審計(jì)安全認(rèn)證和評(píng)估

平安認(rèn)證和評(píng)估20.1風(fēng)險(xiǎn)管理20.2平安成熟度模型20.3威脅20.4平安評(píng)估方法20.5平安評(píng)估準(zhǔn)那么20.6本章小結(jié)習(xí)題針對(duì)內(nèi)部和外部的攻擊所采用的平安體系結(jié)構(gòu)的能力需要認(rèn)證和評(píng)估。技術(shù)在不斷變化，新的應(yīng)用正在開(kāi)發(fā)，新的平臺(tái)正在加到非軍事區(qū)〔DMZ〕，額外的端口正在加進(jìn)防火墻。由于競(jìng)爭(zhēng)，很多應(yīng)用在市場(chǎng)的生存時(shí)間越來(lái)越短，軟件開(kāi)發(fā)生命周期中的測(cè)試和質(zhì)量保證正在忽略。很多大的組織甚至沒(méi)有一個(gè)完全的目錄，將計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備以及在網(wǎng)絡(luò)上的各個(gè)應(yīng)用編制進(jìn)去，而只是將這些組件單獨(dú)地進(jìn)行配置。由于沒(méi)有將平安測(cè)試作為軟件質(zhì)量保證的一個(gè)組成局部，應(yīng)用的漏洞〔脆弱性〕不斷發(fā)生。平安評(píng)估認(rèn)證平安體系結(jié)構(gòu)是否能滿足平安策略和最好的經(jīng)營(yíng)業(yè)務(wù)實(shí)際。一個(gè)典型的平安評(píng)估問(wèn)題是它經(jīng)常沒(méi)有用于對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響的評(píng)析。這里引入一個(gè)概念，稱為平安成熟度模型〔SecurityMaturityModel,SMM〕,用來(lái)適當(dāng)?shù)販y(cè)量一個(gè)給定的準(zhǔn)那么，該準(zhǔn)那么基于在工業(yè)界最正確的經(jīng)營(yíng)業(yè)務(wù)實(shí)際，且能將其反響到經(jīng)營(yíng)業(yè)務(wù)。它還提供一個(gè)改進(jìn)的方法，包括將缺乏之處列成清單。平安成熟度模型可測(cè)量企業(yè)平安體系結(jié)構(gòu)的3個(gè)不同局部：方案、技術(shù)與配置、操作運(yùn)行過(guò)程。從經(jīng)營(yíng)業(yè)務(wù)的觀點(diǎn)看，要求平安解決方案的性能價(jià)格比最好，即基于特定產(chǎn)業(yè)的最正確實(shí)際。在任何系統(tǒng)中的平安控制應(yīng)預(yù)防經(jīng)營(yíng)業(yè)務(wù)的風(fēng)險(xiǎn)。然而，決定哪些平安控制是適宜的以及性能價(jià)格比好的這一過(guò)程經(jīng)常是復(fù)雜的，有時(shí)甚至是主觀的。平安風(fēng)險(xiǎn)分析的最主要功能是將這個(gè)過(guò)程置于更為客觀的根底上。風(fēng)險(xiǎn)管理是識(shí)別、評(píng)估和減少風(fēng)險(xiǎn)的過(guò)程。一個(gè)組織有很多個(gè)體負(fù)責(zé)對(duì)給定應(yīng)用接受給定風(fēng)險(xiǎn)。這些個(gè)體包括總經(jīng)理、CFO〔ChiefFinancialOfficer,首席財(cái)務(wù)執(zhí)行官〕、經(jīng)營(yíng)業(yè)務(wù)部門(mén)的負(fù)責(zé)人，以及信息所有者。一個(gè)組織的總的風(fēng)險(xiǎn)依賴于下面一些屬性：資產(chǎn)的質(zhì)量〔喪失資產(chǎn)的效應(yīng)〕和數(shù)量〔錢〕的價(jià)值；基于攻擊的威脅可能性；假設(shè)威脅實(shí)現(xiàn)，對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響。20.1風(fēng)險(xiǎn)管理將資產(chǎn)價(jià)值和代價(jià)相聯(lián)系或決定投資回報(bào)〔ReturnOnInvestment,ROI〕的能力經(jīng)常是困難的。相反，可以確定保護(hù)機(jī)制的代價(jià)。將國(guó)家秘密的信息作為極敏感的信息，因?yàn)閷?duì)這些信息的錯(cuò)誤處理，其結(jié)果將危害到國(guó)家秘密。比之于商業(yè)組織，政府愿意花更多的費(fèi)用來(lái)保護(hù)信息。直接的定量花費(fèi)包括更換損壞的設(shè)備、恢復(fù)后備和硬盤(pán)的費(fèi)用等。由于事故而引起的宕機(jī)時(shí)間是可測(cè)量的，很多金融貿(mào)易系統(tǒng)因此而遭受大量經(jīng)濟(jì)損失。生產(chǎn)的降低，例如E-mail效勞器宕機(jī)，很多組織的工作將停止。與定量的代價(jià)相比，質(zhì)量的代價(jià)對(duì)組織的破壞更大。假設(shè)用來(lái)銷售的Web站點(diǎn)被黑客破壞了，有可能所有客戶的信用卡號(hào)被偷，這將嚴(yán)重地影響這個(gè)站點(diǎn)的信譽(yù)。也有可能在短時(shí)期內(nèi)，經(jīng)營(yíng)業(yè)務(wù)停止。風(fēng)險(xiǎn)評(píng)估對(duì)漏洞和威脅的可能性進(jìn)行檢查，并考慮事故造成的可能影響。威脅的水平?jīng)Q定于攻擊者的動(dòng)機(jī)、知識(shí)和能力。大局部?jī)?nèi)部人員不大可能使用黑客工具，然而十分熟悉網(wǎng)上的應(yīng)用，可以刪除文件、引起某些物理?yè)p壞，甚至是邏輯炸彈等。漏洞水平和保護(hù)組織資產(chǎn)的平安體系結(jié)構(gòu)的能力正相反。如果平安控制弱，那么暴露的水平高，隨之發(fā)生事故災(zāi)難的機(jī)率也大。對(duì)數(shù)據(jù)、資源的漏洞及其利用的可能性取決于以下屬性，且很難預(yù)測(cè)：資產(chǎn)的價(jià)值、對(duì)對(duì)手的吸引力、技術(shù)的變更、網(wǎng)絡(luò)和處理器的速度、軟件的缺陷等。描述威脅和漏洞最好的方法是根據(jù)對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響描述。此外，對(duì)特殊風(fēng)險(xiǎn)的評(píng)估影響還和不確定性相聯(lián)系，也依賴于暴露的水平。所有這些因素對(duì)正確地預(yù)測(cè)具有很大的不確定性，因此平安的方案和認(rèn)證是十分困難的。圖20.1表示了風(fēng)險(xiǎn)評(píng)估的方法。圖20.1風(fēng)險(xiǎn)評(píng)估方法成熟度模型可用來(lái)測(cè)量組織的解決方案〔軟件、硬件和系統(tǒng)〕的能力和效力。因此它可用于平安評(píng)估，以測(cè)量針對(duì)業(yè)界最正確實(shí)際的平安體系結(jié)構(gòu)?？梢跃鸵韵?個(gè)方面進(jìn)行分析：方案、技術(shù)和配置、操作運(yùn)行過(guò)程。20.2平安成熟度模型平安方案包括平安策略、標(biāo)準(zhǔn)、指南以及平安需求。技術(shù)和配置的成熟度水平根據(jù)選擇的特定產(chǎn)品、準(zhǔn)那么，在組織內(nèi)的安置以及產(chǎn)品配置而定。操作運(yùn)行過(guò)程包括變更管理、報(bào)警和監(jiān)控，以及平安教育方面。