信息安全-深入分析比较八个信息安全模型
深入分析比较八个信息安全模型
信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。
国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI安全体系结构:ISO 7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T 9387.2-1995》。ISO 7498-2 安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO 7498-2 体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。
P2DR 模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(Adaptive NetworkSe cur ity Mode l)。P2DR 代表的分别是Polic y (策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。按照P2DR的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,因而可以用时间尺度来衡量一个体系的能力和安全性。
PDRR 模型,或者叫PPDRR(或者P2DR2),与P2DR非常相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR
模型中,安全策略、防护、检测、响应和恢复共同构成了完整的安全体系,利用这样的模型,任何信息安全问题都能得以描述和解释。
当信息安全发展到信息保障阶段之后,人们越发认为,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术框架(Information Assurance Technical Framework,IATF)就是在这种背景下诞生的。IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于,它首次提出了信息保障依赖于人、操作和技术来共同实现组织职能/业务运作的思想,对技术/信息基础设施的管理也离不开这3个要素。IATF认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。
尽管IATF提出了以人为核心的思想,但整个体系的阐述还是以技术为侧重的,对于安全管理的内容则很少涉及。所以,与其说IA TF 为我们提供了全面的信息安全体系模型,如说为我们指出了设计、构建和实施信息安全解决方案的一个技术框架信息安全体系建设与服务过程(ISMG-002),它为我们概括了信息安全应该关注的领域和范围、途
径和方法、可选的技术性措施,但并没有指出信息安全最终的表现形态,这和P2DR、PDRR 等模型有很大区别。
BS 7799 是英国标准协会(British Standards Institute,BSI)制定的关于信息安全管理方面的标准,它包含两个部分:第一部分是被采纳为ISO/IEC 17799:2000 标准的信息安全管理实施细则(Code of Practice for Information Security Management),它在10 个标题框架下列举定义127项作为安全控制的惯例,供信息安全实践者选择使用;BS 7799 的第二部分是建立信息安全管理体系(ISMS)的一套规范(Specif ication for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。作为一套管理标准,BS7799-2指导相关人员怎样去应用ISO/IEC 17799,其最终目的还在于建立适合企业需要的信息安全管理体系(ISMS)。
单从安全体系作为信息安全建设指导蓝图和目标的作用来看,之前的几种体系或模型都或多或少存在一些不足,ISO 7498-2 就不多说,即使是目前较为流行的P2DR 和PDRR模型,侧重的也只是安全体系的技术环节,并没有阐述构成信息安全的几个关键要素。至于IATF,虽然明确指出信息安全的构成要素,但它只是提供了一个用来选择技术措施的框架并没有勾画出一个安全体系的目标形态。同样的,BS 7799标准虽然完全侧重于信息安全管理,但它所要求的信息安全管理体系(ISMS)也没有明确的目标形态。这里,我们提出了一种新的安全体系模型,即P2OTPDR2 模型。实际上这是一个将IA TF 核心思想与PDRR 基本形态结合在一起的安全体系模型,符合我们对信息安全体系设计的基本要求。P2OTPDR2,即Policy(策略)、People(人)、Operation(操作)、Technology (技术)、Protection(保护)、Detection(检测)、Response(响应)和Recovery (恢复)的首字母缩写。P2OTPDR2分为3个层次,最核心的部分是安全策略,安全策略在整个安全体系的设计、实施、维护和改进过程中都起着重要的指导作用,是一切信息安全实践活动的方针和指南。模型的中间层次体现了信息安全的3个基本要素:人员、技术和操作,这构成了整个安全体系的骨架,从本质上讲,安全策略的全部内容就是对这3 个要素的阐述,当然,3个要素中,人是唯一具有能动性的,是第一位的。在模型的外围,是构成信息安全完整功能的PDRR 模型的4个环节,信息安全3要素在这4个环节中都有渗透,并最终表现出信息安全完整的目标形态。概括来说,在策略核心的指导下,3个要素(人、技术、操作)紧密结合协同作用,最终实现信息安全的4项功能(防护、检测、响应、恢复),构成完整的信息安全体系。P2OTPDR2 模型的核心思想在于:通过人员组织、安全技术以及运行操作3个支撑体系的综合作用,构成一个完整的信息安全管理体系。虽然只是简单的演绎归纳,但新的安全体系模型能够较好地体现信息安全的各个特点,因而具有更强的目标指导作用。从全面性来看,P2OTPDR2 模型对安全本质和功能的阐述是完整的、全面的;模型的层次关系也很清晰;外围的PDRR模型的4 个环节本身就是对动态性很好的诠释;无论是人员管理、技术管理还是操作管理,都体现了信息安全可管理性的特点。就防护来说,ISO 7498-2所定义的传统的安全技术可以建立起信息安全的第一道防线,包括物理安全措施、操作系统安全、身份认证、访问控制、数据加密、完整性保护等技术;
在检测环节,病毒检测、漏洞扫描、入侵检测、安全审计都是典型的技术和操作手段;在响应环节,包括突发事件处理、应急响应、犯罪辨析等技术和操作;而在恢复环节,备份和恢复则是最重要的内容。当然,在这4个环节中,无论是采用怎样的措施,都能够通过人、操作和技术三者的结合来共同体现安全策略的思想,最终实现信息安全的目标和要求。下面简单给出八种安全模型的比较:(1)状态机模型:
无论处于什么样的状态,系统始终是安全的,一旦有不安全的事件发生,系统应该会保护自己,而不是是自己变得容易受到攻击。
(2)Bell-LaPadula模型:
多级安全策略的算术模型,用于定于安全状态机的概念、访问模式以及访问规则。主要用于防止未经授权的方式访问到保密信息。
系统中的用户具有不同的访问级(clearance),而且系统处理的数据也有不同的类别(classification)。信息分类决定了应该使用的处理步骤。这些分类合起来构成格(lattice)。BLP是一种状态机模型,模型中用到主体、客体、访问操作(读、写和读/写)以及安全等级。也是一种信息流安全模型,BLP的规则,Simplesecurityrule,一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。(-propertyrule)为不能往下写。Strongstarpropertyrule,一个主体只能在同一安全登记内读写。
