计算机网络安全基础5PPT课件.ppt

1、计算机网络安全基础计算机网络安全基础55.6 网络安全实施流程网络安全实施流程5.7 本章小结本章小结习题习题网络安全处理过程是一个连续不断、周而复始的过程，网络安全处理过程是一个连续不断、周而复始的过程，如图如图1.5所示。它包含所示。它包含5个关键阶段：评估、策略制定、个关键阶段：评估、策略制定、实施、培训、审计。每一阶段的工作对组织的安全都实施、培训、审计。每一阶段的工作对组织的安全都是有价值的，然而只有将这些阶段的工作协调一致才是有价值的，然而只有将这些阶段的工作协调一致才能有效地管理网络安全的事故风险。能有效地管理网络安全的事故风险。安全处理过程始于评估阶段。评估的作用是：确定一安全

2、处理过程始于评估阶段。评估的作用是：确定一个组织的信息资产的价值，识别与这些信息资产有关个组织的信息资产的价值，识别与这些信息资产有关的威胁及漏洞大小，确定总的风险对该组织的重要性。的威胁及漏洞大小，确定总的风险对该组织的重要性。评估是十分重要的，如果对一个组织的信息资产当前评估是十分重要的，如果对一个组织的信息资产当前的风险状态不清楚，就不可能有效地实施合适的安全的风险状态不清楚，就不可能有效地实施合适的安全程序，以保护这些资产。程序，以保护这些资产。评估是通过风险管理计划来完成的。一旦识别和量化评估是通过风险管理计划来完成的。一旦识别和量化了风险，就可以选择有效的、代价小的预防措施以降了风

3、险，就可以选择有效的、代价小的预防措施以降低这些风险。低这些风险。5.1 评估网络评估网络1.评估目的评估目的归纳起来，网络信息安全评估有以下一些目的：归纳起来，网络信息安全评估有以下一些目的：确定信息资产的价值；确定信息资产的价值；确定对这些信息资产的机密性、完整性、可用性和确定对这些信息资产的机密性、完整性、可用性和可审性的威胁；可审性的威胁；确定该组织当前实际存在的漏洞；确定该组织当前实际存在的漏洞；识别与该组织信息资产有关的风险；识别与该组织信息资产有关的风险；提出改变现状的建议，使风险减少到可接受的水平；提出改变现状的建议，使风险减少到可接受的水平；提供一个构造合适的安全计划的基础。

4、提供一个构造合适的安全计划的基础。2.评估类型评估类型通常有通常有5个通用的评估类型：个通用的评估类型：系统级漏洞评估检验计算机系统的已知漏洞及基本系统级漏洞评估检验计算机系统的已知漏洞及基本策略。策略。网络级风险评估评估该组织的全部计算机网络及信网络级风险评估评估该组织的全部计算机网络及信息基础设施的风险范围。息基础设施的风险范围。组织的风险评估分析整个组织，以识别对其信息资组织的风险评估分析整个组织，以识别对其信息资产的直接威胁。识别整个组织处理信息的漏洞对包产的直接威胁。识别整个组织处理信息的漏洞对包括电子的和物理的所有形式的信息进行检验。括电子的和物理的所有形式的信息进行检验。审计检验

5、特定的策略以及该组织执行的情况。审计检验特定的策略以及该组织执行的情况。入侵测试检验该组织对一个模拟的入侵反应的能力。入侵测试检验该组织对一个模拟的入侵反应的能力。这类评估只对具有成熟安全程序的组织进行。这类评估只对具有成熟安全程序的组织进行。3.评估方法评估方法在评估时，需要从在评估时，需要从3个基本源搜集信息，即对组织个基本源搜集信息，即对组织的员工调查、文本检查以及物理检验。能提供现有的员工调查、文本检查以及物理检验。能提供现有安全系统以及组织实施方法的信息的员工，尤其是安全系统以及组织实施方法的信息的员工，尤其是那些熟练的人员以及管理者是关键的调研对象。调那些熟练的人员以及管理者是关键

6、的调研对象。调研提纲（评估目的以及有助于保护该组织的信息资研提纲（评估目的以及有助于保护该组织的信息资产的问题）应简单、易懂，并且前提是所提供的信产的问题）应简单、易懂，并且前提是所提供的信息对被调研人没有直接的贡献。要审查现有的与安息对被调研人没有直接的贡献。要审查现有的与安全有关的策略以及关键的配置文本，包括已完成的全有关的策略以及关键的配置文本，包括已完成的和正在草拟的文本。最后一部分搜集的信息来自于和正在草拟的文本。最后一部分搜集的信息来自于对该组织的各种设施的物理审查。对该组织的各种设施的物理审查。4.评估内容评估内容归纳起来，对该组织的评估包括以下内容：归纳起来，对该组织的评估包括