美國(guó)CarnegieMellon大學(xué)的軟件工程研究所〔SoftwareEngineeringInsititue,SEI〕制定了系統(tǒng)平安工程能力成熟度模型〔SystemSecurityEngineeringCapabilityMaturityModel,SSE-CMM〕。它將平安成熟度能力級(jí)別分成4級(jí)，以適應(yīng)不同級(jí)別的平安體系結(jié)構(gòu)，如表20-1所示。表20-1平安成熟度能力級(jí)別安全成熟度能力級(jí)別說(shuō)明無(wú)效力（50%）總的安全體系結(jié)構(gòu)沒(méi)有遵從企業(yè)安全策略、法規(guī)，以及最佳經(jīng)營(yíng)實(shí)際。需要改進(jìn)（65%）安全體系結(jié)構(gòu)中無(wú)效力的應(yīng)少于35%合適（85%）企業(yè)的安全計(jì)劃、布署、配置和過(guò)程控制使安全體系結(jié)構(gòu)能滿足總的目標(biāo)。極好（超過(guò)100%）安全體系結(jié)構(gòu)超過(guò)了總的目標(biāo)及需求。1.平安方案一個(gè)好的平安體系結(jié)構(gòu)必須建立在一個(gè)鞏固的平安方案根底之上。方案的文本必須清晰、完整。很多組織的平安策略、標(biāo)準(zhǔn)和指南存在以下一些問(wèn)題：〔1〕內(nèi)容太舊，已過(guò)時(shí)，不適用于當(dāng)前的應(yīng)用。平安策略應(yīng)每年更新，以適應(yīng)技術(shù)的變化?！?〕文本有很多用戶，如開(kāi)發(fā)者、風(fēng)險(xiǎn)管理者、審計(jì)人員，所用語(yǔ)言又適用于多種解釋。如果陳述太抽象，那么實(shí)施時(shí)將無(wú)效力?！?〕表達(dá)不夠詳細(xì)。很多組織的平安策略觀念只是一個(gè)口令管理。組織平安策略文本中通常缺少信息的等級(jí)分類以及訪問(wèn)控制方案文本?！?〕用戶需要知道有關(guān)平安的文本。如果用戶不能方便地獲得和閱讀文本，就會(huì)無(wú)意地犯規(guī)，然而難以追查責(zé)任。2.技術(shù)和配置當(dāng)今，市場(chǎng)上有很多平安廠商和平安產(chǎn)品，但是沒(méi)有一個(gè)產(chǎn)品能提供完全的平安解決方案。諸如防火墻、IDS、VPN、鑒別效勞器等產(chǎn)品都只是解決有限的問(wèn)題。平安專業(yè)人員應(yīng)能適當(dāng)?shù)剡x擇產(chǎn)品，正確地將它們安置在根底設(shè)施中，適宜地配置和支持。然而，他們經(jīng)常會(huì)不正確地采購(gòu)平安產(chǎn)品，例如，有人認(rèn)為只要在需要保護(hù)的有價(jià)值的資產(chǎn)前放置一個(gè)防火墻，就什么問(wèn)題都能解決。從網(wǎng)絡(luò)的觀點(diǎn)看局部正確，但防火墻不提供給用和平臺(tái)的保護(hù)，也不提供有用的入侵檢測(cè)信息。平安產(chǎn)品的適宜配置也是一個(gè)挑戰(zhàn)。有時(shí)產(chǎn)品的默認(rèn)配置是拒絕所有訪問(wèn)，只有清晰的允許規(guī)那么能通過(guò)通信。平安產(chǎn)品配置的最大挑戰(zhàn)是需要有熟練的專業(yè)人員來(lái)配置和管理。3.運(yùn)行過(guò)程運(yùn)行過(guò)程包括平安組件需要的必要支持和維護(hù)、變更管理、經(jīng)營(yíng)業(yè)務(wù)的連續(xù)性、用戶平安意識(shí)培訓(xùn)、平安管理，以及平安報(bào)警與監(jiān)控。平安根底設(shè)施組件的支持和維護(hù)類似于主機(jī)和應(yīng)用效勞器所需的支持。允許的變更管理要有能退回到目前工作版本的設(shè)施，并且要和經(jīng)營(yíng)業(yè)務(wù)連續(xù)性方案協(xié)調(diào)一致。平安設(shè)備會(huì)產(chǎn)生一些不規(guī)那么的日志信息，這對(duì)管理員來(lái)說(shuō)是復(fù)雜的，一旦配置有過(guò)失，就會(huì)阻止訪問(wèn)網(wǎng)絡(luò)、應(yīng)用或平臺(tái)。對(duì)各種人員的培訓(xùn)是任何平安體系結(jié)構(gòu)成功的關(guān)鍵。最后，識(shí)別平安事故的能力且按照一個(gè)逐步升級(jí)的過(guò)程來(lái)恢復(fù)是最重要的。技術(shù)變化十分迅速，對(duì)從事于平安事業(yè)的人員增加了很多困難，因此選擇高水平的人員從事該項(xiàng)工作是必須的。特別是，從事平安培訓(xùn)的專業(yè)人員是有效信息平安程序的關(guān)鍵，要使用各種有效媒體進(jìn)行平安培訓(xùn)課程。每個(gè)企業(yè)員工都要接受平安培訓(xùn)，要對(duì)不同的人員〔例如平安管理員、最終用戶、數(shù)據(jù)擁有者〕有針對(duì)性地進(jìn)行培訓(xùn)。在第2章中講到，風(fēng)險(xiǎn)是構(gòu)成平安根底的根本觀念。風(fēng)險(xiǎn)是喪失需要保護(hù)的資產(chǎn)的可能性。測(cè)定風(fēng)險(xiǎn)的兩個(gè)組成局部是漏洞和威脅。漏洞是攻擊可能的途徑，威脅是一個(gè)可能破壞信息系統(tǒng)平安環(huán)境的動(dòng)作或事件。威脅包含3個(gè)組成局部：〔1〕目標(biāo)，可能受到攻擊的方面?！?〕代理，發(fā)出威脅的人或組織?！?〕事件，做出威脅的動(dòng)作類型。作為威脅的代理，必須要有訪問(wèn)目標(biāo)的能力，有關(guān)于目標(biāo)的信息類型和級(jí)別的知識(shí)，還要有對(duì)目標(biāo)發(fā)出威脅的理由。20.3威脅本章從平安的驗(yàn)證和評(píng)估出發(fā)，具體分析各種威脅源、威脅是如何得逞的以及針對(duì)這些威脅的對(duì)策。

弄清楚威脅的來(lái)源是減少威脅得逞可能性的關(guān)鍵，下面陳述各種主要的威脅源。1.人為過(guò)失和設(shè)計(jì)缺陷最大的威脅來(lái)源是操作中人為的疏忽行為。據(jù)一些統(tǒng)計(jì)，造成信息系統(tǒng)在經(jīng)費(fèi)和生產(chǎn)力方面損失的一半是由于人為的過(guò)失，另一半那么是有意的、惡意的行為。這些人為過(guò)失包括不適當(dāng)?shù)匕惭b和管理設(shè)備、軟件，不小心地刪除文件，升級(jí)錯(cuò)誤的文件，將不正確的信息放入文件，無(wú)視口令更換或做硬盤(pán)后備等行為，從而引起信息的喪失、系統(tǒng)的中斷等事故。20.3.1威脅源上述事故由于設(shè)計(jì)的缺陷，沒(méi)有能防止很多普遍的人為過(guò)失引起的信息喪失或系統(tǒng)故障。設(shè)計(jì)的缺陷還會(huì)引起各種漏洞的暴露。2.內(nèi)部人員很多信息保護(hù)設(shè)施的侵犯是由一些試圖進(jìn)行非授權(quán)行動(dòng)或越權(quán)行動(dòng)的可信人員執(zhí)行的。其動(dòng)機(jī)有些是出于好奇，有些是惡意的，有些那么是為了獲利。內(nèi)部人員的入侵行為包括復(fù)制、竊取或破壞信息，然而這些行為又難以檢測(cè)。這些個(gè)體持有許可或其他的授權(quán)，或者通過(guò)那些毋需專門(mén)授權(quán)的行為使網(wǎng)絡(luò)運(yùn)行失效或侵犯保護(hù)設(shè)施。