65安全审核与风险分析

@2006VCampusCorporationAllRightsReserved.安全审核与风险分析主讲教师:李军@2006VCampusCorporationAllRightsReserved.第一单元安全审核入门学习目标•明确安全审核人员的主要职责•了解风险评估•掌握风险评估的各个阶段•了解差距分析•掌握资源等级的划分•掌握如何计划实施安全审核•了解获得管理者支持的重要性•掌握获得客户反馈的方法审核人员的工作•制定安全策略----任何一个管理规范的网络都需要制定一系列的安全策略。•风险评估−明确审核企业性质−阅读书面安全策略−评价已经存在的管理和控制体系−实施风险分析−提交审核报告−……审核人员的职责和前瞻性•从安全管理者的角度考虑−需要从防火墙内部进行监测，关注内部网络服务器和主机是否有异常情况。−安全管理者还要从防火墙外部进行渗透以查看防火墙的规则配置是否有漏洞，判断黑客是否能穿透防火墙进而控制网络主机。审核人员的职责和前瞻性•从安全顾问的角度考虑−从黑客的角度和不知情的审核者的角度对网络进行测试−从一个内部知情人的角度来评估网络安全•合并两方面测试中得到的信息，作综合评价后进行更深层次的审核•内部威胁分析−攻击者并不一定都是黑客和外部人员。−若将存放重要资料的服务器暴露在内部网络的公共区，内部使用者就可能直接对其进行攻击。−使用多层防火墙机制可以很好地解决这个问题。−在内部网络中，另外建立一个防火墙，分割一般使用者和重要资料服务器的网段。严格限制其出入的传输，强化资料存取的安全性。审核人员的职责和前瞻性风险评估•风险评估是指定位网络资源和明确攻击发生的可能性。•风险评估是一种“差距分析”，可以显示出安全策略和实际发生攻击之间的差距。•信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。•风险评估的准备−风险评估的准备过程是组织机构进行风险评估的基础，是整个风险评估过程有效性的保证。−确定风险评估的目标。−……风险评估•风险评估的依据1、政策法规：中办发［2003］27号文件和国信办文件2、国际标准：如BS7799-1《信息安全管理实施细则》BS7799-2《信息安全管理体系规范》等3、国家标准或正在审批的讨论稿，如GB17859-1999《计算机信息系统安全保护等级划分准则》和《信息安全风险评估指南》等4、行业通用标准等其它标准风险评估•风险评估的原则−可控性原则−完整性原则−最小影响原则−保密原则风险评估•风险结果的判定−风险等级的划分−控制措施的选择−残余风险的评价风险评估1.仔细检查书面安全策略“roadmap”或“framework”2.对资源进行分析、分类和排序----找出网络中最重要的资源风险评估的步骤问题回答什么是受攻击的目标？如果目标是一般用户的操作系统，则风险低；如果目标是人力资源系统，则风险高。出现问题的严重性？一旦出现问题，后果有多严重？影响企业还是影响个别的系统？通常需要对损失的时间和金钱进行评估。发生攻击的可能性？攻击发生的可能到底有多大？是不太可能发生还是非常有可能发生。风险评估的步骤3.通常遭受攻击的资源风险评估的步骤下表列出了一些通常遭受攻击的网络资源：攻击热点潜在威胁网络资源路由器和交换机防火墙网络主机服务器资源安全帐号数据库信息数据库SMTP服务器HTTP服务器FTP服务器风险评估的步骤每个部门都有自己的数据库，但人力资源、财务和研发部门的数据通常比其它部门的更重要一些。风险评估的步骤4.考虑商业需求为企业需求制定安全策略，应当考虑一些特殊的部门和个体。目标是提高各部门的工作效率并使他们的数据更安全。风险评估的步骤5.评估已有的边界和内部安全−边界安全指网络间区分彼此的能力，防火墙是定义安全边界的第一道屏障。−内部安全是指网络管理员监测和打击未授权的网络活动的能力。通过对现有安全机制的评估确认网络可以从外部攻击中尽快恢复。风险评估的步骤6.