信息安全管理

1、信息安全的定义 信息安全（InfoSec）就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。（基于美国国家安全系统委员会（CNSS，CommitteeonNationalSecuritySystems）发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会（NSTISSC，NationalSecurityTelecommunicationsandInformationSystemsSecurityCommittee）。）2、信息安全的3种特性机密性（confidentiality）完整性（integrity）可用性（availability）机密性信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息。为了保护信息的机密性，我们采取了一系列措施，包括：信息分类确保文档存储安全运用一般的安全策略对信息所有者和终端用户进行教育使用密码技术完整性完整性即指整体性（whole）、完全性（complete）以及未受侵蚀（uncorrupted）的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性（执行不正当的操作可能造成重要文件的丢失，甚至整个系统的瘫痪）。当信息受到侵蚀（corruption）、损坏（damage）、毁坏（destruction）或其他干扰时，信息的完整性受到极大威胁。不当的编程甚至是传输信道或传输介质上的噪声都会使数据完整性受到损坏。可用性可用性也是信息的一种特性，在信息处于可用状态时，信息及相关的信息资产在授权人需要的时候可以立即获得。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。3、信息安全管理的概念信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。4、计划的分级一旦机构的总体战略计划转化成各个主要部门的战略目标（比如信息安全组），下一步就是把这些战略转化成具体的、可评估的、可达到的以及时间明确的任务。然后，战略计划就开始从综合的、全面的陈述朝着更具体的应用目标转化。战略计划用以制定战术计划，而战术计划用以开发操作计划。与战略计划相比，战术计划着眼于更短的时期（通常1~3年），它把每一个应用性的战略目标细分成一系列递增目标，每一目标必须是具体的并且最好在一年内有一个交代。 预算、资源分配和人力是战术性计划的关键部分，战术计划经常包括项目计划和资源获取计划文档（如产品说明书）、项目预算、项目复审、月度和年度报告。操作计划源于战术性计划,管理者和雇员运用它们来管理日常的事务。一个操作计划包括跨部门的协调活动、需求交流、每周会议、总结、进度报告和合作任务。例如，信息安全操作计划的目标包括防火墙的选择、配置和应用，或者包括SETA（安全的教育、培训和提升安全意识）项目的设计和实施。每项任务（项目）都需要一个有效的、贯穿整个任务开发过程的战术性计划。5信息安全计划的实施 在总体战略计划转化成战术计划和操作计划的过程中，CIO和CISO（首席信息安全官）起着重要作用。CIO负责对CISO和其他的IT部门主管制定和实施的计划进行管理，这些计划支持机构的整体战略并与其保持一致。CIO也必须确保机构各个IT职能部门能对计划提供广泛的支持，而且没有一个部门被遗漏。 同CIO相比，CISO在详细计划制定中将起到更积极的作用。一旦CIO将机构的整体战略计划转化成IT和信息安全部门的目标，并进一步由CISO转化成战术性和可操作性的计划，信息安全计划的实施就可以开始了。 信息安全计划的实施可以通过自下而上和自上而下两种途径来实现：自下而上方法 指系统管理员试图从系统的底层来增强系统的安全。 这种方法的主要优势在于它可以利用单个系统管理员的专业技术，这些管理员每天都在从事信息系统工作。系统和网络管理员所具备的高度的专业知识能在很大程度上改善一个机构的信息安全状况。这些专业人员懂得并理解他们系统可能受到的威胁以及成功保护系统所必须采用的机制。 遗憾的是，因为缺乏大量的关键信息和资源，诸如来自上层管理的调整计划、部门间的协调和充足的资源，这种方法很少能起到真正的作用。自上而下方法 高层管理者提供资源和指导，发布政策、措施以及处理步骤，指定项目的目标和预期效益，每个步骤都必须有专人负责。 自上而下方法要取得成功，通常有强大的上层支持、坚定的拥护者、稳定的投资、清晰的计划和实施步骤，还有影响一个机构理念的能力。这样的方法需要有一个理想的领导，即一个有足够影响力的执行者来推动项目前进，确保管理正确，并力求使这些方法为整个机构所接受。