第5章网络安全处理5.1评估5.2策略制定5.3实施5.4安全培训5.5审计5.6网络安全实施流程5.7本章小结习题网络安全处理过程是一个连续不断、周而复始的过程,如图1.5(P16)所示。它包含5个关键阶段:评估、策略制定、实施、培训、审计。每一阶段的工作对组织的安全都是有价值的,然而只有将这些阶段的工作协调一致才能有效地管理网络安全的事故风险。安全处理过程始于评估阶段。评估的作用是:确定一个组织的信息资产的价值,识别与这些信息资产有关的威胁及漏洞大小,确定总的风险对该组织的重要性。评估是十分重要的,如果对一个组织的信息资产当前的风险状态不清楚,就不可能有效地实施合适的安全程序,以保护这些资产。评估是通过风险管理计划来完成的。一旦识别和量化了风险,就可以选择有效的、代价小的预防措施以降低这些风险。5.1评估1.评估目的归纳起来,网络信息安全评估有以下一些目的:确定信息资产的价值;确定对这些信息资产的机密性、完整性、可用性和可审性的威胁;确定该组织当前实际存在的漏洞;识别与该组织信息资产有关的风险;提出改变现状的建议,使风险减少到可接受的水平;提供一个构造合适的安全计划的基础。2.评估类型通常有5个通用的评估类型:系统级漏洞评估检验计算机系统的已知漏洞及基本策略。网络级风险评估评估该组织的全部计算机网络及信息基础设施的风险范围。组织的风险评估分析整个组织,以识别对其信息资产的直接威胁。识别整个组织处理信息的漏洞对包括电子的和物理的所有形式的信息进行检验。审计检验特定的策略以及该组织执行的情况。入侵测试检验该组织对一个模拟的入侵反应的能力。这类评估只对具有成熟安全程序的组织进行。3.评估方法在评估时,需要从3个基本源搜集信息,即对组织的员工调查、文本检查以及物理检验。能提供现有安全系统以及组织实施方法的信息的员工,尤其是那些熟练的人员以及管理者是关键的调研对象。调研提纲(评估目的以及有助于保护该组织的信息资产的问题)应简单、易懂,并且前提是所提供的信息对被调研人没有直接的贡献。要审查现有的与安全有关的策略以及关键的配置文本,包括已完成的和正在草拟的文本。最后一部分搜集的信息来自于对该组织的各种设施的物理审查。4.评估内容归纳起来,对该组织的评估包括以下内容:组织的网络;组织的物理安全度量;组织的现有策略和过程;组织已有的预防措施;员工对安全的重视程度;员工的工作负载;员工的工作态度;员工对现有策略的过程的执行情况;组织的经营业务。通常网络提供了对信息和系统最便捷的访问方式。实施网络评估的具体步骤如下:①从网络配置图上检查每个连接点,包括服务器、桌面系统、Internet访问、拨号访问、对远程和其他组织的连接。从网络配置图以及和管理员的讨论中可获得如下信息:网络上的系统数和类型,操作系统及版本,网络拓扑(包括交换、路由、桥接等),Internet访问点,Internet使用,防火墙的数目、类型和版本,拨号访问点,远程访问类型,广域网拓扑,远程场地的访问点,到其他组织的访问点,Web服务器,FTP服务器以及邮件网关的位置,网络使用的协议,以及网络的控制人员等。5.1.1网络评估②在确定网络结构之后,还要识别网络内的保护机制,包括在全部Internet访问点上的路由器访问控制表和防火墙规则,用于远程访问的身份鉴别机制,到其他组织访问点的保护机制,用于传送和存储信息的加密机制,用于保护手提计算机的加密机制,在服务器、台式机、邮件系统上的防病毒系统以及服务器安全配置等。③如果网络和系统管理员不能提供服务器的安全配置信息,就有必要详细检查这些服务器,包括口令要求、每个系统的审计配置、当前系统的补丁水平等。④询问网络管理员关于使用的网络管理系统的类型、报警的类型、系统的监控者等信息。用这些信息来识别使用现有的系统,管理人员是否能发觉攻击。⑤最后,应对整个系统进行漏洞扫描。应从系统内部和外部两方面来做扫描。前者是内部网络的一个系统,后者是组织防火墙外部的Internet上的一个系统。