信息安全审计和风险分析
曹鹏 资深安全顾问,CISP, CCID安全专栏作家
东软NETEYE策划部
北京 caopeng@
©2003 Neteye. All rights reserved.
Confidential – Do Not Copy or Distribute
四月 2003
风险综述
在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。
风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。
风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。
四月份对中国网站的攻击(443次)
五月1-7日对美国网站的攻击(1041次)
五月1-7日对中国网站的攻击(147次)
(1) 系统太脆弱,太容易受攻击;
(2) 被攻击时很难及时发现和制止;
(3) 有组织有计划的入侵无论在数量上还是在质量
上都呈现快速增长趋势;
(4) 在规模和复杂程度上不断扩展网络而很少考虑
其安全状况的变化情况;
(5) 因信息系统安全导致的巨大损失并没有得到充
分重视,而有组织的犯罪、情报和恐怖组织却
深谙这种破坏的威力。
信息系统安全领域存在的挑战
互联网存在的六大问题
无主管的自由王国
(有害信息、非法联络、违规行为)
不设防的网络空间
(国家安全、企业利益、个人隐私)
法律约束脆弱
(黑客犯罪、知识侵权、避税)
跨国协调困难
(过境信息控制、跨国黑客打击、关税)
民族化和国际化的冲突
(文化传统、价值观、语言文字)
网络资源紧缺(IP地址、域名、带宽)
文化安全
信息安全
系统安全
物理安全
网络信息安全涉及哪些因素?
因特网的安全涉及哪些因素
系统安全
信息安全
文化安全
物理安全
又称实体安全
又称运行安全
又称数据安全
又称内容安全
关于物理安全
作用点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。
外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。
防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。
关于系统安全
作用点:对计算机网络与计算机系统可用性与可控性进行攻击。
外显行为:网络被阻塞,黑客行为,非法使用资源等,计算机病毒,使得依赖于信息系统的管理或控制体系陷于瘫痪。
防范措施:防止入侵,检测入侵,攻击反应,系统恢复。
关于信息安全
作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。
外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。
防范措施:加密,完整性技术, 认证,数字签名。
作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。
外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。
防范措施:设置因特网关,监测、控管。
关于文化安全
系统风险管理
系统风险管理是一个识别什么会出错,测定和评价有关的风险,实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义,系统规范,系统设计,系统实现或系统操作和支持期内的任何时候都要被识别出来。
技术风险管理
技术风险管理计划是系统工程管理计划的
基本部分。
安全风险和安全风险管理
安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性,然后,如果需要,可动用资源,使系统的安全风险降低到可接受的水平。
系统风险分析模型
网络系统风险分析详解
风险分析一览表
鉴别
技术
访问控制
技术
加密
技术
安全策略
风险分析与评估
应用安全
系统安全
网络平台安全
响应
调整
安全技术控制
安全风险控制模型
安
全
状
态
审
计
信
息
安
全
工
程
安全管理
法律性
管理
技术性
管理
安全总需求
策略实施
风险控制及
安全评估
安
全
风
险
监
测
风险关系模型
增加(increase)
抗击(protect against)
降低(reduce)
被满足(met by)
引出indicate
增加(increase)
增加(increase)
使暴露(expose)
拥有(have)
利用(exploit)
需求
影响
资产
漏洞
威胁
控制
风险
信息安全的特点 (ISO 17799中的定义)
保密性:确保只有经过授权的人才能访问信息;
完整性:保护信息和信息的处理方法准确而完整;
可用性:确保经过授权的用户在需要是可以访问信息并使用相关信息资 产。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
信息安全管理纲要
Code of practice for information security management
BS7799 / ISO 17799
信息安全政策
安全组织
资产分类及控制
人员安全
物理及环境安全
计算机及系统管理
系统访问控制
系统开发与维护
业务连续性规划
法规和策略符合性
如何制定安全要求
组织确定自己的安全要求,这是安全保护的起点。安全要求有三个主要来源。
第一个来源是对组织面临的风险进行评估的结果。通过风险评估,确定风险和安全漏洞对资产的威胁,并评价风险发生的可能性以及潜在的影响。
第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。
第三个来源是一组专门的信息处理的原则、目标和要求,它们是组织为了进行信息处理必须制定的。
业务需求
威胁及风险分析
国家,行业,安全相关的法律法规
业务系统安全策略
个人安全策略
安全技术标准化策略
管理策略
风险评估与安全登记划分
计算机系统与网络安全策略
物理安全与环境保护策略
管理安全规范
教育与培训策略
标识,认证策略
信息保密与完整性策略
授权与访问控制策略
抗抵赖策略
安全审计策略
入侵监测策略
病毒防范策略
响应与恢复策略
容错与备份
用户角色,级别
用户账号及认证方式
防火墙访问控制链表
…...
