1、第第20章章 安全认证和评估安全认证和评估20.1 风险管理风险管理20.2 安全成熟度模型安全成熟度模型20.3 威胁威胁20.4 安全评估方法安全评估方法20.5 安全评估准则安全评估准则20.6 本章小结本章小结习题习题针对内部和外部的攻击所采用的安全体系结构的能针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化,新的应用正力需要认证和评估。技术在不断变化,新的应用正在开发,新的平台正在加到非军事区(在开发,新的平台正在加到非军事区(DMZ),),额外的端口正在加进防火墙。由于竞争,很多应用额外的端口正在加进防火墙。由于竞争,很多应用在市场的生存时间越来越短,软
2、件开发生命周期中在市场的生存时间越来越短,软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录,将计算机、网络设备以及在网有一个完全的目录,将计算机、网络设备以及在网络上的各个应用编制进去,而只是将这些组件独自络上的各个应用编制进去,而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分,应用的漏洞(脆弱性)不断发证的一个组成部分,应用的漏洞(脆弱性)不断发生。生。安全评估认证安全体系结构是否能满足安全策略和安全评估认证安全体系结构是否能满足安全策略和最好
3、的经营业务实际。一个典型的安全评估问题是最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引它经常没有用于对经营业务的影响的评析。这里引入一个概念,称为安全成熟度模型(入一个概念,称为安全成熟度模型(Security Maturity Model,SMM),用来适当地测量一个给定用来适当地测量一个给定的准则,该准则基于在工业界最佳的经营业务实际,的准则,该准则基于在工业界最佳的经营业务实际,且能将其反馈到经营业务。它还提供一个改进的方且能将其反馈到经营业务。它还提供一个改进的方法,包括将不足之处列成清单。安全成熟度模型可法,包括将不足之处列成清单。安全成熟度
4、模型可测量企业安全体系结构的测量企业安全体系结构的3个不同部分:计划、技个不同部分:计划、技术与配置、操作运行过程。术与配置、操作运行过程。从经营业务的观点看,要求安全解决方案的性能价从经营业务的观点看,要求安全解决方案的性能价格比最好,即基于特定产业的最佳实际。在任何系格比最好,即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而,决统中的安全控制应预防经营业务的风险。然而,决定哪些安全控制是合适的以及性能价格比好的这一定哪些安全控制是合适的以及性能价格比好的这一过程经常是复杂的,有时甚至是主观的。安全风险过程经常是复杂的,有时甚至是主观的。安全风险分析的最主要功能是将
5、这个过程置于更为客观的基分析的最主要功能是将这个过程置于更为客观的基础上。础上。风险管理是识别、评估和减少风险的过程。一个组风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、个体包括总经理、CFO(Chief Financial Officer,首席财务执行官)、经营业务部门的负责人,以及首席财务执行官)、经营业务部门的负责人,以及信息所有者。信息所有者。一个组织的总的风险依赖于下面一些属性:一个组织的总的风险依赖于下面一些属性:资产的质量(丢失资产的效应)和数量(钱)的价资产的质量(丢失资产的效
6、应)和数量(钱)的价值;值;基于攻击的威胁可能性;基于攻击的威胁可能性;假如威胁实现,对经营业务的影响。假如威胁实现,对经营业务的影响。20.1 风险管理风险管理将资产价值和代价相联系或决定投资回报(将资产价值和代价相联系或决定投资回报(Return On Investment,ROI)的能力经常是困难的。相反,)的能力经常是困难的。相反,可以确定保护机制的代价。将国家秘密的信息作为可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息,因为对这些信息的错误处理,其结极敏感的信息,因为对这些信息的错误处理,其结果将危害到国家秘密。比之于商业组织,政府愿意果将危害到国家秘密。比之于商业组织,政
