（管理科学与工程专业论文）基于bs7799的信息系统安全风险评估研究.pdf

基于b s 7 7 9 9 的信息系统安全风险评估研究 摘要 随着计算机的日益发展和普及，计算机病毒、计算机盗窃、服务器的非法 入侵破坏已变得日益普遍和错综复杂。任何企业及其信息系统都可能面临着包 括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。因此 有必要对信息系统的安全性进行评估。对信息系统进行风险评估即脆弱性、系 统面临的威胁及其发生的可能性，以及脆弱性被威胁源利用后所产生的负面影 响的评估，系统安全的风险评估结果对组织机构在信息安全措施的选择、信息 安全保障体系的建设等问题中做出合理的决策有重要的指导作用。 而我国的风险评估研究才刚刚起步，有很多问题值得去研究。本文对信息 系统安全风险评估进行了以下几个方面的研究： 1 对风险评估要素间关系模型的研究，发现一般模型存在静态考虑的缺点， 通过扩充评估要素集合，特别突出人和评估等级，得到新的风险评估要素关系模 型，克服了这个缺点； 2 对国际上流行的信息安全评估标准c c 、b s 7 7 9 9 、s s e - c m m 进行了分析， 得出b s 7 7 9 9 标准的结构十分清楚、借助它实施风险评估十分清楚和流畅，实旌 人员可以依据目录分门别类进行选择和操作，同时，还便于在风险评估后进行 核查、教育和培训； 3 对b s 7 7 9 9 标准、定量和定性分析方法的研究，提出能够对b s 7 7 9 9 标准 进行改进、定性和定量相结合的风险评估方法，以克服单一评估方法的不足。 在具体设计风险评估方法时，采用风险树和风险模式影响分析相结合的方式对 b s 7 7 9 9 进行了实施与应用； 4 通过具体案例仿真研究，验证了此方法的科学性和可行性。 关键字：信息系统；b $ 7 7 9 9 标准；评估要素；风险；风险评估 r e s e a r c ho ui n f o r m a t i o ns y s t e ms e c u r i t yr i s ka s s e s s m e n t b a s e do nb $ 7 7 9 9s t a n d a r d a b s t r a c t a l o n gw i t h t h ec o m p u t e ro fd e v e l o p m e n ta n dp o p u l a r i z a t i o n ，c o m p u t e r v i r u s ，c o m p u t e rb r i g a n d a g e ，t h e s e r v e r s i l l e g a li n t r u s i o nh a v ea l r e a d y b e c o m e i n c r e a s i n g l yw i d e s p r e a d a n yb u s i n e s se n t e r p r i s e sa n dt h e i ri n f o r m a t i o ns y s t e m s m a yf a c em a n yf a r g o i n gs e c u r i t yt h r e a t e n s ，s u c ha sc o m p u t e rh u m b u g ，d e t e c t i o n ， s a b o t a g e ，f i r e ，f l o o da n ds o0 1 1 i t i s n e c e s s a r yt o e v a l u a t et h es e c u r i t yo f i n f o r m a t i o ns y s t e m t h er e s u l t so ft h e ns y s t e ms e c u r i t y sr i s ka s s e s s m e n th a v e i m p o r t a n ti n s t r u c t i o n a lf u n c t i o no nt h eo r g a n i z a t i o na g e n c i e si nt h ec h o i c eo ft h e i n f o r m a t i o ns e c u r i t ym e a s u r ea n dt h er e a s o n a b l ed e c i s i o n - m a k i n gd u r i n gt h e c o n s t r u c t i o no ft h ei n f o r m a t i o ns e c u r i t ys a f e g u a r d b u to u rc o u n t r y sr i s ka s s e s s m e n ti sj u s tb e i n gs t a r t e d t h e r ea r eal o to f p r o b l e m sd e s e r v i n gt os t u d