（管理科学与工程专业论文）基于模糊概率的动态信息风险评估模型研究.pdf

l j l 东| i ! j 范人学形li 学位沦文 摘要 计算机技术、网络技术等信息技术的迅速发展，加速和深化了社会信息化的 进程，也使得组织与信息系统的关系日趋密切。然而信息系统在提高组织信息资 源共享性和业务运行效率的同时，也带来信息安全问题。因此，全面系统地对组 织信息系统进行信息安全风险评估，作为信息系统建设和安全管理的基础，具有 极为重要的现实意义，而有关的安全标准、安全风险评估模型、评估方法的研究， 以及相应的评估辅助工具的丌发，则成为当前理论和科研实践的热点。 本文的研究以山东省教育厅国家助学贷款管理信息系统为背景，在对信息安 全风险评估计算模型研究的基础上，对信息安全和安全风险评估的相关发展概 况、研究背景、风险理论相关的概念和方法进行了深入研究。本文具体内容分为 以下几方面： ( 1 ) 提出一种基于模糊概率的风险分析方法 贝叶斯概率风险分析模型能有效的解决风险量化过程中的不确定性问题，包 括风险发生概率和造成损失的不确定性，为有效实施风险管理提供依据。在改进 其计算所得的较粗粒度的风险分析值所产生的度量结果的不确定性的基础上提 出了一种基于模糊概率区间的评估模型，提高了分析结果的准确性和风险评估的 有效性。 ( 2 ) 使用进化算法对风险评估模型进行优化 针对评估过程中出现的似然值，建立了信息安全风险分析的模糊多目标优化 模型及该模型的求解框架，使用进化算法对风险评估模型进行优化；该算法基于 模糊算子进行约束处理，小生境技术和优秀解培育过程的操作保证了解的多样 性，加速了解的收敛过程。最后给出了在模型解集合中求解最满意安全方案的模 糊多属性决策方法。基于信息系统安全评估整体框架，可以最终求解出一个整合 所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接 受范围之内的理想安全方案。 ( 3 ) 本文设计并实现了一个基于模糊概率的动态信息风险评估模型并且将 该模型成功的引入山东省教育厅助学代理信息管理系统中。实验证明，该模块能 够及时、合理地分析系统存在的j x l 险威胁并根据威胁等级进行不同的响应预警， 山东师范人学f i ! ；| i j 学位论文 减小了风险威胁，达到了设计的目标，取得了满意的效果。 针对目前研究工作中还存在不少的缺憾和不足，仍有许多可扩展的后续工作 可作，信息安全风险模型和评估方法还有待于进一步的发展和完善。虽然目前己 经有很多的安全模型提出，但是关于风险评估方面的模型还不多，而且目前的评 估方法适应性不强。我国已经提出实施信息安全等级保护制度，研究和提出适合 安全等级保护制度的风险评估模型和风险评估方法对信息安全和风险评估的发 展将具有重要的意义。 关键词：信息安全；风险评估；风险分析计算模型 中图分类号：t p 3 0 2 i i 山东师范人学坝i + 学位论义 a b s t r a c t w i t hc o m p u t e ra n dn e t w o r kt e c h n o l o g y r a p i d l yd e v e l o p i n g ，i n f o r m a t i o nt e c h n o l o g y a c c e l e r a t e sa n dd e e p e n st h ep r o c e s so fi n f o r m a t i o ns o c i e t ya n dg r o w so r g a n i z a t i o n a n di n f o r m a t i o ns y s t e m sr e l a t i o n s h i p h o w e v e r , i n f o r m a t i o ns y s t e r n si no r g a n i z a t i o n s i m p r o v et h es h a r i n go fi n f o r m a t i o nr e s o u r c e sa n do p e r a t i o n a le 伍c i e n c ya tt h es a m e t i m e ；i ta l s ob r i n g sa b o u ti n f o r m a t i o ns e c u r i t yi s s u e s t h e r e f o r e ，c o m p r e h e n s i v ea n d s y s t e m a t i ci n f o r m a t i o no nt h eo r g a n i z a t i o n si n f o r m a t i o ns y s t e r n ss e c u r i t yr i s k a s s e s s m e n t , a st h ei n f o r m a t i o n s y s ：t e m c o n s t r u c t i o na n d s a f e t ym a n a g e m e n t f o u n d a t i o n ，a l le x t r e m e l yi m p o r t a n tp r a c t i c a ls i g n i f i c a n c e ，a