本章介绍对信息系统应用结构化和可重复的风险分析方法的基本原则。 所有的组织都应该建立全面的风险管理过程,以评估为确保系统安全,在哪方面投入的时间和精力将带来最佳的安全性和投入回报 (ROI)。 在企业网络上提高较旧的应用程序和客户机安全性的第一步是对与环境、应用程序、用户和网络相关的威胁和风险进行全面分析。 Microsoft 建议使用明确定义的过程(例如 Microsoft 安全风险管理原则 (SRMD))来分析各个网络。 SRMD 提供结构化、可重复的过程来评估公司具有的资产、威胁这些资产的风险、使攻击者能够盗取和破坏资产的漏洞,以及可以用于缓解和转移风险的对策。 本指南不完整地介绍 SRMD,但是了解以下信息就足够了:SRMD 提供了一个框架,可用于识别资产、量化资产价值以及识别和量化那些资产面临的威胁,以便组织可以就适当的、经济的安全活动作出合理的决定。 注意:有关 SRMD 的更多详细信息,请参阅本章末尾的“更多信息”部分的参考。 本页内容方案详细信息Trey Research 专门从事于废水分析、监控和处理。 Trey 总部位于西雅图,并在乔治亚州、佛罗里达州、亚利桑那州和宾夕法尼亚州具有分部。 Trey 具有不到 500 名员工,包括现场工人、实验室技术人员、科学家以及少数管理人员。 Trey Research 客户包括需要专业评估服务(例如,测试地下水的含汞级别)的本地和州政府;需要在施工前、中、后进行现场测试的建筑公司;需要对正在运转的设施进行监控的工业和制造公司;以及需要紧急环境监控或清理的其他客户。 Trey 收集的数据和根据数据得出的分析通常在财务和法律方面很敏感。 当要求 Trey 工程师作为专家证人时,他们所收集数据的使用周期必须满足一些特定的证据链需求。 现场工人保持测量的书面记录,在返回办公室的时手动输入。 一些工程师使用运行 Microsoft® Windows® 98 的移动计算机在现场直接输入数据,但是此分析系统特定于 Trey 的一些最大客户。 最近三年中,Trey 每年增长约 20 个百分点。 这种增长率最终促使公司的 CEO 雇用一位 IT 主管来建立和监管一个使其信息系统现代化的计划。 该 IT 主管从 2003 年末开始工作,他的第一项工作是执行风险分析,以便更好地理解公司计算资产的价值及其面临的安全漏洞。 根据此分析的结果,Trey 非常迅速地对其 IT 环境作出了改变。 第一个重大的改变是将域结构升级为 Microsoft Active Directory® 目录服务和 Microsoft Windows Server™ 2003。 此升级立即提高了域帐户的安全性,并可以对敏感计算机(如行政人员及其员工使用的计算机)应用其他组策略控制。 另外,该公司加快了它的技术现代化计划,因而其新的分析和收集系统(基于 Windows XP 和 Windows XP Tablet PC Edition)的最初部署将早于计划开始。 然而,Trey 还选择在加强其现有系统方面进行投资,以降低从现在到新系统完全部署时数据丢失和泄露的风险。 CEO 要求 IT 主管在一个月时间内识别最迫在眉睫的威胁、区分其严重程度并采取缓解措施,并研究对公司的 Microsoft Windows NT® 4.0 系统进行升级。 尽管这个时间很短,但 Trey 非常严肃地对待有关的安全威胁,并积极行动以尽可能地进行自我保护。 网络本文档中介绍的建议和设置已在模拟的 Trey 网络中测试过,配置如下图所示:  图 2.1 Trey Research 网络的网络测试部分 参见全图 Active Directory 设计Trey Research 将组织保持为单个 Active Directory 域。 