计算机网络信息安全16章

1、第16章 网络安全风险评估技术的原理与应用 16.1 网络风险评估概述 16.2 网络风险评估过程 16.3 网络风险数据的采集方法与工具 16.4 网络风险评估工程项目流程16.5 本 章 小 结本章思考与练习16.1 网络风险评估概述 16.1.1 网络风险评估的概念 网络安全风险是指由于网络系统所存在的脆弱性，因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程。评估内容涉及到网络系统的脆弱性、网络安全威胁以及脆弱性被威胁源利用后所造成的实

2、际影响，以及根据安全事件发生的可能性影响大小来确认的网络安全风险等级。简单地说，网络风险评估就是指特定威胁利用网络资产的脆弱性，造成网络资产损失或破坏的潜在可能性。下面举一个例子来帮助我们理解网络风险评估的概念。某公司的电子商务网站因为存在RPC DCOM的漏洞，遭到黑客入侵，被迫中断1天，则网络风险的相关概念如下所示： 网络资产电子商务网站网络威胁黑客网络脆弱性RPC DCOM漏洞网络影响中断1天网络风险电子商务网站受到入侵 假设网站受到黑客攻击的概率为，经济影响为2万元人民币，则该公司的网站风险量化值为万元人民币。 16.1.2 网络风险评估要素的组成关系网络风险评估涉及到资产、威胁、脆弱

3、性、安全措施、风险等各个要素，各要素之间相互作用，如图16-1所示。资产因为其价值而受到威胁；威胁者利用资产的脆弱性构成威胁；安全措施对资产进行保护，修补资产的脆弱性，从而降低资产的风险。 图16-1 风险评估各个要素间的相互作用 16.1.3 网络风险评估模式1自评估自评估是网络系统拥有者依靠自身的力量，对自有的网络系统进行的风险评估活动。 2检查评估检查评估是指由网络安全主管机关或业务主管机关发起，旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行的检查评估。3委托评估委托评估是指网络系统使用单位委托的具有风险评估能力的专业评估机构实施的评估活动进行检查评估。 16.1.4 网络风险

4、评估意义第一，网络风险评估是网络系统安全的基础性工作，它有利于网络安全规划和设计，有利于明晰网络安全保障需求。网络风险评估将传统的风险理论和方法应用于网络系统，科学地分析和理解网络系统的保密性、完整性、可用性、可控性等方面所面临的风险，并为网络风险的减少、转移和规避等风险控制提供决策依据。通过网络风险评估，网络安全管理人员将更加明确网络系统的安全需求，只有在正确、全面地了解和理解网络系统安全风险后，才能决定如何应对安全风险，从而有利于网络系统的安全投资、网络安全措施的选择、网络安全保障体系的建设，促进网络系统的信息安全建设。 第二，风险评估有利于网络系统的安全防护，做到重点突出，分级防护。从理

5、论上讲，风险总是不可避免而客观存在的，实际工作过程不可能做到绝对安全。因而，追求绝对安全和完全回避风险都是不现实的，安全是风险与成本的综合平衡。通过风险评估，使安全管理员认清风险因素的主次，实事求是，抓住安全的主要问题，以便采取有效、科学、客观和经济的安全防范措施。 16.2 网络风险评估过程 16.2.1 风险评估过程概述网络风险评估一般遵循如下工作过程：第一步，网络评估范围界定；第二步，网络资产鉴定；第三步，网络威胁识别；第四步，网络脆弱性识别；第五步，网络安全措施分析； 第六步，网络安全影响分析；第七步，网络风险确认；第八步，网络安全措施建议。 以上工作步骤是一个网络风险评估工作的基本过

6、程，网络管理员可以根据不同的目的和环境，简化或补充各步骤细节。 16.2.2 网络评估范围界定正式进行具体安全评估时，首先必须进行网络系统范围的界定，要求评估者明晰所需要评估的对象。网络评估范围界定一般包括：* 网络系统拓扑结构。* 网络通信协议。* 网络地址分配。* 网络设备。* 网络服务。 * 网上业务类型与业务信息流程。* 网络安全防范措施(防火墙、IDS、保安系统等)。* 网络操作系统。* 网络相关人员。* 网络物理环境(如建筑、设备位置)。在这个阶段，最终将生成评估文档网络风险评估范围界定报告，该报告是后续评估工作的范围限定。 16.2.3 网络资产鉴定网络资产鉴定包含“网络资产识别

