網(wǎng)絡(luò)安全理論與技術(shù)15-安全審計(jì)

1、 -安全審計(jì)與日志分析安全審計(jì)與日志分析目 錄專業(yè)安全審計(jì)系統(tǒng)體系結(jié)構(gòu)分析網(wǎng)絡(luò)信息系統(tǒng)安全審計(jì)綜述審計(jì)與日志分析審計(jì)結(jié)果分析安全審計(jì)系統(tǒng)的必要性一旦我們采用的防御體系被突破怎么辦？至少我們必須知道：n系統(tǒng)是怎樣遭到攻擊的，這樣才能恢復(fù)系統(tǒng)，n此外我們還要知道系統(tǒng)存在什么漏洞n如何能使系統(tǒng)在受到攻擊時(shí)有所察覺(jué)n如何獲取攻擊者留下的證據(jù)。網(wǎng)絡(luò)安全審計(jì)的概念就是在這樣的需求下被提出的，它相當(dāng)于飛機(jī)上使用的“黑匣子”。 安全審計(jì)系統(tǒng)的必要性（續(xù)）在TCSEC和CC等安全認(rèn)證體系中，網(wǎng)絡(luò)安全審計(jì)的功能都是放在首要位置的，它是評(píng)判一個(gè)系統(tǒng)是否真正安全的重要尺碼。nTCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)

2、正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月由美國(guó)國(guó)防部公布。主要關(guān)注于保密性，不關(guān)注可用性和完整性。n歐洲四國(guó)（英、法、德、荷）提出了評(píng)價(jià)滿足保密性、完整性、可用性要求的信息技術(shù)安全評(píng)價(jià)準(zhǔn)則（ITSEC）后，美國(guó)又聯(lián)合以上諸國(guó)和加拿大，并會(huì)同國(guó)際標(biāo)準(zhǔn)化組織（ISO）共同提出信息技術(shù)安全評(píng)價(jià)的通用準(zhǔn)則（CC for ITSEC），CC已經(jīng)被五技術(shù)發(fā)達(dá)的國(guó)家承認(rèn)為代替TCSEC的評(píng)價(jià)安全信息系統(tǒng)的標(biāo)準(zhǔn)。目前，CC已經(jīng)被采納為國(guó)際標(biāo)準(zhǔn)ISO 15408。安全審計(jì)系統(tǒng)的必要性（續(xù)）因此在一個(gè)安全網(wǎng)絡(luò)系統(tǒng)中的安全審計(jì)功能是必不可少的一部分。網(wǎng)絡(luò)安全審計(jì)系

3、統(tǒng)能幫助我們n對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，n及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，n發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，n忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，n提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。 CC標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全審計(jì)功能定義 網(wǎng)絡(luò)安全審計(jì)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。n1996 年六國(guó)七方簽署了信息技術(shù)安全評(píng)估通用準(zhǔn)則即 CC1.0。 1998 年美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)共同簽署了【信息技術(shù)安全性評(píng)估通用準(zhǔn)則2.0版】(即 CC2.0）。1999 年成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 15408，我國(guó)于 2001 年等同采用為 GB/T 18336。目前它已被廣泛地用于評(píng)估一個(gè)系統(tǒng)的安全性

4、。在這個(gè)標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)審計(jì)定義了一套完整的功能，有：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。 安全審計(jì)自動(dòng)響應(yīng)安全審計(jì)自動(dòng)響應(yīng) 安全審計(jì)自動(dòng)響應(yīng)定義在被測(cè)事件指示出一個(gè)潛在的安全攻擊時(shí)作出的響應(yīng)，它是管理審計(jì)事件的需要，這些需要包括報(bào)警或行動(dòng)，例如包括實(shí)時(shí)報(bào)警的生成、違例進(jìn)程的終止、中斷服務(wù)、用戶帳號(hào)的失效等。根據(jù)審計(jì)事件的不同系統(tǒng)將作出不同的響應(yīng)。其響應(yīng)方式可作增加、刪除、修改等操作。 安全審計(jì)數(shù)據(jù)生成安全審計(jì)數(shù)據(jù)生成 該功能要求記錄與安全相關(guān)事件的出現(xiàn)，包括鑒別審計(jì)層次、列舉可被審計(jì)的事件類型、以及鑒別由各種審計(jì)記錄類型提供的相關(guān)

