（计算机应用技术专业论文）基于fahp的信息系统风险评估的研究.pdf

摘要 信息系统风险评估是信息系统安全保障机制建立过程中的一种评 价方法，是建立完整安全体系的一个重要环节，其结果为信息系统风 险管理和决策提供依据，对提高信息系统安全防护能力，保障网络和 信息系统安全等方面具有重要的意义。 本文深入研究了常见的风险评估标准和方法，系统地介绍了风险 评估的相关概念、评估形式和评估过程。论文给出了信息系统风险评 估的指标体系，在建立基于a h p 的信息系统风险评估层次结构模型的 基础上，提出了基于风险自评估的风险各要素的等级划分与量化方法： 提出了使用模糊层次分析法( f a h p ) 计算风险各指标因素权重的方法， 可较好地确定影响系统安全各因素的相对重要程度，解决了基于群组 决策的人为判断中的模糊性问题，为决策者在控制风险等方面提供科 学、准确的数据；使用j 2 e e 设计与实现了网络风险评估系统原型，并 将模糊层次分析法应用于某网站的信息系统风险评估中，为网站的风 险评估提供了一种行之有效的手段。 本文以现实信息系统的安全为目的，用科学的方法，对信息系统 的安全指标因素进行定性、定量分析，并做出综合评价，为风险的预 防、减少、转移、补偿做出决策，给信息系统的安全提供了重要依据。 关键词信息系统，风险，评估，层次分析法，三角模糊数 a b s t r a c t i n f o r m a t i o n s e c u r i t yr i s ka s s e s s m e n ti s a ne v a l u a t i o nm e t h o di n b u i l d i n gt h ep r o t e c t i o nm e c h a n i s mo fi n f o r m a t i o ns y s t e ms e c u r i t y ，a n di s t h ek e yp o i n to fs e c u r i t ys y s t e mi n t e g r i t y t h er e s u l to ft h ei n f o r m a t i o n s e c u r i t ye v a l u a t i o ni st h ef o u n d a t i o no ft h er i s km a n a g e m e n ta n d d e c i s i o n - m a k i n go ft h ei n f o r m a t i o ns y s t e ms e c u r i t y ，a n di sv e r yi m p o r t a n t i ni n f o r m a t i o ns y s t e mp r o t e c t i o na n ds a f e t yg u a r a n t e e t h ep o p u l a rs t a n d a r d sa n dm e t h o do fr i s ka s s e s s m e n tw a sl u c u b r a t e d a n dt h ec o r r e l a t i v ec o n c e p t i o n ，a s s e s s m e n tp r o c e s sa n da s s e s s m e n tm e t h o d a r ee l a b o r a t e di nt h i st h e s i s t h ec r i t e r i o nl e v e lo fi n f o r m a t i o ns e c u r i t yr i s k a s s e s s m e n ti sc o n f i r m e d a n da ni n f o r m a t i o ns e c u r i t ya s s e s s m e n th i e r a r c h y m o d e la c c o r d i n gt oa 唧m e t h o di se s t a b l i s h e d a n dt h ec l a s s i f i c a t i o na n d r a t i o na b o u te a c he l e m e n to fr i s kb a s e do nr i s ks e l fa s s e s s m e n ti sp r o p o s e d i n t h i st h e s i s t h em e t h o du s i n gf a 唧t oc a l c u l a t ew e i g h to fr i s ki s p r o p o s e d t h er i s kv a l u eg a i n sf r o mf u z z ya s s e s s m e n th i e r a r c h yp r o c e s s ( f a h p ) c a nm a k es u r et h er e l a t i v ei m p o r t a n td e g r e eo ft h ee l e m e n t st h a t i n f l u e n c et h ei n f o r m a t i o ns y s