局部可执行安全策略
全局自动安全策略
组织安全策略
所 有 者
攻 击 者
对 策
漏 洞
风 险
威 胁
资 产
ISO15408安全模型
ISO/IEC 15408-1 安全概念和关系模型
风险
防护措施
信息资产
威胁
漏洞
防护需求
降低
增加
增加
利用
暴露
价值
拥有
抗击
增加
引出
被满足
ISO13335以风险为核心的安全模型
漏洞举例说明
比如一台安装了WIN2000,启动了HTTP服务的机器,机器主人的目的是向INTERNET上的公众提供网站内容的浏览。
例如:是一台缺省安装的WIN2000 SERVER,如果远程浏览者在IE的地址栏中输入
就会得到机器的网站内容在该机器的物理路径,如下图
再比如:
是一台缺省安装的WIN2000 SERVER,如果远程浏览者在IE的地址栏中输入
就能在该机器上执行该机器上的程序。将dir c:\作为参数,执行结果会得到机器的C盘下的目录列表
发现UNICODE的漏洞后 尝试寻找PCANYWHERE的密码文件
拷备到WEB目录下进行下载到本地
直接利用专门的解密工具 还原出密码明文
利用PCANYWHERE的客户端远程连接 输入破解后的用户名密码
成功后 远程进入主机的桌面得到管理员权限
如何评估安全风险
安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。
风险评估技术适用于整个组织,或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。
在这些地方,风险评估技术不仅切合实际,而且也要求,这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织颇有助益。
评估的依据
进行风险评估需要系统地考虑以下问题:
安全故障可能造成的业务损失,包含由于信息和其他资产的保密性、完整性或可用性损失可能造成的后果。
当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。
评估后的审查
对安全风险和实施的控制措施进行定期审查非常重要,目的是:
a) 考虑业务要求和优先顺序的变更;
b) 考虑新出现的安全威胁和漏洞;
c) 确认控制措施方法是否适当和有效;
应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审核。通常先在一个较高的层次上对风险进行评估(这是一种优先处理高风险区域中的资源的方法),然后在一个具体层次上处理特定的风险。
Yes
扫描代价分析
扫描工具考虑
确定检查项目
用户确认?
制定扫描方案
实际扫描
主机系
统扫描
网络系
统扫描
应用系
统扫描
数据系
统扫描
扫描结果报告
主机系统
检测报告
网络系统
检测报告
应用系统
检测报告
数据系统
检测报告
增强系统安全的建议方案
签字验收
实施结果报告
主机系统
实施报告
网络系统
实施报告
应用系统
实施报告
数据系统
实施报告
用户确认?
