1.1城市通卡系统结构分析
“城市通卡”是随着电子计算机技术的高速发展,“电子商务”和“电子货币”支付手段的日益成熟而提出的新概念。它是将城市公用事业各个行业统一起来,采用一致的付费方式,方便市民消费、提高运营企业的工作效率;在一定区域内,居民或游客持同一张IC卡能实现身份验证、流动消费支付、存储各类信息等功能,达到“一卡在手,生活无忧”的总体目标。
城市通卡建立在符合金融系统范围和安全标准的智能卡电子支付应用系统平台基础上,能够为城市公共交通(包括公交车、地铁、出租车、轮船、停车场等)和各种小额消费提供专业化的一揽解决方案,实现一卡多用。系统平台体系包括密匙管理、客户服务、终端收费、中央清算和网络通讯等子系统。此外,城市通卡电子支付应用系统可轻松实现智能卡在城市通卡通应用中的各项功能,如发行、冲值、消费等。同时,也为参与系统的各运营商提供了精准,快捷的账务处理与数据分析工具。
1.1.1 系统总体结构分析
城市通卡系统中涉及的各个主要实体要素包括持卡人、发卡充值点、消费网点、数据采集点、营运单位、城市通卡清算中心及结算银行等,这些实体要素共同组成了城市通卡系统的五层结构。即:第一层为城市通卡清算中心及结算银行;第二层为营运单位系统,如公交、出租、轨道清分中心、代理银行、小额消费企业等;第三层为各类采集点;第四层为各类机具和卡操作设备;第五层为城市通卡持卡人。总体结构如下图所示:
图1 城市通卡系统总体结构示意图
1.1.2 业务结构分析
根据系统建设总体要求,以及与客户进行的需求调研和技术沟通,城市通卡系统的总体业务构成如下图所示:
图2 城市通卡系统总体功能结构图
1.1.3 网络结构分析
统一、安全的网络基础平台建设是城市通卡的基础工程,也是城市通卡系统的关键支撑体系,它围绕着一站式服务框架将城市通卡系的各个子系统连接成一个有机的整体。城市通卡系统的网络结构分为三部分:核心网络、外网区域和业务应用单位网络。下图所示为中心网络拓扑图:
图3 城市通卡系统拓扑图
1.2城市通卡系统风险因素分析
城市通卡系统安全风险与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统软件安全、应用软件安全及管理安全的角度进行风险分析分类描述。
1.2.1 物理风险因素分析
物理安全是整个系统安全的前提。物理安全的风险因素主要有:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、洪灾、火灾、地震等环境问题和自然灾害、设备被盗被毁、电磁信息、信息泄漏、线路截获、电磁干扰等。由于城市通卡系统的特殊性,面临电磁辐射使得信息被截获而失秘的风险更高。另外网络监听,窃取网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性,以上种种不安全因素都对城市通卡系统造成严重威胁。
1.2.2 网络的风险因素分析
网络互联必然需要计算机之间的通信,而通信必然需要各种协议的支持,像我们所熟悉的802.X协议、TCP/IP协议等。协议本身的目的是为了支持网络内各主机之间的通信,但由于当初制定协议上的缺陷,同时也带来了安全上的隐患。
1.2.3 系统软件的风险因素分析
所谓系统软件安全通常是指城市通卡系统采用的操作系统、数据库系统及相关产品的安全。目前的操作系统或数据库系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door,而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱点。
1.2.4 应用软件的风险因素分析
由于城市通卡系统对外提供WWW服务、E-MAIL服务、DNS服务等多种应用服务,所以应用软件的风险因素涉及很多方面。
1.2.5 管理的风险因素分析
管理是城市通卡网络安全得到保证的重要织成部分,是防止来自内部网络免受入侵的必要条件。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起网络安全风险。
机房重地成为任何人都可以进进出出,来去自由的场所,存有恶意的入侵者便有机会得到入侵的条件。
另外,内部管理人员或员工拥有一定的访问权限,可以轻易的对系统进行刺探,把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人,带来信息泄漏风险。
内部不满的员工为了报复而对系统进行破坏活动,如在系统中植入病毒或改变某些程序设置,甚至越权处理公务,窃取国家机密数据等,都对城市通卡系统构成潜在威胁。
