操作系统安全

《操作系统安全》由会员分享，可在线阅读，更多相关《操作系统安全（103页珍藏版）》请在装配图网上搜索。

1、第五章第五章 操作系统安全操作系统安全 内容提要内容提要5.1 操作系统可信计算基的构成操作系统可信计算基的构成5.2 操作系统的安全机制操作系统的安全机制5.3 Win2000/XP系统的安全机制简介系统的安全机制简介构成操作系统可信计算基的核心是构成操作系统可信计算基的核心是参照监视器参照监视器1.参照监视器参照监视器l是一种抽象的概念，是访问控制的基础是一种抽象的概念，是访问控制的基础l参照监视器依据访问控制数据库中的规则，验证主体对参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按

2、照策略要求存入审计系统中与否的访问按照策略要求存入审计系统中2.安全内核安全内核l安全内核是实现参照监视器概念的一种技术，是安全内核是实现参照监视器概念的一种技术，是指系统中与安全性实现有关的部分，包括：指系统中与安全性实现有关的部分，包括：l引用验证机制、访问控制机制、授权机制和授权管理引用验证机制、访问控制机制、授权机制和授权管理机制等机制等l一般的，人们趋向把安全内核与参照监视器等同一般的，人们趋向把安全内核与参照监视器等同起来起来l安全内核实际上可以看成一个更小的操作系统，安全内核实际上可以看成一个更小的操作系统，具备了操作系统的全部能力具备了操作系统的全部能力3.安全内核安全内核在实

3、现上有两种情况在实现上有两种情况l1）安全内核与其它功能部分完全一体的操作系统）安全内核与其它功能部分完全一体的操作系统3.安全内核安全内核在实现上有两种情况在实现上有两种情况l2）安全内核是操作系统的一部分）安全内核是操作系统的一部分l安全内核由安全内核由硬件硬件和和介于硬件和操作系统之间的一层软件介于硬件和操作系统之间的一层软件组成。组成。l安全内核的软件和硬件认为是可信的，处于安全周界的内部，但安全内核的软件和硬件认为是可信的，处于安全周界的内部，但操作系统和应用程序均处于安全周界之外。操作系统和应用程序均处于安全周界之外。5.1操作系统可信计算基的构成操作系统可信计算基的构成5.2 操

4、作系统的安全机制操作系统的安全机制l隔离控制、硬件保护、用户认证、访问控制等隔离控制、硬件保护、用户认证、访问控制等5.2.1 隔离机制隔离机制隔离机制是解决进程控制、内存保护的有效方法隔离机制是解决进程控制、内存保护的有效方法1.1.隔离控制的方法有四种：隔离控制的方法有四种：5.2.1隔离机制隔离机制5.2.2 硬件的保护机制硬件的保护机制计算机硬件的安全目标是保证其自身的可靠性并为计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制。主要包括：存储器保护、系统提供基本的安全机制。主要包括：存储器保护、运行保护、输入运行保护、输入/输出保护等输出保护等 5.2.2 硬件的保护

5、机制硬件的保护机制5.2.2 硬件的保护机制硬件的保护机制5.2.2 硬件的保护机制硬件的保护机制 5.2.2 硬件的保护机制硬件的保护机制2.2.运行保护运行保护l基本要求是：在进程运行基本要求是：在进程运行的区域内的区域内(运行域运行域)实行不同实行不同的安全等级的保护机制的安全等级的保护机制。图图(a)(a)所示的是一个两域所示的是一个两域(两两环环)的运行保护，图的运行保护，图(b)(b)是多是多域情况下的运行保护。域情况下的运行保护。l两环系统的目的是隔离系两环系统的目的是隔离系统运行域与用户运行域统运行域与用户运行域。(a)(a)中大写字母表示系统运中大写字母表示系统运行域，小写表

6、示用户的运行域，小写表示用户的运行域行域5.2.2 硬件的保护机制硬件的保护机制3.I/O保护保护lI/O操作不是从系统中读，就是向系统中写，所以操作不是从系统中读，就是向系统中写，所以对对I/O保保护的应该是对读写的访问控制护的应该是对读写的访问控制。I/O介质输出访问控制最介质输出访问控制最简单的方式是简单的方式是将设备看作一个客体将设备看作一个客体。4.4.最小特权管理最小特权管理l特权：可违反安全策略的操作能力特权：可违反安全策略的操作能力l管理的基本思想：管理的基本思想：不应该给用户超过执行任务所需要的特不应该给用户超过执行任务所需要的特权以外的特权权以外的特权。l如如将超级用户特权

7、划分为一级粒度更细小的特权将超级用户特权划分为一级粒度更细小的特权。以减少。以减少各种特权用户的权力各种特权用户的权力l系统管理员系统管理员SSO，审计员，审计员AUD，操作员，操作员OP，安全操作员，安全操作员SOP，网网络管理员络管理员(NET)(NET)5.2.2 硬件的保护机制硬件的保护机制5.5.安全审计的实现安全审计的实现l在操作系统的安全内核内部和外部均设置相关的在操作系统的安全内核内部和外部均设置相关的审计点审计点，当用户请示系统服务时，必须经过系统调用，如果当用户请示系统服务时，必须经过系统调用，如果能够能够找到系统调用的总入口找到系统调用的总入口(审计点审计点)增加审计控制