使用已有的管理和控制结构在审核过程中，可以使用网络中已有的管理和控制结构。基于网络的管理结构基于主机的管理结构两种管理结构各有优劣，可以根据不同的管理任务进行选择。简单查询体系结构用户—代理体系结构风险评估阶段•黑客在入侵攻击网络系统的过程中不外乎三个步骤：扫描侦查、渗透和控制网络系统。•安全审核人员进行审核时也有三个阶段：侦查阶段、渗透阶段、控制阶段。•安全审核人员不同于黑客。风险评估阶段•侦查阶段----扫描和测试系统的有效安全性。−对网络进行侦查意味着要定位出网络资源的使用的具体情况，包括IP地址、开放端口、网络拓扑等。−实施分析要求对系统逐个检测。−侦查阶段的分析工作通常需要大量的时间。风险评估阶段•渗透阶段----渗透测试−渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。−在渗透测试中，将检查各种系统的漏洞，并试图使下列元素无效：加密密码访问列表风险评估阶段•控制阶段----控制演示−控制-----表明一个黑客可以控制网络资源、创建帐号、修改日志、行使管理员的权限。−审核人员从不试图控制网络主机，只是通过演示其可以控制网络主机来证明现有网络存在的问题。−在提交报告时，必须提出如何防止黑客获得网络和主机的控制权的建议。差距分析•风险评估中常用的方法有三种：−计算系统综合风险−差距分析法−量化风险差距分析法模型差距分析差距分析•差距分析法在运用中通常包括五个步骤1.调研目标系统状况2.确定信息系统安全要求3.评估信息系统安全现状4.对信息安全风险进行差距分析和风险计算5.用户根据安全风险评估的结果进行风险控制，形成满足其信息系统安全要求的信息系统安全保障能力划分资产风险等级•对各个资产进行风险等级的划分，划分的标准如下表：•可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，包括将可接受风险与不可接受风险的划分。等级标识风险定义5很高风险很高，导致系统受到非常严重影响4高风险高，导致系统受到严重影响3中风险中，导致系统受到较重影响2低风险低，导致系统受到一般影响1很低风险很低，导致系统受到较小影响安全审核需注意的事项•安全审核的要素•安全审核涉及四个基本要素:1．控制目标2．安全漏洞3．控制措施4.控制测试安全标准•安全标准1．ISO7498-22．英国标准7799（BS7799）3．CommonCriteria（CC）获得最高管理者支持•任何一个组织，推行任何一套安全管理体系，首先都必须获得最高管理者的支持。•在安全审核初期，最高管理者的支持可以表现在以下方面：第一，在财务方面提供必要的投资。第二，配备必要充足的人力资源、分配一定的工作时间于工作的推动上。获取客户信息的反馈•来自客户的反馈信息是衡量业绩的重要指标之一，可以被用来评价网络安全管理体系的总体有效性。•对一个机构进行一次安全审核后要及时地与被审核机构进行及时的沟通，以了解安全审核的效果。•获得客户反馈的信息，了解到工作中存在哪些不足，针对不同企业或机构采取不同的审核方式。@2006VCampusCorporationAllRightsReserved.第二单元审核过程学习目标•掌握有效检查书面安全策略的方法•了解资源的划分•明确业务焦点•明确如何使用现有的管理控制结构•掌握基于网络和基于主机的脆弱性发现和分析工具的配置•掌握如何实施网络级和主机级的安全扫描•了解路由器和防火墙的安全配置•确定电话服务系统/集成系统的安全等级•熟悉安全审核的步骤检查书面安全策略•通过对各种策略文档进行阅读和分析，获得整个策略文档体系的概貌，并评价策略文档体系能否满足安全工作的要求。−查看是否有“风险分析”项目。−查看IT任务陈述。−查看是否有如何实施安全策略以及如何处理破坏行为或不正当行为的说明。−查看是否有全面的“备份和恢复”或“业务连续性”计划。检查书面安全策略•为什么要有安全策略−安全策略的主要目标就是为获取、管理和审查计算机资源提供一个准绳。