計算機網絡的安全管理與審計評估

第10章計算機網絡的平安管理與審計評估本章要點：計算機網絡的平安管理計算機網絡的平安評估計算機網絡系統(tǒng)的平安審計10.1計算機網絡的平安管理10.1.1平安策略10.1.2平安管理的實施10.1.3數(shù)據(jù)的平安管理10.1.4備份和緊急恢復10.1.1平安策略網絡平安管理是基于網絡平安策略的，在一定技術條件下的切合實際的平安策略，必須基于網絡的具體應用來確定其開放性、平安性要求，并尋求綜合、平衡開放性與平安性的最正確結合點。制定平安策略要因地制宜、因人而異、因事而異、因錢而異，最終以合理性為普遍的最高原那么。10.1.1平安策略1、平安策略的制定原那么平衡性原那么整體性原那么一致性原那么易操作性原那么可信性原那么層次性原那么可評價性原那么10.1.1平安策略2、平安策略的根本內容制定平安策略的目的是為了保證網絡平安保護工作的整體性、方案性及標準性，保證各項平安措施和管理手段的正確實施，使網絡系統(tǒng)的機密性、完整性和可使用性受到全面、可靠的保護。平安策略的主要內容包括：進行平安需求分析，明確網絡的開放性要求和平安性要求，尋找兩者的平衡點，對有矛盾的根據(jù)實際情況決定取舍。對網絡系統(tǒng)中的資源進行評估，評估范圍包括環(huán)境、硬件、軟件、數(shù)據(jù)、人員等，對硬件、軟件、數(shù)據(jù)等盡可能劃分出平安等級，明確平安防范重點。對可能存在的風險進行分析，包括自然、人為、管理、技術、硬件、軟件等方面，明確需要保護的重點目標和普通目標。10.1.1平安策略確定內部信息對外開發(fā)的種類、發(fā)布方式和訪問形式，根據(jù)本單位或本部門的業(yè)務情況確定網絡系統(tǒng)中各用戶的權限和責任，帳戶使用方式、資源訪問權限、保密義務等。明確網絡管理人員的責任和義務，如系統(tǒng)配置、帳戶設置與管理、口令管理、網絡監(jiān)控、平安審計、環(huán)境平安和保密措施等。確定針對潛在風險采取保護措施的主要構成，制定平安存取、訪問規(guī)那么，建立各種平安管理制度等。10.1.1平安策略風險類別保密性完整性可用性自然災害**硬件故障***軟件缺陷***未授權訪問**拒絕服務*數(shù)據(jù)泄漏*假冒和欺騙***線路竊聽*計算機病毒**木馬***后門或陷阱***電磁輻射*盜竊***潛在風險及影響范圍表10.1.1平安策略3、平安策略的層次網絡系統(tǒng)的平安涉及網絡系統(tǒng)結構的各個層次，按照OSI的的七層協(xié)議，網絡平安應貫穿在體系的各個層次中。物理層平安主要防范物理通路的損害、搭接竊聽或干擾等；鏈路層平安主要是采用劃分VLAN、加密通信等手段保證鏈路中數(shù)據(jù)信息不被竊聽；網絡層的平安需要保證網絡只給授權的用戶使用，保證網絡路由正確，防止攔截和竊聽分析；網絡操作系統(tǒng)平安要保證用戶資料、系統(tǒng)資源訪問控制的平安，并提供審計效勞；應用平臺的平安要保證建立在網絡系統(tǒng)之上的應用效勞〔包括數(shù)據(jù)庫效勞器、電子郵件效勞器、WWW效勞器等〕的平安；應用系統(tǒng)平安根據(jù)平臺提供的平安效勞，保證面向用戶效勞的平安，應用系統(tǒng)的平安與系統(tǒng)設計和實現(xiàn)的關系密切。10.1.1平安策略根據(jù)TCP/IP的層次結構，網絡平安的層次主要可分為網絡層和應用層兩個層面。網絡層平安策略的目的是在保證可用性的前提下實現(xiàn)網絡效勞的平安性。比方設置防火墻，根據(jù)平安過濾規(guī)那么控制數(shù)據(jù)包的傳遞。但要注意防火墻的最大缺乏是不能進行身份認證，并且在平安控制上是粗粒度的。在網絡層還可采取網絡平安檢測工具和手段，以發(fā)現(xiàn)網絡系統(tǒng)潛在的平安漏洞，主動防止黑客利用其進行攻擊。10.1.1平安策略應用層主要解決的是數(shù)據(jù)平安保護問題，應用層的平安措施主要包括：建立全網統(tǒng)一、有效的身份認證機制。以身份認證和資源管理為根底，實現(xiàn)對全網用戶和資源的集中管理。實現(xiàn)單一注冊。通過集中式數(shù)據(jù)庫實現(xiàn)用戶管理。