计算机网络安全第2章 风险分析.ppt

第2章风险分析,2.1资产保护2.2攻击2.3风险管理2.4本章小结,任何有效的风险分析始于需要保护的资产和资源的鉴别，资产的类型一般可分成以下4类。（1）物理资源物理资源是具有物理形态的资产。包括工作站、服务器、终端、网络设备、外围设备等，基本上，凡是具有物理形态的计算资源都是物理资源。风险分析的最终目标是制定一个有效的、节省的计划来看管资产，不要忽视显而易见的问题和解决办法。,2.1资产保护2.1.1资产的类型,（2）知识资源和物理资源相比，知识资源更难鉴别，因为它只以电子的形式存在。知识资源可以是任何信息的形式，并且在组织的事务处理中起一定的作用。它包括软件、财务信息、数据库记录以及计划图表等。例如，公司通过电子邮件交换信息，这些电子报文的存储应看成知识资产。（3）时间资源时间也是一个重要的资源，甚至是一个组织最有价值的资源。当评估时间损失对一个组织的影响时，应考虑由于时间损失引起的全部后果。,（4）信誉（感觉）资源在2000年2月，大部分网络公司诸如Yahoo、Amazon、eBay和B等在受到拒绝服务攻击以后，他们的股票价狂跌。虽然这是暂时的，但足以说明消费者和股票持有者对他们的可信度确实存在影响，且可测量。又如，2000年10月围绕Microsoft系统的问题公开暴露，公众不仅对公司，也对其产品的可信度产生了一定的影响。,潜在的网络攻击可来自任何能访问网络的源，这些源之间有很大差异，它依赖于一个组织的规模以及提供的网络访问的类型。当作风险分析时，要能识别所有的攻击源。这些攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过modem池的访问等。在分析潜在攻击源时不仅要评估谁可能攻击网络，还要寻找什么样的介质可用来对网络资源的访问。,2.1.2潜在的攻击源,潜在的攻击来自多方面，包括组织内部的员工、临时员工和顾问、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其员工的人。根据这个组织的情况，还可能有各种不同的攻击源。重要的是要决定什么样的威胁能实现成功的攻击，以及对潜伏的攻击者而言，什么样的攻击是值得的。在识别资源以及潜在的攻击源后，可评估该组织受攻击的潜在风险级别。一个网络是物理隔离的网，还是有很多入口（如广域网）、有modem池、或是经过Internet进入的VPN?所有这些连接点是否使用强的身份鉴别和某种形式的防火墙设备，或者其他的网络保护措施？攻击者能否发现某一个暴露的访问点以及获得访问该网络资源？,对攻击可能性的看法在很大程度上是带有主观性的，同一个组织的两个人对攻击可能性的观点可能完全不同。因此要听取来自不同部门的观点，甚至聘请在决定风险评估方面有实践经验的顾问。因为对攻击可能性的分析越清楚，越能更有效地保护网络。,资产一旦受到威胁和破坏，就会带来两类损失，一类是即时的损失，如由于系统被破坏，员工无法使用，因而降低了劳动生产率；又如，ISP的在线服务中断带来经济上的损失。另一类是长期的恢复所需花费，也就是从攻击或失效到恢复正常需要的花费，例如，受到拒绝服务攻击，在一定期间内资源无法访问带来的损失；又如，为了修复受破坏的关键文件所需的花费等。为了有效保护资产，应尽可能降低资产受危害的潜在代价。另一方面，由于采取一些安全措施，也要付出安全的操作代价。网络安全最终是一个折中的方案，需要对危害和降低危害的代价进行权衡。,2.1.3资产的有效保护,在评估时要考虑网络的现有环境，以及近期和远期网络发展变化的趋势。选用先进的安全体系结构和系统安全平台可减少安全操作代价，获得良好的安全强度。除此之外，要获得安全强度和安全代价的折中，需要考虑以下因素：（1）用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。（2）管理的复杂性。对增加安全强度的网络系统要易于配置、管理。（3）对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。（4）对不同平台的支持。网络安全系统应能适应不同平台的异构环境的使用。,图2.1安全强度和安全代价的折中,图2.1所示为安全强度和安全代价的折中，其中图2.1(a)表示安全强度和安全操作代价的关系。图2.1(b)表示安全强度和侵入系统可能性的关系。