颇具代表性的是，首席信息安全官员或者其他高级管理者，比如信息技术副总经理可以作为一个长远的信息安全项目的倡导者。 终端用户的参与和支持也是该项工作成功的关键。因为自上而下工作的实施和结果直接影响着这些终端用户，所以他们必须被包括在信息安全计划之中。6、什么是应急计划应急计划的组成 应急计划有3个基本组成部分：事故响应计划（IRP）灾难恢复计划（DRP）业务连续性计划（BCP） IRP把焦点放在对事件的及时响应上;DRP则把焦点放在恢复主要场所（primarysite）的操作上。如果主要场所的操作不能被迅速恢复，例如，当损失非常严重的时候，或者会在长时间内影响机构的正常活动的时候，BCP就会和DRP同时出现，使业务能够在一个可供选择的位置上继续下去，直到机构可以重新使用其主要场所或者选择一个新的主要场所。7、事件判断 为了使得对真正事故的探测更为可靠，D.L.Pipkin划定了事故征兆的3种类型：可能的、很可能的以及确定的。可能的征兆 以下4种候选事件可能成为真正事故：陌生文件的出现：例如，用户可能在家里或办公室的计算机上发现陌生的文件，而管理员也可能会发现一些逻辑上可疑的或不属于授权用户的不明文件。未知程序、进程的出现或执行：例如，用户或管理员也许会在办公室计算机或网络服务器上发现陌生程序在运行或进程在执行。异常的计算机资源消耗：例如，内存或硬盘使用空间的猛然增加或下降。异常的系统崩溃：如果一台计算机系统发生崩溃、死机、重启或停滞的几率高于往常，这很可能就是由异常事故造成的。很可能的征兆 以下4种候选事件可能成为真正事故：预料时间段之外的活动：如果机构的网络传送水平超出了原来衡量的基准线的值，如果这种活动发生在机构少数员工作时，可能性就会变得更高。类似的，如果系统正在访问驱动器，比如软驱和光驱，而最终用户并未使用它们。出现新账号：定期检查用户账号能发现管理员并不曾创建或并未记录的账号，一个具有超级权限但未记录的新账号极有可能是一个真正的事故。攻击的报告：如果系统用户报告一个可疑攻击，那么很有可能该攻击已经发生。IDS的通知：如果机构已经安装并正确配置了基于主机和网络的入侵检测系统（IDS），那么IDS的通知就表明一个事故正在进行中（可能错报）。确定的征兆 以下描述的5种类型的候选事件是真正事故的确定的征兆，必须采取迅速的应对措施。隐匿账号的使用：许多网络服务器都保留有默认账号、属于前任员工的、不享有远程访问权限的休假员工的，或是用于系统测试的虚拟账号。如果有任何使用这些账号访问系统资源、查询服务器或参与其他活动，就几乎可以肯定一个事故已经发生。日志的变更：明智的系统管理员会把系统日志与数据一同备份。作为常规事故扫描的一部分，系统管理员可以将这些日志与联机版本相比较，以确定它们是否被更改。如果被更改，而系统管理员又不能完全确定这是一个授权人员的作为，那么事故就已经发生了。黑客工具的出现：网络管理员有时使用系统漏洞或网络评估工具来扫描内部的计算机和网络，以确定黑客会在此发现什么。这些工具过去常用来进行攻击态势研究。但它们却时常被员工、承包人或外来人员使用，他们通过访问本地网络来侵入系统。助手或伙伴的通知：如果一个商业伙伴或另一个有关机构报告说有一个来自你的计算机系统的攻击，那么，事故就已经发生了。黑客的通知：一些黑客喜欢捉弄他们的攻击目标。一个机构的网页如果遭到损坏，这就是一个事故；如果机构遭到勒索，要求用金钱来交换其客户的信用卡信息，那么，事故也已经发生了。发生真正的事故一旦下列真正事故被确定后，必须立即采取相应的应对措施：可用性丧失：信息或信息系统变得不可用。完整性丧失：用户报告说出现了被破坏的数据文件、垃圾数据或看似错误的数据。机密性丧失：你被告知敏感信息泄露，或你认为受到保护的信息被泄露。违反政策：如果机构的处理信息或信息安全的政策被违反，则事故发生。违反法律：如果有人违反法律，破坏机构信息资源，则事故发生。9、连续性策略业务连续性计划的基础是识别关键业务功能及需要的资源。当灾难爆发时，这些业务功能将在备用场所首先创建。 应急计划团队需要委任一组人来评估和比较各种可选的方案，并推荐该选取哪个策略来实施，所选的策略通常包括启用一些备用的设施，应定期地对这些放在其他地方的设施进行检查、配置以确保安全并定期测试。连续性策略 一个应急计划团队可以选择几种连续性策略计划，影响选择的关键因素在于成本。 通常有3种独立的选择：热站点（hotsite）：是一个配置完全的计算机设施，包括所有的服务、通信连接和物理环境的操作。它备份计算机资源、外设、电话系统、应用程序和工作站。本质上来说，这些备份的设施仅仅需要最新的数据备份和负责的人手。一个热站点应该能在几分钟内就充分发挥作用。它的缺点是需要对所有热站点的系统和设备以及物理与信息安全提供维护。这是可用选择中最昂贵的。