网络系统安全评估及高危漏洞-

广东省中小学信息网络管理员平安技术培训班Dec2005许伯桐〔博士〕Professional

SecuritySolutionProvider网络系统平安评估及高危漏洞

提纲平安态势〔15分钟〕平安标准与风险评估〔90分钟)概述〔15分钟〕通用准那么CC〔45分钟〕BS7799〔30分钟〕休息〔15分钟)系统高危漏洞〔60分钟)概述〔10分钟〕20个最危险的平安漏洞〔25分钟〕网络平安维护〔20分钟〕平安编程与其他平安技术领域〔5分钟〕平安态势平安态势近年网络平安态势任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁zero-day特点任何组织都会遭受攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升2004年CVE全年收集漏洞信息1707条到2005年到5月6日就已经到达1470条年份漏洞数量1999742200040420018322002100620031049200417072005***1479发起攻击越来越容易、攻击能力越来越强黑客的职业化之路不再是小孩的游戏，而是与￥挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份，不为人知，但确实存在！攻击水平通常很高，精通多种技术攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究面临严峻的平安形势SQLInjection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少局部人掌握自行挖掘漏洞的能力，并且这个数量在增加漏洞挖掘流程专业化，工具自动化“看不见的风险〞厂商为了声誉不完全公开产品的平安缺陷：漏洞私有，不为人知网络平安事件造成巨大损失在FBI/CSI的一次抽样调查结果：被调查的企业2004年度由于网络平安事件直接造成的损失就到达1.4亿美元怠工、蓄意破坏系统渗透Web页面替换电信欺诈电脑盗窃无线网络的滥用私有信息窃取公共web应用的滥用非授权访问金融欺诈内部网络的滥用拒绝效劳攻击病毒事件网络平安事件类型来源：信息网络平安状况调查常用管理方法来源：信息网络平安状况调查应用最广泛的网络平安产品来源：信息网络平安状况调查网络攻击产生原因分析来源：信息网络平安状况调查平安设计四步方法论ISSF模型平安设计和平安域/等级保护的结合(例如〕等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复1√√√2√√√√√√√3√√√√√√√√√√4√√√√√√√√√√5√√√√√√√√√√平安体系的全面性措施分级保护、适度平安强度分级三分技术，七分管理网络系统平安风险评估网络系统平安风险评估组织实现信息平安的必要的、重要的步骤风险评估的目的风险评估的目的了解组织的平安现状分析组织的平安需求建立信息平安管理体系的要求制订平安策略和实施安防措施的依据风险的四个要素：资产及其价值威胁脆弱性现有的和方案的控制措施风险的要素资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……脆弱性是与信息资产有关的弱点或平安隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行平安配置物理环境不平安缺少审计缺乏平安意识后门……风险的要素风险分析矩阵—风险程度

可能性后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险国际上常见的风险控制流程确定风险评估方法

风险评估确定安全需求法律、法规系统任务和使命系统建设阶段、规模资产、威胁、脆弱性、现有措施法律、法规，系统任务和使命、评估结果制定安全策略选择风险控制措施验证措施实施效果安全需求技术限制、资源限制安全需求、实施效果安全策略文件风险评估报告安全需求报告风险管理方案适用性声明验证报告提供采取降低影响完成保护平安保证技术提供者系统评估者平安保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有信息平安有效评估的目标风险评估要素关系模型安全措施

抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变

未被满足未控制可能诱发残留成本资产资产价值信息系统是一个巨型复杂系统〔系统要素、平安要素〕信息系统受制于外部因素〔物理环境、行政管理、人员〕作业连续性保证威胁和风险在同领域内的相似性自评估、委托评估、检察评估信息系统平安风险评估的特征风险评估的一般工作流程

风险评估活动风险评估活动风险评估活动评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统〔IDS〕：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。GB18336idtISO/IEC15408信息技术平安性评估准那么IATF信息保障技术框架ISSE信息系统平安工程SSE-CMM系统平安工程能力成熟度模型BS7799,ISO/IEC17799信息平安管理实践准那么其他相关标准、准那么例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息平安产品测评认证中心相关文档和系统测评认证实践技术准那么〔信息技术系统评估准那么〕管理准那么〔信息系统管理评估准那么〕过程准那么〔信息系统平安工程评估准那么〕信息系统平安保障评估准那么与现有标准关系信息系统平安保障评估准那么信息技术平安评估准那么开展过程?可信计算机系统评估准那么?TCSEC?信息技术平安评估准那么?ITSEC通用准那么CC〔ISO15408、GB/T18336)?计算机信息系统平安保护等级划分准那么?BS7799、ISO17799?信息技术平安技术信息技术平安性评估准那么?ISO13335?IT平安管理指南?SSE-CMM系统平安工程能力成熟度模型我国的信息平安标准制定情况标准介绍保障信息平安有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。

根据国务院27号文件，对信息平安实施分级平安保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO15408，管理体系标准是ISO17799/BS7799。通用准那么CC(ISO/IEC15408、GB/T18336〕通用准那么CC信息技术平安评估准那么开展过程1999年GB17859计算机信息系统平安保护等级划分准那么1991年欧洲信息技术平安性评估准那么〔ITSEC〕国际通用准那么1996年〔CC1.0〕1998年〔CC2.0〕1985年美国可信计算机系统评估准那么〔TCSEC〕1993年加拿大可信计算机产品评估准那么〔CTCPEC〕1993年美国联邦准那么〔FC1.0〕1999年国际标准ISO/IEC154081989年英国可信级别标准〔MEMO3DTI〕德国评估标准〔ZSEIC〕法国评估标准〔B-W-RBOOK〕2001年国家标准GB/T18336信息技术平安性评估准那么idtiso/iec154081993年美国NIST的MSFRCC的适用范围CC定义了评估信息技术产品和系统平安型所需的根底准那么，是度量信息技术平安性的基准针对在平安评估过程中信息技术产品和系统的平安功能及相应的保证措施提出的一组通用要求，使各种相对独立的平安评估结果具有可比性。该标准适用于对信息技术产品或系统的平安性进行评估，不管其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。CC内容CC吸收了个先进国家对现代信息系统平安的经验和知识，对信息系统平安的研究和应用定来了深刻的影响。它分为三局部：第一局部介绍CC的根本概念和根本原理；第二局部提出了平安功能要求；第三局部提出了非技术性的平安保证要求。后两局部构成了CC平安要求的全部：平安功能要求和平安保证要求，其中平安保证的目的是为了确保平安功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和开展提供了最大可能的空间和自由度。

