（计算机软件与理论专业论文）信息安全风险评估系统的研究.pdf

山东大学硕士学位论文 摘要 随着信息技术的发展，信息系统在国家的政治、军事和经济领域的广泛应用， 整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳 定发展和国家安全的社会问题。在几十年的系统安全研究中，人们也深刻认识到： 信息系统安全问题单凭技术是无法得到彻底解决的，它的解决涉及到法规政策、 管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的 全方位的安全，信息系统安全问题的解决更应该站在系统工程的角度来考虑。在 这项系统工程中，信息系统安全对信息系统进行有效的风险评估，选择有效的防 范措施，主动防御信息威胁是解决信息系统安全问题的关键所在。 信息系统安全风险分析是针对包括系统的体系结构、指导策略、人员状况以 及各类设备如工作站、服务器、交换机、数据库应用等各种对象，根据检查结果 向系统管理员提供周密可靠的安全性分析报告，为提高信息安全整体水平提供重 要依据。风险评估是网络安全防御中的一项重要技术，也是信息安全工程学的重 要组成部分。其原理是对采用的安全策略和规章制度进行评审，发现不合理的地 方，同时采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，确 定存在的安全隐患和风险级别。 本文首先对信息系统安全风险评估的国内外研究现状进行了深入分析，其中 对风险评估相关国际国内标准进行了分类收集和研究，并对风险评估的方法进行 了介绍。然后，对资产、威胁、脆弱点等风险要素和控制措施的分类和赋值进行 了研究，并且在此基础上总结了目前风险评估存在的问题和进一步的需求。最后， 介绍了信息安全管理体系( i s m s ) 标准及其实施过程，对控制措施的重要性进行 了分析，提出了在i s m s 中实施风险评估的方法，讨论了i s m s 风险评估系统，并 给出了完整的评估过程。 关键词：信息安全；风险评估；i s m s 5 山东大学硕士学位论文 a b s t r a c t w i t hr a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , t h ei n f o r m a t i o ns y s t e mh a s b e e nw i d e l ya p p l y i n gi ng o v e r n m e n t , n a t i o n a ld e f e n c ea n de c o n o m i cs p h e r ee t c ，a n d t h eo p e r a t i o no ft h es o c i e t yh a sb e e nm o r ea n dm o r e d e p e n d e do ni n f o r m a t i o ns y s t e m s os e c u r i t yr i s ka s s e s s m e n to ft h ei n f o r m a t i o ns y s t e mi si n v e s t i g a t e da b r o a d 、矾mt h e s t u d yo fr i s ka s s e s s m e n t ，t h ep o i n tt h a tt h et e c h n o l o g yc a n n o tb r i mt h ei n f o r m a t i o n s y s t e ms e c u r i t yt o t a l l yi sa c c e p t e d mp r o b l e mr e l a t e st om a n yp a r t ss u c ha sr u l e s ， p o l i c y , s t a n d a r d s ，t e c h n o l o g ya n ds oo n i t ss o l u t i o nm u s tt a k ea c c o u n to ft h ev i e wo f t h ee n g i n e e r i n g ，n a m e l yt h ei n f o r m a t i o ns y s t e ms a f e t ye n g i n e e r i n g r i s k a n a l y s i sa n d a s s e s s m e n tb e tab i df o o t i n gi nt h i si n f o r m a t i o n s y s t e ms a f e t ye n g i n e e r i n g t h e s e c u r i t yp r o b l e mo fi n f o r m a t i o ns y s t e mi sm o r ea n dm o r er e l a t e dt ot h ee c o n o m i c d e v e l o p m e n ta n dn a t i o n a ld e f e n c ee t c t h e r e f o r e ，e v a l u a t i n gr i s ke f f e c t i v e l y , s e l e c t i n g e f f e c t i v ed e f e n c em e a s u r e sa n dd e f e n d i n gi n f o r m a t i o nt h r e a t sa c t i v e l ya r et h ek e y p o i n t so fr e s o l v i n gs e c u r i t yp r o b l e m so fi n f o r m a t i o ns y s t e m r i s ka n a l y s i sh e l p st h ea d m i n i s t r a t o rt ok n o wt h es e c u r i t yo ft h ew h o l es y s t e m ， b a s eo nt h er e s e a r c ho f s y s t e ma r c h i t e c t u r e ，p o l i c y , s t a f f sa n d e q u i p m e n t s ， s u c ha sw o r k s t a t i o n ，s e r v e r , s w i t c h ，d a t a b a s ea p p l i c a t i o n r i s ka s s e s s m e n ti sam a i n t e c h n o l o g yo fw e bs e c u r i t yp r o t e c t i o na n dap a r to fi n f o r m a t i o ns e c u r i t ye n g i n e e r i n g a c c o r d i n gt ot h es e c u r i t yp o l i c ya n dr u l e s ，r