第2章风险分析2.1资产保护2.2攻击2.3风险管理2.4本章小结习题任何有效的风险分析始于需要保护的资产和资源的鉴别,资产的类型一般可分成以下4类。(1)物理资源物理资源是具有物理形态的资产。包括工作站、服务器、终端、网络设备、外围设备等,基本上,凡是具有物理形态的计算资源都是物理资源。风险分析的最终目标是制定一个有效的、节省的计划来看管资产,不要忽视显而易见的问题和解决办法。2.1资产保护2.1.1资产的类型(2)知识资源和物理资源相比,知识资源更难鉴别,因为它只以电子的形式存在。知识资源可以是任何信息的形式,并且在组织的事务处理中起一定的作用。它包括软件、财务信息、数据库记录以及计划图表等。例如,公司通过电子邮件交换信息,这些电子报文的存储应看成知识资产。(3)时间资源时间也是一个重要的资源,甚至是一个组织最有价值的资源。当评估时间损失对一个组织的影响时,应考虑由于时间损失引起的全部后果。(4)信誉(感觉)资源在2000年2月,大部分网络公司诸如Yahoo、Amazon、eBay和Buy.com等在受到拒绝服务攻击以后,他们的股票价狂跌。虽然这是暂时的,但足以说明消费者和股票持有者对他们的可信度确实存在影响,且可测量。又如,2000年10月围绕Microsoft系统的问题公开暴露,公众不仅对公司,也对其产品的可信度产生了一定的影响。潜在的网络攻击可来自任何能访问网络的源,这些源之间有很大差异,它依赖于一个组织的规模以及提供的网络访问的类型。当作风险分析时,要能识别所有的攻击源。这些攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过Internet的访问,以及通过modem池的访问等。在分析潜在攻击源时不仅要评估谁可能攻击网络,还要寻找什么样的介质可用来对网络资源的访问。2.1.2潜在的攻击源潜在的攻击来自多方面,包括组织内部的员工、临时员工和顾问、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其员工的人。根据这个组织的情况,还可能有各种不同的攻击源。重要的是要决定什么样的威胁能实现成功的攻击,以及对潜伏的攻击者而言,什么样的攻击是值得的。在识别资源以及潜在的攻击源后,可评估该组织受攻击的潜在风险级别。一个网络是物理隔离的网,还是有很多入口(如广域网)、有modem池、或是经过Internet进入的VPN?所有这些连接点是否使用强的身份鉴别和某种形式的防火墙设备,或者其他的网络保护措施?攻击者能否发现某一个暴露的访问点以及获得访问该网络资源?对攻击可能性的看法在很大程度上是带有主观性的,同一个组织的两个人对攻击可能性的观点可能完全不同。因此要听取来自不同部门的观点,甚至聘请在决定风险评估方面有实践经验的顾问。因为对攻击可能性的分析越清楚,越能更有效地保护网络。资产一旦受到威胁和破坏,就会带来两类损失,一类是即时的损失,如由于系统被破坏,员工无法使用,因而降低了劳动生产率;又如,ISP的在线服务中断带来经济上的损失。另一类是长期的恢复所需花费,也就是从攻击或失效到恢复正常需要的花费,例如,受到拒绝服务攻击,在一定期间内资源无法访问带来的损失;又如,为了修复受破坏的关键文件所需的花费等。为了有效保护资产,应尽可能降低资产受危害的潜在代价。另一方面,由于采取一些安全措施,也要付出安全的操作代价。网络安全最终是一个折中的方案,需要对危害和降低危害的代价进行权衡。2.1.3资产的有效保护在评估时要考虑网络的现有环境,以及近期和远期网络发展变化的趋势。选用先进的安全体系结构和系统安全平台可减少安全操作代价,获得良好的安全强度。除此之外,要获得安全强度和安全代价的折中,需要考虑以下因素:(1)用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。(2)管理的复杂性。对增加安全强度的网络系统要易于配置、管理。(3)对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。(4)对不同平台的支持。