信息平安處理，一是保護數(shù)據(jù)信息的完整性，如采用數(shù)字簽名機制；二是保護數(shù)據(jù)信息的保密性，采用各種加密手段來實現(xiàn)。確定是否采用代理效勞，及采取何種代理方式，根據(jù)平安防范的重點對象，靈活運用代理效勞器和防火墻的平安特性，以到達最大限度滿足開放性與平安性的要求。建立審計和統(tǒng)計分析機制。10.1.1平安策略4、實施方案的制定實施方案的主要內容在方案中提出具體平安保護措施，有系統(tǒng)標識與認證、資源存取與控制、加密措施、簽名機制、完整性控制、多層防御措施、網絡防火墻、內部網絡與信息的隱蔽、網絡系統(tǒng)平臺平安、數(shù)據(jù)庫平安、病毒防范、緊急恢復方案、平安監(jiān)控中心、系統(tǒng)備份〔包括關鍵設備備份、系統(tǒng)軟件備份和數(shù)據(jù)備份等〕。在確定總體平安設計方案根底上選擇防火墻類型，從平安性、開放性及系統(tǒng)開銷、通信效率等多方面綜合考慮選擇包過濾性網關、電路層網關、應用層網關等具體形式。此外還應考慮資金的投入等問題，并且還要在“方案-執(zhí)行-修訂〞中不斷完善平安策略。10.1.1平安策略選擇平安技術正確評價和選用平安技術對于平安方案的實施非常重要。為做到制定出合理的方案，應制定詳細的征詢意見書，向平安技術專家和平安產品供給商征詢意見。征詢意見書應包括以下問題的說明：內部網絡與外部網絡的連接形式。如采用單機連接還是采用整個內部網與之相連，以何種方式連接等。內部的類型。網絡類型的不同將影響到平安接口的選擇。內部網絡提供外部訪問的用戶類型和數(shù)量，提供哪些效勞類型。加密要求，被加密信息的性質〔國家級、企業(yè)級、私人敏感信息等〕、類型〔文件、圖片、郵件等〕。10.1.2平安管理的實施1、平安管理的類型平安管理按OSI的平安體系結構標準定義四種平安管理類型：系統(tǒng)平安管理〔Systemsecuritymanagement〕，管理整個網絡環(huán)境的平安。平安效勞管理〔Securityservicemanagement〕，對單個的平安效勞進行管理。平安機制管理〔Securitymechanismmanagement〕，管理平安機制中的有用信息，包括密鑰管理、信息加密、數(shù)字簽名和訪問控制等。OSI管理的平安〔SecurityofOSImanagement〕，所有OSI網絡管理函數(shù)、控制參數(shù)和管理信息的平安都是OSI平安的核心，其平安管理能確保OSI管理協(xié)議和信息能平安的保護。10.1.2平安管理的實施2、平安管理的根底信息系統(tǒng)的平安管理部門應根據(jù)管理原那么和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的平安制度或采用相應的標準。根本內容包括：根據(jù)工作的重要程度，確定該系統(tǒng)的平安等級。根據(jù)確定的平安等級，確定平安管理的范圍。制訂相應的機房出入管理制度：對于平安等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理。10.1.2平安管理的實施制訂嚴格的操作規(guī)程：操作規(guī)程要根據(jù)職責別離和多人負責的原那么，各負其責，不能超越自己的管轄范圍。制訂完備的系統(tǒng)維護制度：對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要首先經主管部門批準，并有平安管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。制訂應急措施：要制訂系統(tǒng)在緊急情況下，如何盡快恢復的應急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調動和離職人員要及時調整相應的授權。10.1.2平安管理的實施3、平安管理的行政原那么網絡信息系統(tǒng)的平安管理主要基于三個原那么：多人負責原那么任期有限原那么職責別離原那么10.1.3數(shù)據(jù)的平安管理1、數(shù)據(jù)的分類根據(jù)網絡中數(shù)據(jù)重要性和敏感性不同，對數(shù)據(jù)進行分類，從而實現(xiàn)對不同的數(shù)據(jù)實現(xiàn)不同的保護措施。