8、增加审计控制，就成功，就成功地完成了审计。地完成了审计。5.2.2 硬件的保护机制硬件的保护机制5.2.3 用户鉴别与口令用户鉴别与口令 口令的种类口令的种类l鉴别和认证系统用户应该包含输入用户名和口令两个步骤。鉴别和认证系统用户应该包含输入用户名和口令两个步骤。l口令有三种类型口令有三种类型l静态口令静态口令是具有或没有有效期限制是具有或没有有效期限制可以重用的一般口令可以重用的一般口令。无论是用。无论是用户自行创建还是系统自动创建，传统（静态）口令都难以记忆。户自行创建还是系统自动创建，传统（静态）口令都难以记忆。l动态口令动态口令可以由口令产生设备随时或者根据用户要求更改。一次性可以由口

9、令产生设备随时或者根据用户要求更改。一次性（动态）口令只能使用一次。（动态）口令只能使用一次。l认知口令认知口令(类似于密保问题类似于密保问题)使用基于事实或基于选项的认知数据做使用基于事实或基于选项的认知数据做为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测5.2.3 用户鉴别与口令用户鉴别与口令 是

10、系统安全防护的核心技术是系统安全防护的核心技术常规系统都采用常规系统都采用DAC+少量的少量的MACl访问控制表使用居多访问控制表使用居多具体技术原理参考第二章的内容具体技术原理参考第二章的内容5.2.4 访问控制访问控制 WinlogonGINALSASSPIAuthentication PackagesSecurity Surpport ProviderSecurity Account ManagementNetlogon 可用指纹、虹膜等代替可用指纹、虹膜等代替令牌令牌策略策略账号账号权限权限信任关系信任关系1)Winlogon1)Winlogon and GINA and GINAlW

11、inlogonWinlogon调用调用GINA DLLGINA DLL，并监视安全认证序列。，并监视安全认证序列。lGINA DLLGINA DLL提供一个交互式界面为用户登陆提供认证请求提供一个交互式界面为用户登陆提供认证请求lGINA DLLGINA DLL被设计成一个独立的模块，可用指纹、虹膜等更强的认被设计成一个独立的模块，可用指纹、虹膜等更强的认证方式替换之证方式替换之lWinlogonWinlogon在注册表中查找在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrent HKLMSoftwareMicrosoftWindows NTCurrent

12、VersionWinlogonVersionWinlogon，l如果存在如果存在GINA DLLGINA DLL键，键，WinlogonWinlogon将使用这个将使用这个DLLDLLl这可以使用户额外配置的这可以使用户额外配置的GINAGINA，比如指纹读取，比如指纹读取l如果不存在该键，如果不存在该键，WinlogonWinlogon将使用默认值将使用默认值MSGINA.DLLMSGINA.DLL 2)2)本地安全权威本地安全权威lLSALSA是一个被保护的子系统，负责以下任务：调是一个被保护的子系统，负责以下任务：调用所有的认证包，检查注册表下用所有的认证包，检查注册表下HKLMSYST

13、EMCurrentControlSetHKLMSYSTEMCurrentControlSetContControl LSArol LSA下下AuthenticationPackagesAuthenticationPackages下的值，下的值，并调用该并调用该DLLDLL进行认证进行认证(MSV_1.DLL)(MSV_1.DLL)。在。在4.04.0版版本中，本中，Windows NTWindows NT会寻找会寻找HKLMSYSTEMCurrentControlSetHKLMSYSTEMCurrentControlSetContControlLSArolLSA下所有存在的下所有存在的Secu

14、rityPackagesSecurityPackages值并值并调用调用 l本地安全权威的功能和作用本地安全权威的功能和作用l重新找回本地组的重新找回本地组的SIDsSIDs和用户的权限。和用户的权限。l创建用户的访问令牌创建用户的访问令牌l管理本地安装的服务所使用的服务帐号管理本地安装的服务所使用的服务帐号l存储和映射用户权限存储和映射用户权限l管理审核的策略和设置管理审核的策略和设置l管理信任关系管理信任关系3 3）安全支持提供者的接口）安全支持提供者的接口l微软的该接口很简单地遵循微软的该接口很简单地遵循RFC2743RFC2743和和RFC2744RFC2744的的定义，提供一些安全服

15、务的定义，提供一些安全服务的APIAPI为应用程序和服务提供为应用程序和服务提供请求安全的认证连接的方法请求安全的认证连接的方法 4)4)认证包认证包l可以为真实用户提供认证。通过可以为真实用户提供认证。通过GINADLLGINADLL上的可信认证上的可信认证后，认证包返回用户的后，认证包返回用户的SIDsSIDs给给LSALSA，然后将其放在用户，然后将其放在用户的访问令牌中。的访问令牌中。5)5)安全支持提供者安全支持提供者l是以驱动的形式安装的，能够实现一些附加的安全机制，是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，默认情况下，Windows NTWindows NT安

16、装了以下三种。安装了以下三种。lMsnsspc.dllMsnsspc.dll：微软网络挑战响应认证模块：微软网络挑战响应认证模块lMspsscpc.dllMspsscpc.dll：分布式密码认证挑战响应模块，也可：分布式密码认证挑战响应模块，也可在微软网络中使用在微软网络中使用lSchannel.dllSchannel.dll：该认证模块使用某些证书方式经常在使：该认证模块使用某些证书方式经常在使用用SSLSSL和和PCT(privatePCT(private communication technology)communication technology)协协议通信的时候用到议通信的时候用

