1、第16章 網絡安全風險評估技術的原理與應用 16.1 網絡風險評估概述 16.2 網絡風險評估過程 16.3 網絡風險數據的采集方法與工具 16.4 網絡風險評估工程項目流程16.5 本 章 小 結本章思考與練習16.1 網絡風險評估概述 16.1.1 網絡風險評估的概念 網絡安全風險是指由于網絡系統所存在的脆弱性，因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估(簡稱“網絡風險評估”)就是指依據有關信息安全技術和管理標準，對網絡系統的保密性、完整性、可控性和可用性等安全屬性進行科學評價的過程。評估內容涉及到網絡系統的脆弱性、網絡安全威脅以及脆弱性被威脅源利用后所造成的實

2、際影響，以及根據安全事件發生的可能性影響大小來確認的網絡安全風險等級。簡單地說，網絡風險評估就是指特定威脅利用網絡資產的脆弱性，造成網絡資產損失或破壞的潛在可能性。下面舉一個例子來幫助我們理解網絡風險評估的概念。某公司的電子商務網站因為存在RPC DCOM的漏洞，遭到黑客入侵，被迫中斷1天，則網絡風險的相關概念如下所示： 網絡資產電子商務網站網絡威脅黑客網絡脆弱性RPC DCOM漏洞網絡影響中斷1天網絡風險電子商務網站受到入侵 假設網站受到黑客攻擊的概率為，經濟影響為2萬元人民幣，則該公司的網站風險量化值為萬元人民幣。 16.1.2 網絡風險評估要素的組成關系網絡風險評估涉及到資產、威脅、脆弱

3、性、安全措施、風險等各個要素，各要素之間相互作用，如圖16-1所示。資產因為其價值而受到威脅；威脅者利用資產的脆弱性構成威脅；安全措施對資產進行保護，修補資產的脆弱性，從而降低資產的風險。 圖16-1 風險評估各個要素間的相互作用 16.1.3 網絡風險評估模式1自評估自評估是網絡系統擁有者依靠自身的力量，對自有的網絡系統進行的風險評估活動。 2檢查評估檢查評估是指由網絡安全主管機關或業務主管機關發起，旨在依據已經頒布的安全法規、安全標準或安全管理規定等進行的檢查評估。3委托評估委托評估是指網絡系統使用單位委托的具有風險評估能力的專業評估機構實施的評估活動進行檢查評估。 16.1.4 網絡風險

4、評估意義第一，網絡風險評估是網絡系統安全的基礎性工作，它有利于網絡安全規劃和設計，有利于明晰網絡安全保障需求。網絡風險評估將傳統的風險理論和方法應用于網絡系統，科學地分析和理解網絡系統的保密性、完整性、可用性、可控性等方面所面臨的風險，并為網絡風險的減少、轉移和規避等風險控制提供決策依據。通過網絡風險評估，網絡安全管理人員將更加明確網絡系統的安全需求，只有在正確、全面地了解和理解網絡系統安全風險后，才能決定如何應對安全風險，從而有利于網絡系統的安全投資、網絡安全措施的選擇、網絡安全保障體系的建設，促進網絡系統的信息安全建設。 第二，風險評估有利于網絡系統的安全防護，做到重點突出，分級防護。從理

5、論上講，風險總是不可避免而客觀存在的，實際工作過程不可能做到絕對安全。因而，追求絕對安全和完全回避風險都是不現實的，安全是風險與成本的綜合平衡。通過風險評估，使安全管理員認清風險因素的主次，實事求是，抓住安全的主要問題，以便采取有效、科學、客觀和經濟的安全防范措施。 16.2 網絡風險評估過程 16.2.1 風險評估過程概述網絡風險評估一般遵循如下工作過程：第一步，網絡評估范圍界定；第二步，網絡資產鑒定；第三步，網絡威脅識別；第四步，網絡脆弱性識別；第五步，網絡安全措施分析； 第六步，網絡安全影響分析；第七步，網絡風險確認；第八步，網絡安全措施建議。 以上工作步驟是一個網絡風險評估工作的基本過

