（行政管理专业论文）电子政务系统安全风险分析研究.pdf

摘要 随着i n t e r n e t 的发展及信息化建设的不断推进，我国的电子政务系统建设得 到了飞速发展，其安全问题也被提到了战略性的高度。面对网络攻击、病毒侵袭 和人为破坏等各种威胁，如何使电子政务信息网络系统不被非法入侵，保护数据 安全和网络设备的安全运行，成为一个亟待解决的问题。在这种情况下，针对电 子政务系统，通过对现有各种风险分析方法的分析比较，笔者提出了一种新的三 元集成方法，即将改进的o c t a v e 、故障树分析技术和a h p 作为三个基本元素综合 集成，用来完成从定性到定量的评价运算，综合分析电子政务系统的安全风险。 最后，选用政府内部的办公自动化系统作为分析目标，运用本文提出的三元集成 法进行案例分析。 本文第一章主要介绍了该课题的选题背景、意义、研究思路以及当前国内外 发展的状况，引出问题；第二章主要是关于电子政务系统内涵与特点的介绍，电 子政务系统安全风险的理论，电子政务系统安全管理实施过程特别是风险分析过 程及其重要性的介绍；第三章为风险分析理论方法研究，包括电子政务信息系统 风险分析方法的能力要求，现有的主要安全风险分析方法剖析两大方面；第四章 为电子政务系统安全风险分析方法创新研究，在上述分析的基础上，笔者选择了 o c t a v e 、故障树和a h p 方法到电子政务系统风险分析中，提出了安全风险分析的 三元集成方法；第五章是一个综合案例分析，笔者选取了政府办公自动化系统作 为一个典型，进行了安全风险分析，对前面各章中提出的理论和方法加以运用和 证明；第六章为总结与展望。 关键词：电子政务系统；安全风险；o c t a v e ；f t a ；a h p a b s t r a ( 了 a b s t r a c t w i t ht h e d e v e l o p m e n t o fi n t e m e ta n dt h e c o n t i n u o u s p r o g r e s s o f i n f o r m a t i o n i z a t i o n ，t h ec o n s t r u c t i o no fc h i n a se l e c t r o n i cg o v e r n m e n ts y s t e mr o a r e d a n di t ss e c u r i t yi s s u e sh a v ea l s ob e e nm e n t i o n e do ns t r a t e g i ch e i g h t i nt h ef a c eo f n e t w o r ka t t a c k s ，v i r u sa t t a c k sa n dm a l i c i o u st h r e a t s ，h o wt om a k et h ee l e c t r o n i c i n f o r m a t i o nn e t w o r ks y s t e m sc a nn o tb et h ei l l e g a l l yi n v a s i o n e d ，k e 印t h ed a t as e c u r e a n d p r o t e c tt h es a f eo p e r a t i o no fn e t w o r ke q u i p m e n t ，h a sb e c o m ea n i s s u ei nh a n d i n s u c hc k e u m s t a n c e s ，t h ea u t h o rp r o p o s e dan e wo h fa p p r o a c ht h r o u g hav a r i e t yo f a n a l y s i so nr i s km e t h o d se x i s t i n g t h em e t h o di s ac o m p r e h e n s i v ei n t e g r a t i o no f o c t a v e , f a i l u r ea n a l y s i st e c h n i q u e sa n da _ h eu s i n gi t t h ea u t h o ra n a l y z ea n d e v a l u a t et h ee - g o v e r n m e n ts y s t e mr i s k sf r o mq u a n t i t a t i v et ot h eq u a l i t a t i v e f i n a l l y , t h e a u t h o rc h o s et h eg o v e r n m e n t si n t e r n a lo as y s t e ma st a r g e tt oa n a l y s i sw i t ht h en e w t h e o r y t h ef i r s tc h a p t e ri n t r o d u c e s b a c k g r o u n d ，m e a n i n g , a