（计算机科学与技术专业论文）信息系统安全评估理论及其关键技术研究.pdf

旦堕型兰垫查奎兰婴茎竺堕堂丝丝兰摘要当今社会，人们正经历着一场对人类具有深远影响的信息革命，信息系统正在成为国家建设的关键基础设施。信息系统的安全问题已从单纯的技术性问题变成事关国家安全的全球性问题，开展信息系统安全评估理论及其关键技术的研究具有极为重要的理论意义和实用价值。木文在对国内外相关研究进行研究的基础上，针对信息系统安全评估中存在的主要问题，给出了一个信息系统安全评估研究的概念框架，并在该框架的指导下，采用定量与定性相结合的方法，对信息系统安全评估理论及其关键技术进行了研究。( 1 1 提出了一种实用的信息系统安全评估方法i s s u e通过对信息系统安全评估理论平u 方法的深入研究，提出的信息系统安全评估方法i s s u e ( i n f o r m a t i o ns y s t e ms e c u r i t ye v a l u a t i o n ) ，与同类研究相比，具有可操作性较强，独立、实用、评估结果具有可比性等特点。在此基础上，本文设计并实现了基于i s s u e 方法的安全评估辅助系统，为用户提供了一个直观而简洁的评估界面，简化了信息系统安全评估的工作量。( 2 1 提出了一种新的安全风险概率预测技术；本文针对信息系统自身的特点，基于统计学和机器学习原理，提出的信息安全风险概率预测模型，可以有效的提高安全风险评价结果的客观性与准确性。( 3 ) 提出了一种基于模糊多属性群体决策的信息系统安全决策方法：本文针对信息系统安全问题的不确定性、复杂性，将模糊数学、多属性决策和群体决策的理论和方法0 l 入信息系统安全决策问题中，有助于进一步提高信息系统安全评估结果的准确性。在此基础上，设计并实现了基于模糊信息的交互式群体安全决策辅助系统。目前还未见到信息系统安全评估辅助决策支持系统的相关研究成果报道，该成果拓广和深化了信息系统安全评估决策的研究内容。( 4 ) 对信息系统安全量化评估中的关键技术进行了研究。本文分别提出了基于概率统计的信息系统安全定量评估方法和基于模糊数算术运算的信息系统安全定量评估方法，并对安全性的多维属性进行了研究，提出了一种基于多维安全度的信息系统安全性定量评估模型。本文的意义在于通过信息安全、经济学、机器学习、决策科学、模糊数学等多学科交叉研究的方法，构建了信息系统安全评估的弹论框架，并对其关键技术进行了深入研究。为信息系统安全评估研究引入新的思想，探索了提高信息系统安全评估效果的新途径，拓广和深化了信息系统安全评估的研究内容，对于提高安全评估的准确性和有效性有重要的理论和实践意义。关键词：信息系统安全评估，安全风险评价，安全风险概率，安全保障，安全决策，模糊多属性群决策，安全量化评估第试页里堕型兰垫查查兰竺至兰堕芏篁堡苎a b s t r a c tw i t ht h ec o m i n go fi n f o r m a t i o na g e ，m a n k i n d sd e s i r ef o ri n f o r m a t i o ns y s t e ms e c u r i t yh a si n c r e a s e dt r e m e n d o u s l y , i tw i l lb em e a n i n g f u lt og i v ea na n s w e ra b o u th o w s e c u r ea ni n f o r m a t i o ns y s t e mi s m o r e o v e r , i nar a p i d l yg l o b a l i z i n ga n di n c r e a s i n g l yu n c e r t a i nw o r l d ，t a k i n gc o r r e c ts e c u r i t ye v a l u a t i o na n dd e c i s i o n sb e c o m e se s s e n t i a lf o rs u r v i v a lo ft h eo r g a n i z a t i o no ri n d e e do ft h en a t i o n b u tu s e r sc a n n o tb ee x p e c t e dt ok n o we x a c t l yw h e t h e rt h es e c u r i t yp r o p e r t i e so f t h ei n f o r m a t i o ns y s t e mt h e yu s er e a l l yf u l f i l lt h e i rr e q u i r e m e n t s 1 1 1 ei m p a r t i a la n dc o m p e t e n ts e c u r i t ye v a l u a t i o no ft h ei n f o r m a t i o ns y s t e mi sn e e d e d d e s p i t em a n ys e c u r i t ye v a l u a t i o nm e t r i c so u tt h e r e ，n o n