計算機網(wǎng)絡安全第2章 風險分析

上傳人:沈*** 文檔編號:161146721 上傳時間:2022-10-12 格式:PPTX 頁數(shù):78 大小:4.26MB
收藏 版權申訴 舉報 下載
計算機網(wǎng)絡安全第2章 風險分析_第1頁
第1頁 / 共78頁
計算機網(wǎng)絡安全第2章 風險分析_第2頁
第2頁 / 共78頁
計算機網(wǎng)絡安全第2章 風險分析_第3頁
第3頁 / 共78頁

下載文檔到電腦,查找使用更方便

10 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《計算機網(wǎng)絡安全第2章 風險分析》由會員分享,可在線閱讀,更多相關《計算機網(wǎng)絡安全第2章 風險分析(78頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、第2章 風險分析2.1 資產(chǎn)保護2.2 攻擊2.3 風險管理2.4 本章小結(jié)習題任何有效的風險分析始于需要保護的資產(chǎn)和資源的鑒別,資產(chǎn)的類型一般可分成以下4類。(1)物理資源物理資源是具有物理形態(tài)的資產(chǎn)。包括工作站、服務器、終端、網(wǎng)絡設備、外圍設備等,基本上,凡是具有物理形態(tài)的計算資源都是物理資源。風險分析的最終目標是制定一個有效的、節(jié)省的計劃來看管資產(chǎn),不要忽視顯而易見的問題和解決辦法。2.1 資產(chǎn)保護 2.1.1 資產(chǎn)的類型(2)知識資源和物理資源相比,知識資源更難鑒別,因為它只以電子的形式存在。知識資源可以是任何信息的形式,并且在組織的事務處理中起一定的作用。它包括軟件、財務信息、數(shù)據(jù)庫

2、記錄以及計劃圖表等。例如,公司通過電子郵件交換信息,這些電子報文的存儲應看成知識資產(chǎn)。(3)時間資源時間也是一個重要的資源,甚至是一個組織最有價值的資源。當評估時間損失對一個組織的影響時,應考慮由于時間損失引起的全部后果。(4)信譽(感覺)資源在2000年2月,大部分網(wǎng)絡公司諸如Yahoo、Amazon、eBay和B等在受到拒絕服務攻擊以后,他們的股票價狂跌。雖然這是暫時的,但足以說明消費者和股票持有者對他們的可信度確實存在影響,且可測量。又如,2000年10月圍繞Microsoft系統(tǒng)的問題公開暴露,公眾不僅對公司,也對其產(chǎn)品的可信度產(chǎn)生了一定的影響。潛在的網(wǎng)絡攻擊可來自任何能訪問網(wǎng)絡的源,

3、這些源之間有很大差異,它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡訪問的類型。當作風險分析時,要能識別所有的攻擊源。這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問,以及通過modem池的訪問等。在分析潛在攻擊源時不僅要評估誰可能攻擊網(wǎng)絡,還要尋找什么樣的介質(zhì)可用來對網(wǎng)絡資源的訪問。2.1.2 潛在的攻擊源潛在的攻擊來自多方面,包括組織內(nèi)部的員工、臨時員工和顧問、競爭者、和組織中具有不同觀點和目的的人、反對這個組織或其員工的人。根據(jù)這個組織的情況,還可能有各種不同的攻擊源。重要的是要決定什么樣的威脅能實現(xiàn)成功的攻擊,以及對潛伏的攻擊者而言,什么樣的攻擊

4、是值得的。在識別資源以及潛在的攻擊源后,可評估該組織受攻擊的潛在風險級別。一個網(wǎng)絡是物理隔離的網(wǎng),還是有很多入口(如廣域網(wǎng))、有modem池、或是經(jīng)過Internet進入的VPN?所有這些連接點是否使用強的身份鑒別和某種形式的防火墻設備,或者其他的網(wǎng)絡保護措施?攻擊者能否發(fā)現(xiàn)某一個暴露的訪問點以及獲得訪問該網(wǎng)絡資源?對攻擊可能性的看法在很大程度上是帶有主觀性的,同一個組織的兩個人對攻擊可能性的觀點可能完全不同。因此要聽取來自不同部門的觀點,甚至聘請在決定風險評估方面有實踐經(jīng)驗的顧問。因為對攻擊可能性的分析越清楚,越能更有效地保護網(wǎng)絡。資產(chǎn)一旦受到威脅和破壞,就會帶來兩類損失,一類是即時的損失,

