网络系统安全评估及高危漏洞课件

1、31 七月 20221网络系统安全评估及高危漏洞提纲安全态势 （15分钟）安全标准与风险评估（90分钟)概述（15分钟）通用准则CC （45分钟）BS7799 （30分钟）休息 （15分钟)系统高危漏洞 （60分钟)概述（10分钟）20个最危险的安全漏洞（25分钟）网络安全维护（20分钟）安全编程与其他安全技术领域（5分钟）安全态势安全态势近年网络安全态势任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁 zero-day特点任何组织都会遭受攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年CVE全年收

2、集漏洞信息1707条 到2005年到5月6日就已经达到1470条年份漏洞数量1999742200040420018322002100620031049200417072005*1479发起攻击越来越容易、攻击能力越来越强黑客的职业化之路不再是小孩的游戏，而是与 ￥ 挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份，不为人知，但确实存在！攻击水平通常很高，精通多种技术攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究面临严峻的安全形势SQL Injection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力

3、，并且这个数量在增加漏洞挖掘流程专业化，工具自动化“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知网络安全事件造成巨大损失在FBI/CSI的一次抽样调查结果：被调查的企业2004年度由于网络安全事件直接造成的损失就达到1.4亿美元怠工、蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内部网络的滥用 拒绝服务攻击 病毒事件 网络安全事件类型来源：信息网络安全状况调查常用管理方法来源：信息网络安全状况调查应用最广泛的网络安全产品 来源：信息网络安全状况调查网络攻击产生原因分析 来源：信息网络安

4、全状况调查安全设计四步方法论ISSF模型安全设计和安全域/等级保护的结合(示例）等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复123 4 5 安全体系的全面性 措施分级保护、适度安全 强度分级 三分技术，七分管理网络系统安全风险评估网络系统安全风险评估 组织实现信息安全的必要的、重要的步骤风险评估的目的风险评估的目的 了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据风险的四个要素： 资产及其价值 威胁 脆弱性 现有的和计划的控制措施风险的要素资产的分类 电子信息资产 软件资产 物理

5、资产 人员 公司形象和名誉威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门风险的要素风险分析矩阵风险程度 可能性 后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE（罕见）LLMHH

6、E：极度风险 H：高风险 M：中等风险 L: 低风险国际上常见的风险控制流程确定风险评估方法 风险评估确定安全需求法律、法规系统任务和使命系统建设阶段、规模资产、威胁、脆弱性、现有措施法律、法规，系统任务和使命、评估结果制定安全策略选择风险控制措施验证措施实施效果安全需求技术限制、资源限制安全需求、实施效果安全策略文件风险评估报告安全需求报告风险管理方案适用性声明验证报告提供采取降低影响完成保护安全保证技术提供者系统评估者安全保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有信息安全有效评估的目标风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被

7、满足利用暴露降低增加增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统受制于外部因素（物理环境、行政管理、人员）作业连续性保证威胁和风险在同领域内的相似性自评估、委托评估、检察评估信息系统安全风险评估的特征风险评估的一般工作流程风险评估活动风险评估活动风险评估活动评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管

8、理评价系统：用于安全访谈，评价安全管理措施； 风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能；评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则IATF 信息保障技术框架ISSE 信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC 15443, COBIT。系统认证和认可标准和实践例如：美国DITSCAP, 中国信息安全产品测评认证

9、中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则与现有标准关系信息系统安全保障评估准则信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC信息技术安全评估准则ITSEC通用准则CC（ISO 15408、GB/T18336)计算机信息系统安全保护等级划分准则BS7799、ISO17799信息技术 安全技术 信息技术安全性评估准则ISO13335 IT安全管理指南SSE-CMM 系统安全工程能力成熟度模型我国的信息安全标准制定情况标准介绍保障信息安全有三个支柱，一个是技术、一个是管理

10、、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。根据国务院27号文件，对信息安全实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO 15408，管理体系标准是ISO 17799/ BS 7799。 通用准则CC(ISO/IEC 15408、GB/T18336）通用准则CC信息技术安全评估准则发展过程1999年 GB 17859 计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC

11、）1993年 加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC 1.0）1999年 国际标准ISO/IEC 154081989年 英国可信级别标准（MEMO 3 DTI）德国评估标准（ZSEIC）法国评估标准（B-W-R BOOK）2001年 国家标准GB/T 18336 信息技术安全性评估准则idt iso/iec154081993年美国NIST的MSFRCC的适用范围CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求，使各种相对独立的安全评估结果具有可比性

12、。该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。CC内容CC吸收了个先进国家对现代信息系统安全的经验和知识，对信息系统安全的研究和应用定来了深刻的影响。它分为三部分：第一部分介绍CC的基本概念和基本原理；第二部分提出了安全功能要求；第三部分提出了非技术性的安全保证要求。后两部分构成了CC安全要求的全部：安全功能要求和安全保证要求，其中安全保证的目的是为了确保安全功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的

13、应用和发展提供了最大可能的空间和自由度。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即：安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。CC的关键概念评估对象（Target of Evaluation,TOE)用于安全评估的信息技术产品、系统或子系统（如防火墙、计算机网络、密码模块等），包括相关的管理员指南、用户指南、设计方案等文档。保护轮廓（Protection Profile,PP)为既定的一系列安全对象提出功能和保证要求的完备集合，表达了一类产品或系统的用户需求。PP与某个具体的TOE无关，它

14、定义的是用户对这类TOE的安全需求。主要内容：需保护的对象；确定安全环境；TOE的安全目的；IT安全要求；基本原理在标准体系中PP相当于产品标准，也有助于过程规范性标准的开发。国内外已对应用级防火墙、包过滤防火墙、智能卡等开发了相应的PP。CC的关键概念安全目标（Security Target)ST针对具体TOE而言，它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施。ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP。ST是开发者、评估者、用户在TOE安全性和评估范围之间达成一致的基础。ST相当于产品和系统的实现方案，与ITSEC的安全目标类似。TOE S

15、ecurity Policy (TSP)TOE安全策略控制TOE中资产如何管理、保护和分发的规则。CC的关键概念TOE Security Functions(TSF)TOE安全功能必须依赖于TSP正确执行的TOE的所有部件。组件（Component)组件描述了一组特定的安全要求，使可供PP、ST或包选取的最小的安全要求集合。在CC中，以“类_族.组件号”的方式来标识组件。包（Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。CC的关键

16、概念CC的关键概念CC的关键概念CC的先进性 结构的开放性 即功能要求和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。 表达方式的通用性 即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。例如，用户使用CC的语言表述自己的安全需求，开发者就可以更具针对性地描述产品和系统的安全功能和性能，评估者也更容易有效地进行客观评估，并确保用户更容易理解评估结果。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义

17、。在经济全球化发展、全球信息化发展的趋势下，这种特点也是进行合格评定和使评估结果实现国际互认的需要。 CC的先进性结构和表达方式的内在完备性和实用性体现在“保护轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为安全技术类标准对待。 内容主要包括：对该类产品或系统的界定性描述，即确定需要保护的对象；确定安全环境，即指明安全问题需要保护的资产、已知的威胁、用户的组织安全策略；产品或系统的安全目的，即对安全问题的相应对策技术性和非技术性措施；信息技术安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何

18、解决安全问题；基本原理，指明安全要求对安全目的、安全目的对安全环境是充分且必要的；附加的补充说明信息。“保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性；另一方面用户通过分析所需要的产品和系统面临的安全问题，明确所需的安全策略，进而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全保护的针对性、有效性。“安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、

19、评估、管理中。CC的先进性CC内容之间的关系CC的三个部分相互依存，缺一不可。第1部分是介绍CC的基本概念和基本原理；第2部分提出了技术要求；第3部分提出了非技术性要求和对开发过程、工程过程的要求。三个部分有机地结合成一个整体。具体体现在“保护轮廓”和“安全目标” 中，“保护轮廓”和“安全目标”的概念和原理由第1部分介绍，“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。 保护轮廓与安全目标的关系通用准则CCCC包括三个部分: 第一部分：简介和一般模型 第二部分：安全功能要求 第三部分：安全保证要求 通用准则CC：

