計算機網絡安全第章 安全認證和評估

第20章安全認證和評估20.1風險管理20.2安全成熟度模型20.3威脅20.4安全評估方法20.5安全評估準則20.6本章小結習題針對內部和外部的攻擊所采用的安全體系結構的能力需要認證和評估。技術在不斷變化，新的應用正在開發(fā)，新的平臺正在加到非軍事區(qū)（DMZ），額外的端口正在加進防火墻。由于競爭，很多應用在市場的生存時間越來越短，軟件開發(fā)生命周期中的測試和質量保證正在忽略。很多大的組織甚至沒有一個完全的目錄，將計算機、網絡設備以及在網絡上的各個應用編制進去，而只是將這些組件獨自地進行配置。由于沒有將安全測試作為軟件質量保證的一個組成部分，應用的漏洞（脆弱性）不斷發(fā)生。安全評估認證安全體系結構是否能滿足安全策略和最好的經營業(yè)務實際。一個典型的安全評估問題是它經常沒有用于對經營業(yè)務的影響的評析。這里引入一個概念，稱為安全成熟度模型（SecurityMaturityModel,SMM）,用來適當地測量一個給定的準則，該準則基于在工業(yè)界最佳的經營業(yè)務實際，且能將其反饋到經營業(yè)務。它還提供一個改進的方法，包括將不足之處列成清單。安全成熟度模型可測量企業(yè)安全體系結構的3個不同部分：計劃、技術與配置、操作運行過程。從經營業(yè)務的觀點看，要求安全解決方案的性能價格比最好，即基于特定產業(yè)的最佳實際。在任何系統中的安全控制應預防經營業(yè)務的風險。然而，決定哪些安全控制是合適的以及性能價格比好的這一過程經常是復雜的，有時甚至是主觀的。安全風險分析的最主要功能是將這個過程置于更為客觀的基礎上。風險管理是識別、評估和減少風險的過程。一個組織有很多個體負責對給定應用接受給定風險。這些個體包括總經理、CFO（ChiefFinancialOfficer,首席財務執(zhí)行官）、經營業(yè)務部門的負責人，以及信息所有者。一個組織的總的風險依賴于下面一些屬性：資產的質量（丟失資產的效應）和數量（錢）的價值；基于攻擊的威脅可能性；假如威脅實現，對經營業(yè)務的影響。20.1風險管理將資產價值和代價相聯系或決定投資回報（ReturnOnInvestment,ROI）的能力經常是困難的。相反，可以確定保護機制的代價。將國家秘密的信息作為極敏感的信息，因為對這些信息的錯誤處理，其結果將危害到國家秘密。比之于商業(yè)組織，政府愿意花更多的費用來保護信息。直接的定量花費包括更換損壞的設備、恢復后備和硬盤的費用等。由于事故而引起的宕機時間是可測量的，很多金融貿易系統因此而遭受大量經濟損失。生產的降低，例如E-mail服務器宕機，很多組織的工作將停止。與定量的代價相比，質量的代價對組織的破壞更大。假如用來銷售的Web站點被黑客破壞了，有可能所有客戶的信用卡號被偷，這將嚴重地影響這個站點的信譽。也有可能在短時期內，經營業(yè)務停止。風險評估對漏洞和威脅的可能性進行檢查，并考慮事故造成的可能影響。威脅的水平決定于攻擊者的動機、知識和能力。大部分內部人員不大可能使用黑客工具，然而十分熟悉網上的應用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等。漏洞水平和保護組織資產的安全體系結構的能力正相反。如果安全控制弱，那么暴露的水平高，隨之發(fā)生事故災難的機率也大。對數據、資源的漏洞及其利用的可能性取決于以下屬性，且很難預測：資產的價值、對對手的吸引力、技術的變更、網絡和處理器的速度、軟件的缺陷等。描述威脅和漏洞最好的方法是根據對經營業(yè)務的影響描述。此外，對特殊風險的評估影響還和不確定性相聯系，也依賴于暴露的水平。所有這些因素對正確地預測具有很大的不確定性，因此安全的計劃和認證是十分困難的。圖20.1表示了風險評估的方法。圖20.1風險評估方法成熟度模型可用來測量組織的解決方案（軟件、硬件和系統）的能力和效力。因此它可用于安全評估，以測量針對業(yè)界最佳實際的安全體系結構?？梢跃鸵韵?個方面進行分析：計劃、技術和配置、操作運行過程。20.2安全成熟度模型安全計劃包包括安全策策略、標準準、指南以以及安全需需求。技術術和配置的的成熟度水水平根據選選擇的特定定產品、準準則，在組組織內的安安置以及產產品配置而而定。操作作運行過程程包括變更更管理、報報警和監(jiān)控控，以及安安全教育方方面。美國國CarnegieMellon大學的軟件件工程研究究所（SoftwareEngineeringInsititue,SEI）制定了系系統安全工工程能力成成熟度模型型（SystemSecurityEngineeringCapabilityMaturityModel,SSE-CMM）。它將安安全成熟度度能力級別別分成4級，以適應應不同級別別的安全體體系結構，，如表20-1所示。表20-1安全成熟度度能力級別別安全成熟度能力級別說明無效力（50%）總的安全體系結構沒有遵從企業(yè)安全策略、法規(guī)，以及最佳經營實際。需要改進（65%）安全體系結構中無效力的應少于35%合適（85%）企業(yè)的安全計劃、布署、配置和過程控制使安全體系結構能滿足總的目標。極好（超過100%）安全體系結構超過了總的目標及需求。1.安全計劃一個好的安安全體系結結構必須建建立在一個個堅固的安安全計劃基基礎之上。。計劃的文文本必須清清晰、完整整。很多組組織的安全全策略、標標準和指南南存在以下下一些問題題：（1）內容太太舊，已過過時，不適適用于當前前的應用。。安全策略略應每年更更新，以適適應技術的的變化。