內(nèi)部審計的安全評估及認(rèn)證(ppt 89頁).ppt

1、第20章 安全認(rèn)證和評估,20.1 風(fēng)險管理 20.2 安全成熟度模型 20.3 威脅 20.4 安全評估方法 20.5 安全評估準(zhǔn)則 20.6 本章小結(jié) 習(xí)題,針對內(nèi)部和外部的攻擊所采用的安全體系結(jié)構(gòu)的能力需要認(rèn)證和評估。技術(shù)在不斷變化，新的應(yīng)用正在開發(fā)，新的平臺正在加到非軍事區(qū)（DMZ），額外的端口正在加進(jìn)防火墻。由于競爭，很多應(yīng)用在市場的生存時間越來越短，軟件開發(fā)生命周期中的測試和質(zhì)量保證正在忽略。很多大的組織甚至沒有一個完全的目錄，將計算機(jī)、網(wǎng)絡(luò)設(shè)備以及在網(wǎng)絡(luò)上的各個應(yīng)用編制進(jìn)去，而只是將這些組件獨(dú)自地進(jìn)行配置。由于沒有將安全測試作為軟件質(zhì)量保證的一個組成部分，應(yīng)用的漏洞（脆弱性）不斷

2、發(fā)生,安全評估認(rèn)證安全體系結(jié)構(gòu)是否能滿足安全策略和最好的經(jīng)營業(yè)務(wù)實(shí)際。一個典型的安全評估問題是它經(jīng)常沒有用于對經(jīng)營業(yè)務(wù)的影響的評析。這里引入一個概念，稱為安全成熟度模型（Security Maturity Model, SMM）,用來適當(dāng)?shù)販y量一個給定的準(zhǔn)則，該準(zhǔn)則基于在工業(yè)界最佳的經(jīng)營業(yè)務(wù)實(shí)際，且能將其反饋到經(jīng)營業(yè)務(wù)。它還提供一個改進(jìn)的方法，包括將不足之處列成清單。安全成熟度模型可測量企業(yè)安全體系結(jié)構(gòu)的3個不同部分：計劃、技術(shù)與配置、操作運(yùn)行過程,從經(jīng)營業(yè)務(wù)的觀點(diǎn)看，要求安全解決方案的性能價格比最好，即基于特定產(chǎn)業(yè)的最佳實(shí)際。在任何系統(tǒng)中的安全控制應(yīng)預(yù)防經(jīng)營業(yè)務(wù)的風(fēng)險。然而，決定哪些安全控制

3、是合適的以及性能價格比好的這一過程經(jīng)常是復(fù)雜的，有時甚至是主觀的。安全風(fēng)險分析的最主要功能是將這個過程置于更為客觀的基礎(chǔ)上,風(fēng)險管理是識別、評估和減少風(fēng)險的過程。一個組織有很多個體負(fù)責(zé)對給定應(yīng)用接受給定風(fēng)險。這些個體包括總經(jīng)理、CFO（Chief Financial Officer, 首席財務(wù)執(zhí)行官）、經(jīng)營業(yè)務(wù)部門的負(fù)責(zé)人，以及信息所有者。 一個組織的總的風(fēng)險依賴于下面一些屬性： 資產(chǎn)的質(zhì)量（丟失資產(chǎn)的效應(yīng)）和數(shù)量（錢）的價值； 基于攻擊的威脅可能性； 假如威脅實(shí)現(xiàn)，對經(jīng)營業(yè)務(wù)的影響,20.1 風(fēng)險管理,將資產(chǎn)價值和代價相聯(lián)系或決定投資回報（Return On Investment, ROI）

4、的能力經(jīng)常是困難的。相反，可以確定保護(hù)機(jī)制的代價。將國家秘密的信息作為極敏感的信息，因為對這些信息的錯誤處理，其結(jié)果將危害到國家秘密。比之于商業(yè)組織，政府愿意花更多的費(fèi)用來保護(hù)信息。 直接的定量花費(fèi)包括更換損壞的設(shè)備、恢復(fù)后備和硬盤的費(fèi)用等。由于事故而引起的宕機(jī)時間是可測量的，很多金融貿(mào)易系統(tǒng)因此而遭受大量經(jīng)濟(jì)損失。生產(chǎn)的降低，例如E-mail服務(wù)器宕機(jī)，很多組織的工作將停止,與定量的代價相比，質(zhì)量的代價對組織的破壞更大。假如用來銷售的Web站點(diǎn)被黑客破壞了，有可能所有客戶的信用卡號被偷，這將嚴(yán)重地影響這個站點(diǎn)的信譽(yù)。也有可能在短時期內(nèi)，經(jīng)營業(yè)務(wù)停止。 風(fēng)險評估對漏洞和威脅的可能性進(jìn)行檢查，并

5、考慮事故造成的可能影響。威脅的水平?jīng)Q定于攻擊者的動機(jī)、知識和能力。大部分內(nèi)部人員不大可能使用黑客工具，然而十分熟悉網(wǎng)上的應(yīng)用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等,漏洞水平和保護(hù)組織資產(chǎn)的安全體系結(jié)構(gòu)的能力正相反。如果安全控制弱，那么暴露的水平高，隨之發(fā)生事故災(zāi)難的機(jī)率也大。對數(shù)據(jù)、資源的漏洞及其利用的可能性取決于以下屬性，且很難預(yù)測：資產(chǎn)的價值、對對手的吸引力、技術(shù)的變更、網(wǎng)絡(luò)和處理器的速度、軟件的缺陷等。 描述威脅和漏洞最好的方法是根據(jù)對經(jīng)營業(yè)務(wù)的影響描述。此外，對特殊風(fēng)險的評估影響還和不確定性相聯(lián)系，也依賴于暴露的水平。所有這些因素對正確地預(yù)測具有很大的不確定性，因此安全的計

6、劃和認(rèn)證是十分困難的。圖20.1表示了風(fēng)險評估的方法,圖20.1 風(fēng)險評估方法,成熟度模型可用來測量組織的解決方案（軟件、硬件和系統(tǒng)）的能力和效力。因此它可用于安全評估，以測量針對業(yè)界最佳實(shí)際的安全體系結(jié)構(gòu)。可以就以下3個方面進(jìn)行分析：計劃、技術(shù)和配置、操作運(yùn)行過程,20.2 安全成熟度模型,安全計劃包括安全策略、標(biāo)準(zhǔn)、指南以及安全需求。技術(shù)和配置的成熟度水平根據(jù)選擇的特定產(chǎn)品、準(zhǔn)則，在組織內(nèi)的安置以及產(chǎn)品配置而定。操作運(yùn)行過程包括變更管理、報警和監(jiān)控，以及安全教育方面。美國Carnegie Mellon大學(xué)的軟件工程研究所（Software Engineering Insititue,SEI