y s e v e r a la s p e c t sa b o u ts e c u r i t yr i s ka s s e s s m e n to f i n f o r m a t i o ns y s t e m sh a v eb e e nd i s c u s s e di nt h i sp a p e r 1 t h r o u g ht h er e s e a r c ho fr i s ka s s e s s m e n te s s e n t i a lf a c t o r s r e l a t i o n a l m o d e l d i s c o v e dt h e g e n e r a l m o d e le x i s t e dt h e s h o r t c o m i n g i ns t a t i cs t a t e c o n s i d e r a t i o n t h es h o r t i n gh a db e e no v e r c o m eb ye x t e n d e de v a l u t a t i o nf a c t o r s ， e s p e c i a l l yg a v ep r o m i n e n c et op e o p l ea n de v a l u a t i o nr a n k ，o b t a i n st h en e wr i s k a s s e s s m e n tf a c t o r s r e l a t i o n a lm o d e l 2 t h r o u 【g ht h ea n a l y s i so ft h ei n t e r n a t i o n a lp o p u l a ri n f o r m a t i o ns e c u r i t y a s s e s s m e n ts t a n d a r dc c ，b s 7 7 9 9 ，s s e c m m o b t a i n st h es t r u c t u r eo ft h eb s 7 7 9 9 s t a n d a r di se x t r e m e l yc l e a r w i t ht h ea i do fi ti m p l e m e n t st h er i s ka s s e s s m e n ti s c l e a ra n di n f l u e n t t h ep e r s o nw h oi m p l e m e n t si tc a nc a r r yo nt h ec h o i c ea n d o p e r a t i o na c c o r d i n gt ot h ec m a l o g ，i ti sa l s oc o n v e n i e n tf o ri n v e s t i g a t i o n ，e d u c a t i o n a n dt r a i n i n ga f t e rt h er i s ka s s e s s m e n t 3 t h r o u g ht h er e s e a r c ho fb s 7 7 9 9a n dq u o t aa n dq u a l i t a t i v em e t h o d 8 a n a l y s i s ，w h i c ha i m i n gt oe x p l o r ea ni m p r o v i n g ，c o m b i n i n ga s s o c i a t i v eo b s e r v a t i o n w i t hq u a n t i t yr i s ka s s e s s m e n tm e t h o dt oc o n q u e rt h ed i s a d v a n t a g eo fs i n g l er i s k a s s e s s m e n tm e t h o d a sd e s i g n sar i s ka s s e s s m e n tm e t h o d ，t h ep a p e ra d o p t sm e t h o d c o m b i n i n gw i t hf a u l tt r e ea n a l y s i sa n dr i s km o d e lc o n t r i b u t i o na n a l y s i st op u ti n t o e f f e c ta n da p p l i e sb s 7 7 9 9 4 t h es c i e n t i f i ca n df e a s i b l en a t u r eo ft h i sm e t h o dh a sb e e nc o n f i r m e d t h r o u g ht h es i m u l a t i o nr e s e a r c