Upload
sean-sellers
View
50
Download
12
Embed Size (px)
DESCRIPTION
第3章 网络防御技术. 指导教师 : 杨建国. 2013年8月10日. 第3章 网络防御技术. 3 .1 安全架构 3 .2 密码技术 3 .3 防火墙技术 3 .4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术. 3 . 10 可信计算 3 . 11 访问控制机制 3 . 12 计算机取证 3 . 13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计. - PowerPoint PPT Presentation
Citation preview
2
华东理工大学计算机科学与工程系
3.1 安全架构3.2 密码技术3.3 防火墙技术3.4 杀毒技术3.5 入侵检测技术3.6 身份认证技术3.7 VPN技术3.8 反侦查技术3.9 蜜罐技术
第 3 章 网络防御技术 3.10 可信计算
3.11 访问控制机制3.12 计算机取证3.13 数据备份与恢复3.14 服务器安全防御3.15 内网安全管理3.16 PKI网络安全协议3.17 信息安全评估3.18 网络安全方案设计
4
华东理工大学计算机科学与工程系
本章目录
8.1 评估准备8.2 识别并评价资产8.3 识别并评估威胁8.4 识别并评估脆弱性8.5 分析可能性和影响8.6 风险计算8.7 风险处理8.8 编写信息安全风险评估报告 上机实验
5
华东理工大学计算机科学与工程系
8.1 评估准备
依据 GB/T 20984—2007 《信息安全技术 信息安全风险评估规范》,在风险评估实施前,应确定风险评估的目标,确定评估范围,组建评估管理与实施团队,进行系统调研,确定评估依据和方法,制定评估方案,获得最高管理者的支持。
8.1.1 确定信息安全风险评估的目标 ×× 信息系统风险评估目标是通过风险评估,分析信息系
统的安全状况,全面了解和掌握信息系统面临的安全风险,评估信息系统的风险,提出风险控制建议,为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。
6
华东理工大学计算机科学与工程系
8.1.2 确定信息安全风险评估的范围
既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员,以及由系统使用时所产生的文档、数据。
8.1.3 组建适当的评估管理与实施团队
组建由该单位领导、风险评估专家、技术专家,以及各管理层、业务部门的相关人员组成风险评估小组,同时明确规定每个成员的任务分工 。
7
华东理工大学计算机科学与工程系
8.1.4 进行系统调研 通过问卷调查、人员访谈、现场考察、核查表等形式,对
信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》,调查了系统的管理、设备、人员管理的情况,现场考察、核查表的方式考察了设备的具体位置,核查了设备的实际配置等情况,得出有关信息系统的描述。
8.1.4.1 业务目标和业务特性 1 .业务目标 ×× 信息系统主要负责数据的收集、技术处理以及预测分
析,为相关部门提供决策和管理支持,向社会提供公益服务。
8
华东理工大学计算机科学与工程系
2 .业务特性
通过对信息系统的业务目标的分析,归纳出以下业务特性:
⑴ 业务种类多,技术型工作与管理型工作并重;
⑵ 业务不可中断性低;
⑶ 业务保密性要求低;
⑷ 业务基本不涉及现金流动;
⑸ 人员业务素质要求高。
9
华东理工大学计算机科学与工程系
8.1.4.2 管理特性
现有的规章制度原则性要求较多,可操作性较低,在信息安全管理方面偏重于技术。
8.1.4.3 网络特性
×× 信息系统的网络拓扑结构图如图 8-1 所示。
10
华东理工大学计算机科学与工程系
1 U UPS Champin(20KW)
服务器区
空 调
Internet
PCPC
防火墙3Secgate 3600-F3
交换机3CISCO2950
专网
交换机2CISCO3745
内部网络网络管理
交换机1CATALYST4000
防火墙1SuperV-5318
路由器-1CISCO3640
路由器-2华为NE40
防火墙2UTM-418D
PC-1 PC-2
数据服务器
HP DL380
应用程序服务器
HP DL380
防病毒服务器MACFEE
图 8-1 网络拓扑结构图
11
华东理工大学计算机科学与工程系
8.1.5 评估依据
评估所遵循的依据如下:1. 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
2. 《信息技术 信息技术安全管理指南》(GB/T 19715-2005)
3. 《信息技术 信息安全管理实用规则》(GB/T 19716-2005)
2. 《信息安全等级保护管理办法》(公通字 [2007]43号)
3. 《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
12
华东理工大学计算机科学与工程系
8.1.6 信息安全风险评估项目实施方案