17、到 6)6)网络登录网络登录lNetlogonNetlogon服务服务必须在通过认证后建立一个安全通道。必须在通过认证后建立一个安全通道。要实现这个目标，必须通过安全通道与域中的域控制器要实现这个目标，必须通过安全通道与域中的域控制器建立连接建立连接，然后，然后，再通过安全的通道传递用户的口令再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的在域的域控制器上响应请求后，重新取回用户的SIDsSIDs和用户权限和用户权限7)7)安全帐户管理器安全帐户管理器l是用来保存用户帐号和口令的数据库。保存了注册表中是用来保存用户帐号和口令的数据库。保存了注册表中HKLMSecuri

18、tySamHKLMSecuritySam中的一部分内容。不同的域有中的一部分内容。不同的域有不同的不同的SAMSAM，在域复制的过程中，在域复制的过程中，SAMSAM包将会被复制包将会被复制l查看注册表的命令，在命令行上键入查看注册表的命令，在命令行上键入regedit 主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：手手 机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第六章第六章 网络安全网络安全 内容提要内容提要6.1 OSI开放系统互联安全体系结构开放系统互联安全体系

19、结构6.3.1 Kerberos协议应用层安协议应用层安全协议标准全协议标准6.3.2 SSL协议传输层与应用层协议传输层与应用层之间之间6.3.3 IPSec协议网络层标准协议网络层标准 该结构即著名的该结构即著名的ISO/OSI安全体系结构。安全体系结构。lOSI安全体系结构是一个普遍适用的安全体系结构，其安全体系结构是一个普遍适用的安全体系结构，其核心内容是保证异构计算机系统进程与进程之间远距离核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全交换信息的安全l它是国际标准化组织它是国际标准化组织ISO于于1989年在对年在对OSI开放系统互开放系统互联环境的安全性进行深入研究

20、的基础上提出的联环境的安全性进行深入研究的基础上提出的ISO-7498-2(开放系统互联安全体系结构开放系统互联安全体系结构)和和RFC2401/4301(Internet安全体系结构安全体系结构),即即IPSec）ISO-7498-2是七层协议之上的信息安全体系结构，是七层协议之上的信息安全体系结构，解决互联网络安全问题解决互联网络安全问题6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述OSI安全体系结构的基本思想是：安全体系结构的基本思想是：l为了全面而准确地满足一个开放系统的安全需求，必须为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服

21、务、安全机制和技术管在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。理，以及它们在系统上的合理部署和关系配置。该体系结构具体提出该体系结构具体提出l设计安全信息系统的基础架构中应该包含的五类安全服设计安全信息系统的基础架构中应该包含的五类安全服务务(安全功能安全功能)；l能够对这五类安全服务提供支持的八类安全机制和五种能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制；普遍安全机制；l三种三种OSI安全管理方式安全管理方式该体系还将这些服务和机制与七层协议进行映射该体系还将这些服务和机制与七层协议进行映射6.1 6.1 开放系统互联安全体系结

22、构概述开放系统互联安全体系结构概述作为网络协议安全体作为网络协议安全体系架构，主要针对的系架构，主要针对的是数据安全，所以提是数据安全，所以提供的五个安全服务也供的五个安全服务也都是针对数据的都是针对数据的6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述链路层链路层L2F第二层转发协议第二层转发协议L2TP第二层隧道协议第二层隧道协议PPTP点对点隧道协议点对点隧道协议隧道技术隧道技术协议组协议组DiffServ区分服务区分服务体系结构体系结构GRE通用路由通用路由封装封装IPsecIP层协议层协议安全结构安全结构网络层网络层安全路由选择协议组安全路由选择协议组传输层传

23、输层TLS安全传输层协议安全传输层协议SSH-TRANS安全外壳传输层协议安全外壳传输层协议SSH-USERAUTH安全外壳用户认证协议安全外壳用户认证协议SSL安全套接字层协议安全套接字层协议SOCKS防火墙安全会话防火墙安全会话转换协议转换协议S-HTTP安全超文本传输协议安全超文本传输协议PGP完备保密性协议完备保密性协议S/MIME多用途网际邮件扩充协议多用途网际邮件扩充协议应用层应用层Kerberos网络认证协议网络认证协议RADIUS远程用户拨入认证系统远程用户拨入认证系统TCP传输控制协议传输控制协议UDP用户数据报协议用户数据报协议AHIPsec认证认证头协议头协议ESPIPs

24、ec封装封装安全载荷安全载荷IKEv2密钥交换密钥交换协议协议IP网络协议网络协议SSH-CONNECT安全远程登录连接协议安全远程登录连接协议各各层层安安全全协协议议详详图图这个过程可以通过如下的例子来理解这个过程可以通过如下的例子来理解l把西电网络看成一个提供网页、邮件、把西电网络看成一个提供网页、邮件、FTP、数据库等多个服务的网络数据库等多个服务的网络l有一个认证中心在网络中心，负责对每一个用有一个认证中心在网络中心，负责对每一个用户的登陆认证户的登陆认证l每一个西电用户都在认证中心注册了自己的账号每一个西电用户都在认证中心注册了自己的账号l有一个票据服务器也在网络中心，用于对每一有一

25、个票据服务器也在网络中心，用于对每一种服务的接入授权。用户必须持有认证中心颁种服务的接入授权。用户必须持有认证中心颁发的票据才能访问票据服务器发的票据才能访问票据服务器用户用户Alice想要访问西电的想要访问西电的FTP服务器，则采用如下步骤服务器，则采用如下步骤l（1）如果）如果Alice还未登陆系统，则首先向认证中心认证，还未登陆系统，则首先向认证中心认证，完成登陆认证。并请求访问票据许可服务器，认证中心完成登陆认证。并请求访问票据许可服务器，认证中心在检验了用户身份后发给在检验了用户身份后发给Alice一个访问票据许可服务一个访问票据许可服务器的票据，如果已经登陆则不需此步骤器的票据，如

