1、廣東省中小學信息網絡管理員安全技術培訓班 Dec 2005許伯桐（博士）Email: burton.xuProfessional Security Solution Provider網絡系統安全評估及高危漏洞提綱安全態勢 （15分鐘）安全標準與風險評估（90分鐘)概述（15分鐘）通用準則CC （45分鐘）BS7799 （30分鐘）休息 （15分鐘)系統高危漏洞 （60分鐘)概述（10分鐘）20個最危險的安全漏洞（25分鐘）網絡安全維護（20分鐘）安全編程與其他安全技術領域（5分鐘）安全態勢安全態勢近年網絡安全態勢任何組織都會遭受到的攻擊每年發現的漏洞數量飛速上升發起攻擊越來越容易、攻擊能力越來

2、越強黑客職業化攻擊方式的轉變不為人知的威脅 zero-day特點每年發現的漏洞數量飛速上升每年發現的漏洞數量飛速上升 2004年CVE全年收集漏洞信息1707條 到2005年到5月6日就已經達到1470條年份漏洞數量1999742200040420018322002100620031049200417072005*1479發起攻擊越來越容易、攻擊能力越來越強面臨嚴峻的安全形勢SQL Injection等攻擊方式對使用者要求較低緩沖區溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個數量在增加漏洞挖掘流程專業化，工具自動化“看不見的風險”廠商為了聲譽

3、不完全公開產品的安全缺陷：漏洞私有，不為人知網絡安全事件造成巨大損失在FBI/CSI的一次抽樣調查結果：被調查的企業2004年度由于網絡安全事件直接造成的損失就達到1.4億美元怠工、蓄意破壞 系統滲透 Web頁面替換 電信欺詐 電腦盜竊 無線網絡的濫用 私有信息竊取 公共web應用的濫用 非授權訪問 金融欺詐 內部網絡的濫用 拒絕服務攻擊 病毒事件 網絡安全事件類型來源：信息網絡安全狀況調查常用管理方法來源：信息網絡安全狀況調查應用最廣泛的網絡安全產品 來源：信息網絡安全狀況調查網絡攻擊產生原因分析 來源：信息網絡安全狀況調查ISSF模型安全設計和安全域/等級保護的結合(示例）等級組織體系管理

4、體系技術體系機構建設人員管理制度管理風險管理資產管理技術管理安全評估安全防護入侵檢測應急恢復123 4 5 安全體系的全面性 措施分級保護、適度安全 強度分級 三分技術，七分管理 組織實現信息安全的必要的、重要的步驟風險評估的目的風險評估的目的 了解組織的安全現狀 分析組織的安全需求 建立信息安全管理體系的要求 制訂安全策略和實施安防措施的依據風險的四個要素： 資產及其價值 威脅 脆弱性 現有的和計劃的控制措施風險的要素資產的分類 電子信息資產 軟件資產 物理資產 人員 公司形象和名譽威脅舉例：黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作自然災害如：地震、火災、爆炸等盜竊網絡監聽供電故

5、障后門未授權訪問脆弱性是與信息資產有關的弱點或安全隱患。脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產造成危害。脆弱性舉例：系統漏洞程序Bug專業人員缺乏不良習慣系統沒有進行安全配置物理環境不安全缺少審計缺乏安全意識后門風險的要素風險分析矩陣風險程度 可能性 后果可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE（罕見）LLMHH E：極度風險 H：高風險 M：中等風險 L: 低風險國際上常見的風險控制流程確定風險評估方法 風險評估確定安全需求法律、法規系統任務和使

6、命系統建設階段、規模資產、威脅、脆弱性、現有措施法律、法規，系統任務和使命、評估結果制定安全策略選擇風險控制措施驗證措施實施效果安全需求技術限制、資源限制安全需求、實施效果安全策略文件風險評估報告安全需求報告風險管理方案適用性聲明驗證報告提供采取降低影響完成保護安全保證技術提供者系統評估者安全保證信心風險對策資產使命資產擁有者價值給出證據生成保證具有信息安全有效評估的目標信息系統是一個巨型復雜系統（系統要素、安全要素）信息系統受制于外部因素（物理環境、行政管理、人員）作業連續性保證威脅和風險在同領域內的相似性自評估、委托評估、檢察評估信息系統安全風險評估的特征風險評估的一般工作流程風險評估活動

7、風險評估活動評估工具評估工具目前存在以下幾類：掃描工具：包括主機掃描、網絡掃描、數據庫掃描，用于分析系統的常見漏洞；入侵檢測系統（IDS）：用于收集與統計威脅數據；滲透性測試工具：黑客工具，用于人工滲透，評估系統的深層次漏洞；主機安全性審計工具：用于分析主機系統配置的安全性；安全管理評價系統：用于安全訪談，評價安全管理措施； 風險綜合分析系統：在基礎數據基礎上，定量、綜合分析系統的風險，并且提供分類統計、查詢、TOP N查詢以及報表輸出功能；評估支撐環境工具: 評估指標庫、知識庫、漏洞庫、算法庫、模型庫。GB 18336 idt ISO/IEC 15408信息技術安全性評估準則IATF 信息保