7、”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象，确认网络资产的种类和清单，是整个评估工作的基础。“网络资产价值估算”是对某一具体资产在网络系统的重要程度的确认。在这里，价值估算不仅包含资产的物理实际经济价值，而且包含其相对价值，即资产在网络系统中所起到的效果。该阶段将生成文档网络系统资产鉴定报告，报告内容包括网络系统的资产清单和资产的重要性评价。表16-1是某公司网络系统的资产鉴定表。 表16-1 某公司网络系统的资产鉴定表 16.2.4 网络威胁识别网络威胁识别是指对网络资产有可能受到的危害进行分析，一般从威胁来源、威胁途径、威胁意图等几个方面来分析，如图16-2所示。 图1

8、6-2 网络威胁识别示意图 首先是标记出潜在的威胁源，并且形成一份威胁列表，列出被评估的网络系统面临的潜在威胁源。威胁源按照其性质一般可分为自然威胁和人为威胁。其中，自然威胁有雷电、洪水、地震、火灾等，而人为威胁则有盗窃、破坏、攻击等，如图16-3所示。 图16-3 网络系统威胁框架结构示意图 威胁途径是指威胁资产的方法和过程步骤。威胁者为了实现其意图，会使用各种攻击方法和工具，如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。通过各种方法组合，实施威胁。图16-4是关于口令威胁途径分析。 图16-4 口令威胁途径示意图 威胁效果是指威胁成功后，给网络系统造成的影响。一般来说，威胁效果抽象为

9、三种：非法访问、欺骗和拒绝服务。例如最早的拒绝服务是“电子邮件炸弹”，它能使用户在很短时间内收到大量电子邮件，使用户系统不能处理正常业务，严重时会使系统崩溃、网络瘫痪。威胁意图是指威胁主体实施威胁的目的。根据威胁者的身份，威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。 16.2.5 网络脆弱性识别脆弱性识别是指通过各种测试方法，获得网络资产中所存在的缺陷清单，包括硬件和软件清单，这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用。缺陷的存在将会危及到网络资产的安全。该阶段将产生脆弱性评估文档网络系统技术脆弱性报告。 16.2.6 网络安全措施分析安全措施分析主要是指

10、对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价，其目的在于确认安全策略执行情况。该阶段将生成中间文档网络管理脆弱性报告。 16.2.7 网络安全影响分析在威胁评估、脆弱性评估、安全管理评估基础上，安全影响分析是指分析已鉴定的资产受到损害后带来的影响。一般情况下，影响主要从以下几方面来考虑：(1) 违反了有关法律或规章制度。(2) 影响了业务运行。(3) 造成了信誉、声誉损失。(4) 侵犯了个人隐私。(5) 造成了人身伤害。(6) 对法律实施造成了负面影响。(7) 侵犯了商业机密。 (8) 违反了社会公共准则。(9) 造成了经济损失。

11、(10) 破坏了业务活动。(11) 危害了公共安全。该阶段将生成中间文档安全影响分析报告。 16.2.8 网络风险确认 网络风险确认是指在资产评估、威胁评估、脆弱性评估、安全措施分析、安全影响分析的基础上，综合利用定性和定量的分析方法，选择适当的风险计算方法或工具确定风险的大小与风险等级，即对网络系统安全管理范围内的每一网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响给出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据，进行风险值计算。该阶段将生成中间文档网络风险分析报告。 16.2.9 网络安全措施建议安全措施建议针对网络系统所存在的各种风险，给出具体风

12、险控制建议，其目标在于降低网络系统的安全风险。目前，网络安全管理风险的控制措施主要有十大类：* 制定明确的安全策略。* 建立安全组织。* 实施网络资产分类控制。* 加强人员安全管理。* 保证物理实体和环境安全。* 加强安全通信运行。 * 采取访问控制机制。* 进行安全系统开发与维护。* 保证业务持续运行。* 遵循法律法规、安全目标一致性检查。 16.3 网络风险数据的采集方法与工具 16.3.1 漏洞扫描网络管理员通过漏洞扫描工具自动模拟执行入侵探测过程，搜集分析漏洞信息，以评估网络系统的安全性。漏洞扫描工具有许多，按照其用途来划分，粗略分成主机扫描、网络扫描、应用扫描。当网络管理员需要进行漏

13、洞扫描时，一般要求把漏洞扫描工具安装在某台计算机上，然后将该计算机接入到网络系统中，并配置扫描相关信息，启动漏洞扫描进程。目前，可进行漏洞扫描的工具有许多，表16-2是常用的扫描工具。 表16-2 常用漏洞扫描工具 16.3.2 人工检查人工检查通过人直接操作评估对象以获取所需要的评估信息。一般进行人工检查前，应事先设计好“检查表(CheckList)”，然后评估工作人员按照“检查表”进行查找，以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。为了做好评估依据，所有的检查操作应有书面的记录材料。客户机的安全检查表如表16-3所示。 表16-3 客户机的安全检查表 16.3.

