第8章安全管理.ppt

《第8章安全管理.ppt》由会员分享，可在线阅读，更多相关《第8章安全管理.ppt（78页珍藏版）》请在课桌文档上搜索。

1、第8章 安全管理,本章要点,安全计划 风险分析 安全策略 物理安全,我们将关注以下4个相关的领域：(1)计划编制：要进行怎样的前期准备和研究，才能使具体实现满足目前和今后的安全需求？(2)风险分析：如何权衡控制带来的好处和引起的开销，以及如何给出进行控制的理由？(3)策略：如何建立一个框架，以保证计算机安全的需求能持续地得到满足？(4)物理控制：计算环境的哪些方面对安全有影响？,8.1 安全计划,自20世纪80年代初期以来，个人计算机的引入和计算能力的普及，改变了人们与计算机工作及交互的方式。特别是，安全责任已经有相当一部分从计算中心转移到用户。但很多用户并未意识到(或是选择忽略)这个责任，所

2、以他们不对已形成的风险进行处理，或者不采取简单措施来防御或缓解问题。用户会去保护纸上的数据，却往往忽略对电子文档的保护。用户通常都没有意识到使用计算机存在安全风险，而遭受损失。,8.1 安全计划(续),凡是使用计算机创建和保存有用信息的机构，都应该执行全面而有效的安全计划。安全计划是一种文档，它描述了一个机构应如何解决其安全需求。随着机构的安全需求的变动，安全计划也要周期性地进行复查和修正。一份精心制定的、得到管理者支持的安全计划能让人们感到：安全对于机构管理是很重要的(因此，对每个人都是很重要的)。因而，安全计划必须有适当的内容并能产生预期的效果。因此，我们应讨论安全计划的三方面：计划应该包

3、含哪些内容、由谁来制定以及如何获取支持。,8.1.1 安全计划的内容,安全计划必须解决以下7个问题：(1)策略：表明计算机安全工作的目标以及为达到这些目标而涉及的人员的愿意程度。(2)当前状态：描述在制定计划时的安全状态。(3)需求：推荐方法以达到安全目标。(4)推荐控制：将控制与在策略和需求中确定的弱点对应起来。(5)责任：描述由谁来负责每一项安全活动。(6)时间表：确定不同安全功能的完成时间。(7)持续关注：指定一个机构以便周期性地更新安全计划。,8.1.1 安全计划的内容(续),策略 安全计划必须说明该机构在安全方面的策略。安全策略是对目的和意图的高层次描述。策略应该回答下面三个基本问题

4、：(1)允许谁来访问？(2)允许访问系统和机构的哪些资源？(3)对于每个资源，应该给予每个用户怎样的访问权限？策略还应该说明以下内容：(1)机构的安全目标。(2)安全责任在谁。(3)机构的安全承诺。,8.1.1 安全计划的内容(续),当前的安全状况 机构需要明确自己的弱点，进行风险分析。风险分析(risk analysis)是描述当前的安全状况的基础。安全状况表现为：机构资产清单、资产面临的安全威胁以及保护资产而采取的控制。安全计划的状况部分对安全责任做了限定。它不仅描述了对哪些资产实施保护，也描述了由谁来负责实施保护。计划也可以注明某些团体可不对安全负责。计划也定义了责任的边界，特别是涉及到

5、网络的时候。尽管安全计划应该是全面的，但其中也一定存在没考虑到的弱点。安全计划应该详细说明确定新的弱点应遵循的过程，特别地应该解释如何将对新弱点的控制整合到现有的安全规程中去。,8.1.1 安全计划的内容(续),需求 安全计划的核心是其安全需求集：为保证达到期望的安全级别而为系统增加的功能或性能要求。这些需求通常是来自于机构的需要。有时，这些需要还应符合特定的强制安全需求，这种强制可来自政府机构或商业标准。,8.1.1 安全计划的内容(续),需求解释的是哪些该完成，而不是如何完成。也就是说，需求应该尽可能地把实现的细节留给设计者处理。,图 8.1 安全计划的输入,8.1.1 安全计划的内容(续

6、),应该保证需求有以下特征：(1)正确性：需求可理解吗？对需求的说明正确吗？(2)一致性：有相互矛盾或模棱两可的需求吗？(3)完备性：需求是否解决了所有可能的情况？(4)现实性：需求中的要求是否可能实现？(5)必要性：对需求的限制有不必要的吗？(6)可验证性：能够构造测试，来客观地、结论性地证明需求已得到满足吗？能否以某种方式测量系统及其功能，以评估其满足需求的程度？(7)可追踪性：为了在需求改变后还能比较容易地重新进行评估，能否追踪每个需求到与之相关的功能和数据？,8.1.1 安全计划的内容(续),推荐的控制 安全计划也还应该推荐一些能整合到系统中以满足安全需求的控制。推荐的控制将解决实现的

