時間:2023-09-14 17:44:52
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息網絡安全評估方法,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【 關鍵詞 】 網絡;安全;風險;評估
1 前言
網絡風險評估就是對網絡自身存在的脆弱性狀況、外界環境可能導致網絡安全事件發生的可能性以及可能造成的影響進行評價。網絡風險評估涉及諸多方面,為及早發現安全隱患并采取相應的加固方案,運用有效地網絡安全風險評估方法可以作為保障信息安全的基本前提。網絡安全的風險評估主要用于識別網絡系統的安全風險,對計算機的正常運行具有重要的作用。如何進行網絡安全的風險評估是當前網絡安全運行關注的焦點。因此,研究網絡安全的風險評估方法具有十分重要的現實意義。鑒于此,本文對網絡安全的風險評估方法進行了初步探討。
2 概述網絡安全的風險評估
2.1 網絡安全的目標要求
網絡安全的核心原則應該是以安全目標為基礎。在網絡安全威脅日益增加的今天,要求在網絡安全框架模型的不同層面、不同側面的各個安全緯度,有其相應的安全目標要求,而這些安全目標要求可以通過一個或多個指標來評估,以減少信息丟失和網絡安全事故的發生,進而提高工作效率,降低風險。具體說來,網絡安全風險評估指標,如圖1所示。
2.2 風險評估指標的確定
風險評估是識別和分析相關風險并確定應對策略的過程。從風險評估的指標上來看,網絡安全風險指標體系由三大部分組成,分別是網絡層指標體系、傳輸網風險指標體系和物理安全風險指標,為內部控制措施實施指明了方向。同時,每種指標體系中還包含資產、威脅和脆弱性三要素。
3 網絡安全的風險評估方法
網絡安全問題具有很強的動態特征,在了解網絡安全的目標要求和風險評估指標的基礎上,為了更合理地評估網絡安全風險, 使信息網絡安全體系具有反饋控制和快速反應能力,可以從幾個方面入手。
3.1 網絡風險分析
網絡風險分析是網絡安全風險評估的關鍵。在網絡安全的風險評估中,安全風險分析是風險評估的第一個環節,是全面掌握安全風險狀況的基礎。一般來說,風險就是指丟失所需要保護資產的可能性。網絡安全風險分析就是估計網絡威脅發生的可能性,以及因系統的脆弱性而引起的潛在損失。大多數風險分析在最初要對網絡資產進行確認和評估;此后再用不同的方法進行損失計算。
3.2 風險評估工作
風險評估工作在網絡安全中具有重要的作用。由于誘發網絡安全事故的因素很多,在進行網絡安全風險評估時,開展安全風險評估工作,對防范安全風險有舉足輕重的作用。總的來說,風險評估的方法有定量的風險評估方法和定性的風險評估方法兩種。從網絡安全風險的評估方法上看,不同的評估方法對安全風險的評估也不盡相同。在進行安全風險評估時,應結合網絡安全的實際情況,選擇安全風險評估方法。
3.3 安全風險決策
信息安全風險評估是對信息安全進行風險管理的最根本依據,就網絡安全而言,安全風險決策是網絡安全風險評估的重要組成部分。安全決策就是根據評估結論決定網絡系統所需要采取的安全措施。風險分析與評估的目的是為了向網絡管理者提供決策支持信息,進而形成合理的、有針對性地安全策略,保障信息系統安全。由上可知,安全風險決策在一定程度上可以使網絡威脅得到有效控制。
3.4 安全風險監測
為加強網絡安全管理,在網絡安全的風險評估過程中,安全風險監測也至關重要。就目前而言,在網絡運行期間,系統隨時都有可能產生新的變化,例如增添新的網絡軟硬件、軟件升級、設備更新等都將導致資產發生變化。這時先前的風險評估結論就失去了意義,需要重新進行風險分析、風險評估和安全決策,以適應網絡系統的新變化。安全監測過程能夠實時監視和判斷網絡系統中的各種資產在運行期間的狀態,并及時記錄和發現新的變換情況。因此,建立安全風險監測項目數據庫,進行動態分析勢在必行。
4 結束語
網絡安全的風險評估是一項綜合的系統工程,具有長期性和復雜性。網絡安全評估系統能夠發現網絡存在的系統脆弱性,在進行網絡安全風險評估的過程中,應把握好網絡風險分析、風險評估工作、安全風險決策和安全風險監測這幾個環節,發現和堵塞系統的潛在漏洞,不斷探索網絡安全的風險評估方法,只有這樣,才能最大限度的降低網絡安全威脅,確保網絡的安全運行。
參考文獻
[1] 覃德澤,蒙軍全.網絡安全風險評估方法分析與比較[J].網絡安全技術與應用, 2011(04).
[2] 劉楓.網絡安全風險評估研究與實踐[J].網絡安全技術與應用, 2009(11).
[3] 黨德鵬,孟真.基于支持向量機的信息安全風險評估[J].華中科技大學學報(自然科學版),2010(03).
[4] 黃水清,張佳鑫,閆雪.一種內部網絡信息安全風險評估模型及技術實現[J].情報理論與實踐,2010(02).
[5] 趙冬梅,劉金星,馬建峰.基于改進小波神經網絡的信息安全風險評估[J].計算機科學,2010(02).
[6] 黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全,2012,(07):3-5.
【 關鍵詞 】 電子商務;信息安全;風險評估;對策
Risk Assessment and Countermeasures of Information Security based on Electronic Commerce
Xu Bin
(Business Management Department of People's Bank of China Beijing 100045)
【 Abstract 】 In recent years, the rapid development of e-commerce business in China, is highly attention to information security of e-commerce system problems and risk assessment. This article on China's e-commerce system information security problems are discussed on the basis of analyzing the status quo of China's e-commerce information security risk assessment and improvement measures, aimed at improving our country's e-commerce awareness and information security risk assessment technology, establish a perfect electronic commerce information security, and evaluation mechanism.