26、果已经登陆则不需此步骤l（2）如果）如果Alice要访问一个服务，如要访问一个服务，如FTP，但还没有被，但还没有被授权访问，则将认证中心的票据及要访问的服务提交给授权访问，则将认证中心的票据及要访问的服务提交给票据许可服务器，认证后票据许可服务器发给票据许可服务器，认证后票据许可服务器发给Alice一一个服务许可票据，用于访问个服务许可票据，用于访问FTP服务器，如果已经有有服务器，如果已经有有效票据则不需此步骤。效票据则不需此步骤。l（3）Alice要访问要访问FTP服务，在每次会话建立前，将服服务，在每次会话建立前，将服务许可票据提交给务许可票据提交给FTP服务器，验证后即可访问资源服务

27、器，验证后即可访问资源SSL提供的面向提供的面向连接的安全性的连接的安全性的三个基本性质：三个基本性质：l连接是秘密的连接是秘密的(所有所有C/S间的数间的数据都对称加密据都对称加密)l可认证的可认证的(基于基于公钥的认证公钥的认证)l可靠的可靠的(消息的消息的MAC认证认证)主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：手手 机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第七章第七章 应用安全应用安全 内容提要内容提要7.1 应用系统中的安全问题概述应用系统中的安全问题

28、概述7.2 Web安全安全7.3 数据库安全数据库安全7.1 应用系统中的安全问题概述应用系统中的安全问题概述应用层是信息系统直接面向用户的层面，应用层是信息系统直接面向用户的层面，保证应用层面的安全应该说是信息系统的保证应用层面的安全应该说是信息系统的最终目的最终目的。应用层安全主要是两方面：应用层安全主要是两方面：l一是系统提供服务的安全一是系统提供服务的安全l二是相关数据的安全二是相关数据的安全l与之相关的是系统应用软件本身的安全和数据与之相关的是系统应用软件本身的安全和数据的安全的安全7.1 应用系统中的安全问题概述应用系统中的安全问题概述应用系统的安全威胁应用系统的安全威胁l恶意代码

29、是最普遍的威胁；黑客（详见恶意代码是最普遍的威胁；黑客（详见1.3节）节）在应用系统中，组织为完成自身的业务战略，必在应用系统中，组织为完成自身的业务战略，必然要开发相应的应用软件，独立系统的应用软件然要开发相应的应用软件，独立系统的应用软件的脆弱性可能会表现在三个方面：的脆弱性可能会表现在三个方面：l软件开发过程中的安全问题软件开发过程中的安全问题l软件的漏洞软件的漏洞l管理方面的安全问题管理方面的安全问题7.1 应用系统中的安全问题概述应用系统中的安全问题概述1.软件开发过程的安全问题软件开发过程的安全问题l(1)开发过程的管理。开发过程主要存在的安全问题有：开发过程的管理。开发过程主要存

30、在的安全问题有：在开发过程中会泄漏甲方的一些信息在开发过程中会泄漏甲方的一些信息；将开发好的软件；将开发好的软件程程序代码泄漏序代码泄漏；恶意的软件人员在软件中；恶意的软件人员在软件中插入恶意代码或故插入恶意代码或故意留下后门意留下后门；使软件存在各类；使软件存在各类错误错误l(2)开发过程中的技术安全问题。包括开发开发过程中的技术安全问题。包括开发平台的选择平台的选择、中间件中间件的选择，的选择，开发语言开发语言的选择，是否采用了模块化的开的选择，是否采用了模块化的开发方法，模块大小与集成问题等；安全机制的设置等发方法，模块大小与集成问题等；安全机制的设置等l(3)分发过程中的安全问题分发过

31、程中的安全问题(如何提交给用户如何提交给用户)l(4)升级维护过程升级维护过程2.应用软件本身的脆弱性应用软件本身的脆弱性l(1)陷门；陷门；(2)漏洞；漏洞；(3)错误错误l(4)隐蔽信道：不被用户察觉或不正确的通信路径隐蔽信道：不被用户察觉或不正确的通信路径l(5)由开发工具带来的安全隐患由开发工具带来的安全隐患l(6)软件缺少必要的安全机制软件缺少必要的安全机制l(7)脚本语言和程序带来漏洞脚本语言和程序带来漏洞l(8)在软件中设置逻辑炸弹在软件中设置逻辑炸弹l(9)缓冲区溢出缓冲区溢出3.可能导致管理方面的安全问题可能导致管理方面的安全问题7.1 应用系统中的安全问题概述应用系统中的安

32、全问题概述7.2 Web安全安全7.2 Web安全安全7.2 Web7.2 Web安全安全7.2 Web7.2 Web安全安全7.2 Web7.2 Web安全安全7.3 数据库系统安全数据库系统安全7.3.1 7.3.1 数据库安全概述数据库安全概述7.3.2 7.3.2 数据库安全控制数据库安全控制7.3.3 7.3.3 数据库的完整性数据库的完整性7.3.4 7.3.4 数据库的并发机制数据库的并发机制7.3.5 7.3.5 数据库的备份与恢复数据库的备份与恢复DBMSDBMS是数据库管理系统是数据库管理系统 l事务事务T1修改某一数据，写回磁盘，修改某一数据，写回磁盘，T2读取同一数据读

