平安認證和評估20.1風險管理20.2平安成熟度模型20.3威脅20.4平安評估方法20.5平安評估準那么20.6本章小結習題針對內部和外部的攻擊所采用的平安體系結構的能力需要認證和評估。技術在不斷變化，新的應用正在開發，新的平臺正在加到非軍事區〔DMZ〕，額外的端口正在加進防火墻。由于競爭，很多應用在市場的生存時間越來越短，軟件開發生命周期中的測試和質量保證正在忽略。很多大的組織甚至沒有一個完全的目錄，將計算機、網絡設備以及在網絡上的各個應用編制進去，而只是將這些組件單獨地進行配置。由于沒有將平安測試作為軟件質量保證的一個組成局部，應用的漏洞〔脆弱性〕不斷發生。平安評估認證平安體系結構是否能滿足平安策略和最好的經營業務實際。一個典型的平安評估問題是它經常沒有用于對經營業務的影響的評析。這里引入一個概念，稱為平安成熟度模型〔SecurityMaturityModel,SMM〕,用來適當地測量一個給定的準那么，該準那么基于在工業界最正確的經營業務實際，且能將其反響到經營業務。它還提供一個改進的方法，包括將缺乏之處列成清單。平安成熟度模型可測量企業平安體系結構的3個不同局部：方案、技術與配置、操作運行過程。從經營業務的觀點看，要求平安解決方案的性能價格比最好，即基于特定產業的最正確實際。在任何系統中的平安控制應預防經營業務的風險。然而，決定哪些平安控制是適宜的以及性能價格比好的這一過程經常是復雜的，有時甚至是主觀的。平安風險分析的最主要功能是將這個過程置于更為客觀的根底上。風險管理是識別、評估和減少風險的過程。一個組織有很多個體負責對給定應用接受給定風險。這些個體包括總經理、CFO〔ChiefFinancialOfficer,首席財務執行官〕、經營業務部門的負責人，以及信息所有者。一個組織的總的風險依賴于下面一些屬性：資產的質量〔喪失資產的效應〕和數量〔錢〕的價值；基于攻擊的威脅可能性；假設威脅實現，對經營業務的影響。20.1風險管理將資產價值和代價相聯系或決定投資回報〔ReturnOnInvestment,ROI〕的能力經常是困難的。相反，可以確定保護機制的代價。將國家秘密的信息作為極敏感的信息，因為對這些信息的錯誤處理，其結果將危害到國家秘密。比之于商業組織，政府愿意花更多的費用來保護信息。直接的定量花費包括更換損壞的設備、恢復后備和硬盤的費用等。由于事故而引起的宕機時間是可測量的，很多金融貿易系統因此而遭受大量經濟損失。生產的降低，例如E-mail效勞器宕機，很多組織的工作將停止。與定量的代價相比，質量的代價對組織的破壞更大。假設用來銷售的Web站點被黑客破壞了，有可能所有客戶的信用卡號被偷，這將嚴重地影響這個站點的信譽。也有可能在短時期內，經營業務停止。風險評估對漏洞和威脅的可能性進行檢查，并考慮事故造成的可能影響。威脅的水平決定于攻擊者的動機、知識和能力。大局部內部人員不大可能使用黑客工具，然而十分熟悉網上的應用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等。漏洞水平和保護組織資產的平安體系結構的能力正相反。如果平安控制弱，那么暴露的水平高，隨之發生事故災難的機率也大。對數據、資源的漏洞及其利用的可能性取決于以下屬性，且很難預測：資產的價值、對對手的吸引力、技術的變更、網絡和處理器的速度、軟件的缺陷等。描述威脅和漏洞最好的方法是根據對經營業務的影響描述。此外，對特殊風險的評估影響還和不確定性相聯系，也依賴于暴露的水平。所有這些因素對正確地預測具有很大的不確定性，因此平安的方案和認證是十分困難的。圖20.1表示了風險評估的方法。圖20.1風險評估方法成熟度模型可用來測量組織的解決方案〔軟件、硬件和系統〕的能力和效力。因此它可用于平安評估，以測量針對業界最正確實際的平安體系結構。可以就以下3個方面進行分析：方案、技術和配置、操作運行過程。20.2平安成熟度模型平安方案包括平安策略、標準、指南以及平安需求。技術和配置的成熟度水平根據選擇的特定產品、準那么，在組織內的安置以及產品配置而定。操作運行過程包括變更管理、報警和監控，以及平安教育方面。美國CarnegieMellon大學的軟件工程研究所〔SoftwareEngineeringInsititue,SEI〕制定了系統平安工程能力成熟度模型〔SystemSecurityEngineeringCapabilityMaturityModel,SSE-CMM〕。它將平安成熟度能力級別分成4級，以適應不同級別的平安體系結構，如表20-1所示。