8.1.6.1 项目组织机构
项目实施的组织机构如下 :
项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果;项目实施完毕之后,领导小组将根据整个项目的成果情况,批准并主持项目试点总结工作。
13
华东理工大学计算机科学与工程系
项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划,并监督项目进展情况;主持阶段成果汇报会议;做好协调工作,保证项目的顺利执行。
项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划,根据实施计划开展工作。
质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。
外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。
14
华东理工大学计算机科学与工程系
8.1.6.2 项目阶段划分 本次风险评估项目分项目准备、现状调研、检查与测试、
分析评估及编制评估报告六个阶段,各阶段工作定义说明如下:
项目准备:项目实施前期工作,包括成立项目组,确定评估范围,制定项目实施计划,收集整理开发各种评估工具等。工作方式:研讨会。工作成果:《项目组成员信息表》、《评估范围说明》、《评估实施计划》。
现状调研:通过访谈调查,收集评估对象信息。工作方式:访谈、问卷调查。工作成果:《各种系统资料记录表单》。
检查与测试:手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式:访谈、问卷调查、测试、研讨会。工作成果:《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。
15
华东理工大学计算机科学与工程系
ID 任务名称 开始时间
完成时间
持续时间
2007年 5 月 2007年 6 月
5-6 5-13 5-20 5-27 6-3 6-10 6-17 6-24
1 项目准备 5-8 5-17 10d
2 现状调研 5-18 5-27 11d
3 检查与测试
5-28 6-8 12d
4 分析评估 6-9 6-17 9d
5 编制评估报告
6-18 6-28 11d
分析评估:根据相关标准或实践经验确定安全风险,并给出整改措施。工作方式:访谈、研讨会。工作成果:《安全风险分析说明》。
编制评估报告:完成最终评估报告。工作方式:研讨会。工作成果:《信息系统综合评估报告》。
表 8-1 ×× 信息系统风险评估实施进度表
17
华东理工大学计算机科学与工程系
8.2 识别并评价资产
依据 GB/T 20984—2007 《信息安全技术 信息安全风险评估规范》和第 7 章信息安全风险评估的基本过程,对资产进行分类并按照资产的保密性、完整性和可用性进行赋值。
8.2.1 识别资产
根据对 ×× 信息系统的调查分析,并结合业务特点和系统的安全要求,确定了系统需要保护的资产,见表 8-2 。
18
华东理工大学计算机科学与工程系
资产编号 资产名称 型号
A-01 路由器 -1 CISCO3640
A-02 路由器 -2 华为 NE40
A-03 交换机 -1 CATALYST4000
A-04 交换机 -2 CISCO3745
A-05 交换机 -3 CISCO2950
A-06 防火墙 -1 联想网域 SuperV-5318
A-07 防火墙 -2 联想网域 UTM-418D
A-08 防火墙 -3 网神 Secgate 3600-F3
A-09 防病毒服务器 MACFEE
A-10 数据服务器 HP DL380
A-11 应用服务器 HP DL380
A-12 PC-1 HP X8620
A-13 PC-2 HP X8620
A-14 UPS Champin(20KW)
A-15 空调 美的
表 8-2 信息系统资产列表
19
华东理工大学计算机科学与工程系
8.2.2 资产赋值
对识别的信息资产,按照资产的不同安全属性,即保密性、完整性和可用性的重要性和保护要求,分别对资产的 CIA
三性予以赋值,见表 8-3 ,这里采用五个等级。
20
华东理工大学计算机科学与工程系
资产编号 资产名称 型号 保密性 完整性 可用性
A-01 路由器 -1 CISCO3640 0 0 0
A-02 路由器 -2 华为 NE40 1 3 2
A-03 交换机 -1 CATALYST4000 1 3 3
A-04 交换机 -2 CISCO3745 1 3 3
A-05 交换机 -3 CISCO2950 2 4 4
A-06 防火墙 -1 联想网域 SuperV-5318 1 3 4
A-07 防火墙 -2 联想网域 UTM-418D 1 2 4
A-08 防火墙 -3 网神 Secgate 3600-F3 1 2 4
A-09 防病毒服务器 MACFEE 1 3 4
A-11 数据服务器 HP DL380 2 4 4
A-12 应用服务器 HP DL380 2 4 4
A-14 PC-1 HP X8620 1 4 4
A-15 PC-2 HP X8620 1 4 4
A-16 UPS Champin(20KW) 1 4 5
A-18 空调 美的 1 2 4
