典型風(fēng)險評估案例結(jié)果分析

典型風(fēng)險評估案例結(jié)果分析

賈穎禾國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息平安組2024年6月11日典型風(fēng)險評估案例結(jié)果分析

源自1996年美國國會總審計署〔GAO〕的報告的研究〔GAO〕對國防部的計算機攻擊帶來不斷增加的風(fēng)險〔ComputerAttacksatDepartmentofDefensePoseIncreasingRisks〕目的 匿名的和未授權(quán)的用戶正在不斷的攻擊和非法訪問國防部計算機系統(tǒng)的敏感信息，給國家平安帶來了很大威脅。 在這種情況下，GAO被邀請對國防信息網(wǎng)絡(luò)進(jìn)行風(fēng)險評估，以便確定哪些國防系統(tǒng)正在遭受攻擊、信息系統(tǒng)受到損害的可能性以及國防系統(tǒng)保護(hù)敏感信息所面臨的挑戰(zhàn)。第一局部：典型個案羅馬實驗室攻擊案例羅馬實驗室〔RomeLaboratory,NewYork〕位于美國紐約州，是美國空軍的一個重要的軍事設(shè)施。研究工程包括：戰(zhàn)術(shù)模擬系統(tǒng)、雷達(dá)引導(dǎo)系統(tǒng)、目標(biāo)探測和跟蹤系統(tǒng)等等。該實驗室在互聯(lián)網(wǎng)上與多家國防研究單位互聯(lián)。在1994年3月至4月間，兩個黑客〔一個英國黑客、一個不明國籍〕對該實驗室進(jìn)行了多達(dá)150次的攻擊。他們使用了木馬程序和嗅探器〔sniffer〕來訪問并控制羅馬實驗室的網(wǎng)絡(luò)。另外，他們采取了一定的措施使得他們很難被反跟蹤。他們沒有直接訪問羅馬實驗室，而是首先撥號到南美〔智利和哥倫比亞〕，然后在通過東海岸的商業(yè)Internet站點，連接到羅馬實驗室。攻擊者控制羅馬實驗室的支持信息系統(tǒng)許多天，并且建立了同外部Internet的連接。在這期間，他們拷貝并下載了許多機密的數(shù)據(jù)，包括象國防任務(wù)指令系統(tǒng)的數(shù)據(jù)。通過偽裝成羅馬實驗室的合法用戶，他們同時成功的連接到了其他重要的政府網(wǎng)絡(luò)，并實施了成功的攻擊。包括〔NationalAeronauticsandSpaceadministration’s(NASA)GoddardSpaceFlightCenter，Wright-PattersonAirForceBase，someDefensecontractors，andotherprivatesectororganizations〕美國空軍信息中心〔AirForceInformationWarfareCenter(AFIWC)〕估計這次攻擊使得政府為這次事件花費了$500,000。這包括將網(wǎng)絡(luò)隔離、驗證系統(tǒng)的完整性、平安平安補丁、恢復(fù)系統(tǒng)以及調(diào)查費用等等。從計算機系統(tǒng)中喪失的及其有價值的數(shù)據(jù)的損失是無法估量的。比方：羅馬實驗室用了3年的時間，花費了400萬美圓進(jìn)行的空軍指令性研究工程，已經(jīng)無法實施。其它的攻擊案例一1995年到1996年，一個攻擊者從亞立桑那州利用互聯(lián)網(wǎng)訪問了一個美國大學(xué)的計算機系統(tǒng)，以它為跳板，進(jìn)入了美國海軍研究實驗室、NASA、LosAlamos國家實驗室的網(wǎng)絡(luò)中。這些網(wǎng)絡(luò)中存儲了大量絕密信息，比方：飛機設(shè)計、雷達(dá)技術(shù)、衛(wèi)星技術(shù)、武器和作戰(zhàn)控制系統(tǒng)等等。海軍根本沒有方法確定那次攻擊造成多么巨大的損失。案例二在1990年四月到1991年三月之間，荷蘭的黑客滲透進(jìn)了34個國防計算機系統(tǒng)。他對系統(tǒng)進(jìn)行修改，從而獲得了更高的訪問權(quán)限。