表20-1平安成熟度能力級別安全成熟度能力級別說明無效力（50%）總的安全體系結構沒有遵從企業安全策略、法規，以及最佳經營實際。需要改進（65%）安全體系結構中無效力的應少于35%合適（85%）企業的安全計劃、布署、配置和過程控制使安全體系結構能滿足總的目標。極好（超過100%）安全體系結構超過了總的目標及需求。1.平安方案一個好的平安體系結構必須建立在一個鞏固的平安方案根底之上。方案的文本必須清晰、完整。很多組織的平安策略、標準和指南存在以下一些問題：〔1〕內容太舊，已過時，不適用于當前的應用。平安策略應每年更新，以適應技術的變化。〔2〕文本有很多用戶，如開發者、風險管理者、審計人員，所用語言又適用于多種解釋。如果陳述太抽象，那么實施時將無效力。〔3〕表達不夠詳細。很多組織的平安策略觀念只是一個口令管理。組織平安策略文本中通常缺少信息的等級分類以及訪問控制方案文本。〔4〕用戶需要知道有關平安的文本。如果用戶不能方便地獲得和閱讀文本，就會無意地犯規，然而難以追查責任。2.技術和配置當今，市場上有很多平安廠商和平安產品，但是沒有一個產品能提供完全的平安解決方案。諸如防火墻、IDS、VPN、鑒別效勞器等產品都只是解決有限的問題。平安專業人員應能適當地選擇產品，正確地將它們安置在根底設施中，適宜地配置和支持。然而，他們經常會不正確地采購平安產品，例如，有人認為只要在需要保護的有價值的資產前放置一個防火墻，就什么問題都能解決。從網絡的觀點看局部正確，但防火墻不提供給用和平臺的保護，也不提供有用的入侵檢測信息。平安產品的適宜配置也是一個挑戰。有時產品的默認配置是拒絕所有訪問，只有清晰的允許規那么能通過通信。平安產品配置的最大挑戰是需要有熟練的專業人員來配置和管理。3.運行過程運行過程包括平安組件需要的必要支持和維護、變更管理、經營業務的連續性、用戶平安意識培訓、平安管理，以及平安報警與監控。平安根底設施組件的支持和維護類似于主機和應用效勞器所需的支持。允許的變更管理要有能退回到目前工作版本的設施，并且要和經營業務連續性方案協調一致。平安設備會產生一些不規那么的日志信息，這對管理員來說是復雜的，一旦配置有過失，就會阻止訪問網絡、應用或平臺。對各種人員的培訓是任何平安體系結構成功的關鍵。最后，識別平安事故的能力且按照一個逐步升級的過程來恢復是最重要的。技術變化十分迅速，對從事于平安事業的人員增加了很多困難，因此選擇高水平的人員從事該項工作是必須的。特別是，從事平安培訓的專業人員是有效信息平安程序的關鍵，要使用各種有效媒體進行平安培訓課程。每個企業員工都要接受平安培訓，要對不同的人員〔例如平安管理員、最終用戶、數據擁有者〕有針對性地進行培訓。在第2章中講到，風險是構成平安根底的根本觀念。風險是喪失需要保護的資產的可能性。測定風險的兩個組成局部是漏洞和威脅。漏洞是攻擊可能的途徑，威脅是一個可能破壞信息系統平安環境的動作或事件。威脅包含3個組成局部：〔1〕目標，可能受到攻擊的方面。〔2〕代理，發出威脅的人或組織。〔3〕事件，做出威脅的動作類型。作為威脅的代理，必須要有訪問目標的能力，有關于目標的信息類型和級別的知識，還要有對目標發出威脅的理由。20.3威脅本章從平安的驗證和評估出發，具體分析各種威脅源、威脅是如何得逞的以及針對這些威脅的對策。

弄清楚威脅的來源是減少威脅得逞可能性的關鍵，下面陳述各種主要的威脅源。1.人為過失和設計缺陷最大的威脅來源是操作中人為的疏忽行為。據一些統計，造成信息系統在經費和生產力方面損失的一半是由于人為的過失，另一半那么是有意的、惡意的行為。這些人為過失包括不適當地安裝和管理設備、軟件，不小心地刪除文件，升級錯誤的文件，將不正確的信息放入文件，無視口令更換或做硬盤后備等行為，從而引起信息的喪失、系統的中斷等事故。20.3.1威脅源上述事故由于設計的缺陷，沒有能防止很多普遍的人為過失引起的信息喪失或系統故障。設計的缺陷還會引起各種漏洞的暴露。2.內部人員很多信息保護設施的侵犯是由一些試圖進行非授權行動或越權行動的可信人員執行的。其動機有些是出于好奇，有些是惡意的，有些那么是為了獲利。內部人員的入侵行為包括復制、竊取或破壞信息，然而這些行為又難以檢測。這些個體持有許可或其他的授權，或者通過那些毋需專門授權的行為使網絡運行失效或侵犯保護設施。根據統計，內部人員的侵犯占所有嚴重平安侵犯事件的70%~80%。3.臨時員工外部的參謀、合同工、臨時工應和正式員工一樣，必須有同樣的根本信息平安要求和信息平安責任，但還需有一些附加的限制。