8、障技術框架ISSE 信息系統安全工程SSE-CMM系統安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理實踐準則其他相關標準、準則例如：ISO/IEC 15443, COBIT。系統認證和認可標準和實踐例如：美國DITSCAP, 中國信息安全產品測評認證中心相關文檔和系統測評認證實踐技術準則（信息技術系統評估準則）管理準則（信息系統管理評估準則）過程準則（信息系統安全工程評估準則）信息系統安全保障評估準則與現有標準關系信息系統安全保障評估準則信息技術安全評估準則發展過程 可信計算機系統評估準則TCSEC信息技術安全評估準則ITSEC通用準則CC（ISO 15408、

9、GB/T18336)計算機信息系統安全保護等級劃分準則BS7799、ISO17799信息技術 安全技術 信息技術安全性評估準則ISO13335 IT安全管理指南SSE-CMM 系統安全工程能力成熟度模型我國的信息安全標準制定情況標準介紹保障信息安全有三個支柱，一個是技術、一個是管理、一個是法律法規。國家的法律法規，有專門的部門在研究和制定和推廣。根據國務院27號文件，對信息安全實施分級安全保護的規定出臺后，各有關部門都在積極制定相關的制度和法規，當前被普遍采用的技術標準的是CC/ISO 15408，管理體系標準是ISO 17799/ BS 7799。 通用準則CC(ISO/IEC 15408、

10、GB/T18336）通用準則CC信息技術安全評估準則發展過程1999年 GB 17859 計算機信息系統安全保護等級劃分準則1991年歐洲信息技術安全性評估準則（ITSEC）國際通用準則1996年（CC1.0）1998年（CC2.0）1985年美國可信計算機系統評估準則（TCSEC）1993年 加拿大可信計算機產品評估準則（CTCPEC）1993年美國聯邦準則（FC 1.0）1999年 國際標準ISO/IEC 154081989年 英國可信級別標準（MEMO 3 DTI）德國評估標準（ZSEIC）法國評估標準（B-W-R BOOK）2001年 國家標準GB/T 18336 信息技術安全性評估準

11、則idt iso/iec154081993年美國NIST的MSFRCC的適用范圍CC定義了評估信息技術產品和系統安全型所需的基礎準則，是度量信息技術安全性的基準針對在安全評估過程中信息技術產品和系統的安全功能及相應的保證措施提出的一組通用要求，使各種相對獨立的安全評估結果具有可比性。該標準適用于對信息技術產品或系統的安全性進行評估，不論其實現方式是硬件、固件還是軟件，還可用于指導產品和系統開發。該標準的主要目標讀者是用戶、開發者、評估者。CC內容CC吸收了個先進國家對現代信息系統安全的經驗和知識，對信息系統安全的研究和應用定來了深刻的影響。它分為三部分：第一部分介紹CC的基本概念和基本原理；第

12、二部分提出了安全功能要求；第三部分提出了非技術性的安全保證要求。后兩部分構成了CC安全要求的全部：安全功能要求和安全保證要求，其中安全保證的目的是為了確保安全功能的正確性和有效性，這是從ITSEC和CTCPEC中吸收的。同時CC還從FC中吸收了保護輪廓的(PP)的概念，從而為CC的應用和發展提供了最大可能的空間和自由度。CC定義了作為評估信息技術產品和系統安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構，即：安全要求=規范產品和系統安全行為的功能要求+解決如何正確有效的實施這些功能的保證要求。CC的關鍵概念評估對象（Target of Evaluation,TOE)用于安全評估

13、的信息技術產品、系統或子系統（如防火墻、計算機網絡、密碼模塊等），包括相關的管理員指南、用戶指南、設計方案等文檔。保護輪廓（Protection Profile,PP)為既定的一系列安全對象提出功能和保證要求的完備集合，表達了一類產品或系統的用戶需求。PP與某個具體的TOE無關，它定義的是用戶對這類TOE的安全需求。主要內容：需保護的對象；確定安全環境；TOE的安全目的；IT安全要求；基本原理在標準體系中PP相當于產品標準，也有助于過程規范性標準的開發。國內外已對應用級防火墻、包過濾防火墻、智能卡等開發了相應的PP。CC的關鍵概念安全目標（Security Target)ST針對具體TOE而言

14、，它包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施。ST包括的技術要求和保證措施可以直接引用該TOE所屬產品或系統類的PP。ST是開發者、評估者、用戶在TOE安全性和評估范圍之間達成一致的基礎。ST相當于產品和系統的實現方案，與ITSEC的安全目標類似。TOE Security Policy (TSP)TOE安全策略控制TOE中資產如何管理、保護和分發的規則。CC的關鍵概念TOE Security Functions(TSF)TOE安全功能必須依賴于TSP正確執行的TOE的所有部件。組件（Component)組件描述了一組特定的安全要求，使可供PP、ST或包選取的最小的安全要

15、求集合。在CC中，以“類_族.組件號”的方式來標識組件。包（Package)組件依據某個特定關系的組合，就構成了包。構建包的目的是定義那些公認有用的、對滿足某個特定安全目的有效的安全要求。包可以用來構造更大的包，PP和ST。包可以重復使用。CC中有功能包和保證包兩種形式。CC的關鍵概念CC的關鍵概念CC的關鍵概念CC的先進性 結構的開放性 即功能要求和保證要求都可以在具體的“保護輪廓”和“安全目標”中進一步細化和擴展，如可以增加“備份和恢復”方面的功能要求或一些環境安全要求。這種開放式的結構更適應信息技術和信息安全技術的發展。 表達方式的通用性 即給出通用的表達方式。如果用戶、開發者、評估者、