5、如由于系統(tǒng)被破壞,員工無法使用,因而降低了勞動生產(chǎn)率;又如,ISP的在線服務中斷帶來經(jīng)濟上的損失。另一類是長期的恢復所需花費,也就是從攻擊或失效到恢復正常需要的花費,例如,受到拒絕服務攻擊,在一定期間內(nèi)資源無法訪問帶來的損失;又如,為了修復受破壞的關鍵文件所需的花費等。為了有效保護資產(chǎn),應盡可能降低資產(chǎn)受危害的潛在代價。另一方面,由于采取一些安全措施,也要付出安全的操作代價。網(wǎng)絡安全最終是一個折中的方案,需要對危害和降低危害的代價進行權衡。2.1.3 資產(chǎn)的有效保護在評估時要考慮網(wǎng)絡的現(xiàn)有環(huán)境,以及近期和遠期網(wǎng)絡發(fā)展變化的趨勢。選用先進的安全體系結(jié)構和系統(tǒng)安全平臺可減少安全操作代價,獲得良好的

6、安全強度。除此之外,要獲得安全強度和安全代價的折中,需要考慮以下因素:(1)用戶的方便程度。不應由于增加安全強度給用戶帶來很多麻煩。(2)管理的復雜性。對增加安全強度的網(wǎng)絡系統(tǒng)要易于配置、管理。(3)對現(xiàn)有系統(tǒng)的影響。包括增加的性能開銷以及對原有環(huán)境的改變等。(4)對不同平臺的支持。網(wǎng)絡安全系統(tǒng)應能適應不同平臺的異構環(huán)境的使用。圖2.1 安全強度和安全代價的折中圖2.1所示為安全強度和安全代價的折中,其中圖2.1(a)表示安全強度和安全操作代價的關系。圖2.1(b)表示安全強度和侵入系統(tǒng)可能性的關系。圖2.1(c)表示將圖2.1(a)和圖2.1(b)合在一起,其相交點是平衡點,即安全強度和安全

7、代價的折中選擇。圖2.1(d)表示由于入侵手段增強引起的變化,從而產(chǎn)生新的平衡點。為了有效保護資產(chǎn),需要一個性能良好的安全系統(tǒng)結(jié)構和安全系統(tǒng)平臺,可以小的安全代價換取高的安全強度。從安全屬性來看,攻擊類型可分為以下4類,如圖2.2所示,圖2.2(a)是從源站到目的站的正常信息流。(1)阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞,無法提供用戶使用,這是一種針對可用性的攻擊,如圖22(b)所示。例如,破壞硬盤之類的硬件,切斷通信線路,使文件管理系統(tǒng)失效等。2.2 攻擊 2.2.1 攻擊的類型(2)截取攻擊截取攻擊可使非授權者得到資產(chǎn)的訪問,這是一種針對機密性的攻擊,如圖2.2(c)所示。非授權者可以是一個

8、人、一個程序或一臺計算機,例如,通過竊聽獲取網(wǎng)上數(shù)據(jù)以及非授權的復制文件和程序。(3)篡改攻擊篡改攻擊是非授權者不僅訪問資產(chǎn),而且能修改信息,這是一種針對完整性的攻擊,如圖2.2(d)所示。例如,改變數(shù)據(jù)文件的值,修改程序以及在網(wǎng)上正在傳送的報文內(nèi)容。(4)偽造攻擊偽造攻擊是非授權者在系統(tǒng)中插入偽造的信息,這是一種針對真實性的攻擊,如圖2.2(e)所示。例如,在網(wǎng)上插入偽造的報文,或在文件中加入一些記錄。圖2.2 各種安全威脅從攻擊方式來看,攻擊類型可分為被動攻擊和主動攻擊,如圖2.3所示。2.2.2 主動攻擊與被動攻擊圖2.3 主動和被動安全威脅1.被動攻擊竊聽、監(jiān)聽都具有被動攻擊的本性,攻

9、擊者的目的是獲取正在傳輸?shù)男畔?。被動攻擊包括傳輸報文?nèi)容的泄露和通信流量分析。報文內(nèi)容的泄露易于理解,一次電話通信、一份電子郵件報文、正在傳送的文件都可能包含敏感信息或秘密信息。為此要防止對手獲悉這些傳輸?shù)膬?nèi)容。通信流量分析的攻擊較難捉摸。假如有一個方法可屏蔽報文內(nèi)容或其他信息通信,那么即使這些內(nèi)容被截獲,也無法從這些報文中獲得信息。最常用的屏蔽內(nèi)容技術是加密。然而即使用加密保護內(nèi)容,攻擊者仍有可能觀察到這些傳輸?shù)膱笪男问?。攻擊者有可能確定通信主機的位置和標識,也可能觀察到正在交換的報文頻度和長度。而這些信息對猜測正在發(fā)生的通信特性是有用的。對被動攻擊的檢測十分困難,因為攻擊并不涉及數(shù)據(jù)的任何

