5月5
【BS7799标准产生的背景及其产生】
BS7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS7799-Part1(ISO17799)及BS7799-Part2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS7799-2:2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分;在很多的场合,它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素,因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题,各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。
在组织的决策者想方设法保障本组织的信息安全的同时,破坏方总能道高一尺,魔高一丈,数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说,近年来也接连不断地出现了程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。
正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。
早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。
【BS7799-1与BS7799-2的关系】
BS7799-1(ISO/IEC1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2明确提出信息安全管理要求,BS7799-1则对应给出了通用的控制方法(措施),因此,BS7799-2才是认证的依据,严格的说组织获得的认证是获得了BS7799-2的认证,BS7799-1为BS7799-2的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
【BS7799-1:1999《信息安全管理实施细则》内容介绍】
BS7799-1:1999(ISO/IEC1799:2000)标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:
(1)安全方针:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;
维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
(7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)业务持续性管理:目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
【BS7799-2:2002《信息安全管理体系规范》内容介绍】
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤:
(1)定义信息安全策略。
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制
订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围。
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理。
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
【BS7799-2:2002的特点】
新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(PlanDoCheckAct)的模型;
基于PDCA模型的基于过程的方法;
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述;
对ISMS持续过程改进的重要性;
文档和记录方面更清楚的需求;
风险评估和管理过程的改进;
对新版本使用提供指南的附录;
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC1799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式将BS7799-2:1999和ISO/IEC1799:2000结合起来了。
【BS7799信息安全管理标准开展的现状】
尽管ISO/IEC17799是在很多国家的反对声中被采纳的,BS7799-1在转换成ISO/IEC17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC17799的争议很多,而且目前已经有几个国家指出,ISO/IEC17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证,其中日本最多408家,英国其次157家,中国有49家,其中大陆9家,台湾25家,香港15家。全球已获得BS7799-2认证资格的认证机构有26个,认可机构有3个,分别为欧洲认可联盟(EA),国际认可联盟(IAF)以及英国的UKAS;目前我国还没有获得国际认可的认证机构。
信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似,分两个阶段,多数认证机构在第三年需要进行重新审核,但BSI不需要。
BSI没有向ISO/IECJTC1提交BS7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC17799-2。在类似于ISO/IEC17799-2的标准被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC17799认证项目。
BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分四个等级,分别为实习审核员、审核员、主任审核员、首席审核员;其中首席审核员分为两种,一种为咨询师,一种为组长,
值得关注的是其对咨询师的要求比对组长的要求要高的多。
【我国在信息安全管理标准方面采取的措施】
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了10个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。目前,WG7工作组正在着手制定推荐性国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
BS7799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。虽然我国信息安全标委会不是将ISO/IEC17799作为强制性国家标准引入,而是仅作为推荐性国家标准推行,但是企业和组织仍然可以将ISO/IEC17799作为衡量信息安全管理体系规范程度的一个标准和指标。建立信息安全管理体系并获得经认可的认证机构的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。尤其对于银行、证券、电子商务、ISP等服务提供商来说,可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,并树立和增强企业的信息安全角象,提高企业的综合竞争力。
BS7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS7799-Part1(ISO17799)及BS7799-Part2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS7799-2:2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分;在很多的场合,它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素,因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题,各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。
在组织的决策者想方设法保障本组织的信息安全的同时,破坏方总能道高一尺,魔高一丈,数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说,近年来也接连不断地出现了程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。
正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。
早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。
【BS7799-1与BS7799-2的关系】
BS7799-1(ISO/IEC1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2明确提出信息安全管理要求,BS7799-1则对应给出了通用的控制方法(措施),因此,BS7799-2才是认证的依据,严格的说组织获得的认证是获得了BS7799-2的认证,BS7799-1为BS7799-2的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
【BS7799-1:1999《信息安全管理实施细则》内容介绍】
BS7799-1:1999(ISO/IEC1799:2000)标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:
(1)安全方针:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;
维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
(7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)业务持续性管理:目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
【BS7799-2:2002《信息安全管理体系规范》内容介绍】
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤:
(1)定义信息安全策略。
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制
订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围。
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理。
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
【BS7799-2:2002的特点】
新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(PlanDoCheckAct)的模型;
基于PDCA模型的基于过程的方法;
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述;
对ISMS持续过程改进的重要性;
文档和记录方面更清楚的需求;
风险评估和管理过程的改进;
对新版本使用提供指南的附录;
