1. 風險評價4種方法
在風險評估過程中,可以採用多種操作方法,包括基於知識(Knowledge-based)的分析方法、基於模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,無論何種方法,共同的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。一、基於知識的分析方法在基線風險評估時,組織可以採用基於知識的分析方法來找出目前的安全狀況和基線安全標准之間的差距。基於知識的分析方法又稱作經驗方法,它牽涉到對來自類似組織(包括規模、商務目標和市場等)的「最佳慣例」的重用,適合一般性的信息安全社團。採用基於知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑採集相關信息,識別組織的風險所在和當前的安全措施,與特定的標准或最佳慣例進行比較,從中找出不符合的地方,並按照標准或最佳慣例的推薦選擇安全措施,最終達到消減和控制風險的目的。基於知識的分析方法,最重要的還在於評估信息的採集,信息源包括:1.會議討論;2.對當前的信息安全策略和相關文檔進行復查;3.製作問卷,進行調查;4.對相關人員進行訪談;5.進行實地考察。為了簡化評估工作,組織可以採用一些輔助性的自動化工具,這些工具可以幫助組織擬訂符合特定標准要求的問卷,然後對解答結果進行綜合分析,在與特定標准比較之後給出最終的推薦報告。市場上可選的此類工具有多種,Cobra 就是典型的一種。二、基於模型的分析方法2001 年1 月,由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發了一個名為CORAS 的項目,即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發一個基於面向對象建模特別是UML 技術的風險評估框架,它的評估對象是對安全要求很高的一般性的系統,特別是IT 系統的安全。CORAS 考慮到技術、人員以及所有與組織安全相關的方面,通過CORAS 風險評估,組織可以定義、獲取並維護IT 系統的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。與傳統的定性和定量分析類似,CORAS 風險評估沿用了識別風險、分析風險、評價並處理風險這樣的過程,但其度量風險的方法則完全不同,所有的分析過程都是基於面向對象的模型來進行的。CORAS 的優點在於:提高了對安全相關特性描述的精確性,改善了分析結果的質量;圖形化的建模機制便於溝通,減少了理解上的偏差;加強了不同評估方法互操作的效率;等等。三、定量分析進行詳細風險分析時,除了可以使用基於知識的評估方法外,最傳統的還是定量和定性分析的方法。定量分析方法的思想很明確:對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結果就都可以被量化了。簡單說,定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。定量風險分析中有幾個重要的概念:暴露因子(Exposure Factor,EF)—— 特定威脅對特定資產造成損失的百分比,或者說損失的程度。單一損失期望(Single Loss Expectancy,SLE)—— 或者稱作SOC(Single OccuranceCosts),即特定威脅可能造成的潛在損失總量。年度發生率(Annualized Rate of Occurrence,ARO)—— 即威脅在一年內估計會發生的頻率。年度損失期望(Annualized Loss Expectancy,ALE)—— 或者稱作EAC(EstimatedAnnual Cost),表示特定資產在一年內遭受損失的預期值。考察定量分析的過程,從中就能看到這幾個概念之間的關系:(1) 首先,識別資產並為資產賦值;(2) 通過威脅和弱點評估,評價特定威脅作用於特定資產所造成的影響,即EF(取值在0%~100%之間);(3) 計算特定威脅發生的頻率,即ARO;(4) 計算資產的SLE:SLE = Asset Value × EF(5) 計算資產的ALE:ALE = SLE × ARO這里舉個例子:假定某公司投資500,000 美元建了一個網路運營中心,其最大的威脅是火災,一旦火災發生,網路運營中心的估計損失程度是45%。根據消防部門推斷,該網路運營中心所在的地區每5 年會發生一次火災,於是我們得出了ARO 為0.20 的結果。基於以上數據,該公司網路運營中心的ALE 將是45,000 美元。我們可以看到,對定量分析來說,有兩個指標是最為關鍵的,一個是事件發生的可能性(可以用ARO 表示),另一個就是威脅事件可能引起的損失(用EF 來表示)。理論上講,通過定量分析可以對安全風險進行准確的分級,但這有個前提,那就是可供參考的數據指標是准確的,可事實上,在信息系統日益復雜多變的今天,定量分析所依據的數據的可靠性是很難保證的,再加上數據統計缺乏長期性,計算過程又極易出錯,這就給分析的細化帶來了很大困難,所以,目前的信息安全風險分析,採用定量分析或者純定量分析方法的已經比較少了。四、定性分析定性分析方法是目前採用最為廣泛的一種方法,它帶有很強的主觀性,往往需要憑借分析者的經驗和直覺,或者業界的標准和慣例,為風險管理諸要素(資產價值,威脅的可能性,弱點被利用的容易度,現有控制措施的效力等)的大小或高低程度定性分級,例如「高」、「中」、「低」三級。定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi 方法)、檢查列表(Checklist)、問卷(Questionnaire)、人員訪談(Interview)、調查(Survey)等。定性分析操作起來相對容易,但也可能因為操作者經驗和直覺的偏差而使分析結果失准。與定量分析相比較,定性分析的准確性稍好但精確性不夠,定量分析則相反;定性分析沒有定量分析那樣繁多的計算負擔,但卻要求分析者具備一定的經驗和能力;定量分析依賴大量的統計數據,而定性分析沒有這方面的要求;定性分析較為主觀,定量分析基於客觀;此外,定量分析的結果很直觀,容易理解,而定性分析的結果則很難有統一的解釋。組織可以根據具體的情況來選擇定性或定量的分析方法。
2. 入侵檢測是檢測什麼
入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測技術
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統
入侵檢測技術的分類:
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1 .特徵檢測:
特徵檢測 (Signature-based detection) 又稱 Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2 .異常檢測:
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
入侵檢測系統的工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定文件的文件(黑客隱藏了初試文件並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡,因此,充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄「用戶活動」類型的日誌,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網路硬體連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟體。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然後利用這些設備訪問網路。例如,用戶在家裡可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那麼這一撥號訪問就成為了威脅網路安全的後門。黑客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有信息等等。
信號分析
對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字元串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測准確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,目前正處於研究熱點和迅速發展之中。
3.完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時響應。盡管如此,完整性檢測方法還應該是網路安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網路系統進行全面地掃描檢查。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。
入侵檢測功能
·監督並分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在於:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,並向相應人員報警,以作出防禦反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網路協議的漏洞
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網路的硬體及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究