（2）文本有有很多用戶戶，如開發(fā)發(fā)者、風險險管理者、、審計人員員，所用語語言又適用用于多種解解釋。如果果陳述太抽抽象，那么么實施時將將無效力。。（3）表達不不夠詳細。。很多組織織的安全策策略觀念只只是一個口口令管理。。組織安全全策略文本本中通常缺缺少信息的的等級分類類以及訪問問控制計劃劃文本。（4）用戶需需要知道有有關安全的的文本。如如果用戶不不能方便地地獲得和閱閱讀文本，，就會無意意地犯規(guī)，，然而難以以追查責任任。2.技術和配置置當今，市場場上有很多多安全廠商商和安全產產品，但是是沒有一個個產品能提提供完全的的安全解決決方案。諸諸如防火墻墻、IDS、VPN、鑒別服務務器等產品品都只是解解決有限的的問題。安安全專業(yè)人人員應能適適當地選擇擇產品，正正確地將它它們安置在在基礎設施施中，合適適地配置和和支持。然然而，他們們經常會不不正確地采采購安全產產品，例如如，有人認認為只要在在需要保護護的有價值值的資產前前放置一個個防火墻，，就什么問問題都能解解決。從網網絡的觀點點看部分正正確，但防防火墻不提提供應用和和平臺的保保護，也不不提供有用用的入侵檢檢測信息。。安全產品的的合適配置置也是一個個挑戰(zhàn)。有有時產品的的默認配置置是拒絕所所有訪問，，只有清晰晰的允許規(guī)規(guī)則能通過過通信。安安全產品配配置的最大大挑戰(zhàn)是需需要有熟練練的專業(yè)人人員來配置置和管理。。3.運行過程運行過程包包括安全組組件需要的的必要支持持和維護、、變更管理理、經營業(yè)業(yè)務的連續(xù)續(xù)性、用戶戶安全意識識培訓、安安全管理，，以及安全全報警與監(jiān)監(jiān)控。安全全基礎設施施組件的支支持和維護護類似于主主機和應用用服務器所所需的支持持。允許的的變更管理理要有能退退回到目前前工作版本本的設施，，并且要和和經營業(yè)務務連續(xù)性計計劃協調一一致。安全設備會會產生一些些不規(guī)則的的日志信息息，這對管管理員來說說是復雜的的，一旦配配置有差錯錯，就會阻阻止訪問網網絡、應用用或平臺。。對各種人人員的培訓訓是任何安安全體系結結構成功的的關鍵。最最后，識別別安全事故故的能力且且按照一個個逐步升級級的過程來來恢復是最最重要的。。技術變化十十分迅速，，對從事于于安全事業(yè)業(yè)的人員增增加了很多多困難，因因此選擇高高水平的人人員從事該該項工作是是必須的。。特別是，，從事安全全培訓的專專業(yè)人員是是有效信息息安全程序序的關鍵，，要使用各各種有效媒媒體進行安安全培訓課課程。每個個企業(yè)員工工都要接受受安全培訓訓，要對不不同的人員員（例如安安全管理員員、最終用用戶、數據據擁有者））有針對性性地進行培培訓。在第2章中講到，，風險是構構成安全基基礎的基本本觀念。風風險是丟失失需要保護護的資產的的可能性。。測定風險險的兩個組組成部分是是漏洞和威威脅。漏洞洞是攻擊可可能的途徑徑，威脅是是一個可能能破壞信息息系統安全全環(huán)境的動動作或事件件。威脅包包含3個組成部分分：（1）目標，，可能受到到攻擊的方方面。（2）代理，，發(fā)出威脅脅的人或組組織。（3）事件，，做出威脅脅的動作類類型。作為為威脅的代代理，必須須要有訪問問目標的能能力，有關關于目標的的信息類型型和級別的的知識，還還要有對目目標發(fā)出威威脅的理由由。20.3威脅本章從安全全的驗證和和評估出發(fā)發(fā)，具體分分析各種威威脅源、威威脅是如何何得逞的以以及針對這這些威脅的的對策。弄清楚威脅脅的來源是是減少威脅脅得逞可能能性的關鍵鍵，下面陳陳述各種主主要的威脅脅源。1.人為差錯和和設計缺陷陷最大的威脅脅來源是操操作中人為為的疏忽行行為。據一一些統計，，造成信息息系統在經經費和生產產力方面損損失的一半半是由于人人為的差錯錯，另一半半則是有意意的、惡意意的行為。。這些人為為差錯包括括不適當地地安裝和管管理設備、、軟件，不不小心地刪刪除文件，，升級錯誤誤的文件，，將不正確確的信息放放入文件，，忽視口令令更換或做做硬盤后備備等行為，，從而引起起信息的丟丟失、系統統的中斷等等事故。20.3.1威脅源上述事故由由于設計的的缺陷，沒沒有能防止止很多普遍遍的人為差差錯引起的的信息丟失失或系統故故障。設計計的缺陷還還會引起各各種漏洞的的暴露。2.內部人員很多信息保保護設施的的侵犯是由由一些試圖圖進行非授授權行動或或越權行動動的可信人人員執(zhí)行的的。其動機機有些是出出于好奇，，有些是惡惡意的，有有些則是為為了獲利。。內部人員員的入侵行行為包括復復制、竊取取或破壞信信息，然而而這些行為為又難以檢檢測。這些些個體持有有許可或其其他的授權權，或者通通過那些毋毋需專門授授權的行為為使網絡運運行失效或或侵犯保護護設施。根根據統計，，內部人員員的侵犯占占所有嚴重重安全侵犯犯事件的70%~80%。3.臨時時員員工工外部部的的顧顧問問、、合合同同工工、、臨臨時時工工應應和和正正式式員員工工一一樣樣，，必必須須有有同同樣樣的的基基本本信信息息安安全全要要求求和和信信息息安安全全責責任任，，但但還還需需有有一一些些附附加加的的限限制制。。例例如如，，和和正正式式員員工工一一樣樣，，需需簽簽一一個個信信息息安安全全遵遵守守合合同同，，接接受受相相應應的的安安全全意意識識培培訓訓。。除除此此之之外外，，臨臨時時員員工工還還必必須須有有一一個個專專門門的的協協議議，，只只允允許許訪訪問問那那些些執(zhí)執(zhí)行行其其委委派派的的任任務務所所需需的的信信息息和和系系統統。。4.