信息安全-典型风险评估案例结果分析

典型风险评估案例结果分析

贾颖禾国务院信息化工作办公室网络与信息安全组2004年6月11日典型风险评估案例结果分析

源自1996年美国国会总审计署（GAO）的报告的研究（GAO）对国防部的计算机攻击带来不断增加的风险（ComputerAttacksatDepartmentofDefensePoseIncreasingRisks）目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息，给国家安全带来了很大威胁。 在这种情况下，GAO被邀请对国防信息网络进行风险评估，以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战。第一部分：典型个案罗马实验室攻击案例罗马实验室（RomeLaboratory,NewYork）位于美国纽约州，是美国空军的一个重要的军事设施。研究项目包括：战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。在1994年3月至4月间，两个黑客（一个英国黑客、一个不明国籍）对该实验室进行了多达150次的攻击。他们使用了木马程序和嗅探器（sniffer）来访问并控制罗马实验室的网络。另外，他们采取了一定的措施使得他们很难被反跟踪。他们没有直接访问罗马实验室，而是首先拨号到南美（智利和哥伦比亚），然后在通过东海岸的商业Internet站点，连接到罗马实验室。攻击者控制罗马实验室的支持信息系统许多天，并且建立了同外部Internet的连接。在这期间，他们拷贝并下载了许多机密的数据，包括象国防任务指令系统的数据。通过伪装成罗马实验室的合法用户，他们同时成功的连接到了其他重要的政府网络，并实施了成功的攻击。包括（NationalAeronauticsandSpaceadministration’s(NASA)GoddardSpaceFlightCenter，Wright-PattersonAirForceBase，someDefensecontractors，andotherprivatesectororganizations）美国空军信息中心（AirForceInformationWarfareCenter(AFIWC)）估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、安全安全补丁、恢复系统以及调查费用等等。从计算机系统中丢失的及其有价值的数据的损失是无法估量的。比如：罗马实验室用了3年的时间，花费了400万美圆进行的空军指令性研究项目，已经无法实施。其它的攻击案例一1995年到1996年，一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统，以它为跳板，进入了美国海军研究实验室、NASA、LosAlamos国家实验室的网络中。这些网络中存储了大量绝密信息，比如：飞机设计、雷达技术、卫星技术、武器和作战控制系统等等。海军根本没有办法确定那次攻击造成多么巨大的损失。案例二在1990年四月到1991年三月之间，荷兰的黑客渗透进了34个国防计算机系统。他对系统进行修改，从而获得了更高的访问权限。他读取邮件，搜索敏感的关键字，比如象核设施、武器、导弹等等，并且下载了很多军事数据。攻击完成后，他修改系统的日志以避免被探测到。第二部分现实1.国防部的计算环境国防部有200个指挥中心、16个信息处理中心，2百万个用户，210万台计算机，10，000个网络。最高机密信息相对而言比较安全，有如下几个个方面因素：保存在物理隔离的网络中（边界）经过机密处理（信息保护）只在安全的路经中传输（传输）（美国国家通信系统的要求：第一等的用户，第一时间，第一个知道，第一个搞清楚，第一个行动）2.黑客的攻击手段黑客的攻击手段多种多样，比较典型的是sendmail攻击、口令攻击、数据窃听等等。黑客在进攻计算机系统时，通常使用多种技术或工具并利用系统的漏洞在网络上进行。3.攻击行为的数量迅速增长DISA估计去年国防网络遭受了250,000次攻击。被发现的攻击行为非常少，因此很难统计确切数字。许多机构只发现了少量的攻击，在已经发现的这些少量的攻击行为中，被报告的攻击行为又只占非常少的比例。这个估计的数字建立在DISA的漏洞分析和评估的基础上。为了进行评估，DISA的人员从互联网上发动攻击。从1992年来，DISA发动了38,000次攻击活动，用以检测网络的受保护情况。（如下图所示）DISA对美军网络实施的38000次渗透性攻击测试，24700次即65％的攻击行为取得了成功。在这些成功的攻击中，只有988即4％被发现。在被发现的攻击活动中，只有267次即27％被报告给了DISA。也就是说，只有不到1/150的攻击事件被报告。DISA也维护了官方报道的有关攻击行为的数据。下图显示了相关情况：第三部分 重要结论一.评估结果简述结论：针对国防计算机系统的攻击是非常严重的，国防系统面临的威胁在不断的加重。 1. 攻击行为的确切数字很难统计，因为只有非常小一部分被探测到并且被报告出来。然而DISA（DefenseInformationSystemsAgency）的数据显示，国防系统去年一年遭受了250，000的攻击行为，其中有65％的攻击取得了成功。每年的攻击行为都以两倍的速度在递增。2.攻击行为的花费非常小，但是给国防系统带来的威胁却非常大。攻击者已经控制了许多国防信息系统，其中有些系统非常敏感，比如：武器研发、财政等等。攻击者也经常偷窃、修改、破坏重要的数据和软件。