n dc u r r e n tr e s e a r c h a n d d e v e l o p m e n to ft h es e l e c t i o no ft h et o p i c c h a p t e r2i sm a i n l yo nt h ec o n t e n ta n d f e a t u r e so ft h ee - g o v e r n m e n ts y s t e m ，t h e o r yo fe - g o v e r n m e n ts y s t e ms e c u r i t yr i s k s ， a n de - g o v e r n m e n ts y s t e ms e c u r i t ym a n a g e m e n tp r o c e s si np a r t i c u l a ro nt h ei m p o r t a n c e o fr i s ka n a l y s i sp r o c e s s ；c h a p t e r3i n t r o d u c e st h et h e o r e t i c a lm e t h o d sf o rr i s ka n a l y s i s ， i n c l u d i n ge l e c t r o n i ci n f o r m a t i o ns y s t e m sr i s ka n a l y s i s m e t h o d sa n dt h ec a p a c i t y r e q u i r e m e n t s ，a n d t h ee x i s t i n gm a j o rs e c u r i t yr i s ka n a l y s i sm e t h o d sa n a l y z et h et w o a s p e c t s ；o nt h eb a s i so ft h ea n a l y s i sa b o v e ，i nc h a p t e r4t h ea u t h o ri n t e g r a t e do c t a v e ， f a u l tt r e ea n da h pm e t h o d sa n dp r o p o s e dt h eo h fr i s ka n a l y s i sm e t h o d ；c h a p t e r5i sa c o m p r e h e n s i v ec a s es t u d y u s i n gt h et h e o r yt h ea u t h o rp r o p o s e da h e a dt h ea u t h o r s e l e c t e dat y p i c a lg o v e r n m e n to as y s t e mi n t os e c u r i t yr i s ka n a l y s i s ；c h a p t e r6i s s u m m a r i z i n ga n d t h es t u d yi nt h ef u t u r e k e yw o r d ：e g o v e r n m e n ts y s t e m ，s e c u r i t yr i s k ，o c t a v e ，f r a , a h p 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：趔 日期：年月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：，导师签名： 日期：年月日 第一章绪论 第一章绪论 1 1电子政务系统安全问题的提出 1 1 1 选题背景 2 0 世纪后半期，以计算机为中心的现代信息技术引发了社会经济结构、生产 组织乃至生活方式的重大变化，深刻地改变着世界的面貌。信息已成为与物质、 能源并列的三大社会支柱之一。进入2 0 世纪9 0 年代，随着美苏冷战的结束，国 际政治、军事、经济和科学技术领域的竞争集中转向通过推进信息化来增强自己 的综合国力，信息技术更是得以迅猛发展。特别是互联网技术在全球的应用普及， 初步形成了全球范围内的数字化生存与竞争环境。为满足新的环境下行政管理现 代化的发展要求，在国际竞争中占据有利地位，所有工业化国家已将电子政务列 入了政治日程，并成为世界社会信息化最重要的领域之一。以互联网为核心的信 息技术在政府管理与服务中得到了广泛应用，电子政务作为一个新的概念在世界 范围内受到了广泛的关注和重视。根据联合国教科文组织在2 0 0 0 年对6 2 个国家 ( 3 9 个发展中国家、2 3 个发达国家) 所进行的调查，8 9 的国家都在不同程度上 着手推动电子政务的发展，并将其列为国家级的行动计划或重要建设项目i l j 。 目前，以美国、英国、新加坡等为代表的发达国家以加速发展信息化为主要 战略方针，在电子政务发展方面已经取得了很大的进展；以中国、印度等为代表 的广大发展中国家正在积极把握机会，争取迎头赶上，力图工业化与信息化并举， 尽快缩小与发达国家的经济差距和信息差距。 