第一篇:基于有向图的网络安全风险评估研究专题
青岛大学
硕士学位论文
基于有向图的网络安全风险评估研究 姓名:辛克恒
申请学位级别:硕士 专业:软件工程
指导教师:贾小珠;刘滨 20080508 摘要
随着计算机网络的迅速发展,尤其是近年来Intemet在我国迅速普及,针对网络系统的攻击也呈现快速长的势头,网络安全讵受到严峻考验。网络世界面临着无处不在的脆弱性以及可能来自各方面的威胁和攻击,安全风险是必然存在的,因此,对网络进行安全风险评估非常必要。网络安全风险评估是网络安全主动防御中的一项重要技术,对保证网络安全具有重要的意义,是目前的研究热点之一。本文分析了目前威胁网络安全的主要因素,研究了国内外评估标准的发展和现状,并总结了常见的安全风险评估方法,通过分析比较,选择出合适的评估方法。在此基础上,提出了一种基于有向图的网络安全评估方法,明确了网络安全评估中涉及的资产、资产价值、威胁、脆弱性等因素,给出了资产赋值、威胁、脆弱性量化原则。使用定性分析与定量计算相结合的方法,将主机价值和漏洞存在可能性以及漏洞利用可能性进行量化评估,得到目标主机的安全风险度量值,确定主机风险等级,并给出了具体算法及流程。基于有向图的网络安全风险评估方法,主要是以有向图的相关知识为基础,结合网络拓扑结构,构建网络评估有向图,利用路径分析及相应的路径算法,得到网络中存在的危险路径和关键节点,从而以有针对性地采取安全保护措施,进行网络脆弱性修补,增强网络的总体安全性能。
关键词:安全风险评估;风险指标;风险评估模型;有向图
第一章绪论 1.1研究背景 第一章绪论
随着计算机网络技术的迅速发展,尤其是近年来Intemet在我国迅速普及,针对网络系统的攻击也呈现快速增长的势头,网络安全正受到严重考验。一个国家计算机网络信息系统运行的可靠性,与这个国家计算机网络信息安全保障的准备工作水平相适应。目前,随着信息化的步伐越来越快,我们面临的网络安全问题也日益严重。随着经济活动的融入,原本不平静的Intemet变得更加危险,各种病毒、木马、入侵等安全事件层出不穷。再加上现有数量巨大的黑客工具可以随意下载,这使得普通人也可能成为黑客,Intemet充满了陷阱和危险。据US.CERT发布的数据显示,2005年安全研究人员共发现了5990个软件漏洞,相比2004年增长了37%。这些软件漏洞被黑客、病毒等利用,造成大量的安全事件和严重损失。以网络攻击为例:据调查2004年专门针对美国政府网站的非法入侵事件发生了5.4万件,2005年升至7.9万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门。我国新华社曾报道,中国近60%的单位网络曾发生过安全事件,其中包括国防部等政府部门。中国公安部进行的一项调查显示,在被调查的7072家单位网络中,有58%曾在2004年遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。当今的网络世界,威胁手段多种多样,攻击速度越来越快,预留给防护者的响应时间越来越短,对信息资产的破坏程度越来越严重,所以,如何保证网络的安全已经引起国家、机构、单位及个人网络使用者的高度重视。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。目前,除了计算机本身的安全机制外,人们一般会采用入侵检测、防火墙、病毒检测等措施来提高系统和网络的安全性,但是这些网络安全技术本质上是一种被动的防御,随着黑客攻击技术的发展,这些被动的防御能力显得有些力不从心,它们不能有针对性地主动依据当前网络已经遭受攻击的强度和现有JxL险等级等情况实时调整自己的防御策略。如何更好的积极主动的保证网络的安全,己经备受当今网络安全研究者的关注。网络安全风险评估是网络安全主动防御中的一项重要技术,它对积极的网络安全技术的研究具有重要的意义,是目前的研究热点之一。网络与信息安全方面的研究是当前信息行业的研究重点。在国际上信息安全研究己成体系,20世纪70年代就已经丌始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及“9ll”等突发事件的出现,以美国为首的各个国家在网络与信息安全方面都在加速研究。我国自2003年以来也在网络与信息安全方面有了较大的进展,但是总体相对落后。网络安全评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定信息资产的风险等级和优先风险控制顺序。评估就是找出威胁,以确保资产安全。网络安全评估是信息安全管理体系的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为降低网络的风险,实施风险管理及风险控制提供了直接的依据。1.2课题的研究目的和意义
网络安全风险评估是系统安全的基础性工作,是观察过程的一个持续的工作,是分级防护和突出重点的具体体现。网络系统安全风险评估的总体目标是认清系统安全环境和系统安全状况,明确责任,采取或完善安全保障措施,使其更加经济有效,并使安全策略保持一致性和持续性,加强风险评估工作是当前网络系统安全工作的客观需要和紧迫需求。网络安全风险评估的目的是认清当前的信息安全环境,全面、准确地了解组织机构的网络安全现状,发现系统的安全问题及可能存在的危害,以便为系统最终的安全需求提供依据。通过网络安全风险评估,使我们清楚网络信息系统包含的重要资产、面临的主要威胁、本身存在的弱点;哪些威胁出现的可能性较大,造成的影响也较大,提出的安全方案需要多少技术和费用的支持;进一步分析出网络系统的风险是如何随时问而变化的,将来应如何面对这些风险。网络安全风险评估是安全预防实现的重要措施,它可以在网络安全脆弱性出现和被利用的这段时间内,及早发现此风险,通过对网络、主机、资源、服务等的评估,制定和调整安全策略,在攻击发生以前降低或者避免一部分安全风险。
网络安全风险评估还可以提供很多有价值的信息:评估的结果将作为制定整体安全策略的依据;评估可以为动态安全策略提供调整策略的方向性指导与依据;通过评估,从风险的反面我们就可以知道哪些系统是值得信任的:评估可以预测未来网络系统各个节点将要遭受攻击估计的频度;评估的结果为.实施有效的反击提供可参考的数据。加强网络安全,是关系到使用者利益的一个大问题。目前在用户的网络中都存
储着大量的信息资料,很多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失。而对于政府部门等单位来讲,加强网络安全建设的意义甚至关系到国家的安全、利益和发展。因此,在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,都应该进行风险评估。
1.3国内外网络安全风险评估状况
国外关于信息系统安全风险评估的研究已有20多年的历史,美国、加拿大等IT 业发达国家于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系,负责研究并开发相关的评估标准、评估认证方法和评估技术,并进行基于评估标准的信息安全评估和认证,目前这些国家与信息系统风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当成熟。从已经建立了信息安全评估认证体系的有关国家来看,风险评估及认证机构都是由国家的安全、情报、国家标准化等政府主管部门授权建立,以保证评估结果的可信性和认证的权威性、公正性。如美国TCSEC、加拿大标准CTCPEC、欧洲ITSEC、通用信息技术安全评估标准CCl2J、ISOHEC 17799:2005t31与ISO/IEC27001:2005等信息安全标准:各种评估方法如定量的风险评估方法、定性的风险评估方法、综合风险评估方法和基于模型的风险评估方法等,例如Kemmerer提出的基于状态转移图的脆弱性分析方法14J、美国普渡大学(Purdue University)的IDIOT/X,侵分析系统是利用Kumar矛-tlSpafford设计的着色Petri网CPN(Colored Petri Nets)f5】的变种来表示和检测系统入侵模式【6.7l等。为了实现网络安全评估,不少国外厂商开发出一些安全评估产品,主要是静态对网络中的各种系统、设备和数据库进行漏洞扫描,找出整个网络系统中最容易受到攻击的地方,对网络进行评估,最后提出建设性的解决方案。如美国ISS公司开发的DatabaseScanner、IntemetScanner和SystemScanner三种扫描器安全评估产品瞵J,分别可对数据库、网络和系统进行安全评估。我国信息系统风险评估的研究起步较晚,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视,具有广阔的研究和发展空间。
近几年国内在网络安全评估模型方面有一些研究,即从网络安全脆弱性分析构造安全评估模型,以及系统脆弱性研究。市场上关于脆弱性扫描、防火墙及漏洞检测等都有比较成熟的产品,但与信息系统风险综合评估相关的工具却很匮乏。风险评估过程中要用到多种技术手段,如入侵检测、系统审计、脆弱性扫描等,将这些技术整合到一起,提供综合的风险分析工具,不仅解决了数据的多元获取问题,而且为整个信息安全管理创造了良好的条件。国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,网络安全评估涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技⋯⋯低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。无论国外还是国内,在信息系统的JxL险评估中,安全模型的研究、标准的选择、要素的提取、评估方法的研究、评估实施的过程、一直都是研究的重点⋯J。目前基于弱点检测的评估技术主要问题: 弱点检测的精度问题。一般通过直接检测和关联检测,对于直接检测,可以通 过某个弱点的特征,直接对目标信息的探测,如在线弱口令检测,这种方法可以精确定位弱点。但是由于弱点挖掘和目标系统及其应用环境相关度非常大,对所有的系统弱点都进行直接探测是不现实的,因此有些弱点的存在与否只能通过对获取的目标信息进行推理的方法获得,也就是关联检测的方法。弱点的量化问题。现存的弱点检测之后就是对于每一个弱点根据弱点数据库里的知识,给与一个类似于高中低的模糊评价值,这种表示方法很难反映弱点在系统中造成的真实的安全问题。弱点的关联问题。由于系统中多个弱点关联关系的存在,简单的列举或者权值相加的表达方式不能反映对于漏洞关联使用造成的安全损害。网络上不断发展的攻击手段,例如危害比较大的几种蠕虫,都是利用了系统中不止一个的漏洞来进行传播,因此对于信息系统中的弱点进行关联表达是需要仔细研究的问题。1.4课题的研究内容
本文研究了国内外网络安全风险评估的发展和研究现状以及当前常用的安全风险评估方法。在已有风险评估方法基础上,采用定性与定量相结合的评估方法计算出网络中主机风险值,在此基础上,结合图论中有向图理论,提出一种基于有向图的网络安全风险评估。基本思路如下:(1)构建一个网络安全风险评估模型
(2)对信息资产进行识别,并进行资产等级赋值
(3)对威胁进行分析,并对威胁发生的可能性等级赋值(4)识别信息资产的脆弱性,并对弱点的严重程度等级赋值(5)根据威胁和脆弱性计算安全事件发生的可能性
(6)根据资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风 险值,计算出网络中各主机的总体脆弱性量化值
(7)结合具体的网络拓扑结构,构成网络安全JxL险评估有向图,利用改进的路 径算法,进行网络入侵路径分析,得到网络中存在的危险路径和关键结点,从而可以有针对性地采取安全措施,进行网络脆弱性修补,增强网络的总体安全性能。
1.5本文组织结构
本论文的章节安排如下:
第一章绪论,对课题的研究背景、研究目的和意义、研究内容和论文的结构进行了简单的介绍。
第二章网络安全风险评估概述,介绍了网络安全风险评估的相关概念,阐述了国内外信息安全风险评估的发展阶段和风险评估标准体系,并指出当前网络安全风险评估的研究现状。
第三章网络安全风险评估方法的研究,主要是总结当前常见的风险评估方法,通过分析比对,选择适合本论文的评估方法。
第四章网络安全风险评估模型,采取定性与定量相结合的评估方法计算出风险值,提出一种基于有向图的网络安全风险评估模型,并对模型框架的各个模块进行介绍。
第五章基于有向图的网络安全风险评估方法,分析资产、威胁及脆弱性等风险因素,采用定量与定性相结合的综合评估方法,计算得到主机风险值,结合具体的网络拓扑结构,构成有向图,利用改进的路径算法,分析网络脆弱性路径,得到网络中存在的危险路径和关键节点,从而确定网络安全等级。
第六章总结和展望,对全文主要内容和观点进行了总结,同时提出风险评估继续研究的方向。
第二章网络安全风险评估概述
信息技术的发展,使计算机网络在很多领域得到了广泛应用,但计算机网络信息系统的安全性却令人担忧。近十年来,由于计算机网络存在的不安全因素使计算机系统遭到破坏所造成的损失逐年急剧上升。如何减少安全事件的发生,降低风险是当前要研究的重点内容。本章将介绍网络安全问题以及风险评估的相关知识。
2.1相关术语与定义[13-15】
资产是指被保护的机构资源。可以是逻辑性的,例如,网站、信息或数据;也可以是物理资产,例如,计算机系统或其他真实的对象。威胁是指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱性是指资产或资产组中能被威胁利用的弱点。如员工缺乏信息安全意识、使用简短易被猜测的口令、操作系统本身有安全漏洞等。威胁是 利用薄弱点而对资产或组织造成损害的行为。
风险(,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损 害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。
风险评估是对信息和信息处理设施的威胁(Threat)、影响(Impact)和脆弱性(Vulnerability)及三者发生的可能性的评估。风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。
风险管理是确定、控制、消除或缩减影响系统资源的不确定事件的总过程,它包括风险分析、费效分析、选择、实现与测试、安全防护评估及所有的安全检查。
2.2网络安全
2.2.1网络安全的含义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的具体含义会随着“角度”的变化而变化。从用户(个人、企业等)的角度晚,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其它用户的非权访问和破坏。
从网络运行和管理者的角度说,他们希望本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门“、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,以减少对社会的危害和对国家造成的损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会影响社会的稳定和人类的发展,所以必须对其进行管理和控制。.
