网络系统安全评估及高危漏洞(ppt 196页).ppt

广东省中小学信息网络管理员安全技术培训班Dec2005许伯桐 博士 Email burton xu ProfessionalSecuritySolutionProvider 网络系统安全评估及高危漏洞 提纲 安全态势 15分钟 安全标准与风险评估 90分钟 概述 15分钟 通用准则CC 45分钟 BS7799 30分钟 休息 15分钟 系统高危漏洞 60分钟 概述 10分钟 20个最危险的安全漏洞 25分钟 网络安全维护 20分钟 安全编程与其他安全技术领域 5分钟 安全态势 安全态势 近年网络安全态势 任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易 攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁zero day 特点 任何组织都会遭受攻击 每年发现的漏洞数量飞速上升 每年发现的漏洞数量飞速上升2004年CVE全年收集漏洞信息1707条到2005年到5月6日就已经达到1470条 发起攻击越来越容易 攻击能力越来越强 黑客的职业化之路 不再是小孩的游戏 而是与 挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份 不为人知 但确实存在 攻击水平通常很高 精通多种技术攻击者对自己提出了更高的要求 不再满足于普通的技巧而转向底层研究 面临严峻的安全形势 SQLInjection等攻击方式对使用者要求较低缓冲区溢出 格式串攻击已公开流传多年 越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力 并且这个数量在增加漏洞挖掘流程专业化 工具自动化 看不见的风险 厂商为了声誉不完全公开产品的安全缺陷 漏洞私有 不为人知 网络安全事件造成巨大损失 在FBI CSI的一次抽样调查结果 被调查的企业2004年度由于网络安全事件直接造成的损失就达到1 4亿美元 怠工 蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内部网络的滥用 拒绝服务攻击 病毒事件 网络安全事件类型 来源 信息网络安全状况调查 常用管理方法 来源 信息网络安全状况调查 应用最广泛的网络安全产品 来源 信息网络安全状况调查 网络攻击产生原因分析 来源 信息网络安全状况调查 安全设计四步方法论 ISSF模型 安全设计和安全域 等级保护的结合 示例 安全体系的全面性措施分级保护 适度安全强度分级三分技术 七分管理 网络系统安全风险评估 网络系统安全风险评估 组织实现信息安全的必要的 重要的步骤 风险评估的目的 风险评估的目的 了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据 风险的四个要素 资产及其价值威胁脆弱性现有的和计划的控制措施 风险的要素 资产的分类 电子信息资产软件资产物理资产人员公司形象和名誉 威胁举例 黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如 地震 火灾 爆炸等 盗窃网络监听供电故障后门未授权访问 脆弱性 是与信息资产有关的弱点或安全隐患 脆弱性本身并不对资产构成危害 但是在一定条件得到满足时 脆弱性会被威胁加以利用来对信息资产造成危害 脆弱性举例 系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置 物理环境不安全缺少审计缺乏安全意识后门 风险的要素 风险分析矩阵 风险程度 E 极度风险H 高风险M 中等风险L 低风险 国际上常见的风险控制流程 提供 采取 降低 影响 完成 保护 安全保证技术提供者 系统评估者 安全保证 信心 风险 对策 资产 使命 资产拥有者 价值 给出证据 生成保证 具有 信息安全有效评估的目标 风险评估要素关系模型 信息系统是一个巨型复杂系统 系统要素 安全要素 信息系统受制于外部因素 物理环境 行政管理 人员 作业连续性保证威胁和风险在同领域内的相似性自评估 委托评估 检察评估 信息系统安全风险评估的特征 风险评估的一般工作流程 风险评估活动 风险评估活动 风险评估活动 评估工具 评估工具目前存在以下几类 扫描工具 包括主机扫描 网络扫描 数据库扫描 用于分析系统的常见漏洞 入侵检测系统 IDS 用于收集与统计威胁数据 渗透性测试工具 黑客工具 用于人工渗透 评估系统的深层次漏洞 主机安全性审计工具 用于分析主机系统配置的安全性 安全管理评价系统 用于安全访谈 评价安全管理措施 风险综合分析系统 在基础数据基础上 定量 综合分析系统的风险 并且提供分类统计 查询 TOPN查询以及报表输出功能 评估支撑环境工具 评估指标库 知识库 漏洞库 算法库 模型库 GB18336idtISO IEC15408信息技术安全性评估准则 IATF信息保障技术框架 ISSE信息系统安全工程 SSE CMM系统安全工程能力成熟度模型 BS7799 ISO IEC17799信息安全管理实践准则 其他相关标准 准则例如 ISO IEC15443 COBIT 系统认证和认可标准和实践例如 美国DITSCAP 中国信息安全产品测评认证中心相关文档和系统测评认证实践 技术准则 信息技术系统评估准则 管理准则 信息系统管理评估准则 过程准则 