它选择这种结构,是由于其易于维护且便于控制。 所有分部都通过租用专线连接至 Trey 的总部,因此无需为各个分部建立子域。 业务需求Trey 具有五项与公司的系统和网络安全有关的主要业务需求: • | 保持系统的完整性,防止外部攻击者的危害。 此需求要求加强网络来防止渗透、改进审核和日志记录并降低系统漏洞被大范围利用的可能。 | • | 在采取所有安全措施之后,保持正常的业务运作。 执行的大量分析工作都对时间要求严格,因此频繁或持续的中断是不可接受的。 | • | 必要时保持信息的机密性。 Trey 管理的某些信息非常敏感,该公司希望避免由于泄漏可能带来的责任。 | • | 针对网络上的恶意代码,提供不断增强的保护措施。 Trey 具有非常宽松的使用策略,因此许多用户都习惯于独自下载和安装软件。 过去,这种情况曾导致安全和性能问题。 加强的一个目标是使公司的系统不易受下载的 walware(恶意软件)的攻击。 | • | 提供审核和分配安全修补程序的自动方法。 |
应用安全风险管理规则SRMD 的目标是提供量化风险的方法,然后在组织的控制范围之内降低这些风险以缓解威胁。 为此,SRMD 将风险管理定义为具有四个主要阶段的持续过程,如下图所示: 1. | 评估风险。 识别组织的风险并区分其严重程度。 这些风险可能与特定的 IT 系统和资产相关或无关。 | 2. | 决策支持。 根据定义的成本-收益分析过程确定并选择控制解决方案。 | 3. | 实施控制。 部署并操作全面的控制解决方案以降低组织的风险。 | 4. | 衡量风险。 确定并报告已部署的控制措施的有效性,以将风险管理至可接受的级别。  图 2.2 SRMD 循环 |
Microsoft 安全风险管理规则指南(将在 2004 年末发行)详细介绍了 SRMD。 Trey IT 人员复查了SRMD 材料,并制定了一个计划以执行以下任务: 1. | 评估风险的过程分三个步骤,要求 Trey 制定评估风险的计划、收集与实际的风险程度和组织的漏洞相关的数据、并按严重性和成本的顺序区分那些风险的严重程度。 | 2. | 通过风险评估作出决策,以根据存在的实际风险程度应用具体的控制措施。 | 3. | 实施所选择的控制措施。 本指南的其他章节专门讨论可应用于缓解特定类型风险的控制措施。 | 4. | 评估应用的控制措施对风险和组织环境的影响。 |
本章将着重介绍前两步,并说明 Trey IT 人员如何使 SRMD 适应其环境,以帮助公司开始基于 SRMD 的风险管理过程。 其余各章将着重于第三步:应用实际的控制措施。 评估风险要开始实施其安全加强过程,Trey 必须采用的第一个重要步骤是评估公司实际面临的风险和威胁。 此过程要求 Trey 将一些独立的步骤联系起来: 1. | 识别网络中各类计算机的角色和功能。 | 2. | 映射不同角色之间的通信。 例如,应用程序服务器需要与域控制器和用户工作站进行通信。 此映射应该明确确定用于这些通信的协议、端口和通信模式。 | 3. | 识别能够以不同角色利用计算机的潜在威胁。 | 4. | 确定给定角色面临特定威胁的可能性。 |
识别角色对于大多数网络,识别网络中计算机角色的过程很简单。 通过查询公司拥有的系统的实际清单,Trey IT 部门可以生成下表中的数据,列示网络中正在使用的主要角色、这些角色使用的操作系统以及这些角色常见的位置和硬件类型。 所有这些信息都与威胁建模分析过程有关。 