如何建立有效的信息安全風險預防體系呢?蠕蟲病毒對所有的網絡和計算機系統都是一種威脅;而我們的系統中存在的各種漏洞,如SQL Server或Index Server存在的安全漏洞則是我們系統中的弱點;威脅利用弱點而造成損失的可能性則是系統的安全風險。當然,風險的高低還與被保護資產的價值受到攻擊後可能的損失相關。 事實上,ISO 13335(IT安全管理指南)中對威脅、弱點和風險的定義如下: 威脅(Threat):可能導致對系統或組織破壞的有害事件的潛在因素; 弱點 (Vulnerability):一個或一組資產中存在的,可能被一個或多個威脅利用的脆弱之處; 風險 (Risk):特定威脅利用一個或者多個資產存在的弱點,對組織導致破壞的可能性。 如果將威脅表示為T,弱點表示為V,風險表示為R,需要保護的資產價值表示為A,那麼會有如下等式: R=A×T×V(P,I) 其中,Vp=脆弱性被利用的可能性 Vi=脆弱性被利用造成影響的程度 其中,T×V可以理解為一個威脅對弱點的利用過程,實際上就是入侵攻擊行為或病毒傳染行為。 我們保護一個網絡或系統的過程,實際上就是一個風險管理的過程,,即識別風險、控制風險,通過采用適當有效的安全措施將風險消除,或者降低到可以承受的程度的過程。所以,如何保障一個系統處於安全運行的狀態,實際上就是如何合理地降低T、V、A的值,從而將R降低到一個可以承受的狀態。 對於目前的大多數用戶來講,最普遍的方式是將避免風險建立在威脅和弱點已知的前提條件下。這種方式對於已知的攻擊方式和病毒是有效的,但是對於未知的威脅和弱點,或者還沒有采取措施進行規避的威脅和弱點,這種方式就失去了防范的意義。 那麼如何有效地降低風險呢?我們可以簡單地作一分析. 首先,對於存在的安全威脅T,這是由於各種各樣的原因和動機而產生的,我們無法直接地消除威脅的存在和程度,而主要通過依靠法律、道德、規范等手段進行約束,所以本文不做詳細討論。 其次,對於資產A,雖然由於折舊、時效性等因素會導致其價值降低,但是不在主要的風險降低因素考慮之內。 最後,對於脆弱性V,我們可以采用多種手段進行控制,比如對於已知的弱點進行補丁安裝或安全化配置,可以將V和R降低到一個非常低的值(針對特定的威脅)。對於未知的弱點或者還沒有采取安全措施保護的弱點,我們需要引入一個概念:風險預防(Risk Prevention)。具體到信息安全領域,風險的表現主要是病毒和入侵者的入侵行為,所以我們可以將這種概念具體化為入侵預防(Intrusion Prevention)。風險預防是一種新興的安全防護理論,更是一種經過實踐驗證切實可行的安全防范措施,它是建立在對現有的計算環境進行正確的風險評估以後,采用合理的風險預防策略以及技術解決方案進行的高效率防范措施,是一種區別於現行安全措施的、主動的安全防范方式。風險預防系統的關鍵特點在於它不依賴於特定的入侵特征庫和病毒特征碼,並且能夠在變動、發展的網絡環境中對關鍵資產進行保護,對於已知和未知的脆弱性都能夠有效地防范,降低Vp值。在SQL蠕蟲這樣的攻擊情況下,即使管理員尚未安裝SQL的補丁程序,如果安裝入侵預防系統,就可以免受SQL Slammer病毒的攻擊,為安全管理員贏得了寶貴的響應時間。這種防范措施對於Windows平台和UNIX平台都適用,並且不依賴特征庫的升級即可完成防范功能,可以極有效抵御目前危害最嚴重的各種“Zero-day Attack”。 對於影響程度Vi,我們可以采取技術和管理相結合的手段進行降低。比如采用合理的備份策略可以顯著地降低損失;采用入侵檢測與預防系統及時發現入侵行為和感染過程,也可以有助於降低Vi值;利用安全服務為用戶建立一個業務持續性計劃(BCP)和災難恢復計劃(DRP)同樣是非常有必要的。 安全服務相當一部分工作是對風險的預防工作,比如服務器加固、風險評估、安全策略制定、漏洞審查等等。同樣,安全應用也能夠起到相當大的風險預防作用,例如將冠群金辰公司的龍淵核心服務器防護產品(eAC)和用戶的應用系統結合起來,起到加強的認證、授權和訪問控制的作用。 總之,只有結合多種安全措施、基於正確的風險評估與管理、加強主動防御技術、然後建立起來的縱深安全防御體系才是更有效的。