信息系统安全工程评估准则 信息系统安全保障评估准则 与现有标准关系 信息系统安全保障评估准则 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799 信息技术安全技术信息技术安全性评估准则 ISO13335 IT安全管理指南 SSE CMM系统安全工程能力成熟度模型我国的信息安全标准制定情况 标准介绍 保障信息安全有三个支柱 一个是技术 一个是管理 一个是法律法规 国家的法律法规 有专门的部门在研究和制定和推广 根据国务院27号文件 对信息安全实施分级安全保护的规定出台后 各有关部门都在积极制定相关的制度和法规 当前被普遍采用的技术标准的是CC ISO15408 管理体系标准是ISO17799 BS7799 通用准则CC ISO IEC15408 GB T18336 通用准则CC 信息技术安全评估准则发展过程 1999年GB17859计算机信息系统安全保护等级划分准则 1991年欧洲信息技术安全性评估准则 ITSEC 国际通用准则1996年 CC1 0 1998年 CC2 0 1985年美国可信计算机系统评估准则 TCSEC 1993年加拿大可信计算机产品评估准则 CTCPEC 1993年美国联邦准则 FC1 0 1999年国际标准ISO IEC15408 1989年英国可信级别标准 MEMO3DTI 德国评估标准 ZSEIC 法国评估标准 B W RBOOK 2001年国家标准GB T18336信息技术安全性评估准则idtiso iec15408 1993年美国NIST的MSFR CC的适用范围 CC定义了评估信息技术产品和系统安全型所需的基础准则 是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求 使各种相对独立的安全评估结果具有可比性 该标准适用于对信息技术产品或系统的安全性进行评估 不论其实现方式是硬件 固件还是软件 还可用于指导产品和系统开发 该标准的主要目标读者是用户 开发者 评估者 CC内容 CC吸收了个先进国家对现代信息系统安全的经验和知识 对信息系统安全的研究和应用定来了深刻的影响 它分为三部分 第一部分介绍CC的基本概念和基本原理 第二部分提出了安全功能要求 第三部分提出了非技术性的安全保证要求 后两部分构成了CC安全要求的全部 安全功能要求和安全保证要求 其中安全保证的目的是为了确保安全功能的正确性和有效性 这是从ITSEC和CTCPEC中吸收的 同时CC还从FC中吸收了保护轮廓的 PP 的概念 从而为CC的应用和发展提供了最大可能的空间和自由度 CC定义了作为评估信息技术产品和系统安全性的基础准则 提出了目前国际上公认的表述信息技术安全性的结构 即 安全要求 规范产品和系统安全行为的功能要求 解决如何正确有效的实施这些功能的保证要求 CC的关键概念 评估对象 TargetofEvaluation TOE 用于安全评估的信息技术产品 系统或子系统 如防火墙 计算机网络 密码模块等 包括相关的管理员指南 用户指南 设计方案等文档 保护轮廓 ProtectionProfile PP 为既定的一系列安全对象提出功能和保证要求的完备集合 表达了一类产品或系统的用户需求 PP与某个具体的TOE无关 它定义的是用户对这类TOE的安全需求 主要内容 需保护的对象 确定安全环境 TOE的安全目的 IT安全要求 基本原理在标准体系中PP相当于产品标准 也有助于过程规范性标准的开发 国内外已对应用级防火墙 包过滤防火墙 智能卡等开发了相应的PP CC的关键概念 安全目标 SecurityTarget ST针对具体TOE而言 它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施 ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP ST是开发者 评估者 用户在TOE安全性和评估范围之间达成一致的基础 ST相当于产品和系统的实现方案 与ITSEC的安全目标类似 TOESecurityPolicy TSP TOE安全策略控制TOE中资产如何管理 保护和分发的规则 CC的关键概念 TOESecurityFunctions TSF TOE安全功能必须依赖于TSP正确执行的TOE的所有部件 组件 Component 组件描述了一组特定的安全要求 使可供PP ST或包选取的最小的安全要求集合 在CC中 以 类 族 组件号 的方式来标识组件 包 Package 组件依据某个特定关系的组合 就构成了包 构建包的目的是定义那些公认有用的 对满足某个特定安全目的有效的安全要求 包可以用来构造更大的包 PP和ST 包可以重复使用 CC中有功能包和保证包两种形式 CC的关键概念 CC的关键概念 CC的关键概念 CC的先进性 结构的开放性即功能要求和保证要求都可以在具体的 保护轮廓 和 安全目标 中进一步细化和扩展 如可以增加 备份和恢复 方面的功能要求或一些环境安全要求 这种开放式的结构更适应信息技术和信息安全技术的发展 表达方式的通用性即给出通用的表达方式 如果用户 开发者 评估者 认可者等目标读者都使用CC的语言 互相之间就更容易理解沟通 例如 用户使用CC的语言表述自己的安全需求 开发者就可以更具针对性地描述产品和系统的安全功能和性能 评估者也更容易有效地进行客观评估 并确保用户更容易理解评估结果 