7、）制定了系統(tǒng)安全工程能力成熟度模型（System Security Engineering Capability Maturity Model, SSE-CMM）。它將安全成熟度能力級別分成4級，以適應(yīng)不同級別的安全體系結(jié)構(gòu)，如表20-1所示,表20-1 安全成熟度能力級別,1. 安全計劃 一個好的安全體系結(jié)構(gòu)必須建立在一個堅固的安全計劃基礎(chǔ)之上。計劃的文本必須清晰、完整。很多組織的安全策略、標(biāo)準(zhǔn)和指南存在以下一些問題： （1） 內(nèi)容太舊，已過時，不適用于當(dāng)前的應(yīng)用。安全策略應(yīng)每年更新，以適應(yīng)技術(shù)的變化。 （2） 文本有很多用戶，如開發(fā)者、風(fēng)險管理者、審計人員，所用語言又適用于多種解釋。如果陳

8、述太抽象，那么實(shí)施時將無效力。 （3） 表達(dá)不夠詳細(xì)。很多組織的安全策略觀念只是一個口令管理。組織安全策略文本中通常缺少信息的等級分類以及訪問控制計劃文本,4） 用戶需要知道有關(guān)安全的文本。如果用戶不能方便地獲得和閱讀文本，就會無意地犯規(guī)，然而難以追查責(zé)任。 2. 技術(shù)和配置 當(dāng)今，市場上有很多安全廠商和安全產(chǎn)品，但是沒有一個產(chǎn)品能提供完全的安全解決方案。諸如防火墻、IDS、VPN、鑒別服務(wù)器等產(chǎn)品都只是解決有限的問題。安全專業(yè)人員應(yīng)能適當(dāng)?shù)剡x擇產(chǎn)品，正確地將它們安置在基礎(chǔ)設(shè)施中，合適地配置和支持。然而，他們經(jīng)常會不正確地采購安全產(chǎn)品，例如，有人認(rèn)為只要在需要保護(hù)的有價值的資產(chǎn)前放置一個防火墻

9、，就什么問題都能解決。從網(wǎng)絡(luò)的觀點(diǎn)看部分正確，但防火墻不提供應(yīng)用和平臺的保護(hù)，也不提供有用的入侵檢測信息,安全產(chǎn)品的合適配置也是一個挑戰(zhàn)。有時產(chǎn)品的默認(rèn)配置是拒絕所有訪問，只有清晰的允許規(guī)則能通過通信。安全產(chǎn)品配置的最大挑戰(zhàn)是需要有熟練的專業(yè)人員來配置和管理。 3. 運(yùn)行過程 運(yùn)行過程包括安全組件需要的必要支持和維護(hù)、變更管理、經(jīng)營業(yè)務(wù)的連續(xù)性、用戶安全意識培訓(xùn)、安全管理，以及安全報警與監(jiān)控。安全基礎(chǔ)設(shè)施組件的支持和維護(hù)類似于主機(jī)和應(yīng)用服務(wù)器所需的支持。允許的變更管理要有能退回到目前工作版本的設(shè)施，并且要和經(jīng)營業(yè)務(wù)連續(xù)性計劃協(xié)調(diào)一致,安全設(shè)備會產(chǎn)生一些不規(guī)則的日志信息，這對管理員來說是復(fù)雜的，

10、一旦配置有差錯，就會阻止訪問網(wǎng)絡(luò)、應(yīng)用或平臺。對各種人員的培訓(xùn)是任何安全體系結(jié)構(gòu)成功的關(guān)鍵。最后，識別安全事故的能力且按照一個逐步升級的過程來恢復(fù)是最重要的。 技術(shù)變化十分迅速，對從事于安全事業(yè)的人員增加了很多困難，因此選擇高水平的人員從事該項工作是必須的。特別是，從事安全培訓(xùn)的專業(yè)人員是有效信息安全程序的關(guān)鍵，要使用各種有效媒體進(jìn)行安全培訓(xùn)課程。每個企業(yè)員工都要接受安全培訓(xùn)，要對不同的人員（例如安全管理員、最終用戶、數(shù)據(jù)擁有者）有針對性地進(jìn)行培訓(xùn),在第2章中講到，風(fēng)險是構(gòu)成安全基礎(chǔ)的基本觀念。風(fēng)險是丟失需要保護(hù)的資產(chǎn)的可能性。測定風(fēng)險的兩個組成部分是漏洞和威脅。漏洞是攻擊可能的途徑，威脅是一

11、個可能破壞信息系統(tǒng)安全環(huán)境的動作或事件。威脅包含3個組成部分： （1） 目標(biāo)，可能受到攻擊的方面。 （2） 代理，發(fā)出威脅的人或組織。 （3） 事件，做出威脅的動作類型。作為威脅的代理，必須要有訪問目標(biāo)的能力，有關(guān)于目標(biāo)的信息類型和級別的知識，還要有對目標(biāo)發(fā)出威脅的理由,20.3 威脅,本章從安全的驗證和評估出發(fā)，具體分析各種威脅源、威脅是如何得逞的以及針對這些威脅的對策,弄清楚威脅的來源是減少威脅得逞可能性的關(guān)鍵，下面陳述各種主要的威脅源。 1. 人為差錯和設(shè)計缺陷 最大的威脅來源是操作中人為的疏忽行為。據(jù)一些統(tǒng)計，造成信息系統(tǒng)在經(jīng)費(fèi)和生產(chǎn)力方面損失的一半是由于人為的差錯，另一半則是有意的、

12、惡意的行為。這些人為差錯包括不適當(dāng)?shù)匕惭b和管理設(shè)備、軟件，不小心地刪除文件，升級錯誤的文件，將不正確的信息放入文件，忽視口令更換或做硬盤后備等行為，從而引起信息的丟失、系統(tǒng)的中斷等事故,20.3.1 威脅源,上述事故由于設(shè)計的缺陷，沒有能防止很多普遍的人為差錯引起的信息丟失或系統(tǒng)故障。設(shè)計的缺陷還會引起各種漏洞的暴露。 2. 內(nèi)部人員 很多信息保護(hù)設(shè)施的侵犯是由一些試圖進(jìn)行非授權(quán)行動或越權(quán)行動的可信人員執(zhí)行的。其動機(jī)有些是出于好奇，有些是惡意的，有些則是為了獲利。內(nèi)部人員的入侵行為包括復(fù)制、竊取或破壞信息，然而這些行為又難以檢測。這些個體持有許可或其他的授權(quán)，或者通過那些毋需專門授權(quán)的行為使網(wǎng)