n dt h er e l e v a n ts a f e t y s t a n d a r d s ，s e c u r i t yr i s ka s s e s s m e n tm o d e l s ，a s s e s s m e n tm e t h o d o l o g i e s ，a sw e l la st h e c o r r e s p o n d i n ga s s e s s m e n tt o o ld e v e l o p m e n t ，h a sb e c o m et h ep r a c t i c eo fc u r r e n t t h e o r ya n dr e s e a r c hh o ts p o t s t h i sp a p e r sr e s e a r c h i n gb a c k g r o u n di ss h a n d o n gp r o v i n c eo f f i c eo fe d u c a t i o n n a t i o n a ls t u d e n tl o a nm a n a g e m e n ti n f o r m a t i o n s y s t e m t h ed e v e l o p m e n t so f i n f o r m a t i o ns e c u r i t ya n dr i s ka s s e s s m e n t ，r e s e a r c h i n gb a c k g r o u n d ，s e c u r i t y - r e l a t e d a n dr i s kt h e o r yc o n e e p t sa n dm e t h o d sr e la t e dt oc o n d u c ta r ed e e p l yr e s e a r c h e d b a s e do nt h ei n f o r m a t i o ns e c u r i t ya n dr i s ka s s e s s m e n tc a l c u l a t i n gm o d e l m a i n c o n t e n t sa sf o l l o w s ： ( 1 ) p r e s e n t sap r o b a b i l i t yb a s e do nf u z z yr i s ka n a l y s i sm e t h o d b a y e s i a np r o b a b i l i s t i cr i s ka n a l y s i sm o d e lc a l lb ea ne f f e c t i v es o l u t i o ni nt h ep r o c e s s o fr i s kt oq u a n t i f yu n c e r t a i n t i e s ，i n c l u d i n gr i s ko fl o s sp r o b a b i l i t ya n du n c e r t a i n t y , f o r t h ee f f e c t i v ei m p l e m e n t a t i o no fr i s km a n a g e m e n tt op r o v i d eab a s i s a ti m p r o v i n gi t s c o a r s eg r a i ns i z ec a l c u l a t e dv a l u eo ft h er i s ka n a l y s i sa r i s i n gf r o mt h eu n c e r t a i n t yo f m e a s u r e m e n tr e s u l t sb a s e do n ap r o b a b i l i t yi n t e r v a lb a s e do nf u z z ya s s e s s m e n tm o d e l i m p r o v et h ea c c u r a c yo ft h er e s u l t so ft h ea n a l y s i sa n dr i s ka s s e s s m e n to ft h ee f f e c t i v e s e x u a l ( 2 ) t h eu s eo fe v o l u t i o n a r ya l g o r i t h m st oo p t i m i z et h er i s ka s s e s s m e n tm o d e l p r o c e s sf o ra s s e s s i n gj i k e l i h o o dv a l u e s e tu pa l li n f o r m a t i o ns e c u r i t yr i s ka n a l y s i so f f u z z ym u l t i o b j e c t i v eo p t i m i z a t i o nm o d e la n ds o l v i n gt h em o d e lf