典型风险评估案例结果分析

典型风险评估案例结果分析

贾颖禾国务院信息化工作办公室网络与信息平安组2024年6月11日典型风险评估案例结果分析

源自1996年美国国会总审计署〔GAO〕的报告的研究〔GAO〕对国防部的计算机攻击带来不断增加的风险〔ComputerAttacksatDepartmentofDefensePoseIncreasingRisks〕目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息，给国家平安带来了很大威胁。 在这种情况下，GAO被邀请对国防信息网络进行风险评估，以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战。第一局部：典型个案罗马实验室攻击案例罗马实验室〔RomeLaboratory,NewYork〕位于美国纽约州，是美国空军的一个重要的军事设施。研究工程包括：战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。在1994年3月至4月间，两个黑客〔一个英国黑客、一个不明国籍〕对该实验室进行了多达150次的攻击。他们使用了木马程序和嗅探器〔sniffer〕来访问并控制罗马实验室的网络。另外，他们采取了一定的措施使得他们很难被反跟踪。他们没有直接访问罗马实验室，而是首先拨号到南美〔智利和哥伦比亚〕，然后在通过东海岸的商业Internet站点，连接到罗马实验室。攻击者控制罗马实验室的支持信息系统许多天，并且建立了同外部Internet的连接。在这期间，他们拷贝并下载了许多机密的数据，包括象国防任务指令系统的数据。通过伪装成罗马实验室的合法用户，他们同时成功的连接到了其他重要的政府网络，并实施了成功的攻击。包括〔NationalAeronauticsandSpaceadministration’s(NASA)GoddardSpaceFlightCenter，Wright-PattersonAirForceBase，someDefensecontractors，andotherprivatesectororganizations〕美国空军信息中心〔AirForceInformationWarfareCenter(AFIWC)〕估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、平安平安补丁、恢复系统以及调查费用等等。从计算机系统中丧失的及其有价值的数据的损失是无法估量的。比方：罗马实验室用了3年的时间，花费了400万美圆进行的空军指令性研究工程，已经无法实施。其它的攻击案例一1995年到1996年，一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统，以它为跳板，进入了美国海军研究实验室、NASA、LosAlamos国家实验室的网络中。这些网络中存储了大量绝密信息，比方：飞机设计、雷达技术、卫星技术、武器和作战控制系统等等。海军根本没有方法确定那次攻击造成多么巨大的损失。案例二在1990年四月到1991年三月之间，荷兰的黑客渗透进了34个国防计算机系统。他对系统进行修改，从而获得了更高的访问权限。他读取邮件，搜索敏感的关键字，比方象核设施、武器、导弹等等，并且下载了很多军事数据。攻击完成后，他修改系统的日志以防止被探测到。第二局部现实1.国防部的计算环境国防部有200个指挥中心、16个信息处理中心，2百万个用户，210万台计算机，10，000个网络。最高机密信息相对而言比较平安，有如下几个个方面因素：保存在物理隔离的网络中〔边界〕经过机密处理〔信息保护〕只在平安的路经中传输〔传输〕〔美国国家通信系统的要求：第一等的用户，第一时间，第一个知道，第一个搞清楚，第一个行动〕2.黑客的攻击手段黑客的攻击手段多种多样，比较典型的是sendmail攻击、口令攻击、数据窃听等等。黑客在进攻计算机系统时，通常使用多种技术或工具并利用系统的漏洞在网络上进行。3.攻击行为的数量迅速增长DISA估计去年国防网络遭受了250,000次攻击。被发现的攻击行为非常少，因此很难统计确切数字。许多机构只发现了少量的攻击，在已经发现的这些少量的攻击行为中，被报告的攻击行为又只占非常少的比例。这个估计的数字建立在DISA的漏洞分析和评估的根底上。为了进行评估，DISA的人员从互联网上发动攻击。从1992年来，DISA发动了38,000次攻击活动，用以检测网络的受保护情况。〔如以以下图所示〕DISA对美军网络实施的38000次渗透性攻击测试，24700次即65％的攻击行为取得了成功。在这些成功的攻击中，只有988即4％被发现。在被发现的攻击活动中，只有267次即27％被报告给了DISA。也就是说，只有不到1/150的攻击事件被报告。