6、程，網絡管理員可以根據不同的目的和環境，簡化或補充各步驟細節。 16.2.2 網絡評估范圍界定正式進行具體安全評估時，首先必須進行網絡系統范圍的界定，要求評估者明晰所需要評估的對象。網絡評估范圍界定一般包括：* 網絡系統拓撲結構。* 網絡通信協議。* 網絡地址分配。* 網絡設備。* 網絡服務。 * 網上業務類型與業務信息流程。* 網絡安全防范措施(防火墻、IDS、保安系統等)。* 網絡操作系統。* 網絡相關人員。* 網絡物理環境(如建筑、設備位置)。在這個階段，最終將生成評估文檔網絡風險評估范圍界定報告，該報告是后續評估工作的范圍限定。 16.2.3 網絡資產鑒定網絡資產鑒定包含“網絡資產識別

7、”和“網絡資產價值估算”兩個步驟。前者給出評估所考慮的具體對象，確認網絡資產的種類和清單，是整個評估工作的基礎。“網絡資產價值估算”是對某一具體資產在網絡系統的重要程度的確認。在這里，價值估算不僅包含資產的物理實際經濟價值，而且包含其相對價值，即資產在網絡系統中所起到的效果。該階段將生成文檔網絡系統資產鑒定報告，報告內容包括網絡系統的資產清單和資產的重要性評價。表16-1是某公司網絡系統的資產鑒定表。 表16-1 某公司網絡系統的資產鑒定表 16.2.4 網絡威脅識別網絡威脅識別是指對網絡資產有可能受到的危害進行分析，一般從威脅來源、威脅途徑、威脅意圖等幾個方面來分析，如圖16-2所示。 圖1

8、6-2 網絡威脅識別示意圖 首先是標記出潛在的威脅源，并且形成一份威脅列表，列出被評估的網絡系統面臨的潛在威脅源。威脅源按照其性質一般可分為自然威脅和人為威脅。其中，自然威脅有雷電、洪水、地震、火災等，而人為威脅則有盜竊、破壞、攻擊等，如圖16-3所示。 圖16-3 網絡系統威脅框架結構示意圖 威脅途徑是指威脅資產的方法和過程步驟。威脅者為了實現其意圖，會使用各種攻擊方法和工具，如計算機病毒、特洛伊木馬、蠕蟲、漏洞利用和嗅探程序。通過各種方法組合，實施威脅。圖16-4是關于口令威脅途徑分析。 圖16-4 口令威脅途徑示意圖 威脅效果是指威脅成功后，給網絡系統造成的影響。一般來說，威脅效果抽象為

9、三種：非法訪問、欺騙和拒絕服務。例如最早的拒絕服務是“電子郵件炸彈”，它能使用戶在很短時間內收到大量電子郵件，使用戶系統不能處理正常業務，嚴重時會使系統崩潰、網絡癱瘓。威脅意圖是指威脅主體實施威脅的目的。根據威脅者的身份，威脅意圖可以分為挑戰、情報信息獲取、恐怖主義、經濟利益和報復。 16.2.5 網絡脆弱性識別脆弱性識別是指通過各種測試方法，獲得網絡資產中所存在的缺陷清單，包括硬件和軟件清單，這些缺陷會導致對信息資產的非授權訪問、泄密、失控、破壞或不可用。缺陷的存在將會危及到網絡資產的安全。該階段將產生脆弱性評估文檔網絡系統技術脆弱性報告。 16.2.6 網絡安全措施分析安全措施分析主要是指

10、對組織結構、人員配備、安全意識、教育培訓、安全操作、設備管理、應急響應、安全制度等方面進行合理性、必要性評價，其目的在于確認安全策略執行情況。該階段將生成中間文檔網絡管理脆弱性報告。 16.2.7 網絡安全影響分析在威脅評估、脆弱性評估、安全管理評估基礎上，安全影響分析是指分析已鑒定的資產受到損害后帶來的影響。一般情況下，影響主要從以下幾方面來考慮：(1) 違反了有關法律或規章制度。(2) 影響了業務運行。(3) 造成了信譽、聲譽損失。(4) 侵犯了個人隱私。(5) 造成了人身傷害。(6) 對法律實施造成了負面影響。(7) 侵犯了商業機密。 (8) 違反了社會公共準則。(9) 造成了經濟損失。

