信息安全管理中的安全系统开发生命周期分析阶段之二

来自电力部门的非常规威胁最为常见，这种情况一旦发生，将导致几种类型的电力波动：

1、电压的瞬时增长

2、浪涌（较长时间的电压增高） 瞬时低电压或电压下降

3、更长时间的电压下降

4、供电的短暂完全消失（供电故障） 更长时间的断电（供电中断）

自然力。自然威胁（如不可抗力灾难）或自然灾害能造成难以想像的威胁，因为它们发生时几乎没有任何预兆，包括火灾、洪水、地震、雷击以及火山爆发和昆虫群害。

硬件技术故障或错误。这种威胁是由于制造商生产的设备有已知或未知的缺陷，使系统操作时出现预期外的参数，并最终造成服务不可靠或缺乏有效性。

软件技术故障或错误。这类威胁来源于已知或未知的软件故障，包括各类代码缺陷以及未经充分测试的输入条件。

技术陈旧。如果基础设备陈旧，它将导致系统既不可靠也不可信任，如果没有大量的投入，系统将很难维护。

　　以上列表中的威胁可能会表现为针对一个机构信息系统及其信息资产的攻击。攻击是一种利用弱点来获利的行为或事件，它由一个威胁代理( threat agency)来完成。该威胁代理破坏或窃取机构的信息或资产。漏洞利用是一种用来威肋一个系统的技术或机制。而漏洞( vulnerabihty)指的是一个系统中业已发现的设计缺陷。在有缺陷的系统中，对该系统的控制不再存在或不再有效。技术攻击可能包括利用漏洞来达到危害一个系统的目的；反之，非技术攻击可能包括自发事件或不那么复杂的方法。下面的列表简要说明了技术攻击的一些类型：

恶意代码( malicious code)：病毒、蠕虫、特洛伊木马的破坏以及企图破坏或窃取信息的活动网页脚本。

恶作剧( hoaxes)：一种对时间和资源的浪费，或是掩盖在看似合法信息面具下的攻击。

后门( back doors)：由系统设计者留下，或由恶意代码安装。

口令破解( password crack)：试图反向计算或猜测口令。口令攻击包括词典攻击、暴力破解以及中间人攻击（见下方）。

暴力破解( brute force)：运用各种计算能力及网络资源，通过尝试每一种可能的字符组合来破解口令。

词典攻击( dictionary)：以特定账号为目标，使用一系列其常用的密码（词典） 来猜测丽不是随机组合，这样就缩小了可能的密码值的范围。

拒绝服务( DoS，denial-of-service)和分布式拒绝服务(DDoS，distribur.ed denial- of-service)：发送大量连接或信息请求给目标，以堵塞其他合法通路。当多个系统被同步调动起来进行攻击时，就称为分布式拒绝服务。

欺骗（spoofing）：一种在未经授权的情况下访问计算机的技术。入侵者使用一 台受到信任的主机的IP地址向目标发送网络消息。

中间人( Man-in-the-miclclle)：又被称为TCP劫持攻击。攻击者强行占用一个网络连接对话，然后可以读取甚至可能修改该网络对话传送的数据。

垃圾邮件( spam)：未经请求的广告邮件，等同于电子垃圾邮件。 邮件炸弹( mail bombing)：向目标发送大量电子邮件。

嗅探器( sniffer)：一种可以监视网络上数据传输的程序或设备。

社会工程（social engineering）：利用社交技能来说服人们，使之泄漏访问证件或其他有价值的信息。

缓冲区溢出（buffer overfloW）：一种应用程序错误，在送人到缓冲区的数据超出其处理能力时就会发生缓冲区溢出。

时间( timing)：使攻击者能通过观察系统对不同请求的响应时间，来获取安全系统中保存的秘密。

了解对手的最后一个步骤是要找到一些方法来区分每一类威胁带来的风险及其相关攻击方法的优先次序。这可以通过从现有威胁研究中采用威胁级别来实现，也可以通过对自己周围环境的情况分析来创建威胁分类。

为了对风险进行管理，必须鉴定和评估拥有的信息资产的价值，这个重要的过程必须包括对该机构系统中所有组成部分的分类( classification)和归类( categorization)：人员、过程、数据、信息、软件、硬件以及其他网络元素。当把一个机构的每一个资产划分到某一类别时，就能提出一些特定的问题来帮助制定一个衡量标准，该标准能对信息资产及其影响做出一个评估。

什么信息资产对一个机构的成功来说是最关键的？
    什么信息资产创造出最多的税收？

什么信息资产有最高的收益？

什么信息资产的替换是最昂贵的？

什么信息资产的保护是最昂贵的？

如果发生泄密事件，什么信息资产造成的损失是最令人尴尬的或是最大的？

这个列表应包括足够多的分类，涵盖了各种优先级，这一点很重要，因为下一步就是根据这种分类标准来划分组件等级。还有一点也很重要，分类必须全面（也就是所有信息资产都能找到适合自己的位置）而且唯一（也就是每种资产只能被归到一个类别中）。例如，如果一个机构拥有公众密码基础设施认证服务（一个应用软件，提供密钥管理服务），那么它可以被归类于软件，应用程序或者软件，安全这个使用纯技术标准的资产列表中。根据上面介绍的分类思想，它应该被归类于软件，安全这个列表中，因为这种软件属于安全基础设施的一部分，必须受到小心的保护。最后，拥有一个全面的分类集合比拥有一个互不重叠的分类集合更加重要，因为在分类时要完全避免重复可能是非常困难的。

分析阶段的另一个挑战就是再次检查每种信息资产面对的威胁并创建一个漏洞列表。正如已提到的，漏洞是威胁代理能够加以利用的一些特殊途径。它们代表信息资产盔甲上的裂缝，用来破坏一个机构对信息系统的控制能力。

随着分析阶段的继续，下一个任务就是通过一个叫做风险评估或者风险分析的过程来评估每个信息资产的相对风险。在进行风险评估时，对每种信息资产赋予一个风险率或分数。虽然单独来看，这些数字没有任何意义，但是在测量由每种易受攻击的信息资产带来的相对风险时，它们是很有用的。而且在稍后的风险控制过程中，我们可以用这些数字来做一个相对的评估，第7章将详细讨论风险评估。

风险管理是分析阶段的一部分，在分析阶段中，要找出一个机构信息系统的弱点，采取谨慎的步骤来确保该机构信息系统中所有组成部分的机密性、完整性和可用性，第8章将详细介绍风险管理。