析和决策支持 由于物流基础设施网络,实体服务网络、服务技术、服务范围、 服务层次,服务程度,服务区域等的不同,物流网络信息系统也因此根据不同企业的需求,以有不同层 次、不同程度的应用和不同子系统构成,诸如以下示例中不同功能的系统有着不同的构成 示例1;跨境、跨区域贸易物流商务协同平台,对贸易物流流程中需要进行交换的数据进行整理、分析和归类,增强 各类数据的继承性,最大程度降低手工数据填写工作,提高信息交换的效率和准确性,并实现与生产方,采购方,物流服 务提供方,承运人、港口、海关、检验检疫等业务平台的数据交互,见图1 电子贸易 区域国际 区域国际 金融综合 贸易商务 贸易电子 化物流应用 协调应用 服务应用 电子单证格式转换传输 电子贸易流程 电子贸易规则 电子单证制作 跨境稍用交互 跨境安全认证 安全审计与证揪保全 基于soA架构 基于对等网络 异构数据互操 的服务协同 可信安全认证 作与信息集成 图1跨境、跨区域贸易物流商务协同平台
GB/T26318一2010 示例2;综合管理应用平台,为货主,承运人、物流服务提供方提供货物运输的执行,监控,追踪功能,是支持多网点、 多机构、多功能作业的综合管理物流网络信息系统,见图2. 航线平台 运价平台 l行政管理辅助平台 单证平台 综合管理应用平台 服务平台 保段平台 GPs平台 结算支付早台 图2综合管理应用平台 示例3;航线运价平台,从多方面、多角度、多形式地提供起运港、目的港,承运人、航线、箱型/数量,运价整合的物流 网络信息的子系统,见图3 空运了平台 海运子平台 项目运输子平台 公路运输子平台 航线运价平台 仓储配送速递 简易平台 冷版冻 子平台 铁路运输子平台 危险品运输 多式联运子平台 子平台 图3航线运价平台
GB/T26318一2010 示例4,单证管理平台,对整个贸易物流环节中所涉及到单证进行综合管理及信息化处理的物流网络信息子系统 见图4 报关报检平台 合同管理平台 单证管理平台 贸易单证平台 运输单证平台 图4单证管理平台 示例5保险管理平台,涵盖承运人责任保险、物流责任保险、货运代理责任保险,提单责任保险辅以货物运输保险、 财产保险的物流网络信息子系统,见图5 承运人责任保险平台 财产保险平台 保险管理平台 货物保险平台 货运代理责任保险平台 图5保险管理平台
GB/T26318一2010 示例6;结算支付管理平台,缩短资金在途时间及简化支付文件的处理及提供融资担保的物流网络信息子系统,见 图6 融资担保平台 账单管理平台 结算支付管理平台 发票管理平台 电子支付平台 图6结算支付管理平台 示例7;GPs管理平台,将多品牌,多技术,多标准的GPs设备及系统进行充分集成并应用于运输工具及货物的 站式跟踪定位的物流网络信息子系统,见图7 货物跟踪平台 定位管理平台 GPs管理平台 地理信息平台 集成管理平台 图7GPs管理平台
GB/T26318一2010 示例8;服务管理平台,对电话、传真、短信等进行管理的物流网络信息子系统,见图8. 传真平台 电话平台 短信管理平台 web平台 服务管理平台 邮件管理平台 即时通讯平台 图8服务管理平台 示例9,行政管理辅助平台,处理单证签发、认证、查询传递、单证签发方资格确认等的物流网络信息子系统,见图9. 货运代理业务备案 企业代码平台 管理平台 行政管理辅助平台 单证备案管理平台 单证认证平台 图9行政管理辅助平台 示例10:库存信息系统,利用收集到的物流信息,制定出最优库存方式、库存量、库存品种以及安全防范措施等 示例11配送信息系统,将商品按配送方向.品类,制定科学、合理、经济的运输工具调配计划和配送路线等 示例12;订单处理系统,i订单准备,订单录人.订单传输、订单履行、订单状况报告等订单流程处理的物流网络信息 子系统
GB/T26318一2010 4.2技术原则 4.2.1先进性 物流业务涉及跨区域跨境)业务协同,流程协同、管理协同,系统宜采用国际先进的网络技术模式 和软件体系结构,使系统具有一定的前瞻性,支持系统可持续发展的需要 4.2.2 实用性 物流业务涉及的业务范围广,应结合企业的个性化服务需要,在实用性系统设计过程中应考虑与原 有的业务应用系统之间无缝、平滑接人 4.2.3可靠性 物流业务具有多元化的特点,业务环节多,流程复杂,服务链长,系统应具备可靠性和容错性,能不 间断和有足够的延时来处理突发事件 4.2.4安全性 物流业务涉及单证制作,递交,审核,流转交换;货权转移;货币结算等,应构建完整的安全体系,包 括安全基础设施以及传输安全、网络安全、数据安全、信息安全,应用安全以及系统安全 系统在安全等 级,交叉验证,CA认证系统、网络安全等各个环节应采取有力的安全保证措施 4.2.5标准规范性 