至顶网›网络频道 ›网络安全讲座之九：审计结果

网络安全讲座之九：审计结果

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

许多拒绝服务攻击，包括Smurf攻击，都是攻击者利用路由器在配置上允许直接广播的漏洞。最简单的确定路由器是否配置成回应这些地址的方法是ping该网络地址（例如192.168.4.0）或该网络广播地址.

作者：中国IT实验室 2007年9月19日

关键字：拒绝服务攻击网络安全 eal 审计人员 ISO 安全策略

　　我们已经学习使用了一些实施有效安全审计的工具。现在还剩下最后一步：提交细致的书面建议。建议应从三个角度来提出：

　　· 为了能够确定安全策略和实施情况的差距，建议采用特定方法继续进行有效的审计。

　　· 抵御和清除病毒，蠕虫和木马，修补系统漏洞。

　　· 建议改善和增强如下内容：

　　重新配置路由器

　　添加和重新配置防火墙规则

　　升级操作系统补丁类型

　　升级旧有的和不安全的服务和TCP/IP堆栈

　　加强网络审核

　　自动实施和集中管理网络内部和边界安全

　　增加入侵检测产品

　　增强物理安全

　　加强反病毒扫描

　　加强用户级别的加密

　　删除不必要的用户账户，程序和服务

　　下表列出了对上图中每一个类别的改善建议

　　建立审计报告

　　在本书的附录中A提供了一份审计报告样例，你的报告自然应该与它不同，但这份样例对报告的格式及结构提出了建议。文档中将报告问题和提出建议。

　　在安全审计报告中应包含以下元素：

　　·总体评价现在的安全等级：你应该给出低、中或高的结论，包括你监视的网络设备的简要评价（例如，大型机，路由器，NT系统，UNIX系统等等）

　　·对偶然的、有经验的和专家级的黑客入侵系统做出时间上的估计。

　　·简要总结出你的最重要的建议。

　　·详细列举你在审计过程中的步骤：此时可以提及一些在侦查、渗透和控制阶段你发现的有趣问题。

　　·对各种网络元素提出建议，包括路由器，端口，服务，登录账户，物理安全等等。

　　·讨论物理安全：许多网络对重要设备的摆放都不注意。例如，有的公司把文件服务器置于接待台的桌子后，一旦接待人员离开，则服务器便暴露在网络攻击之下。有一次，安全审计人员抱着机器离开，安全守卫还帮了忙。

　　·安全审计领域内使用的术语。

　　最后，记着递交你的审计报告。因为安全审计涉及了商业和技术行为，所以应该把你的报告递交给两方面的负责人。如果你采用电子邮件的方式递交报告，最好对报告进行数字签名和加密

　　增强一致性

　　你不仅需要指出问题所在，还要排除问题。下面列出作为审计人员你应提出哪些建议。这些步骤总结了你在本课程中学到的安全规则。

　　持续审计和加强安全的步骤

　　下列是你对所有希望继续进行有效审计的公司建议采取的步骤。

　　定义安全策略。

　　建立对特定任务负责的内部组织。

　　对网络资源进行分类。

　　为雇员建立安全指导。

　　确保个人和网络系统的物理安全。

　　保障网络主机的服务和操作系统安全。

　　加强访问控制机制。

　　建立和维护系统。

　　确保网络满足商业目标。

　　保持安全策略的一致性。

　　重复的过程。

　　以上都是保证安全的基本步骤。许多国际性的公司要求符合这些需求。无论你提出了哪些方面的建议，你至少应该遵循某一种国际性的安全标准。

　　安全审计和安全标准

　　至少有三个国际安全标准可以供你在书写报告时进行参考。每种标准都可以帮助你使用正确的语言进行表达，更重要的是使你关注客户的商业需求。许多网络工作者认为这些标准没有必要，在处理更多的实际问题时很难将这些抽象的概念铭记在心。最后，将概念转变为实践是困难的。

　　然而，因为许多公司要求遵循这些标准，所以它们也变得越来越重要。例如，许多政府在同公司进行商业合作时要求符合BS7799标准。

　　ISO 7498-2

　　国际标准组织（ISO）建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。文件的标题是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》，它是第一篇论述如何系统地达到网络安全的文章。

