1、CISP培训串讲,中国信息安全测评中心,目录,一、课程知识要点 二、考场情况和注意事项,一、知识要点,1、信息安全测评服务介绍,中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构 作为国家专控队伍,履行国家信息安全漏洞分析和风险评估职能 对信息技术产品、信息系统和工程的安全性进行测试与评估。 对信息安全服务和人员的资质进行审核与评价。,2、信息安全培训和CISP知识体系介绍,构建中国信息安全人才体系的重要性和开展CISP培训认证的意义 信息安全人才需求的背景 我国信息安全人才体系建设的现状 信息安全从业人员素质方面突出的问题CISP的知识体系结构和知识要点,知识结构组织,知识类 (
2、PT),知识类 (PT),知识体 (BD),知识体 (BD),知识子域 (SA),知识子域 (SA),知识子域 (SA),CISP(CISP/CISE/CISO) 知识体系结构,注册信息安全专业人员(CISP)职业准则,在CNITSEC注册的注册信息安全专业人员(CISP)必须保证严格履行职责并承诺完全遵守以下道德准则: 1. 注册信息安全专业人员(CISP)必须诚实,公正,负责,守法; 2. 注册信息安全专业人员(CISP)必须勤奋和胜任工作,提高专业能力和水平; 3. 注册信息安全专业人员(CISP)必须保护信息系统、应用程序和系统的价值。 4. 注册信息安全专业人员(CISP)必须接受中
3、国信息安全测评中心(CNITSEC)的监督,在任何情况下,不损坏中国信息安全测评中心(CNITSEC)或注册过程的声誉,对中国信息安全测评中心(CNITSEC)针对注册信息安全专业人员(CISP)而进行的调查应给予充分的合作; 5. 注册信息安全专业人员(CISP)必须按规定向中国信息安全测评中心(CNITSEC)交纳费用。,3、信息安全保障体系,信息安全保障历史和背景 信息系统安全保障评估框架 信息系统安全保障建设和评估实践,信息安全发展简史,IA,COMPUSEC,COMSEC,通信保密: 1949年Shannon发表的保密通信的信息理论,计算机安全:美国八十年代初发布的橘皮书可信计算机评
4、估准则(TCSEC),信息技术安全,信息安全保障,信息系统是: 与信息加工、信息传递、信息存贮以及信息利用等有关的系统 信息是依赖于信息系统及系统环境存在的 信息系统促进了业务的发展 信息系统面临各种各样的安全风险,信息和信息系统,理解信息安全保障的含义,信息系统安全保障是在信息系统的整个生命周期中(安全的动态性) 通过对信息系统的风险分析,制定并执行相应的安全保障策略(风险和策略是核心) 从技术、管理、工程和人员等方面提出安全保障要求(4个安全保障要素) 确保信息系统的保密性、完整性和可用性(三个安全特征) 降低安全风险到可接受的程度(适度安全) 从而保障系统实现组织机构的使命(最终目标),
5、信息系统安全保障框架,深入理解“三性”,并能举出实例,GB/T20274信息安全保障评估框架,由哪四部分组成 从哪三个方面评估信息系统的安全性 信息系统安全级别是从什么角度进行划分的,4、信息安全模型,安全模型的定义和作用 以下安全模型的原理、用途和特点 信息流模型 多级安全模型 Bell-Lapadula模型 Clark-Wilson模型 Biba模型 多边安全模型 Chinese wall模型 BMA模型,可信计算基、安全核和参考监视器,参考监视器是对所有访问的主体和客体进行合法性监视的抽象概念。安全核是可信计算基中用来实现参考监视器概念的软件硬件和固件。可信计算基是计算机系统中实现安全策
6、略的所有保护措施的总和,它包括安全核以及其他安全保护措施。 对安全核有以下三点基本要求: 使实现参考监视器的进程同其它进程隔离 所有访问活动都必须调用安全核,而不能绕过它 一定要足够小,以便于对其进行全面充分的测试和,经典模型,模型,访问控制模型,信息流模型,强制访问控制模型 (MAC),自主访问控制模型 (DAC),访问矩阵模型,访问控制列表 (ACL),权能列表 (Capacity List),实现,多级环境,多边环境,静态,动态,Bell-Lapudula 模型,Biba 模型,Clark-Wilson 模型,Chinese Wall 模型,BMA 模型,保密性,完整性,基于角色访问控制