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC1799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式将BS7799-2:1999和ISO/IEC1799:2000结合起来了。
【BS7799信息安全管理标准开展的现状】
尽管ISO/IEC17799是在很多国家的反对声中被采纳的,BS7799-1在转换成ISO/IEC17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC17799的争议很多,而且目前已经有几个国家指出,ISO/IEC17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证,其中日本最多408家,英国其次157家,中国有49家,其中大陆9家,台湾25家,香港15家。全球已获得BS7799-2认证资格的认证机构有26个,认可机构有3个,分别为欧洲认可联盟(EA),国际认可联盟(IAF)以及英国的UKAS;目前我国还没有获得国际认可的认证机构。
信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似,分两个阶段,多数认证机构在第三年需要进行重新审核,但BSI不需要。
BSI没有向ISO/IECJTC1提交BS7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC17799-2。在类似于ISO/IEC17799-2的标准被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC17799认证项目。
BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分四个等级,分别为实习审核员、审核员、主任审核员、首席审核员;其中首席审核员分为两种,一种为咨询师,一种为组长,
值得关注的是其对咨询师的要求比对组长的要求要高的多。
【我国在信息安全管理标准方面采取的措施】
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了10个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。目前,WG7工作组正在着手制定推荐性国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
BS7799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。虽然我国信息安全标委会不是将ISO/IEC17799作为强制性国家标准引入,而是仅作为推荐性国家标准推行,但是企业和组织仍然可以将ISO/IEC17799作为衡量信息安全管理体系规范程度的一个标准和指标。建立信息安全管理体系并获得经认可的认证机构的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。尤其对于银行、证券、电子商务、ISP等服务提供商来说,可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,并树立和增强企业的信息安全角象,提高企业的综合竞争力。
5月5
下面我讨论的都是服务器领域,因为桌面版没有意义,桌面还是Windows的天下,用Linux做桌面除了新鲜,确实没有任何优势。
官网:http://www.centos.org/
CentOS其实是Redhat的内核,感觉是会成熟稳定一点,相比旧Redhat,他多了一个yum的命令,学Debian一样自动安装软件;但我感觉 CentOS的可以Yum的东西相比Debian或Ubuntu,实在太少了;CentOS游走在年轻与成熟之间,它比Ubuntu更注重安全性,你看他 的CentOS5.0默认一装好就自带并打开防火墙就知道;而且有一个叫SELinux的东东在里面,让不同的程序之间权限有所限制,这也是我装 CentOS一些软件经常莫名奇妙地告诉我“没有权限”的一个原因。后来因为一些软件搞了一夜,都没有搞成功,比如VSftp+PAM_MYSQL的认 证,一气之下把他格掉了。
官网:http://www.ubuntu.org.cn/
Ubuntu就是Debian的延续版,apt-get自动安装、更新软件的方式,是Debian首创(应该是他吧!)相比起来,他的apt-get软件 库及源强大很多,也多很多,我们的服务器除了一个magickWand(imageMagick的PHP API),其它东西全部都是apt-get下来的,安装不需要一分钟;感觉Ubuntu更加自由,小巧,灵活,有点年轻人的感觉。
使用心得:新版的Ubunt7.10(就是我们现在的版本),比起6.10,多了一个非常实用的功能,就是你选择你所在的地区时,比如我选中国,那安装完 后你的源就自动变成了中国的源了!这个非常爽,不用再到处去找别的源来代替了。另外源一定要注意,不要乱改,我们就曾经因为改乱了,导致软件版本全部搞乱 了,一气之下我昨天又跑去重装了一遍,这才恢复。
另外:如果当你apt-get失败的时候,错误信息是E:Broken Package时,如何处理?我在google找了好久没有找到答案的,后来自己实践,发现原来就是源的问题,他在源上找不到一些Depends on关系的包,就装不成功了。这时候可以试下换其它的源,但注意一定要保持原备份!我觉得官方的源就已经相当齐全,不是万不得已一般不要轻易改掉。注意换 了源之后要apt-get update一下。
还有一个心得就是,CD-Rom里放置着系统的安装碟,也是一个挺不错的源哦!很多软件不用上网下载,直接在碟内就是很新的版本,也是个不错的选择。
官网:http://www.gentoo.org/