7、府愿意花更多的费用来保护信息。花更多的费用来保护信息。直接的定量花费包括更换损坏的设备、恢复后备和直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测硬盘的费用等。由于事故而引起的宕机时间是可测量的,很多金融贸易系统因此而遭受大量经济损失。量的,很多金融贸易系统因此而遭受大量经济损失。生产的降低,例如生产的降低,例如E-mail服务器宕机,很多组织的服务器宕机,很多组织的工作将停止。工作将停止。与定量的代价相比,质量的代价对组织的破坏更大。与定量的代价相比,质量的代价对组织的破坏更大。假如用来销售的假如用来销售的Web站点被黑客破坏了,有可能所站点被黑客破坏
8、了,有可能所有客户的信用卡号被偷,这将严重地影响这个站点有客户的信用卡号被偷,这将严重地影响这个站点的信誉。也有可能在短时期内,经营业务停止。的信誉。也有可能在短时期内,经营业务停止。风险评估对漏洞和威胁的可能性进行检查,并考虑风险评估对漏洞和威胁的可能性进行检查,并考虑事故造成的可能影响。威胁的水平决定于攻击者的事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用动机、知识和能力。大部分内部人员不大可能使用黑客工具,然而十分熟悉网上的应用,可以删除文黑客工具,然而十分熟悉网上的应用,可以删除文件、引起某些物理损坏,甚至是逻辑炸弹等。件、引起某些物理损坏,甚
9、至是逻辑炸弹等。漏洞水平和保护组织资产的安全体系结构的能力正漏洞水平和保护组织资产的安全体系结构的能力正相反。如果安全控制弱,那么暴露的水平高,随之相反。如果安全控制弱,那么暴露的水平高,随之发生事故灾难的机率也大。对数据、资源的漏洞及发生事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性,且很难预测:资其利用的可能性取决于以下属性,且很难预测:资产的价值、对对手的吸引力、技术的变更、网络和产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。处理器的速度、软件的缺陷等。描述威胁和漏洞最好的方法是根据对经营业务的影描述威胁和漏洞最好的方法是根据对经营业务的影
10、响描述。此外,对特殊风险的评估影响还和不确定响描述。此外,对特殊风险的评估影响还和不确定性相联系,也依赖于暴露的水平。所有这些因素对性相联系,也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性,因此安全的计划正确地预测具有很大的不确定性,因此安全的计划和认证是十分困难的。图和认证是十分困难的。图20.1表示了风险评估的方表示了风险评估的方法。法。图图20.1 风险评估方法风险评估方法成熟度模型可用来测量组织的解决方案(软件、硬成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于安全评估,件和系统)的能力和效力。因此它可用于安全评估,以测量针对业界最佳实际
11、的安全体系结构。可以就以测量针对业界最佳实际的安全体系结构。可以就以下以下3个方面进行分析:计划、技术和配置、操作个方面进行分析:计划、技术和配置、操作运行过程。运行过程。20.2 安全成熟度模型安全成熟度模型安全计划包括安全策略、标准、指南以及安全需求。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准技术和配置的成熟度水平根据选择的特定产品、准则,在组织内的安置以及产品配置而定。操作运行则,在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控,以及安全教育方过程包括变更管理、报警和监控,以及安全教育方面。美国面。美国Carnegie
12、Mellon大学的软件工程研究所大学的软件工程研究所(Software Engineering Insititue,SEI)制定了系统)制定了系统安全工程能力成熟度模型(安全工程能力成熟度模型(System Security Engineering Capability Maturity Model,SSE-CMM)。它将安全成熟度能力级别分成)。它将安全成熟度能力级别分成4级,以适级,以适应不同级别的安全体系结构,如表应不同级别的安全体系结构,如表20-1所示。所示。表表20-1 安全成熟度能力级别安全成熟度能力级别安全成熟度能力级别安全成熟度能力级别说明说明无效力(无效力(50%50%)总
