安全審核評(píng)估和風(fēng)險(xiǎn)分析第13部分安全審計(jì)緒論、審過(guò)程

1、2006 vcampus corporation all rights reserved. 安全審核與風(fēng)險(xiǎn)分析安全審核與風(fēng)險(xiǎn)分析2006 vcampus corporation all rights reserved. 第一單元第一單元安全審核入門安全審核入門學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo)明確安全審核人員的主要職責(zé)了解風(fēng)險(xiǎn)評(píng)估掌握風(fēng)險(xiǎn)評(píng)估的各個(gè)階段了解差距分析掌握資源等級(jí)的劃分掌握如何計(jì)劃實(shí)施安全審核了解獲得管理者支持的重要性掌握獲得客戶反饋的方法審核人員的工作審核人員的工作 制定安全策略制定安全策略-任何一個(gè)管理規(guī)范的網(wǎng)絡(luò)都需要任何一個(gè)管理規(guī)范的網(wǎng)絡(luò)都需要制定一系列的安全策略制定一系列的安全策略 。 風(fēng)險(xiǎn)

2、評(píng)估風(fēng)險(xiǎn)評(píng)估 明確審核企業(yè)性質(zhì) 閱讀書面安全策略 評(píng)價(jià)已經(jīng)存在的管理和控制體系 實(shí)施風(fēng)險(xiǎn)分析 提交審核報(bào)告 審核人員的職責(zé)和前瞻性審核人員的職責(zé)和前瞻性 從安全管理者的角度考慮從安全管理者的角度考慮 需要從防火墻內(nèi)部進(jìn)行監(jiān)測(cè)，關(guān)注內(nèi)部網(wǎng)絡(luò)服務(wù)器和主機(jī)是否有異常情況。 安全管理者還要從防火墻外部進(jìn)行滲透以查看防火墻的規(guī)則配置是否有漏洞，判斷黑客是否能穿透防火墻進(jìn)而控制網(wǎng)絡(luò)主機(jī)。 審核人員的職責(zé)和前瞻性審核人員的職責(zé)和前瞻性 從安全顧問(wèn)的角度考慮從安全顧問(wèn)的角度考慮 從黑客的角度和不知情的審核者的角度對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試 從一個(gè)內(nèi)部知情人的角度來(lái)評(píng)估網(wǎng)絡(luò)安全 合并兩方面測(cè)試中得到的信息，作綜合評(píng)價(jià)后進(jìn)行

3、合并兩方面測(cè)試中得到的信息，作綜合評(píng)價(jià)后進(jìn)行更深層次的審核更深層次的審核 內(nèi)部威脅分析內(nèi)部威脅分析 攻擊者并不一定都是黑客和外部人員。 若將存放重要資料的服務(wù)器暴露在內(nèi)部網(wǎng)絡(luò)的公共區(qū)，內(nèi)部使用者就可能直接對(duì)其進(jìn)行攻擊。 使用多層防火墻機(jī)制可以很好地解決這個(gè)問(wèn)題。 在內(nèi)部網(wǎng)絡(luò)中，另外建立一個(gè)防火墻，分割一般使用者和重要資料服務(wù)器的網(wǎng)段。嚴(yán)格限制其出入的傳輸，強(qiáng)化資料存取的安全性。審核人員的職責(zé)和前瞻性審核人員的職責(zé)和前瞻性風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估是指定位網(wǎng)絡(luò)資源和明確攻擊發(fā)生的可能風(fēng)險(xiǎn)評(píng)估是指定位網(wǎng)絡(luò)資源和明確攻擊發(fā)生的可能性。性。 風(fēng)險(xiǎn)評(píng)估是一種風(fēng)險(xiǎn)評(píng)估是一種“差距分析差距分析”，可以顯示出

4、安全策，可以顯示出安全策略和實(shí)際發(fā)生攻擊之間的差距。略和實(shí)際發(fā)生攻擊之間的差距。 信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。的過(guò)程。 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備過(guò)程是組織機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估的依據(jù)風(fēng)險(xiǎn)評(píng)估的依據(jù)1、政策法規(guī)：中辦發(fā)200327號(hào)文件和國(guó)信辦文件2、國(guó)