ho ft h ec o n c r e t ec a s e k e yw o r d s ：i n f o r m a t i o ns y s t e m b s 7 7 9 9s t a n d a r da s s e s s m e n tf a c t o rr i s k r i s ka s s e s s m e n t 插图清单 图2 1 信息系统安全层次模型1 2 图2 2 信息系统的安全过程1 5 图3 1i s o1 3 3 3 5 风险( 评估要素) 关系模型1 7 图3 2 风险评估各要素关系模型1 8 图3 3 风险评估的一般流程2 0 图3 4 安全措施对应风险要素关系图2 3 图4 1 p d c a 过程模式3 2 图5 1 风险分析工作流程3 6 图5 2 风险评估定量和定性方法3 7 图5 3 使用风险树法确定要项权重的过程4 1 图6 1 资产、威胁和薄弱点对应关系4 9 图6 2 信息系统安全风险因素层次结构模型5 0 图7 1 仿真对象系统结构5 1 图7 2 系统各部分的接口5 1 图7 3 仿真对象网络拓扑图5 2 表格清单 表3 1 评估方法对比分析表2 8 表5 i 要素间相对权重标度4 l 表5 2 风险影响等级定义4 2 表5 3 风险符号定义4 3 表6 1 信息系统资产分类列表4 7 表7 1 风险评估小组成员5 3 表7 2 评估小组确定的资产5 4 表7 3 威胁分析和影响分析表5 5 表7 4 关键资产威胁值5 5 表7 5 人员、系统威胁可能性5 6 表7 6 四部门的权重5 6 表7 7 各风险要素及风险值5 7 表7 8 关键资产风险值排序5 7 表7 9 公文发文模块风险分析报告表5 7 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得金魍王些盍堂或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示谢意。 i 学位论文作者签字：奶1签字日期：易k 夕年石月，z 日 l 学位论文版权使用授权书 本学位论文作者完全了解合肥工业大学有关保留、使用学位论文的规定，有 权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。 本人授权合肥工业大学可以将学位论文的全部或部分论文内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：如m 签字日期：莎叼年占月户日 学位论文作者毕业后去向： 鲜姚童擗漪伽吾芦 黼龇。蛳东蟛，膨 导师签名赂纺易 签字日期；矽7 年6 月2e t 电话；l 舭p ) i r 邮编：及，j j 致谢 三年的研究生学习即将结束了，在这段紧张而充实的时间内，我学会了怎 样学习、思考，掌握了一些有关信息管理领域的专业知识，尤其是科研项目的 参与，更使我收益非浅，并具备了一定的科研能力。 在此论文完成之际，我要忠心地感谢我的导师梁昌勇教授，在我的三年学 习期间，您给了我无私的关怀与无穷的帮助。是您将我引入了信息系统风险评 估领域，让我感受到了科学的无穷魅力；是您教会了我在科研中学习、思考的 方法，使我在科研中有所收获；梁老师在我的整个毕业设计过程中，从选题到 论文的完成都给予了悉心指导。 三年来让我感受最深的不仅是梁老师对我的谆谆教导以及为我提供了良好 的学习环境和氛围，更重要的是梁老师严谨的治学态度，渊博的专业知识，以 及对工作兢兢业业的精神，这些对我今后的人生都将会产生深刻的影响。 此外，我要感谢管理学院的各位老师，感谢你们对我无私的帮助与支持。 最后，我要感谢的是我的家人，三年来，是你们在默默地支持我、鼓励我、 关心我，我学业的完成离不开你们的贡献，谢谢! m 作者：朱方洲 2 0 0 7 年5 月 第一章绪论 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代政府部 门、金融机构、企事业单位和商业组织对信息系统的依赖也日益加重，信 息技术几乎渗透到了世界各地和社会生活的方方面面。当前组织机构的正 常运行高度依赖信息系统，信息系统的安全性变得越来越重要，其所承载 的信息和服务在保密性、完整性、可用性、可控性等方面一旦出现缺陷， 都将给组织机构带来负面影响。 信息系统是指用于采集、处理、存储、传输、分发和部署信息的整个 基础设施、组织结构、人员和组件的总和“1 。信息系统包括了两大方面的 内容：信息技术系统和其运行环境。信息技术系统是指作为信息系统的一 部分，执行组织机构信息功能的用于采集、创建、通信、计算、分发、处 理、存储和控制数据或信息的计算机硬件、软件或固件的组合。而系统运 行环境包括人、管理和物理环境。信息系统是在信息技术系统的基础上， 综合考虑了人员、管理等系统综合运行环境的一个整体。信息系统的安 全通常指对其承载的信息和服务在保密性、完整性和可用性三方面的保 护。 信息系统安全的风险评估是依据国家有关的政策法规及信息技术标 准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用 性等安全属性进行科学、公正的综合评估的活动过程。