1、典型風險評估案例結果分析,賈 穎 禾 國務院信息化工作辦公室 網(wǎng)絡與信息安全組 2004年6月11日,典型風險評估案例結果分析源自1996年美國國會總審計署（GAO）的報告的研究,（GAO） 對國防部的計算機攻擊帶來不斷增加的風險 （Computer Attacks at Department of Defense Pose Increasing Risks）,目的,匿名的和未授權的用戶正在不斷的攻擊和非法訪問國防部計算機系統(tǒng)的敏感信息，給國家安全帶來了很大威脅。 在這種情況下，GAO被邀請對國防信息網(wǎng)絡進行風險評估，以便確定哪些國防系統(tǒng)正在遭受攻擊、信息系統(tǒng)受到損害的可能性以及國防系統(tǒng)保護敏

2、感信息所面臨的挑戰(zhàn)。,第一部分：典型個案,羅馬實驗室攻擊案例,羅馬實驗室（Rome Laboratory, New York）位于美國紐約州，是美國空軍的一個重要的軍事設施。研究項目包括：戰(zhàn)術模擬系統(tǒng)、雷達引導系統(tǒng)、目標探測和跟蹤系統(tǒng)等等。該實驗室在互聯(lián)網(wǎng)上與多家國防研究單位互聯(lián)。,在1994年3月至4月間，兩個黑客（一個英國黑客、一個不明國籍）對該實驗室進行了多達150次的攻擊。 他們使用了木馬程序和嗅探器（sniffer）來訪問并控制羅馬實驗室的網(wǎng)絡。另外，他們采取了一定的措施使得他們很難被反跟蹤。 他們沒有直接訪問羅馬實驗室，而是首先撥號到南美（智利和哥倫比亞），然后在通過東海岸的商業(yè)I

3、nternet站點，連接到羅馬實驗室。,攻擊者控制羅馬實驗室的支持信息系統(tǒng)許多天，并且建立了同外部Internet的連接。在這期間，他們拷貝并下載了許多機密的數(shù)據(jù)，包括象國防任務指令系統(tǒng)的數(shù)據(jù)。 通過偽裝成羅馬實驗室的合法用戶，他們同時成功的連接到了其他重要的政府網(wǎng)絡，并實施了成功的攻擊。包括（National Aeronautics and Space administrations(NASA) Goddard Space Flight Center，Wright-Patterson Air Force Base，some Defense contractors， and other pri

4、vate sector organizations）,美國空軍信息中心（Air Force Information Warfare Center (AFIWC)）估計這次攻擊使得政府為這次事件花費了$500,000。這包括將網(wǎng)絡隔離、驗證系統(tǒng)的完整性、安全安全補丁、恢復系統(tǒng)以及調(diào)查費用等等。 從計算機系統(tǒng)中丟失的及其有價值的數(shù)據(jù)的損失是無法估量的。比如：羅馬實驗室用了3年的時間，花費了400萬美圓進行的空軍指令性研究項目，已經(jīng)無法實施。,其它的攻擊案例一,1995年到1996年，一個攻擊者從亞立桑那州利用互聯(lián)網(wǎng)訪問了一個美國大學的計算機系統(tǒng)，以它為跳板，進入了美國海軍研究實驗室、NASA、Lo

5、s Alamos國家實驗室的網(wǎng)絡中。這些網(wǎng)絡中存儲了大量絕密信息，比如：飛機設計、雷達技術、衛(wèi)星技術、武器和作戰(zhàn)控制系統(tǒng)等等。海軍根本沒有辦法確定那次攻擊造成多么巨大的損失。,案例二,在1990年四月到1991年三月之間，荷蘭的黑客滲透進了34個國防計算機系統(tǒng)。他對系統(tǒng)進行修改，從而獲得了更高的訪問權限。他讀取郵件，搜索敏感的關鍵字，比如象核設施、武器、導彈等等，并且下載了很多軍事數(shù)據(jù)。 攻擊完成后，他修改系統(tǒng)的日志以避免被探測到。,第二部分 現(xiàn)實,1.國防部的計算環(huán)境,國防部有200個指揮中心、16個信息處理中心，2百萬個用戶，210萬臺計算機，10，000個網(wǎng)絡。 最高機密信息相對而言比較