图2.1(c)表示将图2.1(a)和图2.1(b)合在一起，其相交点是平衡点，即安全强度和安全代价的折中选择。图2.1(d)表示由于入侵手段增强引起的变化，从而产生新的平衡点。为了有效保护资产，需要一个性能良好的安全系统结构和安全系统平台，可以小的安全代价换取高的安全强度。,从安全属性来看，攻击类型可分为以下4类，如图2.2所示，图2.2(a)是从源站到目的站的正常信息流。（1）阻断攻击阻断攻击使系统的资产被破坏，无法提供用户使用，这是一种针对可用性的攻击，如图22(b)所示。例如，破坏硬盘之类的硬件，切断通信线路，使文件管理系统失效等。,2.2攻击2.2.1攻击的类型,（2）截取攻击截取攻击可使非授权者得到资产的访问，这是一种针对机密性的攻击，如图2.2(c)所示。非授权者可以是一个人、一个程序或一台计算机，例如，通过窃听获取网上数据以及非授权的复制文件和程序。（3）篡改攻击篡改攻击是非授权者不仅访问资产，而且能修改信息，这是一种针对完整性的攻击，如图2.2(d)所示。例如，改变数据文件的值，修改程序以及在网上正在传送的报文内容。,（4）伪造攻击伪造攻击是非授权者在系统中插入伪造的信息，这是一种针对真实性的攻击，如图2.2（e）所示。例如，在网上插入伪造的报文，或在文件中加入一些记录。,图2.2各种安全威胁,从攻击方式来看，攻击类型可分为被动攻击和主动攻击，如图2.3所示。,2.2.2主动攻击与被动攻击,图2.3主动和被动安全威胁,1.被动攻击窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。,通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信，那么即使这些内容被截获，也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容，攻击者仍有可能观察到这些传输的报文形式。攻击者有可能确定通信主机的位置和标识，也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。对被动攻击的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。,2.主动攻击主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可分成4类：（1）伪装伪装是一个实体假装成另一个实体。伪装攻击往往连同另一类主动攻击一起进行。例如，身份鉴别的序列被捕获，并在有效的身份鉴别发生时作出回答，有可能使具有很少特权的实体得到额外的特权，这样不具有这些特权的人获得了这些特权。（2）回答回答攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。,（3）修改报文修改报文攻击意味着合法报文的某些部分已被修改，或者报文的延迟和重新排序，从而产生非授权的效果。（4）拒绝服务拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。这种攻击可能针对专门的目标（如安全审计服务），抑制所有报文直接送到目的站；也可能破坏整个网络，使网络不可用或网络超负荷，从而降低网络性能。,主动攻击和被动攻击具有相反的特性。被动攻击难以检测出来，然而有阻止其成功的方法。而主动攻击难以绝对地阻止，因为要做到这些，就要对所有通信设施、通路在任何时间进行完全的保护。因此对主动攻击采取检测的方法，并从破坏中恢复。因为制止的效应也可能对防止破坏做出贡献。,访问攻击是攻击者企图获得非授权信息，这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下，如图2.4所示。这类攻击是针对信息机密性的攻击。,2.2.3访问攻击,图2.4访问攻击可能发生的地方,常见的访问攻击有3种：（1）窥探窥探（snooping）是查信息文件，发现某些对攻击者感兴趣的信息。攻击者试图打开计算机系统的文件，直到找到所需信息。（2）窃听窃听（eavesdropping）是偷听他人的对话，为了得到非授权的信息访问，攻击者必须将自己放在一个信息通过的地方，一般采用电子的窃听方式，如图2.5所示。