7、模型 (RBAC),P2DR安全攻防模型,P2DR模型是一个从安全攻防角度来考虑的动态的安全模型 该模型提出的一项安全目标是 安全防护时间安全检测时间+安全响应时间” 如果安全防护时间为0 暴露时间=安全检测时间+安全响应时间,要点,理解可信计算基、安全核和参考监视器的概念 自主访问控制、强制访问控制和基于角色的访问控制的原理和优缺点 掌握Biba模型、BellLapadula模型和Chinese Wall 的原理,理解什么叫多级模型,什么叫多边模型 理解P2DR 模型的基本原理 理解信息流模型的优势,5、密码技术概述,明确密码学基本概念及其重要性; 了解密码学发展的历史; 掌握对称密码和非对
8、称密码体制; 哈希函数的原理和作用; 掌握数字签名的基本原理。,密码学发展,古典密码学( 1949年之前) 1949年之前,密码学是一门艺术 主要特点:数据的安全基于算法的保密 近代密码学(19491975年) 19491975年,密码学成为科学 主要特点:数据的安全基于密钥而不是算法的保密 现代密码学( 1976年以后) 密码学的新方向公钥密码学 主要特点:公钥密码使得发送端和接收端无密钥传输的保密通信成为可能,密码学的基础知识,密码强度的决定因素和算法安全性的等级 全部破译:破译者必须知道全部密钥 全盘推导:破译者找到一个代替算法,在不知道密钥的情况下推导出明文 实例推导:破译者可以从截获
9、的密文中推导出明文 信息推导:破译者没有得到真正的明文和密钥,而是根据有关密钥或明文的信息而推导出明文,如密钥的几个为或明文的格式等信息 分组密码和流密码的概念 密码分析的概念,对称加密算法,非对称加密(公钥)算法,MAC消息鉴别码 Message Authentication Code,数字签名Digital Signature,密码算法功能比较,要点,密码学发展的历史,古典-近代-现代都有哪些进步? 了解典型的对称密钥算法、非对称密钥算法和哈希函数算法 了解数字签名的作用和工作原理,6、密码技术应用-VPN,VPN基本概念 VPN的类型 掌握VPN有关协议的基本工作原理,重点是IPSec和
10、SSL协议族,VPN系统概述,VPN主要采用4类技术来保证安全 隧道技术 密码技术 密钥管理技术 鉴别技术,VPN的分类,从不同角度来看,VPN有不同的分类方式: VPN的分类,作为组网技术 VPN的分类,根据系统体系结构 VPN的分类,根据VPN隧道协议所处的协议层次,IPsec概述,IETF为IP网络层制定的安全标准 强制包含在IPv6中,IPv4中可选 IPSec目的 IPsec用于为IPv4和IPv6提供互操作的、高质量的、基于密码技术的安全 所提供的安全服务包括 访问控制、无连接完整性、数据源鉴别、重放保护(一种部分序列完整性的形式)、保密性(加密)和有限的流量流保密性 安全服务提供
11、于IP层,为IP层和/或上层协议提供保护,IPsec,IPsec包含三个主要协议: 鉴别头(AH) 是一个提供数据源发鉴别、数据完整性和重放保护的协议。 封装安全载荷(ESP) 是一种提供同AH相同的服务,但同时也通过使用密码技术提供数据隐私的协议。 互联网密钥交换(IKE) 一种提供所有重要的密钥管理功能的协议。IKE的替代是IPsec也支持的手工密钥。 IPsec运行于两种模式 传输模式:一种为IP数据包的上层协议提供安全的方法。 隧道模式:一种为整个IP包提供安全的方法。,IPSec协议体系,SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.50
12、9数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性。 功能:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。 用途:SSL通过在浏览器软件和web服务器之间建立一条安全通道,实现信息在Internet中传送的保密性。,4.3 SSL协议,SSL协议(续),在TCP/IP协议族中,SSL位于TCP层之上、应用层之下。可以独立于应用层,从而使应用层协议可以直接建立在SSL之上。包含:SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。,要点,理解VPN的作用、工作原理 理解IPSec的作用,组成IPSec的协议,IPSec的