16、認可者等目標讀者都使用CC的語言，互相之間就更容易理解溝通。例如，用戶使用CC的語言表述自己的安全需求，開發者就可以更具針對性地描述產品和系統的安全功能和性能，評估者也更容易有效地進行客觀評估，并確保用戶更容易理解評估結果。這種特點對規范實用方案的編寫和安全性測試評估都具有重要意義。在經濟全球化發展、全球信息化發展的趨勢下，這種特點也是進行合格評定和使評估結果實現國際互認的需要。 CC的先進性結構和表達方式的內在完備性和實用性體現在“保護輪廓”和“安全目標”的編制上。“保護輪廓”主要用于表達一類產品或系統的用戶需求，在標準化體系中可以作為安全技術類標準對待。 內容主要包括：對該類產品或系統的界

17、定性描述，即確定需要保護的對象；確定安全環境，即指明安全問題需要保護的資產、已知的威脅、用戶的組織安全策略；產品或系統的安全目的，即對安全問題的相應對策技術性和非技術性措施；信息技術安全要求，包括功能要求、保證要求和環境安全要求，這些要求通過滿足安全目的，進一步提出具體在技術上如何解決安全問題；基本原理，指明安全要求對安全目的、安全目的對安全環境是充分且必要的；附加的補充說明信息。“保護輪廓”編制，一方面解決了技術與真實客觀需求之間的內在完備性；另一方面用戶通過分析所需要的產品和系統面臨的安全問題，明確所需的安全策略，進而確定應采取的安全措施，包括技術和管理上的措施，這樣就有助于提高安全保護的

18、針對性、有效性。“安全目標”在“保護輪廓”的基礎上，通過將安全要求進一步針對性具體化，解決了要求的具體實現。常見的實用方案就可以當成“安全目標”對待。通過“保護輪廓”和“安全目標”這兩種結構，就便于將CC的安全性要求具體應用到IT產品的開發、生產、測試、評估和信息系統的集成、運行、評估、管理中。CC的先進性CC內容之間的關系CC的三個部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理；第2部分提出了技術要求；第3部分提出了非技術性要求和對開發過程、工程過程的要求。三個部分有機地結合成一個整體。具體體現在“保護輪廓”和“安全目標” 中，“保護輪廓”和“安全目標”的概念和原理由第1部分

19、介紹，“保護輪廓”和“安全目標”中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分來保證。 保護輪廓與安全目標的關系通用準則CCCC包括三個部分: 第一部分：簡介和一般模型 第二部分：安全功能要求 第三部分：安全保證要求 通用準則CC：第一部分 介紹和通用模型安全就是保護資產不受威脅，威脅可依據濫用被保護資產的可能性進行分類 所有的威脅類型都應該被考慮到在安全領域內，被高度重視的威脅是和人們的惡意攻擊及其它人類活動相聯系的 CC 第一部分內容（1）CC 第一部分內容（2）通用準則CCCC中安全需求的描述方法:包:組件的中間組合被稱為包 保護輪廓(P

20、P): PP是關于一系列滿足一個安全目標集的TOE的、與實現無關的描述 安全目標(ST)： ST是針對特定TOE安全要求的描述，通過評估可以證明這些安全要求對滿足指定目的是有用和有效的通用準則CC包允許對功能或保證需求集合的描述，這個集合能夠滿足一個安全目標的可標識子集包可重復使用，可用來定義那些公認有用的、能夠有效滿足特定安全目標的要求包可用在構造更大的包、PP和ST中 通用準則CCPP包含一套來自CC（或明確闡述）的安全要求，它應包括一個評估保證級別（EAL）PP可反復使用，還可用來定義那些公認有用的、能夠有效滿足特定安全目標的TOE要求PP包括安全目的和安全要求的基本原理 PP的開發者可

21、以是用戶團體、IT產品開發者或其它對定義這樣一系列通用要求有興趣的團體 通用準則CC：保護輪廓內容結構通用準則CC安全目標(ST)包括一系列安全要求，這些要求可以引用PP，也可以直接引用CC中的功能或保證組件，或明確說明一個ST包含TOE的概要規范，安全要求和目的，以及它們的基本原理ST是所有團體間就TOE應提供什么樣的安全性達成一致的基礎 通用準則CC：安全目標ST內容結構通用準則CCCC框架下的評估類型 PP評估PP評估的目標是為了證明PP是完備的、一致的、技術合理的，而且適合于作為一個可評估TOE的安全要求的聲明ST評估ST評估具有雙重目標：首先是為了證明ST是完備的、一致的、技術合理的

22、，而且適合于用作相應TOE評估的基礎其次，當某一ST宣稱與某一PP一致時，證明ST滿足該PP的要求TOE評估 TOE評估的目標是為了證明TOE滿足ST中的安全要求通用準則CC三種評估的關系通用準則CC 第二部分：安全功能要求CC的第二部分是安全功能要求，對滿足安全需求的諸安全功能提出了詳細的要求另外，如果有超出第二部分的安全功能要求，開發者可以根據“類-族-組件-元素”的描述結構表達其安全要求，并附加在其ST中通用準則CC 第二部分：安全功能要求通用準則CC 第二部分：安全功能要求通用準則CC 第二部分：安全功能要求通用準則CC 第二部分：安全功能要求安全功能需求層次關系功能和保證要求以“類族