,图2.5窃听,（3）截获截获（interception）不同于窃听，它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过的通路，且在信息到达目的地前能事先捕获这些信息。攻击者检查截获的信息，并决定是否将信息送往目的站，如图2.6所示。,图2.6截获,电子信息可存储在桌面计算机、服务器、笔记本计算机、软盘、CD-ROM以及后备磁带中。如没有物理安全措施，这些介质可能被偷走，攻击者就很容易得到所要的信息。如果攻击者设法取得合法访问权，就可简单地打开文件系统。假如访问控制权限设置恰当，系统就可对非授权者拒绝访问。正确的许可权设置可阻止大部分不经心的窥视。然而对有意的攻击者企图偷到许可权，并阅读文件或降低对文件访问的控制，由于系统有很多漏洞，使得攻击者的这些行动能得逞。,对传输中的信息可通过窃听获得。在局域网中，攻击者在联到网上的计算机系统中安装一个信息包探测程序（sniffer），来捕获在网上的所有通信。通常配置成能捕获ID和口令。窃听也可能发生在广域网（如租用线和电话线）中，然而这类窃听需要更多的技术和设备。通常在设施的接线架上采用T形分接头来窃听信息。它不仅用于电缆线，也可用于光纤传输线，但需要专门的设备。,使用截获来取得所需信息，对攻击者来说也比较困难。攻击者必须将自己的系统插入到发送站和接收站之间。在Internet上，可通过名字转换的改变来达到目的，即将计算机名转换成一个错误的IP地址，如图2.7所示。这样信息就送到攻击者的系统，而不是正确的目的站。如果攻击者正确地配置其系统，发送者和目的站可能永远不知道他是在和攻击者通信。,图2.7使用错误的名字转换截获信息,截获还可对已经进行的正常会话接管和转移。这类攻击发生在交互式通信中，如telnet。这时，攻击者必须在客户机或服务器的同一网段。攻击者让合法用户开始和服务器会话，然后使用专门的软件来接管这个会话。这类攻击使攻击者能在服务器上具有同样的特权。,篡改攻击是攻击者企图修改信息，而他们本来是无权修改的。这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下，是针对信息完整性的攻击。常见的篡改攻击有3种：（1）改变改变已有的信息。例如，攻击者改变已存在的员工工资，改变以后的信息虽然仍存在于该组织，但已经是不正确的信息。这种改变攻击的目标通常是敏感信息或公共信息。,2.2.4篡改攻击,（2）插入插入信息可以改变历史的信息。例如，攻击者在银行系统中加一个事务处理，从而将客户账户的资金转到自己账户上。（3）删除删除攻击是将已有的信息去除，可能是将历史记录的信息删除。例如，攻击者将一个事务处理记录从银行结账单中删除，从而造成银行资金的损失。,修改电子信息比修改纸上信息容易得多。假如攻击者已经访问了文件，可以几乎不留证据地修改。假如攻击者没有访问文件的权限，则攻击者首先必须提高对系统的访问权，或者移去文件的许可权。在访问攻击中，攻击者利用系统的漏洞获取访问权，然后再修改文件。攻击者要改变数据库文件或处理队列更难一些。在某些情况下，事务处理也编成序列号，不正确地移走或加一个序列号，会导致系统发出警报。只有对整个系统进行变更，才能使篡改不易被察觉。,拒绝服务攻击（DenialofService,DOS）是拒绝合法用户使用系统、信息、能力等各种资源。拒绝服务攻击一般不允许攻击者访问或修改计算机系统的信息。拒绝服务攻击可分成以下4种：（1）拒绝访问信息拒绝访问信息使信息不可用，不论是信息被破坏或者将信息改变成不可使用状态，也可能信息仍存在，但已经被移到不可访问的位置。,2.2.5拒绝服务攻击,（2）拒绝访问应用拒绝访问应用的目标是操纵或显示信息的应用。通常对正在运行应用程序的计算机系统进行攻击，这样应用程序不可用，以致不能执行由该应用程序完成的任务。（3）拒绝访问系统拒绝访问系统通常是使系统宕机，使运行在该计算机系统上的所有应用无法运行，使存储在该计算机系统上的所有信息不可用。,（4）拒绝访问通信拒绝访问通信是针对通信的一种攻击，已有很多年历史。这类攻击可能用切断通信电缆、干扰无线电通信以及用过量的通信负载来淹没网络。拒绝访问通信的目标是通信介质本身，从而阻止用户通过网络访问系统和信息。拒绝服务攻击主要是针对计算机和网络系统。很多方法可以使电子形式的信息遭受拒绝服务攻击。在拒绝访问信息的同时，信息有可能被删除，当然这类攻击需要同时将后备信息也删除。