網(wǎng)絡(luò)系統(tǒng)安全評(píng)估及高危漏洞9課件

1、廣東省中小學(xué)信息網(wǎng)絡(luò)管理員安全技術(shù)培訓(xùn)班 Dec 2005許伯桐（博士）Email: burton.xuProfessional Security Solution Provider網(wǎng)絡(luò)系統(tǒng)安全評(píng)估及高危漏洞提綱安全態(tài)勢(shì) （15分鐘）安全標(biāo)準(zhǔn)與風(fēng)險(xiǎn)評(píng)估（90分鐘)概述（15分鐘）通用準(zhǔn)則CC （45分鐘）BS7799 （30分鐘）休息 （15分鐘)系統(tǒng)高危漏洞 （60分鐘)概述（10分鐘）20個(gè)最危險(xiǎn)的安全漏洞（25分鐘）網(wǎng)絡(luò)安全維護(hù)（20分鐘）安全編程與其他安全技術(shù)領(lǐng)域（5分鐘）安全態(tài)勢(shì)安全態(tài)勢(shì)近年網(wǎng)絡(luò)安全態(tài)勢(shì)任何組織都會(huì)遭受到的攻擊每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升發(fā)起攻擊越來越容易、攻擊能力越來

2、越強(qiáng)黑客職業(yè)化攻擊方式的轉(zhuǎn)變不為人知的威脅 zero-day特點(diǎn)每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升 2004年CVE全年收集漏洞信息1707條 到2005年到5月6日就已經(jīng)達(dá)到1470條年份漏洞數(shù)量1999742200040420018322002100620031049200417072005*1479發(fā)起攻擊越來越容易、攻擊能力越來越強(qiáng)面臨嚴(yán)峻的安全形勢(shì)SQL Injection等攻擊方式對(duì)使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個(gè)數(shù)量在增加漏洞挖掘流程專業(yè)化，工具自動(dòng)化“看不見的風(fēng)險(xiǎn)”廠商為了聲譽(yù)

3、不完全公開產(chǎn)品的安全缺陷：漏洞私有，不為人知網(wǎng)絡(luò)安全事件造成巨大損失在FBI/CSI的一次抽樣調(diào)查結(jié)果：被調(diào)查的企業(yè)2004年度由于網(wǎng)絡(luò)安全事件直接造成的損失就達(dá)到1.4億美元怠工、蓄意破壞 系統(tǒng)滲透 Web頁面替換 電信欺詐 電腦盜竊 無線網(wǎng)絡(luò)的濫用 私有信息竊取 公共web應(yīng)用的濫用 非授權(quán)訪問 金融欺詐 內(nèi)部網(wǎng)絡(luò)的濫用 拒絕服務(wù)攻擊 病毒事件 網(wǎng)絡(luò)安全事件類型來源：信息網(wǎng)絡(luò)安全狀況調(diào)查常用管理方法來源：信息網(wǎng)絡(luò)安全狀況調(diào)查應(yīng)用最廣泛的網(wǎng)絡(luò)安全產(chǎn)品 來源：信息網(wǎng)絡(luò)安全狀況調(diào)查網(wǎng)絡(luò)攻擊產(chǎn)生原因分析 來源：信息網(wǎng)絡(luò)安全狀況調(diào)查ISSF模型安全設(shè)計(jì)和安全域/等級(jí)保護(hù)的結(jié)合(示例）等級(jí)組織體系管理

4、體系技術(shù)體系機(jī)構(gòu)建設(shè)人員管理制度管理風(fēng)險(xiǎn)管理資產(chǎn)管理技術(shù)管理安全評(píng)估安全防護(hù)入侵檢測(cè)應(yīng)急恢復(fù)123 4 5 安全體系的全面性 措施分級(jí)保護(hù)、適度安全 強(qiáng)度分級(jí) 三分技術(shù)，七分管理 組織實(shí)現(xiàn)信息安全的必要的、重要的步驟風(fēng)險(xiǎn)評(píng)估的目的風(fēng)險(xiǎn)評(píng)估的目的 了解組織的安全現(xiàn)狀 分析組織的安全需求 建立信息安全管理體系的要求 制訂安全策略和實(shí)施安防措施的依據(jù)風(fēng)險(xiǎn)的四個(gè)要素： 資產(chǎn)及其價(jià)值 威脅 脆弱性 現(xiàn)有的和計(jì)劃的控制措施風(fēng)險(xiǎn)的要素資產(chǎn)的分類 電子信息資產(chǎn) 軟件資產(chǎn) 物理資產(chǎn) 人員 公司形象和名譽(yù)威脅舉例：黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作自然災(zāi)害如：地震、火災(zāi)、爆炸等盜竊網(wǎng)絡(luò)監(jiān)聽供電故

5、障后門未授權(quán)訪問脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。脆弱性舉例：系統(tǒng)漏洞程序Bug專業(yè)人員缺乏不良習(xí)慣系統(tǒng)沒有進(jìn)行安全配置物理環(huán)境不安全缺少審計(jì)缺乏安全意識(shí)后門風(fēng)險(xiǎn)的要素風(fēng)險(xiǎn)分析矩陣風(fēng)險(xiǎn)程度 可能性 后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE（罕見）LLMHH E：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等風(fēng)險(xiǎn) L: 低風(fēng)險(xiǎn)國際上常見的風(fēng)險(xiǎn)控制流程確定風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估確定安全需求法律、法規(guī)系統(tǒng)任務(wù)和使

6、命系統(tǒng)建設(shè)階段、規(guī)模資產(chǎn)、威脅、脆弱性、現(xiàn)有措施法律、法規(guī)，系統(tǒng)任務(wù)和使命、評(píng)估結(jié)果制定安全策略選擇風(fēng)險(xiǎn)控制措施驗(yàn)證措施實(shí)施效果安全需求技術(shù)限制、資源限制安全需求、實(shí)施效果安全策略文件風(fēng)險(xiǎn)評(píng)估報(bào)告安全需求報(bào)告風(fēng)險(xiǎn)管理方案適用性聲明驗(yàn)證報(bào)告提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有信息安全有效評(píng)估的目標(biāo)信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要素、安全要素）信息系統(tǒng)受制于外部因素（物理環(huán)境、行政管理、人員）作業(yè)連續(xù)性保證威脅和風(fēng)險(xiǎn)在同領(lǐng)域內(nèi)的相似性自評(píng)估、委托評(píng)估、檢察評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征風(fēng)險(xiǎn)評(píng)估的一般工作流程風(fēng)險(xiǎn)評(píng)估活動(dòng)

7、風(fēng)險(xiǎn)評(píng)估活動(dòng)評(píng)估工具評(píng)估工具目前存在以下幾類：掃描工具：包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；入侵檢測(cè)系統(tǒng)（IDS）：用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)；滲透性測(cè)試工具：黑客工具，用于人工滲透，評(píng)估系統(tǒng)的深層次漏洞；主機(jī)安全性審計(jì)工具：用于分析主機(jī)系統(tǒng)配置的安全性；安全管理評(píng)價(jià)系統(tǒng)：用于安全訪談，評(píng)價(jià)安全管理措施； 風(fēng)險(xiǎn)綜合分析系統(tǒng)：在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上，定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn)，并且提供分類統(tǒng)計(jì)、查詢、TOP N查詢以及報(bào)表輸出功能；評(píng)估支撐環(huán)境工具: 評(píng)估指標(biāo)庫、知識(shí)庫、漏洞庫、算法庫、模型庫。GB 18336 idt ISO/IEC 15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF 信息保