13、絡(luò)運(yùn)行失效或侵犯保護(hù)設(shè)施。根據(jù)統(tǒng)計，內(nèi)部人員的侵犯占所有嚴(yán)重安全侵犯事件的70%80,3. 臨時員工 外部的顧問、合同工、臨時工應(yīng)和正式員工一樣，必須有同樣的基本信息安全要求和信息安全責(zé)任，但還需有一些附加的限制。例如，和正式員工一樣，需簽一個信息安全遵守合同，接受相應(yīng)的安全意識培訓(xùn)。除此之外，臨時員工還必須有一個專門的協(xié)議，只允許訪問那些執(zhí)行其委派的任務(wù)所需的信息和系統(tǒng)。 4. 自然災(zāi)害和環(huán)境危害 環(huán)境的要求，諸如最高溫度和最低溫度、最高濕度、風(fēng)暴、龍卷風(fēng)、照明、為水所淹、雨、火災(zāi)以及地震等，都能破壞主要的信息設(shè)施及其后備系統(tǒng)。應(yīng)制定災(zāi)難恢復(fù)計劃，預(yù)防和處理這些災(zāi)害,5. 黑客和其他入侵者

14、來自于非授權(quán)的黑客，為了獲得錢財、產(chǎn)業(yè)秘密或純粹是破壞系統(tǒng)的入侵攻擊行為近年來呈上升趨勢。這些群體經(jīng)常雇傭一些攻擊高手并進(jìn)行聳人聽聞的報導(dǎo)。這些群體包括青少年黑客、專業(yè)犯罪者、工業(yè)間諜或外國智能代理等。 6. 病毒和其他惡意軟件 病毒、蠕蟲、特洛伊木馬以及其他惡意軟件通過磁盤、預(yù)包裝的軟件、電子郵件和連接到其他網(wǎng)絡(luò)進(jìn)入網(wǎng)絡(luò)。這些危害也可能是由于人為差錯、內(nèi)部人員或入侵者引起的,采取對策以防止各種威脅情況，不僅需要了解威脅的來源，還應(yīng)知道這些威脅是怎樣侵襲安全體系結(jié)構(gòu)的。下面列舉各種情況。 1. 社會工程（系統(tǒng)管理過程） 社會工程攻擊假冒已知授權(quán)的員工，采用偽裝的方法或電子通信的方法，具體情況如

15、下： 攻擊者發(fā)出一封電子郵件，聲稱是系統(tǒng)的根，通知用戶改變口令以達(dá)到暴露用戶口令的目的。 攻擊者打電話給系統(tǒng)管理員，聲稱自己是企業(yè)經(jīng)理，丟失了modem池的號碼、忘記了口令,20.3.2 威脅情況和對策,謊說是計算機(jī)維修人員，被批準(zhǔn)進(jìn)入機(jī)房，并訪問系統(tǒng)控制臺。 含有機(jī)密信息的固定存儲介質(zhì)（硬盤、軟盤）被丟棄或不合適地標(biāo)號，被非授權(quán)者假裝搜集廢物獲得。 所有上面4種威脅情況都可以使攻擊得逞。社會工程的保護(hù)措施大多是非技術(shù)的方法。下面列出的每一種保護(hù)措施可防御上面提到的攻擊： （1） 培訓(xùn)所有企業(yè)用戶的安全意識。 （2） 培訓(xùn)所有系統(tǒng)管理員的安全意識，并有完善的過程、處理、報告文本。 （3） 對允

16、許外訪人員進(jìn)入嚴(yán)格限制區(qū)域的負(fù)責(zé)人進(jìn)行安全意識培訓(xùn),2. 電子竊聽 Internet協(xié)議集在設(shè)計時并未考慮安全。TELNET、FTP、SMTP和其他基于TCP/IP的應(yīng)用易于從被動的線接頭獲取。用戶鑒別信息（如用戶名和口令）易于從網(wǎng)絡(luò)中探測到，并偽裝成授權(quán)員工使用。假如外部人員對企業(yè)設(shè)施獲得物理訪問，則可以將帶有無線modem的手提計算機(jī)接到局域網(wǎng)或集線器上，所有通過局域網(wǎng)或集線器的數(shù)據(jù)易于被任何威脅者取得。此外，假如外部人員能電子訪問帶有modem服務(wù)器進(jìn)程的工作站，就可以將其作為進(jìn)入企業(yè)網(wǎng)絡(luò)的入口。任何在Internet傳輸?shù)臄?shù)據(jù)對泄露威脅都是漏洞。所有上述4種威脅都有可能使這些攻擊得逞,

17、防止竊聽的保護(hù)措施包括鑒別和加密。使用雙因子鑒別提供強(qiáng)的鑒別，典型的做法是授權(quán)用戶持有一個編碼信息的物理標(biāo)記再加上一個用戶個人標(biāo)識號（PIN）或口令。保護(hù)傳輸中的口令和ID，可以采用加密的措施。鏈路加密（SSL和IPv6）保護(hù)直接物理連接或邏輯通信通路連接的兩個系統(tǒng)之間傳輸?shù)男畔?。?yīng)用加密（安全Telnet和FTP、S/MIME）提供報文保護(hù)，在源端加密，只在目的地解密。數(shù)字簽名可認(rèn)證發(fā)送者的鑒別信息，如伴隨用哈希算法可保護(hù)報文的完整性,3. 軟件缺陷 當(dāng)前兩個最大的軟件缺陷是緩沖器溢出和拒絕服務(wù)攻擊。當(dāng)寫入太多的數(shù)據(jù)時，就會發(fā)生緩沖器溢出，通常是一串字符寫入固定長度的緩沖器。對數(shù)據(jù)緩沖器的輸

18、入沒有足夠的邊界檢查，使得輸入超過緩沖器的容量。一般情況下，系統(tǒng)崩潰是由于程序試圖訪問一個非法地址。然而，也有可能用一個數(shù)據(jù)串來代替生成可檢測的差錯，從而造成攻擊者希望的特定系統(tǒng)的漏洞,Carnegie Mellon軟件工程研究所的計算機(jī)應(yīng)急響應(yīng)組（Computer Emergenoy Response Team，CERT）有196個有關(guān)緩沖器溢出的文檔報告，如Microsoft的終端服務(wù)器Outlook Express, Internet信息服務(wù)器（IIS），還有一些眾人熟知的有關(guān)網(wǎng)絡(luò)服務(wù)的，如網(wǎng)絡(luò)定時協(xié)議（Network Time Protocol，NTP）、Sendmail、BIND、S