13、的安全体系结构没有遵从企业安全策总的安全体系结构没有遵从企业安全策略、法规,以及最佳经营实际。略、法规,以及最佳经营实际。需要改进(需要改进(65%65%)安全体系结构中无效力的应少于安全体系结构中无效力的应少于35%35%合适(合适(85%85%)企业的安全计划、布署、配置和过程控企业的安全计划、布署、配置和过程控制使安全体系结构能满足总的目标。制使安全体系结构能满足总的目标。极好(超过极好(超过100%100%)安全体系结构超过了总的目标及需求。安全体系结构超过了总的目标及需求。1.安全计划安全计划一个好的安全体系结构必须建立在一个坚固的安全一个好的安全体系结构必须建立在一个坚固的安全计划
14、基础之上。计划的文本必须清晰、完整。很多计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题:组织的安全策略、标准和指南存在以下一些问题:(1)内容太旧,已过时,不适用于当前的应用。内容太旧,已过时,不适用于当前的应用。安全策略应每年更新,以适应技术的变化。安全策略应每年更新,以适应技术的变化。(2)文本有很多用户,如开发者、风险管理者、文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种解释。如果陈述审计人员,所用语言又适用于多种解释。如果陈述太抽象,那么实施时将无效力。太抽象,那么实施时将无效力。(3)表达不够详细。很多组织的安全策略观念只
15、表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信是一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。息的等级分类以及访问控制计划文本。(4)用户需要知道有关安全的文本。如果用户不用户需要知道有关安全的文本。如果用户不能方便地获得和阅读文本,就会无意地犯规,然而能方便地获得和阅读文本,就会无意地犯规,然而难以追查责任。难以追查责任。2.技术和配置技术和配置当今,市场上有很多安全厂商和安全产品,但是没当今,市场上有很多安全厂商和安全产品,但是没有一个产品能提供完全的安全解决方案。诸如防火有一个产品能提供完全的安全解决方案。诸如防火墙、墙、
16、IDS、VPN、鉴别服务器等产品都只是解决有、鉴别服务器等产品都只是解决有限的问题。安全专业人员应能适当地选择产品,正限的问题。安全专业人员应能适当地选择产品,正确地将它们安置在基础设施中,合适地配置和支持。确地将它们安置在基础设施中,合适地配置和支持。然而,他们经常会不正确地采购安全产品,例如,然而,他们经常会不正确地采购安全产品,例如,有人认为只要在需要保护的有价值的资产前放置一有人认为只要在需要保护的有价值的资产前放置一个防火墙,就什么问题都能解决。从网络的观点看个防火墙,就什么问题都能解决。从网络的观点看部分正确,但防火墙不提供应用和平台的保护,也部分正确,但防火墙不提供应用和平台的保
17、护,也不提供有用的入侵检测信息。不提供有用的入侵检测信息。安全产品的合适配置也是一个挑战。有时产品的默安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问,只有清晰的允许规则能通认配置是拒绝所有访问,只有清晰的允许规则能通过通信。安全产品配置的最大挑战是需要有熟练的过通信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。专业人员来配置和管理。3.运行过程运行过程运行过程包括安全组件需要的必要支持和维护、变运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。安全基础
18、设施组安全管理,以及安全报警与监控。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支件的支持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有能退回到目前工作版本的持。允许的变更管理要有能退回到目前工作版本的设施,并且要和经营业务连续性计划协调一致。设施,并且要和经营业务连续性计划协调一致。安全设备会产生一些不规则的日志信息,这对管理安全设备会产生一些不规则的日志信息,这对管理员来说是复杂的,一旦配置有差错,就会阻止访问员来说是复杂的,一旦配置有差错,就会阻止访问网络、应用或平台。对各种人员的培训是任何安全网络、应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后,