【 Keywords 】 electronic commerce; information security; risk assessment and countermeasures
1 引言
電子商務是一項與傳統交易完全不同的貿易活動,而其中的網絡支付系統就是支持這種新的貿易方式的重要條件和必要支持,電子商務就是利用相關的計算機技術,借助Internet而實現在線支付,即傳遞商務信息和進行商務活動,所以它要求數據的傳遞、交換及處理在網絡上能夠保障有非常高的安全系數。這就要求電子商務相關部門或人員在進行業務或項目開發時,對整個項目的信息安全進行風險評估,得出項目實施可行性等一系列結果。
電子商務系統的信息安全風險評估運用科學合理的分析方法、手段,運用系統的觀點來分析電子商務信息系統所面臨的人為或自然因素的威脅以及所存在的脆弱性,努力在網絡的“安全等級”和“風險投資”之間找到一個很好的平衡點。
因此,整合傳統的網絡信息安全技術,并結合現代化的新型技術應用,研究出一套既安全又可靠的電子商務交易安全體系已經成為當前電子商務網絡信息安全研究的重要內容之一。
2 電子商務系統中存在的信息安全問題
一般來講,電子商務中所涉及的信息安全性是指在電子商務交易過程中利用各種技術、法律等措施來保證交易信息不會因偶然或惡意原因而遭到破壞或泄露的要求。21世紀初,我國的金融系統所發生的計算機犯罪率不斷攀升。據報道,2002年一起有關不法分子利用黑客入侵在銀行網銀服務器植入“木馬”病毒程序,竊取多家客戶的保密信息進行不法交易,所涉金額將近百萬。我國金融網絡的信息安全現狀不容樂觀,亟待改善。
下面我們來簡單介紹一下電子商務網絡中的信息安全問題,主要涉及以下幾個方面。
(1)軟件和應用漏洞
軟件的復雜性以及程序編寫的多樣性導致電子商務系統中的軟件會由于一些原因而留下安全漏洞。例如,網絡操作系統本身就會存在一些安全漏洞,像I/O的非法訪問、不完全中介及訪問控制的混亂等都會造成數據庫安全漏洞的產生,這些漏洞嚴重危害到電子商務系統的信息安全。尤其是在設計初期未考慮到安全性的TCP/IP通信協議,在連接Internet時就有可能受到外界的惡意攻擊或竊取等。這些都顯示了目前電子商務系統網絡軟件存在一些可避免或不可避免的安全漏洞。
(2)電腦病毒問題
隨著網絡技術的應用越來越廣泛,壓縮文件、電子郵件等已成為電腦病毒傳播的主要途徑, 加之病毒種類的多樣化、破壞性的增強,使得電腦病毒的傳播速度大大加快。而近年來新型病毒種類數量迅速增加,互聯網更是給病毒傳播提供了很好的媒介。這些病毒通過網絡進行傳播甚至是加速傳播,稍有不慎就會造成不可彌補的經濟損失。
(3)黑客入侵
目前,除了電腦病毒的迅速傳播,黑客的惡意行為也越來越猖狂。黑客常用的木馬程序相對于電腦病毒來說更具有目的性,使得計算機記錄的登錄信息被木馬程序惡意篡改,最終造成重要信息、文件甚至是資金被盜。
(4)人為因素造成的安全問題
電子商務公司的大部分保密性工作都是通過工作人員的操作進行的,因此這需要工作人員具有很好的保密性、嚴謹性及責任心。如果工作人員的責任心不強、態度不端正,時常擅離職守,讓無關人員隨意進出機房重地,甚至向他人透露保密信息,就會讓違法分子有機可乘竊取重要信息。再如,若工作人員缺乏良好的職業道德素質,便有可能非法超越權限而擅自更改或者刪除他人的信息,也有甚者會利用自己的專業知識與工作職務來竊取相關的用戶口令和標識符,將其非法出賣。
3 電子商務信息安全風險評估的現狀及存在問題
通過上面的介紹,我們可以看出進行信息系統安全風險評估是十分有必要和重要的。目前,我國也有一些針對信息安全風險評估的研究和應用,其中常用的風險評估工具有風險評估矩陣、問卷、風險評估矩陣與問卷相結合的方法以及專家系統等。另外,網絡信息安全風險評估常用的方法主要有定量的因子分析法、時序模型、決策樹法和回歸模型等風險評估方法。定性分析法主要涉及到邏輯分析法、Delphi法、因素分析法、歷史比較法等。此外,還有定量與定性相結合的評估方法,主要包括模糊層次分析法、基于D-S證據理論的評估方法等。然而,目前我國的網絡信息安全風險評估還存在一定的問題,需要在以后的研究創新中加以重視和研究。
3.1 對電子商務信息安全風險評估的認識不足
當前,很多相關人員還沒有認識到電子商務信息系統所面臨的大挑戰,因此并沒有認真重視信息安全風險評估的重要性,原因有以下幾點。一,目前很多開展信息安全風險評估的公司或單位尚未通過標準、規范的培訓,尚未系統地學習信息安全風險評估工作的相關理論、方法和技術工具等方面內容,這導致很多與信息安全評估工作相關的領導和工作人員對信息風險評估重要性的認識嚴重不足,自然其更沒有將這種風險評估的工作納入到現行的信息安全系統框架里。二,雖然有不少的單位想將信息安全工作放至重要位置,但卻受到人力、物力、財力等方面的限制,同時也受到一些財務制度的約束阻礙,使得信息安全系統前期的信息安全風險評估準備工作得不到應有的重視。
3.2 缺少信息安全風險評估方面的專業技術人才
首先,就我國現有公司的信息安全風險評估現狀來看,很多公司都缺乏專業的信息安全管理人員,更不用說專業的風險評估技術人員了。信息安全風險評估的技術含量非常高,它要求工作人員具有相當高的技術水平,而現在很多公司都是以普通的信息人員充當風險評估技術人員,這是不行的。其次,信息安全風險評估其實是一項綜合性很強的工作,它不僅涉及公司全部的業務信息,還涉及各方面的人力物力財力,因此需要各部門相互配合完成,而現在大多數公司只依靠信息部門進行,很難較好的完成信息安全風險評估工作。
3.3 風險評估工具相對缺乏
目前,在電子商務執行過程中的應對工具,如防火墻、漏洞掃描等都相對成熟,但是在這些活動前期所涉及的信息安全風險評估工具卻較缺乏。例如,上述我們提到的四個評估工具中,除專家系統以外,其他的技術工具都相對較簡單,且缺少實際的理論基礎。另外,這種信息風險評估工具的開發運用方面,呈現出國內、外極不平衡的狀況,國內相對落后。
4 我國電子商務信息安全及風險評估工作的發展對策
4.1 增強電子商務系統信息安全及風險評估意識
在英國,曾經做過一項關于信息系統安全問題的調查統計,結果顯示約80%的信息損失是人為因素造成的;在國內,也經常有因用戶口令設置不當、隨意將賬號借與他人而造成信息安全威脅的現象。防止人為造成的信息安全問題已經成為一個重要內容。因此,電子商務公司一定要對其從業人員進行必要的信息安全知識教育培訓,最大化地提高他們的信息安全及風險評估意識,積極防范信息毀損和泄密情況的發生,從而保證信息的完整性和可靠性,保障用戶利益的同時也可以提高企業的競爭力。
4.2 加強對專業技術人員的培訓,提高風險評估人員的專業技能
針對信息安全風險評估技術人員,我們可以通過以下方法進行相應的培訓:一,可以整合公司內部的人力資源,加大風險評估的培訓力度,利用專業的培訓教材,通過學習彌補評估人員的知識缺陷,提高其技術水平;二,實行互補型培訓,根據風險評估技術的專業分類,組織技術人員據此進行相應的培訓,從而培養技術互補型的風險評估隊伍;三,合理利用社會資源,公司應該加大對技術資源的投資,可聘請經驗豐富的專家學者來組成第三方評估方,以備公司不時之需;四,公司人力資源部門可以有計劃地對技術人員進行規范化的認證培訓,實施職業技術資格準入制度,這樣就可以從源頭提高信息安全風險評估技術人員進入的門檻,保證評估技術人員的綜合素質,為后期電子商務的信息安全風險評估工作打下堅實的基礎。
4.3 積極加強對信息安全防范技術的研究和應用
目前,常用的保障電子商務系統的信息安全技術主要包括防火墻技術、防病毒技術、入侵檢測技術、數據加密和證書技術以及相應的信息安全協議等。電子商務提供了無限的商機與方便,企業也通過電子商務的開展使得競爭力有所提高。因此,為了開展安全可靠的電子商務業務,我們必須在加強對電子商務信息安全及風險評估研究的同時,進而建立較為科學合理的電子商務信息安全體制。
然而,如果我國在基礎硬件與芯片等方面不能自主,那么會嚴重阻礙我們對信息安全監測或評估的實施。在建立自主的信息安全及評估體制時,要積極利用好國、內外的資源,統一組織對信息安全重大技術的攻關,建立創新性的電子商務信息安全及評估體制。
5 結束語
綜上所述,電子商務信息系統的安全問題是一項極其復雜的工程,這個系統工程既涉及了信息動態傳輸的安全問題,還涉及到信息靜態存儲的安全問題;它既是一項技術問題,也是一項關乎策略、信用、制度法規和社會公眾參與電子商務活動等的非技術問題。而在前面的內容中,我們就目前電子商務信息系統所可能存在的安全問題進行了介紹,電腦病毒、軟件漏洞、人為因素等相關安全問題不容忽視,需要加以控制和制止。因此在此基礎上,就需要在信息系統建立之前做好信息安全風險評估工作,然而面對當前我國信息安全風險評估所存在的缺陷和不足,要求我們積極做好與此相關的工作,從信息安全意識、專業人才、新型技術等方面著手加強我國電子商務信息安全風險評估的研究和發展,為電子商務的發展提供一個良好的信息平臺。
參考文獻
[1] 吳鵬程.電子商務信息安全與風險管理芻議[J].中國新技術新產品,2009年第7期.