这种特点对规范实用方案的编写和安全性测试评估都具有重要意义 在经济全球化发展 全球信息化发展的趋势下 这种特点也是进行合格评定和使评估结果实现国际互认的需要 CC的先进性 结构和表达方式的内在完备性和实用性体现在 保护轮廓 和 安全目标 的编制上 保护轮廓 主要用于表达一类产品或系统的用户需求 在标准化体系中可以作为安全技术类标准对待 内容主要包括 对该类产品或系统的界定性描述 即确定需要保护的对象 确定安全环境 即指明安全问题 需要保护的资产 已知的威胁 用户的组织安全策略 产品或系统的安全目的 即对安全问题的相应对策 技术性和非技术性措施 信息技术安全要求 包括功能要求 保证要求和环境安全要求 这些要求通过满足安全目的 进一步提出具体在技术上如何解决安全问题 基本原理 指明安全要求对安全目的 安全目的对安全环境是充分且必要的 附加的补充说明信息 保护轮廓 编制 一方面解决了技术与真实客观需求之间的内在完备性 另一方面用户通过分析所需要的产品和系统面临的安全问题 明确所需的安全策略 进而确定应采取的安全措施 包括技术和管理上的措施 这样就有助于提高安全保护的针对性 有效性 安全目标 在 保护轮廓 的基础上 通过将安全要求进一步针对性具体化 解决了要求的具体实现 常见的实用方案就可以当成 安全目标 对待 通过 保护轮廓 和 安全目标 这两种结构 就便于将CC的安全性要求具体应用到IT产品的开发 生产 测试 评估和信息系统的集成 运行 评估 管理中 CC的先进性 CC内容之间的关系 CC的三个部分相互依存 缺一不可 第1部分是介绍CC的基本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术性要求和对开发过程 工程过程的要求 三个部分有机地结合成一个整体 具体体现在 保护轮廓 和 安全目标 中 保护轮廓 和 安全目标 的概念和原理由第1部分介绍 保护轮廓 和 安全目标 中的安全功能要求和安全保证要求在第2 3部分选取 这些安全要求的完备性和一致性 由第2 3两部分来保证 保护轮廓与安全目标的关系 通用准则CC CC包括三个部分 第一部分 简介和一般模型第二部分 安全功能要求第三部分 安全保证要求 通用准则CC 第一部分介绍和通用模型 安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 CC第一部分内容 1 CC第一部分内容 2 通用准则CC CC中安全需求的描述方法 包 组件的中间组合被称为包保护轮廓 PP PP是关于一系列满足一个安全目标集的TOE的 与实现无关的描述安全目标 ST ST是针对特定TOE安全要求的描述 通过评估可以证明这些安全要求对满足指定目的是有用和有效的 通用准则CC 包允许对功能或保证需求集合的描述 这个集合能够满足一个安全目标的可标识子集包可重复使用 可用来定义那些公认有用的 能够有效满足特定安全目标的要求包可用在构造更大的包 PP和ST中 通用准则CC PP包含一套来自CC 或明确阐述 的安全要求 它应包括一个评估保证级别 EAL PP可反复使用 还可用来定义那些公认有用的 能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理PP的开发者可以是用户团体 IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 通用准则CC 保护轮廓内容结构 通用准则CC 安全目标 ST 包括一系列安全要求 这些要求可以引用PP 也可以直接引用CC中的功能或保证组件 或明确说明一个ST包含TOE的概要规范 安全要求和目的 以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础 通用准则CC 安全目标ST内容结构 通用准则CC CC框架下的评估类型PP评估PP评估的目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明ST评估ST评估具有双重目标 首先是为了证明ST是完备的 一致的 技术合理的 而且适合于用作相应TOE评估的基础其次 当某一ST宣称与某一PP一致时 证明ST满足该PP的要求TOE评估TOE评估的目标是为了证明TOE满足ST中的安全要求 通用准则CC 三种评估的关系 通用准则CC第二部分 安全功能要求 CC的第二部分是安全功能要求 对满足安全需求的诸安全功能提出了详细的要求另外 如果有超出第二部分的安全功能要求 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 通用准则CC第二部分 安全功能要求 通用准则CC第二部分 安全功能要求 通用准则CC第二部分 安全功能要求 通用准则CC第二部分 安全功能要求 安全功能需求层次关系 功能和保证要求以 类 族 组件 的结构表述 组件作为安全要求的最小构件块 可以用于 保护轮廓 安全目标 和 包 的构建 例如由保证组件构成典型的包 评估保证级包 通用准则CC CC共包含的11个安全功能类 如下 FAU类 安全审计FCO类 通信FCS类 密码支持FDP类 用户数据保护FIA类 标识与鉴别FMT类 安全管理FPR类 隐秘FPT类 TSF保护FAU类 资源利用FTA类 TOE访问FTP类 可信路径 信道 通用准则CC 第三部分评估方法 CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 