我国的电子政务得到了党和国家的高度重视，已成为国家信息化建设的中心 环节。2 0 0 1 年3 月，全国人大通过的国民经济和社会发展十五计划纲要，明确 提出了以信息化带动工业化、以电子政务带动国家信息化的基本策略。2 0 0 1 年8 月，党中央、国务院成立了国家信息化领导小组，并在2 0 0 1 年1 2 月召开了第一 次会议，提出了推进中国信息化建设必须遵循的五大方针。会议强调了电子政务 建设，提出政府的信息化建设要从中央政府抓起，进一步加快和完善“金关”、“金 税”、“金卡”、“金盾”等工程的建设，明确把电子政务作为首要的工作来抓。同 时发展电子政务已经成为我国政治体制改革、行政管理体制改革和政府管理现代 化进程中的重要战略安排。江泽民同志在党的十六大上所作的题为全面建设小 电子科技大学硕士学位论文 康社会开创中国特色社会主义事业新局面的报告中就明确指出：深化行政管理 体制改革，要“进一步转变政府职能，改进管理方式，推行电子政务，提高行政 效率，降低行政成本，形成行为规范、运转协调、公正透明、廉洁高效的行政管 理体制。” 正是基于政府信息化的这种要求，电子政务系统的建设和应用作为其中心环 节在我国上下正如火如荼地展开。然而，作为基于内部办公网与i n t e r n e t 相结合 的应用，电子政务系统和应用在形象一致性、安全性、稳定性等方面，比一般信 息系统有着更高的要求。对于其而言，信息安全是一个需要格外关注的问题。在 享受网络带给我们的信息便利性的同时，严格控制对信息的访问权限、保证信息 的安全需求不被侵犯对于政府来说是迫切需要解决的问题。网络的开放性必然带 来信息失窃的隐患，解决好信息共享与保密性、完整性的关系，开放性与保护隐 私的关系，互联性与局部隔离的关系，是实现“安全的”电子政务系统的前提。 目前我国电子政务系统的安全问题突出表现在： 我国政府信息网络安全存在严重隐患。网络非常脆弱，各种安全隐患普遍 存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文 件，并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏， 将不能正常工作，甚至全部瘫痪，给国家带来重大损失： 互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来，金融 机构内部利用计算机犯罪案件大幅度上升；在互联网上泄露国家秘密的案件屡有 发生： 境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信 息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家 造成重大政治影响和经济损失； 境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、 联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点，利 用电子公告栏、新闻讨论等公共媒体，发表反动文章，散布反动言论，煽动反政 府情绪；利用互联网进行组党结社，公开吸纳成员；利用电于邮件直接向国内用 户发送反动刊物等。对电子政务系统中的政府信息安全受侵害的方式主要包括： 偷窃、分析、冒充、篡改、抵赖等。 1 1 2 研究意义 2 1 世纪具有数字化、网络化和信息化的特征，是一个以网络为核心的信息时 2 第一章绪论 代，是一个更加开放和人员流动频繁的时代，任何国家、组织和个人在享受现代 技术带来方便、信息共享益处的同时，也面临着各种各样的信息安全威胁，如计 算机病毒、网络黑客、恐怖分子、间谍、出卖商业机密、内部人员欺诈与恶意行 为、计算机犯罪、信息处理设施滥用、自然灾害等，在全球范围内因信息安全造 成的损失呈上升趋势1 2 】。 我们知道，电子政务系统不是一个完全封闭的网络，它以互联网技术的应用为 基础，需要通过i n t e r n e t 等公网实现通信，具有开放性、网络化等特点。且政务 网上传递的数据及后台数据库很多涉及机密信息、敏感数据等，这些信息关系到 各大党政部门、乃至整个国家的利益，因此其往往成为国际黑客集团攻击和窃取 的重要目标。电子政务作为政务活动在信息时代的一种新的表现形式，由于上述 原因，使之面临着巨大的网络和信息安全风险，更易受到来自四面八方的各种攻 击威胁，在安全性方面有着更高的要求。 另一方面，网络与信息安全在电子政务系统中占据极其重要的位置，不管一个 电子政务系统所提供的功能有多强，使用是多么的方便，如果没有充分考虑安全 问题，那么，这个电子政务系统是一个失败的系统，这是由电子政务系统本身的 特殊性所决定的。 ， 因此，随着我国大踏步地迈入电子政务时代，一方面为各级政府机关及时、 高效地获取国内外信息资源带来了极大的方便，另一方面也给安全保密工作提出 了新的更高的要求。面对网络攻击、病毒侵袭和人为破坏等各种威胁，如何使电 子政务信息网络系统不被非法入侵，保护数据安全和网络设备的安全运行，成为 一个亟待解决的问题。 电子政务系统的安全风险管理是用可接受的成本识别、度量、控制或降低可能 影响系统的安全风险的一种过程。它是保证电子政务系统安全的起点和基础性工 作，其目的是保证政府组织活动的正常运转。