计算机网络安全基础-2.pptx

《计算机网络安全基础-2.pptx》由会员分享，可在线阅读，更多相关《计算机网络安全基础-2.pptx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第2章章 风险分析风险分析2.1 资产保护资产保护2.2 攻击攻击2.3 风险管理风险管理2.4 本章小结本章小结任何有效的风险分析始于需要保护的资产和资源的鉴任何有效的风险分析始于需要保护的资产和资源的鉴别，资产的类型一般可分成以下别，资产的类型一般可分成以下4类。类。1 物理资源物理资源物理资源是具有物理形态的资产。包括工作站、效劳物理资源是具有物理形态的资产。包括工作站、效劳器、终端、网络设备、外围设备等，基本上，但凡具器、终端、网络设备、外围设备等，基本上，但凡具有物理形态的计算资源都是物理资源。有物理形态的计算资源都是物理资源。风险分析的最终目标是制定一个有效的、节省的方案风险分析

2、的最终目标是制定一个有效的、节省的方案来看管资产，不要无视显而易见的问题和解决方法。来看管资产，不要无视显而易见的问题和解决方法。2.1 资产保护资产保护 2.1.1 资产的类型资产的类型2 知识资源知识资源和物理资源相比，知识资源更难鉴别，因为它只以电和物理资源相比，知识资源更难鉴别，因为它只以电子的形式存在。知识资源可以是任何信息的形式，并子的形式存在。知识资源可以是任何信息的形式，并且在组织的事务处理中起一定的作用。它包括软件、且在组织的事务处理中起一定的作用。它包括软件、财务信息、数据库记录以及方案图表等。例如，公司财务信息、数据库记录以及方案图表等。例如，公司通过电子邮件交换信息，这

3、些电子报文的存储应看成通过电子邮件交换信息，这些电子报文的存储应看成知识资产。知识资产。3 时间资源时间资源时间也是一个重要的资源，甚至是一个组织最有价值时间也是一个重要的资源，甚至是一个组织最有价值的资源。当评估时间损失对一个组织的影响时，应考的资源。当评估时间损失对一个组织的影响时，应考虑由于时间损失引起的全部后果。虑由于时间损失引起的全部后果。4 信誉感觉资源信誉感觉资源在在2000年年2月，大局部网络公司诸如月，大局部网络公司诸如Yahoo、Amazon、eBay和和Buy.等在受到拒绝效劳攻击以后，他们的股等在受到拒绝效劳攻击以后，他们的股票价狂跌。虽然这是暂时的，但足以说明消费者和

4、股票价狂跌。虽然这是暂时的，但足以说明消费者和股票持有者对他们的可信度确实存在影响，且可测量。票持有者对他们的可信度确实存在影响，且可测量。又如，又如，2000年年10月围绕月围绕Microsoft系统的问题公开暴系统的问题公开暴露，公众不仅对公司，也对其产品的可信度产生了一露，公众不仅对公司，也对其产品的可信度产生了一定的影响。定的影响。潜在的网络攻击可来自任何能访问网络的源，这些源潜在的网络攻击可来自任何能访问网络的源，这些源之间有很大差异，它依赖于一个组织的规模以及提供之间有很大差异，它依赖于一个组织的规模以及提供的网络访问的类型。当作风险分析时，要能识别所有的网络访问的类型。当作风险分

5、析时，要能识别所有的攻击源。这些攻击源包括内部系统、来自办公室的的攻击源。这些攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过访问、通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过的访问，以及通过modem池的访问等。池的访问等。在分析潜在攻击源时不仅要评估谁可能攻击网络，还在分析潜在攻击源时不仅要评估谁可能攻击网络，还要寻找什么样的介质可用来对网络资源的访问。要寻找什么样的介质可用来对网络资源的访问。2.1.2 潜在的攻击源潜在的攻击源潜在的攻击来自多方面，包括组织内部的员工、临时潜在的攻击来自多方面，包括组织内部的员工、临时员工和参谋、竞争者、和组

6、织中具有不同观点和目的员工和参谋、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其员工的人。根据这个组织的的人、反对这个组织或其员工的人。根据这个组织的情况，还可能有各种不同的攻击源。重要的是要决定情况，还可能有各种不同的攻击源。重要的是要决定什么样的威胁能实现成功的攻击，以及对潜伏的攻击什么样的威胁能实现成功的攻击，以及对潜伏的攻击者而言，什么样的攻击是值得的。者而言，什么样的攻击是值得的。在识别资源以及潜在的攻击源后，可评估该组织受攻在识别资源以及潜在的攻击源后，可评估该组织受攻击的潜在风险级别。一个网络是物理隔离的网，还是击的潜在风险级别。一个网络是物理隔离的网，还是有很多入口如

