第2章 風險分析2.1 資產(chǎn)保護2.2 攻擊2.3 風險管理2.4 本章小結(jié)習題任何有效的風險分析始于需要保護的資產(chǎn)和資源的鑒別，資產(chǎn)的類型一般可分成以下4類。（1）物理資源物理資源是具有物理形態(tài)的資產(chǎn)。包括工作站、服務器、終端、網(wǎng)絡設備、外圍設備等，基本上，凡是具有物理形態(tài)的計算資源都是物理資源。風險分析的最終目標是制定一個有效的、節(jié)省的計劃來看管資產(chǎn)，不要忽視顯而易見的問題和解決辦法。2.1 資產(chǎn)保護 2.1.1 資產(chǎn)的類型（2）知識資源和物理資源相比，知識資源更難鑒別，因為它只以電子的形式存在。知識資源可以是任何信息的形式，并且在組織的事務處理中起一定的作用。它包括軟件、財務信息、數(shù)據(jù)庫記錄以及計劃圖表等。例如，公司通過電子郵件交換信息，這些電子報文的存儲應看成知識資產(chǎn)。（3）時間資源時間也是一個重要的資源，甚至是一個組織最有價值的資源。當評估時間損失對一個組織的影響時，應考慮由于時間損失引起的全部后果。（4）信譽（感覺）資源在2000年2月，大部分網(wǎng)絡公司諸如Yahoo、Amazon、eBay和B等在受到拒絕服務攻擊以后，他們的股票價狂跌。雖然這是暫時的，但足以說明消費者和股票持有者對他們的可信度確實存在影響，且可測量。又如，2000年10月圍繞Microsoft系統(tǒng)的問題公開暴露，公眾不僅對公司，也對其產(chǎn)品的可信度產(chǎn)生了一定的影響。潛在的網(wǎng)絡攻擊可來自任何能訪問網(wǎng)絡的源，這些源之間有很大差異，它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡訪問的類型。當作風險分析時，要能識別所有的攻擊源。這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。在分析潛在攻擊源時不僅要評估誰可能攻擊網(wǎng)絡，還要尋找什么樣的介質(zhì)可用來對網(wǎng)絡資源的訪問。2.1.2 潛在的攻擊源潛在的攻擊來自多方面，包括組織內(nèi)部的員工、臨時員工和顧問、競爭者、和組織中具有不同觀點和目的的人、反對這個組織或其員工的人。根據(jù)這個組織的情況，還可能有各種不同的攻擊源。重要的是要決定什么樣的威脅能實現(xiàn)成功的攻擊，以及對潛伏的攻擊者而言，什么樣的攻擊是值得的。在識別資源以及潛在的攻擊源后，可評估該組織受攻擊的潛在風險級別。一個網(wǎng)絡是物理隔離的網(wǎng)，還是有很多入口（如廣域網(wǎng)）、有modem池、或是經(jīng)過Internet進入的VPN?所有這些連接點是否使用強的身份鑒別和某種形式的防火墻設備，或者其他的網(wǎng)絡保護措施？攻擊者能否發(fā)現(xiàn)某一個暴露的訪問點以及獲得訪問該網(wǎng)絡資源？對攻擊可能性的看法在很大程度上是帶有主觀性的，同一個組織的兩個人對攻擊可能性的觀點可能完全不同。因此要聽取來自不同部門的觀點，甚至聘請在決定風險評估方面有實踐經(jīng)驗的顧問。因為對攻擊可能性的分析越清楚，越能更有效地保護網(wǎng)絡。資產(chǎn)一旦受到威脅和破壞，就會帶來兩類損失，一類是即時的損失，如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動生產(chǎn)率；又如，ISP的在線服務中斷帶來經(jīng)濟上的損失。另一類是長期的恢復所需花費，也就是從攻擊或失效到恢復正常需要的花費，例如，受到拒絕服務攻擊，在一定期間內(nèi)資源無法訪問帶來的損失；又如，為了修復受破壞的關(guān)鍵文件所需的花費等。為了有效保護資產(chǎn)，應盡可能降低資產(chǎn)受危害的潛在代價。另一方面，由于采取一些安全措施，也要付出安全的操作代價。網(wǎng)絡安全最終是一個折中的方案，需要對危害和降低危害的代價進行權(quán)衡。2.1.3 資產(chǎn)的有效保護在評估時要考慮網(wǎng)絡的現(xiàn)有環(huán)境，以及近期和遠期網(wǎng)絡發(fā)展變化的趨勢。