33、取同一数据后，后，T1由于某种原因被撤销，其修改的数据被恢复由于某种原因被撤销，其修改的数据被恢复原值，原值，T2读到的数据与数据库中的数据不一致，读读到的数据与数据库中的数据不一致，读到的数据被称为到的数据被称为“脏脏”数据数据l并发控制的主要技术是封锁并发控制的主要技术是封锁locking，即为读、，即为读、写用户分别定义写用户分别定义“读锁读锁”和和“写锁写锁”，加了读，加了读锁则其它用户只能读目标。加了写锁则任何其锁则其它用户只能读目标。加了写锁则任何其它用户都不能读写目标。封锁也会导致死锁它用户都不能读写目标。封锁也会导致死锁l登记日志和镜像合起来安全性最高登记日志和镜像合起来安全性

34、最高主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：手手 机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第八章第八章 管理安全管理安全 内容提要内容提要8.1 BS7799标准与信息系统安全管理标准与信息系统安全管理8.2 风险评估风险评估8.1 BS7799标准与信息系统安全管理标准与信息系统安全管理8.1.1 信息安全管理概述信息安全管理概述信息安全的成败取决于两个因素：技术和管理。信息安全的成败取决于两个因素：技术和管理。l三分技术，七分管理三分技术，七分管理l安全技

35、术是信息安全的构筑材料，安全管理是真正的粘安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。合剂和催化剂。信息安全管理（信息安全管理（Information Security Management）l信息安全管理作为组织完整的管理体系中一个重要的环信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。对象就是组织的信息资产。基于风险分析的安全管理方法是当前的主流方法基于风险分

36、析的安全管理方法是当前的主流方法l首先制定信息安全策略方针，为信息安全管理提供导向首先制定信息安全策略方针，为信息安全管理提供导向和支持和支持l进行风险评估和风险管理进行风险评估和风险管理l安全控制的要求应针对每项资产所面临的威胁、存在的弱点、安全控制的要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。这是产生的潜在影响和发生的可能性等综合因素来分析确定。这是信息安全管理的基础信息安全管理的基础l控制目标和方式选择，应以风险评估为基础控制目标和方式选择，应以风险评估为基础l风险控制和处理上考虑控制成本与风险平衡的原则，将风险控制和处理上考虑控制成本与

37、风险平衡的原则，将风险降低到组织可接受的水平风险降低到组织可接受的水平l需要全员参与来保证安全保证需要全员参与来保证安全保证8.1.1 信息安全管理概述信息安全管理概述信息安全管理要遵循管理的一般模式信息安全管理要遵循管理的一般模式PDCA信息安全管理模型信息安全管理模型8.1.1 信息安全管理概述信息安全管理概述什么是什么是BS7799？l英国标准协会（英国标准协会（British Standards Institute，BSI）制定的信息安全标准。制定的信息安全标准。l由信息安全方面的最佳惯例组成的一套全面的控制集。由信息安全方面的最佳惯例组成的一套全面的控制集。l信息安全管理方面最受推崇

38、的国际标准信息安全管理方面最受推崇的国际标准BS 7799的目的的目的l为信息安全管理提供建议，供那些在其机构中负有安为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信使跨机构的交易得到互信。8.1.3 信息安全管理实施细则信息安全管理实施细则BS 7799-ISO17799：2005第一部分是信息安全管理实施细则（Code of Practice for Information Securit

39、y Management），8.1.3 信息安全管理实施细则信息安全管理实施细则u 目标：目标：信息安全策略信息安全策略为信息安全提供与业务需求和法律法规相一致为信息安全提供与业务需求和法律法规相一致的管理指示及支持的管理指示及支持u 安全策略应该做到：安全策略应该做到：对信息安全加以定义对信息安全加以定义 陈述管理层的意图陈述管理层的意图 分派责任分派责任 约定信息安全管理的范围约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程定义用以维护策略的复查过程

40、8.1.3 信息安全管理实施细则信息安全管理实施细则u 目标：目标：信息安全基础设施信息安全基础设施在组织内部管理信息安全在组织内部管理信息安全 外部组织外部组织保持组织的被外部组织访问、处理、沟通或管理的信保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全息及信息处理设备的安全u 包含的内容：包含的内容：建立管理委员会，定义安全管理的角色和责任建立管理委员会，定义安全管理的角色和责任 对软硬件的采购建立授权过程对软硬件的采购建立授权过程 与第三方签订的协议中应覆盖所有相关的安全要求。与第三方签订的协议中应覆盖所有相关的安全要求。外包合同中的安全需求外包合同中的安全需求 包括

41、内部组织和外部伙伴包括内部组织和外部伙伴8.1.3 信息安全管理实施细则信息安全管理实施细则u 目标：目标：资产责任资产责任实现并保持组织资产的适当保护实现并保持组织资产的适当保护信息分类信息分类确保对信息资产的保护达到恰当的水平确保对信息资产的保护达到恰当的水平u 包含的内容：包含的内容：组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。按照信息资产所属系统或所在部门列出资产清单。按照信息资产所属系统或所在部门列出资产清单。所有的信息资产都应该具有指定的属主并且可以被追溯责任。所有的信息资产都应该具有指定的属主并且可以被追溯责