13、两种运行模式 理解SSL协议的作用和工作原理,7、密码技术应用-PKI/CA,PKI/CA的基本概念 PKI/CA的体系结构和工作流程 X.509的有关标准协议,PKI是什么?,PKI:Public Key Infrastructure PKI公钥基础设施是以公开密钥技术为基础,以数据保密性、完整性和抗抵赖性为安全目的的而构建的认证、授权、加密等硬件、软件的综合设施。 PKI提供的安全服务主要包括: 身份认证 支持密钥管理 完整性和抗抵赖性,PKI的作用,PKI/CA的体系结构和工作流程,PKI体系结构信任服务体系,证书管理层 根CA和子CA:数字证书认证中心证书服务层 RA中心:数字证书审核
14、注册中心 CA业务受理核发点证书应用层,PKI密钥管理,密钥管理体系包括以下要素 密钥的生成 密钥的备份和恢复 密钥的更新 密钥历史档案,PKI证书管理和服务,PKI数字证书采用标准的X.509 必要内容 (1) 标识证书颁发机构 (2)证书持有者的名字 (3)证书持有者的公钥(标识) (4) 证书有效期 (5) 证书颁发机构的签名发出方名字证书操作标准:轻量目录访问协议LDAP证书服务主要包括证书申请、证书签发、证书更新和证书注销(CRL,证书吊销列表)等。,8、网络与通信安全基础,OSI模型和OSI开放系统互联安全体系架构 电信网络基础 计算机网络基础,数据封装,物理传输介质,物理层,链路
15、层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,传输层,会话层,表示层,应用层,主机 A,主机 A,2,1,3,4,5,6,7,2,1,3,4,5,6,7,Frame Header,0101101010110001,Network Header,Frame Trailer,Network Header,封装的顺序从应用层开始到物理层结束,TCP/IP 协议栈,物理层,链路层,网络层,传输层,会话层,表示层,应用层,2,1,3,4,5,6,7,网络接口层,IP,应用,TCP,UDP,OSI开放系统互联安全体系架构,OSI参考模型,安全服务,安全机制,特定安全机制,普遍性安全机
16、制,加密,数字签字,访问控制,数据完整性,数据交换,访问控制,业务流量填充,路由机制,公证,可信功能度,安全标记,事件检测,安全审计跟踪,安全恢复,应用层,表示层,会话层,传输层,网络层,链路层,物理层,鉴别服务,访问控制,数据完整性,数据保密性,抗抵赖,电信网络基础,电信网络的定义和用途 电信网络的构成要素 电信网络的分类方法 常见的电信网络:PSTN、DDN 、ADSL、ISDN、X.25、ATM、FR等等的作用的原理,计算机网络基础,计算机网络分类:局域网、广域网、内联网 TCP/IP协议 网络传输介质(同轴电缆、双绞线、光纤) 无线网络安全的基本注意事项: 利用主机防火墙 使用WPA而
17、不是WEP进行加密 不使用共享密钥而用开放式密钥进行身份验证 不使用时关闭无线网卡,要点,深入理解OSI开放系统互联安全体系架构 安全机制和安全服务的关系是什么? 每一种安全服务的含义是什么? OSI的各个层次可以提供哪些安全服务? 需要了解TCP/IP的基本知识,对TCP/IP协议族中的常用协议有所了解,如IP协议、TCP协议、UDP协议的工作原理,以及 ARP协议、 ICMP协议、SNMP 协议的作用,9、网络安全应用,常见网络安全设备的用途、分类、工作原理和应用技巧: 防火墙 入侵检测系统,防火墙平台分类,防火墙平台的分类 网络协议划分: 包过滤防火墙 代理防火墙 混合防火墙 其他划分方
18、式 网络/主机防火墙 硬件/软件防火墙,包过滤路由器 Packet-filtering Router,包过滤防火墙包过滤防火墙是最基本的防火墙,它运行于OSI和TCP/IP模型的网络层。这些防火墙基于防火墙所定义的规则过滤包。 包过滤器规则 静态防火墙和状态防火墙,状态包过滤防火墙示意图,用户,防火墙,Web服务,黑客,192.168.1.100,192.168.1.1,211.1.1.2,211.1.5.11,连接至211.1.1.2 80返回至192.168.1.100 1220,1,连接至211.1.1.2 80返回至192.168.1.100 1220,打开191.168.1.100:
19、1220,打开192.168.1.100:1220,连接至192.168.1.100:1220返回至211.1.5.11,增加规则: 192.168.1.100上的端口1220打开至211.1.1.2:80,2,3,4,验证: 192.168.1.100上的端口1220是否打开至211.1.1.2?,5,6,验证: 192.168.1.100上的端口1220是否打开至211.1.5.11?,2a,1a,包过滤路由器 Packet-filtering Router,优点 简单 用户透明 高速缺点 设置包过滤规则比较困难 缺少认证,包过滤防火墙可能的攻击和相应措施 IP地址伪装 源路由攻击 碎片攻
20、击,代理防火墙-应用级网关 Application-level Gateway,内部主机,内部连接,外部连接,外部主机,TELNET,FTP,SMTP,HTTP,应用级网关,应用级网关 Application-level Gateway,优点 比包过滤器更高的安全性 只需要仔细审查特定允许的应用 容易日志和审计所有的进入流量,缺点 速度比较慢 对用户不透明 为一种应用协议设置不同的代理服务器,混合防火墙,混合防火墙 现代防火墙的发展已经模糊了防火墙平台的分类。现代防火墙都具备了部分或全部前面所述防火墙平台类型的特征。 防护墙系统平台的选择应更关注防火墙所提供的各种功能。 防火墙的增强高级功能,
21、防火墙增强功能,身份验证和授权 网络地址转换(NAT) 动态主机配置协议(DHCP) VPN加密功能 应用内容过滤 VLAN的支持功能 网络监控和审计 IP和MAC地址绑定 。 。,入侵检测系统定义,入侵 绕过系统安全机制的非授权行为。 NSTISSI No.4009 National Information System Security (INFOSEC) Glossary, September 2000,入侵 危害计算机或网络机密性、完整性和可用性或绕过计算机或者网络安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、试图获得额外更高非法权限的系统授权用户等引起的。 入侵检测 是一种对
22、计算机系统或网络事件进行监测并分析这些事件入侵 特征的过程, 入侵检测系统(IDS) 就是自动进行这种监测和分析过程的软件或硬件产品。 NIST SP 800-31 Intrusion Detection System,November 2001,入侵检测系统(IDS) 通用IDS模型,数据源,传感器,管理员,操作员,安全策略,传感器,分析器,管理器,活动,事件,事件,告警,响应,通告,IETF IDWG(Intrusion Detection Working Group) Draft:Intrusion Detection Message Exchange Requirements ,入侵检
23、测系统概述(1)功能,入侵检测是网络防火墙的逻辑补充,扩展了系统管理员的安全管理能力,提供了安全审计、监控、攻击识别和响应入侵检测系统主要执行功能: 监控和分析用户和系统活动 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 统计分析异常活动模式 操作系统审计跟踪管理,识别违反策略的用户活动 。,入侵检测系统概述(2)好处,入侵检测和脆弱性评估产品的好处 改进信息安全基础设施其他部分的完整性 改进系统监控能力 从当前或影响的角度跟踪用户活动 识别和报告对数据文件的改动 发现系统配置的错误并且有时纠正这些错误 识别特定类型的攻击并向相关人员告警以进行防御性响应 保
24、持系统管理人员同程序的最新问题同步 允许非专家人员为系统安全做贡献 提供建立信息安全策略的指导方针 。,入侵检测系统概述(3)真实的谎言,入侵检测系统真实的谎言 弥补弱标识和鉴别机制 在没有人员干预的情况下进行攻击调查 直接产生组织机构安全策略的内容 弥补网络协议的弱点 弥补系统提供信息的完整性质量 分析繁忙网络的所有流量 处理攻击的所有问题 。,入侵检测系统分类,IDS 入侵检测系统,采集和分析频率,响应方式,分析方式,信息源,主机入侵检测系统 HIDS,网络入侵检测系统 NIDS,应用入侵检测系统,误用检测 Misuse Detection,异常检测 Anomaly Detection,主
25、动响应,被动响应,持续,定期,特殊,IDS系统部署 NIDS传感器的部署位置,Internet,DMZ区,外部,内部,路由器,防火墙,核心交换机,Web 服务器,电子邮件服务器,FTP 服务器,DMZ公共服务,网管服务,内部服务,办公区,办公自动化,数据库,办公用户,办公用户,办公用户,1,2,3,4,要点,防火墙的分类,各类防火墙的优点和缺点是什么? 典型的防火墙部署方案(网络安全域和非军事区DMZ) 现实中防火墙除了访问控制还有哪些增强功能,如NAT IDS的分类,各类IDS的优点和缺点是什么? IDS的主要性能指标有哪些?是什么含义?(攻击监测的漏报率和误报率、大流量下的检测能力、碎片重