5、審計(jì)信息的最小集合。系統(tǒng)可定義可審計(jì)事件清單，每個(gè)可審計(jì)事件對(duì)應(yīng)于某個(gè)事件級(jí)別，如低級(jí)、中級(jí)、高級(jí)。 產(chǎn)生的審計(jì)數(shù)據(jù)有以下幾方面 對(duì)于敏感數(shù)據(jù)項(xiàng)（例如，口令通行字等）的訪問(wèn)目標(biāo)對(duì)象的刪除訪問(wèn)權(quán)限或能力的授予和廢除改變主體或目標(biāo)的安全屬性標(biāo)識(shí)定義和用戶授權(quán)認(rèn)證功能的使用審計(jì)功能的啟動(dòng)和關(guān)閉 每一條審計(jì)記錄中至少應(yīng)所含以下信息：事件發(fā)生的日期、時(shí)間、事件類型、主題標(biāo)識(shí)、執(zhí)行結(jié)果（成功、失?。?、引起此事件的用戶的標(biāo)識(shí)以及對(duì)每一個(gè)審計(jì)事件與該事件有關(guān)的審計(jì)信息。 安全審計(jì)分析安全審計(jì)分析 此部分功能定義了分析系統(tǒng)活動(dòng)和審計(jì)數(shù)據(jù)來(lái)尋找可能的或真正的安全違規(guī)操作。它可以用于入侵檢測(cè)或?qū)Π踩`規(guī)的自動(dòng)響應(yīng)

6、。當(dāng)一個(gè)審計(jì)事件集出現(xiàn)或累計(jì)出現(xiàn)一定次數(shù)時(shí)可以確定一個(gè)違規(guī)的發(fā)生，并執(zhí)行審計(jì)分析。事件的集合能夠由經(jīng)授權(quán)的用戶進(jìn)行增加、修改或刪除等操作。 安全審計(jì)分析類型安全審計(jì)分析類型潛在攻擊分析基于模板的異常檢測(cè)簡(jiǎn)單攻擊試探復(fù)雜攻擊試探安全審計(jì)分析類型（續(xù)）安全審計(jì)分析類型（續(xù)）潛在攻擊分析：系統(tǒng)能用一系列的規(guī)則監(jiān)控審計(jì)事件，并根據(jù)這些規(guī)則指示系統(tǒng)的潛在攻擊；基于模板的異常檢測(cè)：檢測(cè)系統(tǒng)不同等級(jí)用戶的行動(dòng)記錄，當(dāng)用戶的活動(dòng)等級(jí)超過(guò)其限定的登記時(shí)，應(yīng)指示出此為一個(gè)潛在的攻擊；安全審計(jì)分析類型（續(xù)）安全審計(jì)分析類型（續(xù)）簡(jiǎn)單攻擊試探：當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)事件與一個(gè)表示對(duì)系統(tǒng)潛在攻擊的簽名事件匹配時(shí)，應(yīng)指示出此為一

7、個(gè)潛在的攻擊；復(fù)雜攻擊試探：當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)事件或事跡序列與一個(gè)表示對(duì)系統(tǒng)潛在攻擊的簽名事件匹配時(shí)，應(yīng)指示出此為一個(gè)潛在的攻擊。安全審計(jì)瀏覽安全審計(jì)瀏覽 該功能要求審計(jì)系統(tǒng)能夠使授權(quán)的用戶有效地瀏覽審計(jì)數(shù)據(jù)。包括：審計(jì)瀏覽、有限審計(jì)瀏覽、可選審計(jì)瀏覽。審計(jì)瀏覽 提供從審計(jì)記錄中讀取信息的服務(wù)；有限審計(jì)瀏覽 要求除注冊(cè)用戶外，其他用戶不能讀取信息；可選審計(jì)信息 要求審計(jì)瀏覽工具根據(jù)相應(yīng)的判斷標(biāo)準(zhǔn)選擇需瀏覽的審計(jì)數(shù)據(jù)。安全審計(jì)事件選擇安全審計(jì)事件選擇 系統(tǒng)能夠維護(hù)、檢查或修改審計(jì)事件的集合，能夠選擇對(duì)哪些安全屬性進(jìn)行審計(jì)，例如：與目標(biāo)標(biāo)識(shí)、用戶標(biāo)識(shí)、主體標(biāo)識(shí)、主機(jī)標(biāo)識(shí)或事件類型有關(guān)的屬性。系統(tǒng)管理員

