計(jì)算機(jī)網(wǎng)絡(luò)安全第2章 風(fēng)險(xiǎn)分析ppt課件

1、第2章 風(fēng)險(xiǎn)分析2.1 資產(chǎn)維護(hù)2.2 攻擊2.3 風(fēng)險(xiǎn)管理2.4 本章小結(jié)習(xí)題任何有效的風(fēng)險(xiǎn)分析始于需求維護(hù)的資產(chǎn)和資源的鑒別，資產(chǎn)的類型普通可分成以下4類。1 物理資源物理資源是具有物理形狀的資產(chǎn)。包括任務(wù)站、效力器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，根本上，凡是具有物理形狀的計(jì)算資源都是物理資源。風(fēng)險(xiǎn)分析的最終目的是制定一個(gè)有效的、節(jié)省的方案來(lái)看管資產(chǎn)，不要忽視顯而易見(jiàn)的問(wèn)題和處理方法。2.1 資產(chǎn)維護(hù) 2.1.1 資產(chǎn)的類型2 知識(shí)資源和物理資源相比，知識(shí)資源更難鑒別，由于它只以電子的方式存在。知識(shí)資源可以是任何信息的方式，并且在組織的事務(wù)處置中起一定的作用。它包括軟件、財(cái)務(wù)信息、數(shù)據(jù)庫(kù)記錄

2、以及方案圖表等。例如，公司經(jīng)過(guò)電子郵件交換信息，這些電子報(bào)文的存儲(chǔ)應(yīng)看成知識(shí)資產(chǎn)。3 時(shí)間資源時(shí)間也是一個(gè)重要的資源，甚至是一個(gè)組織最有價(jià)值的資源。當(dāng)評(píng)價(jià)時(shí)間損失對(duì)一個(gè)組織的影響時(shí)，應(yīng)思索由于時(shí)間損失引起的全部后果。4 信譽(yù)覺(jué)得資源在2000年2月，大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、eBay和Buy等在遭到回絕效力攻擊以后，他們的股票價(jià)狂跌。雖然這是暫時(shí)的，但足以闡明消費(fèi)者和股票持有者對(duì)他們的可信度確實(shí)存在影響，且可丈量。又如，2000年10月圍繞Microsoft系統(tǒng)的問(wèn)題公開(kāi)暴露，公眾不僅對(duì)公司，也對(duì)其產(chǎn)品的可信度產(chǎn)生了一定的影響。潛在的網(wǎng)絡(luò)攻擊可來(lái)自任何能訪問(wèn)網(wǎng)絡(luò)的源，這些源之

3、間有很大差別，它依賴于一個(gè)組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問(wèn)的類型。當(dāng)作風(fēng)險(xiǎn)分析時(shí)，要能識(shí)別一切的攻擊源。這些攻擊源包括內(nèi)部系統(tǒng)、來(lái)自辦公室的訪問(wèn)、經(jīng)過(guò)廣域網(wǎng)聯(lián)到運(yùn)營(yíng)同伴的訪問(wèn)、經(jīng)過(guò)Internet的訪問(wèn)，以及經(jīng)過(guò)modem池的訪問(wèn)等。在分析潛在攻擊源時(shí)不僅要評(píng)價(jià)誰(shuí)能夠攻擊網(wǎng)絡(luò)，還要尋覓什么樣的介質(zhì)可用來(lái)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。2.1.2 潛在的攻擊源潛在的攻擊來(lái)自多方面，包括組織內(nèi)部的員工、暫時(shí)員工和顧問(wèn)、競(jìng)爭(zhēng)者、和組織中具有不同觀念和目的的人、反對(duì)這個(gè)組織或其員工的人。根據(jù)這個(gè)組織的情況，還能夠有各種不同的攻擊源。重要的是要決議什么樣的要挾能實(shí)現(xiàn)勝利的攻擊，以及對(duì)埋伏的攻擊者而言，什么樣的攻擊是值得的

4、。在識(shí)別資源以及潛在的攻擊源后，可評(píng)價(jià)該組織受攻擊的潛在風(fēng)險(xiǎn)級(jí)別。一個(gè)網(wǎng)絡(luò)是物理隔離的網(wǎng)，還是有很多入口如廣域網(wǎng)、有modem池、或是經(jīng)過(guò)Internet進(jìn)入的VPN?一切這些銜接點(diǎn)能否運(yùn)用強(qiáng)的身份鑒別和某種方式的防火墻設(shè)備，或者其他的網(wǎng)絡(luò)維護(hù)措施？攻擊者能否發(fā)現(xiàn)某一個(gè)暴露的訪問(wèn)點(diǎn)以及獲得訪問(wèn)該網(wǎng)絡(luò)資源？對(duì)攻擊能夠性的看法在很大程度上是帶有客觀性的，同一個(gè)組織的兩個(gè)人對(duì)攻擊能夠性的觀念能夠完全不同。因此要聽(tīng)取來(lái)自不同部門(mén)的觀念，甚至聘請(qǐng)?jiān)跊Q議風(fēng)險(xiǎn)評(píng)價(jià)方面有實(shí)際閱歷的顧問(wèn)。由于對(duì)攻擊能夠性的分析越清楚，越能更有效地維護(hù)網(wǎng)絡(luò)。資產(chǎn)一旦遭到要挾和破壞，就會(huì)帶來(lái)兩類損失，一類是即時(shí)的損失，如由于系統(tǒng)被

5、破壞，員工無(wú)法運(yùn)用，因此降低了勞動(dòng)消費(fèi)率；又如，ISP的在線效力中斷帶來(lái)經(jīng)濟(jì)上的損失。另一類是長(zhǎng)期的恢復(fù)所需破費(fèi)，也就是從攻擊或失效到恢復(fù)正常需求的破費(fèi)，例如，遭到回絕效力攻擊，在一定期間內(nèi)資源無(wú)法訪問(wèn)帶來(lái)的損失；又如，為了修復(fù)受破壞的關(guān)鍵文件所需的破費(fèi)等。為了有效維護(hù)資產(chǎn)，應(yīng)盡能夠降低資產(chǎn)受危害的潛在代價(jià)。另一方面，由于采取一些平安措施，也要付出平安的操作代價(jià)。網(wǎng)絡(luò)平安最終是一個(gè)折中的方案，需求對(duì)危害和降低危害的代價(jià)進(jìn)展權(quán)衡。2.1.3 資產(chǎn)的有效維護(hù)在評(píng)價(jià)時(shí)要思索網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠(yuǎn)期網(wǎng)絡(luò)開(kāi)展變化的趨勢(shì)。選用先進(jìn)的平安體系構(gòu)造和系統(tǒng)平安平臺(tái)可減少平安操作代價(jià)，獲得良好的平安強(qiáng)度。除

