《計(jì)算機(jī)網(wǎng)絡(luò)安全第2章 風(fēng)險(xiǎn)分析》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)網(wǎng)絡(luò)安全第2章 風(fēng)險(xiǎn)分析（78頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、第2章 風(fēng)險(xiǎn)分析2.1 資產(chǎn)保護(hù)2.2 攻擊2.3 風(fēng)險(xiǎn)管理2.4 本章小結(jié)習(xí)題任何有效的風(fēng)險(xiǎn)分析始于需要保護(hù)的資產(chǎn)和資源的鑒別，資產(chǎn)的類型一般可分成以下4類。（1）物理資源物理資源是具有物理形態(tài)的資產(chǎn)。包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，基本上，凡是具有物理形態(tài)的計(jì)算資源都是物理資源。風(fēng)險(xiǎn)分析的最終目標(biāo)是制定一個(gè)有效的、節(jié)省的計(jì)劃來看管資產(chǎn)，不要忽視顯而易見的問題和解決辦法。2.1 資產(chǎn)保護(hù) 2.1.1 資產(chǎn)的類型（2）知識(shí)資源和物理資源相比，知識(shí)資源更難鑒別，因?yàn)樗灰噪娮拥男问酱嬖?。知識(shí)資源可以是任何信息的形式，并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財(cái)務(wù)信息、數(shù)據(jù)庫

2、記錄以及計(jì)劃圖表等。例如，公司通過電子郵件交換信息，這些電子報(bào)文的存儲(chǔ)應(yīng)看成知識(shí)資產(chǎn)。（3）時(shí)間資源時(shí)間也是一個(gè)重要的資源，甚至是一個(gè)組織最有價(jià)值的資源。當(dāng)評(píng)估時(shí)間損失對(duì)一個(gè)組織的影響時(shí)，應(yīng)考慮由于時(shí)間損失引起的全部后果。（4）信譽(yù)（感覺）資源在2000年2月，大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、eBay和B等在受到拒絕服務(wù)攻擊以后，他們的股票價(jià)狂跌。雖然這是暫時(shí)的，但足以說明消費(fèi)者和股票持有者對(duì)他們的可信度確實(shí)存在影響，且可測量。又如，2000年10月圍繞Microsoft系統(tǒng)的問題公開暴露，公眾不僅對(duì)公司，也對(duì)其產(chǎn)品的可信度產(chǎn)生了一定的影響。潛在的網(wǎng)絡(luò)攻擊可來自任何能訪問網(wǎng)絡(luò)的源，

3、這些源之間有很大差異，它依賴于一個(gè)組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問的類型。當(dāng)作風(fēng)險(xiǎn)分析時(shí)，要能識(shí)別所有的攻擊源。這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。在分析潛在攻擊源時(shí)不僅要評(píng)估誰可能攻擊網(wǎng)絡(luò)，還要尋找什么樣的介質(zhì)可用來對(duì)網(wǎng)絡(luò)資源的訪問。2.1.2 潛在的攻擊源潛在的攻擊來自多方面，包括組織內(nèi)部的員工、臨時(shí)員工和顧問、競爭者、和組織中具有不同觀點(diǎn)和目的的人、反對(duì)這個(gè)組織或其員工的人。根據(jù)這個(gè)組織的情況，還可能有各種不同的攻擊源。重要的是要決定什么樣的威脅能實(shí)現(xiàn)成功的攻擊，以及對(duì)潛伏的攻擊者而言，什么樣的攻擊

4、是值得的。在識(shí)別資源以及潛在的攻擊源后，可評(píng)估該組織受攻擊的潛在風(fēng)險(xiǎn)級(jí)別。一個(gè)網(wǎng)絡(luò)是物理隔離的網(wǎng)，還是有很多入口（如廣域網(wǎng)）、有modem池、或是經(jīng)過Internet進(jìn)入的VPN?所有這些連接點(diǎn)是否使用強(qiáng)的身份鑒別和某種形式的防火墻設(shè)備，或者其他的網(wǎng)絡(luò)保護(hù)措施？攻擊者能否發(fā)現(xiàn)某一個(gè)暴露的訪問點(diǎn)以及獲得訪問該網(wǎng)絡(luò)資源？對(duì)攻擊可能性的看法在很大程度上是帶有主觀性的，同一個(gè)組織的兩個(gè)人對(duì)攻擊可能性的觀點(diǎn)可能完全不同。因此要聽取來自不同部門的觀點(diǎn)，甚至聘請?jiān)跊Q定風(fēng)險(xiǎn)評(píng)估方面有實(shí)踐經(jīng)驗(yàn)的顧問。因?yàn)閷?duì)攻擊可能性的分析越清楚，越能更有效地保護(hù)網(wǎng)絡(luò)。資產(chǎn)一旦受到威脅和破壞，就會(huì)帶來兩類損失，一類是即時(shí)的損失，

5、如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動(dòng)生產(chǎn)率；又如，ISP的在線服務(wù)中斷帶來經(jīng)濟(jì)上的損失。另一類是長期的恢復(fù)所需花費(fèi)，也就是從攻擊或失效到恢復(fù)正常需要的花費(fèi)，例如，受到拒絕服務(wù)攻擊，在一定期間內(nèi)資源無法訪問帶來的損失；又如，為了修復(fù)受破壞的關(guān)鍵文件所需的花費(fèi)等。為了有效保護(hù)資產(chǎn)，應(yīng)盡可能降低資產(chǎn)受危害的潛在代價(jià)。另一方面，由于采取一些安全措施，也要付出安全的操作代價(jià)。網(wǎng)絡(luò)安全最終是一個(gè)折中的方案，需要對(duì)危害和降低危害的代價(jià)進(jìn)行權(quán)衡。2.1.3 資產(chǎn)的有效保護(hù)在評(píng)估時(shí)要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠(yuǎn)期網(wǎng)絡(luò)發(fā)展變化的趨勢。選用先進(jìn)的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺(tái)可減少安全操作代價(jià)，獲得良好的