19、SHv1.37、Kerberos等,一個拒絕服務(wù)攻擊使得目標(biāo)系統(tǒng)響應(yīng)變慢，以致完全不可用。有很多原因可導(dǎo)致這種結(jié)果： 編程錯誤以致使用100%的CPU時間。由于內(nèi)存的漏洞使系統(tǒng)的內(nèi)存使用連續(xù)增加。Web請求或遠(yuǎn)程過程調(diào)用（RPC）中發(fā)生的畸形數(shù)據(jù)請求。大的分組請求，如大量電子郵件地址請求和Internet控制報文協(xié)議（Internet Control Message Protocol，ICMP）請求。不停的網(wǎng)絡(luò)通信UDP和ICMP造成廣播風(fēng)暴和網(wǎng)絡(luò)淹沒。偽造的路由信息或無響應(yīng)的連接請求。布線、電源、路由器、平臺或應(yīng)用的錯誤配置。 CERT有318個文本是關(guān)于對各種應(yīng)用和平臺操作系統(tǒng)的拒絕服務(wù)攻

20、擊。在大多數(shù)情況下，由于攻擊者已經(jīng)損壞了執(zhí)行攻擊的機(jī)器，使得要告發(fā)這些個體實(shí)施的攻擊很困難,4. 信息轉(zhuǎn)移（主機(jī)之間的信任關(guān)系） 信任轉(zhuǎn)移是把信任關(guān)系委托給可信的中介。一旦外部人員破壞了中介信任的機(jī)器，其他的主機(jī)或服務(wù)器也易于破壞。這樣的攻擊例子如下： 誤用一個.rhosts文件使受損的機(jī)器不需口令就能攻擊任何在 .rhosts文件中的機(jī)器。假如外面的用戶偽裝成一個網(wǎng)絡(luò)操作系統(tǒng)用戶或服務(wù)器，則所有信任該特定用戶或服務(wù)器的其他服務(wù)器也易于受破壞。一個通過網(wǎng)絡(luò)文件系統(tǒng)（Network File System,NFS）由各工作站共享文件的網(wǎng)絡(luò)，假如其中一個客戶工作站受損，一個攻擊者能在文件系統(tǒng)服務(wù)器

21、上生成可執(zhí)行的特權(quán)，那么攻擊者能如同正常用戶一樣登錄服務(wù)器并執(zhí)行特權(quán)命令,信任轉(zhuǎn)移的保護(hù)措施主要是非技術(shù)方法。大部分UNIX環(huán)境（非DCE）不提供信任轉(zhuǎn)移的自動機(jī)制。因此系統(tǒng)管理員在映射主機(jī)之間的信任關(guān)系時必須特別小心。 5. 數(shù)據(jù)驅(qū)動攻擊（惡意軟件） 數(shù)據(jù)驅(qū)動攻擊是由嵌在數(shù)據(jù)文件格式中的惡意軟件引起的。這些數(shù)據(jù)文件格式如PS編程語言（postscript）文件、在文本中的MS Word基本命令、shell命令表（shell script）,下載的病毒或惡意程序,數(shù)據(jù)驅(qū)動攻擊的例子如下： 一個攻擊者發(fā)送一個帶有文件操作的postscript文件，將攻擊者的主機(jī)標(biāo)識加到.rhosts文件；或者打

22、開一個帶有Word基本命令的MS Word文本，能夠訪問Windows動態(tài)鏈接庫(Dynamic Link Library，DLL)內(nèi)的任何功能，包括Winsock.dll。 一個攻擊者發(fā)送一個postscript文件，該文件常駐在基于postscript的傳真服務(wù)器中，就能將每一個發(fā)送和接收的傳真拷貝發(fā)送給攻擊者。 一個用戶從網(wǎng)上下載shellscript或惡意軟件，將受害者的口令文件郵寄給攻擊者，并刪除所有受害者的文件。 利用HTTP瀏覽器包裝諸如特洛伊木馬等惡意軟件,6. 拒絕服務(wù) DoS攻擊并不利用軟件的缺陷，而是利用實(shí)施特定協(xié)議的缺陷。這些攻擊會中斷計算平臺和網(wǎng)絡(luò)設(shè)備的運(yùn)行，使特定的

23、網(wǎng)絡(luò)端口、應(yīng)用程序（如SMTP代理）和操作系統(tǒng)內(nèi)核超載。這些攻擊的例子有TCP SYN淹沒、ICMP炸彈、電子郵件垃圾、Web欺騙、域名服務(wù)（Domain Name System,DNS）攔劫等。保持計算平臺和網(wǎng)絡(luò)設(shè)備的及時更新能避免大多數(shù)這些攻擊。防止有一些攻擊需要諸如網(wǎng)絡(luò)防火墻這類網(wǎng)絡(luò)過濾系統(tǒng),7. DNS欺騙 域名系統(tǒng)（DNS）是一個分布式數(shù)據(jù)庫，用于TCP/IP應(yīng)用中，映射主機(jī)名和IP地址，以及提供電子郵件路由信息。如果Internet地址值到域名的映射綁定過程被破壞，域名就不再是可信的。這些易破壞的點(diǎn)是訛用的發(fā)送者、訛用的接收者、訛用的中介，以及服務(wù)提供者的攻擊。例如，假如一個攻擊者

24、擁有自己的DNS服務(wù)器，或者破壞一個DNS服務(wù)器，并加一個含有受害者.rhosts文件的主機(jī)關(guān)系，攻擊者就很容易登錄和訪問受害者的主機(jī),對DNS攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和過程方法。網(wǎng)絡(luò)防火墻安全機(jī)制依靠雙DNS服務(wù)器，一個用于企業(yè)網(wǎng)絡(luò)的內(nèi)部，另一個用于外部，即對外公開的部分。這是為了限制攻擊者了解內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址，從而加固內(nèi)部DNS服務(wù)。Internet工程任務(wù)組（Internet Engineering Task Force,IETF）正致力于標(biāo)準(zhǔn)安全機(jī)制工作以保護(hù)DNS。所謂反對這些攻擊的過程方法是對關(guān)鍵的安全決定不依賴于DNS,8. 源路由 通常IP路由是動態(tài)的，每個路由器決定

