CISP课堂笔记1.doc

1、 CISP课堂笔记信息安全测评体系介绍l 测试检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作l 评估：对测试检验产生的数据进行分析、形成结论的技术活动l 认证：是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平l 信息系统评估通用准则（CC for Information）国际标准ISO/IEC 15408GB idt 18336l TCSEC升级FC，1992年12月公布引入了“保护轮廓PP”这一重要概l FC引入了PP（用户需求），CEM通用测评方法、TOE评估对象、ST安

2、全目标l 1993年开始，1996年出现V1.0，1998年出现V2.0，1999年5月，成为ISO 15408l CC主要思想和框架取自FC和ITSECl 1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评中心”l 2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式行文（中编办200151号），批准成立“中国信息安全产品测评认证中心” ，英文简称为CNITSEC。l 信息安全测评认证两种方法：“质量过程核查”“评估活动评价”l 信息安全测评认证三种阶段：准备阶段、评估阶段、认证阶段。l 国际：ISO(国际标准化组织) SC27 WG1:信息安全有关的需求、服务和

3、指南 WG2:信息安全技术和机制；WG3:信息安全评估标准；l 各国信息安全测评认证体系负责机构 美国国家信息保证联盟（NIAP）负责管理和运行美国的信息安全测评认证体系 英国通信电子安全局（CESG）负责管理和运行英国的信息安全测评认证体系 澳大利亚国防情报总局（DSD）负责管理和运行澳大利亚的信息安全测评认证体系 加拿大通信安全机构（CSE）负责管理和运行加拿大的信息安全测评认证体系 德国信息安全局（GISA）负责管理和运行德国的信息安全测评认证体系 法国信息系统安全局（SCSSI）负责管理和运行法国的信息安全测评认证体系l 信息安全测评认证的范围： 信息技术产品安全性测评认证 网络信息系

4、统安全性测评认证 信息安全服务单位资质测评认证 信息安全服务人员资质测评认证 信息安全工程测评认证l 信息安全认证业务的范围： 信息安全技术的产品（TOE） 信息系统的认证 信息安全服务提供商资质的认证 信息安全专业人员资质认证l CC的结构： 第一部分简介和一般介绍 第二部分安全功能需求 第三部分安全保障需求l 评估项目按3人/日:EAL3级（含）以上分级评估将进行现场核查。 ELA1:20工作日 ELA2:30工作日 ELA3:60工作日 ELA4:90工作日 EAL5:120工作日l 信息系统安全测评工作历史： 探索阶段（1998-1999）-技术测试 成长阶段（2000-2001）-管

5、理审核 成熟阶段（2002.10）-安全保障l 信息系统安全保障模型：l 生命周期性：计划组织、开发采购、实施交付、运行维护l 保证对象：技术、工程、管理、人员l 安全特征：保密性、完整性、可用性l 系统测评四类服务项目： 方案评审 系统测式 系统评估 系统认证l 资质评估模块 ： 否决部分：企业硬件条件和安全过程能力 改进部分：项目和组织能力网络与通信安全l TCP/IP协议分层：（安全隐患：TCP/IP协议数据流采用明文传输） 应用层 Telnet FTP DNS SMTP 传输层 TCP（传输控制协议） UDP（用户数据报文协议） 网络层 IP ICMP ARP RARP 网络接口层X.

6、25 ARPnetl TCP三次握手四次断开1、 发送方：syn=1、seq=1002、 接收方：syn=1、acknum=101、seq=3003、 发送方：ack=1、acknum=301、seq=101l TCP六个控制位：U/P紧急指针有效位、Syn：请求连接、Ack、确认连接Fin：断开、Rst：复位l CIA：保密性(Confidentiality) 完整性(Integrity)可用性(Availability)l CSMA/CD：载波监听多路访问/冲突检测(CSMA/CD)技术l OSI模型各层功能简述应用层Smtp 25、dns 53、telnet23、ftp 20/21、tf

7、tp69、http80、https443、pop110表示层编码、加密、压缩如ASCI会话层Sql传输层数据段TCP 20字节（三握四断）UDP 8字节（）网络层IP报文（首部字节20）IGMP、ICMP路由器数据链路层Fram帧46（结构18）1518交换机（快速转发）LLC/MAC-网卡48位物理层比特流HUB、中继器CSMA/CDl 最普通的网络拓扑结构是星型（出现单点故障时，不影响全局网），总线型，环型，和复合型l 网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文 l IP 协议只用于发送包， TCP 协议负责将其按正确顺序排列l I

8、P协议存在的主要缺陷包括IP通信不需用进行身份认证，IP数据传输没有加密，IP的分组和重组机制不完善，IP地址的表示不需要真实并确认真假等。l Dos攻击下什么叫Smurf攻击： 向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求，然后对目标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹没而不能有效的工作。DDoS攻击类型： Trinoo TFN TFN2K FunTime Apocalypsel TFN2K与TFN区别：TFN2K可以隐藏欺骗发包的源IP地址常用的网