26、组的能力) IDS的特征监测机制和异常监测机制的含义是什么? 典型的NIDS部署方案,10、UNIX操作系统安全,UNIX发展历史和体系架构 UNIX常见应用服务及其安全 Unix系统安全配置及最佳安全实践,文件系统,/ 根文件系统,用于存储系统内核,启动管理和其他文件系统的装载点。 /opt目录包含的三方应用软件。 /export目录一般包含用于NFS共享的目录。 /export/home目录包含用户的个人主目录。 /var 存储经常发生变化的文件,如邮件,日志等。 /usr 第二个文件系统。基本上是和系统核心无关但又属于操作系统的一部分的一个目录,大多数的应用程序 交换分区(Swap Sp
27、ace)/bin 系统启动时需要的一些通用可执行程序。/cdrom 光盘驱动器的装载点。,文件系统,/modules 内核可装载模块。 /root root用户的工作目录。 /proc 进程文件系统,存储指向当前活动进程的虚拟内存的伪文件 /sbin 系统可执行文件。 /dev 设备入口点。在UNIX系统上,每个设备都作为一个文件来看待,这里放着所有系统能够用到的各个设备 /etc 各种配置文件。非常重要的一个目录,所有的配置文件(你可以看成是windows的注册表)包括用户密码文档等存放在这里 /mnt 软盘等其他文件系统的装载点,文件的权限,#ls al testdrwxr-xr-x 3
28、root root 1024 Sep 13 11:58 test在unix中用模式位表示文件的类型及权限通常由一列10个字符来表示,每个字符表示一个模式设置 第1位:表示文件类型。 d表示目录,-表示普通文件,l表示链接文件等等 每个文件和目录有三组权限,一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。 第2-10位:表示文件权限 “r“表示可读,“w“表示可写,“x“表示可执行。一共9位(每组3位),合起来称为模式位(mode bits),UNIX系统帐号安全,ROOT用户的重要性 /etc/shadow文件的重要性,系统及网络服务,一些重要的文件: /etc/inetd.c
29、onf/etc/inetd.conf决定inetd启动网络服务时,启动哪些服务,用什么命令启动这些服务,以及这些服务的相关信息 /etc/service/etc/services文件记录一些常用的接口及其所提供的服务的对应关系。 /etc/protocols/etc/protocols文件记录协议名及其端口的关系。 /etc/Rc*.d/etc/inittab定义了系统缺省运行级别,系统进入新运行级别需要做什么 /etc/init.d/etc/init.d目录包含了系统的一些启动脚本可以通过正确的设置这些文件,关闭不需要的服务以加固系统安全,11、Windows操作系统安全,Windows发展
30、历史和体系构架 Windows常见应用服务及其安全 Windows安全配置及最佳安全实践,WindowsNT系统构架,服务管理器,服务进程,系统支持进程,本地安全验证服务,Windows登录,会话管理器,应用程序,环境子系统,Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任务管理器,Windows浏览器,用户级应用程序,子系统动态链接库,OS/2,POSIX,Win32,系统服务调度进程,核心可调用接口,I/O设备 管理器 设备、文件 驱动程序,对象 管理器,虚拟内存 管理器,进程和 线程管 理器,注册表 配置 管理器,NTdll,dll,Win32
31、 User GDI 图形驱动,HAL(硬件抽象层),Micro kernel,安全引用 监视器,身 份 认证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,Win2000安装配置,建立和选择分区 选择安装目录 不安装多余的组件 停止多余的服务 安装系统补丁,多余的组件,Internt信息服务(IIS)(如不需要) 索引服务 Indexing Service 消息队
