典型风险评估案例结果

典型风险评估案例结果分析

贾颖禾国务院信息化工作办公室网络与信息安全组2004年6月11日典型风险评估案例结果分析

源自1996年美国国会总审计署（GAO）的报告的研究（GAO）对国防部的计算机攻击带来不断增加的风险（ComputerAttacksatDepartmentofDefensePoseIncreasingRisks）目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息，给国家安全带来了很大威胁。 在这种情况下，GAO被邀请对国防信息网络进行风险评估，以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战。第一部分：典型个案罗马实验室攻击案例罗马实验室（RomeLaboratory,NewYork）位于美国纽约州，是美国空军的一个重要的军事设施。研究项目包括：战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。在1994年3月至4月间，两个黑客（一个英国黑客、一个不明国籍）对该实验室进行了多达150次的攻击。他们使用了木马程序和嗅探器（sniffer）来访问并控制罗马实验室的网络。另外，他们采取了一定的措施使得他们很难被反跟踪。他们没有直接访问罗马实验室，而是首先拨号到南美（智利和哥伦比亚），然后在通过东海岸的商业Internet站点，连接到罗马实验室。攻击者控制罗马实验室的支持信息系统许多天，并且建立了同外部Internet的连接。在这期间，他们拷贝并下载了许多机密的数据，包括象国防任务指令系统的数据。通过伪装成罗马实验室的合法用户，他们同时成功的连接到了其他重要的政府网络，并实施了成功的攻击。包括（NationalAeronauticsandSpaceadministration’s(NASA)GoddardSpaceFlightCenter，Wright-PattersonAirForceBase，someDefensecontractors，andotherprivatesectororganizations）美国空军信息中心（AirForceInformationWarfareCenter(AFIWC)）估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、安全安全补丁、恢复系统以及调查费用等等。从计算机系统中丢失的及其有价值的数据的损失是无法估量的。比如：罗马实验室用了3年的时间，花费了400万美圆进行的空军指令性研究项目，已经无法实施。其它的攻击案案例一1995年到到1996年年，一个攻击击者从亚立桑桑那州利用互互联网访问了了一个美国大大学的计算机机系统，以它它为跳板，进进入了美国海海军研究实验验室、NASA、LosAlamos国家实实验室的网络络中。这些网网络中存储了了大量绝密信信息，比如：：飞机设计、、雷达技术、、卫星技术、、武器和作战战控制系统等等等。海军根根本没有办法法确定那次攻攻击造成多么么巨大的损失失。案例二在1990年年四月到1991年三月月之间，荷兰兰的黑客渗透透进了34个个国防计算机机系统。他对对系统进行修修改，从而获获得了更高的的访问权限。。他读取邮件件，搜索敏感感的关键字，，比如象核设设施、武器、、导弹等等，，并且下载了了很多军事数数据。攻击完成后，，他修改系统统的日志以避避免被探测到到。第二部分现现实实1.国防部的的计算环境国防部有200个指挥中中心、16个个信息处理中中心，2百万万个用户，210万台计计算机，10，000个个网络。最高机密信息息相对而言比比较安全，有有如下几个个个方面因素：：保存在物理隔隔离的网络中中（边界）经过机密处理理（信息保护护）只在安全的路路经中传输（（传输）（美国国家通通信系统的要要求：第一等等的用户，第第一时间，第一个知道，，第一个搞清清楚，第一个个行动）2.黑客的的攻击手段黑客的攻击手手段多种多样样，比较典型型的是sendmail攻击、口令令攻击、数据据窃听等等。。黑客在进攻计计算机系统时时，通常使用用多种技术或或工具并利用用系统的漏洞洞在网络上进进行。3.攻击行行为的数量迅迅速增长DISA估计计去年国防网网络遭受了250,000次攻击。。被发现的攻攻击行为非常常少，因此很很难统计确切切数字。许多多机构只发现现了少量的攻攻击，在已经经发现的这些些少量的攻击击行为中，被被报告的攻击击行为又只占占非常少的比比例。