6、安全強(qiáng)度。除此之外，要獲得安全強(qiáng)度和安全代價(jià)的折中，需要考慮以下因素：（1）用戶的方便程度。不應(yīng)由于增加安全強(qiáng)度給用戶帶來很多麻煩。（2）管理的復(fù)雜性。對(duì)增加安全強(qiáng)度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。（3）對(duì)現(xiàn)有系統(tǒng)的影響。包括增加的性能開銷以及對(duì)原有環(huán)境的改變等。（4）對(duì)不同平臺(tái)的支持。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)能適應(yīng)不同平臺(tái)的異構(gòu)環(huán)境的使用。圖2.1 安全強(qiáng)度和安全代價(jià)的折中圖2.1所示為安全強(qiáng)度和安全代價(jià)的折中，其中圖2.1(a)表示安全強(qiáng)度和安全操作代價(jià)的關(guān)系。圖2.1(b)表示安全強(qiáng)度和侵入系統(tǒng)可能性的關(guān)系。圖2.1(c)表示將圖2.1(a)和圖2.1(b)合在一起，其相交點(diǎn)是平衡點(diǎn)，即安全強(qiáng)度和安全

7、代價(jià)的折中選擇。圖2.1(d)表示由于入侵手段增強(qiáng)引起的變化，從而產(chǎn)生新的平衡點(diǎn)。為了有效保護(hù)資產(chǎn)，需要一個(gè)性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái)，可以小的安全代價(jià)換取高的安全強(qiáng)度。從安全屬性來看，攻擊類型可分為以下4類，如圖2.2所示，圖2.2(a)是從源站到目的站的正常信息流。（1）阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無法提供用戶使用，這是一種針對(duì)可用性的攻擊，如圖22(b)所示。例如，破壞硬盤之類的硬件，切斷通信線路，使文件管理系統(tǒng)失效等。2.2 攻擊 2.2.1 攻擊的類型（2）截取攻擊截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問，這是一種針對(duì)機(jī)密性的攻擊，如圖2.2(c)所示。非授權(quán)者可以是一個(gè)

8、人、一個(gè)程序或一臺(tái)計(jì)算機(jī)，例如，通過竊聽獲取網(wǎng)上數(shù)據(jù)以及非授權(quán)的復(fù)制文件和程序。（3）篡改攻擊篡改攻擊是非授權(quán)者不僅訪問資產(chǎn)，而且能修改信息，這是一種針對(duì)完整性的攻擊，如圖2.2(d)所示。例如，改變數(shù)據(jù)文件的值，修改程序以及在網(wǎng)上正在傳送的報(bào)文內(nèi)容。（4）偽造攻擊偽造攻擊是非授權(quán)者在系統(tǒng)中插入偽造的信息，這是一種針對(duì)真實(shí)性的攻擊，如圖2.2（e）所示。例如，在網(wǎng)上插入偽造的報(bào)文，或在文件中加入一些記錄。圖2.2 各種安全威脅從攻擊方式來看，攻擊類型可分為被動(dòng)攻擊和主動(dòng)攻擊，如圖2.3所示。2.2.2 主動(dòng)攻擊與被動(dòng)攻擊圖2.3 主動(dòng)和被動(dòng)安全威脅1.被動(dòng)攻擊竊聽、監(jiān)聽都具有被動(dòng)攻擊的本性，攻

9、擊者的目的是獲取正在傳輸?shù)男畔?。被?dòng)攻擊包括傳輸報(bào)文內(nèi)容的泄露和通信流量分析。報(bào)文內(nèi)容的泄露易于理解，一次電話通信、一份電子郵件報(bào)文、正在傳送的文件都可能包含敏感信息或秘密信息。為此要防止對(duì)手獲悉這些傳輸?shù)膬?nèi)容。通信流量分析的攻擊較難捉摸。假如有一個(gè)方法可屏蔽報(bào)文內(nèi)容或其他信息通信，那么即使這些內(nèi)容被截獲，也無法從這些報(bào)文中獲得信息。最常用的屏蔽內(nèi)容技術(shù)是加密。然而即使用加密保護(hù)內(nèi)容，攻擊者仍有可能觀察到這些傳輸?shù)膱?bào)文形式。攻擊者有可能確定通信主機(jī)的位置和標(biāo)識(shí)，也可能觀察到正在交換的報(bào)文頻度和長度。而這些信息對(duì)猜測正在發(fā)生的通信特性是有用的。對(duì)被動(dòng)攻擊的檢測十分困難，因?yàn)楣舨⒉簧婕皵?shù)據(jù)的任何

10、改變。然而阻止這些攻擊的成功是可行的，因此，對(duì)被動(dòng)攻擊強(qiáng)調(diào)的是阻止而不是檢測。2.主動(dòng)攻擊主動(dòng)攻擊包含對(duì)數(shù)據(jù)流的某些修改，或者生成一個(gè)假的數(shù)據(jù)流。它可分成4類：（1）偽裝偽裝是一個(gè)實(shí)體假裝成另一個(gè)實(shí)體。偽裝攻擊往往連同另一類主動(dòng)攻擊一起進(jìn)行。例如，身份鑒別的序列被捕獲，并在有效的身份鑒別發(fā)生時(shí)作出回答，有可能使具有很少特權(quán)的實(shí)體得到額外的特權(quán)，這樣不具有這些特權(quán)的人獲得了這些特權(quán)。（2）回答回答攻擊包含數(shù)據(jù)單元的被動(dòng)捕獲，隨之再重傳這些數(shù)據(jù)，從而產(chǎn)生一個(gè)非授權(quán)的效果。（3）修改報(bào)文修改報(bào)文攻擊意味著合法報(bào)文的某些部分已被修改，或者報(bào)文的延遲和重新排序，從而產(chǎn)生非授權(quán)的效果。（4）拒絕服務(wù)拒絕服

