安全管理在信息保障.ppt

安全管理在信息保障 中的作用,信息安全的历史,通信保密（COMSEC）- 20世纪60年代 信息的保密性确保信息不暴露给未授权的实体或进程。 信息安全（INFOSEC）- 20世纪90年代 信息的保密性 信息的完整性只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 信息的可用性得到授权的实体在需要时访问数据，即攻击者不能占用所有的资源而阻碍 授权者的工作。 信息保障（IA，Information Assurance）- 20世纪末 信息的保密性、完整性、可用性 信息和系统的可控性可以控制授权范围内的信息流向及行为方式。 信息行为的不可否认性对出现的网络安全问题提供调查的依据和手段。,早期安全模型：PDR模型,PProtect、DDetect、RReact 保护 检测 响应,如果Pt Dt+ Rt，则该系统是安全的； 如果Pt Dt+ Rt，则该系统是不安全的,即存在暴露时间 Et=(Dt+Rt)-Pt,早期安全模型： P2DR模型,加入以安全策略为核心的概念 仅仅描述了安全技术体系中部分安全要求，忽略了人和管理的因素，仍然不能成为真正的安全体系架构。,安全的最新概念,对整个信息和信息系统的保护和防御，除了进行信息的安全保护，还应重视和提高： 安全系统的预警能力 系统的入侵检测能力 系统的事件反应能力 系统遭到入侵引起破坏的快速恢复能力 信息系统整个生命周期的防御和恢复,信息保障核心深层防御战略,深层防御战略的三个主要层面,人员 培训、意识、物理安全、人员安全、系统安全管理 技术 深层防御技术框架 安全标准 获得IT/IA(信息技术/信息保障） 风险分析 证书与信任 操作 分析、监视、入侵检测、警告、恢复,深层防御战略技术框架,安全需求 保护网络和基础设施 保护飞地边界 保护计算环境 支撑性基础设施 核心目标 在攻击者成功地破坏了某层或某类保护机制的情况下，其它保护机制依然能够提供附加的保护 信息保障 提供一个框架进行层次化、多样性的保护 WPDRR模型,信息保障的五个技术环节：WPDRR模型,检测 Detect,恢复 Restore,保护 Protect,响应 React,人,操作,技术,预警 Warning,WPDRR模型 预警 (early warning，forewarn）,预警的概念： 根据以前掌握的系统脆弱性和当前了解的犯罪趋势预测未来可能受到的攻击及危害。 能不能预警： 客观存在着 空间差 时间差 知识差 能力差,预警的技术支持： 威胁分析 脆弱性分析 资产评估 风险分析 漏洞修补 预警协调 ,WPDRR模型 保护，检测，响应，恢复,P（保护，PROTECT） 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性 技术手段：网络安全、操作系统安全、数据库系统安全访问控制、口令等保密性和完整性技术 D（检测，DETECT） 利用高级技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥等脆弱性 技术手段：病毒检测、漏洞扫描、入侵检测、用户身份鉴别等 R（响应，REACT） 对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务 技术手段：监视、关闭、切换、跟踪、报警、修改配置、联动、阻断等 R（恢复，RESTORE） 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务 技术手段：备份、恢复等,问题：WPDRR在实际网络中如何布置？,网络和基础设施安全,目标 保证整个广域网上交换的数据不会泄露给任何未获授权的网络访问者 保证广域网支持关键任务和支持数据任务，防止受到拒绝服务的攻击 防止受到保护的信息在发送过程中的时延、误传或未发送 保护数据流 用户数据流 控制数据流 管理数据流 确信保护机制不受那些存在于其他授权枢纽或飞地网络之间的各种无缝操作的干扰,网络和基础设施安全,安全保护 防火墙 数据加密 强认证功能 数据完整性保护 传输服务质量、流量控制 网络的管理安全 管理控制权 分发安全 安全检测 网络入侵检测 网络安全漏洞扫描 病毒检测 设备备份及链路冗余,飞地边界安全,目标 确信对物理和逻辑飞地进行充分保护 针对变化性的威胁采用动态抑制服务 确信在被保护飞地内的系统与网络保持其可接受的可用性并能够完全防范拒绝服务攻击 确信在飞地之间或通过远程访问所交换的数据受到保护并且不会被不适宜地泄露 为飞地内由于技术或配置问题无法自行实施保护的系统提供边界保护 