信息系统安全体系结构.pdf

1、1信息系统安全体系结构信息系统安全体系结构时成阁博士授权信息产业部信息中心讲授版权所有，侵权必究2006年1月内容提要内容提要?系统安全体系结构?系统安全模型?网络管理模型?安全评测认证技术2系统安全模型系统安全模型系统安全模型系统安全模型?OSI 的安全模型（一）?OSI安全模型的结构?X.800定义了OSI体系的安全架构，定义了基本的安全服务与安全机制，及其在OSI层间的分配?X.802研究了OSI低层的安全模型，提出了安全关联的概念；X.830研究了OSI高层的一般安全模型?X.810对X.800中提出的基本安全服务的架构模型进行了全面说明3系统安全模型系统安全模型?OSI 的安全模型（

2、二）机制机制服务服务数据数据加密加密数字数字签名签名访问访问控制控制数据数据完整性完整性认证认证交换交换业务流业务流填充填充路由路由控制控制公证公证机制机制对等实体鉴别对等实体鉴别数据源鉴别数据源鉴别访问控制访问控制连接的保密性连接的保密性无连接的保密性无连接的保密性选择字段的保密性选择字段的保密性业务流安全业务流安全带恢复的连接完整性带恢复的连接完整性不带恢复连接完整性不带恢复连接完整性选择字段连接完整性选择字段连接完整性无连接的完整性无连接的完整性数据源点不可否认数据源点不可否认数据交付不可否认数据交付不可否认系统安全模型系统安全模型?OSI 的安全模型（三）?OSI的安全服务机制配置?安

3、全服务/机制的实现必须遵循OSI分层原理并与现有的OSI功能兼容?OSI层间的安全机制映射操作?SMIB的管理要求?服务机制的协商?服务请求+安全参数?面向连接与无连接的安全机制4系统安全模型系统安全模型?OSI 的安全模型（三）OSI 层OSI 层安全服务安全服务物理层物理层 链路层链路层 网络层网络层 传输层传输层 会话层会话层 表示层表示层 应用层应用层对等实体认证对等实体认证数据源认证数据源认证访问控制访问控制连接保密连接保密无连接保密无连接保密选择字段保密选择字段保密业务流保密业务流保密带恢复的连接完整性带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性选择

4、字段连接完整性无连接完整性无连接完整性选择字段无连接完整性选择字段无连接完整性源不可否认源不可否认交付不可否认交付不可否认系统安全模型系统安全模型?OSI 的安全模型（四）OSI 层OSI 层安全机制安全机制物理层物理层 链路层链路层 网络层网络层 传输层传输层 会话层会话层 表示层表示层 应用层应用层数据加密数据加密数字签名数字签名访问控制访问控制数据完整性数据完整性认证交换认证交换业务流填充业务流填充路由控制路由控制公证公证5系统安全模型系统安全模型?TCP/IP 的安全模型（一）?TCP/IP的安全架构?IPsec/RFC1825：提供基本的主机级安全机制?ISAKMP/RFC2408：

5、提供IPsec的安全机制协商功能?DNSsec/RFC2065：提供对DNS机制的保护?Security/Multipart,RFC1847：是MIME格式封装的内容保护机制?X.509v3：是安全机制中的证书标准?TLS：提供传输层的安全机制?其他安全机制（非核心）系统安全模型系统安全模型?TCP/IP 的安全模型（二）?网络层安全架构IPsec?是IP层的一般性安全保护机制，包括AH和ESP?Ipsec将原来标志一个IP连接的关联扩展为安全关联SA以标示一个单向安全机制?SA中的SPI标识了IPsec连接所采用安全机制的基本信息?IPsec采用了与具体算法独立的设计思想，连接建立阶段需要通

6、过ISAKMP进行安全机制协商6系统安全模型系统安全模型?TCP/IP 的安全模型（三）?IPsec的应用框架结构IPIPIPIPTCP/UDPTCP/UDPTCP/UDPTCP/UDP协议栈协议栈协议栈协议栈安全策略引擎安全策略引擎安全策略安全策略安全策略安全策略引擎引擎引擎引擎密钥管理引擎密钥管理引擎密钥管理密钥管理密钥管理密钥管理引擎引擎引擎引擎SASASASA表表表表IPsec引擎IPsec引擎IPsecIPsecIPsecIPsec引擎引擎引擎引擎系统安全模型系统安全模型?TCP/IP 的安全模型（四）?AH/authentication header?AH提供了对整个IP包的认证功