19、识别安全事故的能力体系结构成功的关键。最后,识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。且按照一个逐步升级的过程来恢复是最重要的。技术变化十分迅速,对从事于安全事业的人员增加技术变化十分迅速,对从事于安全事业的人员增加了很多困难,因此选择高水平的人员从事该项工作了很多困难,因此选择高水平的人员从事该项工作是必须的。特别是,从事安全培训的专业人员是有是必须的。特别是,从事安全培训的专业人员是有效信息安全程序的关键,要使用各种有效媒体进行效信息安全程序的关键,要使用各种有效媒体进行安全培训课程。每个企业员工都要接受安全培训,安全培训课程。每个企业员工都要接受安全培训,要对不同的人员
20、(例如安全管理员、最终用户、数要对不同的人员(例如安全管理员、最终用户、数据拥有者)有针对性地进行培训。据拥有者)有针对性地进行培训。在第在第2章中讲到,风险是构成安全基础的基本观念。章中讲到,风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。测定风险的风险是丢失需要保护的资产的可能性。测定风险的两个组成部分是漏洞和威胁。漏洞是攻击可能的途两个组成部分是漏洞和威胁。漏洞是攻击可能的途径,威胁是一个可能破坏信息系统安全环境的动作径,威胁是一个可能破坏信息系统安全环境的动作或事件。威胁包含或事件。威胁包含3个组成部分:个组成部分:(1)目标,可能受到攻击的方面。目标,可能受到攻击的方
21、面。(2)代理,发出威胁的人或组织。代理,发出威胁的人或组织。(3)事件,做出威胁的动作类型。作为威胁的代事件,做出威胁的动作类型。作为威胁的代理,必须要有访问目标的能力,有关于目标的信息理,必须要有访问目标的能力,有关于目标的信息类型和级别的知识,还要有对目标发出威胁的理由。类型和级别的知识,还要有对目标发出威胁的理由。20.3 威胁威胁本章从安全的验证和评估出发,具体分析各种威胁本章从安全的验证和评估出发,具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。源、威胁是如何得逞的以及针对这些威胁的对策。弄清楚威胁的来源是减少威胁得逞可能性的关键,弄清楚威胁的来源是减少威胁得逞可能性的
22、关键,下面陈述各种主要的威胁源。下面陈述各种主要的威胁源。1.人为差错和设计缺陷人为差错和设计缺陷最大的威胁来源是操作中人为的疏忽行为。据一些最大的威胁来源是操作中人为的疏忽行为。据一些统计,造成信息系统在经费和生产力方面损失的一统计,造成信息系统在经费和生产力方面损失的一半是由于人为的差错,另一半则是有意的、恶意的半是由于人为的差错,另一半则是有意的、恶意的行为。这些人为差错包括不适当地安装和管理设备、行为。这些人为差错包括不适当地安装和管理设备、软件,不小心地删除文件,升级错误的文件,将不软件,不小心地删除文件,升级错误的文件,将不正确的信息放入文件,忽视口令更换或做硬盘后备正确的信息放入
23、文件,忽视口令更换或做硬盘后备等行为,从而引起信息的丢失、系统的中断等事故。等行为,从而引起信息的丢失、系统的中断等事故。20.3.1 威胁源威胁源上述事故由于设计的缺陷,没有能防止很多普遍的上述事故由于设计的缺陷,没有能防止很多普遍的人为差错引起的信息丢失或系统故障。设计的缺陷人为差错引起的信息丢失或系统故障。设计的缺陷还会引起各种漏洞的暴露。还会引起各种漏洞的暴露。2.内部人员内部人员很多信息保护设施的侵犯是由一些试图进行非授权很多信息保护设施的侵犯是由一些试图进行非授权行动或越权行动的可信人员执行的。其动机有些是行动或越权行动的可信人员执行的。其动机有些是出于好奇,有些是恶意的,有些则是
24、为了获利。内出于好奇,有些是恶意的,有些则是为了获利。内部人员的入侵行为包括复制、窃取或破坏信息,然部人员的入侵行为包括复制、窃取或破坏信息,然而这些行为又难以检测。这些个体持有许可或其他而这些行为又难以检测。这些个体持有许可或其他的授权,或者通过那些毋需专门授权的行为使网络的授权,或者通过那些毋需专门授权的行为使网络运行失效或侵犯保护设施。根据统计,内部人员的运行失效或侵犯保护设施。根据统计,内部人员的侵犯占所有严重安全侵犯事件的侵犯占所有严重安全侵犯事件的70%80%。3.临时员工临时员工外部的顾问、合同工、临时工应和正式员工一样,外部的顾问、合同工、临时工应和正式员工一样,必须有同样的基