5、際標(biāo)準(zhǔn)：如bs7799-1 信息安全管理實(shí)施細(xì)則 bs7799-2 信息安全管理體系規(guī)范等3、國(guó)家標(biāo)準(zhǔn)或正在審批的討論稿，如gb 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則和信息安全風(fēng)險(xiǎn)評(píng)估指南等4、行業(yè)通用標(biāo)準(zhǔn)等其它標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估的原則風(fēng)險(xiǎn)評(píng)估的原則 可控性原則 完整性原則 最小影響原則 保密原則風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)結(jié)果的判定風(fēng)險(xiǎn)結(jié)果的判定 風(fēng)險(xiǎn)等級(jí)的劃分 控制措施的選擇 殘余風(fēng)險(xiǎn)的評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 1.仔細(xì)檢查書面安全策略仔細(xì)檢查書面安全策略“road map”road map”或或“framework”framework”2.2.對(duì)資源進(jìn)行分析、分類和

6、排序?qū)Y源進(jìn)行分析、分類和排序 -找出網(wǎng)絡(luò)中最重要的資源找出網(wǎng)絡(luò)中最重要的資源 風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟問(wèn)問(wèn) 題題回回 答答什么是受攻擊的目標(biāo)？ 如果目標(biāo)是一般用戶的操作系統(tǒng)，則風(fēng)險(xiǎn)低；如果目標(biāo)是人力資源系統(tǒng)，則風(fēng)險(xiǎn)高。 出現(xiàn)問(wèn)題的嚴(yán)重性？ 一旦出現(xiàn)問(wèn)題，后果有多嚴(yán)重？影響企業(yè)還是影響個(gè)別的系統(tǒng)？通常需要對(duì)損失的時(shí)間和金錢進(jìn)行評(píng)估。 發(fā)生攻擊的可能性？ 攻擊發(fā)生的可能到底有多大？是不太可能發(fā)生還是非常有可能發(fā)生。 風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟3.通常遭受攻擊的資源通常遭受攻擊的資源 風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟下表列出了一些通常遭受攻擊的網(wǎng)絡(luò)資源下表列出了一些通常遭受攻擊的網(wǎng)絡(luò)資源 ：攻擊

7、熱點(diǎn)攻擊熱點(diǎn) 潛在威脅潛在威脅 網(wǎng)絡(luò)資源網(wǎng)絡(luò)資源 路由器和交換機(jī)路由器和交換機(jī)防火墻防火墻網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)主機(jī) 服務(wù)器資源服務(wù)器資源 安全帳號(hào)數(shù)據(jù)庫(kù)安全帳號(hào)數(shù)據(jù)庫(kù)信息數(shù)據(jù)庫(kù)信息數(shù)據(jù)庫(kù)smtpsmtp服務(wù)器服務(wù)器httphttp服務(wù)器服務(wù)器ftpftp服務(wù)器服務(wù)器 風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟 每個(gè)部門都有自己的數(shù)據(jù)庫(kù)，但人力資源、財(cái)務(wù)和研發(fā)部門的每個(gè)部門都有自己的數(shù)據(jù)庫(kù)，但人力資源、財(cái)務(wù)和研發(fā)部門的數(shù)據(jù)通常比其它部門的更重要一些。數(shù)據(jù)通常比其它部門的更重要一些。風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟4.4.考慮商業(yè)需求考慮商業(yè)需求 為企業(yè)需求制定安全策略，應(yīng)當(dāng)考慮一些特殊的部門和個(gè)體。目標(biāo)為企業(yè)需求制定安全

8、策略，應(yīng)當(dāng)考慮一些特殊的部門和個(gè)體。目標(biāo)是提高各部門的工作效率并使他們的數(shù)據(jù)更安全。是提高各部門的工作效率并使他們的數(shù)據(jù)更安全。 風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟5.評(píng)估已有的邊界和內(nèi)部安全評(píng)估已有的邊界和內(nèi)部安全 邊界安全指網(wǎng)絡(luò)間區(qū)分彼此的能力，防火墻是定義安全邊界的第一道屏障。 內(nèi)部安全是指網(wǎng)絡(luò)管理員監(jiān)測(cè)和打擊未授權(quán)的網(wǎng)絡(luò)活動(dòng)的能力。 通過(guò)對(duì)現(xiàn)有安全機(jī)制的評(píng)估確認(rèn)網(wǎng)絡(luò)可以從外部攻通過(guò)對(duì)現(xiàn)有安全機(jī)制的評(píng)估確認(rèn)網(wǎng)絡(luò)可以從外部攻擊中盡快恢復(fù)。擊中盡快恢復(fù)。風(fēng)險(xiǎn)評(píng)估的步驟風(fēng)險(xiǎn)評(píng)估的步驟6.使用已有的管理和控制結(jié)構(gòu)使用已有的管理和控制結(jié)構(gòu) 在審核過(guò)程中，可以使用網(wǎng)絡(luò)中已有的管理和控制結(jié)構(gòu)。 基于網(wǎng)絡(luò)的管