物流业务涉及多个参与方,系统建设应符合一定的规范要求,以达到互联互通，统一管理的目的 4.2.6扩展性 随着现代物流业务的日益发展,系统应满足长期,可持续发展的需要,具有良好的扩展性,适应未来 信息量与业务量增长的需要 系统应为各业务系统及整体应用系统的接人预留接口,以增强系统的弹 性、通用性与可替换性 4.3风险分类 4.3.1物流基础数据风险 数据的收集和输人、信息的存储、信息的传输、信息的处理和信息输出过程中,如因不及时、不真实、 不准确、丢失、外泄等引发的风险 4.3.2实体风险 包括参与方的风险、未经授权的操作风险或人为地对设施、设备进行攻击和破坏等 4.3.3硬件风险 由于计算机及网络设备因各种突发灾害或因运行环境或因硬件本身及相关元器件的技术缺陷、故 障导致系统不能正常工作而带来的风险;物流信息技术运用或系统配置不当或使用未经授权或不符合 标准的设备引发的风险等 4.3.4软件风险 网络层,应用层,系统层的风险以及由于各种程序开发、使用过程中包含的潜在错误导致系统不能
GB/T26318一2010 正常工作而带来的风险 4.3.5管理风险 由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而带来的风险,主要分为技 术管理风险和组织管理风险 技术管理包括物理和环境安全,通信与操作管理,访问控制,系统开发与 维护等 组织管理包括安全策略、组织安全、资产分类与控制,人员安全等 物流基础数据风险与防范措施 5 数据的收集和输入风险与防范措施 5.1.1主要风险来源 5.1.1.1物流业务所需要的数据类型繁多,来源复杂,发生、处理地点和扩散范围各不相同,使得物流 信息的采集,分类、统计、分析的难度加大 5.1.1.2大量新信息不断更新原有的信息 5.1.1.3初始静态数据和业务输人数据,业务输出数据不完全或不正确 1.1.4基础数据采集的技术实现手段差异大,且未完全实现自动化,尚需依靠人工录人 5 5.1.1.5物流客体在物流信息系统中的逻辑位置或状态表达存在二义性,无法根除 由于物流客体编 码、数据格式、数据采集技术不统一而导致物流数据采集,共享和交换难于进行 5.1.2主要防范措施 5.1.2.1信息收集是保证整个物流网络信息系统得以进行的基础和前提,直接关系到整个物流过程管 理的质量 为了保证所获取的信息的质量,应遵循以下原则 准确性原则 对收集到的信息应反复核实,校验,力求把误差减少到最低限度,确保所收集到 的信息真实可靠， 全面性原则 要求做到所搜集到的信息要广泛,全面完整 b 时效性原则 物流信息动态性强,信息价值衰减和更新快,应保证信息采集的及时性和信息加 工处理的快速性 在数据输人前做好合理的人员分组和组内分工 55 .2. .3 加强数据格式设计与数据输人人员或部门之间的沟通与协调 简化作业流程,提升员工的操作技能水平,提高了数据输人的效率与效果,保证数据的完整 -致 5.1.2.5保证收集到的数据本身的准确性,没有遗漏、重复、过时,失实 a)定义关键的数据元素,如物料代码、项目类型和损耗率等 b)在数据输人系统前,将系统的信息需求与信息使用者的需求进行核对 定义系统的全部信息和信息来源,识别关键信息与非关键信息 c d)对经常变化的数据,保证系统能实时反映其变化情况,并应定期检查,如有必要应及时修改 设立合理的数据输人的逻辑顺序 5.1.2.6依照公共标准.设置了合理的、准确的代码体系和数据格式,保证数据输人格式的准确性 选择合适的数据格式转换程序,既保证数据录人的效率又保证数据格式的正确性 5.1.2.8保证数据关系安全性
GB/T26318一2010 5.2信息的存储风险与防范措施 5.2.1主要风险来源 数据整理不当,数据的丢失,外泄,失真 5.2.2主要防范措施 存储功能保证已得到的物流信息不丢失、不走样,不外泄,整理得当适时可用 应考虑信息存储量、存储方式,存储时间信息格式,使用方式、安全保密等因素 2 5.2.2. 5.3信息的传输风险与防范措施 主要风险来源 数据传输方式不统- 5.3.1.2数据传输不及时 5.3.1.3数据传输不准确 主要防范措施 5.3.2 传输格式要符合公共标准 5.3.2.1 5.3.2.2要充分考虑物流信息传输的时效性 5.3.2.3要充分考虑所要传递的信息种类,数量,频率,可靠性要求等因索 5.4信息的处理风险与防范措施 5.4.1主要风险来源 5.4.1.1信息处理技术 5. 4.1.2信息处理时效 .4.1.3信息处理不当 5. 5.4.2主要防范措施 5. .4.2.1统一源数据,如字段的同名异义、异名同义、单位不统一、字长不一致等 5. .4.2.2进行有效数据综合和计算,避免因程序逻辑错误,计算错误,处理非法数据,重复输人等造成 信息处理错误 5. .4.2.3采取各种技术手段,对处理数据的准确性进行校验 .2.4准确捕获由于数据的插人、修改等操作而引发的数据改变 5. 又 5. .2.5确保经过综合,重构,筛选、重新格式化等操作,生成同样的,能有效支持决策分析的分析型 数据 5 55 物流信息输出风险与防范措施 5.5.1主要风险来源 输出信息与输人信息不一致,出现差异、,失真;信息输出缺乏时效性;输出的对象错误,格式不符等 5.5.2主要防范措施 5.5.2.1加强对输出信息的内容、格式和传送过程的控制,确保输出信息的正确性、可靠性、及时性和