风险评估包括对信 息系统的脆弱性、信息系统面临的威胁及其发生的可能性，以及脆弱性被 威胁源利用后所产生的负面影响的评估，并根据安全事件发生的可能性和 负面影响的程度来标识信息系统的安全风险“，。 1 1 研究的背景和意义 信息系统的安全问题已从单纯的技术性问题变成事关国家安全的全球 性问题，如何判断信息系统是否满足安全需要，如何科学地加强安全管理 己到了迫在眉睫的时刻，因此科学地评估信息系统的安全性十分必要，是 所有涉及安全的系统所面临的重要课题。同时，随着信息系统复杂性的增 加和攻击方法的演变发展，系统安全性评估问题成了一个更具有挑战性和 不断发展的技术。一个信息系统中既包含着大量的信息以及由若干信息产 品组合成的具有特定功能的通用系统，也要受到系统中管理模块的支持， 还要与“人”发生交互作用，是一个人机系统，此时的安全不再专指技术 安全，而包括了管理领域的安全措旌，亦即信息系统安全由技术和管理两 方面来保障，并要依靠人的主观能动性来实施安全措施。这时候，信息系 统的安全已经不再局限于一个空间和时间上的点，而是涵盖了技术安全和 管理安全的，需要全面的信息保障概念来实现。因此，系统安全的评估也 必须体现出对空间延拓和时间发展的考虑，于是，信息系统评估最终都包 含或完全采用了一套新的方法学一基于风险的评估，即风险评估。1 。 通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱 性，从而为达到信息安全建设的最终目的一满足信息系统的安全需求和降 低信息系统的安全风险提供必要的依据。因此，只有在风险评估中正确、 全面地了解和理解信息系统的安全风险，组织才能在信息安全措施的选 择、信息安全保障体系的建设等闯题中做出合理的决策。风险评估目前已 经成为了世界上考察信息系统安全性的通用方法，一些地方已经据此成立 了系统安全认证过程，比如美国的“国家信息保障认证和批准过程”“】。 加强风险评估工作也是我国当前信息安全工作的客观需要和紧迫需求。由 于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越 大，同时也极大地增加了系统的复杂程度。在我国目前的国情下，为加强 宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工 作，并通过法规、标准手段加以保障，并逐步使风险评估工作朝向制度化 的方向发展。 i 2 国内外研究的现状 1 。2 。l 国外研究的状况 美国是信息安全风险评估研究历史最长和工作最丰富的国家，随着安 全事件的驱动和信息安全技术、信息安全管理概念的发展深化，美国对信 息安全风险评估的认识也逐步加深。从最初关注计算机保密发展到目前关 注信息系统基础设施的信息保障，大体经历了以下三个阶段1 ： 第一阶段( 1 9 6 0 1 9 7 0 ) ，是以计算机为安全保护对象的信息保密阶 段。当时计算机主要还是应用于美国的军事方面。这个阶段的标志性事件 是，美国国防科学委员会委托兰德公司、迈特公司( m i t i e ) 及其它和国 防工业有关的一些公司于1 9 6 7 年1 1 月开始研究计算机安全问题到1 9 7 0 年2 月，经过将近两年半的工作，主要对当时的大型机、远程终端进行了 研究和分析，作了第一次比较大规模的风险评佶口1 。这个阶段的信息安全 仅仅针对了计算机系统的保密性问题提出要求，对安全的风险评佶只限于 保密性范畴。 第二阶段( 1 9 8 0 一1 9 9 0 ) ，是以计算机和网络为保护对象的信息安全 保护阶段。在1 9 8 3 年1 月1 日，t c p i p 成为a r p a n e t 上唯一的正式协议 以后，a r p a n e t 上连接的网络、用户和机器数量快速增长，到了8 0 年代中 期，随着互联网的广泛应用，出现了初期的针对美国军方的计算机黑客行 2 为，原西德黑客团伙“汉诺威集团”试图突入美国军事计算机网络刺探机 密事件和1 9 8 8 年1 1 月发生的互联网络蠕虫( w o r m ) 事件，以及1 9 9 0 年1 月1 5 日的a t t 的“一一五”大瘫痪事件，终于促使美国审计总署( g a o ) 在全国范围内对主要由国防部使用的计算机网络进行了大规模的持续评 估。这个阶段，人们逐步认识到信息除了保密性以外还有完整性、可用性 等更多的安全属性，希望通过对安全产品的质量保证和安全评测来保障系 统安全，奠定了安全产品测评认证的基础和工作程序。 第三阶段( 1 9 9 0 一现在) ，是以信息系统关键基础设施为保护对象的 信息保障阶段。在这个阶段，由于国际范围内出现了大规模黑客攻击，信 息战的理论逐步走向成熟，信息攻防成为战争手段和国家综合利用的一种 方式，另一方面美国的军、政、经济和社会活动对信息基础设施的依赖程 度达到了空前的高度，从而使计算机网络系统成为关键基础设施的核心， 迫使美国又开始了对信息系统新一轮的评估和研究，产生了一些新的概 念、法规和标准。这个阶段的标志行为是，在军方提出信息保障( i a ) 概 念的基础上，克林顿和布什两届总统持续数年进行了国家信息安全保护计 划和信息保障战略的研究。