第3章 网络防御技术 指导教师:杨建国 2013年8月10日.

Presentation on theme: "第3章 网络防御技术 指导教师:杨建国 2013年8月10日."— Presentation transcript:

1 第3章 网络防御技术 指导教师:杨建国 2013年8月10日

2 第3章 网络防御技术 3.1 安全架构 3.2 密码技术 3.3 防火墙技术 3.4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术
3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术 3.10 可信计算 3.11 访问控制机制 3.12 计算机取证 3.13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计

3 3.17 信息安全评估

4 本章目录 8.1 评估准备 8.2 识别并评价资产 8.3 识别并评估威胁 8.4 识别并评估脆弱性 8.5 分析可能性和影响
8.1 评估准备 8.2 识别并评价资产 8.3 识别并评估威胁 8.4 识别并评估脆弱性 8.5 分析可能性和影响 8.6 风险计算 8.7 风险处理 8.8 编写信息安全风险评估报告 上机实验

5 8.1 评估准备 　　　依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，在风险评估实施前，应确定风险评估的目标，确定评估范围，组建评估管理与实施团队，进行系统调研，确定评估依据和方法，制定评估方案，获得最高管理者的支持。 　　　8.1.1  确定信息安全风险评估的目标 　　××信息系统风险评估目标是通过风险评估，分析信息系统的安全状况，全面了解和掌握信息系统面临的安全风险，评估信息系统的风险，提出风险控制建议，为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。

6 　　　 确定信息安全风险评估的范围 　　　既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员，以及由系统使用时所产生的文档、数据。 　　　 组建适当的评估管理与实施团队 　　　组建由该单位领导、风险评估专家、技术专家，以及各管理层、业务部门的相关人员组成风险评估小组，同时明确规定每个成员的任务分工 。

7 　　　 进行系统调研 　　　通过问卷调查、人员访谈、现场考察、核查表等形式，对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》，调查了系统的管理、设备、人员管理的情况，现场考察、核查表的方式考察了设备的具体位置，核查了设备的实际配置等情况，得出有关信息系统的描述。 　　　 业务目标和业务特性 　　　1．业务目标 　　　××信息系统主要负责数据的收集、技术处理以及预测分析，为相关部门提供决策和管理支持，向社会提供公益服务。

8 通过对信息系统的业务目标的分析，归纳出以下业务特性：
　　　　 2．业务特性 　通过对信息系统的业务目标的分析，归纳出以下业务特性： ⑴ 业务种类多，技术型工作与管理型工作并重； ⑵ 业务不可中断性低； ⑶ 业务保密性要求低； ⑷ 业务基本不涉及现金流动； ⑸ 人员业务素质要求高。

9 　　　 管理特性 　　　现有的规章制度原则性要求较多，可操作性较低，在信息安全管理方面偏重于技术。 　　　 网络特性 　　　××信息系统的网络拓扑结构图如图8-1所示。

10 图8-1 网络拓扑结构图

11 8.1.5 评估依据 评估所遵循的依据如下： 1.《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）
　 评估依据 　评估所遵循的依据如下： 1.《信息安全技术 信息安全风险评估规范》（GB/T ） 2.《信息技术　信息技术安全管理指南》（GB/T ） 3.《信息技术　信息安全管理实用规则》（GB/T ） 2.《信息安全等级保护管理办法》（公通字[2007]43号） 3.《信息安全技术 信息系统安全管理要求》（GB/T ）

12 　　　 信息安全风险评估项目实施方案 　　　 项目组织机构 　　　项目实施的组织机构如下: 　　　项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果；项目实施完毕之后，领导小组将根据整个项目的成果情况，批准并主持项目试点总结工作。

13 　　　项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划，并监督项目进展情况；主持阶段成果汇报会议；做好协调工作，保证项目的顺利执行。
　　　项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划，根据实施计划开展工作。 　　　质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。 　　　外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。

14 　　 项目阶段划分 　　　本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 　　　项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。 　　　现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料记录表单》。 　　　检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。