42、任。信息应该被分类，以标明其需求、优先级和保护程度。信息应该被分类，以标明其需求、优先级和保护程度。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。Top SecretSecretConfidentialRestricted8.1.3 信息安全管理实施细则信息安全管理实施细则u 目标：目标：雇佣前雇佣前确保员工、合同访和第三方用户了解他们的责任并适合确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。雇佣中雇佣中确保所有的员

43、工、合同方和第三方用户了解信息安全威确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险的信息安全方针，减少人为错误的风险。解聘和变更解聘和变更确保员工、合同方和第三方用户离开组织或变更雇确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行佣关系时以一种有序的方式进行。u 包含的内容：包含的内容：故意或者无意的人为活动可能给数据和系统造成风险故意或者无意的人为活动可能给数据和系统造成风险 在正式的工作描述中建立安全责任，员工入

44、职审查在正式的工作描述中建立安全责任，员工入职审查 8.1.3 信息安全管理实施细则信息安全管理实施细则5.物理和环境安全物理和环境安全u 目标：目标：安全区域安全区域防止非授权访问、破坏和干扰业务运行的前提条件及防止非授权访问、破坏和干扰业务运行的前提条件及信息。信息。设备安全设备安全预防资产的丢失、损坏或被盗，以及对组织业务活动预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。的干扰。u 包含的内容：包含的内容：应该建立带有物理入口控制的安全区域应该建立带有物理入口控制的安全区域 应该配备物理保护的硬件设备应该配备物理保护的硬件设备 应该防止网络电缆被塔线窃听应该防止网络电缆被塔线窃听

45、 将设备搬离场所，或者准备报废时，应考虑其安全将设备搬离场所，或者准备报废时，应考虑其安全8.1.3 信息安全管理实施细则信息安全管理实施细则6.通信和操作管理通信和操作管理u 目标目标：操作程序和责任确保信息处理设施的正确和安全操作。第三方服务交付管理实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。系统规划与验收减少系统失效带来的风险。防范恶意代码和移动代码保护软件和信息的完整性。备份保持信息和信息处理设施的完整性和可用性 网络安全管理确保对网络中信息和支持性基础设施的安全保护。介质处理和安全防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。信息和软件的交换应保持

46、组织内部或组织与外部组织之间交换信息和软件的安全。电子商务服务 确保电子商务的安全及他们的安全使用。监督检测未经授权的信息处理活动。u 包含的内容：防病毒，防恶意软件；进行变更控制 做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性 电子邮件安全性；保护传输中的数据8.1.3 信息安全管理实施细则信息安全管理实施细则7.访问控制访问控制u 目标：目标：访问控制的业务需求访问控制的业务需求控制对信息的访问。控制对信息的访问。用户访问管理用户访问管理确保授权用户的访问，并预防信息系统的非授权确保授权用户的访问，并预防信息系统的非授权访问。访问。用户责任用户责任预防未授权用户的访问，

47、信息和信息处理设施的破坏预防未授权用户的访问，信息和信息处理设施的破坏或被盗。或被盗。网络访问控制网络访问控制防止对网络服务未经授权的访问。防止对网络服务未经授权的访问。操作系统访问控制操作系统访问控制防止对操作系统的未授权访问。防止对操作系统的未授权访问。应用访问控制应用访问控制防止对应用系统中信息的未授权访问。防止对应用系统中信息的未授权访问。移动计算和远程工作移动计算和远程工作确保在使用移动计算和远程工作设施时信确保在使用移动计算和远程工作设施时信息的安全息的安全。u 包含的内容：包含的内容：口令的正确使用；对终端的物理访问；自动终止时间；软件监视等口令的正确使用；对终端的物理访问；自动

48、终止时间；软件监视等8.1.3 信息安全管理实施细则信息安全管理实施细则8.系统获得、开发与维护系统获得、开发与维护u 目标：目标：系统的安全需求系统的安全需求确保安全内建于信息系统中。确保安全内建于信息系统中。应用系统的安全应用系统的安全防止应用系统信息的错误、丢失、未授权的修防止应用系统信息的错误、丢失、未授权的修改或误用。改或误用。加密控制加密控制通过加密手段来保护细腻的保密性、真实性或完整性通过加密手段来保护细腻的保密性、真实性或完整性 系统文件的安全系统文件的安全确保系统文档的安全。确保系统文档的安全。开发和支持过程的安全开发和支持过程的安全保持应用系统软件和信息的安全保持应用系统软

49、件和信息的安全。技术漏洞管理技术漏洞管理减少由利用公开的技术漏洞带来的风险减少由利用公开的技术漏洞带来的风险。u 包含的内容：包含的内容：在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护性、测试数据的保护 软件开发和维护中应该建立配置管理、变更控制等机制软件开发和维护中应该建立配置管理、变更控制等机制8.1.3 信息安全管理实施细则信息安全管理实施细则9.信息安全事件管理信息安全事件管理u 目标：目标：报告信息安全事件和弱点报告信息安全事件和弱点确保与信息系统有关的安全事件和弱确保与信息系统有关的安全事件和弱

50、点的沟通能够及时采取纠正措施。点的沟通能够及时采取纠正措施。信息安全事故的管理和改进信息安全事故的管理和改进确保使用持续有效的方法管理信息确保使用持续有效的方法管理信息安全事故。安全事故。u 包含的内容：包含的内容：正常的事件报告和分类程序，这类程序用来报告可能对机构的财产正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点安全造成影响的不同种类的事件和弱点所有的员工、合同方和第三方用户都应该知晓这套报告程序。所有的员工、合同方和第三方用户都应该知晓这套报告程序。要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系要求员工需要尽可能快地将信息安全事

