《网络防御技术》PPT课件.ppt

,第3章 网络防御技术,指导教师:杨建国,2013年8月10日,3.1 安全架构 3.2 密码技术 3.3 防火墙技术 3.4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术,第3章 网络防御技术,3.10 可信计算 3.11 访问控制机制 3.12 计算机取证 3.13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计,3.17 信息安全评估,本章目录,8.1 评估准备 8.2 识别并评价资产 8.3 识别并评估威胁 8.4 识别并评估脆弱性 8.5 分析可能性和影响 8.6 风险计算 8.7 风险处理 8.8 编写信息安全风险评估报告 上机实验,8.1 评估准备,依据GB/T 209842007信息安全技术 信息安全风险评估规范，在风险评估实施前，应确定风险评估的目标，确定评估范围，组建评估管理与实施团队，进行系统调研，确定评估依据和方法，制定评估方案，获得最高管理者的支持。 8.1.1 确定信息安全风险评估的目标 信息系统风险评估目标是通过风险评估，分析信息系统的安全状况，全面了解和掌握信息系统面临的安全风险，评估信息系统的风险，提出风险控制建议，为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。,8.1.2 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员，以及由系统使用时所产生的文档、数据。 8.1.3 组建适当的评估管理与实施团队 组建由该单位领导、风险评估专家、技术专家，以及各管理层、业务部门的相关人员组成风险评估小组，同时明确规定每个成员的任务分工 。,8.1.4 进行系统调研 通过问卷调查、人员访谈、现场考察、核查表等形式，对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了调查表，调查了系统的管理、设备、人员管理的情况，现场考察、核查表的方式考察了设备的具体位置，核查了设备的实际配置等情况，得出有关信息系统的描述。 8.1.4.1 业务目标和业务特性 1业务目标 信息系统主要负责数据的收集、技术处理以及预测分析，为相关部门提供决策和管理支持，向社会提供公益服务。,2业务特性 通过对信息系统的业务目标的分析，归纳出以下业务特性： 业务种类多，技术型工作与管理型工作并重； 业务不可中断性低； 业务保密性要求低； 业务基本不涉及现金流动； 人员业务素质要求高。,8.1.4.2 管理特性 现有的规章制度原则性要求较多，可操作性较低，在信息安全管理方面偏重于技术。 8.1.4.3 网络特性 信息系统的网络拓扑结构图如图8-1所示。,图8-1 网络拓扑结构图,8.1.5 评估依据 评估所遵循的依据如下： 1.信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 2.信息技术 信息技术安全管理指南（GB/T 19715-2005） 3.信息技术 信息安全管理实用规则（GB/T 19716-2005） 2.信息安全等级保护管理办法（公通字200743号） 3.信息安全技术 信息系统安全管理要求（GB/T 20269-2006）,8.1.6 信息安全风险评估项目实施方案 8.1.6.1 项目组织机构 项目实施的组织机构如下: 项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果；项目实施完毕之后，领导小组将根据整个项目的成果情况，批准并主持项目试点总结工作。,项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划，并监督项目进展情况；主持阶段成果汇报会议；做好协调工作，保证项目的顺利执行。 项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划，根据实施计划开展工作。 质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。 外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。,8.1.6.2 项目阶段划分 本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：项目组成员信息表、评估范围说明、评估实施计划。 现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：各种系统资料记录表单。 检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：资产评估报告、威胁评估报告、脆弱性评估报告。,分析评估：根据相关标准或实践经验确定安全风险，并给出整改措施。工作方式：访谈、研讨会。工作成果：安全风险分析说明。 编制评估报告：完成最终评估报告。工作方式：研讨会。工作成果：信息系统综合评估报告。,表8-1 信息系统风险评估实施进度表,8.1.7 获得最高管理者对信息安全风险评估工作的支持 上述所有内容得到了相关管理者的批准，并对管理层和员工进行了传达。,8.2 识别并评价资产,依据GB/T 209842007信息安全技术 信息安全风险评估规范和第7章信息安全风险评估的基本过程，对资产进行分类并按照资产的保密性、完整性和可用性进行赋值。 8.2.1 识别资产 根据对信息系统的调查分析，并结合业务特点和系统的安全要求，确定了系统需要保护的资产，见表8-2。,表8-2 信息系统资产列表,8.2.2 资产赋值 对识别的信息资产，按照资产的不同安全属性，即保密性、完整性和可用性的重要性和保护要求，分别对资产的CIA三性予以赋值，见表8-3，这里采用五个等级。,表8-3 资产CIA三性等级表,8.2.3 资产价值 根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。资产价值如表8-4所示。