計算機網(wǎng)絡(luò)風(fēng)險防范模式研究
2011-01-01 00:00:00楊濤李樹仁黨德鵬
中國人口·資源與環(huán)境 2011年2期
摘要:網(wǎng)絡(luò)風(fēng)險管理的目的是為確保通過合理步驟,以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。計算機網(wǎng)絡(luò)風(fēng)險防范模式包括風(fēng)險防范策略、風(fēng)險防范措施和實施風(fēng)險防范。網(wǎng)絡(luò)風(fēng)險防范策略主要有:①當(dāng)存在系統(tǒng)漏洞時,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性;②當(dāng)系統(tǒng)漏洞被惡意攻擊時,運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風(fēng)險最小化或防止這種情形的發(fā)生;③當(dāng)攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機;④當(dāng)損失巨大時,運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失。風(fēng)險防范措施包括風(fēng)險假設(shè)、風(fēng)險規(guī)避、風(fēng)險限制、風(fēng)險計劃、研究和了解、風(fēng)險轉(zhuǎn)移。在實施風(fēng)險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別、成本-收益分析、選擇風(fēng)險防范控制、分配責(zé)任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制及殘余風(fēng)險分析。最后以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例進行了實證。
關(guān)鍵詞 計算機;網(wǎng)絡(luò)風(fēng)險;防范模式;防范流程
中圖分類號 F062.5 [KG*2]文獻標(biāo)識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04
在信息時代,信息成為第一戰(zhàn)略資源,更是起著至關(guān)重要的作用。因此,信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事。資產(chǎn)與風(fēng)險是天生的一對矛盾,資產(chǎn)價值越高,面臨的風(fēng)險就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風(fēng)險。計算機網(wǎng)絡(luò)風(fēng)險防范的目的就是要緩解和平衡這一對矛盾,將風(fēng)險防范到可接受的程度,保護信息及其相關(guān)資產(chǎn),最終保證機構(gòu)能夠完成其使命。風(fēng)險防范做不好,系統(tǒng)中所存在的安全風(fēng)險不僅僅影響系統(tǒng)的正常運行,且可能危害到政府部門自身和社會公眾,嚴(yán)重時還將威脅國家的安全。論文提出了在選擇風(fēng)險防范策略時如何尋找合適的風(fēng)險防范實施點并按照實施風(fēng)險防范的具體過程來進行新技術(shù)下的風(fēng)險防范,從而幫助完成有效的風(fēng)險管理過程,保護組織以及組織完成其任務(wù)。
1 計算機網(wǎng)絡(luò)風(fēng)險管理
計算機網(wǎng)絡(luò)風(fēng)險管理包括三個過程:計算機網(wǎng)絡(luò)屬性特征分析、風(fēng)險評估和風(fēng)險防范。計算機網(wǎng)絡(luò)屬性特征分析包括風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個階段。在計算機網(wǎng)絡(luò)風(fēng)險防范過程中,計算機網(wǎng)絡(luò)屬性的確立過程是一次計算機網(wǎng)絡(luò)風(fēng)險防范主循環(huán)的起始,為風(fēng)險評估提供輸入。風(fēng)險評估過程,包括對風(fēng)險和風(fēng)險影響的識別和評價,以及降低風(fēng)險措施的建議。風(fēng)險防范是風(fēng)險管理的第三個過程,它包括對在風(fēng)險評估過程中建議的安全控制進行優(yōu)先級排序、評價和實現(xiàn),這些控制可以用來減輕風(fēng)險。
2 網(wǎng)絡(luò)風(fēng)險模式研究
2.1 風(fēng)險防范體系
計算機風(fēng)險防范模式包括選擇風(fēng)險防范措施(風(fēng)險假設(shè)、風(fēng)險規(guī)避、風(fēng)險限制、風(fēng)險計劃、研究和了解、風(fēng)險轉(zhuǎn)移)、選擇風(fēng)險防范策略(包括尋找風(fēng)險防范實施點和防范控制類別的選擇)、實施風(fēng)險防范3個過程。在實施風(fēng)險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別、成本-收益分析、選擇風(fēng)險防范控制、分配責(zé)任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制,最后還要進行殘余風(fēng)險分析。