25、本信息安全要求和信息安全责任,必须有同样的基本信息安全要求和信息安全责任,但还需有一些附加的限制。例如,和正式员工一样,但还需有一些附加的限制。例如,和正式员工一样,需签一个信息安全遵守合同,接受相应的安全意识需签一个信息安全遵守合同,接受相应的安全意识培训。除此之外,临时员工还必须有一个专门的协培训。除此之外,临时员工还必须有一个专门的协议,只允许访问那些执行其委派的任务所需的信息议,只允许访问那些执行其委派的任务所需的信息和系统。和系统。4.自然灾害和环境危害自然灾害和环境危害环境的要求,诸如最高温度和最低温度、最高湿度、环境的要求,诸如最高温度和最低温度、最高湿度、风暴、龙卷风、照明、为
26、水所淹、雨、火灾以及地风暴、龙卷风、照明、为水所淹、雨、火灾以及地震等,都能破坏主要的信息设施及其后备系统。应震等,都能破坏主要的信息设施及其后备系统。应制定灾难恢复计划,预防和处理这些灾害。制定灾难恢复计划,预防和处理这些灾害。5.黑客和其他入侵者黑客和其他入侵者来自于非授权的黑客,为了获得钱财、产业秘密或来自于非授权的黑客,为了获得钱财、产业秘密或纯粹是破坏系统的入侵攻击行为近年来呈上升趋势。纯粹是破坏系统的入侵攻击行为近年来呈上升趋势。这些群体经常雇佣一些攻击高手并进行耸人听闻的这些群体经常雇佣一些攻击高手并进行耸人听闻的报导。这些群体包括青少年黑客、专业犯罪者、工报导。这些群体包括青少
27、年黑客、专业犯罪者、工业间谍或外国智能代理等。业间谍或外国智能代理等。6.病毒和其他恶意软件病毒和其他恶意软件病毒、蠕虫、特洛伊木马以及其他恶意软件通过磁病毒、蠕虫、特洛伊木马以及其他恶意软件通过磁盘、预包装的软件、电子邮件和连接到其他网络进盘、预包装的软件、电子邮件和连接到其他网络进入网络。这些危害也可能是由于人为差错、内部人入网络。这些危害也可能是由于人为差错、内部人员或入侵者引起的。员或入侵者引起的。采取对策以防止各种威胁情况,不仅需要了解威胁采取对策以防止各种威胁情况,不仅需要了解威胁的来源,还应知道这些威胁是怎样侵袭安全体系结的来源,还应知道这些威胁是怎样侵袭安全体系结构的。下面列举
28、各种情况。构的。下面列举各种情况。1.社会工程(系统管理过程)社会工程(系统管理过程)社会工程攻击假冒已知授权的员工,采用伪装的方社会工程攻击假冒已知授权的员工,采用伪装的方法或电子通信的方法,具体情况如下:法或电子通信的方法,具体情况如下:攻击者发出一封电子邮件,声称是系统的根,攻击者发出一封电子邮件,声称是系统的根,通知用户改变口令以达到暴露用户口令的目的。通知用户改变口令以达到暴露用户口令的目的。攻击者打电话给系统管理员,声称自己是企业攻击者打电话给系统管理员,声称自己是企业经理,丢失了经理,丢失了modem池的号码、忘记了口令。池的号码、忘记了口令。20.3.2 威胁情况和对策威胁情况
29、和对策 谎说是计算机维修人员,被批准进入机房,并谎说是计算机维修人员,被批准进入机房,并访问系统控制台。访问系统控制台。含有机密信息的固定存储介质(硬盘、软盘)含有机密信息的固定存储介质(硬盘、软盘)被丢弃或不合适地标号,被非授权者假装搜集废物被丢弃或不合适地标号,被非授权者假装搜集废物获得。获得。所有上面所有上面4种威胁情况都可以使攻击得逞。社会工种威胁情况都可以使攻击得逞。社会工程的保护措施大多是非技术的方法。下面列出的每程的保护措施大多是非技术的方法。下面列出的每一种保护措施可防御上面提到的攻击:一种保护措施可防御上面提到的攻击:(1)培训所有企业用户的安全意识。培训所有企业用户的安全意
30、识。(2)培训所有系统管理员的安全意识,并有完善培训所有系统管理员的安全意识,并有完善的过程、处理、报告文本。的过程、处理、报告文本。(3)对允许外访人员进入严格限制区域的负责人对允许外访人员进入严格限制区域的负责人进行安全意识培训。进行安全意识培训。2.电子窃听电子窃听Internet协议集在设计时并未考虑安全。协议集在设计时并未考虑安全。TELNET、FTP、SMTP和其他基于和其他基于TCP/IP的应用易于从被动的应用易于从被动的线接头获取。用户鉴别信息(如用户名和口令)的线接头获取。用户鉴别信息(如用户名和口令)易于从网络中探测到,并伪装成授权员工使用。假易于从网络中探测到,并伪装成授
31、权员工使用。假如外部人员对企业设施获得物理访问,则可以将带如外部人员对企业设施获得物理访问,则可以将带有无线有无线modem的手提计算机接到局域网或集线器的手提计算机接到局域网或集线器上,所有通过局域网或集线器的数据易于被任何威上,所有通过局域网或集线器的数据易于被任何威胁者取得。此外,假如外部人员能电子访问带有胁者取得。此外,假如外部人员能电子访问带有modem服务器进程的工作站,就可以将其作为进服务器进程的工作站,就可以将其作为进入企业网络的入口。任何在入企业网络的入口。任何在Internet传输的数据对传输的数据对泄露威胁都是漏洞。所有上述泄露威胁都是漏洞。所有上述4种威胁都有可能使种威