11、(10) 破壞了業務活動。(11) 危害了公共安全。該階段將生成中間文檔安全影響分析報告。 16.2.8 網絡風險確認 網絡風險確認是指在資產評估、威脅評估、脆弱性評估、安全措施分析、安全影響分析的基礎上，綜合利用定性和定量的分析方法，選擇適當的風險計算方法或工具確定風險的大小與風險等級，即對網絡系統安全管理范圍內的每一網絡資產因遭受泄露、修改、不可用和破壞所帶來的任何影響給出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。通過分析所評估的數據，進行風險值計算。該階段將生成中間文檔網絡風險分析報告。 16.2.9 網絡安全措施建議安全措施建議針對網絡系統所存在的各種風險，給出具體風

12、險控制建議，其目標在于降低網絡系統的安全風險。目前，網絡安全管理風險的控制措施主要有十大類：* 制定明確的安全策略。* 建立安全組織。* 實施網絡資產分類控制。* 加強人員安全管理。* 保證物理實體和環境安全。* 加強安全通信運行。 * 采取訪問控制機制。* 進行安全系統開發與維護。* 保證業務持續運行。* 遵循法律法規、安全目標一致性檢查。 16.3 網絡風險數據的采集方法與工具 16.3.1 漏洞掃描網絡管理員通過漏洞掃描工具自動模擬執行入侵探測過程，搜集分析漏洞信息，以評估網絡系統的安全性。漏洞掃描工具有許多，按照其用途來劃分，粗略分成主機掃描、網絡掃描、應用掃描。當網絡管理員需要進行漏

13、洞掃描時，一般要求把漏洞掃描工具安裝在某臺計算機上，然后將該計算機接入到網絡系統中，并配置掃描相關信息，啟動漏洞掃描進程。目前，可進行漏洞掃描的工具有許多，表16-2是常用的掃描工具。 表16-2 常用漏洞掃描工具 16.3.2 人工檢查人工檢查通過人直接操作評估對象以獲取所需要的評估信息。一般進行人工檢查前，應事先設計好“檢查表(CheckList)”，然后評估工作人員按照“檢查表”進行查找，以發現系統中的網絡結構、網絡設備、服務器、客戶機等所存在的漏洞和威脅。為了做好評估依據，所有的檢查操作應有書面的記錄材料。客戶機的安全檢查表如表16-3所示。 表16-3 客戶機的安全檢查表 16.3.

14、3 滲透測試滲透測試是指在獲取授權后，通過使用安全工具，模擬黑客攻擊網絡系統，以發現深層次的安全問題。滲透測試工具有許多種，常見的類型有：* 信息收集類。* 漏洞利用嘗試類。* 破解口令類。 16.3.4 問卷調查問卷調查采用書面的形式獲得被評估信息系統的相關信息，以掌握信息系統的基本安全狀況。問卷調查一般根據調查對象進行單獨設計。問卷包括管理類和技術類。管理調查涵蓋安全策略、安全組織、資產分類和控制、人員安全、業務連續性等，它主要針對管理者、操作人員。而技術調查卷主要包括物理和環境安全、網絡通信、系統訪問控制和系統開發與維護，調查對象是IT技術人員。自我安全意識的調查表如表16-4所示。 表

15、16-4 自我安全意識調查表 16.3.5 安全訪談安全訪談通過安全專家和網絡系統的使用人員、管理人員等相關人員進行直接交談，來考察和證實對網絡系統安全策略的實施、規章制度的執行和管理與技術等一系列情況。 16.3.6 審計數據分析審計是網絡安全系統中的一個重要環節，客戶對網絡系統中的安全設備和網絡設備、應用系統和運行狀況進行全面的監測是保障網絡安全的重要手段。審計數據分析是指采用數據統計和特征模式匹配等多種技術，從審計數據中尋找安全事件的有關信息。審計數據分析通常用于威脅識別。審計分析的作用包括侵害行為檢測、異常事件監測、潛在攻擊征兆發覺等。下面是一個例子，某網站服務器上的訪問日志出現大量類

