《安全认证和评估1》由会员分享,可在线阅读,更多相关《安全认证和评估1(88页珍藏版)》请在金锄头文库上搜索。
1、第十二章 安全认证和评估,12.1 风险管理 12.2 安全成熟度模型 12.3 威胁 12.4 安全评估方法 12.5 安全评估准则 12.6 本章小结,针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化,新的应用正在开发,新的平台正在加到非军事区(DMZ),额外的端口正在加进防火墙。由于竞争,很多应用在市场的生存时间越来越短,软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录,将计算机、网络设备以及在网络上的各个应用编制进去,而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分,应用的漏洞(脆弱性)不断发生。
2、,安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念,称为安全成熟度模型(Security Maturity Model, SMM),用来适当地测量一个给定的准则,该准则基于在工业界最佳的经营业务实际,且能将其反馈到经营业务。它还提供一个改进的方法,包括将不足之处列成清单。安全成熟度模型可测量企业安全体系结构的3个不同部分:计划、技术与配置、操作运行过程。,从经营业务的观点看,要求安全解决方案的性能价格比最好,即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而,决定哪些安全控制是
3、合适的以及性能价格比好的这一过程经常是复杂的,有时甚至是主观的。安全风险分析的最主要功能是将这个过程置于更为客观的基础上。,风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO(Chief Financial Officer, 首席财务执行官)、经营业务部门的负责人,以及信息所有者。 一个组织的总的风险依赖于下面一些属性: 资产的质量(丢失资产的效应)和数量(钱)的价值; 基于攻击的威胁可能性; 假如威胁实现,对经营业务的影响。,12.1 风险管理,将资产价值和代价相联系或决定投资回报(Return On Investment, ROI
4、)的能力经常是困难的。相反,可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息,因为对这些信息的错误处理,其结果将危害到国家秘密。比之于商业组织,政府愿意花更多的费用来保护信息。 直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的,很多金融贸易系统因此而遭受大量经济损失。生产的降低,例如E-mail服务器宕机,很多组织的工作将停止。,与定量的代价相比,质量的代价对组织的破坏更大。假如用来销售的Web站点被黑客破坏了,有可能所有客户的信用卡号被偷,这将严重地影响这个站点的信誉。也有可能在短时期内,经营业务停止。 风险评估对漏洞和威胁的可能性进行检查
5、,并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具,然而十分熟悉网上的应用,可以删除文件、引起某些物理损坏,甚至是逻辑炸弹等。,漏洞水平和保护组织资产的安全体系结构的能力正相反。如果安全控制弱,那么暴露的水平高,随之发生事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性,且很难预测:资产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。 描述威胁和漏洞最好的方法是根据对经营业务的影响描述。此外,对特殊风险的评估影响还和不确定性相联系,也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性,因此安
6、全的计划和认证是十分困难的。图12.1表示了风险评估的方法。,图12.1 风险评估方法,成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于安全评估,以测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析:计划、技术和配置、操作运行过程。,12.2 安全成熟度模型,安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则,在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控,以及安全教育方面。美国Carnegie Mellon大学的软件工程研究所(Software Engineering Insititu
7、e,SEI)制定了系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model, SSE-CMM)。它将安全成熟度能力级别分成4级,以适应不同级别的安全体系结构,如表12-1所示。,表12-1 安全成熟度能力级别,1. 安全计划 一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题: (1) 内容太旧,已过时,不适用于当前的应用。安全策略应每年更新,以适应技术的变化。 (2) 文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种
8、解释。如果陈述太抽象,那么实施时将无效力。 (3) 表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。,(4) 用户需要知道有关安全的文本。如果用户不能方便地获得和阅读文本,就会无意地犯规,然而难以追查责任。 2. 技术和配置 当今,市场上有很多安全厂商和安全产品,但是没有一个产品能提供完全的安全解决方案。诸如防火墙、IDS、VPN、鉴别服务器等产品都只是解决有限的问题。安全专业人员应能适当地选择产品,正确地将它们安置在基础设施中,合适地配置和支持。然而,他们经常会不正确地采购安全产品,例如,有人认为只要在需要保护的有价值的资产