扫描的结果可识别外部威胁和内部威胁能看到的漏洞。组织建筑物的物理安全是网络安全的一个关键组成。物理安全的检查应包括场地的物理访问控制以及场地的敏感区域的物理访问控制。例如,数据中心应该和整个大楼有分开的物理访问控制,至少访问数据中心必须有严格的限制。当检查物理安全时,应包括对场地、大楼、办公室、纸面记录、数据中心的物理保护类型,各个门的钥匙保管者,邻近数据中心的大楼或场地这些临界区域的情况等。应该检查大楼内的通信线路和位置,以及进入大楼的通信线位置。这些地方可能放置网络的连接头,因此应将它们包括在敏感区域或临界区域列表内。这些地方也是惟一的网络出口处。5.1.2物理安全评估物理安全还包括电源、环境控制、用于数据中心的消防系统。关于这些系统的信息应包括场地是如何供电的、数据中心的供电情况、使用的UPS的类型、UPS系统的保持时间、接到UPS上的系统类型、当电源失效后UPS运行的指示、接到UPS的环境控制、放置在数据中心的环境控制的类型、环境控制失效的指示、数据中心的消防系统的类型以及洒水系统等。在评估阶段需要检查的文本包括安全策略、信息策略、灾难恢复策略、事故响应过程、后备策略与过程、员工手册或策略手册、招聘新员工的过程、系统配置指南、防火墙规则、路由器过滤、物理安全策略、软件开发方法、软件移交过程、网络配置图以及组织结构图等。在搜集这些文本基础上检查其相关性、适用性、完全性和正确性。5.1.3策略和过程评估每个策略和过程应和组织当前的经营业务实际相关联。策略和过程应适合文本定义的目的。当检查文本是否适当时,检查其要求是否满足策略和过程的目标。例如,假如安全策略的目标是定义安全需求要针对所有计算机系统,那么不仅要为主机系统定义专门的配置,而且也应包括台式机和客户机服务器系统。策略和过程应覆盖组织运行的各个方面。在实际工作中常常没有考虑到某些方面,或者在生成策略和过程时,某些方面还不存在。由于技术经常变化,相应的策略和过程也要改变。当文本太老了或已过时了,应及时修改。因为组织的系统和网络经常会改变,如果文本不跟随系统和网络的变化而改变,那么该文本就没有用处。策略和过程应定期修改。相应地还要检查有关的培训材料,看这些材料是否反映当前的策略和过程。最后,评估应包括检查最近的事故和审计报告。考察该组织是否根据已发生的事故和审计情况有所进展。预防的两个基本措施是后备系统和灾难恢复计划。在评估后备系统的作用时,应详细地询问系统操作员,了解后备系统实际的使用情况。应了解的情况包括使用什么样的后备系统、对什么系统做后备,多长时间做一次后备、后备系统存储在何处、多长时间将后备作存储、是否验证过后备、是否经常使用后备,以及后备是否曾经有故障等。5.1.4预防措施评估和其他策略和过程一起,检查灾难恢复计划是否完整。不仅要通过阅读文本,更重要的是要和使用灾难恢复计划的员工对话,了解灾难恢复计划是否曾经使用过、使用的结果如何、计划是否经过测试、什么样的灾难恢复设备是可用的、什么样的灾难恢复场地是可用的,以及谁负责灾难恢复的工作等。1.员工和管理员的安全意识除了策略和过程本身是否完善以外,十分重要的是员工的安全意识。应考察他们是否清楚这些策略和过程,以及是否遵照这些策略和过程去执行。考察的方式是和员工谈话和实地考察。管理员的安全意识也是十分重要的,要考察管理员是否重视关于系统配置的安全策略,是否了解安全的威胁、系统的漏洞,是否已采取相应的措施。特别重要的是,管理员应知道在系统遭受破坏时应做什么以及如何做。5.1.5员工和管理员评估2.人员的技术熟练程度一个组织的员工对整个安全环境的影响是最大的。缺少技术或太熟练的技术都有可能使很好的安全程序失效。要考察安全员和管理员的技术水平,看其是否具备必要的技术来运行安全程序。安全员应了解安全策略及相关的安全产品。管理员应具备必要的知识来管理系统和网络。一般用户应具备基本的计算机技巧。然而如果用户具有太熟练的技巧(如公司的软件开发人员),可能会产生额外的安全问题。