网络安全威胁识别

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

微信公众号：计算机与网络安全

ID：Computer-network

一、威胁概述

在信息技术领域，威胁是指能够通过未授权访问、毁坏、泄露、数据修改或拒绝服务等方式对系统造成潜在危害的环境或事件，具体而言威胁是指特定威胁源成功利用特定脆弱性（漏洞）的潜在可能。脆弱性是可被无意触发或有意探查的弱点。当没有可执行的脆弱性时，威胁源并不代表风险。各类组织或信息资产可以面临来自人、组织、自然或信息资产自身故障的威胁。因此，如何识别不同种类威胁对不同组织或信息资产的作用，成为预警和规避安全风险的关键工作之一。

威胁识别是分析可能造成安全事件潜在起因的过程。在识别分析过程中，首先要对组织或机构需要保护的关键信息资产进行威胁类别和发生频次的识别；其次对每项信息资产面临的威胁进行定性或定量的赋值，以便于网络安全风险的评估。一项资产可能面临多种威胁，一种威胁也可能对不同资产造成影响。

二、威胁识别的分类

威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。造成威胁的因素包括环境因素和人为因素。威胁作用形式可以对信息资产直接或间接的攻击，从而对系统保密性、完整性和可用性等方面造成损害。下面介绍2种不同的威胁分类方法，并对威胁赋值进行说明。

（一）基于来源的威胁分类

下表提供了一种根据威胁来源的分类方法。其中，人为因素是目前开展威胁识别工作中的重点。人为因素的威胁主体主要包括以下4个方面。

威胁来源

1、黑客

黑客攻击网络的手段可分为非破坏性攻击和破坏性攻击两大类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹一类的特殊工具，在短时间内消耗可用系统、带宽资源，最后导致网络服务瘫痪。破坏性攻击则入侵他人计算机系统，窃取系统机密信息，破坏系统数据或者传播网络病毒等。

2、内部员工

内部人员往往通过偶然引发系统的脆弱性或预谋突破网络系统安全机制的方式进行攻击。内部人员威胁具有“危害大、难抵御、难发现”的特点，由于疏忽和安全意识不强，而恶意的内部员工对攻击目标非常熟悉，使攻击行为具有隐蔽性和针对性，危害较大且难以被发现。

3、商业间谍

商业间谍的攻击具有明确动机，即通过窃取竞争对手的商业机密而获得竞争优势。

4、国家安全部门或军事情报部门

根据国家安全或网络空间军事行动的需要，由政府组织开展的针对网络与信息系统的攻击行为，以获取敌国机密信息或破坏敌国关键基础设施为目的，由于其组织严密、技术先进、隐蔽性强，成为网络空间面临的最严重威胁。

（二）基于表现形式的威胁分类

下表提供了一种根据表现形式的威胁分类方法。

威胁表现形式

（三）威胁赋值方法

在识别了威胁的来源和表现形式后，应对威胁可能的动机、能够动用的资源和具备的能力开展进一步评估，以确定威胁成功利用脆弱性对网络和系统造成实际破坏的可能性。如黑客攻击的动机通常是为了获得非法的经济利益，内部员工从事破坏活动可能是为了发泄不满情绪，军事部门进行网络攻击则是出于国家安全和军事行动的需要。为了达到不同的目的，威胁所具备的资源和能力也是不同的。

在评估威胁的动机、资源和能力的基础上，应对威胁出现的频率进行赋值，这是开展威胁识别的重要工作。将威胁出现频率划分为5级，分别代表威胁出现频率的高低，等级越高则代表威胁出现的频率越高。下表提供了针对威胁出现频率的一种赋值方法。

威胁出现频率赋值

在实际的威胁识别过程中，准确度量威胁的出现频率是非常困难的。评估人员需要根据经验和（或）有关的统计数据来进行综合判断。评估过程中需要综合考虑以下3个方面的因素，以判断特定评估环境中威胁出现的频率：