14、3 渗透测试渗透测试是指在获取授权后，通过使用安全工具，模拟黑客攻击网络系统，以发现深层次的安全问题。渗透测试工具有许多种，常见的类型有：* 信息收集类。* 漏洞利用尝试类。* 破解口令类。 16.3.4 问卷调查问卷调查采用书面的形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。问卷调查一般根据调查对象进行单独设计。问卷包括管理类和技术类。管理调查涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等，它主要针对管理者、操作人员。而技术调查卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护，调查对象是IT技术人员。自我安全意识的调查表如表16-4所示。 表

15、16-4 自我安全意识调查表 16.3.5 安全访谈安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈，来考察和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。 16.3.6 审计数据分析审计是网络安全系统中的一个重要环节，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测是保障网络安全的重要手段。审计数据分析是指采用数据统计和特征模式匹配等多种技术，从审计数据中寻找安全事件的有关信息。审计数据分析通常用于威胁识别。审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。下面是一个例子，某网站服务器上的访问日志出现大量类

16、似如下的HTTP请求： GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

17、%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 根据这些日志信息，我们可以推断该网站受到了红色蠕虫的攻击。由于日志审计数据量大，因此网络管理人员需要借助软件工具来分析。目前审计分析工具有Web Log Explore、EIQ Professional Suite、Proxy Inspector for WinGate等。 16.3.7 入侵监测网络管理员将入侵监测软件或设备接入到待评估的网络中，然后通过入侵监测软件或设备采集评估对象的威胁信息和

18、安全状态。入侵监测软件和设备有许多种，按照其用途来划分，粗略分成主机入侵监测、网络入侵监测、应用入侵监测。常用于入侵监测的软件有协议分析器、入侵检测系统、注册表监测、文件完整性检查，如表16-5所示。 表16-5 入侵监测常用工具表 16.4 网络风险评估工程项目流程 16.4.1 评估工程的前期准备风险评估需求调查是评估工程后续工作开展的前提，其中包括评估对象确定、评估范围界定、评估的粒度和评估的时间等，在评估工作前一定要签订合同和保密协议，以避免纠纷。由于风险评估活动涉及单位的不同领域和人员，需要多方面的协调。必要的、充分的准备是风险评估成功的关键。评估的前期准备工作至少包括以下内容： *

19、 确定风险评估的需求目标，其中包括评估对象确定、评估范围界定、评估的粒度和评估的时间等；* 签订合同和保密协议；* 成立评估工作组；* 选择评估模式。 16.4.2 评估方案的设计与论证评估方案设计依据被评估方的安全需求来制定，并经过双方讨论且论证通过后方可进行下一步工作。评估方案设计主要包括确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容。为确保评估方案的可行性，评估工作小组应组织相关人员讨论，听取各方意见，然后修改评估方案，直至论证通过。 16.4.3 评估方案的实施在评估方案论证通过后，才能组织相关人员对方案进行实施。评估方案实施内容主要包括评估对象的基本情况调

20、查、安全需求挖掘以及确定具体操作步骤。评估实施过程中应避免改变系统的任何设置，必须备份系统原有的配置，并书面记录操作过程和记录相关数据。工作实施时必须有工作备忘录，内容包括评估环境描述，操作的详细过程记录，问题简要分析，相关测试数据保存等。对于敏感系统的测试，参加评估实施的人员要求至少两人以上，必须经领导签字批准。 16.4.4 风险评估报告的撰写根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告的撰写。评估报告是风险评估结果的记录文件，是组织实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料。因此，报告必须做到有据可查，报告内容一般主

21、要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、残余风险描述等。网络风险评估报告由部分绪论、安全现状描述、资产评估、脆弱性评估、安全管理评估组成。其中，绪论包括术语和定义、评估内容、评估流程、评估数据来源和评估参考依据； 安全现状描述则给出网络组成说明、网络拓扑结构、关键设备和网络服务、当前网络安全防范措施；资产评估列出网络系统中的软、硬件清单，如路由器、交换机、网络服务、操作系统、数据库、主机等，并对资产给出重要性评价；威胁评估则给出网络系统所面临的威胁，包括威胁来源、威胁途径、威胁方式、威胁后果等；安全管理评估则是从安全操作流程、设备管理、人员管理、安全制度、应急响应能力、行政控制手段等方面对网络系统的安全问题进行评价，分析其存在的