他讀取郵件，搜索敏感的關(guān)鍵字，比方象核設(shè)施、武器、導(dǎo)彈等等，并且下載了很多軍事數(shù)據(jù)。攻擊完成后，他修改系統(tǒng)的日志以防止被探測到。第二局部現(xiàn)實1.國防部的計算環(huán)境國防部有200個指揮中心、16個信息處理中心，2百萬個用戶，210萬臺計算機，10，000個網(wǎng)絡(luò)。最高機密信息相對而言比較平安，有如下幾個個方面因素：保存在物理隔離的網(wǎng)絡(luò)中〔邊界〕經(jīng)過機密處理〔信息保護(hù)〕只在平安的路經(jīng)中傳輸〔傳輸〕〔美國國家通信系統(tǒng)的要求：第一等的用戶，第一時間，第一個知道，第一個搞清楚，第一個行動〕2.黑客的攻擊手段黑客的攻擊手段多種多樣，比較典型的是sendmail攻擊、口令攻擊、數(shù)據(jù)竊聽等等。黑客在進(jìn)攻計算機系統(tǒng)時，通常使用多種技術(shù)或工具并利用系統(tǒng)的漏洞在網(wǎng)絡(luò)上進(jìn)行。3.攻擊行為的數(shù)量迅速增長DISA估計去年國防網(wǎng)絡(luò)遭受了250,000次攻擊。被發(fā)現(xiàn)的攻擊行為非常少，因此很難統(tǒng)計確切數(shù)字。許多機構(gòu)只發(fā)現(xiàn)了少量的攻擊，在已經(jīng)發(fā)現(xiàn)的這些少量的攻擊行為中，被報告的攻擊行為又只占非常少的比例。這個估計的數(shù)字建立在DISA的漏洞分析和評估的根底上。為了進(jìn)行評估，DISA的人員從互聯(lián)網(wǎng)上發(fā)動攻擊。從1992年來，DISA發(fā)動了38,000次攻擊活動，用以檢測網(wǎng)絡(luò)的受保護(hù)情況。〔如以以下圖所示〕DISA對美軍網(wǎng)絡(luò)實施的38000次滲透性攻擊測試，24700次即65％的攻擊行為取得了成功。在這些成功的攻擊中，只有988即4％被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中，只有267次即27％被報告給了DISA。也就是說，只有不到1/150的攻擊事件被報告。DISA也維護(hù)了官方報道的有關(guān)攻擊行為的數(shù)據(jù)。以以下圖顯示了相關(guān)情況：第三局部 重要結(jié)論一.評估結(jié)果簡述結(jié)論：針對國防計算機系統(tǒng)的攻擊是非常嚴(yán)重的，國防系統(tǒng)面臨的威脅在不斷的加重。 1. 攻擊行為確實切數(shù)字很難統(tǒng)計，因為只有非常小一局部被探測到并且被報告出來。然而DISA〔DefenseInformationSystemsAgency〕的數(shù)據(jù)顯示，國防系統(tǒng)去年一年遭受了250，000的攻擊行為，其中有65％的攻擊取得了成功。每年的攻擊行為都以兩倍的速度在遞增。2.攻擊行為的花費非常小，但是給國防系統(tǒng)帶來的威脅卻非常大。攻擊者已經(jīng)控制了許多國防信息系統(tǒng)，其中有些系統(tǒng)非常敏感，比方：武器研發(fā)、財政等等。攻擊者也經(jīng)常偷竊、修改、破壞重要的數(shù)據(jù)和軟件。 在著名的“羅馬實驗室〞案例中，兩個黑客控制了實驗室的支持系統(tǒng)，并同外部的Internet站點建立了連接，偷走了許多重要的數(shù)據(jù)。3.盡管正在采取措施來解決日益嚴(yán)重的威脅，但是在限制進(jìn)入計算機的非法訪問時，面臨巨大的挑戰(zhàn)。目前，在風(fēng)險評估、保護(hù)系統(tǒng)、緊急響應(yīng)、評估損害程度等方面還沒有統(tǒng)一的策略。二.重要發(fā)現(xiàn)計算機攻擊行為正在迅速增長 為了保護(hù)信息系統(tǒng)，國防部不得不保護(hù)巨大的信息根底設(shè)施：210萬臺計算機、10，000個局域網(wǎng)、100多個廣域網(wǎng)。 各個國防系統(tǒng)都在越來越依賴計算機系統(tǒng)，特別是在武器設(shè)計、敵對目標(biāo)識別、發(fā)放薪水、管理后勤等領(lǐng)域。 