网络安全从其本质上来讲就是网络上的信息安全,从广义来说,凡是涉及到网络上信息的完整性、机密性、有效性、可控性和不可抵赖性的相关技术和理论都是网络安全所要研究的领域,关于这五个特性在2.2。2节中具体介绍。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的 管理。
2.2.2网络安全基本目标 完整性(Integhty).
信息在存储、传递和提取的过程中不能出现残缺、丢失等现象的出现,这就要 求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠,因为信息总是以一定的方式来记录、传递与提取的,它以多种多样的形式存储于多样 的物理介质中,并随时可能通过某种方式来传递。简单地说,如果一段记录于某种原因而残缺不全了,那么其记录的信息也就不完整了。这时就认为这种存储方式或传递方式是不安全的。机密性(Condeintality)指信息不被泄露或窃取。这也是平常人们所理解的安全概念。人们总希望有些 信息不被自己不信任的人所知晓,因而采用一些方法来防止,比如把信息进行加密,把秘密的文件放在别人无法拿到的地方等等,都是实现信息机密性的方法。
有效性(Availability)一种是对信息的存取有效性的保证,即以规定的方法能够准确无误地存取特定 的信息资源;一种是信息的时效性,指信息在特定的时f'日J段内能被有权存取该信息的主体所存取等等。可控性(Conrtollability)指授权机构对信息的内容及传播有控制能力。可以控制授权范围内的信息流向 和方式。
不可抵赖性(Non—repudiaiton)指信息交流过程结束后,通信双方不可抵赖曾经做出的行为,也不能否认曾经 接受对方的信息。
2.2.3信息系统安全风险及概念模型
安全风险是一种潜在的、负面的东西,处于未发生状态。与之相对应的安全事件是一种显在的、负面的东西,处于己发生的状态。安全风险是安全事件产生的前提,安全事件是安全风险在一定条件下演变而来的。安全风险的构成包括五个方面:起源、方式、途径、受体和后果。他们的相互关系可表述为:安全风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成不良后果。
图中各部分含义解释如下:
(1)安全JxL险的起源是威胁的发起方,叫做威胁源;
(2)安全JxL险的方式是威胁源实施威胁所采用的手段,叫做威胁行为;(3)安全风险的途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性:(4)安全风险的受体是威胁的承受方,即资产;
(5)安全风险的后果是威胁源实施威胁所造成的损失,叫做影响。
安全风险的概念模型如图2.1所示,可表述为:威胁源利用脆弱性对资产实施 威胁行为,造成影响。图中的虚线表示威胁行为和影响是潜在的,虽然处于未发生状态,但是具有发生的可能性。2.2.4信息系统安全风险特征
信息系统投资大、周期长、影响因素多、而各种风险之间的相互关系又错综复杂。信息系统风险具有以下特征(1)客观性和不确定性
信息系统风险是一种客观存在,不以人的意志为转移。在整个信息系统生命周期中风险无时不在、无处不在。但风险又是不确定的,由于客观条件的不断变化而导致的不确定性是风险事件的客观体现。信息系统风险是信息系统运行过程中各种不确定因素的伴随物。(2)多层次性和多样性
信息系统风险包括物理安全、逻辑安全和安全管理等多层次风险,物理安全包括周界控制、区域访问控制及区内设施安全三大要素;逻辑安全包括信息的保密性、完整性和可用性;安全管理包括人员角色管理、系统管理、应急管理等,因而所面临的风险多种多样。(3)可变性和动态性
信息系统风险随信息技术发展而呈现动态性、可变性。有的风险由于采用了及时有效的措施而得以消除:有的风险实际发生并得到处理;有的风险由次要风险跃升为主要风险;有的风险减小甚至消失;在每一个新阶段又可能出现新的风险。(4)可测性
不确定性是风险的本质,但这种不确定性并不是对风险的全然不知。任何一种具体的风险发生都是诸多风险因素和其它因素共同作用的结果。个别风险的发生是偶然的,杂乱无章的,但通过对大量风险事件资料的观察和统计分析,就可以发现其明显的运动规律。可用各种jxL险分析手段计算风险发生的概率及其所造成的资产损失程度,从而对可能发生的风险进行预测和衡量,为决策提供必要的依据。
在信息安全风险控制中,风险管理是主要的,防范技术是基础措施。信息系统风险的多层次性和多样性使得仅仅采用安全技术来防范难以奏效,实际应用中大多采用的诸如防火墙技术仅仅是安全管理策略的一个方面,并且存在着安全技术悖论,也就是安全技术本身的安全性如何保证,这个问题可以递归地问下去。由于信息系统JxL险的多层次性和动态性,难以建立一个覆盖全部安全问题的安全体系,同时考虑到安全投入费用与被保护的资产价值应有一个恰当的比例,因此只能建立一个适度安全准则。
通过上面的分析可以看出,信息系统风险涉及面广、性质复杂、贯穿于信息系统的全部生命周期。针对这一特性,我们希望通过建立全面系统的评估指标体系并通过组合评估法来评估信息系统风险。2.3安全风险评估
网络安全评估也就是网络风险评估,是指对网络信息和网络信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定网络信息资产的风险等级和优先风险控制顺序。网络安全评估是网络信息安全管理体系的基础,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,它为降低网络的风险、实施风险管理及风险控制提供了直接的依据。网络安全评估技术包括安全扫描和之后的评估两部分,它能够检测远程或本地系统的安全脆弱性,并据此对系统总体的安全性进行评估。此技术把极为烦琐的安全检测,通过程序来自动完成,这不仅减轻了管理者的工作,而且缩短了检测时间,使问题发现的更快。总之,安全评估技术可以快速、深入地对网络或本地主机进行漏洞测试,并给出格式统一、容易参考和分析的测试、评估报告。
2.3.1风险评估各要素之间的关系
风险评估与管理术语之间关系叙述如下:
(1)资产具有价值,并会受到威胁的潜在影响:(2)脆弱性将资产暴露给威胁,威胁利用脆弱性对资产造成影响;(3)威胁与脆弱性的增加导致安全风险的增加;(4)安全风险的存在对组织的信息安全提出要求;(5)安全控制应满足安全要求;
(6)组织通过实施安全控制防范威胁,以降低安全风险。
这些风险要素之间存在着以下关系:资产具有资产价值,资产的价值越大则风 险越大;风险是由威胁发起的,威胁越大则风险越大,并可演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大:脆弱性使资产暴露,是未被满足的安全需求,威胁要利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能降低为零,在实施了安全措施后还会有残留风险,其中一部分残留风险来自于安全措施不当或无效,在以后需要继续控制这部分风险,另一部分则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
2.3.2安全风险评估的原则
可控性原则:包括人员可控性、工具可控性和项目过程可控性。
完整性原则:严格按照委托单位的评估要求和指定的方位进行全面的评估服务。最小影响原则:从项目管理层面和工具技术层面,力求将风险评估对信息系统 正常运行的可能影响降低到最低限度。保密原则:与评估对象签署保密协议和非侵害性协议。
2.4安全风险评估标准
2.4.1安全风险评估标准发展历程
计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域,如果
没有这一标准,与此相关的立法、执法就会有失偏颇,最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益,因此许多国家都在充分借鉴国际标准的前提下,积极制订本国的计算机安全评价认证准。世界各国对信息安全标准的研究可以追溯到20世纪60年代后期,自1967年美国国防科学委员会提出计算机安全保护问题后,1970年美国国防部(DOD)在国家安全局(NSA)建立了一个计算机安全评估中心(NCSC)开始从事计算机安全评估的研究。1983年底,美国国防部发布了《可信计算机系统评估标准(TrustedComputer System Evaluation Criteria)))缩写为TCSEC,即所谓的桔皮书、黄皮书和绿皮书【l9J。加拿大1988年开始制订“加拿大可信计算机产品评估准则(CTCPEC)”,1989年5月公布第l版,1993年1月公布了第3版。20世纪90年代初,英、法、德、荷等4国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的《信息技术安全评估准则》(ITSEC),定义了从E0.E6级的7个安全等级。虽然CTCPEC、ITSEC等和TCSEC有所差别,但都是在吸收TCSEC的经验和教训的基础上形成的,基本上都采用了TCSEC的安全框架和模式,将信息系统的安全性分成不同的等级,并规定了不同等级应满足的安全要求。国际标准化组织(Intenrational Organization for Standardization,IS0)从1 990年开始开发通用的国际标准评估准则。在1993年6月,加拿大、法国、德国、荷兰、英国、美国标准参考数据产品(Standard Reference Data Products,SRDP)及美国NSA,他们的代表共同起草了一个新的用于规范和评估信息安全技术的国际标准,即信息技术安全评估通用准则(Common Criteria for IT security Evaluation,简称CC);CC吸收了TCSEC和ITSEC中的可取成分,第一版于1996年1月发布,1999年12月被ISO采纳为国际标准,编号为IS015408。我国也于1999年参照TCSEC制定并发布了《计算机信息系统安全保护等级划分标准》(即GBl7859)的国家标准,并于2001年1月正式实施。2.4.2主要安全风险评估标准
美国可信任计算机标准评估准则(TCSEC)TCSEC(Trusted Computer System Evaluation Criteria)标准是计算机系统安全评估的第一个J下式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布,即所谓的桔皮书、黄皮书和红皮书。其中桔皮书是国防部“可信计算机系统安全标准”: 黄皮书是“特殊环境下应用桔皮书标准”;红皮书是“可信网络安全评估标准”,即对桔皮书在网络安全评估方面应用的解释和说明。由于这些文档发行时封面均为不同的颜色,因此常被称为“彩虹系列990 TCSEC最仞只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别,安全等级由高到低依次为A、B、C、D,如下表 2.1所示:
欧共体委员会的《信息技术安全性评估准则》ITSECl20】
ITSEC(The Information Technology Security Evaluation Criteria versionl.2)是1991年法国、德国、荷兰和英国等欧洲国家统一制定的安全评估标准。ITSEC是在法、德、荷、英四国各自的安全评估标准的基础上改进而成,又称欧洲白皮书。该标准首次对信息安全要求进行定义和描述,用于评估信息系统的安全等级;引入一个2层结构来描述安全功能,第一层较抽象,用机密性、完整性和可用性三个属性覆盖信息和资源的风险,第二层用8个“通用首部”描述安全功能,分别是:鉴别与认证、访问控制、责任、审计、对象重用、正确性、服务可靠性和数据交换,该标准为正确性评估定义了自E0到E6(从低到高)的7个安全等级,最OE6:形式化验证;E5:形式化分析;E4:半形式化分析;E3:数字化测试分析;E2:数字化测试;El:功能测试;EO:能充分满足保证,分别对应美国TCSEC中的相应级别。ITSEC对产品和系统的安全评估有分别的说明,即标准面向信息产品和系统,分别从产品和系统角度制定安全评估标准。但是,在ITSEC标准具体内容规定中,对产品和系统的评估工作的活动或者评估步骤是一样的,并没有明确的区分。ITSEC是标准框架,具有抽象性,并且可操作性不强。
加拿大系统安全中心的CTCPEC 1992年4月,《加拿大可信计算机产品评估准则》(CTCPEC,Canada Trusted Computer Product Evaluation Criteria)草案公布,其第三版于1993年公布。CTCPEC是TCSEC和ITSEC的结合,其结构化安全功能的方法影响到后来的国际标准。它以机密性、完整性、可用性、可控性四个功能准则作为功能性要求,在每种安全要求下又分若干安全服务,用于表示安全性上的差别。四个功能准则及其服务分别为:
①机密性:隐通道、自主机密、强制机密和对象重用;
②完整性:域完整性、自主完整性、强制完整性、物理完整性、退回、责任分离和自测试;
③可用性:密封、容错、健壮性和恢复;
④责任:审计、身份鉴别和可信路径。它可被看作为在TCSEC及ITSEC范围之上的一个进一步发展,而且它实现结构化安全功能的方法也影响了后来的国际标准。
联邦标准FC该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则。在此标准中包含“功能”需求和“保证”需求,并引入了“保护轮廓’(ProtectionProfile,简称PP)这一重要概念。FC中的功能需求被分成8类可信计算库(TrustedComputing Base,简称TCB)组件:安全策略支持、引用仲裁、TCB逻辑保护、TCB物理保护、TCB自检、TCB起动与恢复、TCB特权操作和TCB易用性。保证组件分4类:开发过程、操作支持、开发环境、开发证据。《信息技术安全通用评估准则》CC 为了能集中世界各国安全评估准则的优点,集合成单一的、能被广泛接受的信
息技术评估准则,国际标准化组织在1990年就着手编写国际性评估准则,但由于任务庞大以及协调困难,该工作一度进展缓慢。直至1J1993年6月,在6国7方(英、加、法、德、荷、美国国家安全局以及国家标准技术研究所)的合作下,前述的几个评估标准终于走到了一起,形成了《信息技术安全通用评估准则》简称CC。CC的0.9版于1994年面世,而1.0版则于1996年出版,1997年,有关方面提交了CC的2.O版的草案版,1998年正式发行,1999年发行了现在的CC2.1版,后者于1999年12月被ISO批准为国际标准,编号为ISO/IECl5408.1999。至此,国际上统一度量安全性的评估准则宣告形成。CC吸收了各先进国家对现代信息系统安全的经验和知识,对信息安全的研究与应用带来了深刻影响。CC的评估等级分为EALl、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级,7级分别为:功能测试,结构测试,系统测试和检验,系统设计、测试和评审,半形式化设计和测试,半形式化验证的设计和测试,形式化验证的设计和测试。
信息安全管理标准BS77991 BS7799由英国标准协会(BSI)于1995年2月首次公布,1999年5月进行了修订,现己成为国际公认的安全管理权威标准。BS7799的第一部分BS7799.1:1999已于2000年12月被ISO接纳为国际标准(ISO/IECl7799:2000)。国际标准化组织在信息安全管理方面,1999年丌始制定《信息技术信息安全管理指南》(ISO/IECl3335)。其后,又通过了依据BS7799.1制定的《信息安全管理实施指南》(ISO/IECl7799:2000),提出了基于风险管理的信息安全管理体系。《计算机信息系统安全保护等级划分准则》(GBl7859.1999)我国在信息系统安全的研究与应用方面与其他先进国家相比有一定的差距,但近年来,国内的研究人员已经在安全操作系统、安全数据库、安全网关、防火墙、入侵检测系统等方面做了许多工作,1999年发布的国家强制性标准《计算机信息系统安全保护等级划分准则》(GBl7859—1999)为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。
《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的5个等级,即:第1级:用户自主保护级;第2级:系统审计保护级;第3级:安全标记保护级;第4级:结构化保护级;第5级:访问验证保护级。该标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高而逐渐增强。2001年3月,国家质量技术监督局发布了推荐性
标准《信息技术、安全技术、信息技术安全性评估准则》1251(GB/T18336.2001),该标准等同于采用国际标准ISO/IES 15408。
图2.3描述了安全信息系统评估标准的发展史,以及各准则的衍生关系。
第三章网络安全风险评估方法与工具 3.1安全风险评估方法
在信息安全风险评估过程中使用何种方法对评估的有效性有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节,甚至可以左右最终的评估结果,所以需要根据系统的具体情况,选择合适的风险评估方法。风险评估的方法有很多种,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法以及基于模型的评估方法。【26】;
3.1.1’定量的安全风险评估方法
定量的评估方法是指运用数量指标来对风险进行评估。一般使用潜伏在事件中的分布状态函数,并将风险定义为分布状态函数的某一函数。例如,分布状态函数可以用来计算单个事件的舢正(Annual Loss Expectancy),而ALE可以被定义成该事件的风险。许多这类事件的风险可以通过使用标准的统计方法聚集在一起。典型的定量分析方法有因子分析法、聚类分析法、等风险图法、灰色评估法等。定量的评估方法的优点是用直观的数据来表述评估的结果,看起来一目了然,而且比较客观,定量分析方法的采用,可以使研究结果更科学、更严密、更深刻。当然定量评估也存在不足,譬如一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的,量化后使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化后还可能被误解和曲解。在信息系统环境高速变化的情况下,组织要收集到足够的数据来确定潜伏在信息安全中的威胁的分布状态函数是不可能的。定量风险评估方法存在的另一个问题是风险聚集。尽管在分布状态函数的基础上可以确定每一事件的损失变化和风险值,但将与这些数值相关的风险以及类似的风险聚集在一起要比聚集预期损失困难。因为风险聚集需要知道事件之间的从属性和相关性。总之,定量的风险评估方法在提高评估结果的准确的同时增加了风险聚集的难度。3.1.2定性的安全风险评估方法
定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统JxL险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。而且,定性的评估方法不需要知道以前的事件的概率值,可以从零丌始建立一个合理的决策模型。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。德尔菲法12 7J是分析社会经济问题时人们常常采用的一种形式,在进行安全评估时也可以采用此方法进行定性分析。它主要通过向专家进行咨询,得到初始的数据,然后对初始数据采用一定的方法进行处理,从而得到一定时期内的预测结果。定性评估方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻,但它的主观性很强,对评估者本身的要求很高。定性评估方法只适用于简单情况下的模糊指标风险评估,不适用于信息安全风险管理,而且定性评估结果的不精确使得风险评估缺乏一致性。3.1.3综合评估方法
随着风险分析方法的逐渐成熟,结合定性和定量风险分析的综合性评估方法也得到了很大的应用。系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以不主张在风险评估过程中一味地追求量化,也不认为一切都量化的风险评估过程是科学、准确的。本文认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂,是形成概念、观点,做出判断,得出结论所必须依靠的,在复杂的信息系统风险评估过程中,不能将定性分析和定量分析两种方法简单的割裂开来,而是应该将这两种方法融合起来,采用综合的评估方法。3.1.4基于模型的评估方法
要对整个计算机网络进行有效的安全性评估,使用基于模型的评估技术也是一个有效的方法。通过模型可获得系统所有可能的行为和状态,利用模型分析工具产生测试用例,对系统整体的安全进行评估。这种方法的优点在于模型的建立比规则的抽取简单,能够全面反映系统中存在的安全隐患,而且能够发现未知的攻击模式和系统脆弱性,因而特别适合于对系统进行整体评估。这种方法已经逐步成为国内外许多研究者的重点研究方向。下面介绍几个模型:(1)Deswarte的特权图(PrivilegeGraph)模型
Deswartel281使用特权图来表示系统漏洞带来的攻击者对系统控制权限的变化,对系统的安全性进行评估。首先确定系统的安全策略,也就是攻击者的攻击目标,然后建立系统漏洞的模型一特权图:根据攻击者的动机、立场和行为,建立两种攻击过程和路径,根据马尔可夫过程,计算出攻击者在不同情况下为破坏系统的安全
策略所需要付出的“努力(efort)”。(2)基于图论的网络安全分析模型
汪渊等人提出一种基于图论的网络安全分析方法并且实现了一个原型系统【29J,这种方法以一个网络信息系统作为分析对象,利用信息采集系统中收集的各种网络安全信息,建立系统的各种入侵模式库以及网络安全漏洞威胁量化库,构造出网络入侵关系图,同时给出了网络入侵关系图模型及其相关数学定义。
(3)基于状态转移图的脆弱性模型
状态转移图I]oJ是一种针对入侵渗透过程的图形化表示方法,它将入侵行为看作一个行为序列,这个行为序列的变迁导致系统从初始状态进入被入侵状态。所有入侵的渗透过程都可以看作是从有限的特权开始,利用系统存在的弱点,逐步提高自己的权限。(4)访问控制模型
访问控制模型plJ是从影响计算机安全的众多复杂因素中提取起关键作用的用户访问权限作为评估因素,根据信息中用户类型与脆弱点的关联,建立权限漏洞与利用者关系表和权限漏洞与结果关系表,对于权限漏洞与利用者关系表,利用矩阵分析网络节点漏洞的权限变化,看是否存在漏洞使得特权提升,可以对漏洞采取两个方面进行评估:漏洞被攻击者发现和漏洞被攻击者成功利用。由于用户的类型权限不同,不同类型用户获取的信息也不一样,因此对漏洞被 发现的可能性应该针对不同的用户类型来分析。对每个漏洞被用户发现的可能性从四个方面分析:漏洞环境的普遍性、漏洞的存在时间、漏洞的持续性、漏洞的可检测性。对不同类型用户提升权限结果进行风险评估,得到漏洞利用成功的风险矩阵和利用漏洞i提升权限到用户k的风险概率。通过对影响用户访问权限的漏洞进行定性、定量的分析,得出节点失去控制权限的途径总数和风险系数,评估网络节点的安全状况。pzJ 3.2常用的几种评估方法(1)概率风险评估(PRA)概率风险评估(PRA)以定性评估和定量计算相结合,将系统逐步分解转化为 初始事件进行分析。确定系统失效的事件组合及失效概率。能识别风险及原因,给出导致风险的事故序列和事故发生的概率。但是要求数据收集的准确性和全面性。
(2)动态概率风险评估(DPRA)动态概率风险评估(DPRA)能够与实间紧密结合,确定系统失效的事件组合 及失效概率。不但具备概率风险评估的优点,而且具备时『日J动念性。同样要求数据收集的准确性、全面性及时问性。(3)层次分析法
层次分析法对系统进行分层次、拟定量、规范化处理。为决策者提供定量形式的决策依据。对决策分析问题的解决提供了较好的方法,可以评估最低层各个元素在总目标中的风险程度。(4)费用——效益分析
费用——效益分析是系统评价的经典方法之一。在学术界、福利经济学理论的 基础上,该方法要求从经济总体上考虑费用和效益的关系,己达到资源的最优化分配。实现这种方法的困难在于如何正确地测定效益,以及如何估计长期投资和效益的社会折现率。采用这种方法仅仅从经济观点考虑效益,不能从社会观点考虑效益。为了弥补这方面的不足,后来出现了有效度观点和费用——有效度分析的概念。(5)关联矩阵法
关联矩阵法应用于多目标系统。它是用矩阵形式来表示各替代方案有关评价项 目的平均值,然后计算各方案评价值的加权和,再通过分析比较,综合评价价值一一评价值加权和最大的方案即为最优方案。应用关联矩阵法的关键在于确定各评价指标的相对重要度,即权重,以及由评价主体给定的评价指标、评价尺度。
(6)关联树法
关联树法是作为一种有助于对复杂问题进行评价的方法而产生的。最初它是用来对国家战略性的技术预测和设计的评价,后来在开拓市场、投资分析等不确定状态下进行评价时也广泛应用起来。关联树法进行评价时的工作主要包括三部分:第一部分是分析和评价系统的目的及达到目的所需的技术或方法之间是如何联系起来的。其重点是关联树建立,并通过关联树来评价。第二部分是分析由于对某部分问题的解决而促进另一部分问题解决的相互影响效果,并据此修正关联树。第三部分是根据开发能力和现状与目标作比较,以选择开发时机等。
(7)模糊评价法
这是运用模糊集理论对系统进行综合评价的一种方法。通过模糊评价,能获得系统各替代方案优先顺序的有关信息。模糊评价法也是常用的一种综合评价方法。