r a m e w o r k t h eu s e o fe v o l u t i o n a r ya l g o r i t h m st oo p t i m i z et h er i s ka s s e s s m e n tm o d e l ；t h ea l g o r i t h mb a s e d o nf u z z yc o n s t r a i n t o p e r a t o rh a n d l e s i n a i lh a b i t a to u t s t a n d i n gt e c h n i c a la n d o p e r a t i o n a ls o l u t i o n st oe n s u r et h a tt h ep r o c e s so fn u r t u r i n gt h ed i v e r s i t yo fk n o w , k n o wt os p e e du pt h ec o n v e r g e n c e p r o c e s s f i n a l l yg i v et h es o l u t i o ns e ti nt h em o d e l t os o l v et h em o s ts a t i s f a c t o r ys e c u r i t yp r o g r a mf u z z ym u l t i a t t r i b u t ed e c i s i o n - m a k i n g m e t h o d i n f o r m a t i o ns y s t e ms e c u r i t ya s s e s s m e n tb a s e do nt h eo v e r a l lf r a m e w o r k y o u c a nf i n a l l y s o l v i n gad e c i s i o n t o i n t e g r a t ea l l t h es e c u r i t y a d v i c e ，g i v e f u l l c o n s i d e r a t i o nt oan u m b e ro fp o l i c yo b j e c t i v e sw i l lb ea b l et oc o n t r o li n f o r m a t i o n s e c u r i t yr i s k sa ta 1 1a c c e p t a b l es c o p eo fa ni d e a ls e c u r i t yp r o g r a m ( 3 ) d e s i g na n di m p l e m e n t a t i o no fap r o b a b i l i t yb a s e do nf u z z yd y n a m i cm o d e lo f r i s ka s s e s s m e n ti n f o r m a t i o n e x p e r i m e n t a lr e s u l t ss h o wt h a tt h em o d u l e sb ea b l et o t i m e l ya n dr e a s o n a b l ea n a l y s i so ft h er i s ko ft h et h r e a ts y s t e r na n di na c c o r d a n c ew i t h i ! i 山东! j i f j 抱人学颁i j 学位论义 d i f f e r e n tt h r e a tl e v e li nr e s p o n s et oe a r l yw a r n i n g r e d u c et h er i s ko ft h r e a t s t o a c h i e v et h ed e s i g ng o a l s a tp r e s e n t ，t h e r ea r em a n ys h o r t c o m i n g sa n dd e f i c i e n c i e si nt h i sr e s e a r c h ，b u tt h e r e i ss t i l lm u c hw o r kw h i c hc a nb ee x t e n d e di nt h ef u t u r e i n f o r m a t i o ns e c u r i t ya n dr i s k a s s e s s m e n tm o d e lh a v et ob ef u r t h e rd e v e l o p e da n di m p r o v e d h o w e v e r , t h e r ea r ea l o to fs e c u r i t ym o d e l sd e v e l o p e da n dt h er i s ka s s e s s m e n tm o d e l sa r en o t t h ec u r r e n t a s s e s s m e n tm e t h