7、能?对IP包中可变字段清零后计算认证数据?中间节点认证需要解决密钥分发问题?ESP/encapsulation security payload?ESP提供对PDU的加密封装功能?ESP有隧道模式和传输模式?ESP涉及到大量的运算处理7系统安全模型系统安全模型?TCP/IP 的安全模型（五）?AH和ESP联合应用的两种方式IPIPIPIP头部头部头部头部AHAHAHAHESPESPESPESP头部头部头部头部内部内部内部内部IPIPIPIP分组的传送层段分组的传送层段分组的传送层段分组的传送层段ESPESPESPESP尾部尾部尾部尾部鉴别范围鉴别范围鉴别范围鉴别范围(a)a)先加密后认证方式先

8、加密后认证方式先加密后认证方式先加密后认证方式鉴别范围鉴别范围鉴别范围鉴别范围IPIPIPIP头部头部头部头部ESPESPESPESP头部头部头部头部IPIPIPIP头部头部头部头部内部内部内部内部IPIPIPIP分组的传送层段分组的传送层段分组的传送层段分组的传送层段ESPESPESPESP尾部尾部尾部尾部AHAHAHAH内部内部内部内部IPIP分组分组分组分组(b)b)先认证后加密方式先认证后加密方式先认证后加密方式先认证后加密方式系统安全模型系统安全模型?TCP/IP 的安全模型（六）?传输层安全架构?TLS主要提供应用间通信数据的保密性和完整性?TLS包括两层：?TLS记录协议提供保密

9、和可靠的连接安全功能?TLS握手协议提供通信双方安全机制的协商功能?TLS提供了与应用协议独立的开放的安全架构平台，可引入各类相关的安全技术?TLS对网络层以下的协议栈不作改动，并可挂接现有的安全处理包提供记录层安全功能8系统管理模型系统管理模型系统安全模型系统安全模型?系统安全模型评述?OSI与TCP/IP安全模型的比较?OSI：体系结构完整，对安全性考虑较充分?TCP/IP：更加注重实际应用，系统性不够?现有系统安全模型的评价?系统安全模型的提出反映了信息安全的实际需求?网络系统所能提供的安全保障能力是受限的?安全功能在层间的配置影响到实现的效率?未提供有效的安全性能评价手段9系统管理模型

10、系统管理模型?OSI 的系统管理模型（一）?OSI的系统管理模型?OSI的管理模型是从结构和管理信息流动的角度进行描述的，包括系统管理和层管理?系统管理在应用层上交换管理信息?层管理在较低层上交换管理信息，往往是层实体的一部分?SMAE提供系统管理信息交换所需的通信功能?OSI管理活动所涉及到的各类管理信息统称为MIB，其中包含了被管对象的逻辑抽象表示系统管理模型系统管理模型?OSI 的系统管理模型（二）?管理功能域：?OSI将系统管理功能分为配置管理、故障管理、性能管理、安全管理、计费管理等五个功能域?系统管理功能：?OSI进一步将功能域中的管理操作抽象为对象管理、状态管理、关系管理、告警管

11、理、事件报告、日志控制、安全告警报告、安全追查、访问控制、计费表、负载检测、测试管理、总结、确信测试、对象调度及管理知识的管理等十六个系统管理功能10系统管理模型系统管理模型?OSI 的系统管理模型（三）?CMIS/CMIP?OSI采用标准的CMIS在异构系统间交换管理信息?SAME中的CMISE在ROSE的基础上通过CMIP交换管理信息?CMIP提供了可远程调用的公共管理操作架构?CMOT?IETF制定了CMOT以便在TCP/UDP环境中支持CMIS服务?CMOT在TCP/UDP层上增加了LPP层系统管理模型系统管理模型?OSI 的系统管理模型（四）?OSI的管理信息模型?OSI采用面向对象

12、的方法建立被管对象模型，该方法的自治性、封装性和重载性简化了信息建模工作?被管对象模型放在MIB中，MIB的通用结构称为SMI，确定了MIB的数据结构和命名方式?信息模型同时包括了对象之间的关系?管理操作包括面向对象整体的和面向对象属性的操作11系统管理模型系统管理模型?TMN管理模型（一）?TMN的体系结构mqxxfmqxxfWSFWS-NMFWSFWS-NMFg gq3fq3qxqxq3q3q3fq3qxqxq3q3OSFOSFNE-NMFNEFNE-NMFNEFQA-NMFQAFQA-NMFQAFMFMFTMNTMN系统管理模型系统管理模型?TMN管理模型（二）?TMN的逻辑分层结构网络