CC定义了作为评估信息技术产品和系统平安性的根底准那么，提出了目前国际上公认的表述信息技术平安性的结构，即：平安要求=标准产品和系统平安行为的功能要求+解决如何正确有效的实施这些功能的保证要求。CC的关键概念评估对象〔TargetofEvaluation,TOE)用于平安评估的信息技术产品、系统或子系统〔如防火墙、计算机网络、密码模块等〕，包括相关的管理员指南、用户指南、设计方案等文档。保护轮廓〔ProtectionProfile,PP)为既定的一系列平安对象提出功能和保证要求的完备集合，表达了一类产品或系统的用户需求。PP与某个具体的TOE无关，它定义的是用户对这类TOE

的平安需求。主要内容：需保护的对象；确定平安环境；TOE的平安目的；IT平安要求；根本原理在标准体系中PP相当于产品标准，也有助于过程标准性标准的开发。国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。CC的关键概念平安目标〔SecurityTarget)ST针对具体TOE而言，它包括该TOE的平安要求和用于满足平安要求的特定平安功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。ST是开发者、评估者、用户在TOE平安性和评估范围之间达成一致的根底。ST相当于产品和系统的实现方案，与ITSEC的平安目标类似。TOESecurityPolicy(TSP)TOE平安策略控制TOE中资产如何管理、保护和分发的规那么。CC的关键概念TOESecurityFunctions(TSF)TOE平安功能必须依赖于TSP正确执行的TOE的所有部件。组件〔Component)组件描述了一组特定的平安要求，使可供PP、ST或包选取的最小的平安要求集合。在CC中，以“类_族.组件号〞的方式来标识组件。包〔Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定平安目的有效的平安要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。

