信息安全审计培训讲义.ppt

,信息安全审计,陈越Email：creekchenMSN:creekchenTel工业与信息化部培训中心,2,信息安全与审计基础及理论知识,信息安全与审计的概念、目标、范围信息安全审计/IT审计/信息系统安全审计审计应该是独立的。审计与信息安全的目标是一致的，而不是对立的。,信息安全与IT审计的关系信息安全其中一项必不可少的内容是IT审计IT审计主要针对的是信息安全，也包含其他内容信息安全与IT审计有很大的重合点,1.不懂信息安全如何进行IT审计2.要做好IT审计必须了解信息安全,3,一、信息安全基础与理论,1.1信息安全内容概述1.2美国标准TCSEC1.3欧洲标准ITSEC1.4CC标准1.5CC、TCSEC、ITSEC对应关系1.6CISSP介绍1.7SSE-CMM1.8BS7799/ISO7799/ISO270011.9ITIL,4,一、信息安全基础与理论,1.10ISO154081.11ISO133351.12GB18336等级保护商业银行信息科技风险管理指引,5,1.1信息安全基础-三要素,信息安全内容概述计算机安全信息安全三要素ConfidentialityIntegrityAvailability,6,1.信息安全基础-北美标准,TCSEC美国国防部(TrustedComputerSystemsEvaluationCriteria)安全等级A验证保护B强制保护C自主保护D无保护FC美联邦标准(FederalCriteria)CTCPEC加拿大标准(CanadianTrustedComputerProductEvaluationCriteria),7,1.3信息安全基础-欧洲标准,ITSECInformationTechnologySecurityEvaluationCriteria英法德荷四国制定ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。,8,1.4信息安全基础-国际标准,CC(CommonCriteria)美英法德荷加六国制定的共同标准包含的类FAU安全审计FCO通信FCS密码支持FDP用户数据保护FIA标识与鉴别FMT安全管理FPR隐私FPTTSF保护(固件保护，TOESecurityFunctions,TOESecurityPolicy，(TargetOfEvaluation)FRU资源利用FTATOE访问FTP可信信道/路径,9,1.5信息安全基础-国际标准,CC、TCSEC、ITSEC对应关系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6,10,1.5信息安全基础-国际标准,CC分为三个部分：第1部分简介和一般模型，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基本内容。第2部分安全功能要求，按类-子类-组件的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。第3部分“安全保证要求”，定义了评估保证级别，介绍了PP和ST的评估，并按“类-子类-组件”的方式提出安全保证要求,11,1.5信息安全基础-国际标准,CC的三个部分相互依存，缺一不可。第1部分是介绍CC的基本概念和基本原理第2部分提出了技术要求第3部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在PP和ST中，PP和ST的概念和原理由第1部分介绍，PP和ST中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。CC作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。,12,1.5信息安全基础-国际标准,13,1.7信息安全基础-SSE-CMM,SSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局(NSA)领导开发的，是专门用于系统安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。系统安全工程过程一共有三个相关组织过程：工程过程风险过程保证过程,14,1.7信息安全基础-SSE-CMM,SSE-CMM共分5个能力级别，11个过程区域：基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002信息技术系统安全工程成熟度模型。SSE-CMM和BS7799都提出了一系列最佳惯例，但BS7799是一个认证标准（第二部分），提出了一个可供认证的ISMS体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而SSE-CMM则是一个评估标准，适合作为评估工程实施组织能力与资质的标准.,15,1.8信息安全基础-7799/27001,BS7799BS7799是英国标准协会制定的信息安全管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息安全管理体系标准。BS7799以下10个部分：信息安全政策安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制系统开发与维护业务连续性规划符合性,16,1.8信息安全基础-7799/27001,ISO17799BS7799Part1的全称是CodeofPracticeforInformationSecurity，也即为信息安全的实施细则。