第12章 安全认证及评估.ppt

第十二章 安全认证和评估 12.1 风险管理 12.2 安全成熟度模型 12.3 威胁 12.4 安全评估方法 12.5 安全评估准则 12.6 本章小结 针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化，新的应用正在开发，新的平台正在加到非军事区（DMZ），额外的端口正在加进防火墙。由于竞争，很多应用在市场的生存时间越来越短，软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录，将计算机、网络设备以及在网络上的各个应用编制进去，而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分，应用的漏洞（脆弱性）不断发生。 安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念，称为安全成熟度模型（Security Maturity Model, SMM）,用来适当地测量一个给定的准则，该准则基于在工业界最佳的经营业务实际，且能将其反馈到经营业务。它还提供一个改进的方法，包括将不足之处列成清单。安全成熟度模型可测量企业安全体系结构的3个不同部分：计划、技术与配置、操作运行过程。 从经营业务的观点看，要求安全解决方案的性能价格比最好，即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而，决定哪些安全控制是合适的以及性能价格比好的这一过程经常是复杂的，有时甚至是主观的。安全风险分析的最主要功能是将这个过程置于更为客观的基础上。 12.1 风险管理 风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO（Chief Financial Officer, 首席财务执行官）、经营业务部门的负责人，以及信息所有者。 一个组织的总的风险依赖于下面一些属性： 资产的质量（丢失资产的效应）和数量（钱）的价值； 基于攻击的威胁可能性； 假如威胁实现，对经营业务的影响。 将资产价值和代价相联系或决定投资回报（Return On Investment, ROI）的能力经常是困难的。相反，可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息，因为对这些信息的错误处理，其结果将危害到国家秘密。比之于商业组织，政府愿意花更多的费用来保护信息。 直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的，很多金融贸易系统因此而遭受大量经济损失。生产的降低，例如E-mail服务器宕机，很多组织的工作将停止。 与定量的代价相比，质量的代价对组织的破坏更大。假如用来销售的Web站点被黑客破坏了，有可能所有客户的信用卡号被偷，这将严重地影响这个站点的信誉。也有可能在短时期内，经营业务停止。 风险评估对漏洞和威胁的可能性进行检查，并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具，然而十分熟悉网上的应用，可以删除文件、引起某些物理损坏，甚至是逻辑炸弹等。 漏洞水平和保护组织资产的安全体系结构的能力正相反。如果安全控制弱，那么暴露的水平高，随之发生事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性，且很难预测：资产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。 描述威胁和漏洞最好的方法是根据对经营业务的影响描述。此外，对特殊风险的评估影响还和不确定性相联系，也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性，因此安全的计划和认证是十分困难的。图12.1表示了风险评估的方法。 图12.1 风险评估方法 12.2 安全成熟度模型 成熟度模型可用来测量组织的解决方案（软件、硬件和系统）的能力和效力。因此它可用于安全评估，以测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析：计划、技术和配置、操作运行过程。 安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则，在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控，以及安全教育方面。美国Carnegie Mellon大学的软件工程研究所（Software Engineering Insititue,SEI）制定了系统安全工程能力成熟度模型（System Security Engineering Capability Maturity Model, SSE-CMM）。它将安全成熟度能力级别分成4级，以适应不同级别的安全体系结构，如表12-1所示。 表12-1 安全成熟度能力级别 1. 安全计划 一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须