內(nèi)部審計安全認證和評估

平安認證和評估20.1風險管理20.2平安成熟度模型20.3威脅20.4平安評估方法20.5平安評估準那么20.6本章小結習題從經(jīng)營業(yè)務的觀點看，要求平安解決方案的性能價格比最好，即基于特定產(chǎn)業(yè)的最正確實際。在任何系統(tǒng)中的平安控制應預防經(jīng)營業(yè)務的風險。然而，決定哪些平安控制是適宜的以及性能價格比好的這一過程經(jīng)常是復雜的，有時甚至是主觀的。平安風險分析的最主要功能是將這個過程置于更為客觀的根底上。風險管理是識別、評估和減少風險的過程。一個組織有很多個體負責對給定應用接受給定風險。這些個體包括總經(jīng)理、CFO〔ChiefFinancialOfficer,首席財務執(zhí)行官〕、經(jīng)營業(yè)務部門的負責人，以及信息所有者。一個組織的總的風險依賴于下面一些屬性：資產(chǎn)的質量〔喪失資產(chǎn)的效應〕和數(shù)量〔錢〕的價值；基于攻擊的威脅可能性；假設威脅實現(xiàn)，對經(jīng)營業(yè)務的影響。20.1風險管理圖20.1風險評估方法20.2平安成熟度模型表20-1平安成熟度能力級別安全成熟度能力級別說明無效力（50%）總的安全體系結構沒有遵從企業(yè)安全策略、法規(guī)，以及最佳經(jīng)營實際。需要改進（65%）安全體系結構中無效力的應少于35%合適（85%）企業(yè)的安全計劃、布署、配置和過程控制使安全體系結構能滿足總的目標。極好（超過100%）安全體系結構超過了總的目標及需求。平安產(chǎn)品的適宜配置也是一個挑戰(zhàn)。有時產(chǎn)品的默認配置是拒絕所有訪問，只有清晰的允許規(guī)那么能通過通信。平安產(chǎn)品配置的最大挑戰(zhàn)是需要有熟練的專業(yè)人員來配置和管理。3.運行過程運行過程包括平安組件需要的必要支持和維護、變更管理、經(jīng)營業(yè)務的連續(xù)性、用戶平安意識培訓、平安管理，以及平安報警與監(jiān)控。平安根底設施組件的支持和維護類似于主機和應用效勞器所需的支持。允許的變更管理要有能退回到目前工作版本的設施，并且要和經(jīng)營業(yè)務連續(xù)性方案協(xié)調(diào)一致。在第2章中講到，風險是構成平安根底的根本觀念。風險是喪失需要保護的資產(chǎn)的可能性。測定風險的兩個組成局部是漏洞和威脅。漏洞是攻擊可能的途徑，威脅是一個可能破壞信息系統(tǒng)平安環(huán)境的動作或事件。威脅包含3個組成局部：〔1〕目標，可能受到攻擊的方面?！?〕代理，發(fā)出威脅的人或組織?！?〕事件，做出威脅的動作類型。作為威脅的代理，必須要有訪問目標的能力，有關于目標的信息類型和級別的知識，還要有對目標發(fā)出威脅的理由。20.3威脅本章從平安的驗證和評估出發(fā)，具體分析各種威脅源、威脅是如何得逞的以及針對這些威脅的對策。

弄清楚威脅的來源是減少威脅得逞可能性的關鍵，下面陳述各種主要的威脅源。1.人為過失和設計缺陷最大的威脅來源是操作中人為的疏忽行為。據(jù)一些統(tǒng)計，造成信息系統(tǒng)在經(jīng)費和生產(chǎn)力方面損失的一半是由于人為的過失，另一半那么是有意的、惡意的行為。這些人為過失包括不適當?shù)匕惭b和管理設備、軟件，不小心地刪除文件，升級錯誤的文件，將不正確的信息放入文件，無視口令更換或做硬盤后備等行為，從而引起信息的喪失、系統(tǒng)的中斷等事故。20.3.1威脅源采取對策以防止各種威脅情況，不僅需要了解威脅的來源，還應知道這些威脅是怎樣侵襲平安體系結構的。下面列舉各種情況。1.