本文件探讨了电信运营商在风险管理中的应用，重点通过威胁用例和场景来实现更实际的风险评估。文中阐明了风险立方体的相关要素，并提供了威胁场景与措施的详细说明。最后，提出了针对信息安全的创新方向，旨在突破现有的安全管理瓶颈。

1. 反思与变易 用例方法实解电信运营商的风险立方体 启明星辰 首席战略官 ． 中国计算机学会 理事 潘柱廷 2009 年 11 月 06 日

2. 话题 不易的风险立方体 业务、威胁和防护措施 通过威胁用例 / 场景让风险评估变得更实际 用例思路覆盖风险立方体的三维 风险立方体上的创新机会

3. 用原则性的风险三要素 说明我们谈的是什么 抓住根本的、保持不变的

4. 持续地问那个根本性的问题 信息安全 到底是什么？ 根本特点到底是什么？ 根本原则到底是什么？ … …

5. 安全，解决不确定性 潜在性 复杂性 模糊性 动态性

6. 风险管理 风险管理的理念从 90 年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [ 摘自 AS/NZS4360]

7. ISO13335 中的风险管理的关系图 风险管理的要素化

8. 最精简的风险管理３要素

9. 最精简的风险管理３要素 业务 资产 保障 措施 威胁 A: 资产影响 T->A S(T->A)

10. 风险立方体 -Risk Cube 资产 威胁 措施

11. 风险立方体中的安全工作 资产 威胁 措施 注：此图中的坐标轴不代表程度

12. 通过威胁用例 / 场景 看到问题到底在哪儿 不谈泛泛的评估，谈点真格的

13. “ 经典”“传统”的风险评估 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 降低 增加 增加 利用 暴露 拥有 抗击 增加 引出 被满足

14. “ 事件 +” 的风险评估

15. 威胁与威胁用例 / 场景 Threat(s) is a specific scenario or a sequence of actions that exploits a set of vulnerabilities and may cause damage to one or more of the system assets are the potential bad things that might happen 威胁用例 / 威胁场景 Threat Use-Case Threat Scenarios

16. 威胁用例 / 场景的要素 威胁的环境 Environment ：前提、假设、条件等 威胁的来源 Agent ：包括攻击者、误用者、故障源、自然（灾害）等 威胁的对象 Object ：攻击目标和破坏对象，也就是要被保护的对象 威胁的内因——脆弱性 Vulnerability ：自身保护不当的地方 威胁的过程 Process 威胁的途径 Route ：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。 威胁的时序 Sequence ：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。 威胁的结果——事件 Event/Incident ：威胁具体实现之后所造成的结果 威胁的可能性：威胁产生结果变成事件的概率。 威胁的影响范围：威胁产生结果后的影响大小。以及影响进一步扩散的特性。

17. 针对威胁的措施 威胁标识 : nnnn P 防范 W 预警 D 检测 R 响应 R 恢复 C 反击 威胁环境 ** ** 威胁来源 ** ** ** 威胁对象 ** 威胁内因 **** ** ** ** 威胁途径 **** ** ** ** ** 威胁时序 **** ** ** ** 威胁结果 ** ** ** 其他

18. 威胁场景多维属性分类树

19. 威胁场景中漏洞利用链示例 威胁的环境前提条件： 1 ）存在一个运行于目标主机上的 Apache Web 服务； 2 ）存在一个 MySQL 数据库服务； 3 ）三台服务器的操作系统是 Windows Server2003 威胁的抵制措施 Countermeasure ： 1 ）打上了部分操作系统补丁 威胁的来源 Agent ：外部攻击者实施攻击。 威胁的对象 Object ： 1 ） Apache 服务器； 2 ） Tomcat 服务器； 3 ） MySQL 数据库服务器