t e ms e c u r i t y a n dp r o v i d es c i e n t i f i ca n de x a c t d a t af o rd e c i s i o n m a k e rt oc o n t r o lt h er i s k t h ep r o b l e mo f j u d g m e n tf u z z y o ng r o u pd e c i s i o nh a sb e e ns o l v e d 1 1 1 ej 2 e ei s a p p l i e dt o b u i l da n a s s e s s m e n tp l a t f o r mb a s e do nn e t w o r k a n dt h ef a h pi sa p p l i e dt o e v a l u a t et h ei n f o r m a t i o ns e c u r i t yo faw e b s i t e i tp r o v i d e se m c i e n tt o o l sf o r w e b s i t es e c u r i t ye v a l u a t i o n t h ep a p e ra i m sa tt h es e c u r i t yo fi n f o r m a t i o ns y s t e mi nt h er e a lw o r l d w h i c hm a k e st h e q u a l i t a t i v e a n dq u a n t i t a t i v e a n a l y s i sa c c o r d i n g t o s c i e n t i f i cp r o c e d u r ea n dm e t h o d ，a n dm a k e ss o m ed e c i s i o n st op r e v e n t ， r e d u c e ，t r a n s f e ra n dc o m p e n s a t er i s kt h a tc a np r o v i d ei m p o r t a n td a t af o rt h e s e c u r i t yo fi n f o r m a t i o ns y s t e m k e y w o r d si n f c i r m a t i o ns y s t e m ，r i s k ，a s s e s s m e n t ，a s s e s s m e n t h i e r a r c h yp r o c e s s ( a h p ) ，t r i a n g l ef u z z yn u m b e r 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：垂筮日期：丛年皇月三日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论 文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文； 学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：重赵导师签名：丑兰丛日期：兰一年! 月卫日 硕士学位论文第一章绪论 第一章绪论 当前，我国国民经济和社会信息化进程全面加快，信息电子化技术广泛地应 用在我国各级党政机关以及金融保险、水电气、邮政通信、交通运输、广播影视、 医疗卫生等有关国计民生的重要行业和企事业单位。然而，互联网的普及在给人 们提供广泛连接和服务的同时也给入侵者提供了进行各种攻击的机会，导致各种 信息安全问题不断涌现，这些问题不但影响了国家重要职能部门的正常运转，还 对社会稳定造成威胁。所以信息安全已经成为事关国家经济命脉、社会稳定的全 局性战略问题，是国家安全的重要组成部分。 “安全是个过程”已经成为业界和国内各行业对于信息网络安全的共识之一， 它要求安全建设要随着安全技术和业务的发展与时俱进。然而不同信息系统的社 会和经济价值不同，系统中信息的敏感性不同，信息系统所属部门单位的重要性 不同，它们的安全需求以及安全建设成本也因此必然有所差异。如何用一套科学 系统的方法来了解系统本身的资产安全缺失，以及使用现有的措施与技术能否提 供足够的防御保障，使信息系统的安全达到一个可接受的程度，是目前研究的焦 点”。 1 1 课题研究背景 1 信息系统风险的由来 信息是一种资产，对一个组织而言具有价值。信息系统风险是因为资产的重 要性，由人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件 一旦发生所造成的影响。信息的无疆界、丌放性、低成本、匿名性等特征是信 息系统风险的存在内在原因，信息安全保障体系不完善以及管理上存在的漏洞是 信息系统风险的存在外在因素。 信息系统的安全可通过由所有因素造成风险的大小来度量。如果能从繁多的 信息安全影响因素中获取所需信息并得到各信息之间的相互关系，然后依据有关 信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、 完整性和可用性等安全属性进行评价”1 ，就能够在安全风险的预防、减少、转移、 补偿和分散之间做出决策，最大限度地控制和化解安全威胁，为提高网络安全整 体水平提供重要依据。 