到目前为止，美国形成了与国家安全、反恐战 略、国土安全等国家战略相配套的网络空间信息保障的国家战略，各个行 业也逐步提出了本行业的信息安全战略，风险评估思想在其中得到了重要 的贯彻。 在第三阶段，风险评估的研究得到了极大的发展，发布了大批的研究 成果：2 0 0 0 年4 月，负责美国国家安全系统的国家安全系统委员会发布了 专门针对国家安全系统的国家信息保障认证和认可过程啼1 ( n i a c a p ) 。 美国国家标准技术研究所( n i s t ) 在2 0 0 0 年1 1 月为c i o 委员会制定 的联邦i t 安全评估框架中提出了自评估的5 个级别；2 0 0 1 年1 1 月， 颁布了i t 系统安全自评估指南( s e c u r i t ys e l f a s s e s s m e n tg u i d ef o r i n f o r m a t i o nt e c h n o l o g ys y s t e m s ) ( s p 8 0 0 - 2 6 ) ，针对三大类1 7 项安全 控制提出了1 7 张调查表；同年1 2 月发布了i t 安全基础技术模型( s p 8 0 0 3 3 ) ”1 ，提出了信息系统安全的目标、安全服务的模型、安全目标的 实现和安全控制措施在风险管理中的作用；2 0 0 2 年1 月，发布了i t 系 统风险管理指南”1 ( s p 8 0 0 3 0 ) ，概述了风险评估的重要性、风险评估在 系统生命周期中的地位、进行风险评估的角色和任务，阐明了风险评估的 步骤、风险缓解的控制和风险评价的方法。 2 0 0 2 年，美国颁布了联邦信息安全管理法案( f i s m a ) ”1 ，提出联 邦各机构的信息安全项目必须包括定期风险评估、安全意识培训等九个方 面的内容；美国国家安全局( n s a ) 颁布了信息安全评估能力成熟度模 型( i a - c m m ) 2 1 版阻1 。提出了包括评估信息安全风险在内的9 个过程域 和2 9 个子域。描述了与之有关的能力成熟度的五个级别。 2 0 0 3 年，n i s t 发布了联邦i t 系统安全认证和认可指南“们 ( s p 8 0 0 3 7 ) 的第2 0 版，其部分附加文档将于2 0 0 5 年全部定稿。同时， 除了美国以外，英国，德国、澳大利亚等国家也纷纷制定自己的国家评估 标准和发布技术文献，其中风险评估研究中比较突出的有以下一些成果： 澳大利亚新西兰风险管理准则联合委员会于1 9 9 5 年颁布了世界上第一部 风险管理的正式标准：a s n z s 4 3 6 0 。这是一个针对普遍风险的风险管理标 准，成为关注一般风险管理的人员的通用准则。 英国标准化协会( b s i ) 1 9 9 5 年颁布了信息安全管理指南( b s 7 7 9 9 ) ， b s 7 7 9 9 分为两个部分：b s 7 7 9 9 一i 信息安全管理实施规则和b s 7 7 9 9 2 信息安全管理体系规范。2 0 0 2 年又颁布了信息安全管理系统规范说 明( b s 7 7 9 9 2 ：2 0 0 2 ) 。在b s 7 7 9 9 - 2 中，提出如何建立信息安全管理体系 的步骤。b s 7 7 9 9 将信息安全管理的有关问题划分成了l o 个控制要项，3 6 个控制目标和1 2 7 个控制措施。目前，全球通过b s 7 7 9 9 认证的企业、机 构的数量已达到2 8 2 家，其中绝大部分分布在欧洲和亚洲，整个中国地区 ( 包括香港和台湾在内) 通过b s 7 7 9 9 认证的企业、机构数量已有1 8 家。 加拿大风险管理准则委员会于1 9 9 7 年颁布了风险管理：决策者的指导 ( a n c s a q 8 5 0 9 7 ) 。1 9 9 9 年，又颁布了威胁和风险评估工作指南。德 国的联邦信息技术安全局在2 0 0 1 年7 月颁布并不断更新信息技术基线 保护手册( i tb a s e l i n ep r o t e c t i o n m a n u a l ( b p m ) ) 。b p m 比英国的b s 7 7 9 9 更加详细地对威胁和安全措施加以了分类，具体地开列威胁清单和安全措 施清单，并通过维护网上更新来实现与时俱进的安全需求。该手册将威胁 目录分为五类2 7 2 种( 严重影响1 3 种，机构缺陷6 7 种，人为风险4 7 种， 技术风险4 3 种，故意行为1 0 2 种) ，安全措施目录分为六类6 0 7 种( 基础 设施类5 7 种，机构类2 2 6 种，个人类2 6 种，软件和硬件类1 3 5 种，通信 类8 8 种，意外事故计划类7 5 种) 。在各国研究的基础上，国际标准化组 织在1 9 9 6 年开始制定i t 信息安全管理指南( i s o i e c1 3 3 3 5 ) ，i s o 1 3 3 3 5 是由国际标准化组织颁布的一个信息安全管理指南，这个标准的主 要目的是要给出如何有效地实施i t 安全管理的建议和指南。用户完全可 以参照这个完整的标准制订出自己的安全管理计划和实施步骤。 