6、此之外，要獲得平安強(qiáng)度和平安代價(jià)的折中，需求思索以下要素：1 用戶的方便程度。不應(yīng)由于添加平安強(qiáng)度給用戶帶來(lái)很多費(fèi)事。2 管理的復(fù)雜性。對(duì)添加平安強(qiáng)度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。3 對(duì)現(xiàn)有系統(tǒng)的影響。包括添加的性能開(kāi)銷以及對(duì)原有環(huán)境的改動(dòng)等。4 對(duì)不同平臺(tái)的支持。網(wǎng)絡(luò)平安系統(tǒng)應(yīng)能順應(yīng)不同平臺(tái)的異構(gòu)環(huán)境的運(yùn)用。圖2.1 平安強(qiáng)度和平安代價(jià)的折中圖2.1所示為平安強(qiáng)度和平安代價(jià)的折中，其中圖2.1(a)表示平安強(qiáng)度和平安操作代價(jià)的關(guān)系。圖2.1(b)表示平安強(qiáng)度和侵入系統(tǒng)能夠性的關(guān)系。圖2.1(c)表示將圖2.1(a)和圖2.1(b)合在一同，其相交點(diǎn)是平衡點(diǎn)，即平安強(qiáng)度和平安代價(jià)的折中選擇。圖2

7、.1(d)表示由于入侵手段加強(qiáng)引起的變化，從而產(chǎn)生新的平衡點(diǎn)。為了有效維護(hù)資產(chǎn)，需求一個(gè)性能良好的平安系統(tǒng)構(gòu)造和平安系統(tǒng)平臺(tái)，可以小的平安代價(jià)換取高的平安強(qiáng)度。從平安屬性來(lái)看，攻擊類型可分為以下4類，如圖2.2所示，圖2.2(a)是從源站到目的站的正常信息流。1 阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無(wú)法提供用戶運(yùn)用，這是一種針對(duì)可用性的攻擊，如圖22(b)所示。例如，破壞硬盤(pán)之類的硬件，切斷通訊線路，使文件管理系統(tǒng)失效等。2.2 攻擊 2.2.1 攻擊的類型2 截取攻擊截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問(wèn)，這是一種針對(duì)性的攻擊，如圖2.2(c)所示。非授權(quán)者可以是一個(gè)人、一個(gè)程序或一臺(tái)計(jì)算機(jī)，例

8、如，經(jīng)過(guò)竊聽(tīng)獲取網(wǎng)上數(shù)據(jù)以及非授權(quán)的復(fù)制文件和程序。3 篡改攻擊篡改攻擊是非授權(quán)者不僅訪問(wèn)資產(chǎn)，而且能修正信息，這是一種針對(duì)完好性的攻擊，如圖2.2(d)所示。例如，改動(dòng)數(shù)據(jù)文件的值，修正程序以及在網(wǎng)上正在傳送的報(bào)文內(nèi)容。4 偽造攻擊偽造攻擊是非授權(quán)者在系統(tǒng)中插入偽造的信息，這是一種針對(duì)真實(shí)性的攻擊，如圖2.2e所示。例如，在網(wǎng)上插入偽造的報(bào)文，或在文件中參與一些記錄。圖2.2 各種平安要挾從攻擊方式來(lái)看，攻擊類型可分為被動(dòng)攻擊和自動(dòng)攻擊，如圖2.3所示。2.2.2 自動(dòng)攻擊與被動(dòng)攻擊圖2.3 自動(dòng)和被動(dòng)平安要挾1. 被動(dòng)攻擊竊聽(tīng)、監(jiān)聽(tīng)都具有被動(dòng)攻擊的本性，攻擊者的目的是獲取正在傳輸?shù)男畔?。?/p>

9、動(dòng)攻擊包括傳輸報(bào)文內(nèi)容的泄露和通訊流量分析。報(bào)文內(nèi)容的泄露易于了解，一次通訊、一份電子郵件報(bào)文、正在傳送的文件都能夠包含敏感信息或信息。為此要防止對(duì)手得悉這些傳輸?shù)膬?nèi)容。通訊流量分析的攻擊較難捉摸。假設(shè)有一個(gè)方法可屏蔽報(bào)文內(nèi)容或其他信息通訊，那么即使這些內(nèi)容被截獲，也無(wú)法從這些報(bào)文中獲得信息。最常用的屏蔽內(nèi)容技術(shù)是加密。然而即使用加密維護(hù)內(nèi)容，攻擊者仍有能夠察看到這些傳輸?shù)膱?bào)文方式。攻擊者有能夠確定通訊主機(jī)的位置和標(biāo)識(shí)，也能夠察看到正在交換的報(bào)文頻度和長(zhǎng)度。而這些信息對(duì)猜測(cè)正在發(fā)生的通訊特性是有用的。對(duì)被動(dòng)攻擊的檢測(cè)非常困難，由于攻擊并不涉及數(shù)據(jù)的任何改動(dòng)。然而阻止這些攻擊的勝利是可行的，因此