根據(jù)統(tǒng)計(jì)，內(nèi)部人員的侵犯占所有嚴(yán)重平安侵犯事件的70%~80%。3.臨時(shí)員工外部的參謀、合同工、臨時(shí)工應(yīng)和正式員工一樣，必須有同樣的根本信息平安要求和信息平安責(zé)任，但還需有一些附加的限制。例如，和正式員工一樣，需簽一個(gè)信息平安遵守合同，接受相應(yīng)的平安意識(shí)培訓(xùn)。除此之外，臨時(shí)員工還必須有一個(gè)專門(mén)的協(xié)議，只允許訪問(wèn)那些執(zhí)行其委派的任務(wù)所需的信息和系統(tǒng)。4.自然災(zāi)害和環(huán)境危害環(huán)境的要求，諸如最高溫度和最低溫度、最高濕度、風(fēng)暴、龍卷風(fēng)、照明、為水所淹、雨、火災(zāi)以及地震等，都能破壞主要的信息設(shè)施及其后備系統(tǒng)。應(yīng)制定災(zāi)難恢復(fù)方案，預(yù)防和處理這些災(zāi)害。5.黑客和其他入侵者來(lái)自于非授權(quán)的黑客，為了獲得錢財(cái)、產(chǎn)業(yè)秘密或純粹是破壞系統(tǒng)的入侵攻擊行為近年來(lái)呈上升趨勢(shì)。這些群體經(jīng)常雇傭一些攻擊高手并進(jìn)行聳人聽(tīng)聞的報(bào)導(dǎo)。這些群體包括青少年黑客、專業(yè)犯罪者、工業(yè)間諜或外國(guó)智能代理等。6.病毒和其他惡意軟件病毒、蠕蟲(chóng)、特洛伊木馬以及其他惡意軟件通過(guò)磁盤(pán)、預(yù)包裝的軟件、電子郵件和連接到其他網(wǎng)絡(luò)進(jìn)入網(wǎng)絡(luò)。這些危害也可能是由于人為過(guò)失、內(nèi)部人員或入侵者引起的。采取對(duì)策以防止各種威脅情況，不僅需要了解威脅的來(lái)源，還應(yīng)知道這些威脅是怎樣侵襲平安體系結(jié)構(gòu)的。下面列舉各種情況。1.社會(huì)工程〔系統(tǒng)管理過(guò)程〕社會(huì)工程攻擊假冒授權(quán)的員工，采用偽裝的方法或電子通信的方法，具體情況如下：①攻擊者發(fā)出一封電子郵件，聲稱是系統(tǒng)的根，通知用戶改變口令以到達(dá)暴露用戶口令的目的。②攻擊者打給系統(tǒng)管理員，聲稱自己是企業(yè)經(jīng)理，喪失了modem池的號(hào)碼、忘記了口令。20.3.2威脅情況和對(duì)策③謊說(shuō)是計(jì)算機(jī)維修人員，被批準(zhǔn)進(jìn)入機(jī)房，并訪問(wèn)系統(tǒng)控制臺(tái)。④含有機(jī)密信息的固定存儲(chǔ)介質(zhì)〔硬盤(pán)、軟盤(pán)〕被丟棄或不適宜地標(biāo)號(hào)，被非授權(quán)者假裝搜集廢物獲得。所有上面4種威脅情況都可以使攻擊得逞。社會(huì)工程的保護(hù)措施大多是非技術(shù)的方法。下面列出的每一種保護(hù)措施可防御上面提到的攻擊：〔1〕培訓(xùn)所有企業(yè)用戶的平安意識(shí)?！?〕培訓(xùn)所有系統(tǒng)管理員的平安意識(shí)，并有完善的過(guò)程、處理、報(bào)告文本?！?〕對(duì)允許外訪人員進(jìn)入嚴(yán)格限制區(qū)域的負(fù)責(zé)人進(jìn)行平安意識(shí)培訓(xùn)。2.電子竊聽(tīng)I(yíng)nternet協(xié)議集在設(shè)計(jì)時(shí)并未考慮平安。TELNET、FTP、SMTP和其他基于TCP/IP的應(yīng)用易于從被動(dòng)的線接頭獲取。用戶鑒別信息〔如用戶名和口令〕易于從網(wǎng)絡(luò)中探測(cè)到，并偽裝成授權(quán)員工使用。假設(shè)外部人員對(duì)企業(yè)設(shè)施獲得物理訪問(wèn)，那么可以將帶有無(wú)線modem的手提計(jì)算機(jī)接到局域網(wǎng)或集線器上，所有通過(guò)局域網(wǎng)或集線器的數(shù)據(jù)易于被任何威脅者取得。此外，假設(shè)外部人員能電子訪問(wèn)帶有modem效勞器進(jìn)程的工作站，就可以將其作為進(jìn)入企業(yè)網(wǎng)絡(luò)的入口。任何在Internet傳輸?shù)臄?shù)據(jù)對(duì)泄露威脅都是漏洞。所有上述4種威脅都有可能使這些攻擊得逞。防止竊聽(tīng)的保護(hù)措施包括鑒別和加密。使用雙因子鑒別提供強(qiáng)的鑒別，典型的做法是授權(quán)用戶持有一個(gè)編碼信息的物理標(biāo)記再加上一個(gè)用戶個(gè)人標(biāo)識(shí)號(hào)〔PIN〕或口令。保護(hù)傳輸中的口令和ID，可以采用加密的措施。鏈路加密〔SSL和IPv6〕保護(hù)直接物理連接或邏輯通信通路連接的兩個(gè)系統(tǒng)之間傳輸?shù)男畔?。?yīng)用加密〔平安Telnet和FTP、S/MIME〕提供報(bào)文保護(hù)，在源端加密，只在目的地解密。數(shù)字簽名可認(rèn)證發(fā)送者的鑒別信息，如伴隨用哈希算法可保護(hù)報(bào)文的完整性。3.軟件缺陷當(dāng)前兩個(gè)最大的軟件缺陷是緩沖器溢出和拒絕效勞攻擊。當(dāng)寫(xiě)入太多的數(shù)據(jù)時(shí)，就會(huì)發(fā)生緩沖器溢出，通常是一串字符寫(xiě)入固定長(zhǎng)度的緩沖器。對(duì)數(shù)據(jù)緩沖器的輸入沒(méi)有足夠的邊界檢查，使得輸入超過(guò)緩沖器的容量。一般情況下，系統(tǒng)崩潰是由于程序試圖訪問(wèn)一個(gè)非法地址。然而，也有可能用一個(gè)數(shù)據(jù)串來(lái)代替生成可檢測(cè)的過(guò)失，從而造成攻擊者希望的特定系統(tǒng)的漏洞。CarnegieMellon軟件工程研究所的計(jì)算機(jī)應(yīng)急響應(yīng)組〔ComputerEmergenoyResponseTeam，CERT〕有196個(gè)有關(guān)緩沖器溢出的文檔報(bào)告，如Microsoft的終端效勞器OutlookExpress,Internet信息效勞器〔IIS〕，還有一些眾人熟知的有關(guān)網(wǎng)絡(luò)效勞的，如網(wǎng)絡(luò)定時(shí)協(xié)議〔NetworkTimeProtocol，NTP〕、Sendmail、BIND、SSHv1.37、Kerberos等。一個(gè)拒絕效勞攻擊使得目標(biāo)系統(tǒng)響應(yīng)變慢，以致完全不可用。有很多原因可導(dǎo)致這種結(jié)果：①編程錯(cuò)誤以致使用100%的CPU時(shí)間。②由于內(nèi)存的漏洞使系統(tǒng)的內(nèi)存使用連續(xù)增加。③Web請(qǐng)求或遠(yuǎn)程過(guò)程調(diào)用〔RPC〕中發(fā)生的畸形數(shù)據(jù)請(qǐng)求。④大的分組請(qǐng)求，如大量電子郵件地址請(qǐng)求和Internet控制報(bào)文協(xié)議〔InternetControlMessageProtocol，ICMP〕請(qǐng)求。⑤不停的網(wǎng)絡(luò)通信UDP和ICMP造成播送風(fēng)暴和網(wǎng)絡(luò)淹沒(méi)。⑥偽造的路由信息或無(wú)響應(yīng)的連接請(qǐng)求。⑦布線、電源、路由器、平臺(tái)或應(yīng)用的錯(cuò)誤配置。CERT有318個(gè)文本是關(guān)于對(duì)各種應(yīng)用和平臺(tái)操作系統(tǒng)的拒絕效勞攻擊。