通用准则CC 第三部分评估方法 CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 通用准则CC 第三部分评估方法 通用准则CC 第三部分评估方法 通用准则CC 第三部分评估方法 通用准则CC 第三部分评估方法 通用准则CC 第三部分评估方法 通用准则CC 七个安全保证类ACM类 配置管理CM自动化CM能力CM范围ADO类 交付和运行交付安装 生成和启动ADV类 开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型 AGD类 指南文档管理员指南用户指南ALC类 生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类 测试覆盖范围深度功能测试独立性测试AVA类 脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析 通用准则CC 通用准则CC 安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 分别是 通用准则CC EAL解释 通用准则CC EAL解释 CC的EAL与其他标准等级的比较 PP基本原理 对PP进行评估的依据 证明PP是一个完整的 紧密结合的要求集合 满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理 威胁 组织安全策略 假设 安全需求 IT安全要求 TOE目的 环境的目的 安全目的 相互支持 支持 恰好满足 恰好满足 功能强度声明 一致 威胁举例 T REPLAY重放 当截获了有效用户的识别和鉴别数据后 未授权用户可能在将来使用这些鉴别数据 以访问TOE提供的功能 安全目的举例 O SINUSE单用途 TOE必须防止用户重复使用鉴别数据 尝试通过互连网络在TOE上进行鉴别 O SECFUN安全功能 TOE必须提供一种功能使授权管理员能够使用TOE的安全功能 并且确保只有授权管理员才能访问该功能 O SINUSE FIA ATD 1用户属性定义 允许为每个用户单独保存其用户安全属性 FIA UAU 1鉴别定时 允许用户在身份被鉴别前 实施一定的动作 FIA UAU 4单用户鉴别机制 需要操作单用户鉴别数据的鉴别机制 FMT MSA 3静态属性初始化 确保安全属性的默认值是允许的或限制某行为的 TOE安全功能要求举例 TOE安全功能要求举例 FMT MOF 1安全功能行为的管理 允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为 FAU STG 1受保护的审计踪迹存储 放在审计踪迹中的数据将受到保护 以避免未授权的删除或修改 FAU STG 4防止审计数据丢失 规定当审计踪迹溢满时的行动 O SECFUN PP示例 包过滤防火墙安全技术要求 GB18019 99 应用级防火墙安全技术要求 GB18020 99 路由器安全技术要求 GB18018 99 电信智能卡安全技术要求 网上证券委托系统安全技术要求 通用准则CC CC优点 CC代表了先进的信息安全评估标准的发展方向 基于CC的IT安全测评认证正在逐渐为更多的国家所采纳 CC的互认可协定签署国也在不断增多 根据IT安全领域内CC认可协议 在协议签署国范围内 在某个国家进行的基于CC的安全评估将在其他国家内得到承认 截止2003年3月 加入该协议的国家共有十五个 澳大利亚 新西兰 加拿大 芬兰 法国 德国 希腊 以色列 意大利 荷兰 挪威 西班牙 瑞典 英国及美国 到2001年底 所有已经经过TCSEC评估的产品 其评估结果或者过时 或者转换为CC评估等级 CC缺点 CC应用的局限性 比如该标准在开篇便强调其不涉及五个方面的内容 行政性管理安全措施 物理安全 评估方法学 认可过程 对密码算法固有质量的评价 而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节 CC还有一个明显的缺陷 即它没有数学模型的支持 即理论基础不足 TCSEC还有BLP模型的支持 其安全功能可以得到完善的解释 安全功能的实现机制便有章可循 对于增加的完整性 可用性 不可否认性等要求 只局限于简单的自然语言描述 不能落实到具体的安全机制上 更无从评价这些安全要求的强度 所以 CC并不是万能的 它仍然需要与据各个国家的具体要求 与其他安全标准相结合 才能完成对一个信息系统的完整评估 目前得到国际范围内认可的是ISO IEC15408 CC 我国的GB T18336等同采用ISO IEC15408 BS7799 ISO17799 BS7799 历史沿革 1995年 英国制定国家标准BS7799第一部分 信息安全管理事务准则 并提交国际标准组织 ISO 成为ISODIS14980 1998年 英国公布BS7799第二部分 信息安全管理规范 并成为信息安全管理认证的依据 同年 欧盟于1995年10月公布之 个人资料保护指令 自1998年10月25日起正式生效 要求以适当标准保护个人资料 2000年 国际标准组织ISO IECJTCSC27在日本东京10月21日通过BS7799 1 成为ISODIS17799 1 2000年12月1日正式发布 目前除英国之外 国际上已有荷兰 丹麦 挪威 瑞典 芬兰 澳大利亚 新西兰 南非 