增强系统安全方案实施
YES
No
No
安全评估服务介绍流程
提供相关的文档
资产模板文档
资产登记文档
威胁,漏洞,控件表
风险评估小结报告
风险评估中使用控件列表
建立资产列表
资产分为6个组
信息资产 文档资产 软件资产 物理资产 人员资产 公司形象和声誉 服务
建立漏洞列表
漏洞列表,包含所有信息系统中存在的漏洞,该漏洞列表需要根据系统资源和信息资源的变化,不断的修改和增加。
典型的漏洞为
缺乏或不适当的物理保护
错误的选择和使用密码
与外部网络相连没有安全措施
文档存储没有安全措施
安全培训的缺乏
系统存在的安全隐患
网络存在的安全隐患
建立威胁列表
列出每个资产可能存在的威胁。威胁是潜在存在着的,在某种时机或场合下利用漏洞而对信息系统造成危害。
典型的威胁为:
非授权用户访问信息,信息系统,网络和网络服务
恶意的程序
软件错误
信息的重路由 非授权用户修改信息 火灾 偷盗 员工错误
向安全论坛提供报告
一份总结性的报告提供给安全论坛。
这份报告概述应该在审核员确定了详细的资产列表同时为资产估值确定规则。从这份报告中,管理讨论组能够非常清楚的知道资产的值,因此客户可以能够重视资产值高的资产同时使用相应的控件对象,控件和 对策。
监控和回顾
审核员做完评估工作以后,应该对资产的评估报告与客户的资产情况进行有规则的监控和审核,当发现客户资产结构发生变化时,需要对变化的部门进行重新评估。
安全扫描的概念理解
安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。显然,安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。因此,安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。
漏洞的概念
“漏洞”对应的英文:bug,leak,vulnerability,现在国内都统称为漏洞。但更准确的叫法应该是脆弱性,即存在于一个系统内的弱点或缺陷,系统对一个特定的威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。
漏洞 不等于 BUG,
通常漏洞扫描和评估过程实际上是一个安全方面的脆弱性扫描和分析的过程
风险评估的考虑要素
评估企业范围内的安全风险和漏洞 (包括网络)
检测违反安全策略的行为
确保企业安全策略的一致性
提供全企业范围内的、集成的安全管理构架
我们的网络有多安全 ??
如何知道 ??
风险评估系统的功能
主要对以下三类风险或漏洞进行评估:
厂家提供的软件有关的漏洞:如 BUGs、没有安装相应的补丁程序、一些有漏洞的服务以及不安全的缺省设置。
由于维护管理带来的安全漏洞:如设置错误、密码和未经授权的系统配置修改等。
与用户行为有关的安全漏洞:如;未经授权的目录共享、违反安全策略的行为等。
安全扫描在企业部署安全策略中处于重要地位
防火墙,反病毒,加强的用户认证,访问控制和认证,加密,评估,记录报告和预警,安全固化的用户认证,认证,物理安全。
管理这些设备,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中)的职责。通过监视事件日志,系统受到攻击后的行为和这些设备的信号,作出反应。
安全扫描系统就把这些设备有机地结合在一起。因此,而安全扫描是一个完整的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地位。
利用网络安全评估系统对网络进行安全评估
DMZ
E-Mail File Transfer
HTTP
Intranet
生产部
工程部
市场部
人事部
路由
Internet
中继
安全弱点扫描
通讯 & 应用服务层
利用系统安全评估软件进行可适应性安全弱点监测和响应
DMZ
E-Mail File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
安全弱点扫描
操作系统层
网络安全评估系统对于DMZ区域的检测
DMZ
E-Mail File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
应用程序层
安全弱点扫描
安全审计/入侵检测系统
目 录
专业安全审计系统体系结构分析
网络信息系统安全审计综述
审计与日志分析
审计结果分析
安全审计系统的必要性
一旦我们采用的防御体系被突破怎么办?至少我们必须知道系统是怎样遭到攻击的,这样才能恢复系统,此外我们还要知道系统存在什么漏洞,如何能使系统在受到攻击时有所察觉,如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的,它相当于飞机上使用的“黑匣子”。
安全审计系统的必要性(续)