23、組件”的結構表述，組件作為安全要求的最小構件塊，可以用于“保護輪廓”、“安全目標”和“包”的構建，例如由保證組件構成典型的包“評估保證級包”。通用準則CCCC共包含的11個安全功能類，如下：FAU類：安全審計FCO類：通信FCS類：密碼支持FDP類：用戶數據保護FIA類：標識與鑒別FMT類：安全管理FPR類：隱秘FPT類：TSF保護FAU類：資源利用FTA類：TOE訪問FTP類：可信路徑/信道通用準則CC：第三部分 評估方法CC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結構及評估準則維護類提出了保證評估過的受

24、測系統或產品運行于所獲得的安全級別上的要求只有七個安全保證類是TOE的評估類別 通用準則CC：第三部分 評估方法CC的第三部分是評估方法部分，提出了PP、ST、TOE三種評估，共包括10個類，但其中的APE類與ASE類分別介紹了PP與ST的描述結構及評估準則維護類提出了保證評估過的受測系統或產品運行于所獲得的安全級別上的要求只有七個安全保證類是TOE的評估類別 通用準則CC：第三部分 評估方法通用準則CC：第三部分 評估方法通用準則CC：第三部分 評估方法通用準則CC：第三部分 評估方法通用準則CC：第三部分 評估方法通用準則CC七個安全保證類ACM類：配置管理CM 自動化CM 能力CM 范圍

25、ADO類：交付和運行交付安裝、生成和啟動ADV類：開發功能規范高層設計實現表示TSF內部低層設計表示對應性安全策略模型AGD類：指南文檔管理員指南用戶指南ALC類：生命周期支持開發安全缺陷糾正生命周期定義工具和技術ATE類：測試覆蓋范圍深度功能測試獨立性測試AVA類：脆弱性評定隱蔽信道分析誤用TOE安全功能強度脆弱性分析通用準則CC通用準則CC 安全保證要求部分提出了七個評估保證級別（Evaluation Assurance Levels：EALs）分別是：通用準則CC： EAL解釋通用準則CC： EAL解釋CC的EAL與其他標準等級的比較PP基本原理對PP進行評估的依據，證明PP是一個完整的

26、、緊密結合的要求集合，滿足該PP的TOE將在安全環境內提供一組有效的IT安全對策安全目的基本原理安全要求基本原理威脅組織安全策略假設安全需求IT安全要求TOE 目的環境的目的安全目的相互支持支持恰好滿足恰好滿足功能強度聲明一致威脅舉例T.REPLAY 重放當截獲了有效用戶的識別和鑒別數據后，未授權用戶可能在將來使用這些鑒別數據，以訪問TOE提供的功能。安全目的舉例O.SINUSE 單用途TOE必須防止用戶重復使用鑒別數據，嘗試通過互連網絡在TOE上進行鑒別。O.SECFUN 安全功能TOE必須提供一種功能使授權管理員能夠使用TOE的安全功能，并且確保只有授權管理員才能訪問該功能。O.SINUS

27、EFIA_ATD.1 用戶屬性定義：允許為每個用戶單獨保存其用戶安全屬性。FIA_UAU.1 鑒別定時：允許用戶在身份被鑒別前，實施一定的動作。FIA_UAU.4 單用戶鑒別機制：需要操作單用戶鑒別數據的鑒別機制。FMT_MSA.3 靜態屬性初始化：確保安全屬性的默認值是允許的或限制某行為的。TOE安全功能要求舉例TOE安全功能要求舉例FMT_MOF.1 安全功能行為的管理：允許授權用戶管理TSF中使用規則或有可管理的指定條件的功能行為。FAU_STG.1 受保護的審計蹤跡存儲：放在審計蹤跡中的數據將受到保護，以避免未授權的刪除或修改。FAU_STG.4 防止審計數據丟失：規定當審計蹤跡溢滿時

28、的行動。O.SECFUNPP示例“包過濾防火墻安全技術要求”（GB 18019-99）“應用級防火墻安全技術要求”（GB18020-99）“路由器安全技術要求”（GB18018-99）“電信智能卡安全技術要求”“網上證券委托系統安全技術要求”通用準則CCCC優點：CC代表了先進的信息安全評估標準的發展方向，基于CC的IT安全測評認證正在逐漸為更多的國家所采納，CC的互認可協定簽署國也在不斷增多。根據IT安全領域內CC認可協議，在協議簽署國范圍內，在某個國家進行的基于CC的安全評估將在其他國家內得到承認。截止2003年3月，加入該協議的國家共有十五個：澳大利亞、新西蘭、加拿大、芬蘭、法國、德國、

29、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國及美國。 到2001年底，所有已經經過TCSEC評估的產品，其評估結果或者過時，或者轉換為CC評估等級。CC缺點：CC應用的局限性，比如該標準在開篇便強調其不涉及五個方面的內容：行政性管理安全措施、物理安全、評估方法學、認可過程、對密碼算法固有質量的評價，而這些被CC忽略的內容恰恰是信息安全保障工作中需要特別予以注意的重要環節。CC還有一個明顯的缺陷，即它沒有數學模型的支持，即理論基礎不足。TCSEC還有BLP模型的支持。其安全功能可以得到完善的解釋，安全功能的實現機制便有章可循。對于增加的完整性、可用性、不可否認性等要求，只局限于簡單的自然

