网络系统安全评估及高危漏洞ppt.ppt

广东省中小学信息网络管理员安全技术培训班 Dec 2005 许伯桐（博士） Email: burton.xugmail.com,Professional Security Solution Provider,网络系统安全评估及高危漏洞,提纲,安全态势 （15分钟） 安全标准与风险评估（90分钟) 概述（15分钟） 通用准则CC （45分钟） BS7799 （30分钟） 休息 （15分钟) 系统高危漏洞 （60分钟) 概述（10分钟） 20个最危险的安全漏洞（25分钟） 网络安全维护（20分钟） 安全编程与其他安全技术领域（5分钟）,安全态势,安全态势,近年网络安全态势,任何组织都会遭受到的攻击 每年发现的漏洞数量飞速上升 发起攻击越来越容易、攻击能力越来越强 黑客职业化 攻击方式的转变 不为人知的威胁 zero-day,特点,任何组织都会遭受攻击,每年发现的漏洞数量飞速上升,每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条 到2005年到5月6日就已经达到1470条,发起攻击越来越容易、攻击能力越来越强,黑客的职业化之路,不再是小孩的游戏，而是与 ￥ 挂钩 职业入侵者受网络商人或商业间谍雇佣 不在网上公开身份，不为人知，但确实存在！ 攻击水平通常很高，精通多种技术 攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究,面临严峻的安全形势,SQL Injection等攻击方式对使用者要求较低 缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧 少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加 漏洞挖掘流程专业化，工具自动化 “看不见的风险”厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知,网络安全事件造成巨大损失,在FBI/CSI的一次抽样调查结果：被调查的企业2004年度由于网络安全事件直接造成的损失就达到1.4亿美元,怠工、蓄意破坏,系统渗透,Web页面替换,电信欺诈,电脑盗窃,无线网络的滥用,私有信息窃取,公共web应用的滥用,非授权访问,金融欺诈,内部网络的滥用,拒绝服务攻击,病毒事件,网络安全事件类型,来源：信息网络安全状况调查,常用管理方法,来源：信息网络安全状况调查,应用最广泛的网络安全产品,来源：信息网络安全状况调查,网络攻击产生原因分析,来源：信息网络安全状况调查,安全设计四步方法论,ISSF模型,安全设计和安全域/等级保护的结合(示例）,安全体系的全面性 措施分级保护、适度安全 强度分级 三分技术，七分管理,网络系统安全风险评估,网络系统安全风险评估,组织实现信息安全的必要的、重要的步骤,风险评估的目的,风险评估的目的,了解组织的安全现状,分析组织的安全需求,建立信息安全管理体系的要求,制订安全策略和实施安防措施的依据,风险的四个要素：,资产及其价值 威胁 脆弱性 现有的和计划的控制措施,风险的要素,资产的分类,电子信息资产 软件资产 物理资产 人员 公司形象和名誉,威胁举例：,黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 自然灾害如：地震、火灾、爆炸等,盗窃 网络监听 供电故障 后门 未授权访问,脆弱性,是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。,脆弱性举例：,系统漏洞 程序Bug 专业人员缺乏 不良习惯 系统没有进行安全配置,物理环境不安全 缺少审计 缺乏安全意识 后门 ,风险的要素,风险分析矩阵风险程度,E：极度风险 H：高风险 M：中等风险 L: 低风险,国际上常见的风险控制流程,提供,采取,降低,影响,完成,保护,安全保证技术提供者,系统评估者,安全保证,信心,风险,对策,资产,使命,资产拥有者,价值,给出证据,生成保证,具有,信息安全有效评估的目标,风险评估要素关系模型,信息系统是一个巨型复杂系统（系统要素、安全要素） 信息系统受制于外部因素（物理环境、行政管理、人员） 作业连续性保证 威胁和风险在同领域内的相似性 自评估、委托评估、检察评估,信息系统安全风险评估的特征,风险评估的一般工作流程,风险评估活动,风险评估活动,风险评估活动,评估工具,评估工具目前存在以下几类： 扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞； 入侵检测系统（IDS）：用于收集与统计威胁数据； 渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞； 主机安全性审计工具：用于分析主机系统配置的安全性； 安全管理评价系统：用于安全访谈，评价安全管理措施； 风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能； 评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。,GB 18336 idt ISO/IEC 15408 信息技术安全性评估准则,IATF 信息保障技术框架,ISSE 信息系统安全工程,SSE-CMM 系统安全工程能力成熟度模型,BS 7799, ISO/IEC 17799 信息安全管理实践准则,其他相关标准、准则 例如：ISO/IEC 15443, COBIT。,系统认证和认可标准和实践 例如：美国DITSCAP, ,中国信息安全产品测评认证中心 相关文档和系统测评认证实践,技术准则 （信息技术系统评估准则）,管理准则 （信息系统管理评估准则）,过程准则 （信息系统安全工程评估准则）,信息系统安全保障评估准则,与现有标准关系,信息系统安全保障评估准则,信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC 信息技术安全评估准则ITSEC 通用准则CC（ISO 15408、GB/T18336) 计算机信息系统安全保护等级划分准则 BS7799、ISO17799 信息技术 安全技术 信息技术安全性评估准则 ISO13335 IT安全管理指南 SSE-CMM 系统安全工程能力成熟度模型 我国的信息安全标准制定情况,标准介绍,保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。 根据国务院27号文件，对信息安全实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO 15408，管理体系标准是ISO 17799/ BS 7799。