16、似如下的HTTP請求： GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

17、%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 根據這些日志信息，我們可以推斷該網站受到了紅色蠕蟲的攻擊。由于日志審計數據量大，因此網絡管理人員需要借助軟件工具來分析。目前審計分析工具有Web Log Explore、EIQ Professional Suite、Proxy Inspector for WinGate等。 16.3.7 入侵監測網絡管理員將入侵監測軟件或設備接入到待評估的網絡中，然后通過入侵監測軟件或設備采集評估對象的威脅信息和

18、安全狀態。入侵監測軟件和設備有許多種，按照其用途來劃分，粗略分成主機入侵監測、網絡入侵監測、應用入侵監測。常用于入侵監測的軟件有協議分析器、入侵檢測系統、注冊表監測、文件完整性檢查，如表16-5所示。 表16-5 入侵監測常用工具表 16.4 網絡風險評估工程項目流程 16.4.1 評估工程的前期準備風險評估需求調查是評估工程后續工作開展的前提，其中包括評估對象確定、評估范圍界定、評估的粒度和評估的時間等，在評估工作前一定要簽訂合同和保密協議，以避免糾紛。由于風險評估活動涉及單位的不同領域和人員，需要多方面的協調。必要的、充分的準備是風險評估成功的關鍵。評估的前期準備工作至少包括以下內容： *

19、 確定風險評估的需求目標，其中包括評估對象確定、評估范圍界定、評估的粒度和評估的時間等；* 簽訂合同和保密協議；* 成立評估工作組；* 選擇評估模式。 16.4.2 評估方案的設計與論證評估方案設計依據被評估方的安全需求來制定，并經過雙方討論且論證通過后方可進行下一步工作。評估方案設計主要包括確認評估方法、評估人員組織、評估工具選擇、預期風險分析、評估實施計劃等內容。為確保評估方案的可行性，評估工作小組應組織相關人員討論，聽取各方意見，然后修改評估方案，直至論證通過。 16.4.3 評估方案的實施在評估方案論證通過后，才能組織相關人員對方案進行實施。評估方案實施內容主要包括評估對象的基本情況調

20、查、安全需求挖掘以及確定具體操作步驟。評估實施過程中應避免改變系統的任何設置，必須備份系統原有的配置，并書面記錄操作過程和記錄相關數據。工作實施時必須有工作備忘錄，內容包括評估環境描述，操作的詳細過程記錄，問題簡要分析，相關測試數據保存等。對于敏感系統的測試，參加評估實施的人員要求至少兩人以上，必須經領導簽字批準。 16.4.4 風險評估報告的撰寫根據評估實施情況和所搜集到的信息，如資產評估數據、威脅評估數據、脆弱性評估數據等，完成評估報告的撰寫。評估報告是風險評估結果的記錄文件，是組織實施風險管理的主要依據，是對風險評估活動進行評審和認可的基礎資料。因此，報告必須做到有據可查，報告內容一般主

21、要包括風險評估范圍、風險計算方法、安全問題歸納及描述、風險級數、安全建議等。風險評估報告還可以包括風險控制措施建議、殘余風險描述等。網絡風險評估報告由部分緒論、安全現狀描述、資產評估、脆弱性評估、安全管理評估組成。其中，緒論包括術語和定義、評估內容、評估流程、評估數據來源和評估參考依據； 安全現狀描述則給出網絡組成說明、網絡拓撲結構、關鍵設備和網絡服務、當前網絡安全防范措施；資產評估列出網絡系統中的軟、硬件清單，如路由器、交換機、網絡服務、操作系統、數據庫、主機等，并對資產給出重要性評價；威脅評估則給出網絡系統所面臨的威脅，包括威脅來源、威脅途徑、威脅方式、威脅后果等；安全管理評估則是從安全操作流程、設備管理、人員管理、安全制度、應急響應能力、行政控制手段等方面對網絡系統的安全問題進行評價，分析其存在的