Gentoo呢,估计是性能最好的,因为他安装超麻烦;据说他的理念就是,让你明白Linux的每一样东西是如何出来的!全部由你定制来决定!但因为其实谁都厌倦了烦琐,这个版本是正在衰落中。
官网:http://www.freebsdchina.org/
FreeBSD是另外一种内核,不属于Linux了,我们以前百步梯的服务器就是采用FreeBSD的了,据说是性能最强劲的。但内核不一样,我们这次不敢尝试。
http://www.williamlong.info/info/archives/197.html
Linux 最早由Linus Benedict Torvalds在1991年开始编写。在这之前,Richard Stallman创建了Free Software Foundation(FSF)组织以及GNU项目,并不断的编写创建GNU程序(此类程序的许可方式均为GPL: General Public License)。在不断的有杰出的程序员和开发者加入到GNU组织中后,便造就了今天我们所看到的Linux,或称GNU/Linux。
Linux的发行版本可以大体分为两类,一类是商业公司维护的发行版本,一类是社区组织维护的发行版本,前者以著名的Redhat(RHEL)为代表,后者以Debian为代表。下面介绍一下各个发行版本的特点:
Redhat,应该称为Redhat系列,包括RHEL(Redhat Enterprise Linux,也就是所谓的Redhat Advance Server,收费版本)、Fedora Core(由原来的Redhat桌面版本发展而来,免费版本)、CentOS(RHEL 的社区克隆版本,免费)。Redhat应该说是在国内使用人群最多的Linux版本,甚至有人将Redhat等同于Linux,而有些老鸟更是只用这一个 版本的Linux。所以这个版本的特点就是使用人群数量大,资料非常多,言下之意就是如果你有什么不明白的地方,很容易找到人来问,而且网上的一般 Linux教程都是以Redhat为例来讲解的。Redhat系列的包管理方式采用的是基于RPM包的YUM包管理方式,包分发方式是编译好的二进制文 件。稳定性方面RHEL和CentOS的稳定性非常好,适合于服务器使用, 但是Fedora Core的稳定性较差,最好只用于桌面应用。
Debian,或者称Debian系列,包括Debian和Ubuntu等。 Debian是社区类Linux的典范,是迄今为止最遵循GNU规范 的Linux系统。Debian最早由Ian Murdock于1993年创建,分为三个版本分支(branch): stable, testing 和 unstable。其中,unstable为最新的测试版本,其中包括最新的软件包,但是也有相对较多的bug,适合桌面用户。testing的版本都经 过unstable中的测试,相对较为稳定,也支持了不少新技术(比如SMP等)。而stable一般只用于服务器,上面的软件包大部分都比较过时,但是 稳定和安全性都非常的高。Debian最具特色的是apt-get / dpkg包管理方式,其实Redhat的YUM也是在模仿Debian的APT方式,但在二进制文件发行方式中,APT应该是最好的了。Debian的资 料也很丰富,有很多支持的社区,有问题求教也有地方可去:)
Ubuntu严格来说不能算一个独立的发行版本,Ubuntu是基于Debian的unstable版本加强而来,可以这么说,Ubuntu就是 一个拥有Debian所有的优点,以及自己所加强的优点的近乎完美的 Linux桌面系统。根据选择的桌面系统不同,有三个版本可供选择,基于Gnome的Ubuntu,基于KDE的Kubuntu以及基于Xfc的 Xubuntu。特点是界面非常友好,容易上手,对硬件的支持非常全面,是最适合做桌面系统的Linux发行版本。
Gentoo,伟大的Gentoo是Linux世界最年轻的发行版本,正因为年轻,所以能吸取在她之前的所有发行版本的优点,这也是Gentoo 被称为最完美的Linux发行版本的原因之一。Gentoo最初由Daniel Robbins(FreeBSD的开发者之一)创建,首个稳定版本发布于2002年。由于开发者对FreeBSD的熟识,所以Gentoo拥有媲美 FreeBSD的广受美誉的ports系统 ——Portage包管理系统。不同于APT和YUM等二进制文件分发的包管理系统,Portage是基于源代码分发的,必须编译后才能运行,对于大型软 件而言比较慢,不过正因为所有软件都是在本地机器编译的,在经过各种定制的编译参数优化后,能将机器的硬件性能发挥到极致。Gentoo是所有Linux 发行版本里安装最复杂的,但是又是安装完成后最便于管理的版本,也是在相同硬件环境下运行最快的版本。
最后,介绍一下FreeBSD,需要强调的是:FreeBSD并不是一个Linux系统!但FreeBSD与Linux的用户群有相当一部分是重合的,二 者支持的硬件环境也比较一致,所采用的软件也比较类似,所以可以将FreeBSD视为一个Linux版本来比较。FreeBSD拥有两个分支: stable和current。顾名思义,stable是稳定版,而 current则是添加了新技术的测试版。FreeBSD采用Ports包管理系统,与Gentoo类似,基于源代码分发,必须在本地机器编后后才能运 行,但是Ports系统没有Portage系统使用简便,使用起来稍微复杂一些。FreeBSD的最大特点就是稳定和高效,是作为服务器操作系统的最佳选 择,但对硬件的支持没有Linux完备,所以并不适合作为桌面系统。
下面给为选择一个Linux发行版本犯愁的朋友一些建议:
如果你只是需要一个桌面系统,而且既不想使用盗版,又不想花大量的钱购买商业软件,那么你就需要一款适合桌面使用的Linux发行版本了,如果你 不想自己定制任何东西,不想在系统上浪费太多时间,那么很简单,你就根据自己的爱好在ubuntu、kubuntu以及xubuntu中选一款吧,三者的 区别仅仅是桌面程序的不一样。