[2] 趙剛,王杏芬.電子商務信息安全管理體系架構[J].北京信息科技大學學報,2011年第26卷第1期.
[3] 伍永鋒.基于模糊支持向量機的電子商務交易安全風險評估方法[J].科技通報,2012年第28卷第9期.
[4] 高博.電子商務信息安全風險與防范策略研究[J].現代商貿工業,2011年第14期.
[5] 連秀珍.電子商務的安全評估與審計[J].經濟研究導刊,2012年第13期.
[6] 范光遠,辛陽.防火墻審計方案的分析與設計[J].信息網絡安全,2012,(03):81-84.
[7] 郎為民,楊德鵬,李虎生.智能電網WCSN安全體系架構研究[J].信息網絡安全,2012,(04):19-22.
目前大多數網絡攻擊效能的評估都基于可測量參數進行評估,例如網絡信道參數、主機運行的CPU、內存參數等等。文獻[2]提出基于網絡熵的攻擊效能評估方法、文獻[3][4]提出了層次分析法來對網絡攻擊效能進行評估,這些方法都需要可直接測量的參數來進行評估,從自身網絡安全出發,綜合分析自身網絡、主機主要性能指標進行評估,但這些評估技術應用于對敵方網絡實施的攻擊效能進行評估時,其模型所需的參數無法直接獲得。因而需要對這種情況進行切實研究給出合適的評估方法或對不可測量效能進行轉換,使得有合適的參數進行定量分析。本文具體分析這一情況給出相應的解決方案。
2 不可測量的網絡攻擊
不可測量的網絡攻擊指沒有相應參數來描述的網絡攻擊,主要有兩種情況:(1)可測量的參數無法直接獲取;(2)無可量化的參數,如對敵方造成的信息欺詐程度等。
在網絡中各節點的度量參數分為兩類:可計算度量和通信度量。這些都是可測參數,可以通過在網絡中、主機中安裝相應的軟件或硬件進行參數提取。
在網絡攻擊中攻擊對象不光有網絡中的節點還有網絡中的操作人員和網絡中存儲、傳輸的數據信息,這些單元的度量參數目前還沒有相應的可量化的指標。網絡更重要的目的是利用網絡攻擊手段竊取情報、破解對方密碼、接管對方網絡的訪問和控制權限、實施信息欺詐等攻擊,針對的攻擊對象是信息載體和執行信息命令的人員,這些網絡攻擊能帶來巨大的攻擊效能,然而確很難用定量的參數進行量化。
3 參數逼進與量化
在實驗條件下通常采用直接測量的方法來獲得需要的參數,采用偵測、接入設備和軟件,直接對時間網絡進行信號和數據的統計與分析。為了獲得主機的運行參數還需要在主機安裝守護軟件實獲取CPU、內存等參數,然而要是去對敵方網絡進行這樣的測試是不可行的,另外在網絡中這些探測軟件和硬件是額外接入的會對正在運行的網絡增加負載,會干擾網絡用戶的使用。可以在實驗網絡的基礎上采取方法:
(1)定性分析法。
定性分析法是對網絡的性能作出定性的估計。它根據經驗進行外推而估計出網絡的性能,也因此往往只能是對小型的網絡進行定性分析。但是,網絡負載、網絡結構與性能評價標族之間的關系是非線性的:即低于某個門限時,負載的微小變化只會引起性能的小變化,對事整體性能影響小;但若高于某個門限后,負載的微小變化就可能引起性能的巨大變化,嚴重影響整體性能。而這個門限值往往因網絡配置的不同而相差很大,分析法具有一定的局限性。
(2)解析模型法。
解析模型法首先對網絡建立合理的、能夠進行分析的物理模型,然后利用排隊理論建立數學模型,給出分析表達式,最后應用概率論、隨機過程、排隊論等數學工具計算出網絡的性能參數,進行性能解析評價。除了獲得網絡的性能參數外,網絡和性能分析還需要分析各種相關因素對網絡工作性能的影響程度。
解析模型法的優點是開銷小,時間短,速度快,但解析模型法只能解決一小部分系統的性能分析,很多系統往往因其關系錯綜復雜,具有非線性、不確定性而不能用數學表達式描述運行規則,無法解析。因此,解析模型法只能簡化系統進行近似分析、但由于它可以快速評價網絡性能,可以對網絡攻擊進行引導。
(3)軟件仿真法。
軟件仿真法主要根據網絡的工作原理,建立模擬模型,用軟件仿真網絡的運作、并在仿真程序的運行中采集數據,評價、度量網絡性能。需要建立敵方網絡資源需求模型、網絡協議抽象模型,性能采集分析模型和仿真結果解釋模型等,需要極大的情報資源,而且具體的仿真模型將需要十分巨大的計算空間與計算能力。而對于簡單的系統,解析模型法不必花費大量的時間和精力編寫程序。由此可見,這兩種方法各有長短,可以相互補充和檢驗。常用的方法是先采用解析法建立數學模型進行快速估算,然后再用仿真法建立仿真模型進行驗證。
上述方法可以較好地對可測參數進行逼進,對于無量化的參數則要先通過替代參數進行量化然后再采用上述方法進行逼進、推演。針對難用定量的參數進行量化參數采用以下方法進行替代量化。
4 效能評估指標
上面的分析給出了網絡攻擊效能評估的可測量參數和不可測量參數的替代量化,接著根據網絡的安全性能來完善網絡攻擊效能評估的指標。隨著經濟信息化進程的加快,網絡破壞活動越來越猖獗起來:商業機密被竊取、軍事情況遭泄露、巨額資金被盜取、網絡突然癱瘓等。這些都是網絡攻擊的效能,對這些效能進行評估就必須有合適的參數、指標。為了有效評價網絡攻擊效能,首先要選擇恰當的標準對網絡的安全性能進行形式化描述。在評估過程中,可以把被攻擊目標的完整性、保密性、可靠性和可用性作為其安全性的一個量度,而攻擊前后的安全性差值則可以作為攻擊效能的一個評價標準。
當前對信息網絡安全的研究成果表明,對系統進行測試評估,要識別出可能的安全事件對保密性、完整性、可用性三個指標的影響。
5 效能評估模型
用得比較多的網絡攻擊效能評估模型是基于網絡熵的攻擊效能評估模型和層次分析模型,還可以采取別的評估模型。
5.1 網絡攻擊效能的層次分析模型
目標層:在網絡攻擊效能的層次模型中,要達到的目標就是對具體的網絡攻擊的效能進行評估,所以,目標層是網絡攻擊的效能。信息安全一般考慮以下原則:可認證性原則、機密性原則、完整性原則、可用性原、可靠性原則(又稱抗抵賴性原則)。
安全準則層:進行網絡攻擊的目的,就是要破壞對方網絡系統的保密性、完整性、可靠性和可用性,通用評估準則CC也主要對這些特性進行保護。網絡攻擊對被攻擊目標實施攻擊,使目標的安全性能下降,效能主要反映在保密性、完整性、可靠性和可用性上,即目標安全機制的安全注重點上。這樣可以把保密性、完整性、可靠性和可用性作為安全準則層。
措施層:措施層為需要評估的各項指標。指標體系從通信鏈路、通信連接、數據、軟件系統和硬件系統幾個方面提出,其中既有可測量參數還包括不可測量參數的替代參數指標。
5.2 基于網絡熵的網絡攻擊效能評估模型