關鍵數(shù)據(jù)重要數(shù)據(jù)有用數(shù)據(jù)不重要數(shù)據(jù)10.1.3數(shù)據(jù)的平安管理2、數(shù)據(jù)的平安管理數(shù)據(jù)的平安管理就是根據(jù)分類，對數(shù)據(jù)進行正確的備份、存儲，并建立管理檔案。對所有關鍵的、重要的數(shù)據(jù)都應進行復制，且采取雙備份制，并把備份按規(guī)定存放，如異地存放、遠程備份等。對于有用數(shù)據(jù)，可根據(jù)實際情況進行備份。為確保網絡系統(tǒng)不間斷正常運行，所有對網絡系統(tǒng)有用的數(shù)據(jù)和軟件都應留有備份，備份數(shù)據(jù)所付出的代價遠低于數(shù)據(jù)喪失所造成的損失。10.1.3數(shù)據(jù)的平安管理保存在機房中的數(shù)據(jù)，應該是網絡系統(tǒng)運行所需的最少數(shù)據(jù)。不必要的數(shù)據(jù)不應留在計算機中或機房里。復制的備份數(shù)據(jù)要遵循異地存放的原那么以確保平安，所謂的異地存放包括：機房附近的某個房間、另一幢建筑物、另一座城市，可根據(jù)數(shù)據(jù)的重要性采取相應的異地備份，如為防止地震、戰(zhàn)爭等原因對網絡系統(tǒng)、數(shù)據(jù)的破壞，那么需在500公里以外的異地建立備份。有時異地備份的規(guī)模應與本地系統(tǒng)一樣，當本地系統(tǒng)因為不可抗拒的原因癱瘓時，異地系統(tǒng)能替代本地系統(tǒng)并立即運行起來。10.1.3數(shù)據(jù)的平安管理采用集中式信息維護，保證數(shù)據(jù)的一致性。對于一個規(guī)模較大的網絡系統(tǒng)而言，集中式的軟件升級和更改管理至關重要。在不同的平臺之間轉換數(shù)據(jù)要防止轉換失誤，充分注意網絡環(huán)境中數(shù)據(jù)的一致性問題。建議對關鍵的、重要的數(shù)據(jù)備份存放在具有防火、防水、防高溫、防震等多功能容器中，有用的數(shù)據(jù)可放在密閉的金屬文件柜中。

10.1.3數(shù)據(jù)的平安管理重要的介質都要建立目錄清單，清單的主要內容包括：數(shù)據(jù)所有者、名稱、卷標、編號、建立日期、保存期限等。對外借的介質，也應建立相應的管理清單。對數(shù)據(jù)存儲介質的維護和訪問應限于介質管理和調度人員，對介質的臨時性訪問應經過批準。介質的出入庫要有專人管理登記。存儲過重要或機密數(shù)據(jù)內容的磁性介質如果需要報廢，在報廢前要進行數(shù)據(jù)的物理去除處理，因為有資料說明，經特殊調整的磁介質設備可讀出前八次的寫入內容。由于磁介質長期不使用，磁記錄信息會自然消退，所以應定期進行檢查與更新處理。10.1.3數(shù)據(jù)的平安管理3、數(shù)據(jù)平安管理產品10.1.4備份和緊急恢復絕對平安可靠的防范措施是很難實現(xiàn)的，所以要對可能發(fā)生的平安事故有所準備，落實系統(tǒng)的備份措施，制定緊急恢復預案。1、系統(tǒng)備份從網絡系統(tǒng)的整體平安考慮，除了數(shù)據(jù)備份外，需要備份的對象還有系統(tǒng)平安運行有關的設備和部件。因為在網絡中，往往發(fā)生單點故障而使整個網絡系統(tǒng)癱瘓的情況，如電源故障、網卡故障、效勞器故障、網絡互聯(lián)設備故障和線路故障等。10.1.4備份和緊急恢復設備備份方式在同一部位使用兩臺完全相同或根本相同的處理機，其中一臺為備份機；在機房附近的另一地點安裝相同的處理機作為備份，適當增加距離以提高平安程度；建立專門的后備效勞單位，專門提供設備和部件。10.1.4備份和緊急恢復主機備份方式傳統(tǒng)的高可靠系統(tǒng)大多采用雙機熱備份方案。在雙機熱備份方案中，兩臺效勞器均處于運行狀態(tài)，當一臺效勞器發(fā)生故障而無法正常工作時，另一臺效勞器可以立即將所有的業(yè)務接管過來。