计算机网络安全基础-第20章

单击此处编辑母版标题样式,单击此处编辑母版副标题样式,第2,0,章 安全认证和评估,20.1,风险管理,20.2,安全成熟度模型,20.3,威胁,20.4,安全评估方法,20.5,安全评估准则,20.6,本章小结,习题,针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化，新的应用正在开发，新的平台正在加到非军事区（,DMZ,），额外的端口正在加进防火墙。由于竞争，很多应用在市场的生存时间越来越短，软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录，将计算机、网络设备以及在网络上的各个应用编制进去，而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分，应用的漏洞（脆弱性）不断发生。,安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念，称为安全成熟度模型（,Security Maturity Model, SMM,）,用来适当地测量一个给定的准则，该准则基于在工业界最佳的经营业务实际，且能将其反馈到经营业务。它还提供一个改进的方法，包括将不足之处列成清单。安全成熟度模型可测量企业安全体系结构的,3,个不同部分：计划、技术与配置、操作运行过程。,从经营业务的观点看，要求安全解决方案的性能价格比最好，即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而，决定哪些安全控制是合适的以及性能价格比好的这一过程经常是复杂的，有时甚至是主观的。安全风险分析的最主要功能是将这个过程置于更为客观的基础上。,风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、,CFO,（,Chief Financial Officer,首席财务执行官）、经营业务部门的负责人，以及信息所有者。,一个组织的总的风险依赖于下面一些属性：,资产的质量（丢失资产的效应）和数量（钱）的价值；,基于攻击的威胁可能性；,假如威胁实现，对经营业务的影响。,20.1,风险管理,将资产价值和代价相联系或决定投资回报（,Return On Investment, ROI,）的能力经常是困难的。相反，可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息，因为对这些信息的错误处理，其结果将危害到国家秘密。比之于商业组织，政府愿意花更多的费用来保护信息。,直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的，很多金融贸易系统因此而遭受大量经济损失。生产的降低，例如,E-mail,服务器宕机，很多组织的工作将停止。,与定量的代价相比，质量的代价对组织的破坏更大。假如用来销售的,Web,站点被黑客破坏了，有可能所有客户的信用卡号被偷，这将严重地影响这个站点的信誉。也有可能在短时期内，经营业务停止。,风险评估对漏洞和威胁的可能性进行检查，并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具，然而十分熟悉网上的应用，可以删除文件、引起某些物理损坏，甚至是逻辑炸弹等。,漏洞水平和保护组织资产的安全体系结构的能力正相反。如果安全控制弱，那么暴露的水平高，随之发生事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性，且很难预测：资产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。,描述威胁和漏洞最好的方法是根据对经营业务的影响描述。此外，对特殊风险的评估影响还和不确定性相联系，也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性，因此安全的计划和认证是十分困难的。图,20.1,表示了风险评估的方法。,图,20.1,风险评估方法,成熟度模型可用来测量组织的解决方案（软件、硬件和系统）的能力和效力。因此它可用于安全评估，以测量针对业界最佳实际的安全体系结构。可以就以下,3,个方面进行分析：计划、技术和配置、操作运行过程。,20.2,安全成熟度模型,安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则，在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控，以及安全教育方面。美国,Carnegie Mellon,大学的软件工程研究所（,Software Engineering,Insititue,SEI,）制定了系统安全工程能力成熟度模型（,System Security Engineering Capability Maturity Model, SSE-CMM,）。它将安全成熟度能力级别分成,4,级，以适应不同级别的安全体系结构，如表,20-1,所示。,表,20-1,安全成熟度能力级别,安全成熟度能力级别,说明,无效力（,50%,）,总的安全体系结构没有遵从企业安全策略、法规，以及最佳经营实际。