如果你需要一个桌面系统,而且还想非常灵活的定制自己的Linux系统,想让自己的机器跑得更欢,不介意在Linux系统安装方面浪费一点时间,那么你的唯一选择就是Gentoo,尽情享受Gentoo带来的自由快感吧!
如果你需要的是一个服务器系统,而且你已经非常厌烦各种Linux的配置,只是想要一个比较稳定的服务器系统而已,那么你最好的选择就是CentOS了,安装完成后,经过简单的配置就能提供非常稳定的服务了。
如果你需要的是一个坚如磐石的非常稳定的服务器系统,那么你的唯一选择就是FreeBSD。
如果你需要一个稳定的服务器系统,而且想深入摸索一下Linux的各个方面的知识,想自己定制许多内容,那么我推荐你使用Gentoo。
官网:http://www.centos.org/
CentOS其实是Redhat的内核,感觉是会成熟稳定一点,相比旧Redhat,他多了一个yum的命令,学Debian一样自动安装软件;但我感觉 CentOS的可以Yum的东西相比Debian或Ubuntu,实在太少了;CentOS游走在年轻与成熟之间,它比Ubuntu更注重安全性,你看他 的CentOS5.0默认一装好就自带并打开防火墙就知道;而且有一个叫SELinux的东东在里面,让不同的程序之间权限有所限制,这也是我装 CentOS一些软件经常莫名奇妙地告诉我“没有权限”的一个原因。后来因为一些软件搞了一夜,都没有搞成功,比如VSftp+PAM_MYSQL的认 证,一气之下把他格掉了。
官网:http://www.ubuntu.org.cn/
Ubuntu就是Debian的延续版,apt-get自动安装、更新软件的方式,是Debian首创(应该是他吧!)相比起来,他的apt-get软件 库及源强大很多,也多很多,我们的服务器除了一个magickWand(imageMagick的PHP API),其它东西全部都是apt-get下来的,安装不需要一分钟;感觉Ubuntu更加自由,小巧,灵活,有点年轻人的感觉。
使用心得:新版的Ubunt7.10(就是我们现在的版本),比起6.10,多了一个非常实用的功能,就是你选择你所在的地区时,比如我选中国,那安装完 后你的源就自动变成了中国的源了!这个非常爽,不用再到处去找别的源来代替了。另外源一定要注意,不要乱改,我们就曾经因为改乱了,导致软件版本全部搞乱 了,一气之下我昨天又跑去重装了一遍,这才恢复。
另外:如果当你apt-get失败的时候,错误信息是E:Broken Package时,如何处理?我在google找了好久没有找到答案的,后来自己实践,发现原来就是源的问题,他在源上找不到一些Depends on关系的包,就装不成功了。这时候可以试下换其它的源,但注意一定要保持原备份!我觉得官方的源就已经相当齐全,不是万不得已一般不要轻易改掉。注意换 了源之后要apt-get update一下。
还有一个心得就是,CD-Rom里放置着系统的安装碟,也是一个挺不错的源哦!很多软件不用上网下载,直接在碟内就是很新的版本,也是个不错的选择。
官网:http://www.gentoo.org/
Gentoo呢,估计是性能最好的,因为他安装超麻烦;据说他的理念就是,让你明白Linux的每一样东西是如何出来的!全部由你定制来决定!但因为其实谁都厌倦了烦琐,这个版本是正在衰落中。
官网:http://www.freebsdchina.org/
FreeBSD是另外一种内核,不属于Linux了,我们以前百步梯的服务器就是采用FreeBSD的了,据说是性能最强劲的。但内核不一样,我们这次不敢尝试。
http://www.williamlong.info/info/archives/197.html
Linux 最早由Linus Benedict Torvalds在1991年开始编写。在这之前,Richard Stallman创建了Free Software Foundation(FSF)组织以及GNU项目,并不断的编写创建GNU程序(此类程序的许可方式均为GPL: General Public License)。在不断的有杰出的程序员和开发者加入到GNU组织中后,便造就了今天我们所看到的Linux,或称GNU/Linux。
Linux的发行版本可以大体分为两类,一类是商业公司维护的发行版本,一类是社区组织维护的发行版本,前者以著名的Redhat(RHEL)为代表,后者以Debian为代表。下面介绍一下各个发行版本的特点:
Redhat,应该称为Redhat系列,包括RHEL(Redhat Enterprise Linux,也就是所谓的Redhat Advance Server,收费版本)、Fedora Core(由原来的Redhat桌面版本发展而来,免费版本)、CentOS(RHEL 的社区克隆版本,免费)。Redhat应该说是在国内使用人群最多的Linux版本,甚至有人将Redhat等同于Linux,而有些老鸟更是只用这一个 版本的Linux。所以这个版本的特点就是使用人群数量大,资料非常多,言下之意就是如果你有什么不明白的地方,很容易找到人来问,而且网上的一般 Linux教程都是以Redhat为例来讲解的。Redhat系列的包管理方式采用的是基于RPM包的YUM包管理方式,包分发方式是编译好的二进制文 件。稳定性方面RHEL和CentOS的稳定性非常好,适合于服务器使用, 但是Fedora Core的稳定性较差,最好只用于桌面应用。
Debian,或者称Debian系列,包括Debian和Ubuntu等。 Debian是社区类Linux的典范,是迄今为止最遵循GNU规范 的Linux系统。Debian最早由Ian Murdock于1993年创建,分为三个版本分支(branch): stable, testing 和 unstable。其中,unstable为最新的测试版本,其中包括最新的软件包,但是也有相对较多的bug,适合桌面用户。testing的版本都经 过unstable中的测试,相对较为稳定,也支持了不少新技术(比如SMP等)。而stable一般只用于服务器,上面的软件包大部分都比较过时,但是 稳定和安全性都非常的高。Debian最具特色的是apt-get / dpkg包管理方式,其实Redhat的YUM也是在模仿Debian的APT方式,但在二进制文件发行方式中,APT应该是最好的了。Debian的资 料也很丰富,有很多支持的社区,有问题求教也有地方可去:)
