信息安全-典型风险评估案例结果分析.pptVIP

典型风险评估案例结果分析 贾 颖 禾 国务院信息化工作办公室 网络与信息安全组 2004年6月11日 典型风险评估案例结果分析源自1996年美国国会总审计署（GAO）的报告的研究 目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息，给国家安全带来了很大威胁。 在这种情况下，GAO被邀请对国防信息网络进行风险评估，以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战。 第一部分：典型个案 罗马实验室攻击案例 罗马实验室（Rome Laboratory, New York）位于美国纽约州，是美国空军的一个重要的军事设施。研究项目包括：战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。 在1994年3月至4月间，两个黑客（一个英国黑客、一个不明国籍）对该实验室进行了多达150次的攻击。 他们使用了木马程序和嗅探器（sniffer）来访问并控制罗马实验室的网络。另外，他们采取了一定的措施使得他们很难被反跟踪。 他们没有直接访问罗马实验室，而是首先拨号到南美（智利和哥伦比亚），然后在通过东海岸的商业Internet站点，连接到罗马实验室。 攻击者控制罗马实验室的支持信息系统许多天，并且建立了同外部Internet的连接。在这期间，他们拷贝并下载了许多机密的数据，包括象国防任务指令系统的数据。 通过伪装成罗马实验室的合法用户，他们同时成功的连接到了其他重要的政府网络，并实施了成功的攻击。包括（National Aeronautics and Space administration’s(NASA) Goddard Space Flight Center，Wright-Patterson Air Force Base，some Defense contractors， and other private sector organizations） 美国空军信息中心（Air Force Information Warfare Center (AFIWC)）估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、安全安全补丁、恢复系统以及调查费用等等。 从计算机系统中丢失的及其有价值的数据的损失是无法估量的。比如：罗马实验室用了3年的时间，花费了400万美圆进行的空军指令性研究项目，已经无法实施。 其它的攻击案例一 1995年到1996年，一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统，以它为跳板，进入了美国海军研究实验室、NASA、Los Alamos国家实验室的网络中。这些网络中存储了大量绝密信息，比如：飞机设计、雷达技术、卫星技术、武器和作战控制系统等等。海军根本没有办法确定那次攻击造成多么巨大的损失。 案例二 在1990年四月到1991年三月之间，荷兰的黑客渗透进了34个国防计算机系统。他对系统进行修改，从而获得了更高的访问权限。他读取邮件，有哪些信誉好的足球投注网站敏感的关键字，比如象核设施、武器、导弹等等，并且下载了很多军事数据。 攻击完成后，他修改系统的日志以避免被探测到。 第二部分 现实 1.国防部的计算环境 国防部有200个指挥中心、16个信息处理中心，2百万个用户，210万台计算机，10，000个网络。 最高机密信息相对而言比较安全，有如下几个个方面因素： 保存在物理隔离的网络中（边界） 经过机密处理（信息保护） 只在安全的路经中传输（传输） （美国国家通信系统的要求：第一等的用户，第一时间， 第一个知道，第一个搞清楚，第一个行动） 2. 黑客的攻击手段 黑客的攻击手段多种多样，比较典型的是sendmail攻击、口令攻击、数据窃听等等。 黑客在进攻计算机系统时，通常使用多种技术或工具并利用系统的漏洞在网络上进行。 3. 攻击行为的数量迅速增长 DISA估计去年国防网络遭受了250,000次攻击。被发现的攻击行为非常少，因此很难统计确切数字。许多机构只发现了少量的攻击，在已经发现的这些少量的攻击行为中，被报告的攻击行为又只占非常少的比例。这个估计的数字建立在DISA的漏洞分析和评估的基础上。为了进行评估，DISA的人员从互联网上发动攻击。从1992年来，DISA发动了38,000次攻击活动，用以检测网络的受保护情况。 （如下图所示） DISA对美军网络实施的38000次渗透性攻击测试，24700次即65％的攻击行为取得了成功。在这些成功的攻击中，只有988即4％被发现。在被发现的攻击活动中，只有267次即27％被报告给了DISA。也就是说，只有不到1/150的攻击