8、障技術(shù)框架ISSE 信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC 15443, COBIT。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國DITSCAP, 中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全保障評(píng)估準(zhǔn)則與現(xiàn)有標(biāo)準(zhǔn)關(guān)系信息系統(tǒng)安全保障評(píng)估準(zhǔn)則信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC信息技術(shù)安全評(píng)估準(zhǔn)則ITSEC通用準(zhǔn)則CC（ISO 15408、

9、GB/T18336)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則BS7799、ISO17799信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則ISO13335 IT安全管理指南SSE-CMM 系統(tǒng)安全工程能力成熟度模型我國的信息安全標(biāo)準(zhǔn)制定情況標(biāo)準(zhǔn)介紹保障信息安全有三個(gè)支柱，一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。國家的法律法規(guī)，有專門的部門在研究和制定和推廣。根據(jù)國務(wù)院27號(hào)文件，對(duì)信息安全實(shí)施分級(jí)安全保護(hù)的規(guī)定出臺(tái)后，各有關(guān)部門都在積極制定相關(guān)的制度和法規(guī)，當(dāng)前被普遍采用的技術(shù)標(biāo)準(zhǔn)的是CC/ISO 15408，管理體系標(biāo)準(zhǔn)是ISO 17799/ BS 7799。 通用準(zhǔn)則CC(ISO/IEC 15408、

10、GB/T18336）通用準(zhǔn)則CC信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程1999年 GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則1991年歐洲信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）國際通用準(zhǔn)則1996年（CC1.0）1998年（CC2.0）1985年美國可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）1993年 加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）1993年美國聯(lián)邦準(zhǔn)則（FC 1.0）1999年 國際標(biāo)準(zhǔn)ISO/IEC 154081989年 英國可信級(jí)別標(biāo)準(zhǔn)（MEMO 3 DTI）德國評(píng)估標(biāo)準(zhǔn)（ZSEIC）法國評(píng)估標(biāo)準(zhǔn)（B-W-R BOOK）2001年 國家標(biāo)準(zhǔn)GB/T 18336 信息技術(shù)安全性評(píng)估準(zhǔn)

11、則idt iso/iec154081993年美國NIST的MSFRCC的適用范圍CC定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全型所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)針對(duì)在安全評(píng)估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出的一組通用要求，使各種相對(duì)獨(dú)立的安全評(píng)估結(jié)果具有可比性。該標(biāo)準(zhǔn)適用于對(duì)信息技術(shù)產(chǎn)品或系統(tǒng)的安全性進(jìn)行評(píng)估，不論其實(shí)現(xiàn)方式是硬件、固件還是軟件，還可用于指導(dǎo)產(chǎn)品和系統(tǒng)開發(fā)。該標(biāo)準(zhǔn)的主要目標(biāo)讀者是用戶、開發(fā)者、評(píng)估者。CC內(nèi)容CC吸收了個(gè)先進(jìn)國家對(duì)現(xiàn)代信息系統(tǒng)安全的經(jīng)驗(yàn)和知識(shí)，對(duì)信息系統(tǒng)安全的研究和應(yīng)用定來了深刻的影響。它分為三部分：第一部分介紹CC的基本概念和基本原理；第

12、二部分提出了安全功能要求；第三部分提出了非技術(shù)性的安全保證要求。后兩部分構(gòu)成了CC安全要求的全部：安全功能要求和安全保證要求，其中安全保證的目的是為了確保安全功能的正確性和有效性，這是從ITSEC和CTCPEC中吸收的。同時(shí)CC還從FC中吸收了保護(hù)輪廓的(PP)的概念，從而為CC的應(yīng)用和發(fā)展提供了最大可能的空間和自由度。CC定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即：安全要求=規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求+解決如何正確有效的實(shí)施這些功能的保證要求。CC的關(guān)鍵概念評(píng)估對(duì)象（Target of Evaluation,TOE)用于安全評(píng)估

13、的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計(jì)算機(jī)網(wǎng)絡(luò)、密碼模塊等），包括相關(guān)的管理員指南、用戶指南、設(shè)計(jì)方案等文檔。保護(hù)輪廓（Protection Profile,PP)為既定的一系列安全對(duì)象提出功能和保證要求的完備集合，表達(dá)了一類產(chǎn)品或系統(tǒng)的用戶需求。PP與某個(gè)具體的TOE無關(guān)，它定義的是用戶對(duì)這類TOE的安全需求。主要內(nèi)容：需保護(hù)的對(duì)象；確定安全環(huán)境；TOE的安全目的；IT安全要求；基本原理在標(biāo)準(zhǔn)體系中PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn)，也有助于過程規(guī)范性標(biāo)準(zhǔn)的開發(fā)。國內(nèi)外已對(duì)應(yīng)用級(jí)防火墻、包過濾防火墻、智能卡等開發(fā)了相應(yīng)的PP。CC的關(guān)鍵概念安全目標(biāo)（Security Target)ST針對(duì)具體TOE而言

14、，它包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施。ST包括的技術(shù)要求和保證措施可以直接引用該TOE所屬產(chǎn)品或系統(tǒng)類的PP。ST是開發(fā)者、評(píng)估者、用戶在TOE安全性和評(píng)估范圍之間達(dá)成一致的基礎(chǔ)。ST相當(dāng)于產(chǎn)品和系統(tǒng)的實(shí)現(xiàn)方案，與ITSEC的安全目標(biāo)類似。TOE Security Policy (TSP)TOE安全策略控制TOE中資產(chǎn)如何管理、保護(hù)和分發(fā)的規(guī)則。CC的關(guān)鍵概念TOE Security Functions(TSF)TOE安全功能必須依賴于TSP正確執(zhí)行的TOE的所有部件。組件（Component)組件描述了一組特定的安全要求，使可供PP、ST或包選取的最小的安全要

15、求集合。在CC中，以“類_族.組件號(hào)”的方式來標(biāo)識(shí)組件。包（Package)組件依據(jù)某個(gè)特定關(guān)系的組合，就構(gòu)成了包。構(gòu)建包的目的是定義那些公認(rèn)有用的、對(duì)滿足某個(gè)特定安全目的有效的安全要求。包可以用來構(gòu)造更大的包，PP和ST。包可以重復(fù)使用。CC中有功能包和保證包兩種形式。CC的關(guān)鍵概念CC的關(guān)鍵概念CC的關(guān)鍵概念CC的先進(jìn)性 結(jié)構(gòu)的開放性 即功能要求和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展，如可以增加“備份和恢復(fù)”方面的功能要求或一些環(huán)境安全要求。這種開放式的結(jié)構(gòu)更適應(yīng)信息技術(shù)和信息安全技術(shù)的發(fā)展。 表達(dá)方式的通用性 即給出通用的表達(dá)方式。如果用戶、開發(fā)者、評(píng)估者、