網絡熵借助信息論中熵的概念用來對網絡性能進行描述,網絡熵越小表征網絡系統的安全性 能越好。對于網絡的某一項性能指標來說,其熵值定義為H=-log2Vi,Vi為網絡此項指標的歸一化參數。在網絡受到攻擊后,其服務性能下降,系統穩定性變差,熵值增加,采用熵差H=-log2V2/V1對攻擊效能進行描述。其中:V1為網絡系統原來的歸一化性能參數(包括可測量參數和不可測量參數的替代參數),V2為網絡受攻擊后的歸一化性能參數。
評估的結果就是對網絡攻擊能力和影響的某種程度上的確信,開展網絡攻擊效能評估技術研究可以對戰場網絡系統、國家電子政務信息系統、各類信息安全系統的規劃、設計、建設、運行等各階段進行系統級的測試評估,找出網絡系統的薄弱環節,發現并修正系統存在的弱點和漏洞,保證網絡系統的安全性,提出安全解決方案。
6 效能評估步驟
目前比較通用的網絡攻擊效能評估的流程主要包括資源識別、威脅識別、脆弱性識別、安全措施分析、可能性分析、影響分析以及最后的攻擊效能指標判定。
在這個評估模型中,主要包括六方面的內容。
系統分析:對信息系統的安全需求進行分析。
識別關鍵資源:根據系統分析的結果識別出系統的重要資源,包括網絡信道、主機節點、系統文件等。
識別威脅:識別出系統主要的安全威脅及威脅的途徑和方式。
識別脆弱性:識別出系統在技術上的缺陷、漏洞、薄弱環節等。
分析影響:分析網絡攻擊事件對系統可能造成的影響,則需采用上面提到的網絡攻擊效能評估模型進行分析。
綜合關鍵資源、威脅因素、脆弱性及控制措施,綜合事件影響,評估網絡攻擊效能。
在評估過程中,需要采集大量的數據。數據采集的覆蓋范圍和采集量直接影響對評估基本要素的準確度量,從而影響最重的評估結果。數據采集的覆蓋范圍越廣泛、采集量越大,評估結果越準確。因此在評估標準體系中,需要規范數據的采集范圍和采集量。這是評估標準體系是否先進完善的重要因素。
7 總結
網絡攻擊效能的評估是戰場網絡對抗的根本基礎和前提,目前還缺乏較為深入的研究。本文著重分析了評估中參數獲取問題,指出在網絡攻擊中很多參數是不可測量的,特別是對網絡中的操作人員的攻擊效能和對網絡數據信息的攻擊破壞效能缺乏可量化的參數,需要通過逼進、模擬、仿真進行推演獲得。網絡攻擊效能評估的各種指標和模型還需進一步深入研究。
參考文獻:
[1] 胡影,鮮明,肖順平.DoS攻擊效果評估系統的設計[J].計算機工程與科學,2005(2).
[2] 羅永健,史德陽,于茜,等.一種有效的無線傳感器網絡攻擊檢測方法[J].兵工自動化,2012(2).
信息社會 安全基石
從互聯網的前身――阿帕網(APPANet)的建立,到目前全球數以億計的上網用戶;從美國政府于上個世紀90年代提出的“國家信息基礎設施”(建設信息高速公路)計劃,到以互聯網為核心的綜合化信息服務體系和信息技術在全世界各領域的廣泛應用;從1971年第一封以@為標志的電子郵件的發出,到現在全球每天360億封的電子郵件往來。當今世界的政治、軍事、經濟、文化等各個方面都已經離不開信息技術的強力支撐,以互聯網興起為重要標志的現代信息化社會已經建立。
隨著社會的發展和穩定對信息的依賴性越來越強,始終伴隨著信息化的信息安全問題在最近幾年迅猛放大,已經成為抑制全球信息化進程發展的重大障礙。
從無傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲病毒,從以信息共享為名的盜版軟件,到如今泛濫成災的流氓軟件,信息安全已經從神秘的黑客世界走入到每一個計算機用戶的面前。如何正確、有效判別這些潛在的信息風險,關系到當今社會信息化發展的大計。
不可避免的安全危脅
寫一段沒有任何運行錯誤的程序代碼對于一個程序員來說很容易,但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質不夠,問題出在程序員身上么?要知道,即使是那些專職安全防護的軟件產品也經常會曝出各種各樣的漏洞,這早已不是什么新鮮的事情。
計算機世界的霸主微軟公司的程序員可都是一流的精英,先不說過去Windows、Office系統中至今還補不過來的千瘡百孔,往前看其新一代的號稱最安全的操作系統Vista,公開的Bug已達2萬個,問題代碼更是多達幾十萬行,發行日期一拖再拖。也許這主要是因為過于龐大的系統結構和功能造成的,可在一個0和1的數字世界里,復雜才意味著技術的前進、使用的便利、功能的強大,如今許多人早已明白:沒有任何問題的代碼只能是沒有任何功能的代碼。
除了程序代碼設計本身的問題,安全漏洞還存在于通訊協議、網絡架構、交互中國家信息中心信息安全研究與服務中心李少鵬模式、電子輻射、信號外泄,甚至是用戶安全操作和安全意識等其他與信息交流有關的任何問題中。可以說安全威脅來自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠存在。
觸目驚心的安全事件
2004年10月至2005年1月,某企業職工利用后門程序操縱了互聯網上超過6萬臺的電腦主機連續攻擊北京某音樂網站,致使該公司蒙受重大經濟損失,這是我國首例如此大規模的“僵尸網絡”攻擊案;
2005年4月11日,全國超過二十個城市的互聯網出現群發性故障;同年7月12日,北京20萬ADSL用戶斷網;
2005年10月,網易計算機系統公司發現與北京市網通合作項目中,價值10元一張的網易一卡通虛擬游戲點卡被盜15.5萬張,總價值155萬余元;
2006年2月“全國最大網上盜竊通訊資費案”在北京開庭審理。某資深軟件研發工程師被控利用工作之便侵入北京移動公司充值中心數據庫,盜竊了價值38071元的充值卡密碼……
公安部公共信息網絡安全監察局主持的2006年全國信息網絡安全狀況與計算機病毒疫情調查報告中顯示,在被調查的一萬三千多家單位中,54%的被調查單位發生過信息網絡安全事件。
同時,最近兩年幾乎染及所有計算機和計算機用戶的網絡釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯網。據國外的一份調查統計顯示,89%的個人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國的網絡釣魚網站占全球釣魚網站的13%,名列全球第二位,而僅在2004年,公安部偵破的網絡詐騙案件就達1350起。對此,國家反計算入侵和防病毒研究中心在公安部網監局的支持和指導下,發起成立公益性的“中反網絡釣魚聯盟”。今年8月,廣東首次公開處罰垃圾郵件發送者,這也是國內依據《互聯網電子郵件服務管理辦法》第一次公開處罰垃圾電子郵件的發送者。