11、務(wù)攻擊是阻止或禁止通信設(shè)施的正常使用和管理。這種攻擊可能針對(duì)專門的目標(biāo)（如安全審計(jì)服務(wù)），抑制所有報(bào)文直接送到目的站；也可能破壞整個(gè)網(wǎng)絡(luò)，使網(wǎng)絡(luò)不可用或網(wǎng)絡(luò)超負(fù)荷，從而降低網(wǎng)絡(luò)性能。主動(dòng)攻擊和被動(dòng)攻擊具有相反的特性。被動(dòng)攻擊難以檢測出來，然而有阻止其成功的方法。而主動(dòng)攻擊難以絕對(duì)地阻止，因?yàn)橐龅竭@些，就要對(duì)所有通信設(shè)施、通路在任何時(shí)間進(jìn)行完全的保護(hù)。因此對(duì)主動(dòng)攻擊采取檢測的方法，并從破壞中恢復(fù)。因?yàn)橹浦沟男?yīng)也可能對(duì)防止破壞做出貢獻(xiàn)。訪問攻擊是攻擊者企圖獲得非授權(quán)信息，這種攻擊可能發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下，如圖2.4所示。這類攻擊是針對(duì)信息機(jī)密性的攻擊。2.2.3

12、訪問攻擊圖2.4 訪問攻擊可能發(fā)生的地方常見的訪問攻擊有3種：（1）窺探窺探（snooping）是查信息文件，發(fā)現(xiàn)某些對(duì)攻擊者感興趣的信息。攻擊者試圖打開計(jì)算機(jī)系統(tǒng)的文件，直到找到所需信息。（2）竊聽竊聽（eavesdropping）是偷聽他人的對(duì)話，為了得到非授權(quán)的信息訪問，攻擊者必須將自己放在一個(gè)信息通過的地方，一般采用電子的竊聽方式，如圖2.5所示。圖2.5 竊聽（3）截獲截獲（interception）不同于竊聽，它是一種主動(dòng)攻擊方式。攻擊者截獲信息是通過將自己插入信息通過的通路，且在信息到達(dá)目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決定是否將信息送往目的站，如圖2.6所示。

13、圖2.6 截獲電子信息可存儲(chǔ)在桌面計(jì)算機(jī)、服務(wù)器、筆記本計(jì)算機(jī)、軟盤、CD-ROM以及后備磁帶中。如沒有物理安全措施，這些介質(zhì)可能被偷走，攻擊者就很容易得到所要的信息。如果攻擊者設(shè)法取得合法訪問權(quán)，就可簡單地打開文件系統(tǒng)。假如訪問控制權(quán)限設(shè)置恰當(dāng)，系統(tǒng)就可對(duì)非授權(quán)者拒絕訪問。正確的許可權(quán)設(shè)置可阻止大部分不經(jīng)心的窺視。然而對(duì)有意的攻擊者企圖偷到許可權(quán)，并閱讀文件或降低對(duì)文件訪問的控制，由于系統(tǒng)有很多漏洞，使得攻擊者的這些行動(dòng)能得逞。對(duì)傳輸中的信息可通過竊聽獲得。在局域網(wǎng)中，攻擊者在聯(lián)到網(wǎng)上的計(jì)算機(jī)系統(tǒng)中安裝一個(gè)信息包探測程序（sniffer），來捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。

14、竊聽也可能發(fā)生在廣域網(wǎng)（如租用線和電話線）中，然而這類竊聽需要更多的技術(shù)和設(shè)備。通常在設(shè)施的接線架上采用T形分接頭來竊聽信息。它不僅用于電纜線，也可用于光纖傳輸線，但需要專門的設(shè)備。使用截獲來取得所需信息，對(duì)攻擊者來說也比較困難。攻擊者必須將自己的系統(tǒng)插入到發(fā)送站和接收站之間。在Internet上，可通過名字轉(zhuǎn)換的改變來達(dá)到目的，即將計(jì)算機(jī)名轉(zhuǎn)換成一個(gè)錯(cuò)誤的IP地址，如圖2.7所示。這樣信息就送到攻擊者的系統(tǒng)，而不是正確的目的站。如果攻擊者正確地配置其系統(tǒng)，發(fā)送者和目的站可能永遠(yuǎn)不知道他是在和攻擊者通信。圖2.7 使用錯(cuò)誤的名字轉(zhuǎn)換截獲信息截獲還可對(duì)已經(jīng)進(jìn)行的正常會(huì)話接管和轉(zhuǎn)移。這類攻擊發(fā)生在

15、交互式通信中，如telnet。這時(shí)，攻擊者必須在客戶機(jī)或服務(wù)器的同一網(wǎng)段。攻擊者讓合法用戶開始和服務(wù)器會(huì)話，然后使用專門的軟件來接管這個(gè)會(huì)話。這類攻擊使攻擊者能在服務(wù)器上具有同樣的特權(quán)。篡改攻擊是攻擊者企圖修改信息，而他們本來是無權(quán)修改的。這種攻擊可能發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下，是針對(duì)信息完整性的攻擊。常見的篡改攻擊有3種：（1）改變改變已有的信息。例如，攻擊者改變已存在的員工工資，改變以后的信息雖然仍存在于該組織，但已經(jīng)是不正確的信息。這種改變攻擊的目標(biāo)通常是敏感信息或公共信息。2.2.4 篡改攻擊（2）插入插入信息可以改變歷史的信息。例如，攻擊者在銀行系統(tǒng)中加一個(gè)事

16、務(wù)處理，從而將客戶賬戶的資金轉(zhuǎn)到自己賬戶上。（3）刪除刪除攻擊是將已有的信息去除，可能是將歷史記錄的信息刪除。例如，攻擊者將一個(gè)事務(wù)處理記錄從銀行結(jié)賬單中刪除，從而造成銀行資金的損失。修改電子信息比修改紙上信息容易得多。假如攻擊者已經(jīng)訪問了文件，可以幾乎不留證據(jù)地修改。假如攻擊者沒有訪問文件的權(quán)限，則攻擊者首先必須提高對(duì)系統(tǒng)的訪問權(quán)，或者移去文件的許可權(quán)。在訪問攻擊中，攻擊者利用系統(tǒng)的漏洞獲取訪問權(quán)，然后再修改文件。攻擊者要改變數(shù)據(jù)庫文件或處理隊(duì)列更難一些。在某些情況下，事務(wù)處理也編成序列號(hào)，不正確地移走或加一個(gè)序列號(hào)，會(huì)導(dǎo)致系統(tǒng)發(fā)出警報(bào)。只有對(duì)整個(gè)系統(tǒng)進(jìn)行變更，才能使篡改不易被察覺。拒絕服務(wù)

