（管理科学与工程专业论文）信息系统的风险分析及安全管理.pdf

永南大学硕j 学位论文 摘要 信息系统的风险分析及安全管理 研究生：齐进导师：陈伟达副教授东南大学经济管理学院 摘要 在信息化建设中进行信息系统的风险分析和安全管理，是一个新的和十分重 要的课题，已经引起国家的高度重视。信息安全管理不单单是管理体制或技术问 题，而是策略、管理和技术的有机结合。从构建信息系统安全架构的高度出发来 令面构建和规范我国的信息安全，将有效的保障我国的信息系统安全。因此，本 文的研究具有定的理论意义和较大的应用价值。 本文在分析信息系统安全现状的基础上，由信息系统安全威胁对信息系统造 成损害的特点出发，进行风险分析并引入了r b a c 模型。在此基础上，提出了 基于r b a c 理论的权限管理安全模型。因此，本文主要分为两个重要的组成部 分；信息系统的风险分析和管理过程及基于r b a c 的安全模型设计。 论文共分五章。第一章简述了问题提出的背景及意义；第二章中根据信息系 统风险分析的，般步骤分别介绍了资产评估、信息系统的安全威胁识别及一系列 行之有效的信息系统风险分析方法；第三章，在分析现今应用中的各种安全模型 及组织内部安全需求特点的基础上，提出了基于角色的安全访问控制( r b a c ) 模型，及r b a c 模型的基本思想、特点和优势；第四章中提出了一种基于r b a c 思想的安全模型设计方案，并着重讨论其权限管理及访问控制的实现，提出了基 于此思想的分层访问权限管理方案。第五章，给出本文研究的结论，并讨论进一 步的研究方i 自。 关键字：信息系统，风险分析，安全管理，r b a c 模型，角色，访问控制 尔南大学硕1 学位论文 i n f o r m a t i o ns y s t e mi u s ka n a l y s i sa n d s e c u r i t ym a n a g e m e n t g r a d u a t e ：q ij i ns u p e r v i s o r ：c h e nw e i d a s o u t h e a s tu n i v e r s i t y a b s t r a c t i ti san e wa n dv e r yi m p o r t a n ti s s u et oc o n d u c tt h ei u f o l r n a t i o ns y s t e mr i s k a n a l y s i sa n ds e c u r i t ym a n a g e m e n ti ni n f o r m a t i o n i z a t i o nc o n s t r u c t i o n ，w h i c hh a s d r a w nt h e g r e a t a t t e n t i o no ft h e g o v e r n m e n t t h ei n f o r m a t i o ns y s t e ms e c u r i t y m a n a g e m e n td o e sn o ti n v o l v eo n l yt h em a n a g e m e n ts y s t e mo ro n l yt h er e l e v a n t t e c l m i q u e s ，b u ti n c l u d e st h er e l e v a n ts t r a t e g i e s ，m a n a g e m e n ta n dt e c h n i q u e s i tw i l l g r e a t l ya s s u r et h en a t i o n a li n f o r m a t i o ns y s t e ms e c u r i t yt oc o n s t r u c ta n dn o r m a l i z et h e n a t i o n a li n f o r m a t i o no nt h eb a s i so f c o n s t r u c t i n gt h ei n f o r m a t i o ns y s t e ms e c u r i t y f r a m e s ot h i st h e s i sh a si m p o r t a n tt h e o r e t i c a la n d p r a c t i c a lv a l u e t h ep a p e rf i r s t l y a n a l y z e s t h e a c t u a l i t yo ft h ei n f o r m a t i o ns y s t e ms e c u r i t y , s e c o n d l ys e t so u tt h ec h a r a c t e r sw h i c ht h ei n f o n n a t i o ns y s t e ms e c u r i t yh a z a r dh a r m