20、第一部分 介绍和通用模型安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类 所有的威胁类型都应该被考虑到在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 CC 第一部分内容（1）CC 第一部分内容（2）通用准则CCCC中安全需求的描述方法:包:组件的中间组合被称为包 保护轮廓(PP): PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述 安全目标(ST)： ST是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的通用准则CC包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集包可重复使用

21、，可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可用在构造更大的包、PP和ST中 通用准则CCPP包含一套来自CC（或明确阐述）的安全要求，它应包括一个评估保证级别（EAL）PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理 PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体 通用准则CC：保护轮廓内容结构通用准则CC安全目标(ST)包括一系列安全要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要规范，安全要求和目的，以及它们的基本原

22、理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础 通用准则CC：安全目标ST内容结构通用准则CCCC框架下的评估类型 PP评估PP评估的目标是为了证明PP是完备的、一致的、技术合理的，而且适合于作为一个可评估TOE的安全要求的声明ST评估ST评估具有双重目标：首先是为了证明ST是完备的、一致的、技术合理的，而且适合于用作相应TOE评估的基础其次，当某一ST宣称与某一PP一致时，证明ST满足该PP的要求TOE评估 TOE评估的目标是为了证明TOE满足ST中的安全要求通用准则CC三种评估的关系通用准则CC 第二部分：安全功能要求CC的第二部分是安全功能要求，对满足安全需求的诸安全功能提

23、出了详细的要求另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中通用准则CC 第二部分：安全功能要求通用准则CC 第二部分：安全功能要求通用准则CC 第二部分：安全功能要求通用准则CC 第二部分：安全功能要求安全功能需求层次关系功能和保证要求以“类族组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包“评估保证级包”。通用准则CCCC共包含的11个安全功能类，如下：FAU类：安全审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别

24、FMT类：安全管理FPR类：隐秘FPT类：TSF保护FAU类：资源利用FTA类：TOE访问FTP类：可信路径/信道通用准则CC：第三部分 评估方法CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 通用准则CC：第三部分 评估方法CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的

25、受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 通用准则CC：第三部分 评估方法通用准则CC：第三部分 评估方法通用准则CC：第三部分 评估方法通用准则CC：第三部分 评估方法通用准则CC：第三部分 评估方法通用准则CC七个安全保证类ACM类：配置管理CM 自动化CM 能力CM 范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型AGD类：指南文档管理员指南用户指南ALC类：生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类：测试覆盖范围深度功能测试独立性测试AVA类：脆弱性评定隐蔽

26、信道分析误用TOE安全功能强度脆弱性分析通用准则CC通用准则CC 安全保证要求部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs）分别是：通用准则CC： EAL解释通用准则CC： EAL解释CC的EAL与其他标准等级的比较PP基本原理对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理威胁组织安全策略假设安全需求IT安全要求TOE 目的环境的目的安全目的相互支持支持恰好满足恰好满足功能强度声明一致威胁举例T.REPLAY 重放当截获了有效用户的识别和鉴

27、别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。安全目的举例O.SINUSE 单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN 安全功能TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1 用户属性定义：允许为每个用户单独保存其用户安全属性。FIA_UAU.1 鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4 单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3 静态属性初始化：确保安全属性的默认值是允许的或限

28、制某行为的。TOE安全功能要求举例TOE安全功能要求举例FMT_MOF.1 安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1 受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。FAU_STG.4 防止审计数据丢失：规定当审计踪迹溢满时的行动。O.SECFUNPP示例“包过滤防火墙安全技术要求”（GB 18019-99）“应用级防火墙安全技术要求”（GB18020-99）“路由器安全技术要求”（GB18018-99）“电信智能卡安全技术要求”“网上证券委托系统安全技术要求”通用准则CCCC优点：CC代表了先进的信

