中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會5.1.4隔離技術(shù)隔離控制①物理隔離在物理設(shè)備或部件一級進行隔離，使不同的用戶程序使用不同的物理對象

②時間隔離對不同安全要求的用戶進程分配不同的運行時間段。對于用戶運算高密級信息時，甚至獨占計算機進行運算

中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會隔離控制③邏輯隔離多個用戶進程可以同時運行，但相互之間感覺不到其他用戶進程的存在，這是因為操作系統(tǒng)限定各進程的運行區(qū)域，不允許進程訪問其他未被允許的區(qū)域。④加密隔離進程把自己的數(shù)據(jù)和計算活動隱蔽起來，使他們對于其他進程是不可見的，對用戶的口令信息或文件數(shù)據(jù)以密碼形式存儲，使其他用戶無法訪問，也是加密隔離控制措施。中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會對比這幾種隔離措施實現(xiàn)的復(fù)雜性是逐步遞增的，而它們的安全性則是逐步遞減的前兩種方法的安全性是比較高的，但會降低硬件資源的利用率后兩種隔離方法主要依賴操作系統(tǒng)的功能實現(xiàn)主機入侵檢測技術(shù)主機入侵檢測（IDS）技術(shù)是從主機內(nèi)獲取日志等信息，利用模式識別等技術(shù)來實現(xiàn)對主機系統(tǒng)的離線及在線入侵檢測。它主要保護的是主機系統(tǒng)的安全及系統(tǒng)用戶的安全，應(yīng)用于WPDRRC模型的預(yù)警與檢測環(huán)節(jié)中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會主機防火墻網(wǎng)絡(luò)防火墻用于保護內(nèi)網(wǎng)，而主機防火墻主要用于保護某一主機系統(tǒng)。它同樣采用包過濾等技術(shù)對主機與網(wǎng)絡(luò)之間的通訊進行訪問控制。它應(yīng)用于WPDRRC模型的防護環(huán)節(jié)中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會審計與追蹤技術(shù)安全審計技術(shù)是一種被信任的機制，是TCB（可信計算基）的一個部分。安全審計技術(shù)應(yīng)用于WPDRRC模型的反擊環(huán)節(jié)中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會應(yīng)急響應(yīng)與恢復(fù)應(yīng)急響應(yīng)是WPDRRC模型的響應(yīng)環(huán)節(jié)。具體應(yīng)急響應(yīng)處理過程一般分為三個階段：前期響應(yīng)、中期響應(yīng)和后期響應(yīng)階段中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會前期響應(yīng)的主要工作主要包括制定應(yīng)急響應(yīng)預(yù)案、準備資源、備份平臺及數(shù)據(jù)等中期響應(yīng)的主要任務(wù)是查明平臺遭受攻擊的程度、原因，對事件進行追蹤取證，同時認定安全事件責任，為完善安全策略和應(yīng)對措施做準備后期響應(yīng)的主要目的是確定新的安全策略，確定新策略的配置執(zhí)行，同時還包括提供系統(tǒng)安全性、進行安全評估等內(nèi)容中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會郵件系統(tǒng)的多級保護中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會傳輸層存儲層應(yīng)用層操作系統(tǒng)層賬戶層C2級加密方式加密傳輸