eh a sb e e na p p r o v e dw i d e l y t og r a s pt h e s en e wc h a l l e n g e s ，t h ef i e l do fs e c u r i t ye v a l u a t i o ni t s e l fh a st od e v e l o pa n db e c o m em o r ep r a c t i c a la n dr e l e v a n to nt h en e e d so ft h ed a y , t h e r e f o r e ，t h i st h e s i s sp u r p o s ei st od e s c r i b ea u t h o r si n i t i a lr e s u l t so f r e s e a r c hi ns e c u r i t ye v a l u a t i o nt oi m p r o v et h ep e r f o r m a n c eo fs e c u r i t ye v a l u a t i o nf o ri n f o r m a t i o ns y s t e m t h ec u r r e n ta c h i e v e m e n t so fr e s e a r c hi ni n f o r m a t i o ns e c u r i t ye v a l u a t i o na r e a ss u c ha ss e c u r i t ye v a l u a t i o nc r i t e r i aa n dm e t h o d sb o t hi n l a n da n do v e r s e a sh a v eb e e ns t u d i e di nc h a p t e r1 、i nc h a p t e r2 ，t h ep r o b l e m st h a ts h o u l db es t u d i e di ns e c u r i t ye v a l u a t i o no fi n f o r m a t i o ns y s t e mh a v eb e e nd e m o n s t r a t e d a n dt h er e s e a r c hf r a m e w o r ko ft h i st h e s i si sb r o u g h tf o r w a r d t h ea u t h o rh a sb e e ne n g a g e di nt h er e s e a r c ho ns e c u r i t ye v a l u a t i o nm e t h o do fi n f o r m a t i o ns y s t e ma n dp r o p o s e sa no p e r a t i o n a le v a l u a t i o nm e t h o d - i s s u e ( i n f o r m a t i o ns y s t e ms e c u r i t ye v a l u a t i o n ) a l s oi nc h a p t e r3 ，t h ed e s i g na n di m p l e m e n t a t i o no fs e c u r i t ye v a l u a t i o na i ds y s t e m - s e a sb a s e do nt h ep r o p o s e di s s u ei sg i v e n a s s e s s i n gr i s ki so n ek e ye l e m e n to fab r o a d e rs e to fs e c u r i t ye v a l u a t i o na c t i v i t i e s a l t h o u g ha l le l e m e n t so f t h es e c u r i t ye v a l u a t i o na r ei m p o r t a n t ，r i s ka s s e s s m e n t sp r o v i d et h ef o u n d a t i o nf o ro t h e re l e m e n t so ft h ee v a l u a t i o nc y c l e ，a sr i s kp r o b a b i l i t yi sak e yf a c t o ro fr i s k e s t i m a t i o no fr i s kp r o b a b i l i t yi sa 1 1u n a v o i d a b l ec h a l l e n g e i nc h a p t e r4t h ea u t h o rp u tf o r w a r dar i s kp r o b a b i l i t ya s s e s s m e n tm o d e la n dp r o p o s e da ne s t i m a