10、改變。然而阻止這些攻擊的成功是可行的,因此,對被動攻擊強調(diào)的是阻止而不是檢測。2.主動攻擊主動攻擊包含對數(shù)據(jù)流的某些修改,或者生成一個假的數(shù)據(jù)流。它可分成4類:(1)偽裝偽裝是一個實體假裝成另一個實體。偽裝攻擊往往連同另一類主動攻擊一起進行。例如,身份鑒別的序列被捕獲,并在有效的身份鑒別發(fā)生時作出回答,有可能使具有很少特權的實體得到額外的特權,這樣不具有這些特權的人獲得了這些特權。(2)回答回答攻擊包含數(shù)據(jù)單元的被動捕獲,隨之再重傳這些數(shù)據(jù),從而產(chǎn)生一個非授權的效果。(3)修改報文修改報文攻擊意味著合法報文的某些部分已被修改,或者報文的延遲和重新排序,從而產(chǎn)生非授權的效果。(4)拒絕服務拒絕服

11、務攻擊是阻止或禁止通信設施的正常使用和管理。這種攻擊可能針對專門的目標(如安全審計服務),抑制所有報文直接送到目的站;也可能破壞整個網(wǎng)絡,使網(wǎng)絡不可用或網(wǎng)絡超負荷,從而降低網(wǎng)絡性能。主動攻擊和被動攻擊具有相反的特性。被動攻擊難以檢測出來,然而有阻止其成功的方法。而主動攻擊難以絕對地阻止,因為要做到這些,就要對所有通信設施、通路在任何時間進行完全的保護。因此對主動攻擊采取檢測的方法,并從破壞中恢復。因為制止的效應也可能對防止破壞做出貢獻。訪問攻擊是攻擊者企圖獲得非授權信息,這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網(wǎng)絡上傳輸?shù)那闆r下,如圖2.4所示。這類攻擊是針對信息機密性的攻擊。2.2.3

12、訪問攻擊圖2.4 訪問攻擊可能發(fā)生的地方常見的訪問攻擊有3種:(1)窺探窺探(snooping)是查信息文件,發(fā)現(xiàn)某些對攻擊者感興趣的信息。攻擊者試圖打開計算機系統(tǒng)的文件,直到找到所需信息。(2)竊聽竊聽(eavesdropping)是偷聽他人的對話,為了得到非授權的信息訪問,攻擊者必須將自己放在一個信息通過的地方,一般采用電子的竊聽方式,如圖2.5所示。圖2.5 竊聽(3)截獲截獲(interception)不同于竊聽,它是一種主動攻擊方式。攻擊者截獲信息是通過將自己插入信息通過的通路,且在信息到達目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息,并決定是否將信息送往目的站,如圖2.6所示。

13、圖2.6 截獲電子信息可存儲在桌面計算機、服務器、筆記本計算機、軟盤、CD-ROM以及后備磁帶中。如沒有物理安全措施,這些介質(zhì)可能被偷走,攻擊者就很容易得到所要的信息。如果攻擊者設法取得合法訪問權,就可簡單地打開文件系統(tǒng)。假如訪問控制權限設置恰當,系統(tǒng)就可對非授權者拒絕訪問。正確的許可權設置可阻止大部分不經(jīng)心的窺視。然而對有意的攻擊者企圖偷到許可權,并閱讀文件或降低對文件訪問的控制,由于系統(tǒng)有很多漏洞,使得攻擊者的這些行動能得逞。對傳輸中的信息可通過竊聽獲得。在局域網(wǎng)中,攻擊者在聯(lián)到網(wǎng)上的計算機系統(tǒng)中安裝一個信息包探測程序(sniffer),來捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。

14、竊聽也可能發(fā)生在廣域網(wǎng)(如租用線和電話線)中,然而這類竊聽需要更多的技術和設備。通常在設施的接線架上采用T形分接頭來竊聽信息。它不僅用于電纜線,也可用于光纖傳輸線,但需要專門的設備。使用截獲來取得所需信息,對攻擊者來說也比較困難。攻擊者必須將自己的系統(tǒng)插入到發(fā)送站和接收站之間。在Internet上,可通過名字轉(zhuǎn)換的改變來達到目的,即將計算機名轉(zhuǎn)換成一個錯誤的IP地址,如圖2.7所示。這樣信息就送到攻擊者的系統(tǒng),而不是正確的目的站。如果攻擊者正確地配置其系統(tǒng),發(fā)送者和目的站可能永遠不知道他是在和攻擊者通信。圖2.7 使用錯誤的名字轉(zhuǎn)換截獲信息截獲還可對已經(jīng)進行的正常會話接管和轉(zhuǎn)移。這類攻擊發(fā)生在