表 8-3 资产 CIA三性等级表
21
华东理工大学计算机科学与工程系
8.2.3 资产价值
根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。资产价值如表 8-4 所示。
22
华东理工大学计算机科学与工程系
资产编号 资产名称
安全属性赋值 权值 资产价值
保密性 完整性 可用性 保密性 完整性 可用性
A-01 路由器 -1 1 1 1 0 . 1 0 . 5 0 . 4 1.0
A-02 路由器 -2 1 3 2 0 . 1 0 . 5 0 . 4 2.4
A-03 交换机 -1 1 3 3 0 . 1 0 . 3 0 . 6 2.8
A-04 交换机 -2 1 3 3 0 . 1 0 . 3 0 . 6 2.8
A-05 交换机 -3 2 4 4 0 . 1 0 . 3 0 . 6 3.8
A-06 防火墙 -1 1 3 4 0 . 1 0 . 2 0 . 7 3.5
A-07 防火墙 -2 1 2 4 0 . 1 0 . 4 0 . 5 2.9
A-08 防火墙 -3 1 2 4 0 . 1 0 . 4 0 . 5 2.9
A-09 防病毒服务器 1 3 4 0 . 1 0 . 3 0 . 6 3.4
A-10 数据服务器 2 4 4 0 . 1 0 . 4 0 . 5 3.8
A-11 应用服务器 2 4 4 0 . 1 0 . 4 0 . 5 3.8
A-12 PC-1 1 4 4 0 . 1 0 . 4 0 . 5 3.7
A-13 PC-2 1 4 4 0 . 1 0 . 4 0 . 5 3.7
A-14 UPS 1 4 5 0 . 1 0 . 3 0 . 6 4.3
A-15 空调 1 2 4 0 . 0 0 . 5 0 . 5 3.0
表 8-4 资产价值表
23
华东理工大学计算机科学与工程系
8.3 识别并评估威胁
在本次评估中,首先收集系统所面临的威胁,然后对威胁的来源和行为进行分析。威胁的收集主要是通过问卷调查、人员访谈、现场考察、查看系统工作日志以及安全事件报告或记录等方式进行,同时使用绿盟 1200D-02 ,收集整个系统所发生的入侵检测记录。
表 8-5 是本次评估分析得到的威胁列表。
24
华东理工大学计算机科学与工程系
威胁编号 威胁类别 描述
T-01 硬件故障 由于设备硬件故障导致对业务高效稳定运行的影响。
T-02 未授权访问 因系统或网络访问控制不当引起的非授权访问。
T-03 漏洞利用 利用操作系统本身的漏洞导致的威胁。
T-04 操作失误或维护错误 由于应该执行而没有执行相应的操作,或非故意地执行了错误的操作,对系统造成影响。
T-05 木马后门攻击 木马后门攻击
T-06 恶意代码和病毒 具有复制、自我传播能力,对信息系统构成破坏的程序代码。
T-07 原发抵赖 不承认收到的信息和所作的操作。
T-08 权限滥用 滥用自己的职权,做出泄露或破坏。
T-09 泄密 通过窃听、恶意攻击的手段获得系统秘密信息。
T-10 数据篡改 通过恶意攻击非授权修改信息,破坏信息的完整性。
表 8-5 ×× 信息系统面临的威胁列表
25
华东理工大学计算机科学与工程系
8.4 识别并评估脆弱性
从技术和管理两方面对本项目的脆弱性进行评估。技术脆弱性主要是通过使用极光远程安全评估系统进行系统扫描。按照脆弱性工具使用计划,使用扫描工具对主机等设备进行扫描,查找主机的系统漏洞、数据库漏洞、共享资源以及帐户使用等安全问题。在进行工具扫描之后,结合威胁分析的内容,根据得出的原始记录,进行整体分析。按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理脆弱性。
26
华东理工大学计算机科学与工程系
表 8-6 技术脆弱性评估结果
资产名称 脆弱性 ID 脆弱性名称 脆弱性描述
路由器 -1
VULN-01 Cisco 未设置密码Cisco 路由器未设置密码,将允许攻击者获得网络的更多信息
VULN-02CISCO IOS 界面被 IPv4
数据包阻塞通过发送不规则 IPv4 数据包可以阻塞远程路由器。
路由器 -2VULN-03 没有制定访问控制策略 没有制定访问控制策略
VULN-04 安装与维护缺乏管理 安装与维护缺乏管理
交换机 -1 VULN-05 日志及管理功能未启用 日志及管理功能未启用
交换机 -2
VULN-06 CSCdz39284当发送畸形的 SIP 数据包时,可导致远程的 IOS 瘫痪
VULN-07 CSCdw33027当发送畸形的 SSH 数据包时,可导致远程的 IOS 瘫痪
交换机 -3
VULN-08 CSCds04747Cisco的 IOS 软件有一个漏洞,允许获得 TCP 的初始序列号
VULN-09没有配备 Service
Password Encryption 服务
没有配备 Service PasswordEncryption 服务
防火墙 -1VULN-10 安装与维护缺乏管理 安装与维护缺乏管理
VULN-11 缺少操作规程和职责管理 缺少操作规程和职责管理
防火墙 -2VULN-12 防火墙开放端口增加 防火墙开放端口增加VULN-13 防火墙关键模块失效 防火墙关键模块失效
资产名称 脆弱性 ID 脆弱性名称 脆弱性描述防火墙 -3 VULN-14 未启用日志功能 未启用日志功能
