信息安全典型风险评估案例结果分析.pptVIP

三. 建议 为了建立起有效信息系统安全流程，必须有足够的资源、管理层的认可、以及充分的优先权。尤其是下列因素： 改善安全政策和流程 增加用户的意识以及责任 保证网络安全人员有足够的时间和训练 开发更有效的技术性保护和监视程序 评估国防紧急响应能力 第三十页，共四十七页。 后续影响 第三十一页，共四十七页。 1996年5月20日GAO的报告发表 1996年7月15日克林顿发布13010号总统行政令，成立由总统牵头、十个部长参加的关键基础设施保护委员会。 1998年至2001年10月克林顿和布什两届政府连续发布四个总统令（PDD63等） ，巩固和加强顶层协调。 2000年1月公布“保护网络空间国家计划”。 2003年3月公布“保护网络空间国家战略” 第三十二页，共四十七页。 2001和2002财年的联邦政府信息安全管理报告，将最重要的24个部门的信息安全的风险评估状况，作为信息安全考核的6个指标之一，放在第一的位置。 2003财年的联邦政府信息安全管理报告，又将考核的范围扩大了50个独立总局，并将风险评估基础上的认证认可作为一项新考核指标。 1998年开始美国政府出资（特别是2002年以后） ，由ＮＩＳＴ制订相关指导性文件和标准，推动风险评估和风险管理工作的开展，这一过程还在发展中。 第三十三页，共四十七页。 典型风险评估案例结果分析 贾 颖 禾 国务院信息化工作办公室 网络与信息安全组 2004年6月11日 第一页，共四十七页。 典型风险评估案例结果分析源自1996年美国国会总审计署（GAO）的报告的研究 第二页，共四十七页。 （GAO） 对国防部的计算机攻击带来不断增加的风险 （Computer Attacks at Department of Defense Pose Increasing Risks） 第三页，共四十七页。 目的 匿名的和未授权的用户正在不断的攻击和非法访问国防部计算机系统的敏感信息，给国家安全带来了很大威胁。 在这种情况下，GAO被邀请对国防信息网络进行风险评估，以便确定哪些国防系统正在遭受攻击、信息系统受到损害的可能性以及国防系统保护敏感信息所面临的挑战。 第四页，共四十七页。 第一部分：典型个案 罗马实验室攻击案例 第五页，共四十七页。 罗马实验室（Rome Laboratory, New York）位于美国纽约州，是美国空军的一个重要的军事设施。研究项目包括：战术模拟系统、雷达引导系统、目标探测和跟踪系统等等。该实验室在互联网上与多家国防研究单位互联。 第六页，共四十七页。 在1994年3月至4月间，两个黑客（一个英国黑客、一个不明国籍）对该实验室进行了多达150次的攻击。 他们使用了木马程序和嗅探器（sniffer）来访问并控制罗马实验室的网络。另外，他们采取了一定的措施使得他们很难被反跟踪。 他们没有直接访问罗马实验室，而是首先拨号到南美（智利和哥伦比亚），然后在通过东海岸的商业Internet站点，连接到罗马实验室。 第七页，共四十七页。 攻击者控制罗马实验室的支持信息系统许多天，并且建立了同外部Internet的连接。在这期间，他们拷贝并下载了许多机密的数据，包括象国防任务指令系统的数据。 通过伪装成罗马实验室的合法用户，他们同时成功的连接到了其他重要的政府网络，并实施了成功的攻击。包括（National Aeronautics and Space administration’s(NASA) Goddard Space Flight Center，Wright-Patterson Air Force Base，some Defense contractors， and other private sector organizations） 第八页，共四十七页。 第九页，共四十七页。 美国空军信息中心（Air Force Information Warfare Center (AFIWC)）估计这次攻击使得政府为这次事件花费了$500,000。这包括将网络隔离、验证系统的完整性、安全安全补丁、恢复系统以及调查费用等等。 从计算机系统中丢失的及其有价值的数据的损失是无法估量的。比如：罗马实验室用了3年的时间，花费了400万美圆进行的空军指令性研究项目，已经无法实施。 第十页，共四十七页。 其它的攻击案例一 1995年到1996年，一个攻击者从亚立桑那州利用互联网访问了一个美国大学的计算机系统，以它为跳板，进入了美国海军研究实验室、NASA、Los Alamos国家实验室的网络中。这些网络中存储了大