也有可能通过改变文件提供无用信息，例如，攻击者对文件加密并毁掉密钥，这样任何人都无法访问这些信息。,带有信息的计算机也可能被偷走。短期的拒绝服务攻击可以简单地将系统关掉，导致系统本身拒绝服务。拒绝服务攻击可直接针对系统，使计算机系统破坏。通过一些漏洞可使应用程序不可用。这类漏洞使攻击者对应用程序发送一些事先设定的命令，从而使应用程序无法正常运行。应用程序看起来像被摧垮一样，即使重新启动，仍无法运行。最容易使通信设施不可用的方法是切断电缆。但这类攻击需要到现场物理访问网络电缆。另一种拒绝服务攻击的方法是对一个场地发送大量的通信量，阻止合法用户使用。,否认攻击是针对信息的可审性进行的。否认攻击企图给出假的信息或者否认已经发生的现实事件或事务处理。否认攻击包括两类：（1）假冒假冒是攻击者企图装扮或假冒别人和别的系统。这种攻击可能发生在个人通信、事务处理或系统对系统的通信中。,2.2.6否认攻击,（2）否认否认一个事件是简单地抵赖曾经登录和处理的事件。例如，一个人用信用卡在商店里购物，然而当账单送到时，告诉信用卡公司，他从未到该商店购物。电子信息比纸上信息更易实现否认攻击。电子文本能生成和发送给别人，而几乎没有发送者身份的证据。例如，发送者发送电子邮件，可以任意改变其发送者地址，电子邮件系统几乎不能验证发送者的身份。同样网上计算机系统发送信息时，可用任何IP地址，这样的计算机系统就可伪装成另一个系统。,从本质上讲，安全就是风险管理。一个组织者如果不了解其信息资产的安全风险，很多资源就会被错误地使用。风险管理提供信息资产评估的基础。通过风险识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。,2.3风险管理,风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。如果没有风险，就不需要安全了。风险还是从事安全产业者应了解的一个观念。以传统的保险业为例来了解风险的含义。一个客户因感到危险，所以向保险公司购买保险。买保险前，如果出车祸，他需要花很多修理费，买了保险后就可减少花大笔钱的风险。保险公司设定保险费的依据有两个，一个是汽车修理的费用，另一个是该客户发生车祸的可能性。,2.3.1风险的概念,从上面的例子可以看出，风险包含两个部分。第一个是车的修理费，如果车祸发生，保险公司就要付这笔费用，将它定为保险公司的漏洞或脆弱性。第二个是客户发生车祸的可能性，这是对保险公司的威胁，因为它有可能使保险公司付修理费。因此漏洞和威胁是测定风险的两个组成部分。图2.8表示漏洞和威胁之间的关系，由图可知，如果没有威胁，也就没有风险；同样地，如果没有漏洞，也就没有风险。,图2.8漏洞和威胁的关系,1.漏洞漏洞是攻击的可能的途径。漏洞有可能存在于计算机系统和网络中，它允许打开系统，使技术攻击得逞。漏洞也有可能存在于管理过程中，它使系统环境对攻击开放。漏洞的多少是由需要打开系统的技术熟练水平和困难程度来确定的，还要考虑系统暴露的后果。如果漏洞易于暴露，并且一旦受到攻击，攻击者可以完全控制系统，则称高值漏洞或高脆弱性。如果攻击者需要对设备和人员投入很多资源，漏洞才能暴露，并且受到攻击后，也只能获取一般信息，而非敏感信息，则称低值漏洞或低脆弱性。漏洞不仅和计算机系统、网络有关，而且和物理场地安全、员工的情况、传送中的信息安全等有关。,2.威胁威胁是一个可能破坏信息系统环境安全的动作或事件。威胁包含以下3个组成部分：（1）目标威胁的目标通常是针对安全属性或安全服务，包括机密性、完整性、可用性、可审性等。这些目标是在威胁背后的真正理由或动机。一个威胁可能有几个目标，例如，可审性可能是攻击的首要目标，这样可防止留下攻击者的记录，然后，把机密性作为攻击目标，以获取一些关键数据。（2）代理代理需要有3个特性：,访问。一个代理必须有访问所需要的系统、网络、设施或信息的能力。可以是直接访问，例如，代理有系统的账号。也可以是间接访问，例如，代理通过其他的方法来访问系统。代理有的访问直接影响到为了打开漏洞所必须执行的动作的能力。知识。一个代理必须具有目标的知识，有用的知识包括用户ID、口令、文件位置、物理访问过程、员工的名字、访问电话号码、网络地址、安全程序等。代理对目标越熟悉，就具有越多的存在的漏洞的知识；代理对存在的漏洞知道得越具体，就越能获得更多打开漏洞的知识。,动机。