,通用准则CC (ISO/IEC 15408、GB/T18336）,通用准则CC,信息技术安全评估准则发展过程,1999年 GB 17859 计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则（ITSEC）,国际通用准则 1996年（CC1.0） 1998年（CC2.0）,1985年美国可信计算机系统评估准则（TCSEC）,1993年 加拿大可信计算机产品评估准则（CTCPEC）,1993年美国联邦准则（FC 1.0）,1999年 国际标准 ISO/IEC 15408,1989年 英国 可信级别标准 （MEMO 3 DTI）,德国评估标准（ZSEIC）,法国评估标准 （B-W-R BOOK）,2001年 国家标准 GB/T 18336 信息技术安全性评估准则 idt iso/iec15408,1993年美国NIST的MSFR,CC的适用范围,CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准 针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求，使各种相对独立的安全评估结果具有可比性。 该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。 该标准的主要目标读者是用户、开发者、评估者。,CC内容,CC吸收了个先进国家对现代信息系统安全的经验和知识，对信息系统安全的研究和应用定来了深刻的影响。它分为三部分： 第一部分介绍CC的基本概念和基本原理； 第二部分提出了安全功能要求； 第三部分提出了非技术性的安全保证要求。 后两部分构成了CC安全要求的全部：安全功能要求和安全保证要求，其中安全保证的目的是为了确保安全功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和发展提供了最大可能的空间和自由度。 CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即： 安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。,CC的关键概念,评估对象（Target of Evaluation,TOE) 用于安全评估的信息技术产品、系统或子系统（如防火墙、计算机网络、密码模块等），包括相关的管理员指南、用户指南、设计方案等文档。 保护轮廓（Protection Profile,PP) 为既定的一系列安全对象提出功能和保证要求的完备集合，表达了一类产品或系统的用户需求。 PP与某个具体的TOE无关，它定义的是用户对这类TOE 的安全需求。 主要内容：需保护的对象；确定安全环境；TOE的安全目的；IT安全要求；基本原理 在标准体系中PP相当于产品标准，也有助于过程规范性标准的开发。 国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。,CC的关键概念,安全目标（Security Target) ST针对具体TOE而言，它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。 ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。 ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。 ST相当于产品和系统的实现方案，与ITSEC的安全目标类似。 TOE Security Policy (TSP)TOE安全策略 控制TOE中资产如何管理、保护和分发的规则。,CC的关键概念,TOE Security Functions(TSF)TOE安全功能 必须依赖于TSP正确执行的TOE的所有部件。 组件（Component) 组件描述了一组特定的安全要求，使可供PP、ST或包选取的最小的安全要求集合。 在CC中，以“类_族.组件号”的方式来标识组件。 包（Package) 组件依据某个特定关系的组合，就构成了包。 构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。 包可以用来构造更大的包，PP和ST。包可以重复使用。 CC中有功能包和保证包两种形式。,CC的关键概念,CC的关键概念,CC的关键概念,CC的先进性,结构的开放性 即功能要求和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。 表达方式的通用性 即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。例如，用户使用CC的语言表述自己的安全需求，开发者就可以更具针对性地描述产品和系统的安全功能和性能，评估者也更容易有效地进行客观评估，并确保用户更容易理解评估结果。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。在经济全球化发展、全球信息化发展的趋势下，这种特点也是进行合格评定和使评估结果实现国际互认的需要。,CC的先进性,结构和表达方式的内在完备性和实用性 体现在“保护轮廓”和“安全目标”的编制上。 “保护轮廓”主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为安全技术类标准对待。 内容主要包括： 对该类产品或系统的界定性描述，即确定需要保护的对象； 确定安全环境，即指明安全问题需要保护的资产、已知的威胁、用户的组织安全策略； 产品或系统的安全目的，即对安全问题的相应对策技术性和非技术性措施； 信息技术安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何解决安全问题；,基本原理，指明安全要求对安全目的、安全目的对安全环境是充分且必要的； 附加的补充说明信息。 “保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性； 另一方面用户通过分析所需要的产品和系统面临的安全问题，明确所需的安全策略，进而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全保护的针对性、有效性。 “安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。 通过“保护轮廓”和“安全目标”这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。,CC的先进性,CC内容之间的关系,CC的三个部分相互依存，缺一不可。 第1部分是介绍CC的基本概念和基本原理； 第2部分提出了技术要求； 第3部分提出了非技术性要求和对开发过程、工程过程的要求。 三个部分有机地结合成一个整体。 具体体现在“保护轮廓”和“安全目标” 中，“保护轮廓”和“安全目标”的概念和原理由第1部分介绍，“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。