51、件和弱点报告给指定的联系方。方。8.1.3 信息安全管理实施细则信息安全管理实施细则10.业务连续性管理业务连续性管理u 目标：目标：业务连续性管理的信息安全方面业务连续性管理的信息安全方面：防止业务活：防止业务活动的中断，保护关键业务流程不会受信息系统重大失动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复效或自然灾害的影响，并确保他们的及时恢复。u 包含的内容：包含的内容：全面理解业务连续性计划（全面理解业务连续性计划（BCP）理解组织面临的风险，识别关键业务活动和优先次理解组织面临的风险，识别关键业务活动和优先次序。序。确认可能对业务造成影响的中断。确

52、认可能对业务造成影响的中断。应该设计、实施、测试和维护应该设计、实施、测试和维护BCP8.1.3 信息安全管理实施细则信息安全管理实施细则11.符合性符合性u 目标：目标：与法律法规要求的符合性与法律法规要求的符合性避免违反法律、法规、规章、合同要避免违反法律、法规、规章、合同要求和其他的安全要求。求和其他的安全要求。符合安全方针、标准，技术符合性符合安全方针、标准，技术符合性确保系统符合组织安全方针确保系统符合组织安全方针和标准。和标准。信息系统审核的考虑因素信息系统审核的考虑因素最大化信息系统审核的有效性，最小最大化信息系统审核的有效性，最小化来自化来自/对信息系统审核的影响对信息系统审核

53、的影响。u 包含的内容：包含的内容：组织应该确保遵守相关的法律法规和合同义务组织应该确保遵守相关的法律法规和合同义务 软件版权，知识产权等软件版权，知识产权等8.1.3 信息安全管理实施细则信息安全管理实施细则8.1.4 信息安全管理体系规范信息安全管理体系规范BS7799第二部分详细说明了第二部分详细说明了建立、实施和维护信息安全管建立、实施和维护信息安全管理系统的要求，指出实施机构理系统的要求，指出实施机构应该遵循的风险评估标准应该遵循的风险评估标准BS 7799-ISO27001BS7799-2简介简介u BS 7799标准对信息安全管理体系（标准对信息安全管理体系（ISMS）并没有一个

54、明确的定义，可以将）并没有一个明确的定义，可以将其理解为组织管理体系的一部分。其理解为组织管理体系的一部分。u ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。过程和资源。u 标准要求的标准要求的ISMS建立过程：制定信息安全策略，确定体系范围，明确管理职建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。责，通过风险

55、评估确定控制目标和控制方式。u 体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。u ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。程序文件。u 一个文档化的一个文档化的ISMS应该阐述：要保护的资产，组织进行风险管理的途径，控应该阐述：要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。制目标和控制方式，需要的保障程度。8.1.4 信息安全管理体系规范信息安全管理体系规范建立ISMS管理框架的过程威胁、弱点

56、、影响组织风险管理的途径要求达到的保障程度BS7799-2第三段列出的控制目标和控制不在BS7799范围内的其他安全控制策略文档ISMS的范围风险评估适用性声明信息资产结果和结论选定的控制选项选择的控制目标和控制8.1.4 信息安全管理体系规范信息安全管理体系规范总结总结BS 7799的特点的特点lBS 7799并不是系统安全评估的标准并不是系统安全评估的标准l没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和CC等等其他评估标准是不同的其他评估标准是不同的lBS 7799针对的是信息安全管理，强调连续性，并以控

57、制为手段针对的是信息安全管理，强调连续性，并以控制为手段l所有的安全控制手段都是为构建所有的安全控制手段都是为构建ISMS服务的服务的l该标准告诉我们要做什么，但并不限定具体实现的方法和技术该标准告诉我们要做什么，但并不限定具体实现的方法和技术lBS 7799提出了可供认证的提出了可供认证的ISMS（目标），而具体实现这一目标的某些活动，比（目标），而具体实现这一目标的某些活动，比如风险评估和控制的选择，则可以参照如风险评估和控制的选择，则可以参照ISO 13335这样的信息安全管理指南这样的信息安全管理指南l属于风险管理的范畴属于风险管理的范畴lISMS是基于风险评估来建立的，经过了风险评估

58、、风险管理和风险接受三个阶段，是基于风险评估来建立的，经过了风险评估、风险管理和风险接受三个阶段，并且实现可用性和安全性、投入和效益的平衡并且实现可用性和安全性、投入和效益的平衡l体现了预防为主的思想，强调全过程和动态的控制体现了预防为主的思想，强调全过程和动态的控制l事先预防，将风险控制在可接受范围内，并且在事先预防，将风险控制在可接受范围内，并且在ISMS的全过程中根据新情况调整，的全过程中根据新情况调整，进行动态控制进行动态控制8.1.4 信息安全管理体系规范信息安全管理体系规范8.2 风险评估风险评估风险评估的定义风险评估的定义l信息安全风险评估，是指依据国家有关信息安全技术标准，信息

59、安全风险评估，是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储信息的保密性、完整对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险可能性和负面影响的程度来识别信息系统的安全风险风险评估的意义风险评估的意义l是信息安全保障体系建立过程中的