選用先進的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺可減少安全操作代價，獲得良好的安全強度。除此之外，要獲得安全強度和安全代價的折中，需要考慮以下因素：（1）用戶的方便程度。不應由于增加安全強度給用戶帶來很多麻煩。（2）管理的復雜性。對增加安全強度的網(wǎng)絡系統(tǒng)要易于配置、管理。（3）對現(xiàn)有系統(tǒng)的影響。包括增加的性能開銷以及對原有環(huán)境的改變等。（4）對不同平臺的支持。網(wǎng)絡安全系統(tǒng)應能適應不同平臺的異構(gòu)環(huán)境的使用。圖2.1 安全強度和安全代價的折中圖2.1所示為安全強度和安全代價的折中，其中圖2.1(a)表示安全強度和安全操作代價的關(guān)系。圖2.1(b)表示安全強度和侵入系統(tǒng)可能性的關(guān)系。圖2.1(c)表示將圖2.1(a)和圖2.1(b)合在一起，其相交點是平衡點，即安全強度和安全代價的折中選擇。圖2.1(d)表示由于入侵手段增強引起的變化，從而產(chǎn)生新的平衡點。為了有效保護資產(chǎn)，需要一個性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，可以小的安全代價換取高的安全強度。從安全屬性來看，攻擊類型可分為以下4類，如圖2.2所示，圖2.2(a)是從源站到目的站的正常信息流。（1）阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無法提供用戶使用，這是一種針對可用性的攻擊，如圖22(b)所示。例如，破壞硬盤之類的硬件，切斷通信線路，使文件管理系統(tǒng)失效等。2.2 攻擊 2.2.1 攻擊的類型（2）截取攻擊截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問，這是一種針對機密性的攻擊，如圖2.2(c)所示。非授權(quán)者可以是一個人、一個程序或一臺計算機，例如，通過竊聽獲取網(wǎng)上數(shù)據(jù)以及非授權(quán)的復制文件和程序。（3）篡改攻擊篡改攻擊是非授權(quán)者不僅訪問資產(chǎn)，而且能修改信息，這是一種針對完整性的攻擊，如圖2.2(d)所示。例如，改變數(shù)據(jù)文件的值，修改程序以及在網(wǎng)上正在傳送的報文內(nèi)容。（4）偽造攻擊偽造攻擊是非授權(quán)者在系統(tǒng)中插入偽造的信息，這是一種針對真實性的攻擊，如圖2.2（e）所示。例如，在網(wǎng)上插入偽造的報文，或在文件中加入一些記錄。圖2.2 各種安全威脅從攻擊方式來看，攻擊類型可分為被動攻擊和主動攻擊，如圖2.3所示。2.2.2 主動攻擊與被動攻擊圖2.3 主動和被動安全威脅1.被動攻擊竊聽、監(jiān)聽都具有被動攻擊的本性，攻擊者的目的是獲取正在傳輸?shù)男畔ⅰ１粍庸舭▊鬏攬笪膬?nèi)容的泄露和通信流量分析。報文內(nèi)容的泄露易于理解，一次電話通信、一份電子郵件報文、正在傳送的文件都可能包含敏感信息或秘密信息。為此要防止對手獲悉這些傳輸?shù)膬?nèi)容。通信流量分析的攻擊較難捉摸。假如有一個方法可屏蔽報文內(nèi)容或其他信息通信，那么即使這些內(nèi)容被截獲，也無法從這些報文中獲得信息。最常用的屏蔽內(nèi)容技術(shù)是加密。然而即使用加密保護內(nèi)容，攻擊者仍有可能觀察到這些傳輸?shù)膱笪男问健９粽哂锌赡艽_定通信主機的位置和標識，也可能觀察到正在交換的報文頻度和長度。而這些信息對猜測正在發(fā)生的通信特性是有用的。對被動攻擊的檢測十分困難，因為攻擊并不涉及數(shù)據(jù)的任何改變。然而阻止這些攻擊的成功是可行的，因此，對被動攻擊強調(diào)的是阻止而不是檢測。2.主動攻擊主動攻擊包含對數(shù)據(jù)流的某些修改，或者生成一個假的數(shù)據(jù)流。它可分成4類：（1）偽裝偽裝是一個實體假裝成另一個實體。偽裝攻擊往往連同另一類主動攻擊一起進行。例如，身份鑒別的序列被捕獲，并在有效的身份鑒別發(fā)生時作出回答，有可能使具有很少特權(quán)的實體得到額外的特權(quán)，這樣不具有這些特權(quán)的人獲得了這些特權(quán)。