15 分析评估：根据相关标准或实践经验确定安全风险，并给出整改措施。工作方式：访谈、研讨会。工作成果：《安全风险分析说明》。
　　　分析评估：根据相关标准或实践经验确定安全风险，并给出整改措施。工作方式：访谈、研讨会。工作成果：《安全风险分析说明》。 　　　编制评估报告：完成最终评估报告。工作方式：研讨会。工作成果：《信息系统综合评估报告》。 表8-1 ××信息系统风险评估实施进度表 ID 任务名称 开始时间 完成时间 持续时间 2007年5月 2007年6月 5-6 5-13 5-20 5-27 6-3 6-10 6-17 6-24 1 项目准备 5-8 5-17 10d 2 现状调研 5-18 11d 3 检查与测试 5-28 6-8 12d 4 分析评估 6-9 9d 5 编制评估报告 6-18 6-28

16 　　　8.1.7 获得最高管理者对信息安全风险评估工作的支持
　　　上述所有内容得到了相关管理者的批准，并对管理层和员工进行了传达。

17 8.2 识别并评价资产 　　　依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和第7章信息安全风险评估的基本过程，对资产进行分类并按照资产的保密性、完整性和可用性进行赋值。 　　　 识别资产 　　　根据对××信息系统的调查分析，并结合业务特点和系统的安全要求，确定了系统需要保护的资产，见表8-2。

18 表8-2 信息系统资产列表 资产编号 资产名称 型号 A-01 路由器-1 CISCO3640 A-02 路由器-2 华为NE40 A-03
交换机-1 CATALYST4000 A-04 交换机-2 CISCO3745 A-05 交换机-3 CISCO2950 A-06 防火墙-1 联想网域SuperV-5318 A-07 防火墙-2 联想网域UTM-418D A-08 防火墙-3 网神Secgate 3600-F3 A-09 防病毒服务器 MACFEE A-10 数据服务器 HP DL380 A-11 应用服务器 A-12 PC-1 HP X8620 A-13 PC-2 A-14 UPS Champin(20KW) A-15 空调 美的

19 　　　 资产赋值 　　　对识别的信息资产，按照资产的不同安全属性，即保密性、完整性和可用性的重要性和保护要求，分别对资产的CIA三性予以赋值，见表8-3，这里采用五个等级。

20 表8-3 资产CIA三性等级表 资产编号 资产名称 型号 保密性 完整性 可用性 A-01 路由器-1 CISCO3640 A-02
A-02 路由器-2 华为NE40 1 3 2 A-03 交换机-1 CATALYST4000 A-04 交换机-2 CISCO3745 A-05 交换机-3 CISCO2950 4 A-06 防火墙-1 联想网域SuperV-5318 A-07 防火墙-2 联想网域UTM-418D A-08 防火墙-3 网神Secgate 3600-F3 A-09 防病毒服务器 MACFEE A-11 数据服务器 HP DL380 A-12 应用服务器 A-14 PC-1 HP X8620 A-15 PC-2 A-16 UPS Champin(20KW) 5 A-18 空调 美的

21 　　　 资产价值 　　　根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。资产价值如表8-4所示。

22 表8-4 资产价值表 资产编号 资产名称 安全属性赋值 权值 资产价值 保密性 完整性 可用性 A-01 路由器-1 1 0．1 0．5
0．4 1.0 A-02 路由器-2 3 2 2.4 A-03 交换机-1 0．3 0．6 2.8 A-04 交换机-2 A-05 交换机-3 4 3.8 A-06 防火墙-1 0．2 0．7 3.5 A-07 防火墙-2 2.9 A-08 防火墙-3 A-09 防病毒服务器 3.4 A-10 数据服务器 A-11 应用服务器 A-12 PC-1 3.7 A-13 PC-2 A-14 UPS 5 4.3 A-15 空调 0．0 3.0

23 8.3 识别并评估威胁 表8-5是本次评估分析得到的威胁列表。
8.3 识别并评估威胁 　　　　在本次评估中，首先收集系统所面临的威胁，然后对威胁的来源和行为进行分析。威胁的收集主要是通过问卷调查、人员访谈、现场考察、查看系统工作日志以及安全事件报告或记录等方式进行，同时使用绿盟1200D-02，收集整个系统所发生的入侵检测记录。 　　表8-5是本次评估分析得到的威胁列表。