防病毒服务器
VULN-15 操作系统补丁未安装 未及时安装补丁
VULN-16 设备不稳定 设备不稳定
VULN-17 操作系统的口令策略没有启用 操作系统的口令策略没有启用
VULN-18 操作系统开放多余服务 操作系统开放多余服务
数据服务器
VULN-19 缺少操作规程和职责管理 缺少操作规程和职责管理
VULN-20 存在弱口令 存在弱口令
VULN-21 操作系统补丁未安装 未及时安装补丁
VULN-22 没有访问控制措施 没有访问控制措施
应用服务器
VULN-23 缺少操作规程和职责管理 缺少操作规程和职责管理
VULN-24 存在弱口令 存在弱口令
VULN-25 操作系统补丁未安装 未及时安装补丁
VULN-26 Telnet 漏洞 未及时安装补丁
VULN-27 可以通过 SMB连接注册表 可以通过 SMB连接注册表
PC-1VULN-28 操作系统补丁未安装 未及时安装补丁
VULN-29使用 NetBIOS探测Windows 主机信息
使用 NetBIOS探测Windows 主机信息
PC-2
VULN-30 木马和后门 木马和后门
VULN-31 SMB shares access SMB登录
VULN-32 弱口令 弱口令
UPS VULN-33 设备不稳定 设备不稳定
空调 VULN-34 设备不稳定 设备不稳定
表 8-6 技术脆弱性评估结果
27
华东理工大学计算机科学与工程系
8.5 分析可能性和影响 8.5.1 分析威胁发生的频率 威胁发生的频率需要根据威胁、脆弱性和安全措施来综
合评价。表 8-7给出了 5 个级别定义的描述。
等级 威胁频率 描述
5 很高 大多数情况 下几乎不可避免或者可以证实发生过的频率很高
4 高 在大多数情况 下很有可能会发生或者可以证实曾发生过
3 中 在某种情况下可能会发生但未被证实发生过2 低 一般不太可能发生1 很低 几乎不可能发生
表 8-7 可能性级别定义
28
华东理工大学计算机科学与工程系
8.5.2 分析脆弱性严重程度 脆弱性严重程度是 指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级,表 8-8给出了 5个级别定义的描述。
等级 严重程度 描述
5 很高 可引起系统持续中 断或永久关闭。可引起代理信息或服务的重大损失
4 高 可引起重要系统的中 断,或连接客户损失或商业信任损失
3 中等 能引起系统 声望的损害,或是对系统资源 或服务的信任程度的 降低,需要支付重要资源维修费
2 低 对系统有一 些很小的影响,只须很小的努力就可恢复系统
1 很低 对系统 几乎没有影响
表 8-8 严重程度定义
29
华东理工大学计算机科学与工程系
8.6 风险计算
首先建立资产、威胁和脆弱性关联,并给威胁发生的可能性及脆弱性严重程度赋值,如表 8-9所示。
在本项目中,采用 7.8介绍的矩阵法和相乘法进行风险计算。
30
华东理工大学计算机科学与工程系
资产 威胁 威胁频率 脆弱性 严重
程度
路由器 -1未授权访问 2 Cisco 未设置密码 3
漏洞利用 5CISCO IOS 界面被 IPv4 数据包阻
塞 3
路由器 -2未授权访问 2 没有制定访问控制策略 4
操作失误或维护错误 2 安装与维护缺乏管理 4
交换机 -1漏洞利用 5 日志及管理功能未启用 3
交换机 -2漏洞利用 5CSCdz39284 3CSCdw33027 3
交换机 -3漏洞利用 5
CSCds04747 4
没有配备 Service PasswordEncryption 服务 4
防火墙 -1操作失误或
维护错误 2安装与维护缺乏管理 5
缺少操作规程和职责管理 5
防火墙 -2 未授权访问 1防火墙开放端口增加 5
防火墙关键模块失效 4
防火墙 -3 原发抵赖 3 未启用日志功能 5
病毒服务器
恶意代码或病毒 3 操作系统补丁未安装 5
硬件故障 1 设备不稳定 5未授权访问 4 操作系统的口令策略没有启用 5木马后门攻
击 4 操作系统开放多余服务 4
资产 威胁 威胁频率 脆弱性 严重
程度
数据服务器
操作失误或维护错误 2
缺少操作规程和职责管理 5
未授权访问 4 存在弱口令 5
恶意代码或病毒 3 操作系统补丁未安装 5
权限滥用 4 没有访问控制措施 4
应用服务器
操作失误或维护错误 2
缺少操作规程和职责管理 5
未授权访问 4 存在弱口令 5
恶意代码或病毒 3 操作系统补丁未安装 5
漏洞利用 5Telnet 漏洞 4
可以通过 SMB连接注册表 5
PC-1
恶意代码或病毒 3 操作系统补丁未安装 5
数据篡改 3使用 NetBIOS探测Windows 主机信息 5
PC-2
恶意代码或病毒 3 木马和后门 5
数据篡改 3SMB shares
access4
窃密 4 弱口令 5UPS 硬件故障 1 设备不稳定 5
空调 硬件故障 1 设备不稳定 5
表 8-9 资产、威胁、脆弱性关联表
31
华东理工大学计算机科学与工程系
8.6.1 使用矩阵法计算风险