CC的关键概念CC的关键概念CC的关键概念CC的先进性结构的开放性即功能要求和保证要求都可以在具体的“保护轮廓〞和“平安目标〞中进一步细化和扩展，如可以增加“备份和恢复〞方面的功能要求或一些环境平安要求。这种开放式的结构更适应信息技术和信息平安技术的开展。表达方式的通用性即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。例如，用户使用CC的语言表述自己的平安需求，开发者就可以更具针对性地描述产品和系统的平安功能和性能，评估者也更容易有效地进行客观评估，并确保用户更容易理解评估结果。这种特点对标准实用方案的编写和平安性测试评估都具有重要意义。在经济全球化开展、全球信息化开展的趋势下，这种特点也是进行合格评定和使评估结果实现国际互认的需要。CC的先进性…结构和表达方式的内在完备性和实用性表达在“保护轮廓〞和“平安目标〞的编制上。“保护轮廓〞主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为平安技术类标准对待。内容主要包括：对该类产品或系统的界定性描述，即确定需要保护的对象；确定平安环境，即指明平安问题——需要保护的资产、的威胁、用户的组织平安策略；产品或系统的平安目的，即对平安问题的相应对策——技术性和非技术性措施；信息技术平安要求，包括功能要求、保证要求和环境平安要求，这些要求通过满足平安目的，进一步提出具体在技术上如何解决平安问题；根本原理，指明平安要求对平安目的、平安目的对平安环境是充分且必要的；附加的补充说明信息。“保护轮廓〞编制，一方面解决了技术与真实客观需求之间的内在完备性；另一方面用户通过分析所需要的产品和系统面临的平安问题，明确所需的平安策略，进而确定应采取的平安措施，包括技术和管理上的措施，这样就有助于提高平安保护的针对性、有效性。“平安目标〞在“保护轮廓〞的根底上，通过将平安要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“平安目标〞对待。通过“保护轮廓〞和“平安目标〞这两种结构，就便于将CC的平安性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。CC的先进性…CC内容之间的关系CC的三个局部相互依存，缺一不可。第1局部是介绍CC的根本概念和根本原理；第2局部提出了技术要求；第3局部提出了非技术性要求和对开发过程、工程过程的要求。三个局部有机地结合成一个整体。具体表达在“保护轮廓〞和“平安目标〞中，“保护轮廓〞和“平安目标〞的概念和原理由第1局部介绍，“保护轮廓〞和“平安目标〞中的平安功能要求和平安保证要求在第2、3局部选取，这些平安要求的完备性和一致性，由第2、3两局部来保证。保护轮廓与平安目标的关系通用准那么CCCC包括三个局部:第一局部：简介和一般模型第二局部：平安功能要求第三局部：平安保证要求通用准那么CC：第一局部介绍和通用模型平安就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在平安领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的CC第一局部内容〔1〕CC第一局部内容〔2〕通用准那么CCCC中平安需求的描述方法:包:组件的中间组合被称为包保护轮廓(PP):PP是关于一系列满足一个平安目标集的TOE的、与实现无关的描述平安目标(ST)：ST是针对特定TOE平安要求的描述，通过评估可以证明这些平安要求对满足指定目的是有用和有效的通用准那么CC包允许对功能或保证需求集合的描述，这个集合能够满足一个平安目标的可标识子集包可重复使用，可用来定义那些公认有用的、能够有效满足特定平安目标的要求包可用在构造更大的包、PP和ST中通用准那么CCPP包含一套来自CC〔或明确阐述〕的平安要求，它应包括一个评估保证级别〔EAL〕PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定平安目标的TOE要求PP包括平安目的和平安要求的根本原理PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体通用准那么CC：保护轮廓内容结构通用准那么CC平安目标(ST)包括一系列平安要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要标准，平安要求和目的，以及它们的根本原理ST是所有团体间就TOE应提供什么样的平安性达成一致的根底通用准那么CC：平安目标ST内容结构通用准那么CCCC框架下的评估类型PP评估PP评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的平安要求的声明ST评估ST评估具有双重目标：首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的根底其次，当某一ST宣称与某一PP一致时，证明ST满足该PP的要求TOE评估TOE评估的目标是为了证明TOE满足ST中的平安要求通用准那么CC三种评估的关系通用准那么CC第二局部：平安功能要求CC的第二局部是平安功能要求，对满足平安需求的诸平安功能提出了详细的要求另外，如果有超出第二局部的平安功能要求，开发者可以根据“类-族-组件-元素〞的描述结构表达其平安要求，并附加在其ST中通用准那么CC第二局部：平安功能要求通用准那么CC第二局部：平安功能要求通用准那么CC第二局部：平安功能要求通用准那么CC第二局部：平安功能要求平安功能需求层次关系功能和保证要求以“类—族—组件〞的结构表述，组件作为平安要求的最小构件块，可以用于“保护轮廓〞、“平安目标〞和“包〞的构建，例如由保证组件构成典型的包——“评估保证级包〞。通用准那么CCCC共包含的11个平安功能类，如下：FAU类：平安审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别FMT类：平安管理FPR类：隐秘FPT类：TSF保护FAU类：资源利用FTA类：TOE访问FTP类：可信路径/信道通用准那么CC：第三局部评估方法CC的第三局部是评估方法局部，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准那么维护类提出了保证评估过的受测系统或产品运行于所获得的平安级别上的要求只有七个平安保证类是TOE的评估类别通用准那么CC：第三局部评估方法CC的第三局部是评估方法局部，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准那么维护类提出了保证评估过的受测系统或产品运行于所获得的平安级别上的要求只有七个平安保证类是TOE的评估类别通用准那么CC：第三局部评估方法通用准那么CC：第三局部评估方法通用准那么CC：第三局部评估方法通用准那么CC：第三局部评估方法通用准那么CC：第三局部评估方法通用准那么CC七个平安保证类ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能标准高层设计实现表示TSF内部低层设计表示对应性平安策略模型AGD类：指南文档管理员指南用户指南ALC类：生命周期支持开发平安缺陷纠正生命周期定义工具和技术ATE类：测试覆盖范围深度功能测试独立性测试AVA类：脆弱性评定隐蔽信道分析误用TOE平安功能强度脆弱性分析通用准那么CC通用准那么CC平安保证要求局部提出了七个评估保证级别〔EvaluationAssuranceLevels：EALs〕分别是：通用准那么CC：EAL解释通用准那么CC：EAL解释CC的EAL与其他标准等级的比较PP根本原理对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在平安环境内提供一组有效的IT平安对策平安目的根本原理平安要求根本原理威胁组织平安策略假设平安需求IT平安要求TOE目的环境的目的平安目的相互支持支持恰好满足恰好满足功能强度声明一致威胁举例T.REPLAY重放当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。平安目的举例O.SINUSE单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN平安功能TOE必须提供一种功能使授权管理员能够使用TOE的平安功能，并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1用户属性定义：允许为每个用户单独保存其用户平安属性。FIA_UAU.1鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3静态属性初始化：确保平安属性的默认值是允许的或限制某行为的。TOE平安功能要求举例TOE平安功能要求举例FMT_MOF.1平安功能行为的管理：允许授权用户管理TSF中使用规那么或有可管理的指定条件的功能行为。FAU_STG.1受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以防止未授权的删除或修改。FAU_STG.4防止审计数据丧失：规定当审计踪迹溢满时的行动。O.SECFUNPP例如“包过滤防火墙平安技术要求〞〔GB18019-99〕“应用级防火墙平安技术要求〞〔GB18020-99〕“路由器平安技术要求〞〔GB18018-99〕“电信智能卡平安技术要求〞“网上证券委托系统平安技术要求〞通用准那么CCCC优点：CC代表了先进的信息平安评估标准的开展方向，基于CC的IT平安测评认证正在逐渐为更多的国家所采纳，CC的互认可协定签署国也在不断增多。根据IT平安领域内CC认可协议，在协议签署国范围内，在某个国家进行的基于CC的平安评估将在其他国家内得到成认。截止2003年3月，参加该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。CC缺点：CC应用的局限性，比方该标准在开篇便强调其不涉及五个方面的内容：行政性管理平安措施、物理平安、评估方法学、认可过程、对密码算法固有质量的评价，而这些被CC忽略的内容恰恰是信息平安保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷，即它没有数学模型的支持，即理论根底缺乏。TCSEC还有BLP模型的支持。其平安功能可以得到完善的解释，平安功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求，只局限于简单的自然语言描述，不能落实到具体的平安机制上。更无从评价这些平安要求的强度。所以：CC并不是万能的，它仍然需要与据各个国家的具体要求，与其他平安标准相结合，才能完成对一个信息系统的完整评估。目前得到国际范围内认可的是ISO/IEC15408〔CC〕,我国的GB/T18336等同采用ISO/IEC15408。BS7799、ISO17799BS7799历史沿革1995年，英国制定国家标准BS7799第一局部：“信息平安管理事务准那么〞，并提交国际标准组织(ISO)，成为ISODIS14980。1998年，英国公布BS7799第二局部“信息平安管理标准〞并成为信息平安管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料〞。2000年，国际标准组织ISO/IECJTCSC27在日本东京10月21日通过BS7799-1，成为ISODIS17799-1，2000年12月1日正式发布。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS7799；日本、瑞士、卢森堡表示对BS7799感兴趣；我国的台湾、香港地区也在推广该标准。BS7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799不是认证标准，目前正在修订。BS7799-2是认证标准，作为国际标准目前正在讨论。BS7799内容：总那么要求各组织建立并运行一套经过验证的信息平安管理体系〔ISMS〕，用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理方法、要求到达的平安程度。建立管理框架确立并验证管理目标和管理方法时需采取如下步骤：定义信息平安策略定义信息平安管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息平安策略及所要求的平安程度，决定应加以管理的风险领域选出合理的管理标的和管理方法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理方法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理方法进行记录对上述步骤的合理性应按规定期限定期审核。BS7799局部BS7799-1:1999?信息平安管理实施细那么?是组织建立并实施信息平安管理体系的一个指导性的准那么，主要为组织制定其信息平安策略和进行有效的信息平安控制提供的一个群众化的最正确惯例。BS7799-2:2002?信息平安管理体系标准?规定了建立、实施和文件化信息平安管理体系(ISMS)的要求，规定了根据独立组织的需要应实施平安控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息平安管理体系，进行有效的信息平安风险管理，确保商务可持续性开展；作为寻求信息平安管理体系第三方认证的标准。BS7799标准第二局部明确提出平安控制要求，标准第一局部对应给出了通用的控制方法〔措施〕，因此可以说，标准第一局部为第二局部的具体实施提供了指南。BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799十大管理要项BS7799-2:2002十大管理要项BS7799-2:20021、平安方针：为信息平安提供管理指导和支持；2、组织平安：建立信息平安架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息平安；3、资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员平安：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息平安的危险性和相关事项，以便在他们的日常工作中支持组织的平安方针；制定平安事故或故障的反响程序，减少由平安事故和故障造成的损失，监控平安事件并从这种事件中吸取教训；5、实物与环境平安：确定平安区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备平安，防止资产的丧失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；