24 表8-5 ××信息系统面临的威胁列表 威胁编号 威胁类别 描述 T-01 硬件故障 由于设备硬件故障导致对业务高效稳定运行的影响。 T-02
未授权访问 因系统或网络访问控制不当引起的非授权访问。 T-03 漏洞利用 利用操作系统本身的漏洞导致的威胁。 T-04 操作失误或维护错误 由于应该执行而没有执行相应的操作，或非故意地执行了错误的操作，对系统造成影响。 T-05 木马后门攻击 T-06 恶意代码和病毒 具有复制、自我传播能力，对信息系统构成破坏的程序代码。 T-07 原发抵赖 不承认收到的信息和所作的操作。 T-08 权限滥用 滥用自己的职权，做出泄露或破坏。 T-09 泄密 通过窃听、恶意攻击的手段获得系统秘密信息。 T-10 数据篡改 通过恶意攻击非授权修改信息，破坏信息的完整性。

25 8.4 识别并评估脆弱性 从技术和管理两方面对本项目的脆弱性进行评估。技术脆弱性主要是通过使用极光远程安全评估系统进行系统扫描。按照脆弱性工具使用计划，使用扫描工具对主机等设备进行扫描，查找主机的系统漏洞、数据库漏洞、共享资源以及帐户使用等安全问题。在进行工具扫描之后，结合威胁分析的内容，根据得出的原始记录，进行整体分析。按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理脆弱性。

26 表8-6 技术脆弱性评估结果 资产名称 脆弱性ID 脆弱性名称 脆弱性描述 路由器-1 VULN-01 Cisco未设置密码
将允许攻击者获得网络的 更多信息 VULN-02 CISCO IOS界面被IPv4 数据包阻塞 通过发送不规则IPv4数据 包可以阻塞远程路由器。 路由器-2 VULN-03 没有制定访问控制策略 VULN-04 安装与维护缺乏管理 交换机-1 VULN-05 日志及管理功能未启用 交换机-2 VULN-06 CSCdz39284 当发送畸形的SIP数据包 时，可导致远程的IOS瘫痪 VULN-07 CSCdw33027 当发送畸形的SSH数据包 交换机-3 VULN-08 CSCds04747 Cisco的IOS软件有一个漏 洞，允许获得TCP的初始序 列号 VULN-09 没有配备Service Password Encryption服务 没有配备Service Password Encryption服务 防火墙-1 VULN-10 VULN-11 缺少操作规程和职责管理 防火墙-2 VULN-12 防火墙开放端口增加 VULN-13 防火墙关键模块失效 资产名称 脆弱性ID 脆弱性名称 脆弱性描述 防火墙-3 VULN-14 未启用日志功能 防病毒服务器 VULN-15 操作系统补丁未安装 未及时安装补丁 VULN-16 设备不稳定 VULN-17 操作系统的口令策略没有启用 VULN-18 操作系统开放多余服务 数据服务器 VULN-19 缺少操作规程和职责管理 VULN-20 存在弱口令 VULN-21 VULN-22 没有访问控制措施 应用服务器 VULN-23 VULN-24 VULN-25 VULN-26 Telnet漏洞 VULN-27 可以通过SMB连接注册表 PC-1 VULN-28 VULN-29 使用NetBIOS探测Windows主机信息 PC-2 VULN-30 木马和后门 VULN-31 SMB shares access SMB登录 VULN-32 弱口令 UPS VULN-33 空调 VULN-34

27 8.5 分析可能性和影响 　　　 分析威胁发生的频率 　威胁发生的频率需要根据威胁、脆弱性和安全措施来综合评价。表8-7给出了5个级别定义的描述。 表8-7 可能性级别定义 等级 威胁频率 描述 5 很高 大多数情况下几乎不可避免或者可以证实发 生过的频率很高 4 高 在大多数情况下很有可能会发生或者可以证 实曾发生过 3 中 在某种情况下可能会发生但未被证实发生过 2 低 一般不太可能发生 1 很低 几乎不可能发生

28 脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。
分析脆弱性严重程度 脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。 表8-8 严重程度定义 等级 严重程度 描述 5 很高 可引起系统持续中断或永久关闭。可引起代理信息 或服务的重大损失 4 高 可引起重要系统的中断，或连接客户损失或商业信 任损失 3 中等 能引起系统声望的损害，或是对系统资源或服务的 信任程度的降低，需要支付重要资源维修费 2 低 对系统有一些很小的影响，只须很小的努力就可恢 复系统 1 很低 对系统几乎没有影响

29 8.6 风险计算 首先建立资产、威胁和脆弱性关联，并给威胁发生的可能性及脆弱性严重程度赋值，如表8-9所示。
8.6 风险计算 首先建立资产、威胁和脆弱性关联，并给威胁发生的可能性及脆弱性严重程度赋值，如表8-9所示。 在本项目中，采用7.8介绍的矩阵法和相乘法进行风险计算。