自然然災災害害和和環(huán)環(huán)境境危危害害環(huán)境境的的要要求求，，諸諸如如最最高高溫溫度度和和最最低低溫溫度度、、最最高高濕濕度度、、風風暴暴、、龍龍卷卷風風、、照照明明、、為為水水所所淹淹、、雨雨、、火火災災以以及及地地震震等等，，都都能能破破壞壞主主要要的的信信息息設設施施及及其其后后備備系系統統。。應應制制定定災災難難恢恢復復計計劃劃，，預預防防和和處處理理這這些些災災害害。。5.黑客客和和其其他他入入侵侵者者來自自于于非非授授權權的的黑黑客客，，為為了了獲獲得得錢錢財財、、產產業(yè)業(yè)秘秘密密或或純純粹粹是是破破壞壞系系統統的的入入侵侵攻攻擊擊行行為為近近年年來來呈呈上上升升趨趨勢勢。。這這些些群群體體經經常常雇雇傭傭一一些些攻攻擊擊高高手手并并進進行行聳聳人人聽聽聞聞的的報報導導。。這這些些群群體體包包括括青青少少年年黑黑客客、、專專業(yè)業(yè)犯犯罪罪者者、、工工業(yè)業(yè)間間諜諜或或外外國國智智能能代代理理等等。。6.病毒毒和和其其他他惡惡意意軟軟件件病毒毒、、蠕蠕蟲蟲、、特特洛洛伊伊木木馬馬以以及及其其他他惡惡意意軟軟件件通通過過磁磁盤盤、、預預包包裝裝的的軟軟件件、、電電子子郵郵件件和和連連接接到到其其他他網網絡絡進進入入網網絡絡。。這這些些危危害害也也可可能能是是由由于于人人為為差差錯錯、、內內部部人人員員或或入入侵侵者者引引起起的的。。采取取對對策策以以防防止止各各種種威威脅脅情情況況，，不不僅僅需需要要了了解解威威脅脅的的來來源源，，還還應應知知道道這這些些威威脅脅是是怎怎樣樣侵侵襲襲安安全全體體系系結結構構的的。。下下面面列列舉舉各各種種情情況況。。1.社會會工工程程（（系系統統管管理理過過程程））社會會工工程程攻攻擊擊假假冒冒已已知知授授權權的的員員工工，，采采用用偽偽裝裝的的方方法法或或電電子子通通信信的的方方法法，，具具體體情情況況如如下下：：①攻攻擊擊者者發(fā)發(fā)出出一一封封電電子子郵郵件件，，聲聲稱稱是是系系統統的的根根，，通通知知用用戶戶改改變變口口令令以以達達到到暴暴露露用用戶戶口口令令的的目目的的。。②攻攻擊擊者者打打電電話話給給系系統統管管理理員員，，聲聲稱稱自自己己是是企企業(yè)業(yè)經經理理，，丟丟失失了了modem池的的號號碼碼、、忘忘記記了了口口令令。。20.3.2威脅脅情情況況和和對對策策③謊謊說說是是計計算算機機維維修修人人員員，，被被批批準準進進入入機機房房，，并并訪訪問問系系統統控控制制臺臺。。④含含有有機機密密信信息息的的固固定定存存儲儲介介質質（（硬硬盤盤、、軟軟盤盤））被被丟丟棄棄或或不不合合適適地地標標號號，，被被非非授授權權者者假假裝裝搜搜集集廢廢物物獲獲得得。。所有有上上面面4種威威脅脅情情況況都都可可以以使使攻攻擊擊得得逞逞。。社社會會工工程程的的保保護護措措施施大大多多是是非非技技術術的的方方法法。。下下面面列列出出的的每每一一種種保保護護措措施施可可防防御御上上面面提提到到的的攻攻擊擊：：（1）培培訓訓所所有有企企業(yè)業(yè)用用戶戶的的安安全全意意識識。。（2）培培訓訓所所有有系系統統管管理理員員的的安安全全意意識識，，并并有有完完善善的的過過程程、、處處理理、、報報告告文文本本。。（3）對對允允許許外外訪訪人人員員進進入入嚴嚴格格限限制制區(qū)區(qū)域域的的負負責責人人進進行行安安全全意意識識培培訓訓。。2.電子子竊竊聽聽Internet協議議集集在在設設計計時時并并未未考考慮慮安安全全。。TELNET、FTP、SMTP和其其他他基基于于TCP/IP的應應用用易易于于從從被被動動的的線線接接頭頭獲獲取取。。用用戶戶鑒鑒別別信信息息（（如如用用戶戶名名和和口口令令））易易于于從從網網絡絡中中探探測測到到，，并并偽偽裝裝成成授授權權員員工工使使用用。。假假如如外外部部人人員員對對企企業(yè)業(yè)設設施施獲獲得得物物理理訪訪問問，，則則可可以以將將帶帶有有無無線線modem的手手提提計計算算機機接接到到局局域域網網或或集集線線器器上上，，所所有有通通過過局局域域網網或或集集線線器器的的數數據據易易于于被被任任何何威威脅脅者者取取得得。。此此外外，，假假如如外外部部人人員員能能電電子子訪訪問問帶帶有有modem服務務器器進進程程的的工工作作站站，，就就可可以以將將其其作作為為進進入入企企業(yè)業(yè)網網絡絡的的入入口口。。任任何何在在Internet傳輸輸的的數數據據對對泄泄露露威威脅脅都都是是漏漏洞洞。。所所有有上上述述4種威威脅脅都都有有可可能能使使這這些些攻攻擊擊得得逞逞。。防止止竊竊聽聽的的保保護護措措施施包包括括鑒鑒別別和和加加密密。。使使用用雙雙因因子子鑒鑒別別提提供供強強的的鑒鑒別別，，典典型型的的做做法法是是授授權權用用戶戶持持有有一一個個編編碼碼信信息息的的物物理理標標記記再再加加上上一一個個用用戶戶個個人人標標識識號號（（PIN）或口令。保保護傳輸中的的口令和ID，可以采用加加密的措施。。鏈路加密（（SSL和IPv6）保護直接物物理連接或邏邏輯通信通路路連接的兩個個系統之間傳傳輸的信息。。應用加密（（安全Telnet和FTP、S/MIME）提供供報文文保護護，在在源端端加密密，只只在目目的地地解密密。數數字簽簽名可可認證證發(fā)送送者的的鑒別別信息息，如如伴隨隨用哈哈希算算法可可保護護報文文的完完整性性。3.軟件缺缺陷當前兩兩個最最大的的軟件件缺陷陷是緩緩沖器器溢出出和拒拒絕服服務攻攻擊。。