13、单元层网络单元层网络单元层网络单元层网络单元层网络单元管理层网络单元层网络单元管理层网络单元管理层网络单元管理层网络单元管理层网络管理层网络单元管理层网络管理层网络管理层网络管理层网络管理层业务管理层网络管理层业务管理层业务管理层业务管理层业务管理层商务管理层业务管理层商务管理层商务管理层商务管理层商务管理层商务管理层12系统管理模型系统管理模型?TMN管理模型（三）?TMN管理功能实现TMNTMNTMNTMN管理业务管理业务管理业务管理业务TMNTMNTMNTMN管理功能集合管理功能集合管理功能集合管理功能集合TMNTMNTMNTMN管理功能管理功能管理功能管理功能TMNTMNTMNTMN系

14、统管理业务系统管理业务系统管理业务系统管理业务资源被管对象资源被管对象资源被管对象资源被管对象支持被管对象支持被管对象支持被管对象支持被管对象CMISCMISCMISCMIS通信通信通信通信功能单元功能单元功能单元功能单元系统管理模型系统管理模型?TMN管理模型（四）?TMN信息模型?TMN在OSI的通用网络管理信息建模方法基础上，在M.3100中对传送网进行了建模?TMN接口规范方法?M.3020对TMN的接口规范方法进行了研究，提出了一种用于描述TMN接口的功能及协议规范的方法，并对TMN接口定义的处理过程进行了指导13系统管理模型系统管理模型?TCP/IP 的系统管理模型（一）?SNMP

15、的管理模型管理进程管理进程管理进程管理进程管理进程管理进程管理代理管理代理管理代理管理代理管理代理管理代理MIB视图视图MIBMIB视图视图视图视图网管工作站网管工作站网管工作站网管工作站被管网络要素被管网络要素被管网络要素被管网络要素SNMPSNMP网管代理网管代理网管代理网管代理网管应用网管应用网管应用网管应用系统管理模型系统管理模型?TCP/IP 的系统管理模型（二）?SNMP协议操作?SNMP实体根据协议处理的内容确定管理进程和代理身份?SNMPv1仅提供get和get-next操作，SNMPv2增加了get-bulk操作以提高处理效率?SNMP的TRAP机制提供了代理向管理进程的主动

16、报告机制?SNMP的编码机制采用了对ASN.1语法格式通用的BER语法传输记号14系统管理模型系统管理模型?TCP/IP 的系统管理模型（三）?SNMP安全机制?SNMPv2的安全模型架构主要面向常见的针对网络协议的安全威胁?SNMPv2采用了数据完整性、数据源认证、数据保密三种基本的安全服务，而支持这些安全服务的是数字签名和对称加密机制?SNMPv2提供了基于上下文的安全域机制系统管理模型系统管理模型?TCP/IP 的管理信息模型?SMI?SMI定义了MIB模块、MIB模块的兼容性声明和代理实现的能力声明?SMI采用了IANA的注册树作为层次化模块命名的依据?MIB?MIB对Internet

17、管理所需的被管对象进行了建模15系统管理模型系统管理模型?系统管理模型评述?管理模型的评价?OSI的管理模型更系统，而TCP/IP的则更实用?OSI对安全管理功能进行了分析与定义?两者对管理安全都提供了安全机制?信息模型的评价?两者的信息建模均包含了SMI和MIB?OSI采用MIT结构，扩展性好但查询性能较差；SNMP采用MIB结构，性能较好但可扩展性差?SNMP的信息建模仅适用于TCP/IP环境安全评测认证技术安全评测认证技术16IT IT 安全测评认证技术安全测评认证技术?TCSEC评估体系（一）?TCSEC的安全要求?是全球第一个信息安全领域的评估标准，用于评估ADP系统所包含安全机制的

18、有效性?TCSEC将可信计算机系统的要求划分为：?安全策略/security policy?标记/marking?识别/identification?责任/accountability?保证/assurance?保护的连续性/continuous protectionIT IT 安全测评认证技术安全测评认证技术?TCSEC评估体系（二）?TCSEC的评估模型监控数据基用户授权文件，权利数据基访问控制表监控数据基用户授权文件，权利数据基访问控制表监控数据基监控数据基监控数据基监控数据基用户授权文件，权利数据基用户授权文件，权利数据基用户授权文件，权利数据基用户授权文件，权利数据基访问控制表访问控

19、制表访问控制表访问控制表委托监控器委托监控器委托监控器委托监控器委托监控器委托监控器安全审计跟踪安全审计跟踪安全审计跟踪安全审计跟踪安全审计跟踪安全审计跟踪主体主体主体主体主体主体客体客体客体客体客体客体17IT IT 安全测评认证技术安全测评认证技术?TCSEC评估体系（三）（为功能增加或修改，为与前一等级相同）（为功能增加或修改，为与前一等级相同）类别类别评估评估D D C1C1 C2C2 B1B1 B2B2 B3B3 A1A1 A2A2类别类别评估评估D DC1C1 C2C2 B1B1 B2B2 B3B3 A1A1 A2A2自主访问控制自主访问控制 体系结构体系结构 对象重用对象重用 系

