作者: 晓兵, 出处:安全风险评估,信息安全, 责任编辑: 张帅, 2008-06-18 11:04
风险评估的目标分为安全手段评估和实际安全效果评估。安全手段包括技术体系、组织体系、管理体系等;安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。
【IT专家网独家】一、计算机风险评估体系的反思
现有的风险评估机制已经构成了一个纷繁复杂的体系,由很多环境和层面构成,有其成熟的模型和标准,这使得整个风险机构的实施必须依赖于一个系统的专家团队和一个系统的方法来运行。
风险评估所评估的目标分为安全手段评估和实际安全效果评估两个方面。安全手段包括技术体系、组织体系、管理体系等。安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。为了达到这些评估目标,采取了一系列的数据采集手段,包括安全扫描、手工检查、渗透测试、安全审计、安全策略评估等。
那么,这样一个复杂的模型是放之四海而皆准的,具备可操作和可实施性么?相关的评估目标有效的达成了吗?相关手段能满足要求吗?
针对目前的两个趋势,现有风险评估体系已经开始显得鞭长莫及:一方面是安全机构目前受整个国家等级保护政策和法律的推动,要进行大面积的普及,这样就势必带来了更大的精度和更快的检测速度的压力,同时,需要迅速的向它的基层和分支机构来普及,那么一个复杂的模型是这些基层的技术人员能够掌握的吗?面对如此大规模的检测对象,传统的工具加人工操作的检测方式能否满足现实中高效检测的这种需要呢?同时,这种依赖于操作人员技术水平和问卷问询对象反馈结果的评估结论又能多少真实的反映了系统的实际安全状况呢?
另一方面则是大量用户的现状,我们国家有大量的中小企业,大量的地方基层部门,其现状犹如IBM的广告语说的,“就这么几个人,就这么点钱,就这么一个懂电脑的”,那么这样的现状,能否承受得住这种需要大笔资金投入、大量技术力量参与的评估模式?他们能够应用这样的一个复杂体系去衡量自己的信息系统吗?
二、主机安全检测的挑战
上述的质疑主要是从其模型和实施难度角度, 现在我们从风险评估的采集手段角度拿主机的安全检查来说明一下问题。在信息系统中,其根本中枢就是一台台主机,包括服务器工作站节点,在其上运行的数据是信息系统的核心资产,是信息威胁的主要侵害对象,也应该是风险评估的主要的研究目标。主机上的情况实际上要复杂很多,从归纳的角度可以划分成了系统和应用两个部分,在上面真实的逻辑存在,包括了引导、驱动、服务、进程,配置、主机、端口各种数据等,同时又进行了各种受访、外联等相应的操作。这种情况将会受到本地攻击、远程攻击、对外访问引入攻击、恶意代码、有害网络内容等综合威胁,主机在受到攻击的同时,也保留着部分各种攻击所遗留下来的痕迹和相应的后果。
面对这样一个麻雀虽小、五脏俱全的体系,现有的评估手段能满足要求吗?我们目前有两个最典型的手段,一个是扫描器,扫描器实际上是通过远程发包,通过对应答情况和内容来判定主机的隐患。它是以主机的开放网络服务和端口角度入手工作的。对整个这样一个纷繁复杂的主机情况,能够获取的数据非常有限,扫描器固然有它的优点,如能够真实判断主机上漏洞的可利用性、单点部署扫描全网等,但由于它没有主机权限,它检测不到主机很多的脆弱点。比如最典型的用户是否会因插入U盘感染熊猫烧香这样的病毒、用户访问恶意网页是否会被木马注入等,都是扫描器无法判定的。
针对主机另一种常用的风险评估方法就是问卷调查,问卷的典型性就是把网内过去发生过的事件通过人工应答的方式体现,它的优点就是不与主机接触,可以避免本身带来安全隐患。但是这种方法容易产生偏差,在风险评估实践中,有两种情况是无法避免的。一种是故意缩小风险,主要担心承担责任,另外一种就是故意夸大风险,目的是为了增加一些安全采购。