图1-1 Bell-Lapodupa安全模型解析图
基本安全定理,如果一个系统初始处于一个安全状态,而且所有的状态转换都是安全的,那么不管输入是什么,每个后续状态都是安全的。
不足之处:只能处理机密性问题,不能解决访问控制的管理问题,因为没有修改访问权限的机制;这个模型不能防止或者解决隐蔽通道问题;不能解决文件
共享问题。
(3)Biba模型:
状态机模型,使用规则为,不能向上写:一个主体不能把数据写入位于较高完整性级别的客体。不能向下读:一个主体不能从较低的完整性级别读取数据。主要用于商业活动中的信息完整性问题。
图1-2 Biba安全模型解析图
(4)Clark-Wilson模型:
主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改,欺骗和错误来保护信息的完整性。在该模型中,用户不能直接访问和操纵客体,而是必须通过一个代理程序来访问客体。从而保护了客体的完整性。使用职责分割来避免授权用户对数据执行未经授权的修改,再次保护数据的完整性。在这个模型中还需要使用审计功能来跟踪系统外部进入系统的信息。完整性的目标,防止未授权的用户进行修改,防止授权用户进行不正确的修改,维护内部和外部的一致性。Biba只能够确认第一个目标。
(5)信息流模型:
Bell-LaPadula模型所关注的是能够从高安全级别流到低安全级别的信息。Biba 模型关注的是从高完整性级别流到低完整性级别的信息。都使用了信息流模型,信息流模型能够处理任何类型的信息流,而不仅是流的方向。
(6)非干涉模型:
模型自身不关注数据流,而是关注主体对系统的状态有什么样的了解,以避免较高安全等级内的一个实体所引发的一种活动,被低等级的实体感觉到。(7)Brewer和Nash模型:
是一个访问控制模型,这个模型可以根据用户以往的动作而动态地改变。模
型的主要功能就是防止用户访问被认为是利益冲突的数据。
(8)Graham-Denning安全模型:
创建允许主体在客体上操作的相关权限;
Harrison-Ruzzo-Ullman模型:允许修改访问权以及如何创建和删除主体和客体。
软件安全性的10原则和相互作用
原则 1:保护最薄弱的环节
安全性社区中最常见的比喻之一是:安全性是根链条;系统的安全程度只与最脆弱的环节一样。结论是系统最薄弱部分就是最易受攻击影响的部分。
攻击者往往设法攻击最易攻击的环节,这对于您来说可能并不奇怪。如果他们无论因为什么原因将您的系统作为攻击目标,那么他们将沿阻力最小的路线采取行动。这意味着他们将试图攻击系统中看起来最薄弱的部分,而不是看起来坚固的部分。即便他们在您系统各部分上花费相同的精力,他们也更可能在系统最需要改进的部分中发现问题。
这一直觉是广泛适用的。银行里的钱通常比便利店里的钱多,但是它们哪一个更易遭到抢劫呢?当然是便利店。为什么?因为银行往往有更强大的安全性防范措施;便利店则是一个容易得多的目标。
让我们假定您拥有一家普通的银行和一家普通的便利店。是为保险库添加额外的门并将安全人员的数目翻倍,还是为便利店花费同样数目的钱雇佣安全官员更划算呢?银行可能已经将出纳员置于防弹玻璃之后,并安装了摄像机、配备了安全保卫、装备了上锁的保险库以及具有电子密码的门。相比之下,便利店可能装备了没那么复杂的摄像机系统以及很少的其它设备。如果您将对您的金融帝国的任何一部分进行安全性投资,那么便利店将是最佳选择,因为它的风险要大得多。
这一原则显然也适用于软件世界,但大多数人并没有给予任何重视。特别地,密码术不太会是系统最薄弱的部分。即使使用具有 512 位 RSA 密钥和 40 位RC4 密钥的 SSL-1,这种被认为是难以置信的薄弱的密码术,攻击者仍有可能找到容易得多的方法进入。的确,它是可攻破的,但是攻破它仍然需要大量的计算工作。
如果攻击者想访问通过网络传输的数据,那么他们可能将其中一个端点作为目标,试图找到诸如缓冲区溢出之类的缺陷,然后在数据加密之前或在数据解密之后查看数据。如果存在可利用的缓冲区溢出,那么世界上所有的密码术都帮不了您―而且缓冲区溢出大量出现在 C 代码中。
因为这一原因,虽然加密密钥长度的确对系统的安全性有影响,但在大多数系统中它们并不是如此的重要,在这些系统中更重要的事情都有错。同样地,攻击者通常并不攻击防火墙本身,除非防火墙上有众所周知的弱点。实际上,他们将试图突破通过防火墙可见的应用程序,因为这些应用程序通常是更容易的目标。
如果执行一个好的风险分析,则标识出您觉得是系统最薄弱的组件应该非常容易。您应该首先消除看起来好象是最严重的风险,而不是看起来最容易减轻的风险。一旦一些其它组件很明显是更大的风险时,您就应该将精力集中到别的地方。
当然,可以永远使用这一策略,因为安全性从来就不是一个保证。您需要某些停止点。根据您在软件工程过程中定义的任何量度,在所有组件都似乎在可接受的风险阈值以内时,您应该停下来。
原则 2:纵深防御
纵深防御背后的思想是:使用多重防御策略来管理风险,以便在一层防御不够时,在理想情况下,另一层防御将会阻止完全的破坏。即便是在安全性社区以外,这一原则也是众所周知的;例如,这是编程语言设计的着名原则:纵深防御:采取一系列防御,以便在一层防御不能抓住错误时,另一层防御将可能抓住它。
让我们回到为银行提供安全性的示例。为什么典型的银行比典型的便利店更安全?因为有许多冗余的安全性措施保护银行―措施越多,它就越安全。单单安全摄像机通常就足以成为一种威慑。但如果攻击者并不在乎这些摄像机,那么安全保卫就将在那儿实际保护银行。两名安全保卫甚至将提供更多的保护。但如果两名保卫都被蒙面匪徒枪杀,那么至少还有一层防弹玻璃以及电子门锁来保护银行出纳员。如果强盗碰巧砸开了这些门或者猜出了 PIN,起码强盗将只能容易抢劫现金出纳机,因为我们有保险库来保护余下部分。理想情况下,保险库由几
个锁保护,没有两个很少同时在银行的人在场是不能被打开的。至于现金出纳机,可以为其装备使钞票留下印记的喷色装置。
当然,配备所有这些安全性措施并不能确保银行永远不会遭到成功的抢劫。即便在具备这么多安全性的银行,也确实会发生银行抢劫。然而,很清楚,所有这些防御措施加起来会形成一个比任何单一防御措施有效得多的安全性系统。
这好象同先前的原则有些矛盾,因为我们实质上是在说:多重防御比最坚固的环节还要坚固。然而,这并不矛盾;“保护最薄弱环节”的原则适用于组件具有不重叠的安全性功能的时候。但当涉及到冗余的安全性措施时,所提供的整体保护比任意单个组件提供的保护要强得多,确实是可能的。
一个好的现实示例是保护在企业系统不同服务器组件间传递的数据,其中纵深防御会非常有用,但却很少应用。大部分公司建立企业级的防火墙来阻止入侵者侵入。然后这些公司假定防火墙已经足够,并且让其应用程序服务器不受阻碍地同数据库“交谈”。如果数据非常重要,那么如果攻击者设法穿透了防火墙会发生什么呢?如果对数据也进行了加密,那么攻击者在不破解加密,或者(更可能是)侵入存储未加密形式的数据的服务器之一的情况下,将不能获取数据。如果我们正好在应用程序周围建立另一道防火墙,我们就能够保护我们免遭穿透了企业防火墙的人攻击。那么他们就不得不在应用程序网络显式输出的一些服务中寻找缺陷;我们要紧紧掌握那些信息。
原则 3:保护故障
任何十分复杂的系统都会有故障方式。这是很难避免的。可以避免的是同故障有关的安全性问题。问题是:许多系统以各种形式出现故障时,它们都归结为不安全行为。在这样的系统中,攻击者只需造成恰当类型的故障,或者等待恰当类型的故障发生。
