信息安全管理与信息安全风险评估

李成峰CISSPIS027001LA渗透技术培训站“第八军团”创始人出版书籍网络攻防与实践技术Tel:13922460735Email:li_zerosee@163.com信息安全技术信息安全管理信息安全体系实践什么是信息安全？您的组织存在那些信息安全问题?当前采取那些信息安全防御策略?这些安全防御策略有效吗、能解决信息安全问题吗？如何构建实施符合国家、行业、企业本身的安全体制？如何确保持续性的运行稳定？“痛苦”的仓鼠？信息安全保障信息安全管理信息安全保障体系实施•通信保密（ComSEC)•计算机安全(CompSEC)•IT安全(ITSEC)•信息安全保障（IA)信息安全发展历程信息安全发展历程第一阶段：通信保密•上世纪40年代－70年代–重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性–主要安全威胁是搭线窃听、密码学分析–主要保护措施是加密–重要标志•1949年Shannon发表的《保密系统的通信理论》•1977年美国国家标准局公布的数据加密标准（DES）•1976年由Diffie与Hellman在“NewDirectionsinCryptography”一文中提出了公钥密码体制加密解密嵌入提取B嵌入钥匙B嵌入钥匙B解密钥匙B加密钥匙传送方接收方案例分析影像加密伪装传输案例分析微软「护照」问题1.資料來源：2001年11月4日，台湾的联合报5版发表。2.在西雅图网络安全研究员史蘭科发现一种欺骗微软公司保障网络购物的护照(Passport)主机，將他人的电子钱包資料傳給他的方法并通知微软工程部之后，自2001年10月31日起，微软公司暂时关掉该项服务，以便進行網路修复与测试。3.「护照」是微软未來最重要的科技之一，至关闭时间为止，已有2,000,000人註冊使用，而几乎所有XP的用戶均无法使用到其服務。信息安全发展历程第二阶段：计算机安全•上世纪70－80年代–重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性–主要安全威胁扩展到非法访问、恶意代码、脆弱口令等–主要保护措施是安全操作系统设计技术（TCB）–主要标志是1985年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充红皮书TNI（1987）和TDI（1991），构成彩虹（rainbow）系列。Intranet企业网络生产部工程部市场部人事部路由Internet操作系统•UNIX•Windows•Linux•Freebsd•Macintosh•Novell中继案例分析操作系统安全信息安全发展历程第三阶段：IT安全•上世纪90年代以来–重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性–主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等–主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等–主要标志是提出了新的安全评估准则CC（ISO15408、GB/T18336）案例分析入侵技术交流１.源起：2001年4月1日美國情報偵察機誤闖中國領空與其所導致的殲八撞機失事、飛行員王偉先生失蹤事件。２.雙方主力：２.1中方：Lion联系了我國紅客聯盟(HonkerUnionofChina，簡稱HUC)、第八军团、黑客聯盟與鷹派駭客組織。２.2美方：prOphet與poizonB0x駭客組織。３.戰爭起迄時間：2001年4月30日晚上20時~2001年5月8日。４.雙方戰果：４.1美方被攻破網站：約1,600個。４.2中方被攻破網站：約1,100個。案例分析中美黑客大战WindowsNTWindowsNTWindowsNTHackerHostSunSolarisport600port80...WindowsNTWindowsNTWindowsNTSunSolarisport600port80...入侵方式說明：1.以Solaris主機上bufferoverflow漏洞，在Solaris主機上安裝後門程式（包括Solaris7）。2.發動Solaris主機上安裝後門程式，利用port80及IISunicode漏洞，自動掃瞄攻擊WindowsNTIIS主機（安裝IISWorm後門程式，並修改網頁）。3.Solaris主機入侵2,000台IIS主機後，修改Solaris主機的index.html網頁。中美黑客大战５２０前网站入侵描述图1.Solaris主機：檢查是否存在以下目錄：/dev/cub-containslogsofcompromisedmachines/dev/cuc-containstoolsthatthewormusestooperateandpropagate檢查是否有下列後門程式在執行：/bin/sh/dev/cuc/sadmin.sh/dev/cuc/grabbb-t3-a.yyy.yyy-b.xxx.xxx111/dev/cuc/grabbb-t3-a.yyy.yyy-b.xxx.xxx80/bin/sh/dev/cuc/uniattack.sh/bin/sh/dev/cuc/time.sh/usr/sbin/inetd-s/tmp/.f/bin/sleep3002.NTIIS主機：IISServerLogFile(Winnt/System32/Logfiles)：2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–2001-05-0612:20:1910.10.10.10-10.20.20.2080\GET/scripts/../../winnt/system32/cmd.exe/c+copy+\winnt\system32\cmd.exe+root.exe502-22001-05-0612:20:1910.10.10.10-10.20.20.2080\GET/scripts/root.exe/c+echo+HTMLcodeinsertedhere.././index.asp502-33.