7、广域网、有有很多入口如广域网、有modem池、或是经过池、或是经过Internet进入的进入的VPN?所有这些连接点是否使用强的身所有这些连接点是否使用强的身份鉴别和某种形式的防火墙设备，或者其他的网络保份鉴别和某种形式的防火墙设备，或者其他的网络保护措施？攻击者能否发现某一个暴露的访问点以及获护措施？攻击者能否发现某一个暴露的访问点以及获得访问该网络资源？得访问该网络资源？对攻击可能性的看法在很大程度上是带有主观性的，对攻击可能性的看法在很大程度上是带有主观性的，同一个组织的两个人对攻击可能性的观点可能完全不同一个组织的两个人对攻击可能性的观点可能完全不同。因此要听取来自不同部门的观点，甚至

8、聘请在决同。因此要听取来自不同部门的观点，甚至聘请在决定风险评估方面有实践经验的参谋。因为对攻击可能定风险评估方面有实践经验的参谋。因为对攻击可能性的分析越清楚，越能更有效地保护网络。性的分析越清楚，越能更有效地保护网络。资产一旦受到威胁和破坏，就会带来两类损失，一类资产一旦受到威胁和破坏，就会带来两类损失，一类是即时的损失，如由于系统被破坏，员工无法使用，是即时的损失，如由于系统被破坏，员工无法使用，因而降低了劳动生产率；又如，因而降低了劳动生产率；又如，ISP的在线效劳中断的在线效劳中断带来经济上的损失。另一类是长期的恢复所需花费，带来经济上的损失。另一类是长期的恢复所需花费，也就是从攻击

9、或失效到恢复正常需要的花费，例如，也就是从攻击或失效到恢复正常需要的花费，例如，受到拒绝效劳攻击，在一定期间内资源无法访问带来受到拒绝效劳攻击，在一定期间内资源无法访问带来的损失；又如，为了修复受破坏的关键文件所需的花的损失；又如，为了修复受破坏的关键文件所需的花费等。费等。为了有效保护资产，应尽可能降低资产受危害的潜在为了有效保护资产，应尽可能降低资产受危害的潜在代价。另一方面，由于采取一些安全措施，也要付出代价。另一方面，由于采取一些安全措施，也要付出安全的操作代价。网络安全最终是一个折中的方案，安全的操作代价。网络安全最终是一个折中的方案，需要对危害和降低危害的代价进行权衡。需要对危害和

10、降低危害的代价进行权衡。2.1.3 资产的有效保护资产的有效保护在评估时要考虑网络的现有环境，以及近期和远期网在评估时要考虑网络的现有环境，以及近期和远期网络开展变化的趋势。选用先进的安全体系结构和系统络开展变化的趋势。选用先进的安全体系结构和系统安全平台可减少安全操作代价，获得良好的安全强度。安全平台可减少安全操作代价，获得良好的安全强度。除此之外，要获得安全强度和安全代价的折中，需要除此之外，要获得安全强度和安全代价的折中，需要考虑以下因素：考虑以下因素：1 用户的方便程度。不应由于增加安全强度给用用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。户带来很多麻烦。2 管理的复杂性。对

11、增加安全强度的网络系统要管理的复杂性。对增加安全强度的网络系统要易于配置、管理。易于配置、管理。3 对现有系统的影响。包括增加的性能开销以及对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。对原有环境的改变等。4 对不同平台的支持。网络安全系统应能适应不对不同平台的支持。网络安全系统应能适应不同平台的异构环境的使用。同平台的异构环境的使用。图图2.1 安全强度和安全代价的折中安全强度和安全代价的折中图图2.1所示为安全强度和安全代价的折中，其中图所示为安全强度和安全代价的折中，其中图2.1a表示安全强度和安全操作代价的关系。图表示安全强度和安全操作代价的关系。图2.1b表示安全强度和

12、侵入系统可能性的关系。图表示安全强度和侵入系统可能性的关系。图2.1c表示将图表示将图2.1a和图和图2.1b合在一起，其相交合在一起，其相交点是平衡点，即安全强度和安全代价的折中选择。图点是平衡点，即安全强度和安全代价的折中选择。图2.1d表示由于入侵手段增强引起的变化，从而产表示由于入侵手段增强引起的变化，从而产生新的平衡点。生新的平衡点。为了有效保护资产，需要一个性能良好的安全系统结为了有效保护资产，需要一个性能良好的安全系统结构和安全系统平台，可以小的安全代价换取高的安全构和安全系统平台，可以小的安全代价换取高的安全强度。强度。从安全属性来看，攻击类型可分为以下从安全属性来看，攻击类型

13、可分为以下4类，如图类，如图2.2所示，图所示，图2.2a是从源站到目的站的正常信息流。是从源站到目的站的正常信息流。1 阻断攻击阻断攻击阻断攻击使系统的资产被破坏，无法提供用户使用，阻断攻击使系统的资产被破坏，无法提供用户使用，这是一种针对可用性的攻击，如图这是一种针对可用性的攻击，如图22b所示。所示。例如，破坏硬盘之类的硬件，切断通信线路，使文件例如，破坏硬盘之类的硬件，切断通信线路，使文件管理系统失效等。管理系统失效等。2.2 攻击攻击 2.2.1 攻击的类型攻击的类型2 截取攻击截取攻击截取攻击可使非授权者得到资产的访问，这是一种针截取攻击可使非授权者得到资产的访问，这是一种针对机密