t o ro fr i s kp r o b a b i l i t yb a s e dh i s t o r i c a ld a t a ，o n eo b v i o u sc r i t i c i s mo f t h i sa p p r o a c hi st h a t ，p a s tr e t u m sd on o tg u a r a n t e ef u t u r ep e r f o r m a n c e w h i l et h i si su n d o u b t e d l yt r u e p r a g m a t i s ml e a d st ot h ec o n c l u s i o nt h a tk n o w l e d g eo ft h ep a s ti sb e t t e rt h a nn ok n o w l e d g ea ta 1 1 a st h e r ea r em a n yd e c i s i o n m a k i n gp r o b l e m si ns e c u r i t ye v a l u a t i o n ，t h et h e o r ya n dm e t h o do ff u z z ym u l t i p l ea t t r i b u t e sg r o u pd e c i s i o n m a k i n gh a sb e e nf o u n dt ob et h e o r e t i c a l l ya p p e a l i n ga sw e l la su s e f u li np r a c t i c eo fs e c u r i t ye v a l u a t i o n t h e naf u z z yi n t e r a c t i v es e c u r i t yg r o u pd e c i s i o nm a k i n gs u p p o r ts y s t e mi sp r o p o s e di nc h a p t e r5 i nc h a p t e r6 ，s o m ei m p o r t a n tp r o b l e m so fq u a n t i t a t i v es e c u r i t ye v a l u a t i o na r e第i v 页璺堕型兰垫查_ 人兰竺至竺堕兰竺堡茎i n v e s t i g a t e d a n dt h eq u a n t i t a t i v e s e c u r i t ye v a l u a t i o nt e c h n o l o g i e so fi n f o r m a t i o ns y s t e mh a v eb e e np r o p o s e d f i n a l l y , t h et h e s i ss u m m a r i z e sa u t h o r sw o r ka n df o r e c a s t st h ef u t u r ew o r k i ns u m m a r y , t h ea u t h o rh a ss t u d i e dt h o r o u g h l yi s s u e s0 1 1s e c u r i t ye v a l u a t i o no fi n f o r m a t i o ns y s t e ma n dp r o v i d e sat h e o r e t i c a la n dp r a c t i c a ls o l u t i o nf o rp r o g r e s s i n ga n di m p r o v i n gs e c u r i t ye v a l u a t i o n k e y w o r d s ：i n f o r m a t i o ns y s t e ms e c u r i t ye v a l u a t i o n ，s e c u r i t yr i s ka s s e s s m e n t ，r i s kp r o b a b i l i t y , s e c u r i t ya s s u r a n c e ，s e c u r i t yd e c i s i o n m a k i n g ，f u z z ym u l t i p l ea t t r i b u t e sg r o u pd e c i s i o n - m a k i n g ，q u a n t i t a t i v es e c u r i t ye v a l u a t i o n 第v 页鬯堕型兰垫查查兰竺壅生堕兰丝笙茎图3 1i s s u e 方法的逻辑结构图3 2p d r r 安全体系模型图索弓图3 3 示例一安全保障模型图3 4 信息系统安全评估辅助系统s e a s 的体系结构图3 5 风险评价予系统的使用流程一图3 , 6 使用s e a s 系统进行风险评价时的程序界面，图3 7 安全保障分析了系统的流程图2 42 93 13 93 9，4 0图3 8 使用s