s t h ei n f o r m a t i o ns y s t e ma n db a s e do nt h ec h a r a c t e r si n t r o d u c e st h er b a c r i s ka n a l y s i s m o d e l ，l a s t l yp r o p o s e st h em e t h o d so fa c h i e v i n gp u r v i e wm a n a g e m e n to nt h eb a s i so f t h er b a cm o d e l s ot h ea r t i c l em a i n l yc o n s i s t so ft w o p a r t s ：t h ei n f o r m a t i o ns y s t e m r i s ka n a l y s i sa n ds e c u r i t ym a n a g e m e n ta n dt h ed e s i g no ft h es e c u r i t ym o d e lb a s e d o n t h e r b a c t h ep a p e ri s c o m p o s e do ff i v ec h a p t e r s ，c h a p t e r jf o c u so nt h eb a c k g r o u n da n dn l e s i g n i f i c a n c eo ft h ei s s u e c h a p t e r2 i n t r o d u c e st h ea s s e te v a l u a t i o n ，t h es a f e t yt h r e a t e nt ot h e i n f o r m a t i o ns y s t e t na n ds o m ee f f e c t i v ew a ya n a l y z i n gt h er i s ko ft h ei n f o r m a t i o ns y s t e ma f t e r a n a y z i n g1 h es e c m - i t yf i l o d e l sa n ds e c u r i t yd e m a n di n t h eo r g a n i z a t i o nc h a p t e r3i n t r o d u c e st h e r o l e b a s e da c c e s sc o n t r o lm o d e la n di t sb a s i ci d e a ，c h a r a c t e r i s t i c sa n da d v a n t a g e s ；c h a p t e r4 i n t r o d u c e st h em o d e ld e s i g n i n gb l u ep r i n tb a s e dt h er b a c t h e o r y , a n dd i s c u s st h ei m p l e m e n to f t h ep t u v i e wm a n a g e l z l er y ta n da c c e s sc o r ? t r o l ；c h a p t e r5c o f l 2 e st ot h ec o n c l u s i o no f t h e p a p e r a n d p r e s e n t st h ef o l l o w i n gr e s e a r c ha s p e c t ， k e yw o r d s ：i n f b n n a t i o ns y s t e m ，r i s ka n a l y s i s ，s e c u r i t ym a n a g e m e n t ，r b a cm o d e l ，r o l e ， a c c e s sc o n l r o l i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名： 豸 受 日 期：巡呷 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 一虢毒巫翩躲艘讲? 7 东南大学硕士学位论文 第一章绪论 第一章绪论 1 1 问题提出的背景及意义 1 1 1 问题提出的背景 信息是社会发展的重要战略资源。在信息社会中，信息是维持社会活动和经 济活动以及生产活动的重要资源，成为政治、经济、社会、文化等一切领域的基 础。掌握和控制信息这一重要资源，就能取得信息社会的主动权。当前，信息技术 目新月异，发展速度越来越快。网络经济的形成，更加快了信息化的进程。 就我国的实际情况来看”一”，党的十五届五中全会指出：“大力推进国民经 济和社会信息化，是覆盖现代化建设全局的战略举措。以信息化带动工业化，发 挥后发优势，实现社会生产力的跨越式发展。”