8、將能夠有選擇地在個(gè)人識(shí)別的基礎(chǔ)上審計(jì)任何一個(gè)用戶或多個(gè)用的動(dòng)作。 安全審計(jì)事件存儲(chǔ)安全審計(jì)事件存儲(chǔ) 系統(tǒng)將提供控制措施以防止由于資源的不可用丟失審計(jì)數(shù)據(jù)。能夠創(chuàng)造、維護(hù)、訪問(wèn)它所保護(hù)的對(duì)象的審計(jì)蹤跡，并保護(hù)其不被修改、非授權(quán)訪問(wèn)或破壞。審計(jì)數(shù)據(jù)將受到保護(hù)直至授權(quán)用戶對(duì)它進(jìn)行的訪問(wèn)。 安全審計(jì)事件存儲(chǔ)（續(xù)）安全審計(jì)事件存儲(chǔ)（續(xù)）它可保證某個(gè)指定量度的審計(jì)記錄被維護(hù)，并不受以下事件的影響：審計(jì)存儲(chǔ)用盡；審計(jì)存儲(chǔ)故障； 非法攻擊；其他任何非預(yù)期事件。 系統(tǒng)能夠在審計(jì)存儲(chǔ)發(fā)生故障時(shí)采取相應(yīng)的動(dòng)作，能夠在審計(jì)存儲(chǔ)即將用盡時(shí)采取相應(yīng)的動(dòng)作。 網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖網(wǎng)絡(luò)安全審計(jì)層次結(jié)構(gòu)圖 網(wǎng)絡(luò)層審計(jì)網(wǎng)絡(luò)層審

9、計(jì)系統(tǒng)層審計(jì)系統(tǒng)層審計(jì)應(yīng)用層審計(jì)應(yīng)用層審計(jì)TCP/IP、ATMUNIX、Windows 9x/NT、ODBC審計(jì)總控審計(jì)總控CA發(fā)證操作發(fā)證操作主頁(yè)更新監(jiān)視主頁(yè)更新監(jiān)視安全審計(jì)系統(tǒng)體系結(jié)構(gòu)示意圖安全審計(jì)系統(tǒng)體系結(jié)構(gòu)示意圖 Ethernet 2FDDIEthernet 1裝有審計(jì)軟件服務(wù)器審計(jì)設(shè)備要保護(hù)的工作站要保護(hù)的網(wǎng)絡(luò)服務(wù)器移動(dòng)工作站數(shù)據(jù)庫(kù)服務(wù)器DBX.25審計(jì)中心控制臺(tái) 2控制臺(tái) 1審計(jì)設(shè)備廣域網(wǎng) 安全安全審計(jì)系統(tǒng)的典型配置示意圖審計(jì)系統(tǒng)的典型配置示意圖 Mail Server DNS Server DB Server Application Server Work station 路由器

10、路由器 防火墻防火墻 審計(jì)設(shè)備審計(jì)設(shè)備 1 審計(jì)設(shè)備審計(jì)設(shè)備 2 審計(jì)軟件審計(jì)軟件Agent 服務(wù)網(wǎng)服務(wù)網(wǎng) 內(nèi)部網(wǎng)內(nèi)部網(wǎng) Application Server Web Server Search Server 審計(jì)中心審計(jì)中心 審計(jì)與日志分析審計(jì)與日志分析的參考標(biāo)準(zhǔn)防火墻和路由器等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備日志通用操作系統(tǒng)日志日志過(guò)濾可疑的活動(dòng)分析審計(jì)結(jié)果參考審計(jì)執(zhí)行過(guò)程建立設(shè)計(jì)報(bào)告庫(kù)安全審計(jì)和安全標(biāo)準(zhǔn)建議性審計(jì)解決方案建議審計(jì)執(zhí)行過(guò)程為了能夠確定安全策略和實(shí)施情況的差距，建議采用特定方法繼續(xù)進(jìn)行有效的審計(jì)；抵御和清除病毒，蠕蟲和木馬，修補(bǔ)系統(tǒng)漏洞；建議改善和增強(qiáng)如下內(nèi)容：重新配置路由器；添加和重新配