被入侵的網頁文字如下：fuckUSAGovernmentfuckPoizonBOxcontact:sysadmcn@yahoo.com.cn中美黑客大战５２０前网站入侵方法1990EuropeanInformationTechnologySecurityEvaluationCriteria(ITSEC)1990CanadianTrustedComputerProductEvaluationCriteria(CTCPEC)1993USFederalCriteria(FC)CTCPEC3.01985USTrustedComputerSystemEvaluationCriteria(TCSEC)1996CommonCriteriaforInformationTechnologySecurityEvaluation(CC)1998ISO/IEC15408(DIS)(CC2.0)1999ISO/IEC15408(CC2.1)信息安全发展历程发展历程之间关系ITSEC保证TCSEC分级CCE0DEAL1E1C1EAL2E2C2EAL3E3B1EAL4E4B2EAL5E5B3EAL6E6AEAL7信息安全发展历程发展历程之间关系问题:CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？1.1997年10月7日，美国公告了针对ISO/IEC15408(以下简称CC)通过后认证机制所需TTAP(TrustTechnologyAssessmentProgram)Laboratories,接受CC测试与评估工作，作为NIAP(NationalInformationAssurancePartnership)CCEVS(CommonCriteriaEvaluationandValidationScheme)认证建立起来的过渡方案。2.1997年11月8日，TTAP提出基于CC认证、检测的工作建议。3.1999年4月，美国、加拿大、德国、英国、法国共同簽署CCMRA(MutualRecognitionAgreement)，預期欧洲、亞太其他国家将陆续加入。4.1999年5月14日，美國公告了CC认证计划，同時宣布密码組认证计划將并入此计划。5.1999年6月8日，美国宣布CC2.1版正式成为ISO/IEC15408。6.2000年5月23~25日，在美国BaltimoreInternationalConventionCenter举办第1次CC国际研讨会。7.2000年8月30日，美国公告ComputerScienceCorporation(CSC)，CygnaComSolutions,ScienceApplicationsInternationalCorporation(SAIC)與TUV:TIncoporated4家民間实验室已經通過NIAP的認可CCTL(CommonCriteriaTestingLaboratories)。信息安全发展历程发展历程之间关系美国国家安全局国家标准技术局国家认证机构多个授权测试实验室认证申请者国家实验室认可程序管理监督指导评估结果信息安全发展历程美国测评认证体系模式信息安全发展历程国际互认情况•15408:通用准则(CC)•15292:PP注册程序•15446:PP和ST生成指南•15443:IT安全保障框架(FRITSA)•18045:通用评估方法（CEM)•19790:密码模块的安全要求•19791:运行系统的安全评估•19792:生物识别技术的安全测评框架(SETBIT)•21827:2002系统安全工程–能力成熟模型(SSE-CMM)信息安全发展历程测评相关标准信息安全发展历程第四阶段：信息安全保障人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术“确保信息和信息系统的可用性、完整性、可认证性、保密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复。”-美国国防部（DoD）国防部令S-3600.1信息保障(IA)定义■一个宗旨:保障信息化带来的利益最大化(应用服务安全)■两个对象★信息★信息系统■三个安全保障能力来源★技术★管理★人信息保障信息保障包括什么■四个层面★局域计算环境★边界和外部连接★基础设施★信息内容信息保障信息保障包括什么■五个信息状态★产生★存储★处理★传输★消亡■六个信息保障的环节★预警（W）★保护（P）★检测（D）★响应（R）★恢复（R）★反击（C）应用服务(ApplicationServices)应用控制(ApplicationControls)职权属性描述(Accountability)审计(Audit)安全交互安全路径(TrustedSession)(TrustedPath)密码支持(Crypto.Moduld)应用系统(ApplicationSystem)操作系统木马(TrojanHorse)安全边界(SecurityPerimeter)后门病毒(TrapDoor)信任体系(TrustedNetworkServices信息保障应用安全边界分析■七个安全属性★保密性★完整性★可用性★可认证性★不可否认性★可控性★可追究性信息保障