“十五”期间是我国经济和社 会发展的重要时期，也是推进国民经济和社会信息化的重要时期。信息化发展的 主要目标是：到2 0 0 5 年，电信运营业和电子信息产品制造业增加值占国内生产 总值7 以上，信息技术改造传统产业的作用显著增强，成为提高经济增长质量 和国际竞争力的重要保障；网络规模和容量保持世界首位，网络基础设施供给能 力明显提高，基本满足信息化发展的需要，电话普及率超过4 0 ，广播电视覆盖 率达到9 5 以匕，有线电视用户超过1 5f l ，互联网用户普及率超过8 ；信息化 人才队伍不断壮大，新增信息化人才2 0 0 0 万人；信息化成为提高国民素质的重 要手段。实现上述目标，要在以下几个方面取得明显进展。一是广泛应用信息技 术。从国情出发，大力推进信息技术在国民经济和社会发展各个领域的应用，增 强综合国力。实施一批信息化重大工程，加快电子政务建设，推进重点领域信息 化。紧紧围绕经济结构调整，积极运用信息技术改造和提升传统产业，以信息化 带动工业化。加快微电子、计算机、网络技术的应用，推动产业研究开发和设计 水平的提高以及工艺技术的变革。积极创造条件，促进金融、财税、贸易等领域 的信息化，加快发展电子商务。适应城乡居民生活总体上达n d , 康水平后对计算 机、通信、网络、数字消费类电子产品和各类信息服务的需求，积极发展网络信 息和各类专业信息咨询服务。推进信息产业与文化产业的结合。二是加强现代信 东南大学硕十学位论文 第一章绪论 息基础设施建设。充分利用现有网络资源和社会资金，大力发展高速信息网，提 高信息网络传输能力，建成结构合理、高速宽带、面向未来的国家信息网络。积 极发展和利用先进技术，形成新一代的高速传输网，提高网络传输性能和安全可 靠性。充分利用和融合各方面网络资源，采用高速路由和下一代互联网协议等新 技术装备，大力发展以下一代互联网为代表的高速宽带信息网，初步形成融合多 种业务、覆盖面广的国家新型互联网络。强化网络与信息安全保障体系建设。促 进电信、电视、计算机三网融合。三是加快发展电子信息产品制造业。加强先进 信息技术的引进、消化吸收和创新，大力开发核心技术，增强计算机与网络产品、 通信和数字视听产品及新型元器件等产品的制造能力，缩小与国际先进水平的差 距。重点推进超大规模集成电路、高性能计算机、大型系统软件、超高速网络系 统、新一代移动通信装备和数字电视系统等核心信息技术的产业化。加快发展集 成电路和软件产业及信息服务业，提高信息化装备和系统集成能力。 可见，在不远的将来，网络将成为人类基本的工作方式和生活方式，并将决 定个人、企业、国家乃至全球的生存方式，全球网络基础设施将成为未来人类文 明的全新平台，而信息技术是这一基础设施的支柱。 1 1 2 问题提出的意义 信息技术革命和信息传播全球化在给经济社会发展带来良好机遇的同时，也 带来了激烈的信息战，严重威胁着信息的安全，国际上围绕信息的获取、使用和 控制的斗争愈演愈烈，网络与信息安全已成为影响国家安全、社会稳定的重大问 题和经济社会发展特别是企业实施经营国际化战略的重大障碍。 信息安全究竟重要到或严重到什么程度“17 以信息产业发展最先进的美国 为例，2 0 0 0 年政府预算用于信息安全的投资是1 7 亿5 0 0 0 万美元。同时，网络 安全最近被提到了前所未有的重视高度。美国联邦调查局所属的关键性基础设施 保护中心发布了一份题为关于网络空间安全的国家战略的报告，第一次明确 地将网络安全提升到了关系国家安全的战略高度，第一次将网络安全综合进了关 于罔家安全的总体思路之中。该报告指出：“网络空间对于本土安全与国家安全 来说都是至关重要的。安全而且可靠的网络空间是支撑国民经济、关键性基础设 施以及国防的支柱。因此，关于网络空间的国家战略是一项必须加以实施的 ；堕丕i 查圭兰篁鲨苎 笙二皇箜堕 战略。”网络安全的话题现在确实很热。但是，为什么政府和企业不断增加投入， 却得不到渴望的安全感? 网络安全究竟是什么? 些国际网络安全专家认为，在 目前网络安全热的背后，许多人对网络安全的认识其实还处于初级阶段，并不成 熟。有资料显示，全球信息安全问题正以每年3 0 的速度增加，平均2 0 秒钟就有 一起黑客事件发生。目前全球约有8 0 的网站均不同程度地存在着安全隐患，互 联网的防火墙超过三分之一被攻破。 可见，加速发展信息技术与信息产业，加强我国信息安全的能力，直接关系到 我国社会主义现代化建设的进程，关系到我国的国家安全和社会稳定，关系到我 国2 l 世纪的发展。因此，必须采取全方位的针对各种不同风险和脆弱性的安全 措施才能确保网络运行安全和网上信息的保护、完整、可用，必须制定和实施既 符合国际通行规则义具有中国特色的信息安全战略和策略。 1 - 1 3 信息安全与信息系统安全 信息安全是一个更为广泛和抽象的概念。长期以来，当人们谈及与计算机网 络( 或i n t e r n e t ) 有关的信息系统的安全时，往往笼统地称为信息安全。仔细琢 磨起来，信息安全与信息系统安全时有概念上的区别的。所谓信息安全 7 1 ，是指 保护信息资源，防止未经授权者或偶然因素对信息资源的破坏、更动、非法利用 或恶意泄露，以实现信息保密性、完整性与可用性的要求f 即c i a ) 。