17、攻擊（Denial of Service,DOS）是拒絕合法用戶使用系統(tǒng)、信息、能力等各種資源。拒絕服務(wù)攻擊一般不允許攻擊者訪問或修改計(jì)算機(jī)系統(tǒng)的信息。拒絕服務(wù)攻擊可分成以下4種：（1）拒絕訪問信息拒絕訪問信息使信息不可用，不論是信息被破壞或者將信息改變成不可使用狀態(tài)，也可能信息仍存在，但已經(jīng)被移到不可訪問的位置。2.2.5 拒絕服務(wù)攻擊（2）拒絕訪問應(yīng)用拒絕訪問應(yīng)用的目標(biāo)是操縱或顯示信息的應(yīng)用。通常對(duì)正在運(yùn)行應(yīng)用程序的計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，這樣應(yīng)用程序不可用，以致不能執(zhí)行由該應(yīng)用程序完成的任務(wù)。（3）拒絕訪問系統(tǒng)拒絕訪問系統(tǒng)通常是使系統(tǒng)宕機(jī)，使運(yùn)行在該計(jì)算機(jī)系統(tǒng)上的所有應(yīng)用無法運(yùn)行，使存儲(chǔ)在該

18、計(jì)算機(jī)系統(tǒng)上的所有信息不可用。（4）拒絕訪問通信拒絕訪問通信是針對(duì)通信的一種攻擊，已有很多年歷史。這類攻擊可能用切斷通信電纜、干擾無線電通信以及用過量的通信負(fù)載來淹沒網(wǎng)絡(luò)。拒絕訪問通信的目標(biāo)是通信介質(zhì)本身，從而阻止用戶通過網(wǎng)絡(luò)訪問系統(tǒng)和信息。拒絕服務(wù)攻擊主要是針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)。很多方法可以使電子形式的信息遭受拒絕服務(wù)攻擊。在拒絕訪問信息的同時(shí)，信息有可能被刪除，當(dāng)然這類攻擊需要同時(shí)將后備信息也刪除。也有可能通過改變文件提供無用信息，例如，攻擊者對(duì)文件加密并毀掉密鑰，這樣任何人都無法訪問這些信息。帶有信息的計(jì)算機(jī)也可能被偷走。短期的拒絕服務(wù)攻擊可以簡單地將系統(tǒng)關(guān)掉，導(dǎo)致系統(tǒng)本身拒絕服務(wù)。拒絕

19、服務(wù)攻擊可直接針對(duì)系統(tǒng)，使計(jì)算機(jī)系統(tǒng)破壞。通過一些漏洞可使應(yīng)用程序不可用。這類漏洞使攻擊者對(duì)應(yīng)用程序發(fā)送一些事先設(shè)定的命令，從而使應(yīng)用程序無法正常運(yùn)行。應(yīng)用程序看起來像被摧垮一樣，即使重新啟動(dòng)，仍無法運(yùn)行。最容易使通信設(shè)施不可用的方法是切斷電纜。但這類攻擊需要到現(xiàn)場物理訪問網(wǎng)絡(luò)電纜。另一種拒絕服務(wù)攻擊的方法是對(duì)一個(gè)場地發(fā)送大量的通信量，阻止合法用戶使用。否認(rèn)攻擊是針對(duì)信息的可審性進(jìn)行的。否認(rèn)攻擊企圖給出假的信息或者否認(rèn)已經(jīng)發(fā)生的現(xiàn)實(shí)事件或事務(wù)處理。否認(rèn)攻擊包括兩類：（1）假冒假冒是攻擊者企圖裝扮或假冒別人和別的系統(tǒng)。這種攻擊可能發(fā)生在個(gè)人通信、事務(wù)處理或系統(tǒng)對(duì)系統(tǒng)的通信中。2.2.6 否認(rèn)攻擊

20、（2）否認(rèn)否認(rèn)一個(gè)事件是簡單地抵賴曾經(jīng)登錄和處理的事件。例如，一個(gè)人用信用卡在商店里購物，然而當(dāng)賬單送到時(shí)，告訴信用卡公司，他從未到該商店購物。電子信息比紙上信息更易實(shí)現(xiàn)否認(rèn)攻擊。電子文本能生成和發(fā)送給別人，而幾乎沒有發(fā)送者身份的證據(jù)。例如，發(fā)送者發(fā)送電子郵件，可以任意改變其發(fā)送者地址，電子郵件系統(tǒng)幾乎不能驗(yàn)證發(fā)送者的身份。同樣網(wǎng)上計(jì)算機(jī)系統(tǒng)發(fā)送信息時(shí)，可用任何IP地址，這樣的計(jì)算機(jī)系統(tǒng)就可偽裝成另一個(gè)系統(tǒng)。從本質(zhì)上講，安全就是風(fēng)險(xiǎn)管理。一個(gè)組織者如果不了解其信息資產(chǎn)的安全風(fēng)險(xiǎn)，很多資源就會(huì)被錯(cuò)誤地使用。風(fēng)險(xiǎn)管理提供信息資產(chǎn)評(píng)估的基礎(chǔ)。通過風(fēng)險(xiǎn)識(shí)別，可以知道一些特殊類型的資產(chǎn)價(jià)值以及包含這些信

