伴隨著計算機網絡通信技術的快速發展,來自惡意代碼、拒絕服務、不滿員工、非授權訪問、社會工程、偷竊和欺騙等攻擊技術和人員的威脅成為組織ISO27000信息安全風險生成(cheng)的潛在的外在原因(yin)。
比如:
①故意(yi)制造出來的(de)(de)惡意(yi)代碼,是用(yong)于入侵(qin)計(ji)(ji)算機或是在訪問計(ji)(ji)算后(h������ou)造成巨大破壞的(de)(de)計(ji)(ji)算機程序,它利用(yong)木(mu)馬、后(hou)門、病(bing)毒、蠕(ru)蟲、邏輯炸彈(logic bomb)等攻擊目(mu)(mu)標用(yong)戶,破壞和竊������取目(mu)(mu)標機密(mi)或敏感信息(xi);
②拒絕服(fu)務攻(gong)擊,通過向(xiang)目(mu)標服(f���u)務器發送大量郵件(jian)、連接信(xin)息,以堵塞合(he)法通路(lu),造成(cheng)服(fu)務器癱瘓和組織業務的中斷;
③內部(bu)不滿員工,出于(yu)對(dui)組織的不滿、或(huo)受雇于(yu)其它(ta)間諜(die)或(huo)情報組織竊取(qu)組織敏感或(huo)機密信(xin)息,以達(da)到發泄私憤或(huo)換取(qu)金錢的目(mu)的���������������;
④非(fei)法(fa)用戶如(ru)黑(hei)客、非(fei)法(fa)闖入者(zhe)、腳本(ben)小子(zi)、間(jian)諜、網絡恐怖(bu)分子(zi)、員工、顧(gu)問(wen)或(huo)合(he)作商(shang),利用物理(li)環境(jing)和(he)系(xi)統(tong)安全弱(ruo)點或(huo)漏洞,非(fei)法(fa)或(huo)越權入侵(qin)組織(zhi)計算(suan)(suan)機(ji)系(xi)統(tong),竊取、刪除有(you)用數(shu)據或(huo)者(zhe)破壞(huai)計算(suan)(suan)機(ji)系(xi)統(tong),使(shi�����)其癱瘓;
⑤惡意人(ren)員,利用電話、公開(kai)信(xin)息(xi)、虛(xu)假(jia)身份(fen)等社交工程來欺騙、說服目標用戶,使之泄露訪問用戶名(ming)和密碼,它不需要技術、技能(neng)(n������eng)和能(neng)(neng)力(li)來入侵系(xi)統,依靠謊言、他人(ren)的輕信(xin)和疏忽達到目������的;
⑥竊聽(ting)和欺騙,利(li)用嗅探器(sniffer)監視網(wang)(wang)絡(luo)上傳(chuan)(chuan)輸的數據(ju);利�������(li)用中間人(TCP 劫(jie)持)������,強行占用一個網(wang)(wang)絡(luo)連接對話,然后讀取或是修改網(wang)(wang)絡(luo)對話傳(chuan)(chuan)輸的數據(ju);
⑦其(qi)它(ta)的如制造商(shang)在(zai)其(qi)軟(ruan)件(jian)和硬件(jian)中(zhong)(zhong)安置“陷井(jing)”或&ldq�����uo;后門”;攻(gong)擊者在(zai)產品運輸(shu)過(guo)程中(zhong)(zhong),在(zai)產品中(zhong)(zhong)嵌入(ru)監聽設備或軟(ruan)件(jian),以(yi)期(qi)在(zai)未來收集所需信息(xi)(xi)等(deng)(deng)等(deng)(deng)。這些不斷出現和動態變化的威脅是造成信息(xi)(xi)安全風(feng)險發生的外在(zai)動力。
威(wei)脅是誘發(fa)(fa) 信(xin)息(xi)系(xi)統產生(sheng)風險事件的外(wai)因。威(wei)脅是一定的主(zhu)體,出于某種動機(ji),利用自己的知識和(he)技術能(neng)力,通(tong)過(guo)脆弱性作(zuo)用于信(xin)息(xi)系(xi)統,造(zao)成風險事件的發(fa)(fa)生(sheng)。只有明確了威(wei) 脅,才能(neng)透徹了解(jie)風險發(fa)(fa)生(sheng)的外(wai)在原因。因此,必須從(cong)威(wei)脅的表現形式(shi)、來源(yuan)、行為、動機(ji)、能(neng)力、途徑、目標、后(hou)果進行綜(zong)合分析,確定威(wei������)脅發(fa)(fa)生(sheng)的可能(neng)性和(he)造(zao)成 的后(hou)果大小,如下圖。
信息安全威脅
