信息安全-典型风险评估案例结果分析.ppt

典型风险评估案例结果分析 贾颖禾国务院信息化工作办公室网络与信息安全组2004年6月11日 典型风险评估案例结果分析源自1996年美国国会总审计署 GAO 的报告的研究 GAO 对国防部的计算机攻击带来不断增加的风险 ComputerAttacksatDepartmentofDefensePoseIncreasingRisks 目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息 给国家安全带来了很大威胁 在这种情况下 GAO被邀请对国防信息网络进行风险评估 以便确定哪些国防系统正在遭受攻击 信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战 第一部分 典型个案 罗马实验室攻击案例 罗马实验室 RomeLaboratory NewYork 位于美国纽约州 是美国空军的一个重要的军事设施 研究项目包括 战术模拟系统 雷达引导系统 目标探测和跟踪系统等等 该实验室在互联网上与多家国防研究单位互联 在1994年3月至4月间 两个黑客 一个英国黑客 一个不明国籍 对该实验室进行了多达150次的攻击 他们使用了木马程序和嗅探器 sniffer 来访问并控制罗马实验室的网络 另外 他们采取了一定的措施使得他们很难被反跟踪 他们没有直接访问罗马实验室 而是首先拨号到南美 智利和哥伦比亚 然后在通过东海岸的商业Internet站点 连接到罗马实验室 攻击者控制罗马实验室的支持信息系统许多天 并且建立了同外部Internet的连接 在这期间 他们拷贝并下载了许多机密的数据 包括象国防任务指令系统的数据 通过伪装成罗马实验室的合法用户 他们同时成功的连接到了其他重要的政府网络 并实施了成功的攻击 包括 NationalAeronauticsandSpaceadministration s NASA GoddardSpaceFlightCenter Wright PattersonAirForceBase someDefensecontractors andotherprivatesectororganizations 美国空军信息中心 AirForceInformationWarfareCenter AFIWC 估计这次攻击使得政府为这次事件花费了 500 000 这包括将网络隔离 验证系统的完整性 安全安全补丁 恢复系统以及调查费用等等 从计算机系统中丢失的及其有价值的数据的损失是无法估量的 比如 罗马实验室用了3年的时间 花费了400万美圆进行的空军指令性研究项目 已经无法实施 其它的攻击案例一 1995年到1996年 一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统 以它为跳板 进入了美国海军研究实验室 NASA LosAlamos国家实验室的网络中 这些网络中存储了大量绝密信息 比如 飞机设计 雷达技术 卫星技术 武器和作战控制系统等等 海军根本没有办法确定那次攻击造成多么巨大的损失 案例二 在1990年四月到1991年三月之间 荷兰的黑客渗透进了34个国防计算机系统 他对系统进行修改 从而获得了更高的访问权限 他读取邮件 搜索敏感的关键字 比如象核设施 武器 导弹等等 并且下载了很多军事数据 攻击完成后 他修改系统的日志以避免被探测到 第二部分现实 1 国防部的计算环境 国防部有200个指挥中心 16个信息处理中心 2百万个用户 210万台计算机 10 000个网络 最高机密信息相对而言比较安全 有如下几个个方面因素 保存在物理隔离的网络中 边界 经过机密处理 信息保护 只在安全的路经中传输 传输 美国国家通信系统的要求 第一等的用户 第一时间 第一个知道 第一个搞清楚 第一个行动 2 黑客的攻击手段 黑客的攻击手段多种多样 比较典型的是sendmail攻击 口令攻击 数据窃听等等 黑客在进攻计算机系统时 通常使用多种技术或工具并利用系统的漏洞在网络上进行 3 攻击行为的数量迅速增长 DISA估计去年国防网络遭受了250 000次攻击 被发现的攻击行为非常少 因此很难统计确切数字 许多机构只发现了少量的攻击 在已经发现的这些少量的攻击行为中 被报告的攻击行为又只占非常少的比例 这个估计的数字建立在DISA的漏洞分析和评估的基础上 为了进行评估 DISA的人员从互联网上发动攻击 从1992年来 DISA发动了38 000次攻击活动 用以检测网络的受保护情况 如下图所示 DISA对美军网络实施的38000次渗透性攻击测试 24700次即65 的攻击行为取得了成功 在这些成功的攻击中 只有988即4 被发现 在被发现的攻击活动中 只有267次即27 被报告给了DISA 也就是说 只有不到1 150的攻击事件被报告 