10、，對(duì)被動(dòng)攻擊強(qiáng)調(diào)的是阻止而不是檢測(cè)。2. 自動(dòng)攻擊自動(dòng)攻擊包含對(duì)數(shù)據(jù)流的某些修正，或者生成一個(gè)假的數(shù)據(jù)流。它可分成4類：1 偽裝偽裝是一個(gè)實(shí)體偽裝成另一個(gè)實(shí)體。偽裝攻擊往往連同另一類自動(dòng)攻擊一同進(jìn)展。例如，身份鑒別的序列被捕獲，并在有效的身份鑒別發(fā)生時(shí)作出回答，有能夠使具有很少特權(quán)的實(shí)體得到額外的特權(quán)，這樣不具有這些特權(quán)的人獲得了這些特權(quán)。2 回答回答攻擊包含數(shù)據(jù)單元的被動(dòng)捕獲，隨之再重傳這些數(shù)據(jù)，從而產(chǎn)生一個(gè)非授權(quán)的效果。3 修正報(bào)文修正報(bào)文攻擊意味著合法報(bào)文的某些部分已被修正，或者報(bào)文的延遲和重新排序，從而產(chǎn)生非授權(quán)的效果。4 回絕效力回絕效力攻擊是阻止或制止通訊設(shè)備的正常運(yùn)用和管理。這種

11、攻擊能夠針對(duì)專門(mén)的目的如平安審計(jì)效力，抑制一切報(bào)文直接送到目的站；也能夠破壞整個(gè)網(wǎng)絡(luò)，使網(wǎng)絡(luò)不可用或網(wǎng)絡(luò)超負(fù)荷，從而降低網(wǎng)絡(luò)性能。自動(dòng)攻擊和被動(dòng)攻擊具有相反的特性。被動(dòng)攻擊難以檢測(cè)出來(lái)，然而有阻止其勝利的方法。而自動(dòng)攻擊難以絕對(duì)地阻止，由于要做到這些，就要對(duì)一切通訊設(shè)備、通路在任何時(shí)間進(jìn)展完全的維護(hù)。因此對(duì)自動(dòng)攻擊采取檢測(cè)的方法，并從破壞中恢復(fù)。由于制止的效應(yīng)也能夠?qū)Ψ乐蛊茐淖龀龇瞰I(xiàn)。訪問(wèn)攻擊是攻擊者企圖獲得非授權(quán)信息，這種攻擊能夠發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下，如圖2.4所示。這類攻擊是針對(duì)信息性的攻擊。2.2.3 訪問(wèn)攻擊圖2.4 訪問(wèn)攻擊能夠發(fā)生的地方常見(jiàn)的訪問(wèn)攻擊有

12、3種：1 窺探窺探snooping是查信息文件，發(fā)現(xiàn)某些對(duì)攻擊者感興趣的信息。攻擊者試圖翻開(kāi)計(jì)算機(jī)系統(tǒng)的文件，直到找到所需信息。2 竊聽(tīng)竊聽(tīng)eavesdropping是偷聽(tīng)他人的對(duì)話，為了得到非授權(quán)的信息訪問(wèn)，攻擊者必需將本人放在一個(gè)信息經(jīng)過(guò)的地方，普通采用電子的竊聽(tīng)方式，如圖2.5所示。圖2.5 竊聽(tīng)3 截獲截獲interception不同于竊聽(tīng)，它是一種自動(dòng)攻擊方式。攻擊者截獲信息是經(jīng)過(guò)將本人插入信息經(jīng)過(guò)的通路，且在信息到達(dá)目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決議能否將信息送往目的站，如圖2.6所示。圖2.6 截獲電子信息可存儲(chǔ)在桌面計(jì)算機(jī)、效力器、筆記本計(jì)算機(jī)、軟盤(pán)、CD

13、-ROM以及后備磁帶中。如沒(méi)有物理平安措施，這些介質(zhì)能夠被偷走，攻擊者就很容易得到所要的信息。假設(shè)攻擊者設(shè)法獲得合法訪問(wèn)權(quán)，就可簡(jiǎn)單地翻開(kāi)文件系統(tǒng)。假設(shè)訪問(wèn)控制權(quán)限設(shè)置恰當(dāng)，系統(tǒng)就可對(duì)非授權(quán)者回絕訪問(wèn)。正確的答應(yīng)權(quán)設(shè)置可阻止大部分不經(jīng)心的窺視。然而對(duì)有意的攻擊者企圖偷到答應(yīng)權(quán)，并閱讀文件或降低對(duì)文件訪問(wèn)的控制，由于系統(tǒng)有很多破綻，使得攻擊者的這些行動(dòng)能得逞。對(duì)傳輸中的信息可經(jīng)過(guò)竊聽(tīng)獲得。在局域網(wǎng)中，攻擊者在聯(lián)到網(wǎng)上的計(jì)算機(jī)系統(tǒng)中安裝一個(gè)信息包探測(cè)程序sniffer，來(lái)捕獲在網(wǎng)上的一切通訊。通常配置成能捕獲ID和口令。竊聽(tīng)也能夠發(fā)生在廣域網(wǎng)如租用線和線中，然而這類竊聽(tīng)需求更多的技術(shù)和設(shè)備。通常在

14、設(shè)備的接線架上采用T形分接頭來(lái)竊聽(tīng)信息。它不僅用于電纜線，也可用于光纖傳輸線，但需求專門(mén)的設(shè)備。運(yùn)用截獲來(lái)獲得所需信息，對(duì)攻擊者來(lái)說(shuō)也比較困難。攻擊者必需將本人的系統(tǒng)插入到發(fā)送站和接納站之間。在Internet上，可經(jīng)過(guò)名字轉(zhuǎn)換的改動(dòng)來(lái)到達(dá)目的，即將計(jì)算機(jī)名轉(zhuǎn)換成一個(gè)錯(cuò)誤的IP地址，如圖2.7所示。這樣信息就送到攻擊者的系統(tǒng)，而不是正確的目的站。假設(shè)攻擊者正確地配置其系統(tǒng)，發(fā)送者和目的站能夠永遠(yuǎn)不知道他是在和攻擊者通訊。圖2.7 運(yùn)用錯(cuò)誤的名字轉(zhuǎn)換截獲信息截獲還可對(duì)曾經(jīng)進(jìn)展的正常會(huì)話接納和轉(zhuǎn)移。這類攻擊發(fā)生在交互式通訊中，如telnet。這時(shí)，攻擊者必需在客戶機(jī)或效力器的同一網(wǎng)段。攻擊者讓合法

