内部审计安全认证和评估

平安认证和评估20.1风险管理20.2平安成熟度模型20.3威胁20.4平安评估方法20.5平安评估准那么20.6本章小结习题从经营业务的观点看，要求平安解决方案的性能价格比最好，即基于特定产业的最正确实际。在任何系统中的平安控制应预防经营业务的风险。然而，决定哪些平安控制是适宜的以及性能价格比好的这一过程经常是复杂的，有时甚至是主观的。平安风险分析的最主要功能是将这个过程置于更为客观的根底上。风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO〔ChiefFinancialOfficer,首席财务执行官〕、经营业务部门的负责人，以及信息所有者。一个组织的总的风险依赖于下面一些属性：资产的质量〔丧失资产的效应〕和数量〔钱〕的价值；基于攻击的威胁可能性；假设威胁实现，对经营业务的影响。20.1风险管理图20.1风险评估方法20.2平安成熟度模型表20-1平安成熟度能力级别安全成熟度能力级别说明无效力（50%）总的安全体系结构没有遵从企业安全策略、法规，以及最佳经营实际。需要改进（65%）安全体系结构中无效力的应少于35%合适（85%）企业的安全计划、布署、配置和过程控制使安全体系结构能满足总的目标。极好（超过100%）安全体系结构超过了总的目标及需求。平安产品的适宜配置也是一个挑战。有时产品的默认配置是拒绝所有访问，只有清晰的允许规那么能通过通信。平安产品配置的最大挑战是需要有熟练的专业人员来配置和管理。3.运行过程运行过程包括平安组件需要的必要支持和维护、变更管理、经营业务的连续性、用户平安意识培训、平安管理，以及平安报警与监控。平安根底设施组件的支持和维护类似于主机和应用效劳器所需的支持。允许的变更管理要有能退回到目前工作版本的设施，并且要和经营业务连续性方案协调一致。在第2章中讲到，风险是构成平安根底的根本观念。风险是丧失需要保护的资产的可能性。测定风险的两个组成局部是漏洞和威胁。漏洞是攻击可能的途径，威胁是一个可能破坏信息系统平安环境的动作或事件。威胁包含3个组成局部：〔1〕目标，可能受到攻击的方面。〔2〕代理，发出威胁的人或组织。〔3〕事件，做出威胁的动作类型。作为威胁的代理，必须要有访问目标的能力，有关于目标的信息类型和级别的知识，还要有对目标发出威胁的理由。20.3威胁本章从平安的验证和评估出发，具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。

弄清楚威胁的来源是减少威胁得逞可能性的关键，下面陈述各种主要的威胁源。1.人为过失和设计缺陷最大的威胁来源是操作中人为的疏忽行为。据一些统计，造成信息系统在经费和生产力方面损失的一半是由于人为的过失，另一半那么是有意的、恶意的行为。这些人为过失包括不适当地安装和管理设备、软件，不小心地删除文件，升级错误的文件，将不正确的信息放入文件，无视口令更换或做硬盘后备等行为，从而引起信息的丧失、系统的中断等事故。20.3.1威胁源采取对策以防止各种威胁情况，不仅需要了解威胁的来源，还应知道这些威胁是怎样侵袭平安体系结构的。下面列举各种情况。1.社会工程〔系统管理过程〕社会工程攻击假冒授权的员工，采用伪装的方法或电子通信的方法，具体情况如下：①攻击者发出一封电子邮件，声称是系统的根，通知用户改变口令以到达暴露用户口令的目的。②攻击者打给系统管理员，声称自己是企业经理，丧失了modem池的号码、忘记了口令。20.3.2威胁情况和对策2.电子窃听Internet协议集在设计时并未考虑平安。TELNET、FTP、SMTP和其他基于TCP/IP的应用易于从被动的线接头获取。用户鉴别信息〔如用户名和口令〕易于从网络中探测到，并伪装成授权员工使用。假设外部人员对企业设施获得物理访问，那么可以将带有无线modem的手提计算机接到局域网或集线器上，所有通过局域网或集线器的数据易于被任何威胁者取得。此外，假设外部人员能电子访问带有modem效劳器进程的工作站，就可以将其作为进入企业网络的入口。任何在Internet传输的数据对泄露威胁都是漏洞。所有上述4种威胁都有可能使这些攻击得逞。防止窃听的保护措施包括鉴别和加密。使用双因子鉴别提供强的鉴别，典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号〔PIN〕或口令。保护传输中的口令和ID，可以采用加密的措施。链路加密〔SSL和IPv6〕保护直接物理连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密〔平安Telnet和FTP、S/MIME〕提供报文保护，在源端加密，只在目的地解密。数字签名可认证发送者的鉴别信息，如伴随用哈希算法可保护报文的完整性。3.软件缺陷当前两个最大的软件缺陷是缓冲器溢出和拒绝效劳攻击。