我们听说过的最好的现实示例是将现实世界同电子世界连接起来的示例― 信用卡认证。诸如Visa 和MasterCard 这样的大型信用卡公司在认证技术上花费巨资以防止信用卡欺诈。最明显地,无论您什么时候去商店购物,供应商都会在连接到信用卡公司的设备上刷您的卡。信用卡公司检查以确定该卡是否属被盗。更令人惊讶的是,信用卡公司在您最近购物的环境下分析您的购物请求,并
将该模式同您消费习惯的总体趋势进行比较。如果其引擎察觉到任何十分值得怀疑的情况,它就会拒绝这笔交易。
从安全性观点来看,这一方案给人的印象十分深刻― 直到您注意到某些事情出错时所发生的情况。如果信用卡的磁条被去磁会怎样呢?供应商会不得不说:“抱歉,因为磁条破了,您的卡无效。”吗?不。信用卡公司还向供应商提供了创建您卡的标记的手工机器,供应商可以将其送给信用卡公司以便结帐。如果您有一张偷来的卡,那么可能根本不会进行认证。店主甚至可能不会向您要您的ID。
在手工系统中一直有某些安全性所示,但现在没了。在计算机网络出现以前,可能会要您的ID 以确保该卡同您的驾驶证相匹配。另外需要注意的是,如果您的号码出现在当地定期更新的坏卡列表之内,那么该卡将被没收。而且供应商还将可能核查您的签名。电子系统一投入使用,这些技术实际上就再也不是必需的了。如果电子系统出现故障,那么在极少见的情况下,会重新使用这些技术。然而,实际不会使用这些技术。信用卡公司觉得:故障是信用卡系统中十分少见的情形,以致于不要求供应商在发生故障时记住复杂的过程。
系统出现故障时,系统的行为没有通常的行为安全。遗憾的是,系统故障很容易引起。例如,很容易通过将偷来的信用卡在一块大的磁铁上扫一下来毁坏其磁条。这么做,只要小偷将卡用于小额购买(大额购买经常要求更好的验证),他们就或多或少地生出了任意数目的金钱。从小偷的角度看,这一方案的优点是:故障很少会导致他们被抓获。有人可以长期用这种方法使用同一张卡,几乎没有什么风险。
为什么信用卡公司使用这种愚蠢落后的方案呢?答案是:这些公司善于风险管理。只要他们能够不停地大把赚钱,他们就可以承受相当大数量的欺诈。他们也知道阻止这种欺诈的成本是不值得的,因为实际发生的欺诈的数目相对较低。(包括成本和公关问题在内的许多因素影响这一决定。)
大量的其它例子出现在数字世界。经常因为需要支持不安全的旧版软件而出现问题。例如,比方说,您软件的原始版本十分“天真”,完全没有使用加密。现在您想修正这一问题,但您已建立了广大的用户基础。此外,您已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需要同未使用
新协议更新的较旧的客户机进行互操作。您希望强迫老用户升级,但您尚未为此做准备。没有指望老用户会占用户基础中如此大的一部分,以致于无论如何这将真的很麻烦。怎么办呢?让客户机和服务器检查它从对方收到的第一条消息,然后从中确定发生了什么事情。如果我们在同一段旧的软件“交谈”,那么我们就不执行加密。
遗憾的是,老谋深算的黑客可以在数据经过网络时,通过篡改数据来迫使两台新客户机都认为对方是旧客户机。更糟的是,在有了支持完全(双向)向后兼容性的同时仍无法消除该问题。
对这一问题的一种较好解决方案是从开始就采用强制升级方案进行设计;使客户机检测到服务器不再支持它。如果客户机可以安全地检索到补丁,它就升级。否则,它告诉用户他们必须手工获得一个新的副本。很遗憾,重要的是从一开始就应准备使用这一解决方案,除非您不在乎得罪您的早期用户。
远程方法调用(Remote Method invocation (RMI))的大多数实现都有类似的问题。当客户机和服务器想通过RMI 通信,但服务器想使用SSL 或一些其它加密协议时,客户机可能不支持服务器想用的协议。若是这样,客户机通常会在运行时从服务器下载适当的套接字实现。这形成了一个大的安全漏洞,因为下载加密接口时,还没有对服务器进行认证。攻击者可以假装成服务器,在每台客户机上安装他自己的套接字实现,即使是在客户机已经安装了正确的SSL 类的情况下。问题是:如果客户机未能建立与缺省库的安全连接(故障),它将使用一个不可信实体给它的任何协议建立连接,因此也就扩展了信任范围。
原则4:最小特权
最小特权原则规定:只授予执行操作所必需的最少访问权,并且对于该访问权只准许使用所需的最少时间。
当您给出了对系统某些部分的访问权时,一般会出现滥用与那个访问权相关的特权的风险。例如,我们假设您出去度假并把您家的钥匙给了您的朋友,好让他来喂养您的宠物、收集邮件等等。尽管您可能信任那位朋友,但总是存在这样的可能:您的朋友未经您同意就在您的房子里开派对或发生其它您不喜欢的事情。
不管您是否信任您的朋友,一般不必冒险给予其必要的访问权以外的权利。
例如,如果您没养宠物,只需要一位朋友偶尔收取您的邮件,那么您应当只给他邮箱钥匙。即使您的朋友可能找到滥用那个特权的好方法,但至少您不必担心出现其它滥用的可能性。如果您不必要地给出了房门钥匙,那么所有一切都可能发生。
同样,如果您在度假时确实雇佣了一位房子看管人,那么您不可能在没有度假时还让他保留您的钥匙。如果您这样做了,那么您使自己陷入额外的风险之中。只要当您的房门钥匙不受您的控制,就存在钥匙被复制的风险。如果有一把钥匙不受您的控制,而且您不在家,那么就存在有人使用钥匙进入您房子的风险。当有人拿了您的钥匙,而您又没有留意他们,那么任何这样的一段时间都会构成一个时间漏洞,在此段时间内您就很容易受到攻击。为了将您的风险降到最低,您要使这段易受攻击的时间漏洞尽可能的短。
现实生活中的另一个好的示例是美国政府的忠诚调查系统―“需要知道”政策。即使您有权查看任何机密文档,您仍不能看到您知道其存在的任何机密文档。如果可以的话,就很容易滥用该忠诚调查级别。实际上,人们只被允许访问与那些交给他们的任务相关的文档。
UNIX 系统中出现过一些违反最小特权原则的最著名情况。例如,在UNIX 系统上,您一般需要root 特权才能在小于1024 的端口号上运行服务。所以,要在端口25(传统的SMTP 端口)上运行邮件服务器,程序需要root 用户的特权。不过,一旦程序在端口25 上运行了,就没有强制性要求再对它使用root 特权了。具有安全性意识的程序会放弃root 特权并让操作系统知道它不应再需要那些特权(至少在程序下一次运行之前)。某些电子邮件服务器中存在的一个大问题是它们在获取邮件端口之后没有放弃它们的root 权限(Sendmail 是个经典示例)。因此,如果有人找到某种方法来欺骗这样一个邮件服务器去完成某些恶意任务时,它会成功。例如,如果一位怀有恶意的攻击者要在Sendmail 中找到合适的栈溢出,则那个溢出可以用来欺骗程序去运行任意代码。因为Sendmail 在root 权限之下运行,所以攻击者进行的任何有效尝试都会成功。
另一种常见情况是:一位程序员可能希望访问某种数据对象,但只需要从该对象上进行读。不过,不管出于什么原因,通常该程序员实际需要的不仅是必需的特权。通常,该程序员是在试图使编程更容易一些。例如,他可能在想,“有
一天,我可能需要写这个对象,而我又讨厌回过头来更改这个请求。”
不安全的缺省值在这里可能还会导致破坏。例如,在Windows API 中有几个用于访问对象的调用,如果您将“0”作为参数传递,那么这些调用授予所有的访问。为了更有限制地进行访问,您需要传递一串标志(进行“OR”操作)。只要缺省值有效,许多程序员就会坚持只使用它,因为那样做最简单。