GB/T26318一2010 保密性 5.5.2.2输出信息的结构与格式,易读易懂,直观醒目 确保输出信息的接触者是经过授权的人员 5.5.2. 3 实体风险与防范措施 参与方的风险与防范措施 .1.1主要风险来源 6. 6 1.1.1在物流服务过程中,随着参与方增多,对其掌控、管理、协调的难度和风险增大 6 信息不对称引起的信用风险;参与方越权对物流数据进行处理,访问、修改等 6 参与方的误操作,导致数据丢失,被破坏 非法占用网络资源,切断或阻断网络通讯,使信息无法传递 6 1.5参与方管理不善,造成信息丢失、损坏或泄密等 6 6.1.1.信息错误、丢失、外泄的风险 6 信息缺乏准确性,及时性和可靠性 6.1.1.8多环节、多通道容易发生一些突发事件 6.1.2主要防范措施 加强协调、监管,保证信息的准确性,及时性、可靠性、实时性和有效性 6.1.2.1 6 .1.2. 2 在最大范围内实现信息资源的共享,管理与监督,防止客户信息、核心技术,商业机密等泄露 6. 1.2.3保证参与各方在信息共享的同时做到相互保密,避免因泄露对方的商业机密而承担相应的法 律责任 6.1.2.4可预先制定应变措施,制定应对突发事件的工作流程 1.2.5将参与各方的目标融为一个整体,建立相互信任、良好沟通、协调一致的合作机制 6. 6.1.2.6建立有效的绩效评价考核体系和冲突处理机制,对预见性的潜在问题进行分析,及时化解 矛盾 6.1.2.7签订具有约束力的合作协议 6.2工作人员的风险与防范措施 6.2.1主要风险来源 工作人员的可靠性不足 6.2.1.1 工作人员的恶意破坏 6. 2. 1. 3 工作人员的失职 6.2.1.4工作人员缺乏责任心 6.2.1.5工作人员缺乏培训,专业技能不足 6.2.1.6关键操作监控和责任制度的不完善 .2.1.7管理权限模糊和系统操作人员责任不明确 6 6.2.1.8超越权限访问网络资源 滥用自己的职权,做出破坏信息系统的行为 6.2.1.9 6.2.1.10人事管理上的漏洞 10o
GB/T26318一2010 6.2.2主要防范措施 6.2.2.1建立岗位责任制度和授权制度,要求对关键岗位的人员实施严格的背景调查和管理控制,切 实落实最小特权原则和分权制衡原则,关键安全事务要求双人共管 6.2.2.2确定人员的资质标准、考核和评估制度 6.2.2.3所有人员对管理规定和要求的充分理解和有效执行 确定人员背景的调查程序 所涉及的工作人员,应签署保密协议 建立和实施用户管理制度 建立操作系统变更控制制度 签署针对用户的授权和安全协议 建立和实施针对用户访问情况的审计和检查制度 建立和实施针对非授权访问的违规操作的调查、取证和惩罚制度 建立和实施针对离岗人员可能威胁的评估制度和防范措施 与关键管理人员签订安全责任书 6.2.2.12 内部用户未经授权的操作风险与防范措施 6.3.1主要风险来源 6.3.1.1安全保卫意思淡薄,缺乏保密意识 6.3.1.2包括以前的员工故意破坏的行为,或者目前现有员工故意或疏忽而破坏服务设备或信息设备 的行为 6.3.1.3机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险 6.3.2主要防范措施 6.3.2.1机房设计,防护装置达到规定标准 6.3.2.2实施物理安全区域管理 6. 3.2. 3 建立物理安全规章制度 6.3.2.4建立系统关键物理设施登记制度 6. 3. .2.5建立出人人员授权书制度 6.3.2.6加强设备接触人员的认证管理 .3.2.7应用系统开发人员与审计工作的隔离,操作系统管理人员与应用系统安全管理工作的隔离 6. 6. 3. .2.8实施安全区域标记管理和安全区域隔离管理 .2.g加强安全保卫措施,对安全区域活动实施实时监控 6. 3. 3.2.10物理安全保障的持续改善 o 关键操作的风险与防范措施 6.4.1主要风险来源 关键操作监控和关键操作责任制度的不完善 6.4.2主要防范措施 6.4.2.1对用户在关键操作系统上的使用情况进行登记和监视 6.4.2.2建立责任明确的人员管理制度 11