14、性的攻击，如图对机密性的攻击，如图2.2c所示。非授权者可以所示。非授权者可以是一个人、一个程序或一台计算机，例如，通过窃听是一个人、一个程序或一台计算机，例如，通过窃听获取网上数据以及非授权的复制文件和程序。获取网上数据以及非授权的复制文件和程序。3 篡改攻击篡改攻击篡改攻击是非授权者不仅访问资产，而且能修改信息，篡改攻击是非授权者不仅访问资产，而且能修改信息，这是一种针对完整性的攻击，如图这是一种针对完整性的攻击，如图2.2d所示。例所示。例如，改变数据文件的值，修改程序以及在网上正在传如，改变数据文件的值，修改程序以及在网上正在传送的报文内容。送的报文内容。4 伪造攻击伪造攻击伪造攻击是

15、非授权者在系统中插入伪造的信息，这是伪造攻击是非授权者在系统中插入伪造的信息，这是一种针对真实性的攻击，如图一种针对真实性的攻击，如图2.2e所示。例如，所示。例如，在网上插入伪造的报文，或在文件中参加一些记录。在网上插入伪造的报文，或在文件中参加一些记录。图2.2 各种安全威胁从攻击方式来看，攻击类型可分为被动攻击和主动攻从攻击方式来看，攻击类型可分为被动攻击和主动攻击，如图击，如图2.3所示。所示。2.2.2 主动攻击与被动攻击主动攻击与被动攻击图2.3 主动和被动安全威胁1.被动攻击被动攻击窃听、监听都具有被动攻击的本性，攻击者的目的是窃听、监听都具有被动攻击的本性，攻击者的目的是获取正

16、在传输的信息。被动攻击包括传输报文内容的获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一泄露和通信流量分析。报文内容的泄露易于理解，一次次 通信、一份电子邮件报文、正在传送的文件都可通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手得悉这能包含敏感信息或秘密信息。为此要防止对手得悉这些传输的内容。些传输的内容。通信流量分析的攻击较难捉摸。假设有一个方法可屏通信流量分析的攻击较难捉摸。假设有一个方法可屏蔽报文内容或其他信息通信，那么即使这些内容被截蔽报文内容或其他信息通信，那么即使这些内容被截获，也无法从这些报文中获得信

17、息。最常用的屏蔽内获，也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容，攻击者仍容技术是加密。然而即使用加密保护内容，攻击者仍有可能观察到这些传输的报文形式。攻击者有可能确有可能观察到这些传输的报文形式。攻击者有可能确定通信主机的位置和标识，也可能观察到正在交换的定通信主机的位置和标识，也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。特性是有用的。对被动攻击的检测十分困难，因为攻击并不涉及数据对被动攻击的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因的

18、任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。此，对被动攻击强调的是阻止而不是检测。2.主动攻击主动攻击主动攻击包含对数据流的某些修改，或者生成一个假主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可分成的数据流。它可分成4类：类：1 伪装伪装伪装是一个实体假装成另一个实体。伪装攻击往往连伪装是一个实体假装成另一个实体。伪装攻击往往连同另一类主动攻击一起进行。例如，身份鉴别的序列同另一类主动攻击一起进行。例如，身份鉴别的序列被捕获，并在有效的身份鉴别发生时作出答复，有可被捕获，并在有效的身份鉴别发生时作出答复，有可能使具有很少特权的实体得到额外的特

19、权，这样不具能使具有很少特权的实体得到额外的特权，这样不具有这些特权的人获得了这些特权。有这些特权的人获得了这些特权。2 答复答复答复攻击包含数据单元的被动捕获，随之再重传这些答复攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。数据，从而产生一个非授权的效果。3 修改报文修改报文修改报文攻击意味着合法报文的某些局部已被修改，修改报文攻击意味着合法报文的某些局部已被修改，或者报文的延迟和重新排序，从而产生非授权的效果。或者报文的延迟和重新排序，从而产生非授权的效果。4 拒绝效劳拒绝效劳拒绝效劳攻击是阻止或禁止通信设施的正常使用和管拒绝效劳攻击是阻止或禁止通信设施的正常使

20、用和管理。这种攻击可能针对专门的目标如安全审计效劳理。这种攻击可能针对专门的目标如安全审计效劳，抑制所有报文直接送到目的站；也可能破坏整个，抑制所有报文直接送到目的站；也可能破坏整个网络，使网络不可用或网络超负荷，从而降低网络性网络，使网络不可用或网络超负荷，从而降低网络性能。能。主动攻击和被动攻击具有相反的特性。被动攻击难以主动攻击和被动攻击具有相反的特性。被动攻击难以检测出来，然而有阻止其成功的方法。而主动攻击难检测出来，然而有阻止其成功的方法。而主动攻击难以绝对地阻止，因为要做到这些，就要对所有通信设以绝对地阻止，因为要做到这些，就要对所有通信设施、通路在任何时间进行完全的保护。因此对主