（2）回答回答攻擊包含數(shù)據(jù)單元的被動捕獲，隨之再重傳這些數(shù)據(jù)，從而產(chǎn)生一個非授權(quán)的效果。（3）修改報文修改報文攻擊意味著合法報文的某些部分已被修改，或者報文的延遲和重新排序，從而產(chǎn)生非授權(quán)的效果。（4）拒絕服務拒絕服務攻擊是阻止或禁止通信設施的正常使用和管理。這種攻擊可能針對專門的目標（如安全審計服務），抑制所有報文直接送到目的站；也可能破壞整個網(wǎng)絡，使網(wǎng)絡不可用或網(wǎng)絡超負荷，從而降低網(wǎng)絡性能。主動攻擊和被動攻擊具有相反的特性。被動攻擊難以檢測出來，然而有阻止其成功的方法。而主動攻擊難以絕對地阻止，因為要做到這些，就要對所有通信設施、通路在任何時間進行完全的保護。因此對主動攻擊采取檢測的方法，并從破壞中恢復。因為制止的效應也可能對防止破壞做出貢獻。訪問攻擊是攻擊者企圖獲得非授權(quán)信息，這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網(wǎng)絡上傳輸?shù)那闆r下，如圖2.4所示。這類攻擊是針對信息機密性的攻擊。2.2.3 訪問攻擊圖2.4 訪問攻擊可能發(fā)生的地方常見的訪問攻擊有3種：（1）窺探窺探（snooping）是查信息文件，發(fā)現(xiàn)某些對攻擊者感興趣的信息。攻擊者試圖打開計算機系統(tǒng)的文件，直到找到所需信息。（2）竊聽竊聽（eavesdropping）是偷聽他人的對話，為了得到非授權(quán)的信息訪問，攻擊者必須將自己放在一個信息通過的地方，一般采用電子的竊聽方式，如圖2.5所示。圖2.5 竊聽（3）截獲截獲（interception）不同于竊聽，它是一種主動攻擊方式。攻擊者截獲信息是通過將自己插入信息通過的通路，且在信息到達目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決定是否將信息送往目的站，如圖2.6所示。圖2.6 截獲電子信息可存儲在桌面計算機、服務器、筆記本計算機、軟盤、CD-ROM以及后備磁帶中。如沒有物理安全措施，這些介質(zhì)可能被偷走，攻擊者就很容易得到所要的信息。如果攻擊者設法取得合法訪問權(quán)，就可簡單地打開文件系統(tǒng)。假如訪問控制權(quán)限設置恰當，系統(tǒng)就可對非授權(quán)者拒絕訪問。正確的許可權(quán)設置可阻止大部分不經(jīng)心的窺視。然而對有意的攻擊者企圖偷到許可權(quán)，并閱讀文件或降低對文件訪問的控制，由于系統(tǒng)有很多漏洞，使得攻擊者的這些行動能得逞。對傳輸中的信息可通過竊聽獲得。在局域網(wǎng)中，攻擊者在聯(lián)到網(wǎng)上的計算機系統(tǒng)中安裝一個信息包探測程序（sniffer），來捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。竊聽也可能發(fā)生在廣域網(wǎng)（如租用線和電話線）中，然而這類竊聽需要更多的技術(shù)和設備。通常在設施的接線架上采用T形分接頭來竊聽信息。它不僅用于電纜線，也可用于光纖傳輸線，但需要專門的設備。使用截獲來取得所需信息，對攻擊者來說也比較困難。攻擊者必須將自己的系統(tǒng)插入到發(fā)送站和接收站之間。在Internet上，可通過名字轉(zhuǎn)換的改變來達到目的，即將計算機名轉(zhuǎn)換成一個錯誤的IP地址，如圖2.7所示。這樣信息就送到攻擊者的系統(tǒng)，而不是正確的目的站。如果攻擊者正確地配置其系統(tǒng)，發(fā)送者和目的站可能永遠不知道他是在和攻擊者通信。圖2.7 使用錯誤的名字轉(zhuǎn)換截獲信息截獲還可對已經(jīng)進行的正常會話接管和轉(zhuǎn)移。這類攻擊發(fā)生在交互式通信中，如telnet。這時，攻擊者必須在客戶機或服務器的同一網(wǎng)段。攻擊者讓合法用戶開始和服務器會話，然后使用專門的軟件來接管這個會話。這類攻擊使攻擊者能在服務器上具有同樣的特權(quán)。篡改攻擊是攻擊者企圖修改信息，而他們本來是無權(quán)修改的。