GB/T26318一2010 6.4.2.3签订与关键管理人员约定的安全责任书 6.5物理盗窃风险与防范措施 6.5.1主要风险来源 主要风险来源包括物理硬件/软件被盗、被毁造成数据丢失或信息泄露 6.5.2主要防范措施 6.5.2.1完善门禁控制系统,防止内部失窃 6.5.2. 2 加强设备周边环境安全控制,防止外部盗窃 6.5.2.3设备自身安全防护,例如,加锁,报警设备等 硬件风险与防范措施 物理和环境风险与防范措施 主要风险来源 7.1.1.1由于不可抗力,如火灾,水灾,地震、雷击等突发性自然灾害引发事故造成的损失 7.1.1.2由于断电、电磁干扰、静电、灰尘、潮湿、温度、鼠蚁虫害等引发事故造成的损失 由于设备本身及元部件的短路、断线、接触不良、老化、超期服役或人为减少运行寿命带来的 风险 7.1.2主要防范措施 7.1.2.1加强基础设施和运行环境的建设,在设计,安装上应达到国家规定的计算机执行安全运行环 境的有关标准 如计算机房环境应干净、整洁,装置必要的电磁屏蔽设施,保持特定的温度和湿度,采取 防静电、防尘防雷、防电磁辐射、防鼠和防水措施;采用UPs不间断电源供电;供电、通信线路的布线、 连接要符合规范要求 7.1.2.2建立健全安全管理内控制度,杜绝内部安全隐患 1.2.3安排专人负责应急计划和实施灾难恢复计划的管理工作 制定应急计划和灾难恢复计划全面管理细则 1.2.5 制定灾难恢复及事故处理、紧急响应策略及相应的定期测试 对不同等级的应用系统,制定不同的备份计划和应急计划 实施应急计划和灾难恢复计划的独立审计 对应急计划和灾难恢复计划进行定期评估和持续评估 7.1.2.9制定系统信息和文档备份制度,对不同的信息等级,制定不同备份策略 制定对备份信息介质的标记制度 7.2物流信息技术运用的风险与防范措施 7.2.1主要风险来源 7.2.1.1设备或硬件选配不当或选配的质量低劣、功能欠缺、性能落后、工作不稳定、配合不当等,导致 其功能发挥不充分,软件无法运行或运行不稳定,制约网络运行和数据传输的速度甚至造成部分或全部 数据的丢失或出错 7.2.1.2网络的传输介质或其他介质可能存在缺陷 12
GB/I26318一2010 7.2.1.3设备或硬件安装不规范、线路不畅通、接触不良等 7.2.1.4设备或硬件的工作环境达不到要求 7.2.1.5数据传输格式、频率等的技术规范未达到要求 7.2.2主要防范措施 7.2.2.1数据(信息)集成能保证系统中每个部分,在运行的每个阶段,将正确的数据信息),在正确的 时间、正确的地点,以正确的方式,传送给需要该数据(信息)的人,实现不同系统的数据交换与共享 7.2.2.2应用系统集成要实现不同系统之间,各种分立的设备、单元技术的互操作,实现不同应用系统 之间数据和方法的共享 7.2.2.3业务流程集成能在完成数据集成的基础上,使在不同应用系统中的流程能进行无缝连接,实 现业务流程之间的协调运作和流程信息的充分共享 对业务过程进行集成时,应在各种业务系统中定义.授权和管理各种业务信息的交换,以改进 7.2.2.4 操作,提高响应速度 7.2.2.5按国际惯例和国家标准规范进行物流标准化改造,在每个环节中实行统一的技术标准和技术 管理标准 7.2.2.6使有关联的软件与技术功能能互相发出对方能理解的指令,激活相应的功能,共享或修改公 共数据和信息 7.2.2.7数据定义和格式应符合标准要求 7.2.2.8保证信息通过接口后能被识别和认同 7.2.2.9对不同企业、不同地区,不同行业的技术标准,运作规范、管理制度等进行无缝化连接,保证物 流运作机制的畅通 7.2.2.10选择符合要求、合格的设备 7.3系统配置风险与防范措施 7.3.1主要风险来源 管理人员对系统配置不当造成的风险 7.3.2主要防范措施 7.3.2.1建立对系统工具标记的管理制度 7.3.2.2针对系统内置角色,操作系统安全管理人员,分别配制权限 7.4未经授权或不符合标准的设备风险与防范措施 4.1主要风险来源 7. 7.4.1.1未经授权的设备;试图连接到网络上的设备未被认可或授权,包括未经授权的设备或用户,也 包括授权的用户错误地把无线接人点连接到网络中,使得设备能够通过该连接点进人网络,其可能会引 起潜在的安全漏洞 7.4.1.2不符合标准的设备(如配置错误的系统;系统没有使用厂商最新发布的安全修复程序或相应 的防病毒文件进行升级 7.4.2主要防范措施 7.4.2.1物理隔断;可信网和不可信网要物理隔断,使可信网络上的计算机不能访问不可信网络 7.4.2.2可选择数据交换:;两个网络能够有选择地交换数据 13