11、置防火墻規(guī)則；升級(jí)操作系統(tǒng)補(bǔ)丁類型；升級(jí)已有的和不安全的服務(wù)；加強(qiáng)網(wǎng)絡(luò)審核；自動(dòng)實(shí)施和集中管理網(wǎng)絡(luò)內(nèi)部和邊界安全；建議改善和增強(qiáng)如下內(nèi)容（續(xù)）增加入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)控產(chǎn)品；增強(qiáng)物理安全；加強(qiáng)反病毒掃描；加強(qiáng)用戶級(jí)別的加密；刪除不必要的用戶賬號(hào)，程序和服務(wù)； 等等具體改善建議防火墻保證訪問(wèn)控制規(guī)則為最小、正確和有效的設(shè)置；保證NAT、沖定向等為最小、正確和有效設(shè)置；掃描DMZ區(qū)域內(nèi)有問(wèn)題的主機(jī)和服務(wù)器。入侵檢測(cè)隨時(shí)升級(jí)和更新入侵檢測(cè)系統(tǒng)的規(guī)則；識(shí)別需要檢測(cè)的內(nèi)容。主機(jī)和個(gè)人安全實(shí)施用戶級(jí)別的加密；在單個(gè)客戶端上安裝“個(gè)人防火墻”來(lái)鎖定端口和減小風(fēng)險(xiǎn)。強(qiáng)制實(shí)施安全策略安裝監(jiān)視軟件，如Axrent的企

12、業(yè)級(jí)安全管理器；對(duì)物理安全進(jìn)行有規(guī)律的審計(jì)。建議設(shè)計(jì)審計(jì)報(bào)告庫(kù)在安全審計(jì)報(bào)告中應(yīng)該包括：總體評(píng)價(jià)現(xiàn)在的安全級(jí)別：你應(yīng)該給出低、中、高的結(jié)論，包括你監(jiān)視的網(wǎng)絡(luò)設(shè)備的簡(jiǎn)要評(píng)價(jià)（例如：大型機(jī)、路由器、NT系統(tǒng)、UNIX系統(tǒng)等等）；對(duì)偶然的、有經(jīng)驗(yàn)的和專家級(jí)的黑客入侵系統(tǒng)作出時(shí)間上的估計(jì)；簡(jiǎn)要總結(jié)出你的最重要的建議；在安全審計(jì)報(bào)告中應(yīng)該包括（續(xù)）詳細(xì)列舉你在審計(jì)過(guò)程中的步驟：此時(shí)可以提及一些在偵查、滲透和控制階段你發(fā)現(xiàn)的有趣問(wèn)題；對(duì)各種網(wǎng)絡(luò)元素提出建議，包括路由器、端口、服務(wù)、登陸賬戶、物理安全等等；討論物理安全：許多網(wǎng)絡(luò)對(duì)重要設(shè)備的擺放都不注意。例如，有的公司把文件服務(wù)器置于接待臺(tái)的桌子后，一旦接待

13、人員離開，則服務(wù)器便暴露在網(wǎng)絡(luò)攻擊下。有一次，安全設(shè)計(jì)人員抱著機(jī)器離開，安全守衛(wèi)還幫了忙；安全審計(jì)領(lǐng)域內(nèi)使用的術(shù)語(yǔ)。在安全審計(jì)報(bào)告中應(yīng)該包括（續(xù)）最后，記著遞交你的審計(jì)報(bào)告。因?yàn)榘踩珜徲?jì)涉及了商業(yè)和技術(shù)行為，所以應(yīng)該把你的報(bào)告遞交給兩方面的負(fù)責(zé)人。如果你采用電子郵件的方式遞交報(bào)告，最好對(duì)報(bào)告進(jìn)行數(shù)字簽名和加密。持續(xù)審計(jì)的可以采取的有效步驟定義安全策略建立對(duì)特定任務(wù)負(fù)責(zé)的內(nèi)部組織對(duì)網(wǎng)絡(luò)資源進(jìn)行分類為雇員建立安全指導(dǎo)確保個(gè)人和網(wǎng)絡(luò)系統(tǒng)的物理安全保障網(wǎng)絡(luò)主機(jī)的服務(wù)和操作系統(tǒng)安全持續(xù)審計(jì)的可以采取的有效步驟加強(qiáng)訪問(wèn)控制機(jī)制建立和維護(hù)系統(tǒng)確保網(wǎng)絡(luò)滿足商業(yè)目標(biāo)保持安全策略的一致性重復(fù)的過(guò)程安全審計(jì)和安全標(biāo)