25、將數(shù)據(jù)報發(fā)往下面哪一個站。但I(xiàn)P的路由也可事先由發(fā)送者來確定，稱源路由。嚴(yán)格的源路由依賴于發(fā)送者提供確切的通路，IP數(shù)據(jù)報必須按此通路走。松散的源路由依賴于發(fā)送者提供一張最小的IP地址表，數(shù)據(jù)報必須按該表的規(guī)定通過。攻擊者首先使受害者可信主機(jī)不工作，假裝該主機(jī)的IP地址，然后使用源路由控制路由到攻擊者主機(jī)。受害者的目標(biāo)主機(jī)認(rèn)為分組來自受害者的可信主機(jī)。源路由攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和路由屏幕。路由器和防火墻能攔阻路由分組進(jìn)入企業(yè)網(wǎng)絡(luò),9. 內(nèi)部威脅 內(nèi)部威脅包括前面提到的由內(nèi)部人員作惡或犯罪的威脅。大多數(shù)計算機(jī)安全統(tǒng)計表明，70%80%的計算機(jī)欺騙來自內(nèi)部。這些內(nèi)部人員通常有反對公司的動機(jī)

26、，能對計算機(jī)和網(wǎng)絡(luò)進(jìn)行直接物理訪問，以及熟悉資源訪問控制。在應(yīng)用層的主要威脅是被授權(quán)的人員濫用和誤用授權(quán)。網(wǎng)絡(luò)層的威脅是由于能對LAN進(jìn)行物理訪問，使內(nèi)部人員能見到通過網(wǎng)絡(luò)的敏感數(shù)據(jù),針對內(nèi)部威脅的防護(hù)應(yīng)運(yùn)用一些基本的安全概念：責(zé)任分開、最小特權(quán)、對個體的可審性。責(zé)任分開是將關(guān)鍵功能分成若干步，由不同的個體承擔(dān)，如財務(wù)處理的批準(zhǔn)、審計、分接頭布線的批準(zhǔn)等。最小特權(quán)原則是限制用戶訪問的資源，只限于工作必需的資源。這些資源的訪問模式可以包括文件訪問（讀、寫、執(zhí)行、刪除）或處理能力（系統(tǒng)上生成或刪除處理進(jìn)程的能力）。個體的可審性是保持各個體對其行為負(fù)責(zé)?？蓪徯酝ǔＪ怯上到y(tǒng)的用戶標(biāo)識和鑒別以及跟蹤用戶

27、在系統(tǒng)中的行為來完成,當(dāng)前安全體系結(jié)構(gòu)的能力水平應(yīng)從安全成熟度模型的3個方面進(jìn)行評估，即對計劃、布局和配置、運(yùn)行過程的評估。 安全評估方法的第1步是發(fā)現(xiàn)階段，所有有關(guān)安全體系結(jié)構(gòu)適用的文本都必須檢查，包括安全策略、標(biāo)準(zhǔn)、指南，信息等級分類和訪問控制計劃，以及應(yīng)用安全需求。全部基礎(chǔ)設(shè)施安全設(shè)計也須檢查，包括網(wǎng)絡(luò)劃分設(shè)計，防火墻規(guī)則集，入侵檢測配置；平臺加固標(biāo)準(zhǔn)、網(wǎng)絡(luò)和應(yīng)用服務(wù)器配置,20.4 安全評估方法 20.4.1 安全評估過程,評估的第2步是人工檢查階段，將文本描述的體系結(jié)構(gòu)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差別。可以采用手工的方法，也可采用自動的方法。使用網(wǎng)絡(luò)和平臺發(fā)現(xiàn)工具，在網(wǎng)絡(luò)內(nèi)部執(zhí)行，可

28、表示出所有的網(wǎng)絡(luò)通路以及主機(jī)操作系統(tǒng)類型和版本號。NetSleuth工具是一個IP可達(dá)性分析器，能提供到網(wǎng)絡(luò)端口級的情況。QUESO和NMAP這些工具具有對主機(jī)全部端口掃描的能力，并能識別設(shè)備的類型和軟件版本。 評估的第3步是漏洞測試階段。這是一個系統(tǒng)的檢查，以決定安全方法的適用、標(biāo)識安全的差別、評價現(xiàn)有的和計劃的保護(hù)措施的有效性。漏洞測試階段又可分成3步,第1步包括網(wǎng)絡(luò)、平臺和應(yīng)用漏洞測試。網(wǎng)絡(luò)漏洞測試的目標(biāo)是從攻擊者的角度檢查系統(tǒng)?？梢詮囊粋€組織的Intranet內(nèi)，也可以從Internet的外部，或者一個Extranet合作伙伴進(jìn)入組織。用于網(wǎng)絡(luò)漏洞測試的工具通常是多種商業(yè)化的工具（例如

29、ISS掃描器、Cisco的Netsonar）以及開放給公共使用的工具（例如Nessus和NMAP）。這些測試工具都以相同的方式工作。首先對給出的網(wǎng)絡(luò)組件（例如防火墻、路由器、VPN網(wǎng)關(guān)、平臺）的所有網(wǎng)絡(luò)端口進(jìn)行掃描。一旦檢測到一個開啟的端口，就使用已知的各種方法攻擊這端口（例如在Microsoft IIS5.0、Kerberos、SSHdaemon和Sun Solstice AdminSuite Daemon的緩沖器溢出）。大部分商業(yè)產(chǎn)品能生成一個詳細(xì)的報告，根據(jù)攻擊產(chǎn)生的危害，按風(fēng)險級別列出分類的漏洞,漏洞測試的第2步是平臺掃描，又稱系統(tǒng)掃描。平臺掃描驗證系統(tǒng)配置是否遵守給定的安全策略。此外

30、，它還檢測任何安全漏洞和配置錯誤（例如不安全的文件保護(hù)注冊和配置目錄）以及可利用的網(wǎng)絡(luò)服務(wù)（例如HTTP、FTP、DNS、SMTP等）。一旦平臺的安全加固已經(jīng)構(gòu)建，系統(tǒng)掃描將構(gòu)成基礎(chǔ)，它定時地檢測任何重要的變化（例如主頁更換、Web站點(diǎn)受損）。 漏洞測試的第3步是應(yīng)用掃描。應(yīng)用掃描工具不像網(wǎng)絡(luò)或平臺工具那樣是自動的，因此，它是一個手動的處理過程。其理念是模仿攻擊者成為授權(quán)用戶是如何誤用這應(yīng)用,安全評估的最后1步是認(rèn)證安全體系結(jié)構(gòu)的處理過程部分。包括自動的報警設(shè)施以及負(fù)責(zé)配置所有安全體系結(jié)構(gòu)組件（如防火墻、IDS、VPN等）的人。安全控制出現(xiàn)的問題最多的是人為的差錯。例如，引起防火墻不能安全運(yùn)行