对于受限环境中运行的产品的安全性政策,这个问题开始成为其中的常见问题。例如,有些供应商提供作为Java applet 运行的应用程序。applet 构成移动代码,Web 浏览器会对此代码存有戒心。这样的代码运行在沙箱中,applet 的行为根据用户同意的安全性政策受到限制。在这里供应商几乎不会实践最小特权原则,因为他们那方面要花太多的精力。要实现大体意思为“让供应商的代码完成所有的任务”的策略相对要容易得多。人们通常采用供应商提供的安全性策略,可能是因为他们信任供应商,或者可能因为要确定什么样的安全性策略能最佳地使必须给予供应商应用程序的特权最小化,实在是一场大争论。
原则5:分隔
如果您的访问权结构不是“完全访问或根本不准访问”,那么最小特权原则会非常有效。让我们假设您在度假,而你需要一位宠物看管人。您希望看管人只能进出您的车库(您不在时将宠物留在那里)但是如果您的车库没有一把单独的锁,那么您别无选择而只能让看管人进出整幢房子。
分隔背后的基本思想是如果我们将系统分成尽可能多的独立单元,那么我们可以将对系统可能造成损害的量降到最低。当将潜水艇构造成拥有许多不同的船舱,每个船舱都是独立密封,就应用了同样原则;如果船体裂开了一个口子而导致一个船舱中充满了水,其它船舱不受影响。船只的其余部分可以保持其完整性,人们就可以逃往潜水艇未进水的部分而幸免于难。
分隔原则的另一个常见示例是监狱,那里大批罪犯集中在一起的能力降到了最低。囚犯们不是居住在营房中,而是在单人或双人牢房里。即使他们聚集在一起―假定,在食堂里,也可以加强其它安全性措施来协助控制人员大量增加带来的风险。
在计算机世界里,要举出糟糕分隔的示例比找出合理分隔容易得多。怎样才能不分隔的经典示例是标准UNIX 特权模型,其中安全性是关键的操作是以“完
全访问或根本不准访问”为基础的。如果您拥有root 特权,那么您基本上可以执行您想要的任何操作。如果您没有root 访问权,那么就会受到限制。例如,您在没有root 访问权时不能绑定到1024 以下的端口。同样,您不能直接访问许多操作系统资源―例如,您必须通过一个设备驱动程序写磁盘;您不能直接处理它。
通常,如果攻击者利用了您代码中的缓冲区溢出,那人就可以对磁盘进行原始写并胡乱修改内核所在内存中的任何数据。没有保护机制能阻止他这样做。因此,您不能直接支持您本地磁盘上永远不能被擦去的日志文件,这意味着直到攻击者闯入时,您才不能保持精确的审计信息。不管驱动程序对底层设备的访问协调得多么好,攻击者总能够避开您安装的任何驱动程序。
在大多数平台上,您不能只保护操作系统的一部分而不管其它部分。如果一部分不安全,那么整个系统都不安全。有几个操作系统(诸如Trusted Solaris)确实做了分隔。在这样的情况中,操作系统功能被分解成一组角色。角色映射到系统中需要提供特殊功能的实体上。一个角色可能是LogWriter 角色,它会映射到需要保存安全日志的任何客户机上。这个角色与一组特权相关联。例如,LogWriter 拥有附加到它自己的日志文件的权限,但决不可以从任何日志文件上进行擦除。可能只有一个特殊的实用程序获得对LogManager 角色的访问,它就拥有对所有日志的完全访问权。标准程序没有对这个角色的访问权。即使您破解了一个程序并在操作系统终止这个程序,您也不能胡乱修改日志文件,除非您碰巧还破解了日志管理程序。这种“可信的”操作系统并不是非常普遍,很大一部分是因为这种功能实现起来很困难。象在操作系统内部处理内存保护这样的问题给我们提出了挑战,这些挑战是有解决方案的,但得出解决的结果并不容易。
分隔的使用必须适度,许多其它原则也是如此。如果您对每一个功能都进行分隔,那么您的系统将很难管理。
原则6:简单性
在许多领域,您可能听到KISS 咒语——“简单些,蠢货!”与其它场合一样,这同样适用于安全性。复杂性增加了问题的风险;这似乎在任何系统中都不可避免。
很明显,您的设计和实现应该尽可能地简单。复杂的设计不容易理解,因此更有
可能产生将被忽略的拖延问题。复杂的代码往往是难以分析和维护的。它还往往有更多错误。我们认为任何人都不会对此大惊小怪。
类似地,只要您所考虑的组件是质量良好的,就应该考虑尽可能重用组件。特定组件被成功使用的次数越多,您就更应该避免重写它。对于密码库,这种考虑尤其适用。当存在几个广泛使用的库时,您为什么想重新实现AES 或SHA-1 呢?那些库可能比您在房间里装配起来的东西更为健壮。经验构筑了保证,特别当那些经验是成功的经验时。当然,即使在广泛使用的组件中,也总是有出现问题的可能性。然而,假设在已知数量中涉及的风险较少是合理的。
原则7:提升隐私
用户通常认为隐私是安全性问题。您不应该做任何可能泄露用户隐私的事情。并且在保护用户给您的任何个人信息方面,您应该尽可能地认真。您可能听说过恶意的黑客能够从Web 访问整个客户数据库。还经常听说攻击者能够截获其它用户的购物会话,并因此获得对私有信息的访问。您应该竭尽所能避免陷入这种窘境;如果客户认为您不善处理隐私问题,则您可能很快失去他们的尊重。原则8:难以隐藏秘密
安全性通常是有关保守秘密的。用户不想让其个人数据泄漏出去,所以您必需加密密钥以避免窃听或篡改。您还要保护您的绝秘算法免遭竞争者破坏。这些类型的需求很重要,但是与一般用户猜疑相比较,很难满足这些需求。
很多人以为用二进制表示的秘密也许能保守秘密,因为要抽取它们太困难了。的确,二进制是复杂的,但要对“秘密”保密实在是太困难了。一个问题就是某些人实际上相当擅长对二进制进行逆向工程―即,将它们拆开,并断定它们是做什么的。这就是软件复制保护方案越来越不适用的原因。熟练的黑客通常可以避开公司尝试硬编码到其软件中的任何保护,然后发行“破译的”副本。很长时间以来,使用的技术越来越多;供应商为阻止人们发现“解锁”软件的秘密所投入的精力越多,软件破解者在破解软件上花的力气也越多。在极大程度上,都是破解者达到目的。人们已经知道有趣的软件会在正式发布之日被破解―有时候会更早。
如果软件都在您自己网络的服务器端运行,您可能会判定您的秘密是安全的。实际上,它比隐藏秘密难得多。如果您可以避免它,就不应该信任您自己的
网络。如果一些不曾预料到的缺点允许入侵者窃取您的软件将会怎么样呢?这是就在他们发行第一版Quake 之前发生在Id 软件上的事情。
即使您的网络很安全,但您的问题可能是在内部。一些研究表明对公司最常见的威胁就是“内部人员”攻击,其中,心怀不满的雇员滥用访问权。有时候雇员并不是不满;或许他只是把工作带到家里做,朋友在那里窃听到他不应该知道的东西。除此之外,许多公司无法防止心怀恶意的看门人窃取其仔细看守的软件。如果有人想要通过非法手段获取您的软件,他们或许会成功。当我们向人们指出内部攻击的可能性时,他们常常回答:“这不会发生在我们身上;我们相信我们的员工。”如果您的想法也是这样,那么您应该谨慎一点。与我们对话的90% 的人说的都一样,然而大多数攻击都是内部人员干的。这里有一个极大的差距;大多数认为可以相信其员工的那些人肯定是错的。请记住,员工可能喜欢您的环境,但归根结底,大多数员工与您的公司都有一种业务关系,而不是个人关系。这里的寓意就是多想想也是值得的。
有时,人们甚至不需要对软件进行逆向工程,就可以破译它的秘密。只要观察正在运行的软件,就常常可以发现这些秘密。例如,我们(John Viega 和Tim Hollebeek)曾经仅仅通过用一系列选择的输入来观察其行为,就破解了Netscape 电子邮件客户机中的一个简单密码算法。(这太容易做到了,所以我们说:“我们不用铅笔和纸来做这件事。我们的许多笔记都用钢笔写。我们不需要擦除更多东西。”)最近,ETrade遭受了类似下场,当您在Web 上登录时,任何人都可以看到您的用户名和密码。
相信二进制(就此而言,或者是任何其它形式的模糊)为您保守秘密的实践被亲切地称作“含糊的安全性(security by obscurity)”。只要有可能,您都应该避免将它用作您唯一的防御线。这并不意味着含糊的安全性没有用武之地。明确地拒绝对源代码的访问会稍微对攻击者产生一些障碍。模糊代码以产生一个模糊的二进制甚至会有更大帮助。这些技术要求潜在的攻击者拥有比在他们需要实际破坏您系统时更多的技巧,这通常是一件好事。相反,大多数以这种方法保护的系统无法执行一次足够的安全性审查;有一些事情是公开的,它允许您从用户那里获得免费的安全性忠告。