巴西已同意使用BS7799 日本 瑞士 卢森堡表示对BS7799感兴趣 我国的台湾 香港地区也在推广该标准 BS7799 ISO IEC17799 在欧洲的证书发放量已经超过ISO9001 但是 ISO17799不是认证标准 目前正在修订 BS7799 2是认证标准 作为国际标准目前正在讨论 BS7799内容 总则 要求各组织建立并运行一套经过验证的信息安全管理体系 ISMS 用于解决如下问题 资产的保管 组织的风险管理 管理标的和管理办法 要求达到的安全程度 建立管理框架确立并验证管理目标和管理办法时需采取如下步骤 定义信息安全策略定义信息安全管理体系的范围 包括定义该组织的特征 地点 资产和技术等方面的特征进行合理的风险评估 包括找出资产面临的威胁 弱点 对组织的冲击 风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度 决定应加以管理的风险领域选出合理的管理标的和管理办法 并加以实施 选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证 同时对选择的理由进行验证 并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核 BS7799部分 BS7799 1 1999 信息安全管理实施细则 是组织建立并实施信息安全管理体系的一个指导性的准则 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例 BS7799 2 2002 信息安全管理体系规范 规定了建立 实施和文件化信息安全管理体系 ISMS 的要求 规定了根据独立组织的需要应实施安全控制的要求 即本标准适用以下场合 组织按照本标准要求建立并实施信息安全管理体系 进行有效的信息安全风险管理 确保商务可持续性发展 作为寻求信息安全管理体系第三方认证的标准 BS7799标准第二部分明确提出安全控制要求 标准第一部分对应给出了通用的控制方法 措施 因此可以说 标准第一部分为第二部分的具体实施提供了指南 十大管理要项BS7799 2 2002 十大管理要项BS7799 2 2002 1 安全方针 为信息安全提供管理指导和支持 2 组织安全 建立信息安全架构 保证组织的内部管理 被第三方访问或外协时 保障组织的信息安全 3 资产的归类与控制 明确资产责任 保持对组织资产的适当保护 将信息进行归类 确保信息资产受到适当程度的保护 4 人员安全 在工作说明和资源方面 减少因人为错误 盗窃 欺诈和设施误用造成的风险 加强用户培训 确保用户清楚知道信息安全的危险性和相关事项 以便在他们的日常工作中支持组织的安全方针 制定安全事故或故障的反应程序 减少由安全事故和故障造成的损失 监控安全事件并从这种事件中吸取教训 5 实物与环境安全 确定安全区域 防止非授权访问 破坏 干扰商务场所和信息 通过保障设备安全 防止资产的丢失 破坏 资产危害及商务活动的中断 采用通用的控制方式 防止信息或信息处理设施损坏或失窃 十大管理要项BS7799 2 2002 6 通信和操作方式管理 明确操作程序及其责任 确保信息处理设施的正确 安全操作 加强系统策划与验收 减少系统失效风险 防范恶意软件以保持软件和信息的完整性 加强内务管理以保持信息处理和通讯服务的完整性和有效性通过 加强网络管理确保网络中的信息安全及其辅助设施受到保护 通过保护媒体处理的安全 防止资产损坏和商务活动的中断 加强信息和软件的交换的管理 防止组织间在交换信息时发生丢失 更改和误用 7 访问控制 按照访问控制的商务要求 控制信息访问 加强用户访问管理 防止非授权访问信息系统 明确用户职责 防止非授权的用户访问 加强网络访问控制 保护网络服务程序 加强操作系统访问控制 防止非授权的计算机访问 加强应用访问控制 防止非授权访问系统中的信息 通过监控系统的访问与使用 监测非授权行为 在移动式计算和电传工作方面 确保使用移动式计算和电传工作设施的信息安全 8 系统开发与维护 明确系统安全要求 确保安全性已构成信息系统的一部份 加强应用系统的安全 防止应用系统用户数据的丢失 被修改或误用 加强密码技术控制 保护信息的保密性 可靠性或完整性 加强系统文件的安全 确保IT方案及其支持活动以安全的方式进行 加强开发和支持过程的安全 确保应用系统软件和信息的安全 9 商务连续性管理 防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响 10 符合 符合法律法规要求 避免刑法 民法 有关法令法规或合同约定事宜及其他安全要求的规定相抵触 加强安全方针和技术符合性评审 确保体系按照组织的安全方针及标准执行 系统审核考虑因素 使效果最大化 并使系统审核过程的影响最小化 BS7799与CC的比较 BS7799完全从管理角度制定 并不涉及具体的安全技术 实施不复杂 主要是告诉管理者一些安全管理的注意事项和安全制度 例如磁盘文件交换和处理的安全规定 设备的安全配置管理 工作区进出的控制等一些很容易理解的问题 这些管理规定一般的单位都可以制定 但要想达到BS7799的全面性则需要一番努力 同BS7799相比 信息技术安全性评估准则 CC 和美国国防部可信计算机评估准则 TCSEC 等更侧重于对系统和产品的技术指标的评估 系统安全工程能力成熟模型 SSE CMM 更侧重于对安全产品开发 安全系统集成等安全工程过程的管理 