31、的主要原因是配置的錯誤以及不好的變更管理過程，如下面一些情況： 有一個防火墻管理員在深夜接到一個緊急電話，聲稱由于網(wǎng)絡(luò)的問題使應(yīng)用出錯。管理員取消管理集對分組的限制，觀察是否是防火墻阻斷了這個分組。應(yīng)用開始正常工作，管理員回去睡覺，但忘了防火墻管理集是打開著的。之后企業(yè)網(wǎng)絡(luò)被入侵，因為防火墻并不執(zhí)行任何訪問控制,在漏洞分析測試期間，安全體系結(jié)構(gòu)監(jiān)控和報警設(shè)施應(yīng)在最忙的狀態(tài)。測試可以事先通知，允許凈化安全日志、分配合適的磁盤空間。測試也可以事先不通知，可以測量安全支持人員的反應(yīng)時間。測量Internet服務(wù)提供者的反應(yīng)時間是有用的，特別是他們負(fù)責(zé)管理Internet防火墻的情況。 將上面5個漏洞

32、分析測試階段的結(jié)果匯總、分析，可得出總的風(fēng)險分析文本，從5個階段中產(chǎn)生的信息是覆蓋的。很多自動工具廠商有內(nèi)置的報告產(chǎn)生器，根據(jù)可能引起危害的漏洞進(jìn)行分類。風(fēng)險分析信息必須應(yīng)用到經(jīng)營業(yè)務(wù)，轉(zhuǎn)而成為經(jīng)營業(yè)務(wù)影響的文本。很多安全評估報告沒有將風(fēng)險分析反饋到對經(jīng)營業(yè)務(wù)的影響，安全評估的價值就很小。圖20.2表示從安全成熟度模型3個方面的安全評估階段,圖20.2 安全評估階段,由于Internet協(xié)議TCP/IP的實(shí)施沒有任何內(nèi)置的安全機(jī)制，因此大部分基于網(wǎng)絡(luò)的應(yīng)用也是不安全的。網(wǎng)絡(luò)安全評估的目標(biāo)是保證所有可能的網(wǎng)絡(luò)安全漏洞是關(guān)閉的。多數(shù)網(wǎng)絡(luò)安全評估是在公共訪問的機(jī)器上，從Internet上的一個IP地

33、址來執(zhí)行的，諸如E-mail服務(wù)器、域名服務(wù)器（DNS）、Web服務(wù)器、FTP和VPN網(wǎng)關(guān)等。另一種不同的網(wǎng)絡(luò)評估實(shí)施是給出網(wǎng)絡(luò)拓?fù)?、防火墻?guī)則集和公共可用的服務(wù)器及其類型的清單,20.4.2 網(wǎng)絡(luò)安全評估,網(wǎng)絡(luò)評估的第1步是了解網(wǎng)絡(luò)的拓?fù)洹＜偃绶阑饓υ谧钄喔櫬酚煞纸M，這就比較復(fù)雜，因為跟蹤路由器是用來繪制網(wǎng)絡(luò)拓?fù)涞摹?第2步是獲取公共訪問機(jī)器的名字和IP地址，這是比較容易完成的。只要使用DNS并在ARIN（American Registry for Internet Number）試注冊所有的公共地址。 最后1步是對全部可達(dá)主機(jī)做端口掃描的處理。端口是用于TCP/IP和UDP網(wǎng)絡(luò)中將一個端

34、口標(biāo)識到一個邏輯連接的術(shù)語。端口號標(biāo)識端口的類型，例如80號端口專用于HTTP通信。假如給定端口有響應(yīng)，那么將測試所有已知的漏洞。表20-2列出了各種類型的端口掃描技術(shù)。(見書中表20-2,平臺安全評估的目的是認(rèn)證平臺的配置（操作系統(tǒng)對已知漏洞不易受損、文件保護(hù)及配置文件有適當(dāng)?shù)谋Ｗo(hù)）。認(rèn)證的惟一方法是在平臺自身上執(zhí)行一個程序。有時該程序稱為代理，因為集中的管理程序由此開始。假如平臺已經(jīng)適當(dāng)加固，那么有一個基準(zhǔn)配置。 評估的第1部分是認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)（FTP、rlogin、telnet、SSH等）沒有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并

35、轉(zhuǎn)發(fā)給Internet上的攻擊者。假如任何文件需打補(bǔ)丁或需要使用服務(wù)包，代理將通知管理員,20.4.3 平臺安全估計,第2部分測試是認(rèn)證管理員的口令，大部分機(jī)器不允許應(yīng)用用戶登錄到平臺，對應(yīng)用的用戶鑒別是在平臺上運(yùn)行的，而不是平臺本身。 此外，還有測試本地口令的強(qiáng)度，如口令長度、口令組成、字典攻擊等。 最后跟蹤審計子系統(tǒng)，在黑客作案前就能跟蹤其行跡。 數(shù)據(jù)庫的安全評估也是必須的，這部分內(nèi)容不在本書敘述范圍內(nèi),應(yīng)用安全評估比使用像網(wǎng)絡(luò)和平臺掃描這些自動工具而言，需要更多的技藝。黑客的目標(biāo)是得到系統(tǒng)對應(yīng)用平臺的訪問，強(qiáng)迫應(yīng)用執(zhí)行某些非授權(quán)用戶的行為。很多基于Web應(yīng)用的開發(fā)者使用公共網(wǎng)關(guān)接口(Co

36、mmon Gateway Interface,CGI)來分析表格，黑客能利用很多已知漏洞來訪問使用CGI開發(fā)的Web服務(wù)器平臺（例如放入“&”這些額外的字符,20.4.4 應(yīng)用安全評估,低質(zhì)量編寫的應(yīng)用程序的最大風(fēng)險是允許訪問執(zhí)行應(yīng)用程序的平臺。當(dāng)一個應(yīng)用損壞時，安全體系結(jié)構(gòu)必須將黑客包含進(jìn)平臺。一旦一臺在公共層的機(jī)器受損，就可用它來攻擊其他的機(jī)器。最通用的方法是在受損的機(jī)器上安裝一臺口令探測器,根據(jù)計算機(jī)信息系統(tǒng)安全技術(shù)發(fā)展的要求，信息系統(tǒng)安全保護(hù)等級劃分和評估的基本準(zhǔn)則如下。 1. 可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC（Trusted Computer System Evaluation C

37、riteria, 可信計算機(jī)系統(tǒng)評估準(zhǔn)則）是由美國國家計算機(jī)安全中心（NCSC）于1983年制定的計算機(jī)系統(tǒng)安全等級劃分的基本準(zhǔn)則，又稱桔皮書。1987年NCSC又發(fā)布了紅皮書，即可信網(wǎng)絡(luò)指南（Trusted Network Interpretation of the TCSEC, TNI）,1991年又發(fā)布了可信數(shù)據(jù)庫指南（Trusted Database Interpretation of the TCSEC, TDI,20.5 安全評估準(zhǔn)則,2. 信息技術(shù)安全評估準(zhǔn)則 ITSEC（Information Technology Security Evaluation Criteria, 信

