王東揚(yáng)+楊利濤+李昆菊+張哲

（裝甲兵工程學(xué)院）

摘 要： 涉密局域網(wǎng)安全風(fēng)險(xiǎn)評(píng)估是保證涉密網(wǎng)絡(luò)安全的重要手段，是網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)管理的重要內(nèi)容，本文在研究了現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法的基礎(chǔ)上 ，提出在涉密局域網(wǎng)絡(luò)引入OCTAVE風(fēng)險(xiǎn)評(píng)估方法，以加強(qiáng)涉密局域網(wǎng)絡(luò)的安全性，并對(duì)OCTAVE在涉密局域網(wǎng)絡(luò)中的應(yīng)用進(jìn)行了詳細(xì)分析，為涉密局域網(wǎng)的安全性提出了幾點(diǎn)安全措施及建議。

關(guān)鍵詞： OCTAVE；評(píng)估

1 引言

在以信息化為主體的時(shí)代，涉密局域網(wǎng)安全保密要求越發(fā)突出，建設(shè)涉密局域網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全管理工作的第一步，明確在建設(shè)中網(wǎng)絡(luò)自身的安全現(xiàn)狀，確立重點(diǎn)保護(hù)對(duì)象，找出存在的問題、隱患和漏洞，對(duì)潛在的安全威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析，以便采取有針對(duì)性的策略措施，最大程度地降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，建立真正意義上的切實(shí)可行的安全體系。OCTAVE風(fēng)險(xiǎn)評(píng)估方法是廣泛應(yīng)用的一種風(fēng)險(xiǎn)評(píng)估方法，由于其自導(dǎo)向及組合評(píng)估的特點(diǎn)，非常有利于涉密局域網(wǎng)的安全。本文提出了在涉密局域網(wǎng)中采用OCTAVE風(fēng)險(xiǎn)評(píng)估方法，并對(duì)其具體應(yīng)用進(jìn)行分析，為提高涉密網(wǎng)路的安全性提出了相關(guān)建議。

2OCTAVE在涉密局域網(wǎng)風(fēng)險(xiǎn)評(píng)估方法

2.1基本原則

OCTAVE法（Operationally Critical Threat，Asset and Vulnerability Evaluation，可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估）是由美國(guó)卡內(nèi)基·梅隆大學(xué)下屬CERT中心于1999年開發(fā)的用來(lái)定義安全風(fēng)險(xiǎn)評(píng)估方法的典型代表，是一種綜合的、系統(tǒng)的、與具體環(huán)境相關(guān)和自主的安全風(fēng)險(xiǎn)評(píng)估方法。OCTAVE安全風(fēng)險(xiǎn)評(píng)估以自主、適應(yīng)度量、執(zhí)行一定義的過(guò)程、連續(xù)過(guò)程的基礎(chǔ)。

2.2主要因素

OCTAVE是一種基于涉密網(wǎng)絡(luò)資產(chǎn)驅(qū)動(dòng)評(píng)估方法，它根據(jù)涉密網(wǎng)絡(luò)的資產(chǎn)所處的保密環(huán)境來(lái)搭建組織的風(fēng)險(xiǎn)框架。同時(shí)，涉密資產(chǎn)也是組織評(píng)估的業(yè)務(wù)目標(biāo)，以及進(jìn)行評(píng)估時(shí)收集的與安全相關(guān)的信息之間的聯(lián)系手段。OCTAVE法所評(píng)估的對(duì)象是那些被判定為對(duì)網(wǎng)路涉密程度最高的關(guān)鍵資產(chǎn)，一般涉密資產(chǎn)、威脅類型、威脅所涉及的區(qū)域、威脅發(fā)生的結(jié)果、結(jié)果產(chǎn)生的影響以及影響程度聯(lián)系在一起，以確定緩解風(fēng)險(xiǎn)的計(jì)劃，在這個(gè)過(guò)程中需要建立一系列表格，將各部分的內(nèi)容對(duì)應(yīng)起來(lái)，其中威脅源可為以下類型人故意行為、人為意外行為、系統(tǒng)問題、其他問題等。

2.3評(píng)估層次

OCTAVE使用組織的資產(chǎn)作為重點(diǎn)考慮對(duì)象，使評(píng)估活動(dòng)中必須考慮的威脅和風(fēng)險(xiǎn)數(shù)量大大減少，它使用一種三階段八過(guò)程的方法對(duì)組織問題和技術(shù)問題進(jìn)行研究。