加密存儲與系統(tǒng)賬戶隔離安全穩(wěn)定類unix平臺

防止暴力破解、強制更改密碼

數(shù)據(jù)包被截取也無法知道內(nèi)容

無法直接看到郵件內(nèi)容

程序采用最低權(quán)限級別運行

升級補丁、優(yōu)化系統(tǒng)、停止不需要的服務(wù)及端口安全軟件開發(fā)生命周期中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會安全檢測工具動態(tài)分析工具配置分析工具設(shè)計驗證工具 掃描器中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會動態(tài)分析工具在軟件運行時構(gòu)造異常場景，測試該軟件是否存在安全缺陷。典型功能截獲系統(tǒng)調(diào)用，記錄函數(shù)執(zhí)行信息，執(zhí)行邊界檢查，識別內(nèi)存泄漏、競爭條件、不可達代碼、類型不匹配等。商用工具CompuwareBoundsChecker開源或免費Foundstone.NETMonCLRProfiler中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會配置分析工具對應(yīng)用程序配置文件、主機配置文件、應(yīng)用服務(wù)器配置文件執(zhí)行靜態(tài)分析，發(fā)現(xiàn)配置相關(guān)安全問題。商用工具DesawareCAS/Tester開源或免費FoundstoneSSLDiggerPermCalc中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會設(shè)計驗證工具用來驗證軟件的設(shè)計模型是否存在安全缺陷商用工具SDMetrics公司的SDMetric中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會掃描器源代碼掃描器二進制代碼掃描器字節(jié)碼掃描器數(shù)據(jù)庫脆弱性掃描器網(wǎng)絡(luò)掃描器Web應(yīng)用掃描器Web服務(wù)掃描器中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會源代碼掃描器掃描源代碼匹配安全缺陷模式，可檢查緩沖區(qū)溢出、格式化字符串、競爭條件等安全漏洞。高級的工具還可以實現(xiàn)數(shù)據(jù)流分析、控制流分析以降低誤報率，并根據(jù)安全漏洞類型或優(yōu)先級生成問題報告源代碼掃描器-商用工具中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會源代碼掃描器-免費或開源中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會字節(jié)碼掃描器工作原理與源代碼掃描器類似，不同的是其掃描的對象是java的字節(jié)碼商用工具LogicLab公司的BugScan開源或免費FindBug中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會二進制代碼掃描器采用反匯編技術(shù)與模式識別技術(shù)掃描可執(zhí)行的二進制代碼或DLL文件發(fā)現(xiàn)安全漏洞優(yōu)點脫離源代碼，執(zhí)行更低層次的安全測試缺點受限于逆向工程與反匯編技術(shù)，誤報率較高商用工具AspectSecurity公司的AspectCheckSecruityInnovation公司的BEASTLogicLab公司的BUGSCAN開源或免費：FxCop；BugScam中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會數(shù)據(jù)庫脆弱性掃描器專門用于查找數(shù)據(jù)庫應(yīng)用程序安全問題的工具；充當客戶端執(zhí)行各類SQL語句，查找數(shù)據(jù)庫安全配置相關(guān)弱點，弱口令、授權(quán)、訪問控制等。商用工具ApplicationSecurity公司的AppDetectiveInternetSecuritySystem公司的DatabaseScan開源MetaCortex中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會網(wǎng)絡(luò)漏洞掃描器遠程掃描目標主機開放的端口、運行的服務(wù)、操作系統(tǒng)類型等，發(fā)現(xiàn)系統(tǒng)、服務(wù)軟件、網(wǎng)絡(luò)協(xié)議相關(guān)的安全漏洞。商用軟件InternetSecuritySystems公司的InternetSecurityScannerNTObjectives公司的NTOSpiderGFI公司的GFILANguardeEye公司的RetinaAdancedResearchCorporation公司的securityauditor’sResearchAssistant（SARA）Saintcorpor公司的SAINT開源NMAP:NessusSuperScanMetasploFramework中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會Web服務(wù)掃描器較新的一種掃描器；專用于測試web服務(wù)安全功能并識別web服務(wù)的安全漏洞。典型功能有掃描WSDL文件，列舉WEB服務(wù)提供方法，生成各種輸入?yún)?shù)的方法調(diào)用，測試XML消息加密、XML消息簽名等安全功能。商用工具SOATest、SOAPbox、WebServiceTester、SOASonar、XrayDiagnosis，SOAPScope等開源Foundstone的WSDiggerPushtotestTestMaker中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會Web應(yīng)用漏洞掃描器其模擬web客戶端，執(zhí)行特權(quán)URL掃描、脆弱CGI掃描等。記錄HTTP交互、注入惡意負載觀察響應(yīng)可有效發(fā)現(xiàn)：跨站腳本、SQL注入、目錄便利、Cookie中毒等安全漏洞。商用工具SPIDynamics公司的WebInspectWatchfire公司的AppScanN-Stalker公司的N-StalkeWebApplicationSecurityScanner開源或免費OWASPWebScarabOWASPBerrettaNiktoWiktoParosProxySpikeProxy1物理安全概述物理安全包括三個方面：環(huán)境安全是指系統(tǒng)所在環(huán)境的安全，主要是場地與機房

設(shè)備安全主要指設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等

媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。

25中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會2

物理安全問題常見物理安全問題供電質(zhì)量雷擊靜電溫濕度、潔凈度防火、防水、防生物電磁干擾電磁泄漏防盜3物理安全技術(shù)與方法電磁泄露的兩種方式：1、輻射泄漏：以電磁波的形式輻射出去

2、傳導(dǎo)泄漏：通過各種線路和金屬管傳導(dǎo)出去的

輻射強度的因素主要有功率和頻率、與輻射源的距離、屏蔽狀況

TEMPEST技術(shù)是美國國家安全局和國防部聯(lián)合進行研究與開發(fā)的，主要內(nèi)容：電磁泄漏機理、防護技術(shù)、有用信息的提取技術(shù)、測試技術(shù)和標準

TEMPEST技術(shù)的主要目的是減少計算機中信息的外泄。抑制信息泄漏的途徑一是電子隱蔽技術(shù)，二是物理抑制技術(shù)（包容法和抑源法）。

27中國信息安全認證中心四川省計算機信息系統(tǒng)集成行業(yè)協(xié)會3物理安全技術(shù)與方法4