38、息技術(shù)安全評估準(zhǔn)則）由歐洲四國（荷、法、英、德）于1989年聯(lián)合提出，俗稱白皮書。在吸收TCSEC的成功經(jīng)驗的基礎(chǔ)上，首次在評估準(zhǔn)則中提出了信息安全的保密性、完整性、可用性的概念，把可信計算機(jī)的概念提高到可信信息技術(shù)的高度,3. 通用安全評估準(zhǔn)則 CC（Command Criteria for IT Security Evaluation,通用安全評估準(zhǔn)則）由美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、國家安全局（NSA）、歐洲的荷、法、德、英以及加拿大等6國7方聯(lián)合提出，并于1991年宣布，1995年發(fā)布正式文件。它的基礎(chǔ)是歐洲的白皮書ITSEC、美國的（包括桔皮書TCSEC在內(nèi)的）新的聯(lián)邦評價準(zhǔn)則

39、、加拿大的CTCPEC以及國際標(biāo)準(zhǔn)化組織的ISO/SCITWGS的安全評價標(biāo)準(zhǔn),4. 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 我國國家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的國家標(biāo)準(zhǔn)，序號為GB17859-1999。評價準(zhǔn)則的出現(xiàn)為我們評價、開發(fā)、研究計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的安全提供了指導(dǎo)準(zhǔn)則,TCSEC共分為4類7級：D、C1、C2、B1、B2、B3、A1。 1. D級 安全性能達(dá)不到C1級的劃分為D級。D級并非沒有安全保護(hù)功能，只是太弱。 2. C1級，自主安全保護(hù)級 可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實(shí)施機(jī)制（如訪問控制表）允許命名用戶和用戶組的身份規(guī)定并控制客體的共享，并阻止非授權(quán)用

40、戶讀取敏感信息,20.5.1 可信計算機(jī)系統(tǒng)評估準(zhǔn)則,可信計算基（Trusted Computing Base, TCB）是指為實(shí)現(xiàn)計算機(jī)處理系統(tǒng)安全保護(hù)策略的各種安全保護(hù)機(jī)制的集合。 3. C2級，受控存取保護(hù)級 與自主安全保護(hù)級相比，本級的可信計算基實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件以及隔離資源，使用戶能對自己的行為負(fù)責(zé)。 4. C2級，標(biāo)記安全保護(hù)級 本級的可信計算基具有受控存取保護(hù)級的所有功能。此外，還可提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，可消除通過測試發(fā)現(xiàn)的任何錯誤,5. B2級，結(jié)構(gòu)化保

41、護(hù)級 本級的可信計算基建立于一個明確定義的形式安全策略模型之上，它要求將B1級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。本級的可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素?？尚庞嬎慊慕涌谝脖仨毭鞔_定義，使其設(shè)計與實(shí)現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力,6. B3級，安全域級 本級的可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器是指監(jiān)控主體和客體之間授權(quán)訪問關(guān)系的部件。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的，必須足夠小，能夠分析和測試。

42、為了滿足訪問監(jiān)控器需求，可信計算基在其構(gòu)造時排除實(shí)施對安全策略來說并非必要的代碼。在設(shè)計和實(shí)現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力,7. A1級，驗證設(shè)計級 本級的安全功能與B3級相同，但最明顯的不同是本級必須對相同的設(shè)計運(yùn)用數(shù)學(xué)形式化證明方法加以驗證，以證明安全功能的正確性。本級還規(guī)定了將安全計算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場安裝所必須遵守的程序,這是我國國家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分的基本準(zhǔn)則，是強(qiáng)制性的國家標(biāo)準(zhǔn)，序號為GB17859-1999。準(zhǔn)則規(guī)

43、定了計算機(jī)信息系統(tǒng)安全保護(hù)能力的5個等級,20.5.2 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則,1.概述 準(zhǔn)則是計算機(jī)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)的核心，制定準(zhǔn)則是實(shí)行計算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)，其主要目的是： 支持計算機(jī)信息系統(tǒng)安全法規(guī)的制定； 為計算機(jī)信息系統(tǒng)安全產(chǎn)品的研發(fā)提供功能框架； 為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo),準(zhǔn)則在系統(tǒng)地、科學(xué)地分析計算機(jī)處理系統(tǒng)的安全問題的基礎(chǔ)上，結(jié)合我國信息系統(tǒng)建設(shè)的實(shí)際情況，將計算機(jī)信息系統(tǒng)的安全等級劃分為如下5級： 第一級,用戶自主保護(hù)級； 第二級，系統(tǒng)審計保護(hù)級； 第三級，安全標(biāo)記保護(hù)級； 第四級，結(jié)構(gòu)化保護(hù)級； 第五級，訪問驗證保護(hù)

44、級。 各級的命名，主要考慮了使各級的名稱能夠體現(xiàn)這一級別安全功能的主要特性。計算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級的增高，逐漸增強(qiáng)。5個級別的安全保護(hù)能力之間的關(guān)系如圖20.3所示,圖20.3 各等級安全保護(hù)能力示意圖,2.技術(shù)功能說明 在計算機(jī)信息系統(tǒng)的安全保護(hù)中，一個重要的概念是可信計算基（trusted computing base, TCB）。可信計算基是一個實(shí)現(xiàn)安全策略的機(jī)制，包括硬件、軟件和必要的固件，它們將根據(jù)安全策略來處理主體（系統(tǒng)管理員、安全管理員和用戶）對客體（進(jìn)程、文件、記錄、設(shè)備等）的訪問?？尚庞嬎慊哂幸韵绿匦裕?實(shí)施主體對客體的安全訪問的功能； 抗篡改的性質(zhì)；

45、易于分析與測試的結(jié)構(gòu),在準(zhǔn)則規(guī)定的5個級別中，其安全保護(hù)能力主要取決于可信計算基的特性，即各級之間的差異主要體現(xiàn)在可信計算基的構(gòu)造及它所具有的安全保護(hù)能力上,1.概述 通用安全評估準(zhǔn)則(CC)是一個國際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)描述了這么一個規(guī)則：“可作為評估IT產(chǎn)品與系統(tǒng)的基礎(chǔ)，這個標(biāo)準(zhǔn)允許在相互獨(dú)立的不同安全評估結(jié)果之間進(jìn)行比較，提供一套公共的用于IT產(chǎn)品與系統(tǒng)的安全功能集，以及適應(yīng)該功能集的安全保障的測度。評估過程確定了IT產(chǎn)品與系統(tǒng)關(guān)于安全功能及保障的可信水平”。CC由3個部分組成：安全功能、安全保障與評估方法。信息系統(tǒng)安全工程（ISSE）可以利用CC作為工具支持其行為，包括為信息保護(hù)系統(tǒng)制定系統(tǒng)級