在TCSEC和CC等安全认证体系中,网络安全审计的功能都是方在首要位置的,它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。它是保证网络安全十分重要的一种手段。
CC标准中的网络安全审计功能定义
网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则版】(ISO/IEC15408),俗称CC准则,目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能,有:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应,它是管理审计事件的需要,这些需要包括报警或行动,例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。
安全审计数据生成
该功能要求记录与安全相关事件的出现,包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
产生的审计数据有以下几方面
对于敏感数据项(例如,口令通行字等)的访问
目标对象的删除
访问权限或能力的授予和废除
改变主体或目标的安全属性
标识定义和用户授权认证功能的使用
审计功能的启动和关闭
每一条审计记录中至少应所含以下信息:
事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败) 、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。
安全审计分析
此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。
安全审计分析类型
潜在攻击分析
基于模板的异常检测
简单攻击试探
复杂攻击试探
等几种类型。
安全审计分析类型(续)
潜在攻击分析:系统能用一系列的规则监控审计事件,并根据这些规则指示系统的潜在攻击;
基于模板的异常检测:检测系统不同等级用户的行动记录,当用户的活动等级超过其限定的登记时,应指示出此为一个潜在的攻击;
简单攻击试探:当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一个潜在的攻击。
安全审计浏览
该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括:审计浏览、有限审计浏览、可选审计浏览。
审计浏览 提供从审计记录中读取信息的服务;
有限审计浏览 要求除注册用户外,其他用户不能读取信息;
可选审计信息 要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。
安全审计事件选择
系统能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,例如:与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用的动作。
安全审计事件存储
系统将提供控制措施以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
安全审计事件存储(续)
它可保证某个指定量度的审计记录被维护,并不受以下事件的影响:
审计存储用尽;
审计存储故障;
非法攻击;
其他任何非预期事件。
系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。
网络安全审计层次结构图
网络层审计
系统层审计
应用层审计
TCP/IP、ATM…
UNIX、Windows 9x/NT、ODBC
审计总控
CA发证操作
主页更新监视
…
安全审计系统体系结构示意图
安全审计系统的典型配置示意图
Mail Server
DNS Server
DB Server
Application Server
Work station
路由器
防火墙
审计设备
1
审计设备
2
审计软件
Agent
服务网
内部网
Application Server
Web Server
Search Server
审计中心
审计与日志分析
审计与日志分析的参考标准
防火墙和路由器等网络和网络安全设备日志
通用操作系统日志
日志过滤
可疑的活动分析
审计结果
参考审计执行过程
建立设计报告库
安全审计和安全标准
建议性审计解决方案
建议审计执行过程
为了能够确定安全策略和实施情况的差距,建议采用特定方法继续进行有效的审计;
抵御和清除病毒,蠕虫和木马,修补系统漏洞;
建议改善和增强如下内容:
重新配置路由器;
添加和重新配置防火墙规则;
升级操作系统补丁类型;
升级已有的和不安全的服务;
加强网络审核;
自动实施和集中管理网络内部和边界安全;
建议改善和增强如下内容(续)
增加入侵检测和网络监控产品;
增强物理安全;
加强反病毒扫描;
加强用户级别的加密;
