为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

军工涉密信息系统面临的主要风险及其因应安全策略

2017-11-01 6页 doc 17KB 60阅读

用户头像

is_841159

暂无简介

举报
军工涉密信息系统面临的主要风险及其因应安全策略军工涉密信息系统面临的主要风险及其因应安全策略 1 前言 对于军工企业来讲,是否能够准确、完备地遵循现有保密指南的精神,从而有效地保护军工企业的信息系统,防止国家秘密信息不被非法获取,是进行信息系统安全保密方案设计必须进行考虑的。本文试图通过对军工企业信息系统的环境进行分析,列出军工企业信息系统普遍存在的威胁,并提出解决框架建议。 2 系统面临主要风险 1) 系统面临的主要机密性威胁 严重威胁因素 动机 途径 事件 备注 程度 内部人员 故意 介质(移动介质) 未经许可,复制机密文件,外带扩散 高 一般与 间谍活故意...
军工涉密信息系统面临的主要风险及其因应安全策略
军工涉密信息系统面临的主要风险及其因应安全策略 1 前言 对于军工企业来讲,是否能够准确、完备地遵循现有保密指南的精神,从而有效地保护军工企业的信息系统,防止国家秘密信息不被非法获取,是进行信息系统安全保密设计必须进行考虑的。本文试图通过对军工企业信息系统的环境进行分析,列出军工企业信息系统普遍存在的威胁,并提出解决框架建议。 2 系统面临主要风险 1) 系统面临的主要机密性威胁 严重威胁因素 动机 途径 事件 备注 程度 内部人员 故意 介质(移动介质) 未经许可,复制机密文件,外带扩散 高 一般与 间谍活故意 介质(硬盘) 拆卸硬盘外带 高 动相关 故意 介质 盗窃介质 高 故意 物理 盗窃设备 高 故意 笔记本电脑 非法复制涉密信息,外带扩散 高 故意 网络 通过非法拨号方式发送 高 故意 打印 私自打印后外带 高 故意 胶片 拍摄图象外带 中 故意 网络 冒用帐号查看到非授权的内容 中 故意 网络 窃听到非经许可的内容 中 故意 涉密计算机 从未设防范的设备中查看到机密文件 中 无意 介质 外带保护不当被盗窃,造成涉密信息高 扩散 无意 笔记本电脑 外带保护不当被盗窃,造成涉密信息高 扩散 无意 对外网站 未经审核发布了涉密信息 高 无意 上网电脑 存放了涉密信息,被黑客获取 高 间谍 故意 电磁 搭线窃听 高 故意 物理 盗窃设备 高 故意 介质 通过垃圾进行还原 高 外包人员 故意 网络 通过个人携带设备非法接入网络,获高 一般与 取信息 间谍活 动相关 故意 介质 通过介质非法复制信息外带 高 故意 介质 盗取介质非法复制信息外带 高 系统故障 屏蔽或干扰设备故障引起涉密信息外中 泄 2) 军工系统面临的主要完整性威胁 严重 威胁因素 动机 途径 事件 备注 程度 内部人员 故意 网络/物直接篡改存贮在服务器内的中 管理人员 理 数据 故意 网络 截取数据后,篡改 中 好奇,进行试验 故意 网络 通过操作系统漏洞获得权限,中 好奇,进行试验 篡改业务数据 故意 网络 修改技术参数,导致生产事故 中 无意 网络 输入错误导致差错发生 低 无意 网络 导入数据时引入恶意代码,导低 致内网数据破坏 外包人员 无意 网络 在服务的过程中误操作导致高 数据破坏 故意 网络 利用管理员权限破坏数据 高 系统故障 系统拓扑、组件结构 硬盘损坏导致数据破坏 系统相系统相关 关 软件故障导致数据破坏 电力故障导致硬件损坏继而 造成数据破坏 自然灾害 地理环境、系统结构 火灾、地震、雷电等灾害造成系统相系统相关 数据损毁 关 3) 军工系统面临的主要可用性威胁 严重 威胁因素 动机 途径 事件 备注 程度 内部人员 故意 网络/物理 通过操作系统漏洞,对服务器中 进行攻击造成服务中断 无意 网络 配置参数失误造成服务中断 中 故意 网络 对网络设备进行攻击造成服中 务中断 故意 网络 对网关设备进行攻击造成服中 务中断 故意 网络 修改技术参数,导致生产事故 中 故意 物理 破坏网络设备导致服务中断 高 故意 网络 破坏服务器导致服务中断 高 无意 网络 引入恶意代码造成网络阻塞, 导致服务中断 无意 网络 错误配置导致网络中断 外包人员 无意 网络 在服务的过程中误操作导致高 服务中断 故意 网络 引入恶意代码,造成服务中断 高 系统故障 电力故障导致服务中断 中 网络设备故障造成服务中断 高 线路故障造成服务中断 高 服务器故障造成服务中断 高 硬盘故障造成服务中断 中 操作系统故障造成服务中断 中 应用软件故障造成服务中断 中 自然灾害 火灾、地震、雷电等灾害造成高 设备损毁,导致服务中断 3 安全策略 安全策略的制定应当能够在以上设定的环境下保障系统的安全保密。 1) 技术策略 技术策略的目标是通过技术的手段保护信息系统,针对不同的威胁主要采取的措施如下: , 机密性: 1. 环境保护 8. 信息存贮加密 2. 视频监控 9. 防火墙 3. 物理隔离 10. 保密性检查(拨号监 4. 屏蔽与干扰 控) 5. 网络接入控制 11. 抗抵赖 6. 身份鉴别与访问控制 12. 安全审计 7. 信息传输加密 13. 入侵监控 , 完整性: 14. 完整性校验 , 可用性: 15. 病毒防治 16. 备份与恢复 17. 电力保障 2) 管理策略 管理策略的主要目的是加强对人员以及操作的管理,加强人员的安全保密意识,规范操作行为,针对于各类威胁采取的措施如下: , 机密性: 1. 建立保密管理组织机构 10. 涉密信息密级定密、标识 2. 人员管理 与变更 3. 人员培训 11. 信息发布控制 4. 信息系统审批 12. 审计 5. 环境管理与出入控制 13. 涉密介质管理 6. 守卫与执勤 14. 笔记本管理 7. 密钥、口令管理 15. 信息访问控制管理 8. 设备管理 16. 入侵监控 9. 软件管理 17. 保密检查 18. 打印管理 , 完整性: 19. 完整性校验 , 可用性: 20. 防病毒 22. 建立运行维护体系 21. 运行检查制度 23. 建立应急响应及故障恢复 体系 4 系统残余风险 从上述描述可知,军工涉密信息系统综合管理与技术的策略,对于军工系统中面临的机密性风险有比较强的控制措施,实施完善可以对抗来自于间谍、内部人员、外来人员对于信息系统机密性的威胁,涉密技术体系的侧重点偏重于对系统机密性的保护。 但对于系统面临的完整性与可用性方面策略比较粗略,由于各家军工单位信息系统发展不均衡,因此具体针对于系统完整性与可用性的安全保护策略需要根据具体的情况分别进行制定,特别对于系统面临灾难以及各类数据损失的问题时需要根据各厂家具体的要求进行定制。
/
本文档为【军工涉密信息系统面临的主要风险及其因应安全策略】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索