GB/T26318一2010 7.4.2.3在隔离区(DMZ)进行内容检测;所有交换数据在允许通过之前在一个独立的隔离区(DMZ) 进行检测 7.4.2.4及时更新设备的安全防护文件,调整相关设置 7.5基础设备风险与防范措施 7.5.1主要风险来源 软硬件可靠性和稳定性,包括电源的稳定性、端口的可用性、网络的可用性等 7.5.2主要防范措施 7.5.2.1制定设施、设备的配置计划、安装、运行、操作流程 7.5.2.2加强设备的日常维护保养 7.5.2. 3 强化定期例行检查及记录制度 7.5.2.4配备足够的备用电源,线路等设备 7.6电磁安全风险与防范措施 7.6.1主要风险来源 包括利用侦听技术以及不断增强的计算机处理能力导致的电磁波被人窃听 7.6.2主要防范措施 7.6.2.1防电磁信息辐射泄漏技术 7.6.2.2防止线路截获 7.6.2.3抗电磁干扰技术 7.7终端安全风险与防范措施 7.7.1主要风险来源 因为典型的多业务终端是一个计算机,与传统的专用傻终端,例如电话相比,智能终端故障率以及 配置难度都大大提高 7.7.2主要防范措施 7.7.2.1终端机性能的检测与评价 7.7.2. .2 终端机的日常维护与检测 7.7.2. 3 终端机故障保修系统的建立 软件风险与防范措施 8. 1 网络层风险与防范措施 8.1.1黑客攻击风险与防范措施 8.1.1.1 主要风险来源 主要风险包括 IP欺骗类攻击; a 1
GB/T26318一2010 IP重放或重演类攻击 b 拒绝服务攻击和分布式拒绝服务攻击; d)人侵者寻找防火墙背后可能敞开的后门; 人侵者在防火墙内 f 利用防火墙不能提供实时的人侵检测; 利用企业自身保护措施不完善 g 8.1.1.2 主要防范措施 应建立完善的安全网络人侵检测系统,并具有以下功能 在网络环境下实现实时,分布,协同的人侵检测 全面检测可能的人侵行为,及时识别各种黑 a 客攻击行为;发现攻击时,应阻断、弱化攻击行为,并能详细记录、生成人侵检测报告,及时向管 理员报警 进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描 b 支持大规模并行检测,可对大型网络同时执行多个检测 c) d)所采用的人侵检测产品和技术不会被绕过或旁路 检测和扫描行为不影响正常的网络连接服务和网络的效率 e f 检测的特征库应全面及时更新 g)设定完整的安全检测策略,根据不同需求选择相应的检测策略;对检测强度和风险程度进行分 级管理 h)制定实际的,可强制执行的网络安全策略 8.1.2恶意软件风险与防范措施 主要风险来源 8.1.2.1 如蠕虫风险、木马风险等 8.1.2.2主要防范措施 主要防范措施包括 a)制定病毒防护系统使用管理制度;没有得到许可.不私自终止病毒防护系统的运行.并对病毒 防护系统的使用建立日志; b建立应用软件安全管理制度; 实行应用软件采购批准制度 c 建立应用软件使用授权制度; 集中实施病毒防护管理制度 实现在系统所有终端有效防范病毒或恶意代码引人; 安装完整的系统防火墙 定期或不定期检查杀毒软件; 实时监控 8.1.3恶意的移动代码和远程登录程序风险与防范措施 8.1.3.1 主要风险来源 主要风险来源包括 移动代码可以在不需要用户指示的情况下实现远程系统在本地系统上的执行 a 15
GB/T26318一2010 b攻击者常常使用SSH(SecureShel,安全外壳)和telnet(用于远程联接服务的标准协议或者实 现此协议的软件)远程登录其他系统; 键盘记录器:键盘记录器用来监视和记录键盘的使用记录; c 一些安装到系统中的文件,采取恶意的和偷窃的方式替代系统的正常功能 d)Rookits;指一 网络浏览器插件、电子邮件生成器等 ee 8.1.3.2主要防范措施 管理人员随时留意系统文件变化,及时检查系统进程,同时使用网络设备安全增强技术,包括 a)超时配置;配置VTY,Console的超时来增加系统访问安全性 b访问控制配置;通过配置VTY端口的AccessList来增加系统访问的安全性 VTY访问配置:配置VTY的访问方式,如sSSH来增加系统访问的安全性 D 用户验证配置;配置用户验证方式以增强系统访问的安全性 AAA方式配置;配置AAA方式来增加用户访问安全性 路由命令审计配置;配置AAA命令记账来增强系统访问安全性 f 混合攻击风险及防范措施 主要风险来源 8.1.4.1 混合攻击使用多种感染或是攻击方式,主要风险来源如: a)电子邮件 D windows共享; 网络客户端 c d通过即时通讯和点对点文件共享软件传播 8.1.4.2主要防范措施 主要防能指能包插 