16、認(rèn)可者等目標(biāo)讀者都使用CC的語言，互相之間就更容易理解溝通。例如，用戶使用CC的語言表述自己的安全需求，開發(fā)者就可以更具針對(duì)性地描述產(chǎn)品和系統(tǒng)的安全功能和性能，評(píng)估者也更容易有效地進(jìn)行客觀評(píng)估，并確保用戶更容易理解評(píng)估結(jié)果。這種特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫和安全性測(cè)試評(píng)估都具有重要意義。在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，這種特點(diǎn)也是進(jìn)行合格評(píng)定和使評(píng)估結(jié)果實(shí)現(xiàn)國際互認(rèn)的需要。 CC的先進(jìn)性結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備性和實(shí)用性體現(xiàn)在“保護(hù)輪廓”和“安全目標(biāo)”的編制上?！氨Ｗo(hù)輪廓”主要用于表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求，在標(biāo)準(zhǔn)化體系中可以作為安全技術(shù)類標(biāo)準(zhǔn)對(duì)待。 內(nèi)容主要包括：對(duì)該類產(chǎn)品或系統(tǒng)的界

17、定性描述，即確定需要保護(hù)的對(duì)象；確定安全環(huán)境，即指明安全問題需要保護(hù)的資產(chǎn)、已知的威脅、用戶的組織安全策略；產(chǎn)品或系統(tǒng)的安全目的，即對(duì)安全問題的相應(yīng)對(duì)策技術(shù)性和非技術(shù)性措施；信息技術(shù)安全要求，包括功能要求、保證要求和環(huán)境安全要求，這些要求通過滿足安全目的，進(jìn)一步提出具體在技術(shù)上如何解決安全問題；基本原理，指明安全要求對(duì)安全目的、安全目的對(duì)安全環(huán)境是充分且必要的；附加的補(bǔ)充說明信息。“保護(hù)輪廓”編制，一方面解決了技術(shù)與真實(shí)客觀需求之間的內(nèi)在完備性；另一方面用戶通過分析所需要的產(chǎn)品和系統(tǒng)面臨的安全問題，明確所需的安全策略，進(jìn)而確定應(yīng)采取的安全措施，包括技術(shù)和管理上的措施，這樣就有助于提高安全保護(hù)的

18、針對(duì)性、有效性?！鞍踩繕?biāo)”在“保護(hù)輪廓”的基礎(chǔ)上，通過將安全要求進(jìn)一步針對(duì)性具體化，解決了要求的具體實(shí)現(xiàn)。常見的實(shí)用方案就可以當(dāng)成“安全目標(biāo)”對(duì)待。通過“保護(hù)輪廓”和“安全目標(biāo)”這兩種結(jié)構(gòu)，就便于將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試、評(píng)估和信息系統(tǒng)的集成、運(yùn)行、評(píng)估、管理中。CC的先進(jìn)性CC內(nèi)容之間的關(guān)系CC的三個(gè)部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理；第2部分提出了技術(shù)要求；第3部分提出了非技術(shù)性要求和對(duì)開發(fā)過程、工程過程的要求。三個(gè)部分有機(jī)地結(jié)合成一個(gè)整體。具體體現(xiàn)在“保護(hù)輪廓”和“安全目標(biāo)” 中，“保護(hù)輪廓”和“安全目標(biāo)”的概念和原理由第1部分

19、介紹，“保護(hù)輪廓”和“安全目標(biāo)”中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分來保證。 保護(hù)輪廓與安全目標(biāo)的關(guān)系通用準(zhǔn)則CCCC包括三個(gè)部分: 第一部分：簡介和一般模型 第二部分：安全功能要求 第三部分：安全保證要求 通用準(zhǔn)則CC：第一部分 介紹和通用模型安全就是保護(hù)資產(chǎn)不受威脅，威脅可依據(jù)濫用被保護(hù)資產(chǎn)的可能性進(jìn)行分類 所有的威脅類型都應(yīng)該被考慮到在安全領(lǐng)域內(nèi)，被高度重視的威脅是和人們的惡意攻擊及其它人類活動(dòng)相聯(lián)系的 CC 第一部分內(nèi)容（1）CC 第一部分內(nèi)容（2）通用準(zhǔn)則CCCC中安全需求的描述方法:包:組件的中間組合被稱為包 保護(hù)輪廓(P

20、P): PP是關(guān)于一系列滿足一個(gè)安全目標(biāo)集的TOE的、與實(shí)現(xiàn)無關(guān)的描述 安全目標(biāo)(ST)： ST是針對(duì)特定TOE安全要求的描述，通過評(píng)估可以證明這些安全要求對(duì)滿足指定目的是有用和有效的通用準(zhǔn)則CC包允許對(duì)功能或保證需求集合的描述，這個(gè)集合能夠滿足一個(gè)安全目標(biāo)的可標(biāo)識(shí)子集包可重復(fù)使用，可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的要求包可用在構(gòu)造更大的包、PP和ST中 通用準(zhǔn)則CCPP包含一套來自CC（或明確闡述）的安全要求，它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（EAL）PP可反復(fù)使用，還可用來定義那些公認(rèn)有用的、能夠有效滿足特定安全目標(biāo)的TOE要求PP包括安全目的和安全要求的基本原理 PP的開發(fā)者可

21、以是用戶團(tuán)體、IT產(chǎn)品開發(fā)者或其它對(duì)定義這樣一系列通用要求有興趣的團(tuán)體 通用準(zhǔn)則CC：保護(hù)輪廓內(nèi)容結(jié)構(gòu)通用準(zhǔn)則CC安全目標(biāo)(ST)包括一系列安全要求，這些要求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明一個(gè)ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ) 通用準(zhǔn)則CC：安全目標(biāo)ST內(nèi)容結(jié)構(gòu)通用準(zhǔn)則CCCC框架下的評(píng)估類型 PP評(píng)估PP評(píng)估的目標(biāo)是為了證明PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個(gè)可評(píng)估TOE的安全要求的聲明ST評(píng)估ST評(píng)估具有雙重目標(biāo)：首先是為了證明ST是完備的、一致的、技術(shù)合理的

22、，而且適合于用作相應(yīng)TOE評(píng)估的基礎(chǔ)其次，當(dāng)某一ST宣稱與某一PP一致時(shí)，證明ST滿足該P(yáng)P的要求TOE評(píng)估 TOE評(píng)估的目標(biāo)是為了證明TOE滿足ST中的安全要求通用準(zhǔn)則CC三種評(píng)估的關(guān)系通用準(zhǔn)則CC 第二部分：安全功能要求CC的第二部分是安全功能要求，對(duì)滿足安全需求的諸安全功能提出了詳細(xì)的要求另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其ST中通用準(zhǔn)則CC 第二部分：安全功能要求通用準(zhǔn)則CC 第二部分：安全功能要求通用準(zhǔn)則CC 第二部分：安全功能要求通用準(zhǔn)則CC 第二部分：安全功能要求安全功能需求層次關(guān)系功能和保證要求以“類族