原则9:不要轻易扩展信任
如果人们知道不能相信最终用户所控制的客户机,那么他们可能常常会意识到他们的秘密正处于危险中,因为不能相信最终用户会按照他们期望的那样使用客户机。我们还强烈要求您勉强相信您自己的服务器,以防止数据窃取,这种犹豫应该渗透到安全性过程的各个方面。
例如,虽然现成的软件的确可以帮助您简化您的设计和实现,但您怎么知道相信现成组件是安全的呢?您真的认为开发人员就是安全性方面的专家吗?即使他们是,您期望他们确实可靠吗?许多有安全性漏洞的产品都来自安全性供应商。许多从事安全性业务的人实际上并不太了解有关编写安全代码方面的知识。
通常很容易扩展信任的另一个地方是客户支持。毫无戒心的客户支持代理(他们有相信的倾向)非常容易遭到社会工程攻击,因为它会使他们的工作变得更加容易。
您还应该注意一下“随大流”。仅仅因为一个特殊的安全性功能是标准的并不意味着您应该提供同样低级的保护。例如,我们曾经常听到人们选择不加密敏感数据,仅仅是因为他们的竞争对手没有对数据进行加密。当客户遭到攻击,于是责备某人疏忽安全性时,这就不是充足的理由。
您也不应该相信安全性供应商。为了出售他们的产品,他们常常散布可疑的或完全错误的信息。通常,这种“蛇油”传播者通过散布FUD——害怕、不确定和怀疑进行工作。许多常见的警告标记可以帮助您发觉骗子。其中我们最喜欢的一个就是用于秘钥加密算法的“百万位密钥”广告。数学告诉我们,对于整个宇宙生命周期,256 位很可能足以保护消息―假设该算法是高质量的。做了较多广告的人对密码术知道得太少而无法出售安全性产品。在完成购物之前,请一定要进行研究。最好从“Snake Oil”FAQ开始。
您还应该勉强相信您自己和您的组织。当涉及您自己的主意和您自己的代码时很容易目光短浅。尽管您可能喜欢完美,但您应该容许不完美,并且对正在做的事情定期获取高质量的、客观的外部观点。
要记住的最后一点是信任是可转移的。一旦您信任某个实体,就会暗中将它扩展给该实体可能信任的任何人。出于这个原因,可信的程序决不应该调用不可信的程序。当确定要信任哪些程序时,也应该十分小心;程序可能已经隐藏了您不想要的功能。例如,在90 年代早期,我们有一个具有极受限制的、菜单驱动
功能的UNIX 帐户。当您登录时从菜单开始,并且只能执行一些简单操作,如读写邮件和新闻。菜单程序信任邮件程序。当用户编写邮件时,邮件程序将调出到一个外部编辑器(在这种情况下,是“vi”编辑器)。当编写邮件时,用户可以做一些vi 戏法来运行任意命令。当它关闭时,很容易利用对vi 编辑器的这种隐含的、间接的信任完全摆脱菜单系统,而支持正规的旧的不受限的命令行shell。
原则10:信任公众
虽然盲目随大流不是一个好主意,但从数字上讲还是有一点实力。无失败地重复使用会增进信任。公众的监督也可增进信任。(这是应用这个原则的唯一时机;其它情况下,原则9 是正确应用的一个原则,您应该忽略这个原则。)例如,在密码术中,信任公众不知道的且未受广泛监督的任何算法被认为是一个坏想法。大多数密码算法在安全性方面都没有真正可靠的数学证明;仅当一群聪明人花大量时间来尝试破解它们并且都没有实质性进展时才信任它们。
许多人发现编写他们自己的密码算法很有吸引力,希望如果这些算法不牢靠,含糊的安全性将用作安全网络。重申一遍,这种希望将破灭(例如,前面提到的Netscape 和E*Trade 破坏)。争论结果通常是,秘密算法比公众知道的算法好。我们已经讨论了您应该如何期望您的算法秘密不会保持太久。例如,RC4 加密算法应该是RSA Data Security 的商业秘密。然而,在其引入后不久,它被进行逆向工程并在因特网上以匿名方式张帖出来。
事实上,加密者设计他们的算法,使算法知识对安全性无关紧要。好的密码算法能起作用是因为您保守了一个称为“密钥”的小秘密,而不是因为算法是秘密的。即,您需要唯一保守秘密的东西就是密钥。如果您可以做到这一点,并且算法真的很好(且密钥足够长),那么即使是非常熟悉该算法的攻击者也无法攻击您。
同样,最好信任已被广泛使用并且被广泛监督的安全性库。当然,它们可能包含尚未被发现的错误―但至少您可以利用其他人的经验。
仅当您有理由相信公众正在尽力提升您要使用的组件的安全性时,才应用这个原则。一个常见的误解是相信“开放源码”软件极有可能是安全的,因为源代码可用性将导致人们执行安全性审计。有一些强有力的证据表明:源代码可用性
没有为人们审阅源代码提供强大的动机,即使许多人愿意相信那个动机存在。例如,多年来,广泛使用、自由软件程序中的许多安全性错误没有引起人们注意。对于最流行的FTP 服务器(WU-FTPD),有几个安全性错误被忽视已有十多年!
信息安全风险评估模型及其算法研究
信息安全风险评估模型及其算法研究 摘要:在信息科技日益发展,人类社会对信息的依赖性越来越强,信息资产的安全性受到空前的重视,而当前我国的信息安全水平普遍不高,与西方发达国家存在较大差距。在当前信息安全领域,主要的管理手段是奉行着“三分技术,七分管理”的原则。要想提高整体的信息安全水平,必须从一个组织整体的信息安全管理水平着手,而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段,而目前信息安全管理的最起始的工作主要是信息安全风险评估,而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手,而较少采用V AR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以V AR风险定量分析每个风险源的损失额度,以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例,从而便于组织合体调配资源,达到资源的最佳配置,降低组织的整体信息安全风险。 关键词:信息安全;风险评估;V AR分析;数理统计 1研究背景及现状 随着信息时代的迅速到来,众多的组织机构将重要信息存放在信息系统中,在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性,例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行,对不同行业,不同机构进行分类保护,极大的从制度和法规方面促进了我国信息安全保护水平的提升,从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作,不同行业的信息安全等级易于测量,但对于某一行业具体金融机构的信息安全能力定级上难以定量化,不同金融机构所面对的信息安全风险大小不一,来源不同,极具差异化。小型银行在信息安全领域的花费将和大银行完全相同,将加大中小银行的商业负担,造成不必要的浪费,如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。 ①国外的研究现状。目前在国外,最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA(InformationSystemsAuditandControl Association)在1996年公布的控制框架COBIT 目前已经更新至第四版,主要研究信息安全的风险管理。这个框架共有34个IT的流程,分成四个控制域:PO (Planning&Organization)、AI(Acquisition&Implementation)、DS (Delivery and Support)、ME(Monitor and Evaluate),共包含214个详细控制目标,提供了自我审计标准及最仕实践,能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点:更清晰的岗位责任划分。为了改善对IT流程模型的理解,COBIT4.0为每个IT流程进行了定义,对每个流程及基木输入/输出及与其他流程的关系进行了描述,确定它从哪个流程来,哪个
