【正文】 副標(biāo)題樣式 ? 3. 臨時(shí)員工 ? 外部的顧問、合同工、臨時(shí)工應(yīng)和正式員工一樣，必須有同樣的基本信息安全要求和信息安全責(zé)任，但還需有一些附加的限制。其動(dòng)機(jī)有些是出于好奇，有些是惡意的，有些則是為了獲利。這些人為差錯(cuò)包括不適當(dāng)?shù)匕惭b和管理設(shè)備、軟件，不小心地刪除文件，升級(jí)錯(cuò)誤的文件，將不正確的信息放入文件，忽視口令更換或做硬盤后備等行為，從而引起信息的丟失、系統(tǒng)的中斷等事故。 威脅 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 本章從安全的驗(yàn)證和評(píng)估出發(fā)，具體分析各種威脅源、威脅是如何得逞的以及針對(duì)這些威脅的對(duì)策。威脅包含 3個(gè)組成部分： ? （ 1） 目標(biāo)，可能受到攻擊的方面。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 在第 2章中講到，風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念。最后，識(shí)別安全事故的能力且按照一個(gè)逐步升級(jí)的過程來恢復(fù)是最重要的。安全基礎(chǔ)設(shè)施組件的支持和維護(hù)類似于主機(jī)和應(yīng)用服務(wù)器所需的支持。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 安全產(chǎn)品的合適配置也是一個(gè)挑戰(zhàn)。諸如防火墻、 IDS、 VPN、鑒別服務(wù)器等產(chǎn)品都只是解決有限的問題。組織安全策略文本中通常缺少信息的等級(jí)分類以及訪問控制計(jì)劃文本。 ? （ 2） 文本有很多用戶，如開發(fā)者、風(fēng)險(xiǎn)管理者、審計(jì)人員，所用語言又適用于多種解釋。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 1. 安全計(jì)劃 ? 一個(gè)好的安全體系結(jié)構(gòu)必須建立在一個(gè)堅(jiān)固的安全計(jì)劃基礎(chǔ)之上。它將安全成熟度能力級(jí)別分成 4級(jí)，以適應(yīng)不同級(jí)別的安全體系結(jié)構(gòu)，如表 201所示。 安全成熟度模型 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 安全計(jì)劃包括安全策略、標(biāo)準(zhǔn)、指南以及安全需求。圖 評(píng)估的方法。對(duì)數(shù)據(jù)、資源的漏洞及其利用的可能性取決于以下屬性，且很難預(yù)測(cè)：資產(chǎn)的價(jià)值、對(duì)對(duì)手的吸引力、技術(shù)的變更、網(wǎng)絡(luò)和處理器的速度、軟件的缺陷等。威脅的水平?jīng)Q定于攻擊者的動(dòng)機(jī)、知識(shí)和能力。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 與定量的代價(jià)相比，質(zhì)量的代價(jià)對(duì)組織的破壞更大。比之于商業(yè)組織，政府愿意花更多的費(fèi)用來保護(hù)信息。 ? 一個(gè)組織的總的風(fēng)險(xiǎn)依賴于下面一些屬性： ? 資產(chǎn)的質(zhì)量（丟失資產(chǎn)的效應(yīng)）和數(shù)量（錢）的價(jià)值； ? 基于攻擊的威脅可能性； ? 假如威脅實(shí)現(xiàn)，對(duì)經(jīng)營業(yè)務(wù)的影響。安全風(fēng)險(xiǎn)分析的最主要功能是將這個(gè)過程置于更為客觀的基礎(chǔ)上。安全成熟度模型可測(cè)量企業(yè)安全體系結(jié)構(gòu)的 3個(gè)不同部分：計(jì)劃、技術(shù)與配置、操作運(yùn)行過程。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 安全評(píng)估認(rèn)證安全體系結(jié)構(gòu)是否能滿足安全策略和最好的經(jīng)營業(yè)務(wù)實(shí)際。技術(shù)在不斷變化，新的應(yīng)用正在開發(fā)，新的平臺(tái)正在加到非軍事區(qū)（ DMZ），額外的端口正在加進(jìn)防火墻。由于競(jìng)爭，很多應(yīng)用在市場(chǎng)的生存時(shí)間越來越短，軟件開發(fā)生命周期中的測(cè)試和質(zhì)量保證正在忽略。一個(gè)典型的安全評(píng)估問題是它經(jīng)常沒有用于對(duì)經(jīng)營業(yè)務(wù)的影響的評(píng)析。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 從經(jīng)營業(yè)務(wù)的觀點(diǎn)看，要求安全解決方案的性能價(jià)格比最好，即基于特定產(chǎn)業(yè)的最佳實(shí)際。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 風(fēng)險(xiǎn)管理是識(shí)別、評(píng)估和減少風(fēng)險(xiǎn)的過程。 