3.3网络安全风险评估的常用工具
风险评估工具包括脆弱性评估工具和渗透性测试工具f33】。脆弱性评估工具也称为安全扫描、漏洞扫描器,评估网络主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序,发现其中的漏洞。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断这些漏洞是否能被他人利用。这种工具通常包括一些黑客工具,也可以是一些脚本文件。渗透性测试的目的是检测已发现的漏洞是否会给系统或网络环境带来威胁。在进行网络安全评估时,选择怎样的操作系统平台,一方面依赖于所评估的网络类型(如完全的微软Windows网络),一方面依赖于进行的评估的深度。
3.3.1一般的网络扫描工具
Nmap基于命令行的端口扫描器。可扫描大规模网络,以判断存活主机及其提供的TCP、UDP网络服务。支持众多流行的TCP、UDP及ICMP扫描技术,同时也 提供一些高级的服务功能,如服务协议指纹识别(finger printing)、IP指纹识别、隐秘扫描以及底层的滤波分析等。Nessus是一款漏洞评估包,可以针对目标网络进行很多自动化测试,包括:ICMP扫描;TCP、UDP端口扫描;标志获取与网络服务评估;对常见网络服务的暴力破解;IP指纹识别以及其他的外围功能。NSAT是一个快速的网络扫描器,能在较少时间内对整个目标网络空间进行较高层面的扫描,以识别是否为合格者所关注的组件,不足的是漏洞扫描列表不如Nessus全面。SuperScan是一款基于Windows环境的GUI界面的TCP、UDP、ICMP网络扫描工具,相当快速而且高效。在扫描明文的网络服务(如FTP、Telnet、SMTP、HTTP)时,可以进行标志获取得到额外的服务信息(通常包括版本号以及激活选项的详细信息)。3.3.2商业化的网络扫描工具
目前比较流行的商业化的网络扫描工具有:Core IMPACT、ISS Intemet扫描器、Cisco安全扫描器。作为商业化的网络扫描工具,能够提供很好的技术支持和维护服务,而且漏洞数据库能保持在最新的水平,因此有了专业化的技术支持网络的安全性,能够保持在较好的水平。3.3.3依赖具体协议的评估工具(1)枚举与信息收集工具: enum是一款Windows命令行工具,该工具可以对那些在TCP 139端口运行的 NetBIOS的目标主机进行广泛的探询,以便获取目标主机的相关信息。包括:用户名、口令策略、共享资源信息,以及包括域控制器在内的其他主机的详细资料。
epdump是一款Windows命令行工具,该工具可以探询TCP 135端13的端点映 射服务,以便枚举网络接口、RPC服务和可访问的命名管道的详细资料。
nbtstat是Windows系统内置命令,可探询UDP 137端口的NetBIOS命名服务,并返回NetBIOS名称表。包括:主机名、域名、登录用户的详细资料、共享资源以及网络接口的MAC地址等。
Usrstat是Windows NT 4.0资源工具箱的一个组成部分,可以针对IPC$管理共享的NetBIOS会话服务运行该工具以枚举用户详细资料,返回的信息包括:登录名、全名以及每个用户最后一次登录的同期。(2)口令暴力破解工具
SMBCrack是由中国netXeyes技术小组制作的,一款速度极快的基于Wmdows 的命令行工具,使用该工具可以通过TCP 139端口的NetBIOS会话服务对给定的账号口令进行暴力破解。对局域网的测试表明,该工具可以对给定的账号进行每秒钟600次左右的暴力破解尝试。WMICracker是由中国netXeyes技术小组制作的另一款暴力破解工具。可以通过TCP 135端口的RPC服务进行访问。该工具存在的一个限制是,所破解的用户口令必须在目标主机的管理员组中。SMB审计工具(SMB.AT)包含可以用于Unix和Windows命令行的工具,可以通过TCP 139端口的NetBIOS或TCP 445端口的CIFS对用户口令进行暴力破解。此外通过TCP的135或445端口也可以进行与NAT或ADMsmb类似的审计功能。(3)DNS工具
DNS工具可以通过TCP和UDP 53端口从配置不当的命名服务器上获取数据。通过DNS区域传送可以下载完全的DNS区域文件(包含与给定区域相关的丰富的 网络信息),反向扫描则可以把IP地址映射到主机。可用的评估DNS服务器的工具有:
nslookup命令广泛存在于Windows NT、2000、XP以及Unix类系统和MacOS 操作系统之中。给命令可以通过手动指定相应的命令选项进行所有类型的DNS查 询,包括区域传送和反向查询。
host与dig这两个命令可以进行DNS区域传送和一些标准的查询服务。如:进行MX查询以识别给定域的邮件交换主机。
ghba由黑客组织10ck制作,主要用于B类和C类地址空间的DNS反向扫描。在基于Unix的平台上运行,通过对给定网络空间的每个IP地址进行gethostbyaddr()调用,可以返回任意的DNS主机名。(4)HTTP和HTTPS 随着公共的大型站点只益发展,HTTP和HTTPS逐渐变为峰定的攻击者与机会 主义攻击者共同关注的可以攻陷公共主机的流行通道。所有的电子商务站点和在线银行站点都包含有大量定制的ASP脚本和CGI脚本,这些脚本频繁运行产生一些动念更新的内容,并完成用户的搜索服务等,更加大了被攻陷的JxL险。以下工具可以
用来测试标准漏洞和常见的HTl’P问题。
N.Stealth是一款优秀的基于Windows的工具,可以对所有常见的Web服务进行初始分析。
Nikto是一款Web服务器扫描工具,以libwhisker为网络功能的实现基础,可以用来测试Web服务中存在的多种安全问题,其知识库包括2000多个有潜在安全风险的文件和CGI脚本。
CGlchk是模块化的CGI用于W'mdows和Unix平台的网络扫描。3.4评估方法的选择
在评估过程中使用何种方法对评估的有效性占有举足轻重的作用,评估方法的选择直接影响到评估过程的每一个环节,甚至可以左右最终评估结果,所以根据系统的具体情况,选择合适的风险评估方法。基于模型的评估方法虽然能对整个计算机网络进行有效的安全性评估,但在基于模型的评估该方法中,规则的抽取过于复杂,而且最重要的不选择这种评估方法的原因在于威胁评估要从不同层次对网络安全状态进行评估,基于有向图的综合评估方法能比较好的满足论文要求。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整的描述整个评估过程,因此本论文采用定性、定量两者结合起来的综合评估方法,另外提出了一种基于有向图的网络安全风险评估方法,系统通过对主机价值和漏洞存在可能性以及漏洞利用可能性进行量化评估,得到目标主机的脆弱性度量值。在此基础上,结合网络拓扑结构,构建网络评估有向图,利用路径分析及相应的路径算法,得到网络中存在的危险路径和关键节点,从而可以有针对性地采取安全保护措施。第四章网络安全风险评估系统模型
网络安全风险评估,主要是把网络计算机系统及其服务作为评估对象,依据计算机网络中存在的脆弱性,通过综合分析的方法来分析评估计算机网络各个环节的安全性,从而评估整个网络的安全性,即在目标系统发生安全事故之前进行预防性的检测,及时的发现脆弱性,以便给出利于理解的脆弱性列表及其堵塞脆弱性的有效方法。
风险评估与网络攻击是相对立的,风险评估的主要目的就是为了防止网络攻击,风险评估的步骤与网络攻击的步骤是相对应的。网络攻击者在发动攻击前要做大量的准备工作,一般来说,网络攻击的步骤是:远程信息收集、数据分析、远程攻击、本地攻击、本地信息收集。安全风险评估是一个数据采集、数据融合和综合分析的过程,主要包括信息收集、数据关联和融合处理、综合评估三个阶段,它的步骤一般是:通过安全评估标准,选取合理的安全指标,然后进行本地信息收集、数据分析、远程信息收集、数据分析、最后综合评估。本章主要研究网络安全风险评估系统(Network Security Risk Assessment System)的主要思想和框架结构。
4.1安全风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。4.2安全风险评估的对象
安全风险评估的对象指信息资产及相关的计算机产品,如计算机操作系统、系统软件和应用软件等;在网络系统中主要评估的对象是网络系统中的计算机系统,即计算机操作系统和其所带软件的集合体,以及网络服务、应用程序、网络设备、网络协议等。网络系统中的计算机各种各样,按照在计算机网络中的功能分为起资源作用的计算机(提供服务的计算机)和通信作用(交换机,路由器)的计算机。在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4.4网络安全风险评估指标 4.4.1资产指标
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确性,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。网络信息资产一般应包含以下几方面134】 机密性(Confidentiality):确保信息在存储、使用、传输过程中非授权操作不 能获取受保护的信息或资源;
完整性(Integrity):确保信息在存储、使用、传输过程中非授权操作不能删除、修改和伪造数据信息,保持信息内、外部表示的一致性;
可用性(Availability):确保授权用户对信息的正常请求能及时、正确、安全 地得到服务或回应;
除了上述的CIA,信息资产还有一些其它方面包括可追溯性(Accountability),抗抵赖性(Non.repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对CIA的细化、补充或加强。4.4.2脆弱性指标
4.4.2.1计算机脆弱性的精确定义
在研究计算机脆弱性的过程中,对于“计算机脆弱性”(computer vulnerability)这个词组的精确定义存在争议,下面是众多被广泛认可的定义中的两个:
(1)1996年Bishop和Bailey给出的关于“计算机脆弱性”的定义135J:“计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态(states)组成,系统通过应用状态变换(statetransitions)(即改变系统状态)实现计算。从给定的初始状态使用一组状态变换可以达到的所有状态最终分为由安全策略定义的两类状态:已授权的(authorized)或者未授权的(unauthorized)。”“脆弱(vulnerable)状态是指能够使用已授权的状态变换到达未授权状态的已授权状态。受损(compromised)状态是指通过上述方法到达的状态。攻击(attack)是指以受损状态结束的已授权状态变换的顺序。由定义可得,攻击开始于脆弱状态;c”“脆弱性(f~,ulnembility)是指脆弱状态区别于非脆弱状态的特征。广义地讲,脆弱性可以是很多脆弱状态的特征;狭义地讲,脆弱性可以只是一个脆弱状态的特征⋯⋯”。
(2)《Information Security:Dictionary of Concepts,Standards and Terms))136】对于“计算机脆弱性”给出下面的解释:“①在风险管理领域中,存在于自动化系统安全过程、管理控制、内部控制等事件中的,能够被渗透以获取对信息的未授权访问或者扰乱关键步骤的弱点;②在风险管理领域中,存在于物理布局、组织、过程、人事、管理、硬件或软件中的,能够被渗透以对自动数据处理(ADP)系统或行为造成损害的弱点,脆弱性的存在本身并不造成损害,脆弱性仅仅是可能让ADP系统或行为在攻击中受损的一个或者一组条件;③在风险管理领域中,任何存在于系统中的弱点和缺陷,攻击或者有害事件,或者危险主体可以用于实施攻击的机会;④在信息安全领域中,被评价目标所具有的能够被渗透以克服对策的属性或者安全弱点。”从上面的两个定义本文得出一个计算机脆弱性的简单定义:计算机脆弱性是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过己授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。
简言之,脆弱性可称为安全漏洞,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。“脆弱性状态“是一个允许用户在非授权情况下读取信息、修改信息或者获得对资源的实体访问权限的状态。
4.4.2.2脆弱性扫描系统