提供风险管理方法，有选择地允许重要信息跨越飞地边界流动 对被保护飞地内的系统和数据进行保护，使之免受外部系统或攻击的破坏 针对用户向飞地之外发送或接受飞地之外的信息而提供强认证以及经认证的访问控制,飞地边界安全,安全保护 防火墙 虚拟专用网（VPN） 物理隔离 用户访问控制（AAA） 安全检测 网络入侵检测 漏洞扫描 病毒检测,计算环境安全,目标 确保对客户机、服务器和应用实施充分保护，以此防止拒绝服务、数据未授权泄露和数据更改 无论客户机、服务器或应用位于飞地之内或之外，都必须确保由其所处理的数据具有保密性和完整性 防止未授权使用客户机、服务器或应用的情况 保障客户机和服务器遵守安全配置指南并安装了所有正确补丁 对所有的客户机、服务器的配置管理进行维护，跟踪补丁和系统配置更改信息 确保各类应用能轻易集成并不会对安全性带来损失 对于内部和外部的受信任人员与系统从事的违规和攻击活动具有充足的防范能力,计算环境安全,安全保护 访问控制（授权）：实施细粒度的用户访问控制、细化访问权限 标识与鉴别：实施强认证方法，如口令、数字证书 数据保密性：对关键信息、数据严加保密 数据完整性：防止数据系统被恶意代码如病毒破坏，对关键信息进行数字签名技术保护 不可否认性：数字签名和审计 安全检测 入侵检测 漏洞扫描 病毒检测 审计 可用性：主机冗余及数据备份,计算环境安全之服务器保护 主动防御,为什么需要主动防御 黑客不断开发新的攻击，逃避现有的安全防范体系 时间和信息对于一个组织在与“瞬时攻击”的整体对抗中保持不败非常重要 最有效的防御系统应当直接主动地瞄准潜在的、新的攻击，找出延迟其破坏的方法 传统被动式保护系统的不足之处 采用预先设定好的策略对网络安全性进行保护 对未知攻击模式的检测和防御效果不佳,计算环境安全之服务器保护 主动防御,主动的安全防御系统 网络系统中最关键的资源实际上是信息数据和其赖以存在的服务器系统 主动防御包括对数据进行强制性、全面的防护，对操作系统进行加固，对超级用户特权进行适当限制 不管攻击者采用什么样的攻击方法，主动防御方式总是能够主动识别并记录攻击者的企图，对于不合适的访问予以拒绝 采用主动防御系统可实现对未知攻击方式的成功防范，为管理员处理新型的入侵方式争取宝贵的响应时间,计算环境安全之客户机保护 客户机平台的安全问题,访问企业重要资源最简单的途径几乎总是不起眼的客户工作站。 一般而言，工作站配置越高，受到威胁的可能性就越大。 电子邮件附件、HTML嵌入脚本都可能绕过边界防御系统轻易地实现对安全机制较弱的工作站的攻击。 企业中大部分客户工作站系统的配置几乎一样，只要有一个受到危胁，就会破坏整个环境的完整性。 由于缺乏严格的安全执行、监控及用户培训，对普通工作站的入侵日益成为发动恶性攻击的最简单方法。,计算环境安全之客户机保护 提高客户机平台安全的方法,采用合理的指导准则，加强工作站系统的安全，只安装公司正常运行所需的最少数量的软件。 打上所有相关的安全补丁，一旦出现新补丁，就立即予以更新。 确保所有工作站用户接受了因特网安全知识培训，知道自己可能会遭到哪几种危胁。 部署工作站级别的防御系统，包括防病毒、防火墙、内容过滤、流量出站封阻以及IDS技术。 定期利用漏洞扫描器扫描工作站环境，以便迅速找出不安全或已受到入侵的主机。,支撑性基础设施,目标 提供用以支持密钥、优先权与证书管理的密码基础设施；并能够积极识别使用网络服务的每个人 提供一种能够对入侵和其他违规事件快速进行检测与响应并能够支持操作环境状态观察的入侵检测、报告、分析、评估和响应基础设施 执行计划并报告应急处理与重建方面的要求,支撑性基础设施,密钥管理基础设施/公钥基础设施（KMI/PKI） 用于产生、发布和管理密钥与证书等安全凭证 检测与响应 用于预警、检测、识别可能的网络攻击、做出有效响应以及对攻击行为进行调查分析,网络安全技术举例,密码技术 对称密码 公开密钥密码 身份鉴别技术 Kerberos(雅典娜项目） X.509（目录认证服务框架） Web安全技术 IPSEC（网络级） AH、ESP、ISAKMP SSL/TLS（传输级 ） SET（应用级）,反病毒技术 防火墙技术 动态IP过滤技术 IP分片过滤技术 IP欺骗保护 地址转换 访问控制 入侵检测技术IDS 基于主机检测 基于网络检测 审计跟踪,网络安全技术举例,安全分析系统 基于主机安全分析 基于网络安全分析 基于数据库的安全分析 网络隔离技术 单机物理隔离卡 网络物理隔离器 物理网段划分 VLAN 单机物理保护系统,网络安全技术部署方法,Server,Client,Gateway,防火墙、防病毒、E-mail防病毒 