這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網(wǎng)絡上傳輸?shù)那闆r下，是針對信息完整性的攻擊。常見的篡改攻擊有3種：（1）改變改變已有的信息。例如，攻擊者改變已存在的員工工資，改變以后的信息雖然仍存在于該組織，但已經(jīng)是不正確的信息。這種改變攻擊的目標通常是敏感信息或公共信息。2.2.4 篡改攻擊（2）插入插入信息可以改變歷史的信息。例如，攻擊者在銀行系統(tǒng)中加一個事務處理，從而將客戶賬戶的資金轉(zhuǎn)到自己賬戶上。（3）刪除刪除攻擊是將已有的信息去除，可能是將歷史記錄的信息刪除。例如，攻擊者將一個事務處理記錄從銀行結(jié)賬單中刪除，從而造成銀行資金的損失。修改電子信息比修改紙上信息容易得多。假如攻擊者已經(jīng)訪問了文件，可以幾乎不留證據(jù)地修改。假如攻擊者沒有訪問文件的權(quán)限，則攻擊者首先必須提高對系統(tǒng)的訪問權(quán)，或者移去文件的許可權(quán)。在訪問攻擊中，攻擊者利用系統(tǒng)的漏洞獲取訪問權(quán)，然后再修改文件。攻擊者要改變數(shù)據(jù)庫文件或處理隊列更難一些。在某些情況下，事務處理也編成序列號，不正確地移走或加一個序列號，會導致系統(tǒng)發(fā)出警報。只有對整個系統(tǒng)進行變更，才能使篡改不易被察覺。拒絕服務攻擊（Denial of Service,DOS）是拒絕合法用戶使用系統(tǒng)、信息、能力等各種資源。拒絕服務攻擊一般不允許攻擊者訪問或修改計算機系統(tǒng)的信息。拒絕服務攻擊可分成以下4種：（1）拒絕訪問信息拒絕訪問信息使信息不可用，不論是信息被破壞或者將信息改變成不可使用狀態(tài)，也可能信息仍存在，但已經(jīng)被移到不可訪問的位置。2.2.5 拒絕服務攻擊（2）拒絕訪問應用拒絕訪問應用的目標是操縱或顯示信息的應用。通常對正在運行應用程序的計算機系統(tǒng)進行攻擊，這樣應用程序不可用，以致不能執(zhí)行由該應用程序完成的任務。（3）拒絕訪問系統(tǒng)拒絕訪問系統(tǒng)通常是使系統(tǒng)宕機，使運行在該計算機系統(tǒng)上的所有應用無法運行，使存儲在該計算機系統(tǒng)上的所有信息不可用。（4）拒絕訪問通信拒絕訪問通信是針對通信的一種攻擊，已有很多年歷史。這類攻擊可能用切斷通信電纜、干擾無線電通信以及用過量的通信負載來淹沒網(wǎng)絡。拒絕訪問通信的目標是通信介質(zhì)本身，從而阻止用戶通過網(wǎng)絡訪問系統(tǒng)和信息。拒絕服務攻擊主要是針對計算機和網(wǎng)絡系統(tǒng)。很多方法可以使電子形式的信息遭受拒絕服務攻擊。在拒絕訪問信息的同時，信息有可能被刪除，當然這類攻擊需要同時將后備信息也刪除。也有可能通過改變文件提供無用信息，例如，攻擊者對文件加密并毀掉密鑰，這樣任何人都無法訪問這些信息。帶有信息的計算機也可能被偷走。短期的拒絕服務攻擊可以簡單地將系統(tǒng)關(guān)掉，導致系統(tǒng)本身拒絕服務。拒絕服務攻擊可直接針對系統(tǒng)，使計算機系統(tǒng)破壞。通過一些漏洞可使應用程序不可用。這類漏洞使攻擊者對應用程序發(fā)送一些事先設定的命令，從而使應用程序無法正常運行。應用程序看起來像被摧垮一樣，即使重新啟動，仍無法運行。最容易使通信設施不可用的方法是切斷電纜。但這類攻擊需要到現(xiàn)場物理訪問網(wǎng)絡電纜。另一種拒絕服務攻擊的方法是對一個場地發(fā)送大量的通信量，阻止合法用戶使用。否認攻擊是針對信息的可審性進行的。否認攻擊企圖給出假的信息或者否認已經(jīng)發(fā)生的現(xiàn)實事件或事務處理。否認攻擊包括兩類：（1）假冒假冒是攻擊者企圖裝扮或假冒別人和別的系統(tǒng)。這種攻擊可能發(fā)生在個人通信、事務處理或系統(tǒng)對系統(tǒng)的通信中。2.2.6 否認攻擊（2）否認否認一個事件是簡單地抵賴曾經(jīng)登錄和處理的事件。例如，一個人用信用卡在商店里購物，然而當賬單送到時，告訴信用卡公司，他從未到該商店購物。電子信息比紙上信息更易實現(xiàn)否認攻擊。電子文本能生成和發(fā)送給別人，而幾乎沒有發(fā)送者身份的證據(jù)。