通常脆弱性扫描系统也称安全漏洞检测系统,主要用于检测和发现一个网络系统存在的安全漏洞。脆弱性扫描系统基于两种检测策略:被动式检测策略和主动式检测策略。被动式检测策略是基于主机的检测,对系统中不适当的系统设置、脆弱的口令以及其它违反安全规则的对象进行检查。主动式检测策略是基于网络的检测,通过执行一些脚本文件对系统进行非破坏性攻击,并根据系统的反应柬判断是否存在安全隐患。检测结果将指出系统所存在的安全漏洞,并给出如何堵塞这些漏洞的建议,例如,更新系统版本、安装补丁程序、调整安全配置、增加安全设施等。
脆弱性扫描系统现在已成为一种重要的网络安全工具,并支持多种操作系统平台。脆弱性扫描系统采用静态和非破坏性的办法来测试一个网络系统是否存在安全漏洞,这些漏洞一般是已知的,脆弱性扫描系统必须维护一个脆弱性扫描方法(程序)库,不仅要提供各种己知安全漏洞的测试方法,而且能够将新发现的安全漏洞及其扫描方法添加到方法库中。
根据脆弱性的测试方法,可以将脆弱性扫描技术分为如下4种类型:
(1)基于主机的检测技术:主要检查一个主机系统是否存在安全漏洞,这种检查将涉及到操作系统的内核、文件属性、操作系统补丁等问题,它还可以对用户口令进行解密测试,以验证口令的健壮性,找出那些不安全的口令。这种技术可以非常准确地定位和发现操作系统中的安全漏洞,但缺点是与操作系统平台相关,软件升级复杂。
(2)基于网络的检测技术:主要检查一个网络系统是否存在安全漏洞以及其抗攻击能力。它可以采用常规的脆弱性扫描办法来检查网络中目标系统是否存在安全漏洞,也可以采用仿真攻击的办法来测试目标系统的抗攻击能力,如采用脚本程序对目标系统进行攻击,根据对目标系统的工作状态和安全日志的分析,验证是否存在导致系统崩溃的潜在因素。这种检测技术是通过网络环境来测试目标系统的安全漏洞,与被测系统的平台无关,并且比较接近于实际的攻击环境。在实际中,攻击者通常也是采用类似的环境和手法对目标系统实施攻击的。
(3)基于审计的检测技术:主要通过审计一个系统的完整性来检查该系统内是否存在被故意安放的后门程序。这种安全审计将周期地使用散列算法对系统的特征信息,如文件的属性、注册号等进行计算,并将本次计算结果与初始计算结果相比较,以验证两者的一致性。如果不一致,则说明系统属性或文件内容发生了改变,及时通知管理员处理。
(4)基于应用的检测技术:主要检查一个应用软件是否存在安全漏洞,如应用软件的设置是否合理、有无缓冲区溢出问题等。4.4.2.3脆弱性扫描方法
脆弱性扫描对主机和设备的端口进行扫描,搜集目标系统的相关信息(例如各种端口的分配、提供的服务、软件的版本、系统配置、匿名用户的管理等),从而发现系统潜在的安全漏洞。主要的漏洞(脆弱性)信息有:(1)获取主机名和IP地址
通过运行whios example.tom,可以获得example.corn网上的主机列表。或者是有关example.com网络的信息,可以了解到技术管理人员的名字信息等。利用host命令可以获得目标网络中有关机器的实际IP地址。这样,就获取到了目标网络的主机名和IP地址信息。(2)获取Telnet漏洞信息
标识操作系统类型的最快方法是试图telnet到该系统。Telnet会返回操作系统类型,内核版本号,系统生产商,硬件平台等部分信息。这样,就可以利用所得到的标题信息快速的标识系统。(3)获取Ftp漏洞信息
j在试图进行邱连接时,邱服务器在与客户对话的起始行给出版本信息。扫描 程序可以检查Rp提示的版本信息来确定它是否是一个有潜在漏洞的版本。另外,扫描程序还可以测试匿名是否可用,这可以通过anonymous为名字登录即可。如果可以进行匿名登录,检查邱目录是否可以由匿名用户进行写操作,带有可写目录的完全匿名邱在受到邱跳转(bounce)攻击时,会产生停机。(4)获取Sendmail漏洞信息
Sendmail守护程序几乎运行在所有的Unix主机上,监听smtp端口,并为远程 系统提供进入一个smtp事务。这是标准mail服务的需求。Sendmail已成为许多安全漏洞的源头和攻击者选取的主要目标。最常见的漏洞之一是sendmail存在一个本地安全缺陷缓冲区溢出,本地用户可以通过这个缺陷获得root权限。另外一个漏洞是sendmail syslog缓冲区溢出。(5)Finger漏洞信息
Finger服务用来查询用户的信息,包括网上成员的真实姓名、用户名、最近的 登录时间、地点等等,也可以用来显示当前登录在机器上的所有用户名,这对于入侵者来说是无价之宝,因为它能告诉他在本机上的有效的登录名,然后入侵者就可以注意其活动。(6)Portmap漏洞信息
Intenret服务主要通过三种机制提供:永远监听端口的网络守护程序、用inetd 监听端口并在inetd获得一个连接请求时被调用的网络守护程序以及用portmap程序为特定程序的请求动态分配一个相应端口的RPC服务。常见的RPC服务有NIS和NFS,它们都为入侵者提供了机会。(7)Rusers漏洞信息
如果远程系统通过rpcinfo.P输出显示rusersd是一个登记了的RPC服务,则运 行rusers.1
前面所描述的是一般普通攻击,可以简单地收集和获取远程目标系统信息及其潜在漏洞的方法。而网络安全扫描器可以将这些方法集中起来,通过网络安全扫描程序,模仿手工的方法自动的完成,并在最后对扫描的结果产生一个易于用户理解的报告。4.4.3威胁指标
网络系统的威胁从八个方面进行了全面综合的考虑:系统威胁、通讯威胁、物理威胁、人员威胁、运行环境威胁、应用威胁、性能威胁、设计的正确性威胁。系统威胁包括:系统脆弱性、系统资源耗尽、木马程序、系统后门、特权程序利用、病毒攻击、信任关系利用、不当的缺省值;通讯威胁包括:修改数据、插入数据、协议完备性攻击、射频截取、中间人攻击、重放攻击、密码破译;物理威胁包括:硬件上搭线、废物上信息泄露、设备破坏;人员威胁包括:欺骗和假冒;运行环境威胁包括物理环境要求;应用威胁包括应用程序安全;性能威胁包括网络吞吐量:设计的正确性威胁主要包括对整个网络的拓扑结构、逻辑结构以及系统集成方案的正确性造成的威胁。
把威胁分为一系列行为和结果特征时,可以发现其中脆弱性刚被攻击时的情况以及被攻击后的结果对于风险评估来说都是重要的。威胁类型可划分为下面几种类型:
可用性和有效性的威胁:毁坏/损害或污染、拒绝/延长或拖延用户访问;完整性和认证的威胁:登陆/产生虚假数据、修改/置换或重新排序、身份假冒、否定、滥用/误用;机密性和所有性的威胁:访问、泄漏、监视、复制;威胁的暴露;由于暴露其他威胁引起的危险。4.5已有安全措施的确认
机构应对己采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。第四章网络安全风险评估系统模型 4.6安全风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。4.7安全风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。4.8网络安全风险评估系统模型
本论文设计的网络安全评估系统框架结构见图4.1。整个评估系统分为三个模块:资产评估模块、威胁评估模块、综合评估模块。各模块之间通过内部消息传递机制来传递控制信息,相关模块之间有序地实现信息交换。4.8.1网络安全风险评估系统模型介绍
网络安全评估系统采用客户/服务器(Client/Server)体系结构,服务器方具体实施资产评估、网络漏洞扫描、脆弱性探测,它集成了检测引擎、各个检测模块、脆弱性数据库、测试结果数据库、系统风险等级评估模块以及评估结果数据库。客户方是一个控制平台,它提供了方便、友好的用户界面,用于在测试前配置服务器,在测试过程中实时的显示测试进度,在测试结束后提交测试和评估报告。采用客户/服务器模式还可以方便使用不同的操作平台,降低系统维护和丌发的难度。在设计时,充分考虑了评估系统的性能指标,其性能主要有:
采用基于网络的部署方式,使用客户机/服务器的体系结构;实现扫描模块、评估模块和控制模块的分离;对所有的端口进行扫描,全面检测目标系统的脆弱性;提出评估目标系统安全风险的方法,网络风险评估系统可以根据发现的脆弱点个数、各种脆弱点的危险等级、脆弱点所在的系统等,对系统的总体安全性进行评估;提供多种形式的报告结果。网络安全评估系统能够将发现的主机安全风险等级、关键脆弱点、脆弱点风险等级、最大威胁路径值等评估结果等报告给用户。
4.8.2网络安全风险评估流程 网络安全风险评估流程如下:
(1)进行数据采集,对威胁进行识别,描述威胁的属性,并对威胁出现频率赋 值;
(2)对资产的脆弱性进行识别,并对具体资产存在的脆弱性及脆弱性的严重程 度赋值;
(3)根据威胁出现的频率和资产存在的脆弱性判断安全事件发生的可能性;(4)对资产进行价值识别,并对资产的重要性进行赋值; :
(5)根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件造成的 损失;(6)根据安全事件发生的可能性以及安全事件造成的损失,计算安全事件一旦 发生,对被评估方的影响,即主机风险值;
(7)结合具体的网络拓扑结构,构造网络评估有向图,利用路径分析及相应的 路径算法,得到网络中存在的危险路径和关键节点,生成评估报告。
在得到资产的风险值之后,结合资产已经采取的安全措施判断其风险是否在可以接受的范围内。如果风险结果在可接受的范围内,则该风险是可接受的风险,应保持已有的安全措施;如果风险结果在可接受的范围外,则是不可接受的风险,需要制定风险处理计划并采取新的安全措施降低、控制风险,风险处理计划中明确应采取的弥补其脆弱性的新的安全措施、预期效果、实施条件等。在对不可接受风险选择新的安全措施后,为确保安全措施的有效性,应通过再评估来判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了新的安全措施后,残余风险的风险评估结果仍处于不可接受范围内,应考虑是否接受此风险或进一步增加相应的安全措施。4.8.3资产评估模块
根据IS013335标准的建议,信息资产可以分为:物理资产(包括计算机硬件、网络设备及建筑物等),信息/数据资产(包括文档、数据库等),软件资产,制造产品和提供服务的能力,人力资源以及无形资产(包括商誉和形象等)。IS017799也对资产进行了类似的分类。在这些基础上,进行数据采集,建立资产信息数据库,采用半定量赋值的方法进行资产评估,确定主机的价值等级。4.8.4威胁评估模块
威胁评估模块用于进行主机的脆弱性和威胁识别,通过信息采集得到与威胁有关的信息,脆弱性扫描可以使用漏洞扫描器进行扫描,增加一个MySQL数据库。因为扫描目标相对固定,而且是一个长期的工作,因此可以将扫描结果保存到数据库中,供以后分析使用。库中包含两个表:一个表存放系统内主机情况,包括主机的IP地址、操作系统、操作系统版本号、所提供的服务、该主机的管理员、管理员的邮件地址等;另外一个表存储对网络中所有主机的历次扫描结果,包括主机的IP地址、扫描时间、漏洞名称、该漏洞的危害程度描述、该漏洞的补救方法等。漏洞危害程度描述、漏洞补救方法等漏洞详细信息,可以根据漏洞名称从漏洞库中提取,根据需要采用程序自动提取有用信息,并对这些数据进行分析,对脆弱性和威胁进行等级识别。
4.8.5综合评估模块
综合评估模块主要是进行数据关联分析、网络安全整体风险的评估。数据关联分析主要是根据经过格式化的各脆弱性及主机等关键设备间的关系对数据进行约简处理;网络安全整体态势分析是指以有向图的相关知识为基础,结合网络拓扑结构,构造网络评估有向图,利用路径分析及相应的路径算法,得到网络中存在的危险路径和关键节点,生成评估报告,从而可以有针对性地采取安全保护措施,进行网络脆弱性修补,增强网络的总体安全性能。
第五章基于有向图的网络安全风险评估方法
网络安全风险评估方法是对目标计算机系统或者其他网络设备进行相关的信息收集,找出安全隐患和可能被黑客利用的脆弱性后所进行的整体安全态势分析的方法。本章提出一种网络脆弱性评估方法,首先用定性和定量帽结合的方法,对目标网络中各主机节点进行评估,得到主机的安全量化值,将计算机网络拓扑图看作图,然后结合有向图的相关知识,进行入侵路径分析,得到网络中存在的危险路径和关键节点,进行网络安全评估。5.1主机安全风险量化评估
把资产、威胁、脆弱性、安全措施等统称为风险因素,这些因素之间存在着复杂的相互关系,归纳起来有以下几点:
(1)资产具有价值,组织的业务战略对资产的依赖度越高,资产价值就越大。资产价值越大,对组织的影响就越大,从而其面临的风险越大;
(2)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安 全事件;
(3)资产本身具有脆弱性。脆弱性越大,威胁利用脆弱性导致安全事件的可能 性越大:
(4)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而 形成风险;
(5)风险的存在及对风险的认识提出安全需求。安全需求可通过安全措施得以 满足,需要结合资产价值考虑实施成本;
(6)安全措施可抵御威胁,降低威胁利用脆弱性产生的风险;