安全法規需進一步完善
從1989年《中華人民共和國保守國家秘密法》伊始,到2005年《電子簽名法》的實施,我國目前現行的與信息安全直接相關的法律、規章和制度有65部,“涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域”,可以說已經初步形成了一定的法規體系。尤其是在2003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)通過后,電子認證、電子政務、等級保護、商用密碼以及銀行、證券等金融行業等法規和管理辦法相繼出臺,不僅規范了信息安全市場,還對電子商務的發展、網絡經濟的正常運轉到了意義深遠的保障作用,同時也是對“信息安全上升為國家安全”的這一宏觀政策指引的響應。
盡管如此,現行的信息安全方面的法規、標準體系仍然需要進一步完善與成熟。截至目前,我國還沒有一部嚴格意義上基于信息安全的基本法,同時這為信息安全標準與政策的制定與落實帶來了一定的難度。
層出不窮的攻擊手段
目前流行的攻擊手段有很多,除了病毒、蠕蟲、口令破解等傳統方法,木馬、網絡釣魚、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴大。但相應的防范技術和知識已經比較普及,應對起來容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務攻擊、零日攻擊和社會工程學攻擊。
分布式拒絕服務攻擊至今還沒有特別有效的防范方法,其具備攻擊方法簡單和攻擊源無法確定的特點,上文中音樂網站被攻擊的案件就是一個典型的例子。這種攻擊的難點在于組建大量的傀儡主機――“僵尸網絡”,通常借助即使通訊工具或電子郵件來植入木馬,并通過新的系統漏洞的出現而達到頂峰。
零日攻擊則是利用尚未公開或未發行補丁的漏洞實施攻擊,這種攻擊最為致命和可怕,因為任何人都很難對未知的情況做出正確的反應,此種攻擊成功率高、隱蔽性強,往往針對某個既定目標,是今后安全防范工作的最大隱患之一。
最后一種是社會工程學,實際上它是一種非技術手段的攻擊,它的直接攻擊對象不是數據庫也不是防火墻,而是能夠出入這些敏感地帶的人。技術再高也是由人來操作的,安全防范做得再好,得到授權的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術》一書中寫到:“安全不是技術問題,它是人和管理的問題……”,“由于開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難……”,“精干的技術專家辛辛苦苦地 設計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素。”因此,在如今信息安全技術已經趨于成熟的環境下,正確的安全防范意識無比重要。
目前,仍然還有許多人普遍缺乏安全意識。政府網站頻頻被黑、網上銀行客戶資金被盜、網上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發生,其關健原因在于安全管理和意識的匱乏。對于被動的防范來說,意識要重于技術,甚至會超越技術。
安全技術任重道遠
廣義上的信息安全包括了眾多內容,信息安全國家重點實驗室馮登國教授曾在今年的“十一五”信息安全發展趨勢論壇上講到抽象化、可信化、網絡化、標準化和集成化,是信息安全技術發展的重要趨勢。目前主流安全技術不外幾種。
主動防御
雖然瑞星、金山、江民三大反病毒廠商在今年先后發出推出主動防御產品的聲音。但實質上,目前的主流產品還是在遵循“病毒產生――研究特征碼――升級病毒庫”的老路子。主動防御技術如何避免大量的提示和誤報是主動防御產品是否能真正走向市場的關鍵性問題。
生物識別
從用戶名加口令到加密鎖,再從USB令牌到指紋、聲紋、虹膜等生物識別。即使身份認證已經有了高級的尖端技術,可目前最為廣泛應用的還是最初的用戶名加口令身份認證技術,簡單易用,且能夠保障基本的安全需求。但不可否認,生物識別技術以其無可替代的識別優勢必然隨著成本的降低、需求的加大走向普及。
可信計算
嚴格的說,可信計算并不能算一項新興技術,早在2002年沈昌祥院士開始在國內提倡可信計算。雖然經過了2004年的熱點后,國家將其列入“十一五”規劃重點支持項目,相關企業也成功的生產出TPM的安全芯片,但中國的可信計算是否能與國際標準接軌、龐大的可信計算體系涵蓋內容之間是否能有序協調仍是一個未知的難題。
災難恢復
實際上,災難恢復主要不是技術問題,而是管理和實施問題。它的重要性隨著對國民經濟具有重要支撐作用的大型企事業單位以及政府部門對信息化日益增長的依賴性而凸現出來。近年來,銀行、電信,海關、稅務、民航等部門已經建立起自己的災備中心。國務院信息化工作辦公室2005年出臺的《重要信息系統災難恢復指南》為我國整個信息安全保障綜合體系的最后一環――災難恢復的管理和實施帶來了強有力的促進和重大指導作用。
理論篇>>>
思索信息安全:內涵與外延
江常青
要談論信息技術發展的趨勢和信息安全面臨內外部環境的變化,就像一個一直在匆匆行路的人,突然要停一下,觀看周圍環境,預估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過的路,因為有兩種可能:一種是走出來的路,過去和現在影響著未來;二種的情況是,也許路一直在前方,變化的則是我們的認識和行為。無論怎樣,“時而思”比不思則罔更有益。
信息安全的歷史有多久?五年,五十年,還是五千年?都可以。
目前,國家、企業和個人開始認識并重視信息化所帶來的安全風險問題,以及國內出現專門的信息安全從業人員,僅有5―10年;而以現代計算機的發展與應用算起,信息技術滲入現在社會生活帶來的信息安全問題,這段歷史達到了50年;其實,自從人類文明伊始,文化和信息的使用開始就存在信息安全問題,這是5000年的歷史。但是,歷史從來沒有象今天這樣迫使我們必須去思考和面對信息安全的問題,因為當今是高度信息化的社會。我們生活在一個信息世界中,信息安全問題關系到每個人、家庭和社會各個組織機構。
從辨證學角度來說,變是絕對的,也是相對的。在5~5000年這個“漫長”的尺度上,信息安全領域有的在變,而且變化很大;有些東西也許并沒有多大的進展和變化。處理信息的設施在技術發展中變化著,解決信息安全的具體技術措施和手段也隨著發展,信息安全的內涵也不斷延伸,但有關信息安全的一些關鍵和核心的問題并沒有得到探討與思考。
“誰的”信息安全?