20、统的完整性系统的完整性 标记标记 安全测试安全测试 标记的完整性标记的完整性 设计规范与验证设计规范与验证 标记信息输出标记信息输出 隐蔽信道分析隐蔽信道分析 多级设备输出多级设备输出 可信设施管理可信设施管理 单级设备输出单级设备输出 配置管理配置管理 标记硬拷贝输出标记硬拷贝输出 恢复恢复 强制访问控制强制访问控制 保证保证可信发布可信发布 主体安全标记主体安全标记 安全用户指南安全用户指南 安全安全策略策略设备标记设备标记 安全设施手册安全设施手册 验证与确认验证与确认 测试文档测试文档 审计审计 文档文档设计文档设计文档 责任责任可信通路可信通路 IT IT 安全测评认证技术安全测评认

21、证技术?TCSEC评估体系（四）?TNI评估机理?TNI将TCSEC的评估对象由ADP扩展到AIS，将整个网络系统视为一个统一的可信系统?整个网络系统有一个统一的NTCB，通过统一的安全策略控制对信息的访问?NTCB将以一致的方式分布到多个网络部件中，每个NTCB分区与该部件的TCB并无直接对应关系，但负责全局安全策略在部件内的实施?TNI对多级网络互联和网络部件的评估进行了初步研究18IT IT 安全测评认证技术安全测评认证技术?TCSEC评估体系（五）?TNI评估内容?TNI的第一部分对TCSEC准则在AIS环境中的应用进行了解释，对TCSEC标准中的主体、客体、访问控制和安全策略等主要概

22、念进行了扩展?TNI的第二部分针对TCSEC解释中未包含、但网络应用特有的安全需求的安全服务作了说明?第二部分的准则按照功能、机制的强度和保证三方面进行描述，评估的等级较第一部分更为定性和主观IT IT 安全测评认证技术安全测评认证技术?ITSEC评估体系（一）?ITSEC的评估机理?ITSEC将信息安全界定为机密性、完整性和可用性?TOE可以是IT系统或产品?ITSEC提供了对安全增强功能定义的灵活性?ITSEC将安全保证区分为安全增强功能实现的正确性和有效性，在正确性方面定义了7个等级，而有效性方面的要求不随评估等级而变19IT IT 安全测评认证技术安全测评认证技术?ITSEC评估体系（

23、二）?ITSEC的功能性定义?ITSEC将TOE的安全功能特性从安全目标、安全增强功能和安全机制三个层次上考察?ITSEC提供了常用安全功能的定义?包括识别和认证、访问控制、责任、审计、对象重用、正确度、服务可靠性和数据交换?ITSEC进一步将功能定义抽象为10个示范功能类?包括FC1、FC2、FB1、FB2、FB3、FIN、FAV、FDI、FDC、FDX等，是从德国标准ZSIEC继承过来的IT IT 安全测评认证技术安全测评认证技术?ITSEC评估体系（三）?ITSEC的有效性保证?ITSEC的有效性保证主要针对TOE安全增强功能的适合性、功能间协同性、安全机制的抵御能力、安全漏洞、不安全状

24、态等方面?ITSEC的有效性评估与TOE脆弱性评估相结合?ITSEC的有效性评估包括构建有效性（功能的适合性、功能的绑定、机制的强度和构建脆弱性评估）和运行有效性（使用的简便性、操作脆弱性评估）20IT IT 安全测评认证技术安全测评认证技术?ITSEC评估体系（四）?ITSEC的正确性等级?ITSEC定义了E0E6共7个评估等级，每个等级的要求依次递增?ITSEC的正确性评估涉及到开发和运行阶段，并假设TOE采取了生命周期的质量保证机制?ITSEC的正确性评估内容包括开发过程、开发环境、操作文档及操作环境IT IT 安全测评认证技术安全测评认证技术?ITSEC评估体系（五）?ITSEC的评估

25、及证书过程?ITSEC的评估过程需要开发方、发起方的参与?通过证书机制来维持评估结果的有效性?英国的ITSEC评估组织管理机构?管理会议?证书实体?CLEF,commercial evaluation facility?评估发起方?开发方?授权方21IT IT 安全测评认证技术安全测评认证技术?CC 评估体系（一）?CC的一般评估模型安全要求安全要求安全要求安全要求(PPPPPPPP和和和和ST)ST)ST)ST)评估准则评估准则评估准则评估准则评估准则评估准则评估方法评估方法评估方法评估方法评估方法评估方法评估计划评估计划评估计划评估计划评估计划评估计划TOETOETOETOE和和和和评估证