温站点（warmsite）：提供许多与热站点相同的服务和选择，但是既不包括典型的软件应用程序也不包括（这些软件的）安装和配置，通常它包括的是服务器。温站点具有许多热站点的优点，但又具有较低的成本。缺点在于需要几个小时或是几天来使一个温站点充分发挥作用。冷站点（coldsite）：一个冷站点仅仅提供了初步的服务和设施，不提供计算机硬件和外设。所有的通信服务必须在站点开始工作后才安装。一个冷站点装有标准供热系统、空调和电子服务的空房间。其他的任何选择都会增加成本。虽然存在这些缺点，但一个冷站点也会比什么都没有要好。它的最主要优点在于成本。这种方法最有用的特点在于，当受到大范围的灾难攻击时，它能减少对合适楼层空间的争用。 还有3个共享使用的应急选择：时间分享（timeshare）：时间分享的作用就像前面描述的3个站点之一，但它是与一个商业伙伴或姐妹机构联合租用。它为机构能提供一个灾难恢复/业务连续性选择，同时又可以减少总成本。它主要的缺点在于两个以上的分时参与方可能会同时需要使用设施。服务署（servicebureau）：是一个提供收费服务的机构。在灾难恢复/应急计划中，这种服务指的是在灾难发生时提供物理设施。这些机构也经常提供付费的离线数据保存。互助协议：互助协议是两个机构间的合约，同意在灾难中援助对方。这些机构同意提供必要的设置、资源和服务，直到接受方能从灾难中恢复过来。 在这6个基本策略之外，还可以使用一些特殊的方法，如离站灾难数据恢复：电子仓库：向离站设备大批量转移数据，这种转移常常通过租用线路或付费数据通信服务来完成。远程日志：把在线的业务活动转移到离站设备上，远程日志包括了系统级的在线活动，有点像服务器的容错措施，把数据同时写在两个地方。数据库镜像：存储在线事务数据的副本，包括在远程站点后备服务器的数据库副本。数据库映象结合了电子仓库和远程日志，把多个拷贝同时写在两个不同的地方。10、双机热备份双机热备份的概念所谓双机热备份就是一台主机为工作机〔primaryServer〕,另一台主机为备份机〔StandbyServer〕,在系统正常情况下，工作机对信息系统提供支持，备份机监视工作机运行情况〔工作机同时监视备份机是否正常，有时备份机因某种原因出现异常，工作机可尽早通知系统管理工作人员解决，确保下一次切换的可靠性〕。当工作机出现异常，不能支持信息系统运营时，备份机主动接管〔TakeOver〕工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断地运行〔Non-Stop〕。当工作机经过维修恢复正常后，系统管理人员通过管理命令或经由以人工或自动的方式将备份机的工作切换回工作机，而原来的工作机就成了备份机。

双机热备份的硬件系统结构双机系统是由两台服务器和共享存储子系统组成的。其中：每台主机都有自己的系统盘，安装操作系统和应用程序。每台主机至少安装两块网卡，一块对外工作，另一块相互侦测对方的工作状况。每台主机都连接在共享磁盘子系统上，共享磁盘子系统通常均为有容错的磁盘阵列。各种应用所需的数据均储存在磁盘阵列子系统上。下图是双机容错系统的硬件示意图双机容错的工作模式双机容错有两种工作模式：一种是热守候，另一种是双工模式。1、热守候模式在热守候模式下，双机容错系统对外只有一个服务（如数据库服务）在运行。其中一台服务器对外服务另一台处在守候状态，并不启动服务。当工作的服务器出现问题时，如数据库服务器出现操作系统挂起、死机、网卡坏、硬盘控制器坏等等，热守候服务器接管工作主机的任务。2、双工模式在双工模式下双机系统对外提供两个服务（例如：应用服务和数据库服务）。两台服务器都安装了应用服务和数据库服务软件,数据库的数据存在共享盘中。在正常情况下,一台服务器只起应用服务,未起数据库服务,对客户端的应用请求进行处理;另一台服务器只起数据库服务,不起应用服务,对共享盘拥有控制权并对共享盘中的数据进行存取,提供数据库服务.当其中任何一台服务器出现问题，如数据库服务器出现操作系统挂起、死机、网卡坏、硬盘控制器坏等等。这时，另一台服务器将出问题的服务器上的任务接管，此时，这台服务器同时提供应用服务和数据库服务,客户端就可继续进行对服务器的业务请求，保证业务的继续进行。在出问题的服务器恢复正常后，又可选择适当时间切换到正常操作状态，以保证整体性能。双机容错软件在双机容错系统的工作中，双机软件是必不可少的。一切故障的诊断，服务的切换，硬件的控制都由双机软件来控制实现。同时为了使双机系统对外象一个单主机系统一样，双机软件还可以为双机系统生成系统虚拟IP对外工作，客户机通过虚拟IP访问双机系统。这样就避免了服务切换后主机IP地址改变导致客户机无法连通的问题。并且双机软件还可以控制两台服务器对共享磁盘子系统的访问同一时刻只能有一台主机可以对其访问，避免了同时访问可能造成的数据破坏。