信息安全自身沒有價值和意義,它對于信息和信息系統所有者、管理者、使用者、監管者才有意義。因此,同樣一個信息及其系統對于不同的人、組織甚至國家的意義是不同的,因為其安全的目標和需求是不同的。比如說,某商業銀行的信息系統,對于銀行自身、銀行監管部門,以及政府來說,安全價值與意義有著根本的區別。作為企業的銀行,其安全核心是保障組織機構的正常運行和獲得商業利益的能力;作為行業管理部門是金融安全風險的一個組成部分;從國家和政府部門來說它是事關國計民生的重要信息系統,它的安全影響社會。
“什么的”安全?
從歷史發展看,信息安全逐步從信息傳輸的安全,發展到信息產生,傳輸、處理、存儲等整個生命周期的安全。同時,信息安全也從單純的指信息數據的保密安全,擴展到支撐信息流動的軟硬件、載體的IT安全。在新一代信息技術大規模普及的今天,信息安全還包括信息的使用安全,信息內容的安全與信息及信息系統互動的人的安全等方面。
因此,信息安全不是孤立的。當我們談論安全時,一定是指特定對象的安全,同時要強調這個特定的對象是對于誰而言,言論中的安全必須在明確的上下文環境之中,否則就失去意義和準確性。
安全是什么?
安全是一種或多種性質或屬性嗎?它和色彩,質量是對象的屬性類似嗎?這個問題很難回答。假設安全是“屬性”,安全信息安全經典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個肯定的性質存在比較容易,找到它即可。要證明“不被修改”等類似否定語句的性質比較困難。此外,要證明信息或系統同時滿足三個性質更為困難,因為這些安全性質是動態變化,它會隨著外部對手和系統內部自身變化而變化,也就是常說的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質是否妥當。近年來,從風險角度來重新定義安全的趨勢十分明顯,將安全定義為風險可控可管理的過程。這樣一來,安全就不是系統自身的性質了,轉化為對抗風險的保障能力。安全保障能力由技術、管理、人等措施來構建起來,安全亦被風險和保障兩個概念所取代,隱身在后面。安全與否不再是去尋找這些性質存在與否,而是去計算保障是否大于對應風險。如果是,就是安全。這種重新定義的安全將不再是性質,而是個過程和目標,通過過程去達到目標,而目標反映了信息安全在上下文環境定要求。
這些探討和思考能否達到我們理解信息安全的本質,筆者不得而知,但是這是一個探索的過程。在信息技術層面上,在我們實際可以設計實現的信息處理技術的進展中,可以看到未來信息安全技術的發 展趨勢:
軟件安全
軟件是構建信息世界和社會的核心部件,安全問題的產生很大程度上來源它的不安全、不可靠,如何提高軟件的安全性將會是個重點,有理由相信,隨著軟件形式化、自動化的提高,其安全性會快速的提高。
安全度量
有人說,不可度量的不是科學,信息安全正處于這樣的境地。確實,目前我們還無法在信息安全領域找到類似物理世界的度量,如時間量、空間量、質量等,也沒有類似比特的信息量,因此信息安全要成為科學還有很長的路要走。但盡管如此,我們已逐漸找到一些度量,它對提高安全是有好處的,比如安全功能強度,人力的部署和能力提升,過程控制的環節等等。
信息流控制
除了人、管理、網絡系統外,信息安全的核心問題還是保證數據和信息的安全。信息流如何開放的網絡系統環境中,如何在不可信、不安全的環境中構建可信的信息流動和控制機制是必須要解決的問題。因為數據和信息不可能像物理世界中永遠被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動態價值。
抗攻擊技術
由于對手一直存在,破壞安全的外部因素不會消失。安全事故和事件時時都會產生,如何提高信息和系統抗攻擊以及受攻擊后降低損失的技術十分重要,以防范為主的安全技術將被抗攻擊技術將逐步取代。
內部安全
安全技術也將從防范外部威脅為主,轉換到關注內部威脅為,構建內控技術和管理體系將會成為最熱的市場機遇。在這里,與業務邏輯和網絡行為相關安全分析成為技術難點。發展篇>>>
發展篇>>>
內外之道把脈“新安全”
吳錫源
當前,大多數企業的信息安全機制不堪一擊。具體來說,這些企業的安全措施所提供的防護級別難以應對它們所承受的實際風險。事實勝于雄辯:雖然各個企業已竭盡所能采取相應防護措施,但是它們仍然頻繁受到攻擊。據可靠數據統計:僅2005年,大約三分之二的企業至少發生一次安全事故,而半數以上的企業則至少發生三次安全事故。
面臨挑戰的安全管理
目前的主要問題在于,大多數企業只是采用側重邊界的高度反應性防御措施,因此無法與當前日新月異的威脅趨勢保持同步。新威脅層出不窮,并以前所未有的速度和效率進行傳播,在許多情況下必然會導致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對較少。實際上,Ernst&Young的《2005年全球信息安全調查》顯示,各個企業將其安全預算的50%用于“日常操作和事故響應”,僅將17%的預算用于完成“更關鍵的戰略項目”。
顯而易見,企業需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。因此,企業所需要的威脅管理解決方案具有以下特點:主動――能夠防御未知威脅;全面――能夠將所有企業內外的攻擊源頭阻擋在外;高效――非常經濟實惠的選擇。
在企業努力部署有效威脅管理解決方案的過程中,威脅趨勢的日新月異、符合法規要求的需要以及對反應性對策的過度依賴對于它們面臨的重重挑戰來說只是鳳毛麟角。
把脈新“安全”
傳播速度相對較慢的基于文件的病毒和群發郵件蠕蟲仍然屢見不鮮。實際上,在2005年上半年,這類威脅在向賽門鐵克報告的前10位惡意代碼示例中占三類。不過,黑客的動機已明顯從追求名聲轉向牟取暴利,而漏洞開發框架的日漸普及是威脅趨勢發生許多顯著變化的主要原因之一。
?威脅數量與日俱增
這不足為奇。由于黑客的動機越來越強烈,并且開發新型惡意軟件的難度越來越低,所以威脅的數量無疑會猛增。不僅如此,威脅制作軟件及其模塊化構造技術導致開發威脅變種的行為司空見慣。例如,2005年上半年,僅針對Win32平臺的新病毒和蠕蟲變種數量就已達到10800種。與前六個月相比,次數量就增加了48%。
?威脅生成時間日益縮短
日益成熟的黑客工具包不斷增多的另一惡果是開發新威脅所需的時間明顯縮短。因此,從發現新漏洞到發起針對該漏洞的特定攻擊之間的時間也無可避免地大大縮短。實際上,在2005年上半年,此時間段的平均持續時間僅為六天。
?威脅傳播速度正在加快
雖然近年來這方面威脅的趨勢沒有顯著變化,但是由于威脅的傳播速度已經非常驚人,所以這種形勢不容樂觀。例如,2001年紅色代碼在37分鐘內即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲每8.5秒傳播速度就會加倍,最終不到10分鐘就會感染90%易受攻擊的目標主機。而且,認為最終不會出現傳播速度更快的威脅完全不切實際。
?威脅日益變化莫測
導致變種數量不斷增多的因素也同時導致混合型威脅層出不窮。通過使用多種利用機制、有效負載和/或傳播方法,這類威脅更有可能避開企業防線,然后成功施加負面影響。另外,導致局面日益惡化的另一個原因是黑客目前主要攻擊系統和應用程序層的弱點,而不是網絡層的漏洞。這樣,他們的攻擊往往成為側重網絡層活動對策的漏網之魚;不幸的是,大多數企業目前只憑借這樣的對策來保護自己。