20. 威胁的内因（脆弱性 Vulnerability ）组成漏洞集合 1 ）存在 Apache 溢出漏洞； 2 ）存在 RPC 漏洞； 3 ）存在 Unicode 漏洞； 4 ）存在目录访问漏洞； 5 ）存在 Tomcat UTF-8 编码漏洞； 6 ）存在 Tomcat 远程 JSP 源代码漏洞； 7 ）存在 Win Jscript 内存崩溃漏洞； 8 ）存在 Local Setuid-BOF ； 9 ）存在远程缓冲区溢出； 10 ）存在弱口令； 11 ）存在 SQL 注入 威胁的结果：希望得到后台数据库服务器的 Root 权限

21. 威胁场景中的漏洞利用链 III ： 0 （外部攻击者）  1 （ Apache 缓冲区溢出）  3 （远程缓冲区溢出， Local Setuid-BOF ）； II ： 0 （外部攻击者）  1 （ Apache 缓冲区溢出）  2 （ Tomcat UTF-8 编码漏洞）  3 （ SQL 注入， Local Setuid-BOF ）； I ： 0 （外部攻击者）  1 （ Apache 缓冲区溢出）  2 （ Win Jscript 内存崩溃漏洞）  3 （弱口令）

22. 使保护措施有理、有力、有节 最薄弱的地方有两个： 一是 1 中的 Apache 缓冲区溢出 二是 3 中的 Local Setuid-BOF 修补上述两个漏洞！！

23. 攻击图

24. 奥巴马 60 天评估报告 http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf

25. 中期行动计划 1. Improve the process for resolution of interagency disagreements regarding interpretations of law and application of policy and authorities for cyber operations. 2. Use the OMB program assessment framework to ensure departments and agencies use performance-based budgeting in pursuing cybersecurity goals. 3. Expand support for key education programs and research and development to ensure the Nation’s continued ability to compete in the information age economy. 4. Develop a strategy to expand and train the workforce, including attracting and retaining cybersecurity expertise in the Federal government. 5. Determine the most efficient and effective mechanism to obtain strategic warning, maintain situational awareness, and inform incident response capabilities. 6. Develop a set of threat scenarios and metrics that can be used for risk management decisions, recovery planning, and prioritization of R&D. 7. Develop a process between the government and the private sector to assist in preventing, detecting, and responding to cyber incidents. 8. Develop mechanisms for cybersecurity-related information sharing that address concerns about privacy and proprietary information and make information sharing mutually beneficial.

26. 用威胁用例 / 场景看木马

27. 时间：从时序看木马 外围传播 客户端感染 客户端潜伏 传染他人 执行恶意操作 回传窃取的文档 取走后打开文档 感染应用服务器 传给 XXX 存储文档 处理文档 传输文档 服务

28. 空间：从路径看木马 敏感区 核心区 非敏感内部区 互联网

29. 掐断木马的时序 外围传播 客户端感染 客户端潜伏 传染他人 执行恶意操作 回传窃取的文档 取走后打开文档 感染应用服务器 传给 XXX

30. 阻隔木马的路径 敏感区 核心区 非敏感内部区 互联网

31. 从层次看木马防护体系

32. 从实现机理看木马防护体系

33. 风险三要素的用例化 资产的 用例化 威胁的 用例化 措施的 用例化 安全域与业务流 … 威胁用例 / 场景 … 安全措施的用例 …

34. 资产用例化——资产地图 根据功能分区 服务器区域：运行、商务、管理 客户端区域 基础支持系统 …

35. Round trip 分析

36. 资产用例化——资产地图

37. 风险三要素的用例化 资产的 用例化 威胁的 用例化 措施的 用例化 安全域与业务流 … 威胁用例 / 场景 … 安全措施的应用流 …

38. 风险立方体中 寻找电信运营商的安全创新 突破信息安全成长的瓶颈

39. 风险立方体中的 安全创新 资产 威胁 措施 A: 资产影响 T->A S(T->A) * 管理平台化 * 多核技术 *… * 外网入侵 * 木马 *… * 内网 * 核心业务 * 云计算 *…

40. 点出几个创新方向 资产 威胁 措施 漏洞库 威胁场景库 … 知件库 安全域和业务流 威胁用例 … 用例化 / 流化 堡垒机 集中帐号管理 … 集中 ID 管理（分离自然人和角色） 更衣式终端 … 分解