7、问题：系统将如何设计和开发才能满足安全需求。实现的责任 在安全计划中，应该有一个部分确定哪些人负责实现安全需求。该文档有助于协调开发者之间的个人责任。同时，明确了由谁负责尚未满足的需求或尚未解决的弱点。也就是说，几乎注明了当发现新的弱点或引入新的资产时，谁来负责实现对它们的控制。,8.1.1 安全计划的内容(续),可以考虑按角色分配职责：(1)个人计算机用户可以对自己机器的安全负责。也可以这样做：安全计划可以指定一个人或一个小组充当个人计算机安全的协调员。(2)项目领导者可以对数据和计算的安全负责。(3)管理者负责监督人员实现安全措施。(4)数据库管理员负责对数据的访问以及数据库中数据的完整性

8、。(5)信息官员可以负责监督数据的创建和使用，这些官员也可以负责数据的保留和正确处置。(6)人事部职员可以负责涉及到雇员的安全问题。,8.1.1 安全计划的内容(续),时间表 一个全面的安全计划是不可能能够马上全部执行的。安全计划包括时间表，它表明了计划的组成部分何时及如何实施。这些日期是时间节点，使得管理者可以跟踪实现的进展。如果实现是一个分阶段的开发过程，安全计划也应该描述如何随着时间的推移，逐步实现安全需求。,8.1.1 安全计划的内容(续),持续关注 安全计划必须要求周期性地复查安全状况。随着用户、数据和设备的变化，新的问题将会产生。此外，当前的控制方法可能过时或失效。应该周期性地仔细

9、检查和更新对象清单和控制列表，并重新进行风险分析。安全计划应该根据日历时间或根据系统变化的性质来安排复查的时间周期。,8.1.2 安全计划编制组成员,对于任何一个复杂的任务，上述行为都很可能需要一个代表了所有相关人员利益的计算机安全计划编制组来执行。编制组的大小取决于计算组织的大小、复杂程度和对安全的要求程度。编制组的成员都应该与描述的计算机安全各个方面相关。无论安全计划编制组是如何组织的，它都必须代表下列群体：(1)计算机硬件群体。(2)系统管理员。(3)系统程序员。(4)应用程序程序员。(5)数据录入人员。(6)物理安全人员。(7)用户代表。,8.1.3 安全计划的承诺,一个没有得到任何机

10、构承诺(commitment)的计划只能被束之高阁，对计划的承诺意味着，安全功能得以实现，安全活动能得以执行。计划成功需要三方发挥作用：(1)计划编制组必须对受计划影响的每一群人的需求了如指掌。(2)受到安全建议影响的人必须理解，安全计划将如何影响他们使用系统和进行商业活动。(3)管理方必须承诺使用和实施这个系统的安全措施。,8.1.3 安全计划的承诺(续),培训和宣传能够帮助人们理解和接受安全计划。如果人们理解所建议控制的必要性并且认为这种控制是合理的，他们就将正确有效地使用这些控制。如果人们认为控制很麻烦、变化太多或不利于提高生产率，那么他们将避开这些控制。管理承诺是通过理解来获得的。安全

11、计划必须用一种使那些管理者能够理解的语言来描述安全风险。应该避免使用专用的技术术语，应该让读者清楚在系统支持的环境中发现的那些安全风险的性质。管理者也必须根据方便和费用进行优化选择。管理者通常对投资控制保持沉默，直到意识到这些控制的价值。,8.1.4 业务持续计划,业务持续计划(business continuity plan)支持在发生计算机安全事故时业务如何继续运作。业务持续计划处理的情况具有以下两个特征：(1)灾难性情况：在这种情况下，所有计算功能或计算功能的一个主要部分突然变得不可用。(2)持续长时间：中断可能会持续很长的一段时间，以使业务遭受损失。,8.1.4 业务持续计划(续),业

12、务持续计划在很多情况下是很有帮助意义的。如下面的例子：(1)一场大火烧毁了整个公司的网络。(2)一个关键软件组件的看似永久的失效会使得计算系统不可用。(3)业务必须处理某些服务突然中断的情况，这些服务包括电力、电信、网络访问和其他重要服务。(4)一场水灾使得网络支持方面的关键职员不能到达操作中心。处理这类灾难的关键是提前计划、提前准备、提前找出在计算技术不能使用时能使业务维持下去的方法。在业务持续计划中，步骤是：,8.1.4 业务持续计划(续),评估业务影响 为了评估失败对业务的影响，可以先问两个关键的问题：(1)关键资产是哪些？(2)什么将会导致这些系统使用的中断？开发策略 持续策略研究如何