社會工程〔系統(tǒng)管理過程〕社會工程攻擊假冒授權的員工，采用偽裝的方法或電子通信的方法，具體情況如下：①攻擊者發(fā)出一封電子郵件，聲稱是系統(tǒng)的根，通知用戶改變口令以到達暴露用戶口令的目的。②攻擊者打給系統(tǒng)管理員，聲稱自己是企業(yè)經(jīng)理，喪失了modem池的號碼、忘記了口令。20.3.2威脅情況和對策2.電子竊聽Internet協(xié)議集在設計時并未考慮平安。TELNET、FTP、SMTP和其他基于TCP/IP的應用易于從被動的線接頭獲取。用戶鑒別信息〔如用戶名和口令〕易于從網(wǎng)絡中探測到，并偽裝成授權員工使用。假設外部人員對企業(yè)設施獲得物理訪問，那么可以將帶有無線modem的手提計算機接到局域網(wǎng)或集線器上，所有通過局域網(wǎng)或集線器的數(shù)據(jù)易于被任何威脅者取得。此外，假設外部人員能電子訪問帶有modem效勞器進程的工作站，就可以將其作為進入企業(yè)網(wǎng)絡的入口。任何在Internet傳輸?shù)臄?shù)據(jù)對泄露威脅都是漏洞。所有上述4種威脅都有可能使這些攻擊得逞。防止竊聽的保護措施包括鑒別和加密。使用雙因子鑒別提供強的鑒別，典型的做法是授權用戶持有一個編碼信息的物理標記再加上一個用戶個人標識號〔PIN〕或口令。保護傳輸中的口令和ID，可以采用加密的措施。鏈路加密〔SSL和IPv6〕保護直接物理連接或邏輯通信通路連接的兩個系統(tǒng)之間傳輸?shù)男畔ⅰ眉用堋财桨睺elnet和FTP、S/MIME〕提供報文保護，在源端加密，只在目的地解密。數(shù)字簽名可認證發(fā)送者的鑒別信息，如伴隨用哈希算法可保護報文的完整性。3.軟件缺陷當前兩個最大的軟件缺陷是緩沖器溢出和拒絕效勞攻擊。當寫入太多的數(shù)據(jù)時，就會發(fā)生緩沖器溢出，通常是一串字符寫入固定長度的緩沖器。對數(shù)據(jù)緩沖器的輸入沒有足夠的邊界檢查，使得輸入超過緩沖器的容量。一般情況下，系統(tǒng)崩潰是由于程序試圖訪問一個非法地址。然而，也有可能用一個數(shù)據(jù)串來代替生成可檢測的過失，從而造成攻擊者希望的特定系統(tǒng)的漏洞。CarnegieMellon軟件工程研究所的計算機應急響應組〔ComputerEmergenoyResponseTeam，CERT〕有196個有關緩沖器溢出的文檔報告，如Microsoft的終端效勞器OutlookExpress,Internet信息效勞器〔IIS〕，還有一些眾人熟知的有關網(wǎng)絡效勞的，如網(wǎng)絡定時協(xié)議〔NetworkTimeProtocol，NTP〕、Sendmail、BIND、SSHv1.37、Kerberos等。一個拒絕效勞攻擊使得目標系統(tǒng)響應變慢，以致完全不可用。有很多原因可導致這種結果：①編程錯誤以致使用100%的CPU時間。②由于內(nèi)存的漏洞使系統(tǒng)的內(nèi)存使用連續(xù)增加。③Web請求或遠程過程調(diào)用〔RPC〕中發(fā)生的畸形數(shù)據(jù)請求。④大的分組請求，如大量電子郵件地址請求和Internet控制報文協(xié)議〔InternetControlMessageProtocol，ICMP〕請求。⑤不停的網(wǎng)絡通信UDP和ICMP造成播送風暴和網(wǎng)絡淹沒。⑥偽造的路由信息或無響應的連接請求。⑦布線、電源、路由器、平臺或應用的錯誤配置。CERT有318個文本是關于對各種應用和平臺操作系統(tǒng)的拒絕效勞攻擊。在大多數(shù)情況下，由于攻擊者已經(jīng)損壞了執(zhí)行攻擊的機器，使得要揭發(fā)這些個體實施的攻擊很困難。4.