在大多數(shù)情況下，由于攻擊者已經(jīng)損壞了執(zhí)行攻擊的機(jī)器，使得要揭發(fā)這些個(gè)體實(shí)施的攻擊很困難。4.信息轉(zhuǎn)移〔主機(jī)之間的信任關(guān)系〕信任轉(zhuǎn)移是把信任關(guān)系委托給可信的中介。一旦外部人員破壞了中介信任的機(jī)器，其他的主機(jī)或效勞器也易于破壞。這樣的攻擊例子如下：①誤用一個(gè).rhosts文件使受損的機(jī)器不需口令就能攻擊任何在.rhosts文件中的機(jī)器。②假設(shè)外面的用戶偽裝成一個(gè)網(wǎng)絡(luò)操作系統(tǒng)用戶或效勞器，那么所有信任該特定用戶或效勞器的其他效勞器也易于受破壞。③一個(gè)通過(guò)網(wǎng)絡(luò)文件系統(tǒng)〔NetworkFileSystem,NFS〕由各工作站共享文件的網(wǎng)絡(luò)，假設(shè)其中一個(gè)客戶工作站受損，一個(gè)攻擊者能在文件系統(tǒng)效勞器上生成可執(zhí)行的特權(quán)，那么攻擊者能如同正常用戶一樣登錄效勞器并執(zhí)行特權(quán)命令。信任轉(zhuǎn)移的保護(hù)措施主要是非技術(shù)方法。大局部UNIX環(huán)境〔非DCE〕不提供信任轉(zhuǎn)移的自動(dòng)機(jī)制。因此系統(tǒng)管理員在映射主機(jī)之間的信任關(guān)系時(shí)必須特別小心。5.數(shù)據(jù)驅(qū)動(dòng)攻擊〔惡意軟件〕數(shù)據(jù)驅(qū)動(dòng)攻擊是由嵌在數(shù)據(jù)文件格式中的惡意軟件引起的。這些數(shù)據(jù)文件格式如PS編程語(yǔ)言〔postscript〕文件、在文本中的MSWord根本命令、shell命令表〔shellscript〕,下載的病毒或惡意程序。數(shù)據(jù)驅(qū)動(dòng)攻擊的例子如下：①一個(gè)攻擊者發(fā)送一個(gè)帶有文件操作的postscript文件，將攻擊者的主機(jī)標(biāo)識(shí)加到.rhosts文件；或者翻開(kāi)一個(gè)帶有Word根本命令的MSWord文本，能夠訪問(wèn)Windows動(dòng)態(tài)鏈接庫(kù)(DynamicLinkLibrary，DLL)內(nèi)的任何功能，包括Winsock.dll。②一個(gè)攻擊者發(fā)送一個(gè)postscript文件，該文件常駐在基于postscript的效勞器中，就能將每一個(gè)發(fā)送和接收的拷貝發(fā)送給攻擊者。③一個(gè)用戶從網(wǎng)上下載shellscript或惡意軟件，將受害者的口令文件郵寄給攻擊者，并刪除所有受害者的文件。④利用HTTP瀏覽器包裝諸如特洛伊木馬等惡意軟件。6.拒絕效勞DoS攻擊并不利用軟件的缺陷，而是利用實(shí)施特定協(xié)議的缺陷。這些攻擊會(huì)中斷計(jì)算平臺(tái)和網(wǎng)絡(luò)設(shè)備的運(yùn)行，使特定的網(wǎng)絡(luò)端口、應(yīng)用程序〔如SMTP代理〕和操作系統(tǒng)內(nèi)核超載。這些攻擊的例子有TCPSYN淹沒(méi)、ICMP炸彈、電子郵件垃圾、Web欺騙、域名效勞〔DomainNameSystem,DNS〕攔劫等。保持計(jì)算平臺(tái)和網(wǎng)絡(luò)設(shè)備的及時(shí)更新能防止大多數(shù)這些攻擊。防止有一些攻擊需要諸如網(wǎng)絡(luò)防火墻這類網(wǎng)絡(luò)過(guò)濾系統(tǒng)。7.DNS欺騙域名系統(tǒng)〔DNS〕是一個(gè)分布式數(shù)據(jù)庫(kù)，用于TCP/IP應(yīng)用中，映射主機(jī)名和IP地址，以及提供電子郵件路由信息。如果Internet地址值到域名的映射綁定過(guò)程被破壞，域名就不再是可信的。這些易破壞的點(diǎn)是訛用的發(fā)送者、訛用的接收者、訛用的中介，以及效勞提供者的攻擊。例如，假設(shè)一個(gè)攻擊者擁有自己的DNS效勞器，或者破壞一個(gè)DNS效勞器，并加一個(gè)含有受害者.rhosts文件的主機(jī)關(guān)系，攻擊者就很容易登錄和訪問(wèn)受害者的主機(jī)。對(duì)DNS攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和過(guò)程方法。網(wǎng)絡(luò)防火墻平安機(jī)制依靠雙DNS效勞器，一個(gè)用于企業(yè)網(wǎng)絡(luò)的內(nèi)部，另一個(gè)用于外部，即對(duì)外公開(kāi)的局部。這是為了限制攻擊者了解內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址，從而加固內(nèi)部DNS效勞。Internet工程任務(wù)組〔InternetEngineeringTaskForce,IETF〕正致力于標(biāo)準(zhǔn)平安機(jī)制工作以保護(hù)DNS。所謂反對(duì)這些攻擊的過(guò)程方法是對(duì)關(guān)鍵的平安決定不依賴于DNS。8.源路由通常IP路由是動(dòng)態(tài)的，每個(gè)路由器決定將數(shù)據(jù)報(bào)發(fā)往下面哪一個(gè)站。但I(xiàn)P的路由也可事先由發(fā)送者來(lái)確定，稱源路由。嚴(yán)格的源路由依賴于發(fā)送者提供確切的通路，IP數(shù)據(jù)報(bào)必須按此通路走。松散的源路由依賴于發(fā)送者提供一張最小的IP地址表，數(shù)據(jù)報(bào)必須按該表的規(guī)定通過(guò)。攻擊者首先使受害者可信主機(jī)不工作，假裝該主機(jī)的IP地址，然后使用源路由控制路由到攻擊者主機(jī)。受害者的目標(biāo)主機(jī)認(rèn)為分組來(lái)自受害者的可信主機(jī)。源路由攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和路由屏幕。路由器和防火墻能攔阻路由分組進(jìn)入企業(yè)網(wǎng)絡(luò)。9.內(nèi)部威脅內(nèi)部威脅包括前面提到的由內(nèi)部人員作惡或犯罪的威脅。大多數(shù)計(jì)算機(jī)平安統(tǒng)計(jì)說(shuō)明，70%~80%的計(jì)算機(jī)欺騙來(lái)自內(nèi)部。這些內(nèi)部人員通常有反對(duì)公司的動(dòng)機(jī)，能對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行直接物理訪問(wèn)，以及熟悉資源訪問(wèn)控制。在應(yīng)用層的主要威脅是被授權(quán)的人員濫用和誤用授權(quán)。網(wǎng)絡(luò)層的威脅是由于能對(duì)LAN進(jìn)行物理訪問(wèn)，使內(nèi)部人員能見(jiàn)到通過(guò)網(wǎng)絡(luò)的敏感數(shù)據(jù)。針對(duì)內(nèi)部威脅的防護(hù)應(yīng)運(yùn)用一些根本的平安概念：責(zé)任分開(kāi)、最小特權(quán)、對(duì)個(gè)體的可審性。責(zé)任分開(kāi)是將關(guān)鍵功能分成假設(shè)干步，由不同的個(gè)體承擔(dān)，如財(cái)務(wù)處理的批準(zhǔn)、審計(jì)、分接頭布線的批準(zhǔn)等。最小特權(quán)原那么是限制用戶訪問(wèn)的資源，只限于工作必需的資源。