风险评佶除了建立越来越完善的标准以外，在实践上也从手动评估发 展到工具辅助评估的阶段，现在国际上常见的评估工具有：c o b r a - - - - c o b r a ( c o n s u l t a t i v e ，o b j e c t i v ea n db i - f u n c t i o n a lr i s ka n a l y s i s ) 是英国c & a 系统安全公司推出的一套风险分析工具软件，它通过问卷的方 式来采集和分析数据，并对组织机构的风险进行定性分析，最终的评估报 告中包含己识别风险的水平和推荐措施。此外，c o b r a 还支持基于知识的 4 评估方法，可以将组织机构的安全现状与i s o1 7 7 9 9 标准相比较，从中找 出差距，提出弥补措施。 c r a m m c r a m m ( c c r ar i s ka n a l y s i sa n dm a n a g e m e n tm e t h o d ) n 盯 是由英国政府的中央计算机与电信局( c e n t r a lc o m p u t e r a n d t e l e c o m m u n i c a t i o n sa g e n c y 。c c t a ) 于1 9 8 5 年开发的一种定量风险分析 工具，同时支持定性分析。经过多次版本更新( 现在是第四版) ，目前由 i n s i g h t 咨询公司负责管理和授权。c r a m m 是一种可以评估信息系统风险 并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可 以在信息系统生命周期的各个阶段使用。c r a m m 的安全模型数据库基于著 名的“资产威胁弱点”模型。c r a m m 与b s 7 7 9 9 标准保持一致，它提供的 可供选择的安全控制多达3 0 0 0 个。 a s s e t a s s e t ( a u t o m a t e ds e c u r i t ys e l f e v a l u a t i o nt 0 0 1 ) “” 是美国国家标准技术蜘会( n a t i o n a li n s t i t u t eo f s t a n d a r da n d t e c h n o l o g y ，n i s t ) 发布的一个可用来进行安全风险自我评估的自动化工 具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现 状与n i s ts p 8 0 0 - 2 6 指南之间的差距。 c o r a 一c o r a ( c o s to fr i s ka n a l y s i s ) “”是由国际安全技术公司 ( i n t e r n a t i o n a l s e c u r i t yt e c h n o l o g y ) 开发的一种风险管理决策支持系 统，它采用典型的定量分析方法，可以方便的采集、组织、分析并存储风 险数据，为组织机构的风险管理决策支持提供准确的依据。 c o r a s 一一c o r a s ( p l a t f o r mf o rr i s ka n a l y s i so fs e c u r i t yc r i t i c a l s y s t e m s ) 是由希腊、德国、英国、挪威等国的多家商业公司和研究机构 于2 0 0 1 年1 月开始共同组织开发的一个项目。该项目的目的是开发一个 基于面向对象建模特别是u m l 技术的风险评估框架，它的评估对象是对安 全要求很高的一般性的系统，特别是i t 系统的安全。c o r a s 考虑到技术、 人员以及所有与组织机构安全相关的方面，通过c o r a s 风险评估，组织机 构可以定义、获取并维护信息系统的保密性、完整性、可用性、抗抵赖性、 可追溯性、真实性和可靠性。 在风险评估标准的发展，风险评估的范围也在扩大，由原来单纯的安 全技术评估发展到技术与管理兼顾的综合化评估。技术评估是指对组织机 构的技术基础结构和程序进行系统的、及时的检查，包括对组织机构内部 计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的 评估通常包括：( 1 ) 评估整个信息系统的基础结构。( 2 ) 使用拥有的软件 工具分析基础结构及其全部组件。( 3 ) 提供详细的分析报告，说明检测到 的技术弱点，并且可能为解决这些弱点建议具体的措施。技术评估就是通 常意义上所讲的技术脆弱性评估，强调组织机构的技术脆弱性，即组织机 构内安全最薄弱的技术环节。该方法的典型代表就是利用脆弱点评估工具 和渗透性测试工具等基础安全设施评估工具查找出信息系统安全的技术 弱点进行评估。综合评估着眼于分析组织机构内部与安全相关的风险，包 括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的 风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行 排列，关注的焦点主要集中在安全的以下4 个方面：( i ) 检查与安全相关 的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息 进行比较分析，根据工业标准和最佳实践对信息进行等级评定。