网络与信息安全评测－连一峰20100715

null网络与信息安全测评网络与信息安全测评连一峰 电力行业信息安全等级保护测评中心 第一测评实验室内容内容一、网络与信息安全测评技术一、网络与信息安全测评技术nullnull1.1 脆弱性评估技术1.1 脆弱性评估技术nullSMV检测NuSMV检测拓扑网络分析最小安全措施分析可靠性分析入侵成功概率计算代表工作： Kuang&NetKuang 攻击模版匹配攻击路径发掘 代表工作： 攻击树 特权图 利用依赖图 状态转移图攻击行为表示脆弱性评估及量化分析1.2 安全态势评估技术1.2 安全态势评估技术 安全态势评估技术指通过技术手段从时间和空间纬度来感知并获取安全相关元素，通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。null1.3 风险评估技术1.3 风险评估技术信息安全风险评估是指依据有关信息安全技术标准，对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程。外因内因构成存在于 暴露利用增 加增加null1.4 合规性测评技术合规性测评技术是指通过访谈、检查和测试等测评方法，获取测评对象的安全证据，通过数据分析判断测评对象是否符合相应标准、规范、政策的要求的综合性技术。1.4 合规性测评技术null合规性测评依据1.5 渗透测试技术1.5 渗透测试技术脆弱性扫描弱点探测网络监听脚本注入缓冲区溢出攻击拒绝服务攻击木马注入口令破解会话劫持攻击nullJPEG漏洞： 在处理 JPEG 图像格式时存在缓冲区溢出漏洞，此漏洞可能允许在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。 漏洞存在于系统图像处理的基础库程序中，所有涉及图像编辑和处理的软件均存在问题，包括IE、资源管理器等 用户普遍认为图像文件中仅存数据，不会存在病毒等恶意代码，因此用户对图像文件的警惕性差，渗透测试的成功率较高 示例一：利用软件漏洞null文件头：图像颜色信息、图像大小信息等附属信息：附属信息大小、附属信息文本等用户不可见数据用户不可见数据图像数据，用户可见数据JPEG文件基本结构null文件头：特殊构造的文件头，以触发漏洞附属信息：恶意代码，用户不可见包含恶意代码的图片文件X处理函数 接口指针附属区域 预分配内存大小根据文件头信息分配 附属信息载入 并造成溢出X处理函数 接口指针X处理函数 …… Mov eax,ecx ……恶意代码图像处理程序 内存空间×null文本文本　　内外网间信息交换通过移动存储介质（U盘）来实现。在传统理念下，一般认为这种离线交换方式可以保证内网信息的安全 。示例二：利用摆渡木马null本文本传统木马病毒 传统木马病毒如SUB7、BO2000、冰河等攻击时需要建立网络连接以窃取信息 网络上的木马病毒摆渡木马病毒 不需要网络连接，通过存储介质建立连接通路nullnull本文本二、安全测评工具与支撑平台二、安全测评工具与支撑平台2.1 信息获取类工具2.1 信息获取类工具2.2 安全测试类工具2.2 安全测试类工具2.3 测评管理类平台2.3 测评管理类平台2.4 渗透测试类工具2.4 渗透测试类工具null2.5 等级测评配套工具等级保护生命周期 等级测评等级测评2.5 等级测评配套工具等级测评null等级测评等级测评项目启动信息收集与分析工具和表单准备测评对象确定测评指标确定测评工具接入点确定测评内容确定测评实施手册开发测评 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 编制测评实施准备现场测评和结果记录结果确认和资料归还单项测评结果判定单项测评结果汇总分析系统整体测评分析综合测评结论形成测评 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 编制等保测评工具nullnullnull报告模版库单项测评分析单元测评分析风险分析整体测评分析测评标准库测评方法库测评信息库网络信息安全信息节点信息安全威胁脆弱性null举例：强制访问控制功能测评举例：强制访问控制功能测评null审计策略提取主客体信息提取访问策略提取等级改变策略提取强访仿真验证 访问用例生成强访程序仿真强访实现验证元素描述规范强访模拟仿真结果null满足信息系统安全等级保护标准的合规性 流程管理 ---《信息系统安全等级保护测评过程指南》 测评标准 ---《信息系统安全等级保护基本要求》 测评方法 ---《信息系统安全等级保护测评要求》 自动化文档支持 等保测评计划文档 等级测评方案 测评作业指导书 等级测评报告 各类统计报表 null实现自动化/半自动化的安全测评检查 自动单项测评分析/单项测评分析模式设置 自动化单元测评分析 人工与自动技术相结合的风险评估 工具引导下的整体测评分析 面向多种数据获取方式提供统一数据接口 安全配置获取（不同类对象、不同手段） 脆弱性扫描（多个扫描器） 管理评估（多种方式，统一问卷） null三、安全测评业务实践三、安全测评业务实践3.1 信息系统等级测评 等级测评是指是测评机构依据国家信息安全等级保护 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。