,保护轮廓与安全目标的关系,通用准则CC,CC包括三个部分: 第一部分：简介和一般模型 第二部分：安全功能要求 第三部分：安全保证要求,通用准则CC：第一部分 介绍和通用模型,安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到 在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的,CC 第一部分内容（1）,CC 第一部分内容（2）,通用准则CC,CC中安全需求的描述方法: 包:组件的中间组合被称为包 保护轮廓(PP): PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述 安全目标(ST)： ST是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的,通用准则CC,包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集 包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求 包可用在构造更大的包、PP和ST中,通用准则CC,PP包含一套来自CC（或明确阐述）的安全要求，它应包括一个评估保证级别（EAL） PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求 PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体,通用准则CC：保护轮廓内容结构,通用准则CC,安全目标(ST)包括一系列安全要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明 一个ST包含TOE的概要规范，安全要求和目的，以及它们的基本原理 ST是所有团体间就TOE应提供什么样的安全性达成一致的基础,通用准则CC：安全目标ST内容结构,通用准则CC,CC框架下的评估类型 PP评估 PP评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的安全要求的声明 ST评估 ST评估具有双重目标： 首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的基础 其次，当某一ST宣称与某一PP一致时，证明ST满足该PP的要求 TOE评估 TOE评估的目标是为了证明TOE满足ST中的安全要求,通用准则CC,三种评估的关系,通用准则CC 第二部分：安全功能要求,CC的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求 另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中,通用准则CC 第二部分：安全功能要求,通用准则CC 第二部分：安全功能要求,通用准则CC 第二部分：安全功能要求,通用准则CC 第二部分：安全功能要求,安全功能需求层次关系,功能和保证要求以“类族组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包“评估保证级包”。,通用准则CC,CC共包含的11个安全功能类，如下： FAU类：安全审计 FCO类：通信 FCS类：密码支持 FDP类：用户数据保护 FIA类：标识与鉴别 FMT类：安全管理 FPR类：隐秘 FPT类：TSF保护 FAU类：资源利用 FTA类：TOE访问 FTP类：可信路径/信道,通用准则CC：第三部分 评估方法,CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求 只有七个安全保证类是TOE的评估类别,通用准则CC：第三部分 评估方法,CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则 维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求 只有七个安全保证类是TOE的评估类别,通用准则CC：第三部分 评估方法,通用准则CC：第三部分 评估方法,通用准则CC：第三部分 评估方法,通用准则CC：第三部分 评估方法,通用准则CC：第三部分 评估方法,通用准则CC,七个安全保证类 ACM类：配置管理 CM 自动化 CM 能力 CM 范围 ADO类：交付和运行 交付 安装、生成和启动 ADV类：开发 功能规范 高层设计 实现表示 TSF内部 低层设计 表示对应性 安全策略模型,AGD类：指南文档 管理员指南 用户指南 ALC类：生命周期支持 开发安全 缺陷纠正 生命周期定义 工具和技术 ATE类：测试 覆盖范围 深度 功能测试 独立性测试 AVA类：脆弱性评定 隐蔽信道分析 误用 TOE安全功能强度 脆弱性分析,通用准则CC,通用准则CC,安全保证要求部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs）分别是：,通用准则CC： EAL解释,通用准则CC： EAL解释,CC的EAL与其他标准等级的比较,PP基本原理,对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策 安全目的基本原理 安全要求基本原理,威胁,组织安全策略,假设,安全需求,IT安全要求,TOE 目的,环境的目的,安全目的,相互支持,支持,恰好满足,恰好满足,功能强度声明,一致,威胁举例,T.REPLAY 重放,当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。,安全目的举例,O.SINUSE 单用途,TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。,O.SECFUN 安全功能,TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。,O.SINUSE,FIA_ATD.1 用户属性定义：允许为每个用户单独保存其用户安全属性。 FIA_UAU.1 鉴别定时：允许用户在身份被鉴别前，实施一定的动作。 FIA_UAU.4 单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。 FMT_MSA.3 静态属性初始化：确保安全属性的默认值是允许的或限制某行为的。,TOE安全功能要求举例,TOE安全功能要求举例,FMT_MOF.1 安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。 FAU_STG.1 受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。 FAU_STG.4 防止审计数据丢失：规定当审计踪迹溢满时的行动。