,需要改进（,65%,）,安全体系结构中无效力的应少于,35%,合适（,85%,）,企业的安全计划、布署、配置和过程控制使安全体系结构能满足总的目标。,极好（超过,100%,）,安全体系结构超过了总的目标及需求。,1.,安全计划,一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题：,（,1,） 内容太旧，已过时，不适用于当前的应用。安全策略应每年更新，以适应技术的变化。,（,2,） 文本有很多用户，如开发者、风险管理者、审计人员，所用语言又适用于多种解释。如果陈述太抽象，那么实施时将无效力。,（,3,） 表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。,（,4,） 用户需要知道有关安全的文本。如果用户不能方便地获得和阅读文本，就会无意地犯规，然而难以追查责任。,2.,技术和配置,当今，市场上有很多安全厂商和安全产品，但是没有一个产品能提供完全的安全解决方案。诸如防火墙、,IDS,、,VPN,、鉴别服务器等产品都只是解决有限的问题。安全专业人员应能适当地选择产品，正确地将它们安置在基础设施中，合适地配置和支持。然而，他们经常会不正确地采购安全产品，例如，有人认为只要在需要保护的有价值的资产前放置一个防火墙，就什么问题都能解决。从网络的观点看部分正确，但防火墙不提供应用和平台的保护，也不提供有用的入侵检测信息。,安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问，只有清晰的允许规则能通过通信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。,3.,运行过程,运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理，以及安全报警与监控。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有能退回到目前工作版本的设施，并且要和经营业务连续性计划协调一致。,安全设备会产生一些不规则的日志信息，这对管理员来说是复杂的，一旦配置有差错，就会阻止访问网络、应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后，识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。,技术变化十分迅速，对从事于安全事业的人员增加了很多困难，因此选择高水平的人员从事该项工作是必须的。特别是，从事安全培训的专业人员是有效信息安全程序的关键，要使用各种有效媒体进行安全培训课程。每个企业员工都要接受安全培训，要对不同的人员（例如安全管理员、最终用户、数据拥有者）有针对性地进行培训。,在第,2,章中讲到，风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。测定风险的两个组成部分是漏洞和威胁。漏洞是攻击可能的途径，威胁是一个可能破坏信息系统安全环境的动作或事件。威胁包含,3,个组成部分：,（,1,） 目标，可能受到攻击的方面。,（,2,） 代理，发出威胁的人或组织。,（,3,） 事件，做出威胁的动作类型。作为威胁的代理，必须要有访问目标的能力，有关于目标的信息类型和级别的知识，还要有对目标发出威胁的理由。,20.3,威胁,本章从安全的验证和评估出发，具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。,弄清楚威胁的来源是减少威胁得逞可能性的关键，下面陈述各种主要的威胁源。,1.,人为差错和设计缺陷,最大的威胁来源是操作中人为的疏忽行为。据一些统计，造成信息系统在经费和生产力方面损失的一半是由于人为的差错，另一半则是有意的、恶意的行为。这些人为差错包括不适当地安装和管理设备、软件，不小心地删除文件，升级错误的文件，将不正确的信息放入文件，忽视口令更换或做硬盘后备等行为，从而引起信息的丢失、系统的中断等事故。,20.3.1,威胁源,上述事故由于设计的缺陷，没有能防止很多普遍的人为差错引起的信息丢失或系统故障。设计的缺陷还会引起各种漏洞的暴露。,2.,内部人员,很多信息保护设施的侵犯是由一些试图进行非授权行动或越权行动的可信人员执行的。其动机有些是出于好奇，有些是恶意的，有些则是为了获利。内部人员的入侵行为包括复制、窃取或破坏信息，然而这些行为又难以检测。这些个体持有许可或其他的授权，或者通过那些毋需专门授权的行为使网络运行失效或侵犯保护设施。根据统计，内部人员的侵犯占所有严重安全侵犯事件的,70%80%,。,3.,临时员工,外部的顾问、合同工、临时工应和正式员工一样，必须有同样的基本信息安全要求和信息安全责任，但还需有一些附加的限制。例如，和正式员工一样，需签一个信息安全遵守合同，接受相应的安全意识培训。除此之外，临时员工还必须有一个专门的协议，只允许访问那些执行其委派的任务所需的信息和系统。,4.,自然灾害和环境危害,环境的要求，诸如最高温度和最低温度、最高湿度、风暴、龙卷风、照明、为水所淹、雨、火灾以及地震等，都能破坏主要的信息设施及其后备系统。应制定灾难恢复计划，预防和处理这些灾害。,5.,黑客和其他入侵者,来自于非授权的黑客，为了获得钱财、产业秘密或纯粹是破坏系统的入侵攻击行为近年来呈上升趋势。这些群体经常雇佣一些攻击高手并进行耸人听闻的报导。