其中保密性 ( c o n f i d e m i a l i t y ) 定义了哪些信息不能被窥探，哪些系统资源不能被未授权的用户 使用；完整。| 生( i n t e g r i t y ) 规定了系统资源如何运转以及信息不能被未授权的来源所 替代或遭到改变和破坏；可用性( a v a i l a b i l i t y ) 指防止非法独占资源，每当用户需 要时，总能访问到合适的系统资源。而信息系统安全的内涵定义为：确保以电磁 信号为丰要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用 的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态 过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境 有关的技术和管理规程的有机结合1 8 】o 从上述两个概念来看，社会各个领域的信息化将构成信息社会，而信息赖以 存储和传输的信息系统就构成了信息社会的基础结构。这样就形成了信息安全的 两个层面：信息系统的安全与信息社会的安全。信息系统的安全主要涉及信息在 东商大学硕士学位论文 第一章绪论 系统中存储和传输的安全，而信息社会的安全主要涉及由于信息内容所引起的社 会安全。而当人们谈及与信息内容安全、计算机通信安全、计算机网络安全和因 特网接入安全等问题时，都会用信息安全来代表其中的部分问题，这并不是十分 贴切的。信息安全并不代表、也不说明任何具体的个体或系统与安全有关的问题。 1 2 目前信息系统安全的研究现状及不足 1 2 1 国际信息系统安全的研究现状 国外计算机信息系统安全标准的研究起步较早，美国等西方发达国家在这方 面始终走在各国前面。甲在7 0 年代美国就有了计算机保密模型( b e l & l ap a d u l a 模型) 。1 9 8 5 年，基于该模型，制定了“可信计算机系统安全评估准则( t c s e c ： t r u s t e dc o m p u t e rs e c u r i t ye v a l u a t i o nc r i t e r i a ) ”。它将计算机系统的安全 功能和可信任度综合在一起考虑，将计算机安全级别按照从低到高的顺序分为四 等八级( d 、c 1 、c 2 、b 1 、b 2 、b 3 、a 和超a ) 。又先后于1 9 8 7 年和1 9 9 1 年， 制定了关于网络系统、数据库管理系统方面的系列安全解释( 1 n i 和t d i ) ，形 成了计算机信息系统安全体系的早期准则。1 9 9 0 年之后，随着网络技术的迅速 发展和广泛应用，“黑客”活动日益猖獗，网络信息系统的安全面临着许多新问 题。关 2 信息系统安全的概念，1 9 9 1 年，英、法、德、荷四国针对准则的局限， 联合提出了安全的信息系统较完整的概念，即一个安全的信息系统应在如下几个 方丽具有保障”： 1 保密性：确保信息不向未经授权者泄漏。 2 完整性：防止信息被未经授权者篡改，保证真实的信息无失真地传输到目的 地。 3 ，可用性：保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒 或其它人为因素造成的系统拒绝服务。 4 可控性：对信息及信息系统实施安全监控管理。 5 不可抵赖性：保证信息行为人不能否认自己的信息行为。 基于以上概念，分别于1 9 9 1 年和1 9 9 2 年推出了信息技术安全评价准则 ( i t s e c ) 及组合联邦准则( f c ) 。但在该准则中并没有给出综合以上问题的理 东南大学硕l 学位论文 第章绪论 论模型和方案。1 9 9 3 年6 月，美、加、法、德、英、荷经1 办商同意，起草单一 的准则( c c ：c o m m o n c r i t e r i a f o r i ts e c u r i t y e v a l u a t i o n ) 并将其推进到国际标准。 该准则综合了国际上已有的评审准则和技术标准的精华，给出了框架和原则要 求。但是，它仍然缺少综合解决信息系统多种安全属性理论的模型依据。尽管如 此，c c 已经于1 9 9 9 年5 月正式为i s o 所采纳，可以说，它是目前评价各国计 算机信息系统安全水平的较权威的标准文献。 1 2 2 国内信息系统安全的研究现状 我国的信息安全标准化工作在各方面的努力下正在积极地开展之中，从8 0 年代中期开始，自主制定和采用了一批相应的信息安全标准，到1 9 9 9 年底，已 经报批了发布了有关信息安全的国家标准1 3 个，国家军用标准6 个，其中最重 要的是由公安部根据美国可信计算机系统评价准则制定的“计算机信息系统安全 保护等级划分准则g b l 7 8 5 9 1 9 9 9 ”，这些标准的制定对我国的信息安全管理起到 了重要的指导作用。同时，为适应信息安全和网络安全的发展形势，我国政府制 定了一系列基本的管理办法： “中华人民共和国计算机安全保护条例” “中华人民共和国商用密码管理条例” “中华人民共和围计算机信息网络国际联网管理暂行办法” “对国际联网的计算机信息系统进行备案工作的通知” “计算机信息网络国际联网安全保护管理办法”等。 