23、組件”的結(jié)構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于“保護(hù)輪廓”、“安全目標(biāo)”和“包”的構(gòu)建，例如由保證組件構(gòu)成典型的包“評(píng)估保證級(jí)包”。通用準(zhǔn)則CCCC共包含的11個(gè)安全功能類，如下：FAU類：安全審計(jì)FCO類：通信FCS類：密碼支持FDP類：用戶數(shù)據(jù)保護(hù)FIA類：標(biāo)識(shí)與鑒別FMT類：安全管理FPR類：隱秘FPT類：TSF保護(hù)FAU類：資源利用FTA類：TOE訪問FTP類：可信路徑/信道通用準(zhǔn)則CC：第三部分 評(píng)估方法CC的第三部分是評(píng)估方法部分，提出了PP、ST、TOE三種評(píng)估，共包括10個(gè)類，但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則維護(hù)類提出了保證評(píng)估過的受

24、測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求只有七個(gè)安全保證類是TOE的評(píng)估類別 通用準(zhǔn)則CC：第三部分 評(píng)估方法CC的第三部分是評(píng)估方法部分，提出了PP、ST、TOE三種評(píng)估，共包括10個(gè)類，但其中的APE類與ASE類分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則維護(hù)類提出了保證評(píng)估過的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求只有七個(gè)安全保證類是TOE的評(píng)估類別 通用準(zhǔn)則CC：第三部分 評(píng)估方法通用準(zhǔn)則CC：第三部分 評(píng)估方法通用準(zhǔn)則CC：第三部分 評(píng)估方法通用準(zhǔn)則CC：第三部分 評(píng)估方法通用準(zhǔn)則CC：第三部分 評(píng)估方法通用準(zhǔn)則CC七個(gè)安全保證類ACM類：配置管理CM 自動(dòng)化CM 能力CM 范圍

25、ADO類：交付和運(yùn)行交付安裝、生成和啟動(dòng)ADV類：開發(fā)功能規(guī)范高層設(shè)計(jì)實(shí)現(xiàn)表示TSF內(nèi)部低層設(shè)計(jì)表示對(duì)應(yīng)性安全策略模型AGD類：指南文檔管理員指南用戶指南ALC類：生命周期支持開發(fā)安全缺陷糾正生命周期定義工具和技術(shù)ATE類：測(cè)試覆蓋范圍深度功能測(cè)試獨(dú)立性測(cè)試AVA類：脆弱性評(píng)定隱蔽信道分析誤用TOE安全功能強(qiáng)度脆弱性分析通用準(zhǔn)則CC通用準(zhǔn)則CC 安全保證要求部分提出了七個(gè)評(píng)估保證級(jí)別（Evaluation Assurance Levels：EALs）分別是：通用準(zhǔn)則CC： EAL解釋通用準(zhǔn)則CC： EAL解釋CC的EAL與其他標(biāo)準(zhǔn)等級(jí)的比較PP基本原理對(duì)PP進(jìn)行評(píng)估的依據(jù)，證明PP是一個(gè)完整的

26、、緊密結(jié)合的要求集合，滿足該P(yáng)P的TOE將在安全環(huán)境內(nèi)提供一組有效的IT安全對(duì)策安全目的基本原理安全要求基本原理威脅組織安全策略假設(shè)安全需求IT安全要求TOE 目的環(huán)境的目的安全目的相互支持支持恰好滿足恰好滿足功能強(qiáng)度聲明一致威脅舉例T.REPLAY 重放當(dāng)截獲了有效用戶的識(shí)別和鑒別數(shù)據(jù)后，未授權(quán)用戶可能在將來使用這些鑒別數(shù)據(jù)，以訪問TOE提供的功能。安全目的舉例O.SINUSE 單用途TOE必須防止用戶重復(fù)使用鑒別數(shù)據(jù)，嘗試通過互連網(wǎng)絡(luò)在TOE上進(jìn)行鑒別。O.SECFUN 安全功能TOE必須提供一種功能使授權(quán)管理員能夠使用TOE的安全功能，并且確保只有授權(quán)管理員才能訪問該功能。O.SINUS

27、EFIA_ATD.1 用戶屬性定義：允許為每個(gè)用戶單獨(dú)保存其用戶安全屬性。FIA_UAU.1 鑒別定時(shí)：允許用戶在身份被鑒別前，實(shí)施一定的動(dòng)作。FIA_UAU.4 單用戶鑒別機(jī)制：需要操作單用戶鑒別數(shù)據(jù)的鑒別機(jī)制。FMT_MSA.3 靜態(tài)屬性初始化：確保安全屬性的默認(rèn)值是允許的或限制某行為的。TOE安全功能要求舉例TOE安全功能要求舉例FMT_MOF.1 安全功能行為的管理：允許授權(quán)用戶管理TSF中使用規(guī)則或有可管理的指定條件的功能行為。FAU_STG.1 受保護(hù)的審計(jì)蹤跡存儲(chǔ)：放在審計(jì)蹤跡中的數(shù)據(jù)將受到保護(hù)，以避免未授權(quán)的刪除或修改。FAU_STG.4 防止審計(jì)數(shù)據(jù)丟失：規(guī)定當(dāng)審計(jì)蹤跡溢滿時(shí)

28、的行動(dòng)。O.SECFUNPP示例“包過濾防火墻安全技術(shù)要求”（GB 18019-99）“應(yīng)用級(jí)防火墻安全技術(shù)要求”（GB18020-99）“路由器安全技術(shù)要求”（GB18018-99）“電信智能卡安全技術(shù)要求”“網(wǎng)上證券委托系統(tǒng)安全技術(shù)要求”通用準(zhǔn)則CCCC優(yōu)點(diǎn)：CC代表了先進(jìn)的信息安全評(píng)估標(biāo)準(zhǔn)的發(fā)展方向，基于CC的IT安全測(cè)評(píng)認(rèn)證正在逐漸為更多的國家所采納，CC的互認(rèn)可協(xié)定簽署國也在不斷增多。根據(jù)IT安全領(lǐng)域內(nèi)CC認(rèn)可協(xié)議，在協(xié)議簽署國范圍內(nèi)，在某個(gè)國家進(jìn)行的基于CC的安全評(píng)估將在其他國家內(nèi)得到承認(rèn)。截止2003年3月，加入該協(xié)議的國家共有十五個(gè)：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、

29、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國。 到2001年底，所有已經(jīng)經(jīng)過TCSEC評(píng)估的產(chǎn)品，其評(píng)估結(jié)果或者過時(shí)，或者轉(zhuǎn)換為CC評(píng)估等級(jí)。CC缺點(diǎn)：CC應(yīng)用的局限性，比如該標(biāo)準(zhǔn)在開篇便強(qiáng)調(diào)其不涉及五個(gè)方面的內(nèi)容：行政性管理安全措施、物理安全、評(píng)估方法學(xué)、認(rèn)可過程、對(duì)密碼算法固有質(zhì)量的評(píng)價(jià)，而這些被CC忽略的內(nèi)容恰恰是信息安全保障工作中需要特別予以注意的重要環(huán)節(jié)。CC還有一個(gè)明顯的缺陷，即它沒有數(shù)學(xué)模型的支持，即理論基礎(chǔ)不足。TCSEC還有BLP模型的支持。其安全功能可以得到完善的解釋，安全功能的實(shí)現(xiàn)機(jī)制便有章可循。對(duì)于增加的完整性、可用性、不可否認(rèn)性等要求，只局限于簡單的自然