DISA也维护了官方报道的有关攻击行为的数据 下图显示了相关情况 第三部分重要结论 一 评估结果简述 结论 针对国防计算机系统的攻击是非常严重的 国防系统面临的威胁在不断的加重 1 攻击行为的确切数字很难统计 因为只有非常小一部分被探测到并且被报告出来 然而DISA DefenseInformationSystemsAgency 的数据显示 国防系统去年一年遭受了250 000的攻击行为 其中有65 的攻击取得了成功 每年的攻击行为都以两倍的速度在递增 2 攻击行为的花费非常小 但是给国防系统带来的威胁却非常大 攻击者已经控制了许多国防信息系统 其中有些系统非常敏感 比如 武器研发 财政等等 攻击者也经常偷窃 修改 破坏重要的数据和软件 在著名的 罗马实验室 案例中 两个黑客控制了实验室的支持系统 并同外部的Internet站点建立了连接 偷走了许多重要的数据 3 尽管正在采取措施来解决日益严重的威胁 但是在限制进入计算机的非法访问时 面临巨大的挑战 目前 在风险评估 保护系统 紧急响应 评估损害程度等方面还没有统一的策略 二 重要发现 计算机攻击行为正在迅速增长为了保护信息系统 国防部不得不保护巨大的信息基础设施 210万台计算机 10 000个局域网 100多个广域网 各个国防系统都在越来越依赖计算机系统 特别是在武器设计 敌对目标识别 发放薪水 管理后勤等领域 为了加强通信和信息共享 许多国防网络连接到了互联网上 这使得他们非常容易受到威胁 2 攻击行为造成了严重破坏DISA估计国防网络去年受到了250 000次的攻击 然而 确切的数字难以统计 因为只有1 150的攻击行为被发现和报告 另外 在测试信息系统时 DISA有65 的攻击行为取得了成功 攻击行为给国防系统带来的财政负担是巨大的 1994年的 罗马实验室 事件使国防部花费了500 000 用于评估对信息系统的损坏程度 修补漏洞 识别黑客等 3 对国家安全的潜在威胁对国防系统的的入侵会严重的损害国家安全 计算机网络与互联网系统相连 使得我们的敌人只使用简单的装备和较低的代价就能够取得非常大的回报 结果 越来越多的恐怖分子和敌对分子威胁国家的安全 NSA已经知道潜在的对手以及开发了针对国防信息系统进行攻击的知识库 根据国防部的官员透露 这些方法包括计算机病毒 自动攻击程序等都可以让攻击者在世界的任何地方发动攻击 世界上有120个国家都在对攻击技术进行研究 反击攻击行为面临的挑战随着互联网应用的不断普及 攻击技术的不断发展 攻击工具和方法的不断进化 防止计算机系统的非法访问越来越困难 国防系统正在采取措施来加强信息系统的安全以防止攻击事件 但是需要更多的资源以及管理上的认可 目前的许多对计算机攻击行为的防御策略已经过时或没有效果 许多国防策略都是在计算机系统隔离的时代制定的 已经不适应当前的形势 三 建议 为了建立起有效信息系统安全流程 必须有足够的资源 管理层的认可 以及充分的优先权 尤其是下列因素 改善安全政策和流程增加用户的意识以及责任保证网络安全人员有足够的时间和训练开发更有效的技术性保护和监视程序评估国防紧急响应能力 后续影响 1996年5月20日GAO的报告发表1996年7月15日克林顿发布13010号总统行政令 成立由总统牵头 十个部长参加的关键基础设施保护委员会 1998年至2001年10月克林顿和布什两届政府连续发布四个总统令 PDD63等 巩固和加强顶层协调 2000年1月公布 保护网络空间国家计划 2003年3月公布 保护网络空间国家战略 2001和2002财年的联邦政府信息安全管理报告 将最重要的24个部门的信息安全的风险评估状况 作为信息安全考核的6个指标之一 放在第一的位置 2003财年的联邦政府信息安全管理报告 又将考核的范围扩大了50个独立总局 并将风险评估基础上的认证认可作为一项新考核指标 1998年开始美国政府出资 特别是2002年以后 由 制订相关指导性文件和标准 推动风险评估和风险管理工作的开展 这一过程还在发展中 风险评估亟待探讨和解决的几个问题 贾颖禾国务院信息化工作办公室网络与信息安全组2004年6月11日 1 定义问题 信息系统安全风险评估的概念信息系统的安全风险 是指由于系统存在的脆弱性 人为或自然的威胁导致安全事件发生的可能性及其造成的影响 信息安全风险评估 则是指依据有关信息安全技术标准 对信息系统及由其处理 传输和存储的信息的保密性 完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性 信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响 并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险 信息安全是一个动态的复杂过程 它贯穿于信息资产和信息系统的整个生命周期 