十大管理要项BS7799-2:20026、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、平安操作；加强系统筹划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯效劳的完整性和有效性通过；加强网络管理确保网络中的信息平安及其辅助设施受到保护；通过保护媒体处理的平安，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丧失、更改和误用；7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络效劳程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息平安；8、系统开发与维护：明确系统平安要求，确保平安性已构成信息系统的一部份；加强应用系统的平安，防止应用系统用户数据的丧失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的平安，确保IT方案及其支持活动以平安的方式进行；加强开发和支持过程的平安，确保应用系统软件和信息的平安；9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；10、符合：符合法律法规要求，防止刑法、民法、有关法令法规或合同约定事宜及其他平安要求的规定相抵触；加强平安方针和技术符合性评审，确保体系按照组织的平安方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。BS7799与CC的比较BS7799完全从管理角度制定，并不涉及具体的平安技术，实施不复杂，主要是告诉管理者一些平安管理的本卷须知和平安制度，例如磁盘文件交换和处理的平安规定、设备的平安配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想到达BS7799的全面性那么需要一番努力。同BS7799相比，信息技术平安性评估准那么(CC)和美国国防部可信计算机评估准那么(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统平安工程能力成熟模型(SSE-CMM)更侧重于对平安产品开发、平安系统集成等平安工程过程的管理。在对信息系统日常平安管理方面，BS7799的地位是其他标准无法取代的。总的来说，BS7799涵盖了平安管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息平安管理环境。推广信息平安管理标准的关键在重视程度和制度落实方面。它是目前可以用来到达一定预防标准的最好的指导标准。制订信息平安方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件建立ISMS框架第一步制订信息平安方针BS7799-2对ISMS的要求：组织应定义信息平安方针。信息平安是指保证信息的保密性、完整性和可用性不受破坏。建立信息平安管理体系的目标是对公司的信息平安进行全面管理。信息平安方针是由组织的最高管理者正式制订和发布的该组织的信息平安的目标和方向，用于指导信息平安管理体系的建立和实施过程。要经最高管理者批准和发布表达了最高管理者对信息平安的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息平安管理体系被充分理解和贯彻实施；统领整个信息平安管理体系。建立ISMS框架第一步制订信息平安方针信息平安方针的内容包括但不限于：组织对信息平安的定义信息平安总体目标和范围最高管理者对信息平安的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息平安管理的总体责任和具体责任的定义相关支持文件本卷须知简单明了易于理解可实施防止太具体建立ISMS框架第二步确定ISMS范围BS7799-2对ISMS的要求：组织应定义信息平安管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。可以根据组织的实际情况，将组织的一局部定义为信息平安管理范围，也可以将组织整体定义为信息平安管理范围；信息平安管理范围必须用正式的文件加以记录。ISMS范围文件文件是否明白地描述了信息平安管理体系的范围范围的边界和接口是否已清楚定义建立ISMS框架第三步风险评估BS7799-2对ISMS的要求：组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否认期和适时进行？建立ISMS框架第四步风险管理BS7799-2对ISMS的要求：组织应依据信息平安方针和组织要求的平安保证程度来确定需要管理的信息平安风险。根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。是否认义了组织的风险管理方法？是否认义了所需的信息平安保证程度？是否给出了可选择的控制措施供管理层做决定？建立ISMS框架第五步选择控制目标和控制措施BS7799-2对ISMS的要求：组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是根本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反响了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择建立ISMS框架平安问题平安需求控制目标控制措施解决指出定义被满足第五步选择控制目标和控制措施BS7799-2对ISMS的要求：未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-平安设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-？建立ISMS框架第六步准备适用声明BS7799-2对ISMS的要求：组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。建立ISMS框架未来实现公司ISMS适用声明风险评估如何贯穿于平安管理BS7799-2:2002设计ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS计划DOCHECKACTISMS定义ISMS的执行范围和政策执行风险评估对风险评估处理作出决定