15、用戶開(kāi)場(chǎng)和效力器會(huì)話，然后運(yùn)用專門(mén)的軟件來(lái)接納這個(gè)會(huì)話。這類攻擊使攻擊者能在效力器上具有同樣的特權(quán)。篡改攻擊是攻擊者企圖修正信息，而他們本來(lái)是無(wú)權(quán)修正的。這種攻擊能夠發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下，是針對(duì)信息完好性的攻擊。常見(jiàn)的篡改攻擊有3種：1 改動(dòng)改動(dòng)已有的信息。例如，攻擊者改動(dòng)已存在的員工工資，改動(dòng)以后的信息雖然仍存在于該組織，但曾經(jīng)是不正確的信息。這種改動(dòng)攻擊的目的通常是敏感信息或公共信息。2.2.4 篡改攻擊2 插入插入信息可以改動(dòng)歷史的信息。例如，攻擊者在銀行系統(tǒng)中加一個(gè)事務(wù)處置，從而將客戶賬戶的資金轉(zhuǎn)到本人賬戶上。3 刪除刪除攻擊是將已有的信息去除，能夠是將歷

16、史記錄的信息刪除。例如，攻擊者將一個(gè)事務(wù)處置記錄從銀行結(jié)賬單中刪除，從而呵斥銀行資金的損失。修正電子信息比修正紙上信息容易得多。假設(shè)攻擊者曾經(jīng)訪問(wèn)了文件，可以幾乎不留證據(jù)地修正。假設(shè)攻擊者沒(méi)有訪問(wèn)文件的權(quán)限，那么攻擊者首先必需提高對(duì)系統(tǒng)的訪問(wèn)權(quán)，或者移去文件的答應(yīng)權(quán)。在訪問(wèn)攻擊中，攻擊者利用系統(tǒng)的破綻獲取訪問(wèn)權(quán)，然后再修正文件。攻擊者要改動(dòng)數(shù)據(jù)庫(kù)文件或處置隊(duì)列更難一些。在某些情況下，事務(wù)處置也編成序列號(hào)，不正確地移走或加一個(gè)序列號(hào)，會(huì)導(dǎo)致系統(tǒng)發(fā)出警報(bào)。只需對(duì)整個(gè)系統(tǒng)進(jìn)展變卦，才干使篡改不易被覺(jué)察?；亟^效力攻擊Denial of Service, DOS是回絕合法用戶運(yùn)用系統(tǒng)、信息、才干等各種資

17、源?；亟^效力攻擊普通不允許攻擊者訪問(wèn)或修正計(jì)算機(jī)系統(tǒng)的信息?；亟^效力攻擊可分成以下4種：1 回絕訪問(wèn)信息回絕訪問(wèn)信息使信息不可用，不論是信息被破壞或者將信息改動(dòng)成不可運(yùn)用形狀，也能夠信息仍存在，但曾經(jīng)被移到不可訪問(wèn)的位置。2.2.5 回絕效力攻擊2 回絕訪問(wèn)運(yùn)用回絕訪問(wèn)運(yùn)用的目的是支配或顯示信息的運(yùn)用。通常對(duì)正在運(yùn)轉(zhuǎn)運(yùn)用程序的計(jì)算機(jī)系統(tǒng)進(jìn)展攻擊，這樣運(yùn)用程序不可用，以致不能執(zhí)行由該運(yùn)用程序完成的義務(wù)。3 回絕訪問(wèn)系統(tǒng)回絕訪問(wèn)系統(tǒng)通常是使系統(tǒng)宕機(jī)，使運(yùn)轉(zhuǎn)在該計(jì)算機(jī)系統(tǒng)上的一切運(yùn)用無(wú)法運(yùn)轉(zhuǎn)，使存儲(chǔ)在該計(jì)算機(jī)系統(tǒng)上的一切信息不可用。4 回絕訪問(wèn)通訊回絕訪問(wèn)通訊是針對(duì)通訊的一種攻擊，已有很多年歷史。這

18、類攻擊能夠用切斷通訊電纜、干擾無(wú)線電通訊以及用過(guò)量的通訊負(fù)載來(lái)淹沒(méi)網(wǎng)絡(luò)?；亟^訪問(wèn)通訊的目的是通訊介質(zhì)本身，從而阻止用戶經(jīng)過(guò)網(wǎng)絡(luò)訪問(wèn)系統(tǒng)和信息?；亟^效力攻擊主要是針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)。很多方法可以使電子方式的信息蒙受回絕效力攻擊。在回絕訪問(wèn)信息的同時(shí)，信息有能夠被刪除，當(dāng)然這類攻擊需求同時(shí)將后備信息也刪除。也有能夠經(jīng)過(guò)改動(dòng)文件提供無(wú)用信息，例如，攻擊者對(duì)文件加密并毀掉密鑰，這樣任何人都無(wú)法訪問(wèn)這些信息。帶有信息的計(jì)算機(jī)也能夠被偷走。短期的回絕效力攻擊可以簡(jiǎn)單地將系統(tǒng)關(guān)掉，導(dǎo)致系統(tǒng)本身回絕效力?；亟^效力攻擊可直接針對(duì)系統(tǒng)，使計(jì)算機(jī)系統(tǒng)破壞。經(jīng)過(guò)一些破綻可使運(yùn)用程序不可用。這類破綻使攻擊者對(duì)運(yùn)用程序

19、發(fā)送一些事先設(shè)定的命令，從而使運(yùn)用程序無(wú)法正常運(yùn)轉(zhuǎn)。運(yùn)用程序看起來(lái)像被摧垮一樣，即使重新啟動(dòng)，仍無(wú)法運(yùn)轉(zhuǎn)。最容易使通訊設(shè)備不可用的方法是切斷電纜。但這類攻擊需求到現(xiàn)場(chǎng)物理訪問(wèn)網(wǎng)絡(luò)電纜。另一種回絕效力攻擊的方法是對(duì)一個(gè)場(chǎng)地發(fā)送大量的通訊量，阻止合法用戶運(yùn)用。否認(rèn)攻擊是針對(duì)信息的可審性進(jìn)展的。否認(rèn)攻擊企圖給出假的信息或者否認(rèn)曾經(jīng)發(fā)生的現(xiàn)實(shí)事件或事務(wù)處置。否認(rèn)攻擊包括兩類：1 冒充冒充是攻擊者企圖裝扮或冒充他人和別的系統(tǒng)。這種攻擊能夠發(fā)生在個(gè)人通訊、事務(wù)處置或系統(tǒng)對(duì)系統(tǒng)的通訊中。2.2.6 否認(rèn)攻擊2 否認(rèn)否認(rèn)一個(gè)事件是簡(jiǎn)單地抵賴曾經(jīng)登錄和處置的事件。例如，一個(gè)人用信譽(yù)卡在商店里購(gòu)物，然而當(dāng)賬單送到