21、息的系統(tǒng)的價(jià)值。2.3 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念。風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒有風(fēng)險(xiǎn)，就不需要安全了。風(fēng)險(xiǎn)還是從事安全產(chǎn)業(yè)者應(yīng)了解的一個(gè)觀念。以傳統(tǒng)的保險(xiǎn)業(yè)為例來了解風(fēng)險(xiǎn)的含義。一個(gè)客戶因感到危險(xiǎn)，所以向保險(xiǎn)公司購買保險(xiǎn)。買保險(xiǎn)前，如果出車禍，他需要花很多修理費(fèi)，買了保險(xiǎn)后就可減少花大筆錢的風(fēng)險(xiǎn)。保險(xiǎn)公司設(shè)定保險(xiǎn)費(fèi)的依據(jù)有兩個(gè)，一個(gè)是汽車修理的費(fèi)用，另一個(gè)是該客戶發(fā)生車禍的可能性。2.3.1 風(fēng)險(xiǎn)的概念從上面的例子可以看出，風(fēng)險(xiǎn)包含兩個(gè)部分。第一個(gè)是車的修理費(fèi)，如果車禍發(fā)生，保險(xiǎn)公司就要付這筆費(fèi)用，將它定為保險(xiǎn)公司的漏洞或脆弱性。第二個(gè)是客戶發(fā)生車禍的可能性，這是對(duì)保險(xiǎn)

22、公司的威脅，因?yàn)樗锌赡苁贡ｋU(xiǎn)公司付修理費(fèi)。因此漏洞和威脅是測定風(fēng)險(xiǎn)的兩個(gè)組成部分。圖2.8表示漏洞和威脅之間的關(guān)系，由圖可知，如果沒有威脅，也就沒有風(fēng)險(xiǎn)；同樣地，如果沒有漏洞，也就沒有風(fēng)險(xiǎn)。圖2.8 漏洞和威脅的關(guān)系1.漏洞漏洞是攻擊的可能的途徑。漏洞有可能存在于計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，它允許打開系統(tǒng)，使技術(shù)攻擊得逞。漏洞也有可能存在于管理過程中，它使系統(tǒng)環(huán)境對(duì)攻擊開放。漏洞的多少是由需要打開系統(tǒng)的技術(shù)熟練水平和困難程度來確定的，還要考慮系統(tǒng)暴露的后果。如果漏洞易于暴露，并且一旦受到攻擊，攻擊者可以完全控制系統(tǒng)，則稱高值漏洞或高脆弱性。如果攻擊者需要對(duì)設(shè)備和人員投入很多資源，漏洞才能暴露，并且受

23、到攻擊后，也只能獲取一般信息，而非敏感信息，則稱低值漏洞或低脆弱性。漏洞不僅和計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)有關(guān)，而且和物理場地安全、員工的情況、傳送中的信息安全等有關(guān)。2.威脅威脅是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件。威脅包含以下3個(gè)組成部分：（1）目標(biāo)威脅的目標(biāo)通常是針對(duì)安全屬性或安全服務(wù)，包括機(jī)密性、完整性、可用性、可審性等。這些目標(biāo)是在威脅背后的真正理由或動(dòng)機(jī)。一個(gè)威脅可能有幾個(gè)目標(biāo)，例如，可審性可能是攻擊的首要目標(biāo)，這樣可防止留下攻擊者的記錄，然后，把機(jī)密性作為攻擊目標(biāo)，以獲取一些關(guān)鍵數(shù)據(jù)。（2）代理代理需要有3個(gè)特性：訪問。一個(gè)代理必須有訪問所需要的系統(tǒng)、網(wǎng)絡(luò)、設(shè)施或信息的能力?？梢允侵苯?/p>

24、訪問，例如，代理有系統(tǒng)的賬號(hào)。也可以是間接訪問，例如，代理通過其他的方法來訪問系統(tǒng)。代理有的訪問直接影響到為了打開漏洞所必須執(zhí)行的動(dòng)作的能力。知識(shí)。一個(gè)代理必須具有目標(biāo)的知識(shí)，有用的知識(shí)包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號(hào)碼、網(wǎng)絡(luò)地址、安全程序等。代理對(duì)目標(biāo)越熟悉，就具有越多的存在的漏洞的知識(shí)；代理對(duì)存在的漏洞知道得越具體，就越能獲得更多打開漏洞的知識(shí)。動(dòng)機(jī)。一個(gè)代理對(duì)目標(biāo)發(fā)出威脅，需要有動(dòng)機(jī)，通常動(dòng)機(jī)是考慮代理攻擊目標(biāo)的關(guān)鍵特性。動(dòng)機(jī)可能是不同的，有的為了競爭、挑戰(zhàn)；有的是貪心，以獲得錢、物、服務(wù)、信心；有的是對(duì)某組織或個(gè)人有惡意傷害的企圖。根據(jù)代理的3個(gè)特性，

25、應(yīng)該考慮的代理可能是各種各樣的，包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對(duì)手、恐怖分子、罪犯、客戶、訪問者以及自然災(zāi)害等。當(dāng)考慮這些代理時(shí)，應(yīng)該作出定量的判斷，以得出每個(gè)代理對(duì)訪問組織的目標(biāo)的必要性，根據(jù)前面分析的漏洞考慮攻擊的可能性。（3）事件事件是代理采取的行為，從而導(dǎo)致對(duì)組織的傷害。例如，一個(gè)黑客改變一個(gè)組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會(huì)產(chǎn)生什么樣的傷害。常見的事件如下：對(duì)信息、系統(tǒng)、場地濫用授權(quán)訪問；惡意地改變信息；偶然地改變信息；對(duì)信息、系統(tǒng)、場地非授權(quán)訪問；惡意地破壞信息、系統(tǒng)、場地；偶然地破壞信息、系統(tǒng)、場地；對(duì)系統(tǒng)和操作的惡意物理損害；對(duì)系統(tǒng)和操作的偶