15、交互式通信中,如telnet。這時,攻擊者必須在客戶機或服務器的同一網(wǎng)段。攻擊者讓合法用戶開始和服務器會話,然后使用專門的軟件來接管這個會話。這類攻擊使攻擊者能在服務器上具有同樣的特權。篡改攻擊是攻擊者企圖修改信息,而他們本來是無權修改的。這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網(wǎng)絡上傳輸?shù)那闆r下,是針對信息完整性的攻擊。常見的篡改攻擊有3種:(1)改變改變已有的信息。例如,攻擊者改變已存在的員工工資,改變以后的信息雖然仍存在于該組織,但已經(jīng)是不正確的信息。這種改變攻擊的目標通常是敏感信息或公共信息。2.2.4 篡改攻擊(2)插入插入信息可以改變歷史的信息。例如,攻擊者在銀行系統(tǒng)中加一個事

16、務處理,從而將客戶賬戶的資金轉(zhuǎn)到自己賬戶上。(3)刪除刪除攻擊是將已有的信息去除,可能是將歷史記錄的信息刪除。例如,攻擊者將一個事務處理記錄從銀行結(jié)賬單中刪除,從而造成銀行資金的損失。修改電子信息比修改紙上信息容易得多。假如攻擊者已經(jīng)訪問了文件,可以幾乎不留證據(jù)地修改。假如攻擊者沒有訪問文件的權限,則攻擊者首先必須提高對系統(tǒng)的訪問權,或者移去文件的許可權。在訪問攻擊中,攻擊者利用系統(tǒng)的漏洞獲取訪問權,然后再修改文件。攻擊者要改變數(shù)據(jù)庫文件或處理隊列更難一些。在某些情況下,事務處理也編成序列號,不正確地移走或加一個序列號,會導致系統(tǒng)發(fā)出警報。只有對整個系統(tǒng)進行變更,才能使篡改不易被察覺。拒絕服務

17、攻擊(Denial of Service,DOS)是拒絕合法用戶使用系統(tǒng)、信息、能力等各種資源。拒絕服務攻擊一般不允許攻擊者訪問或修改計算機系統(tǒng)的信息。拒絕服務攻擊可分成以下4種:(1)拒絕訪問信息拒絕訪問信息使信息不可用,不論是信息被破壞或者將信息改變成不可使用狀態(tài),也可能信息仍存在,但已經(jīng)被移到不可訪問的位置。2.2.5 拒絕服務攻擊(2)拒絕訪問應用拒絕訪問應用的目標是操縱或顯示信息的應用。通常對正在運行應用程序的計算機系統(tǒng)進行攻擊,這樣應用程序不可用,以致不能執(zhí)行由該應用程序完成的任務。(3)拒絕訪問系統(tǒng)拒絕訪問系統(tǒng)通常是使系統(tǒng)宕機,使運行在該計算機系統(tǒng)上的所有應用無法運行,使存儲在該

18、計算機系統(tǒng)上的所有信息不可用。(4)拒絕訪問通信拒絕訪問通信是針對通信的一種攻擊,已有很多年歷史。這類攻擊可能用切斷通信電纜、干擾無線電通信以及用過量的通信負載來淹沒網(wǎng)絡。拒絕訪問通信的目標是通信介質(zhì)本身,從而阻止用戶通過網(wǎng)絡訪問系統(tǒng)和信息。拒絕服務攻擊主要是針對計算機和網(wǎng)絡系統(tǒng)。很多方法可以使電子形式的信息遭受拒絕服務攻擊。在拒絕訪問信息的同時,信息有可能被刪除,當然這類攻擊需要同時將后備信息也刪除。也有可能通過改變文件提供無用信息,例如,攻擊者對文件加密并毀掉密鑰,這樣任何人都無法訪問這些信息。帶有信息的計算機也可能被偷走。短期的拒絕服務攻擊可以簡單地將系統(tǒng)關掉,導致系統(tǒng)本身拒絕服務。拒絕

19、服務攻擊可直接針對系統(tǒng),使計算機系統(tǒng)破壞。通過一些漏洞可使應用程序不可用。這類漏洞使攻擊者對應用程序發(fā)送一些事先設定的命令,從而使應用程序無法正常運行。應用程序看起來像被摧垮一樣,即使重新啟動,仍無法運行。最容易使通信設施不可用的方法是切斷電纜。但這類攻擊需要到現(xiàn)場物理訪問網(wǎng)絡電纜。另一種拒絕服務攻擊的方法是對一個場地發(fā)送大量的通信量,阻止合法用戶使用。否認攻擊是針對信息的可審性進行的。否認攻擊企圖給出假的信息或者否認已經(jīng)發(fā)生的現(xiàn)實事件或事務處理。否認攻擊包括兩類:(1)假冒假冒是攻擊者企圖裝扮或假冒別人和別的系統(tǒng)。這種攻擊可能發(fā)生在個人通信、事務處理或系統(tǒng)對系統(tǒng)的通信中。2.2.6 否認攻擊