9、理結(jié)構(gòu) 基于主機(jī)的管理結(jié)構(gòu) 兩種管理結(jié)構(gòu)各有優(yōu)劣，可以根據(jù)不同的管理任務(wù)進(jìn)行選擇。 簡(jiǎn)單查詢體系結(jié)構(gòu)簡(jiǎn)單查詢體系結(jié)構(gòu) 用戶用戶代理體系結(jié)構(gòu)代理體系結(jié)構(gòu)風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段 黑客在入侵攻擊網(wǎng)絡(luò)系統(tǒng)的過(guò)程中不外乎三個(gè)步驟：黑客在入侵攻擊網(wǎng)絡(luò)系統(tǒng)的過(guò)程中不外乎三個(gè)步驟：掃描偵查、滲透和控制網(wǎng)絡(luò)系統(tǒng)。掃描偵查、滲透和控制網(wǎng)絡(luò)系統(tǒng)。 安全審核人員進(jìn)行審核時(shí)也有三個(gè)階段：偵查階段、安全審核人員進(jìn)行審核時(shí)也有三個(gè)階段：偵查階段、滲透階段、控制階段。滲透階段、控制階段。 安全審核人員不同于黑客。安全審核人員不同于黑客。風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段 偵查階段偵查階段-掃描和測(cè)試系統(tǒng)的有效安全性。掃描和測(cè)試系統(tǒng)的

10、有效安全性。 對(duì)網(wǎng)絡(luò)進(jìn)行偵查意味著要定位出網(wǎng)絡(luò)資源的使用的具體情況，包括ip地址、開(kāi)放端口、網(wǎng)絡(luò)拓?fù)涞取?實(shí)施分析要求對(duì)系統(tǒng)逐個(gè)檢測(cè)。 偵查階段的分析工作通常需要大量的時(shí)間。風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段 滲透階段滲透階段-滲透測(cè)試滲透測(cè)試 滲透測(cè)試是指在獲取用戶授權(quán)后，通過(guò)真實(shí)模擬黑客使用的工具、分析方法來(lái)進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。 在滲透測(cè)試中，將檢查各種系統(tǒng)的漏洞，并試圖使下列元素?zé)o效： 加密 密碼 訪問(wèn)列表風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段 控制階段控制階段-控制演示控制演示 控制-表明一個(gè)黑客可以控制網(wǎng)絡(luò)資源、創(chuàng)建帳號(hào)、修改日志、行使管理員的權(quán)限。 審核人員從不試圖控制網(wǎng)絡(luò)主機(jī)，只是通

11、過(guò)演示其可以控制網(wǎng)絡(luò)主機(jī)來(lái)證明現(xiàn)有網(wǎng)絡(luò)存在的問(wèn)題。 在提交報(bào)告時(shí)，必須提出如何防止黑客獲得網(wǎng)絡(luò)和主機(jī)的控制權(quán)的建議。 差距分析差距分析 風(fēng)險(xiǎn)評(píng)估中常用的方法有三種：風(fēng)險(xiǎn)評(píng)估中常用的方法有三種： 計(jì)算系統(tǒng)綜合風(fēng)險(xiǎn) 差距分析法 量化風(fēng)險(xiǎn)差距分析法模型 差距分析差距分析差距分析差距分析 差距分析法在運(yùn)用中通常包括五個(gè)步驟差距分析法在運(yùn)用中通常包括五個(gè)步驟 1.調(diào)研目標(biāo)系統(tǒng)狀況2.確定信息系統(tǒng)安全要求3.評(píng)估信息系統(tǒng)安全現(xiàn)狀4.對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行差距分析和風(fēng)險(xiǎn)計(jì)算5.用戶根據(jù)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行風(fēng)險(xiǎn)控制，形成滿足其信息 系統(tǒng)安全要求的信息系統(tǒng)安全保障能力劃分資產(chǎn)風(fēng)險(xiǎn)等級(jí)劃分資產(chǎn)風(fēng)險(xiǎn)等級(jí)對(duì)各個(gè)資產(chǎn)進(jìn)行