32、列服务(MSMQ) 远程安装服务 远程存储服务 终端服务 终端服务授权,12、Web与数据库安全管理,Web应用安全基础 Web应用的历史和作用 Web应用面临的安全威胁和漏洞 Web应用安全防护技术 数据库安全 数据库的历史和作用 数据面临的安全威胁和漏洞 数据库安全防护技术(SQL server和Oracle),要点,WEB程序和数据库管理系统的基本知识 BS架构的组成,各组件的功能 什么是数据库的事务管理 什么是数据库的存储过程SQL注入攻击 SELECT * FROM Users WHERE Username=$username AND Password=$password SELEC
33、T * FROM Users WHERE Username=1 OR 1 = 1 AND Password=1 OR 1 = 1XSS攻击的原理和防范MALICIOUS CODE,13、恶意代码防护,了解病毒、蠕虫、木马、恶意网页的原理 掌握病毒、蠕虫、木马、恶意网页的防范 了解恶意代码的分析方法,恶意软件的历史和发展 传播方式和类型,1987,1990,1995,今天,引导区病毒,文件病毒,宏病毒,1999,电子邮件蠕虫,2001,混合威胁,病毒、蠕虫、特洛伊木马、恶意移动代码、混合攻击、网络钓鱼、间谍软件、广告软件。,病毒在软盘上,病毒在宏中,通过电子邮件,蠕虫,传播方式,类型,友好的玩笑
34、,恶意的目的,编译病毒,解释病毒,Morris蠕虫,1988,蠕虫,Nimda (病毒/蠕虫/恶意移动代码),恶意软件的分类和定义,病毒 Virus,蠕虫 Worm,特洛伊木马 Trojan horse,恶意移动代码 Malicious Mobile Code,混合攻击,恶意内容的非恶意软件形式,阻止恶意软件的有效措施,主动防御措施: 及时下载安装软件补丁 运行漏洞扫描程序 启用防火墙,关闭闲置端口 减小攻击面,停止不需要的应用程序或服务 使用最少特权帐户 正确使用口令 被动防御措施: 安装使用防病毒软件 定期备份重要文件,恶意软件清除实践,断开与网络的连接 识别恶意的进程和设备驱动程序 杀掉
35、识别出的恶意的进程 识别并删除恶意软件的自动运行 删除磁盘上的恶意程序 重起并重复以上步骤,14、安全攻防,安全攻防的基本概念 渗透性测试的一般流程 黑客攻击的常用工具和技术 防范和检测黑客攻击的工具和技术,黑客攻击流程已经各阶段常用的手段和工具,侦查,定位/绘制目标,系统/网络渗透,拒绝服务,扩大战果,打扫战场,社会工程 物理侦查 WWW侦查 IP/网络侦查 DNS侦查,战争拨号 网络绘制 端口扫描 脆弱性扫描 研究和探查脆弱性,基于系统 基于网络,帐号/口令破解 应用攻击 缓存侵犯 文件系统攻击 编程战术 进程操作 Shell攻击 会话劫持 伪装 基于状态攻击 流量捕获 信任关系侵犯,扩展
36、访问(操作系统和网络) 扩展访问:特洛伊木马、后门、Rootkits、内核级Rootkits 躲避安全控制 日志、审计和IDS躲避 取证躲避,典型的攻击和漏洞,攻击的主动与被动 口令等字典攻击 缓冲区溢出攻击对系统带来的危害:程序崩溃、程序运行身份执行任意代码、提升权限 缓冲区溢出的防范方法,开发系统时设置对缓冲区填充数据的检查 常见dos攻击:Smurf攻击、Land攻击、Teardrop攻击 数据库注入、跨占脚本、Rootkit技术 、DNS劫持、电子邮件炸弹 常用的工具:Whois、Nslookup、sniffer、nessus、Xsan AppScan、 Nmap、LC等 社会工程 。
37、,15、信息安全管理体系,信息安全管理的基本概念 ISO27001的用途和主要内容 ISO27002的用途和主要内容 基本安全管理措施:策略、组织和人员 重要安全管理措施:资产管理、通信和操作管理、访问控制和符合性,27001 PDCA模型应用于ISMS过程,27002-信息安全管理模型,安全策略,策略的定义目标和原则 策略的性质指导性、原则性(非技术性)、可审核性 、可实现性、动态性、文档化 策略的使用和维护 管理层制定 决策层审批 系统用户和维护人员执行 审计人员审核,组织和人员,内部组织管理 高层的承诺和支持 职责和权限的划分 沟通机制的建立 外部组织管理 利用外部资源 控制外来风险,雇