3.1 信息系统等级测评定义null 信息安全等级保护管理办法（公通字【2007】43号）第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。政策要求null工作环节null访谈－通过与信息系统用户（个人/群体）进行交流、讨论等活动，获取相关证据证明信息系统安全保护措施是否落实的一种方法。 检查－通过对测评对象（设备、文档、现场等）进行观察、查验、分析等活动，获取相关证据证明信息系统安全保护措施是否有效的一种方法。 测试－利用预定的方法/工具使测评对象产生特定的行为活动，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。测评工作方式nullnull测评强度null测评流程nullnullnull现状调研表单 nullnullnull测评方案与测评指导书 nullnullnull测评结果表单 nullnullnull等级测评报告 null单项与单元测评 null整体测评 null整体测评 null测评结果汇总 null风险分析 重点针对单项测评中的不符合项进行风险分析null测评结论 3.2 信息安全风险评估帮助用户单位准确了解信息系统安全现状,识别安全风险； 在安全事故发生之前避免、减少或转移风险，确保系统安全； 为用户信息安全决策和管理，包括进一步的安全规划、建设、运维提供依据； 满足国家信息安全相关政策、法规和标准的要求。3.2 信息安全风险评估目标和作用null风险评估的发展null风险产生的原因null风险评估要素null风险评估内容null 问卷调查 人员访谈 文档审查 …… 配置检查 现场核查 安全漏洞检查 渗透性测试 ……　管理核查 技术测试 风险评估手段null风险评估流程null现状调研阶段nullnull现场评估阶段nullnull资产分析 安全防护措施有效性分析 脆弱性分析 威胁分析 风险值计算 报告编写阶段null资产价值脆弱性严重程度威胁发生频率安全事件的损失安全事件可能性风险值 风险值计算 null 风险值计算 由于在对资产价值、脆弱性严重程度、威胁发生频率进行赋值时，是根据GB20984中推荐的5级方法进行赋值，所以各项资产的风险值为1-25之间的数值。把所有风险值划分为5个等级。 对所有资产的风险值进行比较，给出柱状图，界定中高风险资产，以辅助被评估方决定进行有针对性整改。 3.3 信息系统渗透测试渗透测试是一群具备专业网络及系统安全功防经验的团队，以入侵者的思维方式，模拟可能被利用的漏洞途径，使用嗅探工具、攻击程序、漏洞代码及技术等辅助工具，对目标系统进行如同网络攻击的实际检测。3.3 信息系统渗透测试null识别系统被入侵的可能性； 发现系统存在的安全隐患； 验证系统现在安全措施的防护强度； 在入侵者发起攻击前封堵可能被利用的攻击途径。渗透测试目标null 黑箱测试（“zero-knowledge testing”） 渗透者完全处于对系统一无所知的状态。通常这种类型的测试其最初的信息来自DNS、Web、Email及各种公开对外的服务器。 白盒测试 测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通，这类测试的目的是模拟企业内部雇员的越权操作。 隐秘测试 隐秘是针对被测单位而言的。通常，接受渗透测试的单位网络管理部门会收到 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 ：在某些时间段进行测试。因此能够检测网络中出现的变化。但在隐秘测试中，被测单位也仅有极少数人知晓测试的存在，因此能够有效地检验单位中的信息安全事件监控、响应、恢复工作做得是否到位。渗透测试分类null主机操作系统渗透 对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试 数据库系统渗透 对SQL Server，ORACLE，mysql，informix，Sybase，DB2等数据库管理系统进行渗透测试 应用系统渗透 对渗透目标提供的各种应用，例如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试 设备渗透 对各种路由器、交换机、防火墙、入侵检测系统等网络设备和安全设备进行渗透测试渗透测试对象null内网测试 渗透测试人员由内部网络发起测试。