26、然物理損害；由于自然物理事件引起的系統(tǒng)和操作的損害；引入對(duì)系統(tǒng)的惡意軟件；破壞內(nèi)部或外部的通信；被動(dòng)地竊聽內(nèi)部或外部的通信；偷竊硬件。3.威脅漏洞風(fēng)險(xiǎn)風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險(xiǎn)，沒有威脅的漏洞也沒有風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的度量是要確定事件發(fā)生的可能性。風(fēng)險(xiǎn)可劃分成低、中、高個(gè)級(jí)別。（1）低級(jí)別風(fēng)險(xiǎn)是漏洞使組織的風(fēng)險(xiǎn)達(dá)到一定水平，然而不一定發(fā)生。如有可能應(yīng)將這些漏洞去除，但應(yīng)權(quán)衡去除漏洞的代價(jià)和能減少的風(fēng)險(xiǎn)損失。（2）中級(jí)別風(fēng)險(xiǎn)是漏洞使組織的信息系統(tǒng)或場地的風(fēng)險(xiǎn)（機(jī)密性、完整性、可用性、可審性）達(dá)到相當(dāng)?shù)乃?，并且已有發(fā)生事件的現(xiàn)實(shí)可能性。應(yīng)采取措施去除漏洞。（3）高級(jí)別風(fēng)險(xiǎn)是漏洞對(duì)

27、組織的信息、系統(tǒng)或場地的機(jī)密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實(shí)危害。必須立即采取措施去除漏洞。對(duì)一個(gè)組織而言，識(shí)別風(fēng)險(xiǎn)除了要識(shí)別漏洞和威脅外，還應(yīng)考慮已有的對(duì)策和預(yù)防措施，如圖2.9所示。2.3.2 風(fēng)險(xiǎn)識(shí)別圖2.9 風(fēng)險(xiǎn)識(shí)別1.識(shí)別漏洞識(shí)別漏洞時(shí)，從確定對(duì)該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點(diǎn)。這些入口包括Internet的連接、遠(yuǎn)程訪問點(diǎn)、與其他組織的連接、設(shè)備的物理訪問以及用戶訪問點(diǎn)等。對(duì)每個(gè)訪問點(diǎn)識(shí)別可訪問的信息和系統(tǒng)，然后識(shí)別如何通過入口訪問這些信息和系統(tǒng)。應(yīng)該包括操作系統(tǒng)和應(yīng)用程序中所有已知的漏洞。在以后的章節(jié)里還會(huì)詳細(xì)地做風(fēng)險(xiǎn)評(píng)估。2.識(shí)別現(xiàn)實(shí)的威脅威

28、脅評(píng)估是十分具體的，有時(shí)也是很困難的。在試圖識(shí)別一個(gè)組織或目標(biāo)的威脅時(shí)，經(jīng)常會(huì)轉(zhuǎn)到那些競爭對(duì)手的身上。然而，真正的威脅往往是非常隱蔽的，在攻擊事件發(fā)生圖2.9一個(gè)組織風(fēng)險(xiǎn)評(píng)估的組成以前，真正的目標(biāo)威脅往往并不暴露出來。一個(gè)目標(biāo)威脅是對(duì)一個(gè)已知的目標(biāo)具有已知的代理、已知的動(dòng)機(jī)、已知的訪問和執(zhí)行已知的事件的組合。例如，有一個(gè)不滿意的員工（代理）希望得到正在該組織進(jìn)行的最新設(shè)計(jì)的知識(shí)（動(dòng)機(jī)），該員工能訪問組織的信息系統(tǒng)（訪問），并知道信息存放的位置（知識(shí)）。該員工正窺測新設(shè)計(jì)的機(jī)密并且企圖獲得所需文件。識(shí)別所有的目標(biāo)威脅是非常費(fèi)時(shí)和困難的?？梢宰兏环N方法，即假設(shè)存在一個(gè)威脅的通用水平，這個(gè)威脅可能

29、包括任何具有訪問組織信息或系統(tǒng)的可能性的人。這個(gè)威脅確實(shí)是存在的，因?yàn)槿藗儯▎T工、客戶、供應(yīng)商等）必須訪問該組織的系統(tǒng)和信息，這對(duì)其工作是有用的。然而，我們不必要具有對(duì)組織某些部分的直接的或特定的威脅的知識(shí)。假如我們假設(shè)一個(gè)通用的威脅(某些人可能具有訪問、知識(shí)、動(dòng)機(jī)做某些壞事)，就能檢查組織內(nèi)允許這些訪問發(fā)生可能產(chǎn)生的漏洞。將任何這樣的漏洞計(jì)入風(fēng)險(xiǎn)，因?yàn)槲覀円呀?jīng)假定這些有可能暴露漏洞的威脅。3.檢查對(duì)策和預(yù)防措施在分析評(píng)估攻擊的可能途徑時(shí)，必須同時(shí)檢查如果漏洞真正存在，相應(yīng)環(huán)境采取的對(duì)策和預(yù)防措施。這些預(yù)防措施包括防火墻、防病毒軟件、訪問控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡(luò)安全程序、用于訪問設(shè)備

30、的卡讀出器、文件訪問控制、對(duì)員工進(jìn)行安全培訓(xùn)等。對(duì)于組織內(nèi)的每個(gè)訪問點(diǎn)都應(yīng)有相應(yīng)的預(yù)防措施。例如，該組織有一個(gè)Internet連接，這就提供了訪問該組織內(nèi)部系統(tǒng)的可能性?？梢圆捎梅阑饓肀Ｗo(hù)這個(gè)訪問點(diǎn)，設(shè)置和檢查防火墻的規(guī)則，可以很好地識(shí)別來自外部對(duì)內(nèi)部系統(tǒng)訪問的企圖。這樣外部攻擊者不能用訪問點(diǎn)的某些漏洞，因?yàn)榉阑饓ψ柚乖L問這些漏洞和系統(tǒng)。4.識(shí)別風(fēng)險(xiǎn)一旦對(duì)漏洞、威脅、預(yù)防措施進(jìn)行了識(shí)別，就可確定該組織的風(fēng)險(xiǎn)。問題變得簡單了，即給出具有已存在的預(yù)防措施下識(shí)別的訪問點(diǎn)，還有可能進(jìn)入該組織的訪問點(diǎn)。為了回答這個(gè)問題，首先確定每個(gè)訪問點(diǎn)的可能威脅或通用威脅，并檢查通過每個(gè)訪問點(diǎn)的可能的目標(biāo)（機(jī)密性、