双机软件通过侦测网卡或两台服务器之间互连的串口线进行两台主机的状态诊断，一旦工作的主机出现问题，如数据库服务器出现操作系统挂起、死机、网卡坏、硬盘控制器坏等等，双机软件控制备份机接管系统的虚拟IP和共享磁盘子系统的控制权并启动备份机上的服务对外工作，保证系统的实时性和可靠性。下图为双机工作示意图：11、SAN存储SAN的概念SAN(StorageAreaNetwork)：存储区域网络，是随着光纤通道技术的出现而产生的新一代磁盘共享系统，是一种类似于普通局域网的高速存储网络。4.3.2SAN的构成SAN由硬件和软件构成，硬件主要包括FC（FibreChannel）卡、FCHUB、FC交换机、存储设备；软件主要包括FC卡对各种操作系统的驱动程序及存储/监控管理软件。SAN通过光纤通道连接到一群计算机上。在该网络中提供了多主机连接，但并非通过标准的网络拓扑。SAN的优点管理上的方便性，集中式管理软件允许远程配置、监管和无人值守运行;可扩展性，容量可扩展以符合网络需求，在不影响LAN性能的情况下充分发挥存储硬件的功能；高容错能力、高可靠性和高可获性，SAN就绪的磁带库具备可热插拔的冗余磁带机、介质、电源和冷却系统以确保可靠性；配置的灵活性，具备长达20公里距离的远程功能及灵活的网络部件，基于光纤通道的SAN可以根据要求进行配置；（可实现物理上分离的、不在机房的存储）支持异构服务器，UNIX、NT和NetWare服务器可同时连;能够有效地减少总体拥有成本(TCO)。传统存储与SAN的区别服务器存储方式的显著特点是局域网用户通过访问专用服务器及与专用服务器相连的SCSI存储设备而实现对信息的存取访问。工作在这种模式下的数据传输的瓶颈主要集中在服务器上，当多个Client访问存取同一个服务器的时候，一旦超出该服务器的处理能力的情况，无论服务器与存储设备之间是通过SCSI设备连接,还是通过高速的FibreChannel（光纤通道）设备连接，都将不可避免地导致存取速度的下降，从而影响整个系统性能。SAN实际上是一种存储设备池，即一个由盘阵、磁带以及光纤设备构成的子网，这一子网上的存储空间可由以太网主网上的每一系统所共享。它是企业存储数据的场所，在被服务器调用之前，所有的数据都驻留在SAN上，仅当服务器调用它们时，SAN才会转化为客户机网络。它使存储系统和主机从物理连接和功能上都独立出来，分别组成自己的网络，实现了主机和盘阵间的Point-to-Point存取到Many-to-Many存取的飞跃。它采用了高速光纤通道连接（FC-AL），有效地提高多个服务器集群Cluster时的系统性能。SAN的主要应用SAN用于存储量大的工作环境，如ISP、银行、电信、图书馆等部门。1、LAN-Free备份传统的备份都是基于LAN或本地直接连接备份设备，系统在执行备份操作时将大量占用资源。在SAN环境下，每台主机都可以直接访问备份设备。系统在执行备份操作时，通过备份相应的备份软件，可以直接通过SAN备份数据，释放了传统备份对LAN资源的占用。2、多节点集群在SAN环境下，2个节点以上变为可能。3、原有系统的存储整合传统的存储都是每个服务器各自拥有自己的存储系统，共享存储必须通过LAN，占用LAN资源。另外，存储的扩充性较差。通过实施LAN整合原由系统的存储，存储集中管理、备份，降低了管理成本，提高了数据的可靠性和可用性。选择SAN系统的要点目前市场主要的SAN解决方案提供商有Compaq、SUN、IBM、EMC、DELL、联想等，选择SAN解决方案应考虑以下几点：1、共享存储(SharedStorage):具有开放性,支持不同厂商的主机和操作系统,基本要求能支持WindowsNT及Unix；2、存储虚拟化：能够动态扩展，分布式部署，支持远程备份和灾难恢复；3、动态可伸缩性:能提供在线动态容量分配和扩展，能按需分配存储，不用重新安装卷组和文件系统就可扩展存储容量；4、可提供主机On-Line作业下的测试和开发环境，提供即时第三方拷贝(InstantCopy)；5、支持多主机：对于大多数SAN环境来说，共享存储的将会是多台主机，而这些主机通常采用集群方式工作，因此SAN系统应能支持主机集群，保证主机系统级的高可用性(Clustering)；6、存取带宽：SAN接口有SCSI、光纤通道、ESCON等，连接设备有交换机、网关、路由器等，协议有IP、SCSI等，大多数是采用100M光纤环，而SCSI连接方式是80M；另外，磁盘阵列的存取速度、通道仲裁机制、支持RAID0、1、5等因素也需要全面考虑；7、简单化的存储管理：对于SAN来说，关键任务在于管理软件。自管理的SAN系统和基于策略的SAN管理是选择SAN系统的有利出发点。8、可以保护目前存储设备的投资，具备前瞻成长性，可平稳地过渡到SAN。12、加密RSA算法是一种基于大数不可能质因数分解假设的公钥体系。