信息轉移〔主機之間的信任關系〕信任轉移是把信任關系委托給可信的中介。一旦外部人員破壞了中介信任的機器，其他的主機或效勞器也易于破壞。這樣的攻擊例子如下：①誤用一個.rhosts文件使受損的機器不需口令就能攻擊任何在.rhosts文件中的機器。②假設外面的用戶偽裝成一個網(wǎng)絡操作系統(tǒng)用戶或效勞器，那么所有信任該特定用戶或效勞器的其他效勞器也易于受破壞。③一個通過網(wǎng)絡文件系統(tǒng)〔NetworkFileSystem,NFS〕由各工作站共享文件的網(wǎng)絡，假設其中一個客戶工作站受損，一個攻擊者能在文件系統(tǒng)效勞器上生成可執(zhí)行的特權，那么攻擊者能如同正常用戶一樣登錄效勞器并執(zhí)行特權命令。數(shù)據(jù)驅動攻擊的例子如下：①一個攻擊者發(fā)送一個帶有文件操作的postscript文件，將攻擊者的主機標識加到.rhosts文件；或者翻開一個帶有Word根本命令的MSWord文本，能夠訪問Windows動態(tài)鏈接庫(DynamicLinkLibrary，DLL)內(nèi)的任何功能，包括Winsock.dll。②一個攻擊者發(fā)送一個postscript文件，該文件常駐在基于postscript的效勞器中，就能將每一個發(fā)送和接收的拷貝發(fā)送給攻擊者。③一個用戶從網(wǎng)上下載shellscript或惡意軟件，將受害者的口令文件郵寄給攻擊者，并刪除所有受害者的文件。④利用HTTP瀏覽器包裝諸如特洛伊木馬等惡意軟件。7.DNS欺騙域名系統(tǒng)〔DNS〕是一個分布式數(shù)據(jù)庫，用于TCP/IP應用中，映射主機名和IP地址，以及提供電子郵件路由信息。如果Internet地址值到域名的映射綁定過程被破壞，域名就不再是可信的。這些易破壞的點是訛用的發(fā)送者、訛用的接收者、訛用的中介，以及效勞提供者的攻擊。例如，假設一個攻擊者擁有自己的DNS效勞器，或者破壞一個DNS效勞器，并加一個含有受害者.rhosts文件的主機關系，攻擊者就很容易登錄和訪問受害者的主機。針對內(nèi)部威脅的防護應運用一些根本的平安概念：責任分開、最小特權、對個體的可審性。責任分開是將關鍵功能分成假設干步，由不同的個體承擔，如財務處理的批準、審計、分接頭布線的批準等。最小特權原那么是限制用戶訪問的資源，只限于工作必需的資源。這些資源的訪問模式可以包括文件訪問〔讀、寫、執(zhí)行、刪除〕或處理能力〔系統(tǒng)上生成或刪除處理進程的能力〕。個體的可審性是保持各個體對其行為負責?？蓪徯酝ǔＪ怯上到y(tǒng)的用戶標識和鑒別以及跟蹤用戶在系統(tǒng)中的行為來完成。20.4平安評估方法

20.4.1平安評估過程評估的第2步是人工檢查階段，將文本描述的體系結構與實際的結構進行比較，找出其差異?？梢圆捎檬止さ姆椒?，也可采用自動的方法。使用網(wǎng)絡和平臺發(fā)現(xiàn)工具，在網(wǎng)絡內(nèi)部執(zhí)行，可表示出所有的網(wǎng)絡通路以及主機操作系統(tǒng)類型和版本號。NetSleuth工具是一個IP可達性分析器，能提供到網(wǎng)絡端口級的情況。QUESO和NMAP這些工具具有對主機全部端口掃描的能力，并能識別設備的類型和軟件版本。評估的第3步是漏洞測試階段。這是一個系統(tǒng)的檢查，以決定平安方法的適用、標識平安的差異、評價現(xiàn)有的和方案的保護措施的有效性。漏洞測試階段又可分成3步。漏洞測試的第2步是平臺掃描，又稱系統(tǒng)掃描。平臺掃描驗證系統(tǒng)配置是否遵守給定的平安策略。此外，它還檢測任何平安漏洞和配置錯誤〔例如不平安的文件保護——注冊和配置目錄〕以及可利用的網(wǎng)絡效勞〔例如HTTP、FTP、DNS、SMTP等〕。