首先,威脅數量大增意味著不僅安全員工將承受更大的壓力,而且他們所實施的對策在一定程度上也會受到影響。還需要進行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達到平衡,很可能需要任命更多安全管理員或實施可提高操作效率的工具,特別是在研究和防范活動方面。第二個影響是使利用管理補丁程序進行防御的效果微乎其微。過去,從發現漏洞到漏洞被利用之間的時間長達數月,所以制造商可以從容開發和補丁程序,然后由企業對這些補丁程序進行測試和實施。但是,目前在發現漏洞后平均需要54天才能相關補丁程序,所以根本無法及時提供補丁程序。而且即便能夠及時提供,還需要考慮測試和實施相應補丁程序所需時間的問題。在最緊迫的情況下,最高效的企業可能需要幾天才能完成該過程。但這根本不具有代表性,企業補丁程序管理流程的常規執行時間至少需要30天。
安全之路延伸何方
面對不斷變化的新威脅,信息安全的環境也在發生著深刻的變革。
首先,由于需要保持競爭優勢,所以各個企業必須更迅速地應用新興技術(例如,WLAN、VolP和Web服務)以及所有現有技術和平臺的新版本。一般,各個企業不但必須管理和保護更多計算基礎架構和應用程序,而且其中大部分均為新出現的復雜架構和程序,極為分散。結果是由于配置錯誤和疏忽導 致的代碼漏洞與日俱增,而且弱點也越來越多。
其次,隨著內部威脅日益嚴重,企業的安全觀念正發生著深刻的變化。從歷史角度來看,企業一般將注意力集中在保護他們與互聯網的連接上面,很少保護他們的內部網絡和系統。不過,由于第三方連接日益增多,現場辦公的合同工需要連接到公司網絡,而且公司自身員工的移動性越來越強,從而導致威脅可以繞過互聯網邊界控制,然后從內部以相對迅猛的速度傳播。因此,除了原來必須要保護的日益增多的基礎架構外,企業現在還必須保護內部網絡和系統。
此外,確保內部網絡安全的另外一個要素是必須遵從各種“暗示”的法規和法律(如果沒有明示)。不過,從所占用的資源數量及有時會提供虛假的安全感角度來看,遵從這些要求反而會產生更多問題。事實上,一份最新調查表明遵從是信息安全活動的最重要的推動因素,該調查還表明由此而引發的主要活動是制定和更新各種策略和程序,而不是切實加強公司的安全架構或整體戰略。
更現實的還有預算問題,企業面臨的這方面挑戰在一定程度上變得欲蓋彌彰。只需看看現狀就足以:目前所制定的安全預算不僅不合理,而且這部分預算的使用方式往往對防御攻擊沒有幫助,此外這部分預算永遠處于與“企業”的其他需要進行競爭的狀態。
以上復雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對于安全部門可支配的資源而言,他們需要完成的工作過于繁重。與此同時,基礎業務需求(不考慮基礎架構)可謂常變常新。
策略篇>>>
“濕件”:另一種思維看安全
劉 恒
魯迪盧克在系列科幻小說《濕件》中講述了一個人類制造的肉身機器人如何控制和改變人類的故事。該書對人類腦力智慧(濕件)與帶有編碼化知識(軟件)的機器人(硬件)的結合并最終擺脫人類控制的前景作了最大膽的想象。
無獨有偶,“濕件”先后出現在黑客界和醫藥界,并且成為新經濟增長理論的一個術語。如今,啟明星辰率先在安全業界引入“濕件”理論,并開始成功應用到安全服務領域。
看到“濕件”二字,絕大部分人認為是“事件”的筆誤,其實不然,兩者毫無瓜葛,截然不同。“濕件”是指與計算機軟件、硬件系統緊密相連的人(程序員、操作員、管理員),及與系統相連的人類神經系統。由此可見,“濕件”,是儲存于人腦之中,無法與擁有它的人分離的能力、才干、知識等。
從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應該對“濕件”給予充分重視。“濕件”第一次將人的作用突出出來,而且這種作用遠遠高于軟件和硬件。沒有軟件,硬件是無用的;沒有人的操作或指示,軟件、硬件一起也做不了什么;由此可見,“濕件”是IT系統最為基礎的部分。
網絡安全的脆弱一環
盡管“濕件”的作用如此基礎和重要,但是長期以來卻未被提到應有的重視高度。尤其是在中國的網絡安全領域,對于“濕件”的研究基本是個“空白”,目前,啟明星辰公司敏銳地發現這一“空白”,第一次將安全“濕件”與安全服務緊密地聯系在一起,第一次將人在信息安全中的決定性作用突出了出來。
三個典型的案例很容易說明問題。
案例一:某小區的保安系統很健全,24小時有保安守衛,但最近卻發現有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進來的,有關部門還是貼了一個告示,提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結所在,同樣的事情在該小區再次發生。后來有人發現,小區里欄桿的設計不合理,讓小偷鉆了進去,如果拉兩個欄桿,就可以防止這種情況。
這個案例說明,我們必須充分了解攻擊者和攻擊行為發生的原因,才有可能有效防御攻擊。
案例二:某部門存放重要文檔的電腦出了故障,保管文檔的人在部門內對電腦進行了修理。一段時間后,該重要文檔泄漏了,并被公開到互聯網上。經過一番追查,最后發現是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明,人員安全意識的缺失是遭到攻擊的致命因素。
案例三:“你想要值錢的東西嗎?想要,你就去拿吧。”全球最著名的黑客Mitrdck語出驚人。人們都認為他擁有無人能敵的高超技術,他卻在自己的《欺騙的藝術》一書中說,安全的核心和根本,不是技術問題,而是人和管理問題;安全最薄弱的環節是人的因素,穿透人這道防火墻往往非常容易。
從這三個案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務的意義所在。對“安全濕件”的強調,體現了一種系統的安全設計思想,有了這種意識,用戶在構建安全系統時會考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統的一個組成部分,他設計出來的安全防御系統肯定是不健全的,是失去平衡的,結果是花了很多錢,建造的安全系統并不安全。
完善安全系統
信息安全是動態的,是過程,是攻擊和防御的平衡,從這個角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進一步細分下去。例如,防御型“濕件”還可以按照不同的人、不同類型的知識進行細分。
在信息安全系統中,攻擊和防御是密不可分、相輔相成的兩個方面。一方面,所謂“知彼知己、百戰不殆”,只有在攻防結合的基礎上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產品或方案存在著一個嚴重的缺陷,那就是并不了解攻擊者,也就是沒有防御的明確目標,只是憑想象強行建立起一種防御系統。其實也許用戶根本不需要那么強大的防御系統,這就是忽略了攻擊“濕件”產生的問題。