e a s 系统进行安全保障分析时的程序界面圈3 9 安全决策流程图图3 1 0 使用s e a s 系统进行安全决策时的程序界面图4 1s o m 神经网络结构一图4 2 预测分析过程刁亡意图圈4 3 典型的b p 网络结构图4 4 聚类数据的分布图5 1 多属性决策的一般过程一图5 2f t s g d s s 的工作流程图5 , 3f i s g d s s 的体系结构一图5 , 4f i s g d s s 系统的单机输入界面一图5 5f i s g d s s 网络服务器工作界面图6 1 信息系统安全性建模的基本思想图6 2 个系统被攻击的典型阶段图6 3 信息系统d d o s e w s 的安全体系结构图6 4 预警系统d d o s e w s 的安全度曲线图6 5 并联系统安全性分析图6 6 串联系统安全性分析图6 7d d o s e w s 的安全性体系结构一图6 8 信息系统d d o s e w s 的安全度衄线第i 页加钒钉舵观弘酊趴舵昭卵眄如虬蛇蚰卯国防科学技术大学研究生院学位沧文表索弓表1 1 信息系统的评估方法比较表3 1 示例被评估信息系统的威胁列表表3 2 示例风险后果属性及其权重表3 3 示例风险概率与后果属性值表3 4 示例威胁指数及排序表3 5 示例安全保障技术表3 6 示例安全保障分析表3 7 示例各选的安全技术表3 8 示例安全技术的有效性表3 9 示例安全技术相对有效性指数表3 1 0 示例影响安全决策的主要因素表3 11 示例安全技术在各影响因素的取值表3 1 2 示例安全技术综合指数表3 1 3 示例安全技术排序表3 1 4 示例灵敏度分析表4 1 各分量贡献率分析表4 2 初始丰成分提取结果表4 3 主成分矩阵表4 4 聚类数据的分布情况表45 预测的部分结果表5 1 语言变量的隶属度函数表5 2 相对重要性判断标度表表5 3 评价随机一致性指标c r 一表6 i 系统d d o s e w s 的各项安全参数指标表6 2 系统d d o s e w s 的各项安全参数指标第i i 页。拍m勰如虬弛粥鲐弘弛曲印矾配甜曲伯n黔独创性声明本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意学位论文题目：焦垦歪缝塞全适鱼理途丞甚去鳇量盎盈窒学位论文作者签名：型羞日期：2 砖年争月岁日学位论文版权使用授权书本入完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和借阅；可以将学位论文的全都或部分内容编入有关数据库进行检索，可毗采用影印、缩印或扫描等复制手段保存、汇编学位论文( 保密学位论文在解密后适用本授权书，)学位论又遗目：篮垦歪统塞垒迁篮里逾丛基羞丝垫盔盈童学位论文作者签名作者指导教师签名羡瑙茎日期：游年午川j 、e j日期：p f 专车鼻f ：；围防科学技术大学研究生院学位论文第1 章绪论1 1 研究背景当今社会，人们正经历着一场对人类具有深远影响的信息革命，信息系统正在成为国家建设的关键基础设施，信息系统的安全问题涉及到国家和信息系统用户的根本利益。与此同时，网络攻击的规模正迅速扩大，信息系统所面临的安全风险日趋严重，如不采取坚决的对策将可能带来重大经济损失甚至灾难性的后果，这关系到国计民生，关系到社会的稳定和发展。因此开展信息系统安全评估理论和方法的研究就显得非常重要，对构造我国的信息安全保障体系具有非常重要的意义和实用价值。针对我国信息系统安全现状，如何对信息系统的安全状态做出科学的分析和评价，是本文研究的主要内容。1 1 1 基本概念1 1 1 1 信息系统信息系统是指用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和j 。根据中华人民共和国计算机信息系统安全保护条例中的定义，信息系统( i n f o r m a t i o ns y s t e m ) 是指由计算机及其相关的和配套的设备、设施( 含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。这一定义表明在当前技术条件下，信息系统的构成将以计算机系统和网络系统为主。1 1 1 2 信息安全信息安全( i n f o r m a t i o ns e c u r i e y ) 是指信息的保密性( c o n f i d e n t i a l i t y ) 、完整性( 皿t e g r i t y ) 和可月性( a v a i l a b i l i t y ) 的保持【“。根据美国国防部的可信计算机系统评价准则t c s e c ( t r u s t e dc o m p u t e rs t a n d a r d se v a l u a t i o nc r i t e r i a ) pj 的定义，信息安全具有以下特征：保密性：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性：确保信息在存储、使用、传输过程中一i 会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。可用性：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，第1 页囤防科学技术大学石j f 究生院学位论文允许其可靠而及时地访问信息及资源。