,O.SECFUN,PP示例,“包过滤防火墙安全技术要求”（GB 18019-99） “应用级防火墙安全技术要求”（GB18020-99） “路由器安全技术要求”（GB18018-99） “电信智能卡安全技术要求” “网上证券委托系统安全技术要求”,通用准则CC,CC优点： CC代表了先进的信息安全评估标准的发展方向，基于CC的IT安全测评认证正在逐渐为更多的国家所采纳，CC的互认可协定签署国也在不断增多。根据IT安全领域内CC认可协议，在协议签署国范围内，在某个国家进行的基于CC的安全评估将在其他国家内得到承认。截止2003年3月，加入该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。 到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。 CC缺点： CC应用的局限性，比如该标准在开篇便强调其不涉及五个方面的内容：行政性管理安全措施、物理安全、评估方法学、认可过程、对密码算法固有质量的评价，而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。 CC还有一个明显的缺陷，即它没有数学模型的支持，即理论基础不足。TCSEC还有BLP模型的支持。其安全功能可以得到完善的解释，安全功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求，只局限于简单的自然语言描述，不能落实到具体的安全机制上。更无从评价这些安全要求的强度。 所以： CC并不是万能的，它仍然需要与据各个国家的具体要求，与其他安全标准相结合，才能完成对一个信息系统的完整评估。 目前得到国际范围内认可的是ISO/IEC 15408（CC）,我国的GB/T 18336等同采用ISO /IEC 15408。,BS7799、ISO17799,BS7799,历史沿革,1995年，英国制定国家标准BS 7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISO DIS 14980。 1998年，英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。 2000年，国际标准组织 ISO/IEC JTC SC 27在日本东京10月21日通过BS 7799-1，成为 ISO DIS 17799-1，2000年12月1日正式发布。 目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799；日本、瑞士、卢森堡表示对BS 7799感兴趣；我国的台湾、香港地区也在推广该标准。 BS 7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。 但是： ISO17799 不是认证标准，目前正在修订。 BS7799-2 是认证标准，作为国际标准目前正在讨论。,BS7799内容：总则,要求各组织建立并运行一套经过验证的信息安全管理体系（ISMS），用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。 建立管理框架 确立并验证管理目标和管理办法时需采取如下步骤： 定义信息安全策略 定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征 进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等 根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域 选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法可依 准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理办法进行记录 对上述步骤的合理性应按规定期限定期审核。,BS7799部分,BS7799-1:1999 信息安全管理实施细则是组织建立并实施信息安全管理体系的一个指导性的准则， 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。 BS7799-2:2002 信息安全管理体系规范规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合: 组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展； 作为寻求信息安全管理体系第三方认证的标准。 BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。,十大管理要项 BS 7799-2:2002,十大管理要项 BS 7799-2:2002,1、 安全方针：为信息安全提供管理指导和支持； 2、 组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全； 3、 资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护； 4、人员安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训； 5、实物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃； ,十大管理要项 BS 7799-2:2002,6、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过；加强网络管理确保网络中的信息安全及其辅助设施受到保护；通过保护媒体处理的安全，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误用； 7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全； 8、系统开发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全； 9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响； 10、符合：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。,BS7799与CC的比较,BS 7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。 同BS 7799相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。 总的来说，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。,制订信息安全方针,定义ISMS范围,进行风险评估,实施风险管理,选择控制目标措施,准备适用声明,第一步：,第二步：,第三步：,第四步：,第五步：,第六步：,建立ISMS框架,第一步 制订信息安全方针 BS7799-2对ISMS的要求： 组织应定义信息安全方针。 