20、時(shí)，通知信譽(yù)卡公司，他從未到該商店購(gòu)物。電子信息比紙上信息更易實(shí)現(xiàn)否認(rèn)攻擊。電子文天性生成和發(fā)送給他人，而幾乎沒(méi)有發(fā)送者身份的證據(jù)。例如，發(fā)送者發(fā)送電子郵件，可以恣意改動(dòng)其發(fā)送者地址，電子郵件系統(tǒng)幾乎不能驗(yàn)證發(fā)送者的身份。同樣網(wǎng)上計(jì)算機(jī)系統(tǒng)發(fā)送信息時(shí)，可用任何IP地址，這樣的計(jì)算機(jī)系統(tǒng)就可偽裝成另一個(gè)系統(tǒng)。從本質(zhì)上講，平安就是風(fēng)險(xiǎn)管理。一個(gè)組織者假設(shè)不了解其信息資產(chǎn)的平安風(fēng)險(xiǎn)，很多資源就會(huì)被錯(cuò)誤地運(yùn)用。風(fēng)險(xiǎn)管理提供信息資產(chǎn)評(píng)價(jià)的根底。經(jīng)過(guò)風(fēng)險(xiǎn)識(shí)別，可以知道一些特殊類型的資產(chǎn)價(jià)值以及包含這些信息的系統(tǒng)的價(jià)值。2.3 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是構(gòu)成平安根底的根本觀念。風(fēng)險(xiǎn)是喪失需求維護(hù)的資產(chǎn)的能夠性。假設(shè)沒(méi)有

21、風(fēng)險(xiǎn)，就不需求平安了。風(fēng)險(xiǎn)還是從事平安產(chǎn)業(yè)者應(yīng)了解的一個(gè)觀念。以傳統(tǒng)的保險(xiǎn)業(yè)為例來(lái)了解風(fēng)險(xiǎn)的含義。一個(gè)客戶因感到危險(xiǎn)，所以向保險(xiǎn)公司購(gòu)買(mǎi)保險(xiǎn)。買(mǎi)保險(xiǎn)前，假設(shè)出車(chē)禍，他需求花很多修繕費(fèi)，買(mǎi)了保險(xiǎn)后就可減少花大筆錢(qián)的風(fēng)險(xiǎn)。保險(xiǎn)公司設(shè)定保險(xiǎn)費(fèi)的根據(jù)有兩個(gè)，一個(gè)是汽車(chē)修繕的費(fèi)用，另一個(gè)是該客戶發(fā)生車(chē)禍的能夠性。2.3.1 風(fēng)險(xiǎn)的概念從上面的例子可以看出，風(fēng)險(xiǎn)包含兩個(gè)部分。第一個(gè)是車(chē)的修繕費(fèi)，假設(shè)車(chē)禍發(fā)生，保險(xiǎn)公司就要付這筆費(fèi)用，將它定為保險(xiǎn)公司的破綻或脆弱性。第二個(gè)是客戶發(fā)生車(chē)禍的能夠性，這是對(duì)保險(xiǎn)公司的要挾，由于它有能夠使保險(xiǎn)公司付修繕費(fèi)。因此破綻和要挾是測(cè)定風(fēng)險(xiǎn)的兩個(gè)組成部分。圖2.8表示破綻和要

22、挾之間的關(guān)系，由圖可知，假設(shè)沒(méi)有要挾，也就沒(méi)有風(fēng)險(xiǎn)；同樣地，假設(shè)沒(méi)有破綻，也就沒(méi)有風(fēng)險(xiǎn)。圖2.8 破綻和要挾的關(guān)系1. 破綻破綻是攻擊的能夠的途徑。破綻有能夠存在于計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，它允許翻開(kāi)系統(tǒng)，使技術(shù)攻擊得逞。破綻也有能夠存在于管理過(guò)程中，它使系統(tǒng)環(huán)境對(duì)攻擊開(kāi)放。破綻的多少是由需求翻開(kāi)系統(tǒng)的技術(shù)熟練程度和困難程度來(lái)確定的，還要思索系統(tǒng)暴露的后果。假設(shè)破綻易于暴露，并且一旦遭到攻擊，攻擊者可以完全控制系統(tǒng)，那么稱高值破綻或高脆弱性。假設(shè)攻擊者需求對(duì)設(shè)備和人員投入很多資源，破綻才干暴露，并且遭到攻擊后，也只能獲取普通訊息，而非敏感信息，那么稱低值破綻或低脆弱性。破綻不僅和計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)有關(guān)

23、，而且和物理場(chǎng)地平安、員工的情況、傳送中的信息平安等有關(guān)。2. 要挾要挾是一個(gè)能夠破壞信息系統(tǒng)環(huán)境平安的動(dòng)作或事件。要挾包含以下3個(gè)組成部分：1 目的要挾的目的通常是針對(duì)平安屬性或平安效力，包括性、完好性、可用性、可審性等。這些目的是在要挾背后的真正理由或動(dòng)機(jī)。一個(gè)要挾能夠有幾個(gè)目的，例如，可審性能夠是攻擊的首要目的，這樣可防止留下攻擊者的記錄，然后，把性作為攻擊目的，以獲取一些關(guān)鍵數(shù)據(jù)。2 代理代理需求有3個(gè)特性：訪問(wèn)。一個(gè)代理必需有訪問(wèn)所需求的系統(tǒng)、網(wǎng)絡(luò)、設(shè)備或信息的才干?？梢允侵苯釉L問(wèn)，例如，代理有系統(tǒng)的賬號(hào)。也可以是間接訪問(wèn)，例如，代理經(jīng)過(guò)其他的方法來(lái)訪問(wèn)系統(tǒng)。代理有的訪問(wèn)直接影響到為