29、息安全评估标准的发展方向，基于CC的IT安全测评认证正在逐渐为更多的国家所采纳，CC的互认可协定签署国也在不断增多。根据IT安全领域内CC认可协议，在协议签署国范围内，在某个国家进行的基于CC的安全评估将在其他国家内得到承认。截止2003年3月，加入该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。 到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。CC缺点：CC应用的局限性，比如该标准在开篇便强调其不涉及五个方面的内容：行政性管理安全措施、物理安全、评估方法学、认可过程、

30、对密码算法固有质量的评价，而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷，即它没有数学模型的支持，即理论基础不足。TCSEC还有BLP模型的支持。其安全功能可以得到完善的解释，安全功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求，只局限于简单的自然语言描述，不能落实到具体的安全机制上。更无从评价这些安全要求的强度。所以：CC并不是万能的，它仍然需要与据各个国家的具体要求，与其他安全标准相结合，才能完成对一个信息系统的完整评估。目前得到国际范围内认可的是ISO/IEC 15408（CC）,我国的GB/T 18336等同采用IS

31、O /IEC 15408。BS7799、ISO17799BS7799历史沿革1995年，英国制定国家标准BS 7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISO DIS 14980。1998年，英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。2000年，国际标准组织 ISO/IEC JTC SC 27在日本东京10月21日通过BS 7799-1，成为 ISO DIS 17799-1，2000年12月1日正式发布

32、。 目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799；日本、瑞士、卢森堡表示对BS 7799感兴趣；我国的台湾、香港地区也在推广该标准。BS 7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799 不是认证标准，目前正在修订。BS7799-2 是认证标准，作为国际标准目前正在讨论。BS7799内容：总则要求各组织建立并运行一套经过验证的信息安全管理体系（ISMS），用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架确立并验证管理目标和管理办法

33、时需采取如下步骤：定义信息安全策略定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。BS7799部分BS7799-1:1999 信息安全管理实施细则是组织建立并实施信息安全管理体系的一个指导性

34、的准则， 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002 信息安全管理体系规范规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合: 组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展； 作为寻求信息安全管理体系第三方认证的标准。 BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。 BS 7799 Part 2Corpor

35、ate GovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC 17799十大管理要项 BS 7799-2:2002十大管理要项 BS 7799-2:2002 1、 安全方针：为信息安全提供管理指导和支持；2、 组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全；3、 资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便

36、在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训；5、实物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；十大管理要项 BS 7799-2:2002 6、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过；加强网络管

37、理确保网络中的信息安全及其辅助设施受到保护；通过保护媒体处理的安全，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误用；7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全；8、系统开发与维护：明确系统安全要求，确保安全性已构成信息

38、系统的一部份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全； 9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；10、符合：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。 BS7799与CC的比较BS 77

39、99完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。同BS 7799相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。总的来

40、说，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件建立ISMS框架 第一步 制订信息安全方针BS7799-2对ISMS的要求：组织应定义信息安全方针。信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对

41、公司的信息安全进行全面管理。信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。建立ISMS框架 第一步 制订信息安全方针信息安全方针的内容包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和

42、具体责任的定义相关支持文件注意事项 简单明了 易于理解 可实施 避免太具体建立ISMS框架 第二步 确定ISMS范围BS7799-2对ISMS的要求：组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。ISMS范围文件 文件是否明白地描述了信息安全管理体系的范围 范围的边界和接口是否已清楚定义建立ISMS框架 第三步 风险评估BS7799-2对ISMS的要求：组织应进行适当的风险评估，风险评估应识别资产所面

43、对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？建立ISMS框架第四步 风险管理BS7799-2对ISMS的要求：组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？建立ISMS框架第五步 选择控制目标和控制措施BS7799

44、-2对ISMS的要求：组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择建立ISMS框架安全问题安全需求控制目标控制措施解决指出定义被满足第五步 选择控制目标和控制措施BS7799-2对ISMS的要求：未选择某项控制措施的原因风险原因- 没有识别出相关的风险财务原因- 财务预算的限制环境原因- 安全设备