( 1 ) 信息安全定义的扩展上面给出的信息安全的定义是2 0 世纪9 0 年代的一种较为传统的观点，随着瓦联网的迅速普及，信息和系统的可控性、信息汞f 系统的不可否认性也被添加进来，即可追溯性( a c c o u n t a b i l i t y ) 和抗抵赖性( n o n r e p u d i a t i o n ) 1 4 。可追溯性：能够在网络访问和操作过程中留下相应记录，为恶意访问和攻击的相应处理提供依据，即确认系统中个人行为和活动的能力。抗抵赖性：为信息行为承担责任，保证信息行为人不能甭认其信息行为。( 2 ) 信息安全的发展信息安全晟早产生于军事需求，而后逐渐发展成一门学科，由最初的通信安全( c o m s e c ) 、信息安全( i n f o s e c ) ，发展到了信息保障( 1 a ) 阶段”。在信息保障的概念下，安全已经作为一个过程来看待，不但由保护、检测、响应、恢复等过程来构成，还包括信息系统安全工程( i s s e ) 、应急响应、安全管理、教育培训、法律法规等支撑部分。信息安全的一切研究和实践，都希望能以可度量的准则或可信度作为结果的评价指标，从而直接导致信息安全评估、认证和信息安全标准的产生【6 j 。1 1 1 3 信息系统安全信息系统安全川是指确保信息系统结构安全、与信息系统相关的元素安全以及与此相关的各项安全技术、安全服务和安全管理的总和。从系统过程与控制角度看，信息系统安全就是信息存存储、处理、集散利传输过程中保持其机密性、完整性、可用性、可追溯性和抗抵赖性的系统辨识、控制、策略和过程7 1 。1 1 1 4 信息系统安全评估信息安全评估( i n f o r m a t i o ns e c u r i t ye v a l u a t i o n ) 是信息安全牛命周期中的一个重要环节，是对信息系统的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与i n t e r n e t 的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议节m j 。信息系统安全评估( i n f o r m a t i o ns y s t e ms e c u r i t ye v a l u a t i o n ) 是指依据有关技术标准，对信息系统的完整性、保密性、可用性等安全保障性能进行科学、公正的综合评估活动。1 1 ，2 信息系统安全评估的目的和意义信息系统的安全问题已从单纯的技术性问题变成事关国家安全的全球性问题，如何判断信息系统是否满足安全需要，如何科学地加强安全管理己到了迫在第2 页囤防科学技术大学研究生院学位论文崩睫的时刻，因此科学地评估信息系统的安全性十分必要，是所有涉及安全的信息系统所面临的核心重要课题之一。同时，加强信息系统安全评估工作也是我国当前信息安全工作的客观需要和紧迫需求。由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了信息系统的复杂程度。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强安全评估工作，并通过法规、标准手段加以保障，并逐步使信息安全评估工作朝向制度化的方向发展。信息安全问题针对信息系统的应用环境、应用领域以及处理信息敏感度的不同，安全需求上有很大差别。简言之，信息系统安全评估具有如下作用：( 1 ) 明确信息系统的安全现状：进行信息系统安全评估后，可以准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而媚晰安全需求。( 2 1 确定信息系统的主要安全风险：在对信息系统进行安全评估后，可以确定信息系统的丰要安全风险，并选择合理的风险处置措旋，如避免风险、降低风险或接受风险。( 3 ) 指导信息系统安全技术体系与管理体系的建设：进行信息系统安全评估后，可以制定信息系统的安全策略及安全解决方案，从而指导信息系统安全技术体系( 如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统等) 与管理体系( 安全管理制度、安全培训机制等) 的建设。1 1 3 信息系统安全评估的内容信息系统所面晦的威胁不仅仅来自计算机和网络，天灾、环境、人员误操作等都会对信息系统带来伤害。信息系统安全不仅仅是安全技术问题，它还包括安全管理、安全策略以及安全立法等多方面。信息系统安全评估的内容一般包括：管理、过程和技术例。f 1 ) 管理性安全评估：主要包括组织与人员安全；管理与制度安全；资产管理与控制；物理环境安全；操作管理；业务连续性管理：应急处理程序；企业安全文化。f 2 1 过程性安全评估；主要包括安全危险与风险分析；系统魄弱性分柝；系统安全需求与安全策略系统安全性设计与方案“标准与规范符合性”分发、策略与实施安全：系统运行与维护安全：系统更新与废弃安全；系统生命周期安全支持。f 3 ) 技术性安全评估；主要包括安全机制和功能分析及其强度分析；网络系统设备及逐级系统安全配置分析；网络系统设备及主机脆弱性分析；渗透性测试。