20、(2)否認否認一個事件是簡單地抵賴曾經(jīng)登錄和處理的事件。例如,一個人用信用卡在商店里購物,然而當賬單送到時,告訴信用卡公司,他從未到該商店購物。電子信息比紙上信息更易實現(xiàn)否認攻擊。電子文本能生成和發(fā)送給別人,而幾乎沒有發(fā)送者身份的證據(jù)。例如,發(fā)送者發(fā)送電子郵件,可以任意改變其發(fā)送者地址,電子郵件系統(tǒng)幾乎不能驗證發(fā)送者的身份。同樣網(wǎng)上計算機系統(tǒng)發(fā)送信息時,可用任何IP地址,這樣的計算機系統(tǒng)就可偽裝成另一個系統(tǒng)。從本質(zhì)上講,安全就是風險管理。一個組織者如果不了解其信息資產(chǎn)的安全風險,很多資源就會被錯誤地使用。風險管理提供信息資產(chǎn)評估的基礎。通過風險識別,可以知道一些特殊類型的資產(chǎn)價值以及包含這些信

21、息的系統(tǒng)的價值。2.3 風險管理風險是構成安全基礎的基本觀念。風險是丟失需要保護的資產(chǎn)的可能性。如果沒有風險,就不需要安全了。風險還是從事安全產(chǎn)業(yè)者應了解的一個觀念。以傳統(tǒng)的保險業(yè)為例來了解風險的含義。一個客戶因感到危險,所以向保險公司購買保險。買保險前,如果出車禍,他需要花很多修理費,買了保險后就可減少花大筆錢的風險。保險公司設定保險費的依據(jù)有兩個,一個是汽車修理的費用,另一個是該客戶發(fā)生車禍的可能性。2.3.1 風險的概念從上面的例子可以看出,風險包含兩個部分。第一個是車的修理費,如果車禍發(fā)生,保險公司就要付這筆費用,將它定為保險公司的漏洞或脆弱性。第二個是客戶發(fā)生車禍的可能性,這是對保險

22、公司的威脅,因為它有可能使保險公司付修理費。因此漏洞和威脅是測定風險的兩個組成部分。圖2.8表示漏洞和威脅之間的關系,由圖可知,如果沒有威脅,也就沒有風險;同樣地,如果沒有漏洞,也就沒有風險。圖2.8 漏洞和威脅的關系1.漏洞漏洞是攻擊的可能的途徑。漏洞有可能存在于計算機系統(tǒng)和網(wǎng)絡中,它允許打開系統(tǒng),使技術攻擊得逞。漏洞也有可能存在于管理過程中,它使系統(tǒng)環(huán)境對攻擊開放。漏洞的多少是由需要打開系統(tǒng)的技術熟練水平和困難程度來確定的,還要考慮系統(tǒng)暴露的后果。如果漏洞易于暴露,并且一旦受到攻擊,攻擊者可以完全控制系統(tǒng),則稱高值漏洞或高脆弱性。如果攻擊者需要對設備和人員投入很多資源,漏洞才能暴露,并且受

23、到攻擊后,也只能獲取一般信息,而非敏感信息,則稱低值漏洞或低脆弱性。漏洞不僅和計算機系統(tǒng)、網(wǎng)絡有關,而且和物理場地安全、員工的情況、傳送中的信息安全等有關。2.威脅威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。威脅包含以下3個組成部分:(1)目標威脅的目標通常是針對安全屬性或安全服務,包括機密性、完整性、可用性、可審性等。這些目標是在威脅背后的真正理由或動機。一個威脅可能有幾個目標,例如,可審性可能是攻擊的首要目標,這樣可防止留下攻擊者的記錄,然后,把機密性作為攻擊目標,以獲取一些關鍵數(shù)據(jù)。(2)代理代理需要有3個特性:訪問。一個代理必須有訪問所需要的系統(tǒng)、網(wǎng)絡、設施或信息的能力??梢允侵苯?/p>

24、訪問,例如,代理有系統(tǒng)的賬號。也可以是間接訪問,例如,代理通過其他的方法來訪問系統(tǒng)。代理有的訪問直接影響到為了打開漏洞所必須執(zhí)行的動作的能力。知識。一個代理必須具有目標的知識,有用的知識包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號碼、網(wǎng)絡地址、安全程序等。代理對目標越熟悉,就具有越多的存在的漏洞的知識;代理對存在的漏洞知道得越具體,就越能獲得更多打開漏洞的知識。動機。一個代理對目標發(fā)出威脅,需要有動機,通常動機是考慮代理攻擊目標的關鍵特性。動機可能是不同的,有的為了競爭、挑戰(zhàn);有的是貪心,以獲得錢、物、服務、信心;有的是對某組織或個人有惡意傷害的企圖。根據(jù)代理的3個特性,