2.1基于OCTAVE的风险评估流程
2.1.1 资产评估
1.选择关键资产信息资产是一类特殊的无形资产,它主要指信息系统及其系统相关资源,是组织业务正常动作、完成管理目标必不可少的资源。它以多种形式存在,有无形的、有形的,有硬件、软件、文档、代码、服务、形象等。此阶段通过调查问卷和访谈形式,确定关键资产列表,针对城市通卡系统的特点,参照OCTAVE中给出的资产分类方法,对城市通卡系统涉及的关键资产进行分类,见下表:
表1 OCTAVE-资产分类
2.标识关键资产的安全需求并对资产赋值本文在利用OCTAVE进行风险评估时,要尽力建立对城市通卡的关键信息资产进行保护的策略和风险缓和计划。要保护关键的信息资产,必须先确定这些信息资产中每项资产的重要价值,然后才能决定对每项资产的保护程度。信息资产的机密性、完整性和可用性分别反映了资产在不同方面的特性,它们对应着安全控制和保护功能不同的需求。通过考察三种不同安全属性,可以得出能够定量的反映资产价值的数值,对资产保护优先级进行排名。
Conf表示资产的机密性,Int表示资产的完整性,Avail表示资产的可用性。
表2 资产机密性赋值表
表3 资产完整性赋值表
表4 资产可用性赋值表
根据实际经验,3个安全属性中最高的一个对最终的资产价值影响最大,换而言之,整体安全属性的赋值并不随着3个属性值得增加而线性增加,较高的属性值具有较大的权重,因此可以利用下述公式来辅助OCTAVE评估法计算出需要评估的各项信息资产的价值:
2.1.2 威胁评估
1.标识对关键资产的危险,建立威胁配置文件。威胁可能源于对城市通卡系统的信息资产直接或间接的攻击,例如非授权的泄露、修改、删除等,也可以源于偶发的或蓄意的事件。在这一过程中,首先要对城市通卡系统需要保护的每一项关键信息资产进行威胁识别,然后为该资产建立唯一的威胁配置文件,对每种威胁的严重性和发生的可能性进行分析,从而制定相关策略。通用的威胁配置文件是一种结构化的方法,在OCTAVE方法中,配置文件包含如下属性:①主体-违反城市通卡系统信息资产安全需求(机密性、完整性、可用性)的人或物;②客体-城市通卡系统的信息资产;③动机-主体的入侵是故意还是意外的;④访问-主体访问城市通卡系统信息资产的形式(物理或网络访问):⑤结果:违反城市通卡系统信息资产安全需求所产生的直接结果(泄密、修改、破坏、损失、中断等)。通过资产的访问方式、威胁源、动机、结果和影响等属性建立威胁配置文件。
图4 基于访问方式的威胁树
图5 基于资产的威胁树
2.通过威胁发生可能性P和威胁对组织的影响I两个因素对威胁进行赋值
( 1 ) 威胁发生的可能性赋值威胁事件发生的可能性受多种指标的影响,包括:威胁源的行为动机,威胁源的攻击能力,威胁源拥有的资源,风险承受能力,威胁源受惩罚的可能性,资产对威胁源的吸引力。
( a ) 威胁源的行为动机威胁源产生威胁离不开造成威胁的人的行为动机,有了动机,人员才会变成潜在的危险的威胁源。行为动机大致有以下几种:挑战、获取经济利益、恶意破坏、复仇、竞争、好奇等。
( b ) 威胁源的攻击能力威胁源的技术等级越高,产生威胁的可能性越大。主要包括实施攻击的知识和技术,接近系统的能力,包括物理上的接近和逻辑上的接近,实施攻击者的组织能力。
( c ) 威胁源拥有的资源攻击者拥有的资源越多,发生的可能性就越大,主要包括人力资源,物质资源、信息资源等。
( d ) 威胁源所受约束力攻击者可能受到惩罚或约束力,如道德约束、法律、规章制度上的惩罚及经济上的罚款等,这些对攻击者有一定的威慑作用。
( e ) 资产对威胁源的吸引力资产的价值越高,就越能引起攻击者的兴趣,受到威胁的可能性就越大。资产的价值包括资产的本身的价值和资产间接产生的价值。如服务器本身的价值比组织内部的重要文档资料的价值要高,但间接产生的价值却远远不及这些重要的文档资料,可能更容易引起攻击者的兴趣。在调查过程中,由接受调查者综合以上几种因素,并参照威胁可能性赋值表,对单个资产所受到的威胁发生的可能性Pi进行赋值。
表5 威胁发生可能性赋值表
( 2 ) 威胁对组织的影响I赋值
参照威胁对组织的影响赋值表,对威胁对单个资产的影响Ii赋值。
表6 资产可用性赋值表
( 3 ) 综合威胁度赋值由于最终的风险结果值是要取资产值、威胁值、脆弱点值、现有安全措施值的成绩,为了限制最后结果的离散程度,取:
2.1.3 脆弱点评估