38、佣前 角色职责 审核筛选 合同与协议 雇佣中 明确安全职责 安全意识教育与培训 惩戒措施 离职 终结职责 归还资产 撤销访问权限,资产管理,资产清单和明确资产责任的作用 信息安全管理工作的根本目的是保护系统中的资产 信息分类的意义和原则 安全控制措施的分类 预防措施 检测措施 纠正措施,通信和操作管理,明确操作规范和职责 变更管理 明确变更的原因和影响 需要审批和记录 监控日志的重要性和原则 覆盖范围 统一时间 用户标识 记录操作活动和系统错误 日志的存储和访问控制,系统开发 安全的开发方法 用户参与需求挖掘是非常重要的 科学严谨的测试和改错可以降低成本提高软件的安全性 黑盒测试和白盒测试 源
39、代码的保护 系统获取的安全原则 介质的处置 介质的存放 介质的废弃,访问控制,标识、鉴别与授权的概念 鉴别的方式: 你是什么 你有什么 你知道什么 口令管理 口令的复杂度 口令的分配、变更与撤销 访问时间限制,访问控制的层面 网络 操作系统 应用系统 移动计算和远程工作 用户在访问控制中的职责 口令使用 无人职守的用户设备 桌面与屏幕的清除,符合性,法律法规、知识产权、个人隐私、设备的误用、密码设备 内部的策略、标准、技术规范 审计系统的控制和保护,16、风险管理,风险管理的基本概念 常见的风险管理体系 风险管理的一般过程 常见的风险评估方法(定性、定量方法的介绍和各自的优缺点) 风险管理实践
40、,基本概念,风险的定义 风险分析的目的:识别资产、脆弱性并计算潜在的风险 信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减少或消除的过程 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险 风险分析的目标是达到风险影响和保护措施之间的价值平衡 风险管理的4个控制方法有:减低风险/转嫁风险/规避风险/接受风险,风险管理体系,ISO27002:信息安全管理体系 S/NZS4360:风险管理标准,风险管理一般过程,常见的风险评估方法,分析方法不同:定性、定量方法的优缺点实施主体不同:资评估和第三方评估,风险管理实践,风险评估以后:软硬信息要管理、
41、发生重大变化再风险评估、小变动严管理 据统计对于大多数信息系统最大的安全威胁源是内部员工 风险评估的最重要资源是人力资源 在执行风险分析的时候,预期年度损失(ALE)的计算是:SLE(单次损失预期值)ARO(年度发生率) 从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:内部实现 从风险分析的观点来看,计算机系统的最主要弱点是系统输入输出 当为计算机资产定义保险覆盖率时,应该特别考虑数据,16、安全工程,系统工程、质量管理、能力成熟度模型和项目管理基本概念 运用“信息系统安全工程”(ISSE)的方法考虑信息安全工程的实施 理解并运用“信息安全工程能力成熟
42、度模型”(SSE-CMM)指导信息安全工程的实施 IT项目的各个阶段需要考虑的安全要素,包括立项阶段的安全需求挖掘、采购开发阶段中应用系统对数据的正确处理、加密控制、系统资源安全等 理解信息安全工程监理的概念、意义和实践方法,能力维,能力维,能力级别,加强任何过程 能力的实现和制度 化实施,一组实施列出管理 和制度化过程的相 同方面,共同工作的一组公共 特征主要加强执行一 个过程的能力,计划执行 规范化执行 跟踪执行 验证执行,定义标准过程 协调安全实施 执行已定义的过程,建立可测量的质量目标 客观地管理过程的执行,1,非正式 执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执
43、行 基本 实施,改进组织能力 改进过程的有效性,能力级别 代表安全工程组织的成熟级别,公共特征,仅要求一个过程区域的所有基本实践都被执行,但对执行的结果无明确要求;,强调过程执行前的计划和执行中的检查,使工程组织可以基于最终结果的质量来管理其实践活动;,要求过程区域包括的所有基本实践均应依照一组完善定义的操作规范来进行,即“标准过程”;,能够对工程组织的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动,为过程行为的高效和实用建立定量目标,可以准确地度量过程持续改善所收到的效益。,域维/过程区域,系统安全工程涉及到三类过程区域PA,即工程(Engineering PA)、组织(Org