简单地说，就是找两个很大的质数，一个公开给世界，称之为“公钥”，另一个不告诉任何人，称之为“私钥”。两把密钥互补——用公钥加密的密文可以用私钥解密，反过来也一样。假设A寄信给B，他们知道对方的公钥。A可用B的公钥加密邮件寄出，B收到后用自己的私钥解出A的原文，这样就保证了邮件的安全性。RSA体制可以简单描述如下：（1）生成两个大素数p和q；（2）计算这两个素数的乘积n=p×q；（3）计算小于n并且与n互质的整数的个数，即欧拉函数φ（n）=(P-1)(q-1)；（4）选择一个随机数b满足1<b<φ(n)，并且b和φ(n)互质，即gcd（b,φ(n)）=1。（5）计算ab=1modφ；（6）保密a，p和q，公开n和b。DES算法实现加密需要3个步骤。第1步：变换明文。对给定的64位的明文x，首先通过一个置换IP表来重新排列x，从而构造出64位的x0，x0=IP(x)=L0R0，其中L0表示x0的前32位，R0表示x0的后32位。第2步：按照规则迭代。规则为： Li=Ri-1 Ri=Li⊕f(Ri-1,Ki)（i=1,2,3,…,16）经过第1步变换已经得到L0和R0的值，其中符号⊕表示数学运算“异或”，f表示一种置换，由S盒置换构成，Ki是一些由密钥编排函数产生的比特块。第3步：对L16R16利用IP-1作逆置换，就得到了密文y0加密过程。13、信息安全策略的三个方面：企业信息安全策略基于问题的安全策略基于系统的安全策略 信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中建立一套信息资源保护标准，防止人员的不安全行为引入风险。14、三大机构大型机构 大型机构有1000台以上的设备需要安全管理，一般都有专门的职员来支持安全项目。 专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。 注：这主要取决于机构的文化意识。一个典型的大型机构平均有1个专职安全管理人员，4个专职的安全系统管理员或技术员和15个兼职人员，这些兼职人员除了其他的工作职责外还有信息安全职责。中型机构 中型机构拥有100—1000台要求安全管理的机器。 这些机构也可能大到足以执行多级安全方法，虽然这种方法是为大型机构提供的，但这些机构也可以使用这种方法，只是专门小组的数量会减少，而每个小组会有更多的功能。 当信息安全部门没有能力为某项功能配置人员，并且机构不支持或要求IT或其他部门代为执行该项功能时，中型机构趋向于忽略一些特别功能。在这种情况下，CISO必须增强各小组之间的协作，而且必须有能力执行相关决定。中型机构中的全职和兼职员工要明显地少于大型机构，可能只有1个全职安全人员，以及3个兼职信息安全人员。小型机构 管理少于100个系统的小型机构面临特殊的挑战。 小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有1—2个助手来协助他管理技术工作。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。 小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中，安全培训与安全意识提升通常实施在一个一对一的基础上，安全管理员直接向需要帮助的用户提出建议。 注：小型机构的规模让它们避免了一些前面提到的威胁。小型机构有1个全日制安全人员对信息安全负责，或者，更可能是一个全日制IT人员在附带管理或指导信息安全工作。当然他可能会有1—2个助手协助工作。信息资产所面临的最大威胁来自人类自身的错误，教育、培训和意识提升有两大好处：改善员工的行为使员工对他们的工作更具责任感 教育、培训和意识提升有3种途径：根据需要纵向拓展知识，以设计和执行本机构的安全项目让计算机用户学习技能和知识，以便能更安全地使用IT系统完成自身的工作提升系统资源的保护意识15、风险风险评估（RiskAssessment）对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 风险评估的任务包括：识别组织面临的各种风险；评估风险概率和可能带来的负面影响；确定组织承受风险的能力；确定风险降低和控制的优先等级；推荐风险降低对策。风险管理（RiskAssessment）风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。风险评估的分类基本风险评估的概念 基本风险评估又称基线风险评估（BaselineRiskAsse-ssment），是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。基本风险评估的优点*所需资源最少，简便易实施；*同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。