這些資源的訪問(wèn)模式可以包括文件訪問(wèn)〔讀、寫(xiě)、執(zhí)行、刪除〕或處理能力〔系統(tǒng)上生成或刪除處理進(jìn)程的能力〕。個(gè)體的可審性是保持各個(gè)體對(duì)其行為負(fù)責(zé)?？蓪徯酝ǔＪ怯上到y(tǒng)的用戶標(biāo)識(shí)和鑒別以及跟蹤用戶在系統(tǒng)中的行為來(lái)完成。當(dāng)前平安體系結(jié)構(gòu)的能力水平應(yīng)從平安成熟度模型的3個(gè)方面進(jìn)行評(píng)估，即對(duì)方案、布局和配置、運(yùn)行過(guò)程的評(píng)估。平安評(píng)估方法的第1步是發(fā)現(xiàn)階段，所有有關(guān)平安體系結(jié)構(gòu)適用的文本都必須檢查，包括平安策略、標(biāo)準(zhǔn)、指南，信息等級(jí)分類和訪問(wèn)控制方案，以及應(yīng)用平安需求。全部根底設(shè)施平安設(shè)計(jì)也須檢查，包括網(wǎng)絡(luò)劃分設(shè)計(jì)，防火墻規(guī)那么集，入侵檢測(cè)配置；平臺(tái)加固標(biāo)準(zhǔn)、網(wǎng)絡(luò)和應(yīng)用效勞器配置。20.4平安評(píng)估方法

20.4.1平安評(píng)估過(guò)程評(píng)估的第2步是人工檢查階段，將文本描述的體系結(jié)構(gòu)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差異?？梢圆捎檬止さ姆椒?，也可采用自動(dòng)的方法。使用網(wǎng)絡(luò)和平臺(tái)發(fā)現(xiàn)工具，在網(wǎng)絡(luò)內(nèi)部執(zhí)行，可表示出所有的網(wǎng)絡(luò)通路以及主機(jī)操作系統(tǒng)類型和版本號(hào)。NetSleuth工具是一個(gè)IP可達(dá)性分析器，能提供到網(wǎng)絡(luò)端口級(jí)的情況。QUESO和NMAP這些工具具有對(duì)主機(jī)全部端口掃描的能力，并能識(shí)別設(shè)備的類型和軟件版本。評(píng)估的第3步是漏洞測(cè)試階段。這是一個(gè)系統(tǒng)的檢查，以決定平安方法的適用、標(biāo)識(shí)平安的差異、評(píng)價(jià)現(xiàn)有的和方案的保護(hù)措施的有效性。漏洞測(cè)試階段又可分成3步。第1步包括網(wǎng)絡(luò)、平臺(tái)和應(yīng)用漏洞測(cè)試。網(wǎng)絡(luò)漏洞測(cè)試的目標(biāo)是從攻擊者的角度檢查系統(tǒng)?？梢詮囊粋€(gè)組織的Intranet內(nèi)，也可以從Internet的外部，或者一個(gè)Extranet合作伙伴進(jìn)入組織。用于網(wǎng)絡(luò)漏洞測(cè)試的工具通常是多種商業(yè)化的工具〔例如ISS掃描器、Cisco的Netsonar〕以及開(kāi)放給公共使用的工具〔例如Nessus和NMAP〕。這些測(cè)試工具都以相同的方式工作。首先對(duì)給出的網(wǎng)絡(luò)組件〔例如防火墻、路由器、VPN網(wǎng)關(guān)、平臺(tái)〕的所有網(wǎng)絡(luò)端口進(jìn)行掃描。一旦檢測(cè)到一個(gè)開(kāi)啟的端口，就使用的各種方法攻擊這端口〔例如在MicrosoftIIS5.0、Kerberos、SSHdaemon和SunSolsticeAdminSuiteDaemon的緩沖器溢出〕。大局部商業(yè)產(chǎn)品能生成一個(gè)詳細(xì)的報(bào)告，根據(jù)攻擊產(chǎn)生的危害，按風(fēng)險(xiǎn)級(jí)別列出分類的漏洞。漏洞測(cè)試的第2步是平臺(tái)掃描，又稱系統(tǒng)掃描。平臺(tái)掃描驗(yàn)證系統(tǒng)配置是否遵守給定的平安策略。此外，它還檢測(cè)任何平安漏洞和配置錯(cuò)誤〔例如不平安的文件保護(hù)——注冊(cè)和配置目錄〕以及可利用的網(wǎng)絡(luò)效勞〔例如HTTP、FTP、DNS、SMTP等〕。一旦平臺(tái)的平安加固已經(jīng)構(gòu)建，系統(tǒng)掃描將構(gòu)成根底，它定時(shí)地檢測(cè)任何重要的變化〔例如主頁(yè)更換、Web站點(diǎn)受損〕。漏洞測(cè)試的第3步是應(yīng)用掃描。應(yīng)用掃描工具不像網(wǎng)絡(luò)或平臺(tái)工具那樣是自動(dòng)的，因此，它是一個(gè)手動(dòng)的處理過(guò)程。其理念是模仿攻擊者成為授權(quán)用戶是如何誤用這應(yīng)用。平安評(píng)估的最后1步是認(rèn)證平安體系結(jié)構(gòu)的處理過(guò)程局部。包括自動(dòng)的報(bào)警設(shè)施以及負(fù)責(zé)配置所有平安體系結(jié)構(gòu)組件〔如防火墻、IDS、VPN等〕的人。平安控制出現(xiàn)的問(wèn)題最多的是人為的過(guò)失。例如，引起防火墻不能平安運(yùn)行的主要原因是配置的錯(cuò)誤以及不好的變更管理過(guò)程，如下面一些情況：①有一個(gè)防火墻管理員在深夜接到一個(gè)緊急，聲稱由于網(wǎng)絡(luò)的問(wèn)題使應(yīng)用出錯(cuò)。②管理員取消管理集對(duì)分組的限制，觀察是否是防火墻阻斷了這個(gè)分組。③應(yīng)用開(kāi)始正常工作，管理員回去睡覺(jué)，但忘了防火墻管理集是翻開(kāi)著的。④之后企業(yè)網(wǎng)絡(luò)被入侵，因?yàn)榉阑饓Σ⒉粓?zhí)行任何訪問(wèn)控制。在漏洞分析測(cè)試期間，平安體系結(jié)構(gòu)監(jiān)控和報(bào)警設(shè)施應(yīng)在最忙的狀態(tài)。測(cè)試可以事先通知，允許凈化平安日志、分配適宜的磁盤(pán)空間。測(cè)試也可以事先不通知，可以測(cè)量平安支持人員的反響時(shí)間。測(cè)量Internet效勞提供者的反響時(shí)間是有用的，特別是他們負(fù)責(zé)管理Internet防火墻的情況。將上面5個(gè)漏洞分析測(cè)試階段的結(jié)果匯總、分析，可得出總的風(fēng)險(xiǎn)分析文本，從5個(gè)階段中產(chǎn)生的信息是覆蓋的。很多自開(kāi)工具廠商有內(nèi)置的報(bào)告產(chǎn)生器，根據(jù)可能引起危害的漏洞進(jìn)行分類。風(fēng)險(xiǎn)分析信息必須應(yīng)用到經(jīng)營(yíng)業(yè)務(wù)，轉(zhuǎn)而成為經(jīng)營(yíng)業(yè)務(wù)影響的文本。很多平安評(píng)估報(bào)告沒(méi)有將風(fēng)險(xiǎn)分析反響到對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響，平安評(píng)估的價(jià)值就很小。圖20.2表示從平安成熟度模型3個(gè)方面的平安評(píng)估階段。圖20.2平安評(píng)估階段由于Internet協(xié)議TCP/IP的實(shí)施沒(méi)有任何內(nèi)置的平安機(jī)制，因此大局部基于網(wǎng)絡(luò)的應(yīng)用也是不平安的。網(wǎng)絡(luò)平安評(píng)估的目標(biāo)是保證所有可能的網(wǎng)絡(luò)平安漏洞是關(guān)閉的。