脆弱点是指网络和城市通卡系统安全分析、设计、实施和内部控制过程中的系统弱点,是信息资产“盔甲”的裂缝,是信息系统安全链中的较弱环节,而城市通卡系统的安全取决于整个系统安全链中最弱的那一环。作为一个攻击者,不管他出于何种动机,采用何种手段,都有理由预测他的攻击方式一定会把整个安全链条中最弱的一环作为自己的目标,可能被偶然或外部故意攻击所利用,造成系统安全破坏。城市通卡系统的脆弱点往往要涉及网络连接方式,信息的产生、分布和使用的状况,系统管理水平等多种因素,同时还涉及安全管理水平和人员素质。信息系统本身的这些脆弱点是客观存在的,是造成安全事件的内因,不存在脆弱点,威胁就构不成威胁,系统也就不存在风险,因此对系统的脆弱点分析和控制是至关重要的。
1.标识关键资产的弱点城市通卡系统信息资产的风险评估既包括对资产组织管理方式的评估也包含对资产载体设施的评估。因此在这一过程中,应将评估重点转移到技术观点上来,对基础信息设施的脆弱点进行分析。OCTAVE方法提高了传统的、以技术为核心的脆弱点评估的效率。首先,需要标识出与关键信息资产相匹配的信息基础设施,这里是指存储和处理这些资产的信息系统。然后可以应用OCTAVE支持的弱点评估工具对城市通卡系统进行风险评估。在完成了上一阶段的工作后,这一阶段运用已有的信息确定怎样对组织的计算基础结构的技术弱点进行评估,建立威胁和脆弱点的对映关系。这些弱点评估工具主要包括:针对特定操作系统的扫描器、用于扫描网络基础结构的扫描器、针对特定应用程序的扫描器、手工操作的检查表、调查问卷和脚本等;在风险评估过程中发现了系统的脆弱点后,可以标识出解决这些技术弱点的行动和建议。
一个尽量完整的威胁和脆弱点列表,并且给出大致可能的对应关系,可以有效的指导组织人员实施识别过程。人们公认的弱点目录就是MITRE公司的通用弱点和漏洞(Common Vulnerabilities and Exposures,CVE),该弱点目录由多个团体的代表共同开发,由MITRE公司负责维护。
由第三章对城市通卡系统风险分析的结果,在考虑脆弱点评估时的主要内容时,可参考下表:
表7 脆弱点评估内容
2.通过脆弱点对资产的损害程度D和攻击的复杂性C对脆弱点进行赋值
( 1 ) 脆弱点对资产的损害程度D赋值在对脆弱点识别的过程中,首先考虑对单个资产的损害程度Di,可以参照下表对其进行赋值。
表8 脆弱点对资产损害程度的赋值表
( 2 ) 脆弱点的攻击复杂性C赋值脆弱点被利用造成对系统安全性的影响与其攻击复杂性有关,越容易利用的脆弱点,对系统安全性的负面影响也就越大,对脆弱点的攻击复杂性Ci分级赋值如下表所示:
表9 脆弱点攻击复杂性的赋值表
( 3 ) 脆弱点综合赋值由于最终的风险结果值是要取资产值、威胁值、脆弱点值、现有安全措施值的成绩,为了限制最后结果的离散程度,取:
2.1.4 现有安全措施评估
采用合理的安全措施可以有效抵御由于系统弱点被利用所导致威胁,从而降低系统可能面临的风险。安全措施与系统脆弱点是相对应的,同样分为三大类:物理措施、技术措施、管理措施。安全措施分类如下表表所示:
表10 安全措施分类表
安全措施越有效,安全措施的等级就越高,其安全措施等级量化数值Si也就越小。安全措施赋值表如下表所示:
表11 安全措施分类表
2.1.5 风险结果计算
风险存在两个属性:后果(Consequence)和可能性(Likelihood)。最终风险对信息系统的影响,也就是风险两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加该资产面临风险的后果。在许多情况下,某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱点以及现有安全措施的函数,而风险的后果是资产的价值(影响)的函数。信息安全的保障往往遵循木桶原理,其核心内容为:一只水桶盛水量与桶壁上最高的木块无关,只取决于桶壁上最短的那块。根据这一核心内容原理,风险计算按木桶原则,即:最大风险要素值取值为该要素的等级最高数值。
1.单个资产的风险值计算单个资产的风险值计算。即:
上述公式主要考虑到各参数的取值并不是特别精确的数据,加入了顾问的经验和判断,采用线性相乘。根据计算出的风险值的数值,参照下表确定单个资产相应的风险等级。风险数值与风险等级对应的关系见下表:
表12 风险等级涵义
2.系统总风险值计算
在算出单个资产的风险数值以后,由 
算出单个资产在整个城市通卡系统资产中所占的权重,命名为Pi,则系统的总风险值可由公式4.5获得:
其等级也可参考表12。
原文来源:关键基础设施安全应急响应中心
本文始发于微信公众号(网络安全应急技术国家工程实验室):城市通卡系统风险评估及改进
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论