风险管理的一个基本前提假设是： 信息系统不可能是百分之百的安全。由于任何组织能够用于信息系统安全保护的 资源都是有限的，理性的组织管理者必须权衡用于保护其信息系统的各项措施的 代价与由此获得的安全收益。将安全风险降低到可以接受的程度是每一个组织采 用各种安全措施的目的。使用风险管理作为安全决策的基础，利用基于风险管理 的安全范式构建我国电子政务系统的安全保障体系应是一种可行的选择。 而科学地分析系统的安全风险因素，又是电子政务系统安全风险管理中的关键 一环，它的正确与否，直接影响到风险管理的结果，进而决定了整个安全管理工 作的成败。只有在通过风险分析正确、全面地了解安全风险后，才能决定如何处 电子科技大学硕士学位论文 理这些安全风险，从而在信息安全措施的选择、信息安全保障体系的建设等问题 中做出合理的决策。因此，风险分析的准确与完备是实施信息安全保障措施的首 要先决条件。我国由于在电子政务建设和对安全问题的研究上起步较晚，到目前 为止还没有一套完备的信息安全保障理论体系，并没有从根本上解决电子政务的 安全问题。同时随着电子政务的大力开展，加强安全忧患意识，从技术、管理各 个层面强化安全防范措施，又显得尤为重要。因此，本文研究电子政务信息系统 的安全风险分析问题具有重大的理论意义和实践价值。 1 2 国内外研究与发展态势 信息安全自古以来就是一个人们关注的问题。随着人类文明的发展与进步， 信息处理的方法与技术也在不断发展，从最原始的语言交谈，到古代文字、纸张 的发明，到现代通信、计算机与网络技术的普遍应用，信息的存储、交流、传输、 处理的技术与方法越来越多，越复杂，信息储存的媒体也越来越多。信息量正在 呈几何级数增长，信息资产所面临的安全威胁也在不断地增加，因此保障信息安 全显得更为复杂和重要。 国外发达国家向来重视信息安全风险分析工作。早在2 0 世纪7 0 年代美国国 家标准局就提出必须采用风险方法管理信息安全，并制定了实施指南f i p s p u b - 3 1 。 现今国际知名的由美国国家安全局提出的系统安全工程能力成熟度模型，由国际 标准化组织提出的信息安全标准i s 0 1 7 7 9 9 和i s 0 1 3 3 3 5 ，以及兰德公司v a m 安全管 理方法，都认为安全风险分析是信息安全模型的关键环节。组织在面对信息安全 问题和高昂的安全成本时，只有全面辨识可能给信息系统造成损害的风险及其后 果，才能刻画出安全问题的真实本质，以利于制定最终的安全方案【3 】【4 】。 在我们国家内部，2 0 0 3 年8 月，国家信息化领导小组提出了国家信息化领 导小组关于加强信息安全保障工作的意见，对我国信息安全保障工作提出了重 要的工作原则和全面的工作要求，并在其中强调，要重视信息安全风险评估工作。 2 0 0 4 年1 月，召开了全国信息安全保障工作会议，进一步深化了对信息安全风险 分析与评估工作的要求，将其列为当前需要务必抓好的五方面工作之一，并作了 明确部署。这是我国信息安全保障历史上的两件大事。 另外，在信息安全产业界，风险分析也早已不是陌生话题。几年以来，各安 全公司完成的风险分析与评估项目已不在少数。因此，当前信息系统安全风险分 析在我国不但获得了高层政策的指引，而且又有了一定的实践基础。 4 第一章绪论 缩小范围，在电子政务信息系统方面，其行使政府职能的时候，必然会受到 来自外部或内部的各种攻击，包括黑客组织、犯罪集团或信息战时期信息对抗等 国家行为的攻击。因此，安全性问题伴随着电子政务系统的产生而产生，它是电 子政务的首要问题。各国专家学者都在开展这方面的研究，然而，电子政务系统 安全问题的分析与解决是一项困难的工作。其中涉及的因素很多，且错综交织。 目前国内外在该问题上还很不成熟。 尽管国外学者对信息安全的研究起步较早，对此有了自己独到的见解，并且 在以风险分析为主要环节的风险管理领域已制定并发布了一系列相关标准。电子 政务建设也相对较为成熟，但是在电子政务系统安全风险分析领域，其研究也才 刚刚起步，到目前为止且还没有一个成熟的风险管理标准。 回到国内，随着信息技术的广泛应用、电子政务的大力兴起，各级政府和公 众的信息安全意识不断得到加强，研究电子政务安全问题的书籍和文章也越来越 多。但是存在着较多弊端，不是过于宏观的泛泛而谈，就是非常肤浅的简单思考、 或者从某个单一角度出发的片面分析，缺少建设性的突破。到目前为止还没有一 套完备的安全保障理论体系，并没有从根本上解决电子政务的安全问题1 5 6 1 1 7 1 1 踟。 而对电子政务系统风险分析方面所做的研究工作还比较少，迄今为止，尚未见到 关于完整、系统的风险分析和建模方法的研究报道 9 1 。基本上为传统企业信息系统 安全风险管理思路在电子政务系统上的简单应用，在强调共性的同时，缺少对电 子政务系统、政府组织个性的考虑。 目前，将风险分析应用于电子政务系统的安全问题主要有两种思路，一种是 静态分析法，即找出构成电子政务系统的相关元素及其可能存在的风险点，通过 对构成系统各要素的风险分析来评价整个系统的安全风险；另一种思路是将电子 政务系统作为一个复杂巨系统，从整体上分析系统构成要素的行为特征和与时空 有关的安全风险分布及其变化，建立一个基于系统的风险分析评估模型。显然， 这两种思路各有优缺点。