30、語言描述，不能落實(shí)到具體的安全機(jī)制上。更無從評(píng)價(jià)這些安全要求的強(qiáng)度。所以：CC并不是萬能的，它仍然需要與據(jù)各個(gè)國家的具體要求，與其他安全標(biāo)準(zhǔn)相結(jié)合，才能完成對(duì)一個(gè)信息系統(tǒng)的完整評(píng)估。目前得到國際范圍內(nèi)認(rèn)可的是ISO/IEC 15408（CC）,我國的GB/T 18336等同采用ISO /IEC 15408。BS7799、ISO17799BS7799歷史沿革1995年，英國制定國家標(biāo)準(zhǔn)BS 7799第一部分：“信息安全管理事務(wù)準(zhǔn)則”，并提交國際標(biāo)準(zhǔn)組織(ISO)，成為ISO DIS 14980。1998年，英國公布BS 7799第二部分“信息安全管理規(guī)范”并成為信息安全管理認(rèn)證的依據(jù)；同年，歐盟

31、于1995年10月公布之“個(gè)人資料保護(hù)指令，自1998年10月25日起正式生效，要求以適當(dāng)標(biāo)準(zhǔn)保護(hù)個(gè)人資料”。2000年，國際標(biāo)準(zhǔn)組織 ISO/IEC JTC SC 27在日本東京10月21日通過BS 7799-1，成為 ISO DIS 17799-1，2000年12月1日正式發(fā)布。 目前除英國之外，國際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西已同意使用BS 7799；日本、瑞士、盧森堡表示對(duì)BS 7799感興趣；我國的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。BS 7799(ISO/IEC17799)在歐洲的證書發(fā)放量已經(jīng)超過ISO9001。但是：ISO17799 不是認(rèn)證標(biāo)準(zhǔn)，

32、目前正在修訂。BS7799-2 是認(rèn)證標(biāo)準(zhǔn)，作為國際標(biāo)準(zhǔn)目前正在討論。BS7799內(nèi)容：總則要求各組織建立并運(yùn)行一套經(jīng)過驗(yàn)證的信息安全管理體系（ISMS），用于解決如下問題：資產(chǎn)的保管、組織的風(fēng)險(xiǎn)管理、管理標(biāo)的和管理辦法、要求達(dá)到的安全程度。建立管理框架確立并驗(yàn)證管理目標(biāo)和管理辦法時(shí)需采取如下步驟：定義信息安全策略定義信息安全管理體系的范圍，包括定義該組織的特征、地點(diǎn)、資產(chǎn)和技術(shù)等方面的特征進(jìn)行合理的風(fēng)險(xiǎn)評(píng)估，包括找出資產(chǎn)面臨的威脅、弱點(diǎn)、對(duì)組織的沖擊、風(fēng)險(xiǎn)的強(qiáng)弱程度等等根據(jù)組織的信息安全策略及所要求的安全程度，決定應(yīng)加以管理的風(fēng)險(xiǎn)領(lǐng)域選出合理的管理標(biāo)的和管理辦法，并加以實(shí)施；選擇方案時(shí)應(yīng)做到

33、有法可依準(zhǔn)備可行性聲明是指在聲明中應(yīng)對(duì)所選擇的管理標(biāo)的和管理辦法加以驗(yàn)證，同時(shí)對(duì)選擇的理由進(jìn)行驗(yàn)證，并對(duì)第四章中排除的管理辦法進(jìn)行記錄對(duì)上述步驟的合理性應(yīng)按規(guī)定期限定期審核。BS7799部分BS7799-1:1999 信息安全管理實(shí)施細(xì)則是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則， 主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供的一個(gè)大眾化的最佳慣例。BS7799-2:2002 信息安全管理體系規(guī)范規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。即本標(biāo)準(zhǔn)適用以下場合: 組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行

34、有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展； 作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。 BS7799標(biāo)準(zhǔn)第二部分明確提出安全控制要求，標(biāo)準(zhǔn)第一部分對(duì)應(yīng)給出了通用的控制方法（措施），因此可以說，標(biāo)準(zhǔn)第一部分為第二部分的具體實(shí)施提供了指南。 BS 7799 Part 2Corporate GovernancePLANDOACTCHECK風(fēng)險(xiǎn)管理處理系統(tǒng)控制內(nèi)部審計(jì)功能ISO/IEC 17799十大管理要項(xiàng) BS 7799-2:2002十大管理要項(xiàng) BS 7799-2:2002 1、 安全方針：為信息安全提供管理指導(dǎo)和支持；2、 組織安全：建立信息安全架構(gòu)，保證組織的內(nèi)部管理；被第三方訪問或外協(xié)

35、時(shí)，保障組織的信息安全；3、 資產(chǎn)的歸類與控制：明確資產(chǎn)責(zé)任，保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)；將信息進(jìn)行歸類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)；4、人員安全：在工作說明和資源方面，減少因人為錯(cuò)誤、盜竊、欺詐和設(shè)施誤用造成的風(fēng)險(xiǎn)；加強(qiáng)用戶培訓(xùn)，確保用戶清楚知道信息安全的危險(xiǎn)性和相關(guān)事項(xiàng)，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應(yīng)程序，減少由安全事故和故障造成的損失，監(jiān)控安全事件并從這種事件中吸取教訓(xùn)；5、實(shí)物與環(huán)境安全：確定安全區(qū)域，防止非授權(quán)訪問、破壞、干擾商務(wù)場所和信息；通過保障設(shè)備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務(wù)活動(dòng)的中斷；采用通用的控制方式，防止信息或信息處理設(shè)

36、施損壞或失竊；十大管理要項(xiàng) BS 7799-2:2002 6、通信和操作方式管理：明確操作程序及其責(zé)任，確保信息處理設(shè)施的正確、安全操作；加強(qiáng)系統(tǒng)策劃與驗(yàn)收，減少系統(tǒng)失效風(fēng)險(xiǎn)；防范惡意軟件以保持軟件和信息的完整性；加強(qiáng)內(nèi)務(wù)管理以保持信息處理和通訊服務(wù)的完整性和有效性通過；加強(qiáng)網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護(hù)；通過保護(hù)媒體處理的安全，防止資產(chǎn)損壞和商務(wù)活動(dòng)的中斷；加強(qiáng)信息和軟件的交換的管理，防止組織間在交換信息時(shí)發(fā)生丟失、更改和誤用；7、訪問控制：按照訪問控制的商務(wù)要求，控制信息訪問；加強(qiáng)用戶訪問管理，防止非授權(quán)訪問信息系統(tǒng)；明確用戶職責(zé)，防止非授權(quán)的用戶訪問；加強(qiáng)網(wǎng)絡(luò)訪問控制，

