你不仅需要指出问题所在,还要排除问题。下面列出作为审计人员你应提出哪些建议。这些步骤总结了你在本课程中学到的安全规则。
持续审计和加强安全的步骤
下列是你对所有希望继续进行有效审计的公司建议采取的步骤。
定义安全策略。
建立对特定任务负责的内部组织。
对网络资源进行分类。
为雇员建立安全指导。
确保个人和网络系统的物理安全。
保障网络主机的服务和操作系统安全。
加强访问控制机制。
建立和维护系统。
确保网络满足商业目标。
保持安全策略的一致性。
重复的过程。
以上都是保证安全的基本步骤。许多国际性的公司要求符合这些需求。无论你提出了哪些方面的建议,你至少应该遵循某一种国际性的安全标准。
安全审计和安全标准
至少有三个国际安全标准可以供你在书写报告时进行参考。每种标准都可以帮助你使用正确的语言进行表达,更重要的是使你关注客户的商业需求。许多网络工作者认为这些标准没有必要,在处理更多的实际问题时很难将这些抽象的概念铭记在心。最后,将概念转变为实践是困难的。
然而,因为许多公司要求遵循这些标准,所以它们也变得越来越重要。例如,许多政府在同公司进行商业合作时要求符合BS7799标准。
ISO 7498-2
国际标准组织(ISO)建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。文件的标题是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》,它是第一篇论述如何系统地达到网络安全的文章。
英国标准7799(BS 7799)
BS 7799文档的标题是《A Code of Practice For Information Security Management》,论述了如何确保网络系统安全。1999年的版本有两个部分。BS 7799-1讨论了确保网络安全所采取的步骤。BS 7799-2讨论了在实施信息安全管理系统(ISMS)时应采取的步骤。虽然BS 7799是英国的标准,但由于它可以帮助网络专家设计实施计划并提交结果,所以很多非英国的公司也接受这一标准。BS 7799系列与ISO 9000系列的文档有关。这些标准保证了公司之间安全的协作。
实施信息安全管理系统(ISMS)的目的是确保公司使用的信息尽可能的安全。因此,需要考虑能够帮助在你的公司中建立、管理和传送信息的每个要素。这些要素包括电话联系,文件系统(文本和电子格式),网络传输等。所以,定义ISMS的任务变得很艰巨,你需要记录和分类建立信息的任何组成部分,包括铅笔、邮票、邮件等等。所幸的是,你可以定义一个范围,它可以使你只关注哪些对你的网络影响最大的内容。
在完善ISMS是,应遵循以下步骤:
定义安全策略。
为你的信息安全管理系统(ISMS)定义范围。
风险评估。
对已知的风险进行排序和管理。
你已经在本课中学习了每个步骤,当然,你需要将学到的技能与BS 7799和ISO 7498-2标准结合起来。这些标准会使你作为一名审计人员更具有可信度。
在BS 7799和ISO 7498-2文档中讨论的许多步骤可以帮助你实施在前面提到的目标。这些标准建议你采取如下步骤:
发布安全策略。
公布负责人名单。
培训公司人员的信息安全意识。
定义汇报事件的程序。
建立有效的反病毒保护措施。
确保实施的策略与公司商业目标的一致性。
制定规范以确保雇员不会为了完成任务而破坏软件许可规则。
物理上确保对网络操作记录的安全。
建立系统来保护公司数据的安全。
实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程。
Common Criteria(CC)
Common Criteria提供了有助于你选择和发展网络安全解决方案的全球统一标准。ISO为了统一区域和国家间的安全标准指定了Common Criteria,因此,CC与ISO9000系列相似都是用来提供可以证明的过程。虽然CC的目的是统一ITSEC和TCSEC,但它们还是用来取代“Orange Book”标准。在编写本书时,Common Criteria被称为ISO国际标准15408(IS 15408)。Common Criteria 2.1等同于IS 15408。
该文件由三个部分组成:
·第一部分:定义了如何创建安全目标和需求,还提供了一个术语的概述。
·第二部分:定义了如何建立能够使商业通信更安全的需求列表。列举了如何将这些需求组织成classes(抽象的需求,例如验证和加密),families(更特别的需求,例如用户和过程验证),和components(使用Kerberos进行验证,和一次性口令)。
· 第三部分:提出了如何建立能够达到公司安全需求的“保险内容”的过程。还讨论了七个日益广泛使用的严格的Evaluation Assurance Levels(EAL)。
这三部分的内容描述得很细致和复杂。然而,作为审计人员你只需要理解这些条款的基本内容。许多IT专家使用它们来:
第一公司需要的特殊设置。提供了审计人员和IT专家在商业和技术交流中常用的术语。
定义了为更新网络或特殊产品而建立特殊过程的需求。
需要由软件和硬件厂商声明的证明能力。
下表描述了与安全审计人员有关的概念和术语。
术语 | 描述 |
Protection Profile(PP) | 需要的网络服务和元素的详细列表,报括安全目标。 |
Security Objectives | 列出如何提出特别的弱点的书面叙述。这是一种总体的陈述。安全需求比目标陈述更具体。 |
Security Target(ST) | 由生产厂商提供的描述安全工具的用处的一组声明。与安全目标和安全需求不同。安全需求是由厂商实施在软硬件上的,而安全目标只是由IT部门和网络审计人员定义的目标。 |
Target of Evaluation (TOE) | 你将要审计的某个操作系统,网络,分布式的程序或软件。使用安全目标和安全对象,你可以确定系统是否满足了目标以及对象是否达到了声明的功能。 |
Packages | 任何允许IT专家达到安全目标和要求的可以重复使用的内容。例如七个EAL。你可以合并这些Package来确保额外的安全。 |
Evaluation Assurance Level (EAL) | 七个事先定义好的packages,用来帮助IT专家评价规划的和已经存在的网络和系统。 |
……