2 国内外的需求 ( 1 ) 国内的需求 政府职能的需求 从1 9 9 9 年开始，我国政府迈丌“政府上网工程”的步子。几年内，各级政府 硕士学位论文第一章绪论 投入大量资金、人力和技术，建成了几万个政府各类公开门户网站。数量虽多， 但网站的安全质量却让人担忧。例如在2 0 0 5 年4 月9 日，陕西省公安厅网站首页 被修改，内容全是反日的激进言论，在内容页中，黑客甚至胆大到留下自己的q q 号码；1 1 月1 日，山西省清徐县政府网站被黑客攻击，自称“圣贤居士”的黑客， 篡改了网站头条新闻和网站公告：2 0 0 5 年1 2 月1 7 同，吉林市人民政府网站遭黑 客攻击，主页信息被篡改，使该市政府机关的正常办公工作受到影响。 如何从国家的战略高度看待信息系统的安全，如何从国家的全局角度思考信 息安全的部署与长远发展是信息安全领域的专家所关注的话题。 2 0 0 3 年9 月7 日，中共中央办公厅、国务院办公厅以中办发 2 0 0 3 2 7 号文 件转发了国家信息化领导小组关于加强信息安全保障工作的意见，其中将信 息安全风险评估作为信息安全保障的重要基础性工作之一。2 0 0 4 年1 月9 日，黄 菊同志在关于“全面加强信息安全保障工作，促进信息化健康发展”的讲话中， 提出了“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组 织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特 别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉 及国计民生的重要信息系统，要进行必要的信息安全检查。”的明确要求。党的 十六届四中全会，更是把信息系统的安全和政治安全、经济安全、文化安全放在 同等重要的位置并列提出，这在我们党的历史上是前所未有的。 企业发展的需求 随着i n t e r n e t 网的发展，企业上网在我国也成了一种趋势，很多企业建立了 自己的电子商务网站，企业在享受i n t e r n e t 带来的好处的同时，也面临着很大的 风险。 在信息系统的安全方面，有大量企业不能很好地确保信息系统的安全。高层 管理人员既不知道自己单位的系统安全状况，更不知道合作伙伴的系统安全状况。 企业不对外部合作伙伴的安全进行评估和测试，据咨询公司调查，约有8 0 的被调 查企业不对外部合作伙伴进行经常性的信息系统安全评估，约有7 0 的被调查企业 没有经常性地对外部合作伙伴遵守其信息系统安全规则的情况进行评估”1 。 行业发展的需求 网络的扩展、相关应用业务的增多促使专家开始研究如何才能让用户直观了 解系统安全，以信息系统风险评估为主要业务的服务行业应运而生。目前，国内 风险评估服务市场还不太成熟，主要分为高、中、低三个层次。不同的层次所使 用的操作流程是不同的，从涵盖在审计体系之下的严格信息系统风险评估到简单 的漏洞扫描、病毒杀查等。不同档次的公司提出不同的评估服务流程和内容，水 2 硕士学位论文 第一章绪论 平参差不齐。行业的发展依靠客户的需求和信赖，如果不能达到用户满意的水平， 没有真正促进信息化建设的发展，那就无法进行自身的发展。 ( 2 ) 国外的需求 目前许多发达国家的信息化程度很高，其关键信息基础设施的规模越来越大， 对于信息的依赖也很严重，如果信息安全受到威胁和破坏，造成的损失也非常大。 例如2 0 0 1 年红色病毒造成日本东京国际机场航管失灵，几百架飞机无法起降， 千人行程受阻；2 0 0 3 年美国银行的a t m 网遭入侵，损失达几十亿美元；2 0 0 5 年c a r d s y s t e m 公司系统被植入特洛伊木马，导致4 0 0 0 万张卡用户信息被盗，为当时美国 最大的窃密事件：9 1 l 事件造成世贸中心1 2 0 0 家企业信息网络荡然无存，而有 d r p n c p 的4 0 0 家企业能够恢复和生存。 重视风险评估是信息化较发达国家的基本经验，有些国家和国际组织还十分 重视阶段性的再评估工作，提倡风险评估制度化，以求得信息安全措施可以持续 地适应信息安全形势的变化和发展。1 。 3 风险评估的意义 安全风险评估作为建立一个完整安全体系的重要环节，可以及时发现信息系 统在安全方面存在的隐患和风险，并找到解决诸多关键问题的办法”1 。它对提高信 息系统安全防护能力，保障网络和信息系统安全，创建安全健康的网络环境，促 进信息化健康发展等方面具有重要的意义。具体体现在以下几个方面： ( 1 ) 有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基 础信息网络和关系国家安全、经济命脉、社会稳定等方面的信息系统安全； ( 2 ) 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和 服务，有效控制信息安全建设成本，不计代价的安全防护是不可取的； ( 3 ) 有利于明确国家、法人和其他组织、公民的信息安全责任： ( 4 ) 有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济 发展的信息安全模式。 