21、动攻施、通路在任何时间进行完全的保护。因此对主动攻击采取检测的方法，并从破坏中恢复。因为制止的效击采取检测的方法，并从破坏中恢复。因为制止的效应也可能对防止破坏做出奉献。应也可能对防止破坏做出奉献。访问攻击是攻击者企图获得非授权信息，这种攻击可访问攻击是攻击者企图获得非授权信息，这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的能发生在信息驻留在计算机系统中或在网络上传输的情况下，如图情况下，如图2.4所示。这类攻击是针对信息机密性所示。这类攻击是针对信息机密性的攻击。的攻击。2.2.3 访问攻击访问攻击图图2.4 访问攻击可能发生的地方访问攻击可能发生的地方常见的访问攻击有常见的访问攻

22、击有3种：种：1 窥探窥探窥探窥探snooping是查信息文件，发现某些对攻击者是查信息文件，发现某些对攻击者感兴趣的信息。攻击者试图翻开计算机系统的文件，感兴趣的信息。攻击者试图翻开计算机系统的文件，直到找到所需信息。直到找到所需信息。2 窃听窃听窃听窃听eavesdropping是偷听他人的对话，为了得是偷听他人的对话，为了得到非授权的信息访问，攻击者必须将自己放在一个信到非授权的信息访问，攻击者必须将自己放在一个信息通过的地方，一般采用电子的窃听方式，如图息通过的地方，一般采用电子的窃听方式，如图2.5所示。所示。图图2.5 窃听窃听3 截获截获截获截获interception不同于窃听

23、，它是一种主动攻不同于窃听，它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过击方式。攻击者截获信息是通过将自己插入信息通过的通路，且在信息到达目的地前能事先捕获这些信息。的通路，且在信息到达目的地前能事先捕获这些信息。攻击者检查截获的信息，并决定是否将信息送往目的攻击者检查截获的信息，并决定是否将信息送往目的站，如图站，如图2.6所示。所示。图图2.6 截获截获电子信息可存储在桌面计算机、效劳器、笔记本计算电子信息可存储在桌面计算机、效劳器、笔记本计算机、软盘、机、软盘、CD-ROM以及后备磁带中。如没有物理以及后备磁带中。如没有物理安全措施，这些介质可能被偷走，攻击者就很容易得安

24、全措施，这些介质可能被偷走，攻击者就很容易得到所要的信息。到所要的信息。如果攻击者设法取得合法访问权，就可简单地翻开文如果攻击者设法取得合法访问权，就可简单地翻开文件系统。假设访问控制权限设置恰当，系统就可对非件系统。假设访问控制权限设置恰当，系统就可对非授权者拒绝访问。正确的许可权设置可阻止大局部不授权者拒绝访问。正确的许可权设置可阻止大局部不经心的窥视。然而对有意的攻击者企图偷到许可权，经心的窥视。然而对有意的攻击者企图偷到许可权，并阅读文件或降低对文件访问的控制，由于系统有很并阅读文件或降低对文件访问的控制，由于系统有很多漏洞，使得攻击者的这些行动能得逞。多漏洞，使得攻击者的这些行动能得

25、逞。对传输中的信息可通过窃听获得。在局域网中，攻击对传输中的信息可通过窃听获得。在局域网中，攻击者在联到网上的计算机系统中安装一个信息包探测程者在联到网上的计算机系统中安装一个信息包探测程序序sniffer，来捕获在网上的所有通信。通常配置，来捕获在网上的所有通信。通常配置成能捕获成能捕获ID和口令。和口令。窃听也可能发生在广域网如租用线和窃听也可能发生在广域网如租用线和 线中，然线中，然而这类窃听需要更多的技术和设备。通常在设施的接而这类窃听需要更多的技术和设备。通常在设施的接线架上采用线架上采用T形分接头来窃听信息。它不仅用于电缆形分接头来窃听信息。它不仅用于电缆线，也可用于光纤传输线，但

26、需要专门的设备。线，也可用于光纤传输线，但需要专门的设备。使用截获来取得所需信息，对攻击者来说也比较困难。使用截获来取得所需信息，对攻击者来说也比较困难。攻击者必须将自己的系统插入到发送站和接收站之间。攻击者必须将自己的系统插入到发送站和接收站之间。在在Internet上，可通过名字转换的改变来到达目的，上，可通过名字转换的改变来到达目的，即将计算机名转换成一个错误的即将计算机名转换成一个错误的IP地址，如图地址，如图2.7所所示。这样信息就送到攻击者的系统，而不是正确的目示。这样信息就送到攻击者的系统，而不是正确的目的站。如果攻击者正确地配置其系统，发送者和目的的站。如果攻击者正确地配置其系

