信息安全-典型風(fēng)險評估案例結(jié)果分析

典型風(fēng)險評估案例結(jié)果分析

賈穎禾國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組2004年6月11日典型風(fēng)險評估案例結(jié)果分析

源自1996年美國國會總審計署（GAO）的報告的研究（GAO）對國防部的計算機攻擊帶來不斷增加的風(fēng)險（ComputerAttacksatDepartmentofDefensePoseIncreasingRisks）目的 匿名的和未授權(quán)的用戶正在不斷的攻擊和非法訪問國防部計算機系統(tǒng)的敏感信息，給國家安全帶來了很大威脅。 在這種情況下，GAO被邀請對國防信息網(wǎng)絡(luò)進行風(fēng)險評估，以便確定哪些國防系統(tǒng)正在遭受攻擊、信息系統(tǒng)受到損害的可能性以及國防系統(tǒng)保護敏感信息所面臨的挑戰(zhàn)。第一部分：典型個案羅馬實驗室攻擊案例羅馬實驗室（RomeLaboratory,NewYork）位于美國紐約州，是美國空軍的一個重要的軍事設(shè)施。研究項目包括：戰(zhàn)術(shù)模擬系統(tǒng)、雷達引導(dǎo)系統(tǒng)、目標(biāo)探測和跟蹤系統(tǒng)等等。該實驗室在互聯(lián)網(wǎng)上與多家國防研究單位互聯(lián)。在1994年3月至4月間，兩個黑客（一個英國黑客、一個不明國籍）對該實驗室進行了多達150次的攻擊。他們使用了木馬程序和嗅探器（sniffer）來訪問并控制羅馬實驗室的網(wǎng)絡(luò)。另外，他們采取了一定的措施使得他們很難被反跟蹤。他們沒有直接訪問羅馬實驗室，而是首先撥號到南美（智利和哥倫比亞），然后在通過東海岸的商業(yè)Internet站點，連接到羅馬實驗室。攻擊者控制羅馬實驗室的支持信息系統(tǒng)許多天，并且建立了同外部Internet的連接。在這期間，他們拷貝并下載了許多機密的數(shù)據(jù)，包括象國防任務(wù)指令系統(tǒng)的數(shù)據(jù)。通過偽裝成羅馬實驗室的合法用戶，他們同時成功的連接到了其他重要的政府網(wǎng)絡(luò)，并實施了成功的攻擊。包括（NationalAeronauticsandSpaceadministration’s(NASA)GoddardSpaceFlightCenter，Wright-PattersonAirForceBase，someDefensecontractors，andotherprivatesectororganizations）美國空軍信息中心（AirForceInformationWarfareCenter(AFIWC)）估計這次攻擊使得政府為這次事件花費了$500,000。這包括將網(wǎng)絡(luò)隔離、驗證系統(tǒng)的完整性、安全安全補丁、恢復(fù)系統(tǒng)以及調(diào)查費用等等。從計算機系統(tǒng)中丟失的及其有價值的數(shù)據(jù)的損失是無法估量的。比如：羅馬實驗室用了3年的時間，花費了400萬美圓進行的空軍指令性研究項目，已經(jīng)無法實施。其它的攻擊案例一1995年到1996年，一個攻擊者從亞立桑那州利用互聯(lián)網(wǎng)訪問了一個美國大學(xué)的計算機系統(tǒng)，以它為跳板，進入了美國海軍研究實驗室、NASA、LosAlamos國家實驗室的網(wǎng)絡(luò)中。