14、準(zhǔn)安全審計(jì)可參考的標(biāo)準(zhǔn)ISO 7498-2英國(guó)標(biāo)準(zhǔn)7799（BS 7799）ISO 15408 （Common Criteria，CC）ISO 7498ISO建立了7498系列標(biāo)準(zhǔn)來(lái)幫助網(wǎng)絡(luò)實(shí)施標(biāo)準(zhǔn)化。其中第二個(gè)文件7498-2描述了如何確保站點(diǎn)安全和實(shí)施有效的審計(jì)計(jì)劃。它是第一篇論述如何系統(tǒng)的達(dá)到網(wǎng)絡(luò)安全的文章，大家可以從：WWW.ISO.CH獲得更多的ISO標(biāo)準(zhǔn)的消息。英國(guó)標(biāo)準(zhǔn)7799（BS 7799）BS 7799文檔的標(biāo)題是A Code of Practice For Information Security Management，論述了如何確保網(wǎng)絡(luò)系統(tǒng)安全。1999年的版本有兩個(gè)部分

15、，BS 7799-1論述了確保網(wǎng)絡(luò)安全所采取的步驟；BS 7799-2討論了在實(shí)施信息安全管理系統(tǒng)（ISMS）是應(yīng)采取的步驟。ISO 17799雖然BS 7799是英國(guó)標(biāo)準(zhǔn)，但由于它可以幫助網(wǎng)絡(luò)專家設(shè)計(jì)實(shí)施計(jì)劃并提交結(jié)果，所以很多非英國(guó)的安全人士也接受這一標(biāo)準(zhǔn)。ISO 17799 于2000年12月出版，它是適用于所有的組織，建議成為強(qiáng)制性的安全標(biāo)準(zhǔn)。它是基于 BS7799 之上的，BS7799 1995年2月首版，最后一次修訂和改進(jìn)是在1999年5月 ISO 17799概述ISO 17799 在安全問(wèn)題的范圍上是全面的。它包含大量實(shí)質(zhì)性的控制要求,有些是極其復(fù)雜的。 要符合ISO 17799

16、，或其他真正的任何詳細(xì)安全標(biāo)準(zhǔn)，都不是一項(xiàng)簡(jiǎn)單的事情。甚至對(duì)于最有安全意識(shí)的組織來(lái)說(shuō)，認(rèn)證就更令人頭痛了。 什么是什么是ISO 17799 ？ISO17799 是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)。包是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)。包括安全內(nèi)容的所有準(zhǔn)則，由十個(gè)獨(dú)立的括安全內(nèi)容的所有準(zhǔn)則，由十個(gè)獨(dú)立的部分組成，部分組成， 每一節(jié)都覆蓋了不同的主題每一節(jié)都覆蓋了不同的主題和區(qū)域。和區(qū)域。 1、商業(yè)持續(xù)規(guī)劃、商業(yè)持續(xù)規(guī)劃這節(jié)的主要內(nèi)容包括：這節(jié)的主要內(nèi)容包括：1）防止商業(yè)活動(dòng)的中斷；）防止商業(yè)活動(dòng)的中斷；2）防止關(guān)鍵商業(yè)過(guò)程免受重大失誤或?yàn)?zāi)）防止關(guān)鍵商業(yè)過(guò)程免受重大失誤或?yàn)?zāi)難的影響。難的影響。2、系統(tǒng)訪問(wèn)控制、系統(tǒng)訪問(wèn)控制