2000年被采纳为ISO/IEC17799，目前其最新版本为2005版，也就是ISO17799:2005。ISO/IEC17799:2005通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素，还有39个主要执行目标和133个具体控制措施（最佳实践），供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。,17,1.8信息安全基础-7799/27001,ISO27001BS7799Part2的全称是InformationSecurityManagementSpecification，也即为信息安全管理体系规范，其最新修订版在05年10月正式成为ISO/IEC27001:2005，ISO/IEC27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。CC、SSE-CMM、BS7799对比信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS7799的地位是其他标准无法取代的。,18,1.8信息安全基础-7799/27001,BS7799BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。标准存在一定不足对查看敏感信息等保密性缺少控制。标准中对评审控制和审计没有区分标准中只在开发和维护中简单涉及密码技术某些方面可能不全面，但是它仍是目前可以用来达到一定预防标准的最好的指导标准。,19,1.9信息安全基础-ITIL,ITILITIL的全称是信息技术基础设施库（InformationTechnologyInfrastructureLibrary）。ITIL针对一些重要的IT实践，详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等IT服务管理中最主要的内容就是服务交付（ServiceDelivery）和服务支持（ServiceSupport）服务交付（ServiceDelivery）：ServiceLevelManagementFinancialManagementforITServiceCapacityManagementITServiceContinuityManagementAvailabilityManagement,20,1.9信息安全基础-ITIL,ITILV3版本图,21,1.9信息安全基础-ITIL,服务支持（ServiceSupport）：ServiceDeskIncidentManagementProblemManagementConfigurationManagementChangeManagementReleaseManagementBS150002001年，英国标准协会在国际IT服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。,22,1.9信息安全基础-ITIL,BS15000有两个部分，目前都已经转化成国际标准了。ISO/IEC20000-1:2005信息技术服务管理-服务管理规范（Informationtechnologyservicemanagement.SpecificationforServiceManagement）ISO/IEC20000-2:2005信息技术服务管理-服务管理最佳实践（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）与BS7799相比ITIL关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将BS7799作为ITIL在信息安全方面的补充，同时引入ITIL流程的方法，以此加强信息安全管理的实施能力。,23,1.10信息安全基础-ISO15408,ISO15408ISO国际标准化组织于1999年正式发布了ISO/IEC15408。ISO/IECJTC1和CommonCriteriaProjectOrganisations共同制订了此标准，此标准等同于CommonCriteriaV2.1。ISO/IEC15408有一个通用的标题信息技术安全技术IT安全评估准则。此标准包含三个部分：第一部分介绍和一般模型第二部分安全功能需求第三部分安全认证需求安全功能需求1审计安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储,24,1.10信息安全基础-ISO15408,安全功能需求2通信源不可否认、接受不可否认3密码支持密码密钥管理、密码操作4用户数据保护访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护5鉴别和认证认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订6安全管理安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色7隐私匿名、使用假名、可解脱性、可随意性,25,1.10信息安全基础-ISO15408,安全功能需求8安全功能保护底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。