多數(shù)網(wǎng)絡(luò)平安評(píng)估是在公共訪問(wèn)的機(jī)器上，從Internet上的一個(gè)IP地址來(lái)執(zhí)行的，諸如E-mail效勞器、域名效勞器〔DNS〕、Web效勞器、FTP和VPN網(wǎng)關(guān)等。另一種不同的網(wǎng)絡(luò)評(píng)估實(shí)施是給出網(wǎng)絡(luò)拓?fù)?、防火墻?guī)那么集和公共可用的效勞器及其類型的清單。20.4.2網(wǎng)絡(luò)平安評(píng)估網(wǎng)絡(luò)評(píng)估的第1步是了解網(wǎng)絡(luò)的拓?fù)?。假設(shè)防火墻在阻斷跟蹤路由分組，這就比較復(fù)雜，因?yàn)楦櫬酚善魇怯脕?lái)繪制網(wǎng)絡(luò)拓?fù)涞?。?步是獲取公共訪問(wèn)機(jī)器的名字和IP地址，這是比較容易完成的。只要使用DNS并在ARIN〔AmericanRegistryforInternetNumber〕試注冊(cè)所有的公共地址。最后1步是對(duì)全部可達(dá)主機(jī)做端口掃描的處理。端口是用于TCP/IP和UDP網(wǎng)絡(luò)中將一個(gè)端口標(biāo)識(shí)到一個(gè)邏輯連接的術(shù)語(yǔ)。端口號(hào)標(biāo)識(shí)端口的類型，例如80號(hào)端口專用于HTTP通信。假設(shè)給定端口有響應(yīng)，那么將測(cè)試所有的漏洞。表20-2列出了各種類型的端口掃描技術(shù)。(見(jiàn)書(shū)中表20-2)平臺(tái)平安評(píng)估的目的是認(rèn)證平臺(tái)的配置〔操作系統(tǒng)對(duì)漏洞不易受損、文件保護(hù)及配置文件有適當(dāng)?shù)谋Ｗo(hù)〕。認(rèn)證的惟一方法是在平臺(tái)自身上執(zhí)行一個(gè)程序。有時(shí)該程序稱為代理，因?yàn)榧械墓芾沓绦蛴纱碎_(kāi)始。假設(shè)平臺(tái)已經(jīng)適當(dāng)加固，那么有一個(gè)基準(zhǔn)配置。評(píng)估的第1局部是認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)效勞〔FTP、rlogin、telnet、SSH等〕沒(méi)有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并轉(zhuǎn)發(fā)給Internet上的攻擊者。假設(shè)任何文件需打補(bǔ)丁或需要使用效勞包，代理將通知管理員。20.4.3平臺(tái)平安估計(jì)第2局部測(cè)試是認(rèn)證管理員的口令，大局部機(jī)器不允許應(yīng)用用戶登錄到平臺(tái)，對(duì)應(yīng)用的用戶鑒別是在平臺(tái)上運(yùn)行的，而不是平臺(tái)本身。此外，還有測(cè)試本地口令的強(qiáng)度，如口令長(zhǎng)度、口令組成、字典攻擊等。最后跟蹤審計(jì)子系統(tǒng)，在黑客作案前就能跟蹤其行跡。數(shù)據(jù)庫(kù)的平安評(píng)估也是必須的，這局部?jī)?nèi)容不在本書(shū)表達(dá)范圍內(nèi)。應(yīng)用平安評(píng)估比使用像網(wǎng)絡(luò)和平臺(tái)掃描這些自開(kāi)工具而言，需要更多的技藝。黑客的目標(biāo)是得到系統(tǒng)對(duì)應(yīng)用平臺(tái)的訪問(wèn)，強(qiáng)迫應(yīng)用執(zhí)行某些非授權(quán)用戶的行為。很多基于Web應(yīng)用的開(kāi)發(fā)者使用公共網(wǎng)關(guān)接口(CommonGatewayInterface,CGI)來(lái)分析表格，黑客能利用很多漏洞來(lái)訪問(wèn)使用CGI開(kāi)發(fā)的Web效勞器平臺(tái)〔例如放入“&〞這些額外的字符〕。20.4.4應(yīng)用平安評(píng)估低質(zhì)量編寫(xiě)的應(yīng)用程序的最大風(fēng)險(xiǎn)是允許訪問(wèn)執(zhí)行應(yīng)用程序的平臺(tái)。當(dāng)一個(gè)應(yīng)用損壞時(shí)，平安體系結(jié)構(gòu)必須將黑客包含進(jìn)平臺(tái)。一旦一臺(tái)在公共層的機(jī)器受損，就可用它來(lái)攻擊其他的機(jī)器。最通用的方法是在受損的機(jī)器上安裝一臺(tái)口令探測(cè)器。根據(jù)計(jì)算機(jī)信息系統(tǒng)平安技術(shù)開(kāi)展的要求，信息系統(tǒng)平安保護(hù)等級(jí)劃分和評(píng)估的根本準(zhǔn)那么如下。1.可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么TCSEC〔TrustedComputerSystemEvaluationCriteria,可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〕是由美國(guó)國(guó)家計(jì)算機(jī)平安中心〔NCSC〕于1983年制定的計(jì)算機(jī)系統(tǒng)平安等級(jí)劃分的根本準(zhǔn)那么，又稱桔皮書(shū)。1987年NCSC又發(fā)布了紅皮書(shū)，即可信網(wǎng)絡(luò)指南〔TrustedNetworkInterpretationoftheTCSEC,TNI〕,1991年又發(fā)布了可信數(shù)據(jù)庫(kù)指南〔TrustedDatabaseInterpretationoftheTCSEC,TDI〕。20.5平安評(píng)估準(zhǔn)那么2.信息技術(shù)平安評(píng)估準(zhǔn)那么ITSEC〔InformationTechnologySecurityEvaluationCriteria,信息技術(shù)平安評(píng)估準(zhǔn)那么〕由歐洲四國(guó)〔荷、法、英、德〕于1989年聯(lián)合提出，俗稱白皮書(shū)。在吸收TCSEC的成功經(jīng)驗(yàn)的根底上，首次在評(píng)估準(zhǔn)那么中提出了信息平安的保密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度。3.通用平安評(píng)估準(zhǔn)那么CC〔CommandCriteriaforITSecurityEvaluation,通用平安評(píng)估準(zhǔn)那么〕由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所〔NIST〕、國(guó)家平安局〔NSA〕、歐洲的荷、法、德、英以及加拿大等6國(guó)7方聯(lián)合提出，并于1991年宣布，1995年發(fā)布正式文件。它的根底是歐洲的白皮書(shū)ITSEC、美國(guó)的〔包括桔皮書(shū)TCSEC在內(nèi)的〕新的聯(lián)邦評(píng)價(jià)準(zhǔn)那么、加拿大的CTCPEC以及國(guó)際標(biāo)準(zhǔn)化組織的ISO/SCITWGS的平安評(píng)價(jià)標(biāo)準(zhǔn)。4.計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的國(guó)家標(biāo)準(zhǔn)，序號(hào)為GB17859-1999。評(píng)價(jià)準(zhǔn)那么的出現(xiàn)為我們?cè)u(píng)價(jià)、開(kāi)發(fā)、研究計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的平安提供了指導(dǎo)準(zhǔn)那么。