选择控制DesigntheISMS执行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将ISMS放到操作使用中风险评估如何贯穿于平安管理BS7799-2:2002DesigntheISMSImplementandusetheISMS监控和检查ISMSImproveandupdatetheISMSPLANDO检查ACTISMS执行监控进程执行定期检查

检查剩余风险和可接受的风险内部审计风险评估如何贯穿于平安管理BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果

检查改进达到的目标风险评估如何贯穿于平安管理BS7799-2:2002ISMS资产BusinessprocessesInformation

PeopleServicesICTPhysicallocationApplicationsassetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMS风险Assetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatment风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低(可忽略,无关紧要,为缺乏道,无须重视)中低(值得注意,相当可观但不是主要的)中(重要,主要)中高(严重危险,潜在灾难)高(破坏性的,总体失灵,完全停顿)保密性要求(C)资产价值分级描述1–低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2–中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3–高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。资产分级

完整性要求(I)资产价值分级描述1–低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2–中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3–高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产分级可用性要求(A)资产价值分级描述1-低低可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。2–中中可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍半天到一天的不能使用。3–高高可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍几个小时的不能使用。4–非常高非常高的可用性资产(信息,信息系统系统资源/网络服务,人员等.)必须保证每年每周24x7工作。资产分级威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。实例不太可能发生的机会小于1/10可能出现的机会小于25%很可能/大概机会50:50高可能发生的机会多于75%非常可能不发生的机会小于1/10绝对无疑100%会发生风险控制RiskthresholdRisklevel风险控制ContinualImprovement7.5信息系统平安保障管理级别等级能力描述SAM-CML1组织内部能够依据经验进行部分的安全管理工作

SAM-CML2组织能够建立完善的管理体系来规范安全管理

SAM-CML3组织能够采取有效措施来敦促所制定管理体系的落实和实施，从而能确保管理体系有效实施

SAM-CML4组织所制定的管理体系不仅能够有效实施，而且还能够对实施的管理措施的效果进行测试，尽量采用量化的数据来分析和验证所采用的管理措施

SAM-CML5组织能够对管理体系进行持续改进，使管理体系始终对组织安全保障体系的运行发挥最大效应

几点认识风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。风险评估是出发点等级划分是判断点平安控制是落脚点高危漏洞高危漏洞正确的平安观念全网平安动态平安相对平安包括全网平安在政府网站系统中，综合考虑技术、管理、标准、行业法规等各个环节和因素，在网络运行的各个阶段，分析网络的参考点和平安的各个层次，采取适当的平安技术和平安管理手段，从整个网络的平安需求出发，构建全方位多层次的平安架构简单而言，应在积极利用这个平安按技术和产品的同时，建立配套的管理制度，两者相辅相成，实施于政府网站系统的各个阶段，使人、业务过程和平安技术高度协调动态平安平安不是一成不变的或者静态的，而是“动态〞的平安网络结构会随着业务需求的变化而变化，计算机技术不停地改进，攻击手段也越来越高超；而当网络发生变化，或者出现新的平安技术和攻击手段，或者在平安事件发生之后，平安体系必须能够包容新的情况，及时做出联动反响，把平安风险维持在所允许的范围之内平安体系应该采用“以动制动〞的机制如何到达动态平安采用自顶向下的方法，将整个网络系统划分为子系统，对单个系统直至系统中的部件进行详尽的风险分析定期或不定期对网络进行平安检查，检查时应按上次评估的结果及管理阶层所能接受的风险程度，以不同深度进行依据已有技术修补发现的新漏洞将评估和检查作为是必需的日常工作相对平安对于不同性质的政府网站，对于平安的要求是不同的。不能将平安问题绝对化，不是“越平安越好〞平安保护是有本钱的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大局部非法用户就不愿意做这种事情在设计系统平安措施的时候，必须根据系统的实际应用情况，综合考虑平安、本钱、效率三者的权重，并求得适度的平衡，实现“恰到好处〞的平安网络平安主要威胁来源网络内部、外部泄密拒绝效劳攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丧失、篡改、销毁后门、隐蔽通道蠕虫典型的网络平安威胁

威胁描述授权侵犯为某一特定目的的授权，使用一个系统的人却将该系统用作其他未授权的目的旁路控制攻击者发掘系统的缺陷或安全脆弱性拒绝服务对信息或其它资源的合法访问被无条件的拒绝或推迟窃听信息从被监视的通信过程中泄露出去电磁射频截获信息从电子机电设备所发出的无线射频或其它电磁场辐射中被提取非法使用资源被未授权人或以未授权方式使用人员疏忽授权人为了利益或粗心将信息泄露给未授权人信息泄漏信息被泄露或暴漏给某个未授权的实体完整性破坏数据的一致性通过对数据进行未授权的创建、修改或破坏而受到破坏截获／修改某一通信数据项在传输过程中被改变、删除或替代假冒一个实体假装成另一个不同的实体典型的网络平安威胁〔cont.〕