12、風(fēng)險(xiǎn)等級(jí)的劃分，劃分的標(biāo)準(zhǔn)如下表對(duì)各個(gè)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)的劃分，劃分的標(biāo)準(zhǔn)如下表 ：可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采用區(qū)間劃可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí)，包括將可接受分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí)，包括將可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)的劃分風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)的劃分 。等等 級(jí)級(jí)標(biāo)標(biāo) 識(shí)識(shí)風(fēng)風(fēng) 險(xiǎn)險(xiǎn) 定定 義義5很高風(fēng)險(xiǎn)很高，導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響 4高風(fēng)險(xiǎn)高，導(dǎo)致系統(tǒng)受到嚴(yán)重影響 3中風(fēng)險(xiǎn)中，導(dǎo)致系統(tǒng)受到較重影響 2低風(fēng)險(xiǎn)低，導(dǎo)致系統(tǒng)受到一般影響 1很低風(fēng)險(xiǎn)很低，導(dǎo)致系統(tǒng)受到較小影響 安全審核需注意的事項(xiàng)安全審核需注意的事項(xiàng)安全審核的

13、要素安全審核的要素安全審核涉及四個(gè)基本要素安全審核涉及四個(gè)基本要素: :1控制目標(biāo)2安全漏洞3控制措施4. 控制測(cè)試安全標(biāo)準(zhǔn) 安全標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)1iso 7498-22英國(guó)標(biāo)準(zhǔn)7799（bs 7799）3common criteria（cc）獲得最高管理者支持獲得最高管理者支持 任何一個(gè)組織，推行任何一套安全管理體系，首先任何一個(gè)組織，推行任何一套安全管理體系，首先都必須獲得最高管理者的支持。都必須獲得最高管理者的支持。 在安全審核初期，最高管理者的支持可以表現(xiàn)在以在安全審核初期，最高管理者的支持可以表現(xiàn)在以下方面：下方面： 第一，在財(cái)務(wù)方面提供必要的投資。 第二，配備必要充足的人力資源、分配一

14、定的工作時(shí)間于工作的推動(dòng)上。 獲取客戶信息的反饋獲取客戶信息的反饋 來(lái)自客戶的反饋信息是衡量業(yè)績(jī)的重要指標(biāo)之一，來(lái)自客戶的反饋信息是衡量業(yè)績(jī)的重要指標(biāo)之一，可以被用來(lái)評(píng)價(jià)網(wǎng)絡(luò)安全管理體系的總體有效性。可以被用來(lái)評(píng)價(jià)網(wǎng)絡(luò)安全管理體系的總體有效性。 對(duì)一個(gè)機(jī)構(gòu)進(jìn)行一次安全審核后要及時(shí)地與被審核對(duì)一個(gè)機(jī)構(gòu)進(jìn)行一次安全審核后要及時(shí)地與被審核機(jī)構(gòu)進(jìn)行及時(shí)的溝通，以了解安全審核的效果。機(jī)構(gòu)進(jìn)行及時(shí)的溝通，以了解安全審核的效果。 獲得客戶反饋的信息，了解到工作中存在哪些不足，獲得客戶反饋的信息，了解到工作中存在哪些不足，針對(duì)不同企業(yè)或機(jī)構(gòu)采取不同的審核方式。針對(duì)不同企業(yè)或機(jī)構(gòu)采取不同的審核方式。 2006

15、vcampus corporation all rights reserved. 第二單元第二單元審審 核核 過(guò)過(guò) 程程學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo)掌握有效檢查書面安全策略的方法了解資源的劃分明確業(yè)務(wù)焦點(diǎn)明確如何使用現(xiàn)有的管理控制結(jié)構(gòu)掌握基于網(wǎng)絡(luò)和基于主機(jī)的脆弱性發(fā)現(xiàn)和分析工具的配置掌握如何實(shí)施網(wǎng)絡(luò)級(jí)和主機(jī)級(jí)的安全掃描了解路由器和防火墻的安全配置確定電話服務(wù)系統(tǒng)/集成系統(tǒng)的安全等級(jí)熟悉安全審核的步驟檢查書面安全策略檢查書面安全策略 通過(guò)對(duì)各種策略文檔進(jìn)行閱讀和分析，獲得整個(gè)策通過(guò)對(duì)各種策略文檔進(jìn)行閱讀和分析，獲得整個(gè)策略文檔體系的概貌，并評(píng)價(jià)策略文檔體系能否滿足略文檔體系的概貌，并評(píng)價(jià)策略文檔體系能否滿足