9资源利用容错、服务优先权、资源分配10访问可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立11可信通道/信道内部可信通道、可信通道,26,1.10信息安全基础-ISO15408,安全认证需求1配置管理2分发和操作3开发4指导文档5生命周期支持6测试7漏洞评估,27,1.11信息安全基础-ISO13335,ISO13335(CIA+Accountability,Authenticity,Reliability)ISO13335是一个信息安全管理指南，这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。第一部分：IT安全的概念和模型（ConceptsandmodelsforITSecurity）第二部分：IT安全的管理和计划（ManagingandplanningITSecurity）第三部分：IT安全的技术管理（TechniquesforthemanagementofITSecurity）第四部分：防护的选择（Selectionofsafeguards）第五部分：网络安全管理指南（Managementguidanceonnetworksecurity）,28,1.11信息安全基础-ISO13335,ISO13335第一部分：IT安全的概念和模型发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍第二部分：IT安全的管理和计划发布于1997年12月15日。这个部分建议性地描述了IT安全管理和计划的方式和要点，包括决定IT安全目标、战略和策略决定组织IT安全需求管理IT安全风险计划适当IT安全防护措施的实施开发安全教育计划策划跟进的程序，如监控、复查和维护安全服务开发事件处理计划,29,1.11信息安全基础-ISO13335,ISO13335第三部分：IT安全的技术管理发布于1998年6月15日。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT安全教育程序等。第四部分：防护的选择发布于2000年3月1日。这个部分主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。第五部分：网络安全管理指南这个部分是基于ISO/IECTR13335第四部分建立的，介绍了如何确定与网络连接相关的保护域。,30,1.11信息安全基础-ISO13335,31,1.12信息安全基础-GB18336,GB18336GB/T18336：2001信息技术安全技术信息技术安全性评估准则（等同于ISO/IEC15408-1999）（通常也简称通用准则-CC）已于2001年3月正式颁布，该标准是评估信息技术产品和系统安全性的基础准则。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准则努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准则并具体实践的基础上，通过相互间的总结和互补发展起来的。,32,1.13信息安全基础-等级保护,等级保护信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,33,1.13信息安全基础-等级保护,等级保护第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,34,信息安全与审计基础及理论知识,究竟什么是信息安全审计PDCA（监督与保障）Syslog（日志）AuditTrail（审计留痕）,35,信息安全与审计基础及理论知识,36,信息安全与审计基础及理论知识,信息安全审计目的是什么让别人难堪？显示我们的聪明与他们的错误？展示审计的权力？内审与外审1,为了保证提供独立的审计委员会（和高级管理）的内部控制措施，在公司内有效地运作2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点成本效益的解决方案，内部控制的状态。,37,信息安全与审计基础及理论知识,怎样做好信息安全审计工作领导的推动与支持审计的方式不是挑毛病，而是交朋友积累专业知识,38,如果开始信息安全审计工作采用一个标准建立一套系统充实与完善细则内容执行与监督,ISO27001,ISMS,Net/OS/DB,ACTS,1,2,3,4,信息安全与审计基础及理论知识,39,信息安全与审计基础及理论知识,资质与认证BSIDNV指定评测或认证机构CISSPCISALA,40,1.6信息安全基础-权威认证,CISSP介绍安全管理SecurityManagementPractices安全架构与模型SecurityArchitectureandModels访问控制AccessControl应用与系统开发ApplicationsandSystemsDevelopment操作安全OperationsSecurity物理安全PhysicalSecurity加密Cryptography通信与网络TelecommunicationsandNetworking业务连续性/灾难恢复BusinessContinuityPlanning/DRP法律，事后取证Law,Investigation,andEthics,41,1.6信息安全基础-权威认证,CISA介绍()CISA考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开始，共四个小时13点结束包括六部分内容，各自所占比例如下：信息系统审计过程（占10%）IT治理（占15%）系统和生命周期管理（占16%）IT服务的交付与支持（占14%）信息资产保护（占31%）业务连续性与灾难恢复计划（占14%）,管理指引适用范围,适用范围：本指引适用于在中华人民共和国境内依法设立的法人商业银行。