例如，和正式員工一樣，需簽一個信息平安遵守合同，接受相應的平安意識培訓。除此之外，臨時員工還必須有一個專門的協議，只允許訪問那些執行其委派的任務所需的信息和系統。4.自然災害和環境危害環境的要求，諸如最高溫度和最低溫度、最高濕度、風暴、龍卷風、照明、為水所淹、雨、火災以及地震等，都能破壞主要的信息設施及其后備系統。應制定災難恢復方案，預防和處理這些災害。5.黑客和其他入侵者來自于非授權的黑客，為了獲得錢財、產業秘密或純粹是破壞系統的入侵攻擊行為近年來呈上升趨勢。這些群體經常雇傭一些攻擊高手并進行聳人聽聞的報導。這些群體包括青少年黑客、專業犯罪者、工業間諜或外國智能代理等。6.病毒和其他惡意軟件病毒、蠕蟲、特洛伊木馬以及其他惡意軟件通過磁盤、預包裝的軟件、電子郵件和連接到其他網絡進入網絡。這些危害也可能是由于人為過失、內部人員或入侵者引起的。采取對策以防止各種威脅情況，不僅需要了解威脅的來源，還應知道這些威脅是怎樣侵襲平安體系結構的。下面列舉各種情況。1.社會工程〔系統管理過程〕社會工程攻擊假冒授權的員工，采用偽裝的方法或電子通信的方法，具體情況如下：①攻擊者發出一封電子郵件，聲稱是系統的根，通知用戶改變口令以到達暴露用戶口令的目的。②攻擊者打給系統管理員，聲稱自己是企業經理，喪失了modem池的號碼、忘記了口令。20.3.2威脅情況和對策③謊說是計算機維修人員，被批準進入機房，并訪問系統控制臺。④含有機密信息的固定存儲介質〔硬盤、軟盤〕被丟棄或不適宜地標號，被非授權者假裝搜集廢物獲得。所有上面4種威脅情況都可以使攻擊得逞。社會工程的保護措施大多是非技術的方法。下面列出的每一種保護措施可防御上面提到的攻擊：〔1〕培訓所有企業用戶的平安意識。〔2〕培訓所有系統管理員的平安意識，并有完善的過程、處理、報告文本。〔3〕對允許外訪人員進入嚴格限制區域的負責人進行平安意識培訓。2.電子竊聽Internet協議集在設計時并未考慮平安。TELNET、FTP、SMTP和其他基于TCP/IP的應用易于從被動的線接頭獲取。用戶鑒別信息〔如用戶名和口令〕易于從網絡中探測到，并偽裝成授權員工使用。假設外部人員對企業設施獲得物理訪問，那么可以將帶有無線modem的手提計算機接到局域網或集線器上，所有通過局域網或集線器的數據易于被任何威脅者取得。此外，假設外部人員能電子訪問帶有modem效勞器進程的工作站，就可以將其作為進入企業網絡的入口。任何在Internet傳輸的數據對泄露威脅都是漏洞。所有上述4種威脅都有可能使這些攻擊得逞。防止竊聽的保護措施包括鑒別和加密。使用雙因子鑒別提供強的鑒別，典型的做法是授權用戶持有一個編碼信息的物理標記再加上一個用戶個人標識號〔PIN〕或口令。保護傳輸中的口令和ID，可以采用加密的措施。鏈路加密〔SSL和IPv6〕保護直接物理連接或邏輯通信通路連接的兩個系統之間傳輸的信息。應用加密〔平安Telnet和FTP、S/MIME〕提供報文保護，在源端加密，只在目的地解密。數字簽名可認證發送者的鑒別信息，如伴隨用哈希算法可保護報文的完整性。3.軟件缺陷當前兩個最大的軟件缺陷是緩沖器溢出和拒絕效勞攻擊。當寫入太多的數據時，就會發生緩沖器溢出，通常是一串字符寫入固定長度的緩沖器。對數據緩沖器的輸入沒有足夠的邊界檢查，使得輸入超過緩沖器的容量。一般情況下，系統崩潰是由于程序試圖訪問一個非法地址。然而，也有可能用一個數據串來代替生成可檢測的過失，從而造成攻擊者希望的特定系統的漏洞。CarnegieMellon軟件工程研究所的計算機應急響應組〔ComputerEmergenoyResponseTeam，CERT〕有196個有關緩沖器溢出的文檔報告，如Microsoft的終端效勞器OutlookExpress,Internet信息效勞器〔IIS〕，還有一些眾人熟知的有關網絡效勞的，如網絡定時協議〔NetworkTimeProtocol，NTP〕、Sendmail、BIND、SSHv1.37、Kerberos等。一個拒絕效勞攻擊使得目標系統響應變慢，以致完全不可用。有很多原因可導致這種結果：①編程錯誤以致使用100%的CPU時間。②由于內存的漏洞使系統的內存使用連續增加。③Web請求或遠程過程調用〔RPC〕中發生的畸形數據請求。④大的分組請求，如大量電子郵件地址請求和Internet控制報文協議〔InternetControlMessageProtocol，ICMP〕請求。⑤不停的網絡通信UDP和ICMP造成播送風暴和網絡淹沒。