2.3.1第一階段，建立基于資產(chǎn)的威脅配置文件：

從組織單位的角度進(jìn)行的評(píng)估，組織的全體涉密人員闡述他們的看法，如什么對(duì)單位重要（與信息相關(guān)的資產(chǎn)），當(dāng)前應(yīng)該采取什么措施來(lái)保護(hù)這些資產(chǎn)等等。分析整理這些信息，確定對(duì)組織單位最重要的資產(chǎn)（關(guān)鍵資產(chǎn)），并識(shí)別出這些資產(chǎn)的威脅。配置文件通過(guò)以下屬性來(lái)對(duì)威脅進(jìn)行形式化的識(shí)別：設(shè)備資產(chǎn)、訪問方式、主角、動(dòng)機(jī)、結(jié)果，如圖 1 和圖 2 。

第二階段，識(shí)別基礎(chǔ)設(shè)施的薄弱點(diǎn)：

在此階段，分析團(tuán)隊(duì)識(shí)別出與每種關(guān)鍵資產(chǎn)相關(guān)的關(guān)鍵涉密網(wǎng)絡(luò)和組件，然后對(duì)這些關(guān)鍵組件進(jìn)行分析，找出關(guān)鍵資產(chǎn)存在的技術(shù)上的脆弱點(diǎn)。

第三階段，制定安全策略和計(jì)劃：

在此階段，分析團(tuán)隊(duì)識(shí)別出組織單位的關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)，并確定要采取的措施。根據(jù)對(duì)收集到的信息所做的分析，為組織單位制定保護(hù)策略和風(fēng)險(xiǎn)減緩計(jì)劃，以解決關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。

2.4主要安全威脅

在此階段的評(píng)估中，需要利用第一階段中資產(chǎn)的識(shí)別及分類結(jié)果對(duì)重要資產(chǎn)進(jìn)行威脅性分析。涉密局域網(wǎng)面臨的安全威脅基本可以分為兩類：一類是非人為的安全威脅，另一類是人為造成的安全威脅。

2.4.1非人為安全威脅

非人為的安全威脅主要分為兩類，一類是自然災(zāi)難，另一類為技術(shù)局限性。涉密局域網(wǎng)絡(luò)都是在一定的地理環(huán)境下運(yùn)行，自然災(zāi)難對(duì)網(wǎng)絡(luò)的威脅也是非常嚴(yán)重的，典型的自然災(zāi)難包括地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等。自然災(zāi)難可以對(duì)網(wǎng)絡(luò)造成毀滅性的破壞。

同所有技術(shù)一樣，網(wǎng)絡(luò)安全也不是十全十美的，技術(shù)本身也存在局限性、漏洞和缺陷，人們很難預(yù)先知道。典型的漏洞包括系統(tǒng)、硬件、軟件的設(shè)計(jì)漏洞、實(shí)現(xiàn)漏洞和配置漏洞。涉密網(wǎng)絡(luò)的高度復(fù)雜性，信息技術(shù)的高速發(fā)展和變化，使得涉密網(wǎng)絡(luò)的漏洞成為嚴(yán)重威脅涉密網(wǎng)絡(luò)安全的最大隱患。

2.4.2人為安全威脅

2.4.2.1內(nèi)部人員安全威脅。內(nèi)部人員安全威脅往往由內(nèi)部合法人員造成，他們具有對(duì)涉密網(wǎng)絡(luò)的合法訪問權(quán)限。內(nèi)部安全威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。內(nèi)部人員惡意攻擊出于各種目的，對(duì)所使用的涉密網(wǎng)絡(luò)實(shí)施攻擊；非惡意威脅則是由于合法用戶的無(wú)意行為造成了對(duì)涉密網(wǎng)絡(luò)的攻擊，如將系統(tǒng)口令泄露給他人、或未妥善保管存有重要信息的介質(zhì)而使信息被他人竊取等，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經(jīng)驗(yàn)不足、培訓(xùn)不足而導(dǎo)致一些特殊的行為，對(duì)網(wǎng)絡(luò)安全性造成了無(wú)意的破壞。典型的內(nèi)部攻擊有；惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)；惡意建立未授權(quán)的網(wǎng)絡(luò)連接；惡意的物理?yè)p壞和破壞；無(wú)意的數(shù)據(jù)損壞和破壞等。

2.4.2.2被動(dòng)攻擊威脅。這類攻擊主要包括被動(dòng)監(jiān)視開放的通信信道（如無(wú)線電、衛(wèi)星、微波和公共通信網(wǎng)絡(luò)）上的信息傳送。被動(dòng)攻擊主要是了解所傳送的信息，一般不易被發(fā)現(xiàn)。典型的被動(dòng)攻擊有：監(jiān)視通信數(shù)據(jù)；解密加密不善的通信數(shù)據(jù)；口令截獲等。