7、以下内容：组织的网络；组织的网络；组织的物理安全度量；组织的物理安全度量；组织的现有策略和过程；组织的现有策略和过程；组织已有的预防措施；组织已有的预防措施；员工对安全的重视程度；员工对安全的重视程度；员工的工作负载；员工的工作负载；员工的工作态度；员工的工作态度；员工对现有策略的过程的执行情况；员工对现有策略的过程的执行情况；组织的经营业务。组织的经营业务。通常网络提供了对信息和系统最便捷的访问方式。通常网络提供了对信息和系统最便捷的访问方式。实施网络评估的具体步骤如下：实施网络评估的具体步骤如下：从网络配置图上检查每个连接点，包括服务器、从网络配置图上检查每个连接点，包括服务器、桌面系统、

8、桌面系统、Internet访问、拨号访问、对远程和其他访问、拨号访问、对远程和其他组织的连接。从网络配置图以及和管理员的讨论中可组织的连接。从网络配置图以及和管理员的讨论中可获得如下信息：网络上的系统数和类型，操作系统及获得如下信息：网络上的系统数和类型，操作系统及版本，网络拓扑（包括交换、路由、桥接等），版本，网络拓扑（包括交换、路由、桥接等），Internet访问点，访问点，Internet使用，防火墙的数目、类型使用，防火墙的数目、类型和版本，拨号访问点，远程访问类型，广域网拓扑，和版本，拨号访问点，远程访问类型，广域网拓扑，远程场地的访问点，到其他组织的访问点，远程场地的访问点，到其他

9、组织的访问点，Web服务服务器，器，FTP服务器以及邮件网关的位置，网络使用的协服务器以及邮件网关的位置，网络使用的协议，以及网络的控制人员等。议，以及网络的控制人员等。5.1.1 网络评估网络评估 在确定网络结构之后，还要识别网络内的保护机在确定网络结构之后，还要识别网络内的保护机制，包括在全部制，包括在全部Internet访问点上的路由器访问控制访问点上的路由器访问控制表和防火墙规则，用于远程访问的身份鉴别机制，到表和防火墙规则，用于远程访问的身份鉴别机制，到其他组织访问点的保护机制，用于传送和存储信息的其他组织访问点的保护机制，用于传送和存储信息的加密机制，用于保护手提计算机的加密机制，

10、在服务加密机制，用于保护手提计算机的加密机制，在服务器、台式机、邮件系统上的防病毒系统以及服务器安器、台式机、邮件系统上的防病毒系统以及服务器安全配置等。全配置等。如果网络和系统管理员不能提供服务器的安全配如果网络和系统管理员不能提供服务器的安全配置信息，就有必要详细检查这些服务器，包括口令要置信息，就有必要详细检查这些服务器，包括口令要求、每个系统的审计配置、当前系统的补丁水平等。求、每个系统的审计配置、当前系统的补丁水平等。询问网络管理员关于使用的网络管理系统的类型、询问网络管理员关于使用的网络管理系统的类型、报警的类型、系统的监控者等信息。用这些信息来识报警的类型、系统的监控者等信息。用

11、这些信息来识别使用现有的系统，管理人员是否能发觉攻击。别使用现有的系统，管理人员是否能发觉攻击。最后，应对整个系统进行漏洞扫描。应从系统内最后，应对整个系统进行漏洞扫描。应从系统内部和外部两方面来做扫描。前者是内部网络的一个系部和外部两方面来做扫描。前者是内部网络的一个系统，后者是组织防火墙外部的统，后者是组织防火墙外部的Internet上的一个系统。上的一个系统。扫描的结果可识别外部威胁和内部威胁能看到的漏洞。扫描的结果可识别外部威胁和内部威胁能看到的漏洞。组织建筑物的物理安全是网络安全的一个关键组成。组织建筑物的物理安全是网络安全的一个关键组成。物理安全的检查应包括场地的物理访问控制以及场

12、地物理安全的检查应包括场地的物理访问控制以及场地的敏感区域的物理访问控制。例如，数据中心应该和的敏感区域的物理访问控制。例如，数据中心应该和整个大楼有分开的物理访问控制，至少访问数据中心整个大楼有分开的物理访问控制，至少访问数据中心必须有严格的限制。当检查物理安全时，应包括对场必须有严格的限制。当检查物理安全时，应包括对场地、大楼、办公室、纸面记录、数据中心的物理保护地、大楼、办公室、纸面记录、数据中心的物理保护类型，各个门的钥匙保管者，邻近数据中心的大楼或类型，各个门的钥匙保管者，邻近数据中心的大楼或场地这些临界区域的情况等。场地这些临界区域的情况等。应该检查大楼内的通信线路和位置，以及进入

13、大楼的应该检查大楼内的通信线路和位置，以及进入大楼的通信线位置。这些地方可能放置网络的连接头，因此通信线位置。这些地方可能放置网络的连接头，因此应将它们包括在敏感区域或临界区域列表内。这些地应将它们包括在敏感区域或临界区域列表内。这些地方也是惟一的网络出口处。方也是惟一的网络出口处。5.1.2 物理安全评估物理安全评估物理安全还包括电源、环境控制、用于数据中心的消物理安全还包括电源、环境控制、用于数据中心的消防系统。关于这些系统的信息应包括场地是如何供电防系统。关于这些系统的信息应包括场地是如何供电的、数据中心的供电情况、使用的的、数据中心的供电情况、使用的UPS的类型、的类型、UPS系统的保