信息安全风险评估管理规定
信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020
信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。 第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
信息安全保障指标体系及评价方法第1部分概念和模型
国家标准《信息安全保障指标体系及评价方法第1部分 概念和模型》(送审稿)编制说明 1.工作简况 1.1. 任务来源 根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090326-T-469。 为回答“中办27号[2003] 文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究。总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年,项目在全国信息安全标准化委员会立项编制成国家标准。2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持。 1.2. 编制目的 本标准主要解决国家信息安全保障工作的评价问题。 1.3. 主要工作过程 1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作。在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础: ①为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作; ②给出了国家宏观指标的设计方案; ③各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了
信息安全-深入分析比较八个信息安全模型
深入分析比较八个信息安全模型 信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。 国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI安全体系结构:ISO 7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T 9387.2-1995》。ISO 7498-2 安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO 7498-2 体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。 P2DR 模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(Adaptive NetworkSe cur ity Mode l)。P2DR 代表的分别是Polic y (策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。按照P2DR的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,因而可以用时间尺度来衡量一个体系的能力和安全性。 PDRR 模型,或者叫PPDRR(或者P2DR2),与P2DR非常相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR
几种信息安全评估模型
1基于安全相似域的风险评估模型 本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM 风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。 面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。 SSD-REM模型 SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。 定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。 定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。 定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。 独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险 评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ} 式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属
信息安全风险评估方案学习资料
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全风险评估技术
信息安全风险评估技术手段综述 王英梅1 (北京科技大学信息工程学院北京 100101) 摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向。 关键词:风险评估综合风险评估信息基础设施工具 引言 当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。 如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间,IT专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。 一.信息安全风险评估与评估工具 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也 1作者介绍:王英梅(1974-),博士研究生,研究方向为信息安全、风险评估。国家信息中心《信息安全风险评估指南》编写小组成员。
信息安全风险评估报告
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2
3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3
欢迎下载 4 如下: 1. 2017-9-10 ~ 2017-9-10,风险评估培训; 2. 2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4. 2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS 工作组内审核; 5. 2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS 工作组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风 险115个,不可接受风险42个.