参照范围：政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。,42,管理指引管理职责,商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。特定部门负责信息科技风险管理工作:为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。内部审计部门设立专门的信息科技风险审计岗位:负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。人员安全和法规：入职前审查、入职中教育、降低离职的损失知识产权保护总体原则：自上而下、明确分工,43,管理指引风险管理,涉及范围：信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。制定持续的风险识别和评估流程识别隐患评价影响排序制定措施及安排资源措施：风险管理制度、技术标准、操作规程权限管理：高权限用户的审查、物理和逻辑控制、最小化和必须知道原则、授权审批和验证。风险监测：评价机制、程序和标准、报告机制、整改机制、定期审查（已有体系、控制台、新技术、外部威胁）,44,管理指引信息安全,科技部门：信息分类和保护体系、安全教育和贯彻信息安全体系：安全制度管理、安全组织管理、资产管理、人员安全、物理与环境安全、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。用户认证与授权：必须知道、离职的权限移除物理保护区域划分与保护：物理、逻辑访问控制、内容过滤、传输、监控、记录系统安全：安全规范、权限分配、帐户审计、补丁管理、日志监控所有系统：职责分配、认证、输入输出、数据保密、审计踪迹,45,管理指引信息安全（续）,日志管理:交易日志、系统日志记录内容、覆盖范围、保存期限加密措施：符合国家要求、人员要求、强度要求、密钥管理定期检查：包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等管理客户信息：采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。Pci-dss？人员培训。,46,管理指引开发管理,职责：项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。项目风险：潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，并采取适当的项目管理方法。生命周期管理。变更管理：生产、开发、测试环境的物理区域和人员职责分离、紧急修复的记录、变更审查。问题管理：全面的追踪、分析和解决。ITIL？升级管理.,47,管理指引信息科技运行,物理环境控制：电力供应、自然灾害、基础设施外来人员访问：审查批准记录陪同人员职责分离：运行与维护分离交易数据：可保存、机密性、完整性、可恢复操作说明：运营操作指南与规范。事故管理：报告分析追踪解决。服务水平管理：SlA。监控、例外和预警。容量管理：外部变化和内部业务。升级管理：记录保存。变更管理：审批、记录和更正紧急修复。,48,管理指引业务连续性管理,规划：基于自身业务的性质、规模和复杂程度制定规划；定期演练。意外事件：内部资源故障或缺失、信息丢失与受损、外部事件业务中断：系统恢复和双机热备应急恢复、保险以降低损失连续性策略：规划（资源管理、优先级、外部沟通）、更新、验证、审核应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。,49,管理指引外包管理,谨慎原则外包协议：适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。合同谈判：必要条件、监督、所有权、损失补偿、遵守规范、服务水平管理、变更服务水平管理：定性和定量指标、水平考核、不达标的处理数据安全保护：隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止应急措施：外包不可用外包合同审批：信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。并定期审核,50,管理指引内部审计,内审部门：系统控制的适当性和有效性。审计人员资源和能力。审计责任：审计计划、审计工作、整改检查、专项审计。审计范围和频率：基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。审计参与：大规模审计时，风险管理部门的参与。,51,管理指引外部审计,外审机构选择：法律法规要求、能力要求审计沟通银监会及其派出机构：必要时的检查、审计授权书、保密协定、规定时间内完成整改。,52,53,ISMS信息安全与风险管理框架介绍,ISMSInformationSecurityManagementSystem-ISMS信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员,ISO27000系列标准介绍,ISO/IEC27001:2005,ISO/IEC27001:2005的名称Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements信息技术-安全技术-信息安全管理体系-要求,该标准用于：为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型，并规定了要求。