a)电子邮件打开前的杀毒; b)安全检查后再开启windows共享设置 e)网络客户端的安全使用,例如下机退出,记录删除; d)接受陌生文件时的杀毒检查 8 1.5数据传输风险与防范措施 8.1.5.1主要风险来源 包括数据丢失,数据失密和数据延迟 8.1.5.2主要防范措施 主要防范措施是使用VPN保证数据传输安全 VPN的信息透明加解密功能;支持网络IP数据包的机密性保护,网络密码机串联在以太网中,凡 是流经的IP报文无一例外地都要受到它的分析和检查,根据需要进行加解密和认证处理 8.1.6各类攻击性扫描器风险与防范措施 8.1.6.1主要风险来源 网络攻击者可能使用多种工具扫描、攻击系统漏洞,如 16
GB/I26318一2010 a)信息包探测器信息包探测器用来监视网络流量和获取信息包 b)端口扫描器,端口扫描器远程扫描系统中开放的端口; c 漏洞扫描器;漏洞扫描器用来寻找本地或是远程系统上的漏洞; d)密码破解器;使用密码破解器破解操作系统和应用程序密码 8.1.6.2主要防范措施 应安装标准的防火墙并具备以下功能 基于状态检测的分组过滤; a b)多级的立体访问控制机制; 一定的人侵检测功能或能与人侵检测设备联动 内置- c d 一次性口令认证机制 8.2应用层风险与防范措施 8.2.1应用系统功能风险与防范措施 主要风险来源 8.2.1.1 包括DNS服务器的风险、Email服务器的风险、web服务器的风险等 8.2.1.2主要防范措施 主要防范措施包括DS服务器安全性增强方案,E-mail服务器安全性增强方案和web服务器安 全性增强方案 Ds服务器安全性增强方案包括 a 1)限制域传输 设置堆栈不可执行; 2) 3) 配置主备服务器间认证 4)修改版本信息 5 防止DNS欺骗 禁止转发查询; 设置AllowQuery 8 设置重试查询次数 Email服务器安全性增强方案包括 b 邮件系统自身安全; 邮件加密与签名 2) 37 邮件系统配置安全; 4) 执行邮件安全配置 5 邮件覆盖问题; 6)远程命令执行配置 POP3及IMAP服务安全配置 web服务器安全性增强方案包括 1 web服务器自身安全; 2 web服务器参数配置 3 web服务器权限配置; 4 web服务器配置安全 17
GB/T26318一2010 网络信息加密配置; 5 6)web应用代码审计 8.2.2应用系统自身风险与防范措施 8.2.2.1 主要风险来源 攻击者熟悉系统的网络结构和系统应用模式,采取的针对性攻击 这类攻击主要来源于企业内部 包括通过授权使用应用系统的员工、开发和维护这些应用系统的员工以及开发商等 如 非法用户获取应用系统的合法用户账号和口令,访问应用系统; a 用户通过系统的合法用户账号,利用系统的BUG,获取其授权范围以外的信息 b e)攻击者通过应用系统存在的后门和隐通道如隐藏的超级用户账号,非公开的系统访问途径 等),访问应用服务器或数据库服务器 在数据传输过程中,通过窃听等方式获取数帮包,通过分析、整合,获取企业的机密信息 D 8.2.2.2 主要防范措施 主要防范措施是加强身份认证(PKI)技术,主要包括 a)确认发送方的身份; b)保证发送方所发信息的机密性 保证发送方所发信息不被篡改 c d)发送方无法否认已发该信息的事实; 加强文件传输保密性,不定期更换传输方式 网络病毒攻击风险与防范措施 8.2.3 8.2.3.1主要风险来源 网络存在的各种类型的病毒,这些病毒会攻击应用系统和各个服务器 8.2.3.2主要防范措施 主要防范措施包括 a)能够配置成分布式运行和集中管理,由防病毒代理和防病毒服务器端组成; b 防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端; c)在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略 d 能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软 件提供完整的,全面的防病毒保护 8.3系统层风险评估与防范措施 8.3.1操作系统自身风险与防范措施 8.3.1.1主要风险来源 企业采用的各种操作系统都有一定的漏洞和缺陷,使得系统成为黑客攻击的目标 8.3.1.2主要防范措施 数据库服务器安全应采用服务器版本的操作系统,数据库服务器安全内容包括 1自主访问控制(DAC):DAC用来决定用户是否有权访问数据库对象; 18