Ubuntu严格来说不能算一个独立的发行版本,Ubuntu是基于Debian的unstable版本加强而来,可以这么说,Ubuntu就是 一个拥有Debian所有的优点,以及自己所加强的优点的近乎完美的 Linux桌面系统。根据选择的桌面系统不同,有三个版本可供选择,基于Gnome的Ubuntu,基于KDE的Kubuntu以及基于Xfc的 Xubuntu。特点是界面非常友好,容易上手,对硬件的支持非常全面,是最适合做桌面系统的Linux发行版本。
Gentoo,伟大的Gentoo是Linux世界最年轻的发行版本,正因为年轻,所以能吸取在她之前的所有发行版本的优点,这也是Gentoo 被称为最完美的Linux发行版本的原因之一。Gentoo最初由Daniel Robbins(FreeBSD的开发者之一)创建,首个稳定版本发布于2002年。由于开发者对FreeBSD的熟识,所以Gentoo拥有媲美 FreeBSD的广受美誉的ports系统 ——Portage包管理系统。不同于APT和YUM等二进制文件分发的包管理系统,Portage是基于源代码分发的,必须编译后才能运行,对于大型软 件而言比较慢,不过正因为所有软件都是在本地机器编译的,在经过各种定制的编译参数优化后,能将机器的硬件性能发挥到极致。Gentoo是所有Linux 发行版本里安装最复杂的,但是又是安装完成后最便于管理的版本,也是在相同硬件环境下运行最快的版本。
最后,介绍一下FreeBSD,需要强调的是:FreeBSD并不是一个Linux系统!但FreeBSD与Linux的用户群有相当一部分是重合的,二 者支持的硬件环境也比较一致,所采用的软件也比较类似,所以可以将FreeBSD视为一个Linux版本来比较。FreeBSD拥有两个分支: stable和current。顾名思义,stable是稳定版,而 current则是添加了新技术的测试版。FreeBSD采用Ports包管理系统,与Gentoo类似,基于源代码分发,必须在本地机器编后后才能运 行,但是Ports系统没有Portage系统使用简便,使用起来稍微复杂一些。FreeBSD的最大特点就是稳定和高效,是作为服务器操作系统的最佳选 择,但对硬件的支持没有Linux完备,所以并不适合作为桌面系统。
下面给为选择一个Linux发行版本犯愁的朋友一些建议:
如果你只是需要一个桌面系统,而且既不想使用盗版,又不想花大量的钱购买商业软件,那么你就需要一款适合桌面使用的Linux发行版本了,如果你 不想自己定制任何东西,不想在系统上浪费太多时间,那么很简单,你就根据自己的爱好在ubuntu、kubuntu以及xubuntu中选一款吧,三者的 区别仅仅是桌面程序的不一样。
如果你需要一个桌面系统,而且还想非常灵活的定制自己的Linux系统,想让自己的机器跑得更欢,不介意在Linux系统安装方面浪费一点时间,那么你的唯一选择就是Gentoo,尽情享受Gentoo带来的自由快感吧!
如果你需要的是一个服务器系统,而且你已经非常厌烦各种Linux的配置,只是想要一个比较稳定的服务器系统而已,那么你最好的选择就是CentOS了,安装完成后,经过简单的配置就能提供非常稳定的服务了。
如果你需要的是一个坚如磐石的非常稳定的服务器系统,那么你的唯一选择就是FreeBSD。
如果你需要一个稳定的服务器系统,而且想深入摸索一下Linux的各个方面的知识,想自己定制许多内容,那么我推荐你使用Gentoo。
4月29
Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability
漏洞描述:
IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该 漏洞, 并从而控制服务器.
漏洞厂商:
Microsoft [ http://www.microsoft.com ]
漏洞测试:
Undefined
解决方案:
等待微软更新官方补丁.
来源:80sec.com
function Copyright()
{
var Author="80sec";
var Email="kEvin#80sec.com".replace("#","@")
var Site="http://www.80sec.com";
var Date=new Date(2009,4,24).toLocaleString();
var Reference=http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html; return Reference;
}
/*
{
var Author="80sec";
var Email="kEvin#80sec.com".replace("#","@")
var Site="http://www.80sec.com";
var Date=new Date(2009,4,24).toLocaleString();
var Reference=http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html; return Reference;
}
/*
漏洞描述:
IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该 漏洞, 并从而控制服务器.
漏洞厂商:
Microsoft [ http://www.microsoft.com ]
漏洞测试:
Undefined
解决方案:
等待微软更新官方补丁.
来源:80sec.com
4月27
刚申请的,免得下次再申请,麻烦!