信息安全风险评估
***软件有限公司 信息安全风险评估指南
变更记录
信息安全风险评估指南 1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了 无锡新世纪信息科技有限公司的大力支持。 1.1政策法规: ?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) ?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号) 1.2国际标准: ?ISO/IEC 17799:2005《信息安全管理实施指南》 ?ISO/IEC 27001:2005《信息安全管理体系要求》 ?ISO/IEC TR 13335《信息技术安全管理指南》 1.3国内标准: ?《信息安全风险评估指南》(国信办综[2006]9号) ?《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月) ?GB 17859—1999《计算机信息系统安全保护等级划分准则》 ?GB/T 18336 1-3:2001《信息技术安全性评估准则》 ?GB/T 5271.8--2001 《信息技术词汇第8部分:安全》 ?GB/T 19715.1—2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》 ?GB/T 19716—2005 《信息安全管理实用规则》 1.4其它 ?《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070)) 2、风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
信息安全风险评估检查报告课件.doc
信息安全风险评估检查报告 一、部门基本情况 部门名称 分管信息安全工作的领导①姓名: (本部门副职领导)②职务: ①名称: 信息安全管理机构 ②负责人:职务: (如办公室) ③联系人:电话: 信息安全专职工作处室①名称: (如信息安全处)②负责人:电话: 二、信息系统基本情况 ①信息系统总数:个 ②面向社会公众提供服务的信息系统数:个 信息系统情况③委托社会第三方进行日常运维管理的信息系统数:个, 其中签订运维外包服务合同的信息系统数:个 ④本年度经过安全测评(含风险评估、等级评测)系统数:个 信息系统定级备案数:个,其中 第一级:个第二级:个第三级:个系统定级情况 第四级:个第五级:个未定级:个 定级变动信息系统数:个(上次检查至今) 互联网接入口总数:个 其中:□联通接入口数量:个接入带宽:兆互联网接入情况 □电信接入口数量:个接入带宽:兆 □其他接入口数量:个接入带宽:兆系统安全测评情况最近2年开展安全测评(包括风险评估、登记测评)系统数个
三、日常信息安全管理情况 安全自查信息系统安全状况自查制度:□已建立□未建立 ①入职人员信息安全管理制度:□已建立□未建立 ②在职人员信息安全和保密协议: □全部签订□部分签订□均未签订 人员管理 ③人员离岗离职安全管理规定: □已制定□未制定 ④信息安全管理人员持证上岗: □是□否 ⑤信息安全技术人员持证上岗: □是□否 ⑥外部人员访问机房等重要区域管理制度: □已建立□未建立 ①资产管理制度:□已建立□未建立②信息 安全设备运维管理: □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行资产管理 ③设备维修维护和报废销毁管理: □已建立管理制度,且维修维护和报废销毁记录完整 □已建立管理制度,但维修维护和报废销毁记录不完整 □尚未建立管理制度 四、信息安全防护管理情况 ①网络区域划分是否合理:□合理□不合理 ②网络访问控制:□有访问控制措施□无访问控制措施 网络边界防护管理 ③网络访问日志:□留存日志□未留存日志 ④安全防护设备策略:□使用默认配置□根据应用自主配置 ①服务器安全防护: □已关闭不必要的应用、服务、端口□未关闭 □账户口令满足8 位,包含数字、字母或符号□不满足信息系统安全管理□定期更新账户口令□未定期更新 □定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护: □安全策略配置有效□无效
信息安全体系.doc
一.浅谈信息安全五性的理解 所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具 有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。 而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态, 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在 信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息 和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换 过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。 二.WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型,它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC 6个环节的各个方面,将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。
信息安全风险评估需求方案
信息安全风险评估 需求方案 1
信息安全风险评估需求方案 一、项目背景 多年来, 天津市财政局( 地方税务局) 在加快信息化建设和信息系统开发应用的同时, 高度重视信息安全工作, 采取了很多防范措施, 取得了较好的工作效果, 但同新形势、新任务的要求相比, 还存在有许多不相适应的地方。, 国家税务总局和市政府分别对我局信息系统安全情况进行了抽查, 在充分肯定成绩的同时, 也指出了我局在信息安全方面存在的问题。经过抽查所暴露的这些问题, 给我们敲响了警钟, 也对我局信息安全工作提出了新的更高的要求。 因此, 天津市财政局( 地方税务局) 在对现有信息安全资源进行整合、整改的同时, 按照国家税务总局信息安全管理规定, 结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容( 以下简称”安全风险评估”) , 形成安全规划、实施、检查、处理四位一体的长效机制。 二、项目目标 经过开展信息”安全风险评估”, 完善安全管理机制; 经过安全服务的引入, 进一步建立健全财税系统安全管理策略, 实现安全风险的可知、可控和可管理; 经过建立财税系统信息安全风险评 2
估机制, 实现财税系统信息安全风险的动态跟踪分析, 为财税系统信息安全整体规划提供科学的决策依据, 进一步加强财税内部网络的整体安全防护能力, 全面提升我局信息系统整体安全防范能力, 极大提高财税系统网络与信息安全管理水平; 经过深入挖掘网络与信息系统存在的脆弱点, 并以业务系统为关键要素, 对现有的信息安全管理制度和技术措施的有效性进行评估, 不断增强系统的网络和信息系统抵御风险安全风险能力, 促进我局安全管理水平的提高, 增强信息安全风险管理意识, 培养信息安全专业人才, 为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 ( 一) 服务要求 1基本要求 ”安全风险评估服务”全过程要求有据可依, 并在产品使用有据可查, 并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件, 需要有软件产品识别所有设备及其安全配置, 或以其它方式收集、保存设备明细及安全配置, 进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求经过软件或其它形式进行展示。对于风险的处理包括: 协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务, 经过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务, 并根据国家及行业标准制定信息安全管理体系, 针 3
信息安全复习资料全解
(1)单项选择题 1.TCP/IP的层次模型只有 B 层。 A.三 B.四 C.七 D.五 2.IP位于 A 层。 A.网络 B.传输 C.数据链路 D.物理 3.TCP位于 B 层。 A.网络 B.传输 C.数据链路 D.物理 4.大部分网络接口有一个硬件地址,如以太网的硬件地址是一个 B 位的十六进制 数。 A.32 B.48 C.24 D.64 5.逻辑上防火墙是 A 。 A.过滤器、限制器、分析器 B.堡垒主机 C.硬件与软件的配合 D.隔离带 6.在被屏蔽主机的体系结构中,堡垒主机位于 A ,所有的外部连接都由过滤路 由器路由到它上面去。 A.内部网络 B.周边网络 C.外部网络 D.自由连接 7.在屏蔽的子网体系结构中,堡垒主机被放置在 C 上,它可以被认为是应用网 关,是这种防御体系的核心。 A.内部网络 B.外部网络 C.周边网络 D.内部路由器后边 8.外部路由器和内部路由器一般应用 B 规则。 A.不相同 B.相同 C.最小特权 D.过滤