31、完整性、可用性、可審性）。基于它的危險(xiǎn)程度給每個(gè)風(fēng)險(xiǎn)分成高、中、低等級(jí)。必須指出，對(duì)于相同的漏洞，可能得出基于訪問點(diǎn)的不同級(jí)別的風(fēng)險(xiǎn)。例如，一個(gè)內(nèi)部系統(tǒng)在它的郵件系統(tǒng)內(nèi)有一個(gè)漏洞，對(duì)外部來說，攻擊者必須通過Internet防火墻才能發(fā)現(xiàn)系統(tǒng)，這樣通過該訪問點(diǎn)，系統(tǒng)是不可訪問的，因此沒有風(fēng)險(xiǎn)。然而，對(duì)內(nèi)部員工而言，他們毋需通過防火墻進(jìn)入網(wǎng)絡(luò)，因而可訪問系統(tǒng)。這就意味著內(nèi)部員工可以利用這個(gè)漏洞來訪問系統(tǒng)，而內(nèi)部員工并未列為威脅源，因此可將它列為中等風(fēng)險(xiǎn)級(jí)別。上述例子中，如果物理安全控制很弱，任何人可隨意進(jìn)出，使非授權(quán)者可操作該系統(tǒng)，則該系統(tǒng)即使有防火墻這類預(yù)防措施，對(duì)具有惡意動(dòng)機(jī)的攻擊者來說也是無

32、效的。由于缺乏物理安全預(yù)防措施，這種情況下應(yīng)列為高風(fēng)險(xiǎn)級(jí)別。當(dāng)然，僅僅將風(fēng)險(xiǎn)分成高、中、低個(gè)級(jí)別還未解決風(fēng)險(xiǎn)識(shí)別的全部問題，還應(yīng)看如果漏洞暴露，對(duì)該組織的危害是否是持續(xù)的；該組織需要花費(fèi)多少資源，才能減少風(fēng)險(xiǎn)。風(fēng)險(xiǎn)測量必須識(shí)別出在受到攻擊后該組織需要付出的代價(jià)。圖2.10表示風(fēng)險(xiǎn)測量的全部。認(rèn)識(shí)到風(fēng)險(xiǎn)使該組織付出的代價(jià)也是確定如何管理風(fēng)險(xiǎn)的決定因素。風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除，風(fēng)險(xiǎn)必須管理。代價(jià)是多方面的，包括資金、時(shí)間、資源、信譽(yù)以及丟失生意等。2.3.3 風(fēng)險(xiǎn)測量圖2.10 測量風(fēng)險(xiǎn)1.資金資金是最顯而易見的風(fēng)險(xiǎn)代價(jià)，包括損失的生產(chǎn)能力、設(shè)備或金錢的被竊、調(diào)研的費(fèi)用、修理或替換系統(tǒng)的費(fèi)用、專家

33、費(fèi)用、員工加班時(shí)間等。上面只是列出了部分代價(jià)，可見風(fēng)險(xiǎn)代價(jià)之巨大。有些損失在實(shí)際的事件發(fā)生前是不知道的，也應(yīng)將其計(jì)入風(fēng)險(xiǎn)代價(jià)。最困難的資金代價(jià)估計(jì)是損失的生產(chǎn)能力這一項(xiàng)。有的生產(chǎn)能力損失是永遠(yuǎn)不可恢復(fù)的，有的生產(chǎn)能力損失可在付出一定費(fèi)用恢復(fù)系統(tǒng)后恢復(fù)。有些是難以估計(jì)的。2.時(shí)間時(shí)間的代價(jià)很難量化。由于安全事件使一個(gè)技術(shù)人員不能執(zhí)行其正常的任務(wù)，或許可以按時(shí)間的總和計(jì)算，但又如何計(jì)算其他人員等待計(jì)算機(jī)修復(fù)所付出的時(shí)間代價(jià)呢？時(shí)間可能以關(guān)鍵系統(tǒng)宕機(jī)時(shí)間來計(jì)算，例如一個(gè)組織的Web站受破壞了，該系統(tǒng)只能離線并修復(fù)。那么如何計(jì)算該Web站宕機(jī)所造成的影響？再如，由于攻擊得逞導(dǎo)致該組織的產(chǎn)品延遲，如何來

34、計(jì)算由于該延遲引起的損失，但無論如何，時(shí)間損失必須計(jì)入風(fēng)險(xiǎn)測量中。3.資源資源可以是人、系統(tǒng)、通信線路、應(yīng)用程序或訪問。資源代價(jià)指如攻擊得逞，需要多少資源來恢復(fù)正常。很明顯，對(duì)一些能用錢來計(jì)算的資源是可能計(jì)算的，然而對(duì)一些不可用錢來計(jì)算的資源就難以估算，如本應(yīng)去完成另一任務(wù)的人來處理該事故恢復(fù)，則另一任務(wù)的延誤如何確定其代價(jià)？又如，攻擊使網(wǎng)絡(luò)連接很慢，由此引起的很多需要連接網(wǎng)絡(luò)的工作延誤，這一損失代價(jià)又如何計(jì)算？4.信譽(yù)一個(gè)組織的信譽(yù)損失是十分關(guān)鍵的損失，然而這類損失的代價(jià)也難以測量。什么是一個(gè)組織的真正的信譽(yù)損失代價(jià)？信譽(yù)就是誠信、可信。一個(gè)組織在公眾心目中的可信度是十分重要的。例如，銀行的