這些網(wǎng)絡(luò)中存儲了大量絕密信息，比如：飛機設(shè)計、雷達技術(shù)、衛(wèi)星技術(shù)、武器和作戰(zhàn)控制系統(tǒng)等等。海軍根本沒有辦法確定那次攻擊造成多么巨大的損失。案例二在1990年四月到1991年三月之間，荷蘭的黑客滲透進了34個國防計算機系統(tǒng)。他對系統(tǒng)進行修改，從而獲得了更高的訪問權(quán)限。他讀取郵件，搜索敏感的關(guān)鍵字，比如象核設(shè)施、武器、導(dǎo)彈等等，并且下載了很多軍事數(shù)據(jù)。攻擊完成后，他修改系統(tǒng)的日志以避免被探測到。第二部分現(xiàn)實1.國防部的計算環(huán)境國防部有200個指揮中心、16個信息處理中心，2百萬個用戶，210萬臺計算機，10，000個網(wǎng)絡(luò)。最高機密信息相對而言比較安全，有如下幾個個方面因素：保存在物理隔離的網(wǎng)絡(luò)中（邊界）經(jīng)過機密處理（信息保護）只在安全的路經(jīng)中傳輸（傳輸）（美國國家通信系統(tǒng)的要求：第一等的用戶，第一時間，第一個知道，第一個搞清楚，第一個行動）2.黑客的攻擊手段黑客的攻擊手段多種多樣，比較典型的是sendmail攻擊、口令攻擊、數(shù)據(jù)竊聽等等。黑客在進攻計算機系統(tǒng)時，通常使用多種技術(shù)或工具并利用系統(tǒng)的漏洞在網(wǎng)絡(luò)上進行。3.攻擊行為的數(shù)量迅速增長DISA估計去年國防網(wǎng)絡(luò)遭受了250,000次攻擊。被發(fā)現(xiàn)的攻擊行為非常少，因此很難統(tǒng)計確切數(shù)字。許多機構(gòu)只發(fā)現(xiàn)了少量的攻擊，在已經(jīng)發(fā)現(xiàn)的這些少量的攻擊行為中，被報告的攻擊行為又只占非常少的比例。這個估計的數(shù)字建立在DISA的漏洞分析和評估的基礎(chǔ)上。為了進行評估，DISA的人員從互聯(lián)網(wǎng)上發(fā)動攻擊。從1992年來，DISA發(fā)動了38,000次攻擊活動，用以檢測網(wǎng)絡(luò)的受保護情況。（如下圖所示）DISA對美軍網(wǎng)絡(luò)實施的38000次滲透性攻擊測試，24700次即65％的攻擊行為取得了成功。在這些成功的攻擊中，只有988即4％被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中，只有267次即27％被報告給了DISA。也就是說，只有不到1/150的攻擊事件被報告。DISA也維護了官方報道的有關(guān)攻擊行為的數(shù)據(jù)。下圖顯示了相關(guān)情況：第三部分 重要結(jié)論一.評估結(jié)果簡述結(jié)論：針對國防計算機系統(tǒng)的攻擊是非常嚴(yán)重的，國防系統(tǒng)面臨的威脅在不斷的加重。 1. 攻擊行為的確切數(shù)字很難統(tǒng)計，因為只有非常小一部分被探測到并且被報告出來。然而DISA（DefenseInformationSystemsAgency）的數(shù)據(jù)顯示，國防系統(tǒng)去年一年遭受了250，000的攻擊行為，其中有65％的攻擊取得了成功。每年的攻擊行為都以兩倍的速度在遞增。2.攻擊行為的花費非常小，但是給國防系統(tǒng)帶來的威脅卻非常大。攻擊者已經(jīng)控制了許多國防信息系統(tǒng)，其中有些系統(tǒng)非常敏感，比如：武器研發(fā)、財政等等。攻擊者也經(jīng)常偷竊、修改、破壞重要的數(shù)據(jù)和軟件。