16、安全工作的要求。安全工作的要求。 查看是否有“風(fēng)險(xiǎn)分析”項(xiàng)目。 查看it任務(wù)陳述。 查看是否有如何實(shí)施安全策略以及如何處理破壞行為或不正當(dāng)行為的說(shuō)明。 查看是否有全面的“備份和恢復(fù)”或“業(yè)務(wù)連續(xù)性”計(jì)劃。 檢查書面安全策略檢查書面安全策略 為什么要有安全策略為什么要有安全策略 安全策略的主要目標(biāo)就是為獲取、管理和審查計(jì)算機(jī)資源提供一個(gè)準(zhǔn)繩。 一個(gè)強(qiáng)大的安全策略是合理且成功地應(yīng)用安全工具的先決條件。沒(méi)有明確的規(guī)則和目標(biāo)，則安裝、應(yīng)用和運(yùn)行安全工具是不可能有效的。檢查書面安全策略檢查書面安全策略 好的安全策略具有的特征好的安全策略具有的特征 安全策略應(yīng)該簡(jiǎn)潔明了，一個(gè)好的安全策略應(yīng)具有安全策略應(yīng)該

17、簡(jiǎn)潔明了，一個(gè)好的安全策略應(yīng)具有以下特征：以下特征： 安全策略不能與法律法規(guī)相沖突； 為了正確地使用信息系統(tǒng)，安全策略應(yīng)當(dāng)對(duì)責(zé)任進(jìn)行合理的分配。 一個(gè)好的安全策略應(yīng)該具有良好的可執(zhí)行性。 一個(gè)好的安全策略應(yīng)有與之匹配的安全工具，安全工具應(yīng)能預(yù)防策略被破壞。一個(gè)強(qiáng)大的安全策略應(yīng)能提供突發(fā)性處理。 檢查書面安全策略檢查書面安全策略 公布策略公布策略 安全策略要讓機(jī)構(gòu)中的每個(gè)用戶都知道。安全策略要讓機(jī)構(gòu)中的每個(gè)用戶都知道。 安全策略公布方式：安全策略公布方式：電子郵件電子郵件 msn消息消息安全簡(jiǎn)報(bào)安全簡(jiǎn)報(bào)檢查書面安全策略檢查書面安全策略 讓策略發(fā)生作用讓策略發(fā)生作用 安全策略不能停留在書面上，要嚴(yán)

18、格貫徹執(zhí)行。安全策略不能停留在書面上，要嚴(yán)格貫徹執(zhí)行。 安全策略只有在實(shí)施后才能發(fā)揮作用安全策略只有在實(shí)施后才能發(fā)揮作用 。 安全策略的貫徹執(zhí)行，可以在企業(yè)形成良好的安全保護(hù)意安全策略的貫徹執(zhí)行，可以在企業(yè)形成良好的安全保護(hù)意識(shí)，營(yíng)造一種良好的安全環(huán)境，這才更符合信息發(fā)展網(wǎng)絡(luò)識(shí)，營(yíng)造一種良好的安全環(huán)境，這才更符合信息發(fā)展網(wǎng)絡(luò)化的特點(diǎn)化的特點(diǎn) 。 檢查書面安全策略檢查書面安全策略制定一個(gè)詳細(xì)計(jì)劃來(lái)實(shí)施安全策略制定一個(gè)詳細(xì)計(jì)劃來(lái)實(shí)施安全策略 信息安全策略的實(shí)施過(guò)程是一項(xiàng)較為長(zhǎng)期且反復(fù)的過(guò)程，在這信息安全策略的實(shí)施過(guò)程是一項(xiàng)較為長(zhǎng)期且反復(fù)的過(guò)程，在這一過(guò)程中要根據(jù)實(shí)踐的結(jié)果對(duì)信息安全策略體系和內(nèi)容進(jìn)

19、行不一過(guò)程中要根據(jù)實(shí)踐的結(jié)果對(duì)信息安全策略體系和內(nèi)容進(jìn)行不斷調(diào)整與完善。斷調(diào)整與完善。 詳細(xì)的實(shí)施計(jì)劃有助于有效地管理開(kāi)支計(jì)劃和控制執(zhí)行時(shí)間。詳細(xì)的實(shí)施計(jì)劃有助于有效地管理開(kāi)支計(jì)劃和控制執(zhí)行時(shí)間。 獲得高層管理層的支持與認(rèn)可是安全策略得以順利貫徹落實(shí)的獲得高層管理層的支持與認(rèn)可是安全策略得以順利貫徹落實(shí)的關(guān)鍵。關(guān)鍵。 信息安全策略實(shí)施計(jì)劃至少應(yīng)該包含以下步驟：信息安全策略實(shí)施計(jì)劃至少應(yīng)該包含以下步驟： 了解每個(gè)員工的信息系統(tǒng)的現(xiàn)狀；了解每個(gè)員工的信息系統(tǒng)的現(xiàn)狀； 深入了解組織的業(yè)務(wù)需求及安全需求；深入了解組織的業(yè)務(wù)需求及安全需求； 進(jìn)行文檔審查，掌握組織當(dāng)前的策略制定及部署情況；進(jìn)行文檔審查，