这个估估计的数字建建立在DISA的漏洞分析和评评估的基础上。为为了进行评估估，DISA的人员从互互联网上发动动攻击。从1992年来来，DISA发动了38,000次次攻击活动，，用以检测网网络的受保护护情况。（如下图所示示）DISA对美美军网络实施施的38000次渗透性性攻击测试，，24700次即65％％的攻击行为为取得了成功功。在这些成成功的攻击中中，只有988即4％被被发现。在被被发现的攻击击活动中，只只有267次次即27％被被报告给了DISA。也也就是说，只只有不到1/150的攻攻击事件被报报告。DISA也维维护了官方报报道的有关攻攻击行为的数数据。下图显显示了相关情情况：第三部分重重要结论一.评估结结果简述结论：针对国国防计算机系系统的攻击是是非常严重的的，国防系统统面临的威胁胁在不断的加加重。1. 攻击行行为的确切数数字很难统计计，因为只有有非常小一部部分被探测到到并且被报告告出来。然而而DISA（（DefenseInformationSystemsAgency））的数据显示示，国防系统统去年一年遭遭受了250，000的的攻击行为，，其中有65％的攻击取取得了成功。。每年的攻击击行为都以两两倍的速度在在递增。2.攻击行行为的花费非非常小，但是是给国防系统统带来的威胁胁却非常大。。攻击者已经经控制了许多多国防信息系系统，其中有有些系统非常常敏感，比如如：武器研发发、财政等等等。攻击者也也经常偷窃、、修改、破坏坏重要的数据据和软件。在著名的“罗罗马实验室””案例中，两两个黑客控制制了实验室的的支持系统，，并同外部的的Internet站点点建立了连接接，偷走了许许多重要的数数据。3.尽管正正在采取措施施来解决日益益严重的威胁胁，但是在限限制进入计算算机的非法访访问时，面临临巨大的挑战战。目前，在在风险评估、、保护系统、、紧急响应、、评估损害程程度等方面还还没有统一的的策略。二.重要发发现计算机攻击行行为正在迅速速增长为了保护信息息系统，国防防部不得不保保护巨大的信信息基础设施施：210万万台计算机、、10，000个局域网网、100多多个广域网。。各个国防系统统都在越来越越依赖计算机机系统，特别别是在武器设设计、敌对目目标识别、发发放薪水、管管理后勤等领领域。为了加强通信信和信息共享享，许多国防防网络连接到到了互联网上上，这使得他他们非常容易易受到威胁。。2.攻击行行为造成了严严重破坏DISA估计计国防网络去去年受到了250,000次的攻击击。然而，确确切的数字难难以统计，因因为只有1/150的攻攻击行为被发发现和报告。。另外，在测测试信息系统统时，DISA有65％％的攻击行为为取得了成功功。攻击行为给国国防系统带来来的财政负担担是巨大的。。1994年年的“罗马实实验室”事件件使国防部花花费了500,000$，用于评估估对信息系统统的损坏程度度、修补漏洞洞、识别黑客客等。3.对国家家安全的潜在在威胁对国防系统的的的入侵会严严重的损害国国家安全。计计算机网络与与互联网系统统相连，使得得我们的敌人人只使用简单单的装备和较较低的代价就就能够取得非非常大的回报报。结果，越越来越多的恐恐怖分子和敌敌对分子威胁胁国家的安全全。NSA已经知知道潜在的对对手以及开发发了针对国防防信息系统进进行攻击的知知识库。根据据国防部的官官员透露，这这些方法包括括计算机病毒毒、自动攻击击程序等都可可以让攻击者者在世界的任任何地方发动动攻击。世界界上有120个国家都在在对攻击技术术进行研究反击攻击行为为面临的挑战战随着互联网应应用的不断普普及，攻击技技术的不断发发展、攻击工工具和方法的的不断进化，，防止计算机机系统的非法法访问越来越越困难。国防系统正在在采取措施来来加强信息系系统的安全以以防止攻击事事件，但是需需要更多的资资源以及管理理上的认可。。目前的许多多对计算机攻攻击行为的防防御策略已经经过时或没有有效果。许多多国防策略都都是在计算机机系统隔离的的时代制定的的，已经不适适应当前的形形势。三.建建议议为了了建建立立起起有有效效信信息息系系统统安安全全流流程程，，必必须须有有足足够够的的资资源源、、管管理理层层的的认认可可、、以以及及充充分分的的优优先先权权。。