例如，發(fā)送者發(fā)送電子郵件，可以任意改變其發(fā)送者地址，電子郵件系統(tǒng)幾乎不能驗證發(fā)送者的身份。同樣網(wǎng)上計算機系統(tǒng)發(fā)送信息時，可用任何IP地址，這樣的計算機系統(tǒng)就可偽裝成另一個系統(tǒng)。從本質(zhì)上講，安全就是風險管理。一個組織者如果不了解其信息資產(chǎn)的安全風險，很多資源就會被錯誤地使用。風險管理提供信息資產(chǎn)評估的基礎(chǔ)。通過風險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。2.3 風險管理風險是構(gòu)成安全基礎(chǔ)的基本觀念。風險是丟失需要保護的資產(chǎn)的可能性。如果沒有風險，就不需要安全了。風險還是從事安全產(chǎn)業(yè)者應了解的一個觀念。以傳統(tǒng)的保險業(yè)為例來了解風險的含義。一個客戶因感到危險，所以向保險公司購買保險。買保險前，如果出車禍，他需要花很多修理費，買了保險后就可減少花大筆錢的風險。保險公司設定保險費的依據(jù)有兩個，一個是汽車修理的費用，另一個是該客戶發(fā)生車禍的可能性。2.3.1 風險的概念從上面的例子可以看出，風險包含兩個部分。第一個是車的修理費，如果車禍發(fā)生，保險公司就要付這筆費用，將它定為保險公司的漏洞或脆弱性。第二個是客戶發(fā)生車禍的可能性，這是對保險公司的威脅，因為它有可能使保險公司付修理費。因此漏洞和威脅是測定風險的兩個組成部分。圖2.8表示漏洞和威脅之間的關(guān)系，由圖可知，如果沒有威脅，也就沒有風險；同樣地，如果沒有漏洞，也就沒有風險。圖2.8 漏洞和威脅的關(guān)系1.漏洞漏洞是攻擊的可能的途徑。漏洞有可能存在于計算機系統(tǒng)和網(wǎng)絡中，它允許打開系統(tǒng)，使技術(shù)攻擊得逞。漏洞也有可能存在于管理過程中，它使系統(tǒng)環(huán)境對攻擊開放。漏洞的多少是由需要打開系統(tǒng)的技術(shù)熟練水平和困難程度來確定的，還要考慮系統(tǒng)暴露的后果。如果漏洞易于暴露，并且一旦受到攻擊，攻擊者可以完全控制系統(tǒng)，則稱高值漏洞或高脆弱性。如果攻擊者需要對設備和人員投入很多資源，漏洞才能暴露，并且受到攻擊后，也只能獲取一般信息，而非敏感信息，則稱低值漏洞或低脆弱性。漏洞不僅和計算機系統(tǒng)、網(wǎng)絡有關(guān)，而且和物理場地安全、員工的情況、傳送中的信息安全等有關(guān)。2.威脅威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。威脅包含以下3個組成部分：（1）目標威脅的目標通常是針對安全屬性或安全服務，包括機密性、完整性、可用性、可審性等。這些目標是在威脅背后的真正理由或動機。一個威脅可能有幾個目標，例如，可審性可能是攻擊的首要目標，這樣可防止留下攻擊者的記錄，然后，把機密性作為攻擊目標，以獲取一些關(guān)鍵數(shù)據(jù)。（2）代理代理需要有3個特性：訪問。一個代理必須有訪問所需要的系統(tǒng)、網(wǎng)絡、設施或信息的能力。可以是直接訪問，例如，代理有系統(tǒng)的賬號。也可以是間接訪問，例如，代理通過其他的方法來訪問系統(tǒng)。代理有的訪問直接影響到為了打開漏洞所必須執(zhí)行的動作的能力。知識。一個代理必須具有目標的知識，有用的知識包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號碼、網(wǎng)絡地址、安全程序等。代理對目標越熟悉，就具有越多的存在的漏洞的知識；代理對存在的漏洞知道得越具體，就越能獲得更多打開漏洞的知識。動機。一個代理對目標發(fā)出威脅，需要有動機，通常動機是考慮代理攻擊目標的關(guān)鍵特性。動機可能是不同的，有的為了競爭、挑戰(zhàn)；有的是貪心，以獲得錢、物、服務、信心；有的是對某組織或個人有惡意傷害的企圖。根據(jù)代理的3個特性，應該考慮的代理可能是各種各樣的，包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對手、恐怖分子、罪犯、客戶、訪問者以及自然災害等。當考慮這些代理時，應該作出定量的判斷，以得出每個代理對訪問組織的目標的必要性，根據(jù)前面分析的漏洞考慮攻擊的可能性。