一个代理对目标发出威胁，需要有动机，通常动机是考虑代理攻击目标的关键特性。动机可能是不同的，有的为了竞争、挑战；有的是贪心，以获得钱、物、服务、信心；有的是对某组织或个人有恶意伤害的企图。根据代理的3个特性，应该考虑的代理可能是各种各样的，包括员工、和组织有关的外部员工、黑客、商业对手、恐怖分子、罪犯、客户、访问者以及自然灾害等。当考虑这些代理时，应该作出定量的判断，以得出每个代理对访问组织的目标的必要性，根据前面分析的漏洞考虑攻击的可能性。,（3）事件事件是代理采取的行为，从而导致对组织的伤害。例如，一个黑客改变一个组织的Web页面来伤害它。另外要考虑的是假如代理得到访问会产生什么样的伤害。常见的事件如下：对信息、系统、场地滥用授权访问；恶意地改变信息；偶然地改变信息；对信息、系统、场地非授权访问；,恶意地破坏信息、系统、场地；偶然地破坏信息、系统、场地；对系统和操作的恶意物理损害；对系统和操作的偶然物理损害；由于自然物理事件引起的系统和操作的损害；引入对系统的恶意软件；破坏内部或外部的通信；被动地窃听内部或外部的通信；偷窃硬件。,3.威胁漏洞风险风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险，没有威胁的漏洞也没有风险。风险的度量是要确定事件发生的可能性。风险可划分成低、中、高个级别。,（1）低级别风险是漏洞使组织的风险达到一定水平，然而不一定发生。如有可能应将这些漏洞去除，但应权衡去除漏洞的代价和能减少的风险损失。（2）中级别风险是漏洞使组织的信息系统或场地的风险（机密性、完整性、可用性、可审性）达到相当的水平，并且已有发生事件的现实可能性。应采取措施去除漏洞。（3）高级别风险是漏洞对组织的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害。必须立即采取措施去除漏洞。,对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措施，如图2.9所示。,2.3.2风险识别,图2.9风险识别,1.识别漏洞识别漏洞时，从确定对该组织的所有入口开始，也就是寻找该组织内的系统和信息的所有访问点。这些入口包括Internet的连接、远程访问点、与其他组织的连接、设备的物理访问以及用户访问点等。对每个访问点识别可访问的信息和系统，然后识别如何通过入口访问这些信息和系统。应该包括操作系统和应用程序中所有已知的漏洞。在以后的章节里还会详细地做风险评估。,2.识别现实的威胁威胁评估是十分具体的，有时也是很困难的。在试图识别一个组织或目标的威胁时，经常会转到那些竞争对手的身上。然而，真正的威胁往往是非常隐蔽的，在攻击事件发生图2.9一个组织风险评估的组成以前，真正的目标威胁往往并不暴露出来。一个目标威胁是对一个已知的目标具有已知的代理、已知的动机、已知的访问和执行已知的事件的组合。例如，有一个不满意的员工（代理）希望得到正在该组织进行的最新设计的知识（动机），该员工能访问组织的信息系统（访问），并知道信息存放的位置（知识）。该员工正窥测新设计的机密并且企图获得所需文件。,识别所有的目标威胁是非常费时和困难的。可以变更一种方法，即假设存在一个威胁的通用水平，这个威胁可能包括任何具有访问组织信息或系统的可能性的人。这个威胁确实是存在的，因为人们（员工、客户、供应商等）必须访问该组织的系统和信息，这对其工作是有用的。然而，我们不必要具有对组织某些部分的直接的或特定的威胁的知识。假如我们假设一个通用的威胁(某些人可能具有访问、知识、动机做某些坏事)，就能检查组织内允许这些访问发生可能产生的漏洞。将任何这样的漏洞计入风险，因为我们已经假定这些有可能暴露漏洞的威胁。,3.检查对策和预防措施在分析评估攻击的可能途径时，必须同时检查如果漏洞真正存在，相应环境采取的对策和预防措施。这些预防措施包括防火墙、防病毒软件、访问控制、双因子身份鉴别系统、仿生网络安全程序、用于访问设备的卡读出器、文件访问控制、对员工进行安全培训等。对于组织内的每个访问点都应有相应的预防措施。例如，该组织有一个Internet连接，这就提供了访问该组织内部系统的可能性。可以采用防火墙来保护这个访问点，设置和检查防火墙的规则，可以很好地识别来自外部对内部系统访问的企图。这样外部攻击者不能用访问点的某些漏洞，因为防火墙阻止访问这些漏洞和系统。