威胁描述

媒体清理信息被从废弃的或打印过的媒体中获得物理侵入入侵者通过绕过物理控制而获得对系统的访问

重放出于非法目的而重新发送截获的合法通信数据项的拷贝

否认参与某次通信交换的一方，事后错误的否认曾经发生过此次交换

资源耗尽某一资源被故意超负荷使用，导致其他用户服务被中断

服务欺骗某一伪系统或系统部件欺骗合法的用户，或系统自愿的放弃敏感信息

窃取某一安全攸关的物品（令牌或身份卡）被盗业务流分析通过对通信业务流模式进行观察（有，无，数量，方向，频率等），而造成信息被泄露给未授权的实体

陷门将某一“特征”设立于某个系统或系统部件中，使得在提供特定的输入数据时，允许违反安全策略特洛伊木马含有觉察不出或无害程序段的软件，当它被运行时，会损害用户的安全信息平安、计算机平安和网络平安的关系信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布那么依赖于网络系统。如果能够保障并实现网络信息的平安，就可以保障和实现计算机系统的平安和信息平安。因此，网络信息平安的内容也就包含了计算机平安和信息平安的内容。信息平安均指网络信息平安。不平安因素网络信息系统的脆弱性1)网络的开放性。2)软件系统的自身缺陷。1999年平安应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。3〕黑客攻击。Microsoft通用操作系统的平安性估计操作系统 推出年份 代码行数〔万〕估计缺陷数〔万〕Windows3.1 1992年 3001.5～3Windows95 1995年 5002.5～5WindowsNT4.0 1996年 16508.25～15.5Windows2000 2000年 3500～500017.5～35对平安的攻击高风险漏洞统计(按操作系统)网络平安漏洞大量存在Windows十大平安隐患Web效劳器和效劳工作站效劳Windows远程访问效劳微软SQL效劳器Windows认证Web浏览器文件共享LSASExposures电子邮件客户端即时信息Unix十大平安隐患BIND域名系统Web效劳器认证版本控制系统电子邮件传输效劳简单网络管理协议开放平安连接通讯层企业效劳NIS/NFS配置不当数据库内核来源：SANS研究报告高风险漏洞统计(按应用程序)漏洞的概念三、系统漏洞漏洞的类型〔1〕管理漏洞-如两台效劳器用同一个用户/密码，那么入侵了A效劳器后，B效劳器也不能幸免。〔2〕软件漏洞-很多程序只要接收到一些异常或者超长的数据和参数，就会导致缓冲区溢出。〔3〕结构漏洞-比方在某个重要网段由于交换机、集线器设置不合理，造成黑客可以监听网络通信流的数据；又如防火墙等平安产品部署不合理，有关平安机制不能发挥作用，麻痹技术管理人员而酿成黑客入侵事故。〔4〕信任漏洞-比方本系统过分信任某个外来合作伙伴的机器，一旦这台合作伙伴的机器被黑客入侵，那么本系统的平安受严重威胁。20个最危险的平安漏洞2002年5月发布〔〕三类平安漏洞：1〕影响所有系统的七个漏洞〔G1~G7〕2〕影响Windows系统的六个漏洞〔W1~W6)3〕影响Unix系统的七个漏洞〔U1~U7〕G1-操作系统和应用软件的缺省安装三、系统漏洞软件开发商的逻辑是最好先激活还不需要的功能，而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便，但却产生了很多危险的平安漏洞，因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么，很多系统中留有平安漏洞就是因为用户根本不知道安装了这些程序。大多数操作系统和应用程序。应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。卸载不必要的软件，关掉不需要的效劳和额外的端口。这会是一个枯燥而且消耗时间的工作。G2-没有口令或使用弱口令的帐号三、系统漏洞易猜的口令或缺省口令是个严重的问题，更严重的是有的帐号根本没有口令。应进行以下操作：1．审计你系统上的帐号，建立一个使用者列表。2．制定管理制度，标准增加帐号的操作，及时移走不再使用的帐号。3．经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。4．对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。G3-没有备份或者备份不完整三、系统漏洞从事故中恢复要求及时的备份和可靠的数据存储方式。应列出一份紧要系统的列表。制定备份方式和策略。重要问题：1． 系统是否有备份？2． 备份间隔是可接受的吗？3． 系统是按规定进行备份的吗？4． 是否确认备份介质正确的保存了数据？5． 备份介质是否在室内得到了正确的保护？6． 是否在另一处还有操作系统和存储设施的备份？〔包括必要的licensekey〕7． 存储过程是否被测试及确认？G4-大量翻开的端口三、系统漏洞合法的用户和攻击者都通过开放端口连接系统。端口开得越多，进入系统的途径就越多。netstat命令可以在本地运行以判断哪些端口是翻开的,但更保险的方法是对你的系统进行外部的端口扫描.在众多的端口扫描器中，最流行的是nmap。一旦你确定了哪些端口是翻开的，接下来的任务是确定所必须翻开的端口的最小集合-关闭其他端口，找到这些端口对应的效劳，并关闭/移走它们。G5-没有过滤地址不正确的包三、系统漏洞IP地址欺诈。例如smurf攻击。对流进和流出你网络的数据进行过滤。1．任何进入你网络的数据包不能把你网络内部的地址作为源地址；必须把你网络内部的地址作为目的地址。任何离开你网络的数据包必须把你网络内部的地址作为源地址；不能把你网络内部的地址作为目的地址。3．任何进入或离开你网络的数据包不能把一个私有地址〔privateaddress〕或在RFC1918中列出的属于保存空间〔包括10.x.x.x/8,172.16.x.x/12或192.168.x.x/16和网络回送地址/8.〕的地址作为源或目的地址。G6-不存在或不完整的日志三、系统漏洞平安领域的一句名言是："预防是理想的，但检测是必须的"。一旦被攻击，没有日志，你会很难发现攻击者都作了什么。在所有重要的系统上应定期做日志，而且日志应被定期保存和备份，因为你不知何时会需要它。查看每一个主要系统的日志，如果你没有日志或它们不能确定被保存了下来，你是易被攻击的。