( 2 ) 包括 对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。( 3 ) 检查i t 的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据 的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。 ( 4 ) 帮助决策制订者综合平衡风险以选择成本效益对策。该方法的典型 代表是卡内基梅隆大学的s e i 发布了o c t a v e 信息安全风险评估方法“” 综上所述，国际上信息安全风险评估经历了一个从只重技术到技术、 管理并重的全面评估，从单机到网络再到信息系统基础设施，从单一安全 属性到多种安全属性的发展过程。随着风险评估理论和评估技术的不断深 化完善，信息系统的安全风险评估已经有了相当大的发展，但是由于各国 的标准和评估工具的不统一，国际上信息系统的安全风险评估的认证工作 很难达到一致，以至于认证结果还是存在着很大的地区差异，因而风险评 估在理论和实现技术上都有待进一步的提高。 i 2 2 国内研究的现状及存在的问题 9 0 年代后，随着互连网在我国得到了广泛的社会化应用，国际大环境 的信息安全问题和信息战的威胁也对我国的信息安全造成了重大影响，使 我国清楚的认识到信息安全问题的重要性和严肃性。首先是信息安全意识 上的转变，由一开始的追求绝对安全的错误意识，发展为降低信息系统的 风险到可接受程度的风险意识上，并逐步有所加强；其次安全实践工作也 在不断的强化，包括安全测评认证机构的建立和完善，安全评估相关技术 标准和管理规范的初步制定和完备等一系列实践活动。 r 1 9 9 4 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护 条例 1 7 1 ，提出了计算机信息系统实行安全等级保护的要求。安全等级保 护的总体目标是确保信息安全和计算机信息系统安全正常运行，并保障以 下安全特性：信息的完整性、可用性、保密性、抗抵赖性，可控性等( 其 中完整性、可用性、保密性为基本安全特性要求) 。指出我国计算机信息 系统安全的重点保护对象是国家重要领域的计算机信息系统，即事关国计 民生的国家信息基础设施、互联网管理中心及重要网站的安全，目的在于 6 安全保护工作中实现等级化规范化的建设和有效的监督管理。 1 9 9 9 年，公安部颁发计算机信息系统安全保护等级划分准则 ( g b l 7 8 5 9 - 1 9 9 9 ) ，以这个强制性国家标准为母体，一套包括总体控制( 框 架类标准) 、设计和实现的过程控制( 要求类标准) 、设计和实现的结果控 制( 评估类标准) 、计算机信息系统分层面安全控制以及安全监督管理的 数十个配套标准正在紧锣密鼓地研究制定，即将分期陆续出台。另外2 0 0 1 年，我国还颁布了援引c c 的g b t 1 8 3 3 6 2 0 0 l ，作为我国安全产品测评的 标准。 1 9 9 9 年2 月9 日，我国正式成立了中国国家信息安全测评认证中心。 到这个阶段，我国在国家标准g b1 7 8 5 9 1 9 9 9 和g b t 1 8 3 3 6 2 0 0 1 的指导 下，进行了大量的安全产品的功能评测，并逐步向安全产品的性能评测、 安全性评测发展。我国安全部门逐步认识到，仅仅进行安全产品的测评认 证不能解决信息系统的安全闯题。因此。国家测评认证机构开始把信息系 统的安全评测纳入自己的工作范畴，风险评估作为系统安全评估的一个环 节，也纳入其中。其后，国内信息安全风险意识不断加强，由原来追求绝 对安全，万无失的信息环境逐渐向追求降低风险到系统可接受程度的方 向上转化。我国的风险评估标准的制定也成为了国家信息系统安全研究的 重点之一。 2 0 0 2 年4 月1 5 日全国信息安全标准化技术委员会( 简称信息安全标 委会，t c 2 6 0 ) “8 1 在北京正式成立。其工作任务是向国家标准化委员会提 出本专业标准化工作的方针、政策和技术措施的建议，同时将协调各有关 部门，本着平等、公开，协商的原则提出一套系统、全面、分布合理的信 息安全标准体系，以信息安全标准体系为工作依据，有步骤、有计划地进 行信息安全标准的制定工作。2 0 0 2 年9 月在国家信息中心信息安全处的基 础上，组建成立了国家信息中心信息安全研究与服务中心。该中心参与完 成国家标准信息安全技术评估准则“”，参加了国家电子政务指南一 信息安全编写和公安部相关标准的编写与评审。 2 0 0 5 年2 月，国信办信息安全风险评估试点工作正式启动，包括云南 省、北京市、上海市、黑龙江省、中国人民银行、国家税务总局、国家电 网公司、国家电子政务外网都作为了被评估的对象。试点工作中，在完善 了原有的5 种检测项目的基础上，又创设了2 种深度检测项目从丽大大提 高了检测项目的有效性和评估结果的准确性。 