25、應該考慮的代理可能是各種各樣的,包括員工、和組織有關的外部員工、黑客、商業(yè)對手、恐怖分子、罪犯、客戶、訪問者以及自然災害等。當考慮這些代理時,應該作出定量的判斷,以得出每個代理對訪問組織的目標的必要性,根據(jù)前面分析的漏洞考慮攻擊的可能性。(3)事件事件是代理采取的行為,從而導致對組織的傷害。例如,一個黑客改變一個組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會產(chǎn)生什么樣的傷害。常見的事件如下:對信息、系統(tǒng)、場地濫用授權訪問;惡意地改變信息;偶然地改變信息;對信息、系統(tǒng)、場地非授權訪問;惡意地破壞信息、系統(tǒng)、場地;偶然地破壞信息、系統(tǒng)、場地;對系統(tǒng)和操作的惡意物理損害;對系統(tǒng)和操作的偶

26、然物理損害;由于自然物理事件引起的系統(tǒng)和操作的損害;引入對系統(tǒng)的惡意軟件;破壞內(nèi)部或外部的通信;被動地竊聽內(nèi)部或外部的通信;偷竊硬件。3.威脅漏洞風險風險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風險,沒有威脅的漏洞也沒有風險。風險的度量是要確定事件發(fā)生的可能性。風險可劃分成低、中、高個級別。(1)低級別風險是漏洞使組織的風險達到一定水平,然而不一定發(fā)生。如有可能應將這些漏洞去除,但應權衡去除漏洞的代價和能減少的風險損失。(2)中級別風險是漏洞使組織的信息系統(tǒng)或場地的風險(機密性、完整性、可用性、可審性)達到相當?shù)乃?,并且已有發(fā)生事件的現(xiàn)實可能性。應采取措施去除漏洞。(3)高級別風險是漏洞對

27、組織的信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構成現(xiàn)實危害。必須立即采取措施去除漏洞。對一個組織而言,識別風險除了要識別漏洞和威脅外,還應考慮已有的對策和預防措施,如圖2.9所示。2.3.2 風險識別圖2.9 風險識別1.識別漏洞識別漏洞時,從確定對該組織的所有入口開始,也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點。這些入口包括Internet的連接、遠程訪問點、與其他組織的連接、設備的物理訪問以及用戶訪問點等。對每個訪問點識別可訪問的信息和系統(tǒng),然后識別如何通過入口訪問這些信息和系統(tǒng)。應該包括操作系統(tǒng)和應用程序中所有已知的漏洞。在以后的章節(jié)里還會詳細地做風險評估。2.識別現(xiàn)實的威脅威

28、脅評估是十分具體的,有時也是很困難的。在試圖識別一個組織或目標的威脅時,經(jīng)常會轉(zhuǎn)到那些競爭對手的身上。然而,真正的威脅往往是非常隱蔽的,在攻擊事件發(fā)生圖2.9一個組織風險評估的組成以前,真正的目標威脅往往并不暴露出來。一個目標威脅是對一個已知的目標具有已知的代理、已知的動機、已知的訪問和執(zhí)行已知的事件的組合。例如,有一個不滿意的員工(代理)希望得到正在該組織進行的最新設計的知識(動機),該員工能訪問組織的信息系統(tǒng)(訪問),并知道信息存放的位置(知識)。該員工正窺測新設計的機密并且企圖獲得所需文件。識別所有的目標威脅是非常費時和困難的??梢宰兏环N方法,即假設存在一個威脅的通用水平,這個威脅可能

29、包括任何具有訪問組織信息或系統(tǒng)的可能性的人。這個威脅確實是存在的,因為人們(員工、客戶、供應商等)必須訪問該組織的系統(tǒng)和信息,這對其工作是有用的。然而,我們不必要具有對組織某些部分的直接的或特定的威脅的知識。假如我們假設一個通用的威脅(某些人可能具有訪問、知識、動機做某些壞事),就能檢查組織內(nèi)允許這些訪問發(fā)生可能產(chǎn)生的漏洞。將任何這樣的漏洞計入風險,因為我們已經(jīng)假定這些有可能暴露漏洞的威脅。3.檢查對策和預防措施在分析評估攻擊的可能途徑時,必須同時檢查如果漏洞真正存在,相應環(huán)境采取的對策和預防措施。這些預防措施包括防火墻、防病毒軟件、訪問控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡安全程序、用于訪問設備