安全“濕件”有助于企業提高和完善現有系統的安全性。企業在進行安全投資的時候,應該首先注重培養人才,培養“濕件”,甚至應該把“濕件”擺在硬件和軟件之前考慮。實踐證明,“濕件”的投資回報率相當高,產生的效果巨大。“濕件”應該是排在軟件和硬件之前的基礎性的部件。
由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機,安全風險在所難免,安全產品和安全技術有時也會失靈。劉恒博士指出,許多安全問題僅憑安全產品和技術是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務去解決。
從上述角度來看,信息安全的關注點正在發生變化,轉向關注“濕件”。高明的用戶一方面要構建自己內部的安全“濕件”,另一方面在自身“濕件”不夠強健時,則可以購買專業安全公司提供的安全“濕件”。“濕件”作為服務成為主流,無疑是安全產業發展的必然趨勢。
嶄新的安全服務
“濕件”與安全服務緊密相關,但是并 不能劃等號,也不能劃大于號或小于號。因為服務強調的是一種形式和過程,而安全“濕件”強調的是安全軟件和硬件之外的人的重要性,突出的是系統的有機性,是一種強調完整協調一致的理念。安全“濕件”作為服務的一種形式應該成為安全業界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務。
作為一個重要的防御型“濕件”,M2S體現的是具有標志性的專業化的安全服務。這個體系是在啟明星辰TSP理念的指導下,在多年安全服務最佳實踐的基礎上,結合國際先進的安全服務理念、模型和業務模式,以用戶需求為中心,以注重實效為宗旨,推出的一種全面、細致的全新服務模式,主要包括國際化管理咨詢、專業化風險評估、實時性管理監控、專家型應急響應等內容。
M2S,一個能夠進行全面防范、即時監測、專家響應的實時安全過程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現了專業的監控技術與服務;MSS(Managed Security Services),體現了安全企業與國際通用托管式安全服務的融合,強調安全企業要保持國際安全服務的規范性;MtoS(Management to Security),闡明了安全企業倡導的“通過管理達到安全”的理念,也契合了“服務的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監控,這里尤其體現了本地化差異性,與國外MSM主要根據設備來實行監控管理不同,M2S致力于解決客戶幾乎所有的安全問題,范圍更為廣泛。
可以說,“濕件”理論與M2S的有效結合,提升了網絡和系統自身的防御能力,為更多的用戶提升了生產效能,而將安全“濕件”與服務緊密相聯,也完全可以有效幫助信息安全企業在安全服務領域樹立新的里程碑。
管理篇>>>
安全風險管理的游戲規則
駕馭風險,方可掌控安全。日前,綠盟科技專業服務部總監王紅陽,就目前信息安全風險評估以及風險管理的創新理念、前沿技術、創建適應企業發展的網絡環境等問題,接受了《軟件世界》雜志的采訪。
軟件世界:如何理解風險管理的概念?綠盟科技在這方面的研究有沒有什么前沿性的課題?
王紅陽:在COSO企業風險管理框架中,風險定義為任何可能影響某一組織實現其目標的事項。風險的范圍可能是財務、合法性、符合性、運維、市場、戰略、信息、技術、人員、聲譽等方面。風險包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉化為機會的事件。風險管理是發現和了解組織中風險的各個方面,并且付諸明智的行動幫助組織實現戰略目標,減少失敗的可能并降低不確定的經營結果的整個過程。信息安全風險評估(本文以下簡稱“風險評估”),則是指依據國家、國際有關信息技術、安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估活動過程,它要評估信息系統的脆弱性、信息系統面臨的威脅,以及脆弱性被威脅源利用后所產生的實際負面影響等,并根據安全事件發生的可能性和負面影響的程度,來識別信息系統的安全風險。
信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。企業風險管理使管理當局能夠有效的應對不確定性以及由此帶來的風險和機會。
軟件世界:如何在一個組織的網絡中識別出風險所在?
王紅陽:風險評估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國際和國內標準,這些標準提供了評估過程、評估方法、評估模型、評估內容等多方面的規范化指導,同時在評估算法、評估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國、澳大利亞、新西蘭的標準和規范。
風險評估的過程就是對信息系統所面臨的各種風險發生的可能性和風險發生后的嚴重性進行評價,即在國際、國內等相關標準和規范的指導下對信息系統的資產、威脅、脆弱性三要素進行詳細具體的評估。
風險評估包含了(但不僅限于)以下一系列的技術評估手段和管理評估手段:
?安全掃描:通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。
?人工檢查:通過人工方式直接操作評估對象來獲取所需要的安全配置信息,主要解決遠程無法通過工具軟件或設備獲得的信息,以及為避免評估意外事件而采取的方法。
?IDS取樣分析:通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析。
?滲透測試:在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法。
?應用安全評估:對用戶業務應用軟件進行安全功能審核、滲透測試、源代碼審核等。
?安全管理審計:通過文檔審核、策略審核、問卷調查、顧問訪談等形式,對信息安全策略、組織信息安全、資產管理、人力資源安全、物理和環境的安全、日常運作和通訊、訪問控制、系統的獲得、開發與維護、信息安全事件管理、業務持續性管理、符合性等方面進行綜合評估。
軟件世界:信息資產風險管理的內容包括什么?通過怎樣的策略和方案可以達到風險管理的目的?
王紅陽:信息安全風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能存在的危害,以便為系統最終安全需求的提出提供依據。同時,也是為了分析網絡信息系統的安全需求,找出目前的安全策略和實際需求的差距,為保護信息系統的安全提供科學依據。進而通過合理步驟,制定出適合系統具體情況的安全策略及其管理和實施規范,為安全體系的設計提供參考。
信息安全風險評估是一個組織機構實現信息系統安全必要的、重要的步驟,可以使決策者對其業務信息系統的安全建設或安全改造思路有更深刻的認識。通過信息安全風險評估,他們將清楚業務信息系統包含的重要資產、面臨的主要威脅、本身的弱點;哪些威脅出現的可能性較大,造成的影響也較大,哪些威脅出現的可能性較小,造成的影響可以忽略不計;通過保護哪些資產,防止哪些威脅出現,如何保護和防止才能保證系統達到一定的安全級別;提出的安全方案需要多少技術和費用的支持,更進一步,還會分析出信息系統的風險是如何隨時間變化的,將來應如何面對這些風險,這需要建立一個晚上的體系。