总而言之，风险评估是解决如何确切掌握网络和信息系统的安全程度、分析 安全威胁来自何方、安全风险有多大、加强信息安全保障工作应采取哪些措施、 要投入多少人力、财力和物力等关键问题的重要方法和基础性工作。目前，我国 风险评估实施重点是基础网络和重要信息系统，同时兼顾其它信息系统，从而确 保各类网络和信息系统的风险评估工作能够健康、有序地进行“。 1 2 国内外研究现状 1 2 1 信息系统安全评估标准 随着信息系统规模的日益扩大，信息系统的复杂性也随之增加，不同的安全 3 硕士学位论文第一章绪论 人员由于水平、认识以及着眼点的不同，对于安全评估的理解是不尽相同的，每 个人得出的结论也不同。因此很多国家开始制定标准和规范来指导信息系统风险 评估工作的开展，并作为衡量风险评估结果的依据。 1 可信计算机系统评估准则( t c s e c ) 自1 9 6 7 年美国国防科学委员会提出了计算机安全保护的问题后，美国国防部 ( d o d ) 于1 9 7 0 年在国家安全局( n s a ) 建立了计算机安全评估中心( n c s e ) ，并 在1 9 8 5 年公布了对后来颇有影响力的“可信计算机系统评估准则( t c s e c ) ”及 桔皮书。t c s e c 将信息安全等级分为4 级，从低到高分别为d 级一最低保护等级、c 级一自主保护等级、b 级一强制保护等级、a 级一验证保护等级1 。 2 信息技术安全评估通用准则( c c ) 1 9 9 3 年6 月，来自美国国家安全局、美国国家标准与技术研究院( n i s t ) 的 代表会同加拿大、英国、荷兰、法国、德国等国家的代表共同起草了一个用于规 范和评估信息安全技术的国际准则，即信息技术安全评估通用准则。该标准在1 9 9 9 年1 2 月被i s o 采纳为国际标准，编号为i s o1 5 4 0 8 “。c c 的目的是建立一个各国 都能接受的通用的信息安全产品和系统的安全评估准则，它将功能需求分为9 类 6 3 族，将保障分为7 类2 9 族“。 c c 评估标准已经广泛使用于世界各国，但是由于它是偏向于信息安全产品的 评估，对于信息系统的安全评估则具有局限性”“。 3 信息安全管理标准( b s 7 7 9 9 ) 1 9 9 5 年英国发布了用于信息系统的安全评估标准b s 7 7 9 9 ，该标准共分为两个 部分。第一部分是信息安全管理体系实施指南，于2 0 0 0 年被i s o 采纳为国际标准 i s o i e c1 7 7 9 9 一l ：2 0 0 0 ，该标准是一个组织全面或部分信息安全管理体系评估的 基础“。它规定了建立、实施和文件化信息安全管理体系的要求，以及根据独立 组织的需要实施安全控制的要求，提供了有效地实施安全管理的建议，介绍了安 全管理的方法和程序。该标准在2 0 0 5 年改版为i s 0 1 7 7 9 9 ：2 0 0 5 ，当中新增了关于 风险评估和管理的描述。第二部分是信息安全管理体系规范，并于2 0 0 5 年l o 月 被采纳为i s 0 2 7 0 0 1 ：2 0 0 5 。 4 计算机信息系统安全保护等级划分准则( g b l 7 8 5 9 1 9 9 9 ) 1 9 9 9 年我国制定了g b l 7 8 5 9 ，该标准将计算机信息系统安全分为5 个等级， 分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问 验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审 计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复 等，这些指标涵盖了不同级别的安全要求”。 4 硕士学位论文 第一章绪论 5 信息技术安全技术信息技术安全评估准则( g b t 1 8 3 3 6 - - 2 0 0 1 ) 2 0 0 1 年我国制定了g b t 1 8 3 3 6 ，该标准等同于i s o e c1 5 4 0 8 1 9 9 9 ( c c ) 。 6 计算机信息系统安全等级保护通用技术要求( g a t3 9 0 2 0 0 2 ) 2 0 0 2 年我国制定了g a t3 9 0 ，该标准作为计算机信息系统安全等级保护技术 要求系列标准的基础性标准，详细说明了计算机信息系统为实现g b l 7 8 5 9 所提出 的安全等级保护要求应采取的通用的安全技术以及保证措施，并将g b l 7 8 5 9 对计 算机信息系统五个安全保护等级每一级的要求，从技术要求方面进行详细描述“”。 7 计算机信息系统安全等级保护管理要求( g a t3 9 l 一2 0 0 2 ) 2 0 0 2 年我国制定了g a t3 9 1 ，该标准吸收了i s o i e ct r1 3 3 3 5 的管理概念， 并结合计算机信息系统安全过程提出了比i s o i e ct r1 3 3 3 5 更详细的过程要求， 它对i s o i e c1 7 7 9 9 的有关内容进行了提炼，并从安全过程和安全行政管理的总 体要求进行了论述“。该标准明确提出了管理层、物理层、网络层、系统层、应 用层和运行层的安全管理要求，并将管理要求落实到五个等级上，有利于对安全 管理的继承、理解、分工实施，有利于对安全管理的评估和检查。 