|
網絡技術是從1990年代中期發展起來的新技術��,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息���。資源包括高性能計算機、存儲資源�、數據資源���、信息資源���、知識資源�����、專家資源、大型數據庫����、網絡�����、傳感器等��。 當前的互聯網只限于信息共享��,網絡則被認為是互聯網發展的第三階段。 增強一致性 你不僅需要指出問題所在�,還要排除問題����。下面列出作為審計人員你應提出哪些建議�。這些步驟總結了你在本課程中學到的安全規則。 持續審計和加強安全的步驟 下列是你對所有希望繼續進行有效審計的公司建議采取的步驟���。 定義安全策略。
建立對特定任務負責的內部組織��。
對網絡資源進行分類�。
為雇員建立安全指導。
確保個人和網絡系統的物理安全�。
保障網絡主機的服務和操作系統安全�。
加強訪問控制機制����。
建立和維護系統����。
確保網絡滿足商業目標��。
保持安全策略的一致性�����。
重復的過程。 以上都是保證安全的基本步驟��。許多國際性的公司要求符合這些需求��。無論你提出了哪些方面的建議,你至少應該遵循某一種國際性的安全標準�����。 安全審計和安全標準 至少有三個國際安全標準可以供你在書寫報告時進行參考���。每種標準都可以幫助你使用正確的語言進行表達�����,更重要的是使你關注客戶的商業需求�。許多網絡工作者認為這些標準沒有必要����,在處理更多的實際問題時很難將這些抽象的概念銘記在心。最后,將概念轉變為實踐是困難的。 然而����,因為許多公司要求遵循這些標準���,所以它們也變得越來越重要����。例如����,許多政府在同公司進行商業合作時要求符合BS7799標準。 ISO 7498-2 國際標準組織(ISO)建立了7498系列標準來幫助網絡實施標準化����。其中第二個文件7498-2描述了如何確保站點安全和實施有效的審計計劃���。文件的標題是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》,它是第一篇論述如何系統地達到網絡安全的文章�。 英國標準7799(BS 7799) BS 7799文檔的標題是《A Code of Practice For Information Security Management》���,論述了如何確保網絡系統安全���。1999年的版本有兩個部分���。BS 7799-1討論了確保網絡安全所采取的步驟���。BS 7799-2討論了在實施信息安全管理系統(ISMS)時應采取的步驟����。雖然BS 7799是英國的標準����,但由于它可以幫助網絡專家設計實施計劃并提交結果,所以很多非英國的公司也接受這一標準。BS 7799系列與ISO 9000系列的文檔有關�。這些標準保證了公司之間安全的協作�。 實施信息安全管理系統(ISMS)的目的是確保公司使用的信息盡可能的安全����。因此,需要考慮能夠幫助在你的公司中建立�����、管理和傳送信息的每個要素。這些要素包括電話聯系,文件系統(文本和電子格式)�,網絡傳輸等�����。所以���,定義ISMS的任務變得很艱巨���,你需要記錄和分類建立信息的任何組成部分����,包括鉛筆、郵票�����、郵件等等����。所幸的是,你可以定義一個范圍���,它可以使你只關注哪些對你的網絡影響最大的內容。 在完善ISMS是��,應遵循以下步驟: 定義安全策略�。
為你的信息安全管理系統(ISMS)定義范圍。
風險評估����。
對已知的風險進行排序和管理���。 你已經在本課中學習了每個步驟�����,當然,你需要將學到的技能與BS 7799和ISO 7498-2標準結合起來�����。這些標準會使你作為一名審計人員更具有可信度����。 在BS 7799和ISO 7498-2文檔中討論的許多步驟可以幫助你實施在前面提到的目標����。這些標準建議你采取如下步驟: 發布安全策略。
公布負責人名單����。
培訓公司人員的信息安全意識�����。
定義匯報事件的程序。
建立有效的反病毒保護措施�。
確保實施的策略與公司商業目標的一致性�����。
制定規范以確保雇員不會為了完成任務而破壞軟件許可規則。
物理上確保對網絡操作記錄的安全�。
建立系統來保護公司數據的安全����。
實施能夠衡量規定的安全策略與實際遵守情況的等級的機制和過程�。 Common Criteria(CC) Common Criteria提供了有助于你選擇和發展網絡安全解決方案的全球統一標準。ISO為了統一區域和國家間的安全標準指定了Common Criteria�,因此���,CC與ISO9000系列相似都是用來提供可以證明的過程�。雖然CC的目的是統一ITSEC和TCSEC,但它們還是用來取代“Orange Book”標準��。在編寫本書時�����,Common Criteria被稱為ISO國際標準15408(IS 15408)。Common Criteria 2.1等同于IS 15408。 該文件由三個部分組成: ·第一部分:定義了如何創建安全目標和需求���,還提供了一個術語的概述。
·第二部分:定義了如何建立能夠使商業通信更安全的需求列表���。列舉了如何將這些需求組織成classes(抽象的需求,例如驗證和加密)�����,families(更特別的需求����,例如用戶和過程驗證),和components(使用Kerberos進行驗證�����,和一次性口令)��。
· 第三部分:提出了如何建立能夠達到公司安全需求的“保險內容”的過程��。還討論了七個日益廣泛使用的嚴格的Evaluation Assurance Levels(EAL)。 這三部分的內容描述得很細致和復雜。然而,作為審計人員你只需要理解這些條款的基本內容����。許多IT專家使用它們來: 第一公司需要的特殊設置�。提供了審計人員和IT專家在商業和技術交流中常用的術語���。
定義了為更新網絡或特殊產品而建立特殊過程的需求��。
需要由軟件和硬件廠商聲明的證明能力。 下表描述了與安全審計人員有關的概念和術語�����。 術語 | 描述 | | Protection Profile(PP) | 需要的網絡服務和元素的詳細列表����,報括安全目標。 | | Security Objectives | 列出如何提出特別的弱點的書面敘述。這是一種總體的陳述����。安全需求比目標陳述更具體��。 | | Security Target(ST) | 由生產廠商提供的描述安全工具的用處的一組聲明。與安全目標和安全需求不同���。安全需求是由廠商實施在軟硬件上的,而安全目標只是由IT部門和網絡審計人員定義的目標���。 | | Target of Evaluation (TOE) | 你將要審計的某個操作系統,網絡��,分布式的程序或軟件���。使用安全目標和安全對象����,你可以確定系統是否滿足了目標以及對象是否達到了聲明的功能。 | | Packages | 任何允許IT專家達到安全目標和要求的可以重復使用的內容�。例如七個EAL�。你可以合并這些Package來確保額外的安全�����。 | | Evaluation Assurance Level (EAL) | 七個事先定義好的packages���,用來幫助IT專家評價規劃的和已經存在的網絡和系統。 |
網絡的神奇作用吸引著越來越多的用戶加入其中�����,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上�、軟件上���、所用標準上......���,各項技術都需要適時應勢��,對應發展,這正是網絡迅速走向進步的催化劑�。
| 