−一个强大的安全策略是合理且成功地应用安全工具的先决条件。没有明确的规则和目标，则安装、应用和运行安全工具是不可能有效的。检查书面安全策略•好的安全策略具有的特征安全策略应该简洁明了，一个好的安全策略应具有以下特征：−安全策略不能与法律法规相冲突；−为了正确地使用信息系统，安全策略应当对责任进行合理的分配。−一个好的安全策略应该具有良好的可执行性。−一个好的安全策略应有与之匹配的安全工具，安全工具应能预防策略被破坏。一个强大的安全策略应能提供突发性处理。检查书面安全策略•公布策略−安全策略要让机构中的每个用户都知道。−安全策略公布方式：电子邮件MSN消息安全简报检查书面安全策略•让策略发生作用−安全策略不能停留在书面上，要严格贯彻执行。−安全策略只有在实施后才能发挥作用。−安全策略的贯彻执行，可以在企业形成良好的安全保护意识，营造一种良好的安全环境，这才更符合信息发展网络化的特点。检查书面安全策略•制定一个详细计划来实施安全策略−信息安全策略的实施过程是一项较为长期且反复的过程，在这一过程中要根据实践的结果对信息安全策略体系和内容进行不断调整与完善。−详细的实施计划有助于有效地管理开支计划和控制执行时间。−获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键。−信息安全策略实施计划至少应该包含以下步骤：了解每个员工的信息系统的现状；深入了解组织的业务需求及安全需求；进行文档审查，掌握组织当前的策略制定及部署情况；按层次分级制定安全策略；通过召开讨论会议的形式来完善每项安全策略；…………划分资产等级•正确对资产进行分类，划分不同的等级，正确识别出审核的对象是进行安全审核非常关键的前提条件。划分资产等级•资产确认−硬件资产−软件资产−对私有或保密数据进行分类（从顾客数据库到专用应用程序）−对常规数据，包括数据库、文档、备份、系统日志和掉线数据等进行分类−对机构里的人员要进行确认和分类，对于机构外但与机构有往来的也要进行确认和分类划分资产等级•资产评估−对于大多数的资产可以用货币数量多少的方法对其进行资产确定−进行资产评估要考虑四种价值−资产确认和评估是一个复杂的过程•判断危险性−除了恶意侵入者和内部人员外，对于任何计算机系统还有许多威胁安全的方面：从软件缺陷到硬件失效把一杯茶水泼到键盘上挖掘机切断了上千万根电缆线−下面是对计算机危险的部分分类：软硬件故障物理环境威胁人员外部因素划分资产等级划分资产等级•划分资产等级−资产的等级表明了资产对系统的重要性程度，安全审核人员应根据各个资产的等级确定相应的安全审核策略。•确定保护方法−确定了危险性，就要确定保护方法。基于软件的保护基于硬件的保护与人员相关的保护划分资产等级•成本—效益分析−成本、收益分析是评价安全措施的成本和收益量化风险量化损失成本量化预防措施的成本计算底限−权衡安全失败的潜在成本和加强安全的成本是需要技巧的。−成本－效益图识别业务焦点•只有识别出了企业或单位的业务焦点才能清楚地了解到，对于企业或单位来说最重要的是什么。•安全审核人员应将企业的业务焦点的安全等级置于最高，并进行最严格的安全审核。使用已有管理控制结构−单独的安全设备不能解决网络的安全问题，独立的基于网元的管理更不能解决日益复杂的安全问题。−安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。−从技术的层面来说，目前业界比较认可的安全网络的主要环节包括：入侵防护入侵检测事件响应系统灾难恢复使用已有管理控制结构−应急响应将安全网络的各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。−应急响应的准备工作包括：风险评估策略制定入侵防护入侵检测使用已有管理控制结构−安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键。−安全信息管理涵盖的范围非常全面，包括：风险管理