《{企业风险管理}典型风险评估案例结果分析》由会员分享,可在线阅读,更多相关《{企业风险管理}典型风险评估案例结果分析(46页珍藏版)》请在金锄头文库上搜索。
1、典型风险评估案例结果分析,贾 颖 禾 国务院信息化工作办公室 网络与信息安全组 2004年6月11日,典型风险评估案例结果分析源自1996年美国国会总审计署(GAO)的报告的研究,(GAO) 对国防部的计算机攻击带来不断增加的风险 (Computer Attacks at Department of Defense Pose Increasing Risks),目的,匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息,给国家安全带来了很大威胁。 在这种情况下,GAO被邀请对国防信息网络进行风险评估,以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏
2、感信息所面临的挑战。,第一部分:典型个案,罗马实验室攻击案例,罗马实验室(Rome Laboratory, New York)位于美国纽约州,是美国空军的一个重要的军事设施。研究项目包括:战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。,在1994年3月至4月间,两个黑客(一个英国黑客、一个不明国籍)对该实验室进行了多达150次的攻击。 他们使用了木马程序和嗅探器(sniffer)来访问并控制罗马实验室的网络。另外,他们采取了一定的措施使得他们很难被反跟踪。 他们没有直接访问罗马实验室,而是首先拨号到南美(智利和哥伦比亚),然后在通过东海岸的商业I
3、nternet站点,连接到罗马实验室。,攻击者控制罗马实验室的支持信息系统许多天,并且建立了同外部Internet的连接。在这期间,他们拷贝并下载了许多机密的数据,包括象国防任务指令系统的数据。 通过伪装成罗马实验室的合法用户,他们同时成功的连接到了其他重要的政府网络,并实施了成功的攻击。包括(National Aeronautics and Space administrations(NASA) Goddard Space Flight Center,Wright-Patterson Air Force Base,some Defense contractors, and other pri
4、vate sector organizations),美国空军信息中心(Air Force Information Warfare Center (AFIWC))估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、安全安全补丁、恢复系统以及调查费用等等。 从计算机系统中丢失的及其有价值的数据的损失是无法估量的。比如:罗马实验室用了3年的时间,花费了400万美圆进行的空军指令性研究项目,已经无法实施。,其它的攻击案例一,1995年到1996年,一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统,以它为跳板,进入了美国海军研究实验室、NASA、Lo
5、s Alamos国家实验室的网络中。这些网络中存储了大量绝密信息,比如:飞机设计、雷达技术、卫星技术、武器和作战控制系统等等。海军根本没有办法确定那次攻击造成多么巨大的损失。,案例二,在1990年四月到1991年三月之间,荷兰的黑客渗透进了34个国防计算机系统。他对系统进行修改,从而获得了更高的访问权限。他读取邮件,搜索敏感的关键字,比如象核设施、武器、导弹等等,并且下载了很多军事数据。 攻击完成后,他修改系统的日志以避免被探测到。,第二部分 现实,1.国防部的计算环境,国防部有200个指挥中心、16个信息处理中心,2百万个用户,210万台计算机,10,000个网络。 最高机密信息相对而言比较
6、安全,有如下几个个方面因素: 保存在物理隔离的网络中(边界) 经过机密处理(信息保护) 只在安全的路经中传输(传输) (美国国家通信系统的要求:第一等的用户,第一时间, 第一个知道,第一个搞清楚,第一个行动),2. 黑客的攻击手段,黑客的攻击手段多种多样,比较典型的是sendmail攻击、口令攻击、数据窃听等等。 黑客在进攻计算机系统时,通常使用多种技术或工具并利用系统的漏洞在网络上进行。,3. 攻击行为的数量迅速增长,DISA估计去年国防网络遭受了250,000次攻击。被发现的攻击行为非常少,因此很难统计确切数字。许多机构只发现了少量的攻击,在已经发现的这些少量的攻击行为中,被报告的攻击行为
7、又只占非常少的比例。这个估计的数字建立在DISA的漏洞分析和评估的基础上。为了进行评估,DISA的人员从互联网上发动攻击。从1992年来,DISA发动了38,000次攻击活动,用以检测网络的受保护情况。 (如下图所示),DISA对美军网络实施的38000次渗透性攻击测试,24700次即65的攻击行为取得了成功。在这些成功的攻击中,只有988即4被发现。在被发现的攻击活动中,只有267次即27被报告给了DISA。也就是说,只有不到1/150的攻击事件被报告。,DISA也维护了官方报道的有关攻击行为的数据。下图显示了相关情况:,第三部分重要结论,一. 评估结果简述,结论:针对国防计算机系统的攻击是
