当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之九:审计结果(2)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 网络安全讲座之九:审计结果(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 33 ::
收藏到网摘: n/a

 增强一致性

  你不仅需要指出问题所在,还要排除问题。下面列出作为审计人员你应提出哪些建议。这些步骤总结了你在本课程中学到的安全规则。

  持续审计和加强安全的步骤

  下列是你对所有希望继续进行有效审计的公司建议采取的步骤。

   定义安全策略。
   建立对特定任务负责的内部组织。
   对网络资源进行分类。
   为雇员建立安全指导。
   确保个人和网络系统的物理安全。
   保障网络主机的服务和操作系统安全。
   加强访问控制机制。
   建立和维护系统。
   确保网络满足商业目标。
   保持安全策略的一致性。
   重复的过程。

  以上都是保证安全的基本步骤。许多国际性的公司要求符合这些需求。无论你提出了哪些方面的建议,你至少应该遵循某一种国际性的安全标准。

  安全审计和安全标准

  至少有三个国际安全标准可以供你在书写报告时进行参考。每种标准都可以帮助你使用正确的语言进行表达,更重要的是使你关注客户的商业需求。许多网络工作者认为这些标准没有必要,在处理更多的实际问题时很难将这些抽象的概念铭记在心。最后,将概念转变为实践是困难的。

  然而,因为许多公司要求遵循这些标准,所以它们也变得越来越重要。例如,许多政府在同公司进行商业合作时要求符合BS7799标准。

  ISO 7498-2

  国际标准组织(ISO)建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。文件的标题是《Information Processing Systems,Open System Interconnection,Basic Reference Model,Part 2:security Architecture》,它是第一篇论述如何系统地达到网络安全的文章。

  英国标准7799(BS 7799)

  BS 7799文档的标题是《A Code of Practice For Information Security Management》,论述了如何确保网络系统安全。1999年的版本有两个部分。BS 7799-1讨论了确保网络安全所采取的步骤。BS 7799-2讨论了在实施信息安全管理系统(ISMS)时应采取的步骤。虽然BS 7799是英国的标准,但由于它可以帮助网络专家设计实施计划并提交结果,所以很多非英国的公司也接受这一标准。BS 7799系列与ISO 9000系列的文档有关。这些标准保证了公司之间安全的协作。

  实施信息安全管理系统(ISMS)的目的是确保公司使用的信息尽可能的安全。因此,需要考虑能够帮助在你的公司中建立、管理和传送信息的每个要素。这些要素包括电话联系,文件系统(文本和电子格式),网络传输等。所以,定义ISMS的任务变得很艰巨,你需要记录和分类建立信息的任何组成部分,包括铅笔、邮票、邮件等等。所幸的是,你可以定义一个范围,它可以使你只关注哪些对你的网络影响最大的内容。

  在完善ISMS是,应遵循以下步骤:

   定义安全策略。
   为你的信息安全管理系统(ISMS)定义范围。
   风险评估。
   对已知的风险进行排序和管理。

  你已经在本课中学习了每个步骤,当然,你需要将学到的技能与BS 7799和ISO 7498-2标准结合起来。这些标准会使你作为一名审计人员更具有可信度。

  在BS 7799和ISO 7498-2文档中讨论的许多步骤可以帮助你实施在前面提到的目标。这些标准建议你采取如下步骤:

   发布安全策略。
   公布负责人名单。
   培训公司人员的信息安全意识。
   定义汇报事件的程序。
   建立有效的反病毒保护措施。
   确保实施的策略与公司商业目标的一致性。
   制定规范以确保雇员不会为了完成任务而破坏软件许可规则。
   物理上确保对网络操作记录的安全。
   建立系统来保护公司数据的安全。
   实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程。

  Common Criteria(CC)

  Common Criteria提供了有助于你选择和发展网络安全解决方案的全球统一标准。ISO为了统一区域和国家间的安全标准指定了Common Criteria,因此,CC与ISO9000系列相似都是用来提供可以证明的过程。虽然CC的目的是统一ITSEC和TCSEC,但它们还是用来取代“Orange Book”标准。在编写本书时,Common Criteria被称为ISO国际标准15408(IS 15408)。Common Criteria 2.1等同于IS 15408。

  该文件由三个部分组成:

  ·第一部分:定义了如何创建安全目标和需求,还提供了一个术语的概述。
  ·第二部分:定义了如何建立能够使商业通信更安全的需求列表。列举了如何将这些需求组织成classes(抽象的