o d sd on o th a v eas t r o n ga d a p t a b i l i t y c h i n ah a sp u tf o r w a r dt h e s e c u r i t ys y s t e mt op r o t e c ti n f o r m a t i o ns y s t e m s ，r e s e a r c ha n dp u tf o r w a r dr i s k a s s e s s m e n tm e t h o da n dm o d e l sf o ri n f o r m a t i o ns e c u r i t y , s od e v e l o p m e n to fr i s k a s s e s s m e n tw i l lb eo fg r e a ts i g n i f i c a n c e k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ；r i s ka s s e s s m e n t ；r i s ka n a l y s i sc a l c u l a t i o nm o d e l c l a s s i f i c a t i o n ：t p 3 0 2 i v 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得( 注：如没 有其他需要特别声明的，本栏可空) 或其他教育机构的学位或证书使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并 表示谢意。 学位论文作者签名： 针嵌 导师签 学位论文版权使用授权书 本学位论文作者完全了解邋有关保留、使用学位论文的规定，有权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本 人授权邋可以将学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解 密后适用本授权书) 一躲钟敬翩签字勘 签字日期：2 。歹年g 月j 。日 签字同期：2 。d 丁年丁月f 占同 i f l 末州越凡学倾i ：学位沧立 11 研究背景 第1 章绪论 在席卷全球的信息化浪潮中，信息技术作为推动社会发展的强有力因素，已 成为世界经济增长的重要动力。而以因特网为代表的计算机网络在全球迅速普 及，不仅极大地影响着人们的生活、学习和工作方式，而且使国家政治、经济、 军事及整个社会对基于网络的信息系统的依赖越来越太。与此同时，信息系统的 脆弱性将会对国家关键基础设旌构成直接威胁，信息系统的信息安全风险制约着 信息的有效利用并可能对经济安全、国胁安全、国家安全带来威胁。 1 1 1 信息系统的信息安全现状 2 0 世纪9 0 年代以来，经济全球化和基于信息技术j i 泛应用的信息化如狂潮 席卷全球，人类同时向着全球化时代和信息时代迈进而以因特网为代表的计算机 网络在全球迅速普及，不仅极大地影响着人们的生活、学习和工作方式，而且使 国家政治、经济、军事及整个社会对基于网络的信息系统的依赖越来越大。信息 化生活己经开始己经逐步进入人们的生活，在影响人类沟通、交流方式的同时， 也在不断的推动着社会的进步和发展。随着信息化的不断深入，国民经济和社会 发展对信息系统的依赖越来越高。信息系统的安全问题已成为各国政府有关部 门、各大行业和企事业领导人关注的热点问题。 图1l 全球接入互联网的计算机数星凋矗 三三- - - 疆寸； 山东帅范人学坝i ：学位论文 面对严峻的安全形势，人们不断研发新的技术以保障信息安全，目前采用的 主要有加密、认证、防病毒、防火墙、入侵检测等技术，这些方法确实对信息系 统的防护起到了一定的作用。然而所谓：“道高一尺，魔高一丈 ，建立所谓“绝 对安全 系统仅在理论上存在可能性，在实践中几乎无法实现。m i l l e t 给出一 份有关当今流行的操作系统和应用程序的研究报告，指出：第一，现有的和可预 见未来的软件设计水平都无法消除安全漏洞的出现。第二，要将现有带有安全缺 陷的系统转换成安全系统需要相当长的时间。第三，加密技术方法本身存在着一 定的问题。第四，安全系统易受内部用户滥用特权的攻击。第五，安全访问控制 等级和用户的使用效率成反比。第六，访问控制和保护模型本身存在一定的问题。 第七，在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性 等难解问题。 、现代信息系统在规模上日益庞大，网络结构越来越复杂，因此现有的风险管 理理论和手段难以完全满足有关要求，以国际上先进的信息安全风险管理理论和 最佳实践作为指导，结合系统实际情况和需求，实现自身的信息安全。信息系统 的安全不仅仅是安全技术的问题，它还包括风险管理、安全策略以及安全立法等 多方面的内容，其中基于风险评估的结果，风险处理过程将考察信息安全措施的 成本，选择合适的方法处理风险，将风险控制到可接受的程度；基于风险的决策 旨在由信息系统的主管者判断残余风险是否处在可接受的水平之内【l 】【2 1 。当决策 方案实施后，需要监控系统状态，做到事件响应的及时性和准确性。基于这一判 断，主管者将做出决策，决定是否允许信息系统运行。本文将重点放在信息系统 风险管理中的风险评估理论以及相关技术的研究。 