⑥偽造的路由信息或無響應的連接請求。⑦布線、電源、路由器、平臺或應用的錯誤配置。CERT有318個文本是關于對各種應用和平臺操作系統的拒絕效勞攻擊。在大多數情況下，由于攻擊者已經損壞了執行攻擊的機器，使得要揭發這些個體實施的攻擊很困難。4.信息轉移〔主機之間的信任關系〕信任轉移是把信任關系委托給可信的中介。一旦外部人員破壞了中介信任的機器，其他的主機或效勞器也易于破壞。這樣的攻擊例子如下：①誤用一個.rhosts文件使受損的機器不需口令就能攻擊任何在.rhosts文件中的機器。②假設外面的用戶偽裝成一個網絡操作系統用戶或效勞器，那么所有信任該特定用戶或效勞器的其他效勞器也易于受破壞。③一個通過網絡文件系統〔NetworkFileSystem,NFS〕由各工作站共享文件的網絡，假設其中一個客戶工作站受損，一個攻擊者能在文件系統效勞器上生成可執行的特權，那么攻擊者能如同正常用戶一樣登錄效勞器并執行特權命令。信任轉移的保護措施主要是非技術方法。大局部UNIX環境〔非DCE〕不提供信任轉移的自動機制。因此系統管理員在映射主機之間的信任關系時必須特別小心。5.數據驅動攻擊〔惡意軟件〕數據驅動攻擊是由嵌在數據文件格式中的惡意軟件引起的。這些數據文件格式如PS編程語言〔postscript〕文件、在文本中的MSWord根本命令、shell命令表〔shellscript〕,下載的病毒或惡意程序。數據驅動攻擊的例子如下：①一個攻擊者發送一個帶有文件操作的postscript文件，將攻擊者的主機標識加到.rhosts文件；或者翻開一個帶有Word根本命令的MSWord文本，能夠訪問Windows動態鏈接庫(DynamicLinkLibrary，DLL)內的任何功能，包括Winsock.dll。②一個攻擊者發送一個postscript文件，該文件常駐在基于postscript的效勞器中，就能將每一個發送和接收的拷貝發送給攻擊者。③一個用戶從網上下載shellscript或惡意軟件，將受害者的口令文件郵寄給攻擊者，并刪除所有受害者的文件。④利用HTTP瀏覽器包裝諸如特洛伊木馬等惡意軟件。6.拒絕效勞DoS攻擊并不利用軟件的缺陷，而是利用實施特定協議的缺陷。這些攻擊會中斷計算平臺和網絡設備的運行，使特定的網絡端口、應用程序〔如SMTP代理〕和操作系統內核超載。這些攻擊的例子有TCPSYN淹沒、ICMP炸彈、電子郵件垃圾、Web欺騙、域名效勞〔DomainNameSystem,DNS〕攔劫等。保持計算平臺和網絡設備的及時更新能防止大多數這些攻擊。防止有一些攻擊需要諸如網絡防火墻這類網絡過濾系統。7.DNS欺騙域名系統〔DNS〕是一個分布式數據庫，用于TCP/IP應用中，映射主機名和IP地址，以及提供電子郵件路由信息。如果Internet地址值到域名的映射綁定過程被破壞，域名就不再是可信的。這些易破壞的點是訛用的發送者、訛用的接收者、訛用的中介，以及效勞提供者的攻擊。例如，假設一個攻擊者擁有自己的DNS效勞器，或者破壞一個DNS效勞器，并加一個含有受害者.rhosts文件的主機關系，攻擊者就很容易登錄和訪問受害者的主機。對DNS攻擊的保護措施包括網絡防火墻和過程方法。網絡防火墻平安機制依靠雙DNS效勞器，一個用于企業網絡的內部，另一個用于外部，即對外公開的局部。這是為了限制攻擊者了解內部網絡主機的IP地址，從而加固內部DNS效勞。Internet工程任務組〔InternetEngineeringTaskForce,IETF〕正致力于標準平安機制工作以保護DNS。所謂反對這些攻擊的過程方法是對關鍵的平安決定不依賴于DNS。8.源路由通常IP路由是動態的，每個路由器決定將數據報發往下面哪一個站。但IP的路由也可事先由發送者來確定，稱源路由。嚴格的源路由依賴于發送者提供確切的通路，IP數據報必須按此通路走。松散的源路由依賴于發送者提供一張最小的IP地址表，數據報必須按該表的規定通過。攻擊者首先使受害者可信主機不工作，假裝該主機的IP地址，然后使用源路由控制路由到攻擊者主機。受害者的目標主機認為分組來自受害者的可信主機。源路由攻擊的保護措施包括網絡防火墻和路由屏幕。路由器和防火墻能攔阻路由分組進入企業網絡。9.內部威脅內部威脅包括前面提到的由內部人員作惡或犯罪的威脅。大多數計算機平安統計說明，70%~80%的計算機欺騙來自內部。這些內部人員通常有反對公司的動機，能對計算機和網絡進行直接物理訪問，以及熟悉資源訪問控制。在應用層的主要威脅是被授權的人員濫用和誤用授權。