24、了翻開(kāi)破綻所必需執(zhí)行的動(dòng)作的才干。知識(shí)。一個(gè)代理必需具有目的的知識(shí)，有用的知識(shí)包括用戶ID、口令、文件位置、物理訪問(wèn)過(guò)程、員工的名字、訪問(wèn)號(hào)碼、網(wǎng)絡(luò)地址、平安程序等。代理對(duì)目的越熟習(xí)，就具有越多的存在的破綻的知識(shí)；代理對(duì)存在的破綻知道得越詳細(xì)，就越能獲得更多翻開(kāi)破綻的知識(shí)。動(dòng)機(jī)。一個(gè)代理對(duì)目的發(fā)出要挾，需求有動(dòng)機(jī)，通常動(dòng)機(jī)是思索代理攻擊目的的關(guān)鍵特性。動(dòng)機(jī)能夠是不同的，有的為了競(jìng)爭(zhēng)、挑戰(zhàn)；有的是貪婪，以獲得錢(qián)、物、效力、自信心；有的是對(duì)某組織或個(gè)人有惡意損傷的企圖。根據(jù)代理的3個(gè)特性，應(yīng)該思索的代理能夠是各種各樣的，包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對(duì)手、恐懼分子、罪犯、客戶、訪問(wèn)者以

25、及自然災(zāi)禍等。當(dāng)思索這些代理時(shí)，應(yīng)該作出定量的判別，以得出每個(gè)代理對(duì)訪問(wèn)組織的目的的必要性，根據(jù)前面分析的破綻思索攻擊的能夠性。3 事件事件是代理采取的行為，從而導(dǎo)致對(duì)組織的損傷。例如，一個(gè)黑客改動(dòng)一個(gè)組織的Web頁(yè)面來(lái)?yè)p傷它。另外要思索的是假設(shè)代理得到訪問(wèn)會(huì)產(chǎn)生什么樣的損傷。常見(jiàn)的事件如下： 對(duì)信息、系統(tǒng)、場(chǎng)地濫用授權(quán)訪問(wèn)； 惡意地改動(dòng)信息； 偶爾地改動(dòng)信息； 對(duì)信息、系統(tǒng)、場(chǎng)地非授權(quán)訪問(wèn)； 惡意地破壞信息、系統(tǒng)、場(chǎng)地； 偶爾地破壞信息、系統(tǒng)、場(chǎng)地；對(duì)系統(tǒng)和操作的惡意物理?yè)p害； 對(duì)系統(tǒng)和操作的偶爾物理?yè)p害；由于自然物理事件引起的系統(tǒng)和操作的損害；引入對(duì)系統(tǒng)的惡意軟件；破壞內(nèi)部或外部的通訊；被

26、動(dòng)地竊聽(tīng)內(nèi)部或外部的通訊；偷竊硬件。3. 要挾破綻風(fēng)險(xiǎn)風(fēng)險(xiǎn)是要挾和破綻的綜合結(jié)果。沒(méi)有破綻的要挾沒(méi)有風(fēng)險(xiǎn)，沒(méi)有要挾的破綻也沒(méi)有風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的度量是要確定事件發(fā)生的能夠性。風(fēng)險(xiǎn)可劃分成低、中、高個(gè)級(jí)別。1 低級(jí)別風(fēng)險(xiǎn)是破綻使組織的風(fēng)險(xiǎn)到達(dá)一定程度，然而不一定發(fā)生。如有能夠應(yīng)將這些破綻去除，但應(yīng)權(quán)衡去除破綻的代價(jià)和能減少的風(fēng)險(xiǎn)損失。2 中級(jí)別風(fēng)險(xiǎn)是破綻使組織的信息系統(tǒng)或場(chǎng)地的風(fēng)險(xiǎn)性、完好性、可用性、可審性到達(dá)相當(dāng)?shù)某潭?，并且已有發(fā)惹事件的現(xiàn)實(shí)能夠性。應(yīng)采取措施去除破綻。3 高級(jí)別風(fēng)險(xiǎn)是破綻對(duì)組織的信息、系統(tǒng)或場(chǎng)地的性、完好性、可用性和可審性已構(gòu)成現(xiàn)實(shí)危害。必需立刻采取措施去除破綻。對(duì)一個(gè)組織而言，識(shí)

27、別風(fēng)險(xiǎn)除了要識(shí)別破綻和要挾外，還應(yīng)思索已有的對(duì)策和預(yù)防措施，如圖2.9所示。2.3.2 風(fēng)險(xiǎn)識(shí)別圖2.9 風(fēng)險(xiǎn)識(shí)別1. 識(shí)別破綻識(shí)別破綻時(shí)，從確定對(duì)該組織的一切入口開(kāi)場(chǎng)，也就是尋覓該組織內(nèi)的系統(tǒng)和信息的一切訪問(wèn)點(diǎn)。這些入口包括Internet的銜接、遠(yuǎn)程訪問(wèn)點(diǎn)、與其他組織的銜接、設(shè)備的物理訪問(wèn)以及用戶訪問(wèn)點(diǎn)等。對(duì)每個(gè)訪問(wèn)點(diǎn)識(shí)別可訪問(wèn)的信息和系統(tǒng)，然后識(shí)別如何經(jīng)過(guò)入口訪問(wèn)這些信息和系統(tǒng)。應(yīng)該包括操作系統(tǒng)和運(yùn)用程序中一切知的破綻。在以后的章節(jié)里還會(huì)詳細(xì)地做風(fēng)險(xiǎn)評(píng)價(jià)。2. 識(shí)別現(xiàn)實(shí)的要挾要挾評(píng)價(jià)是非常詳細(xì)的，有時(shí)也是很困難的。在試圖識(shí)別一個(gè)組織或目的的要挾時(shí)，經(jīng)常會(huì)轉(zhuǎn)到那些競(jìng)爭(zhēng)對(duì)手的身上。然而，真正