利用矩阵法,首先根据表 7-21 ,计算安全事件发生的可能性,再根据安全事件可能等级划分表 7-22 ,计算安全事件发生的可能性值等级。根据安全事件发生损失矩阵表 7-23 ,计算安全事件的损失,再根据安全事件损失等级划分表 7-24 ,计算安全事件损失等级。根据风险矩阵表 7-25 ,计算风险风险值。最后根据风险等级划分表 7-26 ,确定风险等级。所有计算结果如表 8-10 所示。
32
华东理工大学计算机科学与工程系
资产 资产价值 威胁 威胁
频率 脆弱性 严重程度
安全事件可能性
可能性等级
安全事件损失
损失等级
风险值
风险等级
A-01
1T-02 2 VULN-01 3 10 2 6 2 8 2
T-03 5 VULN-02 3 17 4 6 2 15 3
A-02
2T-02 2 VULN-03 4 13 3 12 3 13 3
T-04 2 VULN-04 4 13 3 12 3 13 3
A-03
3 T-03 5 VULN-05 3 17 4 11 3 17 3
A-04
3 T-03 5VULN-06 3 17 4 11 3 17 3
VULN-07 3 17 4 11 3 17 3
A-05
4 T-03 5VULN-08 4 20 4 19 4 20 4
VULN-09 4 20 4 19 4 20 4
A-06
4 T-04 2VULN-10 5 17 4 22 5 23 4
VULN-11 5 17 4 22 5 23 4
A-07
3 T-02 1VULN-12 5 14 3 20 4 16 3
VULN-13 4 11 2 15 3 9 2
A-08
3 T-07 3 VULN-14 5 20 4 20 4 20 4
表 8-10 风险计算表 1
33
华东理工大学计算机科学与工程系
资产 资产价值 威胁 威胁
频率 脆弱性 严重程度
安全事件可能性
可能性等级
安全事件损失
损失等级
风险值
风险等级
A-09
3
T-06 3 VULN-15 5 20 4 20 4 20 4
T-01 1 VULN-16 5 14 3 20 4 16 3
T-02 4 VULN-17 5 22 5 20 4 23 4
T-05 4 VULN-18 4 18 4 15 3 17 3
A-10
4
T-04 2 VULN-19 5 17 4 22 5 23 4
T-02 4 VULN-20 5 22 5 22 5 25 5
T-06 3 VULN-21 5 20 4 22 5 23 4
T-08 4 VULN-22 4 18 4 19 4 20 4
A-11
4
T-04 2 VULN-23 5 17 4 22 5 23 4
T-02 4 VULN-24 5 22 5 22 5 25 5
T-06 3 VULN-25 5 20 4 22 5 23 4
T-03 5VULN-26 4 20 4 19 4 20 4
VULN-27 5 25 5 22 5 25 5
A-12
4T-06 3 VULN-28 5 20 4 22 5 23 4
T-10 3 VULN-29 5 20 4 22 5 23 4
A-13
4
T-06 3 VULN-30 5 20 4 22 5 23 4
T-10 3 VULN-31 4 16 3 19 4 16 3
T-09 4 VULN-32 5 22 5 22 5 25 5
A-14
4 T-01 1 VULN-33 5 14 3 22 5 20 4
A-15
3 T-01 1 VULN-34 5 14 3 20 4 16 3
35
华东理工大学计算机科学与工程系
8.7风险处理
8.7.1 现存风险判断 内容依据风险评估结果,假设风险等级在 4 级以上不可接受,通过分析,发现有 21 个不可接受风险。分析结果如表 8-12所示。
36
华东理工大学计算机科学与工程系
资产 ID0 资产名称 威胁 脆弱性 风险等级
是否可接受
A-01 路由器 -1未授权访问 Cisco 未设置密码 2 是
漏洞利用 CISCO IOS 界面被 IPv4 数据包阻塞 3 是
A-02 路由器 -2未授权访问 没有制定访问控制策略 3 是
操作失误或维护错误 安装与维护缺乏管理 3 是
A-03 交换机 -1 漏洞利用 日志及管理功能未启用 3 是
A-04 交换机 -2 漏洞利用CSCdz39284 3 是
CSCdw33027 3 是
A-05 交换机 -3 漏洞利用CSCds04747 4 否
没有配备 Service Password Encryption 服务 4 否
A-06 防火墙 -1 操作失误或维护错误安装与维护缺乏管理 4 否
缺少操作规程和职责管理 4 否
A-07 防火墙 -2 未授权访问防火墙开放端口增加 3 是
防火墙关键模块失效 2 是
A-08 防火墙 -3 原发抵赖 未启用日志功能 4 否
A-09 病毒服务器
恶意代码或病毒 操作系统补丁未安装 4 否
硬件故障 设备不稳定 3 是
未授权访问 操作系统的口令策略没有启用 4 否
木马后门攻击 操作系统开放多余服务 3 是
•表 8-12 风险接受等级划分表
37
华东理工大学计算机科学与工程系
资产 ID0 资产名称 威胁 脆弱性 风险等级
是否可接受
A-10 数据服务器
操作失误或维护错误 缺少操作规程和职责管理 4 否
未授权访问 存在弱口令 5 否
恶意代码或病毒 操作系统补丁未安装 4 否
权限滥用 没有访问控制措施 4 否
A-11 应用服务器