8 信息技术信息安全管理实用规则( g b t1 9 7 1 6 - 2 0 0 5 ) 2 0 0 5 年我国制定了g b t1 9 7 1 6 ，该标准等同于i s 0 1 7 7 9 9 ：2 0 0 0 。 1 2 2 信息系统风险评估方法 一个好的评估方法不仅可以将分析人员从繁重的手工劳动中解脱出来，还能 够提供更客观、更科学的数据来指导信息安全的管理。 现有的风险评估方法包括如下几种： 1 传统方法 传统方法风险评估方法大都是从可靠性工程中引入的，一般有软件故障树分 析( s f t a ) 方法“”“1 ，危险性与可操作性分析( h a z o p ) 方法，故障模式、影响和 危险度分析( f m e c a ) 方法。“等等。其中，s f t a 以一种逆推的方式对一个已知的 入侵行为进行建模分析：h a z o p 将系统、设备或过程细分为一系列组件来进行故障 分析；f m e c a 应用演绎逻辑对系统或过程进行故障分析，确定子部件的失效对整个 系统操作的影响，并根据它们的严重程度来划分潜在的危险性。结合使用正向推 导的方法( 例如h a z o p 和f m e c a ) 以发掘系统潜在的脆弱点和安全威胁，再用逆向 推导的方法( 例如s f t a ) 确定这些安全风险的可信性，是一种有效的安全风险分 析模型。 上述这些方法也存在不足的地方：它们将注意力主要集中在系统自身的组成 和运行机制上，而忽略了系统所处的安全环境和与外界之间的交互关系。然而统 计数据表明，系统资产可能受到的损害很大一部分是来自与系统交互的某些人员 和外界系统的行为。 5 硕士学位论文第一章绪论 2 定性评估矩阵法 将系统的安全风险定义为威胁可能性等级和威胁影响两个部分来决定，不同 等级所占的权重不相同，将这两个因素的权值相乘就得到系统最终的安全风险级 别。“。按照现场要求和风险评估要求的粒度的不同矩阵的阶数也不同。表1 1 说明 了风险评估矩阵的形式。 表1 - 1 风险评估矩阵 威胁发生威胁影响 的可能性可忽略的次要的重要的破坏性的严重的危急的 可忽略低低低低低低 非常低低低低低 由由 低低低 中中高高 中等低 低中 高高 高 高低中高高高高 非常高低中高高高高 极高 低中高高高高 由于这种定性评估方法是主观地对风险等级判断，使得数据的可信度下降。 3 层次分析法 对于信息系统安全建设而言，既要做到保证系统的相对安全又要使投入成本 尽量减少，这就引入了运筹学中的多目标决策方法一一层次分析法( a n a l y t i c h i e r a r c h yp r o c e s s ，a h p ) 。这是美国运筹学家t l s a a t y 提出的一种决策方 法，它将人们的思维过程层次化，把问题分解成层次结构的形式，经过逐层比较 相关因素，将决策者的经验判断给予量化，是一种定性与定量相结合的决策分析 方法。“，它适合于分析目标物体中各个因素的影响作用，从而实现对复杂系统的 整体认识。 在信息系统风险分析中，可以用它来建立风险评估模型，从而评估控制措施 对威胁的影响程度，以及评估资产价值与花费成本相比是否可接受。但它不能解 决人的判断、偏好有不确定性和模糊性的问题。 4 基于模型的方法 安全风险是发生某种具有破坏性的安全事件，并对系统造成影响的可能性。 根据s s e - - c m m 模型中的理论，能够成为风险的事件有三个重要的组成部分：系统 脆弱点、安全威胁和事件造成的影响“。 根据风险的含义，资产x 面临的安全风险船应该是安全事件的发生概率和事 件对资产价值造成的损失两者的函数。”。设安全事件，对资产x 造成的损失为c , x ， 延q ，q 为对资产价值可能造成损害的所有安全事件的集合，则如的函数形式为： r x 锁上，c i x )( 三，c 脂) 公式( 1 一1 ) 6 硕士学位论文第一章绪论 由联合概率的计算公式可以推出安全事件，的发生概率为”1 ： l ，= 乃公式( 1 2 ) 式中： 是引发安全事件，的系统漏洞出现的概率，乃是相应安全威胁出现的概率。 但是蚱和乃的值是很难确定的，文献 2 7 中给出了一种d e l p h i 方法，能比较 客观地确定安全事件的发生概率。 1 3 本文的主要工作与内容安排 根据目前情况来看，现有的国内外信息安全相关标准由于针对的对象和目标 不同而各有特色，且信息系统风险评估的方法也没有既定模式，而对于国内信息 电子化技术的飞速发展，各行各业对于信息系统风险评估的需求也越来越迫切， 因此如何根据国内现有的状况来设计一个基于风险自评估系统的问题成为研究热 点。那么，采用什么方法构建一个风险评估的模型，使用什么样的算法来对信息 系统风险进行量化，以及如何依据相关信息安全标准来确定风险的等级是本文致 力研究的问题。 本文的创新与所做的研究工作具体如下： 1 给出了风险评估的指标体系，构建了j x l 险评估层次模型；提出了信息系统 风险各要素的等级划分及量化的标准； 2 提出了基于模糊层次分析方法( f u z z ya n a l y t i ch i e r a r c h yp r o c e s s ， f a h p ) 的信息系统风险评估，用三角模糊数和互补判断矩阵与a h p 相结合 的方法计算安全影响因素的权重值，解决了人们对造成风险的各因素间比 较的模糊性和不确定性问题，确定了各个因素的重要程度，设计了风险计 算模型，为信息系统安全等级划分提供了依据： 3 运用f a h p 对某网站进行了信息系统风险评估，为决策者在控制风险、减 少风险、转移风险等方面提供较为科学、准确的数据。 