32、胁都有可能使这些攻击得逞。这些攻击得逞。防止窃听的保护措施包括鉴别和加密。使用双因子防止窃听的保护措施包括鉴别和加密。使用双因子鉴别提供强的鉴别,典型的做法是授权用户持有一鉴别提供强的鉴别,典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号个编码信息的物理标记再加上一个用户个人标识号(PIN)或口令。保护传输中的口令和)或口令。保护传输中的口令和ID,可以采,可以采用加密的措施。链路加密(用加密的措施。链路加密(SSL和和IPv6)保护直接)保护直接物理连接或逻辑通信通路连接的两个系统之间传输物理连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密(安全的信息。应用加密
33、(安全Telnet和和FTP、S/MIME)提供报文保护,在源端加密,只在目的地解密。数提供报文保护,在源端加密,只在目的地解密。数字签名可认证发送者的鉴别信息,如伴随用哈希算字签名可认证发送者的鉴别信息,如伴随用哈希算法可保护报文的完整性。法可保护报文的完整性。3.软件缺陷软件缺陷当前两个最大的软件缺陷是缓冲器溢出和拒绝服务当前两个最大的软件缺陷是缓冲器溢出和拒绝服务攻击。当写入太多的数据时,就会发生缓冲器溢出,攻击。当写入太多的数据时,就会发生缓冲器溢出,通常是一串字符写入固定长度的缓冲器。对数据缓通常是一串字符写入固定长度的缓冲器。对数据缓冲器的输入没有足够的边界检查,使得输入超过缓冲器
34、的输入没有足够的边界检查,使得输入超过缓冲器的容量。一般情况下,系统崩溃是由于程序试冲器的容量。一般情况下,系统崩溃是由于程序试图访问一个非法地址。然而,也有可能用一个数据图访问一个非法地址。然而,也有可能用一个数据串来代替生成可检测的差错,从而造成攻击者希望串来代替生成可检测的差错,从而造成攻击者希望的特定系统的漏洞。的特定系统的漏洞。Carnegie Mellon软件工程研究所的计算机应急响应软件工程研究所的计算机应急响应组(组(Computer Emergenoy Response Team,CERT)有有196个有关缓冲器溢出的文档报告,如个有关缓冲器溢出的文档报告,如Microsof
35、t的终端服务器的终端服务器Outlook Express,Internet信息服务器信息服务器(IIS),还有一些众人熟知的有关网络服务的,),还有一些众人熟知的有关网络服务的,如网络定时协议(如网络定时协议(Network Time Protocol,NTP)、)、Sendmail、BIND、SSHv1.37、Kerberos等。等。一个拒绝服务攻击使得目标系统响应变慢,以致完一个拒绝服务攻击使得目标系统响应变慢,以致完全不可用。有很多原因可导致这种结果:全不可用。有很多原因可导致这种结果:编程编程错误以致使用错误以致使用100%的的CPU时间。由于内存的漏时间。由于内存的漏洞使系统的内存使
36、用连续增加。洞使系统的内存使用连续增加。Web请求或远程请求或远程过程调用(过程调用(RPC)中发生的畸形数据请求。大的)中发生的畸形数据请求。大的分组请求,如大量电子邮件地址请求和分组请求,如大量电子邮件地址请求和Internet控控制报文协议(制报文协议(Internet Control Message Protocol,ICMP)请求。不停的网络通信)请求。不停的网络通信UDP和和ICMP造造成广播风暴和网络淹没。伪造的路由信息或无响成广播风暴和网络淹没。伪造的路由信息或无响应的连接请求。布线、电源、路由器、平台或应应的连接请求。布线、电源、路由器、平台或应用的错误配置。用的错误配置。C
37、ERT有有318个文本是关于对各种应用和平台操作个文本是关于对各种应用和平台操作系统的拒绝服务攻击。在大多数情况下,由于攻击系统的拒绝服务攻击。在大多数情况下,由于攻击者已经损坏了执行攻击的机器,使得要告发这些个者已经损坏了执行攻击的机器,使得要告发这些个体实施的攻击很困难。体实施的攻击很困难。4.信息转移(主机之间的信任关系)信息转移(主机之间的信任关系)信任转移是把信任关系委托给可信的中介。一旦外信任转移是把信任关系委托给可信的中介。一旦外部人员破坏了中介信任的机器,其他的主机或服务部人员破坏了中介信任的机器,其他的主机或服务器也易于破坏。这样的攻击例子如下:器也易于破坏。这样的攻击例子如