28、的要挾往往是非常隱蔽的，在攻擊事件發(fā)生圖2.9一個(gè)組織風(fēng)險(xiǎn)評(píng)價(jià)的組成以前，真正的目的要挾往往并不暴顯露來(lái)。一個(gè)目的要挾是對(duì)一個(gè)知的目的具有知的代理、知的動(dòng)機(jī)、知的訪問(wèn)和執(zhí)行知的事件的組合。例如，有一個(gè)不稱心的員工代理希望得到正在該組織進(jìn)展的最新設(shè)計(jì)的知識(shí)動(dòng)機(jī)，該員工能訪問(wèn)組織的信息系統(tǒng)訪問(wèn)，并知道信息存放的位置知識(shí)。該員工正窺測(cè)新設(shè)計(jì)的并且企圖獲得所需文件。識(shí)別一切的目的要挾是非常費(fèi)時(shí)和困難的?？梢宰冐砸环N方法，即假設(shè)存在一個(gè)要挾的通用程度，這個(gè)要挾能夠包括任何具有訪問(wèn)組織信息或系統(tǒng)的能夠性的人。這個(gè)要挾確實(shí)是存在的，由于人們員工、客戶、供應(yīng)商等必需訪問(wèn)該組織的系統(tǒng)和信息，這對(duì)其任務(wù)是有用的。

29、然而，我們不用要具有對(duì)組織某些部分的直接的或特定的要挾的知識(shí)。假設(shè)我們假設(shè)一個(gè)通用的要挾(某些人能夠具有訪問(wèn)、知識(shí)、動(dòng)機(jī)做某些壞事)，就能檢查組織內(nèi)允許這些訪問(wèn)發(fā)生能夠產(chǎn)生的破綻。將任何這樣的破綻計(jì)入風(fēng)險(xiǎn)，由于我們?cè)?jīng)假定這些有能夠暴露破綻的要挾。3. 檢查對(duì)策和預(yù)防措施在分析評(píng)價(jià)攻擊的能夠途徑時(shí)，必需同時(shí)檢查假設(shè)破綻真正存在，相應(yīng)環(huán)境采取的對(duì)策和預(yù)防措施。這些預(yù)防措施包括防火墻、防病毒軟件、訪問(wèn)控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡(luò)平安程序、用于訪問(wèn)設(shè)備的卡讀出器、文件訪問(wèn)控制、對(duì)員工進(jìn)展平安培訓(xùn)等。對(duì)于組織內(nèi)的每個(gè)訪問(wèn)點(diǎn)都應(yīng)有相應(yīng)的預(yù)防措施。例如，該組織有一個(gè)Internet銜接，這就提供了訪

30、問(wèn)該組織內(nèi)部系統(tǒng)的能夠性?？梢圆捎梅阑饓?lái)維護(hù)這個(gè)訪問(wèn)點(diǎn)，設(shè)置和檢查防火墻的規(guī)那么，可以很好地識(shí)別來(lái)自外部對(duì)內(nèi)部系統(tǒng)訪問(wèn)的企圖。這樣外部攻擊者不能用訪問(wèn)點(diǎn)的某些破綻，由于防火墻阻止訪問(wèn)這些破綻和系統(tǒng)。4. 識(shí)別風(fēng)險(xiǎn)一旦對(duì)破綻、要挾、預(yù)防措施進(jìn)展了識(shí)別，就可確定該組織的風(fēng)險(xiǎn)。問(wèn)題變得簡(jiǎn)單了，即給出具有已存在的預(yù)防措施下識(shí)別的訪問(wèn)點(diǎn)，還有能夠進(jìn)入該組織的訪問(wèn)點(diǎn)。為了回答這個(gè)問(wèn)題，首先確定每個(gè)訪問(wèn)點(diǎn)的能夠要挾或通用要挾，并檢查經(jīng)過(guò)每個(gè)訪問(wèn)點(diǎn)的能夠的目的性、完好性、可用性、可審性?；谒奈ｋU(xiǎn)程度給每個(gè)風(fēng)險(xiǎn)分成高、中、低等級(jí)。必需指出，對(duì)于一樣的破綻，能夠得出基于訪問(wèn)點(diǎn)的不同級(jí)別的風(fēng)險(xiǎn)。例如，一個(gè)內(nèi)部

31、系統(tǒng)在它的郵件系統(tǒng)內(nèi)有一個(gè)破綻，對(duì)外部來(lái)說(shuō)，攻擊者必需經(jīng)過(guò)Internet防火墻才干發(fā)現(xiàn)系統(tǒng)，這樣經(jīng)過(guò)該訪問(wèn)點(diǎn)，系統(tǒng)是不可訪問(wèn)的，因此沒(méi)有風(fēng)險(xiǎn)。然而，對(duì)內(nèi)部員工而言，他們毋需經(jīng)過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，因此可訪問(wèn)系統(tǒng)。這就意味著內(nèi)部員工可以利用這個(gè)破綻來(lái)訪問(wèn)系統(tǒng)，而內(nèi)部員工并未列為要挾源，因此可將它列為中等風(fēng)險(xiǎn)級(jí)別。上述例子中，假設(shè)物理平安控制很弱，任何人可隨意進(jìn)出，使非授權(quán)者可操作該系統(tǒng)，那么該系統(tǒng)即使有防火墻這類預(yù)防措施，對(duì)具有惡意動(dòng)機(jī)的攻擊者來(lái)說(shuō)也是無(wú)效的。由于缺乏物理平安預(yù)防措施，這種情況下應(yīng)列為高風(fēng)險(xiǎn)級(jí)別。當(dāng)然，僅僅將風(fēng)險(xiǎn)分成高、中、低個(gè)級(jí)別還未處理風(fēng)險(xiǎn)識(shí)別的全部問(wèn)題，還應(yīng)看假設(shè)破綻暴露，對(duì)