,表8-4 资产价值表,8.3 识别并评估威胁,在本次评估中，首先收集系统所面临的威胁，然后对威胁的来源和行为进行分析。威胁的收集主要是通过问卷调查、人员访谈、现场考察、查看系统工作日志以及安全事件报告或记录等方式进行，同时使用绿盟1200D-02，收集整个系统所发生的入侵检测记录。 表8-5是本次评估分析得到的威胁列表。,表8-5 信息系统面临的威胁列表,8.4 识别并评估脆弱性,从技术和管理两方面对本项目的脆弱性进行评估。技术脆弱性主要是通过使用极光远程安全评估系统进行系统扫描。按照脆弱性工具使用计划，使用扫描工具对主机等设备进行扫描，查找主机的系统漏洞、数据库漏洞、共享资源以及帐户使用等安全问题。在进行工具扫描之后，结合威胁分析的内容，根据得出的原始记录，进行整体分析。按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理脆弱性。,表8-6 技术脆弱性评估结果,表8-6 技术脆弱性评估结果,8.5 分析可能性和影响,8.5.1 分析威胁发生的频率 威胁发生的频率需要根据威胁、脆弱性和安全措施来综合评价。表8-7给出了5个级别定义的描述。,表8-7 可能性级别定义,8.5.2 分析脆弱性严重程度 脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。,表8-8 严重程度定义,8.6 风险计算,首先建立资产、威胁和脆弱性关联，并给威胁发生的可能性及脆弱性严重程度赋值，如表8-9所示。,在本项目中，采用7.8介绍的矩阵法和相乘法进行风险计算。,表8-9 资产、威胁、脆弱性关联表,8.6.1 使用矩阵法计算风险,利用矩阵法，首先根据表7-21，计算安全事件发生的可能性，再根据安全事件可能等级划分表7-22，计算安全事件发生的可能性值等级。根据安全事件发生损失矩阵表7-23，计算安全事件的损失，再根据安全事件损失等级划分表7-24，计算安全事件损失等级。根据风险矩阵表7-25，计算风险风险值。最后根据风险等级划分表7-26，确定风险等级。所有计算结果如表8-10所示。,表8-10 风险计算表1,8.6.2 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。,8.7风险处理,8.7.1现存风险判断 内容依据风险评估结果，假设风险等级在4级以上不可接受，通过分析，发现有21个不可接受风险。分析结果如表8-12所示。,表8-12 风险接受等级划分表,8.7风险处理,8.7.2.1 风险控制需求分析 按照系统的风险等级接受程度，通过对本信息系统技术层面的安全功能、组织层面的安全控制和管理层面的安全对策进行分析描述，形成已有安全措施的需求分析结果，如表8-13所示。,表8-13 风险控制需求分析表,8.7.2.2 风险控制目标,依据风险接受等级划分表（表8-12）、 风险控制需求分析表（表8-13），确定风险控制目标， 如表8-14所示。,表8-14 控制目标,8.7.3 控制措施选择,依据风险控制需求分析表（表8-13）、控制目标表（表8-14），针对控制目标，综合考虑控制成本和实际的风险控制需求，建议采取适当的控制措施，如表8-15所示。,表8-15 安全控制措施选择,8.8 编写信息安全风险评估报告,最后，编写记录信息系统风险评估过程得到的所有结果 的风险评估报告，完成对本系统的风险评估。,上机实验,实验项目：信息安全风险评估 实验目的：掌握信息安全风险评估的过程。 实验环境：具体网络信息系统环境。 实验内容：结合具体的信息系统评估项目， 完成信息安全风险评估，并编写各阶段报告。,具体步骤如下： 1风险评估的准备工作。 确定风险评估的目标； 确定风险评估的范围； 组建适当的评估管理与实施团队； 进行系统调研； 确定评估依据和方法； 获得最高管理者对风险评估工作的支持,2识别并评价资产。 在划定的评估范围内，以网络拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，形成一个信息资产的清单。在识别出所有信息资产后，为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值，根据三个安全属性的权值计算资产的价值。形成系统信息资产识别清单。确定关键资产，详细识别关键资产的安全属性，并对关键资产的重要性进行赋值，形成系统重要信息资产评估报告。 本阶段所采用的方法包括： （1）会议：召集评估小组成员和相关人员进行资产分析会议； （2）手工记录表格：通过资产调查表的填写确定信息资产状况。,3识别并评估威胁。 识别关键资产所面临的威胁，及威胁对资产所产生的影响。形成威胁列表。本阶段所采用的方法包括： （1）IDS采样分析。使用IDS，通过对网络流量进行不间断的分析，从中发现攻击、入侵或非法访问等行为。 （2）日志分析。通过检查不同来源的日志文件发现曾经发生过的威胁，获取威胁信息。 （3）人员访谈。评估小组成员与规划编写人员及项目建设人员进行访谈交流。,4识别并评估脆弱性。 从技术、管理和策略三个方面进行脆弱性评估，其中在技术 方面主要是通过远程和本地两种方式进行系统扫描、对网络设备 和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗 透测试。管理脆弱性评估方面主要对现有的安全管理制度及其执 行情况进行检查，发现其中的管理漏洞和不足；策略脆弱性评估 方面主要是从整体网络安全的角度对现有的网络安全策略。,进行全局性的评估，它也包括了技术和管理方面的内容。脆弱性评估阶段形成文档脆弱性列表。 此阶段所采用的方法包括： （1）利用漏洞扫描工具进行扫描； （2）渗透测试； （3）各类检查列表。,5风险分析。 通过分析上面所评估的数据，进行风险值计算，确定风险等级，确认高风险因素，提出整改意见。形成风险分析报告和规划整改意见。此阶段所采用的方法包括： （1）会议：召集评估小组成员进行风险分析会议。 （2）咨询交流：评估小组成员与相关人员及第三方专家 进行访谈交流。 （3）资料审查确认：评估小组成员将对形成的风险分析 报告和整改建议进行审查确认。,信息安全评估准则,姓名：万项超 学号：S309060148,评估准则,1.