30、的卡讀出器、文件訪問控制、對員工進行安全培訓等。對于組織內(nèi)的每個訪問點都應有相應的預防措施。例如,該組織有一個Internet連接,這就提供了訪問該組織內(nèi)部系統(tǒng)的可能性??梢圆捎梅阑饓肀Wo這個訪問點,設置和檢查防火墻的規(guī)則,可以很好地識別來自外部對內(nèi)部系統(tǒng)訪問的企圖。這樣外部攻擊者不能用訪問點的某些漏洞,因為防火墻阻止訪問這些漏洞和系統(tǒng)。4.識別風險一旦對漏洞、威脅、預防措施進行了識別,就可確定該組織的風險。問題變得簡單了,即給出具有已存在的預防措施下識別的訪問點,還有可能進入該組織的訪問點。為了回答這個問題,首先確定每個訪問點的可能威脅或通用威脅,并檢查通過每個訪問點的可能的目標(機密性、

31、完整性、可用性、可審性)?;谒奈kU程度給每個風險分成高、中、低等級。必須指出,對于相同的漏洞,可能得出基于訪問點的不同級別的風險。例如,一個內(nèi)部系統(tǒng)在它的郵件系統(tǒng)內(nèi)有一個漏洞,對外部來說,攻擊者必須通過Internet防火墻才能發(fā)現(xiàn)系統(tǒng),這樣通過該訪問點,系統(tǒng)是不可訪問的,因此沒有風險。然而,對內(nèi)部員工而言,他們毋需通過防火墻進入網(wǎng)絡,因而可訪問系統(tǒng)。這就意味著內(nèi)部員工可以利用這個漏洞來訪問系統(tǒng),而內(nèi)部員工并未列為威脅源,因此可將它列為中等風險級別。上述例子中,如果物理安全控制很弱,任何人可隨意進出,使非授權者可操作該系統(tǒng),則該系統(tǒng)即使有防火墻這類預防措施,對具有惡意動機的攻擊者來說也是無

32、效的。由于缺乏物理安全預防措施,這種情況下應列為高風險級別。當然,僅僅將風險分成高、中、低個級別還未解決風險識別的全部問題,還應看如果漏洞暴露,對該組織的危害是否是持續(xù)的;該組織需要花費多少資源,才能減少風險。風險測量必須識別出在受到攻擊后該組織需要付出的代價。圖2.10表示風險測量的全部。認識到風險使該組織付出的代價也是確定如何管理風險的決定因素。風險永遠不可能完全去除,風險必須管理。代價是多方面的,包括資金、時間、資源、信譽以及丟失生意等。2.3.3 風險測量圖2.10 測量風險1.資金資金是最顯而易見的風險代價,包括損失的生產(chǎn)能力、設備或金錢的被竊、調(diào)研的費用、修理或替換系統(tǒng)的費用、專家

33、費用、員工加班時間等。上面只是列出了部分代價,可見風險代價之巨大。有些損失在實際的事件發(fā)生前是不知道的,也應將其計入風險代價。最困難的資金代價估計是損失的生產(chǎn)能力這一項。有的生產(chǎn)能力損失是永遠不可恢復的,有的生產(chǎn)能力損失可在付出一定費用恢復系統(tǒng)后恢復。有些是難以估計的。2.時間時間的代價很難量化。由于安全事件使一個技術人員不能執(zhí)行其正常的任務,或許可以按時間的總和計算,但又如何計算其他人員等待計算機修復所付出的時間代價呢?時間可能以關鍵系統(tǒng)宕機時間來計算,例如一個組織的Web站受破壞了,該系統(tǒng)只能離線并修復。那么如何計算該Web站宕機所造成的影響?再如,由于攻擊得逞導致該組織的產(chǎn)品延遲,如何來

34、計算由于該延遲引起的損失,但無論如何,時間損失必須計入風險測量中。3.資源資源可以是人、系統(tǒng)、通信線路、應用程序或訪問。資源代價指如攻擊得逞,需要多少資源來恢復正常。很明顯,對一些能用錢來計算的資源是可能計算的,然而對一些不可用錢來計算的資源就難以估算,如本應去完成另一任務的人來處理該事故恢復,則另一任務的延誤如何確定其代價?又如,攻擊使網(wǎng)絡連接很慢,由此引起的很多需要連接網(wǎng)絡的工作延誤,這一損失代價又如何計算?4.信譽一個組織的信譽損失是十分關鍵的損失,然而這類損失的代價也難以測量。什么是一個組織的真正的信譽損失代價?信譽就是誠信、可信。一個組織在公眾心目中的可信度是十分重要的。例如,銀行的