2.2 風(fēng)險防范措施
風(fēng)險防范是一種系統(tǒng)方法,高級管理人員可用它來降低使命風(fēng)險。風(fēng)險防范可以通過下列措施實現(xiàn):
(1)風(fēng)險假設(shè):接受潛在的風(fēng)險并繼續(xù)運行IT系統(tǒng),或?qū)崿F(xiàn)安全控制以把風(fēng)險降低到一個可接受的級別。
(2)風(fēng)險規(guī)避:通過消除風(fēng)險的原因或后果(如當(dāng)識別出風(fēng)險時放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險。
(3)風(fēng)險限制:通過實現(xiàn)安全控制來限制風(fēng)險,這些安全控制可將由于系統(tǒng)弱點被威脅破壞而帶來的不利影響最小化(如使用支持、預(yù)防、檢測類的安全控制)。
(4)風(fēng)險計劃:制定一套風(fēng)險減緩計劃來管理風(fēng)險,在該計劃中對安全控制進行優(yōu)先排序、實現(xiàn)和維護。
(5)研究和了解:通過了解系統(tǒng)弱點和缺陷,并研究相應(yīng)的安全控制修正這些弱點,來降低風(fēng)險損失。
(6)風(fēng)險轉(zhuǎn)移:通過使用其他措施補償損失,從而轉(zhuǎn)移風(fēng)險,如購買保險。
在選擇風(fēng)險防范措施中應(yīng)該考慮機構(gòu)的目標(biāo)和使命。要解決所有風(fēng)險可能是不實際的,所以應(yīng)該對那些可能給使命帶來嚴(yán)重危害影響的威脅/弱點進行優(yōu)先排序。同時,在保護機構(gòu)使命及其IT系統(tǒng)時,由于每一機構(gòu)有其特定的環(huán)境和目標(biāo),因此用來減緩風(fēng)險的措施和實現(xiàn)安全控制的方法也各不相同。最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù),再伴以適當(dāng)?shù)娘L(fēng)險防范措施和非技術(shù)類的管理措施。
2.3 風(fēng)險防范策略
高級管理人員和使命所有者在了解了潛在風(fēng)險和安全控制建議書后,可能會問:什么時候、在什么情況下我們該采取行動?什么時候該實現(xiàn)這些安全控制來進行風(fēng)險防范,從而保護我們的機構(gòu)?
如圖1所示的風(fēng)險防范實施點回答了這個問題。在圖1中,標(biāo)有“是”的地方是應(yīng)該實現(xiàn)風(fēng)險防范的合適點。
總結(jié)風(fēng)險防范實踐,以下經(jīng)驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風(fēng)險提供指導(dǎo):
楊濤等:計算機網(wǎng)絡(luò)風(fēng)險防范模式研究中國人口#8226;資源與環(huán)境 2011年 第2期(1)當(dāng)存在系統(tǒng)漏洞時,實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性;
(2) 當(dāng)系統(tǒng)漏洞被惡意攻擊時,運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風(fēng)險最小化或防止這種情形的發(fā)生;
(3) 當(dāng)攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統(tǒng)控制,限制系統(tǒng)用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得);
(4) 當(dāng)損失巨大時,運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度,從而降低可能的損失。
上面所述的風(fēng)險防范策略中除第三條外,也都可運用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風(fēng)險。
2.4 風(fēng)險防范模式的實施
在實施風(fēng)險防范措施時,要遵循以下規(guī)則:找出最大的風(fēng)險,然后爭取以最小的代價充分減緩風(fēng)險,同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成,見圖2。
2.4.1 對行動進行優(yōu)先級排序
基于在風(fēng)險評估報告中提出的風(fēng)險級別,對行動進行優(yōu)先級排序。在分配資源時,那些標(biāo)有不可接受的高風(fēng)險等級(如被定義為非常高或高風(fēng)險級別的風(fēng)險)的風(fēng)險項目應(yīng)該最優(yōu)先。這些弱點/威脅需要采取立即糾正行動以保護機構(gòu)的利益和使命。步驟一輸出—從高到低優(yōu)先級的行動。
2.4.2 評價建議的安全控制
風(fēng)險評估過程中建議的安全措施對于具體的機構(gòu)和IT系統(tǒng)可能不是最適合和可行的。在這一步中,要對建議
圖1 網(wǎng)絡(luò)風(fēng)險防范實施點
Fig.1 Network implementation point of risk prevention