網絡層的威脅是由于能對LAN進行物理訪問，使內部人員能見到通過網絡的敏感數據。針對內部威脅的防護應運用一些根本的平安概念：責任分開、最小特權、對個體的可審性。責任分開是將關鍵功能分成假設干步，由不同的個體承擔，如財務處理的批準、審計、分接頭布線的批準等。最小特權原那么是限制用戶訪問的資源，只限于工作必需的資源。這些資源的訪問模式可以包括文件訪問〔讀、寫、執行、刪除〕或處理能力〔系統上生成或刪除處理進程的能力〕。個體的可審性是保持各個體對其行為負責。可審性通常是由系統的用戶標識和鑒別以及跟蹤用戶在系統中的行為來完成。當前平安體系結構的能力水平應從平安成熟度模型的3個方面進行評估，即對方案、布局和配置、運行過程的評估。平安評估方法的第1步是發現階段，所有有關平安體系結構適用的文本都必須檢查，包括平安策略、標準、指南，信息等級分類和訪問控制方案，以及應用平安需求。全部根底設施平安設計也須檢查，包括網絡劃分設計，防火墻規那么集，入侵檢測配置；平臺加固標準、網絡和應用效勞器配置。20.4平安評估方法

20.4.1平安評估過程評估的第2步是人工檢查階段，將文本描述的體系結構與實際的結構進行比較，找出其差異。可以采用手工的方法，也可采用自動的方法。使用網絡和平臺發現工具，在網絡內部執行，可表示出所有的網絡通路以及主機操作系統類型和版本號。NetSleuth工具是一個IP可達性分析器，能提供到網絡端口級的情況。QUESO和NMAP這些工具具有對主機全部端口掃描的能力，并能識別設備的類型和軟件版本。評估的第3步是漏洞測試階段。這是一個系統的檢查，以決定平安方法的適用、標識平安的差異、評價現有的和方案的保護措施的有效性。漏洞測試階段又可分成3步。第1步包括網絡、平臺和應用漏洞測試。網絡漏洞測試的目標是從攻擊者的角度檢查系統。可以從一個組織的Intranet內，也可以從Internet的外部，或者一個Extranet合作伙伴進入組織。用于網絡漏洞測試的工具通常是多種商業化的工具〔例如ISS掃描器、Cisco的Netsonar〕以及開放給公共使用的工具〔例如Nessus和NMAP〕。這些測試工具都以相同的方式工作。首先對給出的網絡組件〔例如防火墻、路由器、VPN網關、平臺〕的所有網絡端口進行掃描。一旦檢測到一個開啟的端口，就使用的各種方法攻擊這端口〔例如在MicrosoftIIS5.0、Kerberos、SSHdaemon和SunSolsticeAdminSuiteDaemon的緩沖器溢出〕。大局部商業產品能生成一個詳細的報告，根據攻擊產生的危害，按風險級別列出分類的漏洞。漏洞測試的第2步是平臺掃描，又稱系統掃描。平臺掃描驗證系統配置是否遵守給定的平安策略。此外，它還檢測任何平安漏洞和配置錯誤〔例如不平安的文件保護——注冊和配置目錄〕以及可利用的網絡效勞〔例如HTTP、FTP、DNS、SMTP等〕。一旦平臺的平安加固已經構建，系統掃描將構成根底，它定時地檢測任何重要的變化〔例如主頁更換、Web站點受損〕。漏洞測試的第3步是應用掃描。應用掃描工具不像網絡或平臺工具那樣是自動的，因此，它是一個手動的處理過程。其理念是模仿攻擊者成為授權用戶是如何誤用這應用。平安評估的最后1步是認證平安體系結構的處理過程局部。包括自動的報警設施以及負責配置所有平安體系結構組件〔如防火墻、IDS、VPN等〕的人。平安控制出現的問題最多的是人為的過失。例如，引起防火墻不能平安運行的主要原因是配置的錯誤以及不好的變更管理過程，如下面一些情況：①有一個防火墻管理員在深夜接到一個緊急，聲稱由于網絡的問題使應用出錯。②管理員取消管理集對分組的限制，觀察是否是防火墻阻斷了這個分組。③應用開始正常工作，管理員回去睡覺，但忘了防火墻管理集是翻開著的。④之后企業網絡被入侵，因為防火墻并不執行任何訪問控制。在漏洞分析測試期間，平安體系結構監控和報警設施應在最忙的狀態。測試可以事先通知，允許凈化平安日志、分配適宜的磁盤空間。測試也可以事先不通知，可以測量平安支持人員的反響時間。測量Internet效勞提供者的反響時間是有用的，特別是他們負責管理Internet防火墻的情況。將上面5個漏洞分析測試階段的結果匯總、分析，可得出總的風險分析文本，從5個階段中產生的信息是覆蓋的。很多自開工具廠商有內置的報告產生器，根據可能引起危害的漏洞進行分類。風險分析信息必須應用到經營業務，轉而成為經營業務影響的文本。很多平安評估報告沒有將風險分析反響到對經營業務的影響，平安評估的價值就很小。