这些群体包括青少年黑客、专业犯罪者、工业间谍或外国智能代理等。,6.,病毒和其他恶意软件,病毒、蠕虫、特洛伊木马以及其他恶意软件通过磁盘、预包装的软件、电子邮件和连接到其他网络进入网络。这些危害也可能是由于人为差错、内部人员或入侵者引起的。,采取对策以防止各种威胁情况，不仅需要了解威胁的来源，还应知道这些威胁是怎样侵袭安全体系结构的。下面列举各种情况。,1.,社会工程（系统管理过程）,社会工程攻击假冒已知授权的员工，采用伪装的方法或电子通信的方法，具体情况如下：, 攻击者发出一封电子邮件，声称是系统的根，通知用户改变口令以达到暴露用户口令的目的。, 攻击者打电话给系统管理员，声称自己是企业经理，丢失了,modem,池的号码、忘记了口令。,20.3.2,威胁情况和对策, 谎说是计算机维修人员，被批准进入机房，并访问系统控制台。, 含有机密信息的固定存储介质（硬盘、软盘）被丢弃或不合适地标号，被非授权者假装搜集废物获得。,所有上面,4,种威胁情况都可以使攻击得逞。社会工程的保护措施大多是非技术的方法。下面列出的每一种保护措施可防御上面提到的攻击：,（,1,） 培训所有企业用户的安全意识。,（,2,） 培训所有系统管理员的安全意识，并有完善的过程、处理、报告文本。,（,3,） 对允许外访人员进入严格限制区域的负责人进行安全意识培训。,2.,电子窃听,Internet,协议集在设计时并未考虑安全。,TELNET,、,FTP,、,SMTP,和其他基于,TCP/IP,的应用易于从被动的线接头获取。用户鉴别信息（如用户名和口令）易于从网络中探测到，并伪装成授权员工使用。假如外部人员对企业设施获得物理访问，则可以将带有无线,modem,的手提计算机接到局域网或集线器上，所有通过局域网或集线器的数据易于被任何威胁者取得。此外，假如外部人员能电子访问带有,modem,服务器进程的工作站，就可以将其作为进入企业网络的入口。任何在,Internet,传输的数据对泄露威胁都是漏洞。所有上述,4,种威胁都有可能使这些攻击得逞。,防止窃听的保护措施包括鉴别和加密。使用双因子鉴别提供强的鉴别，典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号（,PIN,）或口令。保护传输中的口令和,ID,，可以采用加密的措施。链路加密（,SSL,和,IPv6,）保护直接物理连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密（安全,Telnet,和,FTP,、,S/MIME,）提供报文保护，在源端加密，只在目的地解密。数字签名可认证发送者的鉴别信息，如伴随用哈希算法可保护报文的完整性。,3.,软件缺陷,当前两个最大的软件缺陷是缓冲器溢出和拒绝服务攻击。当写入太多的数据时，就会发生缓冲器溢出，通常是一串字符写入固定长度的缓冲器。对数据缓冲器的输入没有足够的边界检查，使得输入超过缓冲器的容量。一般情况下，系统崩溃是由于程序试图访问一个非法地址。然而，也有可能用一个数据串来代替生成可检测的差错，从而造成攻击者希望的特定系统的漏洞。,Carnegie Mellon,软件工程研究所的计算机应急响应组（,Computer,Emergenoy,Response Team,，,CERT,）有,196,个有关缓冲器溢出的文档报告，如,Microsoft,的终端服务器,Outlook Express, Internet,信息服务器（,IIS,），还有一些众人熟知的有关网络服务的，如网络定时协议（,Network Time Protocol,，,NTP,）、,Sendmail,、,BIND,、,SSHv1.37,、,Kerberos,等。,一个拒绝服务攻击使得目标系统响应变慢，以致完全不可用。有很多原因可导致这种结果： 编程错误以致使用,100%,的,CPU,时间。由于内存的漏洞使系统的内存使用连续增加。,Web,请求或远程过程调用（,RPC,）中发生的畸形数据请求。大的分组请求，如大量电子邮件地址请求和,Internet,控制报文协议（,Internet Control Message Protocol,，,ICMP,）请求。不停的网络通信,UDP,和,ICMP,造成广播风暴和网络淹没。伪造的路由信息或无响应的连接请求。布线、电源、路由器、平台或应用的错误配置。,CERT,有,318,个文本是关于对各种应用和平台操作系统的拒绝服务攻击。在大多数情况下，由于攻击者已经损坏了执行攻击的机器，使得要告发这些个体实施的攻击很困难。,4.,信息转移（主机之间的信任关系）,信任转移是把信任关系委托给可信的中介。一旦外部人员破坏了中介信任的机器，其他的主机或服务器也易于破坏。这样的攻击例子如下： 误用一个,.,rhosts,文件使受损的机器不需口令就能攻击任何在,.,rhosts,文件中的机器。假如外面的用户伪装成一个网络操作系统用户或服务器，则所有信任该特定用户或服务器的其他服务器也易于受破坏。一个通过网络文件系统（,Network File,System,NFS,）由各工作站共享文件的网络，假如其中一个客户工作站受损，一个攻击者能在文件系统服务器上生成可执行的特权，那么攻击者能如同正常用户一样登录服务器并执行特权命令。,信任转移的保护措施主要是非技术方法。大部分,UNIX,环境（非,DCE,）不提供信任转移的自动机制。因此系统管理员在映射主机之间的信任关系时必须特别小心。