一旦平臺的平安加固已經(jīng)構建，系統(tǒng)掃描將構成根底，它定時地檢測任何重要的變化〔例如主頁更換、Web站點受損〕。漏洞測試的第3步是應用掃描。應用掃描工具不像網(wǎng)絡或平臺工具那樣是自動的，因此，它是一個手動的處理過程。其理念是模仿攻擊者成為授權用戶是如何誤用這應用。圖20.2平安評估階段20.4.2網(wǎng)絡平安評估平臺平安評估的目的是認證平臺的配置〔操作系統(tǒng)對漏洞不易受損、文件保護及配置文件有適當?shù)谋Ｗo〕。認證的惟一方法是在平臺自身上執(zhí)行一個程序。有時該程序稱為代理，因為集中的管理程序由此開始。假設平臺已經(jīng)適當加固，那么有一個基準配置。評估的第1局部是認證基準配置、操作系統(tǒng)、網(wǎng)絡效勞〔FTP、rlogin、telnet、SSH等〕沒有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并轉發(fā)給Internet上的攻擊者。假設任何文件需打補丁或需要使用效勞包，代理將通知管理員。20.4.3平臺平安估計第2局部測試是認證管理員的口令，大局部機器不允許應用用戶登錄到平臺，對應用的用戶鑒別是在平臺上運行的，而不是平臺本身。此外，還有測試本地口令的強度，如口令長度、口令組成、字典攻擊等。最后跟蹤審計子系統(tǒng)，在黑客作案前就能跟蹤其行跡。數(shù)據(jù)庫的平安評估也是必須的，這局部內(nèi)容不在本書表達范圍內(nèi)。應用平安評估比使用像網(wǎng)絡和平臺掃描這些自開工具而言，需要更多的技藝。黑客的目標是得到系統(tǒng)對應用平臺的訪問，強迫應用執(zhí)行某些非授權用戶的行為。很多基于Web應用的開發(fā)者使用公共網(wǎng)關接口(CommonGatewayInterface,CGI)來分析表格，黑客能利用很多漏洞來訪問使用CGI開發(fā)的Web效勞器平臺〔例如放入“&〞這些額外的字符〕。20.4.4應用平安評估低質量編寫的應用程序的最大風險是允許訪問執(zhí)行應用程序的平臺。當一個應用損壞時，平安體系結構必須將黑客包含進平臺。一旦一臺在公共層的機器受損，就可用它來攻擊其他的機器。最通用的方法是在受損的機器上安裝一臺口令探測器。20.5平安評估準那么TCSEC共分為4類7級：D、C1、C2、B1、B2、B3、A1。1.D級平安性能達不到C1級的劃分為D級。D級并非沒有平安保護功能，只是太弱。2.C1級，自主平安保護級可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制〔如訪問控制表〕允許命名用戶和用戶組的身份規(guī)定并控制客體的共享，并阻止非授權用戶讀取敏感信息。20.5.1可信計算機系統(tǒng)評估準那么可信計算基〔TrustedComputingBase,TCB〕是指為實現(xiàn)計算機處理系統(tǒng)平安保護策略的各種平安保護機制的集合。3.C2級，受控存取保護級與自主平安保護級相比，本級的可信計算基實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計平安性相關事件以及隔離資源，使用戶能對自己的行為負責。4.C2級，標記平安保護級本級的可信計算基具有受控存取保護級的所有功能。此外，還可提供有關平安策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述，具有準確地標記輸出信息的能力，可消除通過測試發(fā)現(xiàn)的任何錯誤。