30 表8-9 资产、威胁、脆弱性关联表 资产 威胁 频率 脆弱性 严重 程度 路由器-1 未授权访问 2 Cisco未设置密码 3 漏洞利用 5
CISCO IOS界面被IPv4数据包阻塞 路由器-2 没有制定访问控制策略 4 操作失误或 维护错误 安装与维护缺乏管理 交换机-1 日志及管理功能未启用 交换机-2 CSCdz39284 CSCdw33027 交换机-3 CSCds04747 没有配备Service Password Encryption服务 防火墙-1 缺少操作规程和职责管理 防火墙-2 1 防火墙开放端口增加 防火墙关键模块失效 防火墙-3 原发抵赖 未启用日志功能 病毒服务器 恶意代码或病毒 操作系统补丁未安装 硬件故障 设备不稳定 操作系统的口令策略没有启用 木马后门攻击 操作系统开放多余服务 资产 威胁 频率 脆弱性 严重 程度 数据服务器 操作失误或维护 错误 2 缺少操作规程和职责 管理 5 未授权访问 4 存在弱口令 恶意代码或病毒 3 操作系统补丁未安装 权限滥用 没有访问控制措施 应用服务器 漏洞利用 Telnet漏洞 可以通过SMB连接 注册表 PC-1 数据篡改 使用NetBIOS探测 Windows主机信息 PC-2 木马和后门 SMB shares access 窃密 弱口令 UPS 硬件故障 1 设备不稳定 空调

31 使用矩阵法计算风险 利用矩阵法，首先根据表7-21，计算安全事件发生的可能性，再根据安全事件可能等级划分表7-22，计算安全事件发生的可能性值等级。根据安全事件发生损失矩阵表7-23，计算安全事件的损失，再根据安全事件损失等级划分表7-24，计算安全事件损失等级。根据风险矩阵表7-25，计算风险风险值。最后根据风险等级划分表7-26，确定风险等级。所有计算结果如表8-10所示。

32 表8-10 风险计算表1 资产 价值 威胁 频率 脆弱性 严重 程度 安全事件 可能性 等级 损失 风险 值 A-01 1 T-02 2
VULN-01 3 10 6 8 T-03 5 VULN-02 17 4 15 A-02 VULN-03 13 12 T-04 VULN-04 A-03 VULN-05 11 A-04 VULN-06 VULN-07 A-05 VULN-08 20 19 VULN-09 A-06 VULN-10 22 23 VULN-11 A-07 VULN-12 14 16 VULN-13 9 A-08 T-07 VULN-14

33 资产 价值 威胁 频率 脆弱性 严重 程度 安全事件 可能性 等级 损失 风险 值 A-09 3 T-06 VULN-15 5 20 4 T-01 1 VULN-16 14 16 T-02 VULN-17 22 23 T-05 VULN-18 18 15 17 A-10 T-04 2 VULN-19 VULN-20 25 VULN-21 T-08 VULN-22 19 A-11 VULN-23 VULN-24 VULN-25 T-03 VULN-26 VULN-27 A-12 VULN-28 T-10 VULN-29 A-13 VULN-30 VULN-31 T-09 VULN-32 A-14 VULN-33 A-15 VULN-34

34 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。

35 8.7风险处理 　　　8.7.1现存风险判断 　　　内容依据风险评估结果，假设风险等级在4级以上不可接受，通过分析，发现有21个不可接受风险。分析结果如表8-12所示。

36 没有配备Service Password Encryption服务
表8-12 风险接受等级划分表 资产ID0 资产名称 威胁 脆弱性 风险 等级 是否可 接受 A-01 路由器-1 未授权访问 Cisco未设置密码 2 是 漏洞利用 CISCO IOS界面被IPv4数据包阻塞 3 A-02 路由器-2 没有制定访问控制策略 操作失误或维护错误 安装与维护缺乏管理 A-03 交换机-1 日志及管理功能未启用 A-04 交换机-2 CSCdz39284 CSCdw33027 A-05 交换机-3 CSCds04747 4 否 没有配备Service Password Encryption服务 A-06 防火墙-1 缺少操作规程和职责管理 A-07 防火墙-2 防火墙开放端口增加 防火墙关键模块失效 A-08 防火墙-3 原发抵赖 未启用日志功能 A-09 病毒服务器 恶意代码或病毒 操作系统补丁未安装 硬件故障 设备不稳定 操作系统的口令策略没有启用 木马后门攻击 操作系统开放多余服务