(7)实施安全措施后仍然会有残余风险存在。
有些残余风险来自于安全措施可能不当或无效,以后需要继续控制,有些残余
风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的。残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
资产、威胁、脆弱性、安全措施等因素,不是一对一的简单对应,而是多对多的复杂映射关系。每项资产可能面临多个威胁,每个威胁可能利用多个脆弱点,特定威胁利用特定脆弱性可能产生多种影响,而针对某特定JxL险组织也可以选择不同的控制方式。
本文认为,信息系统安全风险评估首先应对资产、威胁、脆弱性等风险因素进行识别、赋值,然后抽出关键因素——安全事件发生的可能性(这由威胁、脆弱性因素决定)、资产发生安全事件后对资产的损失(这由资产的重要程度决定)——进行函数计算得到风险值。5.1.1信息采集及级别划分
信息采集主要是为了确定资产、威胁、脆弱性、当前控制措施的有效性、发生概率的级别等信息。
5.1.1.1资产分类和价值级别划分(1)资产的分类
物理:空调系统,消防系统,门禁系统等; 网络:路由器,交换机,防火墙等;
主机:Mail服务器,Web服务器,DNS服务器等;
应用:Apache,OPENSSH,BIND,Windows域控制器等; 数据:财务数据,业务核心数据,人事档案,员工资料等。第五章网络安全风险评估研究
(2)资产价值级别划分,如下表5.1所示:
5.1.1.2威胁分类和级别划分(1)威胁分类
自然威胁:地震,洪水,飓风,火灾等;
环境威胁:电力故障,污染,高温,潮湿,化学,液体泄漏,电磁干扰等; 机械故障:硬件故障,网络中断等;
人员威胁:人员威胁分为恶意人员威胁和非恶意人员威胁等: 病毒:各类病毒,如邮件病毒、网络病毒、介质传播病毒等。
对威胁的评价主要参考7项指标,即资产的吸引力;资产转化成报酬的容易程 度;威胁的技术力量;脆弱性被利用的难易程度;通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;在评估体实际环境中,通过入侵检测系统获取的威胁发生数据的统计和分析,各种同志中威胁发生的数据的统计和分析;过去一年或两年来国际机构发布的对于整个社会或特定行业的安全威胁。
(2)威胁行为的级别划分,如下表5.2所示:
5.1.1.3脆弱性分类和级别划分
脆弱性即安全漏洞是指资产的载体和环境存在着薄弱环节或缺陷,可能被威胁所利用。(1)脆弱性分类
脆弱性存在于很多方面,如硬件、软件、服务、技术等。脆弱性分类旨在设计
一个分类或者分类的集合,便于分析人员从一系列的脆弱性中提取、抽象信息,这些信息可能是对入侵检测系统有意义的特征的集合,可能是攻击者必须的环境、条件的描述,也有可能是帮助代码扫描的编码特征集合。因此,脆弱性分类是脆弱性分析、消除脆弱性的基础。
脆弱性存在于系统安全程序、设计、应用或内部控制等方面。一个计算机网络安全脆弱性有它多方面的属性,本文认为主要可以用以下几个方面来概括:脆弱性可能造成的直接威胁,脆弱性的成因,脆弱性的严重性,脆弱性被利用的方式。
为了更好的分析脆弱性之间的关联性,从以下几个方面进行脆弱性分类13哪:脆弱性位置(position)、脆弱性所影响对象(object)、影响效果(result)、所使用方法(method)、脆弱性利用复杂度(exploit)和脆弱性所属系统(system)。
对脆弱性的评价主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面可以按照英国BS7799标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足。(2)脆弱性级别的划分
利用一些辅助扫描工具迅速发现关于主机、网络设备、关键服务存在的漏洞,如ISS、Dbscaner、Nessus等。
脆弱性可以划分为以下3个等级,如下表5.3所示:
5.1.2主机安全风险计算流程和方法(1)主机风险计算的流程
计算安全事件发生可能性;计算安全事件造成的损失;计算风险值。(2)风险计算方法
本文采用矩阵法来计算各风险指标值,矩阵法主要适用于由两个要素值确定一个要素值的情形。
在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等,同时需要整体掌握风险值的确定,因此矩阵法非常适合定性与定量相结合的风险分析。
首先确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。
矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好灵活性。5.1.3各指标风险计算 5.1.3.1计算公式和方法(1)主机风险值计算公式: R=f(P,D)=D*Ep 公式5一(1)其中R表示主机风险值,P表示安全事件发生的可能性,D表示安全事件造成 的损失,Ep表示安全事件的可能性系数。函数f采用矩阵形式表示。以要素P和要素D的取值构建一个二维矩阵,矩阵内m*n个值即为要素R的取值
(2)安全事件发生的可能性计算公式:
其中P表示安全事件发生的可能性,T表示威胁等级,V表示脆弱性等级。威 胁和脆弱性的等级越高,安全事件发生的可能性越大。(3)安全事件造成的损失计算公式:
其中D表示安全事件发生后造成的损失,V表示脆弱性等级,A表示资产价值。安全事件发生后,对资产及所附的业务造成了真J下的损失,影响的程度取决于脆弱性的大小和资产的价值。
(4)威胁行为一旦发生,对资产价值造成的损失与威胁事件发生的概率(probability)构成的函数,就给出了最终的风险值表达式,R=f(Pt D),即风险(risk)=安全事件的可能性(probability)誊风险发生的损失(damnify),也可表
示为R=f(P,D)c’R---f'(T,V,A,)。5.1.3.2安全事件发生的可能性
参照ISO/IEC 13335,定义p=-(T+V)-1,将威胁(T)及脆弱性(V)定为3个 等级,并分别赋以数值: 高为3;中为2;低为1 由P-(T+V)-1得出关于安全事件的可能性P,如下表5.5所示:
5.1.3.3安全事件发生后资产的损失
将资产(A)按其业务重要性定义为3个等级:高为3,中为2,低为l。根据 D:f(V,A),对资产构成的影响,如下表5.6所示: 表5.6安全事件发生后资产的损失
5.1.3.4主机安全风险值
根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定目标主机JxL险值。如下表5.7所示: 主机风险=安全事件损失x安全事件的可能性系数f 即:R-=f(P,D)=D*Ep、安全事件的可能性系数为对应的百分比,如O.2(1)、0.4(2)、0.6(3)、0.8(4)、1.0(5),括号内为安全事件的可能性级别。
例如,对于安全事件损失性级别为3级的资产,它存在的安全事件发生可能性为4,通过上述方法可计算得出其主机安全风险值为R=3x0.8=2.4。5.2网络安全风险评估
从图论的角度,可以将计算机网络拓扑图看作图,网络中各个设备(如:路由器、交换机、防火墙及主机等)作为图中的节点,各设备之间的连接路径作为图的边,然后结合图论的相关知识,评估网络安全的整体状况。本节以网络拓扑为基础,分析了网络节点间以及边的特性,对网络的综合状态进行了完整的分析。基于网络评估关联图,可以从不同角度对目标网络的安全状况进行评估。5.2.1网络安全风险评估有向图
安全风险评估的整体态势分析是在网络评估有向图的基础上进行的。网络评估有向图就是用图来描述网络系统,网络中各个设备(路由器、交换机、防火墙及主机等)作为图中的顶点,各设备之间的访问连接路径作为图的边,访问关系有的是单向的,有的是双向的,对于多种访问方式如果是同方向的访问,可以在图的边上依次注明,如图5.2所示:
图有向图是有序的二元组
定义1:网络评估关联图是一个有向图,定义为一个二元组(V,E),记作G=-(V,E),其中V=V(G)表示顶点的非空集合;E=E(G)为边集,是有向边(弧)的无序对组成的集合【39】。
定义2:图中的每个顶点代表网络中的每一台主机,顶点可以表示为一个属性集合Vi=(host,sign),其中host表示网络中主机的标识,sign表示该顶点是否被访问的标志。
定义3:有向边(弧)⑧—-w一⑨代表存在从主机x访问主机Y的途径,有向边(弧)可表示为
定义4:边的可能类型主要有三种:
(1)入侵方法由于网络中存在的一个安全脆弱性而引起,如易猜测的口令或者 文件的访问权限控制不当。
(2)入侵方法可能是出于网络使用的方便而由系统提供的一些信任关系准则,而这些信任关系由于彼此之间的错综复杂关系而得到不当的扩展。(3)入侵方法本身就是系统可以利用的权力。
在网络安全事件中,网络遭受攻击往往出现这种情况:单一的机器/N务本身无 法对其进行攻击,但是对于多台机器/多种服务,由于它们内部存在各种不同的关系,往往会产生“多点脆弱性”。
定义5:多点脆弱性在图上可以表示为路径
定义7:入侵起始集是指作为入侵发起点的主机,它可以是单台主机,也可以 是多台主机,但是处于相同条件的主机是可以约简的。5.2.2入侵路径分析
入侵者在入侵过程中的每一步都全局考虑所有的攻击路径,并不局限于仅从当前节点向下入侵,或者是最短路径进行入侵,入侵者可能会利用以前已经获取权限的节点从其它新的分支进行入侵攻击,但是该入侵者不会从不同的分支入侵一个节点,即入侵者不会第二次入侵己经获取权限的节点。路径分析是指获得网络中节点之间的所有路径。评估关联图中节点间的路径研究主要包括以下四个方面的问题:
(1)某两个节点之间的路径问题;(2)某节点到其它各节点的路径问题;(3)任意两个节点之间的路径问题;
(4)入侵起始集和目标集之间的路径问题。计算入侵路径的算法描述:
首先,把这两个节点按图的有向性分别作为起始节点VB和目标节点VF;定义一个路径集合E表示所求得的路径集合,其中的每一个元素表示从VB到VF的一条路径;定义一个辅助路经集合E’中的元素为从VB到VF的路径中的所有边;定义一个队列Q中存放要访问的节点,每一个节点都有一个访问标志位sign,如果sign为true,表示己访问过;如果sign为false,需要把该节点放入队列Q中。为了便于研究,本文假设网络评估关联图是有向无环图,具体算法如下: 找出任意两点之间所有路径的求解算法 //初始化
起始节点为VB,目标节点为VF;
评估关联图中的每个节点的访问标志为sign均为false; 令队列Q为空队列,集合E和集合E’均为空; 把VF加入到Q中;
//开始查找路径 While(Q不为空)do //(whilel){ 42 第五章网络安全风险评估研究 取出由VB指向的元素Vi if(Vi!=Vr)/Ⅳi不是目标节点,(in){ Vi.sign--true: 将Vi加入集合E中
while(有与Vi相邻且由Vi指出的节点Vi)如||(while2、{ if(vj.sign=false)//vj未被访问,(if2){ 把Vi加入到队列Q中;
‘把
修改E中的
//m是符合条件的任意值,
修改E中的
一是以某个节点为起始节点的路径问题;二是以某个节点为目标节点的路径问题。这两个问题只确定了一个节点(起始节点或者目标节点),与前面四个问题确定了两个节点有些不同,所以这两个关键问题的路径解决算法只需要在“找出任意两点之问所有路径的算法”的基础上略加修改即可。
解决第一个关键问题的算法思路是以该节点为入侵的起始节点进行搜索,直到搜索算法执行完毕,所得到的所有路径就是可以从该节点进行入侵的路径。与“找出任意两点之『日J所有路径的算法”不同之处在于,只需通过判断队列是否为空来断定所求路径是否已完整,所以在“找出任意两点之间所有路径的算法”中删除判断是否是目标节点的in这一条件if(Vi!=VF),把这个语句的复合语句添加到whilel的复合语句中即可,其算法如下: 找出以某个节点为起始节点的所有路径的求解算法 f舰始化
起始节点为VB,目标节点为VF; 评估关联图中的每个节点的访问标志为sign均为false; 令队列Q为空队列,集合E和集合E’均为空; 把VB加入到Q中; //开始查找路径 While(Q不为空)do //(whilel){ 取出由VB指向的元素Vi Vi.sign=true;
while(有与Vi相邻且由Vi指出的节点Vi)d0 //(while2){ if(vj.sign--false)//vj未被访问,(if2){ 把Vi加入到队列Q中; 把
修改E中的
//m是符合条件的任意值,
修改E中的
起始节点为VB,目标节点为VF;
评估关联图中的每个节点的访问标志为sign均为false; 令队列Q为空队列,集合E和集合E’均为空; 把VF加入到Q中; //开始查找路径 While(Q不为空)do ∥(whilel){ 取出指向VF的元素Vi:
Vi.sign--true;
while(有与Vi相邻且指向Vj的节点vj)do //(while2){ if(vj.sign=false)//vj未被访问,(it2){ 把Vi加入到队列Q中; 把
修改E中的
//m是符合条件的任意值,
修改E中的
} //(endif3))//(endwhile2))//(endwhilel)在路径分析的基础上,通过对网络的关键性分析和威胁分析来进行网络安全分 析评估。
5.2.3网络关键性分析
网络攻击一般是基于目标信息网络的拓扑结构,破坏其关键路径或关键网络节点,使目标网络无法正常运转。特别是在有些网络中,当几个重要的集散节点受到攻击时,整个网络将处于崩溃状态。因此,为了更好的保护现有网络,在进行网络安全风险评估时,必须进行网络的关键性分析,识别出网络中的关键节点以及由部分关键节点组成的关键路径,从而采取相应措施,对其进行重点保护和防御。如图5.3所示
通过的路径分析,可以搜索到入侵起始节点和目标节点之问所有可能路径,在这些路径中记录路径的中问节点在这些路径中出现的次数,其中出现次数最大的节点就是该入侵起始节点和目标节点之间的关键节点,如果有相邻的关键节点,那么第五章网络安全风险评估研究由相邻的关键节点就可以构成该入侵起始节点和目标节点之间的关键边。5.2.4网络威胁分析
基于上述作法,在进行网络安全风险评估时,除了进行关键节点与关键路径的分析外,还可以进行网络的威胁分析,根据网络有向图,对整个网络的路径进行分析,可得到各个边在入侵路径中出现的次数,并可以根据主机安全等级求得威胁值,识别出网络中的最大脆弱边和最大脆弱路径,从而采取相应措施,有针对性的对其进行重点保护和防御。如图5.4所示 对搜索出所有可能的路径记录各条边在入侵路径中出现的次数;计算出各条路 径的威胁值,威胁值的大小决定该入侵路径的威胁等级;比较所有路径的威胁值,最大威胁等级值即确定为网络中由入侵发起点到目标点之间的最大可能威胁等级;对各条边在路径中出现的次数进行统计,并从大到小进行排序,其次序即为网络中最为脆弱的环节。
5.3关于网络安全风险评估的几点说明
(1)JxL险评估不等同于威胁评估,威胁评估是安全工作的最基本出发点(因为 安全一定是为了对抗某种风险),但如果不考虑脆弱性与影响的评估,仍然不能体现出安全的相对性与动态性(适度安全),(威胁是外因,脆弱性是系统固有的内因,能对安全需求做出定性和定量的准确判断。更不能反映威胁对系统造成危害的实质外因要通过内因起作用),因而也不可
(2)为了简化模型,方案给出的安全措施仅对应于风险。但要强调的一点是安 全措施可针对威胁、脆弱性、影响和风险自身。还要指出的一点是,采取的安全措施面临不能减缓所有风险,或彻底根除某个具体风险的可能。所以,某些风险在一定程度上是可容忍的。由于风险的不确定性特点,判断是否接受风险便成为一个非常专业的问题,这将是后续工作的一个难点。
(3)风险结果的量化,通过风险信息和安全措施可以得到数据网当前状况的I风 险量化等级,而这个等级如何与我国计算机信息系统实行的安全等级保护相应 本方案建议安全措施的采取可参照公安部在吸收了CC、结合国情的基础上颁布的与GB 17859项配套的GAff 390《计算机信息系统安全等级保护通用技术要求》标准,这样才可以给出令人信服和较为客观的风险安全量化等级。
(4)安全风险评估不是单个的具体产品,安全评估是一个有着严格流程的体系 化服务。它是动态、发展的,而非停滞、静态的。
(5)安全风险评估的结果应该可以比较安全性,评估的结果必须能够相互比较 才可以具有较好的参考意义,也只有这样才能够保证安全评估相关项目规范发展。
(6)安全风险评估尽量客观化和自动化,安全评估中主观因素的影响过大导致 评估工作随意性太大而不能保证质量。自动化的评估将有利于降低评估成本,减少评估周期,尽快反应系统状态以利于决策。应该开发自动化的辅助评估工具。
6.1总结
第六章总结与展望
网络安全风险评估是网络安全主动防御中的一项重要技术,对保证网络安全具有重要的意义。其中安全模型、标准的选择、要素的提取、评估方法、评估实施过程都是网络安全风险评估研究的重点。本论文比较全面地论述了网络安全风险评估系统,重点论述了基于有向图的网络安全风险评估方法。主要工作有以下几个方面:
(1)从整体的角度重新审视了信息安全风险评估,分析了安全风险评估的本 质和内涵,并且介绍了国内外安全评估标准,明确了风险评估的步骤和评估对象。
(2)在对网络安全风险评估的深入研究基础上,建立了网络安全风险评估系 统模型。
(3)在评估模块中本文重点研究了主机风险模块和综合评估模块,使用定性 分析与定量计算相结合的方法,将主机价值和安全事件的可能性以及安全事件造成的损失进行量化评估,得到目标主机的安全风险度量值。
(4)基于有向图的网络安全风险评估方法,主要是以有向图的相关知识为基 础,结合网络拓扑结构,提出了网络评估有向图,利用路径分析及相应的路径求解算法,得到网络中存在的危险路径和关键节点,从而可以有针对性地采取安全保护措施,进行网络脆弱性修补,增强网络的总体安全性能。6.2展望
随着计算机网络的不断发展,人们对网络安全风险评估重要性的认识不断加强,风险评估的研究将得到广泛的深入,今后应做好以下工作:(1)在本文提出的评估方法的基础上,应继续做好系统的开发和编码实现,使其在实践应用中不断完善。
(2)评估过程的主观性也是影响评估结果的一个相当重要而又是最难解决的 方面,在网络系统风险评估中,主观性是不可避免的,我们所要做的是尽量减少人为主观性,目前在该领域利用神经网络、专家系统、分类树等人工智能技术进行的研究比较活跃。
(3)风险评估工具应整合多种安全技术。市场上关于脆弱性扫描、防火墙等 都有比较成熟的产品,但综合风险评估工具比较缺乏。风险评估过程中要用到多种技术手段,如入侵检测、系统审计、脆弱性扫描等,将这些技术整合到一起,提供综合的风险分析工具,不仅解决了数据的多元获取问题,而且为整个信息安全管理创造了良好的条件。
(4)网络安全风险标准的选择。由于不同的网络安全评估方法依据的安全标 准不同,而目前常用的网络安全评估标准的侧重点各异,导致评估结果没有可比性,甚至会出现较大的差异,没有一个简单、科学、统~的网络安全风险标准,给网络安全风险评估的JxL险等级划分会造成不利的影响。参考文献 参考文献
[1]Davis.Beth,How secure is security,Computers&Security,1995,14(7),615~616 [2]CERT/CC.CERT/CC Stat i st ics for 1988 through 2005[Z].[2006—06]http:
//www.xiexiebang.com/Thesis_Y1335185.aspx________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
第二篇:xxxx无线网络安全风险评估报告
xxxx有限公司
无线网络安全风险评估报告
xxxx有限公司
二零一八年八月
1.目标
xxxx有限公司无线网络安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
一.评估依据、范围和方法 1.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。1.2 评估范围
本次无线网络安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础无线网络信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、无线路由器、无线AP系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
1.3 评估方法
采用自评估方法。
2.重要资产识别
对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。
3.安全事件
对本司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
4.无线网络安全检查项目评估
1.评估标准
无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升 3 级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。2.现状描述
本司已成立了信息安全领导机构,但尚未成立信息安全工作机构。配置专职网络管理人员,专责的工作职责与工作范围有明确制度进行界定。本司使用360防病毒软件进行病毒防护,病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。3.评估结论
完善信息安全组织机构,成立信息安全工作机构。完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.无线网络账号与口令管理
1.评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用 户身份发生变化后应及时对其账户进行变更或注销。2.现状描述
本司以制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。3.评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
6.无线网络与系统安全评估
1.评估标准
无线局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。无线网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
2.现状描述
无线局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。3.评估结论
无线局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
7.ip管理与补丁管理
1.评估标准
有无线IP地址管理系统,无线IP地址管理有规划方案和分配策略,无线IP地址分配有记录。有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
2.现状描述
有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录 3.评估结论
加快进行对IP地址的规划和分配,IP地址分配有记录。完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
8.防火墙
1.评估标准
无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。2.现状描述
无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要 7 求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。3.评估结论
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
9.自评总结
通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。
需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。
第三篇:廉政风险评估预警研究
廉政风险评估预警研究 深入开展党风廉政建设和反腐败斗争,是始终保持马克思主义政党的先进性和纯洁性的迫切要求。以马克思主义反腐倡廉理论为指导,积极开展有效的廉政风险评估预警,有利于增强预防腐败工作的主动性、科学性、针对性和有效性,有利于提高预防腐败工作的能力和水平。积极开展有效的廉政风险评估预警,需要科学制定操作性强的廉政风险评估预警工作程序。
反腐倡廉是党的优良传统和政治优势,国家“十二五”规划《纲要》也把反腐倡廉列为一项重要政治任务。积极开展廉政风险评估预警工作是当前和今后进一步提高反腐倡廉建设水平的一项重要举措[1]。