　　英国标准7799（BS 7799）

　　BS 7799文档的标题是《A Code of Practice For Information Security Management》，论述了如何确保网络系统安全。1999年的版本有两个部分。BS 7799-1讨论了确保网络安全所采取的步骤。BS 7799-2讨论了在实施信息安全管理系统（ISMS）时应采取的步骤。虽然BS 7799是英国的标准，但由于它可以帮助网络专家设计实施计划并提交结果，所以很多非英国的公司也接受这一标准。BS 7799系列与ISO 9000系列的文档有关。这些标准保证了公司之间安全的协作。

　　实施信息安全管理系统（ISMS）的目的是确保公司使用的信息尽可能的安全。因此，需要考虑能够帮助在你的公司中建立、管理和传送信息的每个要素。这些要素包括电话联系，文件系统（文本和电子格式），网络传输等。所以，定义ISMS的任务变得很艰巨，你需要记录和分类建立信息的任何组成部分，包括铅笔、邮票、邮件等等。所幸的是，你可以定义一个范围，它可以使你只关注哪些对你的网络影响最大的内容。

　　在完善ISMS是，应遵循以下步骤：

　　定义安全策略。

　　为你的信息安全管理系统（ISMS）定义范围。

　　风险评估。

　　对已知的风险进行排序和管理。

　　你已经在本课中学习了每个步骤，当然，你需要将学到的技能与BS 7799和ISO 7498-2标准结合起来。这些标准会使你作为一名审计人员更具有可信度。

　　在BS 7799和ISO 7498-2文档中讨论的许多步骤可以帮助你实施在前面提到的目标。这些标准建议你采取如下步骤：

　　发布安全策略。

　　公布负责人名单。

　　培训公司人员的信息安全意识。

　　定义汇报事件的程序。

　　建立有效的反病毒保护措施。

　　确保实施的策略与公司商业目标的一致性。

　　制定规范以确保雇员不会为了完成任务而破坏软件许可规则。

　　物理上确保对网络操作记录的安全。

　　建立系统来保护公司数据的安全。

　　实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程。

　　Common Criteria（CC）

　　Common Criteria提供了有助于你选择和发展网络安全解决方案的全球统一标准。ISO为了统一区域和国家间的安全标准指定了Common Criteria，因此，CC与ISO9000系列相似都是用来提供可以证明的过程。虽然CC的目的是统一ITSEC和TCSEC，但它们还是用来取代“Orange Book”标准。在编写本书时，Common Criteria被称为ISO国际标准15408（IS 15408）。Common Criteria 2.1等同于IS 15408。

　　该文件由三个部分组成：

　　·第一部分：定义了如何创建安全目标和需求，还提供了一个术语的概述。

　　·第二部分：定义了如何建立能够使商业通信更安全的需求列表。列举了如何将这些需求组织成classes（抽象的需求，例如验证和加密），families（更特别的需求，例如用户和过程验证），和components（使用Kerberos进行验证，和一次性口令）。

　　·第三部分：提出了如何建立能够达到公司安全需求的“保险内容”的过程。还讨论了七个日益广泛使用的严格的Evaluation Assurance Levels（EAL）。

　　这三部分的内容描述得很细致和复杂。然而，作为审计人员你只需要理解这些条款的基本内容。许多IT专家使用它们来：

　　第一公司需要的特殊设置。提供了审计人员和IT专家在商业和技术交流中常用的术语。

　　定义了为更新网络或特殊产品而建立特殊过程的需求。

　　需要由软件和硬件厂商声明的证明能力。

　　下表描述了与安全审计人员有关的概念和术语。

　　Evaluation Assurance Level

　　Evaluation assurance levels(EAL)提供了描述和预测特别的操作系统和网络的安全行为的通用的方法。等级数越高，则要求得越严格。EAL 1需要由TOE厂商做出声明的证明，EAL 7需要你核实和记录下实施过程的每一个步骤。你应该注意到当EAL的等级升高时，两项要求也会变得更严格。

　　·设计的证明：EAL 1只要求检查产品的文件，而EAL 7要求对系统进行完全的记录完整的独立的分析。

　　·抵御攻击的能力：EAL 1需要产品至少声明能够提供对攻击的有效防范；而EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务式的攻击。

　　下表描述了七个EAL类别。