27、统，发送者和目的站可能永远不知道他是在和攻击者通信。站可能永远不知道他是在和攻击者通信。图图2.7 使用错误的名字转换截获信息使用错误的名字转换截获信息截获还可对已经进行的正常会话接管和转移。这类攻截获还可对已经进行的正常会话接管和转移。这类攻击发生在交互式通信中，如击发生在交互式通信中，如telnet。这时，攻击者必。这时，攻击者必须在客户机或效劳器的同一网段。攻击者让合法用户须在客户机或效劳器的同一网段。攻击者让合法用户开始和效劳器会话，然后使用专门的软件来接管这个开始和效劳器会话，然后使用专门的软件来接管这个会话。这类攻击使攻击者能在效劳器上具有同样的特会话。这类攻击使攻击者能在效劳器上

28、具有同样的特权。权。篡改攻击是攻击者企图修改信息，而他们本来是无权篡改攻击是攻击者企图修改信息，而他们本来是无权修改的。这种攻击可能发生在信息驻留在计算机系统修改的。这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下，是针对信息完整性的攻中或在网络上传输的情况下，是针对信息完整性的攻击。击。常见的篡改攻击有常见的篡改攻击有3种：种：1 改变改变改变已有的信息。例如，攻击者改变已存在的员工工改变已有的信息。例如，攻击者改变已存在的员工工资，改变以后的信息虽然仍存在于该组织，但已经是资，改变以后的信息虽然仍存在于该组织，但已经是不正确的信息。这种改变攻击的目标通常是敏感信息不正确的信息

29、。这种改变攻击的目标通常是敏感信息或公共信息。或公共信息。2.2.4 篡改攻击篡改攻击2 插入插入插入信息可以改变历史的信息。例如，攻击者在银行插入信息可以改变历史的信息。例如，攻击者在银行系统中加一个事务处理，从而将客户账户的资金转到系统中加一个事务处理，从而将客户账户的资金转到自己账户上。自己账户上。3 删除删除删除攻击是将已有的信息去除，可能是将历史记录的删除攻击是将已有的信息去除，可能是将历史记录的信息删除。例如，攻击者将一个事务处理记录从银行信息删除。例如，攻击者将一个事务处理记录从银行结账单中删除，从而造成银行资金的损失。结账单中删除，从而造成银行资金的损失。修改电子信息比修改纸上

30、信息容易得多。假设攻击者修改电子信息比修改纸上信息容易得多。假设攻击者已经访问了文件，可以几乎不留证据地修改。假设攻已经访问了文件，可以几乎不留证据地修改。假设攻击者没有访问文件的权限，则攻击者首先必须提高对击者没有访问文件的权限，则攻击者首先必须提高对系统的访问权，或者移去文件的许可权。在访问攻击系统的访问权，或者移去文件的许可权。在访问攻击中，攻击者利用系统的漏洞获取访问权，然后再修改中，攻击者利用系统的漏洞获取访问权，然后再修改文件。文件。攻击者要改变数据库文件或处理队列更难一些。在某攻击者要改变数据库文件或处理队列更难一些。在某些情况下，事务处理也编成序列号，不正确地移走或些情况下，事

31、务处理也编成序列号，不正确地移走或加一个序列号，会导致系统发出警报。只有对整个系加一个序列号，会导致系统发出警报。只有对整个系统进行变更，才能使篡改不易被觉察。统进行变更，才能使篡改不易被觉察。拒绝效劳攻击拒绝效劳攻击Denial of Service,DOS是拒绝合法是拒绝合法用户使用系统、信息、能力等各种资源。拒绝效劳攻用户使用系统、信息、能力等各种资源。拒绝效劳攻击一般不允许攻击者访问或修改计算机系统的信息。击一般不允许攻击者访问或修改计算机系统的信息。拒绝效劳攻击可分成以下拒绝效劳攻击可分成以下4种：种：1 拒绝访问信息拒绝访问信息拒绝访问信息使信息不可用，不管是信息被破坏或者拒绝访问

32、信息使信息不可用，不管是信息被破坏或者将信息改变成不可使用状态，也可能信息仍存在，但将信息改变成不可使用状态，也可能信息仍存在，但已经被移到不可访问的位置。已经被移到不可访问的位置。2.2.5 拒绝效劳攻击拒绝效劳攻击2 拒绝访问应用拒绝访问应用拒绝访问应用的目标是操纵或显示信息的应用。通常拒绝访问应用的目标是操纵或显示信息的应用。通常对正在运行应用程序的计算机系统进行攻击，这样应对正在运行应用程序的计算机系统进行攻击，这样应用程序不可用，以致不能执行由该应用程序完成的任用程序不可用，以致不能执行由该应用程序完成的任务。务。3 拒绝访问系统拒绝访问系统拒绝访问系统通常是使系统宕机，使运行在该计