9.外部数据包过滤路由器只能阻止一种类型的IP欺骗,即 D ,而不能阻止DNS 欺骗。 A.内部主机伪装成外部主机的IP B.内部主机伪装成内部主机的IP C.外部主机伪装成外部主机的IP D.外部主机伪装成内部主机的IP 10.最简单的数据包过滤方式是按照 B 进行过滤。 A.目标地址 B.源地址 C.服务 D.ACK 11.不同的防火墙的配置方法也不同,这取决于 C 、预算及全面规划。 A.防火墙的位置 B.防火墙的结构 C.安全策略 D.防火墙的技术 12.堡垒主机构造的原则是 A ;随时作好准备,修复受损害的堡垒主机。 A.使主机尽可能的简单 B.使用UNIX操作系统 C.除去无盘工作站的启动 D.关闭路由功能 13.加密算法若按照密匙的类型划分可以分为 A 两种。 A.公开密匙加密算法和对称密匙加密算法 B.公开密匙加密算法和算法分组密码 C.序列密码和分组密码 D.序列密码和公开密匙加密算法 14.Internet/Intranet 采用的安全技术有 E 和内容检查。 A.防火墙 B.安全检查 C.加密 D.数字签名 E.以上都是 15.下面的三级域名中只有 D 符合《中国互连网域名注册暂行管理办法》中的命 名原则。 A.WWW.AT&https://www.wendangku.net/doc/1d2213065.html, B.WWW.C++_https://www.wendangku.net/doc/1d2213065.html, https://www.wendangku.net/doc/1d2213065.html, https://www.wendangku.net/doc/1d2213065.html, 16.代理服务器与数据包过滤路由器的不同是 B 。 A.代理服务器在网络层筛选,而路由器在应用层筛选 B.代理服务器在应用层筛选,而路由器在网络层筛选 C.配置不合适时,路由器有安全性危险 D.配置不合适时,代理服务器有安全性危险 17.关于防火墙的描述不正确的是 C 。
CISP-05-信息安全模型
信息安全模型和体系结构 中国信息安全测评中心 CISP-05-信息安全模型 2010年7月
目录安全模型和体系结构 访问控制模型 完整性模型 多边安全模型 信息流模型 对安全模型和体系结构的威胁 多维模型与安全技术框架 1234567
一、安全模型和体系结构
信息安全模型 安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。 ?安全策略,是达到你所认为的安全和可接受的程度时,需要满足或达到的目标或目的 ?安全模型用来描述为了实现安全策略,而应当满足的要求 安全模型的作用 ?能准确地描述安全的重要方面与系统行为的关系。 ?能提高对成功实现关键安全需求的理解层次。 ?从中开发出一套安全性评估准则,和关键的描述变量。
安全模型的特点 构建一个安全模型包括定义系统的环境类型、授权方式等内容,并证明在真实环境下是可以实现的,然后应用于系统的安全性设计,可以最大限度地避免安全盲点 ?精确,无歧义 ?简单和抽象,容易理解 ?模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现 ?形式化模型是对现实世界的高度抽象,精确地描述了系统的安全需求和安全策略 ?形式化模型适用于对信息安全进行理论研究。
建立安全模型的方法 建立安全模型的方法(从模型所控制的对象分)?信息流模型:主要着眼于对客体之间的信息传输过程的控制。 彻底切断系统中信息流的隐蔽通道,防止对信息的窃取. ?访问控制模型:从访问控制的角度描述安全系统,主要针对 系统中主体对客体的访问及其安全控制。 但“安全模型”的表达能力有其局限性。 ?但是我们说现有的“安全模型”本质上不是完整的“模型”:仅 描述了安全要求(如:保密性),未给出实现要求的任何相 关机制和方法
信息安全模拟练习及答案
信息安全试题(1/共3) 1、 单项选择题(每小题2分,共20分) 1.信息安全的基本属性是_D__。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于__A_。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是_C__。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A 密 (M))。B方收到密文的解密方案是_C__。 秘密 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是__C_。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签 名的运算速度 D. 保证密文能正确还原成明文
6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是_B_。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制7.防火墙用于将Internet和内部网络隔离_B__。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括__D_。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于_B _。 A.2128 B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的_C__,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客 体,授权工作困难。 A.保密性 可用性 B.可用性 保密性 C.保密性 完整性 D.完整性 保密
信息安全风险评估项目流程
信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用) 1.2、输出文档 《XXX项目XXX解决方案》 输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。 1.3、注意事项 销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同) 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单,技术部成立项目小组,
指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 销售和项目经理与甲方召开项目启动会议,确定各自接口负 责人。 要求甲方按合同范围提供《资产表》,确定扫描评估范围、人 工评估范围和渗透测试范围。 请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项 资产数量正负不超过15% ;给资产编排序号,以方便事后检 查。 给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。
销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目 小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工 具、渗透测试工具、保密协议和授权书 项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 项目实施小组与客户约定进场时间。 保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字
网络安全评估指标体系研究范文
研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展,计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大,需对网络数据流进行特征分析,得出网络入侵、攻击和病毒的行为模式,以采取相应的预防措施。宏观网络的数据流日趋增大,其特征在多方面都有体现。为了系统效率,只需对能体现网络安全事件发生程度与危害的重点特征进行分析,并得出反映网络安全事件的重点特征,形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来,面对日益严峻的网络安全形式,网络安全技术成为国内外网络安全专家研究的焦点。长期以来,防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段,但随着安全事件的日益增多,被动防御已经不能满足我们的需要。这种情况下,系统化、自动化的网络安全管理需求逐渐升温,其中,如何实现网络安全信息融合,如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上,而对发现的漏洞如何进行安全级别的评估分析还十分有限,大多采用基于专家经验的评估方法,定性地对漏洞的严重性等级进行划分,其评估结果并不随着时间、地点的变化而变化,不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象,使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大,以便采取措施降低系统的风险水平。因此,我们认为:漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息,在此基础上,建立一个基于信息融合的网络安全评估分析模型,得到准确的评估结果 2相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅
IT信息安全风险评估控制手册
IT信息安全风险评估控制手册 1 目的 本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持DXC持续性发展,以满足DXC信息安全管理方针的要求。 2 范围 本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 无 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成DXC的《重要信息资产清单》,并交由文档管理员处存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。 5.3.4 风险评估小组考虑DXC整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。