30、語言描述，不能落實到具體的安全機制上。更無從評價這些安全要求的強度。所以：CC并不是萬能的，它仍然需要與據各個國家的具體要求，與其他安全標準相結合，才能完成對一個信息系統的完整評估。目前得到國際范圍內認可的是ISO/IEC 15408（CC）,我國的GB/T 18336等同采用ISO /IEC 15408。BS7799、ISO17799BS7799歷史沿革1995年，英國制定國家標準BS 7799第一部分：“信息安全管理事務準則”，并提交國際標準組織(ISO)，成為ISO DIS 14980。1998年，英國公布BS 7799第二部分“信息安全管理規范”并成為信息安全管理認證的依據；同年，歐盟

31、于1995年10月公布之“個人資料保護指令，自1998年10月25日起正式生效，要求以適當標準保護個人資料”。2000年，國際標準組織 ISO/IEC JTC SC 27在日本東京10月21日通過BS 7799-1，成為 ISO DIS 17799-1，2000年12月1日正式發布。 目前除英國之外，國際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西已同意使用BS 7799；日本、瑞士、盧森堡表示對BS 7799感興趣；我國的臺灣、香港地區也在推廣該標準。BS 7799(ISO/IEC17799)在歐洲的證書發放量已經超過ISO9001。但是：ISO17799 不是認證標準，

32、目前正在修訂。BS7799-2 是認證標準，作為國際標準目前正在討論。BS7799內容：總則要求各組織建立并運行一套經過驗證的信息安全管理體系（ISMS），用于解決如下問題：資產的保管、組織的風險管理、管理標的和管理辦法、要求達到的安全程度。建立管理框架確立并驗證管理目標和管理辦法時需采取如下步驟：定義信息安全策略定義信息安全管理體系的范圍，包括定義該組織的特征、地點、資產和技術等方面的特征進行合理的風險評估，包括找出資產面臨的威脅、弱點、對組織的沖擊、風險的強弱程度等等根據組織的信息安全策略及所要求的安全程度，決定應加以管理的風險領域選出合理的管理標的和管理辦法，并加以實施；選擇方案時應做到

33、有法可依準備可行性聲明是指在聲明中應對所選擇的管理標的和管理辦法加以驗證，同時對選擇的理由進行驗證，并對第四章中排除的管理辦法進行記錄對上述步驟的合理性應按規定期限定期審核。BS7799部分BS7799-1:1999 信息安全管理實施細則是組織建立并實施信息安全管理體系的一個指導性的準則， 主要為組織制定其信息安全策略和進行有效的信息安全控制提供的一個大眾化的最佳慣例。BS7799-2:2002 信息安全管理體系規范規定了建立、實施和文件化信息安全管理體系(ISMS)的要求，規定了根據獨立組織的需要應實施安全控制的要求。即本標準適用以下場合: 組織按照本標準要求建立并實施信息安全管理體系，進行

34、有效的信息安全風險管理，確保商務可持續性發展； 作為尋求信息安全管理體系第三方認證的標準。 BS7799標準第二部分明確提出安全控制要求，標準第一部分對應給出了通用的控制方法（措施），因此可以說，標準第一部分為第二部分的具體實施提供了指南。 BS 7799 Part 2Corporate GovernancePLANDOACTCHECK風險管理處理系統控制內部審計功能ISO/IEC 17799十大管理要項 BS 7799-2:2002十大管理要項 BS 7799-2:2002 1、 安全方針：為信息安全提供管理指導和支持；2、 組織安全：建立信息安全架構，保證組織的內部管理；被第三方訪問或外協

35、時，保障組織的信息安全；3、 資產的歸類與控制：明確資產責任，保持對組織資產的適當保護；將信息進行歸類，確保信息資產受到適當程度的保護；4、人員安全：在工作說明和資源方面，減少因人為錯誤、盜竊、欺詐和設施誤用造成的風險；加強用戶培訓，確保用戶清楚知道信息安全的危險性和相關事項，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應程序，減少由安全事故和故障造成的損失，監控安全事件并從這種事件中吸取教訓；5、實物與環境安全：確定安全區域，防止非授權訪問、破壞、干擾商務場所和信息；通過保障設備安全，防止資產的丟失、破壞、資產危害及商務活動的中斷；采用通用的控制方式，防止信息或信息處理設

36、施損壞或失竊；十大管理要項 BS 7799-2:2002 6、通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統策劃與驗收，減少系統失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內務管理以保持信息處理和通訊服務的完整性和有效性通過；加強網絡管理確保網絡中的信息安全及其輔助設施受到保護；通過保護媒體處理的安全，防止資產損壞和商務活動的中斷；加強信息和軟件的交換的管理，防止組織間在交換信息時發生丟失、更改和誤用；7、訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統；明確用戶職責，防止非授權的用戶訪問；加強網絡訪問控制，

37、保護網絡服務程序；加強操作系統訪問控制，防止非授權的計算機訪問；加強應用訪問控制，防止非授權訪問系統中的信息；通過監控系統的訪問與使用，監測非授權行為；在移動式計算和電傳工作方面，確保使用移動式計算和電傳工作設施的信息安全；8、系統開發與維護：明確系統安全要求，確保安全性已構成信息系統的一部份；加強應用系統的安全，防止應用系統用戶數據的丟失、被修改或誤用；加強密碼技術控制，保護信息的保密性、可靠性或完整性；加強系統文件的安全，確保IT方案及其支持活動以安全的方式進行；加強開發和支持過程的安全，確保應用系統軟件和信息的安全； 9、商務連續性管理：防止商務活動的中斷及保護關鍵商務過程不受重大失誤或