13、保护关键资产。在一些情况下，数据备份、冗余硬件或是可供选择的手工操作已经足够了。在理想情况下，没有任何损失地将业务继续下去。但由于灾难性的失败，通常只有一部分业务功能能够保留下来。在这种情况下，必须开发一种策略，而这种策略是适合于业务和客户的。由于是提前做计划的，所以，能够充分地考虑可能的情况和评估可能的选择。策略分析的结果是根据情况选择最好的行动。,8.1.4 业务持续计划(续),开发计划 业务持续计划说明了几个重要的事情：(1)当事故发生时，由谁来管理？(2)该做什么？(3)由谁来具体完成？业务持续计划要解决的问题是：在发生灾难时，如何使关键业务活动维持在某种水平上。它关注的是使业务能够维

14、护下去。它是基于资产调查的，这个调查只集中于小部分关键资产和一些严重的弱点，这些弱点会长期或不定期地对操作构成威胁。业务持续计划关注的是业务，以及在灾难期如何保持业务在某种程度上运转。紧急情况处理不属于计划的范畴。,8.1.5 事故响应计划,事故响应计划(incident response plan)告诉职员如何处理安全事故。与业务持续计划相比，事故响应计划的目标是处理当前的安全事故，不考虑业务的问题。但对一个特定的事件，它可能没有灾难那么严重(也就是说，它可能不会使业务瘫痪)，但可能是严重的安全破坏。一个事故可以是一个单一事件，一系列事件或是一个正在发生的问题。事故响应计划应该：定义事故的组

15、件、确定由谁负责进行管理、描述行动计划。事故响应 计划通常有三个阶段：预先计划、触发和处理事故。当然，在情况减轻后进行复查很有用，本次事故可以导致对以后事故响应的改善。,8.1.5 事故响应计划(续),预先计划 在所有的计划功能中，预先计划是最好的，因为它使人们能够有条不紊、轻松地进行逻辑思考。如果机构没有做事故计划，就有可能发生混乱。根据准备好了的事故响应计划，每个人都事先接受培训，在发生故障时呼叫指定的领导者。领导者决定下一步该做什么，但他首先应该确认安全事故是真的发生了，而绝不能是一个安全事故的误报。确定事故后，可以请求响应小组帮助。,8.1.5 事故响应计划(续),响应小组 响应小组由

16、对事故做出响应的人组成。响应小组可能主要包括：(1)指导者(director)：对事故负责的人，他决定采取什么行动和什么时候结束响应。(2)技术领导者(lead technician)：指导和协调响应。技术领导者决定注意力集中于什么地方，分析有关情况的哪些数据，并且也由他请求其他技术人员帮助分析。(3)顾问(advisor)：合适的法律、人力资源或公共关系方面的职员。,8.1.5 事故响应计划(续),计划需要考虑下面这些问题：(1)法律问题：事故将会造成一定的法律后果。在一些国家，计算机入侵是非法的，所以法律执行官员必须介入调查。在另一些国家，你得自己做决定是否要求法律执行官员参与。(2)保留

17、证据：对安全事故最常见的反应是对事故原因进行假设：它是由内部原因引起的，或仅仅是一种意外。当处理可能的事故时，在“抹灰尘取指纹”之前，要尽可能少地做有关的事情。(3)记录：记住做过的事情可能会很困难，但必须尽可能地去做。(4)公共关系：在处理一个事故时，你的机构应该确定一个唯一的发言人。如果机构有太多的人发言，那么就可能令人迷惑。,8.1.5 事故响应计划(续),事故解决之后 事故响应小组会举行一次事故之后的复查会来考虑两件事情：(1)要采取某个安全控制吗？(2)事故响应计划能正常运行吗？,8.2 风险分析,我们可以通过考察以下三个方面来区分风险：(1)和事件有关的损失(A loss asso

18、ciated with an event)：如损失安全，损失时间，降低质量，损失金钱，失去控制，失去协定等。这些损失被称为风险冲击(risk impact)。(2)事件发生的可能性(The likelihood that the event will occur)：当风险概率为1时，我们称之为问题(problem)。(3)能改变结果的程度(The degree to which we can change the outcome)：风险控制(risk control)包括一系列降低或消除风险的行动。,8.2 风险分析(续),可以这样来度量一个风险的影响，即把风险冲击乘以风险概率，得出风险暴露量