信息安全的威胁来自于内部破坏 外部攻击 内外勾结进行的破坏以及自然危害 必须按照风险管理的思想 对可能的威胁 脆弱性和需要保护的信息资源进行分析 依据风险评估的结果为信息系统选择适当的安全措施 妥善应对可能发生的风险 人们的认识能力和实践能力是有局限性的 因此 信息系统存在脆弱性是不可避免的 信息系统的价值及其存在的脆弱性 使信息系统在现实环境中 总要面临各种人为或自然的威胁 存在安全风险也是必然的 信息安全建设的宗旨之一 就是在综合考虑成本与效益的前提下 通过安全措施来控制风险 使残余风险降低到可接受的程度 因为任何信息系统都会有安全风险 所以 人们追求的所谓安全的信息系统 实际是指信息系统在实施了风险评估并做出风险控制后 仍然存在的残余风险可被接受的信息系统 因此 要追求信息系统的安全 就不能脱离全面 完整的信息系统的安全评估 就必须运用风险评估的思想和规范 对信息系统开展风险评估 2 作用问题 风险评估是分析确定风险的过程任何系统的安全性都可以通过风险的大小来衡量 科学分析系统的安全风险 综合平衡风险和代价的过程就是风险评估 风险评估不是某个系统 包括信息系统 所特有的 在日常生活和工作中 风险评估也是随处可见 为了分析确定系统风险及风险大小 进而决定采取什么措施去减少 避免风险 把残余风险控制在可以容忍的范围内 人们经常会提出这样一些问题 什么地方 什么时间可能出问题 出问题的可能性有多大 这些问题的后果是什么 应该采取什么样的措施加以避免和弥补 并总是试图找出最合理的答案 这一过程实际上就是风险评估 早在上个世纪初期 科学家就已开始研究风险管理理论 3 战略和策略问题 信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是风险评估理论和方法在信息系统中的运用 是科学分析理解信息和信息系统在机密性 完整性 可用性等方面所面临的风险 并在风险的预防 风险的控制 风险的转移 风险的补偿 风险的分散等之间作出决择的过程 所有信息安全建设都应该是基于信息安全风险评估 只有在正确地 全面地理解风险后 才能在控制风险 减少风险之间作出正确的判断 决定调动多少资源 以什么的代价 采取什么样的应对措施去化解 控制风险 4 操作和运行问题 信息安全风险评估是需求主导和突出重点原则的具体体现如果说信息安全建设必须从实际出发 坚持需求主导 突出重点 则风险评估 需求分析 就是这一原则在实际工作中的重要体现 从理论上讲不存在绝对的安全 风险总是客观存在的 安全是安全风险与安全建设管理代价的综合平衡 不计成本 片面地追求绝对安全 试图消灭风险或完全避免风险是不现实的 也不是需求主导原则所要求的 坚持从实际出发 坚持需求主导 突出重点 就必须科学地评估风险 有效控制风险 5 借鉴国外经验问题 重视风险评估是信息化比较发达国家的基本经验由于信息技术的飞速发展 关系国计民生的关键信息基础设施的规模越来越大 同时也极大地增加了复杂程度 发达国家越来越重视信息安全风险评估工作 提倡风险评估制度化 上个世纪70年代 美国政府就发布了 自动化数据处理风险评估指南 其后颁布的关于信息安全基本政策文件 联邦信息资源安全 明确提出了信息安全风险评估的要求 要求联邦政府部门依据信息和信息系统所面临的风险 根据信息丢失 滥用 泄露 未授权访问等造成损失的大小 制订 实施信息安全计划 以保证信息和信息系统应有的安全 有些国家和国际组织还十分重视阶段性的再评估工作 以求得信息安全措施可以持续地适应信息安全形势的变化和发展 6 责任 角色和管理问题 信息安全风险评估的组织者是信息系统的主管部门和运营单位风险评估作为信息安全保障的一项基础性工作 其评估的结果是领导层进行决策的重要依据 且由于在评估过程中不可避免地涉及评估对象大量的内部 敏感甚至机密信息 对评估的时间 对象 范围 方式 评估人员 评估结果发布等都应该由领导层决定 各信息系统的主管部门和运营单位对此负有组织领导的责任 国家要求各部门各单位重视信息安全风险评估工作 制定政策 法规 标准 组织研发 并采取适当形式进行督促 国家的信息安全风险综合评估由各部门协调合作承担 自我评估应该成为信息安全风险评估的主要形式 信息安全建设是一个自我完善和自我提高的过程 管理能力 保护能力 事件发现和处置能力等诸多信息安全关键能力的提高 往往需要在所管辖的范围内 根据自身的实际情况 进行自我评估 层层落实责任 风险评估应作为一项经常性工作 同本单位的工作总结 安全检查等结合起来 7 信息使用问题 信息安全风险评估工作的协调合作与信息交流随着互联互通的发展 信息系统相互依赖性的增加 信息安全的相互共同责任越来越大 因此 风险评估有关的信息交流共享是必需的 这是互联互通的参与者相互负责任的体现 也是搞好安全防范工作的重要的前提之一 符合所有参与者的共同利益 在信息安全