在对信息系统日常安全管理方面 BS7799的地位是其他标准无法取代的 总的来说 BS7799涵盖了安全管理所应涉及的方方面面 全面而不失可操作性 提供了一个可持续提高的信息安全管理环境 推广信息安全管理标准的关键在重视程度和制度落实方面 它是目前可以用来达到一定预防标准的最好的指导标准 制订信息安全方针 定义ISMS范围 进行风险评估 实施风险管理 选择控制目标措施 准备适用声明 第一步 第二步 第三步 第四步 第五步 第六步 建立ISMS框架 第一步制订信息安全方针BS7799 2对ISMS的要求 组织应定义信息安全方针 信息安全是指保证信息的保密性 完整性和可用性不受破坏 建立信息安全管理体系的目标是对公司的信息安全进行全面管理 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向 用于指导信息安全管理体系的建立和实施过程 要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点 指明了方向 确定了目标 确保信息安全管理体系被充分理解和贯彻实施 统领整个信息安全管理体系 建立ISMS框架 第一步制订信息安全方针信息安全方针的内容包括但不限于 组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准 法律法规 和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项简单明了易于理解可实施避免太具体 建立ISMS框架 第二步确定ISMS范围BS7799 2对ISMS的要求 组织应定义信息安全管理体系的范围 范围的边界应依据组织的结构特征 地域特征 资产和技术特点来确定 可以根据组织的实际情况 将组织的一部分定义为信息安全管理范围 也可以将组织整体定义为信息安全管理范围 信息安全管理范围必须用正式的文件加以记录 ISMS范围文件文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义 建立ISMS框架 第三步风险评估BS7799 2对ISMS的要求 组织应进行适当的风险评估 风险评估应识别资产所面对的威胁 脆弱性 以及对组织的潜在影响 并确定风险的等级 是否执行了正式的和文件化的风险评估 是否经过一定数量的员工验证其正确性 风险评估是否识别了资产的威胁 脆弱性和对组织的潜在影响 风险评估是否定期和适时进行 建立ISMS框架 第四步风险管理BS7799 2对ISMS的要求 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险 根据风险评估的结果 选择风险控制方法 将组织面临的风险控制在可以接受的范围之内 是否定义了组织的风险管理方法 是否定义了所需的信息安全保证程度 是否给出了可选择的控制措施供管理层做决定 建立ISMS框架 第五步选择控制目标和控制措施BS7799 2对ISMS的要求 组织应选择适当的控制措施和控制目标来满足风险管理的要求 并证明选择结果的正确性 选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上 是否能从风险评估中清楚地看出哪一些是基本控制措施 哪一些是必须的 哪一些是可以考虑选择的控制措施 选择的控制措施是否反应了组织的风险管理战略 针对每一种风险 控制措施都不是唯一的 要根据实际情况进行选择 建立ISMS框架 安全问题 安全需求 控制目标 控制措施 指出 第五步选择控制目标和控制措施BS7799 2对ISMS的要求 未选择某项控制措施的原因风险原因 没有识别出相关的风险财务原因 财务预算的限制环境原因 安全设备 气候 空间等技术 某些控制措施在技术上不可行文化 社会环境的限制时间 某些要求目前无法实施其它 建立ISMS框架 第六步准备适用声明BS7799 2对ISMS的要求 组织应准备适用声明 记录已选择的控制措施和理由 以及未选择的控制措施及其理由 在选择了控制目标和控制措施后 对实施某项控制目标 措施和不实施某项控制目标 措施进行记录 并对原因进行解释的文件 建立ISMS框架 未来实现公司ISMS适用声明 风险评估如何贯穿于安全管理BS7799 2 2002 ISMS ISMS 风险评估如何贯穿于安全管理BS7799 2 2002 ISMS 风险评估如何贯穿于安全管理BS7799 2 2002 ISMS 风险评估如何贯穿于安全管理BS7799 2 2002 ISMS资产 ISO IEC177997 1 1Inventoryofassets ISMS风险 Assetthreats vulnerabilities Assetvalue utility Risks impacts 风险等级 业务影响低 可忽略 无关紧要 为不足道 无须重视 中低 值得注意 相当可观但不是主要的 中 重要 主要 中高 严重危险 潜在灾难 高 破坏性的 总体失灵 完全停顿 资产分级 资产分级 资产分级 威胁和脆弱性估计 威胁应该考虑它们出现的可能性 以及可能利用弱点 脆弱性可能性 风险控制 Riskthreshold Risklevel 风险控制 ContinualImprovement 7 5信息系统安全保障管理级别 几点认识 风险评估是落实等级保护的抓手 面向对象和面向手段不能分割 IT驱动和业务驱动同样需要 风险评估是出发点等级划分是判断点安全控制是落脚点 