為了加強通信和信息共享，許多國防網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)上，這使得他們非常容易受到威脅。2.攻擊行為造成了嚴(yán)重破壞 DISA估計國防網(wǎng)絡(luò)去年受到了250,000次的攻擊。然而，確切的數(shù)字難以統(tǒng)計，因為只有1/150的攻擊行為被發(fā)現(xiàn)和報告。另外，在測試信息系統(tǒng)時，DISA有65％的攻擊行為取得了成功。 攻擊行為給國防系統(tǒng)帶來的財政負(fù)擔(dān)是巨大的。1994年的“羅馬實驗室〞事件使國防部花費了500,000$，用于評估對信息系統(tǒng)的損壞程度、修補漏洞、識別黑客等。3.對國家平安的潛在威脅 對國防系統(tǒng)的的入侵會嚴(yán)重的損害國家平安。計算機網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)相連，使得我們的敵人只使用簡單的裝備和較低的代價就能夠取得非常大的回報。結(jié)果，越來越多的恐怖分子和敵對分子威脅國家的平安。 NSA已經(jīng)知道潛在的對手以及開發(fā)了針對國防信息系統(tǒng)進(jìn)行攻擊的知識庫。根據(jù)國防部的官員透露，這些方法包括計算機病毒、自動攻擊程序等都可以讓攻擊者在世界的任何地方發(fā)動攻擊。世界上有120個國家都在對攻擊技術(shù)進(jìn)行研究還擊攻擊行為面臨的挑戰(zhàn) 隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及，攻擊技術(shù)的不斷開展、攻擊工具和方法的不斷進(jìn)化，防止計算機系統(tǒng)的非法訪問越來越困難。 國防系統(tǒng)正在采取措施來加強信息系統(tǒng)的平安以防止攻擊事件，但是需要更多的資源以及管理上的認(rèn)可。目前的許多對計算機攻擊行為的防御策略已經(jīng)過時或沒有效果。許多國防策略都是在計算機系統(tǒng)隔離的時代制定的，已經(jīng)不適應(yīng)當(dāng)前的形勢。三.建議 為了建立起有效信息系統(tǒng)平安流程，必須有足夠的資源、管理層的認(rèn)可、以及充分的優(yōu)先權(quán)。尤其是以下因素：改善平安政策和流程增加用戶的意識以及責(zé)任保證網(wǎng)絡(luò)平安人員有足夠的時間和訓(xùn)練開發(fā)更有效的技術(shù)性保護(hù)和監(jiān)視程序評估國防緊急響應(yīng)能力 后續(xù)影響1996年5月20日GAO的報揭發(fā)表1996年7月15日克林頓發(fā)布13010號總統(tǒng)行政令，成立由總統(tǒng)牽頭、十個部長參加的關(guān)鍵根底設(shè)施保護(hù)委員會。1998年至2001年10月克林頓和布什兩屆政府連續(xù)發(fā)布四個總統(tǒng)令〔PDD63等〕，穩(wěn)固和加強頂層協(xié)調(diào)。2000年1月公布“保護(hù)網(wǎng)絡(luò)空間國家方案〞。2024年3月公布“保護(hù)網(wǎng)絡(luò)空間國家戰(zhàn)略〞2001和2024財年的聯(lián)邦政府信息平安管理報告，將最重要的24個部門的信息平安的風(fēng)險評估狀況，作為信息平安考核的6個指標(biāo)之一，放在第一的位置。2024財年的聯(lián)邦政府信息平安管理報告，又將考核的范圍擴大了50個獨立總局，并將風(fēng)險評估根底上的認(rèn)證認(rèn)可作為一項新考核指標(biāo)。1998年開始美國政府出資〔特別是2024年以后〕，由ＮＩＳＴ制訂相關(guān)指導(dǎo)性文件和標(biāo)準(zhǔn)，推動風(fēng)險評估和風(fēng)險管理工作的開展，這一過程還在開展中。風(fēng)險評估亟待探討和解決的幾個問題