當寫寫入太太多的的數據據時，，就會會發(fā)生生緩沖沖器溢溢出，，通常常是一一串字字符寫寫入固固定長長度的的緩沖沖器。。對數數據緩緩沖器器的輸輸入沒沒有足足夠的的邊界界檢查查，使使得輸輸入超超過緩緩沖器器的容容量。。一般般情況況下，，系統統崩潰潰是由由于程程序試試圖訪訪問一一個非非法地地址。。然而而，也也有可可能用用一個個數據據串來來代替替生成成可檢檢測的的差錯錯，從從而造造成攻攻擊者者希望望的特特定系系統的的漏洞洞。CarnegieMellon軟件工工程研研究所所的計計算機機應急急響應應組（（ComputerEmergenoyResponseTeam，CERT）有196個有關關緩沖沖器溢溢出的的文檔檔報告告，如如Microsoft的終端端服務務器OutlookExpress,Internet信息服服務器器（IIS），還還有一一些眾眾人熟熟知的的有關關網絡絡服務務的，，如網網絡定定時協協議（（NetworkTimeProtocol，NTP）、Sendmail、BIND、SSHv1.37、Kerberos等。一個拒拒絕服服務攻攻擊使使得目目標系系統響響應變變慢，，以致致完全全不可可用。。有很很多原原因可可導致致這種種結果果：①①編編程錯錯誤以以致使使用100%的CPU時間。。②由由于內內存的的漏洞洞使系系統的的內存存使用用連續(xù)續(xù)增加加。③③Web請求或或遠程程過程程調用用（RPC）中發(fā)發(fā)生的的畸形形數據據請求求。④④大的的分組組請求求，如如大量量電子子郵件件地址址請求求和Internet控制報報文協協議（（InternetControlMessageProtocol，ICMP）請求求。⑤⑤不停停的網網絡通通信UDP和ICMP造成廣廣播風風暴和和網絡絡淹沒沒。⑥⑥偽造造的路路由信信息或或無響響應的的連接接請求求。⑦⑦布線線、電電源、、路由由器、、平臺臺或應應用的的錯誤誤配置置。CERT有318個文本本是關關于對對各種種應用用和平平臺操操作系系統的的拒絕絕服務務攻擊擊。在在大多多數情情況下下，由由于攻攻擊者者已經經損壞壞了執(zhí)執(zhí)行攻攻擊的的機器器，使使得要要告發(fā)發(fā)這些些個體體實施施的攻攻擊很很困難難。4.信息轉轉移（（主機機之間間的信信任關關系））信任轉轉移是是把信信任關關系委委托給給可信信的中中介。。一旦旦外部部人員員破壞壞了中中介信信任的的機器器，其其他的的主機機或服服務器器也易易于破破壞。。這樣樣的攻攻擊例例子如如下：：①①誤用用一個個.rhosts文件使使受損損的機機器不不需口口令就就能攻攻擊任任何在在.rhosts文件中中的機機器。。②假假如外外面的的用戶戶偽裝裝成一一個網網絡操操作系系統用用戶或或服務務器，，則所所有信信任該該特定定用戶戶或服服務器器的其其他服服務器器也易易于受受破壞壞。③③一個個通過過網絡絡文件件系統統（NetworkFileSystem,NFS）由各各工作作站共共享文文件的的網絡絡，假假如其其中一一個客客戶工工作站站受損損，一一個攻攻擊者者能在在文件件系統統服務務器上上生成成可執(zhí)執(zhí)行的的特權權，那那么攻攻擊者者能如如同正正常用用戶一一樣登登錄服服務器器并執(zhí)執(zhí)行特特權命命令。。信任轉轉移的的保護護措施施主要要是非非技術術方法法。大大部分分UNIX環(huán)境（（非DCE）不提提供信信任轉轉移的的自動動機制制。因因此系系統管管理員員在映映射主主機之之間的的信任任關系系時必必須特特別小小心。。5.數據驅驅動攻攻擊（（惡意意軟件件）數據驅驅動攻攻擊是是由嵌嵌在數數據文文件格格式中中的惡惡意軟軟件引引起的的。這這些數數據文文件格格式如如PS編程語語言（（postscript）文件件、在在文本本中的的MSWord基本命命令、、shell命令表（（shellscript）,下載的病病毒或惡惡意程序序。數據驅動動攻擊的的例子如如下：①一個個攻擊者者發(fā)送一一個帶有有文件操操作的postscript文件，將將攻擊者者的主機機標識加加到.rhosts文件；或或者打開開一個帶帶有Word基本命令令的MSWord文本，能能夠訪問問Windows動態(tài)鏈接接庫(DynamicLinkLibrary，DLL)內的任何何功能，，包括Winsock.dll。②一個個攻擊者者發(fā)送一一個postscript文件，該該文件常常駐在基基于postscript的傳真服服務器中中，就能能將每一一個發(fā)送送和接收收的傳真真拷貝發(fā)發(fā)送給攻攻擊者。。③一個個用戶從從網上下下載shellscript或惡意軟軟件，將將受害者者的口令令文件郵郵寄給攻攻擊者，，并刪除除所有受受害者的的文件。。④利用用HTTP瀏覽器包包裝諸如如特洛伊伊木馬等等惡意軟軟件。6.拒絕服務務DoS攻擊并不不利用軟軟件的缺缺陷，而而是利用用實施特特定協議議的缺陷陷。這些些攻擊會會中斷計計算平臺臺和網絡絡設備的的運行，，使特定定的網絡絡端口、、應用程程序（如如SMTP代理）和和操作系系統內核核超載。。這些攻攻擊的例例子有TCPSYN淹沒、ICMP炸彈、電電子郵件件垃圾、、Web欺騙、域域名服務務（DomainNameSystem,DNS）攔劫等等。保持持計算平平臺和網網絡設備備的及時時更新能能避免大大多數這這些攻擊擊。防止止有一些些攻擊需需要諸如如網絡防防火墻這這類網絡絡過濾系系統。7.DNS欺騙域名系統統（DNS）是一個個分布式式數據庫庫，用于于TCP/IP應用中，，映射主主機名和和IP地址，以以及提供供電子郵郵件路由由信息。。如果Internet地址值到到域名的的映射綁綁定過程程被破壞壞，域名名就不再再是可信信的。