删除不必要的用户账号,程序和服务;
等等
具体改善建议
安装监视软件,如Axrent的企业级安全管理器;
对物理安全进行有规律的审计。
强制实施安全策略
实施用户级别的加密;
在单个客户端上安装“个人防火墙”来锁定端口和减小风险。
主机和个人安全
随时升级和更新入侵检测系统的规则;
识别需要检测的内容。
入侵检测
保证访问控制规则为最小、正确和有效的设置;
保证NAT、冲定向等为最小、正确和有效设置;
扫描DMZ区域内有问题的主机和服务器。
防火墙
改善
分类
建议设计审计报告库
在安全审计报告中应该包括:
总体评价现在的安全级别:你应该给出低、中、高的结论,包括你监视的网络设备的简要评价(例如:大型机、路由器、NT系统、UNIX系统等等);
对偶然的、有经验的和专家级的黑客入侵系统作出时间上的估计;
简要总结出你的最重要的建议;
在安全审计报告中应该包括(续)
详细列举你在审计过程中的步骤:此时可以提及一些在侦查、渗透和控制阶段你发现的有趣问题;
对各种网络元素提出建议,包括路由器、端口、服务、登陆账户、物理安全等等;
讨论物理安全:许多网络对重要设备的摆放都不注意。例如,有的公司把文件服务器置于接待台的桌子后,一旦接待人员离开,则服务器便暴露在网络攻击下。有一次,安全设计人员抱着机器离开,安全守卫还帮了忙;
安全审计领域内使用的术语。
在安全审计报告中应该包括(续)
最后,记着递交你的审计报告。因为安全审计涉及了商业和技术行为,所以应该把你的报告递交给两方面的负责人。如果你采用电子邮件的方式递交报告,最好对报告进行数字签名和加密。
持续审计的可以采取的有效步骤
定义安全策略
建立对特定任务负责的内部组织
对网络资源进行分类
为雇员建立安全指导
确保个人和网络系统的物理安全
保障网络主机的服务和操作系统安全
持续审计的可以采取的有效步骤
加强访问控制机制
建立和维护系统
确保网络满足商业目标
保持安全策略的一致性
重复的过程
安全审计和安全标准
安全审计可参考的标准
ISO 7498-2
英国标准7799(BS 7799)
ISO 15408 (Common Criteria,CC)
ISO 7498
ISO建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。它是第一篇论述如何系统的达到网络安全的文章,大家可以从:获得更多的ISO标准的消息。
英国标准7799(BS 7799)
BS 7799文档的标题是《A Code of Practice For Information Security Management》,论述了如何确保网络系统安全。
1999年的版本有两个部分,BS 7799-1论述了确保网络安全所采取的步骤;
BS 7799-2讨论了在实施信息安全管理系统(ISMS)是应采取的步骤。
ISO 17799
虽然BS 7799是英国标准,但由于它可以帮助网络专家设计实施计划并提交结果,所以很多非英国的安全人士也接受这一标准。
ISO 17799 于2000年12月出版,它是适用于所有的组织,建议成为强制性的安全标准。它是基于 BS7799 之上的,BS7799 1995年2月首版,最后一次修订和改进是在1999年5月
ISO 17799概述
ISO 17799 在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。
要符合ISO 17799,或其他真正的任何详细安全标准,都不是一项简单的事情。甚至对于最有安全意识的组织来说,认证就更令人头痛了。
什么是ISO 17799 ?
ISO17799 是一个详细的安全标准。包括安全内容的所有准则,由十个独立的部分组成, 每一节都覆盖了不同的主题和区域。
1、商业持续规划
这节的主要内容包括:
1)防止商业活动的中断;
2)防止关键商业过程免受重大失误或灾难的影响。
2、系统访问控制
——这节的主要内容有:
1)控制访问信息;
2)阻止非法访问信息系统 ;
3)确保网络服务得到保护 ;
4)阻止非法访问计算机;
5)检测非法行为;
6)保证在使用移动计算机和远程网络设备时信息的安全
3、系统开发和维护
这节的主要内容有:
1 ) 确保信息安全保护深入到操作系统中;
2 ) 阻止应用系统中的用户数据的丢失,修改或误用;
3 ) 确保信息的保密性,可靠性和完整性;
4 ) 确保IT项目工程及其支持活动是在安全的方式下进行的;
5 ) 维护应用程序软件和数据的安全。
4、物理和环境安全
这部分的主要内容有:
阻止对业务机密和信息非法的访问,损坏干扰;
阻止资产的丢失,损坏或遭受危险,使业务活动免受干扰;
阻止信息和信息处理设备的免受损坏或盗窃。
5、符合性
这部分的主要内容有:
避免违背刑法、民法、条例或契约责任、以及各种安全要求;
确保组织系统符合安全方针和标准;
使系统审查过程的绩效最大化,并将干扰因素降到最小。
6、人员安全
这部分的主要内容包括:
减少错误,偷窃,欺骗或资源误用等人为风险;
确保使用者了解信息安全的威胁和,在他们的正常的工作中有相应的训练,以便利于信息安全政策的贯彻和实施;
通过从以前事件和故障中汲取教训,最大限度降低安全的损失。
7、安全组织
这节的主要内容包括:
在公司内部管理信息安全;
保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ;
当信息处理的责任需借助于外力是时,维持信息的安全。
8、计算机与网络管理
这节的目的是:
确保信息处理设备的正确和安全的操作;
降低系统失效的风险到最小;
保护软件和信息的完整性;
维护信息处理和通讯的完整性和可用性;
确保网络信息的安全措施和支持基础结构的保护;
防止资产被损坏和业务活动被干扰中断;
防止组织间的交易信息遭受损坏,修改或误用。
9、资产分类和控制
这节的主要阐述了:
对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。
10. 安全政策
这节的目的是:
为信息安全提供管理方向和支持。
在完善ISMS时,应遵循以下步骤
定义安全策略
为你的信息安全管理系统(ISMS)定义范围
风险评估
对已知的风险进行排序和管理
BS 7799和ISO 7498-2建议的步骤
发布安全策略
公布负责人名单
培训公司人员的信息安全意识
定义汇报事件的程序
建立有效的反病毒保护措施
确保实施的策略与公司商业目标的一致性
BS 7799和ISO 7498-2建议的步骤
制定规范以确保雇员不会为了完成任务而破坏软件许可规则
物理上确保对网络操作记录的安全
建立系统来保护公司数据的安全
实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程
ISO 15408(CC)
CC提供了有助于你选择和发展网络安全解决方案的全球统一标准
CC出现实际上是为了统一ITSEC和TCSEC,并取代“Orange Book”。
ISO 15408由三个部分组成
第一部分:定义了如何创建安全目标和需求,还提供了一个术语的概述
第二部分:定义了如何建立能够使商业通信更安全的需求列表
第三部分:提出了如何建立能够达到公司安全需求的“保险内容”的过程。
ISO 15408的第三部分
第三部分的内容描述很仔细和复杂,作为审计人员只需要理解这些条款的基本内容即可。许多专家用它们来:
作为厂商需要的特殊设置
提供了审计人员和IT专家在商业和技术交流中常用的术语
定义了为更新网络或特殊产品而建立特殊过程的需求
需要由软件和硬件厂商声明的证明能力
与安全审计员有关的概念和术语
由生产厂商提供的描述安全工具的用处的一组声明。与安全目标和安全需求不同。安全需求是由厂商实施在软硬件上的,而安全目标只是由IT部门和网络审计人员定义的目标
Security Target(ST)
列出如何提出特别的弱点的书面描述。这是一种总体的陈述。安全需求比目标陈述更具体
Security Objectives
需要的网络服务和元素的项系列表,包括安全目标
Protection Profile(PP)
描述
术语
与安全审计员有关的概念和术语
七个事先定义好的Packages,用来帮助IT专家评件规划的和已经存在的网络和系统
Evaluation Assurance Level(EAL)
任何允许IT专家达到安全目标和要求的可以重复使用的内容。例如七个EAL。你可以合并这些Package来确保额外的安全
Packages
你将要审计的某个操作系统,网络,分布式的程序或软件。使用安全目标和安全对象,你可以确定系统是否满足了目标以及对象是否达到了声明的功能
Target of Evaluation(TOE)
描述
术语
Evaluation Assurance Level
EAL提供了描述和预测特别的操作系统和网络的安全行为的通用的方法。等级数越高,则要求得越严格。EAL1需要由TOE厂商做出声明的证明,EAL7需要你核实和记录下实施过程的每一个步骤。
Evaluation Assurance Level
设计的证明:EAL1只要求检查产品的文件,而EAL7要求对系统进行完全的记录完整的独立的分析
抵御攻击的能力:EAL1需要产品至少声明能够提供对攻击的有效防范;而EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务是的攻击
七个EAL类别
系统的测试和检查:进行测试的要求非常严格,在有限的基础上,操作系统的所有元素都必须独立的检验
EAL3
结构上的测试:需要选择TOE的重要元素来经受具有权威资格的测试,例如程序开发者
EAL2
功能上的测试:分析产品的声明,和实施TOE的基本测试
EAL1
描述
EAL类别
七个EAL类别(续)
操作系统必须完整地回顾和被证明能够抵御灵活的攻击。正式的设计和测试:确保发展的过程有组织,由第三方记录所有的过程。例如,所有通行都必须被记录下来