37、保護(hù)網(wǎng)絡(luò)服務(wù)程序；加強(qiáng)操作系統(tǒng)訪問控制，防止非授權(quán)的計(jì)算機(jī)訪問；加強(qiáng)應(yīng)用訪問控制，防止非授權(quán)訪問系統(tǒng)中的信息；通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測(cè)非授權(quán)行為；在移動(dòng)式計(jì)算和電傳工作方面，確保使用移動(dòng)式計(jì)算和電傳工作設(shè)施的信息安全；8、系統(tǒng)開發(fā)與維護(hù)：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部份；加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性、可靠性或完整性；加強(qiáng)系統(tǒng)文件的安全，確保IT方案及其支持活動(dòng)以安全的方式進(jìn)行；加強(qiáng)開發(fā)和支持過程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全； 9、商務(wù)連續(xù)性管理：防止商務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵商務(wù)過程不受重大失誤或

38、災(zāi)難事故的影響；10、符合：符合法律法規(guī)要求，避免刑法、民法、有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強(qiáng)安全方針和技術(shù)符合性評(píng)審，確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行；系統(tǒng)審核考慮因素，使效果最大化，并使系統(tǒng)審核過程的影響最小化。 BS7799與CC的比較BS 7799完全從管理角度制定，并不涉及具體的安全技術(shù)，實(shí)施不復(fù)雜，主要是告訴管理者一些安全管理的注意事項(xiàng)和安全制度，例如磁盤文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問題。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到BS 7799的全面性則需要一番努力。同BS 7799相比，信息技術(shù)安

39、全性評(píng)估準(zhǔn)則(CC)和美國國防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估；系統(tǒng)安全工程能力成熟模型(SSE-CMM)更側(cè)重于對(duì)安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全工程過程的管理。在對(duì)信息系統(tǒng)日常安全管理方面，BS 7799的地位是其他標(biāo)準(zhǔn)無法取代的?？偟膩碚f，BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在重視程度和制度落實(shí)方面。它是目前可以用來達(dá)到一定預(yù)防標(biāo)準(zhǔn)的最好的指導(dǎo)標(biāo)準(zhǔn)。制訂信息安全方針方針文檔定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)管理選擇控制目標(biāo)措施準(zhǔn)備適用聲明第一步：第二步

40、：第三步：第四步：第五步：第六步：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件建立ISMS框架 第一步 制訂信息安全方針BS7799-2對(duì)ISMS的要求：組織應(yīng)定義信息安全方針。信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理。信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。要經(jīng)最高管理者批準(zhǔn)和發(fā)布體現(xiàn)了最高管理者對(duì)信息安全的承諾與支持要傳達(dá)給組織內(nèi)所有的員工要定期和適時(shí)進(jìn)行評(píng)審目的和意義為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)；確保信

41、息安全管理體系被充分理解和貫徹實(shí)施；統(tǒng)領(lǐng)整個(gè)信息安全管理體系。建立ISMS框架 第一步 制訂信息安全方針信息安全方針的內(nèi)容包括但不限于：組織對(duì)信息安全的定義信息安全總體目標(biāo)和范圍最高管理者對(duì)信息安全的承諾與支持的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義相關(guān)支持文件注意事項(xiàng) 簡單明了 易于理解 可實(shí)施 避免太具體建立ISMS框架 第二步 確定ISMS范圍BS7799-2對(duì)ISMS的要求：組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點(diǎn)來確定。可以根據(jù)組織的實(shí)際情況，將組織的一部分定義為信息安全管理范圍，也可以將

42、組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。ISMS范圍文件 文件是否明白地描述了信息安全管理體系的范圍 范圍的邊界和接口是否已清楚定義建立ISMS框架 第三步 風(fēng)險(xiǎn)評(píng)估BS7799-2對(duì)ISMS的要求：組織應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估應(yīng)識(shí)別資產(chǎn)所面對(duì)的威脅、脆弱性、以及對(duì)組織的潛在影響，并確定風(fēng)險(xiǎn)的等級(jí)。是否執(zhí)行了正式的和文件化的風(fēng)險(xiǎn)評(píng)估？是否經(jīng)過一定數(shù)量的員工驗(yàn)證其正確性？風(fēng)險(xiǎn)評(píng)估是否識(shí)別了資產(chǎn)的威脅、脆弱性和對(duì)組織的潛在影響？風(fēng)險(xiǎn)評(píng)估是否定期和適時(shí)進(jìn)行？建立ISMS框架第四步 風(fēng)險(xiǎn)管理BS7799-2對(duì)ISMS的要求：組織應(yīng)依據(jù)信息安全方針和組織要求的安全

43、保證程度來確定需要管理的信息安全風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇風(fēng)險(xiǎn)控制方法，將組織面臨的風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。是否定義了組織的風(fēng)險(xiǎn)管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？建立ISMS框架第五步 選擇控制目標(biāo)和控制措施BS7799-2對(duì)ISMS的要求：組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來滿足風(fēng)險(xiǎn)管理的要求，并證明選擇結(jié)果的正確性。選擇控制措施的示意圖選擇的控制措施是否建立在風(fēng)險(xiǎn)評(píng)估的結(jié)果之上？是否能從風(fēng)險(xiǎn)評(píng)估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應(yīng)了組織的風(fēng)險(xiǎn)管理戰(zhàn)略？針對(duì)每一種

44、風(fēng)險(xiǎn)，控制措施都不是唯一的，要根據(jù)實(shí)際情況進(jìn)行選擇建立ISMS框架安全問題安全需求控制目標(biāo)控制措施解決指出定義被滿足第五步 選擇控制目標(biāo)和控制措施BS7799-2對(duì)ISMS的要求：未選擇某項(xiàng)控制措施的原因風(fēng)險(xiǎn)原因- 沒有識(shí)別出相關(guān)的風(fēng)險(xiǎn)財(cái)務(wù)原因- 財(cái)務(wù)預(yù)算的限制環(huán)境原因- 安全設(shè)備、氣候、空間等技術(shù)- 某些控制措施在技術(shù)上不可行文化- 社會(huì)環(huán)境的限制時(shí)間- 某些要求目前無法實(shí)施其它- ？建立ISMS框架第六步 準(zhǔn)備適用聲明BS7799-2對(duì)ISMS的要求：組織應(yīng)準(zhǔn)備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。在選擇了控制目標(biāo)和控制措施后，對(duì)實(shí)施某項(xiàng)控制目標(biāo)、措施和不實(shí)施

45、某項(xiàng)控制目標(biāo)、措施進(jìn)行記錄，并對(duì)原因進(jìn)行解釋的文件。建立ISMS框架未來實(shí)現(xiàn)公司ISMS適用聲明風(fēng)險(xiǎn)評(píng)估如何貫穿于安全管理BS 7799-2:2002設(shè)計(jì) ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS計(jì)劃DOCHECKACTISMS定義 ISMS 的執(zhí)行范圍和政策執(zhí)行風(fēng)險(xiǎn)評(píng)估對(duì)風(fēng)險(xiǎn)評(píng)估處理作出決定 選擇控制Design the ISMS執(zhí)行和使用 ISMSMonitoring and review the ISMSImprove and update the ISM