這這些易破破壞的點點是訛用用的發(fā)送送者、訛訛用的接接收者、、訛用的的中介，，以及服服務提供供者的攻攻擊。例例如，假假如一個個攻擊者者擁有自自己的DNS服務器，，或者破破壞一個個DNS服務器，，并加一一個含有有受害者者.rhosts文件的主主機關系系，攻擊擊者就很很容易登登錄和訪訪問受害害者的主主機。對DNS攻擊的保保護措施施包括網網絡防火火墻和過過程方法法。網絡絡防火墻墻安全機機制依靠靠雙DNS服務器，，一個用用于企業(yè)業(yè)網絡的的內部，，另一個個用于外外部，即即對外公公開的部部分。這這是為了了限制攻攻擊者了了解內部部網絡主主機的IP地址，從從而加固固內部DNS服務。Internet工程任務務組（InternetEngineeringTaskForce,IETF）正致力力于標準準安全機機制工作作以保護護DNS。所謂反反對這些些攻擊的的過程方方法是對對關鍵的的安全決決定不依依賴于DNS。8.源路由通常IP路由是動動態(tài)的，，每個路路由器決決定將數數據報發(fā)發(fā)往下面面哪一個個站。但但IP的路由也也可事先先由發(fā)送送者來確確定，稱稱源路由由。嚴格格的源路路由依賴賴于發(fā)送送者提供供確切的的通路，，IP數據報必必須按此此通路走走。松散散的源路路由依賴賴于發(fā)送送者提供供一張最最小的IP地址表，，數據報報必須按按該表的的規(guī)定通通過。攻攻擊者首首先使受受害者可可信主機機不工作作，假裝裝該主機機的IP地址，然然后使用用源路由由控制路路由到攻攻擊者主主機。受受害者的的目標主主機認為為分組來來自受害害者的可可信主機機。源路路由攻擊擊的保護護措施包包括網絡絡防火墻墻和路由由屏幕。。路由器器和防火火墻能攔攔阻路由由分組進進入企業(yè)業(yè)網絡。。9.內部威脅脅內部威脅脅包括前前面提到到的由內內部人員員作惡或或犯罪的的威脅。。大多數數計算機機安全統統計表明明，70%~80%的計算機機欺騙來來自內部部。這些些內部人人員通常常有反對對公司的的動機，，能對計計算機和和網絡進進行直接接物理訪訪問，以以及熟悉悉資源訪訪問控制制。在應應用層的的主要威威脅是被被授權的的人員濫濫用和誤誤用授權權。網絡絡層的威威脅是由由于能對對LAN進行物理理訪問，，使內部部人員能能見到通通過網絡絡的敏感感數據。。針對內部部威脅的的防護應應運用一一些基本本的安全全概念：：責任分分開、最最小特權權、對個個體的可可審性。。責任分分開是將將關鍵功功能分成成若干步步，由不不同的個個體承擔擔，如財財務處理理的批準準、審計計、分接接頭布線線的批準準等。最最小特權權原則是是限制用用戶訪問問的資源源，只限限于工作作必需的的資源。。這些資資源的訪訪問模式式可以包包括文件件訪問（（讀、寫寫、執(zhí)行行、刪除除）或處處理能力力（系統統上生成成或刪除除處理進進程的能能力）。。個體的的可審性性是保持持各個體體對其行行為負責責?？蓪弻徯酝ǔ３Ｊ怯上迪到y的用用戶標識識和鑒別別以及跟跟蹤用戶戶在系統統中的行行為來完完成。當前安全全體系結結構的能能力水平平應從安安全成熟熟度模型型的3個方面進進行評估估，即對對計劃、、布局和和配置、、運行過過程的評評估。安全評估估方法的的第1步是發(fā)現現階段，，所有有有關安全全體系結結構適用用的文本本都必須須檢查，，包括安安全策略略、標準準、指南南，信息息等級分分類和訪訪問控制制計劃，，以及應應用安全全需求。。全部基基礎設施施安全設設計也須須檢查，，包括網網絡劃分分設計，，防火墻墻規(guī)則集集，入侵侵檢測配配置；平平臺加固固標準、、網絡和和應用服服務器配配置。20.4安全評估估方法20.4.1安全評估估過程評估的第第2步是人工工檢查階階段，將將文本描描述的體體系結構構與實際際的結構構進行比比較，找找出其差差別?？煽梢圆捎糜檬止さ牡姆椒?，，也可采采用自動動的方法法。使用用網絡和和平臺發(fā)發(fā)現工具具，在網網絡內部部執(zhí)行，，可表示示出所有有的網絡絡通路以以及主機機操作系系統類型型和版本本號。NetSleuth工具是一一個IP可達性分分析器，，能提供供到網絡絡端口級級的情況況。QUESO和NMAP這些工具具具有對對主機全全部端口口掃描的的能力，，并能識識別設備備的類型型和軟件件版本。。評估的第第3步是漏洞洞測試階階段。這這是一個個系統的的檢查，，以決定定安全方方法的適適用、標標識安全全的差別別、評價價現有的的和計劃劃的保護護措施的的有效性性。漏洞洞測試階階段又可可分成3步。第1步包括網網絡、平平臺和應應用漏洞洞測試。。網絡漏漏洞測試試的目標標是從攻攻擊者的的角度檢檢查系統統?？梢砸詮囊粋€個組織的的Intranet內，也可可以從Internet的外部，，或者一一個Extranet合作伙伴伴進入組組織。用用于網絡絡漏洞測測試的工工具通常常是多種種商業(yè)化化的工具具（例如如ISS掃描器、、Cisco的Netsonar）以及開開放給公公共使用用的工具具（例如如Nessus和NMAP）。這些些測試工工具都以以相同的的方式工工作。首首先對給給出的網網絡組件件（例如如防火墻墻、路由由器、VPN網關、平平臺）的的所有網網絡端口口進行掃掃描。一一旦檢測測到一個個開啟的的端口，，就使用用已知的的各種方方法攻擊擊這端口口（例如如在MicrosoftIIS5.0、Kerberos、SSHdaemon和SunSolsticeAdminSuiteDaemon的緩沖器器溢出））。大部部分商業(yè)業(yè)產品能能生成一一個詳細細的報告告，根據據攻擊產產生的危危害，按按風險級級別列出出分類的的漏洞。。