当写入太多的数据时，就会发生缓冲器溢出，通常是一串字符写入固定长度的缓冲器。对数据缓冲器的输入没有足够的边界检查，使得输入超过缓冲器的容量。一般情况下，系统崩溃是由于程序试图访问一个非法地址。然而，也有可能用一个数据串来代替生成可检测的过失，从而造成攻击者希望的特定系统的漏洞。CarnegieMellon软件工程研究所的计算机应急响应组〔ComputerEmergenoyResponseTeam，CERT〕有196个有关缓冲器溢出的文档报告，如Microsoft的终端效劳器OutlookExpress,Internet信息效劳器〔IIS〕，还有一些众人熟知的有关网络效劳的，如网络定时协议〔NetworkTimeProtocol，NTP〕、Sendmail、BIND、SSHv1.37、Kerberos等。一个拒绝效劳攻击使得目标系统响应变慢，以致完全不可用。有很多原因可导致这种结果：①编程错误以致使用100%的CPU时间。②由于内存的漏洞使系统的内存使用连续增加。③Web请求或远程过程调用〔RPC〕中发生的畸形数据请求。④大的分组请求，如大量电子邮件地址请求和Internet控制报文协议〔InternetControlMessageProtocol，ICMP〕请求。⑤不停的网络通信UDP和ICMP造成播送风暴和网络淹没。⑥伪造的路由信息或无响应的连接请求。⑦布线、电源、路由器、平台或应用的错误配置。CERT有318个文本是关于对各种应用和平台操作系统的拒绝效劳攻击。在大多数情况下，由于攻击者已经损坏了执行攻击的机器，使得要揭发这些个体实施的攻击很困难。4.信息转移〔主机之间的信任关系〕信任转移是把信任关系委托给可信的中介。一旦外部人员破坏了中介信任的机器，其他的主机或效劳器也易于破坏。这样的攻击例子如下：①误用一个.rhosts文件使受损的机器不需口令就能攻击任何在.rhosts文件中的机器。②假设外面的用户伪装成一个网络操作系统用户或效劳器，那么所有信任该特定用户或效劳器的其他效劳器也易于受破坏。③一个通过网络文件系统〔NetworkFileSystem,NFS〕由各工作站共享文件的网络，假设其中一个客户工作站受损，一个攻击者能在文件系统效劳器上生成可执行的特权，那么攻击者能如同正常用户一样登录效劳器并执行特权命令。数据驱动攻击的例子如下：①一个攻击者发送一个带有文件操作的postscript文件，将攻击者的主机标识加到.rhosts文件；或者翻开一个带有Word根本命令的MSWord文本，能够访问Windows动态链接库(DynamicLinkLibrary，DLL)内的任何功能，包括Winsock.dll。②一个攻击者发送一个postscript文件，该文件常驻在基于postscript的效劳器中，就能将每一个发送和接收的拷贝发送给攻击者。③一个用户从网上下载shellscript或恶意软件，将受害者的口令文件邮寄给攻击者，并删除所有受害者的文件。④利用HTTP浏览器包装诸如特洛伊木马等恶意软件。7.DNS欺骗域名系统〔DNS〕是一个分布式数据库，用于TCP/IP应用中，映射主机名和IP地址，以及提供电子邮件路由信息。如果Internet地址值到域名的映射绑定过程被破坏，域名就不再是可信的。这些易破坏的点是讹用的发送者、讹用的接收者、讹用的中介，以及效劳提供者的攻击。例如，假设一个攻击者拥有自己的DNS效劳器，或者破坏一个DNS效劳器，并加一个含有受害者.rhosts文件的主机关系，攻击者就很容易登录和访问受害者的主机。针对内部威胁的防护应运用一些根本的平安概念：责任分开、最小特权、对个体的可审性。责任分开是将关键功能分成假设干步，由不同的个体承担，如财务处理的批准、审计、分接头布线的批准等。最小特权原那么是限制用户访问的资源，只限于工作必需的资源。这些资源的访问模式可以包括文件访问〔读、写、执行、删除〕或处理能力〔系统上生成或删除处理进程的能力〕。个体的可审性是保持各个体对其行为负责。可审性通常是由系统的用户标识和鉴别以及跟踪用户在系统中的行为来完成。20.4平安评估方法

20.4.1平安评估过程评估的第2步是人工检查阶段，将文本描述的体系结构与实际的结构进行比较，找出其差异。可以采用手工的方法，也可采用自动的方法。使用网络和平台发现工具，在网络内部执行，可表示出所有的网络通路以及主机操作系统类型和版本号。NetSleuth工具是一个IP可达性分析器，能提供到网络端口级的情况。QUESO和NMAP这些工具具有对主机全部端口扫描的能力，并能识别设备的类型和软件版本。评估的第3步是漏洞测试阶段。这是一个系统的检查，以决定平安方法的适用、标识平安的差异、评价现有的和方案的保护措施的有效性。漏洞测试阶段又可分成3步。漏洞测试的第2步是平台扫描，又称系统扫描。平台扫描验证系统配置是否遵守给定的平安策略。