20、掌握組織當(dāng)前的策略制定及部署情況； 按層次分級(jí)制定安全策略；按層次分級(jí)制定安全策略； 通過(guò)召開(kāi)討論會(huì)議的形式來(lái)完善每項(xiàng)安全策略；通過(guò)召開(kāi)討論會(huì)議的形式來(lái)完善每項(xiàng)安全策略； 劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí) 正確對(duì)資產(chǎn)進(jìn)行分類，劃分不同的等級(jí)，正確識(shí)別正確對(duì)資產(chǎn)進(jìn)行分類，劃分不同的等級(jí)，正確識(shí)別出審核的對(duì)象是進(jìn)行安全審核非常關(guān)鍵的前提條件。出審核的對(duì)象是進(jìn)行安全審核非常關(guān)鍵的前提條件。 劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí) 資產(chǎn)確認(rèn)資產(chǎn)確認(rèn) 硬件資產(chǎn) 軟件資產(chǎn) 對(duì)私有或保密數(shù)據(jù)進(jìn)行分類（從顧客數(shù)據(jù)庫(kù)到專用應(yīng)用程序） 對(duì)常規(guī)數(shù)據(jù)，包括數(shù)據(jù)庫(kù)、文檔、備份、系統(tǒng)日志和掉線數(shù)據(jù)等進(jìn)行分類 對(duì)機(jī)構(gòu)里的人員要進(jìn)行確認(rèn)和分類，對(duì)

21、于機(jī)構(gòu)外但與機(jī)構(gòu)有往來(lái)的也要進(jìn)行確認(rèn)和分類 劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí) 資產(chǎn)評(píng)估資產(chǎn)評(píng)估 對(duì)于大多數(shù)的資產(chǎn)可以用貨幣數(shù)量多少的方法對(duì)其進(jìn)行資產(chǎn)確定 進(jìn)行資產(chǎn)評(píng)估要考慮四種價(jià)值 資產(chǎn)確認(rèn)和評(píng)估是一個(gè)復(fù)雜的過(guò)程 判斷危險(xiǎn)性判斷危險(xiǎn)性 除了惡意侵入者和內(nèi)部人員外，對(duì)于任何計(jì)算機(jī)系統(tǒng)還有除了惡意侵入者和內(nèi)部人員外，對(duì)于任何計(jì)算機(jī)系統(tǒng)還有許多威脅安全的方面：許多威脅安全的方面： 從軟件缺陷到硬件失效 把一杯茶水潑到鍵盤上 挖掘機(jī)切斷了上千萬(wàn)根電纜線 下面是對(duì)計(jì)算機(jī)危險(xiǎn)的部分分類：下面是對(duì)計(jì)算機(jī)危險(xiǎn)的部分分類： 軟硬件故障 物理環(huán)境威脅 人員 外部因素劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí) 劃分資

22、產(chǎn)等級(jí)劃分資產(chǎn)等級(jí) 資產(chǎn)的等級(jí)表明了資產(chǎn)對(duì)系統(tǒng)的重要性程度，安全審核人資產(chǎn)的等級(jí)表明了資產(chǎn)對(duì)系統(tǒng)的重要性程度，安全審核人員應(yīng)根據(jù)各個(gè)資產(chǎn)的等級(jí)確定相應(yīng)的安全審核策略。員應(yīng)根據(jù)各個(gè)資產(chǎn)的等級(jí)確定相應(yīng)的安全審核策略。 確定保護(hù)方法確定保護(hù)方法 確定了危險(xiǎn)性，就要確定保護(hù)方法。確定了危險(xiǎn)性，就要確定保護(hù)方法。 基于軟件的保護(hù)基于軟件的保護(hù) 基于硬件的保護(hù)基于硬件的保護(hù) 與人員相關(guān)的保護(hù)與人員相關(guān)的保護(hù)劃分資產(chǎn)等級(jí)劃分資產(chǎn)等級(jí)成本成本效益分析效益分析 成本、收益分析是評(píng)價(jià)安全措施的成本和收益成本、收益分析是評(píng)價(jià)安全措施的成本和收益 量化風(fēng)險(xiǎn)量化風(fēng)險(xiǎn) 量化損失成本量化損失成本 量化預(yù)防措施的成本量化預(yù)防