37 使用NetBIOS探测Windows主机信息
资产ID0 资产名称 威胁 脆弱性 风险 等级 是否可 接受 A-10 数据服务器 操作失误或维护错误 缺少操作规程和职责管理 4 否 未授权访问 存在弱口令 5 恶意代码或病毒 操作系统补丁未安装 权限滥用 没有访问控制措施 A-11 应用服务器 漏洞利用 Telnet漏洞 可以通过SMB连接注册表 A-12 PC-1 数据篡改 使用NetBIOS探测Windows主机信息 A-13 PC-2 木马和后门 SMB shares access 3 是 窃密 弱口令 A-14 UPS 硬件故障 设备不稳定 A-15 空调

38 8.7风险处理 　　　 风险控制需求分析 按照系统的风险等级接受程度，通过对本信息系统技术层面的安全功能、组织层面的安全控制和管理层面的安全对策进行分析描述，形成已有安全措施的需求分析结果，如表8-13所示。 表8-13 风险控制需求分析表 编号 控制需求 说明 R1 保障XXXX系统内网的正常运行。 R2 保障XXXX系统外网的正常运行。 R3 保障办公用计算机系统正常运行。 R4 保障网站信息的正常发布。 R5 保证基本信息的保密性、完整性、可用性。

39 《风险控制需求分析表》（表8-13），确定风险控制目标， 如表8-14所示。
风险控制目标 依据《风险接受等级划分表》（表8-12）、 《风险控制需求分析表》（表8-13），确定风险控制目标， 如表8-14所示。 表8-14 控制目标 编号 控制目标 需求 T1 数据库系统（内、外网数据库服务器） R1、R2、R5 T2 网络支撑系统（路由器、交换机、通信线路） R1、R2、R4、R5 T3 网络安全系统（防病毒、防火墙、数据恢复、IDS、漏洞扫描） T4 网络管理系统（CISCOWORKS、HPOPENVIEW） T5 网上信息发布系统（内、外网WEB服务器） R4 T6 终端系统（PC、笔记本电脑） R3 T7 介质及文档（数据备份文档等）

40 控制措施选择 依据《风险控制需求分析表》（表8-13）、《控制目标表》（表8-14），针对控制目标，综合考虑控制成本和实际的风险控制需求，建议采取适当的控制措施，如表8-15所示。

41 表8-15 安全控制措施选择 编号 控制措施 对应控制目标 优先级 M1 制定具体科室负责信息安全工作，明确人员及其分工。 T1～T7 高
制定定期开展信息安全意识教育培训的计划并落实。 M3 对所属的服务器和主机进行安全配置检查，并重新配置安全策略。 M4 开启重要服务器和主机的审计功能，并制定审计记录的维护和分析流程。 M5 对内、外网的服务器默认配置进行必要的更改。 M6 制定具体的备份与恢复制度。 T1、T7 M7 制定具体的安全事件处理制度。 M8 对应用系统制定统一的完整性保护策略，并使用有效工具进行完整性约束。 M9 制定合理的资源分配策略，包括：最大并发连接数，最小并发连接数，单个用户会话数量等。 M10 及时针对安全漏洞打补丁。 M11 对用户文件制定统一的完整性保护策略，并使用有效工具进行完整性约束。 M12 完善对介质的管理。 T7 中 M13 制定操作层面的管理制度。 M14 使用清晰、耐久的标签对线缆、插座进行标识；保证布线的合理性。 M15 对通信线路进行定期的检查并记录。 M16 解决机房的温控问题。

42 8.8 编写信息安全风险评估报告 最后，编写记录××信息系统风险评估过程得到的所有结果 的风险评估报告，完成对本系统的风险评估。 上机实验 实验项目：信息安全风险评估 实验目的：掌握信息安全风险评估的过程。 实验环境：具体网络信息系统环境。 实验内容：结合具体的信息系统评估项目， 完成信息安全风险评估，并编写各阶段报告。

43 具体步骤如下： 1．风险评估的准备工作。 ⑴ 确定风险评估的目标； ⑵ 确定风险评估的范围； ⑶ 组建适当的评估管理与实施团队； ⑷ 进行系统调研； ⑸ 确定评估依据和方法； ⑹ 获得最高管理者对风险评估工作的支持