19、(risk exposure)。我们能够认识、限制、规避或者转移风险，但是不可能杜绝风险。通常，减小风险有三个策略：(1)规避(avoiding)风险：通过改变安全需求或其他系统的特征来实现。(2)转移(transferring)风险：通过将风险分配到其他系统、人、组织或资产来实现；或通过购买保险来弥补风险将带来的经济损失。(3)假定(assuming)风险：如果风险发生了，就接受这个事实，用现有资源对其进行控制，并对其造成的损失进行处理。,8.2 风险分析(续),风险杠杆(risk leverage)是风险暴露量之差除以减小风险所花费用得到的结果。具体公式如下：风险分析(risk analy

20、sis)是检查系统及其操作环境的过程，从而确定可能的暴露点以及会造成的潜在危害。,8.2.1 风险的性质,我们不能保证系统不存在风险，所以安全计划必须讨论那些促使意外风险成为安全事件的行为。虽然我们承认有些重要问题是无法阻止的，但可以采用控制来减小威胁的严重程度。,8.2.2 风险分析的步骤,第1步：确定资产 我们首先必须确定需要保护的对象，才能确定弱点。资产应该包括：硬件、软件、数据、人、文档、消耗品。根据实际情况对这些内容做适当的调整是很重要的。RAND公司的弱点评估和减少方法(Vulnerability Assessment and Mitigation,VAM)还包括其他资产，如：(1

21、)基础设施。(2)系统所在的建筑或交通工具。(3)电力、水、空气和其他对于正常运行很必要的环境因素。(4)人力和社会资产，如策略、规程和培训。,8.2.2 风险分析的步骤(续),第2步：确定弱点 对资产的弱点分析需要理解下面的问题：(1)非故意错误的影响是什么？(2)那些有恶意的内部人员会产生什么样的影响？(3)自然和物理的灾难的影响是什么？RAND的VAM方法有助于指出导致资产脆弱的特性。这些特性存在于三个方面：设计或架构方面、行为方面和通用特性。可以利用这些属性来创建一个矩阵，每个矩阵项表示一个或多个弱点。,8.2.2 风险分析的步骤(续),图 8.2 属性和对象所暗示的弱点,8.2.2

22、风险分析的步骤(续),只填矩阵是不够的。还必须考虑到一些组合情况，它们可能会导致某些弱点。,图 8.3 使特洛伊木马攻击成为可能的弱点,8.2.2 风险分析的步骤(续),第3步：估计利用的可能性 进行风险分析的第3步是确定每个暴露点可能被利用的概率。发生的可能性与现行控制强度有关，也与现存控制被破坏的可能性有关。计算一个可能被利用的概率的几种方法是：古典概率、频率和主观概率。古典概率和频率依赖于这样的一个事实：系统已经存在并且已经投入使用一段时间了。在许多情况下，特别是有些系统仅仅是被建议使用而未实际使用。这时，分析员通过查看类似系统的表单来估计该系统的概率。,8.2.2 风险分析的步骤(续)

23、,RAND发明的Delphi方法是一个主观概率技术，Delphi方法的第一步是，为小组中的每一位专家提供信息，该信息是对需处理事件的描述。第二步是，每位专家单独估计事件的可能性。估计结果会被收集起来，复制和分发给所有的专家。第三步是，询问专家们是否愿意根据同事的结果修改自己的个人估计。如果修改了的数据是一致的，那么这个过程就以这组专家的一致同意结束。如果结果不一致，则将进行另一轮修改，直到达成一致。,8.2.2 风险分析的步骤(续),第4步：计算预期的损失 当弱点被利用导致事件真的发生时，应当确定可能的损失。因为发生的不确定性，这个损失值是很难确定的。由于一个计算系统、一个软件或一个关键的人物

24、不可得，而导致某个计算任务被延期，这样的后果可能非常严重。我们需要思考与安全有关的显式或隐式费用的问题，如：(1)保护一个给定数据项的机密性和完整性的法律义务是什么？(2)涉及到该情况的业务需求和协议是什么？如果组织不能提供服务，它必定受到处罚吗？(3)对一个数据项的泄漏会对个人或组织造成损害吗？如果损害已经发生，采取法律行动的可能性有多大？(4)对一个数据项的未授权访问会导致未来业务机会的损失吗？它可能给竞争者不公平的优势吗？利润的损失估计是多少？(5)不良计算服务导致的心理影响是什么？尴尬？信用损失？业务丢失？有多少客户会受影响？对客户的心理影响是什么？等等。,8.2.2 风险分析的步骤(

25、续),第5步：调查和选择新控制 我们要为一个弱点匹配至少一种合适的安全技术。可以用损失估计来帮助确定哪些控制(单独的一个或与其他的控制一起)对于一个给定的情况来说是最节省费用的。,图 8.4 控制技术和弱点的对应关系,8.2.2 风险分析的步骤(续),用于选择控制的标准是什么 我们可以在不同的层次上思考控制。VAM根据4个层次来描述控制的特征：适应力和健壮性；情报、监视、侦察(ISR)和自省；反情报，拒绝ISR，目标搜索；威慑(deterrance)和惩罚(punishment)。,8.2.2 风险分析的步骤(续),图 8.5 弱点和控制构成的矩阵,8.2.2 风险分析的步骤(续),控制如何影