,该标准适用于：所有类型的组织（例如，商业企业、政府机构、非赢利组织）。,是建立和实施ISMS的依据，是ISMS认证的依据。,ISO27000系列标准介绍,ISO/IEC27002:2005主要内容,56,COBIT框架介绍,什么是Cobit,是由信息系统审计和控制基金会ISACF（InformationSystemsAuditandControlFoundation）最早于1996年制定的IT治理模型，目前已经更新至第四版。COBIT的制订宗旨是跨越业务控制（businesscontrol）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型,与IT标准的关联关系,与IT审计的关系COBIT包含而不限于IT审计的模块（AuditGuidline），但并非是针对IT审计的专门论述与BS7799、ITIL的关系侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。,58,2.信息安全相关内容,为什么要了解信息安全,IT审计的主要内容就是信息安全审计了解信息安全的问题，才能制定有效的解决办法审计这些解决办法的制定、实施、改进情况,59,2.信息安全相关内容,扫描,信息扫描Nmapportscan密码扫描WebcrackEmailcracksolarwinds漏洞扫描NessusISS综合扫描器Xscan流光SSSDBSCAN木马探测,60,2.信息安全相关内容,密码破解,在线通常是密码扫描工具，实时地连接目标系统进行密码猜测。另外也有一些工具有在线密码破解功能，例如solarwinds、l0phtcrack等。对于WEB的cookie进行猜测破解对于内存、缓存、视图中的密码进行破解，例如msn密码。IE浏览器星号密码等。离线通常是获取了目标系统的用户或者密码文件，通过对加密算法的还原，或者已知密文猜测明文、暴力破解等方式。离线破解的优势在于，不易被目标系统发现，并且可以分布式计算破解等。,61,2.信息安全相关内容,密码破解,字典字典通常包括所有英文单词，常用数字与符号，例如123、qwe、qaz、poi等等。中文字典可能包括单位、部门、姓名拼音的缩写，例如cmcc、yssh、zhc等。暴力暴力破解通常是按照一定的规则，将所有可能的字母、数字、符号等组合进行尝试。也就是穷举破解。暴力破解通常至少包括6位以下的字母、数字，包括所有生日。暴力破解不一定全部针对密码，也有可能是对加密置换方法的穷举。,62,2.信息安全相关内容,密码破解,规则可定制规则的产生字典或者暴力破解的密码集，例如将账号倒过来，将字母与常用前、后缀组合，按照目标的习惯产生密码等。例如creek123等。组合还可能包括将字母与数字互换，加上大小写等。例如r00t!#、cr33k!23等。其他通过密码找回功能，关联分析功能、密码重置或者密码清除等进行密码功能破解。典型的工具crack、John、l0pht等。,63,2.信息安全相关内容,漏洞利用与权限获取,缓冲区溢出一般是堆栈缓冲区溢出，主要是利用目标系统存在的漏洞，使得堆栈区的数据越界，覆盖和修改了同样在堆栈中的程序返回地址，从而可以改变程序流，执行特定构造或者指定的程序代码的方法。本地缓冲区溢出通常是针对suid程序，来获得权限的提升。远程缓冲区溢出是指通过网络服务的数据包通信，进行缓冲区溢出攻击的方法。远程服务通常都是超级用户权限，因此通常溢出后直接得到超级权限。远程服务溢出可能直接从远程得到本地权限，因此不需要账号密码登录。缓冲区溢出也可以被用来进行拒绝服务攻击。,64,2.信息安全相关内容,漏洞利用与权限获取,格式化字符串格式化字符串是指的，在程序中通常用%s做为参数来输出动态的字符串，例如printf(“itis%s”,string)如果存在格式化字符串漏洞，则可以通过构造string的内容，造成岐义，例如string内容又带有%s，并且格式化字符串被多层引用。格式化字符串也可能造成与缓冲区溢出类似的效果。SQL注入SQL注入有点类似于格式化字符串。通常是指的网页脚本程序，操作数据库的代码部分，如果对于输入的变量未进行检查，则可能通过特定构造的输入字符，造成拼接后的SQL语句语义的改变，从而达到控制程序流运行。,65,2.信息安全相关内容,漏洞利用与权限获取,SQL注入“”，例如源代码是if“user”=“input”then这里input是指我们输入的用户，我们输入aaa”or1=“1作为用户名，那么程序成为if“user”=“aaa”or1=“1”，这是恒等式。从而可以在不知道用户名或者密码的情况下绕过认证。；，输入信息为aaa;echo/etc/passwd，在unix下分号表示后面为独立的命令，运行完当前命令后，继续运行分号后的命令。CGICGI就是通用网关接口，服务端的ASP、PHP、JSP、PERL以及可执行程序等都可以统称为CGI程序。CGI程序可能存在漏洞，也可能存在泄露服务器信息的问题。可以通过WEB服务器CGI功能挂马。,66,2.信息安全相关内容,权限提升,高权限用户本地suid程序缓冲区溢出通常是权限提升的方法进程注入可以用来提升权限获取密码文件，破解密码可以提升权限通过文件系统漏洞、临时文件、符号链接等，获取高级别用户权限通过伪造欺骗，获取高级别用户密码等权限突破Chroot、jailChroot是改变程序运行的绝对目录为虚拟目录。