圖20.2表示從平安成熟度模型3個方面的平安評估階段。圖20.2平安評估階段由于Internet協議TCP/IP的實施沒有任何內置的平安機制，因此大局部基于網絡的應用也是不平安的。網絡平安評估的目標是保證所有可能的網絡平安漏洞是關閉的。多數網絡平安評估是在公共訪問的機器上，從Internet上的一個IP地址來執行的，諸如E-mail效勞器、域名效勞器〔DNS〕、Web效勞器、FTP和VPN網關等。另一種不同的網絡評估實施是給出網絡拓撲、防火墻規那么集和公共可用的效勞器及其類型的清單。20.4.2網絡平安評估網絡評估的第1步是了解網絡的拓撲。假設防火墻在阻斷跟蹤路由分組，這就比較復雜，因為跟蹤路由器是用來繪制網絡拓撲的。第2步是獲取公共訪問機器的名字和IP地址，這是比較容易完成的。只要使用DNS并在ARIN〔AmericanRegistryforInternetNumber〕試注冊所有的公共地址。最后1步是對全部可達主機做端口掃描的處理。端口是用于TCP/IP和UDP網絡中將一個端口標識到一個邏輯連接的術語。端口號標識端口的類型，例如80號端口專用于HTTP通信。假設給定端口有響應，那么將測試所有的漏洞。表20-2列出了各種類型的端口掃描技術。(見書中表20-2)平臺平安評估的目的是認證平臺的配置〔操作系統對漏洞不易受損、文件保護及配置文件有適當的保護〕。認證的惟一方法是在平臺自身上執行一個程序。有時該程序稱為代理，因為集中的管理程序由此開始。假設平臺已經適當加固，那么有一個基準配置。評估的第1局部是認證基準配置、操作系統、網絡效勞〔FTP、rlogin、telnet、SSH等〕沒有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并轉發給Internet上的攻擊者。假設任何文件需打補丁或需要使用效勞包，代理將通知管理員。20.4.3平臺平安估計第2局部測試是認證管理員的口令，大局部機器不允許應用用戶登錄到平臺，對應用的用戶鑒別是在平臺上運行的，而不是平臺本身。此外，還有測試本地口令的強度，如口令長度、口令組成、字典攻擊等。最后跟蹤審計子系統，在黑客作案前就能跟蹤其行跡。數據庫的平安評估也是必須的，這局部內容不在本書表達范圍內。應用平安評估比使用像網絡和平臺掃描這些自開工具而言，需要更多的技藝。黑客的目標是得到系統對應用平臺的訪問，強迫應用執行某些非授權用戶的行為。很多基于Web應用的開發者使用公共網關接口(CommonGatewayInterface,CGI)來分析表格，黑客能利用很多漏洞來訪問使用CGI開發的Web效勞器平臺〔例如放入“&〞這些額外的字符〕。20.4.4應用平安評估低質量編寫的應用程序的最大風險是允許訪問執行應用程序的平臺。當一個應用損壞時，平安體系結構必須將黑客包含進平臺。一旦一臺在公共層的機器受損，就可用它來攻擊其他的機器。最通用的方法是在受損的機器上安裝一臺口令探測器。根據計算機信息系統平安技術開展的要求，信息系統平安保護等級劃分和評估的根本準那么如下。1.可信計算機系統評估準那么TCSEC〔TrustedComputerSystemEvaluationCriteria,可信計算機系統評估準那么〕是由美國國家計算機平安中心〔NCSC〕于1983年制定的計算機系統平安等級劃分的根本準那么，又稱桔皮書。1987年NCSC又發布了紅皮書，即可信網絡指南〔TrustedNetworkInterpretationoftheTCSEC,TNI〕,1991年又發布了可信數據庫指南〔TrustedDatabaseInterpretationoftheTCSEC,TDI〕。20.5平安評估準那么2.信息技術平安評估準那么ITSEC〔InformationTechnologySecurityEvaluationCriteria,信息技術平安評估準那么〕由歐洲四國〔荷、法、英、德〕于1989年聯合提出，俗稱白皮書。在吸收TCSEC的成功經驗的根底上，首次在評估準那么中提出了信息平安的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度。3.通用平安評估準那么CC〔CommandCriteriaforITSecurityEvaluation,通用平安評估準那么〕由美國國家標準技術研究所〔NIST〕、國家平安局〔NSA〕、歐洲的荷、法、德、英以及加拿大等6國7方聯合提出，并于1991年宣布，1995年發布正式文件。