,4.识别风险一旦对漏洞、威胁、预防措施进行了识别，就可确定该组织的风险。问题变得简单了，即给出具有已存在的预防措施下识别的访问点，还有可能进入该组织的访问点。为了回答这个问题，首先确定每个访问点的可能威胁或通用威胁，并检查通过每个访问点的可能的目标（机密性、完整性、可用性、可审性）。基于它的危险程度给每个风险分成高、中、低等级。必须指出，对于相同的漏洞，可能得出基于访问点的不同级别的风险。,例如，一个内部系统在它的邮件系统内有一个漏洞，对外部来说，攻击者必须通过Internet防火墙才能发现系统，这样通过该访问点，系统是不可访问的，因此没有风险。然而，对内部员工而言，他们毋需通过防火墙进入网络，因而可访问系统。这就意味着内部员工可以利用这个漏洞来访问系统，而内部员工并未列为威胁源，因此可将它列为中等风险级别。上述例子中，如果物理安全控制很弱，任何人可随意进出，使非授权者可操作该系统，则该系统即使有防火墙这类预防措施，对具有恶意动机的攻击者来说也是无效的。由于缺乏物理安全预防措施，这种情况下应列为高风险级别。,当然，仅仅将风险分成高、中、低个级别还未解决风险识别的全部问题，还应看如果漏洞暴露，对该组织的危害是否是持续的；该组织需要花费多少资源，才能减少风险。,风险测量必须识别出在受到攻击后该组织需要付出的代价。图2.10表示风险测量的全部。认识到风险使该组织付出的代价也是确定如何管理风险的决定因素。风险永远不可能完全去除，风险必须管理。代价是多方面的，包括资金、时间、资源、信誉以及丢失生意等。,2.3.3风险测量,图2.10测量风险,1.资金资金是最显而易见的风险代价，包括损失的生产能力、设备或金钱的被窃、调研的费用、修理或替换系统的费用、专家费用、员工加班时间等。上面只是列出了部分代价，可见风险代价之巨大。有些损失在实际的事件发生前是不知道的，也应将其计入风险代价。最困难的资金代价估计是损失的生产能力这一项。有的生产能力损失是永远不可恢复的，有的生产能力损失可在付出一定费用恢复系统后恢复。有些是难以估计的。,2.时间时间的代价很难量化。由于安全事件使一个技术人员不能执行其正常的任务，或许可以按时间的总和计算，但又如何计算其他人员等待计算机修复所付出的时间代价呢？时间可能以关键系统宕机时间来计算，例如一个组织的Web站受破坏了，该系统只能离线并修复。那么如何计算该Web站宕机所造成的影响？再如，由于攻击得逞导致该组织的产品延迟，如何来计算由于该延迟引起的损失，但无论如何，时间损失必须计入风险测量中。,3.资源资源可以是人、系统、通信线路、应用程序或访问。资源代价指如攻击得逞，需要多少资源来恢复正常。很明显，对一些能用钱来计算的资源是可能计算的，然而对一些不可用钱来计算的资源就难以估算，如本应去完成另一任务的人来处理该事故恢复，则另一任务的延误如何确定其代价？又如，攻击使网络连接很慢，由此引起的很多需要连接网络的工作延误，这一损失代价又如何计算？,4.信誉一个组织的信誉损失是十分关键的损失，然而这类损失的代价也难以测量。什么是一个组织的真正的信誉损失代价？信誉就是诚信、可信。一个组织在公众心目中的可信度是十分重要的。例如，银行的信誉就等于该银行在公众心目中的可信度，客户的钱是否能安全地存放决定了客户是否愿意将钱存入该银行，否则客户就会将已存的钱从该银行取走，甚至使银行倒闭。又如，一个慈善机构的信誉就是能否合理地使用捐款，这决定了它是否能募集到资金。,对每个识别风险的风险测量的可能结果，回答以下问题：识破风险所需的花费是多少？包括跟踪的员工时间、顾问时间、新设备的花费。为了成功地识破风险要花多少时间？什么样的资源会受到影响？而组织的哪一部分依赖于这些资源？该事件对组织的信誉影响如何？会丢失多少经营的业务？什么类型的业务会丢失？回答了上述问题以后，可列出一个表，以表示每个风险可能引起的后果。利用这些信息来开发相应的风险管理项目。,风险分析是对需要保护的资产及其受到的潜在威胁的鉴别过程。风险是威胁和漏洞的组合。正确的风险分析是保证网络环境及其信息安全的极其重要的一步。风险分析始于对需要保护的资产（物理资源、知识资源、时间资源、信誉资源）的鉴别以及对资产威胁的潜在攻击源的分析。资产的有效保护是尽可能降低资产受危害的潜在代价以及由于采取安全措施付出的操作代价。一个性能良好的安全系统结构和安全系统平台，可以低的安全代价换取高的安全强度。,2.4本