33、算机拒绝访问系统通常是使系统宕机，使运行在该计算机系统上的所有应用无法运行，使存储在该计算机系统系统上的所有应用无法运行，使存储在该计算机系统上的所有信息不可用。上的所有信息不可用。4 拒绝访问通信拒绝访问通信拒绝访问通信是针对通信的一种攻击，已有很多年历拒绝访问通信是针对通信的一种攻击，已有很多年历史。这类攻击可能用切断通信电缆、干扰无线电通信史。这类攻击可能用切断通信电缆、干扰无线电通信以及用过量的通信负载来淹没网络。拒绝访问通信的以及用过量的通信负载来淹没网络。拒绝访问通信的目标是通信介质本身，从而阻止用户通过网络访问系目标是通信介质本身，从而阻止用户通过网络访问系统和信息。统和信息。拒

34、绝效劳攻击主要是针对计算机和网络系统。拒绝效劳攻击主要是针对计算机和网络系统。很多方法可以使电子形式的信息遭受拒绝效劳攻击。很多方法可以使电子形式的信息遭受拒绝效劳攻击。在拒绝访问信息的同时，信息有可能被删除，当然这在拒绝访问信息的同时，信息有可能被删除，当然这类攻击需要同时将后备信息也删除。也有可能通过改类攻击需要同时将后备信息也删除。也有可能通过改变文件提供无用信息，例如，攻击者对文件加密并毁变文件提供无用信息，例如，攻击者对文件加密并毁掉密钥，这样任何人都无法访问这些信息。掉密钥，这样任何人都无法访问这些信息。带有信息的计算机也可能被偷走。短期的拒绝效劳攻带有信息的计算机也可能被偷走。短

35、期的拒绝效劳攻击可以简单地将系统关掉，导致系统本身拒绝效劳。击可以简单地将系统关掉，导致系统本身拒绝效劳。拒绝效劳攻击可直接针对系统，使计算机系统破坏。拒绝效劳攻击可直接针对系统，使计算机系统破坏。通过一些漏洞可使应用程序不可用。这类漏洞使攻击通过一些漏洞可使应用程序不可用。这类漏洞使攻击者对应用程序发送一些事先设定的命令，从而使应用者对应用程序发送一些事先设定的命令，从而使应用程序无法正常运行。应用程序看起来像被摧垮一样，程序无法正常运行。应用程序看起来像被摧垮一样，即使重新启动，仍无法运行。即使重新启动，仍无法运行。最容易使通信设施不可用的方法是切断电缆。但这类最容易使通信设施不可用的方法

36、是切断电缆。但这类攻击需要到现场物理访问网络电缆。另一种拒绝效劳攻击需要到现场物理访问网络电缆。另一种拒绝效劳攻击的方法是对一个场地发送大量的通信量，阻止合攻击的方法是对一个场地发送大量的通信量，阻止合法用户使用。法用户使用。否认攻击是针对信息的可审性进行的。否认攻击企图否认攻击是针对信息的可审性进行的。否认攻击企图给出假的信息或者否认已经发生的现实事件或事务处给出假的信息或者否认已经发生的现实事件或事务处理。理。否认攻击包括两类：否认攻击包括两类：1 假冒假冒假冒是攻击者企图装扮或假冒别人和别的系统。这种假冒是攻击者企图装扮或假冒别人和别的系统。这种攻击可能发生在个人通信、事务处理或系统对系

37、统的攻击可能发生在个人通信、事务处理或系统对系统的通信中。通信中。2.2.6 否认攻击否认攻击2 否认否认否认一个事件是简单地抵赖曾经登录和处理的事件。否认一个事件是简单地抵赖曾经登录和处理的事件。例如，一个人用信用卡在商店里购物，然而当账单送例如，一个人用信用卡在商店里购物，然而当账单送到时，告诉信用卡公司，他从未到该商店购物。到时，告诉信用卡公司，他从未到该商店购物。电子信息比纸上信息更易实现否认攻击。电子文本能电子信息比纸上信息更易实现否认攻击。电子文本能生成和发送给别人，而几乎没有发送者身份的证据。生成和发送给别人，而几乎没有发送者身份的证据。例如，发送者发送电子邮件，可以任意改变其发

38、送者例如，发送者发送电子邮件，可以任意改变其发送者地址，电子邮件系统几乎不能验证发送者的身份。地址，电子邮件系统几乎不能验证发送者的身份。同样网上计算机系统发送信息时，可用任何同样网上计算机系统发送信息时，可用任何IP地址，地址，这样的计算机系统就可伪装成另一个系统。这样的计算机系统就可伪装成另一个系统。从本质上讲，安全就是风险管理。一个组织者如果不从本质上讲，安全就是风险管理。一个组织者如果不了解其信息资产的安全风险，很多资源就会被错误地了解其信息资产的安全风险，很多资源就会被错误地使用。风险管理提供信息资产评估的基础。通过风险使用。风险管理提供信息资产评估的基础。通过风险识别，可以知道一些