17、這節(jié)的主要內(nèi)容有：1）控制訪問(wèn)信息；2）阻止非法訪問(wèn)信息系統(tǒng) ；3）確保網(wǎng)絡(luò)服務(wù)得到保護(hù) ；4）阻止非法訪問(wèn)計(jì)算機(jī)；5）檢測(cè)非法行為；6）保證在使用移動(dòng)計(jì)算機(jī)和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)信息的安全3、系統(tǒng)開發(fā)和維護(hù)、系統(tǒng)開發(fā)和維護(hù)這節(jié)的主要內(nèi)容有：這節(jié)的主要內(nèi)容有：1 ) 確保信息安全保護(hù)深入到操作系統(tǒng)中；確保信息安全保護(hù)深入到操作系統(tǒng)中；2 ) 阻止應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)的丟失，阻止應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)的丟失，修改或誤用；修改或誤用；3 ) 確保信息的保密性，可靠性和完整性；確保信息的保密性，可靠性和完整性；4 ) 確保確保IT項(xiàng)目工程及其支持活動(dòng)是在安項(xiàng)目工程及其支持活動(dòng)是在安全的方式下進(jìn)行的；全的方式

18、下進(jìn)行的；5 ) 維護(hù)應(yīng)用程序軟件和數(shù)據(jù)的安全。維護(hù)應(yīng)用程序軟件和數(shù)據(jù)的安全。 4、物理和環(huán)境安全、物理和環(huán)境安全這部分的主要內(nèi)容有：阻止對(duì)業(yè)務(wù)機(jī)密和信息非法的訪問(wèn)，損壞干擾；阻止資產(chǎn)的丟失，損壞或遭受危險(xiǎn)，使業(yè)務(wù)活動(dòng)免受干擾；阻止信息和信息處理設(shè)備的免受損壞或盜竊。 5、符合性、符合性這部分的主要內(nèi)容有：這部分的主要內(nèi)容有： 避免違背刑法、民法、條例或契約責(zé)任、避免違背刑法、民法、條例或契約責(zé)任、以及各種安全要求；以及各種安全要求； 確保組織系統(tǒng)符合安全方針和標(biāo)準(zhǔn)；確保組織系統(tǒng)符合安全方針和標(biāo)準(zhǔn)； 使系統(tǒng)審查過(guò)程的績(jī)效最大化，并將干使系統(tǒng)審查過(guò)程的績(jī)效最大化，并將干擾因素降到最小。擾因素降到

19、最小。6、人員安全、人員安全這部分的主要內(nèi)容包括：這部分的主要內(nèi)容包括：減少錯(cuò)誤，偷竊，欺騙或資源誤用等人減少錯(cuò)誤，偷竊，欺騙或資源誤用等人為風(fēng)險(xiǎn)；為風(fēng)險(xiǎn)；確保使用者了解信息安全的威脅和，在確保使用者了解信息安全的威脅和，在他們的正常的工作中有相應(yīng)的訓(xùn)練，以他們的正常的工作中有相應(yīng)的訓(xùn)練，以便利于信息安全政策的貫徹和實(shí)施；便利于信息安全政策的貫徹和實(shí)施；通過(guò)從以前事件和故障中汲取教訓(xùn)，最通過(guò)從以前事件和故障中汲取教訓(xùn)，最大限度降低安全的損失。大限度降低安全的損失。7、安全組織、安全組織這節(jié)的主要內(nèi)容包括： 在公司內(nèi)部管理信息安全； 保持組織的信息采集設(shè)施和可被第三方利用的信息資產(chǎn)的安全性 ；

20、當(dāng)信息處理的責(zé)任需借助于外力是時(shí)，維持信息的安全。 8、計(jì)算機(jī)與網(wǎng)絡(luò)管理、計(jì)算機(jī)與網(wǎng)絡(luò)管理這節(jié)的目的是：這節(jié)的目的是：確保信息處理設(shè)備的正確和安全的操作；確保信息處理設(shè)備的正確和安全的操作；降低系統(tǒng)失效的風(fēng)險(xiǎn)到最??；降低系統(tǒng)失效的風(fēng)險(xiǎn)到最?。槐Ｗo(hù)軟件和信息的完整性；保護(hù)軟件和信息的完整性；維護(hù)信息處理和通訊的完整性和可用性；維護(hù)信息處理和通訊的完整性和可用性；確保網(wǎng)絡(luò)信息的安全措施和支持基礎(chǔ)結(jié)構(gòu)的保確保網(wǎng)絡(luò)信息的安全措施和支持基礎(chǔ)結(jié)構(gòu)的保護(hù)；護(hù)；防止資產(chǎn)被損壞和業(yè)務(wù)活動(dòng)被干擾中斷；防止資產(chǎn)被損壞和業(yè)務(wù)活動(dòng)被干擾中斷；防止組織間的交易信息遭受損壞，修改或誤用。防止組織間的交易信息遭受損壞，修改或