1 1 2 信息安全风险管理的现状 2 0 世纪9 0 年代以来，随着经济全球化和世界科技革命，我国的信息网络、 信息技术和信息产业蓬勃发展。信息安全问题同益突出，信息安全风险管理的重 要性空前彰显。2 0 0 2 年我国在8 6 3 计划中首次规划了系统安全风险分析和评 估方法研究课题。2 0 0 3 年8 月成立了由国家信息化办公室直接领导的信息安 全风险评估课题组，开展系统的信息安全风险评估和管理理论研究。这期间，我 2 l b 东帅范人学颀l j 学位论文 国一些国家研究机构、大专院校、民营企业、外资企业，向国内介绍了美、英等 发达国家关于信息安全风险评估、风险管理的理论、方法和经验，为我国这个领 域研究工作的开展发挥了重要作用。 。 但是，由于信息系统信息安全风险管理研究在我国开展时间不长，在理论与 方法方面的研究成果还较为薄弱；而国外许多已有的方法与结论，并不符合我国 信息系统安全保障实践的具体情况；而且随着信息系统的规模日益庞大和网络结 构日益复杂，传统的信息安全风险管理理论和方法，也不能充分满足保障信息系 统信息安全的要求。因此，如何开发出适合我国信息安全环境和当前信息系统特 点的先进的信息系统信息安全风险管理理论与方法，是我国信息安全研究领域亟 待解决的问题。 1 2 研究目的和意义 风险评估的主要功能就是定期对网络系统进行安全性分析，及时发现并改j 下 系统和网络存在的脆弱性和漏洞，保证系统的安全性。发现各种薄弱环节，并对 这些问题进行修复后，更重要的是考虑和评估这些安全问题的起因、如何预防以 及在整体上进行何种程度的改进，制定一套安全策略，提高整个网络的安全水平 【3 】 0 1 2 1 信息风险评估的目的 对系统进行风险评估的目的是：了解系统目前与未来的风险所在，评估这些 风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安 全运行提供依据。风险评估不但指明了信息安全问题的根源，也指出了信息安全 解决方案的实质，即把残余风险控制在可接受的水平上。因此，要追求信息系统 的安全，就必须运用风险评估的思想和规范，对信息系统实施风险评估。 一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施 是有成本的，因此对信息安全的成本必须像其它管理决策一样进行全面检查。一 套合理的风险评估方法，可以帮助信息系统的主管者和运营者最大程度地提高其 信息安全保障能力，便于最有效地实现其使命。因此风险评估的总目标是：服务 于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保障能 3 东帅范人学硕i ? 学位论文 力【4 1 。 1 2 2 信息风险评估的意义 对于网络信息安全理论和实践方法来说如何确切掌握网络和信息系统的安 全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采 取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有 效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问 题。风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风 险大小来度量，科学地分析系统在保密性、完整性、可用性等方面所面临的威胁， 发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿 和分散等之间做出决策，最大限度地控制和化解安全威胁。 1 3 本文主要研究内容及章节安排 我们在研究了量的风险评估模型以后，发现其网络风险预警和防范的智能性 不够，而且在设计思路上对所处的环境缺少适应性。这就不能有效地防范和预警 多变的、危险性极大的网络入侵与破坏。所以，一个高效有用的风险评估系统必 须具有科学合理的决策机制，同时具备良好的适应性和高效的预警措施。 本论文以信息安全风险评估计算模型研究为背景，对信息安全和安全风险评 估的相关发展概况、研究背景、风险理论相关的概念和研究方法作了详细介绍。 对信息安全风险评估的通用计算模型和定性风险计算模型进行了深入的学习和 研究，总结它们的缺点和不足，在此基础上提出了一种基于模糊概率的j x l 险评估 计算模型，解决了以往定性风险评估计算模型的缺点，提高了风险值的准确性和 精度，并将此模型应用到了山东省教育厅国家助学贷款管理信息系统中，基本达 到了初期论文提出的预期目标，取得了满意的效果。 论文的内容如下： 第1 章，绪论。本章介绍了当前风险评估的现状和本论文研究的重点和中心， 以及对论文结构安排的描述。 第2 章详细介绍信息安全风险理论的相关概念，以及信息安全风险管理和信 息安全风险评估的一般方法。详细介绍了信息安全风险评估的标准流程，并对该 4 山东帅范人学坝f j 学位论迁 流程的每一个步骤做了详细的研究和说明，具体描述了信息安全风险评估每一步 的目的，要求，以及应该达到的预期结果。 第3 章介绍信息系统概率风险分析方法的流程和各阶段具体任务，针对风险 分析过程中的不确定性提出贝叶斯概率风险分析方法。