35、信譽(yù)就等于該銀行在公眾心目中的可信度，客戶的錢是否能安全地存放決定了客戶是否愿意將錢存入該銀行，否則客戶就會(huì)將已存的錢從該銀行取走，甚至使銀行倒閉。又如，一個(gè)慈善機(jī)構(gòu)的信譽(yù)就是能否合理地使用捐款，這決定了它是否能募集到資金。對(duì)每個(gè)識(shí)別風(fēng)險(xiǎn)的風(fēng)險(xiǎn)測量的可能結(jié)果，回答以下問題：識(shí)破風(fēng)險(xiǎn)所需的花費(fèi)是多少？包括跟蹤的員工時(shí)間、顧問時(shí)間、新設(shè)備的花費(fèi)。為了成功地識(shí)破風(fēng)險(xiǎn)要花多少時(shí)間？什么樣的資源會(huì)受到影響？而組織的哪一部分依賴于這些資源？該事件對(duì)組織的信譽(yù)影響如何？會(huì)丟失多少經(jīng)營的業(yè)務(wù)？什么類型的業(yè)務(wù)會(huì)丟失？回答了上述問題以后，可列出一個(gè)表，以表示每個(gè)風(fēng)險(xiǎn)可能引起的后果。利用這些信息來開發(fā)相應(yīng)的風(fēng)險(xiǎn)管理

36、項(xiàng)目。風(fēng)險(xiǎn)分析是對(duì)需要保護(hù)的資產(chǎn)及其受到的潛在威脅的鑒別過程。風(fēng)險(xiǎn)是威脅和漏洞的組合。正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境及其信息安全的極其重要的一步。風(fēng)險(xiǎn)分析始于對(duì)需要保護(hù)的資產(chǎn)（物理資源、知識(shí)資源、時(shí)間資源、信譽(yù)資源）的鑒別以及對(duì)資產(chǎn)威脅的潛在攻擊源的分析。資產(chǎn)的有效保護(hù)是盡可能降低資產(chǎn)受危害的潛在代價(jià)以及由于采取安全措施付出的操作代價(jià)。一個(gè)性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái)，可以低的安全代價(jià)換取高的安全強(qiáng)度。2.4 本章小節(jié)從安全屬性的觀點(diǎn)可將攻擊類型分成阻斷攻擊、截取攻擊、篡改攻擊、偽造攻擊4類。從攻擊方式可將攻擊類型分為被動(dòng)攻擊和主動(dòng)攻擊兩類。還可從攻擊目的和效果將攻擊類型分為訪問攻擊、篡

37、改攻擊、拒絕服務(wù)攻擊、否認(rèn)攻擊。風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念，風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒有風(fēng)險(xiǎn)，就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動(dòng)或事件，威脅包含目標(biāo)、代理、事件3個(gè)組成部分。漏洞是攻擊的可能的途徑。風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險(xiǎn)，沒有威脅的漏洞也沒有風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)除了識(shí)別漏洞和威脅外，還應(yīng)考慮已有的對(duì)策和預(yù)防措施。識(shí)別漏洞應(yīng)尋找系統(tǒng)和信息的所有入口及分析如何通過這些入口訪問系統(tǒng)。識(shí)別威脅是對(duì)目標(biāo)、代理、動(dòng)機(jī)及事件的識(shí)別。一旦對(duì)漏洞、威脅、預(yù)防措施進(jìn)行了識(shí)別，就可確定對(duì)該組織的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)測量是確定由于攻擊引起的代價(jià)，包括資金、時(shí)間、資源、信譽(yù)。

38、對(duì)每個(gè)識(shí)別的風(fēng)險(xiǎn)判定風(fēng)險(xiǎn)測量的可能結(jié)果。綜合這些信息，開發(fā)相應(yīng)的風(fēng)險(xiǎn)管理項(xiàng)目。風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除，風(fēng)險(xiǎn)必須管理。2-1 對(duì)攻擊可能性的分析在很大程度上帶有（）。A.客觀性 B.主觀性 C.盲目性 D.上面3項(xiàng)都不是2-2 網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（）。A.用戶的方便性 B.管理的復(fù)雜性C.對(duì)現(xiàn)有系統(tǒng)的影響及對(duì)不同平臺(tái)的支持D.上面3項(xiàng)都是2-3 從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對(duì)（）的攻擊。習(xí)題A.機(jī)密性 B.可用性 C.完整性 D.真實(shí)性2-4 從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，截獲攻擊是針對(duì)（）的攻擊。A

39、.機(jī)密性 B.可用性 C.完整性 D.真實(shí)性2-5 從攻擊方式區(qū)分攻擊類型，可分為被動(dòng)攻擊和主動(dòng)攻擊，被動(dòng)攻擊難以（），然而（）這些攻擊是可行的；主動(dòng)攻擊難以（），然而（）這些攻擊是可行的。A.阻止，檢測，阻止，檢測B.B.檢測，阻止，檢測，阻止C.檢測，阻止，阻止，檢測D.上面3項(xiàng)都不是2-6 竊聽是一種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。A.被動(dòng)，無須，主動(dòng)，必須B.B.主動(dòng)，必須，被動(dòng)，無須C.主動(dòng)，無須，被動(dòng)，必須D.被動(dòng)，必須，主動(dòng)，無須2-7 威脅是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件，威脅包括（）。A.目標(biāo) B.代理 C.事件 D.上面3項(xiàng)都是2-8 對(duì)目標(biāo)的攻擊威脅通常通過代理實(shí)現(xiàn)，而代理需要的特性包括（）。A.訪問目標(biāo)的能力 B.對(duì)目標(biāo)發(fā)出威脅的動(dòng)機(jī)C.有關(guān)目標(biāo)的知識(shí) D.上面3項(xiàng)都是2-9 拒絕服務(wù)攻擊的后果是（）。A.信息不可用 B.應(yīng)用程序不可用 C.系統(tǒng)宕機(jī)B.D.阻止通信 E.上面幾項(xiàng)都是2-10 風(fēng)險(xiǎn)是丟失需要保護(hù)的（）的可能性，風(fēng)險(xiǎn)是（）和（）的綜合結(jié)果。A.資產(chǎn)，攻擊目標(biāo)，威脅事件B.B.設(shè)備，威脅，漏洞C.資產(chǎn)，威脅，漏洞 D.上面3項(xiàng)都不對(duì)