38、災難事故的影響；10、符合：符合法律法規要求，避免刑法、民法、有關法令法規或合同約定事宜及其他安全要求的規定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執行；系統審核考慮因素，使效果最大化，并使系統審核過程的影響最小化。 BS7799與CC的比較BS 7799完全從管理角度制定，并不涉及具體的安全技術，實施不復雜，主要是告訴管理者一些安全管理的注意事項和安全制度，例如磁盤文件交換和處理的安全規定、設備的安全配置管理、工作區進出的控制等一些很容易理解的問題。這些管理規定一般的單位都可以制定，但要想達到BS 7799的全面性則需要一番努力。同BS 7799相比，信息技術安

39、全性評估準則(CC)和美國國防部可信計算機評估準則(TCSEC)等更側重于對系統和產品的技術指標的評估；系統安全工程能力成熟模型(SSE-CMM)更側重于對安全產品開發、安全系統集成等安全工程過程的管理。在對信息系統日常安全管理方面，BS 7799的地位是其他標準無法取代的。總的來說，BS7799涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續提高的信息安全管理環境。推廣信息安全管理標準的關鍵在重視程度和制度落實方面。它是目前可以用來達到一定預防標準的最好的指導標準。制訂信息安全方針方針文檔定義ISMS范圍進行風險評估實施風險管理選擇控制目標措施準備適用聲明第一步：第二步

40、：第三步：第四步：第五步：第六步：ISMS范圍評估報告文件文件文件文件文件文件文檔化文檔化聲明文件建立ISMS框架 第一步 制訂信息安全方針BS7799-2對ISMS的要求：組織應定義信息安全方針。信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標是對公司的信息安全進行全面管理。信息安全方針是由組織的最高管理者正式制訂和發布的該組織的信息安全的目標和方向，用于指導信息安全管理體系的建立和實施過程。要經最高管理者批準和發布體現了最高管理者對信息安全的承諾與支持要傳達給組織內所有的員工要定期和適時進行評審目的和意義為組織提供了關注的焦點，指明了方向，確定了目標；確保信

41、息安全管理體系被充分理解和貫徹實施；統領整個信息安全管理體系。建立ISMS框架 第一步 制訂信息安全方針信息安全方針的內容包括但不限于：組織對信息安全的定義信息安全總體目標和范圍最高管理者對信息安全的承諾與支持的聲明符合相關標準、法律法規、和其它要求的聲明對信息安全管理的總體責任和具體責任的定義相關支持文件注意事項 簡單明了 易于理解 可實施 避免太具體建立ISMS框架 第二步 確定ISMS范圍BS7799-2對ISMS的要求：組織應定義信息安全管理體系的范圍，范圍的邊界應依據組織的結構特征、地域特征、資產和技術特點來確定。可以根據組織的實際情況，將組織的一部分定義為信息安全管理范圍，也可以將

42、組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。ISMS范圍文件 文件是否明白地描述了信息安全管理體系的范圍 范圍的邊界和接口是否已清楚定義建立ISMS框架 第三步 風險評估BS7799-2對ISMS的要求：組織應進行適當的風險評估，風險評估應識別資產所面對的威脅、脆弱性、以及對組織的潛在影響，并確定風險的等級。是否執行了正式的和文件化的風險評估？是否經過一定數量的員工驗證其正確性？風險評估是否識別了資產的威脅、脆弱性和對組織的潛在影響？風險評估是否定期和適時進行？建立ISMS框架第四步 風險管理BS7799-2對ISMS的要求：組織應依據信息安全方針和組織要求的安全

43、保證程度來確定需要管理的信息安全風險。根據風險評估的結果，選擇風險控制方法，將組織面臨的風險控制在可以接受的范圍之內。是否定義了組織的風險管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？建立ISMS框架第五步 選擇控制目標和控制措施BS7799-2對ISMS的要求：組織應選擇適當的控制措施和控制目標來滿足風險管理的要求，并證明選擇結果的正確性。選擇控制措施的示意圖選擇的控制措施是否建立在風險評估的結果之上？是否能從風險評估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應了組織的風險管理戰略？針對每一種

44、風險，控制措施都不是唯一的，要根據實際情況進行選擇建立ISMS框架安全問題安全需求控制目標控制措施解決指出定義被滿足第五步 選擇控制目標和控制措施BS7799-2對ISMS的要求：未選擇某項控制措施的原因風險原因- 沒有識別出相關的風險財務原因- 財務預算的限制環境原因- 安全設備、氣候、空間等技術- 某些控制措施在技術上不可行文化- 社會環境的限制時間- 某些要求目前無法實施其它- ？建立ISMS框架第六步 準備適用聲明BS7799-2對ISMS的要求：組織應準備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。在選擇了控制目標和控制措施后，對實施某項控制目標、措施和不實施