此外，它还检测任何平安漏洞和配置错误〔例如不平安的文件保护——注册和配置目录〕以及可利用的网络效劳〔例如HTTP、FTP、DNS、SMTP等〕。一旦平台的平安加固已经构建，系统扫描将构成根底，它定时地检测任何重要的变化〔例如主页更换、Web站点受损〕。漏洞测试的第3步是应用扫描。应用扫描工具不像网络或平台工具那样是自动的，因此，它是一个手动的处理过程。其理念是模仿攻击者成为授权用户是如何误用这应用。图20.2平安评估阶段20.4.2网络平安评估平台平安评估的目的是认证平台的配置〔操作系统对漏洞不易受损、文件保护及配置文件有适当的保护〕。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理，因为集中的管理程序由此开始。假设平台已经适当加固，那么有一个基准配置。评估的第1局部是认证基准配置、操作系统、网络效劳〔FTP、rlogin、telnet、SSH等〕没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令，并转发给Internet上的攻击者。假设任何文件需打补丁或需要使用效劳包，代理将通知管理员。20.4.3平台平安估计第2局部测试是认证管理员的口令，大局部机器不允许应用用户登录到平台，对应用的用户鉴别是在平台上运行的，而不是平台本身。此外，还有测试本地口令的强度，如口令长度、口令组成、字典攻击等。最后跟踪审计子系统，在黑客作案前就能跟踪其行迹。数据库的平安评估也是必须的，这局部内容不在本书表达范围内。应用平安评估比使用像网络和平台扫描这些自开工具而言，需要更多的技艺。黑客的目标是得到系统对应用平台的访问，强迫应用执行某些非授权用户的行为。很多基于Web应用的开发者使用公共网关接口(CommonGatewayInterface,CGI)来分析表格，黑客能利用很多漏洞来访问使用CGI开发的Web效劳器平台〔例如放入“&〞这些额外的字符〕。20.4.4应用平安评估低质量编写的应用程序的最大风险是允许访问执行应用程序的平台。当一个应用损坏时，平安体系结构必须将黑客包含进平台。一旦一台在公共层的机器受损，就可用它来攻击其他的机器。最通用的方法是在受损的机器上安装一台口令探测器。20.5平安评估准那么TCSEC共分为4类7级：D、C1、C2、B1、B2、B3、A1。1.D级平安性能达不到C1级的划分为D级。D级并非没有平安保护功能，只是太弱。2.C1级，自主平安保护级可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制〔如访问控制表〕允许命名用户和用户组的身份规定并控制客体的共享，并阻止非授权用户读取敏感信息。20.5.1可信计算机系统评估准那么可信计算基〔TrustedComputingBase,TCB〕是指为实现计算机处理系统平安保护策略的各种平安保护机制的集合。3.C2级，受控存取保护级与自主平安保护级相比，本级的可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计平安性相关事件以及隔离资源，使用户能对自己的行为负责。4.C2级，标记平安保护级本级的可信计算基具有受控存取保护级的所有功能。此外，还可提供有关平安策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力，可消除通过测试发现的任何错误。5.B2级，结构化保护级本级的可信计算基建立于一个明确定义的形式平安策略模型之上，它要求将B1级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素。可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。6.B3级，平安域级本级的可信计算基满足访问监控器需求。访问监控器是指监控主体和客体之间授权访问关系的部件。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，必须足够小，能够分析和测试。为了满足访问监控器需求，可信计算基在其构造时排除实施对平安策略来说并非必要的代码。在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持平安管理员职能；扩充审计机制，当发生与平安相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。7.A1级，验证设计级本级的平安功能与B3级相同，但最明显的不同是本级必须对相同的设计运用数学形式化证明方法加以验证，以证明平安功能的正确性。本级还规定了将平安计算机系统运送到现场安装所必须遵守的程序。20.5.2计算机信息系统平安保护等级划分准那么?准那么?