,5.,数据驱动攻击（恶意软件）,数据驱动攻击是由嵌在数据文件格式中的恶意软件引起的。这些数据文件格式如,PS,编程语言（,postscript,）文件、在文本中的,MS Word,基本命令、,shell,命令表（,shell script,）,下载的病毒或恶意程序。,数据驱动攻击的例子如下：, 一个攻击者发送一个带有文件操作的,postscript,文件，将攻击者的主机标识加到,.,rhosts,文件；或者打开一个带有,Word,基本命令的,MS Word,文本，能够访问,Windows,动态链接库,(Dynamic Link Library,，,DLL),内的任何功能，包括,Winsock.dll,。, 一个攻击者发送一个,postscript,文件，该文件常驻在基于,postscript,的传真服务器中，就能将每一个发送和接收的传真拷贝发送给攻击者。, 一个用户从网上下载,shellscript,或恶意软件，将受害者的口令文件邮寄给攻击者，并删除所有受害者的文件。, 利用,HTTP,浏览器包装诸如特洛伊木马等恶意软件。,6.,拒绝服务,DoS,攻击并不利用软件的缺陷，而是利用实施特定协议的缺陷。这些攻击会中断计算平台和网络设备的运行，使特定的网络端口、应用程序（如,SMTP,代理）和操作系统内核超载。这些攻击的例子有,TCP SYN,淹没、,ICMP,炸弹、电子邮件垃圾、,Web,欺骗、域名服务（,Domain Name,System,DNS,）拦劫等。保持计算平台和网络设备的及时更新能避免大多数这些攻击。防止有一些攻击需要诸如网络防火墙这类网络过滤系统。,7. DNS,欺骗,域名系统（,DNS,）是一个分布式数据库，用于,TCP/IP,应用中，映射主机名和,IP,地址，以及提供电子邮件路由信息。如果,Internet,地址值到域名的映射绑定过程被破坏，域名就不再是可信的。这些易破坏的点是讹用的发送者、讹用的接收者、讹用的中介，以及服务提供者的攻击。例如，假如一个攻击者拥有自己的,DNS,服务器，或者破坏一个,DNS,服务器，并加一个含有受害者,.,rhosts,文件的主机关系，攻击者就很容易登录和访问受害者的主机。,对,DNS,攻击的保护措施包括网络防火墙和过程方法。网络防火墙安全机制依靠双,DNS,服务器，一个用于企业网络的内部，另一个用于外部，即对外公开的部分。这是为了限制攻击者了解内部网络主机的,IP,地址，从而加固内部,DNS,服务。,Internet,工程任务组（,Internet Engineering Task,Force,IETF,）正致力于标准安全机制工作以保护,DNS,。所谓反对这些攻击的过程方法是对关键的安全决定不依赖于,DNS,。,8.,源路由,通常,IP,路由是动态的，每个路由器决定将数据报发往下面哪一个站。但,IP,的路由也可事先由发送者来确定，称源路由。严格的源路由依赖于发送者提供确切的通路，,IP,数据报必须按此通路走。松散的源路由依赖于发送者提供一张最小的,IP,地址表，数据报必须按该表的规定通过。攻击者首先使受害者可信主机不工作，假装该主机的,IP,地址，然后使用源路由控制路由到攻击者主机。受害者的目标主机认为分组来自受害者的可信主机。源路由攻击的保护措施包括网络防火墙和路由屏幕。路由器和防火墙能拦阻路由分组进入企业网络。,9.,内部威胁,内部威胁包括前面提到的由内部人员作恶或犯罪的威胁。大多数计算机安全统计表明，,70%80%,的计算机欺骗来自内部。这些内部人员通常有反对公司的动机，能对计算机和网络进行直接物理访问，以及熟悉资源访问控制。在应用层的主要威胁是被授权的人员滥用和误用授权。网络层的威胁是由于能对,LAN,进行物理访问，使内部人员能见到通过网络的敏感数据。,针对内部威胁的防护应运用一些基本的安全概念：责任分开、最小特权、对个体的可审性。责任分开是将关键功能分成若干步，由不同的个体承担，如财务处理的批准、审计、分接头布线的批准等。最小特权原则是限制用户访问的资源，只限于工作必需的资源。这些资源的访问模式可以包括文件访问（读、写、执行、删除）或处理能力（系统上生成或删除处理进程的能力）。个体的可审性是保持各个体对其行为负责。可审性通常是由系统的用户标识和鉴别以及跟踪用户在系统中的行为来完成。,当前安全体系结构的能力水平应从安全成熟度模型的,3,个方面进行评估，即对计划、布局和配置、运行过程的评估。,安全评估方法的第,1,步是发现阶段，所有有关安全体系结构适用的文本都必须检查，包括安全策略、标准、指南，信息等级分类和访问控制计划，以及应用安全需求。全部基础设施安全设计也须检查，包括网络划分设计，防火墙规则集，入侵检测配置；平台加固标准、网络和应用服务器配置。,20.4,安全评估方法,20.4.1,安全评估过程,评估的第,2,步是人工检查阶段，将文本描述的体系结构与实际的结构进行比较，找出其差别。可以采用手工的方法，也可采用自动的方法。使用网络和平台发现工具，在网络内部执行，可表示出所有的网络通路以及主机操作系统类型和版本号。,NetSleuth,工具是一个,IP,可达性分析器，能提供到网络端口级的情况。,QUESO,和,NMAP,这些工具具有对主机全部端口扫描的能力，并能识别设备的类型和软件版本。,评估的第,3,步是漏洞测试阶段。这是一个系统的检查，以决定安全方法的适用、标识安全的差别、评价现有的和计划的保护措施的有效性。漏洞测试阶段又可分成,3,步。