(1)從(cong)威(wei)脅(xie)的表現(xian)形(xing)式,可分為環(huan)境威(�������������wei)脅(xie)、外部(bu)威(wei)脅(xie)、內(nei)部(bu)威(wei)脅(xie)和錯誤四(si)大類(lei);
(2)從������威脅(xie)的來源,可分為敵對組織(zhi)、�������黑(hei)客(ke)、工業間諜、情報組織(zhi)、競爭對手、不滿員工;
(�������3)從(cong)威脅行為,可分(fen)為刺探、掃(sao)描、旁路、欺(qi)騙、拷貝、偷竊、修改和(he)刪除;
(4)從威(wei)脅動機,可分為好奇、信仰(yang)、利益和惡意報復等;
(5)從威脅能�����力,可(ke)分為利用攻擊工(gong)具、腳本(ben)、代理技術(shu)、木馬等;
(6)從威脅途徑(jing),可利用(yong)設計、實施和配(pei)置的脆弱(ruo)性;
(7)從威(wei)脅(xie)����目標(biao),可(ke)分為(wei)計算機、帳(zhang)戶、網絡等信息(xi)資產;
(8)從威脅后果(guo),可(ke)分為(wei�����)非授權泄露(lu)、修改、拒絕服(fu)務和沖突(tu)、欺(qi)詐和仿冒。
人(ren)是(shi)威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)的(de)(de)(de)主體,人(ren)的(de)(de)(de)因素(su)起著決(jue)定性的(de)(de)(de)作用。同外部人(ren)員(yuan)(yua�����n)相(xiang)比(bi)(bi)(bi)(bi),內部具有(you)(you)惡意(yi)企圖的(de)(de)(de)授權人(ren)員(yuan)(yuan),尤其是(shi)掌握組(zu)織(zhi)(zhi)敏(min)感信息、具有(you)(you)專(zhuan)業技能(neng)的(de)(de)(de)內部惡意(yi)員(yuan)(yuan)工(比(bi)(bi)(bi)(bi)如(ru):具 有(you)(you)超(chao)級權限(xian)的(de)(de)(de)系統(tong)(tong)管理(li)員(yuan)(yuan)等),更(geng)加掌握組(zu)織(zhi)(zhi)計算機(ji)系統(tong)(tong)的(de)(de)(de)運轉(zhuan)方(fang)式,知曉(xiao)組(zu)織(zhi)(zhi)計算機(ji)系統(tong)(tong)的(de)(de)(de)漏(lou)洞(dong),更(geng)易于(yu)(yu)發動有(you)(you)效的(de)(de)(de)攻擊,給組(zu)織(zhi)(zhi)造(zao)(zao)成嚴(yan)重損失(shi)。目前,一些安全 違背事件80%都是(shi)由于(yu)(yu)內部人(ren)員(yuan)(yuan)濫用存取權限(xian),遭(zao)成了極(ji)其嚴(yan)重的(de)(de)(de)后果。相(xiang)比(bi)(bi)(bi)(bi),外部人(ren)員(yuan)(yuan)造(zao)(zao)成的(de)(de)(de)威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)比(bi)(bi)(bi)(bi)較容(rong)易發現(xian),商業伙伴造(zao)(zao)成的(de)(de)(de)威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)可以通過合(he)同限(xian)制加以約束(shu),但(dan)很(hen) 多時候來自內部的(de)(de)(de)威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)由于(yu)(yu)具有(you)(you)極(ji)大的(de)(de)(de)隱(yin)蔽性和(he)透明性導致更(geng)加難以控制和(he)防范。所以在確(que)定威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)的(de)(de)(de)時候,不能(neng)只(zhi)看到那些比(bi)(bi)(bi)(bi)較直接的(de)(de)(de)容(rong)易分辨的(de)(de)(de)外部威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie),來自內 部的(de)(de)(de)各種威(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)應該(gai)引(yin)起高度重視。