TCSEC共分為4類7級(jí)：D、C1、C2、B1、B2、B3、A1。1.D級(jí)平安性能達(dá)不到C1級(jí)的劃分為D級(jí)。D級(jí)并非沒(méi)有平安保護(hù)功能，只是太弱。2.C1級(jí)，自主平安保護(hù)級(jí)可信計(jì)算基定義和控制系統(tǒng)中命名用戶對(duì)命名客體的訪問(wèn)。實(shí)施機(jī)制〔如訪問(wèn)控制表〕允許命名用戶和用戶組的身份規(guī)定并控制客體的共享，并阻止非授權(quán)用戶讀取敏感信息。20.5.1可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么可信計(jì)算基〔TrustedComputingBase,TCB〕是指為實(shí)現(xiàn)計(jì)算機(jī)處理系統(tǒng)平安保護(hù)策略的各種平安保護(hù)機(jī)制的集合。3.C2級(jí)，受控存取保護(hù)級(jí)與自主平安保護(hù)級(jí)相比，本級(jí)的可信計(jì)算基實(shí)施了粒度更細(xì)的自主訪問(wèn)控制，它通過(guò)登錄規(guī)程、審計(jì)平安性相關(guān)事件以及隔離資源，使用戶能對(duì)自己的行為負(fù)責(zé)。4.C2級(jí)，標(biāo)記平安保護(hù)級(jí)本級(jí)的可信計(jì)算基具有受控存取保護(hù)級(jí)的所有功能。此外，還可提供有關(guān)平安策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，可消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。5.B2級(jí)，結(jié)構(gòu)化保護(hù)級(jí)本級(jí)的可信計(jì)算基建立于一個(gè)明確定義的形式平安策略模型之上，它要求將B1級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。本級(jí)的可信計(jì)算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素?？尚庞?jì)算基的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。6.B3級(jí)，平安域級(jí)本級(jí)的可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。訪問(wèn)監(jiān)控器是指監(jiān)控主體和客體之間授權(quán)訪問(wèn)關(guān)系的部件。訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。訪問(wèn)監(jiān)控器本身是抗篡改的，必須足夠小，能夠分析和測(cè)試。為了滿足訪問(wèn)監(jiān)控器需求，可信計(jì)算基在其構(gòu)造時(shí)排除實(shí)施對(duì)平安策略來(lái)說(shuō)并非必要的代碼。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持平安管理員職能；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與平安相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。7.A1級(jí)，驗(yàn)證設(shè)計(jì)級(jí)本級(jí)的平安功能與B3級(jí)相同，但最明顯的不同是本級(jí)必須對(duì)相同的設(shè)計(jì)運(yùn)用數(shù)學(xué)形式化證明方法加以驗(yàn)證，以證明平安功能的正確性。本級(jí)還規(guī)定了將平安計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所必須遵守的程序。這是我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分的根本準(zhǔn)那么，是強(qiáng)制性的國(guó)家標(biāo)準(zhǔn)，序號(hào)為GB17859-1999。準(zhǔn)那么規(guī)定了計(jì)算機(jī)信息系統(tǒng)平安保護(hù)能力的5個(gè)等級(jí)。20.5.2計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么1.概述?準(zhǔn)那么?是計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心，制定?準(zhǔn)那么?是實(shí)行計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)制度建設(shè)的重要根底，其主要目的是：支持計(jì)算機(jī)信息系統(tǒng)平安法規(guī)的制定；為計(jì)算機(jī)信息系統(tǒng)平安產(chǎn)品的研發(fā)提供功能框架；為平安系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。?準(zhǔn)那么?在系統(tǒng)地、科學(xué)地分析計(jì)算機(jī)處理系統(tǒng)的平安問(wèn)題的根底上，結(jié)合我國(guó)信息系統(tǒng)建設(shè)的實(shí)際情況，將計(jì)算機(jī)信息系統(tǒng)的平安等級(jí)劃分為如下5級(jí)：第一級(jí),用戶自主保護(hù)級(jí)；第二級(jí)，系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)，平安標(biāo)記保護(hù)級(jí)；第四級(jí)，結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)，訪問(wèn)驗(yàn)證保護(hù)級(jí)。各級(jí)的命名，主要考慮了使各級(jí)的名稱能夠表達(dá)這一級(jí)別平安功能的主要特性。計(jì)算機(jī)信息系統(tǒng)平安保護(hù)能力隨著平安保護(hù)等級(jí)的增高，逐漸增強(qiáng)。5個(gè)級(jí)別的平安保護(hù)能力之間的關(guān)系如圖20.3所示。圖20.3各等級(jí)平安保護(hù)能力示意圖2.技術(shù)功能說(shuō)明在計(jì)算機(jī)信息系統(tǒng)的平安保護(hù)中，一個(gè)重要的概念是可信計(jì)算基〔trustedcomputingbase,TCB〕?？尚庞?jì)算基是一個(gè)實(shí)現(xiàn)平安策略的機(jī)制，包括硬件、軟件和必要的固件，它們將根據(jù)平安策略來(lái)處理主體〔系統(tǒng)管理員、平安管理員和用戶〕對(duì)客體〔進(jìn)程、文件、記錄、設(shè)備等〕的訪問(wèn)?？尚庞?jì)算基具有以下特性：實(shí)施主體對(duì)客體的平安訪問(wèn)的功能；抗篡改的性質(zhì)；易于分析與測(cè)試的結(jié)構(gòu)。在?準(zhǔn)那么?規(guī)定的5個(gè)級(jí)別中，其平安保護(hù)能力主要取決于可信計(jì)算基的特性，即各級(jí)之間的差異主要表達(dá)在可信計(jì)算基的構(gòu)造及它所具有的平安保護(hù)能力上。