第3 页望堕登兰丝查查兰翌壅皇堕兰生堕苎1 1 4 信息系统安全评估的方法通过安全评估能够明确信息系统的安全威胁、了解信息系统的脆弱性、并分析可能由此造成的损失或影响，为满足信息安全需求和降低信息安全风险提供必要的依据。因此，采取科学的评估方法对信息系统进行安全分析非常关键。1 1 4 1 系统的安全评估方法从系统论的观点看，研究一个系统一般有两种方法。一是把系统当作一个“黑龠”，从系统外部通过各种方法对系统进行研究：二是把系统当作一个“白盒”，从系统内部进行分析研究。具体到信息系统安全评估问题，也可运用这两种方法来评估信息系统的安全。如果把信息系统当作一个“黑盒”，那么实际上评估方扮演着类似黑客的角色，侧重于发现信息系统的安全薄弱点( v u l n e r a b i l i t y ) ，但这利t 方法是不完全的。通常情况下，这种方法是利用某些薄弱点来侵入信息系统，进而判断该信息系统不够安全，而信息系统还存在其他哪些薄弱点并不明确；另外，即使没有发现薄弱点也并不意味着该信息系统是安全的。如果把信息系统作为一个“白盒”，评估方就可以对信息系统进行分析和研究，能比较全面地对整个信息系统的安全状态作一个完整地分析和检测，从而比较全面地确定信息系统的薄弱点，并且发现信息系统的潜在薄弱点。总的来说，“白盒测试”是一种综合全面的检测和评估方法，而“黑盒测试”则是一种比较快速的验证性检测和评估方法。以上两种方法相互结合，可以取得较好的实际应用效果。在对一个信息系统进行评估时，可以采用如下的策略1 9 】：f 1 ) 定性分析与定量研究相结合；( 2 ) 评估机构与评估专家相结合；( 3 1 考查与检测相结合；( 4 ) 技术安全与管理安全相结合。1 1 4 2 信息系统的评估方法一个信息系统可能具有不同的资产价值，处在不同的应用领域，完成不同使命，面临不同的危险环境。根据信息系统的用途不同，其评估的方法也不相同，如银行信息系统与军事信息系统在评估方法上就明显不同。一般来说，信息系统的评估方法可分为二类：风险评价( r i s k a s s e s s m e n t ) 、电子信息处理审计( e d p a u d i t )和安全评估( s e c u r i t ye v a l u a t i o n ) 1 10 1 。第4 贞困防科学技术大学研究生院学位论文表11 信息系统的评估方法比较评估方法主要区别安全风险评价f u 子信息处理审计安全评什在满足开销约束条件评估控制，评估目标评什保护措施下的晶佳资源分配检查政策的适应性往往强调修改，强调泄漏，评估重点平衡地强调风险保证系统可信保证系统安全保密评估对象控制存在和总最影响预料的威胁和攻击不叮预料的破坏或绕过控制强调重点强调威胁攻击的频率往往强调控制往往强调控制面向设备，对系统和主要面向戍用，适用性全部包括在内应用不太适用也适用】：系统风险类型相互排斥的风险互相重叠的风险往往是部分风险评估方式平衡的评估强调关键的方面强调关键的方面定性定量通常是定量的通常是定性的通常是定性的( 1 ) 风险评价风险分析和评估是辨别各种系统的脆弱性及其对系统构成威胁的过程。风险评价对信息系统的需求分析和设计具有重要的量化参考价值。只有在安全评估中正确、全面地了饵信息系统所面临的安全风险，才能在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。风险评价一般从信息系统遭受威胁和攻击引起的损失等方面来考虑。按照有意或无意破坏、修改、泄漏信息及设备误用所出现的概率来定量地确定“。在这方面，美国已经制定了一个自动数据处理系统( a d p s ) 风险评价准贝1 ( f i p 6 5 ) 。该准则规定了自动数据处理系统安全评估机构的构成，综台调查数据的收集与生成，计算中心、远程终端设备及其远程通信连接的方法，脆弱性的定量表示方法和如何对付脆弱性等等。( 2 ) 电子信息处理审计e d p 的安全审计主要包括两个方面：对系统及其环节连续性和完整性的管理方法进行评估，以及对已获得的数据进行评估。e d p 审计，一般采用定性方法，并将注意力放在控制威胁和风险上，对威胁及攻击频率和财产进行考虑。审计的方法有多种，主要有数据预审、系统审计等。( 3 ) 安全评估安全评估是评估系统假设的威胁和攻击以防止威胁攻击的方法。它的重点放在控制上。最典型的例了为美国国防部( d o d ) 的可信计算机系统评价准则t c s e c 。这一标准的制定奠定了信息安全评估理论的基础，它的发布被誉为信息安全研究领域的一个里程碑。t c s e c 是一种大量依据专家定性判断的方法，d o d第5 页国防科学技术大学研究生院学位论文对系统的安全评估审核提出了2 7 项要求，这些要求在不同的等级内，统一准则的内容可以增加午修改，等级越高，评估准则越严。总之，在使用各种评估方法时，必须充分考虑到信息系统的各种风险因素，然后逐个进行分析，做出的决策必须既能有效地防止各种风险，保证系统安全、可靠地运行，同时又要有较高的成本效益，操作简易性以及对用户的透明性和界面的友好性。1 1 5 应用背景从应用需求方面看，随着业界对于信息安全问题认识的不断深入，据统计，国外发达国家用在信息安全评估上的投资占企业总投资的1 5 ，电信和金融行业能达到3 5 旧，信息安全评估有着广阔的应用前景。另外，信息系统所面临的安全风险是不断变化的，只有动态地进行安全评估才能发现和跟踪最新的安全风险。