46、的描述和支持批準(zhǔn)過程,20.5.3 通用安全評估準(zhǔn)則,圖20.4 CC中的安全概念與相互關(guān)系,圖20.4顯示CC是如何應(yīng)用的，用CC的語法建立信息安全的過程是符合ISSE過程的。發(fā)掘信息保護(hù)需求的行為提供了各種信息，如所有者怎樣評估資產(chǎn)、威脅代理是什么、什么是威脅、什么是對策（要求與功能）和什么是風(fēng)險（部分地）。定義信息保護(hù)系統(tǒng)的行為提供了用于描述如下事務(wù)的信息：什么是對策（命名組件）、什么是脆弱性（基于體系結(jié)構(gòu)）、什么是風(fēng)險（更全面）。設(shè)計信息保護(hù)系統(tǒng)的行為提供了如下信息：什么是對策（驗證了的信息保護(hù)產(chǎn)品功能）、什么是脆弱性（基于設(shè)計的、組合并驗證了的測試結(jié)果）和什么是風(fēng)險（更加全面,實(shí)現(xiàn)信

47、息保護(hù)系統(tǒng)的行為最后提供了如下信息：什么是對策（安裝了的、有效的信息系統(tǒng)保護(hù)功能）、什么是脆弱性（基于有效性與漏洞測試實(shí)現(xiàn)結(jié)果）、什么是風(fēng)險（更加全面）。CC并不描述個體和操作的安全，也不描述評估的有效性或其他使系統(tǒng)更有效的管理經(jīng)驗。CC提供了一種標(biāo)準(zhǔn)的語言與語法，用戶和開發(fā)者可以用它來聲明系統(tǒng)的通用功能（保護(hù)輪廓或PP）或被評估的特定性能（安全目標(biāo)或ST,PP都以標(biāo)準(zhǔn)化的格式定義了一套功能要求與保障要求，它們或者來自于CC，或由用戶定義，用來解決已知的或假設(shè)的安全問題（可能定義成對被保護(hù)資產(chǎn)的威脅）。對于一個完全與安全目標(biāo)一致的評估對象（TOE）集合，PP允許各對象有獨(dú)立的安全要求表述。PP

48、設(shè)計是可重用的，并且定義了可有效滿足確定目標(biāo)的TOE環(huán)境。PP也包括了安全性與安全目標(biāo)的基本依據(jù)。即使評估對象是特定類型的IT產(chǎn)品、系統(tǒng)（如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、智能卡、防火墻等），其安全需求的定義也不會因系統(tǒng)不同而不同,PP可以由用戶團(tuán)體、IT產(chǎn)品開發(fā)者或其他有興趣定義這樣一個需求集合的集體開發(fā)。PP給了消費(fèi)者一個參考特定安全需求集合的手段，并使得用戶對這些要求的評估變得容易。因此，PP是一個合適的用于ISSE開發(fā)并描述其架構(gòu)的CC文檔，可以作為查詢與技術(shù)評估的基礎(chǔ)。 ST包括一個參考PP的安全需求的集合，或者直接引用CC的功能或保障部分，或是更加詳細(xì)地對其說明。ST使得對穩(wěn)定TOE的安

49、全需求的描述能夠有效地滿足確定目標(biāo)的需要。ST包括評估對象的概要說明、安全要求與目標(biāo)及其根據(jù)。ST是各團(tuán)體對TOE所提供的安全性達(dá)成一致的基礎(chǔ),PP和ST也可以是在負(fù)責(zé)管理系統(tǒng)開發(fā)的團(tuán)體、系統(tǒng)的核心成員及負(fù)責(zé)生產(chǎn)該系統(tǒng)的組織之間互相溝通的一種手段。在這種環(huán)境中，應(yīng)該建議ST對PP做出響應(yīng)。PP與ST的內(nèi)容可以在參與者之間協(xié)商。基于PP與ST的對實(shí)際系統(tǒng)的評估是驗收過程的一部分。總的來說，非IT的安全需求也將被協(xié)商和評估。通常安全問題的解決并不是獨(dú)立于系統(tǒng)的其他需求的。ST與PP的關(guān)系如圖20.5所示,圖20.5 保護(hù)輪廓與安全目標(biāo)的關(guān)系,CC的觀點(diǎn)是，在對即將要信任的IT產(chǎn)品和系統(tǒng)進(jìn)行評估的基

50、礎(chǔ)之上提供一種保障。評估是一種傳統(tǒng)的提供保障的方式，同時也是先期評估準(zhǔn)則文檔的基礎(chǔ)。為了與現(xiàn)有方式一致，CC也采納了同樣的觀點(diǎn)。CC建議專業(yè)評估員加大評估的廣度、深度與強(qiáng)度，來檢測文檔的有效性和IT產(chǎn)品或系統(tǒng)的結(jié)果。 CC并不排除也不評估其他獲取保障的方法的優(yōu)點(diǎn)。針對其他可替代的獲取保障的方法正在研究。這些研究行為所產(chǎn)生的可替代的方法可能會被考慮加入到CC之中，而CC的結(jié)構(gòu)允許它今后引入其他方法,CC的觀點(diǎn)宣稱，用于評估的努力越多，安全保障效果越好；CC的目標(biāo)是用最小的努力來達(dá)到必須的保障水平。努力程度的增加基于如下因素： 范圍，必須加強(qiáng)努力，因為大部分的IT產(chǎn)品與系統(tǒng)包含在內(nèi)。 深度，努力必須加深，因為評估證據(jù)的搜集依賴于更好的設(shè)計水平與實(shí)現(xiàn)細(xì)節(jié)。 強(qiáng)度，努力必須加大，因為評估證據(jù)的搜集需要結(jié)構(gòu)化和正式的方式。 評估過程為PP與ST所需的保障提供了證據(jù)，如圖20.6所示。評估的結(jié)果就是對信息保護(hù)系統(tǒng)的某種程度上的確信。其他ISSE過程，如風(fēng)險管理，提供了將這種確信轉(zhuǎn)化成管理決策準(zhǔn)則的方法,圖20.6 評估的概念與相互關(guān)系,圖20.7說明了