26、据评估证据评估证据评估证据评估结果评估结果评估结果评估结果评估结果评估结果开发开发开发开发TOETOETOETOE评估评估评估评估TOETOETOETOE运行运行运行运行TOETOETOETOEIT IT 安全测评认证技术安全测评认证技术?CC 评估体系（二）?CC的安全功能需求?CC定义了package、PP和ST三类安全要求?CC对安全要求定义采取了结构化定义方式?标准的安全要求被归结为功能类?包括安全审计、通信、加密支持、用户数据保护、识别认证、安全管理、隐私、安全功能保护、资源利用、TOE接入、可信通道等11个功能类22IT IT 安全测评认证技术安全测评认证技术?CC 评估体系（三）

27、?CC的安全保证要求?CC通过评估提供对TOE的保证，但并不排除其他方法?CC对评估保证要求同样采取了结构化表述方法，将其归结为保证评估类?EAL1EAL7是预定义的7个保证评估类?分级的评估保证要求是为了便于用户在TOE安全性和成本之间进行折中IT IT 安全测评认证技术安全测评认证技术?CC 评估体系（四）?CC的保证维护机制TOETOETOETOE重评估重评估重评估重评估TOETOETOETOE监视监视监视监视TOETOETOETOE接纳接纳接纳接纳TOETOETOETOE评估评估评估评估23IT IT 安全测评认证技术安全测评认证技术?CC 评估体系（五）?通用评估方法CEM?CEM提

28、供了对CC准则的理解和一致性应用，提供了标准的评估过程和处理的建议?CEM的评估原则包括适宜性、公正性、客观性、可重复性及结果的稳固性?CEM的评估活动参与方包括：?开发方?发起方?评估方?监督方IT IT 安全测评认证技术安全测评认证技术?CC 评估体系（六）?CEM的评估方法?CEM的结构与CC是基本一致的?CEM将一般的评估任务划分为评估输入、评估子活动和评估输出三部分?CEM对PP评估、ST评估、EAL1-EAL4评估的详细操作方法说明，并针对常见的评估活动给出了操作指导24IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（一）?SSE-CMM模型?SSE-CMM是

29、建立在统计过程控制CMM模型基础上的?SSE-CMM描述了良好的安全工程实践过程中的关键特点，提供了一个评价用户机构内部安全工程实践的完整框架?SSE-CMM计划的目标是将安全工程发展为一个良好定义、成熟和可测度的领域，提供基于能力的保证IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（二）?安全工程?SSE-CMM将安全工程划分为风险、工程和保证三个基本领域?安全工程控制的主要目标之一就是降低风险，即通过评估现有的风险水平并采取必要的措施将风险限制在可接受的水平?SSE-CMM主要针对安全工程的可重复性25IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体

30、系（三）?SSE-CMM结构?SSE-CMM通过域和能力两个维度实现安全工程过程基本特征与管理/制度特征的分离?“域”维度包含了定义安全工程的全部实践活动基本实践BP，“能力”维度表征了过程管理和制度能力方面的实践通用实践GP?SSE-CMM包含的BP被组织为11个过程域PA，代表了现有的最佳安全工程领域的实践?PA中的实践需要在一个项目生命周期的组织过程执行中重复IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（四）?SSE-CMM定义的过程域安全工程 PA安全工程 PA工程/组织实践 PA工程/组织实践 PAPA01：管理安全控制PA01：管理安全控制PA02：评估影响

31、PA02：评估影响PA03：评估安全风险PA03：评估安全风险PA04：评估威胁PA04：评估威胁PA05：评估脆弱性PA05：评估脆弱性PA06：构造保证论断PA06：构造保证论断PA07：协调安全PA07：协调安全PA08：监视安全状态PA08：监视安全状态PA09：提供安全输入PA09：提供安全输入PA10：说明安全需求PA10：说明安全需求PA11：验证安全PA11：验证安全PA12：保证质量PA12：保证质量PA13：管理配置PA13：管理配置PA14：管理工程风险PA14：管理工程风险PA15：监视和控制技术力量PA15：监视和控制技术力量PA16：规划技术力量PA16：规划技术力

32、量PA17：定义组织的系统安全过程PA17：定义组织的系统安全过程PA18：改进组织的系统安全过程PA18：改进组织的系统安全过程PA19：管理生产线发展PA19：管理生产线发展PA20：管理系统安全支持环境PA20：管理系统安全支持环境PA21：提供当前的技术和知识PA21：提供当前的技术和知识PA22：与供应商协调PA22：与供应商协调26IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（五）?SSE-CMM结构?GP是适用于所有过程的实践活动，主要表征了过程的管理、度量和制度方面对执行过程的能力保障?GP被划分成通用特性CF逻辑域，并按照5个能力级加以组织，分别代表了