6、安全，有如下幾個個方面因素： 保存在物理隔離的網(wǎng)絡中（邊界） 經(jīng)過機密處理（信息保護） 只在安全的路經(jīng)中傳輸（傳輸） （美國國家通信系統(tǒng)的要求：第一等的用戶，第一時間， 第一個知道，第一個搞清楚，第一個行動）,2. 黑客的攻擊手段,黑客的攻擊手段多種多樣，比較典型的是sendmail攻擊、口令攻擊、數(shù)據(jù)竊聽等等。 黑客在進攻計算機系統(tǒng)時，通常使用多種技術或工具并利用系統(tǒng)的漏洞在網(wǎng)絡上進行。,3. 攻擊行為的數(shù)量迅速增長,DISA估計去年國防網(wǎng)絡遭受了250,000次攻擊。被發(fā)現(xiàn)的攻擊行為非常少，因此很難統(tǒng)計確切數(shù)字。許多機構只發(fā)現(xiàn)了少量的攻擊，在已經(jīng)發(fā)現(xiàn)的這些少量的攻擊行為中，被報告的攻擊行為

7、又只占非常少的比例。這個估計的數(shù)字建立在DISA的漏洞分析和評估的基礎上。為了進行評估，DISA的人員從互聯(lián)網(wǎng)上發(fā)動攻擊。從1992年來，DISA發(fā)動了38,000次攻擊活動，用以檢測網(wǎng)絡的受保護情況。 （如下圖所示）,DISA對美軍網(wǎng)絡實施的38000次滲透性攻擊測試，24700次即65的攻擊行為取得了成功。在這些成功的攻擊中，只有988即4被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中，只有267次即27被報告給了DISA。也就是說，只有不到1/150的攻擊事件被報告。,DISA也維護了官方報道的有關攻擊行為的數(shù)據(jù)。下圖顯示了相關情況：,第三部分重要結論,一. 評估結果簡述,結論：針對國防計算機系統(tǒng)的攻擊是

8、非常嚴重的，國防系統(tǒng)面臨的威脅在不斷的加重。 1.攻擊行為的確切數(shù)字很難統(tǒng)計，因為只有非常小一部分被探測到并且被報告出來。然而DISA（Defense Information Systems Agency）的數(shù)據(jù)顯示，國防系統(tǒng)去年一年遭受了250，000的攻擊行為，其中有65的攻擊取得了成功。每年的攻擊行為都以兩倍的速度在遞增。,2. 攻擊行為的花費非常小，但是給國防系統(tǒng)帶來的威脅卻非常大。攻擊者已經(jīng)控制了許多國防信息系統(tǒng)，其中有些系統(tǒng)非常敏感，比如：武器研發(fā)、財政等等。攻擊者也經(jīng)常偷竊、修改、破壞重要的數(shù)據(jù)和軟件。 在著名的“羅馬實驗室”案例中，兩個黑客控制了實驗室的支持系統(tǒng)，并同外部的In

9、ternet站點建立了連接，偷走了許多重要的數(shù)據(jù)。,3. 盡管正在采取措施來解決日益嚴重的威脅，但是在限制進入計算機的非法訪問時，面臨巨大的挑戰(zhàn)。目前，在風險評估、保護系統(tǒng)、緊急響應、評估損害程度等方面還沒有統(tǒng)一的策略。,二. 重要發(fā)現(xiàn),計算機攻擊行為正在迅速增長 為了保護信息系統(tǒng)，國防部不得不保護巨大的信息基礎設施：210萬臺計算機、10，000個局域網(wǎng)、100多個廣域網(wǎng)。 各個國防系統(tǒng)都在越來越依賴計算機系統(tǒng)，特別是在武器設計、敵對目標識別、發(fā)放薪水、管理后勤等領域。 為了加強通信和信息共享，許多國防網(wǎng)絡連接到了互聯(lián)網(wǎng)上，這使得他們非常容易受到威脅。,2. 攻擊行為造成了嚴重破壞 DISA