所有系统都应在本地记录日志，并把日志发到一个远端系统保存。这提供了冗余和一个额外的平安保护层。不管何时，用一次性写入的媒质记录日志。G7-易被攻击的CGI程序三、系统漏洞大多数的web效劳器，都支持CGI程序。1．从你的web效劳器上移走所有CGI示范程序。2．审核剩余的CGI脚本，移走不平安的局部。3．保证所有的CGI程序员在编写程序时，都进行输入缓冲区长度检查。4．为所有不能除去的漏洞打上补丁。5．保证你的CGIbin目录下不包括任何的编译器或解释器。6．从CGIbin目录下删除"view-source"脚本。7．不要以administrator或root权限运行你的web效劳器。大多数的web效劳器可以配置成较低的权限，例如"nobody."8．不要在不需要CGI的web效劳器上配置CGI支持。W1-Unicode漏洞三、系统漏洞不管何种平台，何种程序，何种语言，Unicode为每一个字符提供了一个独一无二的序号。通过向IIS效劳器发出一个包括非法UnicodeUTF-8序列的URL,攻击者可以迫使效劳器逐字"进入或退出"目录并执行任意(程序)(script-脚本)，这种攻击被称为目录转换攻击。Unicode用%2f和%5c分别代表/和\。但你也可以用所谓的"超长"序列来代表这些字符。"超长"序列是非法的Unicode表示符，它们比实际代表这些字符的序列要长。/和\均可以用一个字节来表示。超长的表示法，例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中参加一个超长的Unicode序列，就可以绕过Microsoft的平安检查。如果你在运行一个未打补丁的IIS，那么你是易受到攻击的。最好的判断方法是运行hfnetchk。W2-ISAPI缓冲区扩展溢出三、系统漏洞安装IIS后，就自动安装了多个ISAPIextensions。ISAPI，代表InternetServicesApplicationProgrammingInterface，允许开发人员使用DLL扩展IIS效劳器的性能。一些动态连接库，例如idq.dll，有编程错误，使得他们做不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向DLL发送数据，造成缓冲区溢出，进而控制IIS效劳器。安装最新的Microsoft的补丁。该漏洞不影响WindowsXP.同时，管理员应检查并取消所有不需要的ISAPI扩展。经常检查这些扩展没有被恢复。请记住最小权限规那么，你的系统应运行系统正常工作所需的最少效劳。W3-IISRDS的使用(MicrosoftRemoteDataServices)三、系统漏洞黑客可以利用IIS'sRemoteDataServices(RDS)中的漏洞以administrator权限在远端运行命令。如果你在运行一个未打补丁的系统，你是易被攻击的。W4-NETBIOS-未保护的Windows网络共享三、系统漏洞ServerMessageBlock(SMB)协议，也称为CommonInternetFileSystem(CIFS),允许网络间的文件共享。不正确的配置可能会导致系统文件的暴露，或给予黑客完全的系统访问权。在Windows的主机上允许文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。1．在共享数据时，确保只共享所需目录。2．为增加平安性，只对特定IP地址进行共享，因为DNS名可以欺诈。3．对Windows系统(NT,2000)，只允许特定用户访问共享文件夹。4．对Windows系统，禁止通过"空对话"连接对用户，组，系统配置和注册密钥进行匿名列举。在W5中有更详尽的信息。5．对主机或路由器上的NetBIOS会话效劳(tcp139),MicrosoftCIFS(TCP/UDP445)禁止不绑定的连接。6．考虑在独立或彼此不信任的环境下，在连接Internet的主机上部署RestrictAnonymousregistrykey。W5-通过空对话连接造成的信息泄露三、系统漏洞空对话连接(nullsession)，也称为匿名登录，是一种允许匿名用户获取信息〔例如用户名或共享文件〕，或不需认证进行连接的机制。explorer.exe利用它来列举远程效劳器上的共享文件。在WindowsNT和Windows2000系统下，许多本地效劳是在SYSTEM帐号下运行的，又称为Windows2000的LocalSystem。很多操作系统都使用SYSTEM帐号。当一台主机需要从另一台主机上获取系统信息时，SYSTEM帐号会为另一台主机建立一个空对话。SYSTEM帐号实际拥有无限的权利，而且没有密码，所以你不能以SYSTEM的方式登录。SYSTEM有时需要获取其它主机上的一些信息，例如可获取的共享资源和用户名等典型的网上邻居功能。由于它不能以用户名和口令进入，所以它使用空对话连接进入，不幸的是攻击者也可以相同的方式进入。W6-WeakhashinginSAM(LMhash)三、系统漏洞尽管Windows的大多数用户不需要LANManager的支持，微软还是在WindowsNT和2000系统里缺省安装了LANManager口令散列。由于LANManager使用的加密机制比微软现在的方法脆弱，LANManager的口令能在很短的时间内被破解。LANManager散列的主要脆弱性在于：长的口令被截成14个字符短的口令被填补空格变成14个字符口令中所有的字符被转换成大写口令被分割成两个7个字符的片断另外，LANManager容易被侦听口令散列。侦听可以为攻击者提供用户的口令。U1-RPC效劳缓冲区溢出三、系统漏洞远程请求〔RemoteProcedureCalls〕允许一台机器上的程序执行另一台机器上的程序。用来提供网络效劳如NFS文件共享。由于RPC缺陷导致的弱点正被广泛的利用着。有证据显示，1999年到2000年间的大局部分布式拒绝效劳型攻击都是在那些通过RPC漏洞被劫持的机器上执行的。按照下面步骤保护你的系统防止该攻击：1.只要允许，在可以从Internet直接访问的机器上关闭或删除这些效劳2.在你必须运行该效劳的地方，安装最新的补丁：3.定期搜索供给商的补丁库查找最新的补丁并立刻安装。4.在路由或防火墙关闭RPC端口(port111)。5.关闭RPC"loopback"端口,32770-32789(TCPandUDP)U2-Sendmail漏洞三、系统漏洞Sendmail是在UNIX和Linux上用的最多的发送，接收和转发电子邮件的程序。