38、下:误用一误用一个个.rhosts文件使受损的机器不需口令就能攻击任何文件使受损的机器不需口令就能攻击任何在在.rhosts文件中的机器。假如外面的用户伪装成文件中的机器。假如外面的用户伪装成一个网络操作系统用户或服务器,则所有信任该特一个网络操作系统用户或服务器,则所有信任该特定用户或服务器的其他服务器也易于受破坏。一定用户或服务器的其他服务器也易于受破坏。一个通过网络文件系统(个通过网络文件系统(Network File System,NFS)由各工作站共享文件的网络,假如其中一个客户工由各工作站共享文件的网络,假如其中一个客户工作站受损,一个攻击者能在文件系统服务器上生成作站受损,一个攻
39、击者能在文件系统服务器上生成可执行的特权,那么攻击者能如同正常用户一样登可执行的特权,那么攻击者能如同正常用户一样登录服务器并执行特权命令。录服务器并执行特权命令。信任转移的保护措施主要是非技术方法。大部分信任转移的保护措施主要是非技术方法。大部分UNIX环境(非环境(非DCE)不提供信任转移的自动机制。)不提供信任转移的自动机制。因此系统管理员在映射主机之间的信任关系时必须因此系统管理员在映射主机之间的信任关系时必须特别小心。特别小心。5.数据驱动攻击(恶意软件)数据驱动攻击(恶意软件)数据驱动攻击是由嵌在数据文件格式中的恶意软件数据驱动攻击是由嵌在数据文件格式中的恶意软件引起的。这些数据文
40、件格式如引起的。这些数据文件格式如PS编程语言编程语言(postscript)文件、在文本中的)文件、在文本中的MS Word基本命基本命令、令、shell命令表(命令表(shell script),下载的病毒或恶意下载的病毒或恶意程序。程序。数据驱动攻击的例子如下:数据驱动攻击的例子如下:一个攻击者发送一个带有文件操作的一个攻击者发送一个带有文件操作的postscript文件,将攻击者的主机标识加到文件,将攻击者的主机标识加到.rhosts文件;或者文件;或者打开一个带有打开一个带有Word基本命令的基本命令的MS Word文本,能文本,能够访问够访问Windows动态链接库动态链接库(Dy
41、namic Link Library,DLL)内的任何功能,包括内的任何功能,包括Winsock.dll。一个攻击者发送一个一个攻击者发送一个postscript文件,该文件常文件,该文件常驻在基于驻在基于postscript的传真服务器中,就能将每一的传真服务器中,就能将每一个发送和接收的传真拷贝发送给攻击者。个发送和接收的传真拷贝发送给攻击者。一个用户从网上下载一个用户从网上下载shellscript或恶意软件,将或恶意软件,将受害者的口令文件邮寄给攻击者,并删除所有受害受害者的口令文件邮寄给攻击者,并删除所有受害者的文件。者的文件。利用利用HTTP浏览器包装诸如特洛伊木马等恶意软浏览器包
42、装诸如特洛伊木马等恶意软件。件。6.拒绝服务拒绝服务DoS攻击并不利用软件的缺陷,而是利用实施特定攻击并不利用软件的缺陷,而是利用实施特定协议的缺陷。这些攻击会中断计算平台和网络设备协议的缺陷。这些攻击会中断计算平台和网络设备的运行,使特定的网络端口、应用程序(如的运行,使特定的网络端口、应用程序(如SMTP代理)和操作系统内核超载。这些攻击的例子有代理)和操作系统内核超载。这些攻击的例子有TCP SYN淹没、淹没、ICMP炸弹、电子邮件垃圾、炸弹、电子邮件垃圾、Web欺骗、域名服务(欺骗、域名服务(Domain Name System,DNS)拦)拦劫等。保持计算平台和网络设备的及时更新能避
43、免劫等。保持计算平台和网络设备的及时更新能避免大多数这些攻击。防止有一些攻击需要诸如网络防大多数这些攻击。防止有一些攻击需要诸如网络防火墙这类网络过滤系统。火墙这类网络过滤系统。7.DNS欺骗欺骗域名系统(域名系统(DNS)是一个分布式数据库,用于)是一个分布式数据库,用于TCP/IP应用中,映射主机名和应用中,映射主机名和IP地址,以及提供地址,以及提供电子邮件路由信息。如果电子邮件路由信息。如果Internet地址值到域名的地址值到域名的映射绑定过程被破坏,域名就不再是可信的。这些映射绑定过程被破坏,域名就不再是可信的。这些易破坏的点是讹用的发送者、讹用的接收者、讹用易破坏的点是讹用的发送
44、者、讹用的接收者、讹用的中介,以及服务提供者的攻击。例如,假如一个的中介,以及服务提供者的攻击。例如,假如一个攻击者拥有自己的攻击者拥有自己的DNS服务器,或者破坏一个服务器,或者破坏一个DNS服务器,并加一个含有受害者服务器,并加一个含有受害者.rhosts文件的主机关文件的主机关系,攻击者就很容易登录和访问受害者的主机。系,攻击者就很容易登录和访问受害者的主机。对对DNS攻击的保护措施包括网络防火墙和过程方法。攻击的保护措施包括网络防火墙和过程方法。网络防火墙安全机制依靠双网络防火墙安全机制依靠双DNS服务器,一个用于服务器,一个用于企业网络的内部,另一个用于外部,即对外公开的企业网络的内