35、信譽就等于該銀行在公眾心目中的可信度,客戶的錢是否能安全地存放決定了客戶是否愿意將錢存入該銀行,否則客戶就會將已存的錢從該銀行取走,甚至使銀行倒閉。又如,一個慈善機構的信譽就是能否合理地使用捐款,這決定了它是否能募集到資金。對每個識別風險的風險測量的可能結(jié)果,回答以下問題:識破風險所需的花費是多少?包括跟蹤的員工時間、顧問時間、新設備的花費。為了成功地識破風險要花多少時間?什么樣的資源會受到影響?而組織的哪一部分依賴于這些資源?該事件對組織的信譽影響如何?會丟失多少經(jīng)營的業(yè)務?什么類型的業(yè)務會丟失?回答了上述問題以后,可列出一個表,以表示每個風險可能引起的后果。利用這些信息來開發(fā)相應的風險管理

36、項目。風險分析是對需要保護的資產(chǎn)及其受到的潛在威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證網(wǎng)絡環(huán)境及其信息安全的極其重要的一步。風險分析始于對需要保護的資產(chǎn)(物理資源、知識資源、時間資源、信譽資源)的鑒別以及對資產(chǎn)威脅的潛在攻擊源的分析。資產(chǎn)的有效保護是盡可能降低資產(chǎn)受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統(tǒng)結(jié)構和安全系統(tǒng)平臺,可以低的安全代價換取高的安全強度。2.4 本章小節(jié)從安全屬性的觀點可將攻擊類型分成阻斷攻擊、截取攻擊、篡改攻擊、偽造攻擊4類。從攻擊方式可將攻擊類型分為被動攻擊和主動攻擊兩類。還可從攻擊目的和效果將攻擊類型分為訪問攻擊、篡

37、改攻擊、拒絕服務攻擊、否認攻擊。風險是構成安全基礎的基本觀念,風險是丟失需要保護的資產(chǎn)的可能性。如果沒有風險,就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動或事件,威脅包含目標、代理、事件3個組成部分。漏洞是攻擊的可能的途徑。風險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風險,沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅外,還應考慮已有的對策和預防措施。識別漏洞應尋找系統(tǒng)和信息的所有入口及分析如何通過這些入口訪問系統(tǒng)。識別威脅是對目標、代理、動機及事件的識別。一旦對漏洞、威脅、預防措施進行了識別,就可確定對該組織的風險。風險測量是確定由于攻擊引起的代價,包括資金、時間、資源、信譽。

38、對每個識別的風險判定風險測量的可能結(jié)果。綜合這些信息,開發(fā)相應的風險管理項目。風險永遠不可能完全去除,風險必須管理。2-1 對攻擊可能性的分析在很大程度上帶有()。A.客觀性 B.主觀性 C.盲目性 D.上面3項都不是2-2 網(wǎng)絡安全最終是一個折衷的方案,即安全強度和安全操作代價的折衷,除增加安全設施投資外,還應考慮()。A.用戶的方便性 B.管理的復雜性C.對現(xiàn)有系統(tǒng)的影響及對不同平臺的支持D.上面3項都是2-3 從安全屬性對各種網(wǎng)絡攻擊進行分類,阻斷攻擊是針對()的攻擊。習題A.機密性 B.可用性 C.完整性 D.真實性2-4 從安全屬性對各種網(wǎng)絡攻擊進行分類,截獲攻擊是針對()的攻擊。A

39、.機密性 B.可用性 C.完整性 D.真實性2-5 從攻擊方式區(qū)分攻擊類型,可分為被動攻擊和主動攻擊,被動攻擊難以(),然而()這些攻擊是可行的;主動攻擊難以(),然而()這些攻擊是可行的。A.阻止,檢測,阻止,檢測B.B.檢測,阻止,檢測,阻止C.檢測,阻止,阻止,檢測D.上面3項都不是2-6 竊聽是一種()攻擊,攻擊者()將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種()攻擊,攻擊者()將自己的系統(tǒng)插入到發(fā)送站和接收站之間。A.被動,無須,主動,必須B.B.主動,必須,被動,無須C.主動,無須,被動,必須D.被動,必須,主動,無須2-7 威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件,威脅包括()。A.目標 B.代理 C.事件 D.上面3項都是2-8 對目標的攻擊威脅通常通過代理實現(xiàn),而代理需要的特性包括()。A.訪問目標的能力 B.對目標發(fā)出威脅的動機C.有關目標的知識 D.上面3項都是2-9 拒絕服務攻擊的后果是()。A.信息不可用 B.應用程序不可用 C.系統(tǒng)宕機B.D.阻止通信 E.上面幾項都是2-10 風險是丟失需要保護的()的可能性,風險是()和()的綜合結(jié)果。A.資產(chǎn),攻擊目標,威脅事件B.B.設備,威脅,漏洞C.資產(chǎn),威脅,漏洞 D.上面3項都不對

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!

五月丁香婷婷狠狠色,亚洲日韩欧美精品久久久不卡,欧美日韩国产黄片三级,手机在线观看成人国产亚洲