漏洞測試試的第2步是平臺臺掃描，，又稱系系統掃描描。平臺臺掃描驗驗證系統統配置是是否遵守守給定的的安全策策略。此此外，它它還檢測測任何安安全漏洞洞和配置置錯誤（（例如不不安全的的文件保保護——注冊和配配置目錄錄）以及及可利用用的網絡絡服務（（例如HTTP、FTP、DNS、SMTP等）。一一旦平臺臺的安全全加固已已經構建建，系統統掃描將將構成基基礎，它它定時地地檢測任任何重要要的變化化（例如如主頁更更換、Web站點受損損）。漏洞測試試的第3步是應用用掃描。。應用掃掃描工具具不像網網絡或平平臺工具具那樣是是自動的的，因此此，它是是一個手手動的處處理過程程。其理理念是模模仿攻擊擊者成為為授權用用戶是如如何誤用用這應用用。安全評估估的最后后1步是認證證安全體體系結構構的處理理過程部部分。包包括自動動的報警警設施以以及負責責配置所所有安全全體系結結構組件件（如防防火墻、、IDS、VPN等）的人人。安全全控制出出現的問問題最多多的是人人為的差差錯。例例如，引引起防火火墻不能能安全運運行的主主要原因因是配置置的錯誤誤以及不不好的變變更管理理過程，，如下面面一些情情況：①①有一一個防火火墻管理理員在深深夜接到到一個緊緊急電話話，聲稱稱由于網網絡的問問題使應應用出錯錯。②管管理員取取消管理理集對分分組的限限制，觀觀察是否否是防火火墻阻斷斷了這個個分組。。③應用用開始正正常工作作，管理理員回去去睡覺，，但忘了了防火墻墻管理集集是打開開著的。。④之后后企業(yè)網網絡被入入侵，因因為防火火墻并不不執(zhí)行任任何訪問問控制。。在漏洞分分析測試試期間，，安全體體系結構構監(jiān)控和和報警設設施應在在最忙的的狀態(tài)。。測試可可以事先先通知，，允許凈凈化安全全日志、、分配合合適的磁磁盤空間間。測試試也可以以事先不不通知，，可以測測量安全全支持人人員的反反應時間間。測量量Internet服務提供供者的反反應時間間是有用用的，特特別是他他們負責責管理Internet防火墻的的情況。。將上面5個漏洞分分析測試試階段的的結果匯匯總、分分析，可可得出總總的風險險分析文文本，從從5個階段中中產生的的信息是是覆蓋的的。很多多自動工工具廠商商有內置置的報告告產生器器，根據據可能引引起危害害的漏洞洞進行分分類。風風險分析析信息必必須應用用到經營營業(yè)務，，轉而成成為經營營業(yè)務影影響的文文本。很很多安全全評估報報告沒有有將風險險分析反反饋到對對經營業(yè)業(yè)務的影影響，安安全評估估的價值值就很小小。圖20.2表示從安全全成熟度模模型3個方面的安安全評估階階段。圖20.2安全評估階階段由于Internet協議TCP/IP的實施沒有有任何內置置的安全機機制，因此此大部分基基于網絡的的應用也是是不安全的的。網絡安安全評估的的目標是保保證所有可可能的網絡絡安全漏洞洞是關閉的的。多數網網絡安全評評估是在公公共訪問的的機器上，，從Internet上的一個IP地址來執(zhí)行行的，諸如如E-mail服務器、域域名服務器器（DNS）、Web服務器、FTP和VPN網關等。另另一種不同同的網絡評評估實施是是給出網絡絡拓撲、防防火墻規(guī)則則集和公共共可用的服服務器及其其類型的清清單。20.4.2網絡安全評評估網絡評估的的第1步是了解網網絡的拓撲撲。假如防防火墻在阻阻斷跟蹤路路由分組，，這就比較較復雜，因因為跟蹤路路由器是用用來繪制網網絡拓撲的的。第2步是獲取公公共訪問機機器的名字字和IP地址，這是是比較容易易完成的。。只要使用用DNS并在ARIN（AmericanRegistryforInternetNumber）試注冊所所有的公共共地址。最后1步是對全部部可達主機機做端口掃掃描的處理理。端口是是用于TCP/IP和UDP網絡中將一一個端口標標識到一個個邏輯連接接的術語。。端口號標標識端口的的類型，例例如80號端口專用用于HTTP通信。假如如給定端口口有響應，，那么將測測試所有已已知的漏洞洞。表20-2列出了各種種類型的端端口掃描技技術。(見書中表20-2)平臺安全評評估的目的的是認證平平臺的配置置（操作系系統對已知知漏洞不易易受損、文文件保護及及配置文件件有適當的的保護）。。認證的惟惟一方法是是在平臺自自身上執(zhí)行行一個程序序。有時該該程序稱為為代理，因因為集中的的管理程序序由此開始始。假如平平臺已經適適當加固，，那么有一一個基準配配置。評估的第1部分是認證證基準配置置、操作系系統、網絡絡服務（FTP、rlogin、telnet、SSH等）沒有變變更。黑客客首先是將將這些文件件替換成自自己的版本本。這些版版本通常是是記錄管理理員的口令令，并轉發(fā)發(fā)給Internet上的攻擊者者。假如任任何文件需需打補丁或或需要使用用服務包，，代理將通通知管理員員。20.4.3平臺安全估估計第2部分測試是是認證管理理員的口令令，大部分分機器不允允許應用用用戶登錄到到平臺，對對應用的用用戶鑒別是是在平臺上上運行的，，而不是平平臺本身。。此外，還有有測試本地地口令的強強度，如口口令長度、、口令組成成、字典攻攻擊等。最后跟蹤審審計子系統統，在黑客客作案前就就能跟蹤其其行跡。數據庫的安安全評估也也是必須的的，這部分分內容不在在本書敘述述范圍內。。應用安全評評估比使用用像網絡和和平臺掃描描這些自動動工具而言言，需要更更多的技藝藝。黑客的的目標是得得到系統對對應用平臺臺的訪問，，強迫應用用執(zhí)行某些些非授權用用戶的行為為。