5.B2級，結構化保護級本級的可信計算基建立于一個明確定義的形式平安策略模型之上，它要求將B1級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審。加強了鑒別機制，支持系統(tǒng)管理員和操作員的職能，提供可信設施管理，增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。6.B3級，平安域級本級的可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器是指監(jiān)控主體和客體之間授權訪問關系的部件。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的，必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，可信計算基在其構造時排除實施對平安策略來說并非必要的代碼。在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度。支持平安管理員職能；擴充審計機制，當發(fā)生與平安相關的事件時發(fā)出信號；提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。7.A1級，驗證設計級本級的平安功能與B3級相同，但最明顯的不同是本級必須對相同的設計運用數(shù)學形式化證明方法加以驗證，以證明平安功能的正確性。本級還規(guī)定了將平安計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。20.5.2計算機信息系統(tǒng)平安保護等級劃分準那么?準那么?在系統(tǒng)地、科學地分析計算機處理系統(tǒng)的平安問題的根底上，結合我國信息系統(tǒng)建設的實際情況，將計算機信息系統(tǒng)的平安等級劃分為如下5級：第一級,用戶自主保護級；第二級，系統(tǒng)審計保護級；第三級，平安標記保護級；第四級，結構化保護級；第五級，訪問驗證保護級。各級的命名，主要考慮了使各級的名稱能夠表達這一級別平安功能的主要特性。計算機信息系統(tǒng)平安保護能力隨著平安保護等級的增高，逐漸增強。5個級別的平安保護能力之間的關系如圖20.3所示。圖20.3各等級平安保護能力示意圖在?準那么?規(guī)定的5個級別中，其平安保護能力主要取決于可信計算基的特性，即各級之間的差異主要表達在可信計算基的構造及它所具有的平安保護能力上。1.概述通用平安評估準那么(CC)是一個國際標準。該標準描述了這么一個規(guī)那么：“……可作為評估IT產(chǎn)品與系統(tǒng)的根底……，這個標準允許在相互獨立的不同平安評估結果之間進行比較……，提供一套公共的用于IT產(chǎn)品與系統(tǒng)的平安功能集，以及適應該功能集的平安保障的測度。評估過程確定了IT產(chǎn)品與系統(tǒng)關于平安功能及保障的可信水平〞。CC由3個局部組成：平安功能、平安保障與評估方法。信息系統(tǒng)平安工程〔ISSE〕可以利用CC作為工具支持其行為，包括為信息保護系統(tǒng)制定系統(tǒng)級的描述和支持批準過程。20.5.3通用平安評估準那么圖20.4CC中的平安概念與相互關系圖20.4顯示CC是如何應用的，用CC的語法建立信息平安的過程是符合ISSE過程的。開掘信息保護需求的行為提供了各種信息，如所有者怎樣評估資產(chǎn)、威脅代理是什么、什么是威脅、什么是對策〔要求與功能〕和什么是風險〔局部地〕。定義信息保護系統(tǒng)的行為提供了用于描述如下事務的信息：什么是對策〔命名組件〕、什么是脆弱性〔基于體系結構〕、什么是風險〔更全面〕。