操作失误或维护错误 缺少操作规程和职责管理 4 否
未授权访问 存在弱口令 5 否
恶意代码或病毒 操作系统补丁未安装 4 否
漏洞利用Telnet 漏洞 4 否
可以通过 SMB连接注册表 5 否
A-12 PC-1
恶意代码或病毒 操作系统补丁未安装 4 否
数据篡改 使用 NetBIOS探测 Windows 主机信息 4 否
A-13 PC-2
恶意代码或病毒 木马和后门 4 否
数据篡改 SMB shares access 3 是
窃密 弱口令 5 否
A-14 UPS 硬件故障 设备不稳定 4 否
A-15 空调 硬件故障 设备不稳定 3 是
38
华东理工大学计算机科学与工程系
8.7风险处理 8.7.2.1 风险控制需求分析 按照系统的 风险等级接受程度,通过对本信息系统
技术层面的安全功能、组织层面的安全控制和管理层面的安全对策进行分析描述,形成已有安全措施的需求分析结果,如表 8-13所示。
编号 控制需求 说明
R1 保障 XXXX 系统内网的 正常运行。
R2 保障 XXXX 系统 外网的正常运行。
R3 保障办公用计算机系统 正常运行。
R4 保障网站信息的正常发布。
R5 保证基本信息的保密性、完整性、可用性。
表 8-13 风险控制需求分析表
39
华东理工大学计算机科学与工程系
8.7.2.2 风险控制目标 依据《风险接受等级划分表》(表 8-12)、《风险控制需求分析表》(表 8-13),确定风险控制目标,如表 8-14 所示。
编号 控制目标 需求
T1 数据库系统 (内、外网数据库服务器) R1、 R2、 R5
T2网络支撑系统 (路由器、交换机、通信 线路) R1、 R2、 R4
、 R5
T3网络安全系统 (防病毒、防火墙、数据恢复、 IDS 、漏洞扫描)
R1、 R2、 R4、 R5
T4网络管理系统 ( CISCOWORKS、 HPOPENVIEW) R1、 R2、 R4
、 R5
T5 网上信息发布系统 (内、外网 WEB 服务器) R4
T6 终端系统 ( PC 、笔记本电脑) R3
T7 介质及文档(数据备份文档等) R1、 R2、 R5
表 8-14 控制目标
40
华东理工大学计算机科学与工程系
8.7.3 控制措施选择
依据《风险控制需求分析表》(表 8-13)、《控制目标表》(表 8-14),针对控制目标,综合考虑控制成本和实际的风险控制需求,建议采取适当的控制措施,如表 8-
15 所示。
41
华东理工大学计算机科学与工程系
编号 控制措施 对应控制目标 优先级
M1 制定具体科室负责信息安全工作, 明确人员及其分工。 T1~ T7 高
M2 制定定期开展信息安全意识教育培训的计划并 落实。 T1~ T7 高
M3 对所属的服务器和主机进行安全配置检查,并 重新配置安全策略。 T1~ T7 高
M4 开启重要服务器和主机的 审计功能,并制定 审计记录的维护和分析 流程。 T1~ T7 高
M5 对内、外网的服务器默认配置进行必要的更改。 T1~ T7 高
M6 制定具体的备份与恢复制度。 T1、 T7 高
M7 制定具体的安全事件处理制度。 T1~ T7 高
M8 对应用系统制定统一的完整性保护策略,并使用有效工具进行完整性 约束。 T1~ T7 高
M9制定合理的资源分配策略,包 括:最大并发 连接数,最小并发连接数,单个用户会话数量等。 T1~ T7 高
M10 及时针对安全漏洞打补丁。 T1~ T7 高
M11 对用户文件制定统一的完整性保护策略,并使用有效工具进行完整性 约束。 T1~ T7 高
M12 完善对介质的管理。 T7 中
M13 制定操作层面的管理制度。 T1~ T7 中
M14 使用清晰、耐久的标签对线缆、插座进行标识;保证布线的合理性。 T1~ T7 中
M15 对通信线路进行定期的检查并记录。 T1~ T7 中
M16 解决机房的温控问题。 T1~ T7 中
表 8-15 安全控制措施选择
42
华东理工大学计算机科学与工程系
8.8 编写信息安全风险评估报告
最后,编写记录×× 信息系统风险评估过程得到的所有结果的风险评估报告,完成对本系统的风险评估。
上机实验
实验项目:信息安全风险评估实验目的:掌握信息安全风险评估的过程。实验环境:具体网络信息系统环境。实验内容:结合具体的信息系统评估项目, 完成信息安全风险评估,并编写各阶段报告。
43
华东理工大学计算机科学与工程系
具体步骤如下:1 .风险评估的准备工作。⑴ 确定风险评估的目标;⑵ 确定风险评估的范围;⑶ 组建适当的评估管理与实施团队;⑷ 进行系统调研;⑸ 确定评估依据和方法;⑹ 获得最高管理者对风险评估工作的支持
44
华东理工大学计算机科学与工程系
2 .识别并评价资产。 在划定的评估范围内,以网络拓扑结构图的业务系统为
主线,列出所有网络上的物理资产、软件资产和数据资产,形成一个信息资产的清单。在识别出所有信息资产后,为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值,根据三个安全属性的权值计算资产的价值。形成《系统信息资产识别清单》。确定关键资产,详细识别关键资产的安全属性,并对关键资产的重要性进行赋值,形成《系统重要信息资产评估报告》。
本阶段所采用的方法包括: ( 1 )会议:召集评估小组成员和相关人员进行资产分