33、递增的组织能力?SSE-CMM共定义了05共6个能力等级IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（六）?SSE-CMM模型的使用?过程改进：作为改进组织安全工程过程的工具，采用了循环结构的IDEAL模型?能力评估：评估厂商执行安全工程过程的能力，并提供了通用的评估方法SSAM?获得保证：过程证据可为最终产品的可信度提供支持27IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（七）启动阶段启动阶段启动阶段启动阶段(Initiating)Initiating)明确改进理由明确改进理由设置上下文设置上下文建立实现架构建立实现架构建立任务建立任务诊断阶段

34、诊断阶段诊断阶段诊断阶段(Diagnosing)Diagnosing)描述当前描述当前/预期状态预期状态提出建议提出建议建立阶段建立阶段建立阶段建立阶段(Establishing)Establishing)设置优先级设置优先级制定工作计划制定工作计划提出方法提出方法行动阶段行动阶段行动阶段行动阶段(Acting)Acting)提出解决方案提出解决方案测试解决方案测试解决方案精练方案精练方案实现方案实现方案学习阶段学习阶段学习阶段学习阶段(Learning)Learning)分析和确认分析和确认规划将来行动规划将来行动能力评估能力评估IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评

35、估体系（八）?SSE-CMM的评估方法SSAM?SSAM的评估过程参与方包括：?发起方?评估方?被评估方?SSAM的评估类型包括：?用于采购的评估?用于自我改进的评估28IT IT 安全测评认证技术安全测评认证技术?SSE-CMM评估体系（九）?SSAM的评估过程范围评估范围评估规划阶段规划阶段初步证据收集初步证据收集制定评估计划制定评估计划准备评估组准备评估组准备阶段准备阶段补充证据收集补充证据收集证据证据/问卷分析问卷分析举行执行会议举行执行会议现场阶段现场阶段举行开幕会议举行开幕会议与项目领导会谈与项目领导会谈会谈数据补充会谈数据补充与一般人员会谈与一般人员会谈会谈数据补充会谈数据补充分

36、析数据跟踪单分析数据跟踪单确定初步结论确定初步结论进一步会谈进一步会谈确定能力等级确定能力等级确定最终结论确定最终结论管理评估材料管理评估材料提交综合评价提交综合评价编写最终报告编写最终报告报告阶段报告阶段报告评估结果报告评估结果管理评估材料管理评估材料总结评估过程总结评估过程IT IT 安全测评认证技术安全测评认证技术?安全测评认证技术评述（一）?信息安全概念的演进?安全评估技术直接推动了信息安全概念的演进并逐步覆盖完整的信息安全领域?信息安全概念的表述趋于严谨?评估的基本原理?对TOE生命周期的评估?通过证书机制保证评估的持续有效性?评估结论的重用性29IT IT 安全测评认证技术安全测评

37、认证技术?安全测评认证技术评述（二）?评估方法?标准化的评估方法有助于提高评估结果的客观性、一致性?评估机制与证书机制的结合?安全工程过程能力评估?过程评估与产品评估的互补性?评估内容、结构的一致性?评估过程的相互补充?评估结论的相互支持企业级信息系统病毒预防企业级信息系统病毒预防企业级信息系统病毒预防企业级信息系统病毒预防?病毒病毒?病毒发展的现状病毒发展的现状?网络黑客攻击的常用几种手法网络黑客攻击的常用几种手法?企业用户病毒防护企业用户病毒防护30病病病病毒毒毒毒病毒原始定义病毒原始定义病毒原始定义病毒原始定义计算机病毒是一段自行复制可执行代码自行复制可执行代码.世界上第一只公认的有原始

38、特征的病毒是世界上第一只公认的有原始特征的病毒是“C-Brain”31病毒分类讲解病毒分类讲解病毒分类讲解病毒分类讲解引导型病毒、DOS病毒、宏病毒、Windows病毒、脚本病毒、Java病毒、恶意程序、玩笑程序引导型病毒引导型病毒引导型病毒引导型病毒已感染的磁盘硬盘受感染感染所有磁盘BootRecordVirusBootRecordVirus32主机DOSDOSDOSDOS文件型文件型文件型文件型病毒（病毒（病毒（病毒（EXEEXEEXEEXE型型型型）病毒病毒跳到病毒体原文件头当主机受到感染，病毒通常自我复制到主机文件结尾在附着的病毒代码中保存病毒获得原文件头信息最后，病毒修改原文件头信息