26、响它们所控制的对象 控制有正面影响也有负面影响，有时一些属性会加强安全，但有时却削弱了安全。因此，VAM等级方案用-2到2表示这些。,图 8.6 对安全技术的评价,8.2.2 风险分析的步骤(续),哪个控制是最好的 对于一个给定的情况，需要有一种方法来确定最合适的控制。VAM提供给了一个细化的过程，该过程基于三个角色：操作、设计和策略。同样可以使用矩阵表示，行代表安全控制，列代表操作、开发者和策略以及在攻击的哪个阶段进行控制是最有效的。矩阵中的表项1表示控制与角度或攻击阶段是弱相关，2表示它们是强相关。,8.2.2 风险分析的步骤(续),图8.7 安全技术与角色，以及攻击目标的相关性,8.2.

27、2 风险分析的步骤(续),第6步：预计节省的花费 这一步将确定防止或减轻风险的花费是否比收益还大。可以列表对一个给定控制施加以后的花费和未施加的损失加以比较，决定控制是否必要、可行。作为对表格分析的补充，也可以用图来比较，以安全漏洞修正后，是否采用回归测试(regression test)为例。,图 8.8 回归测试的风险计算,8.2.3 赞成和反对风险分析的理由,在准备创建安全计划时需进行风险分析，其理由如下：(1)加强意识：讨论安全问题可以提高开发者和用户在这个问题上的兴趣和关心程度。(2)将安全任务与管理目标关联起来：安全常常被认为是花费大而收益甚微的活动。(3)确定资产、弱点和控制：一

28、个系统化的分析可以得出一个资产、价值和风险的综合列表。(4)增强决定的基础：风险分析作为决定的基础增加了管理者做出判断的依据。(5)证明在安全上的花费是合理的：理由通常来自于：不在安全上投入经费会产生更大的风险。,8.2.3 赞成和反对风险分析的理由(续),也存在反对使用风险分析进行决策支持的论点：(1)错误的精确感和信任感：风险分析的核心是使用实验数据来对风险影响、风险概率和风险曝光度进行估计。危险的是，这些数据会给人一种错误的精确感，并因此对数据产生超出合理程度的信任。(2)难以实施：资产、弱点和控制的列举需要创造性思维。评估损失的发生次数和影响是比较困难的，并且带有主观性。(3)不变性：

29、风险分析常常如同紧急情况处理计划和五年计划一样，趋向于被看做是档案而并未真正得到重视。(4)缺乏准确度：风险分析常常是不准确的。首先，我们不能准确地计算风险概率，特别是在没有类似历史数据的情况下。其次，即使知道可能性，也没有办法很好地估计风险影响。再次，可能也无法预料到所有可能的风险。总之，风险分析作为一个计划工具是很有用的，可对选项进行比较。风险分析可以支持关于安全控制的理性决策。,8.3 机构安全策略,有效的安全策略是任何机构的安全计划的一个关键元素。安全策略是一个高层的管理文档，它告诉所有的用户使用系统的目标和约束。策略文档应该以一种比较固定的方式来书写。安全策略是所有保护措施的基础。为

30、了使这个策略有效，必须将它理解为一个命令，且这个命令是由机构高层一个权威的、有影响的人发出的。有时，人们会发布一些称为规程(procedure)或大纲(guideline)的文档，用这些文档来说明如何把策略变为特定的行动或控制。,8.3.1 目标,安全策略用于几个目标：(1)识别敏感信息资产。(2)阐明安全责任。(3)提高原有雇员的认识。(4)指导新雇员。,8.3.2 读者,(1)用户：安全策略应该重申对服务需求的承诺。对用户而言，安全策略应定义可允许的使用。(2)所有者：安全策略也应该反映所有者的期望和需要。(3)受益者：一个系统的受益者的利益必须在系统的安全策略中得以反应。(4)权衡各方：

31、安全策略必须和用户、所有者以及受益者的利益联系在一起。遗憾的是，这几个组的利益可能会有冲突。这时安全策略必须权衡所有涉及团体的优先级。,8.3.3 内容,安全策略应该描述每一个读者的特点和他们的安全目标。目标 安全策略应该说明安全功能的目标，同时反映受益者、用户和所有者的需求。典型的目标有3-5个，包括如：(1)促进有效的商业操作。(2)便于在整个机构中共享信息。(3)保护业务和个人信息。(4)保证支持业务过程的可用信息是准确的。(5)保证一个安全而高效的工作地点。(6)遵守现有法律和规定。将系统的目标清晰、完整地描述出来是很重要的，因为策略中后继部分与目标是相关的，使策略成为一个目标驱动的产