基于系统元素分析电子政务系统的安全风险，容易导致 过分关注局部问题，忽略了系统整体上的行为表现和动态特性，但是完全将电子 政务系统作为一个整体进行风险分析，将遇到模糊不清、不易操作和难于量化分 析的数学问题。当前，静态分析法相对使用较多，如基于网络分层的系统安全风 险分析思路、b s 7 7 9 9 等；整体分析法从系统安全工程的角度出发，面向系统整个 生命周期，以系统动力学、s s e c 删等为代表。 1 3研究思路 电子科技大学硕士学位论文 本文从电子政务系统的角度研究安全风险分析问题，力求在全面、准确地分 析电子政务系统安全风险因素的基础上，确定电子政务系统风险的大小与等级。 进而为实施安全风险控制，构建电子政务安全保障体系，彻底解决电子政务的安 全问题提供一些有益的参考和思索。 结合前面对已有研究的分析，我们可以看到在电子政务系统安全风险分析方 面有很多工作要做。上述提到的现行分析理论和方法在国内外进行系统的风险分 析、科研项目的选题等方面有很多案例。虽然各种分析理论和方法都有其优点， 但也各存在弱点和缺陷。为此，笔者提出了一种新的三元集成方法，即将改进的 o c t a v e 、故障树分析技术和a h p 作为三个基本元素综合集成，用来完成从定性到 定量的评价运算，综合分析电子政务系统的安全风险。最后，选用政府内部的办 公自动化系统作为分析目标，运用本文提出的三元集成法进行案例分析。 第二章电子政务系统及安全风险 第二章电子政务系统及其安全风险 2 1电子政务系统 电子政务系统是基于网络的，符合i n t e r n e t 技术标准的，面向政府机关内部、 其他政府机构、企业以及社会公众的信息服务和信息处理系统。通过电子政务系 统，政府部门内部实现办公自动化：并为公众提供信息服务：而政府部门内部以及 部门之间实现信息资源共享。电子政务系统与企业信息系统一样都是以人和计算 机为主，具有一般人机系统所有的组成结构特点，在逻辑上是从一般到特殊、从 普遍到个别的关系。 由于政务活动本身的特殊性和重要性，电子政务系统相比一般的企业信息系 统，具有如下特点： 1 开放性更大 电子政务系统用户数量多、涉及面广，面向最广大的企业、公众，面向整个 社会，开放性巨大。其主要包括三个组成部分：一是政府部门内部的电子化和网 络化办公系统；二是政府部门之间通过计算机网络而进行的信息共享和实时通信； 三是政府部门通过网络与民众之间进行的双向信息交流。 2 网络化程度更高 电子政务系统网络由内网、外网和专网这三部分组成，形成一个从中央到地 方的庞大的网络体系架构。这一现状使得其对网络的依赖达到空前程度。然而， 这种高度依赖性也使电子政务系统变得十分“脆弱”，因为网络极易受到攻击。一 旦网络受到攻击，不能正常工作、甚至全部瘫痪时，整个政府乃至社会将陷入深 深的危机。 3 国家涉密性 电子政务系统中流转、发布的信息多为政府公文、政策法规等，其中不乏重 要情报，有的甚至涉及国家安全【1 0 1 。这些机密信息对攻击者的吸引力不容置疑， 易被不法分子及各种政治势力窃取利用，危及国家安全。由此引发的威胁发生的 可能性巨大。 4 信息主权的产生 电子政务的建设和发展，使传统的国家主权概念发生了变化，信息主权成为 其中的重要组成之一；使传统的国家的地缘边界之外又出现了新的“信息”边界。 电子科技大学硕士学位论文 而在网络上的信息资源很难用国界来保护，这要求我们在进行电子政务系统建设 和运营的过程中，务必树立新的国家安全观念，以切实有效的措施捍卫国家的信 息主权，保卫国家的信息边疆。 5 影响更深远 基于政府组织管理服务整个社会的任务，而电子政务系统作为政务活动的唯 一载体，其在政府组织中的作用及影响是深远的。电子政务系统一旦受到侵犯， 损害的不光是个人、组织的利益，更是波及整个社会和国家。这一点与企业信息 系统截然不同。由此，对其进行安全风险管理必须有较高的准确度和精确度。 2 2安全风险 2 2 1 安全风险的一般理论 风险是指遭受损害或者损失的可能性，是实现一个事件不想要的负面结果的 潜在因素。而在信息安全上下文中，风险特指被特定安全威胁利用的资产的一种 或一组脆弱点导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性 与后果的结合。风险的一般数学表达式为：风险r = f 0 c ) 其中p 为风险事件发 生的概率，由威胁发生可能性与资产脆弱点被利用可能性共同决定；c 为风险事件 发生的后果，即资产价值的损失值。 安全风险是一种潜在的、负面的东西，处于未发生的状态。与之相对应，安 全事件( 以下简称事件) 是一种显在的、负面的东西，处于已发生的状态。风险是事 件产生的前提事件是在一定条件下由风险演变而来的。图2 1 给出了风险与事件 之间的关系 演变 潜在 ( 未发生状态) 显在 ( 已发生状态) 图2 1 风险与事件之间的关系 风险的构成包括五个方面：起源、方式、途径、受体和后果。它们的相互关 系可表述为：风险的一个或多个起源，采用一种或多种方式，通过一种或多种途 径，侵害一个或多个受体造成不良后果。它们各自的内涵解释如下： ( 1 ) 风险的起源是威胁的发起方，叫做威胁源。 第二章电子政务系统及安全风险 ( 2 ) 风险的方式是威胁源实施威胁所采取的手段，叫做威胁行为。 ( 3 ) 风险的途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞。 ( 4 ) 风险的受体是威胁的承受方，即资产。 ( 5 ) 风险的后果是威胁源实施威胁所造成的损失，叫做影响。 图2 2 描绘了风险的概念模型，可表述为：威胁源利用脆弱性，对资产实施威 胁行为，造成影响。其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状 态，但具有发生的可能性i l ”。 石认 吲 图2 - 2 风险的概念模型 2 2 2 电子政务系统的安全风险概述 电子政务系统的风险是事件发生的概率和该事件造成的可能损失的总和。其 中，事件的发生概率主要与系统的脆弱性( 或漏洞) 、针对政务系统为目标的威胁 性以及产生影响的可能性有关。而对风险事件发生后果的影响程度大小估计，通 常从对资产的直接和间接影响、能力的影响以及系统恢复费用三方面来衡量。 电子政务系统的安全既受到来自外部的威胁，也受到出自内部的威胁。外部 的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害 等。而来自内部的威胁因素包括：内部人员恶意破坏、内部人员与外部勾结、管 理人员滥用职权、执行人员操作不当、安全意识不强、内部管理疏漏、软硬件缺 陷等。归纳起来，电子政务系统面临的威胁和挑战可以用图2 3 来表示【1 2 】【1 3 l 。 电子科技大学硕士学位论文 图2 - 3 安全威胁归类 2 3电子政务系统安全风险管理实施的关键环节风险分析 信息安全风险分析是一种主动识别信息安全风险的过程。通过研究信息安全 风险的基本要素，对信息安全风险进行量化，明确一个组织需要保护哪些信息资 产和需要付出多大的代价去保护这些资产【1 4 1 。 电子政务信息系统安全风险分析，是指依据有关信息安全技术标准，对信息 系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进 行科学公正的综合分析的活动过程。 2 3 1 电子政务系统安全风险分析阶段实施的重要性 首先，安全风险分析是信息安全建设的起点和基础，它是风险分析理论和方 法在信息系统中的运用。所有的信息安全建设都应该基于信息安全风险评估，只 有在正确地、全面地理解风险后，才能在控制风险、减少风险之间做出正确的判 断，决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制 风险。因此，信息安全风险分析是选择信息安全控制的基础。其目标就是保证信 息系统的安全控制与信息系统遭受的风险相对称。因为对于一个组织而言，通常 不存在不计成本的信息安全策略。因此，信息安全策略的制定者要根据被保护的 信息资产的重要性来决定要采用的信息安全控制的级别。为了确定整个组织的信 息安全控制水平，信息安全策略制定者必须进行全面的信息安全风险分析。 其次，风险分析是分级防护和突出重点的具体体现。信息安全建设必须从实 际出发，坚持分级防护，突出重点。风险分析正是这一要求在实际工作中的具 l o 第二章电子政务系统及安全风险 体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险 总是客观存在的。安全是风险与成本的综合平衡，盲目追求安全和完全回避风 险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、 突出重点，就必须正确地分析风险，以便采取有效、科学、客观和经济的措施。 最后，加强风险分析工作是当前信息安全工作的客观需要和紧迫需求。由于 信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时 也极大地增加了系统的复杂程度。发达国家越来越重视风险分析与评估工作，提 倡风险分析与评估制度化。他们提出，没有有效的风险分析，便会导致信息安全 需求与安全解决方案的严重脱离。因此，他们强调“没有任何事情比解决错误的 问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险 分析为核心的信息系统安全分析工作，并通过法规、标准手段加以保障，逐步以 此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国情 下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险分 析工作，并逐步使风险分析工作朝着制度化的方向发展。 对任何信息系统而言风险总是存在的，由于电子政务信息系统的国家性质， 使它必然存在着更大的安全风险。因此，安全风险分析也是电子政务信息系统安 全工程设计的前提。对电子政务系统安全风险分析的基本目的，是为了制定安全 规划和安全设计以及为作出决策提供依据。但是由于风险因素的复杂性和不确定 性，增加了风险分析的困难，使得风险分析的结果存在一定的不准确性。我们的 目的并不仅仅是需要通过风险分析得到精确的风险分析数值，而更重要的是通过 风险分析获得将风险控制在可接受限度内的控制方法，以及对不同防护机制和防 护力度情况下的风险比较结果。 2 3 2 安全风险分析的一般过程 电子政务信息系统安全风险分析需要分析系统的脆弱性、系统面临的威胁以 及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性 和负面影响的程度来识别系统的安全风险。