网络安全系统应能适应不同平台的异构环境的使用。图2.1安全强度和安全代价的折中图2.1所示为安全强度和安全代价的折中,其中图2.1(a)表示安全强度和安全操作代价的关系。图2.1(b)表示安全强度和侵入系统可能性的关系。图2.1(c)表示将图2.1(a)和图2.1(b)合在一起,其相交点是平衡点,即安全强度和安全代价的折中选择。图2.1(d)表示由于入侵手段增强引起的变化,从而产生新的平衡点。为了有效保护资产,需要一个性能良好的安全系统结构和安全系统平台,可以小的安全代价换取高的安全强度。从安全属性来看,攻击类型可分为以下4类,如图2.2所示,图2.2(a)是从源站到目的站的正常信息流。(1)阻断攻击阻断攻击使系统的资产被破坏,无法提供用户使用,这是一种针对可用性的攻击,如图22(b)所示。例如,破坏硬盘之类的硬件,切断通信线路,使文件管理系统失效等。2.2攻击2.2.1攻击的类型(2)截取攻击截取攻击可使非授权者得到资产的访问,这是一种针对机密性的攻击,如图2.2(c)所示。非授权者可以是一个人、一个程序或一台计算机,例如,通过窃听获取网上数据以及非授权的复制文件和程序。(3)篡改攻击篡改攻击是非授权者不仅访问资产,而且能修改信息,这是一种针对完整性的攻击,如图2.2(d)所示。例如,改变数据文件的值,修改程序以及在网上正在传送的报文内容。(4)伪造攻击伪造攻击是非授权者在系统中插入伪造的信息,这是一种针对真实性的攻击,如图2.2(e)所示。例如,在网上插入伪造的报文,或在文件中加入一些记录。图2.2各种安全威胁从攻击方式来看,攻击类型可分为被动攻击和主动攻击,如图2.3所示。2.2.2主动攻击与被动攻击图2.3主动和被动安全威胁1.被动攻击窃听、监听都具有被动攻击的本性,攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解,一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信,那么即使这些内容被截获,也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容,攻击者仍有可能观察到这些传输的报文形式。攻击者有可能确定通信主机的位置和标识,也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。对被动攻击的检测十分困难,因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的,因此,对被动攻击强调的是阻止而不是检测。2.主动攻击主动攻击包含对数据流的某些修改,或者生成一个假的数据流。它可分成4类:(1)伪装伪装是一个实体假装成另一个实体。伪装攻击往往连同另一类主动攻击一起进行。例如,身份鉴别的序列被捕获,并在有效的身份鉴别发生时作出回答,有可能使具有很少特权的实体得到额外的特权,这样不具有这些特权的人获得了这些特权。(2)回答回答攻击包含数据单元的被动捕获,随之再重传这些数据,从而产生一个非授权的效果。(3)修改报文修改报文攻击意味着合法报文的某些部分已被修改,或者报文的延迟和重新排序,从而产生非授权的效果。(4)拒绝服务拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。这种攻击可能针对专门的目标(如安全审计服务),抑制所有报文直接送到目的站;也可能破坏整个网络,使网络不可用或网络超负荷,从而降低网络性能。主动攻击和被动攻击具有相反的特性。被动攻击难以检测出来,然而有阻止其成功的方法。而主动攻击难以绝对地阻止,因为要做到这些,就要对所有通信设施、通路在任何时间进行完全的保护。因此对主动攻击采取检测的方法,并从破坏中恢复。因为制止的效应也可能对防止破坏做出贡献。访问攻击是攻击者企图获得非授权信息,这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下,如图2.4所示。这类攻击是针对信息机密性的攻击。