10、估計國防網(wǎng)絡去年受到了250,000次的攻擊。然而，確切的數(shù)字難以統(tǒng)計，因為只有1/150的攻擊行為被發(fā)現(xiàn)和報告。另外，在測試信息系統(tǒng)時，DISA有65的攻擊行為取得了成功。 攻擊行為給國防系統(tǒng)帶來的財政負擔是巨大的。1994年的“羅馬實驗室”事件使國防部花費了500,000$，用于評估對信息系統(tǒng)的損壞程度、修補漏洞、識別黑客等。,3. 對國家安全的潛在威脅 對國防系統(tǒng)的的入侵會嚴重的損害國家安全。計算機網(wǎng)絡與互聯(lián)網(wǎng)系統(tǒng)相連，使得我們的敵人只使用簡單的裝備和較低的代價就能夠取得非常大的回報。結果，越來越多的恐怖分子和敵對分子威脅國家的安全。 NSA已經(jīng)知道潛在的對手以及開發(fā)了針對國防信息系統(tǒng)進

11、行攻擊的知識庫。根據(jù)國防部的官員透露，這些方法包括計算機病毒、自動攻擊程序等都可以讓攻擊者在世界的任何地方發(fā)動攻擊。世界上有120個國家都在對攻擊技術進行研究,反擊攻擊行為面臨的挑戰(zhàn) 隨著互聯(lián)網(wǎng)應用的不斷普及，攻擊技術的不斷發(fā)展、攻擊工具和方法的不斷進化，防止計算機系統(tǒng)的非法訪問越來越困難。 國防系統(tǒng)正在采取措施來加強信息系統(tǒng)的安全以防止攻擊事件，但是需要更多的資源以及管理上的認可。目前的許多對計算機攻擊行為的防御策略已經(jīng)過時或沒有效果。許多國防策略都是在計算機系統(tǒng)隔離的時代制定的，已經(jīng)不適應當前的形勢。,三. 建議,為了建立起有效信息系統(tǒng)安全流程，必須有足夠的資源、管理層的認可、以及充分的優(yōu)

12、先權。尤其是下列因素： 改善安全政策和流程 增加用戶的意識以及責任 保證網(wǎng)絡安全人員有足夠的時間和訓練 開發(fā)更有效的技術性保護和監(jiān)視程序 評估國防緊急響應能力,后續(xù)影響,1996年5月20日GAO的報告發(fā)表 1996年7月15日克林頓發(fā)布13010號總統(tǒng)行政令，成立由總統(tǒng)牽頭、十個部長參加的關鍵基礎設施保護委員會。 1998年至2001年10月克林頓和布什兩屆政府連續(xù)發(fā)布四個總統(tǒng)令（PDD63等） ，鞏固和加強頂層協(xié)調(diào)。 2000年1月公布“保護網(wǎng)絡空間國家計劃”。 2003年3月公布“保護網(wǎng)絡空間國家戰(zhàn)略”,2001和2002財年的聯(lián)邦政府信息安全管理報告，將最重要的24個部門的信息安全的風

13、險評估狀況，作為信息安全考核的6個指標之一，放在第一的位置。 2003財年的聯(lián)邦政府信息安全管理報告，又將考核的范圍擴大了50個獨立總局，并將風險評估基礎上的認證認可作為一項新考核指標。 1998年開始美國政府出資（特別是2002年以后） ，由制訂相關指導性文件和標準，推動風險評估和風險管理工作的開展，這一過程還在發(fā)展中。,風險評估亟待探討和解決的幾個問題,賈 穎 禾 國務院信息化工作辦公室 網(wǎng)絡與信息安全組 2004年6月11日,1、定義問題：信息系統(tǒng)安全風險評估的概念 信息系統(tǒng)的安全風險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。 信息安全風險評估，

14、則是指依據(jù)有關信息安全技術標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。 信息安全是一個動態(tài)的復雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結進行的破壞以及自然危害。必須按照風險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風險評估的結果為信息系統(tǒng)選擇適當?shù)陌踩胧?，妥善應對可能發(fā)生的風險。,人們的認識能力和實踐能力

15、是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為或自然的威脅，存在安全風險也是必然的。信息安全建設的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風險，使殘余風險降低到可接受的程度。 因為任何信息系統(tǒng)都會有安全風險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在的殘余風險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，就必須運用風險評估的思想和規(guī)范，對信息系統(tǒng)開展風險評估。,2、作用問題：風險評估是分析確定風險的過