全文共分六章，第一章为绪论，介绍了课题的研究背景，深入分析了国内外 信息安全标准与评估方法的研究现状：第二章深入研究了信息系统风险各要素的 关系，说明了风险评估的形式和实施流程：第三章基于a h p 方法构建了信息系统 风险评估的层次结构模型，提出了基于自评估的风险要素分级与量化标准：第四 章提出运用三角模糊数和互补判断矩阵结合层次分析方法( f a h p ) 对影响信息安 全因素的权重进行分析计算，解决了人的判断不确定性和模糊性问题，为群组决 策提供了一种行之有效的评估方法；第五章设计了风险评估系统原型，把f a h p 方 法运用在某网站的信息系统风险评估中；第六章为结束语，总结了本文所做的工 作，并对今后的研究工作进行了展望。 7 硕士学位论文第二章信息安全风险评估理论研究 第二章信息系统风险评估理论研究 一个可信的信息系统风险评估系统首先应弄清楚造成风险的各个要素及其相 互间的关系，同时还须根据评估形式确定出合理的评估流程，这些问题也是本文 研究的基础所在。 2 1信息系统风险要素及相互关系 1 相关概念 信息系统风险评估是指依据有关信息安全技术与管理标准，对信息系统及由 其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行风险评价 的过程。下面给出信息系统风险评估的一些相关概念“”1 。 资产( a s s e t ) ：组织具有价值的信息资源，是安全策略保护的对象。 资产价值( a s s e tv a l u e ) ；资产的重要程度或敏感程度。资产价值是资产的 属性，也是进行资产识别的主要内容。 威胁( t h r e a t ) ：可能对资产或组织造成损害的潜在原因。威胁可以通过威 胁主体、资源、动机、途径等多种属性来刻画。 脆弱性( v u l n e r a b i l i t y ) ：可能被威胁利用对资产造成损害的薄弱环节。 信息系统风险( i n f o r m a t i o ns y s t e mr i s k ) ：人为或自然的威胁利用信息系 统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。 信息系统风险评估( i n f o r m a t i o ns y s t e mr i s ka s s e s s m e n t ) ：依据有关信 息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、 完整性和可用性等安全属性进行评价的过程。 风险管理( r i s km a n g e m e n t ) ：以可接受的费用识别、控制、降低或消除可 能影响信息系统的安全风险的过程。 机密性( c o n f i d e n t i a l i t y ) ：使信息不泄露给未授权的个人、实体、过程或 不使信息为其利用的特性。 完整性( i n t e g r a l i t y ) ：保证信息及信息系统不会被有意地或无意地更改或 破坏的特性。 可用性( a v a i l a b i l i t y ) ：可以由得到授权的实体按要求进行访问和使用的 特性。 2 风险要素及关系 信息是一种资产，通过分析资产的脆弱性来确定威胁可能利用哪些弱点来破 坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大 小，风险评估中各要素的关系如图2 一l 所示。 8 硕+ 学位论文第二章信息安全风险评估理论研究 图2 1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要 素相关的属性，风险评估围绕其基本要素展开。 图2 1 风险要素关系图 风险要素及属性之间存在着以下关系： ( 1 ) 资产是有价值的，对它的依赖度越高，其价值就越大，面临的风险也越大： ( 2 ) 风险是由威胁引发的，并可能演变成安全事件； ( 3 ) 弱点越多，威胁利用脆弱性导致安全事件的可能性越大； ( 4 ) 脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而 形成风险； ( 5 ) 风险的存在及对风险的认识导出安全需求： ( 6 ) 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； ( 7 ) 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响； ( 8 ) 风险不可能降为零，在实施了安全措施后还会有残留下来的风险。某些残 余风险是在综合考虑了安全成本与效益后未控制的风险，是能被接受的； ( 9 ) 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 通常信息系统风险评估是以资产为中心，通过安全措施来对资产加以保护， 对脆弱性加以弥补，从而降低风险。实施安全措施后，威胁变成残余风险。为了 对付某种威胁，往往需要多个安全措施共同起作用。在某些情况下，也会有多个 脆弱性被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事 件。采取安全措施的目的是处理风险，将残余风险控制在能够接受的程度上，图 2 2 说明了风险各要素间的相互作用及结果。 