32、該組織的危害能否是繼續(xù)的；該組織需求破費(fèi)多少資源，才干減少風(fēng)險(xiǎn)。風(fēng)險(xiǎn)丈量必需識(shí)別出在遭到攻擊后該組織需求付出的代價(jià)。圖2.10表示風(fēng)險(xiǎn)丈量的全部。認(rèn)識(shí)到風(fēng)險(xiǎn)使該組織付出的代價(jià)也是確定如何管理風(fēng)險(xiǎn)的決議要素。風(fēng)險(xiǎn)永遠(yuǎn)不能夠完全去除，風(fēng)險(xiǎn)必需管理。代價(jià)是多方面的，包括資金、時(shí)間、資源、信譽(yù)以及喪失生意等。2.3.3 風(fēng)險(xiǎn)丈量圖2.10 丈量風(fēng)險(xiǎn)1. 資金資金是最顯而易見(jiàn)的風(fēng)險(xiǎn)代價(jià)，包括損失的消費(fèi)才干、設(shè)備或金錢(qián)的被竊、調(diào)研的費(fèi)用、修繕或交換系統(tǒng)的費(fèi)用、專家費(fèi)用、員工加班時(shí)間等。上面只是列出了部分代價(jià)，可見(jiàn)風(fēng)險(xiǎn)代價(jià)之宏大。有些損失在實(shí)踐的事件發(fā)生前是不知道的，也應(yīng)將其計(jì)入風(fēng)險(xiǎn)代價(jià)。最困難的資金代價(jià)估

33、計(jì)是損失的消費(fèi)才干這一項(xiàng)。有的消費(fèi)才干損失是永遠(yuǎn)不可恢復(fù)的，有的消費(fèi)才干損失可在付出一定費(fèi)用恢復(fù)系統(tǒng)后恢復(fù)。有些是難以估計(jì)的。2. 時(shí)間時(shí)間的代價(jià)很難量化。由于平安事件使一個(gè)技術(shù)人員不能執(zhí)行其正常的義務(wù)，或答應(yīng)以按時(shí)間的總和計(jì)算，但又如何計(jì)算其他人員等待計(jì)算機(jī)修復(fù)所付出的時(shí)間代價(jià)呢？時(shí)間能夠以關(guān)鍵系統(tǒng)宕機(jī)時(shí)間來(lái)計(jì)算，例如一個(gè)組織的Web站受破壞了，該系統(tǒng)只能離線并修復(fù)。那么如何計(jì)算該Web站宕機(jī)所呵斥的影響？再如，由于攻擊得逞導(dǎo)致該組織的產(chǎn)品延遲，如何來(lái)計(jì)算由于該延遲引起的損失，但無(wú)論如何，時(shí)間損失必需計(jì)入風(fēng)險(xiǎn)丈量中。3. 資源資源可以是人、系統(tǒng)、通訊線路、運(yùn)用程序或訪問(wèn)。資源代價(jià)指如攻擊得逞

34、，需求多少資源來(lái)恢復(fù)正常。很明顯，對(duì)一些能用錢(qián)來(lái)計(jì)算的資源是能夠計(jì)算的，然而對(duì)一些不可用錢(qián)來(lái)計(jì)算的資源就難以估算，如本應(yīng)去完成另一義務(wù)的人來(lái)處置該事故恢復(fù)，那么另一義務(wù)的延誤如何確定其代價(jià)？又如，攻擊使網(wǎng)絡(luò)銜接很慢，由此引起的很多需求銜接網(wǎng)絡(luò)的任務(wù)延誤，這一損失代價(jià)又如何計(jì)算？4. 信譽(yù)一個(gè)組織的信譽(yù)損失是非常關(guān)鍵的損失，然而這類損失的代價(jià)也難以丈量。什么是一個(gè)組織的真正的信譽(yù)損失代價(jià)？信譽(yù)就是誠(chéng)信、可信。一個(gè)組織在公眾心目中的可信度是非常重要的。例如，銀行的信譽(yù)就等于該銀行在公眾心目中的可信度，客戶的錢(qián)能否能平安地存放決議了客戶能否情愿將錢(qián)存入該銀行，否那么客戶就會(huì)將已存的錢(qián)從該銀行取走，甚

35、至使銀行倒閉。又如，一個(gè)慈悲機(jī)構(gòu)的信譽(yù)就是能否合理地運(yùn)用捐款，這決議了它能否能募集到資金。對(duì)每個(gè)識(shí)別風(fēng)險(xiǎn)的風(fēng)險(xiǎn)丈量的能夠結(jié)果，回答以下問(wèn)題：識(shí)破風(fēng)險(xiǎn)所需的破費(fèi)是多少？包括跟蹤的員工時(shí)間、顧問(wèn)時(shí)間、新設(shè)備的破費(fèi)。為了勝利地識(shí)破風(fēng)險(xiǎn)要花多少時(shí)間？什么樣的資源會(huì)遭到影響？而組織的哪一部分依賴于這些資源？該事件對(duì)組織的信譽(yù)影響如何？會(huì)喪失多少運(yùn)營(yíng)的業(yè)務(wù)？什么類型的業(yè)務(wù)會(huì)喪失？回答了上述問(wèn)題以后，可列出一個(gè)表，以表示每個(gè)風(fēng)險(xiǎn)能夠引起的后果。利用這些信息來(lái)開(kāi)發(fā)相應(yīng)的風(fēng)險(xiǎn)管理工程。風(fēng)險(xiǎn)分析是對(duì)需求維護(hù)的資產(chǎn)及其遭到的潛在要挾的鑒別過(guò)程。風(fēng)險(xiǎn)是要挾和破綻的組合。正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境及其信息平安的極其重要的一步。風(fēng)險(xiǎn)分析始于對(duì)需求維護(hù)的資產(chǎn)物理資源、知識(shí)資源、時(shí)間資源、信譽(yù)資源的鑒別以及對(duì)資產(chǎn)要挾的潛在攻擊源的分析。資產(chǎn)的有效維護(hù)是盡能夠降低資產(chǎn)受危害的潛在代價(jià)以及由于采取平安措施付出的操作代價(jià)。一個(gè)性能良好的平安系統(tǒng)構(gòu)造和平安系統(tǒng)平臺(tái)，可以低的平安代價(jià)換取高的平安強(qiáng)度。2.4 本章小節(jié)從平安屬性的觀念可將攻擊類型分成阻斷攻擊、截取攻擊