32、品。,8.3.3 内容(续),受保护的资源 风险分析已经确定了哪些资产需要保护。这些资产应该在策略中列出，以说明策略针对的是哪些资产。如果保护的程度会因服务、产品、数据类型等的不同而不同，则策略应该说明这些区别。保护的性质 策略应该说明谁对受保护的资产有访问权限。也可以说明访问是如何保证的，以及未授权的人是如何被拒绝访问的。特别应该说明安全策略对哪种类型的资源提供什么程度的保护。,8.3.4 好安全策略的特征,覆盖 安全策略必须是全面的：它要么适用于所有情况，要么清楚地指明不适用于哪些情况。而且，不应该在一出现新情况时就必须修改安全策略。所以，其应该具有足够的一般性。,8.3.5 持久性,安全

33、策略必须能够不断发展并很好地适应变化。在系统升级和扩展时，它的大部分策略能够不经修改地继续使用。当策略需要修改时，它也能方便改变。持久性的一个关键是，让策略与那些特定的、将来几乎肯定要改变的数据或保护机制分离。根据保护资产的功能和特征来描述资产比根据特定的实现来描述要好。,8.3.5 持久性(续),现实性 策略必须是现实的。也就是说，必须能够使用现有的技术来实现所描述的安全需求。像其他的商业投资一样，使安全投资有利可图也很重要。与其把注意力集中于那些时尚的东西，还不如把注意力集中于如何使在安全上投资能有合理的回报。有效性 一个晦涩难懂或不完整的安全策略将不能被正确实现。所以，策略应该简捷、清楚

34、和直接。,8.3.6 例子,数据敏感性策略,表 8.1 例子：定义的数据敏感性级别,#所有的信息资产都分为敏感的、个人的、机密的和公开的4类。安全策略文档的其他部分将详细描述4种类型要求的保护。,8.3.6 例子(续),政府机构IT安全策略 美国能源部(DOE)建立了自己的安全策略。下面的内容摘自保护机密材料的策略(但同样适用于许多非机密材料)。机密信息和机密ADP(automatic data processing)系统应能阻止以下威胁：未授权访问(包括须知保护执行)、改变、泄露、破坏、渗透、拒绝服务、安全措施被破坏或不正当使用(如间谍行为、犯罪、欺诈等其他不正当行为)这就是DOE的策略。D

35、OE将采取所有合理的措施来保护ADP系统，该系统处理、存储和传输机密信息。DOE将实现以下(但不是只限于这些)措施：物理安全、人员安全、通信安全、管理安全和软件安全。该顺序建立起策略并定义了DOE计划各阶段(开发、实现和周期评估)的责任。,8.3.6 例子(续),后续段落给出了具体责任，后者是前者的补充：“每一位数据拥有者都应该确定并声明信息所要求的保护级别”。“每一位安全官员都应该执行安全评估，来确定和记录特定的资产威胁和弱点”。“每一位管理者都应该建立规程来保证系统被持续地监控以检测安全侵害”。等等。,8.3.6 例子(续),因特网安全策略 因特网协会起草了一份策略，包含以下一些有趣的内容

36、：(1)用户个人对理解和尊重他们所使用的系统的安全策略负责。(2)用户有责任为保护自己的数据而采用可行的安全机制和规程。(3)计算机和网络服务提供商有责任维护所有使用的操作系统的安全。,8.3.6 例子(续),(4)供应商和系统开发者负责提供良好的、有足够安全控制的系统。(5)用户、服务提供商和硬件与软件供应商有责任为提供安全而合作。(6)因特网安全协议的技术改进建立在一种可持续的基础上。同时，为因特网开发新协议、新硬件或新软件的人员，在设计和开发阶段应该考虑安全问题。,8.4 物理安全,这里我们讨论如何处理会发生故障的非技术问题。非技术问题的处理过程，包括两个方面：对可以阻止的失常加以阻止；

37、对不可阻止的失常设法恢复。事实上，很多物理安全措施仅仅来源于良好的意识。,8.4.1 自然灾难,阻止自然灾难的发生是不可能的，但是，通过周密的计划减少它们造成的破坏是可能的。所以，控制应该集中在如何限制可能的破坏和如何快速地从灾难中恢复。水灾 通常，水灾来临时，是有时间来安全关闭计算系统的。而水灾破坏的硬件是可以更换的，所以应该关心的是存储在硬盘上的数据和程序。系统管理员可以选择一种标记存储介质的方式，这样就能够很容易地识别出最重要的数据。在水灾时可以先把这些磁盘从数据中心里转移走。另一个方法是在一个或多个地点保存数据备份。,8.4.1 自然灾难(续),火灾 火灾通常没有那么多反应时间，且人的