基本风险评估的缺点*安全基线水平难以设置；*管理与安全相关的变更可能有困难。 该方法适用于业务运作不是非常复杂的组织，并且组织对信息处理和网络的依赖程度不高，或组织信息系统多采用普通或标准化的模式。详细风险评估就是对资产、威胁及脆弱性进行详细的识别和评估。详细风险评估的具体程序*对资产、威胁和脆弱性进行测量与赋值；*使用适当的风险测量方法完成风险计算和测量。详细风险评估的优点*可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平；*可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益。详细风险评估的缺点需要花费相当的时间、精力和技术去获得可行的结果。联合风险评估首先使用基本风险评估，识别信息安全管理体系范围内具有潜在高风险或对业务运作来说极为关键的资产，然后根据基本风险评估的结果，将信息安全管理体系范围内的资产分成两类。联合风险评估的优点*既节省评估所花费的时间与精力，又能确保获得一个全面系统的评估结果；*组织的资源与资金能够被应用在最能发挥作用的地方，具有高风险的信息系统能够被预先关注。联合风险评估的缺点如果最初对信息系统的高风险识别不够准确，那么本来要详细评估的内容也许会被忽略，最终导致结果失准。16、入侵检测系统17、防火墙的体系结构双重宿主主机体系结构双宿主堡垒主机结构是在堡垒主机上插入两块网卡，由堡垒主机充当内部网与Internet之间的网关，并在其上运行应用代理服务器软件。这样，所保护的内部网与Internet之间不能直接建立连接，必须通过堡垒主机才能通信。外部用户只能看到堡垒主机，看不到内部网。内部网的所有开放服务必须通过堡垒主机上的代理服务软件来实施。IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。*堡垒主机相当于一个应用级或链路级防火墙*问题：一旦失效，堡垒主机就变成了丧失路由功能的路由器，有经验的入侵者可以恢复它的路由功能，从而实施入侵。屏蔽主机体系结构 屏蔽主机防火墙由包过滤路由器和堡垒主机组成。通过路由器把内外网隔开，堡垒主机仅与内部网相连。任何来自外网的连接都限制在这一台主机上。内部向外的访问可以通过该主机代理，也可以直接经过过滤路由器（取决于本地网络的安全政策）屏蔽主机防火墙实现了网络层（包过滤）和应用层（代理服务）的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，安全保证主要由包过滤路由器实现。包过滤的结果指示堡垒主机是否开放连接。过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。实现过程：*堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。*在路由器上设置相应的规则，使得外部系统只能访问堡垒主机。*由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务，从而加强内部用户对外部Internet访问的管理。屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。采用了两个包过滤路由器和一个堡垒主机：*由于使用了内、外两个包过滤路，形成了一个子网态势。子网在内外网之间形成一个“屏蔽隔离带”。从原理上讲，可以连接多个子网。*两个路由器都与子网连接，一个位于子网与内部网之间，一个位于子网与外部网之间；内外路由器加应用网关形成三层防护，入侵者必须通过两个路由器才能接触到内部网，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。18、网络隔离网络隔离（NetworkIsolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）19、网闸网闸，又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。网闸工作原理 隔离网闸（安全隔离与信息交换,GAP），是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。隔离网闸要点*专用硬件设计保证了物理隔离下的信息交流。GAP均采用专用隔离硬件的设计完成隔离功能，硬件设计保证在任意时刻网络间的链路层断开，阻断TCP/IP协议以及其他网络协议；同时该硬件不提供编程软接口，不受系统控制，仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。