45、、气候、空间等技术- 某些控制措施在技术上不可行文化- 社会环境的限制时间- 某些要求目前无法实施其它- ？建立ISMS框架第六步 准备适用声明BS7799-2对ISMS的要求：组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。建立ISMS框架未来实现公司ISMS适用声明风险评估如何贯穿于安全管理BS 7799-2:2002设计 ISMSImplement and use the ISMSMonitoring and review the ISMSImp

46、rove and update the ISMS计划DOCHECKACTISMS定义 ISMS 的执行范围和政策执行风险评估对风险评估处理作出决定 选择控制Design the ISMS执行和使用 ISMSMonitoring and review the ISMSImprove and update the ISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将 ISMS 放到 操作使用中风险评估如何贯穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMS监控和检查ISMSImprove a

47、nd update the ISMSPLANDO检查ACTISMS执行监控进程执行定期检查 检查剩余风险和可接受的风险内部审计风险评估如何贯穿于安全管理BS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果 检查改进达到的目标风险评估如何贯穿于安全管理BS 7799-2:2002ISMS 资产Business processesInformation PeopleServicesICTPhy

48、sical locationApplications asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 17799 7.1.1 Inventory of assetsISMS 风险Asset threats &vulnerabilitiesAsset value & utility asset directoryAssetsCorporate imagePeopleInformatio

49、n/information systems ProcessesProducts/servicesApplicationsICTPhysicalRisk treatmentRisks & impactsRisk treatment风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低 (可忽略, 无关紧要,为不足 道, 无须重视) 中低(值得注意, 相当可观但 不是主要的) 中 (重要, 主要)中高 (严重危险, 潜在灾难)高 (破坏性的, 总体失灵,完全停顿)保密性要求 (C)资产价值分级描述1 低可公开非敏感信息和信息

50、处理设施及系统资源，可以公开.。2 中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3 高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know ）或严格依据工作需要。资产分级 完整性要求 (I)资产价值分级描述1 低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2 中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3 高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应

51、用的重大或全局失败。资产分级可用性要求 (A)资产价值分级描述1 - 低低可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍多于一天的不能使用。2 中中可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍半天到一天的不能使用。3 高高可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍几个小时的不能使用。4 非常高非常高的可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 必须保证每年每周24x7 工作。资产分级威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。实例不太可能发生的机会小于1/10可能

52、出现的机会小于 25%很可能/大概机会 50:50高可能发生的机会多于 75%非常可能不发生的机会小于1/10绝对无疑100%会发生风险控制Risk thresholdRisk level风险控制Continual Improvement7.5信息系统安全保障管理级别等级能力描述SAM-CML 1组织内部能够依据经验进行部分的安全管理工作 SAM-CML 2组织能够建立完善的管理体系来规范安全管理 SAM-CML 3组织能够采取有效措施来敦促所制定管理体系的落实和实施，从而能确保管理体系有效实施 SAM-CML 4组织所制定的管理体系不仅能够有效实施，而且还能够对实施的管理措施的效果进行测试，

53、尽量采用量化的数据来分析和验证所采用的管理措施 SAM-CML 5组织能够对管理体系进行持续改进，使管理体系始终对组织安全保障体系的运行发挥最大效应 几点认识风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。风险评估是出发点等级划分是判断点安全控制是落脚点高危漏洞高危漏洞正确的安全观念 全网安全动态安全相对安全包括全网安全在政府网站系统中，综合考虑技术、管理、规范、行业法规等各个环节和因素，在网络运行的各个阶段，分析网络的参考点和安全的各个层次，采取适当的安全技术和安全管理手段，从整个网络的安全需求出发，构建全方位多层次的安全架构简单而言，应在积极利用这个安

54、全按技术和产品的同时，建立配套的管理制度，两者相辅相成，实施于政府网站系统的各个阶段，使人、业务过程和安全技术高度协调 动态安全安全不是一成不变的或者静态的，而是“动态”的安全网络结构会随着业务需求的变化而变化，计算机技术不停地改进，攻击手段也越来越高超；而当网络发生变化，或者出现新的安全技术和攻击手段，或者在安全事件发生之后，安全体系必须能够包容新的情况，及时做出联动反应，把安全风险维持在所允许的范围之内安全体系应该采用“以动制动”的机制如何达到动态安全采用自顶向下的方法，将整个网络系统划分为子系统，对单个系统直至系统中的部件进行详尽的风险分析定期或不定期对网络进行安全检查，检查时应按上次评