突破这种限制将可以访问磁盘文件系统上的非授权访问文件。,67,2.信息安全相关内容,权限提升,突破虚拟机虚拟机将所有程序限制在一定的磁盘空间、一定的内存，一定的外设等，指令可能被替换和虚拟执行突破虚拟机将可以对宿主机直接进行磁盘、内存、外设的访问。网络的扫描与其他系统的权限获取，也可能提升权限。例如信任主机、密码文件获取等。网络扫描与网络窃听也可能获取密码，提升权限。,68,2.信息安全相关内容,网络嗅探,Sniffer，译为嗅探、监听、窃听，或者抓包。在同一个HUB上，数据包是广播的，可以得到所有人的数据包，如果是明文协议，则可能得到登录过程相应的密码。交换环境下，需要采取ARP欺骗相结合的手段进行交换环境的网络窃听，主要代表工具是dsniff。网络嗅探除了可能得到账号密码，也可能得到重要数据文件、重要操作过程与操作方法等。网络嗅探通常是被动监听状态，不向网络发送任何数据包，比较隐蔽，不容易被发现，有些工具能发现网络中的嗅探器，例如promiscan等。,69,2.信息安全相关内容,网络欺骗,IP欺骗通常伪造数据包的源IP地址，使得目标收到数据包后，无法找到来攻击者来源。也可以伪造数据包的源IP地址，使得此IP地址成为被攻击的对象。在能猜测TCP的SEQ号情况下，IP欺骗可能实现会话劫持的效果。ARP互联网上的数据包到了局域网后，就需要通过局域网协议传输，使用的是MAC地址和ARP协议。ARP欺骗通常是中间人攻击。ARP欺骗可以是主动更新包，也可以免费响应包。,70,2.信息安全相关内容,网络欺骗,DNS(域名服务)猜测DNS的序列号，穷举同时发送所有的DNS数据包，可以实现DNS的会话劫持，从而可以改变DNS请求者的获得的解析内容，将域名解析到其他IP地址。直接控制DNS服务器，修改DNS解析内容，也可能实现网络欺骗，特别是根域名服务器影响会大，今年百度事件就是因为根域名服务器的域名解析被篡改。钓鱼钓鱼网站可能和真实网站做得外观非常相似，域名也类似，通常用来窃取粗心用户的用户名与密码。例如与工商银行相似的钓鱼网站通过虚假中奖信息发布、免费注册博客账号等方式，诱骗不知情用户输入用户名与密码。,71,2.信息安全相关内容,中间人与会话劫持,中间人理论上，如果A与B通信，所有通信过程前没有任何协商好的秘密，那么M一定可以用某种方法成为中间人，并且让A与B并不知情。由于A与B事先无协商好的秘密，因此A无法鉴别正在与自己通信的是B还是M，同样B也无法鉴别与自己通信的是A还是M。M可以通过某种方式成为A与B的中间人。作为中间的传声筒，A与B不知道自己发送的内容是否被中间人替换，即使是加密的。会话劫持通常是通过中间的人方式来实现，也有可能通过某种方式造成原通信主机拒绝服务后，由自己替代。,72,2.信息安全相关内容,跨站脚本攻击,Crosssitescript的缩写，因为与CSS网页样式文件重名，因此简写为XSS攻击者向Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，通常在用户不知情的情况下，中途访问其他站点，收集用户的COOKIE，或者自动下载木马与运行等。欺骗其他人访问自己构造的页面，通常可能在允许HTML语言输入的BBS、博客等签名文档里构造。,73,2.信息安全相关内容,拒绝服务,漏洞型协议漏洞Synflood(半开连接，资源耗尽)Fin攻击(违反协议)Land(源/目的地址与端口都是被攻击者)Smurf(源地址为被攻击者或者广播地址)CISCO的55、77协议服务漏洞例如snmpd漏洞使用ftp探测ibm某高端口等,74,2.信息安全相关内容,拒绝服务,流量型资源消耗+流量型分布式拒绝服务,Target,Attacker,Master,Internet,Zombies,攻击者,主控机,僵尸机,目标机,75,2.信息安全相关内容,后门木马,本地账号后门密码后门SHELLSUID后门替换命令/修改loginCrontab/atinittabRcXinitrc.login/.profile/.bashrc/.cshrcLKM,76,2.信息安全相关内容,后门木马,网络监听端口网页CGI远程连接IRC客户端发送邮件ICMP通道Udp通道NC反向连接定时访问,77,2.信息安全相关内容,无线网络,非加密不广播SSID中文SSID超长SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng,78,2.信息安全相关内容,扫尾,清除入侵信息清除过程文件清除core文件清除访问日志修改文件、目录时间修改/删除日志修改shell记录杀掉/重启进程填补系统漏洞,79,2.信息安全相关内容,其他,社会工程学技术入侵不一定是最优选择权限集中可以被利用兴趣爱好可以被利用操作习惯可以被利用,80,2.信息安全相关内容,PKI,PKI是PublicKeyInfrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽，是一个被很多人接受的概念。这个定义说明，任何以公钥技术为基础的安全基础设施都是PKI。当然，没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务，也就不能叫做PKI。也就是说，该定义中已经隐含了必须具有的密钥管理功能X.509标准中，为了区别于权限管理基础设施(PrivilegeManagementInfrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。