1、以往安全事件报告中出现过的威胁及其发生频率的统计；

2、实际环境中通过检测工具以及各种日志发现的威胁及其发生频率的统计；

3、近期，国内外权威组织机构发布的有关网络安全威胁及其发生频率的统计报告和预警信息。

三、威胁识别案例分析

如前面所述，威胁是一种对资产构成潜在破坏的可能性因素，威胁针对的对象是网络与信息系统中的资产。因此，威胁识别应基于资产识别的结果。信息资产可以分为网络类、软硬件设备类、信息内容类及人员类等，不同类型又可分为多种子类，面临的威胁也有很大差别。

以软硬件设备类为例，此类信息资产存在的漏洞是当前网络攻击的首选目标。近年来，出现过的重大网络安全事件，大多是因为软硬件设备存在严重漏洞，被攻击者利用从而达到恶意破坏的目的。图1和图2分别是CNVD发布的软硬件漏洞所影响的对象类型和由此引发的威胁分布。在软硬件漏洞的影响对象中，应用程序、操作系统和Web应用漏洞占了绝大多数，是引发网络安全威胁的主要诱因。其产生的威胁主要有未授权的信息泄露、管理员访问权限获取、拒绝服务和普通用户访问权限获取。很多应用程序的漏洞具有通用性，即该应用程序的某些版本几乎全部都具有相同的漏洞，如IIS任意代码执行漏洞（CVE-2015-1635，MS15-034）。IIS是微软提供的Web服务程序，可以提供HTTP、HTTPS、FTP等相关服务，同时支持ASP、JSP等Web端脚本，具有广泛的应用。利用该漏洞，攻击者可以获得远程IIS服务器主机的执行代码和提权能力，针对驱动HTTP.SYS实现特殊构造的HTTP请求，就可以以System账户权限执行任意代码。其影响的版本包括Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2。

图1  软硬件漏洞所影响的对象类型

图2  引发的威胁分布

以网络类信息资产为例，除了公众熟知的互联网之外，还可分为以下4种类型。

1、传送网络：光缆线路、SDH系统、WDM系统、OTN网、ASON网络。

2、电话交换网：PSTN、软交换网、IP电话网。

3、数据网：ATM、桢中继、DDN、IP承载网。

4、移动网：GSM、GPRS、CDMA 1X、CDMA 2000、WCDMA、TD-SCDMA、FDD-LTE和TDD-LTE等。

以上网络之间存在一定的承载关系，一般而言，传送网是底层的基础承载网，在其上可以建立固定电话交换网、移动电话交换网和IP数据承载网，上层则承载互联网、移动互联网、CDN网等业务网络。从覆盖地域上，各类网络又可分为国际网、全国骨干网、省际骨干网、城域网、广域企业网、局域企业网以及家庭局域网等。不同种类、不同规模的网络面临的各类威胁千差万别，相互之间的承载依存关系又使其面临的威胁类别存在各种各样的关联关系。下面分别以传送SDH网和IP承载网/互联网为例，介绍2个威胁识别的案例。

（一）案例1：某省SDH环网的威胁识别

某省一基础SDH环网面临的主要威胁来源包括硬件故障、软件故障、电源故障、自然因素、人为因素等五大类。硬件故障类分为设备故障威胁和线路故障威胁，软件故障类分为系统软件故障威胁和应用软件故障威胁，电源故障类分为断电威胁和电磁干扰威胁，自然因素类包含水灾、台风、雷电、地震等，人为因素类包含无作为、误操作和越权滥用等因素。根据该省SDH环网以往面临的威胁类型发生的频率和可能造成的损害，每类威胁的赋值如下表所示。

某省SDH环网的威胁识别及赋值结果

（二）案例2：某IP承载网节点的威胁识别

同样，通过对某IP承载网节点面临威胁的识别分析，以及威胁发生的频率和潜在危害，威胁的赋值情况如下表所示。

某IP承载网节点设备的威胁识别及赋值结果

四、结语

本文给出了威胁和威胁识别的概念，阐述了基于来源和基于表现形式的威胁分类，介绍了针对威胁出现概率的赋值方法，并分析了2个针对不同网络对象的威胁识别案例。在实际的威胁识别工作中，需要根据评估对象的资产类型，结合评估人员的经验和有关的统计数据和外部参考数据，进行综合判断，以明确评估对象面临的各类威胁类型和出现的概率。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】