,第,1,步包括网络、平台和应用漏洞测试。网络漏洞测试的目标是从攻击者的角度检查系统。可以从一个组织的,Intranet,内，也可以从,Internet,的外部，或者一个,Extranet,合作伙伴进入组织。用于网络漏洞测试的工具通常是多种商业化的工具（例如,ISS,扫描器、,Cisco,的,Netsonar,）以及开放给公共使用的工具（例如,Nessus,和,NMAP,）。这些测试工具都以相同的方式工作。首先对给出的网络组件（例如防火墙、路由器、,VPN,网关、平台）的所有网络端口进行扫描。一旦检测到一个开启的端口，就使用已知的各种方法攻击这端口（例如在,Microsoft IIS5.0,、,Kerberos,、,SSHdaemon,和,Sun Solstice,AdminSuite,Daemon,的缓冲器溢出）。大部分商业产品能生成一个详细的报告，根据攻击产生的危害，按风险级别列出分类的漏洞。,漏洞测试的第,2,步是平台扫描，又称系统扫描。平台扫描验证系统配置是否遵守给定的安全策略。此外，它还检测任何安全漏洞和配置错误（例如不安全的文件保护,注册和配置目录）以及可利用的网络服务（例如,HTTP,、,FTP,、,DNS,、,SMTP,等）。一旦平台的安全加固已经构建，系统扫描将构成基础，它定时地检测任何重要的变化（例如主页更换、,Web,站点受损）。,漏洞测试的第,3,步是应用扫描。应用扫描工具不像网络或平台工具那样是自动的，因此，它是一个手动的处理过程。其理念是模仿攻击者成为授权用户是如何误用这应用。,安全评估的最后,1,步是认证安全体系结构的处理过程部分。包括自动的报警设施以及负责配置所有安全体系结构组件（如防火墙、,IDS,、,VPN,等）的人。安全控制出现的问题最多的是人为的差错。例如，引起防火墙不能安全运行的主要原因是配置的错误以及不好的变更管理过程，如下面一些情况： 有一个防火墙管理员在深夜接到一个紧急电话，声称由于网络的问题使应用出错。管理员取消管理集对分组的限制，观察是否是防火墙阻断了这个分组。应用开始正常工作，管理员回去睡觉，但忘了防火墙管理集是打开着的。之后企业网络被入侵，因为防火墙并不执行任何访问控制。,在漏洞分析测试期间，安全体系结构监控和报警设施应在最忙的状态。测试可以事先通知，允许净化安全日志、分配合适的磁盘空间。测试也可以事先不通知，可以测量安全支持人员的反应时间。测量,Internet,服务提供者的反应时间是有用的，特别是他们负责管理,Internet,防火墙的情况。,将上面,5,个漏洞分析测试阶段的结果汇总、分析，可得出总的风险分析文本，从,5,个阶段中产生的信息是覆盖的。很多自动工具厂商有内置的报告产生器，根据可能引起危害的漏洞进行分类。风险分析信息必须应用到经营业务，转而成为经营业务影响的文本。很多安全评估报告没有将风险分析反馈到对经营业务的影响，安全评估的价值就很小。图,20.2,表示从安全成熟度模型,3,个方面的安全评估阶段。,图,20.2,安全评估阶段,由于,Internet,协议,TCP/IP,的实施没有任何内置的安全机制，因此大部分基于网络的应用也是不安全的。网络安全评估的目标是保证所有可能的网络安全漏洞是关闭的。多数网络安全评估是在公共访问的机器上，从,Internet,上的一个,IP,地址来执行的，诸如,E-mail,服务器、域名服务器（,DNS,）、,Web,服务器、,FTP,和,VPN,网关等。另一种不同的网络评估实施是给出网络拓扑、防火墙规则集和公共可用的服务器及其类型的清单。,20.4.2,网络安全评估,网络评估的第,1,步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组，这就比较复杂，因为跟踪路由器是用来绘制网络拓扑的。,第,2,步是获取公共访问机器的名字和,IP,地址，这是比较容易完成的。只要使用,DNS,并在,ARIN,（,American Registry for Internet Number,）试注册所有的公共地址。,最后,1,步是对全部可达主机做端口扫描的处理。端口是用于,TCP/IP,和,UDP,网络中将一个端口标识到一个逻辑连接的术语。端口号标识端口的类型，例如,80,号端口专用于,HTTP,通信。假如给定端口有响应，那么将测试所有已知的漏洞。表,20-2,列出了各种类型的端口扫描技术。,(,见书中表,20-2),平台安全评估的目的是认证平台的配置（操作系统对已知漏洞不易受损、文件保护及配置文件有适当的保护）。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理，因为集中的管理程序由此开始。假如平台已经适当加固，那么有一个基准配置。,评估的第,1,部分是认证基准配置、操作系统、网络服务（,FTP,、,rlogin,、,telnet,、,SSH,等）没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令，并转发给,Internet,上的攻击者。假如任何文件需打补丁或需要使用服务包，代理将通知管理员。,20.4.3,平台安全估计,第,2,部分测试是认证管理员的口令，大部分机器不允许应用用户登录到平台，对应用的用户鉴别是在平台上运行的，而不是平台本身。,此外，还有测试本地口令的强度，如口令长度、口令组成、字典攻击等。,最后跟踪审计子系统，在黑客作案前就能跟踪其行迹。