DISA也维护了官方报道的有关攻击行为的数据。以以下图显示了相关情况：第三局部 重要结论一.评估结果简述结论：针对国防计算机系统的攻击是非常严重的，国防系统面临的威胁在不断的加重。 1. 攻击行为确实切数字很难统计，因为只有非常小一局部被探测到并且被报告出来。然而DISA〔DefenseInformationSystemsAgency〕的数据显示，国防系统去年一年遭受了250，000的攻击行为，其中有65％的攻击取得了成功。每年的攻击行为都以两倍的速度在递增。2.攻击行为的花费非常小，但是给国防系统带来的威胁却非常大。攻击者已经控制了许多国防信息系统，其中有些系统非常敏感，比方：武器研发、财政等等。攻击者也经常偷窃、修改、破坏重要的数据和软件。 在著名的“罗马实验室〞案例中，两个黑客控制了实验室的支持系统，并同外部的Internet站点建立了连接，偷走了许多重要的数据。3.尽管正在采取措施来解决日益严重的威胁，但是在限制进入计算机的非法访问时，面临巨大的挑战。目前，在风险评估、保护系统、紧急响应、评估损害程度等方面还没有统一的策略。二.重要发现计算机攻击行为正在迅速增长 为了保护信息系统，国防部不得不保护巨大的信息根底设施：210万台计算机、10，000个局域网、100多个广域网。 各个国防系统都在越来越依赖计算机系统，特别是在武器设计、敌对目标识别、发放薪水、管理后勤等领域。 为了加强通信和信息共享，许多国防网络连接到了互联网上，这使得他们非常容易受到威胁。2.攻击行为造成了严重破坏 DISA估计国防网络去年受到了250,000次的攻击。然而，确切的数字难以统计，因为只有1/150的攻击行为被发现和报告。另外，在测试信息系统时，DISA有65％的攻击行为取得了成功。 攻击行为给国防系统带来的财政负担是巨大的。1994年的“罗马实验室〞事件使国防部花费了500,000$，用于评估对信息系统的损坏程度、修补漏洞、识别黑客等。3.对国家平安的潜在威胁 对国防系统的的入侵会严重的损害国家平安。计算机网络与互联网系统相连，使得我们的敌人只使用简单的装备和较低的代价就能够取得非常大的回报。结果，越来越多的恐怖分子和敌对分子威胁国家的平安。 NSA已经知道潜在的对手以及开发了针对国防信息系统进行攻击的知识库。根据国防部的官员透露，这些方法包括计算机病毒、自动攻击程序等都可以让攻击者在世界的任何地方发动攻击。世界上有120个国家都在对攻击技术进行研究还击攻击行为面临的挑战 随着互联网应用的不断普及，攻击技术的不断开展、攻击工具和方法的不断进化，防止计算机系统的非法访问越来越困难。 国防系统正在采取措施来加强信息系统的平安以防止攻击事件，但是需要更多的资源以及管理上的认可。目前的许多对计算机攻击行为的防御策略已经过时或没有效果。许多国防策略都是在计算机系统隔离的时代制定的，已经不适应当前的形势。三.建议 为了建立起有效信息系统平安流程，必须有足够的资源、管理层的认可、以及充分的优先权。尤其是以下因素：改善平安政策和流程增加用户的意识以及责任保证网络平安人员有足够的时间和训练开发更有效的技术性保护和监视程序评估国防紧急响应能力 后续影响1996年5月20日GAO的报揭发表1996年7月15日克林顿发布13010号总统行政令，成立由总统牵头、十个部长参加的关键根底设施保护委员会。1998年至2001年10月克林顿和布什两届政府连续发布四个总统令〔PDD63等〕，稳固和加强顶层协调。2000年1月公布“保护网络空间国家方案〞。2024年3月公布“保护网络空间国家战略〞2001和2024财年的联邦政府信息平安管理报告，将最重要的24个部门的信息平安的风险评估状况，作为信息平安考核的6个指标之一，放在第一的位置。2024财年的联邦政府信息平安管理报告，又将考核的范围扩大了50个独立总局，并将风险评估根底上的认证认可作为一项新考核指标。1998年开始美国政府出资〔特别是2024年以后〕，由ＮＩＳＴ制订相关指导性文件和标准，推动风险评估和风险管理工作的开展，这一过程还在开展中。风险评估亟待探讨和解决的几个问题

贾颖禾国务院信息化工作办公室网络与信息平安组2024年6月11日1、定义问题：信息系统平安风险评估的概念信息系统的平安风险，是指由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。信息平安风险评估，那么是指依据有关信息平安技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据平安事件发生的可能性和负面影响的程度来识别信息系统的平安风险。信息平安是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息平安的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的平安措施，妥善应对可能发生的风险。