39、特殊类型的资产价值以及包含这识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。些信息的系统的价值。2.3 风险管理风险管理风险是构成安全基础的基本观念。风险是丧失需要保风险是构成安全基础的基本观念。风险是丧失需要保护的资产的可能性。如果没有风险，就不需要安全了。护的资产的可能性。如果没有风险，就不需要安全了。风险还是从事安全产业者应了解的一个观念。风险还是从事安全产业者应了解的一个观念。以传统的保险业为例来了解风险的含义。一个客户因以传统的保险业为例来了解风险的含义。一个客户因感到危险，所以向保险公司购置保险。买保险前，如感到危险，所以向保险公司购置保险。买保险前，如果出车祸，

40、他需要花很多修理费，买了保险后就可减果出车祸，他需要花很多修理费，买了保险后就可减少花大笔钱的风险。保险公司设定保险费的依据有两少花大笔钱的风险。保险公司设定保险费的依据有两个，一个是汽车修理的费用，另一个是该客户发生车个，一个是汽车修理的费用，另一个是该客户发生车祸的可能性。祸的可能性。2.3.1 风险的概念风险的概念从上面的例子可以看出，风险包含两个局部。第一个从上面的例子可以看出，风险包含两个局部。第一个是车的修理费，如果车祸发生，保险公司就要付这笔是车的修理费，如果车祸发生，保险公司就要付这笔费用，将它定为保险公司的漏洞或脆弱性。第二个是费用，将它定为保险公司的漏洞或脆弱性。第二个是客

41、户发生车祸的可能性，这是对保险公司的威胁，因客户发生车祸的可能性，这是对保险公司的威胁，因为它有可能使保险公司付修理费。因此漏洞和威胁是为它有可能使保险公司付修理费。因此漏洞和威胁是测定风险的两个组成局部。图测定风险的两个组成局部。图2.8表示漏洞和威胁之表示漏洞和威胁之间的关系，由图可知，如果没有威胁，也就没有风险；间的关系，由图可知，如果没有威胁，也就没有风险；同样地，如果没有漏洞，也就没有风险。同样地，如果没有漏洞，也就没有风险。图图2.8 漏洞和威胁的关系漏洞和威胁的关系1.漏洞漏洞漏洞是攻击的可能的途径。漏洞有可能存在于计算机漏洞是攻击的可能的途径。漏洞有可能存在于计算机系统和网络中

42、，它允许翻开系统，使技术攻击得逞。系统和网络中，它允许翻开系统，使技术攻击得逞。漏洞也有可能存在于管理过程中，它使系统环境对攻漏洞也有可能存在于管理过程中，它使系统环境对攻击开放。击开放。漏洞的多少是由需要翻开系统的技术熟练水平和困难漏洞的多少是由需要翻开系统的技术熟练水平和困难程度来确定的，还要考虑系统暴露的后果。如果漏洞程度来确定的，还要考虑系统暴露的后果。如果漏洞易于暴露，并且一旦受到攻击，攻击者可以完全控制易于暴露，并且一旦受到攻击，攻击者可以完全控制系统，则称高值漏洞或高脆弱性。如果攻击者需要对系统，则称高值漏洞或高脆弱性。如果攻击者需要对设备和人员投入很多资源，漏洞才能暴露，并且受

43、到设备和人员投入很多资源，漏洞才能暴露，并且受到攻击后，也只能获取一般信息，而非敏感信息，则称攻击后，也只能获取一般信息，而非敏感信息，则称低值漏洞或低脆弱性。低值漏洞或低脆弱性。漏洞不仅和计算机系统、网络有关，而且和物理场地漏洞不仅和计算机系统、网络有关，而且和物理场地安全、员工的情况、传送中的信息安全等有关。安全、员工的情况、传送中的信息安全等有关。2.威胁威胁威胁是一个可能破坏信息系统环境安全的动作或事件。威胁是一个可能破坏信息系统环境安全的动作或事件。威胁包含以下威胁包含以下3个组成局部：个组成局部：1 目标目标威胁的目标通常是针对安全属性或安全效劳，包括机威胁的目标通常是针对安全属性

44、或安全效劳，包括机密性、完整性、可用性、可审性等。这些目标是在威密性、完整性、可用性、可审性等。这些目标是在威胁背后的真正理由或动机。一个威胁可能有几个目标，胁背后的真正理由或动机。一个威胁可能有几个目标，例如，可审性可能是攻击的首要目标，这样可防止留例如，可审性可能是攻击的首要目标，这样可防止留下攻击者的记录，然后，把机密性作为攻击目标，以下攻击者的记录，然后，把机密性作为攻击目标，以获取一些关键数据。获取一些关键数据。2 代理代理代理需要有代理需要有3个特性：个特性：访问。一个代理必须有访问所需要的系统、网络、设访问。一个代理必须有访问所需要的系统、网络、设施或信息的能力。可以是直接访问，