Sendmail在Internet上的广泛应用使它成为攻击者的主要目标。过去的几年里发现了假设干个缺陷。事实上，第一个建议是CERT/CC在1988年提出的，指出了Sendmail中一个易受攻击的脆弱性。其中最为常用的是攻击者可以发送一封特别的邮件消息给运行Sendmail的机器，Sendmail会根据这条消息要求受劫持的机器把它的口令文件发给攻击者的机器〔或者另一台受劫持的机器〕，这样口令就会被破解掉。Sendmail有很多的易受攻击的弱点，必须定期的更新和打补丁。U3-Bind脆弱性三、系统漏洞BerkeleyInternetNameDomain(BIND)是域名效劳DNS(DomainNameService)用的最多的软件包。DNS非常重要，我们利用它在Internet上通过机器的名字〔例如〕找到机器而不必知道机器的IP地址。这使它成为攻击者钟爱的目标。不幸的是，根据1999年中期的调查，连接在Internet上的50％的DNS效劳器运行的都是易受攻击的版本。在一个典型的BIND攻击的例子里，入侵者删除了系统日志并安装了工具来获取管理员的权限。然后他们编辑安装了IRC工具和网络扫描工具，扫描了12个B类网来寻找更多的易受攻击的BIND。在一分钟左右的时间里，他们就使用已经控制的机器攻击了几百台远程的机器，并找到了更多的可以控制的机器。U4-R命令三、系统漏洞在UNIX世界里，相互信任关系到处存在，特别是在系统管理方面。公司里经常指定一个管理员管理几十个区域或者甚至上百台机器。管理员经常使用信任关系和UNIX的r命令从一个系统方便的切换到另一个系统。R命令允许一个人登录远程机器而不必提供口令。取代询问用户名和口令，远程机器认可来自可信赖IP地址的任何人。如果攻击者获得了可信任网络里的任何一台的机器，他〔她〕就能登录任何信任该IP的任何机器。下面命令经常用到：1. rlogin-remotelogin，远程登录2. rsh-remoteshell，远程shell3. rcp-remotecopy,远程拷贝U5-LPD(remoteprintprotocoldaemon)三、系统漏洞Unix里，in.lpd为用户提供了与本地打印机交互的效劳。lpd侦听TCP515端口的请求。程序员在写代码时犯了一点错误，使得当打印工作从一台机器传到另一台机器时会导致缓冲区溢出的漏洞。如果在较短的时间里接受了太多的任务，后台程序就会崩溃或者以更高的权限运行任意的代码。U6-sadmindandmountd三、系统漏洞Sadmind允许远程登录到Solaris系统进行管理，并提供了一个系统管理功能的图形用户接口。Mountd控制和判断到安装在UNIX主机上的NFS的连接。由于软件开发人员的错误导致的这些应用的缓冲区溢出漏洞能被攻击者利用获取root的存取权限。U7-缺省SNMP字串三、系统漏洞SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)是管理员广泛使用的协议，用来管理和监视各种各样与网络连接的设备，从路由器到打印机到计算机。SNMP使用没有加密的公共字符串作为唯一的认证机制。没有加密已经够糟了，不仅如此，绝大局部SNMP设备使用的公共字符串还是"public"，只有少局部"聪明"的设备供给商为了保护敏感信息把字符串改为"private"。攻击者可以利用这个SNMP中的漏洞远程重新配置或关闭你的设备。被监听的SNMP通讯能泄漏很多关于网络结构的信息，以及连接在网络上的设备。入侵者可以使用这些信息找出目标和谋划他们的攻击。补充–Windows2000Server输入法漏洞三、系统漏洞Windows2000简体中文版存在输入法漏洞，可以使本地用户绕过身份验证机制进入系统内部。通过该漏洞用户可以浏览计算机上的所有文件，并且可以执行net.ext命令吧自己添加为管理员用户，从而完全控制计算机。Windows2000中文版的终端效劳在远程操作时仍然存在这一漏洞，而且危害更大，能使系统管理员采用图形界面对Windows2000进行远程操作，在远程控制计算机。Windows2000的远程终端效劳的默认端口为3389，之一漏洞是的远程终端效劳成为Windows2000的“合法〞木马对策：〔1〕卸载不用的输入法，并删除输入法的帮助文件。〔2〕平安Windows2000效劳器的ServicePack网络平安维护网络平安的维护网络平安补丁检查工具HFNetChkHFNetChk是一个命令行程序，它只能运行在WindowsNT®,Windows2000andWindowsXP等基于NT的平台上扫描本地和远程计算机检查以下系统的平安补丁的安装状态WindowsNT4.0,Windows2000,XPInternetExplorer5.01和后续产品IIS4.0and5.0SQL7.0和后续产品是一个“只读〞工具-对被检查的机器没有任何配置或更新操作用户在每台被检查的机器上必须有本地管理员权限利用了XML技术XML允许获得最新公布的补丁程序的详细信息每当有新的平安公告出版时,XML文件自动更新包含了每一个补丁的详细信息,例如:适用的OS和效劳包平安补丁所包含的每一个文件信息:文件版本文件检验和(checksum)文件位置平安补丁所修改的注册表信息HFNetChkInAction运行HFNetChk.exe下载最新的XML补丁数据库XML基于以下扫描主机名IP地址范围域名HFNetChk如何工作?从microsoft站点下载经过签名的CAB文件(包含了XML数据)如果没有Internet连接,,直接使用本地备份工具版本检查OS\效劳包\应用检查识别与当前OS\效劳包\应用相关的平安补丁对每一个可应用的补丁:将被检查的机器上的键值与XML文件所包含的注册表键值作比较如果键值不存在,那么补丁文件没有被安装键值检查可以跳过,-z开关问题:我们可以依赖注册表键值来保证补丁安装吗?如果键值存在或键值检查被跳过,将被检查的机器上的文件版本与XML文件所包含的文件版本作比较将被检查的机器上的文件检验和与XML文件所包含的文件检验和作比较结果：如果文件版本和/或文件检验和不匹配,那么补丁程序被认为没有安装注意:补丁程序所包含的每一个文件都要被检测微软基准平安分析器MBSA运行在Windows2000/2003和WindowsXP平台上的单个可执行文件检查常见平安误设置和漏装补丁,效劳包WindowsInt