1.4 风险评估
网络安全原理与实践
确定资产和威胁因素后,在网络安全部署方案中的下一步是确定目标网络环境中有多少种可能的威胁。需要明白的是虽然部署可以抵御所有类型攻击的安全策略可能很重要,但同时这种安全机制的成本也会很高。因此,必须做适当的风险分析,找出那些最可能发生的攻击,并且投入最大的物力和财力去抵御它们。
可以用多种方法完成风险评估。但是,针对某种类型攻击进行风险判断的两个主要因素是:
针对某类资产而发起的某种攻击的可能性;
一旦攻击成功所造成的损失。
这种攻击的可能性在风险评估中是需要重点考虑的事项。通常很难获得“针对网络上现有的某种资源可能会面临什么类型的攻击”的全部信息。但是,为了使一个受保护的网络能够完成前面所定义的3个目标,了解这些又是很重要的。大部分的风险分析评估也可以分成3种类型:
保密性;
完整性;
可用性。
如果一个网络资源的可用性是关键,而对它发起攻击的可能性又很高,那么可以认为这个资产的风险等级相当高。这种资产的一个例子就是高可见性Web服务器。正是由于这种高可见性,它就很有可能成为攻击者的目标。并且对于一个Web服务器来说,在任何时刻保持可用性都是重要的。因而,这种资产就可用性而言是高风险的。另一方面,一个仅在内部网络可用而外部世界看不到的FTP服务器可能需要高保密性,但它没有高可用性风险,因为在通常情形下外部的攻击者并不知道它。注意,所有的风险衡量都是相对的,并且在作风险衡量时要紧记相互关联的网络上各种不同资产的风险程度。
可以用很多方法完成风险评估——一些是定量的,其他的是定性的。必须选择一种能够最好地确定站点风险的风险评估技术。
在编辑好了与网络上不同资源相关的风险等级列表之后,下一步要做的就是创建策略框架以保护资源,使风险变为最小。显然,制定策略的时候必须首先考虑高风险的网络资源,然后将剩余的工作安排在保护低风险资源的策略上。