高危漏洞 高危漏洞 正确的安全观念 全网安全动态安全相对安全 包括 全网安全 在政府网站系统中 综合考虑技术 管理 规范 行业法规等各个环节和因素 在网络运行的各个阶段 分析网络的参考点和安全的各个层次 采取适当的安全技术和安全管理手段 从整个网络的安全需求出发 构建全方位多层次的安全架构简单而言 应在积极利用这个安全按技术和产品的同时 建立配套的管理制度 两者相辅相成 实施于政府网站系统的各个阶段 使人 业务过程和安全技术高度协调 动态安全 安全不是一成不变的或者静态的 而是 动态 的安全网络结构会随着业务需求的变化而变化 计算机技术不停地改进 攻击手段也越来越高超 而当网络发生变化 或者出现新的安全技术和攻击手段 或者在安全事件发生之后 安全体系必须能够包容新的情况 及时做出联动反应 把安全风险维持在所允许的范围之内安全体系应该采用 以动制动 的机制 如何达到动态安全 采用自顶向下的方法 将整个网络系统划分为子系统 对单个系统直至系统中的部件进行详尽的风险分析定期或不定期对网络进行安全检查 检查时应按上次评估的结果及管理阶层所能接受的风险程度 以不同深度进行依据已有技术修补发现的新漏洞将评估和检查作为是必需的日常工作 相对安全 对于不同性质的政府网站 对于安全的要求是不同的 不能将安全问题绝对化 不是 越安全越好 安全保护是有成本的 目的并在于让系统毫无缝隙 滴水不漏 而是让非法用户觉得攻击此系统的代价远比他能获得的利益高 这样的绝大部分非法用户就不愿意做这种事情在设计系统安全措施的时候 必须根据系统的实际应用情况 综合考虑安全 成本 效率三者的权重 并求得适度的平衡 实现 恰到好处 的安全 网络安全主要威胁来源 网络 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失 篡改 销毁 后门 隐蔽通道 蠕虫 典型的网络安全威胁 典型的网络安全威胁 cont 信息安全 计算机安全和网络安全的关系 信息 计算机和网络是三位一体 不可分割的整体 信息的采集 加工 存储是以计算机为载体的 而信息的共享 传输 发布则依赖于网络系统 如果能够保障并实现网络信息的安全 就可以保障和实现计算机系统的安全和信息安全 因此 网络信息安全的内容也就包含了计算机安全和信息安全的内容 信息安全均指网络信息安全 不安全因素 网络信息系统的脆弱性 1 网络的开放性 2 软件系统的自身缺陷 1999年安全应急响应小组论坛FIRST的专家指出 每千行程序中至少有一个缺陷 3 黑客攻击 Microsoft通用操作系统的安全性估计操作系统推出年份代码行数 万 估计缺陷数 万 Windows3 11992年3001 5 3Windows951995年5002 5 5WindowsNT4 01996年16508 25 15 5Windows20002000年3500 500017 5 35 对安全的攻击 高风险漏洞统计 按操作系统 网络安全漏洞大量存在 Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器文件共享LSASExposures电子邮件客户端即时信息 Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务NIS NFS配置不当数据库内核 来源 SANS研究报告 高风险漏洞统计 按应用程序 漏洞的概念 三 系统漏洞 漏洞的类型 1 管理漏洞 如两台服务器用同一个用户 密码 则入侵了A服务器后 B服务器也不能幸免 2 软件漏洞 很多程序只要接收到一些异常或者超长的数据和参数 就会导致缓冲区溢出 3 结构漏洞 比如在某个重要网段由于交换机 集线器设置不合理 造成黑客可以监听网络通信流的数据 又如防火墙等安全产品部署不合理 有关安全机制不能发挥作用 麻痹技术管理人员而酿成黑客入侵事故 4 信任漏洞 比如本系统过分信任某个外来合作伙伴的机器 一旦这台合作伙伴的机器被黑客入侵 则本系统的安全受严重威胁 20个最危险的安全漏洞 2002年5月发布 www sans org 三类安全漏洞 1 影响所有系统的七个漏洞 G1 G7 2 影响Windows系统的六个漏洞 W1 W6 3 影响Unix系统的七个漏洞 U1 U7 G1 操作系统和应用软件的缺省安装 三 系统漏洞 软件开发商的逻辑是最好先激活还不需要的功能 而不是让用户在需要时再去安装额外的组件 这种方法尽管对用户很方便 但却产生了很多危险的安全漏洞 因为用户不会主动的给他们不使用的软件组件打补丁 而且很多用户根本不知道实际安装了什么 很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序 大多数操作系统和应用程序 应该对任何连到Internet上的系统进行端口扫描和漏洞扫描 卸载不必要的软件 关掉不需要的服务和额外的端口 这会是一个枯燥而且耗费时间的工作 G2 没有口令或使用弱口令的帐号 三 系统漏洞 易猜的口令或缺省口令是个严重的问题 更严重的是有的帐号根本没有口令 应进行以下操作 1 审计你系统上的帐号 建立一个使用者列表 2 制定管理制度 规范增加帐号的操作 及时移走不再使用的帐号 3 经常检查确认有没有增加新的帐号 不使用的帐号是否已被删除 当雇员或承包人离开公司时 或当帐号不再需要时 应有严格的制度保证删除这些帐号 4 对所有的帐号运行口令破解工具 以寻找弱口令或没有口令的帐号 