尤尤其其是是下下列列因因素素：：改善善安安全全政政策策和和流流程程增加加用用户户的的意意识识以以及及责责任任保证证网网络络安安全全人人员员有有足足够够的的时时间间和和训训练练开发发更更有有效效的的技技术术性性保保护护和和监监视视程程序序评估估国国防防紧紧急急响响应应能能力力后续续影影响响1996年年5月月20日日GAO的的报报告告发发表表1996年年7月月15日日克克林林顿顿发发布布13010号号总总统统行行政政令令，，成成立立由由总总统统牵牵头头、、十十个个部部长长参参加加的的关关键键基基础础设设施施保保护护委委员员会会。。1998年年至至2001年年10月月克克林林顿顿和和布布什什两两届届政政府府连连续续发发布布四四个个总总统统令令（（PDD63等等）），，巩巩固固和和加加强强顶顶层层协协调调。。2000年年1月月公公布布““保保护护网网络络空空间间国国家家计计划划””。。2003年年3月月公公布布““保保护护网网络络空空间间国国家家战战略略””2001和和2002财财年年的的联联邦邦政政府府信信息息安安全全管管理理报报告告，，将将最最重重要要的的24个个部部门门的的信信息息安安全全的的风风险险评评估估状状况况，，作作为为信信息息安安全全考考核核的的6个个指指标标之之一一，，放放在在第第一一的的位位置置。。2003财财年年的的联联邦邦政政府府信信息息安安全全管管理理报报告告，，又又将将考考核核的的范范围围扩扩大大了了50个个独独立立总总局局，，并并将将风风险险评评估估基基础础上上的的认认证证认认可可作作为为一一项项新新考考核核指指标标。。1998年开始始美国政政府出资资（特别别是2002年年以后）），由由ＮＩＳＳＴ制订订相关指指导性文文件和标标准，推推动风险险评估和和风险管管理工作作的开展展，这一一过程还还在发展展中。风险评估估亟待探探讨和解解决的几几个问题题贾颖颖禾禾国务院信信息化工工作办公公室网络与信信息安全全组2004年6月月11日日1、定义义问题：：信息系系统安全全风险评评估的概概念信息系统统的安全全风险，，是指由由于系统统存在的的脆弱性性，人为为或自然然的威胁胁导致安安全事件件发生的的可能性性及其造造成的影影响。信息安全全风险评评估，则则是指依依据有关关信息安安全技术术标准，，对信息息系统及及由其处处理、传传输和存存储的信信息的保保密性、、完整性性和可用用性等安安全属性性进行科科学评价价的过程程，它要要评估信信息系统统的脆弱弱性、信信息系统统面临的的威胁以以及脆弱弱性被威威胁源利利用后所所产生的的实际负负面影响响，并根根据安全全事件发发生的可可能性和和负面影影响的程程度来识识别信息息系统的的安全风风险。信息安全全是一个个动态的的复杂过过程，它它贯穿于于信息资资产和信信息系统统的整个个生命周周期。信信息安全全的威胁胁来自于于内部破破坏、外外部攻击击、内外外勾结进进行的破破坏以及及自然危危害。必必须按照照风险管管理的思思想，对对可能的的威胁、、脆弱性性和需要要保护的的信息资资源进行行分析，，依据风风险评估估的结果果为信息息系统选选择适当当的安全全措施，，妥善应应对可能能发生的的风险。。人们的认认识能力力和实践践能力是是有局限限性的，，因此，，信息系系统存在在脆弱性性是不可可避免的的。信息息系统的的价值及及其存在在的脆弱弱性，使使信息系系统在现现实环境境中，总总要面临临各种人人为或自自然的威威胁，存存在安全全风险也也是必然然的。信信息安全全建设的的宗旨之之一，就就是在综综合考虑虑成本与与效益的的前提下下，通过过安全措措施来控控制风险险，使残残余风险险降低到到可接受受的程度度。因为任何何信息系系统都会会有安全全风险，，所以，，人们追追求的所所谓安全全的信息息系统，，实际是是指信息息系统在在实施了了风险评评估并做做出风险险控制后后，仍然然存在的的残余风风险可被被接受的的信息系系统。因因此，要要追求信信息系统统的安全全，就不不能脱离离全面、、完整的的信息系系统的安安全评估估，就必必须运用用风险评评估的思思想和规规范，对对信息系系统开展展风险评评估。2、作用用问题：：风险评评估是分分析确定定风险的的过程任何系统统的安全全性都可可以通过过风险的的大小来来衡量。。科学分分析系统统的安全全风险，，综合平平衡风险险和代价价的过程程就是风风险评估估。风险险评估不不是某个个系统（（包括信信息系统统）所特特有的。。在日常常生活和和工作中中，风险险评估也也是随处处可见，，为了分分析确定定系统风风险及风风险大小小，进而而决定采采取什么么措施去去减少、、避免风风险，把把残余风风险控制制在可以以容忍的的范围内内。人们们经常会会提出这这样一些些问题：：什么地地方、什什么时间间可能出出问题？？出问题题的可能能性有多多大？这这些问题题的后果果是什么么？