针对评估过程中出现的似 然值，建立了信息安全风险分析的模糊多目标优化模型及该模型的求解框架，使 用进化算法对风险评估模型进行优化；该算法基于模糊算子进行约束处理，小生 境技术和优秀解培育过程的操作保证了解的多样性，加速了解的收敛过程。最后 给出了在模型解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系 统安全评估整体框架，可以最终求解出一个整合所有安全决策人员意见、充分考 虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。 第4 章，本文将基于模糊概率的风险评估模型应用到山东省教育厅国家助学 代理信息管理系统中，通过实验表明该模型能够及时、合理地分析系统存在的风 险威胁并根据威胁等级进行不同的晌应预警，减小了风险威胁。 第5 章，结论，总结全文，并就未来研究提出展望。 5 山东帅范j ：学颂l j 学位论义 第2 章风险评估的相关理论 2 1 信息安全概述 2 1 1 信息安全 信息安全自古以来就是一个人们关注的问题。在不同的发展时期，信息安全 的侧重点与信息安全的控制方式和手段也不尽相同f5 】。 在现代通信工具电报发明以前，信息安全的重点是确保信息的保密性， 这包括商业秘密、军事秘密以及个人隐私。信息安全控制方法比较简单， 例如采用安全信使传送秘密口信与信件，通过人员的保密意识与物理安 全控制的方式来达到信息安全的目的。 电报、电话等现代通信技术的应用，给信息交流提供了极大的便利，这 一时期出现了窃听与反窃听技术，信息的完整性得到了人们的普遍重 视，如对通信设施的运行维护，以确保通信的畅通与信息传输的质量。 自2 0 世纪 4 0 年代人来发明了计算机，特别是随着网络技术与现代通信 技术的飞速发展，信息技术被广泛的应用于各行各业，信息安全已经扩 展到了信息的可靠性、可用性、完整性及不可抵赖性等更新更深层次的 领域，这些领域的相关技术和理论都是信息安全所要研究的内容。 2 1 2 信息安全的关键领域 信息安全有三个关键领域，分别是：机密性、完整性和可用。i 生t 6 1 。 ( 1 ) 机密性：保障信息仅为那些被授权使用的人获取，避免非授权泄漏。信 息的机密性是针对信息被允许访问对象的多少而不同，所有人员都可以访问的信 息为公开信息，需要限制访问的信息一般为敏感信息或秘密，秘密可以根据信息 的重要性及保密要求分为不同的密级，例如国家根据秘密泄露对国家经济、安全 利益产生的影响( 后果) 不同，将国家秘密分为秘密、机密和绝密三个等级，组 织可根据其信息安全的实际需要，在符合国家保密法的前提下将其信息划分 为不同的密级；对于具体的信息的保密性有时效性，如秘密到期解密等。 6 l ! i 东师 l ：! = 人学坝i ：学位论炙 ( 2 ) 完整性：信息应避免非授权、意外和无意的修改。信息完整性一方面是 指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等；另一方面是指信 息处理的方法的正确性。不正当的操作，如误删除文件，有可能造成重要文件的 丢失。 ( 3 ) 可用性：保障授权使用人在需要时可以立即获取和使用相关的信息。 例如通信线路中断故障会造成信息的在一段时间内不可使用，影响正常的商业运 作，这是对信息可用性的破坏。 随着信息时代的到来，数字化计算以及网络技术的大力发展和推广，使得信 息安全的实施从基本上得到了改变，信息安全在某种意义上又加入了一个新的概 念计算机安全。在信息时代，信息量越来越大，珍贵信息也越来越多，而且 其访问途径也较容易获得，这就使得信息安全面临前所未有的挑战。犯罪分子通 过使用计算机系统以及网络，掌握机器以及操作人员的弱点并加以利用，就可以 通过系列攻击对信息资产进行破坏，而这类攻击在过去2 0 年里是完全无法想 象的。 信息技术的力量是非常强大的。它赋予人们前所未有的能力去管理、处理以 及交流信息。保护这些技术以及它们所管理的信息是非常困难的，并且往往是一 种昂贵的投资。除了计划、设计、执行安全措施所需的直接花费，还需要企业里 的所有员工共同参与维护，尤其是要限制他们的使用技术的权限范围。这里存在 着一个安全性和实用性的矛盾的问题。安全性要求信息以及信息的访问要被严格 的控制，然而问题是信息技术的最大优点就是他们可以让信息自由的流通。在竞 争激烈的工业化社会罩，这个矛盾所形成的现实格局是人们显然更看重并着重利 用其实用性而忽视其安全性。 2 1 3 信息安全技术 为确保信息安全，信息安全技术一般有加密技术、防病毒技术、访问控制技 术等。由于信息网络的多样性和互联性，单一的信息安全技术往往不能解决问题， 必须综合运用多种安全技术，实现信息安全。常用的信息安全技术有7 】： 密码技术：密码技术是信息安全的核心和关键。包括密码编码( 密码算 法设计) 、密码分析( 密码破译) 、数字签名、密钥管理和密钥托管等技 7 山东! j ! f j 抱j ：学顺卜学位沦文 8 术。现在通用的做法是用高强度密码算法对信息进行加密，以保证信急 内容的安全和控制信息的安全。 标识和鉴别技术：标识和鉴别技术是用户进入系统后的第一道防线。用 户标识从用户登陆注册输入一个身份标识( i d ) 开始，接着鉴别用户身份、 网址或者数据串的完整性。一个用户被标识和鉴别后，就可对服务器进 行授权访问。 访问控制技术：访问控制技术主要用来处理资源访问，包括自主访问控 制和强制访问控制。通过访问控制可以加强数据的完整性和保密性。 