45、某項控制目標、措施進行記錄，并對原因進行解釋的文件。建立ISMS框架未來實現公司ISMS適用聲明風險評估如何貫穿于安全管理BS 7799-2:2002設計 ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS計劃DOCHECKACTISMS定義 ISMS 的執行范圍和政策執行風險評估對風險評估處理作出決定 選擇控制Design the ISMS執行和使用 ISMSMonitoring and review the ISMSImprove and update the ISM

46、SPLAN行動CHECKACTISMS執行風險評估處理計劃執行控制執行意識/培訓將 ISMS 放到 操作使用中風險評估如何貫穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMS監控和檢查ISMSImprove and update the ISMSPLANDO檢查ACTISMS執行監控進程執行定期檢查 檢查剩余風險和可接受的風險內部審計風險評估如何貫穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the IS

47、MS改進和升級ISMSPLANDOCHECKACTISMS實現改進矯正性和預防性的活動傳達結果 檢查改進達到的目標風險評估如何貫穿于安全管理BS 7799-2:2002ISMS 資產Business processesInformation PeopleServicesICTPhysical locationApplications asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 1

48、7799 7.1.1 Inventory of assetsISMS 風險Asset threats &vulnerabilitiesAsset value & utility asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalRisk treatmentRisks & impactsRisk treatment風險等級不可容忍的風險可容忍的風險很少發生業務暴露持續的業務暴露對業務影響的因果關系較小對

49、業務產生災難性影響的因果關系業務影響低 (可忽略, 無關緊要,為不足 道, 無須重視) 中低(值得注意, 相當可觀但 不是主要的) 中 (重要, 主要)中高 (嚴重危險, 潛在災難)高 (破壞性的, 總體失靈,完全停頓)保密性要求 (C)資產價值分級描述1 低可公開非敏感信息和信息處理設施及系統資源，可以公開.。2 中僅供內部使用或限制使用非敏感的信息僅限內部使用，即不能公開或限制信息或信息處理設施及系統資源可在組織內部根據業務需要的約束來使用。3 高秘密或絕密敏感的信息或信息處理設施和系統資源，只能根據需要（need-to-know ）或嚴格依據工作需要。資產分級 完整性要求 (I)資產價值

50、分級描述1 低低完整性對信息的非授權的損害或更改不會危及業務應用或對業務的影響可以忽略。2 中中完整性對信息的非授權的損害或更改不會危及業務應用，但是值得注意以及對業務的影響是重要的。3 高高或非常高完整性對信息的非授權的損害或更改危及業務應用，且對業務的影響是嚴重的并會導致業務應用的重大或全局失敗。資產分級可用性要求 (A)資產價值分級描述1 - 低低可用性資產 (信息,信息系統 系統資源/網絡服務,人員等.) 可以容忍多于一天的不能使用。2 中中可用性資產 (信息,信息系統 系統資源/網絡服務,人員等.) 可以容忍半天到一天的不能使用。3 高高可用性資產 (信息,信息系統 系統資源/網絡服

51、務,人員等.) 可以容忍幾個小時的不能使用。4 非常高非常高的可用性 資產 (信息,信息系統 系統資源/網絡服務,人員等.) 必須保證每年每周24x7 工作。資產分級威脅和脆弱性估計威脅應該考慮它們出現的可能性，以及可能利用弱點/脆弱性可能性。實例不太可能發生的機會小于1/10可能出現的機會小于 25%很可能/大概機會 50:50高可能發生的機會多于 75%非常可能不發生的機會小于1/10絕對無疑100%會發生風險控制Risk thresholdRisk level風險控制Continual Improvement7.5信息系統安全保障管理級別等級能力描述SAM-CML 1組織內部能夠依據經驗

52、進行部分的安全管理工作 SAM-CML 2組織能夠建立完善的管理體系來規范安全管理 SAM-CML 3組織能夠采取有效措施來敦促所制定管理體系的落實和實施，從而能確保管理體系有效實施 SAM-CML 4組織所制定的管理體系不僅能夠有效實施，而且還能夠對實施的管理措施的效果進行測試，盡量采用量化的數據來分析和驗證所采用的管理措施 SAM-CML 5組織能夠對管理體系進行持續改進，使管理體系始終對組織安全保障體系的運行發揮最大效應 幾點認識風險評估是落實等級保護的抓手。面向對象和面向手段不能分割。IT驅動和業務驅動同樣需要。風險評估是出發點等級劃分是判斷點安全控制是落腳點高危漏洞高危漏洞正確的安全

53、觀念 全網安全動態安全相對安全包括全網安全在政府網站系統中，綜合考慮技術、管理、規范、行業法規等各個環節和因素，在網絡運行的各個階段，分析網絡的參考點和安全的各個層次，采取適當的安全技術和安全管理手段，從整個網絡的安全需求出發，構建全方位多層次的安全架構簡單而言，應在積極利用這個安全按技術和產品的同時，建立配套的管理制度，兩者相輔相成，實施于政府網站系統的各個階段，使人、業務過程和安全技術高度協調 動態安全安全不是一成不變的或者靜態的，而是“動態”的安全網絡結構會隨著業務需求的變化而變化，計算機技術不停地改進，攻擊手段也越來越高超；而當網絡發生變化，或者出現新的安全技術和攻擊手段，或者在安全事