46、SPLAN行動(dòng)CHECKACTISMS執(zhí)行風(fēng)險(xiǎn)評(píng)估處理計(jì)劃執(zhí)行控制執(zhí)行意識(shí)/培訓(xùn)將 ISMS 放到 操作使用中風(fēng)險(xiǎn)評(píng)估如何貫穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMS監(jiān)控和檢查ISMSImprove and update the ISMSPLANDO檢查ACTISMS執(zhí)行監(jiān)控進(jìn)程執(zhí)行定期檢查 檢查剩余風(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)內(nèi)部審計(jì)風(fēng)險(xiǎn)評(píng)估如何貫穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the IS

47、MS改進(jìn)和升級(jí)ISMSPLANDOCHECKACTISMS實(shí)現(xiàn)改進(jìn)矯正性和預(yù)防性的活動(dòng)傳達(dá)結(jié)果 檢查改進(jìn)達(dá)到的目標(biāo)風(fēng)險(xiǎn)評(píng)估如何貫穿于安全管理BS 7799-2:2002ISMS 資產(chǎn)Business processesInformation PeopleServicesICTPhysical locationApplications asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 1

48、7799 7.1.1 Inventory of assetsISMS 風(fēng)險(xiǎn)Asset threats &vulnerabilitiesAsset value & utility asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalRisk treatmentRisks & impactsRisk treatment風(fēng)險(xiǎn)等級(jí)不可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對(duì)業(yè)務(wù)影響的因果關(guān)系較小對(duì)

49、業(yè)務(wù)產(chǎn)生災(zāi)難性影響的因果關(guān)系業(yè)務(wù)影響低 (可忽略, 無關(guān)緊要,為不足 道, 無須重視) 中低(值得注意, 相當(dāng)可觀但 不是主要的) 中 (重要, 主要)中高 (嚴(yán)重危險(xiǎn), 潛在災(zāi)難)高 (破壞性的, 總體失靈,完全停頓)保密性要求 (C)資產(chǎn)價(jià)值分級(jí)描述1 低可公開非敏感信息和信息處理設(shè)施及系統(tǒng)資源，可以公開.。2 中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用，即不能公開或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來使用。3 高秘密或絕密敏感的信息或信息處理設(shè)施和系統(tǒng)資源，只能根據(jù)需要（need-to-know ）或嚴(yán)格依據(jù)工作需要。資產(chǎn)分級(jí) 完整性要求 (I)資產(chǎn)價(jià)值

50、分級(jí)描述1 低低完整性對(duì)信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2 中中完整性對(duì)信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用，但是值得注意以及對(duì)業(yè)務(wù)的影響是重要的。3 高高或非常高完整性對(duì)信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用，且對(duì)業(yè)務(wù)的影響是嚴(yán)重的并會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗。資產(chǎn)分級(jí)可用性要求 (A)資產(chǎn)價(jià)值分級(jí)描述1 - 低低可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 可以容忍多于一天的不能使用。2 中中可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 可以容忍半天到一天的不能使用。3 高高可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服

51、務(wù),人員等.) 可以容忍幾個(gè)小時(shí)的不能使用。4 非常高非常高的可用性 資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 必須保證每年每周24x7 工作。資產(chǎn)分級(jí)威脅和脆弱性估計(jì)威脅應(yīng)該考慮它們出現(xiàn)的可能性，以及可能利用弱點(diǎn)/脆弱性可能性。實(shí)例不太可能發(fā)生的機(jī)會(huì)小于1/10可能出現(xiàn)的機(jī)會(huì)小于 25%很可能/大概機(jī)會(huì) 50:50高可能發(fā)生的機(jī)會(huì)多于 75%非?？赡懿话l(fā)生的機(jī)會(huì)小于1/10絕對(duì)無疑100%會(huì)發(fā)生風(fēng)險(xiǎn)控制Risk thresholdRisk level風(fēng)險(xiǎn)控制Continual Improvement7.5信息系統(tǒng)安全保障管理級(jí)別等級(jí)能力描述SAM-CML 1組織內(nèi)部能夠依據(jù)經(jīng)驗(yàn)

52、進(jìn)行部分的安全管理工作 SAM-CML 2組織能夠建立完善的管理體系來規(guī)范安全管理 SAM-CML 3組織能夠采取有效措施來敦促所制定管理體系的落實(shí)和實(shí)施，從而能確保管理體系有效實(shí)施 SAM-CML 4組織所制定的管理體系不僅能夠有效實(shí)施，而且還能夠?qū)?shí)施的管理措施的效果進(jìn)行測(cè)試，盡量采用量化的數(shù)據(jù)來分析和驗(yàn)證所采用的管理措施 SAM-CML 5組織能夠?qū)芾眢w系進(jìn)行持續(xù)改進(jìn)，使管理體系始終對(duì)組織安全保障體系的運(yùn)行發(fā)揮最大效應(yīng) 幾點(diǎn)認(rèn)識(shí)風(fēng)險(xiǎn)評(píng)估是落實(shí)等級(jí)保護(hù)的抓手。面向?qū)ο蠛兔嫦蚴侄尾荒芊指?。IT驅(qū)動(dòng)和業(yè)務(wù)驅(qū)動(dòng)同樣需要。風(fēng)險(xiǎn)評(píng)估是出發(fā)點(diǎn)等級(jí)劃分是判斷點(diǎn)安全控制是落腳點(diǎn)高危漏洞高危漏洞正確的安全

53、觀念 全網(wǎng)安全動(dòng)態(tài)安全相對(duì)安全包括全網(wǎng)安全在政府網(wǎng)站系統(tǒng)中，綜合考慮技術(shù)、管理、規(guī)范、行業(yè)法規(guī)等各個(gè)環(huán)節(jié)和因素，在網(wǎng)絡(luò)運(yùn)行的各個(gè)階段，分析網(wǎng)絡(luò)的參考點(diǎn)和安全的各個(gè)層次，采取適當(dāng)?shù)陌踩夹g(shù)和安全管理手段，從整個(gè)網(wǎng)絡(luò)的安全需求出發(fā)，構(gòu)建全方位多層次的安全架構(gòu)簡單而言，應(yīng)在積極利用這個(gè)安全按技術(shù)和產(chǎn)品的同時(shí)，建立配套的管理制度，兩者相輔相成，實(shí)施于政府網(wǎng)站系統(tǒng)的各個(gè)階段，使人、業(yè)務(wù)過程和安全技術(shù)高度協(xié)調(diào) 動(dòng)態(tài)安全安全不是一成不變的或者靜態(tài)的，而是“動(dòng)態(tài)”的安全網(wǎng)絡(luò)結(jié)構(gòu)會(huì)隨著業(yè)務(wù)需求的變化而變化，計(jì)算機(jī)技術(shù)不停地改進(jìn)，攻擊手段也越來越高超；而當(dāng)網(wǎng)絡(luò)發(fā)生變化，或者出現(xiàn)新的安全技術(shù)和攻擊手段，或者在安全事