圖2 實施風(fēng)險防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用戶接受程度)和有效性(如保護程度和風(fēng)險防范級別)進行分析。目的是選擇最適當(dāng)?shù)陌踩刂拼胧┮宰钚』L(fēng)險。步驟二輸出—可行安全控制清單。
2.4.3 實施成本-收益分析
為了幫助管理層做出決策并找出性價比好的安全控制,要實施成本—收益分析。第三步輸出—成本-收益分析,其中描述了實現(xiàn)或者不實現(xiàn)安全控制所帶來的成本和收益 。
2.4.4 選擇安全控制
在成本-收益分析的基礎(chǔ)上,管理人員確定性價比最好的安全控制來降低機構(gòu)使命的風(fēng)險。所選擇的安全控制應(yīng)該結(jié)合技術(shù)、操作和管理類的控制元素以確保IT系統(tǒng)和機構(gòu)適度的安全。步驟四輸出—選擇好的安全控制。
2.4.5 責(zé)任分配
遴選出那些有合適專長和技能來實現(xiàn)所選安全控制的人員(內(nèi)務(wù)人員或外部簽約人員),并分配以相應(yīng)責(zé)任。步驟五輸出—責(zé)任人清單。
2.4.6 制定一套安全措施實現(xiàn)計劃
在這一步,將制定一套安全措施實現(xiàn)計劃(或行動計劃)。這套計劃應(yīng)該至少包括下列信息:
(1)風(fēng)險(弱點/威脅)和相關(guān)的風(fēng)險級別(風(fēng)險評估報告輸出)。
(2)建議的安全控制(風(fēng)險評估報告輸出)。
(3)優(yōu)先排序過的行動(標(biāo)有給那些有非常高和高風(fēng)險級別的項目分配的優(yōu)先級)。
(4)被選擇的計劃好的安全控制(基于可行性、有效性、機構(gòu)的收益和成本來決定)。
(5)實現(xiàn)那些被選擇的計劃好的安全控制所需要的資源。
(6)負(fù)責(zé)小組和人員清單。
(7)開始實現(xiàn)日期。
(8)實現(xiàn)完成的預(yù)計日期。
(9)維護要求。
2.4.7 實現(xiàn)被選擇的安全控制
根據(jù)各自的情況,實現(xiàn)的安全控制可以降低風(fēng)險級別但不會根除風(fēng)險。步驟七輸出—殘余風(fēng)險清單。
3 網(wǎng)絡(luò)風(fēng)險防范案例
以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例,首先要對網(wǎng)絡(luò)應(yīng)用系統(tǒng)進行屬性分析,風(fēng)險評估,然后根據(jù)風(fēng)險評估報告和承受能力來決定風(fēng)險防范具體措施。
3.1 風(fēng)險評估
該計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級別要求高,根據(jù)手工和自動化網(wǎng)絡(luò)風(fēng)險評估,結(jié)果如下所示:
數(shù)據(jù)庫系統(tǒng)安全狀況為中風(fēng)險等級。在檢查的33個項目中,共有9個項目存在安全漏洞。其中:3 個項目為高風(fēng)險等級,占總檢查項目的 9%;1 個項目為中風(fēng)險等級,占總檢查項目的 3%;5 個項目為低風(fēng)險等級,占總檢查項目的 15%。
3.2 風(fēng)險防范具體措施
選擇風(fēng)險防范措施中的研究和了解同時進行風(fēng)險限制。確定風(fēng)險防范實施點,該數(shù)據(jù)庫的設(shè)計存在漏洞并且該漏洞可能被利用,所以應(yīng)該實施風(fēng)險防范。實施步驟如下:
步驟一:對以上掃描結(jié)果中的9個漏洞進行優(yōu)先級排序,確立每個項目的風(fēng)險級別。
步驟二:評價建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對評估報告中的安全控制建議進行分析,得出要采取的防范策略。
步驟三:對步驟二中得出相應(yīng)的若干種防范策略進行成本收益分析,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制。對上述掃描的9個漏洞分別選擇相應(yīng)的防范策略。
步驟五:責(zé)任分配,輸出負(fù)責(zé)人清單。
步驟六:制定完整的漏洞修復(fù)計劃。
步驟七:實施選擇好的防范策略,按表1對這9個漏洞進行一一修復(fù)。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級別
level風(fēng)險防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計級別設(shè)置高監(jiān)測和恢復(fù)技術(shù)控制AXTSGL3011注冊表存儲過程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠程訪問低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計低監(jiān)測恢復(fù)技術(shù)控制AXTSGL3004黑盒跟蹤低恢復(fù)管理安全控制AXTSGL3006C2 審計模式低監(jiān)測和恢復(fù)技術(shù)控制
4 總 結(jié)