14、持时间、接到系统的保持时间、接到UPS上的系统类型、当电源失上的系统类型、当电源失效后效后UPS运行的指示、接到运行的指示、接到UPS的环境控制、放置在的环境控制、放置在数据中心的环境控制的类型、环境控制失效的指示、数据中心的环境控制的类型、环境控制失效的指示、数据中心的消防系统的类型以及洒水系统等。数据中心的消防系统的类型以及洒水系统等。在评估阶段需要检查的文本包括安全策略、信息策略、在评估阶段需要检查的文本包括安全策略、信息策略、灾难恢复策略、事故响应过程、后备策略与过程、员灾难恢复策略、事故响应过程、后备策略与过程、员工手册或策略手册、招聘新员工的过程、系统配置指工手册或策略手册、招聘新

15、员工的过程、系统配置指南、防火墙规则、路由器过滤、物理安全策略、软件南、防火墙规则、路由器过滤、物理安全策略、软件开发方法、软件移交过程、网络配置图以及组织结构开发方法、软件移交过程、网络配置图以及组织结构图等。在搜集这些文本基础上检查其相关性、适用性、图等。在搜集这些文本基础上检查其相关性、适用性、完全性和正确性。完全性和正确性。5.1.3 策略和过程评估策略和过程评估每个策略和过程应和组织当前的经营业务实际相关联。每个策略和过程应和组织当前的经营业务实际相关联。策略和过程应适合文本定义的目的。当检查文本是否策略和过程应适合文本定义的目的。当检查文本是否适当时，检查其要求是否满足策略和过程的

16、目标。例适当时，检查其要求是否满足策略和过程的目标。例如，假如安全策略的目标是定义安全需求要针对所有如，假如安全策略的目标是定义安全需求要针对所有计算机系统，那么不仅要为主机系统定义专门的配置，计算机系统，那么不仅要为主机系统定义专门的配置，而且也应包括台式机和客户机服务器系统。而且也应包括台式机和客户机服务器系统。策略和过程应覆盖组织运行的各个方面。在实际工作策略和过程应覆盖组织运行的各个方面。在实际工作中常常没有考虑到某些方面，或者在生成策略和过程中常常没有考虑到某些方面，或者在生成策略和过程时，某些方面还不存在。由于技术经常变化，相应的时，某些方面还不存在。由于技术经常变化，相应的策略和

17、过程也要改变。策略和过程也要改变。当文本太老了或已过时了，应及时修改。因为组织的当文本太老了或已过时了，应及时修改。因为组织的系统和网络经常会改变，如果文本不跟随系统和网络系统和网络经常会改变，如果文本不跟随系统和网络的变化而改变，那么该文本就没有用处。策略和过程的变化而改变，那么该文本就没有用处。策略和过程应定期修改。相应地还要检查有关的培训材料，看这应定期修改。相应地还要检查有关的培训材料，看这些材料是否反映当前的策略和过程。些材料是否反映当前的策略和过程。最后，评估应包括检查最近的事故和审计报告。考察最后，评估应包括检查最近的事故和审计报告。考察该组织是否根据已发生的事故和审计情况有所进

18、展。该组织是否根据已发生的事故和审计情况有所进展。预防的两个基本措施是后备系统和灾难恢复计划。在预防的两个基本措施是后备系统和灾难恢复计划。在评估后备系统的作用时，应详细地询问系统操作员，评估后备系统的作用时，应详细地询问系统操作员，了解后备系统实际的使用情况。应了解的情况包括使了解后备系统实际的使用情况。应了解的情况包括使用什么样的后备系统、对什么系统做后备，多长时间用什么样的后备系统、对什么系统做后备，多长时间做一次后备、后备系统存储在何处、多长时间将后备做一次后备、后备系统存储在何处、多长时间将后备作存储、是否验证过后备、是否经常使用后备，以及作存储、是否验证过后备、是否经常使用后备，以

19、及后备是否曾经有故障等。后备是否曾经有故障等。5.1.4 预防措施评估预防措施评估和其他策略和过程一起，检查灾难恢复计划是否完整。和其他策略和过程一起，检查灾难恢复计划是否完整。不仅要通过阅读文本，更重要的是要和使用灾难恢复不仅要通过阅读文本，更重要的是要和使用灾难恢复计划的员工对话，了解灾难恢复计划是否曾经使用过、计划的员工对话，了解灾难恢复计划是否曾经使用过、使用的结果如何、计划是否经过测试、什么样的灾难使用的结果如何、计划是否经过测试、什么样的灾难恢复设备是可用的、什么样的灾难恢复场地是可用的，恢复设备是可用的、什么样的灾难恢复场地是可用的，以及谁负责灾难恢复的工作等。以及谁负责灾难恢复