,数据库的安全评估也是必须的，这部分内容不在本书叙述范围内。,应用安全评估比使用像网络和平台扫描这些自动工具而言，需要更多的技艺。黑客的目标是得到系统对应用平台的访问，强迫应用执行某些非授权用户的行为。很多基于,Web,应用的开发者使用公共网关接口,(Common Gateway,Interface,CGI,),来分析表格，黑客能利用很多已知漏洞来访问使用,CGI,开发的,Web,服务器平台（例如放入“,&”,这些额外的字符）。,20.4.4,应用安全评估,低质量编写的应用程序的最大风险是允许访问执行应用程序的平台。当一个应用损坏时，安全体系结构必须将黑客包含进平台。一旦一台在公共层的机器受损，就可用它来攻击其他的机器。最通用的方法是在受损的机器上安装一台口令探测器。,根据计算机信息系统安全技术发展的要求，信息系统安全保护等级划分和评估的基本准则如下。,1.,可信计算机系统评估准则,TCSEC,（,Trusted Computer System Evaluation Criteria,可信计算机系统评估准则）是由美国国家计算机安全中心（,NCSC,）于,1983,年制定的计算机系统安全等级划分的基本准则，又称桔皮书。,1987,年,NCSC,又发布了红皮书，即可信网络指南（,Trusted Network Interpretation of the TCSEC, TNI,）,1991,年又发布了可信数据库指南（,Trusted Database Interpretation of the TCSEC, TDI,）。,20.5,安全评估准则,2.,信息技术安全评估准则,ITSEC,（,Information Technology Security Evaluation Criteria,信息技术安全评估准则）由欧洲四国（荷、法、英、德）于,1989,年联合提出，俗称白皮书。在吸收,TCSEC,的成功经验的基础上，首次在评估准则中提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度。,3.,通用安全评估准则,CC,（,Command Criteria for IT Security Evaluation,通用安全评估准则）由美国国家标准技术研究所（,NIST,）、国家安全局（,NSA,）、欧洲的荷、法、德、英以及加拿大等,6,国,7,方联合提出，并于,1991,年宣布，,1995,年发布正式文件。它的基础是欧洲的白皮书,ITSEC,、美国的（包括桔皮书,TCSEC,在内的）新的联邦评价准则、加拿大的,CTCPEC,以及国际标准化组织的,ISO/SCITWGS,的安全评价标准。,4.,计算机信息系统安全保护等级划分准则,我国国家质量技术监督局于,1999,年发布的国家标准，序号为,GB17859-1999,。评价准则的出现为我们评价、开发、研究计算机及其网络系统的安全提供了指导准则。,TCSEC,共分为,4,类,7,级：,D,、,C1,、,C2,、,B1,、,B2,、,B3,、,A1,。,1. D,级,安全性能达不到,C1,级的划分为,D,级。,D,级并非没有安全保护功能，只是太弱。,2. C1,级，自主安全保护级,可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制（如访问控制表）允许命名用户和用户组的身份规定并控制客体的共享，并阻止非授权用户读取敏感信息。,20.5.1,可信计算机系统评估准则,可信计算基（,Trusted Computing Base, TCB,）是指为实现计算机处理系统安全保护策略的各种安全保护机制的集合。,3. C2,级，受控存取保护级,与自主安全保护级相比，本级的可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件以及隔离资源，使用户能对自己的行为负责。,4. C2,级，标记安全保护级,本级的可信计算基具有受控存取保护级的所有功能。此外，还可提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力，可消除通过测试发现的任何错误。,5. B2,级，结构化保护级,本级的可信计算基建立于一个明确定义的形式安全策略模型之上，它要求将,B1,级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素。可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。,6. B3,级，安全域级,本级的可信计算基满足访问监控器需求。访问监控器是指监控主体和客体之间授权访问关系的部件。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，必须足够小，能够分析和测试。为了满足访问监控器需求，可信计算基在其构造时排除实施对安全策略来说并非必要的代码。在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。,7. A1,级，验证设计级,本级的安全功能与,B3,级相同，但最明显的不同是本级必须对相同的设计运用数学形式化证明方法加以验证，以证明安全功能的正确性。本级还规定了将安全计算机系统运送到现场安装所必须遵守的程序。