（3）事件事件是代理采取的行為，從而導致對組織的傷害。例如，一個黑客改變一個組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會產(chǎn)生什么樣的傷害。常見的事件如下：對信息、系統(tǒng)、場地濫用授權(quán)訪問；惡意地改變信息；偶然地改變信息；對信息、系統(tǒng)、場地非授權(quán)訪問；惡意地破壞信息、系統(tǒng)、場地；偶然地破壞信息、系統(tǒng)、場地；對系統(tǒng)和操作的惡意物理損害；對系統(tǒng)和操作的偶然物理損害；由于自然物理事件引起的系統(tǒng)和操作的損害；引入對系統(tǒng)的惡意軟件；破壞內(nèi)部或外部的通信；被動地竊聽內(nèi)部或外部的通信；偷竊硬件。3.威脅漏洞風險風險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。風險的度量是要確定事件發(fā)生的可能性。風險可劃分成低、中、高個級別。（1）低級別風險是漏洞使組織的風險達到一定水平，然而不一定發(fā)生。如有可能應將這些漏洞去除，但應權(quán)衡去除漏洞的代價和能減少的風險損失。（2）中級別風險是漏洞使組織的信息系統(tǒng)或場地的風險（機密性、完整性、可用性、可審性）達到相當?shù)乃剑⑶乙延邪l(fā)生事件的現(xiàn)實可能性。應采取措施去除漏洞。（3）高級別風險是漏洞對組織的信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實危害。必須立即采取措施去除漏洞。對一個組織而言，識別風險除了要識別漏洞和威脅外，還應考慮已有的對策和預防措施，如圖2.9所示。2.3.2 風險識別圖2.9 風險識別1.識別漏洞識別漏洞時，從確定對該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點。這些入口包括Internet的連接、遠程訪問點、與其他組織的連接、設備的物理訪問以及用戶訪問點等。對每個訪問點識別可訪問的信息和系統(tǒng)，然后識別如何通過入口訪問這些信息和系統(tǒng)。應該包括操作系統(tǒng)和應用程序中所有已知的漏洞。在以后的章節(jié)里還會詳細地做風險評估。2.識別現(xiàn)實的威脅威脅評估是十分具體的，有時也是很困難的。在試圖識別一個組織或目標的威脅時，經(jīng)常會轉(zhuǎn)到那些競爭對手的身上。然而，真正的威脅往往是非常隱蔽的，在攻擊事件發(fā)生圖2.9一個組織風險評估的組成以前，真正的目標威脅往往并不暴露出來。一個目標威脅是對一個已知的目標具有已知的代理、已知的動機、已知的訪問和執(zhí)行已知的事件的組合。例如，有一個不滿意的員工（代理）希望得到正在該組織進行的最新設計的知識（動機），該員工能訪問組織的信息系統(tǒng)（訪問），并知道信息存放的位置（知識）。該員工正窺測新設計的機密并且企圖獲得所需文件。識別所有的目標威脅是非常費時和困難的?？梢宰兏环N方法，即假設存在一個威脅的通用水平，這個威脅可能包括任何具有訪問組織信息或系統(tǒng)的可能性的人。這個威脅確實是存在的，因為人們（員工、客戶、供應商等）必須訪問該組織的系統(tǒng)和信息，這對其工作是有用的。然而，我們不必要具有對組織某些部分的直接的或特定的威脅的知識。假如我們假設一個通用的威脅(某些人可能具有訪問、知識、動機做某些壞事)，就能檢查組織內(nèi)允許這些訪問發(fā)生可能產(chǎn)生的漏洞。將任何這樣的漏洞計入風險，因為我們已經(jīng)假定這些有可能暴露漏洞的威脅。3.檢查對策和預防措施在分析評估攻擊的可能途徑時，必須同時檢查如果漏洞真正存在，相應環(huán)境采取的對策和預防措施。這些預防措施包括防火墻、防病毒軟件、訪問控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡安全程序、用于訪問設備的卡讀出器、文件訪問控制、對員工進行安全培訓等。對于組織內(nèi)的每個訪問點都應有相應的預防措施。例如，該組織有一個Internet連接，這就提供了訪問該組織內(nèi)部系統(tǒng)的可能性?？