21、誤用。 9、資產(chǎn)分類和控制、資產(chǎn)分類和控制這節(jié)的主要闡述了：這節(jié)的主要闡述了：對(duì)于共同的資產(chǎn)給予適當(dāng)?shù)谋Ｗo(hù)并且確對(duì)于共同的資產(chǎn)給予適當(dāng)?shù)谋Ｗo(hù)并且確保那些信息資產(chǎn)得到適當(dāng)水平的保護(hù)。保那些信息資產(chǎn)得到適當(dāng)水平的保護(hù)。 10. 安全政策安全政策這節(jié)的目的是：這節(jié)的目的是：為信息安全提供管理方向和支持。為信息安全提供管理方向和支持。 在完善ISMS時(shí)，應(yīng)遵循以下步驟定義安全策略為你的信息安全管理系統(tǒng)（ISMS）定義范圍風(fēng)險(xiǎn)評(píng)估對(duì)已知的風(fēng)險(xiǎn)進(jìn)行排序和管理BS 7799和ISO 7498-2建議的步驟發(fā)布安全策略公布負(fù)責(zé)人名單培訓(xùn)公司人員的信息安全意識(shí)定義匯報(bào)事件的程序建立有效的反病毒保護(hù)措施確保實(shí)施的

22、策略與公司商業(yè)目標(biāo)的一致性BS 7799和ISO 7498-2建議的步驟制定規(guī)范以確保雇員不會(huì)為了完成任務(wù)而破壞軟件許可規(guī)則物理上確保對(duì)網(wǎng)絡(luò)操作記錄的安全建立系統(tǒng)來(lái)保護(hù)公司數(shù)據(jù)的安全實(shí)施能夠衡量規(guī)定的安全策略與實(shí)際遵守情況的等級(jí)的機(jī)制和過(guò)程ISO 15408（CC）CC提供了有助于你選擇和發(fā)展網(wǎng)絡(luò)安全解決方案的全球統(tǒng)一標(biāo)準(zhǔn)CC出現(xiàn)實(shí)際上是為了統(tǒng)一ITSEC和TCSEC，并取代“Orange Book”。ISO 15408由三個(gè)部分組成第一部分：定義了如何創(chuàng)建安全目標(biāo)和需求，還提供了一個(gè)術(shù)語(yǔ)的概述第二部分：定義了如何建立能夠使商業(yè)通信更安全的需求列表第三部分：提出了如何建立能夠達(dá)到公司安全需求的

23、“保險(xiǎn)內(nèi)容”的過(guò)程。ISO 15408的第三部分 第三部分的內(nèi)容描述很仔細(xì)和復(fù)雜，作為審計(jì)人員只需要理解這些條款的基本內(nèi)容即可。許多專家用它們來(lái)：作為廠商需要的特殊設(shè)置提供了審計(jì)人員和IT專家在商業(yè)和技術(shù)交流中常用的術(shù)語(yǔ)定義了為更新網(wǎng)絡(luò)或特殊產(chǎn)品而建立特殊過(guò)程的需求需要由軟件和硬件廠商聲明的證明能力與安全審計(jì)員有關(guān)的概念和術(shù)語(yǔ)術(shù)語(yǔ)描述Protection Profile（PP）需要的網(wǎng)絡(luò)服務(wù)和元素的項(xiàng)系列表，包括安全目標(biāo)Security Objectives列出如何提出特別的弱點(diǎn)的書面描述。這是一種總體的陳述。安全需求比目標(biāo)陳述更具體Security Target（ST）由生產(chǎn)廠商提供的描述安全工具的用處的一組聲明。與安全目標(biāo)和安全需求不同。安全需求是由廠商實(shí)施在軟硬件上的，而安全目標(biāo)只是由IT部門和網(wǎng)絡(luò)審計(jì)人員定義的目標(biāo)與安全審計(jì)員有關(guān)的概念和術(shù)語(yǔ)Target of Evaluation（TOE）你將要審計(jì)的某個(gè)操作系統(tǒng)，網(wǎng)絡(luò)，分布式的程序或軟件。使用安全目標(biāo)和安全對(duì)象，你可以確定