,这是我国国家质量技术监督局于,1999,年发布的计算机信息系统安全保护等级划分的基本准则，是强制性的国家标准，序号为,GB17859-1999,。准则规定了计算机信息系统安全保护能力的,5,个等级。,20.5.2,计算机信息系统安全保护等级划分准则,1.,概述,准则,是计算机信息系统安全等级保护系列标准的核心，制定,准则,是实行计算机信息系统安全等级保护制度建设的重要基础，其主要目的是：,支持计算机信息系统安全法规的制定；,为计算机信息系统安全产品的研发提供功能框架；,为安全系统的建设和管理提供技术指导。,准则,在系统地、科学地分析计算机处理系统的安全问题的基础上，结合我国信息系统建设的实际情况，将计算机信息系统的安全等级划分为如下,5,级：,第一级,用户自主保护级；,第二级，系统审计保护级；,第三级，安全标记保护级；,第四级，结构化保护级；,第五级，访问验证保护级。,各级的命名，主要考虑了使各级的名称能够体现这一级别安全功能的主要特性。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。,5,个级别的安全保护能力之间的关系如图,20.3,所示。,图,20.3,各等级安全保护能力示意图,2.,技术功能说明,在计算机信息系统的安全保护中，一个重要的概念是可信计算基（,trusted computing base, TCB,）。可信计算基是一个实现安全策略的机制，包括硬件、软件和必要的固件，它们将根据安全策略来处理主体（系统管理员、安全管理员和用户）对客体（进程、文件、记录、设备等）的访问。可信计算基具有以下特性：,实施主体对客体的安全访问的功能；,抗篡改的性质；,易于分析与测试的结构。,在,准则,规定的,5,个级别中，其安全保护能力主要取决于可信计算基的特性，即各级之间的差异主要体现在可信计算基的构造及它所具有的安全保护能力上。,1.,概述,通用安全评估准则,(CC),是一个国际标准。该标准描述了这么一个规则：“,可作为评估,IT,产品与系统的基础,，这个标准允许在相互独立的不同安全评估结果之间进行比较,，提供一套公共的用于,IT,产品与系统的安全功能集，以及适应该功能集的安全保障的测度。评估过程确定了,IT,产品与系统关于安全功能及保障的可信水平”。,CC,由,3,个部分组成：安全功能、安全保障与评估方法。信息系统安全工程（,ISSE,）可以利用,CC,作为工具支持其行为，包括为信息保护系统制定系统级的描述和支持批准过程。,20.5.3,通用安全评估准则,图,20.4 CC,中的安全概念与相互关系,图,20.4,显示,CC,是如何应用的，用,CC,的语法建立信息安全的过程是符合,ISSE,过程的。发掘信息保护需求的行为提供了各种信息，如所有者怎样评估资产、威胁代理是什么、什么是威胁、什么是对策（要求与功能）和什么是风险（部分地）。定义信息保护系统的行为提供了用于描述如下事务的信息：什么是对策（命名组件）、什么是脆弱性（基于体系结构）、什么是风险（更全面）。设计信息保护系统的行为提供了如下信息：什么是对策（验证了的信息保护产品功能）、什么是脆弱性（基于设计的、组合并验证了的测试结果）和什么是风险（更加全面）。,实现信息保护系统的行为最后提供了如下信息：什么是对策（安装了的、有效的信息系统保护功能）、什么是脆弱性（基于有效性与漏洞测试实现结果）、什么是风险（更加全面）。,CC,并不描述个体和操作的安全，也不描述评估的有效性或其他使系统更有效的管理经验。,CC,提供了一种标准的语言与语法，用户和开发者可以用它来声明系统的通用功能（保护轮廓或,PP,）或被评估的特定性能（安全目标或,ST,）。,PP,都以标准化的格式定义了一套功能要求与保障要求，它们或者来自于,CC,，或由用户定义，用来解决已知的或假设的安全问题（可能定义成对被保护资产的威胁）。对于一个完全与安全目标一致的评估对象（,TOE,）集合，,PP,允许各对象有独立的安全要求表述。,PP,设计是可重用的，并且定义了可有效满足确定目标的,TOE,环境。,PP,也包括了安全性与安全目标的基本依据。即使评估对象是特定类型的,IT,产品、系统（如操作系统、数据库管理系统、智能卡、防火墙等），其安全需求的定义也不会因系统不同而不同。,PP,可以由用户团体、,IT,产品开发者或其他有兴趣定义这样一个需求集合的集体开发。,PP,给了消费者一个参考特定安全需求集合的手段，并使得用户对这些要求的评估变得容易。因此，,PP,是一个合适的用于,ISSE,开发并描述其架构的,CC,文档，可以作为查询与技术评估的基础。,ST,包括一个参考,PP,的安全需求的集合，或者直接引用,CC,的功能或保障部分，或是更加详细地对其说明。,ST,使得对稳定,TOE,的安全需求的描述能够有效地满足确定目标的需要。,ST,包括评估对象的概要说明、安全要求与目标及其根据。,ST,是各团体对,TOE,所提供的安全性达成一致的基础。,PP,和,ST,也可以是在负责管理系统开发的团体、系统的核心成员及负责生产该系统的组织之间互相沟通的一种手段。在这种环境中，应该建议,ST,对,PP,做出响应。,PP,与,ST,的内容可以在参与者之间协商。基于,PP,与,ST,的对实际系统的评估是验收过程的一部分。总的来说，非,IT,的安全需求也将被协商和评估。通常安全问题的解决并不是独立于系统的其他需求的。,ST,与,PP,的关系如图,20.5,所示。