44 　2．识别并评价资产。 在划定的评估范围内，以网络拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，形成一个信息资产的清单。在识别出所有信息资产后，为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值，根据三个安全属性的权值计算资产的价值。形成《系统信息资产识别清单》。确定关键资产，详细识别关键资产的安全属性，并对关键资产的重要性进行赋值，形成《系统重要信息资产评估报告》。 　本阶段所采用的方法包括： 　（1）会议：召集评估小组成员和相关人员进行资产分析会议； 　（2）手工记录表格：通过资产调查表的填写确定信息资产状况。

45 3．识别并评估威胁。 识别关键资产所面临的威胁，及威胁对资产所产生的影响。形成《威胁列表》。本阶段所采用的方法包括： 　（1）IDS采样分析。使用IDS，通过对网络流量进行不间断的分析，从中发现攻击、入侵或非法访问等行为。 　（2）日志分析。通过检查不同来源的日志文件发现曾经发生过的威胁，获取威胁信息。 　（3）人员访谈。评估小组成员与规划编写人员及项目建设人员进行访谈交流。 　　4．识别并评估脆弱性。 从技术、管理和策略三个方面进行脆弱性评估，其中在技术 方面主要是通过远程和本地两种方式进行系统扫描、对网络设备 和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗 透测试。管理脆弱性评估方面主要对现有的安全管理制度及其执 行情况进行检查，发现其中的管理漏洞和不足；策略脆弱性评估 方面主要是从整体网络安全的角度对现有的网络安全策略。

46 　　进行全局性的评估，它也包括了技术和管理方面的内容。脆弱性评估阶段形成文档《脆弱性列表》。
此阶段所采用的方法包括： 　　（1）利用漏洞扫描工具进行扫描； 　　（2）渗透测试； 　　（3）各类检查列表。 　5．风险分析。 通过分析上面所评估的数据，进行风险值计算，确定风险等级，确认高风险因素，提出整改意见。形成《风险分析报告》和《规划整改意见》。此阶段所采用的方法包括： 　（1）会议：召集评估小组成员进行风险分析会议。 　（2）咨询交流：评估小组成员与相关人员及第三方专家 进行访谈交流。 　（3）资料审查确认：评估小组成员将对形成的风险分析 报告和整改建议进行审查确认。

47 信息安全评估准则 姓名：万项超 学号：S

48 评估准则 1.可信计算机系统评估准则（TCSEC） 2.信息技术安全评估准则（ITSEC） 3.信息安全技术通用评估准则（CC）
4.我国信息安全评估准则（GB & GB &GB ）

49 TCSEC 1983年，由美国国家计算机安全中心（NCSC）初次颁布 1985年，进行了更新，并重新发布
2005年，被国际标准信息安全通用评估准则（CC）代替

50 TCSEC 标准制定的目的 2). 给计算机行业的制造商提供一种可循的指导规则; 1). 提供一种标准，使用户可以对其计算机系统内敏
感信息安全操作的可信程度做评估。 2). 给计算机行业的制造商提供一种可循的指导规则; 使其产品能够更好地满足敏感应用的安全需求。

51 TCSEC 计算机系统安全等级 1、D1 级 这是计算机安全的最低一级。D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。D1级的计算机系统包括：MS-Dos、Windows95 、Apple的System7.x 2、C1 级 C1级系统要求硬件有一定的安全机制，用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有： UNIX 系统 、 XENIX 、Novell3.x或更高版本 、Windows NT

52 TCSEC 3、C2 级 C2级实际是安全产品的最低档次，提供受控的存取保护。
常见的C2级系统有：操作系统中Microsoft的Windows NT 3.5，UNIX系统。数据库产品有oracle公司的oracle 7，Sybase公司的SQL Server11.0.6等。

53 TCSEC B1级系统支持多级安全，多级是指这一安全保护安装在不同级别的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级的保护。
这一级别称为结构化的保护（Structured Protection)。B2级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。 6、B3 级 B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。 7、A 级 这一级有时也称为验证设计（verified design)。必须采用严格的形式化方法来证明该系统的安全性 ，所有构成系统的部件的来源必须安全保证 。