2.2.3访问攻击图2.4访问攻击可能发生的地方常见的访问攻击有3种:(1)窥探窥探(snooping)是查信息文件,发现某些对攻击者感兴趣的信息。攻击者试图打开计算机系统的文件,直到找到所需信息。(2)窃听窃听(eavesdropping)是偷听他人的对话,为了得到非授权的信息访问,攻击者必须将自己放在一个信息通过的地方,一般采用电子的窃听方式,如图2.5所示。图2.5窃听(3)截获截获(interception)不同于窃听,它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过的通路,且在信息到达目的地前能事先捕获这些信息。攻击者检查截获的信息,并决定是否将信息送往目的站,如图2.6所示。图2.6截获电子信息可存储在桌面计算机、服务器、笔记本计算机、软盘、CD-ROM以及后备磁带中。如没有物理安全措施,这些介质可能被偷走,攻击者就很容易得到所要的信息。如果攻击者设法取得合法访问权,就可简单地打开文件系统。假如访问控制权限设置恰当,系统就可对非授权者拒绝访问。正确的许可权设置可阻止大部分不经心的窥视。然而对有意的攻击者企图偷到许可权,并阅读文件或降低对文件访问的控制,由于系统有很多漏洞,使得攻击者的这些行动能得逞。对传输中的信息可通过窃听获得。在局域网中,攻击者在联到网上的计算机系统中安装一个信息包探测程序(sniffer),来捕获在网上的所有通信。通常配置成能捕获ID和口令。窃听也可能发生在广域网(如租用线和电话线)中,然而这类窃听需要更多的技术和设备。通常在设施的接线架上采用T形分接头来窃听信息。它不仅用于电缆线,也可用于光纤传输线,但需要专门的设备。使用截获来取得所需信息,对攻击者来说也比较困难。攻击者必须将自己的系统插入到发送站和接收站之间。在Internet上,可通过名字转换的改变来达到目的,即将计算机名转换成一个错误的IP地址,如图2.7所示。这样信息就送到攻击者的系统,而不是正确的目的站。如果攻击者正确地配置其系统,发送者和目的站可能永远不知道他是在和攻击者通信。图2.7使用错误的名字转换截获信息截获还可对已经进行的正常会话接管和转移。这类攻击发生在交互式通信中,如telnet。这时,攻击者必须在客户机或服务器的同一网段。攻击者让合法用户开始和服务器会话,然后使用专门的软件来接管这个会话。这类攻击使攻击者能在服务器上具有同样的特权。篡改攻击是攻击者企图修改信息,而他们本来是无权修改的。这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下,是针对信息完整性的攻击。常见的篡改攻击有3种:(1)改变改变已有的信息。例如,攻击者改变已存在的员工工资,改变以后的信息虽然仍存在于该组织,但已经是不正确的信息。这种改变攻击的目标通常是敏感信息或公共信息。2.2.4篡改攻击(2)插入插入信息可以改变历史的信息。例如,攻击者在银行系统中加一个事务处理,从而将客户账户的资金转到自己账户上。(3)删除删除攻击是将已有的信息去除,可能是将历史记录的信息删除。例如,攻击者将一个事务处理记录从银行结账单中删除,从而造成银行资金的损失。修改电子信息比修改纸上信息容易得多。假如攻击者已经访问了文件,可以几乎不留证据地修改。假如攻击者没有访问文件的权限,则攻击者首先必须提高对系统的访问权,或者移去文件的许可权。在访问攻击中,攻击者利用系统的漏洞获取访问权,然后再修改文件。攻击者要改变数据库文件或处理队列更难一些。在某些情况下,事务处理也编成序列号,不正确地移走或加一个序列号,会导致系统发出警报。只有对整个系统进行变更,才能使篡改不易被察觉。拒绝服务攻击(DenialofService,DOS)是拒绝合法用户使用系统、信息、能力等各种资源。拒绝服务攻击一般不允许攻击者访问或修改计算机系统的信息。拒绝服务攻击可分成以下4种:(1)拒绝访问信息拒绝访问信息使信息不可用,不论是信息被破坏或者将信息改变成不可使用状态,也可能信息仍存在,但已经被移到不可访问的位置。2.2.5拒绝服务攻击(2)拒绝访问应用拒绝访问应用的目标是操纵或显示信息的应用。通常对正在运行应用程序的计算机系统进行攻