这类测试能够模拟企业内部违规操作者的行为。其优势是可以绕过防火墙等边界保护设备的防护，常用渗透方式包括：远程缓冲区溢出，口令猜测，以及b/s或c/s应用程序测试。 外网测试 渗透测试人员完全处于外部网络，模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击、口令安全性测试、防火墙规则试探和规避、web及其它开放应用服务的安全性测试。渗透测试位置null渗透测试流程null四、第一测评实验室简介电力行业采取测试、评审分离的工作模式开展工作 电力行业信息安全等级保护测评中心第一测评实验室 北京华电卓识信息安全测评技术中心认可业务指导管理第一测评实验室定位第一测评实验室定位第一测评实验室主营业务第一测评实验室主营业务 等级测评、风险评估、方案咨询、技术培训第一测评实验室能力介绍第一测评实验室能力介绍质量管 理能力规范性 保证能力组织管 理能力测评实 施能力设施和设备能力4.1 组织管理能力4.1 组织管理能力◆第一测评实验室拥有员工33人，技术人员25人，其中高级技术职称 人员8人，拥有博士学位的高层次技术人员8人。 ◆管理人员掌握国家等级保护政策文件，参与电力行业信息安全等级 保护政策及标准的制定工作。 组织架构4.1 组织管理能力4.1 组织管理能力一、质量手册 Q/EISE-QM9000-2009 质量手册 二、程序文件清单 编号 名称 Q/EISE-QP401-2009 文件控制程序 Q/EISE-QP402-2009 质量记录的控制程序 Q/EISE-QP501-2009 管理评审控制程序 Q/EISE-QP601-2009 人力资源控制程序 Q/EISE-QP701-2009 信息安全服务控制程序 Q/EISE-QP801-2009 内部审核控制程序 Q/EISE-QP802-2009 不合格品控制程序 Q/EISE-QP803-2009 改进控制程序 三、 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 清单 编号 名称 RL001-2009 保密管理制度 RL002-2009 独立性、公正性和诚实性声明 RL003-2009 人员管理制度 RL004-2009 培训管理制度 RL005-2009 设备管理制度 RL006-2009 档案管理制度 XM001-2009 项目管理制度规章制度4.2 测评实施能力4.2 测评实施能力技术负责人 总工程师连一峰现任信息安全共性技术国家工程研究中心常务副主任，公安部等级保护高级测评师评审专家，全面负责第一测评实验室在安全测评方面的技术工作。 测评人员能力 理解和掌握国家及电力行业信息安全政策、相关技术标准、熟悉等级测评方法、流程和工作规范等，具有依据测评结果做出专业判断以及出具等级测评报告的能力。 取得公安部等级测评师证书 11个（张春明、张海霞、李涵、吴秋新、李子龙、宋坤、马闽、李宁、高宏亮、刘韧、王柏林）人员能力4.2 测评实施能力4.2 测评实施能力◆ 安全技术测评实施能力 ◆ 安全管理测评实施能力 ◆ 安全测试与分析能力 ◆ 整体测评实施能力 ◆ 风险分析能力 测评能力4.2 测评实施能力4.2 测评实施能力测评工作流程4.3 设施和设备能力4.3 设施和设备能力4.3 设施和设备能力4.3 设施和设备能力测评机房4.3 设施和设备能力－工具平台4.3 设施和设备能力－工具平台4.3 设施和设备能力－工具平台4.3 设施和设备能力－工具平台面向2/3/4级信息系统的等级保护测评检查4.3 设施和设备能力－工具平台4.3 设施和设备能力－工具平台面向信息系统的信息安全风险评估4.4 质量管理能力4.4 质量管理能力质量保证 配置管理 项目风险管理 技术活动监控 项目技术活动规划 系统工程支持环境管理 知识技能持续发展管理制度体系管理制度体系管理体系持续改进管理体系持续改进4.5 规范性保证能力4.5 规范性保证能力 公正性保证能力 可信与保密性保证能力 测评方法与程序的规范性 测评记录的规范性 测评报告的规范性文档化的测评方法文档化的测评方法测评过程数据和记录保管测评过程数据和记录保管谢谢，敬请批评指正！谢谢，敬请批评指正！连一峰 信息安全共性技术国家工程研究中心常务副主任 北京华电卓识信息安全测评技术中心总工程师 电话：13910118982 邮箱：lianyf@vip.sina.com 地址：北京市德胜门外朱辛庄华北电力大学56＃ 邮编：102206