入侵检测、访问控制/主机安全加固、 应用安全产品、备份/恢复,防火墙、入侵检测 防病毒、 E-mail防病毒 访问控制/主机安全加固 应用安全产品,防火墙、防病毒 入侵检测、内容过滤 E-mail防病毒,网络加密、传输加密、 CA认证、入侵检测 内容过滤、VLAN,网络安全评估 主机安全评估 安全策略 管理策略,安全策略,风险评估,制定安全目标,选择和实施 解决方案,安全监控,信息安全生命周期,开展培训,事件响应 与恢复,核心：安全策略,制定详细的安全策略和标准以及必要的措施 保护企业信息技术不会丢失、被窃取、损害或破坏 制订信息安全生命周期度量方案 为帮助信息安全预算申请、优先分配资源、验证安全控制的有效性、识别缺点提供参考数据 衡量企业机构信息安全方案的整体效果并跟踪信息安全改进举措 为安全管理员和经理提供必要的信息，帮助他们在建立和维护安全计算环境时做出完善的业务决策 为建立企业机构的信息保障体系提供了基础框架和衡量标准,第一阶段：风险评估,确定并评估企业机构的信息安全风险、鉴定目前实施的任一安全方案的有效性，证明增加信息安全措施所需要的资源。具体功能包括： 确认并记录所有的系统和网络，特别是关键和敏感的系统和网络 （根据业务影响） 确认企业机构目前正在使用的信息安全控制和方案 评估这些安全控制和方案的效力 确认信息系统和网络的脆弱点 识别可能会利用这些脆弱点的威胁 识别安全漏洞，将公司机构应该具备的信息安全控制进行优先排序 确定关键和敏感信息系统和网络的总体风险 提供基准的安全风险预测，用于衡量企业在安全举措、控制和方案上的改进提高,第二阶段：制定安全目标,制定适合于企业自身的安全目标和安全计划列表 帮助企业决定预算、资源、设备供应商、产品选择和实施策略的优先顺序，为实施安全提供结构化解决之道 帮助企业合理地、有效地、有组织地保护信息系统和企业网络的安全,第三阶段：选择并实施解决方案,选择正确的安全软件和硬件供应商和解决方案、并将产品无缝安装到企业网络和信息系统中 决定如何配置系统、应用程序和网络来支持业务运营，同时保持一定的有效的安全等级（即使系统和网络当初安装正确，并进行了安全配置，工作正常，也必须进行维护） 制定安全管理方案帮助维护企业信息系统持续稳定发展 对计划配置进行基本定义，确立谁有权决定配置变更以及这些变更如何实施、记录和维护 对配置变化的过程进行监测和控制，确保配置变化是在内部由授权人员完成,第四阶段：开展培训,为企业员工和安全管理人员提供综合的信息安全培训 安全意识和行为培训 安全技术培训 安全培训的意义 提高企业机构对面临的安全威胁和潜在冲击的意识和理解 帮助企业机构消除或减轻安全风险 提供实施和维护安全计算环境所必须的知识，极大地提高信息保障体系成功的可能性 是获得和保持信息安全生命周期的最关键成分 在所有可用的信息安全管理中，培训的投资回报率最大,第五阶段：安全监控,维护和管理整个安全方案的实施和运行情况 确保企业机构能够对任何针对内部主机系统和网络环境的非法活动、恶意行为进行检测、评估和响应 使任何与认定的基准相左的配置迅速被识别并得到改正 保证信息保障体系的有效性 具体安全管理内容 管理防火墙服务 管理入侵检测和响应服务 管理安全策略遵守服务 管理安全风险评估服务 管理企业管理服务,第六阶段：事件响应和恢复,ISO/IEC TR 13335对风险管理的定义：通过层次性、多样化的手段降低用户的业务风险，使残留风险达到一个让用户可以接受的水平 深层防御安全设计思想同样也不强调在所有可能的位置采用所有可能的安全措施 对在用户安全投资和期望限制之内的风险我们可以采取可能的安全保护措施实现安全控制 对超出用户安全投资和期望或者缺乏针对手段的风险，比如故障、自然灾害、人为误操作或恶意攻击等，我们应该为用户提出（或建议用户采取）相应的应急计划和流程，最终减轻这些不可防范风险实际发生时带来的破坏后果,应急响应计划,制定应急计划提供事件响应和恢复 保证企业机构有效地对事件进行监测、评估和控制 对实施安全方案后的残留风险制定适当的和有效的应急流程 一旦发生不利事件，及时做出响应并恢复，减轻或限制威胁发生时所带来的破坏后果 信息安全生命周期模型的最后一道坚固防线,实施安全控制 执行应急计划,紧急事件,应急响应计划：目标和任务,首要目标 确认或排除突发事件的发生 具体任务 第一，尽快恢复系统或网络的正常运转； 第二，使系统和网络操作所遭受的破坏最小化，收集积累准确的原始数据资料，获取和管理有关证据，为下一阶段的分析和处理提供准确可信的资料； 最后，在响应工作结束时提交准确的分析统计报告和有价值的建议。,应急响应计划：阶段安排（1）,准备阶段 建立合理的防御/控制措施、建