同时，还在刑法的修订中，增加了有关计算机犯罪的条款。 1 2 3 目前研究的不足 以往对于信息系统安全的研究比较注重从技术上保证信息系统的完整性、可 靠性、保密性、安全性及合法性，或者从某一方面采取措施来解决安全问题，缺 乏对信息系统整体、统一的安全管理规范。 针对我国的特殊国情而言，我国信息化建设需要的大量基础设备依靠国外引 进，无法保证我们的安全利用和有效监控。因此，解决我国的信息安全问题不能 依靠外国，只能走独立自主的发展道路。当前我国信息与网络安全的防护能力处 东南大学硕士学位论文 第一章绪论 于发展的初级阶段，许多应用系统处于不设防状态。对于信息与网络安全研究也 处于忙于封堵现有信息系统的安全漏洞，以致宏观安全体系研究上的投入严重不 足，这样做是不能从根本上解决问题的，急需从安全体系结构整体的高度开展强 有力的研究工作，从而能够为解决我国的信息与网络安全提供一个整体的理论指 导和基础构件的支撑，并为信息与网络安全的工程奠定坚实的基础，推动我国信 息安全业的发展。 鉴于国内对信息系统安全的研究起步较晚，且偏重对安全技术层面上的讨 论，尚未上升到系统地论述构建和管理安全信息系统体系的高度。本文作者就信 息系统安全作了较深入的调查研究，从分析信息系统的安全需求和面1 临的风险出 发，试图解决信息系统安全管理的实际问题。 1 。3 相关内容概述及论文创新点 一个完整的信息系统风险管理方案应该包括风险识别、风险分析和风险管理 三个部分。对于一个特定的企业，明确需要保护的重点资产，以及了解企业信息 系统的脆弱性将是明确风险分析的重点。 资产、脆弱性、威胁三者结合给出风险的度量。因此，这时风险分析的过程 包括：识别资产、资产估价、威胁和脆弱性评估，然后进行风险评估，最后根据 风险的大小来管珲风险。也可以用一个图来表示整个风险分析的过程。 图2 1风险分析过程示意图 1 识别资产 这里的资产是指信息系统中或组织内有价值的东西。主要包括：数据资产、 物理资产、软件资产等。 2 资产评估 所有的资产对于组织来讲或多或少的都会具有一定的价值，一旦资产的安全 兰塑里塑兰堡堡茎 丝二兰些笙 受到威胁，都会对组织造成不同程度的影响。在资产评估中，我们经常用资产受 到威胁时对组织造成的影响来衡量资产的价值。通常情况下，把资产的价值分为 1 一i o 个等级。数量级越高说明资产的价值越高。 3 威胁评估 威胁评估包括两部分。首先，要识别出信息系统可能受到哪些威胁，然后根 据这些威胁估算资产受威胁的等级( 可能性) 。信息系统面临的威胁和风险有很 多，这部分我们放在下一节作为重点介绍。 4 脆弱性评估 同威胁评估一样，脆弱性也分为两部分：识别威胁所影响的资产范围以及对 该资产范围进行评估。脆弱性是指系统内部的弱点或管理操作上的缺乏，是对信 息系统内部弱点的度量。他的存在使威胁对资产和目标的攻击成为可能。资产、 威胁、脆弱性是建立风险分析过程模型的关键，因此要保证其完整性和准确性。 5 风险评估 风险评估衡量的是信息系统内存在的风险的等级。风险的等级依赖于资产的 价值、威胁的等级和脆弱性的程度。如果一个系统包含价值很高的资产，受到威 胁的等级很高，并有明显的脆弱性存在，那么所从事商务活动时的安全风险就被 认为高。风险的度量可以直接转换为对抗措施的尺度。因此，如果有很高的风险， 就有很高的安全需求。 6 风险管理 风险管理建立在上述步骤所分析的结果之上，其主要活动是根据组织的实际 情况，制定适合组织的安全需求，并采取恰当的安全服务。 本文对信息系统安全的研究主要集中在以下几个方面： 信息系统的安全威胁分析： 信息系统的风险分析； 基于r b a c 的信息系统安全模型设计及该模型中权限管理的实现过程。 从实践的角度看，人们习惯于给予具体的安全威胁和防范措施来关注安全保 障体系的资源要素和行为规则的构建，即关注具体的安全技术、安全人才和法律 法规、管理制度等。因此，在对策的选择上，更注重直接可用的资源规则，其差 别也仪仅是强调某种资源，尤其是技术；或强调规则，如法律。然而，信息安 东南大学硕l 学位论文第一章绪论 全问题的提出，以及解决这一问题的方式，还需要站在更高的高度，统筹规划， 以及更深层次的考虑。本文正是基于这一点，给出了构建信息系统安全架构的一 般过程，对信息系统常见的安全威胁进行了识别和分析。我们知道，计算机、网 络及信息系统面临的大多数威胁都是通过对信息系统内部数据的访问控制实现 的。正是出于这种考虑，笔者认为面向对象的信息系统安全模型更能体现组织内 部职权分离这样的一个基本原则，能够在本质上保证信息系统安全。因此，文中 给出了对基于角色的安全访问控制模型进行了深刻的研究，提出了基于r b a c 的分层权限管理的安全模型，着重对其权限管理和访问控制管理的实现进行了讨 论，以期能实现组织内部的真正的责权分离。 1 4 论文的结构 关于信息安全管理的问题，已有许多学者从不同的侧面进行了研究，尽管信 息安全管理问题本身来源于信息系统管理的实际工作需要，但对于信息安全管理 问题的理解却有着很大的差异，因此弄清问题本身是一项基础性的重要工作，在 此基础上可以建立相应的安全管理体系，并采取相关的措施。 