所以信息系统安全评估是一个长期持续的工作，通常应该每隔半年或一年就进行一次安全评估“。在数字化信息服务领域，随着信息产品、信息安全产品和信息系统的增多，而对越来越多的向社会提供的专门信息安全服务、安全技术开发、产品经营和系统集成的公司、企业，如何让消费者、管理者乃至国家确信它们是“安全的”，这就需要通过一个科学有效的方法对它们做安全性的测试和评估。因此，信息安全评估已经成为了信息时代国家测评认证工作的一个新领域u s 。在军事领域，信息对于现代战争的作用是至关重要的。在战场这样不断动态变化的环境下，只有保障安全、准确和有效地获取各种信息，才有可能获得战争的胜利。军用信息系统是现代战争作战指挥、通信联络、后勤保障等诸多决定战争胜负关键因素的依靠和保证，并对军事理论和军事观念产生着巨大而深远的影响。如何分析和构建安全的军用信息系统，如何科学地加强安全管理至关重要，因此科学地评估军用信息系统的安全性十分必要。综上所述，安全问题伴随着信息系统的整个生命周期而存在，科学地评估信息系统的安全性具有重大的意义利广阔的应用前景。1 2 研究现状由于信息系统固有的敏感性和特殊性，信息系统是否安全，专用的信息安全系统是否可靠，都成为国家、企业、社会各方面需要科学证实的问题，探寻科学、合理、实用的信息安全评估方法已成为信息安全领域研究的热点，取得了大量的研究成果，在现实领域得到了较为广泛的应用。围绕着我们所关心的研究问题，下文中给出相关工作的研究情况。1 2 1 传统的系统安全性分析技术安全性一直是信息系统的一项重要指标，系统安全性技术作为一种系统工程第6 页国防科学技术大学研究生院学1 论文技术最早应用于美国。经过几十年的发展，系统安全性评估技术已经取得了较大的进展，为各个领域系统的安全性水平的提高发挥了罩要作用。但是，随着科技的进步，传统的系统安全性分析技术存在着以下些问题：( 1 ) 系统描述的问题：传统的安全性分析方法如故障树分析法、事件树分析法等最初都是从硬件结构和系统功能的角度出发对系统进行静态描述，对现代系统中呈现出来的动态特性，即使采用动态故障树和动态事件树技术，描述能力仍表现出明显的不足，而且对分析人员的工程经验依赖性很强【训。( 2 ) 模型求解问题：现代系统的另外一个重要特性是结构和功能的复杂性，加之前面所述的动态特性，造成系统模型规模庞大，模型的存储和分析都相当困难。综上所述，传统的系统安全性分析技术主要针对与硬件有关的安全性关键系统，大多应用于交通运输、水利、矿石开采等传统行业，偏重于对可靠性的分析，对于由信息技术飞速发展和广泛应用而产生的信息系统安全问题考虑不足，信息系统安全评估实践中要求更有针对性的方法和操作指导。1 2 2 安全性的评估标准信息安全标准化是信息时代的需求，信息安全评估标准的制定是信息安全的制高点。因此世界各国都十分重视系统安全标准的研究，经过发展，信息系统安全的评估认证成为信息化进程中的一个重要领域，受到了各界的广泛关注，为各个领域信息系统的安全性水平的提高发挥了重要作用，信息安全的标准化进程更是推进了安全评估技术的全球化发展。1 2 2 i 国外的安全评估标准研究信息安全的标准化，兴起于上世纪7 0 年代中期，8 0 年代有了较快的发展，9 0 代引起了世界各国的普遍关注。特别是随着信息数字化和网络化的发展和应用，信息安全的标准化变得更为重要。目前，国际性的标准化组织丰要有国际标准化组织( i s o ) 、i n t e m e t 工程仟务组( i e t f ) 、国际电器技术委员会( i e c ) 及国际电信联盟( i t u ) 所属的电信标准化组织( i t u t s ) 。这些组织在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了许多标准和草案。当前国外_ 丰要的安全评价准则包括：“信息技术安全性认证通用标准”c c i s o1 5 4 0 8 1 ”、“系统安全工程能力成熟度模型”s s e c m m 口、“信息安全管理体系标准”b s 7 7 9 9 i s 01 7 7 9 9 2 2j 和“信息安全管理标准”i s o1 3 3 3 5 口。“信息技术安全性认证通用标准”c cc c ( c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e e u r i t ye v a l u a t i o n ) 标准源于t c s e c ( 可信计算机系统评估准则，b l j 桔皮书) ，是第一个信息技术安全评价同际标准，它是国际标准化组织i s o 在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上，通过相互间的总结和互补发展起来的。c c 标准定义了评估信息技术产品和系统安全性的基础准则，是当前系统安全第7 页围防科学技术大学研究生院学位沦文认证方面最权威的标准。甘前已有美国、加拿大、英国、法国、德旧、荷兰等国加入了c c 标准，我凶在2 0 0 1 年将c c 等同采用为国家标准g b t1 8 3 3 6 。不过，c c 标准也存在一些不足之处，由于它涉及面太广，所以很难被人们掌握平控制，而且它并不涉及管理细节和信息安全的具体实现、算法和评估方法等，也不能作为安全协议或进行安全鉴定。因此，对此标准的应用细节方面还需要进一步加以完善。