析会议; ( 2 )手工记录表格:通过资产调查表的填写确定信息
资产状况。
45
华东理工大学计算机科学与工程系
3 .识别并评估威胁。 识别关键资产所面临的威胁,及威胁对资产所产生的影响。
形成《威胁列表》。本阶段所采用的方法包括: ( 1 ) IDS采样分析。使用 IDS ,通过对网络流量进行不间断的分析,从中发现攻击、入侵或非法访问等行为。
( 2 )日志分析。通过检查不同来源的日志文件发现曾经发生过的威胁,获取威胁信息。
( 3 )人员访谈。评估小组成员与规划编写人员及项目建设人员进行访谈交流。
4 .识别并评估脆弱性。 从技术、管理和策略三个方面进行脆弱性评估,其中在技
术方面主要是通过远程和本地两种方式进行系统扫描、对网络设
备和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗透测试。管理脆弱性评估方面主要对现有的安全管理制度及其执
行情况进行检查,发现其中的管理漏洞和不足;策略脆弱性评估
方面主要是从整体网络安全的角度对现有的网络安全策略。
46
华东理工大学计算机科学与工程系
进行全局性的评估,它也包括了技术和管理方面的内容。脆弱性评估阶段形成文档《脆弱性列表》。此阶段所采用的方法包括: ( 1 )利用漏洞扫描工具进行扫描; ( 2 )渗透测试; ( 3 )各类检查列表。
5 .风险分析。 通过分析上面所评估的数据,进行风险值计算,确定风险
等级,确认高风险因素,提出整改意见。形成《风险分析报告》和《规划整改意见》。此阶段所采用的方法包括:
( 1 )会议:召集评估小组成员进行风险分析会议。 ( 2 )咨询交流:评估小组成员与相关人员及第三方专家 进行访谈交流。 ( 3 )资料审查确认:评估小组成员将对形成的风险分析 报告和整改建议进行审查确认。
48
华东理工大学计算机科学与工程系
评估准则
1. 可信计算机系统评估准则 ( TCSEC)2. 信息技术安全评估准则( ITSEC)3. 信息安全技术通用评估准则( CC)4.我国信息安全评估准则( GB 17859-1999 &
GB18336-2001&GB18336-2008)
49
华东理工大学计算机科学与工程系
TCSEC
1983年,由美国国家计算机安全中心( NCSC)初次颁布
1985年,进行了更新,并重新发布
2005年,被国际标准信息安全通用评估准则( CC)代替
50
华东理工大学计算机科学与工程系
TCSEC
标准制定的目的 1). 提供一种标准,使用户可以对其计算机系统内 敏 感信息安全操作的可信程度 做评估。
2). 给计算机行 业的制造商提供一种可循的指导规则 ; 使其产品能够更好地满足敏感应用的安全需求。
51
华东理工大学计算机科学与工程系
TCSEC
计算机系统安全等 级 1、 D1 级 这是计算机安全的 最低一级。 D1级计算机系统 标准规定对用户没有验证,也就是任何人都可以使用该计算机系统 而不会有任何障碍。 D1级的计算机系统包 括:MS-Dos、Windows95 、 Apple的 System7.x
2、 C1 级 C1级系统要求 硬件有一定的安全机制,用户在使用 前必须登录到系统。 C1级系统 还要求具有完全访问控制的能力,经应当允许系统管理 员为一些程序 或数据设立访问许可权限。常见的 C1级兼容计算机系统有: UNIX 系统 、 XENIX 、 Novell3.x或更高版本 、 Windows NT
52
华东理工大学计算机科学与工程系
TCSEC
3、 C2 级 C2级实际是安全产品的最低档次,提供受控的存取保护。 C2级引进了受控访问环境(用户权限级别)的增强特性。授权
分级使系统管理 员能够分用户分组,授予他们访问某些程序的权限或访问分级目录。
C2级系统 还采用了系统 审计。 审计特性跟踪所有的“安全事件”,以及系统管理 员的工作。
常见的 C2级系统有 :操作系统中 Microsoft的Windows NT 3.5, UNIX 系统。数据库产 品有 oracle公司的 oracle 7, Sybase公司的 SQL Server11.0.6 等。
53
华东理工大学计算机科学与工程系
TCSEC
4、 B1 级 B1级系统 支持多级安全,多级是指这一安全保护安装在不同级别的系统中 (
网络、应用程序、工作 站等),它对敏感信息提供更高级的保护。 5、 B2 级 这一级别称为结构化的保护( Structured Protection)。 B2级安全要求计算机
系统中 所有对象加标签,而且给设备(如工作 站、终端和磁盘驱动器)分配安全级别。
6、 B3 级 B3级要求用户工作 站或终端通过可信任途径连接网络系统, 这一级必须采
用硬件来保护安全系统的存 储区。 7、 A 级 这一级有时也称为验证设计( verified design)。必须采用严格的形式化方法来证明该系统的安全性 ,所有构成系统的 部件的来源必须安全保证 。
54
华东理工大学计算机科学与工程系
ITSEC
1990年 5 月,英、法、德、荷根据对各国的评估标准进行协调制定 ITSEC
1991年 6 月, ITSEC 1.2版由欧共体标准化委员会发布
目前, ITSEC已大部分被CC替代
55
华东理工大学计算机科学与工程系
ITSEC