本文在分析信息系统安全现状的基础上，从信息系统安全威胁对信息系统造 成损害的特点出发，进行风险分析并引入了r b a c 模型，在此基础上，提出了 基于r b a c 的权限管理安全模型。因此，本文主要分为两个重要的组成部分： 信息系统的风险分析及管理过程及基于r b a c 的安全模型设计。 本文的第一章介绍了论文的研究背景、研究意义，简要综述了相关内容及国 内外刑信息系统安全问题的研究现状，在此基础上提出了本文的研究任务，并概 括了论文主要内容及结构。 第二章首先明确了信息系统风险分析的有关概念，然后，根据信息系统风险 分析的一般步骤分别介绍了资产评估、信息系统的安全威胁识别及一系列行之有 效的信息系统风险分析方法。并在风险分析的基础之上，对信息系统内部的安全 需求及基本的安全服务做了相应的研究。为基于角色的安全访问控制模型的提出 做好前期的理论铺垫。 第三章首先介绍了现今应用于信息系统安全管理的安全模型。通过各模型之 间的对比，及对绸织内部安全需求特点的分析，认为在进行信息系统安全管理的 东南大学硕士学位论文第一章绪论 过程中，应该主要从对系统访问的控制入手，因此提出基于角色的安全访问控制 ( r b a c ) 模型，及r b a c 的基本思想、特点和优势。 第四章，提出了一种基于r b a c 思想的安全模型设计方案，并着重讨论其 权限管理及访问控制的实现，提出了基于此思想的分层访问权限管理方案。并结 合实例来说明r b a c 模型实施方法。 第五章，给出本文研究的结论，并讨论进一步的研究方向。 东南大学硕l 学位论文 第二章信息系统的风险分析 第二章信息系统的风险分析 2 1 风险分析概述 2 1 1 风险分析的概念 风险分析是风险管理的必要阶段。没有风险分析这一科学手段，风险管理就 失去了其目标。这是因为，风险分析所提供的风险量( 风险概率及其损失量) 是 决定风险自留或风险转移决策的重要信息来源。它是一门新兴的边缘学科，是处 理由于不确定性而产生的各种问题的一整套方法。风险分析是指用于估计威胁发 生的可能性以及由于系统易于受到攻击的脆弱性而引起的潜在损失的步骤，是对 于一一些不确定事件在一定的时间周期所引起的潜在损失进行定量或定型的测量 1 7 - 1 9 。其目标和内容是：了解信息系统的系统结构和管理水平，及可能存在的安 全隐患；了解网络所提供的服务及可能存在的安全问题；了解各个应用系统与网 络层的接口及其相应的安全问题；网络攻击和电子欺骗的检测、模拟及预防；分 析信息系统对网络的安全需求，找出目前的安全策略和实际需求的差距，为保护 信息网络系统的安全提供科学依据。风险分析的最终目的是为我们提供可选择的 安全防护策略以使计算机信息系统的风险降到我们可接受的程度。 根据风险分析的定义，我们可以把风险扩展为包括破坏和损失的影响的可能 性【1 7 1 。就是说，它是一个包括两个向量的函数，一个是破坏事件发生的可能性， 另一个是这个事件所产生的影响。而信息系统中破坏事件发生的可能性又与对系 统的威胁和系统的脆弱性有关，故信息系统中破坏事件发生的可能性可通过对系 统的威胁和系统的脆弱性的评估来获得。同时，事件发生所产生的影响与资产有 关，故影响可以通过对资产的评估来获得。由此，风险可看成是资产、威胁和脆 弱性的函数。 即；风险r = f ( z ，1 ，v ) 其中：z 为资产值，1 为对信息系统的威胁，v 为信息系统的脆弱性。 信息系统的风险分析应该在网络系统、应用程序或信息数据库的设计阶段进 行，这样可以从设计开始就明确安全需求，确认潜在损失。 东南大学硕士学位论文 第二章信息系统的风险分析 值得注意的是，风险与威胁两个概念是存在区别的。以信息系统为例，威胁 是指对由计算机、软件及数据等组成的信息系统受到损害而导致系统功能及目标 受阻的所有现象。比如：地震、火灾、黑客攻击、计算机硬件故障、软件差错和 操作错误等。而风险是指对这些威胁造成损失的具体化的估算。也就是说风险中 包含了不确定性的概率。对同一个威胁，由于该系统的环境与另一个系统的环境 不同，其风险产生的概率不同，因此风险亦不相同。 2 1 2 风险分析可参考的标准 1b s7 7 9 9 标准 将信息作为一种资产并进行管理和控制的手段对信息系统进行控制，确保业 务的连续性与关键业务不受到损害。是当前世界上最重要的管理类标准，体系完 整，系统性好。 2 i s 0 1 3 3 5 5 标准 安全管理策略标准，在制定具体的安全管理策略方面值得借鉴。 3 c c 标准 美围政府n d r i 拿大政府及欧共体共同起草单一的通用准则，是安全技术方面 的重要标准。 4 s s ec m m 模型 该模型定义了个安全工程过程应有的特征，这些特征是完善的安全工程的 根本保证。 5 o c t a v e 方法 可操作的关键威胁、资产、脆弱性评估方法，是风险评估的重要的方法体系。 2 2 资产评估 在分析组织内外存在的各种威胁可能会带来的各种损失中，首先要确定组织 内各类资产的价值 2 0 - 2 3 1 。 