55、估的结果及管理阶层所能接受的风险程度，以不同深度进行依据已有技术修补发现的新漏洞将评估和检查作为是必需的日常工作 相对安全 对于不同性质的政府网站，对于安全的要求是不同的。不能将安全问题绝对化，不是“越安全越好”安全保护是有成本的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大部分非法用户就不愿意做这种事情在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡，实现“恰到好处”的安全网络安全主要威胁来源网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁

56、后门、隐蔽通道蠕虫典型的网络安全威胁 威 胁 描 述授权侵犯为某一特定目的的授权，使用一个系统的人却将该系统用作其他未授权的目的旁路控制攻击者发掘系统的缺陷或安全脆弱性拒绝服务对信息或其它资源的合法访问被无条件的拒绝或推迟窃听信息从被监视的通信过程中泄露出去电磁射频截获信息从电子机电设备所发出的无线射频或其它电磁场辐射中被提取非法使用资源被未授权人或以未授权方式使用人员疏忽授权人为了利益或粗心将信息泄露给未授权人信息泄漏信息被泄露或暴漏给某个未授权的实体完整性破坏数据的一致性通过对数据进行未授权的创建、修改或破坏而受到破坏截获修改某一通信数据项在传输过程中被改变、删除或替代假冒一个实体假装成另

57、一个不同的实体典型的网络安全威胁（cont.） 威 胁 描 述 媒体清理信息被从废弃的或打印过的媒体中获得 物理侵入入侵者通过绕过物理控制而获得对系统的访问 重放出于非法目的而重新发送截获的合法通信数据项的拷贝 否认参与某次通信交换的一方，事后错误的否认曾经发生过此次交换 资源耗尽某一资源被故意超负荷使用，导致其他用户服务被中断 服务欺骗某一伪系统或系统部件欺骗合法的用户，或系统自愿的放弃敏感信息 窃取某一安全攸关的物品（令牌或身份卡）被盗业务流分析通过对通信业务流模式进行观察（有，无，数量，方向，频率等），而造成信息被泄露给未授权的实体 陷门将某一“特征”设立于某个系统或系统部件中，使得在提

58、供特定的输入数据时，允许违反安全策略特洛伊木马含有觉察不出或无害程序段的软件，当它被运行时，会损害用户的安全信息安全、计算机安全和网络安全的关系信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布则依赖于网络系统。如果能够保障并实现网络信息的安全，就可以保障和实现计算机系统的安全和信息安全。因此，网络信息安全的内容也就包含了计算机安全和信息安全的内容。信息安全均指网络信息安全。 不安全因素网络信息系统的脆弱性1)网络的开放性。2)软件系统的自身缺陷。 1999年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。3）

59、黑客攻击。 Microsoft通用操作系统的安全性估计 操作系统 推出年份代码行数（万） 估计缺陷数（万）Windows 3.1 1992年 300 1.5 3Windows 95 1995年 500 2.5 5Windows NT4.0 1996年 1650 8.25 15.5Windows 2000 2000年35005000 17.5 35对安全的攻击高风险漏洞统计(按操作系统)网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器文件共享LSAS Exposures电子邮件客户端 即时信息Uni

60、x十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务NIS/NFS 配置不当数据库内核来源：SANS研究报告高风险漏洞统计(按应用程序)漏洞的概念三、系统漏洞漏洞的类型（1）管理漏洞-如两台服务器用同一个用户/密码，则入侵了A服务器后，B服务器也不能幸免。 （2）软件漏洞-很多程序只要接收到一些异常或者超长的数据和参数，就会导致缓冲区溢出。 （3）结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理，造成黑客可以监听网络通信流的数据；又如防火墙等安全产品部署不合理，有关安全机制不能发挥作用，麻痹技术管理人员而酿成黑客入侵事故。