表 2.1:Trey 计算机角色 应用程序/Web 服务器 | Windows NT 4.0 | HQ | 传统服务器 | 动态主机配置协议 (DHCP) 服务器 | Windows Server 2003 | HQ,分部 | 传统服务器 | 域名系统 (DNS) 服务器 | Windows Server 2003 | HQ | 传统服务器 | 域控制器 | Windows Server 2003 | HQ,分部 | 传统服务器 | 行政用移动计算机 | Windows 2000、Windows XP | 移动 | 移动计算机 | 行政用/特殊用途工作站 | Windows XP | HQ | 传统台式机 | 现场工程师系统 | Windows 98 | 移动 | 移动计算机 | 文件/打印服务器 | Windows NT 4.0 | HQ,分部 | 传统服务器 | 消息服务器 | Windows NT 4.0 | HQ | 传统服务器 | 特殊用途控制系统 | Windows NT 4.0,部分 Windows 98 | 分部 | 传统服务器和台式机的组合 | 用户工作站 | Windows 98,部分 | HQ,分部 | 传统台式机 | Windows Internet 名称服务 (WINS) 服务器 | Windows Server 2003 | HQ,分部 | 传统服务器 |
映射通信识别计算机角色之后,可以开始确定在不同角色之间发生哪种网络通信。 这使您可以指定在整个网络和包括运行 Windows 较早版本的计算机的网络段之间,应该允许和不允许哪种通信类型。 网络建模网络建模非常简单。 Trey 工程师只是对现有的网络作出图表并将其用作其网络图的基础。 这种图应该指出网络中各个计算机的物理位置、网络地址和操作系统类型。 理想情况下,它们还应该直观地指出路由器和防火墙的位置,以及网络是如何分段的。 添加数据流信息拥有网络图之后,下一步是添加有关网络图上数据流的信息。 这通常是通过使用 Yourdon-DeMarco 数据流图 (DFD) 方法来实现的,该图以有向直线表示数据在系统或对象之间的流动。 各条线可以用正在使用的端口号或协议进行标记。 得到的图显示各个角色集之间的通信流。 此图使得很容易将防火墙和端口/数据包过滤器配置为仅允许指定的通信类型。 而且,可以很容易地在将来使用数据流信息,以便为已部署 Windows 2000、Windows XP 和 Windows Server 2003 的组织构建 Internet 协议安全 (IPsec) 过滤器规则。 威胁识别和建模威胁模型是通过生成系统面临的所有威胁(不论何种来源)的清单来增强分布式系统安全的一种尝试。 基本概念是,如果您可以尽可能多地识别威胁,了解存在何种威胁将使缓解威胁或将其排除更加容易。 您可以根据以下因素来作出决策:是否能够进行缓解、太困难或成本太高、或者由于威胁不够重要或可能性不大而无需进行缓解。 创建威胁模型的基本概念是枚举所有实际的威胁,包括您所了解的已经实施保护措施的威胁。 有时,讨论当前具有防护措施的威胁可能导致发现相似的或不相似的攻击。 识别威胁Trey IT 工程师构建他们的网络图之后(该网络图指示网络中存在的角色以及在不同角色的计算机之间使用的通信方法),他们准备开始识别特定的威胁并区分其严重程度。 这些威胁可以分为几类: • | 对计算机物理安全或完整性的威胁。 这些威胁包括火灾、水灾、断电、意外或有意的物理损坏以及未经授权的物理访问所引起的危害。 | • | 涉及单个计算机、基础结构服务或网络本身的拒绝服务 (DoS) 攻击。 | • | 恶意代码(包括病毒、蠕虫和特洛伊木马)的执行。 | • | 通过网络监视、帐户泄露或其他途径引起的敏感信息未经授权而泄漏。 | • | 对用户或特权帐户失去控制导致的危害(包括由于弱密码、对特权帐户控制不足、未执行安全过程或审核不充分等原因造成的危害)。 |