風(fēng)險(xiǎn)管理 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 將資產(chǎn)價(jià)值和代價(jià)相聯(lián)系或決定投資回報(bào)（ Return On Investment, ROI）的能力經(jīng)常是困難的。 ? 直接的定量花費(fèi)包括更換損壞的設(shè)備、恢復(fù)后備和硬盤的費(fèi)用等。假如用來銷售的 Web站點(diǎn)被黑客破壞了，有可能所有客戶的信用卡號(hào)被偷，這將嚴(yán)重地影響這個(gè)站點(diǎn)的信譽(yù)。大部分內(nèi)部人員不大可能使用黑客工具，然而十分熟悉網(wǎng)上的應(yīng)用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等。 ? 描述威脅和漏洞最好的方法是根據(jù)對(duì)經(jīng)營業(yè)務(wù)的影響描述。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 圖 風(fēng)險(xiǎn)評(píng)估方法 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 成熟度模型可用來測(cè)量組織的解決方案（軟件、硬件和系統(tǒng)）的能力和效力。技術(shù)和配置的成熟度水平根據(jù)選擇的特定產(chǎn)品、準(zhǔn)則，在組織內(nèi)的安置以及產(chǎn)品配置而定。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 表 201 安全成熟度能力級(jí)別 安全成熟度能力級(jí)別 說明 無效力（ 50%） 總的安全體系結(jié)構(gòu)沒有遵從企業(yè)安全策略、法規(guī)，以及最佳經(jīng)營實(shí)際。計(jì)劃的文本必須清晰、完整。如果陳述太抽象，那么實(shí)施時(shí)將無效力。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? （ 4） 用戶需要知道有關(guān)安全的文本。安全專業(yè)人員應(yīng)能適當(dāng)?shù)剡x擇產(chǎn)品，正確地將它們安置在基礎(chǔ)設(shè)施中，合適地配置和支持。有時(shí)產(chǎn)品的默認(rèn)配置是拒絕所有訪問，只有清晰的允許規(guī)則能通過通信。允許的變更管理要有能退回到目前工作版本的設(shè)施，并且要和經(jīng)營業(yè)務(wù)連續(xù)性計(jì)劃協(xié)調(diào)一致。 ? 技術(shù)變化十分迅速，對(duì)從事于安全事業(yè)的人員增加了很多困難，因此選擇高水平的人員從事該項(xiàng)工作是必須的。風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。 ? （ 2） 代理，發(fā)出威脅的人或組織。 ? 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 弄清楚威脅的來源是減少威脅得逞可能性的關(guān)鍵，下面陳述各種主要的威脅源。 威脅源 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 上述事故由于設(shè)計(jì)的缺陷，沒有能防止很多普遍的人為差錯(cuò)引起的信息丟失或系統(tǒng)故障。內(nèi)部人員的入侵行為包括復(fù)制、竊取或破壞信息，然而這些行為又難以檢測(cè)。例如，和正式員工一樣，需簽一個(gè)信息安全遵守合同，接受相應(yīng)的安全意識(shí)培訓(xùn)。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 5. 黑客和其他入侵者 ? 來自于非授權(quán)的黑客，為了獲得錢財(cái)、產(chǎn)業(yè)秘密或純粹是破壞系統(tǒng)的入侵攻擊行為近年來呈上升趨勢(shì)。這些危害也可能是由于人為差錯(cuò)、內(nèi)部人員或入侵者引起的。 ? ② 攻擊者打電話給系統(tǒng)管理員，聲稱自己是企業(yè)經(jīng)理，丟失了 modem池的號(hào)碼、忘記了口令。社會(huì)工程的保護(hù)措施大多是非技術(shù)的方法。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 2. 電子竊聽 ? Inter協(xié)議集在設(shè)計(jì)時(shí)并未考慮安全。此外，假如外部人員能電子訪問帶有 modem服務(wù)器進(jìn)程的工作站，就可以將其作為進(jìn)入企業(yè)網(wǎng)絡(luò)的入口。使用雙因子鑒別提供強(qiáng)的鑒別，典型的做法是授權(quán)用戶持有一個(gè)編碼信息的物理標(biāo)記再加上一個(gè)用戶個(gè)人標(biāo)識(shí)號(hào)（ PIN）或口令。數(shù)字簽名可認(rèn)證發(fā)送者的鑒別信息，如伴隨用哈希算法可保護(hù)報(bào)文的完整性。一般情況下，系統(tǒng)崩潰是由于程序試圖訪問一個(gè)非法地址。有很多原因可導(dǎo)致這種結(jié)果： ①編程錯(cuò)誤以致使用 100%的 CPU時(shí)間。⑤不停的網(wǎng)絡(luò)通信 UDP和 ICMP造成廣播風(fēng)暴和網(wǎng)絡(luò)淹沒。