安全性要求 1 、功能 为满足安全需求而采取的技术安全措施。 功能要求从 F1~ F10 共分 10级。 1~ 5级对应于 TCSEC的
C1、 C2 、 B1、 B2、 B3。 F6至 F10级分别对应数据和程序的完整性、系统的
可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。
2 、保证 确保功能正确实现和有效执行的安全措施。 保证要求从 E0(没有任何保证)~ E6(形式化验证)共分 7级 . ITSEC把完整性、可用性与保密性作为 同等重要的因素。
56
华东理工大学计算机科学与工程系
CC
1996年 6 月, CC 第一版发布 1998年 5 月, CC 第二版发布 1999年 10 月, CC V2.1版发布 1999年 12 月, ISO采纳 CC ,并作为国际 标准 ISO/IEC 15408 发布
2004年 1 月, CC V2.2版发布 2005年 8 月, CC V2.3版发布 2005年 7 月, CC V3.0版发布 2006年 9 月, CC V3.1.release 1 发布 2007年 9 月, CC V3.2.release 2 发布 2009年 9 月, CC V3.1.release 3 发布
57
华东理工大学计算机科学与工程系
CC重要概念
PP (Protection Profile) 及其评估 : PP 是一类 TOE基于其应用环境定义的一组安全要求,
不管这些要求如何实现,实现问题交由具体 ST实现, PP确定在安全解决方案中的需求
ST (Security Target) 及其评估 : ST 是依赖于具体的 TOE 的一组安全要求和说明,用来指定 TOE 的评估基础。 ST确定在安全解决方案中的具体要求。
TOE (Target of Evaluation) 及其评估 : TOE 评估对象,作为评估主体的 IT 产品及系统以及 相
关的管理员和用户指南文档。
58
华东理工大学计算机科学与工程系
CC
CC 的组成 1 、简介和一般模型 描述了对安全保护轮廓( PP)和安全目标( ST)的
要求。 PP实际上就是安全需求的完整表示, ST 则是通常所说的安全方案。
2 、安全功能要求 详细介绍了为实现 PP和 ST所需要的安全功能要求 3 、安全保证要求 详细介绍了为实现 PP和 ST所需要的安全保证要求
59
华东理工大学计算机科学与工程系
CC
CC 的中心内容 当第一部分在 PP(安全保护框架)和 ST(安
全目标)中描述 TOE(评测对象)的安全要求时应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。
62
华东理工大学计算机科学与工程系
CC
CC 将安全功能要求分为以下 11类: 1 、安全审计类 2 、通信类(主要是身份真实性和抗抵赖) 3 、密码支持类 4 、用户数据保护类 5 、标识和鉴别类 6 、安全管理类(与 TSF 有关的管理) 7 、隐秘类(保护用户隐私)
前七类的安全功能是提供给信息系统使用的
63
华东理工大学计算机科学与工程系
CC
8 、 TOE 保护功能类( TOE自身安全保护) 9 、 资源利用类(从资源管理角度确保 TSF 安全) 10、 TOE 访问类(从对 TOE 的访问控制确保安全性) 11 、可信路径 /信道类。
后四类安全功能是为确保安全功能模块( TSF)的自身安全而设置的。
65
华东理工大学计算机科学与工程系
CC
具体的安全保证要求分为以下 10类 : 1 、配置管理类 2 、分发和操作类 3 、开发类 4 、指导性文档类 5 、生命周期支持类 6 、测试类 7 、脆弱性评定类 8 、保证的维护类 9 、保护轮廓评估类 10 、安全目标评估类
66
华东理工大学计算机科学与工程系
CC
按照对上述 10类安全保证要求的不断递增, CC 将 TOE 分为 7 个安全保证级,分别是:
第一级 (EAL1) : 功能测试级 第二级 (EAL2) :结构测试极 第三级 (EAL3) :系统测试和检查 级 第四级 (EAL4) :系统设计、测试和 复查级 第五级 (EAL5) :半形式化设计和测试 级 第六级 (EAL6) :半形式化验证的设计和测试 级 第七级 (EAL7) :形式化验证的设计和测试 级
69
华东理工大学计算机科学与工程系
CC 一般模型中的 TOE 评估过程
评估准则
评估方法
评估方案
开发TOE
安全要求( PP和 ST)
TOE和评估证据
评估TOE
运行TOE评估结果
反馈
70
华东理工大学计算机科学与工程系
我国信息安全评估准则
《计算机信息系统安全保护等 级划分标准》: GB 17859-1999
《信息技术 安全技术 信息技术安全性评估准则》: GB 18336-2001
《信息技术 安全技术 信息技术安全性评估准则》: GB 18336-2008
72
华东理工大学计算机科学与工程系
国家授权测评机构
到目前为止,国家中心根据发展需要,已批准筹建了 14家授权测评机构。其中,上海测评中心、计算机测评中 心、东北测评中心、华中测评中 心、深圳测评中心已 获得正式授权;西南测评中心、身份认证产品与技术测评中 心等 5 个授权测评机构已挂牌试运行;其它 4 个授权测评机构正处于筹建阶段