在進行計算機網(wǎng)絡(luò)風(fēng)險管理分析的基礎(chǔ)上,提出了新技術(shù)下的風(fēng)險防范模式和體系結(jié)構(gòu),同時將該防范模式成功應(yīng)用到某市官方網(wǎng)站的主站數(shù)據(jù)庫中。應(yīng)用過程中選擇了恰當(dāng)?shù)姆婪洞胧鶕?jù)新技術(shù)下風(fēng)險防范實施點的選擇流程確立了該數(shù)據(jù)庫的防范實施點并嚴(yán)格按照風(fēng)險防范實施步驟進行風(fēng)險防范的執(zhí)行,成功地使風(fēng)險降低到一個可接受的級別,使得對機構(gòu)的資源和使命造成的負(fù)面影響最小化。
雖然該防范模式在一定程度上降低了風(fēng)險的級別,但是由于風(fēng)險類型的不可預(yù)見性和防范策略的局限性,該模式未必使機構(gòu)或系統(tǒng)的風(fēng)險降到最低,因此風(fēng)險防范有待于進一步改進和完善,這將是一個長期的任務(wù)。
(編輯:李 琪)
參考文獻(References)
[1]蔡昱,張玉清.風(fēng)險評估在電子政務(wù)系統(tǒng)中的應(yīng)用[J].計算機工程與應(yīng)用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進的網(wǎng)絡(luò)安全掃描工具[J].計算機工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實踐[J].計算機系統(tǒng)應(yīng)用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機分布式安全掃描的計算機免疫系統(tǒng)模型[J].計算機應(yīng),2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
Abstract The objective of the network risk management is to prevent all incidents that threaten network security by reasonable steps. Computer network model, including risk prevention strategies, risk prevention measures and the implementation of risk prevention. Network risk prevention strategies are: ①When vulnerabilities exist, technology should ensure reducing the possibility of vulnerabilities being attacked; ②when the system vulnerability is in a malicious attack, layered protection, structural design, and management control are used to minimize risk or to prevent the occurring; ③when an attackers attack cost is lower the benefits from attacks, the protective measures such as increasing the cost of the attacker are used to reduce the motivation of attackers; ④when there is a large loss design principles, structural design and technical or nontechnical protection measures are used to restrict the degree of attacks, and thus to reduce possible losses. Risk prevention measures include risk assumption, risk avoidance, risk limits, risk plan, research and understanding,and risk transfer. The implementation of risk prevention includes actions to prioritize, security control categories of evaluation, costbenefit analysis, risk prevention and control selection, allocation of responsibilities, formulating safety measures to realize the target, achieving the selected security controls and residual risks analysis. Finally, a municipal official portal web is taken as an application example to demonstrate our analysis.
Key words computer; network risk; prevention model; prevention process