39、，执行最近被感染文件时就能跳到病毒体。宏病毒宏病毒宏病毒宏病毒如何传染传播如何传染传播如何传染传播如何传染传播通用模板通用模板通用模板通用模板WORD 正文WORD 正文WORD 宏病毒WORD 宏病毒WORD 正文WORD 正文WORD 宏病毒WORD 宏病毒若在Word中打开染毒文件，病毒会将其宏代码复制到通用模板通用模板中的宏病毒，将病毒复制到其他打开的文件中若在Word中打开染毒文件，病毒会将其宏代码复制到通用模板通用模板中的宏病毒，将病毒复制到其他打开的文件中Normal.dot我只有我只有28K/64K,胖了可不是我胖了可不是我33宏病毒宏病毒宏病毒宏病毒如何传染传播如何传染传播如

40、何传染传播如何传染传播EXCEL电子表格EXCEL电子表格Excel宏病毒Excel宏病毒EXCEL电子表格EXCEL电子表格Excel宏病毒Excel宏病毒打开染毒的Excel电子表格表时，会在Microsoft OfficeOfficeXLStart目录中产生一个 excel 文件每次打开有宏病毒的电子表格时，就能感染每个打开的电子表格打开染毒的Excel电子表格表时，会在Microsoft OfficeOfficeXLStart目录中产生一个 excel 文件每次打开有宏病毒的电子表格时，就能感染每个打开的电子表格XLStart 目录XLStart 目录启动文件启动文件WindowsWi

41、ndowsWindowsWindows病毒病毒病毒病毒来源于下载文件或其他用户的文件其主要攻击目标通常为Windows可执文件，如计算器、浏览器、游戏、画图及类似图形处程序、写字板、Word、Outlook、设备驱动程序、屏幕保护程序、帮助文件，及其他程序或含可执代码的文件。包括可执文件(*.EXE)、动态链接库(*.DLL)、虚拟设备驱动器(*.VXD)、对象组件(*.OCX)。34脚本病毒脚本病毒脚本病毒脚本病毒恶意程序位于HTML文件的script段JavaJava病毒病毒病毒制造者用的安全某些感染人生厌病毒运与否依赖于安全设置具有*.CLASS扩展名35特洛伊特洛伊特洛伊特洛伊木马木马

42、木马木马、蠕虫、蠕虫、蠕虫、蠕虫病毒及病毒及病毒及病毒及网络黑客网络黑客网络黑客网络黑客工具工具工具工具计算机蠕虫是可将其复制功能传播到其他计算机的程序工作站Windows NT 服务器这些程序可访问用户的计算机系统，获得重要信息，并发送给黑客由黑客发送或从Internet下载的网络黑客工具通常假装成引人注意的程序由黑客发送或从Internet下载的网络黑客工具通常假装成引人注意的程序特洛伊特洛伊特洛伊特洛伊木马木马木马木马、蠕虫、蠕虫、蠕虫、蠕虫病毒及病毒及病毒及病毒及网络黑客工网络黑客工网络黑客工网络黑客工具具具具黑客黑客InternetInternet黑客可利用它打开用户计算机端口，以得

43、到你的重要数据黑客可利用它打开用户计算机端口，以得到你的重要数据网络黑客工具是以远程控制计算机为唯一目的恶意代码，并能用系统中的某些后门网络黑客工具是以远程控制计算机为唯一目的恶意代码，并能用系统中的某些后门36玩笑程序玩笑程序玩笑程序玩笑程序您只有解谜后才能回到原先的工作状态您只有解谜后才能回到原先的工作状态病毒发展现状病毒发展现状病毒发展现状病毒发展现状37?不死的蠕虫 不死的蠕虫 “冲击波冲击波”及其他及其他?传播速度快，感染范围广传播速度快，感染范围广?反复感染，难以根除，具有顽强的生命力反复感染，难以根除，具有顽强的生命力?丰富的传播和破坏方式，使用了过去两年来几乎所有病毒的常用技术

44、丰富的传播和破坏方式，使用了过去两年来几乎所有病毒的常用技术?隐蔽性更好，使用加密技术隐蔽性更好，使用加密技术?破坏性惊人，泄漏用户信息破坏性惊人，泄漏用户信息病毒肆虐的主战场病毒肆虐的主战场病毒肆虐的主战场病毒肆虐的主战场 蠕虫病毒蠕虫病毒蠕虫病毒蠕虫病毒我传播的条件就是带宽，没有网络我就完了我传播的条件就是带宽，没有网络我就完了他们是他们是他们是他们是谁？谁？谁？谁？38蠕虫攻击的多样性蠕虫攻击的多样性蠕虫攻击的多样性蠕虫攻击的多样性?互联网蠕虫：互联网蠕虫：冲击波及其变种把内存性攻击推向高潮，一台罹难无一幸免。?互联网邮件蠕虫互联网邮件蠕虫：SOBIG到MyDooM，垃圾邮件技术、黑客技