9、络安全技术l 防火墙策略：（防火墙：防止外部网络禁止内部网络） 网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可用条件）、风险性等。 防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。l 防火墙发展历程： 第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙l 双机热备份保证网络高可用性l DMZ区：非军事区、可以理解为一个不同于外网或内网的特殊网络区域。l 扫描器组成：主机扫描和网络扫描l 入侵

10、检测分类： 基于主机的入侵检测系统 基于网络的入侵检测系统信息安全管理基础l 技术和产品是基础，管理是关键；（七分管理，三分技术）l 信息系统安全保障三部分：技术保障、过程保障、管理保障l 信息安全标准： ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构 P36 ISO13335 SSE-CMM ISO15408（GB/T18336-2001） ISO17799l SSE-CMM安全成熟能力度模型：5个能力级别，11个过程区 1级：非正式执行级 2级：计划和跟踪级 3级：充分定义级 4级：量化控制级 5级：持续改进级l ISO7498-2安全结构图：111加密数字签

11、名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务ll 风险评估：ISO13335 ISO/IEC TR 13335-1：概念和模型 ISO/IEC TR 13335-2：管理和规划 ISO/IEC TR 13335-3：管理技术 ISO/IEC TR 13335-4：安全措施的选择 ISO/IEC TR 13335-5：网络安全性的管理指导 l 管理体系标准 ISO9000族 质量管理体系 ISO14000 环境管理体系标准 OHSAM18000 职业安全卫生管理体系标准 BS7799 信息安

12、全管理体系标准 ISO17799 信息安全管理实施细则l BS7799-1信息安全管理 转换为 ISO/IEC 17799 17799包含了39个控制目标和133个控制措施l BSS7799-2信息安全管理系统规范 转换为 ISO/IEC27001 控制目标：增加了8个新的，重新编排5个 控制措施：保留了116个，修改了9个，新增17个l ISO/IEC 27000标准： ISO/IEC 27001= BS7799-2 ISMS要求 ISO/IEC 27002=ISO/IEO 17799-2 信息安全管理实施细则 ISO/IEC 27003 ISMS测量与审核 ISO/IEC 27004 IS

13、MS实施指南 ISO/IEC 27005 =BS7799-3 信息安全风险管理指南 l PDCA“戴明环”l 过程方法：系统地识别和管理组织所应用的过程。 l ISMS文件类型：手册、规范、指南、记录 灾难恢复和应急响应管理l BCP（Business Continuity Planning）业务持续性规划 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受的状态，而设计的活动或流程l DRP（Disaster Recovery Planning）灾难恢复规划 恢复信息系统处理设施或业务部门恢复运行操作设施所遵循的计划l BCP

14、和DRP区别： BCP强调使关键业务经得起意外事件（灾难）的影响 DRP强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的行为和措施l RPORecovery Point Objective，恢复点目标；代表了当灾难发生时允许丢失的数据量l RTORecovery Time Objective ，恢复时间目标；代表了系统恢复的时间l SHARE 78定义的七级业务恢复级别l 灾难恢复等级划分（区别P35）： 级别1：基本支持 级别2：备用场地支持 级别3：电子传输和部分设备支持 级别4：电子传输及完整设备支持 级别5：实时数据传输及完整设备级别 级别6：数据零丢失和远程集群支持支

15、持l BIA的四个主要步骤： 收集相关的分析资料 执行漏洞分析 汇总、分析信息 将总结写成文档，并且提出建议l 五种主要的灾难恢复测试类型：核查表（Checklist）、结构化视察、模拟、并行测试、全终端测试Windows安全l 操作系统按照C2级定义l Windows SID：S-1-5-21-1763234323-3212657521-1234321321-500 第一项S表示该字符串是SID 第二项是SID的版本号，对于2000来说，这个就是1 第三项然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5 第四项然后表示一系列的

16、子颁发机构，前面几项是标志域的 第四项最后一个标志着域内的帐户和组 l 安全账号管理器位置SAM：%SystemRoot%system32configsam文件l 日志文件位置： 系统：%SYSTEMROOT%system32configSysEvent.Evt 安全：%SYSTEMROOT%system32configSecEvent.Evt 应用：%SYSTEMROOT%system32configAppEvent.Evt 计划任务：%systemroot%schedlgu.txt ftp日志：%systemroot%system32logfilesmsftpsvc1 www日志：%systemroot%system32logfilesw3svc1l 当用户加入多个组时：用户的权限是多个组权限的累加，但拒绝优先l 复制或移动影响：同分区移动不变，其它操作都是目的的文件夹的权限l 共享与NTFS权限共存时：最小权限优先。l Kerbors 属于对称加密算法，用于单点登录