很多基基于Web應用的開發(fā)發(fā)者使用公公共網關接接口(CommonGatewayInterface,CGI)來分析表格格，黑客能能利用很多多已知漏洞洞來訪問使使用CGI開發(fā)的Web服務器平臺臺（例如放放入“&”這些額外的的字符）。。20.4.4應用安全評評估低質量編寫寫的應用程程序的最大大風險是允允許訪問執(zhí)執(zhí)行應用程程序的平臺臺。當一個個應用損壞壞時，安全全體系結構構必須將黑黑客包含進進平臺。一一旦一臺在在公共層的的機器受損損，就可用用它來攻擊擊其他的機機器。最通通用的方法法是在受損損的機器上上安裝一臺臺口令探測測器。根據計算機機信息系統統安全技術術發(fā)展的要要求，信息息系統安全全保護等級級劃分和評評估的基本本準則如下下。1.可信計算機機系統評估估準則TCSEC（TrustedComputerSystemEvaluationCriteria,可信計算機機系統評估估準則）是是由美國國國家計算機機安全中心心（NCSC）于1983年制定的計計算機系統統安全等級級劃分的基基本準則，，又稱桔皮皮書。1987年NCSC又發(fā)布了紅紅皮書，即即可信網絡絡指南（TrustedNetworkInterpretationoftheTCSEC,TNI）,1991年又發(fā)布了了可信數據據庫指南（（TrustedDatabaseInterpretationoftheTCSEC,TDI）。20.5安全評估準準則2.信息技術安安全評估準準則ITSEC（InformationTechnologySecurityEvaluationCriteria,信息技術安安全評估準準則）由歐歐洲四國（（荷、法、、英、德））于1989年聯合提出出，俗稱白白皮書。在在吸收TCSEC的成功經驗驗的基礎上上，首次在在評估準則則中提出了了信息安全全的保密性性、完整性性、可用性性的概念，，把可信計計算機的概概念提高到到可信信息息技術的高高度。3.通用安全評評估準則CC（CommandCriteriaforITSecurityEvaluation,通用安全評評估準則））由美國國國家標準技技術研究所所（NIST）、國家安安全局（NSA）、歐洲的的荷、法、、德、英以以及加拿大大等6國7方聯合提出出，并于1991年宣布，1995年發(fā)布正式式文件。它它的基礎是是歐洲的白白皮書ITSEC、美國的（（包括桔皮皮書TCSEC在內的）新新的聯邦評評價準則、、加拿大的的CTCPEC以及及國國際際標標準準化化組組織織的的ISO/SCITWGS的安安全全評評價價標標準準。。4.計算算機機信信息息系系統統安安全全保保護護等等級級劃劃分分準準則則我國國國國家家質質量量技技術術監(jiān)監(jiān)督督局局于于1999年發(fā)發(fā)布布的的國國家家標標準準，，序序號號為為GB17859-1999。評評價價準準則則的的出出現現為為我我們們評評價價、、開開發(fā)發(fā)、、研研究究計計算算機機及及其其網網絡絡系系統統的的安安全全提提供供了了指指導導準準則則。。TCSEC共分分為為4類7級：：D、C1、C2、B1、B2、B3、A1。1.D級安全全性性能能達達不不到到C1級的的劃劃分分為為D級。。D級并并非非沒沒有有安安全全保保護護功功能能，，只只是是太太弱弱。。2.C1級，，自自主主安安全全保保護護級級可信信計計算算基基定定義義和和控控制制系系統統中中命命名名用用戶戶對對命命名名客客體體的的訪訪問問。。實實施施機機制制（（如如訪訪問問控控制制表表））允允許許命命名名用用戶戶和和用用戶戶組組的的身身份份規(guī)規(guī)定定并并控控制制客客體體的的共共享享，，并并阻阻止止非非授授權權用用戶戶讀讀取取敏敏感感信信息息。。20.5.1可信信計計算算機機系系統統評評估估準準則則可信信計計算算基基（（TrustedComputingBase,TCB）是是指指為為實實現現計計算算機機處處理理系系統統安安全全保保護護策策略略的的各各種種安安全全保保護護機機制制的的集集合合。。3.C2級，，受受控控存存取取保保護護級級與自自主主安安全全保保護護級級相相比比，，本本級級的的可可信信計計算算基基實實施施了了粒粒度度更更細細的的自自主主訪訪問問控控制制，，它它通通過過登登錄錄規(guī)規(guī)程程、、審審計計安安全全性性相相關關事事件件以以及及隔隔離離資資源源，，使使用用戶戶能能對對自自己己的的行行為為負負責責。。4.C2級，，標標記記安安全全保保護護級級本級級的的可可信信計計算算基基具具有有受受控控存存取取保保護護級級的的所所有有功功能能。。此此外外，，還還可可提提供供有有關關安安全全策策略略模模型型、、數數據據標標記記以以及及主主體體對對客客體體強強制制訪訪問問控控制制的的非非形形式式化化描描述述，，具具有有準準確確地地標標記記輸輸出出信信息息的的能能力力，，可可消消除除通通過過測測試試發(fā)發(fā)現現的的任任何何錯錯誤誤。。5.B2級，結構化保保護級本級的可信計計算基建立于于一個明確定定義的形式安安全策略模型型之上，它要要求將B1級系統中的自自主和強制訪訪問控制擴展展到所有主體體與客體。此此外，還要考考慮隱蔽通道道。本級的可可信計算基必必須結構化為為關鍵保護元元素和非關鍵鍵保護元素。?？尚庞嬎慊慕涌谝脖乇仨毭鞔_定義義，使其設計計與實現能經經受更充分的的測試和更完完整的復審。。加強了鑒別別機制，支持持系統管理員員和操作員的的職能，提供供可信設施管管理，增強了了配置管理控控制。系統具具有相當的抗抗?jié)B透能力。。6.B3級，安全域級級本級的可信計計算基滿足訪訪問監(jiān)控器需需求。