*集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上，紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。*网闸以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整体多层面的安全防护。*灵活高效数据交换形式确保应用需求。GAP产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸（Topwalk-GAP）提供了文件交换、邮件交换、数据库交换和提供API应用接口的消息模块，同时具有较高的传输速率和低延迟性。20、VPN（安全性可靠性可管理性可扩展性可用性互操作性服务质量QoS多协议支持）VPN的概念 虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。VPN是对企业内部网的扩展。一般以IP为主要通讯协议。VPN的基本功能至少应包括：1）加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。2）信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。3）提供访问控制。不同的用户有不同的访问权限。4）地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。5）密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。6）多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议，包括IP、IPX等。VPN的工作协议VPN的隧道协议：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。InternetVPN（内部网VPN） 企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。AccessVPN（远程访问VPN） 又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。ExtranetVPN（外联网VPN） 即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。21、访问控制技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制三要素客体：系统控制的资源，如，文件、硬件接口等。主体：某个用户、用户执行的程序和服务，它产生对客体的访问或操作。授权：规定主体对该资源执行的动作（如读、写、执行、从属权（own）或拒绝访问等）。三种类型：自主访问控制它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的(可能是间接的)将访问权或访问权的某个子集授予其他主体。 自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具有传递性。传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。 为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问控制信息。强制访问控制强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。1）保障信息完整性策略2）保障信息机密性策略。 自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作为增强的、更加严格的控制手段。基于角色的访问控制基于角色的访问控制模式(RoleBasedAccessControl，RBAC)中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。22、可信计算TCGTCG首次提出可信计算机平台的概念，并把这一概念具体化到微机、PDA和移动计算设备，而且具体给出了可信计算平台的体系结构和技术路线。不仅考虑信息的秘密性，更强调了信息的真实性和完整性，而且几乎所有的IT行业著名公司都加入了TCGTCG从行为角度来定义可信性，它认为一个实体是可信的，如果它的行为总是以所期望的方式，朝着预期的目标，通俗地说：可信≈可靠＋安全。 首先建立一个信任根，信任根的可信性由物理安全和管理安全确保，再建立一条信任链，从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展