每个类别的威胁都包含各种具体的威胁,其中一些已经缓解,另一些在 Trey 环境中很难有效地缓解。 以下每个部分介绍一类威胁及其 Trey 可用来缓解这类威胁的措施。 请注意,在很多情况下,列出的缓解措施仅部分有效。 仅显示可用于 Windows NT 4.0 或 Windows 98 的措施;更有效的措施在 Windows 的较高版本中提供。 物理安全威胁下表显示 Trey 识别的针对其网络的主要物理安全威胁。 这些威胁中大部分是由于公司控制能力范围之外的因素造成的,且仅能通过设置策略以提供灾难恢复和业务持续过程来有效地缓解(不在本指南范围之内)。 注意:下表中的“影响及范围”和“可能性”列显示 Trey IT 部门对各个特定威胁的性质、范围、发生概率的最佳估计。 这些列的具体值可能在组织之间有较大变化。 表 2.2:物理安全威胁及缓解 环境破坏 | 火灾、洪水、天气或其他外部环境因素。 | 高/整个网络 | 低 | 保险;灾难恢复和业务持续计划。 | 暂时无法提供基础结构服务 | 无法提供广域网 (WAN)/Internet 连接、电力、制冷或非 Trey 提供的其他重要基础结构服务。 | 中/整个网络 | 中 | 这些故障一般是短期的。 | 对关键计算机的物理损坏 | 意外或有意的损坏。 | 中/单个计算机 | 低 | 备份;对敏感计算机的物理访问控制。 | 对单个计算机的危害 | 攻击者对计算机的物理访问和危害。 | 高/单个计算机 | 低 | 物理访问控制;启动加强;对本地管理员帐户使用加强密码;使用 Syskey 来保护本地安全帐户管理器数据库数据。 |
拒绝服务威胁DoS 威胁包括无法访问网络服务或计算机,这是由于攻击者通过虚假通信有意尝试阻止或大量占用网络设备或计算机而引起的。 这些威胁通常在网络外围进行缓解。 下表显示了 Trey 识别的对其网络至关重要的主要 DoS 威胁。 表 2.3:拒绝服务威胁及缓解方法 网络通信篡改和欺骗 | 攻击者向主机发送不适当的/错误的消息。 | 高/整个网络 | 低 | 网络入口筛选。 | 篡改 DNS 服务 | 攻击者欺骗、破坏或阻止 DNS 通信。 | 高/整个网络 | 低 | 监视 DNS 服务质量以快速检测服务问题。 | 目标通信篡改或欺骗 | 攻击者以个别计算机或资产为攻击目标。 | 高/单个计算机 | 低 | 端口和数据包过滤;网络分段;个人防火墙。 | 用户帐户锁定 | 攻击者超过许可密码尝试的最大次数,触发帐户锁定策略。 | 中/整个网络 | 低 | 使用非锁定计数部署帐户锁定策略。 | 服务帐户锁定 | 攻击者否认通过超过密码重试计数访问服务帐户。 | 中/整个网络 | 低 | 使用非锁定计数部署帐户锁定策略。 | 带宽占用攻击 | 攻击者有意地占用目标网络或设备的带宽。 | 中/整个网络 | 低 | 对于外围网络,进行入口筛选和 Internet 服务提供商 (ISP) 监视。 对于内部主机,进行传输控制 协议/Internet 协议 (TCP/IP) 堆栈加强和入口筛选。 | DHCP / WINS 服务被篡改 | 攻击者欺骗、破坏或阻止客户端和基础结构服务器之间的 DHCP 或 WINS 通信。 | 低/单个计算机 | 低 | 多个 DHCP 和 WINS 服务器提供交叉范围。 |
恶意代码威胁下表显示 Trey 识别的针对其网络的主要物理安全威胁。 如同物理威胁,这些威胁中大部分是由于公司控制能力范围之外的因素造成的,且仅能通过设置策略以提供灾难恢复和业务持续过程来有效地缓解(不在本指南范围之内)。 表 2.4:恶意代码威胁及缓解方法 病毒发作 | 病毒通过内部用户引入 Trey 网络之后开始蔓延。 | 高/整个网络 | 中 | 客户端和服务器防病毒软件的部署;用户教育;修补程序管理;隔离较早的计算机。 | 用户执行恶意代码 | 用户下载并运行伪装成无害内容的恶意代码。 | 高/单个计算机 | 中 | Microsoft Internet Explorer 加强;用户教育。 | 蠕虫发作 | 蠕虫从 Internet 或通过感染的内部计算机引入后开始蔓延。 | 高/整个网络 | 低 | 进行修补程序管理以减少可利用的漏洞;隔离较早的计算机。 |