60、重要评价方法和决是信息安全保障体系建立过程中的重要评价方法和决策机制策机制l功能：识别信息系统中存在的风险；为确立信息系统功能：识别信息系统中存在的风险；为确立信息系统安全等级提供参考；指导信息系统的安全管理；为执安全等级提供参考；指导信息系统的安全管理；为执法部门监督提供参考；信息系统建设完成后，验收时法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变更时提供安全参考用于参考；为信息系统业务发生变更时提供安全参考8.2 风险评估风险评估首先是风险评估的准备阶段，首先是风险评估的准备阶段，进行组织、技术、人员和资金进行组织、技术、人员和资金方面的准备方面的准备第二步对

61、风险评估要素的识别第二步对风险评估要素的识别与赋值与赋值l对信息资产进行识别，并对资对信息资产进行识别，并对资产赋值产赋值l对威胁进行分析，并对威胁发对威胁进行分析，并对威胁发生的可能性赋值生的可能性赋值l识别信息资产的脆弱性，并对识别信息资产的脆弱性，并对弱点的严重程度赋值弱点的严重程度赋值l根据威胁和脆弱性计算安全事根据威胁和脆弱性计算安全事件发生的可能性件发生的可能性l结合信息资产的重要性和在此结合信息资产的重要性和在此资产上发生安全事件的可能性资产上发生安全事件的可能性计算信息资产的风险值计算信息资产的风险值第三步记录风险评估的结果第三步记录风险评估的结果第四步风险控制和残余风险的第四

62、步风险控制和残余风险的再评估再评估l实施风险管理实施风险管理2.风险评风险评估的基本估的基本流程流程l数据获取手段数据获取手段流程调查、技术资料、资料分析、工具分析、现场调查、相流程调查、技术资料、资料分析、工具分析、现场调查、相关人员询问、会议关人员询问、会议l采用的工具采用的工具授权书、服务确认书、设备、系统检查记录、漏洞扫描工具、授权书、服务确认书、设备、系统检查记录、漏洞扫描工具、完整性检查工具、渗透性测试工具、网管软件、流量分析工完整性检查工具、渗透性测试工具、网管软件、流量分析工具、数据汇总处理工具具、数据汇总处理工具取得评估方授权取得评估方授权8.2 风险评估风险评估评估技术方法

63、评估技术方法l定量评估方法定量评估方法l是指运用数量指标来对风险进行评估，典型的定量分析方法有是指运用数量指标来对风险进行评估，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。决策树法等。l目标是试图为在风险评估和成本效益分析期间收集的各个组成目标是试图为在风险评估和成本效益分析期间收集的各个组成部分计算客观数字值部分计算客观数字值l优点：用直观数据来表述评估结构，看起来比较客观。研究结优点：用直观数据来表述评估结构，看起来比较客观。研究结果更科学、更严密、更深刻果更科学、更严密、更深刻l缺点：没有

64、正式严格的方法有效计算资产和控制措施的价值，缺点：没有正式严格的方法有效计算资产和控制措施的价值，数字是估计出来的数字是估计出来的8.2 风险评估风险评估l定性评估方法定性评估方法l依据研究者的知识、经验、历史教训、政策走向及特殊变例等依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程非量化资料对系统风险状况做出判断的过程l以对调查对象深入访谈的个案记录为基本资料，然后通过理论以对调查对象深入访谈的个案记录为基本资料，然后通过理论推导的分析框架对资料进行编码整理，做出调查结论推导的分析框架对资料进行编码整理，做出调查结论l典型的定性评估方法包括典型的定

65、性评估方法包括:因素分析法、逻辑分析法、历史比较因素分析法、逻辑分析法、历史比较法、德尔斐法法、德尔斐法l定性法以相对值代替绝对值，通常通过调查表、讨论会的形式定性法以相对值代替绝对值，通常通过调查表、讨论会的形式进行评估进行评估l优点：克服了为资产价值、控制成本等精确计算的挑战，流程优点：克服了为资产价值、控制成本等精确计算的挑战，流程对员工没有太高的要求，所以所用时间较短对员工没有太高的要求，所以所用时间较短l缺点：数字是含糊的，依赖评估者的主观性，所以对主要评估缺点：数字是含糊的，依赖评估者的主观性，所以对主要评估者的要求较高者的要求较高l定量与定性结合的评估方法定量与定性结合的评估方法

66、8.2 风险评估风险评估l安全评估的分层分析法安全评估的分层分析法l在评估风险和制定安全措施时，需要有一套较完整的风险分析在评估风险和制定安全措施时，需要有一套较完整的风险分析方法和安全措施，可以通过对系统划分层次来进行安全评估方法和安全措施，可以通过对系统划分层次来进行安全评估l将风险分散到整个信息系统各个层面，从系统和应用的角度看，将风险分散到整个信息系统各个层面，从系统和应用的角度看，信息系统安全因素可以被划分到如下五个层次的安全中去：信息系统安全因素可以被划分到如下五个层次的安全中去：物理层安全、网络层安全、系统层安全、应用层安全、管理层安全，物理层安全、网络层安全、系统层安全、应用层安全、管理层安全，不同层次包含了不同的安全问题不同层次包含了不同的安全问题l依据五个层次进行风险分析得到风险点能够含盖整个信息系统，依据五个层次进行风险分析得到风险点能够含盖整个信息系统，不遗漏大的风险点，清楚的描述风险点的位置及相互关系不遗漏大的风险点，清楚的描述风险点的位置及相互关系参见参见BS7799风险评估标准风险评估标准8.2 风险评估风险评估第五章第五章第第7章章l5.数据库恢复的实现