2.4.2.3主動(dòng)攻擊威脅。主動(dòng)攻擊為攻擊者主動(dòng)對(duì)涉密網(wǎng)絡(luò)實(shí)施攻擊，包括企圖避開安全保護(hù)、引入惡意代碼，以及破壞數(shù)據(jù)和系統(tǒng)的完整性。典型的例子有：修改數(shù)據(jù)；截獲數(shù)據(jù)；插入數(shù)據(jù)；盜取合法建立的會(huì)話，越權(quán)訪問；利用緩存區(qū)溢出（BOF）漏洞執(zhí)行代碼；插入和利用惡意代碼（如木馬、后門、病毒等）；利用協(xié)議、軟件、系統(tǒng)故障和后門；拒絕服務(wù)攻擊等。

2.4.2.4臨近攻擊威脅。此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，目的是修改、收集信息，或者破壞系統(tǒng)。在涉密網(wǎng)絡(luò)，臨近攻擊最容易發(fā)生在沒有良好保安措施的地方；此外，缺乏安全意識(shí)也容易造成臨近攻擊。這種接近可以是公開的和秘密進(jìn)入的，也可以是兩種都有。典型的臨近攻擊有：偷取磁盤后又還回；偷窺屏幕信息；收集作廢的打印紙；物理毀壞通信線路等。

2.4.2.5分發(fā)攻擊威脅。分發(fā)攻擊是指在網(wǎng)絡(luò)涉及硬件的開發(fā)、生產(chǎn)、運(yùn)輸、安裝階段，攻擊者惡意修改設(shè)計(jì)、配置等行為。在涉密網(wǎng)絡(luò)中，尤其要注意使用合法的國(guó)內(nèi)軟件產(chǎn)品，從正式廠家選購(gòu)硬件產(chǎn)品，由有保密資質(zhì)的集成商和服務(wù)商提供外包服務(wù)，否則，設(shè)備、軟件的采購(gòu)和交付，系統(tǒng)建設(shè)等將成為安全威脅的主要來(lái)源之一。典型的分發(fā)攻擊有：利用開發(fā)制造商的設(shè)備上修改軟硬件配置；在產(chǎn)品分發(fā)、安裝時(shí)修改軟硬件配置等。

2.5安全策略

針對(duì)前兩個(gè)階段內(nèi)對(duì)涉密網(wǎng)絡(luò)的資產(chǎn)的識(shí)別及分類、安全威脅的確定以及脆弱性分析，在本階段的評(píng)估中，我們會(huì)根據(jù)涉密網(wǎng)絡(luò)的特點(diǎn)及前面所得到的結(jié)論對(duì)涉密網(wǎng)絡(luò)提出以下幾點(diǎn)安全策略：

2.5.1建立良好的系統(tǒng)體系結(jié)構(gòu)：此項(xiàng)工作應(yīng)在建立系統(tǒng)初期完成。建立涉密網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，應(yīng)明確劃分系統(tǒng)的各層次/部分、各層次/部分具有的功能及提供的服務(wù)、對(duì)各層次/部分網(wǎng)絡(luò)能進(jìn)行訪問及操作的人員，對(duì)整體局域網(wǎng)、子網(wǎng)及VPN專用網(wǎng)進(jìn)行良好地規(guī)劃以方便管理。

2.5.2配置安全的系統(tǒng)防護(hù)措施：系統(tǒng)的安全防護(hù)措施包括物理安全、網(wǎng)絡(luò)安全兩大方面。其中，物理安全指設(shè)備在安全的環(huán)境下運(yùn)行，有很好的制度或管理員制度確保系統(tǒng)設(shè)備不會(huì)受到人為的損壞及攻擊。網(wǎng)絡(luò)安全從總體來(lái)看是在網(wǎng)絡(luò)邊緣配備防火墻、IDS及病毒掃描設(shè)備或系統(tǒng)。