44、anization PA)和项目(Project PA)过程区域。组织和项目过程区域(共11个)并不直接同系统安全相关,在SE-CMM中定义,但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。 SSE-CMM将工程过程区域分为三类,即风险过程、工程过程和保证过程; 4个风险过程:PA04评估威胁,PA05评估脆弱性,PA02评估影响,PA03评估安全风险; 5个工程过程:PA07,PA10,PA09,PA01,PA08; 2个保证过程:PA11,PA06; 并不定义各过程区域在系统安全工程生命周期中出现的顺序,而是依照过程区域的英文字母顺序编号; 每个过程区域包
45、括一组集成的基本实践(BP,Base Practice),BP定义了实现过程区域目标的必要活动,代表业界的最佳惯例。,域维,过程类,工程和安全实施是安全工程过 程中必须存在的性质,指出特 殊过程区的目的并属于该过程 区,每个过程区(PA)是一组相关 安全工程过程的性质,当这些 性质全部实施后则能够达到过 程区定义的目的。,一组过程区指出活动的同一通用区,工程过程区域,核实和确认安全(Verify and Validate Security),PA11,明确安全需求(Specify Security Needs),PA10,提供安全输入(Provide Security Input),PA09,
46、监视安全态势(Monitor Security Posture),PA08,协调安全(Coordinate Security),PA07,建立保证论据(Build Assurance Argument),PA06,评估脆弱性(Assess Vulnerability),PA05,评估威胁(Assess Threat),PA04,评估安全风险(Assess Security Risk),PA03,评估影响(Assess Impact),PA02,管理安全控制(Administer Security Controls),PA01,风险过程,工程过程,保证过程,安全基本实践,信息安全工程监理参考模型
47、,19、应急响应,应急响应的基本概念 应急响应小组(CSIRT )的组建 应急响应的一般过程 应急响应服务的形式和内容 应急响应服务的指标,事件分级,事件分级要考虑的三个要素:系统的重要性、系统损失(即恢复运行,消除事件影响需要付出的代价)、社会影响 分级规范: 特别重大事件 重大事件 较大事件 一般事件,要点,应急响应的过程 准备-检测-遏制-根除-恢复-跟进 应急响应管理的重要内容 发现安全事件 报告安全事件 明确应急响应的职责和程序 从安全事件中学习 取证 理解CSIRT的概念、组建方式和主要职责 了解国内、国际主要的信息安全响应协调组织,20、灾难备份与恢复,BCP&DRP概念和背景
48、业务持续性计划编制和内容 灾难恢复的等级划分 灾难恢复工作流程和方法 灾难恢复系统的建设和技术,灾难恢复等级划分,等级划分: 级别1:基本支持 级别2:备用场地支持 级别3:电子传输和部分设备支持 级别4:电子传输及完整设备支持(“7*24专职计算机机房管理人员”) 级别5:实时数据传输及完整设备支持 级别6:数据零丢失和远程集群支持,划分要素 数据备份系统 备用数据处理系统 备用网络系统 备用基础设施 技术支持 运行维护支持 灾难恢复预案,灾难恢复工作的过程阶段,业务影响 分析,制定 恢复策略,灾难恢复策略的实现,灾难恢复预案的制定、落实和管理,分析业务功能和相关资源配置 评估中断影响,确定
49、灾难恢复资源获取方式 确定灾难恢复等级的要素要求 正式文档化,灾难备份中心的选择和建设 灾难备份系统技术方案的实现 技术支持能力的实现 运行维护能力的实现,灾难恢复预案的制订 灾难恢复预案的教育、培训和演练 灾难恢复预案的管理,风险分析,标识资产 标识威胁 标识脆弱性 标识现有控制 定量/定性风险分析,灾难恢复需求分析,灾难恢复策略制定,灾难恢复预案制定和管理,灾难恢复策略实现,确定灾难恢复目标,关键业务功能及恢复的优先级 RTO/RPO的范围,数据恢复, 恢复时间目标recovery time objective 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 恢复点目标recovery point objective 灾难发生后,系统和数据必须恢复到的时间点要求 重要信息系统灾难恢复指南(GB/T 209882007),