人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可防止的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为或自然的威胁，存在平安风险也是必然的。信息平安建设的宗旨之一，就是在综合考虑本钱与效益的前提下，通过平安措施来控制风险，使剩余风险降低到可接受的程度。因为任何信息系统都会有平安风险，所以，人们追求的所谓平安的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的剩余风险可被接受的信息系统。因此，要追求信息系统的平安，就不能脱离全面、完整的信息系统的平安评估，就必须运用风险评估的思想和标准，对信息系统开展风险评估。2、作用问题：风险评估是分析确定风险的过程任何系统的平安性都可以通过风险的大小来衡量。科学分析系统的平安风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统〔包括信息系统〕所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、防止风险，把剩余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以防止和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。早在上个世纪初期，科学家就已开始研究风险管理理论。3、战略和策略问题：信息平安风险评估是信息平安建设的起点和根底信息平安风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决择的过程。所有信息平安建设都应该是基于信息平安风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险之间作出正确的判断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。4、操作和运行问题：信息平安风险评估是需求主导和突出重点原那么的具体表达如果说信息平安建设必须从实际出发，坚持需求主导、突出重点，那么风险评估〔需求分析〕就是这一原那么在实际工作中的重要表达。从理论上讲不存在绝对的平安，风险总是客观存在的。平安是平安风险与平安建设管理代价的综合平衡。不计本钱、片面地追求绝对平安、试图消灭风险或完全防止风险是不现实的，也不是需求主导原那么所要求的。坚持从实际出发，坚持需求主导、突出重点，就必须科学地评估风险，有效控制风险。5、借鉴国外经验问题：重视风险评估是信息化比较兴旺国家的根本经验由于信息技术的飞速开展，关系国计民生的关键信息根底设施的规模越来越大，同时也极大地增加了复杂程度，兴旺国家越来越重视信息平安风险评估工作，提倡风险评估制度化。上个世纪70年代，美国政府就发布了?自动化数据处理风险评估指南?。其后公布的关于信息平安根本政策文件?联邦信息资源平安?明确提出了信息平安风险评估的要求，要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丧失、滥用、泄露、未授权访问等造成损失的大小，制订、实施信息平安方案，以保证信息和信息系统应有的平安。有些国家和国际组织还十分重视阶段性的再评估工作，以求得信息平安措施可以持续地适应信息平安形势的变化和开展。6、责任、角色和管理问题：信息平安风险评估的组织者是信息系统的主管部门和运营单位风险评估作为信息平安保障的一项根底性工作，其评估的结果是领导层进行决策的重要依据；且由于在评估过程中不可防止地涉及评估对象大量的内部、敏感甚至机密信息，对评估的时间、对象、范围、方式、评估人员、评估结果发布等都应该由领导层决定。各信息系统的主管部门和运营单位对此负有组织领导的责任。国家要求各部门各单位重视信息平安风险评估工作，制定政策、法规、标准，组织研发，并采取适当形式进行催促。国家的信息平安风险综合评估由各部门协调合作承担。自我评估应该成为信息平安风险评估的主要形式。信息平安建设是一个自我完善和自我提高的过程。管理能力，保护能力，事件发现和处置能力等诸多信息平安关键能力的提高，往往需要在所管辖的范围内，根据自身的实际情况，进行自我评估，层层落实责任。风险评估应作为一项经常性工作，同本单位的工作总结、平安检查等结合起来。7、信息使用问题：信息平安风险评估工作的协调合作与信息交流随着互联互通的开展，信息系统相互依赖性的增加，信息平安的相互共同责任越来越大，因此，风险评估有关的信息交流共享是必需的，这是互联互通的参与者相互负责任的表达，也是搞好平安防范工作的重要的前提之一，符合所