54、件發生之后，安全體系必須能夠包容新的情況，及時做出聯動反應，把安全風險維持在所允許的范圍之內安全體系應該采用“以動制動”的機制如何達到動態安全采用自頂向下的方法，將整個網絡系統劃分為子系統，對單個系統直至系統中的部件進行詳盡的風險分析定期或不定期對網絡進行安全檢查，檢查時應按上次評估的結果及管理階層所能接受的風險程度，以不同深度進行依據已有技術修補發現的新漏洞將評估和檢查作為是必需的日常工作 相對安全 對于不同性質的政府網站，對于安全的要求是不同的。不能將安全問題絕對化，不是“越安全越好”安全保護是有成本的，目的并在于讓系統毫無縫隙、滴水不漏，而是讓非法用戶覺得攻擊此系統的代價遠比他能獲得的利

55、益高，這樣的絕大部分非法用戶就不愿意做這種事情在設計系統安全措施的時候，必須根據系統的實際應用情況，綜合考慮安全、成本、效率三者的權重，并求得適度的平衡，實現“恰到好處”的安全網絡安全主要威脅來源網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲典型的網絡安全威脅 威 脅 描 述授權侵犯為某一特定目的的授權，使用一個系統的人卻將該系統用作其他未授權的目的旁路控制攻擊者發掘系統的缺陷或安全脆弱性拒絕服務對信息或其它資源的合法訪問被無條件的拒絕或推遲竊聽信息從被監視的通信過程中泄露出去電磁射頻截獲信息從電子機電設備所發出的無線射頻或其它電磁場輻

56、射中被提取非法使用資源被未授權人或以未授權方式使用人員疏忽授權人為了利益或粗心將信息泄露給未授權人信息泄漏信息被泄露或暴漏給某個未授權的實體完整性破壞數據的一致性通過對數據進行未授權的創建、修改或破壞而受到破壞截獲修改某一通信數據項在傳輸過程中被改變、刪除或替代假冒一個實體假裝成另一個不同的實體典型的網絡安全威脅（cont.） 威 脅 描 述 媒體清理信息被從廢棄的或打印過的媒體中獲得 物理侵入入侵者通過繞過物理控制而獲得對系統的訪問 重放出于非法目的而重新發送截獲的合法通信數據項的拷貝 否認參與某次通信交換的一方，事后錯誤的否認曾經發生過此次交換 資源耗盡某一資源被故意超負荷使用，導致其他用

57、戶服務被中斷 服務欺騙某一偽系統或系統部件欺騙合法的用戶，或系統自愿的放棄敏感信息 竊取某一安全攸關的物品（令牌或身份卡）被盜業務流分析通過對通信業務流模式進行觀察（有，無，數量，方向，頻率等），而造成信息被泄露給未授權的實體 陷門將某一“特征”設立于某個系統或系統部件中，使得在提供特定的輸入數據時，允許違反安全策略特洛伊木馬含有覺察不出或無害程序段的軟件，當它被運行時，會損害用戶的安全信息安全、計算機安全和網絡安全的關系信息、計算機和網絡是三位一體、不可分割的整體。信息的采集、加工、存儲是以計算機為載體的，而信息的共享、傳輸、發布則依賴于網絡系統。如果能夠保障并實現網絡信息的安全，就可以保障

58、和實現計算機系統的安全和信息安全。因此，網絡信息安全的內容也就包含了計算機安全和信息安全的內容。信息安全均指網絡信息安全。 不安全因素網絡信息系統的脆弱性1)網絡的開放性。2)軟件系統的自身缺陷。 1999年安全應急響應小組論壇FIRST的專家指出，每千行程序中至少有一個缺陷。3）黑客攻擊。 Microsoft通用操作系統的安全性估計 操作系統 推出年份代碼行數（萬） 估計缺陷數（萬）Windows 3.1 1992年 300 1.5 3Windows 95 1995年 500 2.5 5Windows NT4.0 1996年 1650 8.25 15.5Windows 2000 2000年3

59、5005000 17.5 35對安全的攻擊高風險漏洞統計(按操作系統)網絡安全漏洞大量存在Windows十大安全隱患Web服務器和服務工作站服務Windows遠程訪問服務微軟SQL服務器Windows認證Web瀏覽器文件共享LSAS Exposures電子郵件客戶端 即時信息Unix十大安全隱患BIND域名系統Web服務器認證版本控制系統電子郵件傳輸服務簡單網絡管理協議開放安全連接通訊層企業服務NIS/NFS 配置不當數據庫內核來源：SANS研究報告高風險漏洞統計(按應用程序)漏洞的概念三、系統漏洞漏洞的類型（1）管理漏洞-如兩臺服務器用同一個用戶/密碼，則入侵了A服務器后，B服務器也不能幸免

60、。 （2）軟件漏洞-很多程序只要接收到一些異常或者超長的數據和參數，就會導致緩沖區溢出。 （3）結構漏洞-比如在某個重要網段由于交換機、集線器設置不合理，造成黑客可以監聽網絡通信流的數據；又如防火墻等安全產品部署不合理，有關安全機制不能發揮作用，麻痹技術管理人員而釀成黑客入侵事故。 （4）信任漏洞-比如本系統過分信任某個外來合作伙伴的機器，一旦這臺合作伙伴的機器被黑客入侵，則本系統的安全受嚴重威脅。 20個最危險的安全漏洞2002年5月發布（）三類安全漏洞：1）影響所有系統的七個漏洞（G1G7）2）影響Windows系統的六個漏洞（W1W6)3）影響Unix系統的七個漏洞（U1U7）G1-操作