45、术和病毒的集合日臻完善。?混合型蠕虫混合型蠕虫:Lovegate和MuMu的联合攻击，密码低于8位的内网主机均被感染。病毒和病毒之间的自主合作第一次得到实现。虫子天天有，有网就有虫，今天你收到了吗？病毒肆虐的主战场病毒肆虐的主战场病毒肆虐的主战场病毒肆虐的主战场脚本病毒脚本病毒脚本病毒脚本病毒?更甚于宏病毒脚本病毒更甚于宏病毒脚本病毒?脚本语言的滥用脚本语言的滥用?“爱虫爱虫”（LoveLetter）（LoveLetter）?新的新的“欢乐时光欢乐时光”（VBS.REDLOF）（VBS.REDLOF）39滥用的脚本技术滥用的脚本技术滥用的脚本技术滥用的脚本技术病毒肆虐的主战场病毒肆虐的主战场病

46、毒肆虐的主战场病毒肆虐的主战场恶意代码和网页病毒恶意代码和网页病毒恶意代码和网页病毒恶意代码和网页病毒?利用IE的ActiveX漏洞的病毒利用IE的ActiveX漏洞的病毒?修改用户的IE设置、注册表选项修改用户的IE设置、注册表选项?下载木马、恶意程序或病毒下载木马、恶意程序或病毒?格式化用户硬盘或删除用户的文件格式化用户硬盘或删除用户的文件?不具有传染性，更重主动攻击性不具有传染性，更重主动攻击性?利用漏洞直接运行攻击性代码利用漏洞直接运行攻击性代码40利用利用利用利用IEIE漏洞编写的简单恶意网页漏洞编写的简单恶意网页漏洞编写的简单恶意网页漏洞编写的简单恶意网页mtdm.no-ip.or

47、g:81/windowsbug.jpg网络黑客攻击的常用几种手法网络黑客攻击的常用几种手法网络黑客攻击的常用几种手法网络黑客攻击的常用几种手法41DDOSDDOSDDOSDDOS攻击（拒绝服务）攻击（拒绝服务）攻击（拒绝服务）攻击（拒绝服务）没有解药的网络绝症没有解药的网络绝症?通过使你的服务计算机崩溃或把它压垮来阻止你提供服务。简单的来说，就是让你的计算机提供可能多的服务从而使你的计算机陷入崩溃的边缘或崩溃。HACKERHACKER攻击（攻击（攻击（攻击（TROJTROJ型）型）型）型）美丽的诱惑后潜藏杀机美丽的诱惑后潜藏杀机?通过合法或非法途径种植后门程序，获取目标控制权，获取信息的攻击手

48、法42RPC RPC 攻击攻击攻击攻击系统漏洞造成的典型破坏系统漏洞造成的典型破坏系统漏洞造成的典型破坏系统漏洞造成的典型破坏利用RPC（Remote Procedure Call）中处理通过TCP/IP 的消息交换的漏洞，获取远程计算机控制权。可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作利用RPC（Remote Procedure Call）中处理通过TCP/IP 的消息交换的漏洞，获取远程计算机控制权。可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作病毒的破坏病毒的破坏病毒的破坏病毒的破坏?莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万

49、美元!?美利莎蠕虫1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元!?爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上。?红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元。?求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元。?SQL蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元。?冲击波（Msblanst.a-d）2003年8月在全球范围的爆发，两天国内千个局域网陷于瘫痪状态。据国家计算机网络应急技术处理协调中心提供的数据，截至到2003年9月1日下午4点，感染此类病毒的主机

50、数量已经超过180万台.43企业用户病毒防护企业用户病毒防护企业用户病毒防护企业用户病毒防护?强制性集中管理?防范的意识是第一（打好补丁是关键）?建立病毒检测系统（您的网络防病毒软件正常吗）?建立灾难备份系统（数据库要常备份）补丁？今天您打了补丁？今天您打了补丁？今天您打了补丁？今天您打了吗！吗！吗！吗！44基本原则和策略基本原则和策略基本原则和策略基本原则和策略?强制性集中管理?防范的意识是第一（打好补丁是关键）?建立病毒检测系统（您的网络防病毒软件正常吗）?建立灾难备份系统（数据库要常备份）具体防范措施具体防范措施具体防范措施具体防范措施?在因特网接入口处安装防火墙式防杀计算机病毒产品，将