設計信息保護系統(tǒng)的行為提供了如下信息：什么是對策〔驗證了的信息保護產(chǎn)品功能〕、什么是脆弱性〔基于設計的、組合并驗證了的測試結果〕和什么是風險〔更加全面〕。實現(xiàn)信息保護系統(tǒng)的行為最后提供了如下信息：什么是對策〔安裝了的、有效的信息系統(tǒng)保護功能〕、什么是脆弱性〔基于有效性與漏洞測試實現(xiàn)結果〕、什么是風險〔更加全面〕。CC并不描述個體和操作的平安，也不描述評估的有效性或其他使系統(tǒng)更有效的管理經(jīng)驗。CC提供了一種標準的語言與語法，用戶和開發(fā)者可以用它來聲明系統(tǒng)的通用功能〔保護輪廓或PP〕或被評估的特定性能〔平安目標或ST〕。PP和ST也可以是在負責管理系統(tǒng)開發(fā)的團體、系統(tǒng)的核心成員及負責生產(chǎn)該系統(tǒng)的組織之間互相溝通的一種手段。在這種環(huán)境中，應該建議ST對PP做出響應。PP與ST的內(nèi)容可以在參與者之間協(xié)商?；赑P與ST的對實際系統(tǒng)的評估是驗收過程的一局部。總的來說，非IT的平安需求也將被協(xié)商和評估。通常平安問題的解決并不是獨立于系統(tǒng)的其他需求的。ST與PP的關系如圖20.5所示。圖20.5保護輪廓與平安目標的關系CC的觀點是，在對即將要信任的IT產(chǎn)品和系統(tǒng)進行評估的根底之上提供一種保障。評估是一種傳統(tǒng)的提供保障的方式，同時也是先期評估準那么文檔的根底。為了與現(xiàn)有方式一致，CC也采納了同樣的觀點。CC建議專業(yè)評估員加大評估的廣度、深度與強度，來檢測文檔的有效性和IT產(chǎn)品或系統(tǒng)的結果。CC并不排除也不評估其他獲取保障的方法的優(yōu)點。針對其他可替代的獲取保障的方法正在研究。這些研究行為所產(chǎn)生的可替代的方法可能會被考慮參加到CC之中，而CC的結構允許它今后引入其他方法。CC的觀點宣稱，用于評估的努力越多，平安保障效果越好；CC的目標是用最小的努力來到達必須的保障水平。努力程度的增加基于如下因素：范圍，必須加強努力，因為大局部的IT產(chǎn)品與系統(tǒng)包含在內(nèi)。深度，努力必須加深，因為評估證據(jù)的搜集依賴于更好的設計水平與實現(xiàn)細節(jié)。強度，努力必須加大，因為評估證據(jù)的搜集需要結構化和正式的方式。評估過程為PP與ST所需的保障提供了證據(jù)，如圖20.6所示。評估的結果就是對信息保護系統(tǒng)的某種程度上確實信。其他ISSE過程，如風險管理，提供了將這種確信轉化成管理決策準那么的方法。圖20.6評估的概念與相互關系圖20.7說明了系統(tǒng)〔或子系統(tǒng)〕可以參照PP或ST得到評估，輔以外部認證與批準準那么，從而創(chuàng)立評估產(chǎn)品集，以對系統(tǒng)的批準過程提供支持。圖20.7使用評估結果2.平安功能要求與平安保證要求〔1〕平安功能要求平安功能要求分為以下10類：平安審計類；通信類〔主要是身份真實性和抗否認〕；密碼支持類；用戶數(shù)據(jù)保護類；標識和鑒別類；平安管理類〔與TSF有關的管理〕；隱秘類〔保護用戶隱私〕；TSF保護類〔TOE自身平安保護〕；資源利用類〔從資源管理角度確保TSF平安〕；TOE訪問類〔從對TOE的訪問控制確保平安性〕；可信路徑/信道類。這些平安類又分為族，族中又分為組件。組件是對具體平安要求的描述。從表達上看，每一個族中的具體平安要求也是有差異的，但CC沒有以這些差異作為劃分平安等級的依據(jù)?！?〕平安保證要求在對平安保護框架和平安目標的評估進行說明以后，將具體的平安保證要求分為以下8類：配置管理類