20、的工作等。1.员工和管理员的安全意识员工和管理员的安全意识除了策略和过程本身是否完善以外，十分重要的是员除了策略和过程本身是否完善以外，十分重要的是员工的安全意识。应考察他们是否清楚这些策略和过程，工的安全意识。应考察他们是否清楚这些策略和过程，以及是否遵照这些策略和过程去执行。考察的方式是以及是否遵照这些策略和过程去执行。考察的方式是和员工谈话和实地考察。和员工谈话和实地考察。管理员的安全意识也是十分重要的，要考察管理员是管理员的安全意识也是十分重要的，要考察管理员是否重视关于系统配置的安全策略，是否了解安全的威否重视关于系统配置的安全策略，是否了解安全的威胁、系统的漏洞，是否已采取相应的措

21、施。特别重要胁、系统的漏洞，是否已采取相应的措施。特别重要的是，管理员应知道在系统遭受破坏时应做什么以及的是，管理员应知道在系统遭受破坏时应做什么以及如何做。如何做。5.1.5 员工和管理员评估员工和管理员评估2.人员的技术熟练程度人员的技术熟练程度一个组织的员工对整个安全环境的影响是最大的。缺一个组织的员工对整个安全环境的影响是最大的。缺少技术或太熟练的技术都有可能使很好的安全程序失少技术或太熟练的技术都有可能使很好的安全程序失效。要考察安全员和管理员的技术水平，看其是否具效。要考察安全员和管理员的技术水平，看其是否具备必要的技术来运行安全程序。安全员应了解安全策备必要的技术来运行安全程序。

22、安全员应了解安全策略及相关的安全产品。管理员应具备必要的知识来管略及相关的安全产品。管理员应具备必要的知识来管理系统和网络。理系统和网络。一般用户应具备基本的计算机技巧。然而如果用户具一般用户应具备基本的计算机技巧。然而如果用户具有太熟练的技巧（如公司的软件开发人员），可能会有太熟练的技巧（如公司的软件开发人员），可能会产生额外的安全问题。一些附加的软件加载至系统可产生额外的安全问题。一些附加的软件加载至系统可能会影响整个组织的安全，具备必要的知识和技巧便能会影响整个组织的安全，具备必要的知识和技巧便于暴露内部系统的漏洞。对审计员，主要考察其对系于暴露内部系统的漏洞。对审计员，主要考察其对系统

23、和网络的了解，特别是识别问题的能力，而不注重统和网络的了解，特别是识别问题的能力，而不注重其对技术本身的了解。其对技术本身的了解。3.员工的工作负担员工的工作负担如果员工的工作负担太重，经常超负荷，那么即使是如果员工的工作负担太重，经常超负荷，那么即使是完善的安全策略和过程，也不可能很好地执行。当工完善的安全策略和过程，也不可能很好地执行。当工作负荷增加时，最容易忽视的就是安全问题。这时管作负荷增加时，最容易忽视的就是安全问题。这时管理员不再去审阅审计日志，用户共享口令，管理者也理员不再去审阅审计日志，用户共享口令，管理者也不再做安全培训。不再做安全培训。在工作人员超负荷工作的情况下，往往安全

24、漏洞也易在工作人员超负荷工作的情况下，往往安全漏洞也易于暴露。在评估时应审查这种超负荷情况是否是临时于暴露。在评估时应审查这种超负荷情况是否是临时的现象。的现象。4.人员的心态人员的心态管理者和员工对安全重要性的重视程度是整个安全环管理者和员工对安全重要性的重视程度是整个安全环境的又一个关键问题。评估时要审查谁负责组织的安境的又一个关键问题。评估时要审查谁负责组织的安全，以及如何和员工交流有关安全问题。管理者的态全，以及如何和员工交流有关安全问题。管理者的态度以及和与员工的交流都很重要。有时管理者了解安度以及和与员工的交流都很重要。有时管理者了解安全的重要性，但不能及时和员工交流，这样员工并不

25、全的重要性，但不能及时和员工交流，这样员工并不了解安全的重要性。在评估时，要同时向管理者、员了解安全的重要性。在评估时，要同时向管理者、员工了解，审查这两方面的问题。工了解，审查这两方面的问题。5.人员执行情况人员执行情况在审查要求的安全环境的同时，必须审查实际的安全在审查要求的安全环境的同时，必须审查实际的安全环境。要求的安全环境是由策略、机制等决定的。而环境。要求的安全环境是由策略、机制等决定的。而实际的安全环境还要看管理员和员工是否遵照执行的实际的安全环境还要看管理员和员工是否遵照执行的情况。例如，安全策略规定每周要审查审计日志，但情况。例如，安全策略规定每周要审查审计日志，但管理员可能