“系统安全工程能力成熟度模型”s s e c m ms s e c m m ( s y s t e m ss e c u r i t ye n g i n e e r i n gc a p a b i l i t ym a t u r i t ym o d e l ) 起源于美国国家安全局提出的专门应用于系统安全工程的能力成熟度模型( c m m ) 。1 9 9 4年4 月美国国家安全局与多方合作努力，启动了s s e c m m 项目，于2 0 0 2 年被国际标准化组织接收为国际标准1 s o i e c2 1 8 2 7 。s s e c m m 模型及其评定方法汇集了工业界常见的实施方法，提供了一套业界范围内( 包括政府及产业) 的标准度量体系，确保了在处理硬件、软件、系统和组织安全问题的工程实施活动后，能够得到一个完整意义上的安全结果。目前，s s e c m m 模型已经成为西方发达国家政府、军队和要害部门组织和实施系统安全工程的通用方法。我国己采纳和确定s s e c m m 模型为信息系统安全工程( i s s e )所需要遵循的标准，国内部分有实力的安全公司已开始在系统安全工程实践中应用这一模型。“信息安全管理体系标准”b s7 7 9 9b s7 7 9 9 是英国标准协会制定的信息安全管理体系标准，是国际上具有代表性的信息安全管理体系标准。b s7 7 9 9 丰要提供了有效地实施i t 安全管理的建议，介绍了安全管理的方法和程序。与b s7 7 9 9 相比，c c 更侧重于对系统和产品的技术指标的评估；s s e - c m m更侧重于对安全产品开发、安全系统集成等安全工程过程的管理；而在对信息系统的日常安全箭理方面，b s7 7 9 9 的地位是其他标准无法取代的。不过。b s7 7 9 9在标准中描述的所有控制方式并非适合于每种情况，它不可能将当地的系统、环境利技术限制考虑在内，也不可能适合一个组织中的每个潜在用户，因此，该标准还需在进一步的指导下加以补充。“信息安全管理标准”i s o1 3 3 3 5i s o1 3 3 3 5 是由国际标准化组织颁布的一个信息安全符理指南，这个标准的主要目的是要给出如何有效地实施l t 安全管理的建议和指南。用户完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。i s o1 3 3 3 5 与b s 7 7 9 9 i s o1 7 7 9 9 比较而言，它对安全铃理的过程描述得更加细致，完全可操作，而且有多种角度的模型和阐述，具有很大的借鉴意义。其他除了上述四种较为权威的安全评估标准外，国际标准化组织还基于安全技术、开放系统互联等方面，制定、发布和正在制定许多标准，用于指导对信息安全开第8 页匡| 防科学技术大学研究生院学位沦文展评估与认证。1 2 2 2 国内的安全评估标准研究我国是国际标准化组织的成员国，国内信息安全标准的制定工作是从上个世纪8 0 年代中期开始的，同内主要是等同地采用国际标准i 。例如g b t9 3 8 7 2 ：1 9 9 5 信息处理系统开放系统瓦连基本参考模型第2 部分：安全体系结构等同于i s o7 4 9 8 2 ；g b t1 8 3 3 6 ：2 0 0 1 信息技术一安全技术一信息技术安全性评估准则等同于1 s o i e c l 5 4 0 8 ：1 9 9 9 。标准的制定需要较为，“泛的应用经验和较为深入的研究背景，在这两个方面的差距，使国内信息安全标准化工作与国际已有的成果相比较其覆盖面还非常有限，宏观利微观的指导作用也有待r 进一步的提高。1 9 9 8 年1 0 月经国家质量技术监督局授权成立了中国国家信息安全测评认证中心( c n l t s e c ) f 2 5 j ，它是代表国家对信息技术、信息系统、信息安全产品以及信息安全服务的安全性实施公正评价的技术职能机构。它的主要职能是：对信息安全技术、产品进行安全性检验与测试；对国内信息工程和信息系统进行安全性评估；对信息技术产品和安全设备进行安全性认证；研究信息安全标准，提供信息服务及技术培训；开展国际合作与瓦认。“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品或系统安全质量的最高认可。国家信息安全测评认证活动的技术依据是由国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。2 0 0 2 年4 月1 5 日全国信息安全标准化技术委员会( 简称信息安全标委会，t c 2 6 0 ) 【“】在北京正式成立。其工作任务是向国家标准化委员会提出本专业标准化工作的方针、政策和技术措施的建议，同时将协调各有关部门，本着平等、公开、协商的原则提出一套系统、全面、分布合理的信息安全标准体系，以信息安全标准体系为工作依据，有步骤、有计戈l j 地进行信息安全标准的制定工作。2 0 0 2 年9 月在国家信息中心信息安全处的基础上，组建成立了国家信息中心信息安全研究与服务中心。该中心参与完成国家标准信息安全技术评估准则，参加了国家电子政务指南一信息安全编写和公安部相关标准的编写与评审。i 2 3 当前主要的信息系统安全评估方法信息系统安全评估理论和方法研究，主要包括两个方面：“标准”和“方法”。从严格意义上说，两者具有不同的内涵。“