54、件發(fā)生之后，安全體系必須能夠包容新的情況，及時(shí)做出聯(lián)動(dòng)反應(yīng)，把安全風(fēng)險(xiǎn)維持在所允許的范圍之內(nèi)安全體系應(yīng)該采用“以動(dòng)制動(dòng)”的機(jī)制如何達(dá)到動(dòng)態(tài)安全采用自頂向下的方法，將整個(gè)網(wǎng)絡(luò)系統(tǒng)劃分為子系統(tǒng)，對(duì)單個(gè)系統(tǒng)直至系統(tǒng)中的部件進(jìn)行詳盡的風(fēng)險(xiǎn)分析定期或不定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢查，檢查時(shí)應(yīng)按上次評(píng)估的結(jié)果及管理階層所能接受的風(fēng)險(xiǎn)程度，以不同深度進(jìn)行依據(jù)已有技術(shù)修補(bǔ)發(fā)現(xiàn)的新漏洞將評(píng)估和檢查作為是必需的日常工作 相對(duì)安全 對(duì)于不同性質(zhì)的政府網(wǎng)站，對(duì)于安全的要求是不同的。不能將安全問題絕對(duì)化，不是“越安全越好”安全保護(hù)是有成本的，目的并在于讓系統(tǒng)毫無縫隙、滴水不漏，而是讓非法用戶覺得攻擊此系統(tǒng)的代價(jià)遠(yuǎn)比他能獲得的利

55、益高，這樣的絕大部分非法用戶就不愿意做這種事情在設(shè)計(jì)系統(tǒng)安全措施的時(shí)候，必須根據(jù)系統(tǒng)的實(shí)際應(yīng)用情況，綜合考慮安全、成本、效率三者的權(quán)重，并求得適度的平衡，實(shí)現(xiàn)“恰到好處”的安全網(wǎng)絡(luò)安全主要威脅來源網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲典型的網(wǎng)絡(luò)安全威脅 威 脅 描 述授權(quán)侵犯為某一特定目的的授權(quán)，使用一個(gè)系統(tǒng)的人卻將該系統(tǒng)用作其他未授權(quán)的目的旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性拒絕服務(wù)對(duì)信息或其它資源的合法訪問被無條件的拒絕或推遲竊聽信息從被監(jiān)視的通信過程中泄露出去電磁射頻截獲信息從電子機(jī)電設(shè)備所發(fā)出的無線射頻或其它電磁場輻

56、射中被提取非法使用資源被未授權(quán)人或以未授權(quán)方式使用人員疏忽授權(quán)人為了利益或粗心將信息泄露給未授權(quán)人信息泄漏信息被泄露或暴漏給某個(gè)未授權(quán)的實(shí)體完整性破壞數(shù)據(jù)的一致性通過對(duì)數(shù)據(jù)進(jìn)行未授權(quán)的創(chuàng)建、修改或破壞而受到破壞截獲修改某一通信數(shù)據(jù)項(xiàng)在傳輸過程中被改變、刪除或替代假冒一個(gè)實(shí)體假裝成另一個(gè)不同的實(shí)體典型的網(wǎng)絡(luò)安全威脅（cont.） 威 脅 描 述 媒體清理信息被從廢棄的或打印過的媒體中獲得 物理侵入入侵者通過繞過物理控制而獲得對(duì)系統(tǒng)的訪問 重放出于非法目的而重新發(fā)送截獲的合法通信數(shù)據(jù)項(xiàng)的拷貝 否認(rèn)參與某次通信交換的一方，事后錯(cuò)誤的否認(rèn)曾經(jīng)發(fā)生過此次交換 資源耗盡某一資源被故意超負(fù)荷使用，導(dǎo)致其他用

57、戶服務(wù)被中斷 服務(wù)欺騙某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶，或系統(tǒng)自愿的放棄敏感信息 竊取某一安全攸關(guān)的物品（令牌或身份卡）被盜業(yè)務(wù)流分析通過對(duì)通信業(yè)務(wù)流模式進(jìn)行觀察（有，無，數(shù)量，方向，頻率等），而造成信息被泄露給未授權(quán)的實(shí)體 陷門將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件中，使得在提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略特洛伊木馬含有覺察不出或無害程序段的軟件，當(dāng)它被運(yùn)行時(shí)，會(huì)損害用戶的安全信息安全、計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的關(guān)系信息、計(jì)算機(jī)和網(wǎng)絡(luò)是三位一體、不可分割的整體。信息的采集、加工、存儲(chǔ)是以計(jì)算機(jī)為載體的，而信息的共享、傳輸、發(fā)布則依賴于網(wǎng)絡(luò)系統(tǒng)。如果能夠保障并實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全，就可以保障

58、和實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全和信息安全。因此，網(wǎng)絡(luò)信息安全的內(nèi)容也就包含了計(jì)算機(jī)安全和信息安全的內(nèi)容。信息安全均指網(wǎng)絡(luò)信息安全。 不安全因素網(wǎng)絡(luò)信息系統(tǒng)的脆弱性1)網(wǎng)絡(luò)的開放性。2)軟件系統(tǒng)的自身缺陷。 1999年安全應(yīng)急響應(yīng)小組論壇FIRST的專家指出，每千行程序中至少有一個(gè)缺陷。3）黑客攻擊。 Microsoft通用操作系統(tǒng)的安全性估計(jì) 操作系統(tǒng) 推出年份代碼行數(shù)（萬） 估計(jì)缺陷數(shù)（萬）Windows 3.1 1992年 300 1.5 3Windows 95 1995年 500 2.5 5Windows NT4.0 1996年 1650 8.25 15.5Windows 2000 2000年3

59、5005000 17.5 35對(duì)安全的攻擊高風(fēng)險(xiǎn)漏洞統(tǒng)計(jì)(按操作系統(tǒng))網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟SQL服務(wù)器Windows認(rèn)證Web瀏覽器文件共享LSAS Exposures電子郵件客戶端 即時(shí)信息Unix十大安全隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件傳輸服務(wù)簡單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)NIS/NFS 配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源：SANS研究報(bào)告高風(fēng)險(xiǎn)漏洞統(tǒng)計(jì)(按應(yīng)用程序)漏洞的概念三、系統(tǒng)漏洞漏洞的類型（1）管理漏洞-如兩臺(tái)服務(wù)器用同一個(gè)用戶/密碼，則入侵了A服務(wù)器后，B服務(wù)器也不能幸免

60、。 （2）軟件漏洞-很多程序只要接收到一些異?；蛘叱L的數(shù)據(jù)和參數(shù)，就會(huì)導(dǎo)致緩沖區(qū)溢出。 （3）結(jié)構(gòu)漏洞-比如在某個(gè)重要網(wǎng)段由于交換機(jī)、集線器設(shè)置不合理，造成黑客可以監(jiān)聽網(wǎng)絡(luò)通信流的數(shù)據(jù)；又如防火墻等安全產(chǎn)品部署不合理，有關(guān)安全機(jī)制不能發(fā)揮作用，麻痹技術(shù)管理人員而釀成黑客入侵事故。 （4）信任漏洞-比如本系統(tǒng)過分信任某個(gè)外來合作伙伴的機(jī)器，一旦這臺(tái)合作伙伴的機(jī)器被黑客入侵，則本系統(tǒng)的安全受嚴(yán)重威脅。 20個(gè)最危險(xiǎn)的安全漏洞2002年5月發(fā)布（）三類安全漏洞：1）影響所有系統(tǒng)的七個(gè)漏洞（G1G7）2）影響Windows系統(tǒng)的六個(gè)漏洞（W1W6)3）影響Unix系統(tǒng)的七個(gè)漏洞（U1U7）G1-操作