8、非常严重的,国防系统面临的威胁在不断的加重。 1.攻击行为的确切数字很难统计,因为只有非常小一部分被探测到并且被报告出来。然而DISA(Defense Information Systems Agency)的数据显示,国防系统去年一年遭受了250,000的攻击行为,其中有65的攻击取得了成功。每年的攻击行为都以两倍的速度在递增。,2. 攻击行为的花费非常小,但是给国防系统带来的威胁却非常大。攻击者已经控制了许多国防信息系统,其中有些系统非常敏感,比如:武器研发、财政等等。攻击者也经常偷窃、修改、破坏重要的数据和软件。 在著名的“罗马实验室”案例中,两个黑客控制了实验室的支持系统,并同外部的In
9、ternet站点建立了连接,偷走了许多重要的数据。,3. 尽管正在采取措施来解决日益严重的威胁,但是在限制进入计算机的非法访问时,面临巨大的挑战。目前,在风险评估、保护系统、紧急响应、评估损害程度等方面还没有统一的策略。,二. 重要发现,计算机攻击行为正在迅速增长 为了保护信息系统,国防部不得不保护巨大的信息基础设施:210万台计算机、10,000个局域网、100多个广域网。 各个国防系统都在越来越依赖计算机系统,特别是在武器设计、敌对目标识别、发放薪水、管理后勤等领域。 为了加强通信和信息共享,许多国防网络连接到了互联网上,这使得他们非常容易受到威胁。,2. 攻击行为造成了严重破坏 DISA
10、估计国防网络去年受到了250,000次的攻击。然而,确切的数字难以统计,因为只有1/150的攻击行为被发现和报告。另外,在测试信息系统时,DISA有65的攻击行为取得了成功。 攻击行为给国防系统带来的财政负担是巨大的。1994年的“罗马实验室”事件使国防部花费了500,000$,用于评估对信息系统的损坏程度、修补漏洞、识别黑客等。,3. 对国家安全的潜在威胁 对国防系统的的入侵会严重的损害国家安全。计算机网络与互联网系统相连,使得我们的敌人只使用简单的装备和较低的代价就能够取得非常大的回报。结果,越来越多的恐怖分子和敌对分子威胁国家的安全。 NSA已经知道潜在的对手以及开发了针对国防信息系统进
11、行攻击的知识库。根据国防部的官员透露,这些方法包括计算机病毒、自动攻击程序等都可以让攻击者在世界的任何地方发动攻击。世界上有120个国家都在对攻击技术进行研究,反击攻击行为面临的挑战 随着互联网应用的不断普及,攻击技术的不断发展、攻击工具和方法的不断进化,防止计算机系统的非法访问越来越困难。 国防系统正在采取措施来加强信息系统的安全以防止攻击事件,但是需要更多的资源以及管理上的认可。目前的许多对计算机攻击行为的防御策略已经过时或没有效果。许多国防策略都是在计算机系统隔离的时代制定的,已经不适应当前的形势。,三. 建议,为了建立起有效信息系统安全流程,必须有足够的资源、管理层的认可、以及充分的优
12、先权。尤其是下列因素: 改善安全政策和流程 增加用户的意识以及责任 保证网络安全人员有足够的时间和训练 开发更有效的技术性保护和监视程序 评估国防紧急响应能力,后续影响,1996年5月20日GAO的报告发表 1996年7月15日克林顿发布13010号总统行政令,成立由总统牵头、十个部长参加的关键基础设施保护委员会。 1998年至2001年10月克林顿和布什两届政府连续发布四个总统令(PDD63等) ,巩固和加强顶层协调。 2000年1月公布“保护网络空间国家计划”。 2003年3月公布“保护网络空间国家战略”,2001和2002财年的联邦政府信息安全管理报告,将最重要的24个部门的信息安全的风
13、险评估状况,作为信息安全考核的6个指标之一,放在第一的位置。 2003财年的联邦政府信息安全管理报告,又将考核的范围扩大了50个独立总局,并将风险评估基础上的认证认可作为一项新考核指标。 1998年开始美国政府出资(特别是2002年以后) ,由制订相关指导性文件和标准,推动风险评估和风险管理工作的开展,这一过程还在发展中。,风险评估亟待探讨和解决的几个问题,贾 颖 禾 国务院信息化工作办公室 网络与信息安全组 2004年6月11日,1、定义问题:信息系统安全风险评估的概念 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 信息安全风险评估,
14、则是指依据有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。,人们的认识能力和实践能力
15、是有局限性的,因此,信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为或自然的威胁,存在安全风险也是必然的。信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。 因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用风险评估的思想和规范,对信息系统开展风险评估。,2、作用问题:风险评估是分析确定风险的过
16、程 任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?并总是试图找出最合理的答案。这一过程实际上就是风险评估。早在上个世纪初期,科学家就已开始研究风险管理理论。,3、战略和策略问题:信息安全风险评估是信息安全建设的起点和基础 信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间作出正确的判断,决定调动多少