一般资产价值( a v ) 可以按下式计算： 资产价值( a v ) = 硬件+ 商业软件+ 本机构开发的软件+ 信息数据 由上式可以看出，对于共识的前三项是比较容易理解和计算的，而信息数据 东南大学硕士学位论文 第二章信息系统的风硷分析 的价值在组织内部是隐性的，计算相对比较复杂。因此，可采用信息的效用函数 变化来度量信息的价值。 假设状态有r 种，r = l ，2 ，3 ，s 。采用行动( 措施) x 之后，v ( x s ) 表示实际 状态是s ，采取措施x 后相应的收益，效用是收益的函数u ( v ) 。没有任何所提 供的信息时，先验信息。，7 1 ；2 ，m ，托。是己知的，通过比较可以得知相应的最优措 施。即相应的最优措施x + 满足下列等式： 艺“( 矿1s ) 驴m a x u ( x l s ) 璐 ( 2 2 - 1 ) y lv i 其中u ( x l s ) = u ( v ( x l s ) ) ，它表示实际状态是s ，采取措施x 所得的效用函 数值。如果获得信息m ，得后验分布7 【蜘，于是相应的最优措施是妒+ ，它满足 等式： u ( 妒+ i s ) 1 【蛔2 m a x u ( x l s ) 椰 ( 2 - 2 2 ) 一1 r j ( 2 22 ) 式的左端减去( 2 2 1 ) 式的左端，所得的效用就是信息的作用。 用e 。u ( x ) 表示窆1 1 ( x l s ) 如用e m u ( x ) 表示u ( x l s ) k s m ，于是我 卜i 3 1 们可以看到信息的作用就在于增加的效用： a m u = e 。u ( x + ) e u ( x + ) ( 2 2 3 ) e 。u ( x + ) 相应的价值是效用为e 。u ( x + ) 时x 4 产生的价值a 取y + 使u ( y + ) 。e a u ( x ) 成立，这就是最优措施x + 相应的收益，现在有了信息1 1 1 之后，效益是多 少呢? 很自然是x * + 相应的e m u ( x t * ) 所对应的效益，即此时选y + 4 使 u c y + 8 ) = e m u ( x 十+ ) = e6 u ( x + ) + 巾u ( 2 2 - y 一一y + 就是。u 相应的价值。上述方法是将不确定的效用折算为确定性效用 后，利用确定性效用函数来给出信息的定价。 如果考虑到不确定的效用与确定性效用不能彼此换算，那么就可以考虑下面 一种求信息价值的准则。 由l 二信息使用后的效用函数值总是比不使用时大，因此减去一个数使得两者 相等，这个数就是信息的价值。即： 堡童查堂蔓：! = 堂焦堡茎 塑三兰堕皇j 塑堕! 塑! ! 旦 e ：u ( x 。4 ) = u ( y ( x + 。f s ) 一n ) s l m n l 和 ( 2 2 5 ) e 6u ( x t ) = 艺u ( y ( x 8 i s ) m ) 礁 ( 2 2 6 ) 使( 2 2 5 ) 、( 2 2 6 ) 两式相等。其中x 4 + 需满足： 宅u ( y ( x 。忖n ) 哳2 吁x u ( y ( x l s ) ) 砷 7 ) 该公式可以简化为： e u ( x 。* ) = e 。u ( x 。) ( 2 2 8 ) 同理，当信息m 不是单一的，而是有分布时，郎m = l ，2 , 3 ，m ，相应的概率 为q t , q 2 ，q k ，q m ，此时选x + 8 使 eu ( x + + ) = 1 n 。雕u ( x ) ( 2 2 9 ) 而 e 瓤x ) ：兰窆u ( y ( x 蜘) 翻。q 。 ( 2 2 1o ) 2 3 信息系统的威胁识别 2 3 1 信息系统的常见威胁 为了能让计算机信息系统安全地运行，必须了解影响计算机信息系统安全的 各项因素与存在的安全威胁，从而对计算机信息系统进行风险分析，并在此基础 r 找出克服这些风险的方法。这里的安全威胁是指信息系统各组成要件在履行其 j 菏用功能过程中，在机密性、完整性和可用性等方面存在的脆弱性( 点) ，以及 信息系统内音| f 或外部的人们利用这些脆弱性( 点) 可能产生的违背信息系统所属 维织安全意识的后果“。信息系统的安全威胁有很多，大体分为以下几娄。 一、意外的安全威胁 这里的意外安全威胁是指自然灾难( 包括水灾、火灾、雷电、电力故障以及 东南大学硕士学位论文第二章信息系统的风险分析 其他导致信息系统瘫痪的灾难) 和人为引起的灾难( 包括人类社会的暴力、战争、 盗窍、破坏、交通事故等) 。它们都不包含任何恶意的企图。意外的安全威胁可 能危及计算机工作环境、设备、通信线路的安全与完整以及计算机程序和数据文 件。一旦发生，要想重新恢复原有的系统需要投入很多的精力和金钱，更重要的一 点是企业系统的某些数据文件可能无法恢复，这会给企业带来很大的损失。作为 运用信息系统的企业，必须具有应对这种突发状况的措施。 二、固有的安全威胁 信息系统多组件在设计、制造和组装中，由于人为和自然的原因，可能留下 各种隐患： 1 硬件因素 计算机硬件是计算机信息的主要载体，其质量保证与运行的可靠程度直接影 响计算机信息的安全性。信息系统硬件组件的安全隐患多数来源于设计，主要表 现于物理安全方面，一般采取管理上的强化人工弥补措施来降低这方面给信息系 统带来的安全隐患。