9 硕士学位论文 第二二章信息安全风险评估理论研究 威胁 图2 - 2 风险管理各要素间的相互作用及结果 2 2 信息系统风险评估的形式与实施流程 1 风险评估的形式 根据评估发起者的不同，可以将风险评估形式分为自评估( s e l f a s s e s s m e n t ) 和检查评估( i n s p e c t i o o na s s e s s m e n t ) 两类。7 + 川。自评估是由被评估组织发起 的，依据国家法规与标准，对其所管理的信息系统进行的风险评估活动。通常适 于对自身的信息系统进行安全风险的识别、评价，从而进一步选择合适的控制措 施，可纳入整个组织安全管理体系的要求中：检查评估则是被评估组织的上级主 管机关或业务主管机关发起的，具有强制性的检查活动，旨在检查关键领域、或 关键点的信息系统风险是否在可接受的范围内。 自评估有利于发挥行业和部门内人员的业务特长，提高组织的风险评估技能 与信息系统知识，加强信息系统相关人员的安全意识。信息系统风险评估应以自 评估为主，自评估和检查评估相互结合、互为补充。 但由发起方实施的自评估可能由于缺乏风险评估的专业技能，且受到机构内 部各种不利因素的影响，评估的结果可能损失一定的客观性，从而降低评估结果 的置信程度。”，如何解决这些问题正是本文致力研究的方向。 2 风险评估的实施流程 风险评估一般遵循如下工作流程：首先对资产、威胁和脆弱性进行识别，再 分析安全措施，进而确定风险的可能性并分析影响，最后给出建议安全措施并记 1 0 硕士学位论文 第二章信息安全风险评估理论研究 录结果。上述工作流程是不断重复循环的大致过程“”蚓。在实践中，基于不同目 的和条件，在不同阶段所进行的风险评估工作，可简化或者充实其中的某些步骤， 各个步骤需要的输入和产生的输出参见图2 3 。 风险评估准备 图2 3 风险评估的工作流程 2 3 信息系统风险计算原理 在完成了资产识别、威胁识别、脆弱性识别以及对已有安全措施的确认后， 将采用适当的方法来确定威胁利用脆弱性导致安全事件发生的可能性，考虑安全 事件一旦发生，其所作用的资产的重要性及脆弱性的严重程度来判断安全事件造 成的损失对组织的影响，即安全风险”1 。下面以范式的形式化加以说明： 风险值= r ( a ，t ，v ) = r ( l ( t ，v ) ，f ( t a ，v a ) ) 公式( 2 1 ) 其中，r 表示安全风险计算函数；a 表示资产；t 表示威胁；v 表示脆弱性；i a 表示安全事件所作用的资产重要程度；v a 表示脆弱性严重程度；l 表示威胁利用 资产的脆弱性导致安全事件发生的可能性；f 表示安全事件发生后产生的损失。有 1 】 硕士学位论文第二章信息安全风险评估理论研究 以下三个关键计算环节： ( 1 ) 计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的 可能性，即： 安全事件发生的可能性= l ( 威胁出现频率，脆弱性) = l ( t ，v ) 在具体评估中，应综合攻击者技术能力、脆弱性被利用的难易程度以及资产 吸引力等因素来判断安全事件发生的可能性。 ( 2 ) 计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即： 安全事件的影响= f ( 资产重要程度，脆弱性严重程度) = f ( i a ，v a ) 部分安全事件的发生造成的影响不仅仅是针对该资产本身，还可能影响业务 的连续性；不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安 全事件的损失时，应将对组织的影响也考虑在内。 ( 3 ) 计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值= r ( 安全事件发生的可能性，安全事件的损失) = r ( l ( t ，v ) ，f ( i a ，v a ) ) 评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相 乘法，通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损 失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失 相乘得到风险值。 2 4 信息系统风险评估工具 自从安全评估的概念被提出以后，安全评估方法被不断地扩充和完善，国内 外很多机构也不断地在研发风险评估工具，安全评估开始走向了自动化和标准化。 目前根据已有的安全评估工具，可以分为如下三类： 1 基于标准的安全评估工具 n i s t 在1 9 7 9 年发布了f i p s6 5 。“，d o j ( d e p a r t m e n to fj u s t i c e ) 发布了s r a g 标准。”和g a o ( g o v e r n m e n ta c c o u n t i n go f f i c e ) 发布了信息安全管理的实施指南 。随后针对这些标准的工具应运而生，女h r i s k ，b d s s ，b u d d y 等，英国推出的 b s 7 7 9 9 安全管理标准与规定，基于b s 7 7 9 9 在安全评估中的规定建立了c r a i 恤v i 、r a 等安全评估工具。 