其实施的一般过程如下： 首先应按照信息系统业务运作流程进行资产识别，明确要保护的资产、资产 的位置，并根据估价原则评价资产的重要性。为确保资产估价的一致性和准确性， 系统应建立一个统一的价值尺度，以明确如何对资产进行赋值。还要注意特定信 息资产的价值的时效性和动态性。 电子科技大学硕士学位论文 其次，对系统进行全面的安全性分析。运用一定的分析方法和技术，识别资 产的内部和外部安全威胁，与每一威胁相对应的资产或信息系统的脆弱点，威胁 发生的可能性以及威胁发生后对系统造成的危害，为风险估计收集信息。 再次，对已采取的安全控制进行确认。最后，建立风险测量方法及风险等级 评价原则，确定风险的大小与等级。 2 3 3 基于风险分析的电子政务系统安全管理实施过程 电子政务系统安全风险管理，是以可接受的费用识别、控制、降低或消除可 能影响系统的安全风险的过程。其目的是保障政府组织活动的正常运转，而非仅 仅保证其中的信息资产的安全。如图2 - 4 所示，安全风险管理实施的过程可以分为 风险评估和风险控制两个阶段。在风险评估阶段通过识别、度量和分级等手段达 到风险认知的目的，并据此制定风险管理策略。在风险控制阶段应根据风险管理 策略，采取规避、转移和降低等手段使风险达到可接受的水平。 i 风险识别i - 1 风险规避i - 风 风 风 险险 险 险 - 1 风险度量i 管控 - 1 风险转移卜_ 接 认 理制 受 知 策手 j 风险级别i - - 略段 j 风险降低i - ! 葚鲤醺：j! 戛鲠醺：j 图2 4 安全风险管理实施过程 2 3 3 1 安全风险评估 安全风险评估是确定电子政务系统面临的风险级别的过程，是风险控制的前 提和基础。风险评估阶段的基本实施步骤如下： ( 1 ) 识别风险。一方面需分析电子政务系统本身的技术特点，明确风险分析 的对象，标识系统边界及其所包含的资源，确定风险管理的范围：另一方面找出 系统本身的薄弱环节，分析威胁的来源、类型、级别、出现概率等，以此达到风 险识别的目的。 ( 2 ) 进行风险度量，即确定风险对组织或系统的影响程度。不过这种度量较 难精确量化，除了收入的损失、系统的修正、恢复的成本等可以定量描述外，绝 第二章电子政务系统及安全风险 大部分指标都只能定性描述。 ( 3 ) 确定风险级别。风险取决于安全事件发生的可能性及其相应的影响，可 事先定义好不同范围、不同程度的风险的级别，然后将可能发生的威胁进行风险 级别归类，从而达到风险等级划分的目的。 最后，在上述步骤的基础上，还应制订相应的风险管理策略。目的在于最有 效、最大程度的消除威胁、降低风险，并为后面的风险控制提供指导。 2 3 3 2 安全风险控制 安全风险控制是根据风险评估阶段的结果，采用一定的方法和手段，对已标 识的风险采取相应的措施，将电子政务系统的安全风险降低到可接受的水平，并 保持对系统其他功能的影响最低。 安全风险控制的主要内容是选择风险控制手段，包括以下方面： ( 1 ) 采取风险规避措施。例如：将重要的计算机系统与外网隔离，以避免外 部攻击的风险；建立并实施恶意软件控制程序，以减少系统受恶意攻击的机会； 通过教育培训来强化工作人员的安全意识与安全操作技能，以减少组织或系统的 弱点等。 ( 2 ) 实施必要的风险转移措施。例如，通过购买商业保险将风险进行转移， 不过这只能补偿部分经济损失。 ( 3 ) 还应尽可能降低威胁的影响程度。例如，建立并实施持续性的安全管理 计划，包括对应急、备用、恢复等活动的安全要求：建立并实施对系统进行监控 的程序，以主动探测威胁、抑制其扩大。 因为系统的绝对安全( 零风险) 是不可能的，在采取各种安全控制手段后， 仍有部分风险未能控制或未被意识到，这部分便是剩余风险。接受剩余风险是一 个对残余风险进行确认和评价的过程，将残余风险分为可接受和不可接受的风险。 对于无法接受的风险应考虑再增加控制，以进一步降低这些风险【1 5 】。 电子政务系统的安全风险分析包括上述过程中的风险识别与风险度量两个阶 段，这也是本文要研究的重点内容。 电子科技大学硕士学位论文 第三章风险分析理论方法研究 3 1相关风险分析方法介绍 最初风险管理的概念是指企业为了应对来自社会经济生活各个方面的不确定 性，以及企业自身经营活动带来的动态风险的手段。目前，风险管理的研究对象 可以从广义和狭义两方面界定：从广义上讲，风险管理是研究人类社会活动中的 种种不确定性；从狭义上说，风险管理则是研究造成人类生命和财产损害的不确 定性。风险管理的概念已经存在了很长的时间，在很多传统行业，形成了多种风 险分析方法。随着信息技术的发展，信息安全风险分析方法也逐渐发展起来。信 息安全风险分析实施过程是指导组织或部门正确标识安全风险的可操作的管理方 法，安全风险分析的可靠性依赖于风险分析方法的选择与使用【1 6 j 。 大多数风险分析方法最初都要对资产进行识别和评估，在此以后，它们开始 用不同的方法进行损失计算。根据分析对象集合性质的不同，风险分析的基本方 法可分为定性风险分析方法和定量风险分析方法两种。定性风险分析是依靠先例、 经验进行主观估计和判断，可提供给决策者低风险、中风险和高风硷的定性判定。 它是一种典型的模糊分析方法，可以快捷地对资产、威胁、脆弱性进行系统的评 估，并对现有的防范措旌进行评价，从主观的角度对风险成分进行排序。