梢圆捎梅阑饓肀Ｗo這個訪問點，設置和檢查防火墻的規(guī)則，可以很好地識別來自外部對內(nèi)部系統(tǒng)訪問的企圖。這樣外部攻擊者不能用訪問點的某些漏洞，因為防火墻阻止訪問這些漏洞和系統(tǒng)。4.識別風險一旦對漏洞、威脅、預防措施進行了識別，就可確定該組織的風險。問題變得簡單了，即給出具有已存在的預防措施下識別的訪問點，還有可能進入該組織的訪問點。為了回答這個問題，首先確定每個訪問點的可能威脅或通用威脅，并檢查通過每個訪問點的可能的目標（機密性、完整性、可用性、可審性）?；谒奈ｋU程度給每個風險分成高、中、低等級。必須指出，對于相同的漏洞，可能得出基于訪問點的不同級別的風險。例如，一個內(nèi)部系統(tǒng)在它的郵件系統(tǒng)內(nèi)有一個漏洞，對外部來說，攻擊者必須通過Internet防火墻才能發(fā)現(xiàn)系統(tǒng)，這樣通過該訪問點，系統(tǒng)是不可訪問的，因此沒有風險。然而，對內(nèi)部員工而言，他們毋需通過防火墻進入網(wǎng)絡，因而可訪問系統(tǒng)。這就意味著內(nèi)部員工可以利用這個漏洞來訪問系統(tǒng)，而內(nèi)部員工并未列為威脅源，因此可將它列為中等風險級別。上述例子中，如果物理安全控制很弱，任何人可隨意進出，使非授權(quán)者可操作該系統(tǒng)，則該系統(tǒng)即使有防火墻這類預防措施，對具有惡意動機的攻擊者來說也是無效的。由于缺乏物理安全預防措施，這種情況下應列為高風險級別。當然，僅僅將風險分成高、中、低個級別還未解決風險識別的全部問題，還應看如果漏洞暴露，對該組織的危害是否是持續(xù)的；該組織需要花費多少資源，才能減少風險。風險測量必須識別出在受到攻擊后該組織需要付出的代價。圖2.10表示風險測量的全部。認識到風險使該組織付出的代價也是確定如何管理風險的決定因素。風險永遠不可能完全去除，風險必須管理。代價是多方面的，包括資金、時間、資源、信譽以及丟失生意等。2.3.3 風險測量圖2.10 測量風險1.資金資金是最顯而易見的風險代價，包括損失的生產(chǎn)能力、設備或金錢的被竊、調(diào)研的費用、修理或替換系統(tǒng)的費用、專家費用、員工加班時間等。上面只是列出了部分代價，可見風險代價之巨大。有些損失在實際的事件發(fā)生前是不知道的，也應將其計入風險代價。最困難的資金代價估計是損失的生產(chǎn)能力這一項。有的生產(chǎn)能力損失是永遠不可恢復的，有的生產(chǎn)能力損失可在付出一定費用恢復系統(tǒng)后恢復。有些是難以估計的。2.時間時間的代價很難量化。由于安全事件使一個技術(shù)人員不能執(zhí)行其正常的任務，或許可以按時間的總和計算，但又如何計算其他人員等待計算機修復所付出的時間代價呢？時間可能以關(guān)鍵系統(tǒng)宕機時間來計算，例如一個組織的Web站受破壞了，該系統(tǒng)只能離線并修復。那么如何計算該Web站宕機所造成的影響？再如，由于攻擊得逞導致該組織的產(chǎn)品延遲，如何來計算由于該延遲引起的損失，但無論如何，時間損失必須計入風險測量中。3.資源資源可以是人、系統(tǒng)、通信線路、應用程序或訪問。資源代價指如攻擊得逞，需要多少資源來恢復正常。很明顯，對一些能用錢來計算的資源是可能計算的，然而對一些不可用錢來計算的資源就難以估算，如本應去完成另一任務的人來處理該事故恢復，則另一任務的延誤如何確定其代價？又如，攻擊使網(wǎng)絡連接很慢，由此引起的很多需要連接網(wǎng)絡的工作延誤，這一損失代價又如何計算？4.信譽一個組織的信譽損失是十分關(guān)鍵的損失，然而這類損失的代價也難以測量。什么是一個組織的真正的信譽損失代價？信譽就是誠信、可信。一個組織在公眾心目中的可信度是十分重要的。例如，銀行的信譽就等于該銀行在公眾心目中的可信度，客戶的錢是否能安全地存放決定了客戶是否愿意將錢存入該銀行，否則客戶就會將已存的錢從該銀行取走，甚至使銀行倒閉。又如，一個慈善機構(gòu)的信譽就是能否合理地使用捐款，這決定了它是否能募集到資金。對每個識別風險的風險測量的可能結(jié)果，回答以下問題：識破風險所需的花費是多少？包括跟蹤的員工時間、顧問時間、新設備的花費。為了成功地識破風險要花多少時間？