1.概述通用平安評(píng)估準(zhǔn)那么(CC)是一個(gè)國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)描述了這么一個(gè)規(guī)那么：“……可作為評(píng)估IT產(chǎn)品與系統(tǒng)的根底……，這個(gè)標(biāo)準(zhǔn)允許在相互獨(dú)立的不同平安評(píng)估結(jié)果之間進(jìn)行比較……，提供一套公共的用于IT產(chǎn)品與系統(tǒng)的平安功能集，以及適應(yīng)該功能集的平安保障的測(cè)度。評(píng)估過(guò)程確定了IT產(chǎn)品與系統(tǒng)關(guān)于平安功能及保障的可信水平〞。CC由3個(gè)局部組成：平安功能、平安保障與評(píng)估方法。信息系統(tǒng)平安工程〔ISSE〕可以利用CC作為工具支持其行為，包括為信息保護(hù)系統(tǒng)制定系統(tǒng)級(jí)的描述和支持批準(zhǔn)過(guò)程。20.5.3通用平安評(píng)估準(zhǔn)那么圖20.4CC中的平安概念與相互關(guān)系圖20.4顯示CC是如何應(yīng)用的，用CC的語(yǔ)法建立信息平安的過(guò)程是符合ISSE過(guò)程的。開(kāi)掘信息保護(hù)需求的行為提供了各種信息，如所有者怎樣評(píng)估資產(chǎn)、威脅代理是什么、什么是威脅、什么是對(duì)策〔要求與功能〕和什么是風(fēng)險(xiǎn)〔局部地〕。定義信息保護(hù)系統(tǒng)的行為提供了用于描述如下事務(wù)的信息：什么是對(duì)策〔命名組件〕、什么是脆弱性〔基于體系結(jié)構(gòu)〕、什么是風(fēng)險(xiǎn)〔更全面〕。設(shè)計(jì)信息保護(hù)系統(tǒng)的行為提供了如下信息：什么是對(duì)策〔驗(yàn)證了的信息保護(hù)產(chǎn)品功能〕、什么是脆弱性〔基于設(shè)計(jì)的、組合并驗(yàn)證了的測(cè)試結(jié)果〕和什么是風(fēng)險(xiǎn)〔更加全面〕。實(shí)現(xiàn)信息保護(hù)系統(tǒng)的行為最后提供了如下信息：什么是對(duì)策〔安裝了的、有效的信息系統(tǒng)保護(hù)功能〕、什么是脆弱性〔基于有效性與漏洞測(cè)試實(shí)現(xiàn)結(jié)果〕、什么是風(fēng)險(xiǎn)〔更加全面〕。CC并不描述個(gè)體和操作的平安，也不描述評(píng)估的有效性或其他使系統(tǒng)更有效的管理經(jīng)驗(yàn)。CC提供了一種標(biāo)準(zhǔn)的語(yǔ)言與語(yǔ)法，用戶和開(kāi)發(fā)者可以用它來(lái)聲明系統(tǒng)的通用功能〔保護(hù)輪廓或PP〕或被評(píng)估的特定性能〔平安目標(biāo)或ST〕。PP都以標(biāo)準(zhǔn)化的格式定義了一套功能要求與保障要求，它們或者來(lái)自于CC，或由用戶定義，用來(lái)解決的或假設(shè)的平安問(wèn)題〔可能定義成對(duì)被保護(hù)資產(chǎn)的威脅〕。對(duì)于一個(gè)完全與平安目標(biāo)一致的評(píng)估對(duì)象〔TOE〕集合，PP允許各對(duì)象有獨(dú)立的平安要求表述。PP設(shè)計(jì)是可重用的，并且定義了可有效滿足確定目標(biāo)的TOE環(huán)境。PP也包括了平安性與平安目標(biāo)的根本依據(jù)。即使評(píng)估對(duì)象是特定類型的IT產(chǎn)品、系統(tǒng)〔如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、智能卡、防火墻等〕，其平安需求的定義也不會(huì)因系統(tǒng)不同而不同。PP可以由用戶團(tuán)體、IT產(chǎn)品開(kāi)發(fā)者或其他有興趣定義這樣一個(gè)需求集合的集體開(kāi)發(fā)。PP給了消費(fèi)者一個(gè)參考特定平安需求集合的手段，并使得用戶對(duì)這些要求的評(píng)估變得容易。因此，PP是一個(gè)適宜的用于ISSE開(kāi)發(fā)并描述其架構(gòu)的CC文檔，可以作為查詢與技術(shù)評(píng)估的根底。ST包括一個(gè)參考PP的平安需求的集合，或者直接引用CC的功能或保障局部，或是更加詳細(xì)地對(duì)其說(shuō)明。ST使得對(duì)穩(wěn)定TOE的平安需求的描述能夠有效地滿足確定目標(biāo)的需要。ST包括評(píng)估對(duì)象的概要說(shuō)明、平安要求與目標(biāo)及其根據(jù)。ST是各團(tuán)體對(duì)TOE所提供的平安性達(dá)成一致的根底。PP和ST也可以是在負(fù)責(zé)管理系統(tǒng)開(kāi)發(fā)的團(tuán)體、系統(tǒng)的核心成員及負(fù)責(zé)生產(chǎn)該系統(tǒng)的組織之間互相溝通的一種手段。在這種環(huán)境中，應(yīng)該建議ST對(duì)PP做出響應(yīng)。PP與ST的內(nèi)容可以在參與者之間協(xié)商。基于PP與ST的對(duì)實(shí)際系統(tǒng)的評(píng)估是驗(yàn)收過(guò)程的一局部?？偟膩?lái)說(shuō)，非IT的平安需求也將被協(xié)商和評(píng)估。通常平安問(wèn)題的解決并不是獨(dú)立于系統(tǒng)的其他需求的。ST與PP的關(guān)系如圖20.5所示。圖20.5保護(hù)輪廓與平安目標(biāo)的關(guān)系CC的觀點(diǎn)是，在對(duì)即將要信任的IT產(chǎn)品和系統(tǒng)進(jìn)行評(píng)估的根底之上提供一種保障。評(píng)估是一種傳統(tǒng)的提供保障的方式，同時(shí)也是先期評(píng)估準(zhǔn)那么文檔的根底。為了與現(xiàn)有方式一致，CC也采納了同樣的觀點(diǎn)。CC建議專業(yè)評(píng)估員加大評(píng)估的廣度、深度與強(qiáng)度，來(lái)檢測(cè)文檔的有效性和IT產(chǎn)品或系統(tǒng)的結(jié)果。CC并不排除也不評(píng)估其他獲取保障的方法的優(yōu)點(diǎn)。針對(duì)其他可替代的獲取保障的方法正在研究。這些研究行為所產(chǎn)生的可替代的方法可能會(huì)被考慮參加到CC之中，而CC的結(jié)構(gòu)允許它今后引入其他方法。CC的觀點(diǎn)宣稱，用于評(píng)估的努力越多，平安保障效果越好；CC的目標(biāo)是用最小的努力來(lái)到達(dá)必須的保障水平。努力程度的增加基于如下因素：范圍，必須加強(qiáng)努力，因?yàn)榇缶植康腎T產(chǎn)品與系統(tǒng)包含在內(nèi)。深度，努力必須加深，因?yàn)樵u(píng)估證據(jù)的搜集依賴于更好的設(shè)計(jì)水平與實(shí)現(xiàn)細(xì)節(jié)。強(qiáng)度，努力必須加大，因?yàn)樵u(píng)估證據(jù)的搜集需要結(jié)構(gòu)化和正式的方式。評(píng)估過(guò)程為PP與ST所需的保障提供了證據(jù)，如圖20.6所示。評(píng)估的結(jié)果就是對(duì)信息保護(hù)系統(tǒng)的某種程度上確實(shí)信。其他ISSE過(guò)程，如風(fēng)險(xiǎn)管理，提供了將這種確信轉(zhuǎn)化成管理決策準(zhǔn)那么的方法。圖20.6評(píng)估的概念與相互關(guān)系圖2