防火墙与防病毒技术：防火墙包括计算机防火墙和网络防火墙两类，它通 过访问控制技术在网络与网络、用户与用户、网络与用户之间起隔离作 用。它常采用的技术为包过滤技术、代理技术和电路网关技术，现在的 防火墙往往多种技术并用，互相弥补各自缺陷以增加系统的安全性。防 病毒技术发展较早，利用专用的防病毒软件和硬件，可以发现、诊断和 消灭各种计算机病毒和网络病毒，因为病毒种类不断翻新，防病毒技术 也就不断变化。 入侵检测技术：入侵检测技术是为了保证计算机系统的安全而设计与配 置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种 用于检测计算机网络中违反安全策略行为的技术。 虚拟专用网( v p n ) 技术：虚拟专用网是利用一定的隧道技术或配置技术 对公网的通信介质进行某种逻辑上的分割，从而虚拟出私有的通信网络 环境技术。集成了鉴别认证、访问控制和密码变换的隧道技术称为安全 隧道技术。 信息伪装技术：信息伪装技术是f 在兴起的一种新的信息安全技术。信 息伪装就是将秘密信息隐藏于另一非机密的文件内容之中，其形式可以 是任何一种数字媒体，如图像、声音、视频等等。信息伪装技术不同于 传统的加密技术，密码仅仅隐藏了信息的内容，而信息伪装不但隐藏了 信息的内容而且隐藏了信息的存在。信息伪装技术包含的内容范围十分 广泛，可以分为伪装术、数字水印、数据隐藏和数据嵌入等。 山东帅范人学帧i j 学化论义 2 1 4 信息安全管理 信息安全管理是通过维护信息的机密性、完整性和可用性，来管理和保护组 织的所有的信息资产的一项体制。作为一种机制，信息安全管理并不特别针对某 项安全技术，而是包括信息安全政策、风险评估、控制目标与方式选择、制定规 范的操作流程、对员工进行安全培训等一系列工作。随着业界对信息安全问题的 不断深入研究，越来越发现绝大多数的信息安全问题都可以归结为以风险管理为 核心的信息安全管理，即信息安全风险管理。 2 2 风险管理和风险评估概述 2 2 1 风险管理 风险评估与风险管理的概念来源于商业领域，指的是对商业行为或者商业目 标的投资风险进行分析、评估与管理，力求以最小的投入风险得到最大的收益。 与其它重要的商业资产一样，信息也是一种资产，也具有一定的价值，也需要进 行保护。信息保障体系的目的就是在最大范围内保- 护信息资产，以确保信息的保 密性、完整性和可用性。基于风险评估和风险管理的信息保障体系就是将风险管 理自始至终贯穿于信息保障之中，该体系并不是完全消除信息的威胁、脆弱性以 及受到的攻击，这是不现实和不可能的，而是尽量减少脆弱性和威胁的产生，尽 量将攻击造成的损失降低到最低限度。 风险管理( r i s km a n a g e m e n t ) 指的是以可接受的成本识别、度量、控制或降低 可能影响信息系统的安全风险，井使其与受保护的资产的价值相当的一种过程。 风险管理包括三个方面的内容，即风险分析、风险控制和风险测评，如图2 1 所 示。首先是对风险进行分析；然后是采取一定步骤和风险控制措施将风险降低到 可接受的级别；最后对风险分析的方法与步骤、风险控制的方法与工具以及风险 管理的效果进行测评，作为一种正反馈来促进风险管理。 9 山东帅抛人学形 i j 学位论义 2 2 2 风险评估 图2 1 风险管理流程 信息安全风险评估( r i s ka s s e s s m e n t ) 是按照国际和国内有关技术标准对信息 及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安 全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法， 确定信息资产的风险等级和优先风险控制顺序。风险评估是信息安全风险管理的 个不可或缺的部分。 信息安全风险评估就是对信息在产生、存储、传输等过程中其保密性、完整 性、可用性遭到破坏的可能性以及由此产生的后果的一个估计或评价。因此进行 信息安全风险评估必须抓住这些特点进行，必须识别出信息、信息的存在方式、 信息的传递过程、加工处理过程以及相关资产的情况；还要识别出信息对保密性、 完整性、可用性的要求；还要识别出信息及相关资产的脆弱性、潜在的威胁、潜 在威胁发生的可能性；最后还要识别威胁利用脆弱性对信息及相关资产进行破坏 所造成的后果，这里的后果针对于风险评估的对象，也就是系统、组织、企业、 政府部门或者国家，这一损害后果可以是定量的按价值来测量，也可以定性的测 量。这依赖于采用哪种风险评估的方法。风险评估关系图如图2 。2 所示。 因此风险评估的主要任务包括：识别组织面临的各种风险、评估风险概率和 可能带来的负面影响、确定组织承受风险的能力、确定风险缓和与控制的优先等 级、推荐风险缓和对策。 1 0 图2 - 2 风险评估关系图 i “东帅范人学帧i j 学位论文 2 2 3 风险评估辅助工具 风险评估辅助工具在风险评估过程中不可缺少，它用来收集评估所需要的数 据和资料，帮助完成现状分析和趋势分析。如入侵检测系统，帮助检测各种攻击 试探和误操作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全 审计工具、安全漏洞库、知识库都是风险评估不可或缺的支持手段。 入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并 对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹 象。