应该该采取什什么样的的措施加加以避免免和弥补补？并总总是试图图找出最最合理的的答案。。这一过过程实际际上就是是风险评评估。早早在上个个世纪初初期，科科学家就就已开始始研究风风险管理理理论。。3、战略略和策略略问题：：信息安安全风险险评估是是信息安安全建设设的起点点和基础础信息安全全风险评评估是风风险评估估理论和和方法在在信息系系统中的的运用，，是科学学分析理理解信息息和信息息系统在在机密性性、完整整性、可可用性等等方面所所面临的的风险，，并在风风险的预预防、风风险的控控制、风风险的转转移、风风险的补补偿、风风险的分分散等之之间作出出决择的的过程。。所有信信息安全全建设都都应该是是基于信信息安全全风险评评估，只只有在正正确地、、全面地地理解风风险后，，才能在在控制风风险、减减少风险险之间作作出正确确的判断断，决定定调动多多少资源源、以什什么的代代价、采采取什么么样的应应对措施施去化解解、控制制风险。。4、操作作和运行行问题：：信息安安全风险险评估是是需求主主导和突突出重点点原则的的具体体体现如果说信信息安全全建设必必须从实实际出发发，坚持持需求主主导、突突出重点点，则风风险评估估（需求求分析））就是这这一原则则在实际际工作中中的重要要体现。。从理论论上讲不不存在绝绝对的安安全，风风险总是是客观存存在的。。安全是是安全风风险与安安全建设设管理代代价的综综合平衡衡。不计计成本、、片面地地追求绝绝对安全全、试图图消灭风风险或完完全避免免风险是是不现实实的，也也不是需需求主导导原则所所要求的的。坚持持从实际际出发，，坚持需需求主导导、突出出重点，，就必须须科学地地评估风风险，有有效控制制风险。。5、借鉴鉴国外经经验问题题：重视视风险评评估是信信息化比比较发达达国家的的基本经经验由于信息息技术的的飞速发发展，关关系国计计民生的的关键信信息基础础设施的的规模越越来越大大，同时时也极大大地增加加了复杂杂程度，，发达国国家越来来越重视视信息安安全风险险评估工工作，提提倡风险险评估制制度化。。上个世世纪70年代，，美国政政府就发发布了《《自动化化数据处处理风险险评估指指南》。。其后颁颁布的关关于信息息安全基基本政策策文件《《联邦信信息资源源安全》》明确提提出了信信息安全全风险评评估的要要求，要要求联邦邦政府部部门依据据信息和和信息系系统所面面临的风风险，根根据信息息丢失、、滥用、、泄露、、未授权权访问等等造成损损失的大大小，制制订、实实施信息息安全计计划，以以保证信信息和信信息系统统应有的的安全。。有些国国家和国国际组织织还十分分重视阶阶段性的的再评估估工作，，以求得得信息安安全措施施可以持持续地适适应信息息安全形形势的变变化和发发展。6、责任任、角色色和管理理问题：：信息安安全风险险评估的的组织者者是信息息系统的的主管部部门和运运营单位位风险评估估作为信信息安全全保障的的一项基基础性工工作，其其评估的的结果是是领导层层进行决决策的重重要依据据；且由由于在评评估过程程中不可可避免地地涉及评评估对象象大量的的内部、、敏感甚甚至机密密信息，，对评估估的时间间、对象象、范围围、方式式、评估估人员、、评估结结果发布布等都应应该由领领导层决决定。各各信息系系统的主主管部门门和运营营单位对对此负有有组织领领导的责责任。国国家要求求各部门门各单位位重视信信息安全全风险评评估工作作，制定定政策、、法规、、标准，，组织研研发，并并采取适适当形式式进行督督促。国国家的信信息安全全风险综综合评估估由各部部门协调调合作承承担。自我评估估应该成成为信息息安全风风险评估估的主要要形式。。信息安安全建设设是一个个自我完完善和自自我提高高的过程程。管理理能力，，保护能能力，事事件发现现和处置置能力等等诸多信信息安全全关键能能力的提提高，往往往需要要在所管管辖的范范围内，，根据自自身的实实际情况况，进行行自我评评估，层层层落实实责任。。风险评评估应作作为一项项经常性性工作，，同本单单位的工工作总结结、安全全检查等等结合起起来。7、信息息使用问问题：信信息安全全风险评评估工作作的协调调合作与与信息交交流随着互联联互通的的发展，，信息系系统相互互依赖性性的增加加，信息息安全的的相互共共同责任任越来越越大，因因此，风风险评估估有关的的信息交交流共享享是必需需的，这这是互联联互通的的参与者者相互负负责任的的体现，，也是搞搞好安全全防范工工作的重重要的前前提之一一，符合合所有参参与者的的共同利利益。在在信息安安全风险险评估中中，凡与与互联的的其它参参与者有有关的情情况，应应该依据据牵