GB/I26318一2010 验证:保证只有授权的合法用户才能注册和访问; 2) 3) 授权;对不同的用户访问数据库授予不同的权限; 4审计:监视各用户对数据库施加的动作 5) 数据库管理系统应提供与安全相关事件的审计能力; 6)系统应提供在数据库级和记录级标识数据库信息的能力 网管终端,办公终端可采用通用图形窗VI操作系统 系统定期功能具有全面,智能化检测 b 管理员应及时跟踪、安装操作系统漏洞补丁 8.3.2入侵感染风险与防范措施 8.3.2.1主要风险来源 包括文件感染,引导区感染,混合体感染,内存感染等 主要防范措施 8.3.2.2 主要防范措施包括 a)管理人员应随时留意系统文件变化,对可疑系统变化进行原因查找 b及时更新杀毒软件,进行内存、引导区,硬盘杀毒 对感染的文件或区段,应及时隔离和杀毒 8.3. 系统认证风险与防范措施 3 8.3.3.1主要风险来源 主要风险包括: 口令强度不够; a 过期账号 b 登录攻击 8.3.3.2主要防范措施 主要防范措施包括 a)身份认证、授权和权限分布管理制度的制定 b) 账号设定制度的建立; e)完善账号的认证制度; d)可疑IP端口的认证管理 8.3.4系统授权风险与防范措施 主要风险来源 8.3.4.1 主要风险包括 账号权限， a b登录时间超时 8.3.4.2主要防范措施 主要防范措施包括 19
GB/T26318一2010 a)完善账号授权制度 b)不同P端口的登陆授权时长限制 可疑IP端口的授权管理 c 管理风险与防范措施 9.1制度风险与防范措施 主要风险来源 安全制度不健全 9.1.1.1 安全操作原则未建立 .2 9.1.1. 9.1.1.3岗位职责不明 9.1.1.4操作规章不明确 1.1.5操作流程不合理 9. 9. .1.1.6监督作用未发挥 g.1.1.7审计不力 9.1.1.8评估考核体系和奖惩制度不合理 9.1.1.9从业人员职业资格未达到要求 9.1.2主要防范措施 9.1.2.1确立风险防范的目标 风险防范的目标包括 保护网络系统的可用性; a b)保护系统服务的连续性; 防范网络资源的非法访问及非授权访问 c) d)防范人侵者的恶意攻击与破坏; 保护信息在存储、处理、传输等过程环节上的机密性、完整性; 防范病毒的侵害; 实现网络的安全管理 g 9.1.2.2制定安全管理要求 安全管理要求包括 a 设立安全管理机构,保证系统安全管理的正确性和有效性; b建立健全各项规章制度; 制定、执行总体安全策略,要有完整安全策略的覆盖范围,既要符合现实业务状态,又要满足业 务发展要求 确定负责安全策略制定及实施的人员与组织结构,人员组织中的每个角色和职责分配合理,明 确,保证既定的信息安全策略的执行,不允许违反安全策略的行为存在 确定人员组织中具有要保护的关键数据的实体; e) 制定系统设施,配置的计划,安装,运行和安全操作规程; g)实施全面质量管理,保证安全管理在生命周期中的贯穿实施; h)按风险管理计划和使用规范的操作规程,确定安全风险量化和估价方法,分析施加在业务资产 上的威胁,评估和确定与每个威胁相关联的风险和影响 风险评估应包括但不仅限以下内容 心
GB/T26318一2010 对安全策略、操作规程、规章制度和安全措施的程序化、周期化的评估 1) 2) 系统安全性的定期和不定期评估; 对关键系统资源的定期风险分析和评估 37 4对关键控制措施的失效风险测试和评估 5)对明显的风险变化进行及时风险评估; 对所有变更的安全评估; 对安全事件记录进行例行评估 对网络连接、网络安全措施、网络设备进行定期评估; 与外部网络接口的安全边界确定并进行定期的评估; 0 对全面安全事务一致性的检查和评估 i 建立风险管理质量管理体系文件; 信息系统生命周期各阶段的安全管理工作有明确的目标,明确的职责,并对信息系统生命周期 j 管理建立质量控制体系文件 k)针对所有计划和制度执行情况的定期或不定期监督、检查 建立和执行对设备、操作系统、数据库,应用系统、人员、服务、内外风险等变更控制制度,保证 变更后的信息系统能满足既定的安全目标 m定期或不定期对所有计划和制度执行情况进行监督检查,并对安全策略和管理计划进行修订; n)针对所有变更的安全评估和应对措施的建立和执行; o)基于变更带来的各种规章制度的修订和完善; p列出支持业务操作的应用程序,并对其规划、设计、行动,改进、优化、监督、检查等各个环节进 行有效控制 9.1.2.3制定安全审计制度 安全审计制度包括 a)健全内部审计机构; b) 加强内部审计监督 e)保证内部审计机构具有相应的独立性,并配备与履行内部审计职能相适应的人员和工作条件; d)内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配的道德操守和专业胜任 能力; 内部审计机构依照法律规定和企业授权开展审计监督,其工作范围不应受到人为限制; 安全审计的内容应包括但不仅限于以下内容 对风险管理过程的审计; 2) 对安全措施落实情况的审计; 对网络使用情况的审计 对系统安全的自动监视和审计 对操作系统配置 对 系统工具使用情况的审计; 操作系统管理过程的可审计性保证; 对系统生命周期管理的审计; 8 信息访问控制机制的安装、授权和审计 9 10)针对用户访问情况的审计和检查; 11针对标记信息访问的授权和审计 12 建立外部访问接人点的审计制度; 21