9、前放置一个防火墙,就什么问题都能解决。从网络的观点看部分正确,但防火墙不提供应用和平台的保护,也不提供有用的入侵检测信息。,安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问,只有清晰的允许规则能通过通信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。 3. 运行过程 运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有能退回到目前工作版本的设施,并且要和经营业务连续性计划协调一致。,安全设备会产生一些不规则的日志信息,这对
10、管理员来说是复杂的,一旦配置有差错,就会阻止访问网络、应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后,识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。 技术变化十分迅速,对从事于安全事业的人员增加了很多困难,因此选择高水平的人员从事该项工作是必须的。特别是,从事安全培训的专业人员是有效信息安全程序的关键,要使用各种有效媒体进行安全培训课程。每个企业员工都要接受安全培训,要对不同的人员(例如安全管理员、最终用户、数据拥有者)有针对性地进行培训。,在第2章中讲到,风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。测定风险的两个组成部分是漏洞和威胁。漏洞是攻
11、击可能的途径,威胁是一个可能破坏信息系统安全环境的动作或事件。威胁包含3个组成部分: (1) 目标,可能受到攻击的方面。 (2) 代理,发出威胁的人或组织。 (3) 事件,做出威胁的动作类型。作为威胁的代理,必须要有访问目标的能力,有关于目标的信息类型和级别的知识,还要有对目标发出威胁的理由。,12.3 威胁,本章从安全的验证和评估出发,具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。,弄清楚威胁的来源是减少威胁得逞可能性的关键,下面陈述各种主要的威胁源。 1. 人为差错和设计缺陷 最大的威胁来源是操作中人为的疏忽行为。据一些统计,造成信息系统在经费和生产力方面损失的一半是由于人为
12、的差错,另一半则是有意的、恶意的行为。这些人为差错包括不适当地安装和管理设备、软件,不小心地删除文件,升级错误的文件,将不正确的信息放入文件,忽视口令更换或做硬盘后备等行为,从而引起信息的丢失、系统的中断等事故。,12.3.1 威胁源,上述事故由于设计的缺陷,没有能防止很多普遍的人为差错引起的信息丢失或系统故障。设计的缺陷还会引起各种漏洞的暴露。 2. 内部人员 很多信息保护设施的侵犯是由一些试图进行非授权行动或越权行动的可信人员执行的。其动机有些是出于好奇,有些是恶意的,有些则是为了获利。内部人员的入侵行为包括复制、窃取或破坏信息,然而这些行为又难以检测。这些个体持有许可或其他的授权,或者通
13、过那些毋需专门授权的行为使网络运行失效或侵犯保护设施。根据统计,内部人员的侵犯占所有严重安全侵犯事件的70%80%。,3. 临时员工 外部的顾问、合同工、临时工应和正式员工一样,必须有同样的基本信息安全要求和信息安全责任,但还需有一些附加的限制。例如,和正式员工一样,需签一个信息安全遵守合同,接受相应的安全意识培训。除此之外,临时员工还必须有一个专门的协议,只允许访问那些执行其委派的任务所需的信息和系统。 4. 自然灾害和环境危害 环境的要求,诸如最高温度和最低温度、最高湿度、风暴、龙卷风、照明、为水所淹、雨、火灾以及地震等,都能破坏主要的信息设施及其后备系统。应制定灾难恢复计划,预防和处理这
14、些灾害。,5. 黑客和其他入侵者 来自于非授权的黑客,为了获得钱财、产业秘密或纯粹是破坏系统的入侵攻击行为近年来呈上升趋势。这些群体经常雇佣一些攻击高手并进行耸人听闻的报导。这些群体包括青少年黑客、专业犯罪者、工业间谍或外国智能代理等。 6. 病毒和其他恶意软件 病毒、蠕虫、特洛伊木马以及其他恶意软件通过磁盘、预包装的软件、电子邮件和连接到其他网络进入网络。这些危害也可能是由于人为差错、内部人员或入侵者引起的。,采取对策以防止各种威胁情况,不仅需要了解威胁的来源,还应知道这些威胁是怎样侵袭安全体系结构的。下面列举各种情况。 1. 社会工程(系统管理过程) 社会工程攻击假冒已知授权的员工,采用伪
15、装的方法或电子通信的方法,具体情况如下: 攻击者发出一封电子邮件,声称是系统的根,通知用户改变口令以达到暴露用户口令的目的。 攻击者打电话给系统管理员,声称自己是企业经理,丢失了modem池的号码、忘记了口令。,12.3.2 威胁情况和对策, 谎说是计算机维修人员,被批准进入机房,并访问系统控制台。 含有机密信息的固定存储介质(硬盘、软盘)被丢弃或不合适地标号,被非授权者假装搜集废物获得。 所有上面4种威胁情况都可以使攻击得逞。社会工程的保护措施大多是非技术的方法。下面列出的每一种保护措施可防御上面提到的攻击: (1) 培训所有企业用户的安全意识。 (2) 培训所有系统管理员的安全意识,并有完
16、善的过程、处理、报告文本。 (3) 对允许外访人员进入严格限制区域的负责人进行安全意识培训。,2. 电子窃听 Internet协议集在设计时并未考虑安全。TELNET、FTP、SMTP和其他基于TCP/IP的应用易于从被动的线接头获取。用户鉴别信息(如用户名和口令)易于从网络中探测到,并伪装成授权员工使用。假如外部人员对企业设施获得物理访问,则可以将带有无线modem的手提计算机接到局域网或集线器上,所有通过局域网或集线器的数据易于被任何威胁者取得。此外,假如外部人员能电子访问带有modem服务器进程的工作站,就可以将其作为进入企业网络的入口。任何在Internet传输的数据对泄露威胁都是漏洞。所有上述4种威胁都有可能使这些攻击得逞。,防止窃听的保护措施包括鉴别和加密。使用双因子鉴别提供强的鉴别,典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号(PIN)或口令。保护传输中的口令和ID,可以采用加密的措施。链路加密(SSL和IPv6)保护直接物理连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密(安全Telnet和FTP、S/MIME)提