2 基于专家系统的安全评估工具 这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收 集组织内部信息安全的状态，并对重要资产的威胁和脆弱点进行评估，产生专家 1 2 硕+ 学位论文第二章信息安全风险评估理论研究 推荐的安全控制措施。这种工具通常会自动形成评估报告，安全风险的严重程度 提供风险指数，同时分析可能存在的问题，以及处理办法。如c o b r a ( c o n s u l t a t i v e o b j e c t i v ea n db i - f u n c t i o n a lr i s ka n a l y s i s ) 是一个基于专家系统的安全评估 工具，它是一个问卷调查形式的风险分析工具，有三个部分组成：问卷建立器、 风险测量器和结果产生器。其中，问卷测量器有四个独立的知识库支持分析工作， 这四个知识库分别是：i t 安全知识库、操作风险知识库和高风险知识库o ”1 。 3 基于定性或定量算法的风险分析工具 风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险 分析工具。信息系统风险分析算法在很久以前就提出来，而且一些算法被作为正 式的信息安全标准，这些标准大部分是定性的。随着人们对信息系统风险了解的 不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法 反映事故方式的可能性。 定量的信息系统风险管理标准包括美国联邦标准f i p s 3 1 和f i p s l 9 1 ，提供定 量风险分析技术的手册包括g a o 和新版的n i s t r m g 。好的数据是采用定量风险分析 的先决条件。但是“可靠的评估信息系统风险比其他种类的风险更难，因为信息 系统风险因素的可能数据经常是非常有限的，因为风险因素持续改变”“。目前；， 还没有完全定量的风险评估工具，因为对于信息系统风险因素的数据的获得还存， 在很大问题。 t 根据以上研究发现，风险评估工具的研究经历了从手动评估到自动评估，由。 局部评估向整体评估发展，出基于规则的评估方法向基于模型的评估方法发展， 由单机评估向分布式评估发展“的阶段，但是这些风险评估工具都在定量和定性 方面各有侧重。如c o n t r o l i t 、d e f i n i t i v es c e n a r i o 、j a n b e r 都是定性的风险 评估工具。而 r i s k 、b u d d y 、r i s k c a l c 、c o r a ( c o s t o f r i s ka n a l y s i s ) 是半定量 ( 定性与定量方法相结合) 的风险评估工具。如何把定性和定量方法较好的结合， 以及如何方便用户对信息系统风险进行评估是一个急需解决的问题，是本文致力 研究的问题。 2 5 小结 本章主要介绍了风险的基本概念及各要素的关系，分析了风险评估方式和实 施流程，阐述了风险计算的原理，对比了风险评估工具的优缺点，提出了本文要 研究的内容。 硕士学位论文第三章信息安全风险的模型构建及等级量化 第三章信息系统风险的模型构建及等级量化 信息系统风险评估的模型直接关系n n , 险评估的作用能否发挥到理想程度， 设计合理的等级量化方法是获得可信风险评估结果的基础。 3 1模型建立的原则与方法 1 建模原则 信息系统风险评估的进行首先需建立一个合理的评估模型，而模型中指标的 选取是重点要考虑的问题，指标太多，会产生重复性的干扰：指标太少，又会使 所选的指标缺乏足够的代表性，会产生片面性。 所以要建立一套完善、合理、科学的评估模型，应遵循以下几个指导原则： ( 1 ) 科学性和公正性 信息安全是一门多学科、交叉性的综合学科，其风险评估模型的确定应该依 赖于成熟的安全理论、科学的评估方法和完善的标准制定体系，这样才能使信息 系统风险评估做到可靠、可信。 ( 2 ) 可比性 信息安全既包括技术上的因素又包括管理上的因素，即具有技术和管理的双 重性，这使评价对象间的比较变得复杂，但事物的质要通过一定的量化来表现， 这样才能揭示各指标因素的相互关系。因此，为了便于比较，评价因素应当量化。 f 3 1 可行性 评估模型的指标体系应该能方便数据资料的收集，能反映事物的可比性，做 到评估程序与工作尽量简化，避免面面俱到，繁琐复杂，只有具有可行性，评估 的实施方案才能比较容易的为被评测单位所接受。 f 4 ) 稳定性 由于信息系统评估标准的核心内容是基本保持稳定的，评估模型也应具有稳 定性，因为有些方面可能需要较长时间的使用进行验证，从实际使用和市场利益 的情况下考虑，也不应该对模型经常性的改动。因此，在建立评估模型时，被选 指标的变化应是有规律的，那些受偶然因素影响大起大落的因素就不能入选。 ( 5 ) 可扩展性 安全评估领域随着信息安全的发展，范围也在不断扩大，所以制定的评估模 型也应该在保持核心概念的前提下，充分保证领域可扩展性的要求，针对不同的 情况来实施。 4 硕士学位论文第二章信息安全风险的模型构建及等级量化 2 基于a h p 的建模方法 ( 1 ) a h p 概述 如何在风险评估中既考虑数学分析的精确性，又考虑人类决策思维过程及思 维规律呢? 实践发现在考察一个具体的决策思维过程中，个复杂问题被分解为 若干部分，这些部分对更细的决策因素起着支配作