它的根底是歐洲的白皮書ITSEC、美國的〔包括桔皮書TCSEC在內的〕新的聯邦評價準那么、加拿大的CTCPEC以及國際標準化組織的ISO/SCITWGS的平安評價標準。4.計算機信息系統平安保護等級劃分準那么我國國家質量技術監督局于1999年發布的國家標準，序號為GB17859-1999。評價準那么的出現為我們評價、開發、研究計算機及其網絡系統的平安提供了指導準那么。TCSEC共分為4類7級：D、C1、C2、B1、B2、B3、A1。1.D級平安性能達不到C1級的劃分為D級。D級并非沒有平安保護功能，只是太弱。2.C1級，自主平安保護級可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制〔如訪問控制表〕允許命名用戶和用戶組的身份規定并控制客體的共享，并阻止非授權用戶讀取敏感信息。20.5.1可信計算機系統評估準那么可信計算基〔TrustedComputingBase,TCB〕是指為實現計算機處理系統平安保護策略的各種平安保護機制的集合。3.C2級，受控存取保護級與自主平安保護級相比，本級的可信計算基實施了粒度更細的自主訪問控制，它通過登錄規程、審計平安性相關事件以及隔離資源，使用戶能對自己的行為負責。4.C2級，標記平安保護級本級的可信計算基具有受控存取保護級的所有功能。此外，還可提供有關平安策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述，具有準確地標記輸出信息的能力，可消除通過測試發現的任何錯誤。5.B2級，結構化保護級本級的可信計算基建立于一個明確定義的形式平安策略模型之上，它要求將B1級系統中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的復審。加強了鑒別機制，支持系統管理員和操作員的職能，提供可信設施管理，增強了配置管理控制。系統具有相當的抗滲透能力。6.B3級，平安域級本級的可信計算基滿足訪問監控器需求。訪問監控器是指監控主體和客體之間授權訪問關系的部件。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的，必須足夠小，能夠分析和測試。為了滿足訪問監控器需求，可信計算基在其構造時排除實施對平安策略來說并非必要的代碼。在設計和實現時，從系統工程角度將其復雜性降低到最小程度。支持平安管理員職能；擴充審計機制，當發生與平安相關的事件時發出信號；提供系統恢復機制。系統具有很高的抗滲透能力。7.A1級，驗證設計級本級的平安功能與B3級相同，但最明顯的不同是本級必須對相同的設計運用數學形式化證明方法加以驗證，以證明平安功能的正確性。本級還規定了將平安計算機系統運送到現場安裝所必須遵守的程序。這是我國國家質量技術監督局于1999年發布的計算機信息系統平安保護等級劃分的根本準那么，是強制性的國家標準，序號為GB17859-1999。準那么規定了計算機信息系統平安保護能力的5個等級。20.5.2計算機信息系統平安保護等級劃分準那么1.概述?準那么?是計算機信息系統平安等級保護系列標準的核心，制定?準那么?是實行計算機信息系統平安等級保護制度建設的重要根底，其主要目的是：支持計算機信息系統平安法規的制定；為計算機信息系統平安產品的研發提供功能框架；為平安系統的建設和管理提供技術指導。?準那么?在系統地、科學地分析計算機處理系統的平安問題的根底上，結合我國信息系統建設的實際情況，將計算機信息系統的平安等級劃分為如下5級：第一級,用戶自主保護級；第二級，系統審計保護級；第三級，平安標記保護級；第四級，結構化保護級；第五級，訪問驗證保護級。各級的命名，主要考慮了使各級的名稱能夠表達這一級別平安功能的主要特性。計算機信息系統平安保護能力隨著平安保護等級的增高，逐漸增強。5個級別的平安保護能力之間的關系如圖20.3所示。圖20.3各等級平安保護能力示意圖2.技術功能說明在計算機信息系統的平安保護中，一個重要的概念是可信計算基〔trustedcomputingbase,TCB〕。可信計算基是一個實現平安策略的機制，包括硬件、軟件和必要的固件，它們將根據平安策略來處理主體〔系統管理員、平安管理員和用戶〕對客體〔進程、文件、記錄、設備等〕的訪問。可信計算基具有以下特性：實施主體對客體的平安訪問的功能；抗篡改的性質；易于分析與測試的結構。在?準那么?規定的5個級別中，其平安保護能力主要取決于可信計算基的特性，即各級之間的差異主要表達在可信計算基的構造及它所具有的平安保護能力上。