内部审计]安全认证和评估.ppt

平安认证和评估;;;从经营业务的观点看，要求平安解决方案的性能价格比最好，即基于特定产业的最正确实际。在任何系统中的平安控制应预防经营业务的风险。然而，决定哪些平安控制是适宜的以及性能价格比好的这一过程经常是复杂的，有时甚至是主观的。平安风险分析的最主要功能是将这个过程置于更为客观的根底上。;风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO〔ChiefFinancialOfficer,首席财务执行官〕、经营业务部门的负责人，以及信息所有者。

一个组织的总的风险依赖于下面一些属性：

资产的质量〔丧失资产的效应〕和数量〔钱〕的价值；

基于攻击的威胁可能性；

假设威胁实现，对经营业务的影响。;;;;;图20.1风险评估方法;;;表20-1平安成熟度能力级别;;;平安产品的适宜配置也是一个挑战。有时产品的默认配置是拒绝所有访问，只有清晰的允许规那么能通过通信。平安产品配置的最大挑战是需要有熟练的专业人员来配置和管理。

3.运行过程

运行过程包括平安组件需要的必要支持和维护、变更管理、经营业务的连续性、用户平安意识培训、平安管理，以及平安报警与监控。平安根底设施组件的支持和维护类似于主机和应用效劳器所需的支持。允许的变更管理要有能退回到目前工作版本的设施，并且要和经营业务连续性方案协调一致。;;在第2章中讲到，风险是构成平安根底的根本观念。风险是丧失需要保护的资产的可能性。测定风险的两个组成局部是漏洞和威胁。漏洞是攻击可能的途径，威胁是一个可能破坏信息系统平安环境的动作或事件。威胁包含3个组成局部：

〔1〕目标，可能受到攻击的方面。

〔2〕代理，发出威胁的人或组织。

〔3〕事件，做出威胁的动作类型。作为威胁的代理，必须要有访问目标的能力，有关于目标的信息类型和级别的知识，还要有对目标发出威胁的理由。;本章从平安的验证和评估出发，具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。

;弄清楚威胁的来源是减少威胁得逞可能性的关键，下面陈述各种主要的威胁源。

1.人为过失和设计缺陷

最??的威胁来源是操作中人为的疏忽行为。据一些统计，造成信息系统在经费和生产力方面损失的一半是由于人为的过失，另一半那么是有意的、恶意的行为。这些人为过失包括不适当地安装和管理设备、软件，不小心地删除文件，升级错误的文件，将不正确的信息放入文件，无视口令更换或做硬盘后备等行为，从而引起信息的丧失、系统的中断等事故。;;;;采取对策以防止各种威胁情况，不仅需要了解威胁的来源，还应知道这些威胁是怎样侵袭平安体系结构的。下面列举各种情况。

1.社会工程〔系统管理过程〕

社会工程攻击假冒授权的员工，采用伪装的方法或电子通信的方法，具体情况如下：

①攻击者发出一封电子邮件，声称是系统的根，通知用户改变口令以到达暴露用户口令的目的。

②攻击者打给系统管理员，声称自己是企业经理，丧失了modem池的号码、忘记了口令。;;2.电子窃听

Internet协议集在设计时并未考虑平安。TELNET、FTP、SMTP和其他基于TCP/IP的应用易于从被动的线接头获取。用户鉴别信息〔如用户名和口令〕易于从网络中探测到，并伪装成授权员工使用。假设外部人员对企业设施获得物理访问，那么可以将带有无线modem的手提计算机接到局域网或集线器上，所有通过局域网或集线器的数据易于被任何威胁者取得。此外，假设外部人员能电子访问带有modem效劳器进程的工作站，就可以将其作为进入企业网络的入口。任何在Internet传输的数据对泄露威胁都是漏洞。所有上述4种威胁都有可能使这些攻击得逞。;防止窃听的保护措施包括鉴别和加密。使用双因子鉴别提供强的鉴别，典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号〔PIN〕或口令。保护传输中的口令和ID，可以采用加密的措施。链路加密〔SSL和IPv6〕保护直接物理连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密〔平安Telnet和FTP、S/MIME〕提供报文保护，在源端加密，只在目的地解密。数字签名可认证发送者的鉴别信息，如伴随用哈希算法可保护报文的完整性。;3.软件缺陷

当前两个最大的软件缺陷是缓冲器溢出和拒绝效劳攻击。当写入太多的数据时，就会发生缓冲器溢出，通常是一串字符写入固定长度的缓冲器。对数据缓冲器的输入没有足够的边界检查，使得输入超过缓冲器的容量。一般情况下，系统崩溃是由于程序试图访问一个非法地址。然而，也有可能用一个数据串来代替生成可检测的过失，从而造成攻击者希望的特定系统的漏洞。;CarnegieMellon软件工程研究所的计算机应急响应组〔ComputerEmergenoyResponseTeam，CERT