16、程 任何系統(tǒng)的安全性都可以通過風險的大小來衡量?？茖W分析系統(tǒng)的安全風險，綜合平衡風險和代價的過程就是風險評估。風險評估不是某個系統(tǒng)（包括信息系統(tǒng)）所特有的。在日常生活和工作中，風險評估也是隨處可見，為了分析確定系統(tǒng)風險及風險大小，進而決定采取什么措施去減少、避免風險，把殘余風險控制在可以容忍的范圍內(nèi)。人們經(jīng)常會提出這樣一些問題：什么地方、什么時間可能出問題？出問題的可能性有多大？這些問題的后果是什么？應該采取什么樣的措施加以避免和彌補？并總是試圖找出最合理的答案。這一過程實際上就是風險評估。早在上個世紀初期，科學家就已開始研究風險管理理論。,3、戰(zhàn)略和策略問題：信息安全風險評估是信息安全建設的

17、起點和基礎 信息安全風險評估是風險評估理論和方法在信息系統(tǒng)中的運用，是科學分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險，并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散等之間作出決擇的過程。所有信息安全建設都應該是基于信息安全風險評估，只有在正確地、全面地理解風險后，才能在控制風險、減少風險之間作出正確的判斷，決定調(diào)動多少資源、以什么的代價、采取什么樣的應對措施去化解、控制風險。,4、操作和運行問題：信息安全風險評估是需求主導和突出重點原則的具體體現(xiàn) 如果說信息安全建設必須從實際出發(fā)，堅持需求主導、突出重點，則風險評估（需求分析）就是這一原則在實際工作中的重要

18、體現(xiàn)。從理論上講不存在絕對的安全，風險總是客觀存在的。安全是安全風險與安全建設管理代價的綜合平衡。不計成本、片面地追求絕對安全、試圖消滅風險或完全避免風險是不現(xiàn)實的，也不是需求主導原則所要求的。堅持從實際出發(fā)，堅持需求主導、突出重點，就必須科學地評估風險，有效控制風險。,5、借鑒國外經(jīng)驗問題：重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗 由于信息技術的飛速發(fā)展，關系國計民生的關鍵信息基礎設施的規(guī)模越來越大，同時也極大地增加了復雜程度，發(fā)達國家越來越重視信息安全風險評估工作，提倡風險評估制度化。上個世紀70年代，美國政府就發(fā)布了自動化數(shù)據(jù)處理風險評估指南。其后頒布的關于信息安全基本政策文件聯(lián)邦信息

19、資源安全明確提出了信息安全風險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風險，根據(jù)信息丟失、濫用、泄露、未授權訪問等造成損失的大小，制訂、實施信息安全計劃，以保證信息和信息系統(tǒng)應有的安全。有些國家和國際組織還十分重視階段性的再評估工作，以求得信息安全措施可以持續(xù)地適應信息安全形勢的變化和發(fā)展。,6、責任、角色和管理問題：信息安全風險評估的組織者是信息系統(tǒng)的主管部門和運營單位 風險評估作為信息安全保障的一項基礎性工作，其評估的結果是領導層進行決策的重要依據(jù)；且由于在評估過程中不可避免地涉及評估對象大量的內(nèi)部、敏感甚至機密信息，對評估的時間、對象、范圍、方式、評估人員、評估結果發(fā)布等都

20、應該由領導層決定。各信息系統(tǒng)的主管部門和運營單位對此負有組織領導的責任。國家要求各部門各單位重視信息安全風險評估工作，制定政策、法規(guī)、標準，組織研發(fā)，并采取適當形式進行督促。國家的信息安全風險綜合評估由各部門協(xié)調(diào)合作承擔。 自我評估應該成為信息安全風險評估的主要形式。信息安全建設是一個自我完善和自我提高的過程。管理能力，保護能力，事件發(fā)現(xiàn)和處置能力等諸多信息安全關鍵能力的提高，往往需要在所管轄的范圍內(nèi)，根據(jù)自身的實際情況，進行自我評估，層層落實責任。風險評估應作為一項經(jīng)常性工作，同本單位的工作總結、安全檢查等結合起來。,7、信息使用問題：信息安全風險評估工作的協(xié)調(diào)合作與信息交流 隨著互聯(lián)互通的發(fā)展，信息系統(tǒng)相互依賴性的增加，信息安全的相互共同責任越來越大，因此，風險評估有關的信息交流共享是必需的，這是互聯(lián)互通的參與者相互負責任的體現(xiàn)，也是搞好安全防范工作的重要的前提之一，符合所有參與者的共同利