G3 没有备份或者备份不完整 三 系统漏洞 从事故中恢复要求及时的备份和可靠的数据存储方式 应列出一份紧要系统的列表 制定备份方式和策略 重要问题 1 系统是否有备份 2 备份间隔是可接受的吗 3 系统是按规定进行备份的吗 4 是否确认备份介质正确的保存了数据 5 备份介质是否在室内得到了正确的保护 6 是否在另一处还有操作系统和存储设施的备份 包括必要的licensekey 7 存储过程是否被测试及确认 G4 大量打开的端口 三 系统漏洞 合法的用户和攻击者都通过开放端口连接系统 端口开得越多 进入系统的途径就越多 netstat命令可以在本地运行以判断哪些端口是打开的 但更保险的方法是对你的系统进行外部的端口扫描 在众多的端口扫描器中 最流行的是nmap 一旦你确定了哪些端口是打开的 接下来的任务是确定所必须打开的端口的最小集合 关闭其他端口 找到这些端口对应的服务 并关闭 移走它们 G5 没有过滤地址不正确的包 三 系统漏洞 IP地址欺诈 例如smurf攻击 对流进和流出你网络的数据进行过滤 1 任何进入你网络的数据包不能把你网络内部的地址作为源地址 必须把你网络内部的地址作为目的地址 任何离开你网络的数据包必须把你网络内部的地址作为源地址 不能把你网络内部的地址作为目的地址 3 任何进入或离开你网络的数据包不能把一个私有地址 privateaddress 或在RFC1918中列出的属于保留空间 包括10 x x x 8 172 16 x x 12或192 168 x x 16和网络回送地址127 0 0 0 8 的地址作为源或目的地址 G6 不存在或不完整的日志 三 系统漏洞 安全领域的一句名言是 预防是理想的 但检测是必须的 一旦被攻击 没有日志 你会很难发现攻击者都作了什么 在所有重要的系统上应定期做日志 而且日志应被定期保存和备份 因为你不知何时会需要它 查看每一个主要系统的日志 如果你没有日志或它们不能确定被保存了下来 你是易被攻击的 所有系统都应在本地记录日志 并把日志发到一个远端系统保存 这提供了冗余和一个额外的安全保护层 不论何时 用一次性写入的媒质记录日志 G7 易被攻击的CGI程序 三 系统漏洞 大多数的web服务器 都支持CGI程序 1 从你的web服务器上移走所有CGI示范程序 2 审核剩余的CGI脚本 移走不安全的部分 3 保证所有的CGI程序员在编写程序时 都进行输入缓冲区长度检查 4 为所有不能除去的漏洞打上补丁 5 保证你的CGIbin目录下不包括任何的编译器或解释器 6 从CGIbin目录下删除 view source 脚本 7 不要以administrator或root权限运行你的web服务器 大多数的web服务器可以配置成较低的权限 例如 nobody 8 不要在不需要CGI的web服务器上配置CGI支持 W1 Unicode漏洞 三 系统漏洞 不论何种平台 何种程序 何种语言 Unicode为每一个字符提供了一个独一无二的序号 通过向IIS服务器发出一个包括非法UnicodeUTF 8序列的URL 攻击者可以迫使服务器逐字 进入或退出 目录并执行任意 程序 script 脚本 这种攻击被称为目录转换攻击 Unicode用 2f和 5c分别代表 和 但你也可以用所谓的 超长 序列来代表这些字符 超长 序列是非法的Unicode表示符 它们比实际代表这些字符的序列要长 和 均可以用一个字节来表示 超长的表示法 例如用 c0 af代表 用了两个字节 IIS不对超长序列进行检查 这样在URL中加入一个超长的Unicode序列 就可以绕过Microsoft的安全检查 如果你在运行一个未打补丁的IIS 那么你是易受到攻击的 最好的判断方法是运行hfnetchk W2 ISAPI缓冲区扩展溢出 三 系统漏洞 安装IIS后 就自动安装了多个ISAPIextensions ISAPI 代表InternetServicesApplicationProgrammingInterface 允许开发人员使用DLL扩展IIS服务器的性能 一些动态连接库 例如idq dll 有编程错误 使得他们做不正确的边界检查 特别是 它们不阻塞超长字符串 攻击者可以利用这一点向DLL发送数据 造成缓冲区溢出 进而控制IIS服务器 安装最新的Microsoft的补丁 该漏洞不影响WindowsXP 同时 管理员应检查并取消所有不需要的ISAPI扩展 经常检查这些扩展没有被恢复 请记住最小权限规则 你的系统应运行系统正常工作所需的最少服务 W3 IISRDS的使用 MicrosoftRemoteDataServices 三 系统漏洞 黑客可以利用IIS sRemoteDataServices RDS 中的漏洞以administrator权限在远端运行命令 如果你在运行一个未打补丁的系统 你是易被攻击的 W4 NETBIOS 未保护的Windows网络共享 三 系统漏洞 ServerMessageBlock SMB 协议 也称为CommonInternetFileSystem CIFS 允许网络间的文件共享 不正确的配置可能会导致系统文件的暴露 或给予黑客完全的系统访问权 在Windows的主机上允许文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击 1 在共享数据时 确保只共享所需目录 2 为增加安全性 只对特定IP地址进行共享 因为DNS名可以欺诈 3 对Windo