54 ITSEC 1990年5月，英、法、德、荷根据对各国的评估标准进行协调制定ITSEC
目前，ITSEC已大部分被CC替代

55 ITSEC 安全性要求 1、功能 为满足安全需求而采取的技术安全措施。 2、保证 确保功能正确实现和有效执行的安全措施。
功能要求从F1～F10共分10级。 1～5级对应于TCSEC的C1、C2、 B1、B2、B3。F6至F10级分别对应数据和程序的完整性、系统的可用性数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。 2、保证 确保功能正确实现和有效执行的安全措施。 保证要求从E0（没有任何保证）～E6（形式化验证）共分7级. ITSEC把完整性、可用性与保密性作为同等重要的因素。

56 CC 1996年6月， CC 第一版发布 1998年5月， CC 第二版发布 1999年10月，CC V2.1版发布
1999年12月，ISO采纳CC，并作为国际 标准ISO/IEC 15408发布 2004年1月， CC V2.2版发布 2005年8月， CC V2.3版发布 2005年7月， CC V3.0版发布 2006年9月， CC V3.1.release 1 发布 2007年9月， CC V3.2.release 2 发布 2009年9月， CC V3.1.release 3 发布

57 CC重要概念 PP (Protection Profile)及其评估: ST (Security Target)及其评估:
PP是一类TOE基于其应用环境定义的一组安全要求，不管这些要求如何实现，实现问题交由具体ST实现，PP确定在安全解决方案中的需求 ST (Security Target)及其评估: ST是依赖于具体的TOE的一组安全要求和说明，用来指定TOE的评估基础。ST确定在安全解决方案中的具体要求。 TOE (Target of Evaluation)及其评估: TOE评估对象，作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。

58 CC CC的组成 1、简介和一般模型 描述了对安全保护轮廓（PP）和安全目标（ST）的要求。PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。 2、安全功能要求 详细介绍了为实现PP和ST所需要的安全功能要求 3、安全保证要求 详细介绍了为实现PP和ST所需要的安全保证要求

59 CC CC的中心内容 当第一部分在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。

60 CC CC组成的的层次关系

61 CC 功能组件的层次结构

62 CC CC将安全功能要求分为以下11类： 前七类的安全功能是提供给信息系统使用的 1、安全审计类 2、通信类（主要是身份真实性和抗抵赖）
3、密码支持类 4、用户数据保护类 5、标识和鉴别类 6、安全管理类（与TSF有关的管理） 7、隐秘类（保护用户隐私） 前七类的安全功能是提供给信息系统使用的

63 CC 后四类安全功能是为确保安全功能模块（TSF）的 自身安全而设置的。 8、 TOE保护功能类（TOE自身安全保护）
11、可信路径/信道类。 后四类安全功能是为确保安全功能模块（TSF）的 自身安全而设置的。

64 CC 保证组件的层次结构

65 CC 具体的安全保证要求分为以下10类 : 1、配置管理类 2、分发和操作类 3、开发类 4、指导性文档类 5、生命周期支持类 6、测试类
7、脆弱性评定类 8、保证的维护类 9、保护轮廓评估类 10、安全目标评估类

66 CC 按照对上述10类安全保证要求的不断递增，CC将 TOE分为7个安全保证级，分别是： 第一级(EAL1)： 功能测试级

67 CC CC评估产品统计

68 保护轮廓（PP）的文档结构

69 CC一般模型中的TOE评估过程 开发 安全要求 TOE 评估准则 （PP和ST） 评估方法 评估 评估方案 TOE和评 TOE 估证据 运行
评估结果 反馈

70 我国信息安全评估准则 《计算机信息系统安全保护等级划分标准》：GB 17859-1999

71 计算机信息系统的安全划分 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级
  第一级：用户自主保护级 第二级：系统审计保护级   第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级    

72 国家授权测评机构 到目前为止，国家中心根据发展需要，已批准筹建了14家授权测评机构。其中，上海测评中心、计算机测评中心、东北测评中心、华中测评中心、深圳测评中心已 获得正式授权；西南测评中心、身份认证产品与技术测评中心等5个授权测评机构已挂牌试运行；其它4个授权测评机构正处于筹建阶段

73 中国信息安全产品测评认证中心的认证产品目录
信息安全产品认证 （1） 防火墙 （2） 安全扫描器 （3） IDS （4） 安全审计 （5） 网络隔离 （6） VPN （7） 智能卡 （8） 卡终端 （9） 安全管理 其他IT产品安全性认证 （1） 操作系统 （2） 数据库 （3） 交换机 （4） 路由器 （5） 应用软件 （6） 其他