26、未按规定执行。又如，策略规定口令需管理员可能未按规定执行。又如，策略规定口令需个字符，而管理员未遵照此规定进行配置。这种缺乏个字符，而管理员未遵照此规定进行配置。这种缺乏执行的情况也是经常发生的。执行的情况也是经常发生的。在完成评估信息搜集后，评估组需要分析这些信息。在完成评估信息搜集后，评估组需要分析这些信息。评估组不应根据个别信息，而应审查所有的安全漏洞。评估组不应根据个别信息，而应审查所有的安全漏洞。并非将所有漏洞都转换成风险。有些漏洞可由其他一并非将所有漏洞都转换成风险。有些漏洞可由其他一些控制来阻止漏洞的暴露。些控制来阻止漏洞的暴露。一旦完成了评估分析，评估组应该而且能够提出全部一旦

27、完成了评估分析，评估组应该而且能够提出全部的风险，以及向组织进行建议。风险的表达可从大到的风险，以及向组织进行建议。风险的表达可从大到小有序地列出。对每个风险，应估算在经费、时间、小有序地列出。对每个风险，应估算在经费、时间、资源、信誉等方面的代价，并提出管理风险的建议。资源、信誉等方面的代价，并提出管理风险的建议。5.1.6 评估结果评估结果评估的最后一步是开发一个安全计划。该组织必须决评估的最后一步是开发一个安全计划。该组织必须决定评估结果是否真正反映了安全状况，以及如何最佳定评估结果是否真正反映了安全状况，以及如何最佳地处理它。必须对资源进行分配以及生成调度计划。地处理它。必须对资源进行

28、分配以及生成调度计划。计划不一定从最坏的风险开始，因为诸如预算、资源计划不一定从最坏的风险开始，因为诸如预算、资源等因素可以防止这种情况发生。等因素可以防止这种情况发生。完成评估后的下一步是制定安全策略和过程。安全策完成评估后的下一步是制定安全策略和过程。安全策略和过程是确定该组织期望的安全状态以及在实施阶略和过程是确定该组织期望的安全状态以及在实施阶段如何工作。没有策略，就不可能设计实施有效的信段如何工作。没有策略，就不可能设计实施有效的信息安全程序。需要制定的策略和过程包括以下几项。息安全程序。需要制定的策略和过程包括以下几项。5.2 策略制定策略制定信息策略：确定信息的敏感度以及对敏感信

29、息如何处信息策略：确定信息的敏感度以及对敏感信息如何处理、存储、传输和销毁。该策略构成了解安全程序目理、存储、传输和销毁。该策略构成了解安全程序目的的基础。的的基础。安全策略：确定各种计算机系统需要的技术控制。该安全策略：确定各种计算机系统需要的技术控制。该策略构成了安全程序内容的基础。策略构成了安全程序内容的基础。用户策略：提供使用该组织计算机的使用策略。用户策略：提供使用该组织计算机的使用策略。后备策略：确定计算机系统的后备需求。后备策略：确定计算机系统的后备需求。账户管理过程：确定增加或删除用户账号的步骤。账户管理过程：确定增加或删除用户账号的步骤。事故处理过程：确定信息安全事故处理的目

30、标和步骤。事故处理过程：确定信息安全事故处理的目标和步骤。灾难恢复计划：在自然灾难或人为灾难后提供重建计灾难恢复计划：在自然灾难或人为灾难后提供重建计算机设施的计划。算机设施的计划。1.选择开发策略的次序选择开发策略的次序如何选择开发策略的次序，取决于评估阶段对风险的如何选择开发策略的次序，取决于评估阶段对风险的识别。如果信息的保护标识为高风险域，那么应将信识别。如果信息的保护标识为高风险域，那么应将信息策略放在首位。如果由于缺少灾难恢复计划使经营息策略放在首位。如果由于缺少灾难恢复计划使经营业务丢失是高风险域，那么应将灾难恢复计划放在首业务丢失是高风险域，那么应将灾难恢复计划放在首位。位。在

31、选择首先编写的文本时还要看完成该文本所需的时在选择首先编写的文本时还要看完成该文本所需的时间。灾难恢复计划是十分详细的文本，需要很多部门间。灾难恢复计划是十分详细的文本，需要很多部门和人员作出很大努力才能完成，有时还需要热线场地和人员作出很大努力才能完成，有时还需要热线场地商帮助完成。在灾难发生时，它可提供全部计算机设商帮助完成。在灾难发生时，它可提供全部计算机设备的冗余设施。备的冗余设施。在处理过程中，信息策略需要及早完成。因为信息策在处理过程中，信息策略需要及早完成。因为信息策略是构成了解安全程序目的的基础，说明为什么这些略是构成了解安全程序目的的基础，说明为什么这些信息是重要的以及应该如