EAL7
半正式的验证设计和测试:与EAL5相同,但是需要第三方的TOE设计核实
EAL6
半正式的设计和测试:操作系统必须可以经受适度的,比较复杂的攻击
EAL5
系统的设计,测试和回顾:这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试
EAL4
描述
EAL类别
什么是入侵检测
对入侵行为的发觉,通过对计算机网 络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违 反安全策略的行为和被攻击的迹象。
让我们来看一些真实的入侵检测事件
在网络中无意发现一例利用FORNTPAGE的攻击事件
利用同样的手段远程进入调试页面状态
修改后的结果
入侵过程描述
入侵主机情况描述:
该主机位于国家xx局的x层计算机办公室,在11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家xx局网络安全管理部门报告,我公司在接到国家xx局的报告后,立即赶到现场取证分析。
操作系统和补丁情况:
WIN2000个人版操作系统 SP2的补丁包
主要服务用途:
做为国家xx局计算中心内部网站使用,负责发布计算中心内部信息。网站运行 IIS5,后台数据库采用ACCESS。
入侵后的行为表现:
主页页面新闻栏目内容被删除,后台数据库内容被人非法删改。
分析审计WEB服务器访问日志
00:40:59 GET / 200
该记录表明在早上8点40分的时候非法下载了数据库,服务器返回200正确请求值,表示请求成功该数据库已经被非法下载。
00:42:14 GET / 200
随后该攻击者直接访问网站的在线管理系统。
入侵检测的分类
基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
基于主机的入侵检测
往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手 段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是 所在的系统。
主要检测方式的介绍
异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。
特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
网络入侵检测产品的架构
传感器(Sensor)
传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。
控制台(Console)。
控制台主要起到中央管理的作用,商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。
利用入侵检测保护网络应用
DMZ
E-Mail File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
外部攻击
警告!
记录攻击
外部攻击
终止连接
利用入侵检测保护网络应用
DMZ
E-Mail File Transfer
HTTP
Intranet
企业网络
生产部
工程部
市场部
人事部
路由
Internet
中继
内部攻击行为
警告!
启动事件日志,
发送消息
为什么需要入侵监测系统
防范透过防火墙的入侵
利用应用系统漏洞实施的入侵
利用防火墙配置失误
防范来自内部网的入侵
内部网的攻击占总的攻击事件的70%
没有监测的内部网是内部人员的“自由王国”
对网络行为的审计,防范无法自动识别的恶意破坏
IDS系统的作用
防范透过防火墙的入侵
利用应用系统漏洞及后门实施的入侵
利用防火墙配置失误实施的入侵
防范来自内部网的入侵
内部网的攻击占总的攻击事件的70%
没有监测的内部网是内部人员的“自由王国”
对网络行为的审计,防范无法自动识别的恶意破坏
网络新威胁:内网用户的违规访问
DMZ
E-Mail File Transfer
HTTP
Intranet
生产部
工程部
市场部
路由
Internet
中继
访问非法的国外站点
反动 色情 聊天危害企
业正常网络通讯。
网络环境下有害信息污染严重
黄色信息:涉及1%网站,10亿美元年营业额
邪教信息:法轮功160多个反宣传网站
虚假新闻:美校园炸弹恐吓事件、网上股市欺诈
宣扬暴力:炸药配方、帮助自杀
政治攻击:考克斯报告、政治演变论
报表功能
入侵监测系统提供灵活,方便, 图文并茂的报表功能。便于管理员检索和保存信息
人员素质的重要性
安全基础建设以人为本
安全培训的重要性
现实中的网络安全方案该如何设计
第一步:策略的制定和评估的结果分析
第二步:网络结构的优化和调整
第三步:产品的选择
第四步:员工的培训和教育
第五步:策略的补充和管理
感谢您对网络安全问题的关注!