在大多數(shù)情況下，由于攻擊者已經(jīng)損壞了執(zhí)行攻擊的機(jī)器，使得要告發(fā)這些個(gè)體實(shí)施的攻擊很困難。②假如外面的用戶偽裝成一個(gè)網(wǎng)絡(luò)操作系統(tǒng)用戶或服務(wù)器，則所有信任該特定用戶或服務(wù)器的其他服務(wù)器也易于受破壞。因此系統(tǒng)管理員在映射主機(jī)之間的信任關(guān)系時(shí)必須特別小心。 ? ② 一個(gè)攻擊者發(fā)送一個(gè) postscript文件，該文件常駐在基于 postscript的傳真服務(wù)器中，就能將每一個(gè)發(fā)送和接收的傳真拷貝發(fā)送給攻擊者。這些攻擊會(huì)中斷計(jì)算平臺(tái)和網(wǎng)絡(luò)設(shè)備的運(yùn)行，使特定的網(wǎng)絡(luò)端口、應(yīng)用程序（如SMTP代理）和操作系統(tǒng)內(nèi)核超載。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 7. DNS欺騙 ? 域名系統(tǒng)（ DNS）是一個(gè)分布式數(shù)據(jù)庫，用于TCP/IP應(yīng)用中，映射主機(jī)名和 IP地址，以及提供電子郵件路由信息。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 對(duì) DNS攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和過程方法。所謂反對(duì)這些攻擊的過程方法是對(duì)關(guān)鍵的安全決定不依賴于 DNS。松散的源路由依賴于發(fā)送者提供一張最小的 IP地址表，數(shù)據(jù)報(bào)必須按該表的規(guī)定通過。路由器和防火墻能攔阻路由分組進(jìn)入企業(yè)網(wǎng)絡(luò)。在應(yīng)用層的主要威脅是被授權(quán)的人員濫用和誤用授權(quán)。最小特權(quán)原則是限制用戶訪問的資源，只限于工作必需的資源。 單擊此處編輯母版標(biāo)題樣式 ? 單擊此處編輯母版副標(biāo)題樣式 ? 當(dāng)前安全體系結(jié)構(gòu)的能力水平應(yīng)從安全成熟度模型的 3個(gè)方面進(jìn)行評(píng)估，即對(duì)計(jì)劃、布局和配置、運(yùn)行過程的評(píng)估?？梢圆捎檬止さ姆椒ǎ部刹捎米詣?dòng)的方法。 ? 評(píng)估的第 3步是漏洞測(cè)試階段。網(wǎng)絡(luò)漏洞測(cè)試的目標(biāo)是從攻擊者的角度檢查系統(tǒng)。首先對(duì)給出的網(wǎng)絡(luò)組件（例如防火墻、路由器、 VPN網(wǎng)關(guān)、平臺(tái)）的所有網(wǎng)絡(luò)端口進(jìn)行掃描。平臺(tái)掃描驗(yàn)證系統(tǒng)配置是否遵守給定的安全策略。應(yīng)用掃描工具不像網(wǎng)絡(luò)或平臺(tái)工具那樣是自動(dòng)的，因此，它是一個(gè)手動(dòng)的處理過程。安全控制出現(xiàn)的問題最多的是人為的差錯(cuò)。④之后企業(yè)網(wǎng)絡(luò)被入侵，因?yàn)榉阑饓Σ⒉粓?zhí)行任何訪問控制。測(cè)量 Inter服務(wù)提供者的反應(yīng)時(shí)間是有用的，特別是他們負(fù)責(zé)管理 Inter防火墻的情況。很多安全評(píng)估報(bào)告沒有將風(fēng)險(xiǎn)分析反饋到對(duì)經(jīng)營業(yè)務(wù)的影響，安全評(píng)估的價(jià)值就很小。多數(shù)網(wǎng)絡(luò)安全評(píng)估是在公共訪問的機(jī)器上，從 Inter上的一個(gè) IP地址來執(zhí)行的，諸如 Email服務(wù)器、域名服務(wù)器（ DNS）、Web服務(wù)器、 FTP和 VPN網(wǎng)關(guān)等。 ? 第 2步是獲取公共訪問機(jī)器的名字和 IP地址，這是比較容易完成的。端口號(hào)標(biāo)識(shí)端口的類型，例如 80號(hào)端口專用于 HTTP通信。認(rèn)證的惟一方法是在平臺(tái)自身上執(zhí)行一個(gè)程序。黑客首先是將這些文件替換成自己的版本。 ? 此外，還有測(cè)試本地口令的強(qiáng)度，如口令長度、口令組成、字典攻擊等。黑客的目標(biāo)是得到系統(tǒng)對(duì)應(yīng)用平臺(tái)的訪問，強(qiáng)迫應(yīng)用執(zhí)行某些非授權(quán)用戶的行為。一旦一臺(tái)在公共層的機(jī)器受損，就可用它來攻擊其他的機(jī)器。 1987年 NCSC又發(fā)布了紅皮書，即可信網(wǎng)絡(luò)指南（ Trusted Network Interpretation of the TCSEC, TNI） ,1991年又發(fā)布了可信數(shù)據(jù)庫指南（ Trusted Database Interpretation of the TCSEC, TDI）。它的基礎(chǔ)是歐洲的白皮書 ITSEC、美國的（包括桔皮書TCSEC在內(nèi)的）新的聯(lián)邦評(píng)價(jià)準(zhǔn)則、加拿大的CTCPEC以及國際標(biāo)準(zhǔn)化組織的 IS