45、例如，代理有系施或信息的能力。可以是直接访问，例如，代理有系统的账号。也可以是间接访问，例如，代理通过其他统的账号。也可以是间接访问，例如，代理通过其他的方法来访问系统。代理有的访问直接影响到为了翻的方法来访问系统。代理有的访问直接影响到为了翻开漏洞所必须执行的动作的能力。开漏洞所必须执行的动作的能力。知识。一个代理必须具有目标的知识，有用的知识包知识。一个代理必须具有目标的知识，有用的知识包括用户括用户ID、口令、文件位置、物理访问过程、员工、口令、文件位置、物理访问过程、员工的名字、访问的名字、访问 号码、网络地址、安全程序等。代理号码、网络地址、安全程序等。代理对目标越熟悉，就具有越多的

46、存在的漏洞的知识；代对目标越熟悉，就具有越多的存在的漏洞的知识；代理对存在的漏洞知道得越具体，就越能获得更多翻开理对存在的漏洞知道得越具体，就越能获得更多翻开漏洞的知识。漏洞的知识。动机。一个代理对目标发出威胁，需要有动机，通常动机。一个代理对目标发出威胁，需要有动机，通常动机是考虑代理攻击目标的关键特性。动机可能是不动机是考虑代理攻击目标的关键特性。动机可能是不同的，有的为了竞争、挑战；有的是贪心，以获得钱、同的，有的为了竞争、挑战；有的是贪心，以获得钱、物、效劳、信心；有的是对某组织或个人有恶意伤害物、效劳、信心；有的是对某组织或个人有恶意伤害的企图。的企图。根据代理的根据代理的3个特性，

47、应该考虑的代理可能是各种各个特性，应该考虑的代理可能是各种各样的，包括员工、和组织有关的外部员工、黑客、商样的，包括员工、和组织有关的外部员工、黑客、商业对手、业对手、分子、罪犯、客户、访问者以及自然灾害分子、罪犯、客户、访问者以及自然灾害等。等。当考虑这些代理时，应该作出定量的判断，以得出每当考虑这些代理时，应该作出定量的判断，以得出每个代理对访问组织的目标的必要性，根据前面分析的个代理对访问组织的目标的必要性，根据前面分析的漏洞考虑攻击的可能性。漏洞考虑攻击的可能性。3 事件事件事件是代理采取的行为，从而导致对组织的伤害。例事件是代理采取的行为，从而导致对组织的伤害。例如，一个黑客改变一个

48、组织的如，一个黑客改变一个组织的Web页面来伤害它。另页面来伤害它。另外要考虑的是假设代理得到访问会产生什么样的伤害。外要考虑的是假设代理得到访问会产生什么样的伤害。常见的事件如下：常见的事件如下：对信息、系统、场地滥用授权访问；对信息、系统、场地滥用授权访问；恶意地改变信息；恶意地改变信息；偶然地改变信息；偶然地改变信息；对信息、系统、场地非授权访问；对信息、系统、场地非授权访问；恶意地破坏信息、系统、场地；恶意地破坏信息、系统、场地；偶然地破坏信息、系统、场地；偶然地破坏信息、系统、场地；对系统和操作的恶意物理损害；对系统和操作的恶意物理损害；对系统和操作的偶然物理损害；对系统和操作的偶然

49、物理损害；由于自然物理事件引起的系统和操作的损害；由于自然物理事件引起的系统和操作的损害；引入对系统的恶意软件；引入对系统的恶意软件；破坏内部或外部的通信；破坏内部或外部的通信；被动地窃听内部或外部的通信；被动地窃听内部或外部的通信；偷窃硬件。偷窃硬件。3.威胁漏洞风险威胁漏洞风险风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险，没有威胁的漏洞也没有风险。风险的度量是要风险，没有威胁的漏洞也没有风险。风险的度量是要确定事件发生的可能性。风险可划分成低、中、高确定事件发生的可能性。风险可划分成低、中、高个级别。个级别。1 低级别风险是漏洞使组织的风

50、险到达一定水平，低级别风险是漏洞使组织的风险到达一定水平，然而不一定发生。如有可能应将这些漏洞去除，但应然而不一定发生。如有可能应将这些漏洞去除，但应权衡去除漏洞的代价和能减少的风险损失。权衡去除漏洞的代价和能减少的风险损失。2 中级别风险是漏洞使组织的信息系统或场地的中级别风险是漏洞使组织的信息系统或场地的风险机密性、完整性、可用性、可审性到达相当风险机密性、完整性、可用性、可审性到达相当的水平，并且已有发生事件的现实可能性。应采取措的水平，并且已有发生事件的现实可能性。应采取措施去除漏洞。施去除漏洞。3 高级别风险是漏洞对组织的信息、系统或场地高级别风险是漏洞对组织的信息、系统或场地的机密