23、措施的成本 計(jì)算底限計(jì)算底限 權(quán)衡安全失敗的潛在成本和加強(qiáng)安全的成本是需要技巧的。權(quán)衡安全失敗的潛在成本和加強(qiáng)安全的成本是需要技巧的。 成本效益圖成本效益圖識(shí)別業(yè)務(wù)焦點(diǎn)識(shí)別業(yè)務(wù)焦點(diǎn) 只有識(shí)別出了企業(yè)或單位的業(yè)務(wù)焦點(diǎn)才能清楚地了只有識(shí)別出了企業(yè)或單位的業(yè)務(wù)焦點(diǎn)才能清楚地了解到，對(duì)于企業(yè)或單位來(lái)說(shuō)最重要的是什么解到，對(duì)于企業(yè)或單位來(lái)說(shuō)最重要的是什么 。 安全審核人員應(yīng)將企業(yè)的業(yè)務(wù)焦點(diǎn)的安全等級(jí)置于安全審核人員應(yīng)將企業(yè)的業(yè)務(wù)焦點(diǎn)的安全等級(jí)置于最高，并進(jìn)行最嚴(yán)格的安全審核。最高，并進(jìn)行最嚴(yán)格的安全審核。使用已有管理控制結(jié)構(gòu)使用已有管理控制結(jié)構(gòu) 單獨(dú)的安全設(shè)備不能解決網(wǎng)絡(luò)的安全問(wèn)題，獨(dú)立的基于網(wǎng)元單獨(dú)的

24、安全設(shè)備不能解決網(wǎng)絡(luò)的安全問(wèn)題，獨(dú)立的基于網(wǎng)元的管理更不能解決日益復(fù)雜的安全問(wèn)題的管理更不能解決日益復(fù)雜的安全問(wèn)題 。 安全的網(wǎng)絡(luò)是指能夠提供安全連接、安全保證、安全認(rèn)證、安全的網(wǎng)絡(luò)是指能夠提供安全連接、安全保證、安全認(rèn)證、安全抵御以及安全服務(wù)，安全感知和管理，具有自我防御能安全抵御以及安全服務(wù)，安全感知和管理，具有自我防御能力的網(wǎng)絡(luò)系統(tǒng)。力的網(wǎng)絡(luò)系統(tǒng)。 從技術(shù)的層面來(lái)說(shuō)，目前業(yè)界比較認(rèn)可的安全網(wǎng)絡(luò)的主要環(huán)從技術(shù)的層面來(lái)說(shuō)，目前業(yè)界比較認(rèn)可的安全網(wǎng)絡(luò)的主要環(huán)節(jié)包括：節(jié)包括： 入侵防護(hù)入侵防護(hù) 入侵檢測(cè)入侵檢測(cè) 事件響應(yīng)事件響應(yīng) 系統(tǒng)災(zāi)難恢復(fù)系統(tǒng)災(zāi)難恢復(fù)使用已有管理控制結(jié)構(gòu)使用已有管理控制結(jié)構(gòu)

25、應(yīng)急響應(yīng)將安全網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)貫穿起來(lái)，使得不同的環(huán)節(jié)應(yīng)急響應(yīng)將安全網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)貫穿起來(lái)，使得不同的環(huán)節(jié)互相配合，共同實(shí)現(xiàn)安全網(wǎng)絡(luò)的最終目標(biāo)?；ハ嗯浜希餐瑢?shí)現(xiàn)安全網(wǎng)絡(luò)的最終目標(biāo)。 應(yīng)急響應(yīng)的準(zhǔn)備工作包括：應(yīng)急響應(yīng)的準(zhǔn)備工作包括： 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 策略制定策略制定 入侵防護(hù)入侵防護(hù) 入侵檢測(cè)入侵檢測(cè)使用已有管理控制結(jié)構(gòu)使用已有管理控制結(jié)構(gòu) 安全管理在安全網(wǎng)絡(luò)建設(shè)的循環(huán)中，起到一個(gè)承前啟后的作安全管理在安全網(wǎng)絡(luò)建設(shè)的循環(huán)中，起到一個(gè)承前啟后的作用，是實(shí)現(xiàn)安全網(wǎng)絡(luò)的關(guān)鍵。用，是實(shí)現(xiàn)安全網(wǎng)絡(luò)的關(guān)鍵。 安全信息管理涵蓋的范圍非常全面，包括：安全信息管理涵蓋的范圍非常全面，包括： 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 策