訪問監(jiān)監(jiān)控器是指監(jiān)監(jiān)控主體和客客體之間授權權訪問關系的的部件。訪問問監(jiān)控器仲裁裁主體對客體體的全部訪問問。訪問監(jiān)控控器本身是抗抗篡改的，必必須足夠小，，能夠分析和和測試。為了了滿足訪問監(jiān)監(jiān)控器需求，，可信計算基基在其構造時時排除實施對對安全策略來來說并非必要要的代碼。在在設計和實現現時，從系統統工程角度將將其復雜性降降低到最小程程度。支持安安全管理員職職能；擴充審審計機制，當當發(fā)生與安全全相關的事件件時發(fā)出信號號；提供系統統恢復機制。。系統具有很很高的抗?jié)B透透能力。7.A1級，驗證設計計級本級的安全功功能與B3級相同，但最最明顯的不同同是本級必須須對相同的設設計運用數學學形式化證明明方法加以驗驗證，以證明明安全功能的的正確性。本本級還規(guī)定了了將安全計算算機系統運送送到現場安裝裝所必須遵守守的程序。這是我國國家家質量技術監(jiān)監(jiān)督局于1999年發(fā)布的計算算機信息系統統安全保護等等級劃分的基基本準則，是是強制性的國國家標準，序序號為GB17859-1999。準則規(guī)定了了計算機信息息系統安全保保護能力的5個等級。20.5.2計算機信息系系統安全保護護等級劃分準準則1.概述《準則》是計算機信息息系統安全等等級保護系列列標準的核心心，制定《準則》是實行計算機機信息系統安安全等級保護護制度建設的的重要基礎，，其主要目的的是：支持計算機信信息系統安全全法規(guī)的制定定；為計算機信息息系統安全產產品的研發(fā)提提供功能框架架；為安全系統的的建設和管理理提供技術指指導?！稖蕜t》在系統地、科科學地分析計計算機處理系系統的安全問問題的基礎上上，結合我國國信息系統建建設的實際情情況，將計算算機信息系統統的安全等級級劃分為如下下5級：第一級,用戶自主保護護級；第二級，系統統審計保護級級；第三級，安全全標記保護級級；第四級，結構構化保護級；；第五級，訪問問驗證保護級級。各級的命名，，主要考慮了了使各級的名名稱能夠體現現這一級別安安全功能的主主要特性。計計算機信息系系統安全保護護能力隨著安安全保護等級級的增高，逐逐漸增強。5個級別的安全全保護能力之之間的關系如如圖20.3所示。圖20.3各等級安全保保護能力示意意圖2.技術功能說明明在計算機信息息系統的安全全保護中，一一個重要的概概念是可信計計算基（trustedcomputingbase,TCB）?？尚庞嬎闼慊且粋€實實現安全策略略的機制，包包括硬件、軟軟件和必要的的固件，它們們將根據安全全策略來處理理主體（系統統管理員、安安全管理員和和用戶）對客客體（進程、、文件、記錄錄、設備等））的訪問?？煽尚庞嬎慊呔哂幸韵绿匦孕裕簩嵤┲黧w對客客體的安全訪訪問的功能；；抗篡改的性質質；易于分析與測測試的結構。。在《準則》規(guī)定的5個級別中，其其安全保護能能力主要取決決于可信計算算基的特性，，即各級之間間的差異主要要體現在可信信計算基的構構造及它所具具有的安全保保護能力上。。1.概述通用安全評估估準則(CC)是一個國際標標準。該標準準描述了這么么一個規(guī)則：：“……可作為評估IT產品與系統的的基礎……，這個標準允允許在相互獨獨立的不同安安全評估結果果之間進行比比較……，提供一套公公共的用于IT產品與系統的的安全功能集集，以及適應應該功能集的的安全保障的的測度。評估估過程確定了了IT產品與系統關關于安全功能能及保障的可可信水平”。。CC由3個部分組成：：安全功能、、安全保障與與評估方法。。信息系統安安全工程（ISSE）可以利用CC作為工具支持持其行為，包包括為信息保保護系統制定定系統級的描描述和支持批批準過程。20.5.3通用安全評估估準則圖20.4CC中的安全概念念與相互關系系圖20.4顯示CC是如何應用的的，用CC的語法建立信信息安全的過過程是符合ISSE過程的。發(fā)掘掘信息保護需需求的行為提提供了各種信信息，如所有有者怎樣評估估資產、威脅脅代理是什么么、什么是威威脅、什么是是對策（要求求與功能）和和什么是風險險（部分地））。定義信息息保護系統的的行為提供了了用于描述如如下事務的信信息：什么是是對策（命名名組件）、什什么是脆弱性性（基于體系系結構）、什什么是風險（（更全面）。。設計信息保保護系統的行行為提供了如如下信息：什什么是對策（（驗證了的信信息保護產品品功能）、什什么是脆弱性性（基于設計計的、組合并并驗證了的測測試結果）和和什么是風險險（更加全面面）。實現信信息保保護系系統的的行為為最后后提供供了如如下信信息：：什么么是對對策（（安裝裝了的的、有有效的的信息息系統統保護護功能能）、、什么么是脆脆弱性性（基基于有有效性性與漏漏洞測測試實實現結結果））、什什么是是風險險（更更加全全面））。CC并不不描描述述個個體體和和操操作作的的安安全全，，也也不不描描述述評評估估的的有有效效性性或或其其他他使使系系統統更更有有效效的的管管理理經經驗驗。。CC提供供了了一一種種標標準準的的語語言言與與語語法法，，用用戶戶和和開開發(fā)發(fā)者者可可以以用用它它來來聲聲明明系系統統的的通通用用功功能能（（保保護護輪輪廓廓或或PP）或或被被評評估估的的特特定定性性能能（（安安全全目目標標或或ST）。。PP都以以標標準準化化的的格格式式定定義義了了一一套套功功能能要要求求與與保保障障要要求求，，它它們們或或者者來來自自于于CC，或或由由用用戶戶定定義義，，用用來來解解決決已已知知的的或或假假設設的的安安全全問問題題（（可可能能定定義義成成對對被被