GB/T26318一2010 13)制定应用软件安全管理和授权管理制度,未获明确验证的软件不得装人运行的操作系 统,并对应用软件的使用进行审计; 14)周期更短的安全审计和检查; 15)网络安全事件、事故报告制度,及相应可审计性的保证 16)对应急计划和灾难恢复计划的审计 9.1.2.4管理文档 运行过程中,应建立管理文档并做好记录 9.1.2.5制定全面的应急计划和灾难恢复计划管理 制定全面的应急计划和灾难恢复计划管理应包括 制定全面的应急计划和灾难恢复计划管理细则,以及相应的实施规程,进行必要验证和实际 a 测试; b)要求有专人负责应急计划和灾难恢复计划的管理工作,保证应急计划和灾难恢复计划重点突 出、有效执行 对应急计划涉及的人员进行培训,达到具备执行应急计划的能力 C 对需借助外部资源的应急计划,要与有关各方签署正式合同,合同中应规定服务质量,并包括 安全责任和保密条款; 制定系统的信息和文档的备份制度,对关键设备和数据应采取可靠的备份措施 e fD 指定专人负责备份管理,保证自动备份和人工备份的准确性,可用性 g.1.2.6访问控制管理 应在以下方面加强访问控制管理: a)建立访问控制安全管理制度; 制定连接资源授权制度; b e)对从内部网络向外发起的连接的资源进行控制 d)对外部访问接人点进行控制 建立第三方访问的安全管理制度,对第三方访问进行监视、风险分析、安全评估和控制 e) fD 建立和实施对非授权访问和违规操作的调查,取证和惩罚制度; g与外部服务方签署不违背总的安全策略的安全保密合同 9.2安全意识教育和培训风险与防范措施 9.2.1主要风险来源 安全意识淡薄 9.2.1.1 9.2.1.2各部门合作乏力,配合不畅 培训内容不合理 教育方式不得当 9.2.2主要防范措施 提高人员的安全意识,树立安全观念 针对不同层次.不同岗位.不同等级的需要,制定合理的教育 和培训计划 计划制定和实施可遵循以下过程 需求分析:复查信息安全策略及程序,根据人员的安全意识和技能状况,确定教育和培训的目 22
GB/T26318一2010 标受众 制定程序;根据需求分析的结果,制定不同的教育和培训程序,以确定教育和培训的计划、组 织、实施、方法、主题、资料等内容 获取支持;要进行有效的安全培训和教育,应取得全体人员的支持,使其能够有效地完成任务 并承担责任 D 合格师资:指定合格的培训教师 组织和实施;按教育和培训程序进行安全意识教育和技能培训 f 维护程序:根据实际情况,应对教育和培训程序进行更新 监督检查;通过定期绩效考核或其他方式,监督检查所有人员对信息安全策略和操作规程的认 知程度 h)安全意识成为所有人员的自觉存在 23
GB/T26318一2010 参 考 文 献 GB17859计算机信息系统安全保护等级划分准则 1 [2 GB/T17900网络代理服务器的安全技术要求 [a GB/T17901.1信息技术安全技术密钥管理第1部分;框架 cBT17021信息技术安全技术带附录的数字签名第1部分;概述 白 GB/T17903.l 信息技术安全技术抗抵赖第1部分:概述 [o GB/T17963信息技术开放系统互连网络层安全协议 信息技术 GB/T18336.l 安全技术 信息技术安全性评估准则第】部分简介和 一般 模型 [8]GB/T18336.2信息技术安全技术信息技术安全性评估准则第2部分;安全功能 要求 []GBT1838.3信息技术安全技术信息技术安全性评估准则第3部分;安全保证 要求 [10]GB/T2008信息安全技术操作系统安全评估准则 [[1 信息安全技术数据库管理系统安全评估雅则 GB/T20009 GB/T20010信息安全技术包过滤防火墙评估准则 121 信息安全技术路由器安全评估准则 LI3 GB/T2001l1 GA370端设备隔离部件安全技术要求 L1CAT387计算机信息系能安全等级保护网络技术要 们GNT0信息技来阿络安全漏洞扫措产品技朴要求 L7]GA/T483计算机信息系统安全等级保护工程管理要求 [18]YZ/Z0031邮政储蓄计算机网络系统安全保密技术体制 [19]YD/T1163IP网络安全技术要求 -安全框架 [20]YDN126增值电信业务网络信息安全保障基本要求 24