賈穎禾國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息平安組2024年6月11日1、定義問題：信息系統(tǒng)平安風(fēng)險評估的概念信息系統(tǒng)的平安風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致平安事件發(fā)生的可能性及其造成的影響。信息平安風(fēng)險評估，那么是指依據(jù)有關(guān)信息平安技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進(jìn)行科學(xué)評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響，并根據(jù)平安事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的平安風(fēng)險。信息平安是一個動態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息平安的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險管理的思想，對可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)钠桨泊胧?，妥善?yīng)對可能發(fā)生的風(fēng)險。人們的認(rèn)識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可防止的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為或自然的威脅，存在平安風(fēng)險也是必然的。信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過平安措施來控制風(fēng)險，使剩余風(fēng)險降低到可接受的程度。因為任何信息系統(tǒng)都會有平安風(fēng)險，所以，人們追求的所謂平安的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出風(fēng)險控制后，仍然存在的剩余風(fēng)險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的平安，就不能脫離全面、完整的信息系統(tǒng)的平安評估，就必須運用風(fēng)險評估的思想和標(biāo)準(zhǔn)，對信息系統(tǒng)開展風(fēng)險評估。2、作用問題：風(fēng)險評估是分析確定風(fēng)險的過程任何系統(tǒng)的平安性都可以通過風(fēng)險的大小來衡量。科學(xué)分析系統(tǒng)的平安風(fēng)險，綜合平衡風(fēng)險和代價的過程就是風(fēng)險評估。風(fēng)險評估不是某個系統(tǒng)〔包括信息系統(tǒng)〕所特有的。在日常生活和工作中，風(fēng)險評估也是隨處可見，為了分析確定系統(tǒng)風(fēng)險及風(fēng)險大小，進(jìn)而決定采取什么措施去減少、防止風(fēng)險，把剩余風(fēng)險控制在可以容忍的范圍內(nèi)。人們經(jīng)常會提出這樣一些問題：什么地方、什么時間可能出問題？出問題的可能性有多大？這些問題的后果是什么？應(yīng)該采取什么樣的措施加以防止和彌補？并總是試圖找出最合理的答案。這一過程實際上就是風(fēng)險評估。早在上個世紀(jì)初期，科學(xué)家就已開始研究風(fēng)險管理理論。3、戰(zhàn)略和策略問題：信息平安風(fēng)險評估是信息平安建設(shè)的起點和根底信息平安風(fēng)險評估是風(fēng)險評估理論和方法在信息系統(tǒng)中的運用，是科學(xué)分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、風(fēng)險的控制、風(fēng)險的轉(zhuǎn)移、風(fēng)險的補償、風(fēng)險的分散等之間作出決擇的過程。