32、何保护它。该文本还构成安信息是重要的以及应该如何保护它。该文本还构成安全意识培训的基础。相似地，一个用户策略以及安全全意识培训的基础。相似地，一个用户策略以及安全策略中的口令要求都会影响安全意识培训程序。策略中的口令要求都会影响安全意识培训程序。有些策略可能同时工作效果更好。因为不同部门、不有些策略可能同时工作效果更好。因为不同部门、不同人员对各种策略的兴趣也是不同的。例如，系统管同人员对各种策略的兴趣也是不同的。例如，系统管理员对安全策略感兴趣，而对信息策略的兴趣要少一理员对安全策略感兴趣，而对信息策略的兴趣要少一些；人力资源部门对用户策略和用户管理过程更感兴些；人力资源部门对用户策略和用户

33、管理过程更感兴趣，对后备等过程不十分感兴趣。趣，对后备等过程不十分感兴趣。安全部门可先草拟一个框架和目录作为起点。还可先安全部门可先草拟一个框架和目录作为起点。还可先选择一些少部分人感兴趣的小的文本开始，这样可产选择一些少部分人感兴趣的小的文本开始，这样可产生很快成功的机会，并从中总结经验，再生成其他的生很快成功的机会，并从中总结经验，再生成其他的部分。部分。2.策略的修改策略的修改某些已有的策略文本由于情况的变更需要修改。如果某些已有的策略文本由于情况的变更需要修改。如果原始的策略文本是该组织自己生成的，应该首先根据原始的策略文本是该组织自己生成的，应该首先根据变化的情况重新组合那些对策略原

34、始版本做过贡献的变化的情况重新组合那些对策略原始版本做过贡献的组，以原始的文本作为起点，对版本作相应的修改。组，以原始的文本作为起点，对版本作相应的修改。假如策略文本是由其他组或人编写的，那么他们也应假如策略文本是由其他组或人编写的，那么他们也应介入策略的修改工作。如果原始文本的开发者已经不介入策略的修改工作。如果原始文本的开发者已经不在该组织了，通常需要重新开始。在该组织了，通常需要重新开始。一个组织的策略实施包括技术工具、物理控制、安全一个组织的策略实施包括技术工具、物理控制、安全人员聘用的选择和实施。在实施中可能需要改变系统人员聘用的选择和实施。在实施中可能需要改变系统配置，这不属于安全

35、部门的控制范围，因此安全程序配置，这不属于安全部门的控制范围，因此安全程序的实施必须有系统和网络管理员的介入。的实施必须有系统和网络管理员的介入。检查每个实施和整个环境的关系，以决定如何和其他检查每个实施和整个环境的关系，以决定如何和其他的控制相协调。例如，物理安全的改变可以降低加密的控制相协调。例如，物理安全的改变可以降低加密的要求，反之亦然；防火墙的设置可以降低立即校正的要求，反之亦然；防火墙的设置可以降低立即校正系统漏洞的要求。系统漏洞的要求。5.3 实施实施安全报告系统是一个机制，用于遵守安全部门的跟踪安全报告系统是一个机制，用于遵守安全部门的跟踪策略和过程，跟踪一个组织内的漏洞的总的

36、状态。可策略和过程，跟踪一个组织内的漏洞的总的状态。可以是人工系统，也可以是自动系统，大多数情况二者以是人工系统，也可以是自动系统，大多数情况二者兼用。兼用。5.3.1 安全报告系统安全报告系统1.使用监控机制使用监控机制监控机制用来保证员工遵守计算机的使用策略，包括监控机制用来保证员工遵守计算机的使用策略，包括跟踪跟踪Internet使用的软件。该机制的目的是识别那些使用的软件。该机制的目的是识别那些一贯违反组织策略的员工。有些机制还有能力对那些一贯违反组织策略的员工。有些机制还有能力对那些有这种企图记录的访问进行阻断。有这种企图记录的访问进行阻断。使用监控机制有一些简单的配置要求，需要将游

37、戏软使用监控机制有一些简单的配置要求，需要将游戏软件从台式机中去除。更加精细的机制可对桌面系统安件从台式机中去除。更加精细的机制可对桌面系统安装的新软件进行识别。这样的机制需要安全部门和管装的新软件进行识别。这样的机制需要安全部门和管理员的合作协调。理员的合作协调。2.系统漏洞扫描系统漏洞扫描系统漏洞在安全方面成为十分重要的问题。默认的操系统漏洞在安全方面成为十分重要的问题。默认的操作系统安装通常会伴随着大量的不必要的处理和安全作系统安装通常会伴随着大量的不必要的处理和安全漏洞。使用现有的工具来识别这些漏洞对安全部门来漏洞。使用现有的工具来识别这些漏洞对安全部门来说是一个比较简单的事，但是要纠