定量风 险分析是利用科学依据给定性的风险因素赋以数值，最后以0 - 1 0 的概率估计危 险性，供决策者利用。它是按照设备的更新费用，每个资产、冲击的费用，每次 威胁攻击的定量频次，为资产、威胁和脆弱性提供的一套系统分析手段。分析所 形成的量化值，将被用来计算年度损失概率。 前者常常缺乏必要的用于评估的信息和材料，不可知因素太多，过于主观， 因此后者更具有科学性、透明性、可防御性、灵活性和一致性。但定量方法需收 集大量信息，计算也较复杂，这将花费大量的时间。目前，多数情况下将定性和 定量两种分析方法结合使用。 3 1 1s s e - c m m s s e c 姗是系统安全工程能力成熟度模型( s y s t e m ss e c u r i t ye n g i n e e r i n g c a p a b i l i t ym a t u r i t ym o d e l ) 的缩写，它源于c m m ( 能力成熟度模型) 的思想和方法， 是c m m 在系统安全工程领域的应用。s s e c m m 作为一个过程参考模型，通过对安全 1 4 第三章风险分析理论方法研究 工程组织实施安全工程过程的能力进行评估，来识别过程域中影响质量和过程改 进的关键问题，它为组织的过程改进提供了途径。 s s e - c m m 模型框架是一个二维架构，如图3 - 1 所示。横轴上有1 1 个系统安全 工程过程域( p a 0 1 - p a l l ) ，分别描述风险过程、工程过程和信任度过程。其中， 风险过程用于识别被开发产品或系统的潜在危险，并将其按优先级排列次序。工 程实施过程强调将安全工程过程与其他工程学科相结合以解决由危险带来的问 题。信任度过程则建立了安全解决方案的信心，并将这种信心传递给用户。这里 所谓的信心是指成熟的组织更有希望重复其执行过程。这1 1 个过程域可能出现在 安全系统生存期的各个阶段，s s e - c w 模型并不规定它们之间的顺序。纵轴上有5 个能力成熟级别。五个等级由低到高，低等级是不成熟的、难控制的，中等级是 可管理的、可控的高等级是可量化的、可测量的。每个级别的判定反映为一组 共同特征( c f ) ，而每个共同特性进而通过一组确定的通用实践( g p ) 来描述。过 程能力由g p 来衡量。g p 、c f 和能力级别组成了三级结构。 图3 qs s e - c m m 模型框架 s s e - c 删风险过程包括对威胁、脆弱性、影响和相关风险的分析。s s e - c m m 定 义了四种风险过程，如图3 2 所示：评估威胁过程( p a 0 4 ) ；评估脆弱性过程( p a 0 5 ) ； 评估事件影响过程( p a 0 2 ) ；评估安全风险过程( p a 0 3 ) 。 图3 - 2 安全风险识别过程 电子科技大学硕士学位论文 评估风险过程域产生的风险信息取决于来自第四过程域的威胁信息、来自第 五过程域的脆弱性信息和来自第二过程域的影响信息1 1 7 j 。 3 1 2o c t a v e 方法 可操作的关键威胁、资产和弱点评估o c t a v e ( o p e r a t i o n a l l yc r i t i c a l t h r e a t ，a s s e r ta n dv u l n e r a b i l i t ye v a l u a t i o n ) 使组织能够理清复杂的组织问 题和技术问题，了解并解决信息安全风险。 o c t a v e 方法是一种从系统的、组织的角度开发的新型信息安全保护方法。其 核心是自主原则，该方法通过建立一个小型的、从组织自身的人员中抽调的各学 科人员组成的队伍( 称为分析团队) 领导组织的评估过程。分析团队的成员既包 括业务部门的人员，又包括信息技术部门的人员。组织业务部门的人员知道哪些 信息对于完成他们的任务重要，也知道怎样访问和使用这些信息。信息技术部门 的人员知道如何配置与计算基础结构相关的阀题，也知道保证计算基础结构正常 运转的重要因素。这两类成员相互补充，他们的认识对于了解全局的、组织的信 息安全风险十分重要。 信息安垒风险涉及4 个主要因素：资产、威胁、弱点和影响。广义的资产是 指一切对组织有价值的东西，丽信惠安全风险分析中必须考虑的是须保护的信息 系统瓷源，即关键资产它是指对组织重要的与信息相关的资产。o c t a v e 是一种资 产驱动的评估方法，报据组织的资产所处的具体环境来构造组织的风险框架。整 个评估过程以讨论会的形式进行，分析团队必须考虑关键资产、对这些资产的威 胁和使资产易受威胁的弱点( 组织的和技术的) 之间的关系。根据威胁和系统的 脆弱性可能产生的影响，实施安全管理控制。 具体来说，o c t a v e 方法使用一种三阶段方法对组织闯题和技术问题进行研究， 从而使组织人员能够全面把握组织的信息安全需求。该方法由一系列循序渐进的 讨论会组成，每个讨论会都需要其参与者之间的交互。另外，在开始实际评估之 前，需要做好许多准备工作。图3 3 描述了o c t a v e 方法的三个阶段和需要做的准 备工作。 第三章风险分析理论方法研究 一讨论会的进展序列一 图3 - 3 o c t a v e 方法 第1 阶段：建立基于资产的威胁配置文件。这是从组织的角度进行的评估。 组织