所有信息平安建設(shè)都應(yīng)該是基于信息平安風(fēng)險評估，只有在正確地、全面地理解風(fēng)險后，才能在控制風(fēng)險、減少風(fēng)險之間作出正確的判斷，決定調(diào)動多少資源、以什么的代價、采取什么樣的應(yīng)對措施去化解、控制風(fēng)險。4、操作和運行問題：信息平安風(fēng)險評估是需求主導(dǎo)和突出重點原那么的具體表達(dá)如果說信息平安建設(shè)必須從實際出發(fā)，堅持需求主導(dǎo)、突出重點，那么風(fēng)險評估〔需求分析〕就是這一原那么在實際工作中的重要表達(dá)。從理論上講不存在絕對的平安，風(fēng)險總是客觀存在的。平安是平安風(fēng)險與平安建設(shè)管理代價的綜合平衡。不計本錢、片面地追求絕對平安、試圖消滅風(fēng)險或完全防止風(fēng)險是不現(xiàn)實的，也不是需求主導(dǎo)原那么所要求的。堅持從實際出發(fā)，堅持需求主導(dǎo)、突出重點，就必須科學(xué)地評估風(fēng)險，有效控制風(fēng)險。5、借鑒國外經(jīng)驗問題：重視風(fēng)險評估是信息化比較興旺國家的根本經(jīng)驗由于信息技術(shù)的飛速開展，關(guān)系國計民生的關(guān)鍵信息根底設(shè)施的規(guī)模越來越大，同時也極大地增加了復(fù)雜程度，興旺國家越來越重視信息平安風(fēng)險評估工作，提倡風(fēng)險評估制度化。上個世紀(jì)70年代，美國政府就發(fā)布了?自動化數(shù)據(jù)處理風(fēng)險評估指南?。其后公布的關(guān)于信息平安根本政策文件?聯(lián)邦信息資源平安?明確提出了信息平安風(fēng)險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險，根據(jù)信息喪失、濫用、泄露、未授權(quán)訪問等造成損失的大小，制訂、實施信息平安方案，以保證信息和信息系統(tǒng)應(yīng)有的平安。有些國家和國際組織還十分重視階段性的再評估工作，以求得信息平安措施可以持續(xù)地適應(yīng)信息平安形勢的變化和開展。6、責(zé)任、角色和管理問題：信息平安風(fēng)險評估的組織者是信息系統(tǒng)的主管部門和運營單位風(fēng)險評估作為信息平安保障的一項根底性工作，其評估的結(jié)果是領(lǐng)導(dǎo)層進(jìn)行決策的重要依據(jù)；且由于在評估過程中不可防止地涉及評估對象大量的內(nèi)部、敏感甚至機密信息，對評估的時間、對象、范圍、方式、評估人員、評估結(jié)果發(fā)布等都應(yīng)該由領(lǐng)導(dǎo)層決定。各信息系統(tǒng)的主管部門和運營單位對此負(fù)有組織領(lǐng)導(dǎo)的責(zé)任。國家要求各部門各單位重視信息平安風(fēng)險評估工作，制定政策、法規(guī)、標(biāo)準(zhǔn)，組織研發(fā)，并采取適當(dāng)形式進(jìn)行催促。國家的信息平安風(fēng)險綜合評估由各部門協(xié)調(diào)合作承擔(dān)。自我評估應(yīng)該成為信息平安風(fēng)險評估的主要形式。信息平安建設(shè)是一個自我完善和自我提高的過程。管理能力，保護(hù)能力，事件發(fā)現(xiàn)和處置能力等諸多信息平安關(guān)鍵能力的提高，往往需要在所管轄的范圍內(nèi)，根據(jù)自身的實際情況，進(jìn)行自我評估，層層落實責(zé)任。風(fēng)險評估應(yīng)作為一項經(jīng)常性工作，同本單位的工作總結(jié)、平安檢查等結(jié)合起來。7、信息使用問題：信息平安風(fēng)險評估工作的協(xié)調(diào)合作與信息交流隨著互聯(lián)互通的開展，信息系統(tǒng)相互依賴性的增加，信息平安的相互共同責(zé)任越來越大，因此，風(fēng)險評估有關(guān)的信息交流共享是必需的，這是互聯(lián)互通的參與者相互負(fù)責(zé)任的表達(dá)，也是搞好平安防范工作的重要的前提之一，符合所