虽然我国目前在信息安全评估方面做了相当多的工作，但是由于我国 在安全风险评估的理论和技术上的基础不牢固，又缺乏实践的经验，因此 还存在较多问题： 风险评估在我国的企业、组织和部门的普及程度较弱，许多领导对风 7 险评估的流程不了解，安全风险防范意识薄弱。 我国的科学研究计划中，有关信息系统安全风险评估的重点科研项目 还是较少，不足以支撑进行科学的风险评估，理论、方法、技术和工具研 究的需要。 目前我国的信息系统安全风险评估还处在仅仅依靠i t 企业的通用技 术的脆弱性分析，来掌握和了解具体行业、部门的资产、威胁和风险的阶 段。而科学的风险评估不但需要深化研究i t 技术共性化的风险，还需要 推动对不同行业部门的个性化风险的深化研究，与各个行业的应用、服务、 生产的特性密切相关。 我国目前缺乏信息系统安全风险评估的规范化标准，国内的一批提供 信息系统安全评估服务的信息安全企业进行风险评估时，只是参考国际标 准( 多数参考b s 7 7 9 9 、1 s o i e c l 7 7 9 9 、s s e c m m 、a s n z s 4 3 6 0 ，有的仅参 考信息安全产品评测标准，如c c 等) ，缺乏对我国信息安全风险具体实际 状况的考虑。 风险评估过程中信息系统安全风险评估的角色和责任混乱。由于风险 评估理论的缺乏，在实际的评估工作中，参与评估的人员、其扮演的角色 和承担的责任，以及体现这些角色和责任的过程和手续四方面内容的确定 非常困难，造成评估过程的混乱。 对风险评估本身存在的风险不够重视。风险评估工作中接触的与信息 系统漏洞有关的信息、各单位信息安全保障的现状和闯题，是涉及单位要 害、利益、声誉的事项，所以对风险评估工作过程中的安全防护也是非常 重要的。 综上所述，我国对信息系统的风险评估研究虽然取得了一定的成绩， 但与国际研究情况相比，还处在起步阶段，存在许多理论和实践上的问题 和困难。需要对国际上的安全风险评估理论和技术进行系统的、深入的、 广泛的了解、跟踪和分析，学习国外风险评估的理念和标准，宣传风险评 估的重要性和必要性，促进我国风险评估研究的进步和发展。 1 3 本文研究的主要内容及难点 1 研究内容 在硕士课题研究期间，作者主要在如何对信息系统进行安全风险评估 和如何对风险评估的风险值进行定量和定性研究，两个方向上做了大量工 作。其中包括： ( 1 ) 对国际上信息系统安全风险评估理论和技术的产生、发展和现 状进行了广泛的分析与研究。阅读大量的文献，了解信息系统安全风险评 估在其标准、评估方法和评估工具上的发展。同时对国际上公认的标准进 8 行比较，分析其各自的优缺点。 ( 2 ) 对国内风险评估的现状进行研究，分析国内现有风险评估的特 点以及存在的问题；通过将国内现有企业、组织和部门风险评估实施的现 状，以及国内做安全评估的企业的发展状况，与国际的发展状况相比，分 析国内风险评估从理论到实践技术的优势和不足。 ( 3 ) 对i s o1 3 3 3 5 ，g b t1 8 3 3 6 ( 等同于i s o i e c1 5 4 0 8 ) 风险评估要 素问关系模型的研究，发现一般模型存在静态考虑的缺点，通过扩充评估 要素集合，特别突出人和评估等级，得到新的风险评估要素关系模型。 ( 4 ) 选择基于b s 7 7 9 9 标准风险评估方法做深入研究，旨在探讨一套 能够对b s 7 7 9 9 标准进行改进、定性和定量相结合的风险分析方法。 2 风险评估的难点 风险评估是一项复杂的任务和工程，风险评估的难点主要表现在以下 几个方面： ( 1 ) 评估前评估范围和资产的确定 风险评估范围和评估的资产的确定是否恰当是风险评估的质量的决定 因素之一，而由于信息系统的复杂和多样性，对评估范围和评估资产的确 定还没有统一的标准。 ( 2 ) 风险评价过程中对风险发生可能性及其影响的评价 风险评价过程中不可避免的需要分析者进行主观判断，怎样减少评估 结果的主观性增加其客观因素是风险评价过程的难点，另外风险发生的造 成的影响也很难用一种标准度量，例如声誉损失就很难准确的用金钱来度 量。 ( 3 ) 风险评估过程中评估方和被评估信息系统所在组织之间的交互 常常存在问题被评估信息系统所在组织的高层管理人员可能因为利 益、隐私等原因在评估过程中不愿意提供一些评估所需资料或者对评估过 程实行限制，这样将导致风险评估所搜集的信息可能不完整和准确，导致 风险评估的质量不高。 1 4 论文结构 在绪论之后，第二章概述了信息系统安全理论体系及信息系统策略和 安全的生命周期，突出信息系统的风险评估的重要性。第三章将介绍对风 险评估理论的研究，着重从风险评估的流程、标准、方法和评估工具三个 方面论述现在风险评估理论的发展方向。在第四章中，重点研究了英国标 准机构( b s i ) 制定的b s 7 7 9 9 风险评估标准，分析了b s 7 7 9 9 标准的体系 结构及优缺点。在前三章的基础上，提出了基于b s 7 7 9 9 标准风险评估方 法，并设计出其模型和体系结构。之后第六章根据前一章的设计原理，结 9 合具体的信息系统建立该系统风险评估的模型。最后的第七章对我们实现 的系统进行仿真分析，并给出分析结论。第八章总结了本文的主要研究