另外,问卷本身也会存在问题,就是会有许多专业概念,许多是用户无法正确理解的,如果用户不理解,就不可能填写正确,但如果为了让用户理解,我们需要非常巨大的教育成本。因此,问卷调查本身是一种不可靠而低效的方式。
还有一个问题,就是现有的评估主要是侧重于手段的体系的合理性和完备性。像安全审计,它是考量体系的实施情况,比如它用“是否安装反病毒软件”来替代对机器上是否有病毒的真实检查,用“用户是否安装了防火墙”来替代是否有网络攻击危险。
这种评估核心是一种对手段的评估,而不是对当前信息系统的一个真实状况的评估。它在一定程度上解决了物理安全和内容安全问题,但是对于运行安全和数据安全的实际状况则没有形成一个测试评价体系。而安全扫描,则是对主机系统仅仅进行一个非常有限的检测,手工检查是非常低效的检测,而渗透测试则是一种不可靠的检测。
那么,现有的风险评估技术手段,能够达成完整的一个支撑风险评估结论是值得怀疑的。
三、恶意代码与风险评估
在现有体系中,还缺少一个主角,那就是恶意代码的安全评估。比如,CIH病毒事件造成全球16亿美元的损失;80%以上的泄密事件是由木马和后门所导致;99%的DDoS攻击事件是僵尸网络发起的。国家计算机病毒中心的数据表明,2007年,全国的计算机有92.47%感染了恶意代码。
我们假设一个这样的场景,一个内网文件服务器在防火墙内,防火墙对外屏蔽了137到139等端口的访问,现在有两个安全问题,一个是作为2003系统的Server空口令,一个是感染了木马,这两个问题哪一个更加严重?实际上第二个更加严重。对于 Server空口令,连接已经被阻断了,但是木马直接通过防火墙还可以反弹穿透过去。所以传统的风险评估体系没有把恶意代码和恶意危害作为指标考量进来是有问题的。
我们再看一个这样的例子,一个安全检查产品用了几十条注册表规则检测木马,但目前全球的木马总数已经超过16万种,所以一些传统的提供安全的厂商缺乏这方面的积累。反病毒厂商也有自己的尴尬,比如有这样一个实际的客户端安全调查的结果,查出了五种恶意代码,但是他们的威胁是什么样的,造成的后果哪些是严重的,哪些是可以忽略不计的,这些它们并没进行分析和统计。所以空有监测手段,没有恶意代码的风险级别体系也是不够的。
四、风险评估的需求与探索
实际应用中到底需要什么样的风险评估模型?首先,它要有利于在基层中广泛推广,便于地方执行。因此,这个模型一定要化繁为简,返璞归真。通过主机的安全环节,将原有的评价体系变成一种简要的评价体系。其次,去粗取精,将最能表现矛盾的地方展示出来,把恶意代码这样的重大威胁纳入整个模型。
因此可将信息系统的安全事件划分成隐患、威胁和后果三个层次。隐患是可能造成风险的所有环节,一个主机只要活动它的隐患就存在,这是它本身需要提供服务的特性所决定的。威胁是可能带来直接后果的环节,比如说没有打补丁不一定已经被攻击了,但是造成了威胁。后果,就是已经发生的恶意事件,比如由于没有打补丁而引来的恶意代码注入。
在产品形态方面,它应该便于携带,同时还应该考虑到涉密等多种需要,要能满足多种启动方式。
而在检测项目和操作环节上,应该充分考虑用户宽泛的需求定制和保密检查。用户可以选择综合检查或分项检查,可以检测一些保密检查内容,也可以检测一些本身的安全配置环节,比如说系统杀毒软件的信息等。
另外,针对专家型用户的深度技术需要,还应该提供一些取证级别的配套工具来进行深入全面地分析。
还有一个重要的问题就是未知病毒的检测问题。除了依靠反病毒引擎的检测之外,还应该配备一个海量的白名单,与反病毒引擎进行配合,这样能够更好地检测未知病毒。
上述是对风险评估体系的一点粗浅的见解,希望能够抛砖引玉。