38、正这些漏洞，对管说是一个比较简单的事，但是要纠正这些漏洞，对管理员来说是一个要花费时间的处理过程。理员来说是一个要花费时间的处理过程。安全部门必须定期地跟踪网上的各种系统以及在这些安全部门必须定期地跟踪网上的各种系统以及在这些系统上的漏洞。将漏洞报告提供给系统管理员用于纠系统上的漏洞。将漏洞报告提供给系统管理员用于纠正漏洞。当识别到新的系统时应通知系统管理员加以正漏洞。当识别到新的系统时应通知系统管理员加以注意，以决定其行动。注意，以决定其行动。3.遵守策略遵守策略对安全部门来说，这是最花费时间的工作。两个机制对安全部门来说，这是最花费时间的工作。两个机制可以决定是否遵守策略，即自动的或人工的

39、。人工系可以决定是否遵守策略，即自动的或人工的。人工系统需要安全人员对每个系统进行检查，以决定安全策统需要安全人员对每个系统进行检查，以决定安全策略的所有方面是否通过系统配置予以遵从。这是十分略的所有方面是否通过系统配置予以遵从。这是十分费时的，且易于出错。更常用的办法是安全部门选择费时的，且易于出错。更常用的办法是安全部门选择一些简单的工具对组织内的系统进行周期测试，这种一些简单的工具对组织内的系统进行周期测试，这种方法很省事，但检查不完全。方法很省事，但检查不完全。软件机制可用来实施对策略遵从的自动检查。这种机软件机制可用来实施对策略遵从的自动检查。这种机制需要更多时间来设置和配置，但可提

40、供更及时、更制需要更多时间来设置和配置，但可提供更及时、更完全的结果。这种软件机制需要系统管理员的帮助，完全的结果。这种软件机制需要系统管理员的帮助，因为需要对每个系统上的软件进行检查。使用这些机因为需要对每个系统上的软件进行检查。使用这些机制，策略遵从的检查能有规则地执行，并将结果报告制，策略遵从的检查能有规则地执行，并将结果报告给系统管理。给系统管理。1.身份鉴别系统身份鉴别系统身份鉴别系统用来检验要使用的系统和访问网络的用身份鉴别系统用来检验要使用的系统和访问网络的用户的标识的机制。这样的机制也能用来检验要获得对户的标识的机制。这样的机制也能用来检验要获得对设施的物理访问者的标识。设施的

41、物理访问者的标识。身份鉴别机制可采用口令限制、智能卡、生物识别等身份鉴别机制可采用口令限制、智能卡、生物识别等形式。它用于该组织计算机系统的每个用户，因此任形式。它用于该组织计算机系统的每个用户，因此任何身份鉴别机制的应用，用户教育和安全意识是十分何身份鉴别机制的应用，用户教育和安全意识是十分重要的。身份鉴别机制的要求应包括用户安全意识培重要的。身份鉴别机制的要求应包括用户安全意识培训程序。训程序。5.3.2 各种安全机制的实施各种安全机制的实施如果身份鉴别系统发生变更，要及时对用户进行培训，如果身份鉴别系统发生变更，要及时对用户进行培训，或通过咨询服务台的帮助，使用户了解如何使用新的或通过咨

42、询服务台的帮助，使用户了解如何使用新的系统。系统。身份鉴别系统还对组织内的所有系统有影响。没有适身份鉴别系统还对组织内的所有系统有影响。没有适当的计划就无法实施身份鉴别机制。安全部门必须同当的计划就无法实施身份鉴别机制。安全部门必须同系统管理员一起工作来平滑地实施身份鉴别。系统管理员一起工作来平滑地实施身份鉴别。2.Internet安全安全Internet安全的实施包括诸如防火墙和虚拟专网安全的实施包括诸如防火墙和虚拟专网VPN等机制，它可以改变网络的体系结构。实施等机制，它可以改变网络的体系结构。实施Internet安全机制的最重要方面是在安全机制的最重要方面是在Internet和组织内部网

43、之和组织内部网之间放置诸如防火墙等访问控制设备。没有这样的保护，间放置诸如防火墙等访问控制设备。没有这样的保护，所有内部系统将无防护地向外部攻击开放。添加防火所有内部系统将无防护地向外部攻击开放。添加防火墙不是一个简单的处理过程，有可能会影响或破坏用墙不是一个简单的处理过程，有可能会影响或破坏用户的正常活动。户的正常活动。防火墙或其他访问控制设备的应用会改变网络体系结防火墙或其他访问控制设备的应用会改变网络体系结构。首先应确定基本的网络体系结构，随后再恰当地构。首先应确定基本的网络体系结构，随后再恰当地配置防火墙及生成遵从该组织用户策略的基本规则。配置防火墙及生成遵从该组织用户策略的基本规则。

44、VPN也是也是Internet安全的重要角色。当安全的重要角色。当VPN为为Internet传送的信息提供安全时，它扩展了该组织的传送的信息提供安全时，它扩展了该组织的安全边界。这些问题应包括在安全边界。这些问题应包括在Internet安全机制的实安全机制的实施中。施中。3.入侵检测系统入侵检测系统入侵检测系统（入侵检测系统（IDS）是网络的防盗警报。通常将防）是网络的防盗警报。通常将防盗警报设计成可检测任何进入保护区的企图。入侵检盗警报设计成可检测任何进入保护区的企图。入侵检测系统能区分进入保护网络的授权用户和恶意入侵。测系统能区分进入保护网络的授权用户和恶意入侵。入侵检测系统有多种类型，可