38、生命更可能是处于一种紧急威胁之中。为了保证人员能够反应迅速，每个用户和每个管理者应该有一个计划，以有序的方式关闭计算系统。进行模拟演习的事前计划是很有必要的。许多计算中心使用的灭火设备是二氧化碳灭火器或一种能喷出气体窒息大火的自动系统。但当这样的保护装置启动以后，所有的人都必须离开，使得所有保护介质的工作都不能进行。因为大部分计算机及相关物品都不是易燃烧的，对火灾的一个好的保护是放置计算设施于不易燃的环境。,8.4.1 自然灾难(续),其他自然灾难 计算机容易受到暴风雨、地震、火山喷发及类似事件的影响，也容易遭到建筑物倒塌、爆炸以及从高处掉下的物体的破坏。可以把这些归为一类，一并考虑。安全管理

39、者可以使用以下几种方法来处理这类灾难：(1)开发应急处理计划。(2)保护有型资产不受破坏。(3)将敏感数据备份在几个物理上相分离的地点。,8.4.2 掉电,一些要求很严格的应用是不能容忍掉电而造成系统提供的服务的中断的。在这些情况下，必须马上提供备用电力供应。不间断电力供应 一个防止掉电的保护方法是使用不间断电力供应。这种设备在计算设施正常操作期间存储电能，在断电时将备份电能提供给计算设备。电涌抑制器 电力的另一问题就是它的平稳性。电压在稳定值的10%范围内变化是可以接受的。电压的波动包括电压降、尖波或电涌。电压降指的是电压的瞬时下降，而尖波和电涌指的是电压瞬时上升。“电涌抑制器”能过滤掉电线

40、上的尖波，阻止可能影响计算机的电压波动。对于计算设备，电压降没有电涌严重。大多数的电力设备能够承受较大的电压波动。此外，雷击会通过电线或电话线产生电涌。,8.4.3 人为破坏,未经授权的访问和使用 随着计算系统变得越来越流行，防范来自外部的系统访问变得越来越困难，也越来越重要了。盗窃 个人计算机、笔记本电脑和个人数字助理设计小巧、携带方便。磁盘以及磁带备份也很容易藏在衣服的口袋或公文包里。那些容易携带的计算机和介质也很容易被隐藏。可以采取以下三种方式之一来防止盗窃行为：,8.4.3 人为破坏(续),(1)阻止盗贼靠近设备：防止盗窃的最好方法是阻止盗贼靠近设备。控制访问设备既需要阻止未授权的访问

41、也要记录那些已经授权人的访问。最古老的访问控制是门卫，除非门卫对所有进入的人都有记录，否则，在发现问题时，也没有办法知道是谁(雇员或访问者)访问过。第二个古老的访问控制是锁。这种设备容易使用、开销小且比门卫更容易管理。但是，它同样没有记录是谁访问过。门卫和锁仍然能为设施(如计算机房)提供简单且有效的访问安全控制。越来越多的访问控制设备采用带有无线电发射器的卡片、词条卡片和带有电子线路的芯片的智能卡片，因为这些设备都与计算机相连，所以计算机很容易捕获身份信息数据。,8.4.3 人为破坏(续),(2)加锁或警报设备：一种反盗窃的设备是一个连着缆索的垫子，它和用来保护自行车的设备类似；另一个方法是将

42、设备的基座放到一个安全的垫子上，很像宾馆里把电视锁在电视柜上；也可以在个人计算机和它的外围设备不用时，把它们保存在一个大的、可以上锁的柜子里；另一个可选的方法是使用移动触发的警报设备，如果配合使用警报器和保安，则能用合理的开销获得很好的保护。(3)盗窃侦测：对一些设备而言，只要侦测到有访问或盗窃硬件或软件的企图就已经足够了。可以考虑为每一个敏感对象都标以一个特殊标签。只要有人携带敏感对象离开控制区，就可以由探测器发出报警。,8.4.4 防止敏感信息截取,碎纸机 虽然它销毁的多是纸，但是也可以用来销毁打印机色带和一些类型的磁盘和磁带。对于一些特别敏感的信息，一些组织会再把碎片烧毁掉。重写磁介质上