什么樣的資源會受到影響？而組織的哪一部分依賴于這些資源？該事件對組織的信譽影響如何？會丟失多少經(jīng)營的業(yè)務？什么類型的業(yè)務會丟失？回答了上述問題以后，可列出一個表，以表示每個風險可能引起的后果。利用這些信息來開發(fā)相應的風險管理項目。風險分析是對需要保護的資產(chǎn)及其受到的潛在威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證網(wǎng)絡環(huán)境及其信息安全的極其重要的一步。風險分析始于對需要保護的資產(chǎn)（物理資源、知識資源、時間資源、信譽資源）的鑒別以及對資產(chǎn)威脅的潛在攻擊源的分析。資產(chǎn)的有效保護是盡可能降低資產(chǎn)受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，可以低的安全代價換取高的安全強度。2.4 本章小節(jié)從安全屬性的觀點可將攻擊類型分成阻斷攻擊、截取攻擊、篡改攻擊、偽造攻擊4類。從攻擊方式可將攻擊類型分為被動攻擊和主動攻擊兩類。還可從攻擊目的和效果將攻擊類型分為訪問攻擊、篡改攻擊、拒絕服務攻擊、否認攻擊。風險是構(gòu)成安全基礎(chǔ)的基本觀念，風險是丟失需要保護的資產(chǎn)的可能性。如果沒有風險，就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動或事件，威脅包含目標、代理、事件3個組成部分。漏洞是攻擊的可能的途徑。風險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅外，還應考慮已有的對策和預防措施。識別漏洞應尋找系統(tǒng)和信息的所有入口及分析如何通過這些入口訪問系統(tǒng)。識別威脅是對目標、代理、動機及事件的識別。一旦對漏洞、威脅、預防措施進行了識別，就可確定對該組織的風險。風險測量是確定由于攻擊引起的代價，包括資金、時間、資源、信譽。對每個識別的風險判定風險測量的可能結(jié)果。綜合這些信息，開發(fā)相應的風險管理項目。風險永遠不可能完全去除，風險必須管理。2-1 對攻擊可能性的分析在很大程度上帶有（）。A.客觀性 B.主觀性 C.盲目性 D.上面3項都不是2-2 網(wǎng)絡安全最終是一個折衷的方案，即安全強度和安全操作代價的折衷，除增加安全設施投資外，還應考慮（）。A.用戶的方便性 B.管理的復雜性C.對現(xiàn)有系統(tǒng)的影響及對不同平臺的支持D.上面3項都是2-3 從安全屬性對各種網(wǎng)絡攻擊進行分類，阻斷攻擊是針對（）的攻擊。習題A.機密性 B.可用性 C.完整性 D.真實性2-4 從安全屬性對各種網(wǎng)絡攻擊進行分類，截獲攻擊是針對（）的攻擊。A.機密性 B.可用性 C.完整性 D.真實性2-5 從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊，被動攻擊難以（），然而（）這些攻擊是可行的；主動攻擊難以（），然而（）這些攻擊是可行的。A.阻止，檢測，阻止，檢測B.B.檢測，阻止，檢測，阻止C.檢測，阻止，阻止，檢測D.上面3項都不是2-6 竊聽是一種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。A.被動，無須，主動，必須B.B.主動，必須，被動，無須C.主動，無須，被動，必須D.被動，必須，主動，無須2-7 威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件，威脅包括（）。A.目標 B.代理 C.事件 D.上面3項都是2-8 對目標的攻擊威脅通常通過代理實現(xiàn)，而代理需要的特性包括（）。A.訪問目標的能力 B.對目標發(fā)出威脅的動機C.有關(guān)目標的知識 D.上面3項都是2-9 拒絕服務攻擊的后果是（）。A.信息不可用 B.應用程序不可用 C.系統(tǒng)宕機B.D.阻止通信 E.上面幾項都是2-10 風險是丟失需要保護的（）的可能性，風險是（）和（）的綜合結(jié)果。A.資產(chǎn)，攻擊目標，威脅事件B.B.設備，威脅，漏洞C.資產(chǎn)，威脅，漏洞 D.上面3項都不對