一、廉政风险评估是提高 反腐倡廉建设水平应有之义 从近年来一些地方反腐倡廉的实践与理论分析,廉政风险评估可谓是反腐倡廉工作的一项重要手段。廉政风险是指领导干部在执行公务或日常工作生活中发生腐败行为的可能性。廉政风险包括三个方面的内容:(1)廉政风险是可被发现的,但被发现的廉政风险不是明确的腐败行为,而是腐败行为发生的条件,而且可能不是唯一的条件;(2)廉政风险是可描述的,风险点的表现形式是我们在行政和廉政工作中存在的不足;(3)廉政风险是可防范的,可以通过相应措施降低廉政风险的大小,即降低腐败行为发生的可能性。积极开展廉政风险评估预警,是惩治和预防腐败,构建覆盖权力运行全过程监督制约机制的有效措施,是以科学发展观统领反腐倡廉建设的具体体现,对推动反腐倡廉建设特别是预防腐败工作,促进经济社会和谐发展具有重要意义。[2]所谓廉政风险评估预警,就是运用风险管理理论和质量管理方法,对可能产生腐败问题的潜在危险及其危害程度进行分析评估,确定风险等级,提出预防对策,实施分类管理,以有效控制和化解廉政风险,预防腐败发生。[3]积极开展廉政风险评估预警对于反腐倡廉工作的积极功能主要体现在以下几个方面:[4] 第一,积极开展廉政风险评估有利于增强预防腐败工作的科学性。廉政风险评估预警是风险管理理论和质量管理方法等现代管理学理论在预防腐败工作中的具体应用,是在科学理论指导下的实践探索。它不仅能保证和促进廉政风险评估预警工作的科学性、系统性,而且对反腐倡廉其它方面的工作具有很好的示范作用。
第二,积极开展廉政风险评估有利于增强预防腐败工作的主动性。预防腐败不是消极被动的预防。不仅要努力提高防御盾牌的质量,使之更坚固,而且要主动出击,积极寻找可能发生腐败问题的风险因素,把腐败风险控制在初起之时,化解在萌芽状态。而这正是廉政风险评估预警的关键性任务。
第三,积极开展廉政风险评估有利于增强预防腐败工作的针对性。预防腐败必须首先搞清楚腐败的风险在哪里,哪些部门、哪些处室、哪些岗位、哪些工作部位和环节发生腐败问题的机率大,哪些重大决策
可能对党风廉政建设产生不利影响等。这些问题都可以通过廉政风险评估得到回答,从而使预防腐败工作的目标更明确,重点更突出。
第四,积极开展廉政风险评估有利于增强预防腐败工作的有效性。针对性的增强使预防腐败工作做到了有的放矢,因而也大大增强了预防腐败工作的有效性。
第五,积极开展廉政风险评估有利于增强领导干部预防腐败的意识。开展廉政风险评估的过程,也是广大干部自我教育、自我提醒的过程。广大干部通过廉政风险因素的查找、廉政风险等级的自报评定及防范风险对策的制定实施等,会进一步强化风险防范意识和廉洁自律意识。
第六,积极开展廉政风险评估有利于促进科学发展观的认真贯彻落实。科学发展观的核心是以人为本,维护广大人民群众的根本利益。开展廉政风险评估预警,无论是重大决策廉政风险评估还是部门和岗位的廉政风险评估,其目的都是要通过评估预警,来控制和化解廉政风险,预防各种损害人民群众利益的腐败问题和不正之风发生,从而从根本上维护广大人民群众的切身利益,促进经济社会科学发展、和谐发展。
二、科学制定操作性强的廉政 风险评估预警工作程序
1.确定廉政风险评估预警的主要内容范围 制定廉政风险评估的内容是廉政风险评估的中心工作。重大决策廉政风险评估是保证重大决策科学性、民主性的重要措施。这里所说的重大决策是指各级党委常委会、政府常务会研究的关于政治、经济、社会、文化、生态建设和涉及人民群众切身利益的重要决策、重大改革措施、政府投资项目、国有资产处置、大额财政资金使用等决策,以及各职能部门制发或联合制发的即将在本辖区产生重要影响的文件决定等。重大决策在提交研究之前,都应进行廉政风险评估。廉政风险评估的内容主要是对特殊职权工作岗位及相关实质性工作内容有可能产生的腐败进行的廉政风险评估预警。廉政风险评估预警的根本任务就是要看出台的重大决策、重大事项、重大政策是否与党纪政纪条规和反腐倡廉制度规定相抵触;是否会对党员干部廉洁从政意识、廉洁从政行为和作风建设等产生不良影响及影响的程度;是否会损害广大人民群众的利益及可能造成损害的大小;是否会增加腐败问题和不正之风等不廉洁问题发生的几率,有无有效的防范措施以及其他影响反腐倡廉建设的因素。
2.制定并认真落实相关评估工作程序 部门和岗位廉政风险等级的评定方法,主要包括自查自报、群众评议、组织审定等环节,评定出的廉政风险等级要在不同范围内进行公示,接受群众监督。部门和岗位廉政风险等级原则上三年一评定,对因工作职责发生变动或承担阶段性重要工作引起权力变化的,应按规定程
序重新评定风险等级。对部门和岗位的廉政风险评估预警主要包括廉政风险等级划分、评定方法和廉政风险监督管理三部分。部门和岗位廉政风险主要分为部门(单位)廉政风险、处(科)室廉政风险及岗位廉政风险三个类别,每个类别的廉政风险分为一级、二级、三级三个等级。廉政风险等级划分的主要依据是各部门、各单位及其处(科)室和岗位的职责,根据其掌握的执纪执法、行政许可、行政处罚、项目审批及人事管理、财务管理、物资采购供应等重要权力的大小,参考影响廉政风险的其他方面因素,确定不同的廉政风险等级。实施科学评估要采取“因素量化分析方法”,对查找出的廉政风险点要依据静态风险系数和动态风险系数,按照相关的权重进行加权计算,得出各风险点的综合风险系数,然后按照得分不同,确定各风险点的风险等级和岗位(权力)风险等级。
3.科学细化并分解责任机制 加强对部门和岗位廉政风险的监督管理是廉政风险评估预警工作的重点。可以说,风险评估是基础,监督管理是关键。对廉政风险点的查找、评估和防范等关键环节,要通过健全制度促进规范运作,以保证监控机制建设科学深入开展。加强廉政风险管理是形成廉政风险评估防范机制的重要基础。对廉政风险管理,一是要落实分级管理的要求,根据不同等级的廉政风险,明确管理的主体。其中,对高等级的廉政风险,要由主要领导直接管理。二是要与岗位责任相结合,把两者对应起来,使各管理主体既负责岗位责任,又负责廉政风险管理责
任,以提高管理的有效性。三是要建立健全廉政风险评估管理制度,包括廉政风险查找办法、科学评估办法、廉政风险防范规则和分级管理制度等,以推进廉政风险评估防范机制的形成。重大决策廉政风险评估要实行“谁提交(谁承办)、谁评估、谁负责”的原则,提交(承办)部门作为廉政风险评估的责任主体,负责组织所提交(承办)重大决策的廉政风险评估工作。评估的主要程序是:成立评估机构,确定评估人员;制定评估方案,广泛调查研究;组织专家论证,形成评估报告等环节。为此,应探索分级管理办法,明确三级风险分别由主要领导、分管领导和部门负责人管理,逐级签定廉政风险承诺书,实行红黄蓝“三色”预警,同干部考核评先挂钩。
4.详细制定有效预防的措施 各级党委政府要把查找廉政风险点作为推进行政权力运行监控机制建设和经济社会发展的关键点,制定以下有效的切实可行的预防措施:一是重点预防高等级廉政风险。高等级廉政风险最容易出现问题,既是制定防范措施的重点,也是公开透明的重点,还是绩效考核和责任追究的重点。二是始终坚持有效预防。针对不同廉政风险的表现、可能发生的原因、存在的形式,研究从源头上防范风险发生的具体措施。要把握防范措施的内在联系和变化规律,着力形成防范合力,提高综合预防效果。防范措施重在建设,贵在落实,不要过于复杂,形式要简单、实用,便于执行。三是提高预防的科技含量。现代信息网络技术是有效预防的重要手段,要进一步总结、完善和推广各地的有
效做法。特别是对一级风险行政权力,要对照流程查找具体风险点,逐点制定防范措施,予以重点监控。
5.提高廉政风险评估预警的文化自觉 积极开展廉政风险评估预警是各级党委、政府的一项重要任务和政治责任,需要各级领导干部在实践活动中有一种文化自觉精神。这是对政府各级干部素质的最基本要求。“文化自觉”是我国已故著名的人类社会学家费孝通先生在 1997 年就提出的、至今仍须倡导的思想行为自觉概念。“文化自觉”是指“生活在一定文化中的人对其文化有‘自知之明’,充分认识、明白它的来历、形成过程、所具有的特色和发展的趋向”。自知之明是为了加强人们对社会转型的自主能力认识,取得决定适应新环境、新时代文化选择的自主地位。
面对新时期、新阶段反腐倡廉新的任务,各级领导干部要清醒地认识到什么样的执政才符合科学发展观要求并让人民群众满意。领导干部反腐倡廉之文化自觉具体表现为执政选择和执行过程中人们的一种价值取向,即领导者思维的自觉,理性的自觉,行为和责任意识的自觉。领导干部要善于针对现实,认真践行廉政风险评估预警,从中找出廉政风险根源,总结经验,为创造科学的反腐倡廉提供有效的积极活力。我们提倡领导干部要有廉政风险评估预警文化自觉意识,其目的就是要使领导干部善于进行反腐倡廉文化反思,通过文化反思达到文化自觉,由自觉意识到自觉行动,由不自觉到自觉、再由自觉达到
更高自觉,充分认清自己的重要使命,充分意识到所肩负的社会责任,以提高反腐倡廉建设科学化水平。
廉政风险评估预警是权力运行监督关口前移的一项重要举措,是我们开展的行政权力公开透明运行工作的深化和发展,是提高反腐倡廉建设科学化水平的重要途径。我们要以创新精神积极开展廉政风险评估管理工作,不断完善廉政风险评估管理工作,形成积极有效的廉政风险评估防范机制,使反腐倡廉工作提高到一个新的水平。
第四篇:风险评估方法研究国际工程项目[定稿]
风险评估方法研究国际工程项目
摘要:风险评估是国际工程项目管理的重要元素。国际工程项目的风险因素进行了系统地分析从多个维度的特性的多层评价指标体系项目。国际工程项目风险评估提出并构建,包括8 I-grade 24 II-grade索引和索引作为政策风险,市场风险、资源风险、技术方案风险、进度风险、融资风险、人员风险和管理风险。然后自我评估和基准测试评价方法应用于评价国际工程项目风险,并建立了相应的数学模型。最后,一个项目的评估实例说明数学模型的适用性和有效性。
关键词:国际工程;风险分析;风险评价;风险管理
1介绍
近年来,项目风险评估可以包括在许多范围发达国家项目管理内,并成为一个重要组成部分影响建设项目环境。在当前的工程项目,完整的系统国际级别风险评估尚未确立,由于其影响因素的项目风险很多,模糊性,以及它们是难以完全定量[1]。究其原因,主要是因为遵循:国际工程统计数据不充足和大量原始数据的不可用。后提出适当的分析方法国际项目风险管理和综合评价,综合评价项目和相关的数学方法风险管理和监督结果的文章具有十分重要的现实意义[2]。拉尔夫和克莱姆提出了一个系统的方法来管理风险,和识别理论框架和实用的方法,分析和控制不同的风险[3]。M.伊丽莎白,帕特。柯塞尔和彼得J.雷根研究在快速时变动态风险管理系统建立了风险度量模型和基于决策分析决策模型框架和人工智能的方法[4,5]。
第五篇:网络安全评估:内部测试详解
网络安全评估:内部测试详解
测试网络的外围很重要,但攻击者可能已经位于网络内部。攻击者可能是一位有不满情绪的员工,或者是利用防火墙内服务和周边安全防御的外部人员。如果要测试内部安全控制,那么您需要考虑多个方面,包括各种内部测试、您可能希望使用的测试技术和测试员工的重要性(社会工程测试)。
一个单位的内部网络可能会受到各种方式的检测、分析和攻击。一些最常见的内部测试类型包括:· 内部攻击:这种渗透测试技术可以模拟由授权个人发起的恶意活动,他有组织网络的合法连接。例如,如果访问规则太过于宽松,那么IT管理员就可能将其他人挡在网络之外。
· 外部攻击:这种渗透测试技术会检查外部人员通过宽松的服务访问内部。它可能会攻击超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、结构化查询语言(SQL)、远程桌面(RDP)或其他服务。有一些在线服务专门会销售受限企业资源的访问权限。
· 盗取设备攻击:这种攻击接近于物理攻击,因为它针对于组织的设备。它可能会专门盗取CEO的笔记本电脑、智能手机、复印机或单位的备份磁带。无论是什么设备,其目标都一样:提取重要信息、用户名和密码。
· 物理进入:这种测试技术专门测试组织的物理控制。要对房门、大门、锁、守卫、闭路电视(CCTV)和警报器进行测试,检查它们是否会被绕过。一种常用的方法是使用撞匙打开机械锁,用Arduino板打开电子锁。
· 绕过验证攻击:这种测试技术会寻找无线接入端和调制解调器。其目标是了解系统是否安全,并提供足够的验证控制。如果可以绕过控制,那么道德黑客可能会尝试了解能够获得哪一级别的系统控制。渗透测试团队的网络知识结构不同,所采用的测试技术也会有所不同
· 墨盒测试可以模拟外部攻击,因为外部人员通常不知道所攻击网络或系统的内部情况。简单地说,安全团队完全不了解目标网络及其系统。攻击者必须收集关于目标的各种信息,然后才能确定它的优缺点。· 白盒测试则采用与墨盒测试完全相反的方法。这种安全测试的前提是,安全测试人员完全了解网络、系统和基础架构。这种信息允许安全测试人员采用一种更规范化的方法,它不仅能够查看所提供的信息,还能够验证它的准确性。所以,虽然墨盒测试在收集信息时会花费更长的时间,但是白盒测试则在漏洞检测时花费更多时间。
· 灰盒测试有时候指的是只了解部分情况的测试。灰盒测试人员只知道部分的内部结构。
无论采用哪一种渗透测试方法,其目的都是对组织的网络、策略和安全控制进行系统的检查。一个良好的渗透测试还可以检查组织的社会成分。社会工程攻击的目标是组织的员工,其目的是通过操纵员工获得私密信息。近几年来,许多成功的攻击案例都组合使用了社会和技术攻击手段。Ghostnet和Stuxnet就是这样两个例子。如果您需要在执行内部渗透测试之后更新政策,那么一个很好的资源是SANS政策项目。要通过良好的控制、政策和流程对员工进行长期培训,才能够很好地对抗这种攻击手段。
点击咨询 