45、根据该组织的总的风险入侵检测系统有多种类型，可根据该组织的总的风险以及资源的可用性进行选择。在第以及资源的可用性进行选择。在第13章还会详细讲述章还会详细讲述入侵检测。入侵检测系统需要的主要资源从安全部门入侵检测。入侵检测系统需要的主要资源从安全部门获得。获得。一个十分通用的入侵检测机制是防病毒软件。这个软一个十分通用的入侵检测机制是防病毒软件。这个软件应配置在所有台式机和服务器系统中。除了防病毒件应配置在所有台式机和服务器系统中。除了防病毒软件以外，常用的入侵检测系统还有人工日志检查、软件以外，常用的入侵检测系统还有人工日志检查、自动日志检查、基于主机的入侵检测软件、基于网络自动日志检查、基

46、于主机的入侵检测软件、基于网络的入侵检测软件。的入侵检测软件。人工日志检查效果很好，但费时，且易出错。更好的人工日志检查效果很好，但费时，且易出错。更好的日志检查是生成一个程序，它能搜索所有计算机日志，日志检查是生成一个程序，它能搜索所有计算机日志，并寻找可能的异常情况。并寻找可能的异常情况。入侵检测系统通常是在大多数高风险域确定后才实施。入侵检测系统通常是在大多数高风险域确定后才实施。4.加密加密加密机制通常是针对机密性和隐私服务的。它能保护加密机制通常是针对机密性和隐私服务的。它能保护在传输中或存储中的信息。不论使用什么类型的加密在传输中或存储中的信息。不论使用什么类型的加密机制，在实施前

47、必须解决的两个主要问题是加密算法机制，在实施前必须解决的两个主要问题是加密算法和密钥管理。由于加密会降低处理速度和信息流速度，和密钥管理。由于加密会降低处理速度和信息流速度，因此对所有信息都进行加密是不合适的。因此对所有信息都进行加密是不合适的。在实施加密机制时，要注意以下问题：在实施加密机制时，要注意以下问题：（1）当实施加密时，算法的选择取决于加密的目的。当实施加密时，算法的选择取决于加密的目的。私钥密码比公钥密码要快，然而私钥密码不提供数字私钥密码比公钥密码要快，然而私钥密码不提供数字签名和信息签名。签名和信息签名。（2）选择众人熟知的或易于检验的算法也是重要的，选择众人熟知的或易于检验

48、的算法也是重要的，这种算法很少有后门，不易破坏所保护的信息。这种算法很少有后门，不易破坏所保护的信息。（3）实施加密机制时还必须包括某种类型的密钥管实施加密机制时还必须包括某种类型的密钥管理。链路加密器实现点对点通信加密，建立的系统必理。链路加密器实现点对点通信加密，建立的系统必须周期地更换密钥。公钥系统需要给大量用户分发证须周期地更换密钥。公钥系统需要给大量用户分发证书，要实现这一点比较困难。书，要实现这一点比较困难。（4）当计划实施这种系统时，一定要包括测试密钥当计划实施这种系统时，一定要包括测试密钥管理系统的时间。通常试验程序只包含有限的用户，管理系统的时间。通常试验程序只包含有限的用户

49、，但密钥管理系统必须处理整个系统。但密钥管理系统必须处理整个系统。除了上面这些安全机制和技术工具外，安全机制的实除了上面这些安全机制和技术工具外，安全机制的实施还应包括物理安全实施机制和安全人员、管理人员施还应包括物理安全实施机制和安全人员、管理人员的职责等。的职责等。没有员工的介入，一个组织不可能保护其敏感信息。没有员工的介入，一个组织不可能保护其敏感信息。安全意识培训是对员工提供必要的安全知识和信息的安全意识培训是对员工提供必要的安全知识和信息的机制。培训程序可采用短期课程、快报和广告等多种机制。培训程序可采用短期课程、快报和广告等多种形式。培训的对象可分为员工、管理员、开发者、经形式。培

50、训的对象可分为员工、管理员、开发者、经理和安全职员。理和安全职员。必须通过培训使员工明白为什么安全对一个组织如此必须通过培训使员工明白为什么安全对一个组织如此重要。要使员工能识别和保护敏感信息。安全意识培重要。要使员工能识别和保护敏感信息。安全意识培训为员工提供有关安全的必要知识和信息，包括口令训为员工提供有关安全的必要知识和信息，包括口令选择、如何防止攻击等。比较合适的培训方法是短期选择、如何防止攻击等。比较合适的培训方法是短期培训，每年培训，每年12次。次。5.4 安全培训安全培训对系统管理员进行培训也是重要的。系统管理员必须对系统管理员进行培训也是重要的。系统管理员必须掌握最新的黑客攻击