在系统地、科学地分析计算机处理系统的平安问题的根底上，结合我国信息系统建设的实际情况，将计算机信息系统的平安等级划分为如下5级：第一级,用户自主保护级；第二级，系统审计保护级；第三级，平安标记保护级；第四级，结构化保护级；第五级，访问验证保护级。各级的命名，主要考虑了使各级的名称能够表达这一级别平安功能的主要特性。计算机信息系统平安保护能力随着平安保护等级的增高，逐渐增强。5个级别的平安保护能力之间的关系如图20.3所示。图20.3各等级平安保护能力示意图在?准那么?规定的5个级别中，其平安保护能力主要取决于可信计算基的特性，即各级之间的差异主要表达在可信计算基的构造及它所具有的平安保护能力上。1.概述通用平安评估准那么(CC)是一个国际标准。该标准描述了这么一个规那么：“……可作为评估IT产品与系统的根底……，这个标准允许在相互独立的不同平安评估结果之间进行比较……，提供一套公共的用于IT产品与系统的平安功能集，以及适应该功能集的平安保障的测度。评估过程确定了IT产品与系统关于平安功能及保障的可信水平〞。CC由3个局部组成：平安功能、平安保障与评估方法。信息系统平安工程〔ISSE〕可以利用CC作为工具支持其行为，包括为信息保护系统制定系统级的描述和支持批准过程。20.5.3通用平安评估准那么图20.4CC中的平安概念与相互关系图20.4显示CC是如何应用的，用CC的语法建立信息平安的过程是符合ISSE过程的。开掘信息保护需求的行为提供了各种信息，如所有者怎样评估资产、威胁代理是什么、什么是威胁、什么是对策〔要求与功能〕和什么是风险〔局部地〕。定义信息保护系统的行为提供了用于描述如下事务的信息：什么是对策〔命名组件〕、什么是脆弱性〔基于体系结构〕、什么是风险〔更全面〕。设计信息保护系统的行为提供了如下信息：什么是对策〔验证了的信息保护产品功能〕、什么是脆弱性〔基于设计的、组合并验证了的测试结果〕和什么是风险〔更加全面〕。实现信息保护系统的行为最后提供了如下信息：什么是对策〔安装了的、有效的信息系统保护功能〕、什么是脆弱性〔基于有效性与漏洞测试实现结果〕、什么是风险〔更加全面〕。CC并不描述个体和操作的平安，也不描述评估的有效性或其他使系统更有效的管理经验。CC提供了一种标准的语言与语法，用户和开发者可以用它来声明系统的通用功能〔保护轮廓或PP〕或被评估的特定性能〔平安目标或ST〕。PP和ST也可以是在负责管理系统开发的团体、系统的核心成员及负责生产该系统的组织之间互相沟通的一种手段。在这种环境中，应该建议ST对PP做出响应。PP与ST的内容可以在参与者之间协商。基于PP与ST的对实际系统的评估是验收过程的一局部。总的来说，非IT的平安需求也将被协商和评估。通常平安问题的解决并不是独立于系统的其他需求的。ST与PP的关系如图20.5所示。图20.5保护轮廓与平安目标的关系CC的观点是，在对即将要信任的IT产品和系统进行评估的根底之上提供一种保障。评估是一种传统的提供保障的方式，同时也是先期评估准那么文档的根底。为了与现有方式一致，CC也采纳了同样的观点。CC建议专业评估员加大评估的广度、深度与强度，来检测文档的有效性和IT产品或系统的结果。CC并不排除也不评估其他获取保障的方法的优点。针对其他可替代的获取保障的方法正在研究。这些研究行为所产生的可替代的方法可能会被考虑参加到CC之中，而CC的结构允许它今后引入其他方法。CC的观点宣称，用于评估的努力越多，平安保障效果越好；CC的目标是用最小的努力来到达必须的保障水平。努力程度的增加基于如下因素：范围，必须加强努力，因为大局部的IT产品与系统包含在内。深度，努力必须加深，因为评估证据的搜集依赖于更好的设计水平与实现细节。强度，努力必须加大，因为评估证据的搜集需要结构化和正式的方式。评估过程为PP与ST所需的保障提供了证据，如图20.6所示。评估的结果就是对信息保护系统的某种程度上确实信。其他ISSE过程，如风险管理，提供了将这种确信转化成管理决策准那么的方法。图20.6评估的概念与相互关系图20.7说明了系统〔或子系统〕可以参照PP或ST得到评估，辅以外部认证与批准准那么，从而创立评估产品集，以对系统的批准过程提供支持。图20.7使用评估结果2.平安功能要求与平安保证要求〔1〕平安功能要求平安功能要求分为以下10类：平安审计类；通信类〔主要是身份真实性和抗否认〕；密码支持类；用户数据保护类；标识和鉴别类；平安管理类〔与TSF有关的管理〕；隐秘类〔保护用户隐私〕；TSF保护类〔TOE自身平安保护〕；资源利用类〔从资源管理角度确保TSF平安〕；TOE访问类〔从对TOE的访问控制确保平安性〕；可信路径/信道类。这些平安类又分为族，族中又分为组件。组件是对具体平安要求的描述。从表达上看，每一个族中的具体平安要求也是有差异的，但CC没有以这些差异作为划分平安等级的依据。〔2〕平安保证要求在对平安保护框架和平安目标的评估进行说明以后，将具体的平安保证要求分为以下8类：配置管理类