43、的数据 一个比较安全的毁掉设备上数据的方法是重写几次数据，而每次都采用不同的模式。但是，以这种方式来清理磁盘会很费事。消磁器 消磁器可以毁掉磁场。当磁盘或其他磁介质从消磁器上划过时，消磁器会产生很强的磁通量，使得所有磁荷都重新排列。使用消磁器使磁盘或磁带变成“中性”而允许再次使用，是一个很快捷的方法。,8.4.4 防止敏感信息截取(续),防止辐射：Tempest 任何组件，包括打印机、磁盘驱动器和处理器，都能发出信号。Tempest是美国一个规程，符合这个规程的计算机设备都将被证明是无辐射的(也就是说，没有检测到辐射)。如下两种方法可以通过Tempest检查：把设备封起来和改变它的辐射。铜是良

44、导体，电磁波通过铜来传播比通过空气来传播更容易。对电缆来说，用铜包裹是一个很好的方法，但保护整个计算机房是不方便的。也可以将辐射设计成不可捕获的。这个过程和产生噪音来阻塞或阻断无线电信号的过程类似。经过Tempest封装保护以后的组件要比没有经过保护的大而重。,8.4.5 意外事故处理计划,备份 备份是一个文件的完全或部分的副本，它可以用来帮助重建已丢失的文件。在一个专业的计算机系统中，周期性备份通常是自动执行的，常常是在晚上系统使用不多时进行的。系统所有的东西都被复制，包括系统文件、用户文件、临时文件以及目录。这样，在危机之后系统能够重新生成。这种类型的备份称为完全备份(complete b

45、ackup)。,8.4.5 意外事故处理计划(续),主要设备可以执行滚动备份(revolving backup)，在这种备份中，最近的几次备份都保存着。每当一个新备份完成时，最旧的备份就被最新的所代替。进行滚动备份有两个理由：避免介质损坏所带来问题(当其中一些数据出问题，而不是所有信息都丢失了，没有引起重视)以及允许用户或开发者获取文件的旧版本。另一种形式的备份是选择性备份(selective backup)，在这种备份中，只有那些自上一次备份后改变了的(或新创建的)文件会被保存起来。这样，必须保存的文件比较少，备份也更快。对于每种备份，都需要采用某种方法将备份恢复到失效前的状态。个人计算机用

46、户常常感受不到有规律的备份的需要。但如果有一个备份的话，出现危机，用户就可以简单地转到另一台机器上并继续工作。,8.4.5 意外事故处理计划(续),离站备份 许多主要的计算装置租用库房，该库房与计算系统有一定的距离，该距离能保证危机不可能影响库房内的装置。当备份完成了以后，它就被转移到了备份站点。保存备份最不好的地方就是我们常保存它的地方机器旁边。网络存储 随着今天网络的广泛使用，使用网络来实现备份是一个好方法。网络存储是关键备份的理想方式，因为可以选择存储提供商，它的物理存储点离计算系统有一定的距离。,8.4.5 意外事故处理计划(续),冷站 由于计算的特点，能够从危机中恢复且能很快地继续计

47、算，这是很重要的。大多数的计算机生产商都有各种机型的备用机器。因此，问题难解决的部分很少是机器，而是应该将用于临时操作的设备放在什么地方。冷站或机架(shell)是一个电力和散热的设备，计算系统安装后就能立即开始运作。一些公司维护它们自己的冷站，也可以从灾难恢复公司租用冷站。,8.4.5 意外事故处理计划(续),热站 热站是一个安装有计算系统并准备运行的计算机环境。这个系统有一些外围设备、远程通信线路、电力供应，甚至有随时待命的操作人员。有很多服务商提供热站，这些热站装备有每一个流行品牌和型号的系统。这些热站对许多客户提供支持服务，因为其中的大部分客户不需要服务，所以每一个客户承担的年费用是相

48、当低的。但要注意，使用热站服务的第一步是做一个完整、及时的备份。,8.4.6 物理安全的回顾,预测会发生什么以及在什么时间发生，极为困难。物理安全管理者必须考虑所有资产以及诸多可能的损害。而那些试图进行物理访问的心怀恶意的人代表了另一类威胁。最基本的物理控制是强度和重复(冗余)。强度的意思是重叠那些实现深度控制的方法，使得如果一个控制失效，下一个控制可以起到保护作用。重复(冗余)意味着消除单一点失效造成的影响，备用的硬件部分预防了失效。,8.5 本章总结,安全管理者不仅必须理解安全资产、弱点、威胁和控制，而且也要理解管理和实现。安全计划是一个驱动其他的安全管理的过程。做计划让人们事先考虑一些情况、有一个清晰的思路，这样，当事件发生时，能容易地做出权衡。风险评估是支持安全计划的一种技术。通过安全的风险评估，就能知道，什么样的风险是能够接受的。一个组织的安全策略是一份文档，它说明组织的安全目标。物理安全考虑的是计算的物理方面：对建筑和基础设施的自然威胁和人为威胁。重复(冗余)和物理控制解决物理安全威胁。本章内容都有很强的人为因素存在。,谢谢!,