信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。 要经最高管理者批准和发布 体现了最高管理者对信息安全的承诺与支持 要传达给组织内所有的员工 要定期和适时进行评审 目的和意义 为组织提供了关注的焦点，指明了方向，确定了目标； 确保信息安全管理体系被充分理解和贯彻实施； 统领整个信息安全管理体系。,建立ISMS框架,第一步 制订信息安全方针 信息安全方针的内容 包括但不限于： 组织对信息安全的定义 信息安全总体目标和范围 最高管理者对信息安全的承诺与支持的声明 符合相关标准、法律法规、和其它要求的声明 对信息安全管理的总体责任和具体责任的定义 相关支持文件 注意事项 简单明了 易于理解 可实施 避免太具体,建立ISMS框架,第二步 确定ISMS范围 BS7799-2对ISMS的要求： 组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。 可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围； 信息安全管理范围必须用正式的文件加以记录。 ISMS范围文件 文件是否明白地描述了信息安全管理体系的范围 范围的边界和接口是否已清楚定义,建立ISMS框架,第三步 风险评估 BS7799-2对ISMS的要求： 组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。 是否执行了正式的和文件化的风险评估？ 是否经过一定数量的员工验证其正确性？ 风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？ 风险评估是否定期和适时进行？,建立ISMS框架,第四步 风险管理 BS7799-2对ISMS的要求： 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。 根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。 是否定义了组织的风险管理方法？ 是否定义了所需的信息安全保证程度？ 是否给出了可选择的控制措施供管理层做决定？,建立ISMS框架,第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。 选择控制措施的示意图 选择的控制措施是否建立在风险评估的结果之上？ 是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？ 选择的控制措施是否反应了组织的风险管理战略？ 针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择,建立ISMS框架,安全问题,安全需求,控制目标,控制措施,指出,第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 未选择某项控制措施的原因 风险原因- 没有识别出相关的风险 财务原因- 财务预算的限制 环境原因- 安全设备、气候、空间等 技术- 某些控制措施在技术上不可行 文化- 社会环境的限制 时间- 某些要求目前无法实施 其它- ？,建立ISMS框架,第六步 准备适用声明 BS7799-2对ISMS的要求： 组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。 在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。,建立ISMS框架,未来实现公司ISMS 适用声明,风险评估如何贯穿于安全管理BS 7799-2:2002,ISMS,ISMS,风险评估如何贯穿于安全管理BS 7799-2:2002,ISMS,风险评估如何贯穿于安全管理BS 7799-2:2002,ISMS,风险评估如何贯穿于安全管理BS 7799-2:2002,ISMS 资产,ISO/IEC 17799 7.1.1 Inventory of assets,ISMS 风险,Asset threats & vulnerabilities,Asset value & utility,Risks & impacts,风险等级,业务影响 低 (可忽略, 无关紧要,为不足 道, 无须重视) 中低(值得注意, 相当可观但 不是主要的) 中 (重要, 主要) 中高 (严重危险, 潜在灾难) 高 (破坏性的, 总体失灵,完全停顿),资产分级,资产分级,资产分级,威胁和脆弱性估计,威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。,风险控制,Risk threshold,Risk level,风险控制,Continual Improvement,7.5信息系统安全保障管理级别,几点认识,风险评估是落实等级保护的抓手。 面向对象和面向手段不能分割。 IT驱动和业务驱动同样需要。 风险评估是出发点 等级划分是判断点 安全控制是落脚点,高危漏洞,高危漏洞,正确的安全观念,全网安全 动态安全 相对安全,包括,全网安全,在政府网站系统中，综合考虑技术、管理、规范、行业法规等各个环节和因素，在网络运行的各个阶段，分析网络的参考点和安全的各个层次，采取适当的安全技术和安全管理手段，从整个网络的安全需求出发，构建全方位多层次的安全架构 简单而言，应在积极利用这个安全按技术和产品的同时，建立配套的管理制度，两者相辅相成，实施于政府网站系统的各个阶段，使人、业务过程和安全技术高度协调,动态安全,安全不是一成不变的或者静态的，而是“动态”的安全 网络结构会随着业务需求的变化而变化，计算机技术不停地改进，攻击手段也越来越高超；而当网络发生变化，或者出现新的安全技术和攻击手段，或者在安全事件发生之后，安全体系必须能够包容新的情况，及时做出联动反应，把安全风险维持在所允许的范围之内 安全体系应该采用“以动制动”的机制,如何达到动态安全,采用自顶向下的方法，将整个网络系统划分为子系统，对单个系统直至系统中的部件进行详尽的风险分析 定期或不定期对网络进行安全检查，检查时应按上次评估的结果及管理阶层所能接受的风险程度，以不同深度进行 依据已有技术修补发现的新漏洞 将评估和检查作为是必需的日常工作,相对安全,对于不同性质的政府网站，对于安全的要求是不同的。不能将安全问题绝对化，不是“越安全越好” 安全保护是有成本的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大部分非法用户就不愿意做这种事情 在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡，实现“恰到好处”的安全,网络安全主要威胁来源,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