在著名的“罗马实验室”案例中，两个黑客控制了实验室的支持系统，并同外部的Internet站点建立了连接，偷走了许多重要的数据。3.尽管正在采取措施来解决日益严重的威胁，但是在限制进入计算机的非法访问时，面临巨大的挑战。目前，在风险评估、保护系统、紧急响应、评估损害程度等方面还没有统一的策略。二.重要发现计算机攻击行为正在迅速增长 为了保护信息系统，国防部不得不保护巨大的信息基础设施：210万台计算机、10，000个局域网、100多个广域网。 各个国防系统都在越来越依赖计算机系统，特别是在武器设计、敌对目标识别、发放薪水、管理后勤等领域。 为了加强通信和信息共享，许多国防网络连接到了互联网上，这使得他们非常容易受到威胁。2.攻击行为造成了严重破坏 DISA估计国防网络去年受到了250,000次的攻击。然而，确切的数字难以统计，因为只有1/150的攻击行为被发现和报告。另外，在测试信息系统时，DISA有65％的攻击行为取得了成功。 攻击行为给国防系统带来的财政负担是巨大的。1994年的“罗马实验室”事件使国防部花费了500,000$，用于评估对信息系统的损坏程度、修补漏洞、识别黑客等。3.对国家安全的潜在威胁 对国防系统的的入侵会严重的损害国家安全。计算机网络与互联网系统相连，使得我们的敌人只使用简单的装备和较低的代价就能够取得非常大的回报。结果，越来越多的恐怖分子和敌对分子威胁国家的安全。 NSA已经知道潜在的对手以及开发了针对国防信息系统进行攻击的知识库。根据国防部的官员透露，这些方法包括计算机病毒、自动攻击程序等都可以让攻击者在世界的任何地方发动攻击。世界上有120个国家都在对攻击技术进行研究反击攻击行为面临的挑战 随着互联网应用的不断普及，攻击技术的不断发展、攻击工具和方法的不断进化，防止计算机系统的非法访问越来越困难。 国防系统正在采取措施来加强信息系统的安全以防止攻击事件，但是需要更多的资源以及管理上的认可。目前的许多对计算机攻击行为的防御策略已经过时或没有效果。许多国防策略都是在计算机系统隔离的时代制定的，已经不适应当前的形势。三.建议 为了建立起有效信息系统安全流程，必须有足够的资源、管理层的认可、以及充分的优先权。尤其是下列因素：改善安全政策和流程增加用户的意识以及责任保证网络安全人员有足够的时间和训练开发更有效的技术性保护和监视程序评估国防紧急响应能力 后续影响1996年5月20日GAO的报告发表1996年7月15日克林顿发布13010号总统行政令，成立由总统牵头、十个部长参加的关键基础设施保护委员会。1998年至2001年10月克林顿和布什两届政府连续发布四个总统令（PDD63等），巩固和加强顶层协调。2000年1月公布“保护网络空间国家计划”。2003年3月公布“保护网络空间国家战略”2001和2002财年的联邦政府信息安全管理报告，将最重要的24个部门的信息安全的风险评估状况，作为信息安全考核的6个指标之一，放在第一的位置。2003财年的联邦政府信息安全管理报告，又将考核的范围扩大了50个独立总局，并将风险评估基础上的认证认可作为一项新考核指标。1998年开始美国政府出资（特别是2002年以后），由ＮＩＳＴ制订相关指导性文件和标准，推动风险评估和风险管理工作的开展，这一过程还在发展中。风险评估亟待探讨和解决的几个问题

贾颖禾国务院信息化工作办公室网络与信息安全组2004年6月11日1、定义问题：信息系统安全风险评估的概念信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估，则是指依据有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各