雙機熱備份方案具體又有兩種實現(xiàn)形式，一種為在線〔Online〕式,平時兩臺效勞器都在工作，分別負擔不同的任務，均衡負載；另一種稱為立等〔Standby〕式，即備份效勞器平時不工作，只是檢測效勞器的工作狀態(tài)，當發(fā)生故障時，備份效勞器才開始工作。一般情況下，Standby方式效勞器切換后，工作站需重新登錄。10.1.4備份和緊急恢復高可靠電源備份一個高可靠的網絡系統(tǒng)應采取可靠的電源備份措施：雙電源和雙回路供電。所謂雙電源供電是指效勞器有兩個電源并同時工作，其中的任何一個電源都能滿足效勞器的工作要求，這樣當其中一個損壞時，不影響系統(tǒng)工作，并支持熱機更換故障電源。雙回路供電是指從兩個配電站進兩路線，保證一個配電站維護或損壞時不影響系統(tǒng)工作；如沒有條件做到那么可取一路市電加自備發(fā)電系統(tǒng)來保證雙回路供電。同時系統(tǒng)電源都應使用UPS系統(tǒng)，兩個電源使用主副兩套UPS，主UPS使用在線大容量智能UPS，副UPS可使用后備式30分鐘UPS。10.1.4備份和緊急恢復雙電源雙回路供電10.1.4備份和緊急恢復2、數(shù)據(jù)備份數(shù)據(jù)備份是指將計算機系統(tǒng)硬盤中的一局部數(shù)據(jù)通過適當?shù)男问睫D存到可脫機保存的介質上，以便需要時在回輸給計算機系統(tǒng)使用。數(shù)據(jù)備份可防止因天災人禍致使計算機系統(tǒng)信息的喪失，或由于硬件故障、錯誤操作、病毒等造成聯(lián)機數(shù)據(jù)喪失而帶來的損失，它對計算機網絡系統(tǒng)的平安性、可靠性十分重要。脫機保存數(shù)據(jù)的另一原因是計算機中許多數(shù)據(jù)并不經常使用，10.1.4備份和緊急恢復數(shù)據(jù)備份可分為熱備份和冷備份兩類。數(shù)據(jù)備份技術的開展方向是備份工作自動化，如定時自動備份，網絡空閑自動備份等。數(shù)據(jù)備份的介質根本備份種類日常業(yè)務數(shù)據(jù)備份數(shù)據(jù)庫備份永久性數(shù)據(jù)備份遠程備份10.1.4備份和緊急恢復3、緊急恢復緊急恢復又稱災難恢復，是指災難發(fā)生后迅速采取措施恢復網絡系統(tǒng)的正常運行。為了在發(fā)生災難性事件后對網絡系統(tǒng)進行快速恢復，以減少由此產生的損失，管理和技術部門必須制定一個處理災難事件的緊急恢復預案。該方案應建立在風險分析根底上，分析風險的可能來源、可能造成的損失，還應估計災難事件的發(fā)生周期和現(xiàn)有保護能力的評價等。10.1.4備份和緊急恢復緊急事件的主要內容自然災害威脅，如地震、雷電、火災、水災等人類無法抗拒的原因；重要設備、機密文件、敏感數(shù)據(jù)、系統(tǒng)核心文件被盜等；計算機病毒危害和突然性的技術攻擊等；系統(tǒng)死鎖、重要的系統(tǒng)軟件、應用軟件或數(shù)據(jù)受損等；重要崗位的人員不能到崗或拒絕工作等。10.1.4備份和緊急恢復制定緊急恢復預案制定的應急方案的一些大的原那么和必須考慮的因素：明確規(guī)定事先的預備措施和事后的應急預案。備份措施是事先的預備措施，是確保原始設施在遭到嚴重破壞后恢復系統(tǒng)的必要條件。應急預案是根據(jù)具體事故發(fā)生之后使網絡系統(tǒng)迅速恢復的方法和步驟。緊急反響。緊急反響要根據(jù)網絡的實際情況明確優(yōu)先級別。緊急恢復預案的制定應簡潔明了，以提高其實用性和便于有關人員接受和掌握。緊急恢復方案要定期試驗、定期檢查，發(fā)現(xiàn)問題及時做相應的調整，以檢驗其可靠性與可行性。10.2計算機網絡的平安評估10.2.1計算機網絡平安評估的目的和意義10.2.2定制計算機網絡平安評估標準的根本策略10.2.3平安標準的定制10.2.4系統(tǒng)平安評估方法10.2.5計算機系統(tǒng)的平安等級10.2.6計算機網絡的平安等級10.2.1計算機網絡平安評估的目的和意義平安評估標準的重要意義：指導用戶建立符合平安需求的網絡用戶為了系統(tǒng)的平安，首先根據(jù)自己應用的平安級別，選用評定了平安等級的計算機網絡系統(tǒng)產品〔如：適合的操作系統(tǒng)，適合的數(shù)據(jù)庫產品，適合的網絡結構等〕，并在此根底上采取適宜的平安措施。