此外，其他一些原因如：给计算机供电的平稳和不间断程度， 空调系统对计算机工作环境温度、湿度、防尘的保护程度，防震设施、静电屏蔽， 电磁辐射，抗1 = 二扰能力，数据存贮介质的运送和保存，这些物理安全因素若不能 满足计算机硬件的要求的限值，就会导致硬件系统的故障，从而影响计算机信息 的安全。 2 软件因素 软件冈索对训算机信息安全的影响有来自系统的，也有来自用户的；有来自软 件本身的缺陷，也有因软件在抗误操作方面的能力较差而操作又不规范造成的。 如计算机2 0 0 0 年问题，就是由于软件开发初期未能考虑计算机时钟的千年计算， 使计算机由1 9 9 9 年过渡到2 0 0 0 年时年份的世纪位计算出现错误，导致与年份计 算密切相关的行业，如银行、铁路、航空、保险等部门不得不花费大量的财力、 物力、人力去解决计算机2 0 0 0 年问题，以避免由此而引起的社会混乱。 3 网络因素 网络因素中，安全问题最多的还是基于t c p i p 协议栈的因特网及其通信协 议。因为因特网本身是一个没有明确物理界限的网际，其中的国与国之间、组织 与组织之间、q a - 与个人之间的网络界限是依靠l 办议、约定和管理关系进行逻辑 东南大学硕士学位沦文 第二章信息系统的风险分析 划分的，因而是一种虚拟的网络现实：而且支持因特网运行的t c p i p 协议栈在 设计的当初原本只考虑了互联互通和资源共享的问题，并未考虑也无法兼容解决 来自网际的大量安全问题【2 4 。 三、恶意的安全威胁 这是最为普遍的一种信息系统风险，一般来讲是一些别有用心的人利用这些 数据在介质上存贮和传播的机会，对其进行窍取和破坏。这种类型的安全威胁有 以下几种表现形式： 冒充( 欺骗) ：利用信息系统可能存在的缺陷，冒充一个网络实体与另一个 实体通信，窃取信息等。冒充常与某些别的主动攻击形式一起使用，特别是 消息的重放与篡改。 重放：当一个消息或部分消息，为了产生非授权的使用效果而被重复使用时 便出现重放。 篡改：所传输的数据被非法损害，可能被删除、插入、修改、改变次序、重 放或延迟等。 非授权接入：违反系统的安全政策而存取系统中的数据，比如通过后门、特 洛伊木马或其它手段接入信息系统等。 拒绝服务：当一个服务不能执行它的正当功能，或它的动作妨碍别的实体执 行它们的正当功能的时候，便发生拒绝服务。 抵赖：接入信息系统并进行操作而事后却拒绝承认事实。 传播病毒：信息系统的任何一个接入方式都可能成为计算机病毒的传播途 径，而系统中任何一种激活方式都可能成为病毒发作的条件。 以上各神安全威胁都可能成为黑客对信息系统攻击的手段。一个潜在的安全 威胁对信息系统产牛危害是有条件的，这个条件包括两个方面：其一是系统中存 在某些弱点叮被威胁利用；其二是在适当的时刻弱点使威胁发作或威胁借助弱点 发作。充分碑解威胁发作的条件是非常重要的，它意味着信息安全管理是动态的， 安全评仙与安全管理将成为信息安全保障的重要手段。 四、管理的安全威胁 管理因素从大的方面讲，是个国家、一个地区，乃至全球如何对待计算机 信恩安全的问题，如：健全计算枧信息安全法律、法规，规范计算机信息安全的 尔南大学硼i 学位呛文 第二章信息系统的风险分析 使用，创造保障计算机信息安全的良好社会环境等；从小的方面讲，是一个用户、 一个家庭、一个部门如何对待计算机信息安全的问题。管理因素涉及计算机应用 人员的素质、心理、责任心和严格的管理制度。因对这方面因素的轻视，造成危 害的事件屡见不鲜，如某国家计算机中心的中央控制台操作员，由于一个击键的 误动作，将当天处理的全部结果文件删除，致使整个中心天的劳动化为零，就 是因操作人员的素质和心理因素造成的。因此，作为计算机用户，在管理因素上 要做到以下几方面： 第一，提高计算机信息安全意识； 第二，掌握先进的技术手段，提高防范能力； 第= 三，遵守法规，养成良好的职业道德： 第四，培养规范的操作方法。 五、小结 综上所述，信息系统内部及外部均存在着不同程度的风险，这些风险都可能 会对信息系统造成不同程度的伤害，对信息系统安全性构成了潜在的威胁。对其 中的常见风险及对安全特性的威胁总结如下： 表2l 信息系统的常见风险及对安全特性的威胁 常见风险对信息安今特性的成胁 僳密十牛弃罄十牛可用十牛 人为错误 自然灾害 后门 电磁泄漏 硬设备故障 稗序错误城缺陷 病卷 逻辑炸弹 特洛伊木马 搭线窃听 传输指向错误 荫问倒胃 资源搞用 恶意破坏 伪睹殳件或记录 偷窃 东南大学硕| 学位论文 第二章信息系统的风险分析 2 3 2 信息系统威胁识别的一般方法 这一阶段的任务是识别出特定信息系统内存在的安全威胁，威胁识别的方法 通过组织内部的调查进行。一般的威胁识别调查主要分为两部分：人员调查和技 术调查。 1 人员调查 这里讲的人员包括高层管理人员、中层管理人员以及普通员工、i t 员工等 组织内大部分的人员。通过对人员的调查可以了解到组织内部最为重要的资产 ( 始于资产评估阶段) 、最为担心的事故、对重要资产进行安全保护的需求以及 对现存的安全服务和内部控制存在的一些问题反馈等。 人员调奄可以采取问卷、访谈、会议等形式获取相关的数据，最终获取目前 信息管理的规章制度以及实施情况的客