,图,20.5,保护轮廓与安全目标的关系,CC,的观点是，在对即将要信任的,IT,产品和系统进行评估的基础之上提供一种保障。评估是一种传统的提供保障的方式，同时也是先期评估准则文档的基础。为了与现有方式一致，,CC,也采纳了同样的观点。,CC,建议专业评估员加大评估的广度、深度与强度，来检测文档的有效性和,IT,产品或系统的结果。,CC,并不排除也不评估其他获取保障的方法的优点。针对其他可替代的获取保障的方法正在研究。这些研究行为所产生的可替代的方法可能会被考虑加入到,CC,之中，而,CC,的结构允许它今后引入其他方法。,CC,的观点宣称，用于评估的努力越多，安全保障效果越好；,CC,的目标是用最小的努力来达到必须的保障水平。努力程度的增加基于如下因素：,范围，必须加强努力，因为大部分的,IT,产品与系统包含在内。,深度，努力必须加深，因为评估证据的搜集依赖于更好的设计水平与实现细节。,强度，努力必须加大，因为评估证据的搜集需要结构化和正式的方式。,评估过程为,PP,与,ST,所需的保障提供了证据，如图,20.6,所示。评估的结果就是对信息保护系统的某种程度上的确信。其他,ISSE,过程，如风险管理，提供了将这种确信转化成管理决策准则的方法。,图,20.6,评估的概念与相互关系,图,20.7,说明了系统（或子系统）可以参照,PP,或,ST,得到评估，辅以外部认证与批准准则，从而创建评估产品集，以对系统的批准过程提供支持。,图,20.7,使用评估结果,2.,安全功能要求与安全保证要求,（,1,） 安全功能要求,安全功能要求分为以下,10,类：,安全审计类；,通信类（主要是身份真实性和抗否认）；,密码支持类；,用户数据保护类；,标识和鉴别类；,安全管理类（与,TSF,有关的管理）；,隐秘类（保护用户隐私）；,TSF,保护类（,TOE,自身安全保护）；,资源利用类（从资源管理角度确保,TSF,安全）；,TOE,访问类（从对,TOE,的访问控制确保安全性）；,可信路径,/,信道类。,这些安全类又分为族，族中又分为组件。组件是对具体安全要求的描述。从叙述上看，每一个族中的具体安全要求也是有差别的，但,CC,没有以这些差别作为划分安全等级的依据。,（,2,） 安全保证要求,在对安全保护框架和安全目标的评估进行说明以后，将具体的安全保证要求分为以下,8,类：,配置管理类；,分发和操作类；,开发类；,指导性文档类；,生命周期支持类；,测试类；,脆弱性评定类；,保证的维护类。,按照对上述,8,类安全保证要求的不断递增，,CC,将,TOE,分为,7,个安全保证级，分别是：,第一级，功能测试级；,第二级，结构测试级；,第三级，系统测试和检查级；,第四级，系统设计、测试和复查级；,第五级，半形式化设计和测试级；,第六级，半形式化验证的设计和测试级；,第七级，形式化验证的设计和测试级。,风险管理是识别、评估和减少风险的过程。风险评估对漏洞和威胁的可能性进行检查，并考虑事故造成的可能影响。描述威胁和漏洞最好的方法是根据对经营业务的影响来描述。,成熟度模型可用来测量组织的解决方案（软件、硬件、系统）的能力和效力，可用于安全评估方法，以测量针对业界最佳实际的安全体系结构。可以就以下,3,个方面进行分析：安全计划、技术与配置、运行过程。,20.5,本章小结,弄清楚威胁的来源是减少威胁得逞可能性的关键。威胁源包括人为差错和设计缺陷、内部人员、临时员工、自然灾害和环境危害、黑客和其他入侵者、病毒和其他恶意软件。,威胁的情况包括系统管理过程、电子窃听、软件利用、信任转移、数据驱动攻击、拒绝服务、,DNS,欺骗、源路由，以及内部威胁。应采取相应对策和保护措施。,安全评估可分,5,个阶段： 发现阶段，对安全体系结构及安全基础设施设计文本的检查； 人工检查阶段，将文本描述的体系结构和设计与实际的结构进行比较，找出差别； 漏洞测试阶段，包括网络、平台和应用的漏洞测试，平台扫描，应用扫描； 监控和报警； 安全体系结构的处理过程。在此基础上得出风险分析文本以及经营业务影响分析。,网络安全评估的目标是保证所有可能影响网络安全的利用是关闭的。评估的过程包括了解网络的拓扑、获取公共访问机器的名字及其,IP,地址、对全部可达主机做端口扫描的处理。,根据计算机信息系统安全技术发展的要求，提出信息系统安全保护等级划分和评估的基本准则。可信计算机系统评估准则（,TCSEC,）是全世界第,1,个计算机系统安全等级划分的基本准则，又称桔皮书。通用安全评估准则（,CC,）是由西方,6,国,7,方联合提出的作为评估,IT,产品与系统的基础的一个国际标准。计算机信息系统安全保护等级划分准则,GB17859-1999,是我国首次制定的为评价、开发、研究计算机及网络系统的安全提供的指导准则。习题,20-1,什么是风险管理？简述风险评估的方法。,20-2,安全成熟度模型的作用是什么？应从哪些方面来分析？,20-3,弄清楚威胁的来源是减少威胁得逞可能性的关键，哪些是主要的威胁源？,20-4,什么是防止电子窃听的保护措施？,20-5,什么是导致不安全的最常见的软件缺陷？,20-6,简述从安全成熟度模型,3,个方面的安全评估阶段。,习题,20-7,简述网络安全评估的过程和方法。,20-8,可信计算机系统评估准则的适用范围是什么？,20-9,计算机信息系统安全保护等级划分准则是一个强制性的国家标准，制定该标准的主要目的是什么？安全等级是如何划分的？,20-10,通用安全评估准则,CC,是一个国际标准，,CC,由哪几部分组成？其主要内容是什么？,