26、略中心策略中心 配置管理配置管理 事件管理事件管理 響應(yīng)管理響應(yīng)管理 控制系統(tǒng)控制系統(tǒng) 知識(shí)和情報(bào)中心知識(shí)和情報(bào)中心 專家系統(tǒng)專家系統(tǒng)使用已有管理控制結(jié)構(gòu)使用已有管理控制結(jié)構(gòu) 根據(jù)信息安全管理的功能和特性，可將其工作流程分成以下根據(jù)信息安全管理的功能和特性，可將其工作流程分成以下4個(gè)階段。個(gè)階段。 配置管理配置管理provisioning provisioning 監(jiān)控管理監(jiān)控管理monitoring monitoring 分析管理分析管理analysis analysis 響應(yīng)管理響應(yīng)管理response response 每個(gè)階段側(cè)重解決不同的信息安全問(wèn)題、實(shí)現(xiàn)不同的安全目每個(gè)階段側(cè)重解決

27、不同的信息安全問(wèn)題、實(shí)現(xiàn)不同的安全目標(biāo)標(biāo)四個(gè)工作流程四個(gè)工作流程1.配置管理配置管理: 安全策略的制定 安全配置的部署 檢查配置是否遵循安全策略 2.2.監(jiān)控管理監(jiān)控管理: :安全狀況報(bào)告的查看、校對(duì)、產(chǎn)生 安全威脅信息的可視化 保存記錄以便以后進(jìn)行審核3.分析管理分析管理: 將離散的數(shù)據(jù)智能地翻譯成可檢測(cè)的信息 顯示推薦的排除安全威脅的配置信息 安全審核4.響應(yīng)管理：響應(yīng)管理： 通過(guò)各種事件的關(guān)聯(lián)準(zhǔn)確定位安全事件 確定攻擊源頭、描繪攻擊路徑 自動(dòng)產(chǎn)生排除安全威脅的操作 和其他部署系統(tǒng)一起協(xié)同作業(yè)配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件 漏洞掃描系統(tǒng)是用來(lái)自動(dòng)檢

28、測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞掃描系統(tǒng)是用來(lái)自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞的系統(tǒng)。漏洞的系統(tǒng)。 漏洞掃描可以分為：漏洞掃描可以分為： 基于網(wǎng)絡(luò)的掃描 基于主機(jī)的掃描配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件 基于網(wǎng)絡(luò)的漏洞掃描和分析軟件基于網(wǎng)絡(luò)的漏洞掃描和分析軟件 通過(guò)網(wǎng)絡(luò)來(lái)掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞 一種漏洞信息收集工具配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件 基于主機(jī)的漏洞掃描和分析軟件基于主機(jī)的漏洞掃描和分析軟件 基于主機(jī)的漏洞掃描器與基于網(wǎng)絡(luò)的漏洞掃描器的掃描原理類似，兩者的體系結(jié)構(gòu)不一樣。 基于主機(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了

29、一個(gè)代理（agent）或者是服務(wù)（services），以便能夠訪問(wèn)所有的文件與進(jìn)程。 基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。 配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件 對(duì)比基于網(wǎng)絡(luò)和基于主機(jī)的漏洞掃描和分析軟件對(duì)比基于網(wǎng)絡(luò)和基于主機(jī)的漏洞掃描和分析軟件 基于網(wǎng)絡(luò)的漏洞掃描的優(yōu)點(diǎn) 基于網(wǎng)絡(luò)的漏洞掃描的缺點(diǎn)實(shí)驗(yàn)2-1：主機(jī)安全掃描實(shí)驗(yàn) 在本實(shí)驗(yàn)中，我們將學(xué)習(xí)使用在本實(shí)驗(yàn)中，我們將學(xué)習(xí)使用xscan主機(jī)漏洞掃描主機(jī)漏洞掃描軟件對(duì)主機(jī)的漏洞進(jìn)行掃描軟件對(duì)主機(jī)的漏洞進(jìn)行掃描 。配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件配置基于網(wǎng)絡(luò)和主機(jī)的漏洞掃描分析軟件 基于主機(jī)的漏洞掃描的優(yōu)點(diǎn)基于主機(jī)的漏洞掃描的優(yōu)點(diǎn) 基于主機(jī)的漏洞掃描的缺點(diǎn)基于主機(jī)的漏洞掃描的缺點(diǎn)考慮路由器和防火墻的安全配置