1.概述通用平安評估準那么(CC)是一個國際標準。該標準描述了這么一個規那么：“……可作為評估IT產品與系統的根底……，這個標準允許在相互獨立的不同平安評估結果之間進行比較……，提供一套公共的用于IT產品與系統的平安功能集，以及適應該功能集的平安保障的測度。評估過程確定了IT產品與系統關于平安功能及保障的可信水平〞。CC由3個局部組成：平安功能、平安保障與評估方法。信息系統平安工程〔ISSE〕可以利用CC作為工具支持其行為，包括為信息保護系統制定系統級的描述和支持批準過程。20.5.3通用平安評估準那么圖20.4CC中的平安概念與相互關系圖20.4顯示CC是如何應用的，用CC的語法建立信息平安的過程是符合ISSE過程的。開掘信息保護需求的行為提供了各種信息，如所有者怎樣評估資產、威脅代理是什么、什么是威脅、什么是對策〔要求與功能〕和什么是風險〔局部地〕。定義信息保護系統的行為提供了用于描述如下事務的信息：什么是對策〔命名組件〕、什么是脆弱性〔基于體系結構〕、什么是風險〔更全面〕。設計信息保護系統的行為提供了如下信息：什么是對策〔驗證了的信息保護產品功能〕、什么是脆弱性〔基于設計的、組合并驗證了的測試結果〕和什么是風險〔更加全面〕。實現信息保護系統的行為最后提供了如下信息：什么是對策〔安裝了的、有效的信息系統保護功能〕、什么是脆弱性〔基于有效性與漏洞測試實現結果〕、什么是風險〔更加全面〕。CC并不描述個體和操作的平安，也不描述評估的有效性或其他使系統更有效的管理經驗。CC提供了一種標準的語言與語法，用戶和開發者可以用它來聲明系統的通用功能〔保護輪廓或PP〕或被評估的特定性能〔平安目標或ST〕。PP都以標準化的格式定義了一套功能要求與保障要求，它們或者來自于CC，或由用戶定義，用來解決的或假設的平安問題〔可能定義成對被保護資產的威脅〕。對于一個完全與平安目標一致的評估對象〔TOE〕集合，PP允許各對象有獨立的平安要求表述。PP設計是可重用的，并且定義了可有效滿足確定目標的TOE環境。PP也包括了平安性與平安目標的根本依據。即使評估對象是特定類型的IT產品、系統〔如操作系統、數據庫管理系統、智能卡、防火墻等〕，其平安需求的定義也不會因系統不同而不同。PP可以由用戶團體、IT產品開發者或其他有興趣定義這樣一個需求集合的集體開發。PP給了消費者一個參考特定平安需求集合的手段，并使得用戶對這些要求的評估變得容易。因此，PP是一個適宜的用于ISSE開發并描述其架構的CC文檔，可以作為查詢與技術評估的根底。ST包括一個參考PP的平安需求的集合，或者直接引用CC的功能或保障局部，或是更加詳細地對其說明。ST使得對穩定TOE的平安需求的描述能夠有效地滿足確定目標的需要。ST包括評估對象的概要說明、平安要求與目標及其根據。ST是各團體對TOE所提供的平安性達成一致的根底。PP和ST也可以是在負責管理系統開發的團體、系統的核心成員及負責生產該系統的組織之間互相溝通的一種手段。在這種環境中，應該建議ST對PP做出響應。PP與ST的內容可以在參與者之間協商。基于PP與ST的對實際系統的評估是驗收過程的一局部。總的來說，非IT的平安需求也將被協商和評估。通常平安問題的解決并不是獨立于系統的其他需求的。ST與PP的關系如圖20.5所示。圖20.5保護輪廓與平安目標的關系CC的觀點是，在對即將要信任的IT產品和系統進行評估的根底之上提供一種保障。評估是一種傳統的提供保障的方式，同時也是先期評估準那么文檔的根底。為了與現有方式一致，CC也采納了同樣的觀點。CC建議專業評估員加大評估的廣度、深度與強度，來檢測文檔的有效性和IT產品或系統的結果。CC并不排除也不評估其他獲取保障的方法的優點。針對其他可替代的獲取保障的方法正在研究。這些研究行為所產生的可替代的方法可能會被考慮參加到CC之中，而CC的結構允許它今后引入其他方法。CC的觀點宣稱，用于評估的努力越多，平安保障效果越好；CC的目標是用最小的努力來到達必須的保障水平。努力程度的增加基于如下因素：范圍，必須加強努力，因為大局部的IT產品與系統包含在內。深度，努力必須加深，因為評估證據的搜集依賴于更好的設計水平與實現細節。強度，努力必須加大，因為評估證據的搜集需要結構化和正式的方式。評估過程為PP與ST所需的保障提供了證據，如圖20.6所示。評估的結果就是對信息保護系統的某種程度上確實信。其他ISSE過程，如風險管理，提供了將這種確信轉化成管理決策準那么的方法。圖20.6評估的概念與相互關系圖2