2.5.3制定合理的安全管理措施：這主要包括：a.制定涉密信息安全策略。涉密信息安全策略是實(shí)施所有涉密網(wǎng)絡(luò)安全措施的根本出發(fā)點(diǎn)，是涉密網(wǎng)絡(luò)安全目標(biāo)的明確表達(dá)，因此，每一個(gè)涉密網(wǎng)絡(luò)都應(yīng)該制定相應(yīng)的信息安全策略。b.設(shè)立安全管理單位，確定其職責(zé)、職能，建立相應(yīng)的管理制度。c.對(duì)涉密網(wǎng)絡(luò)信息資產(chǎn)進(jìn)行管理。信息資產(chǎn)是信息安全保護(hù)的最小單元，因此，必須明確信息是重要的信息資產(chǎn)。典型的信息資產(chǎn)有各類數(shù)字化的網(wǎng)絡(luò)文檔、網(wǎng)絡(luò)數(shù)據(jù)、訪問記錄等，此外涉密網(wǎng)絡(luò)中的軟件、硬件、通信設(shè)施、通信帶寬等也是重要的信息資產(chǎn)，應(yīng)該予以明確，進(jìn)行管理。d.對(duì)人員實(shí)施安全管理。人員的安全管理包括人員培訓(xùn)、安全意識(shí)的宣傳教育、敏感部門人員的篩選、保密協(xié)議等。e.對(duì)涉密網(wǎng)絡(luò)的物理環(huán)境實(shí)施安全保護(hù)。物理防護(hù)是涉密網(wǎng)絡(luò)安全保護(hù)的基礎(chǔ)，它的主要內(nèi)容包括防火、防盜、防自然災(zāi)害等。f.制定網(wǎng)絡(luò)涉密相應(yīng)的通信和操作規(guī)程、規(guī)定。g.網(wǎng)絡(luò)涉密的開發(fā)和維護(hù)實(shí)施安全管理。

2.5.4培養(yǎng)良好的用戶安全意識(shí)：涉密網(wǎng)絡(luò)中存在的最大安全隱患是系統(tǒng)內(nèi)部人員。先不考慮有不良意圖的內(nèi)部人員，一般內(nèi)部涉密人員首先要具有良好的安全意識(shí)，如對(duì)個(gè)人電腦設(shè)置口令、妥善保管自己的電腦口令及電子網(wǎng)絡(luò)的系統(tǒng)口令、對(duì)一些重要文件及資料的保存及網(wǎng)上傳輸都應(yīng)進(jìn)行相應(yīng)的安全保護(hù)、對(duì)個(gè)人的辦公機(jī)器進(jìn)行安全性維護(hù)（如及時(shí)更新系統(tǒng)、安全防病毒軟件、有良好的上網(wǎng)習(xí)慣等）。以上這些都是涉密網(wǎng)絡(luò)涉密人員所應(yīng)具有的最基本的安全意識(shí)，要更好地提高涉密網(wǎng)絡(luò)的整體安全性，應(yīng)對(duì)涉密人員進(jìn)行全面的強(qiáng)制性的安全培訓(xùn)，并有提供相關(guān)的安全性信息。

3結(jié)束語(yǔ)

OCTAVE 方法是一種系統(tǒng)化、操作性強(qiáng)的，對(duì)網(wǎng)絡(luò)安全進(jìn)行評(píng)估并制定出相應(yīng)對(duì)策

的評(píng)估方法。它可以有效地對(duì)單位內(nèi)關(guān)鍵的信息資產(chǎn)所面臨的安全風(fēng)險(xiǎn)進(jìn)行全面分析，使單位能夠及時(shí)采取措施對(duì)重要的戰(zhàn)略資源進(jìn)行保護(hù)， 增強(qiáng)了單位應(yīng)對(duì)軍事變化和突發(fā)事件的能力， 同時(shí)也很好地解決了部隊(duì)在實(shí)施信息化過(guò)程中所遇到的安全、效率與成本三者間的矛盾問題。通過(guò)應(yīng)用 OCTAVE 方法對(duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，部隊(duì)?wèi)?yīng)進(jìn)一步做好風(fēng)險(xiǎn)管理工作，為高效、穩(wěn)定的運(yùn)作創(chuàng)造一個(gè)安全良好的環(huán)境。

參考文獻(xiàn)

[1] 陳文偉.決策支持系統(tǒng)及其開發(fā).北京：清華大學(xué)出版社，2000

[2] 吳唏譯.信息安全管理.北京：清華大學(xué)出版，2003

[3] ButlerS A， Fischbeck P. Multi-attribute risk assess-ment， technicalreportCMD-CS-01-169 [R ]. CarnegieMellonUniversity：CarnegieMellonUniversity， 2001.

[4] LiuSifeng，ShiBin.Anevaluationsystem on developmen to fscienceand technology park[C] Proceedings of AsiaPacificRegional Workshop on Scienceand Technology Park Development.Jakarta：UNESCO， 2007： 46-58.