45、部,另一个用于外部,即对外公开的部分。这是为了限制攻击者了解内部网络主机的部分。这是为了限制攻击者了解内部网络主机的IP地址,从而加固内部地址,从而加固内部DNS服务。服务。Internet工程任务工程任务组(组(Internet Engineering Task Force,IETF)正致)正致力于标准安全机制工作以保护力于标准安全机制工作以保护DNS。所谓反对这些。所谓反对这些攻击的过程方法是对关键的安全决定不依赖于攻击的过程方法是对关键的安全决定不依赖于DNS。8.源路由源路由通常通常IP路由是动态的,每个路由器决定将数据报发路由是动态的,每个路由器决定将数据报发往下面哪一个站。但往下面
46、哪一个站。但IP的路由也可事先由发送者来的路由也可事先由发送者来确定,称源路由。严格的源路由依赖于发送者提供确定,称源路由。严格的源路由依赖于发送者提供确切的通路,确切的通路,IP数据报必须按此通路走。松散的源数据报必须按此通路走。松散的源路由依赖于发送者提供一张最小的路由依赖于发送者提供一张最小的IP地址表,数据地址表,数据报必须按该表的规定通过。攻击者首先使受害者可报必须按该表的规定通过。攻击者首先使受害者可信主机不工作,假装该主机的信主机不工作,假装该主机的IP地址,然后使用源地址,然后使用源路由控制路由到攻击者主机。受害者的目标主机认路由控制路由到攻击者主机。受害者的目标主机认为分组来
47、自受害者的可信主机。源路由攻击的保护为分组来自受害者的可信主机。源路由攻击的保护措施包括网络防火墙和路由屏幕。路由器和防火墙措施包括网络防火墙和路由屏幕。路由器和防火墙能拦阻路由分组进入企业网络。能拦阻路由分组进入企业网络。9.内部威胁内部威胁内部威胁包括前面提到的由内部人员作恶或犯罪的内部威胁包括前面提到的由内部人员作恶或犯罪的威胁。大多数计算机安全统计表明,威胁。大多数计算机安全统计表明,70%80%的的计算机欺骗来自内部。这些内部人员通常有反对公计算机欺骗来自内部。这些内部人员通常有反对公司的动机,能对计算机和网络进行直接物理访问,司的动机,能对计算机和网络进行直接物理访问,以及熟悉资源
48、访问控制。在应用层的主要威胁是被以及熟悉资源访问控制。在应用层的主要威胁是被授权的人员滥用和误用授权。网络层的威胁是由于授权的人员滥用和误用授权。网络层的威胁是由于能对能对LAN进行物理访问,使内部人员能见到通过网进行物理访问,使内部人员能见到通过网络的敏感数据。络的敏感数据。针对内部威胁的防护应运用一些基本的安全概念:针对内部威胁的防护应运用一些基本的安全概念:责任分开、最小特权、对个体的可审性。责任分开责任分开、最小特权、对个体的可审性。责任分开是将关键功能分成若干步,由不同的个体承担,如是将关键功能分成若干步,由不同的个体承担,如财务处理的批准、审计、分接头布线的批准等。最财务处理的批准
49、、审计、分接头布线的批准等。最小特权原则是限制用户访问的资源,只限于工作必小特权原则是限制用户访问的资源,只限于工作必需的资源。这些资源的访问模式可以包括文件访问需的资源。这些资源的访问模式可以包括文件访问(读、写、执行、删除)或处理能力(系统上生成(读、写、执行、删除)或处理能力(系统上生成或删除处理进程的能力)。个体的可审性是保持各或删除处理进程的能力)。个体的可审性是保持各个体对其行为负责。可审性通常是由系统的用户标个体对其行为负责。可审性通常是由系统的用户标识和鉴别以及跟踪用户在系统中的行为来完成。识和鉴别以及跟踪用户在系统中的行为来完成。当前安全体系结构的能力水平应从安全成熟度模型当
50、前安全体系结构的能力水平应从安全成熟度模型的的3个方面进行评估,即对计划、布局和配置、运个方面进行评估,即对计划、布局和配置、运行过程的评估。行过程的评估。安全评估方法的第安全评估方法的第1步是发现阶段,所有有关安全步是发现阶段,所有有关安全体系结构适用的文本都必须检查,包括安全策略、体系结构适用的文本都必须检查,包括安全策略、标准、指南,信息等级分类和访问控制计划,以及标准、指南,信息等级分类和访问控制计划,以及应用安全需求。全部基础设施安全设计也须检查,应用安全需求。全部基础设施安全设计也须检查,包括网络划分设计,防火墙规则集,入侵检测配置;包括网络划分设计,防火墙规则集,入侵检测配置;平