可信计算机系统评估准则（TCSEC） 2.信息技术安全评估准则（ITSEC） 3.信息安全技术通用评估准则（CC） 4.我国信息安全评估准则（GB 17859-1999 & GB18336-2001&GB18336-2008）,TCSEC,1983年，由美国国家计算机安全中心（NCSC）初次颁布 1985年，进行了更新，并重新发布 2005年，被国际标准信息安全通用评估准则（CC）代替,TCSEC,标准制定的目的 1). 提供一种标准，使用户可以对其计算机系统内敏 感信息安全操作的可信程度做评估。 2). 给计算机行业的制造商提供一种可循的指导规则; 使其产品能够更好地满足敏感应用的安全需求。,TCSEC,计算机系统安全等级 1、D1 级 这是计算机安全的最低一级。D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。D1级的计算机系统包括：MS-Dos、Windows95 、Apple的System7.x 2、C1 级 C1级系统要求硬件有一定的安全机制，用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有： UNIX 系统 、 XENIX 、Novell3.x或更高版本 、Windows NT,TCSEC,3、C2 级 C2级实际是安全产品的最低档次，提供受控的存取保护。 C2级引进了受控访问环境（用户权限级别）的增强特性。授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录。 C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”，以及系统管理员的工作。 常见的C2级系统有：操作系统中Microsoft的Windows NT 3.5，UNIX系统。数据库产品有oracle公司的oracle 7，Sybase公司的SQL Server11.0.6等。,TCSEC,4、B1 级 B1级系统支持多级安全，多级是指这一安全保护安装在不同级别的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级的保护。 5、B2 级 这一级别称为结构化的保护（Structured Protection)。B2级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。 6、B3 级 B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。 7、A 级 这一级有时也称为验证设计（verified design)。必须采用严格的形式化方法来证明该系统的安全性 ，所有构成系统的部件的来源必须安全保证 。,ITSEC,1990年5月，英、法、德、荷根据对各国的评估标准进行协调制定ITSEC 1991年6月，ITSEC 1.2版由欧共体标准化委员会发布 目前，ITSEC已大部分被CC替代,ITSEC,安全性要求 1、功能 为满足安全需求而采取的技术安全措施。 功能要求从F1F10共分10级。 15级对应于TCSEC的C1、C2、 B1、B2、B3。F6至F10级分别对应数据和程序的完整性、系统的可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。 2、保证 确保功能正确实现和有效执行的安全措施。 保证要求从E0（没有任何保证）E6（形式化验证）共分7级. ITSEC把完整性、可用性与保密性作为同等重要的因素。,CC,1996年6月， CC 第一版发布 1998年5月， CC 第二版发布 1999年10月，CC V2.1版发布 1999年12月，ISO采纳CC，并作为国际 标准ISO/IEC 15408发布 2004年1月， CC V2.2版发布 2005年8月， CC V2.3版发布 2005年7月， CC V3.0版发布 2006年9月， CC V3.1.release 1 发布 2007年9月， CC V3.2.release 2 发布 2009年9月， CC V3.1.release 3 发布,CC重要概念,PP (Protection Profile)及其评估: PP是一类TOE基于其应用环境定义的一组安全要求，不管这些要求如何实现，实现问题交由具体ST实现，PP确定在安全解决方案中的需求 ST (Security Target)及其评估: ST是依赖于具体的TOE的一组安全要求和说明，用来指定TOE的评估基础。ST确定在安全解决方案中的具体要求。 TOE (Target of Evaluation)及其评估: TOE评估对象，作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。,CC,CC的组成 1、简介和一般模型 描述了对安全保护轮廓（PP）和安全目标（ST）的要求。PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。 2、安全功能要求 详细介绍了为实现PP和ST所需要的安全功能要求 3、安全保证要求 详细介绍了为实现PP和ST所需要的安全保证要求,CC,CC的中心内容 当第一部分在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。,CC,CC组成的的层次关系,CC,功能组件的层次结构,CC,CC将安全功能要求分为以下11类： 1、安全审计类 2、通信类（主要是身份真实性和抗抵赖） 3、密码支持类 4、用户数据保护类 5、标识和鉴别类 6、安全管理类（与TSF有关的管理） 7、隐秘类（保护用户隐私） 前七类的安全功能是提供给信息系统使用的,CC,8、 TOE保护功能类（TOE自身安全保护） 9、 资源利用类（从资源管理角度确保TSF安全） 10、TOE访问类（从对TOE的访问控制确保安全性） 11、可信路径/信道类。 后四类安全功能是为确保安全功能模块（TSF）的 自身安全而设置的。,CC,保证组件的层次结构,CC,具体的安全保证要求分为以下10类 : 1、配置管理类 2、分发和操作类 3、开发类 4、