信息泄漏威胁信息泄漏威胁包括机密数据的意外泄露、授权用户向未授权方有目的的泄漏以及有目标的攻击以泄漏数据。 表 2.5:信息泄漏威胁及缓解方法 Network 探测 | 攻击者秘密监视网络通信,以捕获密码或其他敏感数据。 | 高/整个网络 | 中 | 对网络的物理访问控制;服务器消息块 (SMB) 签名;使用 Windows NT LAN Manager 版本 2 (NTLMv2) 而不是 NTLM 或 LM 身份验证。 | 从移动/便携式计算机盗取数据 | 攻击者盗取计算机并从中恢复数据 | 高/整个网络 | 中 | 无 | 密码数据泄漏 | 攻击者从泄露的计算机或网络中盗取密码哈希。 | 高/整个网络 | 低 | 域控制器的物理访问控制;使用 Syskey;NTLMv2。 | 有目的的信息泄漏 | 授权用户将信息泄漏给未授权方。 | 高/单个计算机 | 低 | 无 |
帐户泄漏威胁帐户泄漏威胁可分为两大类:由于攻击者获得对计算机的物理访问权(然后可以因此取消本地管理员密码,安装击键记录程序,或者篡改该计算机)而引起的泄漏,以及由于基于网络的攻击而引起的泄漏。 下表显示 Trey 关注的最重要的帐户泄漏威胁。 表 2.6:帐户泄漏威胁及缓解方法 域管理员帐户泄漏 | 攻击者获取域管理员帐户的密码。 | 高/整个网络 | 低 | 物理访问控制。 | 个别计算机上的本地管理员帐户泄漏 | 攻击者通过密码破解或其他方法而得知本地管理员帐户的密码。 | 高/单个计算机 | 低 | 物理安全控制;NTLMv2 身份验证。 | 在个别计算机上重新设置本地管理员帐户密码 | 攻击者获得对计算机的物理访问权,并重置该计算机的本地管理员密码。 | 高/单个计算机 | 低 | 物理安全控制。 | 用户帐户泄漏 | 攻击者获得对普通用户帐户的访问权。 | 中/单个计算机 | 低 | 物理访问控制;SMB 签名;NTLMv2 身份验证。 |
作出风险决策在 Trey IT 工作人员识别出组织面临的最重要的风险(如上述各表中所列示和排列的)之后,工作人员根据各种威胁的可能影响和可能性决定采用何种缓解措施。 某些最重要的威胁在运行 Windows 98 和 Windows NT 4.0 的计算机上根本不能有效缓解,这就是 Trey 决定将其基础结构系统迁移至 Windows Server 2003 的原因所在。 其他风险可以通过特定于操作系统的步骤、网络配置和策略更改的结合来缓解。 通过检查各种潜在威胁并计算要防护这些威胁所需的成本,Trey 制定了一个计划以缓解尽可能多的严重风险。 本指南的其余各章介绍 Trey 决定的具体措施。 小结本章介绍将 SRMD 应用于普通用户方案所涉及的一些注意事项。 为此示例提供的所有信息都源于实际数据;但是,这些信息仅代表了组织执行彻底的安全风险评估所需的全面信息的一小部分。 介绍全部风险分析表或所有安全风险陈述可能使本章提供的信息比较难于理解。 相反,为便于快速参考及易于理解,重点讲解了相关的例子。 我们应用本章中的指导原则制定了一个采用特定的补救步骤解决的风险的列表。 Trey 工程师完成此列表之后,他们可以继续研究通过保护其系统免受所列示漏洞带来的威胁来缓解风险所需的步骤。 本指南中的其余各章仔细介绍这些步骤。 更多信息有关如何将 SRMD 应用于企业环境的详细信息,请参阅以下资源:
|