这个概念与第一个概念相比，不仅仅叙述PKI能提供的安全服务，更强调PKI必须支持公开密钥的管理。也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。,81,2.信息安全相关内容,PKI,PKI技术是信息安全技术的核心，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分：公钥密码证书管理。黑名单的发布和管理。密钥的备份和恢复。自动更新密钥。自动管理历史密钥。支持交叉认证。,82,2.信息安全相关内容,VPN,VPN的英文全称是“VirtualPrivateNetwork”，即虚拟专用网。VPN主要采用的四项安全保证技术隧道技术加解密技术密钥管理技术身份认证技术IPSecVPN:IPsec(缩写IPSecurity)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：保护分组流的协议；用来建立这些安全分组流的密钥交换协议。,83,2.信息安全相关内容,VPN,IPSecVPN:前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。PPTPVPN:PointtoPointTunnelingProtocol点到点隧道协议，在因特网上建立IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。微软系统自带PPTP协议。,84,2.信息安全相关内容,VPN,L2F:Layer2Forwarding-第二层转发协议L2TP:Layer2TunnelingProtocol-第二层隧道协议GRE:VPN的第三层隧道协议SSLVPN:从概念角度来说，SSLVPN即指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。,85,2.信息安全相关内容,其他安全防护技术与产品,需要审计，我们是否需要、是否部署了、是否合理使用了这些产品，并且提供相应的记录与证据扫描防火墙FW入侵检测IDS防病毒AV入侵防御IPS统一威胁管理UTM身份鉴别加解密系统虚拟专网VPN主机入侵检测HIDS,86,2.信息安全相关内容,其他安全防护技术与产品,数字签名校验网闸终端安全TS与上网行为管理防水墙业务连续性产品审计与取证数据备份、复制与恢复流量清洗网络抓包安全管理平台,87,IT审计的技术内容（一）,实体级控制审计数据库审计的方法数据中心与灾难恢复网络与安全设备审计,88,ChecklistforAuditingEntity-LevelControls实体级控制审计检查项列表1.ReviewtheoverallITorganizationstructuretoensurethatitprovidesforclearassignmentofauthorityandresponsibilityoverIToperationsandthatitprovidesforadequatesegregationofduties.检查整体的IT组织结构，确认在该结构中对整体的IT运行提供了清晰明确的权、责分配，并且提供了适当的分权设置2.ReviewtheITstrategicplanningprocesstoensurethatitalignswithbusinessstrategies.EvaluatetheITorganizationsprocessesformonitoringprogressagainstthestrategicplan.检查其IT策略的规划过程，确认该过程与其业务策略相匹配。针对策略规划，评估IT组织对其进展的监控过程。3.Determinewhethertechnologyandapplicationstrategiesandroadmapsexist,andevaluateprocessesforlong-rangetechnicalplanning.确认技术、应用与路线图是否存在，并评估其长期技术规划过程。4.ReviewperformanceindicatorsandmeasurementsforIT.Ensurethatprocessesandmetricsareinplace(andapprovedbykeystakeholders)formeasuringperformanceofday-to-dayactivitiesandfortrackingperformanceagainstSLAs,budgets,andotheroperationalrequirements.检查IT的绩效指标与测量。确保已经制定了各种绩效测量的方法与指标，这些绩效测量的方法与指标用于评估日常工作，也用于针对SLA（ServiceLevelAgreement）、预算和其它操作要求的评估。同时确保绩效测量的方法与指标已得到相关管理层的授权批准。,实体级控制审计,89,5.ReviewtheITorganizationsprocessforapprovingandprioritizingnewprojects.Determinewhetherthisprocessisadequateforensuringthatsystemacquisitionanddevelopmentprojectscannotcommencewithoutapproval.Ensurethatmanagementandkeystakeholders