建立系統(tǒng)內其他部件的平安評估標準10.2.2定制計算機網絡平安評估標準的根本策略制定計算機網絡平安評估標準的策略，應考慮以下幾個方面：與計算機網絡的實際環(huán)境相結合與國際環(huán)境結合具有一定程度上的穩(wěn)定性具有一定程度上的模糊性10.2.3平安標準的定制平安評估準那么的訪問控制是分層分級實施的，根本要求有以下六個方面，其中四點涉及存儲控制信息，另兩點涉及系統(tǒng)如何獲得可信的保證。平安策略(SecurityPolicy)客體標記(ObjectMarking)主體識別(SubjectIdentification)可檢查性(Accountability)平安保證(SecurityAssurance)連續(xù)保護(ContinuesProtection)10.2.4系統(tǒng)平安評估方法風險評估電子信息處理審計安全評估財政預算上最佳資源分配評估控制檢查政策的適應性評估保護措施強調威脅攻擊的頻率強調控制強調控制平衡強調風險強調修改、保證系統(tǒng)可用強調泄漏、保證系統(tǒng)安全保密控制存在和總量影響預料的威脅和攻擊不可預料的破壞或繞過控制通常是定量通常是定性的通常是定性的面向裝置，對系統(tǒng)和應用不太適用主要面向應用，也適用系統(tǒng)全部包括相互排斥的風險相互重疊的風險往往是部分風險平衡評估強調關鍵的方面強調關鍵的方面平安評估方法比較10.2.4系統(tǒng)平安評估方法1、風險評估風險分析和評估是評價各種系統(tǒng)的脆弱性及其對系統(tǒng)構成威脅的過程。管理層必須確定什么風險不可接受，如天災、人禍和其他危及生命和財產平安的潛在威脅，對這些威脅必須認真對待。而對一些很少發(fā)生且對系統(tǒng)影響較小的錯誤，那么不必采取過多的手段加以防范。因此，風險評估一般從財產遭受威脅和攻擊引起的損失等方面來考慮。按照有意或無意破壞、修改、泄漏信息及設備誤用所出現(xiàn)的概率來定量地確定。10.2.4系統(tǒng)平安評估方法2、電子信息處理審計〔EDPaudit〕EDP的平安審計主要包括兩個方面：對系統(tǒng)及其環(huán)境連續(xù)性和完整性的管理方法進行評估，并對獲取的數(shù)據(jù)進行審計。EDP審計一般采取定性方法，注意力主要集中在控制威脅和風險上，對威脅和攻擊頻度和財產損失進行考慮。審計的主要方法包括：特殊的打印輸出審計數(shù)據(jù)預審系統(tǒng)審計10.2.4系統(tǒng)平安評估方法3、平安評估平安評估是評估系統(tǒng)假設的威脅和攻擊，以及防止威脅攻擊的方法。其重點放在控制上，數(shù)據(jù)質量并不是關心的主要問題。10.2.5計算機系統(tǒng)的平安等級美國國防部按處理信息的等級和應采取的相應措施，將計算機系統(tǒng)平安分為ABCD四等八個級別，共27條評估準那么。從最低等級D到A等，隨平安等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。10.2.6計算機網絡的平安等級與單機系統(tǒng)類似，網絡系統(tǒng)也必須有一個可信計算基，稱網絡可信計算基〔NTCB〕，由所有與網絡平安有關的局部組成，網絡的設計和評價建立在了解平安機制如何分配和指定到各種部件的根底上，而不考慮通信信道的脆弱性和網絡部件的同步和異步操作。支持網絡系統(tǒng)的平安策略有四種，分別是強制訪問控制、自主訪問控制、支持策略〔加解密、身份確認、平安審計等〕、應用策略〔如數(shù)據(jù)庫系統(tǒng)的平安支持等〕。1、平安要求10.2.6計算機網絡的平安等級2、平安效勞網絡平安效勞，主要有輔助網絡平安效勞和特定網絡平安效勞兩類。輔助網絡平安效勞為了防止各種外部攻擊，要求提供各種測試功能，主要有：網絡功能測試、周期性測試、滲透測試、反響測試、協(xié)議死鎖測試，活潑度測試和其他平安特