在著名的“羅馬實驗室”案例中，兩個黑客控制了實驗室的支持系統(tǒng)，并同外部的Internet站點建立了連接，偷走了許多重要的數(shù)據(jù)。3.盡管正在采取措施來解決日益嚴(yán)重的威脅，但是在限制進入計算機的非法訪問時，面臨巨大的挑戰(zhàn)。目前，在風(fēng)險評估、保護系統(tǒng)、緊急響應(yīng)、評估損害程度等方面還沒有統(tǒng)一的策略。二.重要發(fā)現(xiàn)計算機攻擊行為正在迅速增長 為了保護信息系統(tǒng)，國防部不得不保護巨大的信息基礎(chǔ)設(shè)施：210萬臺計算機、10，000個局域網(wǎng)、100多個廣域網(wǎng)。 各個國防系統(tǒng)都在越來越依賴計算機系統(tǒng)，特別是在武器設(shè)計、敵對目標(biāo)識別、發(fā)放薪水、管理后勤等領(lǐng)域。 為了加強通信和信息共享，許多國防網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)上，這使得他們非常容易受到威脅。2.攻擊行為造成了嚴(yán)重破壞 DISA估計國防網(wǎng)絡(luò)去年受到了250,000次的攻擊。然而，確切的數(shù)字難以統(tǒng)計，因為只有1/150的攻擊行為被發(fā)現(xiàn)和報告。另外，在測試信息系統(tǒng)時，DISA有65％的攻擊行為取得了成功。 攻擊行為給國防系統(tǒng)帶來的財政負(fù)擔(dān)是巨大的。1994年的“羅馬實驗室”事件使國防部花費了500,000$，用于評估對信息系統(tǒng)的損壞程度、修補漏洞、識別黑客等。3.對國家安全的潛在威脅 對國防系統(tǒng)的的入侵會嚴(yán)重的損害國家安全。計算機網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)相連，使得我們的敵人只使用簡單的裝備和較低的代價就能夠取得非常大的回報。結(jié)果，越來越多的恐怖分子和敵對分子威脅國家的安全。 NSA已經(jīng)知道潛在的對手以及開發(fā)了針對國防信息系統(tǒng)進行攻擊的知識庫。根據(jù)國防部的官員透露，這些方法包括計算機病毒、自動攻擊程序等都可以讓攻擊者在世界的任何地方發(fā)動攻擊。世界上有120個國家都在對攻擊技術(shù)進行研究反擊攻擊行為面臨的挑戰(zhàn) 隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及，攻擊技術(shù)的不斷發(fā)展、攻擊工具和方法的不斷進化，防止計算機系統(tǒng)的非法訪問越來越困難。 國防系統(tǒng)正在采取措施來加強信息系統(tǒng)的安全以防止攻擊事件，但是需要更多的資源以及管理上的認(rèn)可。目前的許多對計算機攻擊行為的防御策略已經(jīng)過時或沒有效果。許多國防策略都是在計算機系統(tǒng)隔離的時代制定的，已經(jīng)不適應(yīng)當(dāng)前的形勢。三.建議 為了建立起有效信息系統(tǒng)安全流程，必須有足夠的資源、管理層的認(rèn)可、以及充分的優(yōu)先權(quán)。尤其是下列因素：改善安全政策和流程增加用戶的意識以及責(zé)任保證網(wǎng)絡(luò)安全人員有足夠的時間和訓(xùn)練開發(fā)更有效的技術(shù)性保護和監(jiān)視程序評估國防緊急響應(yīng)能力 后續(xù)影響1996年5月20日GAO的報告發(fā)表1996年7月15日克林頓發(fā)布13010號總統(tǒng)行政令，成立由總統(tǒng)牽頭、十個部長參加的關(guān)鍵基礎(chǔ)設(shè)施保護委員會。1998年至2001年10月克林頓和布什兩屆政府連續(xù)發(fā)布四個總統(tǒng)令（PDD63等），鞏固和加強頂層協(xié)調(diào)。2000年1月公布“保護網(wǎng)絡(luò)空間國家計劃”。2003年3月公布“保護網(wǎng)絡(luò)空間國家戰(zhàn)略”2001和2002財年的聯(lián)邦政府信息安全管理報告，將最重要的24個部門的信息安全的風(fēng)險評估狀況，作為信息安全考核的6個指標(biāo)之一，放在第一的位置。2003財年的聯(lián)邦政府信息安全管理報告，又將考核的范圍擴大了50個獨立總局，并將風(fēng)險評估基礎(chǔ)上的認(rèn)證認(rèn)可作為一項新考核指標(biāo)。1998年開始美國政府出資（特別是2002年以后），由ＮＩＳＴ制訂相關(guān)指導(dǎo)性文件和標(biāo)準(zhǔn)，推動風(fēng)險評估和風(fēng)險管理工作的開展，這一過程還在發(fā)展中。風(fēng)險評估亟待探討和解決的幾個問題

賈穎禾國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組2004年6月11日1、定義問題：信息系統(tǒng)安全風(fēng)險評估的概念信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息安全風(fēng)險評估，則是指依據(jù)有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。信息安全是一個動態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。必須按照風(fēng)險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?，妥善?yīng)對可能發(fā)生的風(fēng)險。人們的認(rèn)識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各