它的主要功能包括：检测并分析用户和系统的活动、识别己知的攻击行为、 统计分析异常行为。因此入侵检测系统在风险评估中，可以作为异常行为的收集 工具，为风险评估提供可能存在的威胁信息。风险评估过程也可以利用一段时间 内入侵检测系统发现的入侵行为，进行风险预测。 安全审计工具主要是用来分析系统或网络安全现状，包括系统配置、服务检 查、操作情况正确与否等内容，安全审计工具为j x l 险评估提供安全现状数据。 科学的风险评估需要大量的实践数掘和经验数据的支持，因此历史数据和技 术数据的积累是风险评估科学性和预见性的基础。根据各种评估过程中需要的数 据和知识，可以将评估支持环境具体分为：评估指标库、知识库、漏洞库、算法 库、模型库。 2 3 风险评估相关方法 评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评 估结果，所以需要根据系统的具体情况，选择合适的风险评估方法。风险评估的 方法有很多种，概括起来可分为三大类：定量的风险评估方法、定性的风险评估 方法、定性与定量相结合的评估方法。 2 3 1 定性评估方法 定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊 变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入 访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料 山东帅池人学坝i j 学位论文 进行编码整理，在此基础上做出调查结论，典型的定性分析方法有因素分析法、 逻辑分析法、历史比较法、德尔斐法。 l a n l ( l o sa l a m o sn a t i o n a ll a b o r a t o r y ) 实验室提出的因素分析法( r i s kf a c t o r a n a l y s i s ) 是一种前概念风险分析方法，作为后续详细的定量分析的基础，该方法 适用于中等规模系统的风险分析娜9 1 。逻辑分析法( l o 舀c a la n a l y s i s ) 采用流程图等 方法进行因果关系、逻辑关系推理对系统风险进行定性分析【i o 】。历史比较法是 根据历史数据对风险状况做出定性评价【l l 】。d e l p h i 法是对影响信息系统安全的各 种因素进行问卷调查，经过反复多次征求意见，充分发挥专家们的智慧、知识和 经验，得到信息系统评估的统一结剥1 2 】【1 3 】【1 4 】【1 5 】f 1 6 ”】。其他的定性分析方法包括： 分类方法、分析归纳法、域分析法、解释分析法、语义分析法等1 8 】【1 9 】【2 0 】【2 l 】。 ( 1 ) 定性评估的优势 1 ) 评估过程中没有复杂的推理过程，容易理解，能够让高层管理者明确风 险评估过程的重要性。 2 ) 定性评估的计算过程简单，可以人工实现乙 3 ) 数据收集过程比定量分析简单，采用问卷调查方式就可以实现。 4 ) 定性评估用到的参数可以采用主观评价方式获得，风险分析者还可以根 据需要选择评估参数。 ( 2 ) 定性评估的局限 1 ) 由于缺少理论支撑，使得风险评估结构的准确性难以得到保证。 2 ) 定性评估的好坏主要取决于评估团队中专家的经验以及问卷调查过程中 的反馈信息的有用程度。实现这两方面工作的成本是比较高的，可能企业不容易 接受。 3 ) 由于评估过程的主观性，所以整个评估过程的结果很难清晰地记录下来 2 2 1 。 2 3 2 定量评估方法 定量的评估方法【2 3 】是指运用量化指标来对风险进行评估。典型的定量分 析方法有主成分分析法、聚类分析法、时序模型、回归模型、等风险图法【2 5 】、 决策树法等。 1 2 山东师范人学颂i ：学位论义 主成分分析法( p c a ：p r i n c i p a lc o m p o n e n ta n a l y s i s ) 的思想是通过主成分 分析，减少影响系统风险评估的多种指标，降低因素分析的复杂度，提高风险分 析的效率和准确性f 2 6 】 2 7 】f 2 8 】。聚类分析法【2 9 】【3 0 1 3 1 1 ( c l u s t e ra n a l y s i s ) 是在评估前对 安全数据进行聚类分析，在简化数据分类的同时，降低风险分析和风险评估的复 杂度，提高评估效率和准确性。此外，由于信息系统的动态变化性，资产、漏洞、 威胁的不断变化，采用聚类分析数据可以将新的安全数据归类，便于安全数据的 更新。聚类分析的算澍3 2 】【3 3 】【3 q 有很多种，需要根据系统的实际情况选择。时序 模型【3 5 】【3 6 】用于对系统风险随时问动态变化进行建模，目的是预测系统风险属性 ( 发生概率和造成后果) 变化的趋势。系统环境动态变化、威胁源能力的不断增强， 使得对风险发生概率和后果的预测越来越复杂，s t u a r t 等【3 7 】【3 8 】【3 9 】采用回归模型对 风险后果和概率与变化属性之间的关系进行预测，给出风险的实时结果，提高风 险评估的准确性，为风险管理提供保障。决策树法【4 0 】【4 1 1 1 4 2 1 是采用树型结构对风 险进行分类，然后对每类风险采用不同的评价指标分别分析和评估。 ( 1