同时由于一个序列号只能在当前系统下使用,换到其他地方则无效,所以马上将当前的虚拟机做了个备份。
Your activation code for the Nessus plugin feed is 7ED6-B557-4D80-43D8-9B66
Windows Users :
---------------
To activate your account, open the program 'Nessus Server Manager'
located under C:\Program Files\Tenable\Nessus\ and enter your
activation code in the program.
Linux and Solaris Users :
--------------------------
To activate your account, simply execute the following command :
/opt/nessus/bin/nessus-fetch --register 7ED6-B557-4D80-43D8-9B66
Mac OS X Users :
----------------
To activate your account, open the program 'Nessus Server Manager'
located under /Applications/Nessus/ and enter your activation
code in the program.
FreeBSD Users :
---------------
To activate your account, simply execute the following command :
/usr/local/nessus/bin/nessus-fetch --register 7ED6-B557-4D80-43D8-9B66
If you are offline :
--------------------
If your Nessus installation can not reach the internet directly,
you can use your activation code at the following URL :
http://plugins.nessus.org/offline.php
Note that Nessus 3 and Nessus 4 will update their plugins by automatically
every 24 hours. If you do not want such an update to occur, simply edit
nessusd.conf and set 'auto_update' to 'no'.
Note that you can only use your activation code once.
If for some reason you uninstall your Nessus installation entirely
and decide to re-install it later on, you will need to register a second
time.
If you need help :
------------------
If you have any question, feel free to request help on the Nessus
discussion forum at https://discussions.nessus.org/
Security Information Videos
--------------------------------
Tenable offers a wide variety of free videos that demonstrate
Nessus usage, configuration auditing, passive network monitoring,
log analysis and many other security and compliance topics. To
watch these videos, please visit:
http://www.nessus.org/demos/index.php?view=demo_vid
Tenable Product Information
---------------------------
Tenable offers a variety of products that unify security and compliance
monitoring to minimize the operational costs of log analysis,
configuration auditing, patch auditing and network monitoring. For more
information, please visit our solutions page at:
http://www.nessus.org/solutions/
同时由于一个序列号只能在当前系统下使用,换到其他地方则无效,所以马上将当前的虚拟机做了个备份。
Your activation code for the Nessus plugin feed is 7ED6-B557-4D80-43D8-9B66
Windows Users :
---------------
To activate your account, open the program 'Nessus Server Manager'
located under C:\Program Files\Tenable\Nessus\ and enter your
activation code in the program.
Linux and Solaris Users :
--------------------------
To activate your account, simply execute the following command :
/opt/nessus/bin/nessus-fetch --register 7ED6-B557-4D80-43D8-9B66
Mac OS X Users :
----------------
To activate your account, open the program 'Nessus Server Manager'
located under /Applications/Nessus/ and enter your activation
code in the program.
FreeBSD Users :
---------------
To activate your account, simply execute the following command :
/usr/local/nessus/bin/nessus-fetch --register 7ED6-B557-4D80-43D8-9B66
If you are offline :
--------------------
If your Nessus installation can not reach the internet directly,
you can use your activation code at the following URL :
http://plugins.nessus.org/offline.php
Note that Nessus 3 and Nessus 4 will update their plugins by automatically
every 24 hours. If you do not want such an update to occur, simply edit
nessusd.conf and set 'auto_update' to 'no'.
Note that you can only use your activation code once.
If for some reason you uninstall your Nessus installation entirely
and decide to re-install it later on, you will need to register a second
time.
If you need help :
------------------
If you have any question, feel free to request help on the Nessus
discussion forum at https://discussions.nessus.org/
Security Information Videos
--------------------------------
Tenable offers a wide variety of free videos that demonstrate
Nessus usage, configuration auditing, passive network monitoring,
log analysis and many other security and compliance topics. To
watch these videos, please visit:
http://www.nessus.org/demos/index.php?view=demo_vid
Tenable Product Information
---------------------------
Tenable offers a variety of products that unify security and compliance
monitoring to minimize the operational costs of log analysis,
configuration auditing, patch auditing and network monitoring. For more
information, please visit our solutions page at:
http://www.nessus.org/solutions/