一些附加的软件加载至系统可能会影响整个组织的安全,具备必要的知识和技巧便于暴露内部系统的漏洞。对审计员,主要考察其对系统和网络的了解,特别是识别问题的能力,而不注重其对技术本身的了解。3.员工的工作负担如果员工的工作负担太重,经常超负荷,那么即使是完善的安全策略和过程,也不可能很好地执行。当工作负荷增加时,最容易忽视的就是安全问题。这时管理员不再去审阅审计日志,用户共享口令,管理者也不再做安全培训。在工作人员超负荷工作的情况下,往往安全漏洞也易于暴露。在评估时应审查这种超负荷情况是否是临时的现象。4.人员的心态管理者和员工对安全重要性的重视程度是整个安全环境的又一个关键问题。评估时要审查谁负责组织的安全,以及如何和员工交流有关安全问题。管理者的态度以及和与员工的交流都很重要。有时管理者了解安全的重要性,但不能及时和员工交流,这样员工并不了解安全的重要性。在评估时,要同时向管理者、员工了解,审查这两方面的问题。5.人员执行情况在审查要求的安全环境的同时,必须审查实际的安全环境。要求的安全环境是由策略、机制等决定的。而实际的安全环境还要看管理员和员工是否遵照执行的情况。例如,安全策略规定每周要审查审计日志,但管理员可能未按规定执行。又如,策略规定口令需8个字符,而管理员未遵照此规定进行配置。这种缺乏执行的情况也是经常发生的。在完成评估信息搜集后,评估组需要分析这些信息。评估组不应根据个别信息,而应审查所有的安全漏洞。并非将所有漏洞都转换成风险。有些漏洞可由其他一些控制来阻止漏洞的暴露。一旦完成了评估分析,评估组应该而且能够提出全部的风险,以及向组织进行建议。风险的表达可从大到小有序地列出。对每个风险,应估算在经费、时间、资源、信誉等方面的代价,并提出管理风险的建议。5.1.6评估结果评估的最后一步是开发一个安全计划。该组织必须决定评估结果是否真正反映了安全状况,以及如何最佳地处理它。必须对资源进行分配以及生成调度计划。计划不一定从最坏的风险开始,因为诸如预算、资源等因素可以防止这种情况发生。完成评估后的下一步是制定安全策略和过程。安全策略和过程是确定该组织期望的安全状态以及在实施阶段如何工作。没有策略,就不可能设计实施有效的信息安全程序。需要制定的策略和过程包括以下几项。5.2策略制定信息策略:确定信息的敏感度以及对敏感信息如何处理、存储、传输和销毁。该策略构成了解安全程序目的的基础。安全策略:确定各种计算机系统需要的技术控制。该策略构成了安全程序内容的基础。用户策略:提供使用该组织计算机的使用策略。后备策略:确定计算机系统的后备需求。账户管理过程:确定增加或删除用户账号的步骤。事故处理过程:确定信息安全事故处理的目标和步骤。灾难恢复计划:在自然灾难或人为灾难后提供重建计算机设施的计划。1.选择开发策略的次序如何选择开发策略的次序,取决于评估阶段对风险的识别。如果信息的保护标识为高风险域,那么应将信息策略放在首位。如果由于缺少灾难恢复计划使经营业务丢失是高风险域,那么应将灾难恢复计划放在首位。在选择首先编写的文本时还要看完成该文本所需的时间。灾难恢复计划是十分详细的文本,需要很多部门和人员作出很大努力才能完成,有时还需要热线场地商帮助完成。在灾难发生时,它可提供全部计算机设备的冗余设施。在处理过程中,信息策略需要及早完成。因为信息策略是构成了解安全程序目的的基础,说明为什么这些信息是重要的以及应该如何保护它。该文本还构成安全意识培训的基础。相似地,一个用户策略以及安全策略中的口令要求都会影响安全意识培训程序。有些策略可能同时工作效果更好。因为不同部门、不同人员对各种策略的兴趣也是不同的。例如,系统管理员对安全策略感兴趣,而对信息策略的兴趣要少一些;人力资源部门对用户策略和用户管理过程更感兴趣,对后备等过程不十分感兴趣。安全部门可先草拟一个框架和目录作为起点。还可先选择一些少部分人感兴趣的小的文本开始,这样可产生很快成功的机会,并从中总结经验,再生成其他的部分。2.策略的修改某些已有的策