i s ka s s e s s m e n tc h e c k sv u l n e r a b i l i t yo ft h e s y s t e mb ys i m u l a t i n gt h ea t t a c ka n dt e l l st h er i s kl e v e la n dt h ew a yo fc o n t r o lt h r e a t 1 1 1 ep a p e rm a k e sa ni n t r o d u c t i o nf i r s t l yt oi n f o r m a t i o ns y s t e ms e c u r i t ya n dr i s k a s s e s s m e n t ，a n dt h e ni ts t u d i e so nt h er e s e a r c ho fr e l a t i v es t a n d a r da n dt h ea n a l y z i n g w a yo fs y s t e m sa s s 吒t h r e a ta n dv u l n e r a b i l i t y i ta l s os t u d i e so nt r e n do ft h e i n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ts y s t e m i ta l s ot e l l st h ea n a l y z i n gw a ya n ds o r t m e t h o do ft h i ss y s t e mb yd e s c r i b i n gt h es y s t e m sm o d u l e ss t e pb ys t e p a tt h ee n do f p a p e r , a f t e ri n t r o d u c i n gi n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m ( i s m s ) s t a n d a r d a n di t si m p l e m e n t a t i o np r o c e s s e s ，t h i sp a p e r a n a l y z e st h ei m p o r t a n c eo ft h ec o n t r o l s ， b r i n g sf o r w a r dar i s ka s s e s s m e n tm e t h o di ni s m s t h i sp a p e ra l s od i s c u s s e sar i s k a s s e s s m e n ts y s t e mi ni s m s ，a n do f f e r sa c o m p l e t ea s s e s s m e n tc o u r s e k e y w o r d s ：i n f o r m a t i o ns e c u r i t y ；r i s ka s s e s s m e n t ；i s m s 6 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名： 扭这 e l期：翌21 ：厶、 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的e p 届, i 件 和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：企盗导师签名：垄灶 期：兰巫支! 于 山东大学硕士学位论文 1 1 课题的研究背景 1 前言 信息技术的发展和信息安全问题是一对一典型的矛盾问题，人们在享受信息 和信息技术所带来的巨大便利的同时，也不得不承认，信息也正以各种方式影响 和控制着我们的生活。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，对 信息和信息系统安全的认识己上升为维护国家安全和社会稳定的高度【l 】。信息安 全的目标主要体现在保密性、完整性、可用性等方面。风险评估是安全建设的出 发点，它在信息安全中占有举足轻重的地位。国内外有关信息产品安全的检测相 对已经成熟，而信息安全的风险评估还有待深入研究。 伴随着社会经济对信息的依赖程度越来越高，与之而来的各类计算机犯罪及 “黑客 攻击网络事件屡有发生，手段也越来越高技术化。网络与信息安全己上 升为一个事关国家政治稳定、社会安定和经济有序运行的全局性问题。 美国r a d i c a t i 集团发表了一项调查报告，2 0 0 3 年病毒造成的经济损失超过 2 8 0 亿美元，2 0 0 7 年则超过7 5 0 亿美元。 江民科技在2 0 0 6 年1 2 月2 0 日发布了针对网上银行的病毒调查报告，报告 显示，从2 0 0 4 年8 月到2 0 0 6 年1 0 月期间，我国感染各类网银木马及其变种的 用户数量增长了6 0 0 倍，用户每月感染病毒及其变种的数量约有1 6 0 种左右，而 且病毒发展正在呈加速上升趋势。 ( 2 0 0 6 年度中国网络安全分析报告中指出f 2 1 ，与2 0 0 5 年同期相比，2 0 0 6 年度网络攻击事件要高出一倍之多。2 0 0 6 年9 月1 2 日，著名搜索引擎百度遭受 有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在全国各地出现了近 3 0 分钟的故障。2 0 0 6 年9 月2 1 日，某域名服务商“新网 域名解析服务器发生 故障，造成超过3 0 在其注册的网站无法访问长达2 0 小时。2 0 0 6 年9 月2 9 日， 域名服务商“万网 的u r l 转发服务器遭受大量的黑客攻击，导致通过万网设置 的u r l 转发无法正常浏览。仅在2 0 0 6 年9 月，黑客攻击事件造成的中国互联网 经济损失超过3 0 0 万人民币，众多网络服务提供商及企业损失占7 8 - 0 黑客的入 侵手法己经呈现多样化及多元化的特点。 面对当今日益增长的信息系统安全需求，单靠技术手段是不可能从根本上解 7 山东大学硕士学位论文 决信息系统安全问题的，信息系统的安全更应从系统工程的角度来看待，而在这 项系统工程中风险评估占有重要地位，它是信息系统安全的基础和前提。通过风 险评估，可以了解系统目前与未来的风险所在，评估这些风险可能带来的安全威 胁与影响程度，为安全策略的确定、信息系统的建立及系统安全运行提供依据。 信息安全风险评估成为一个越来越紧迫的问题，己引起各发达国家的高度重视， 提出了必须实现风险评估的制度化，认为有效的风险评估的缺乏将会造成信息、 安全需求与安全解决方案之间的严重脱节。 1 2 国内外风险评估的研究 1 2 1 国外风险评估研究的发展 风险评估理论应用于信息安全领域始于2 0 世纪6 0 年代。此后，信息安全风 险管理的实践和理论的发展大体上经过了三个阶段： 第一阶段( 2 0 世纪6 0 年代至8 0 年代) ：信息安全风险管理实践与理论发展的 初期阶段。 2 0 世纪6 0 年代，随着资源共享计算机系统和早期计算机网络的出现，计算 机安全问题初步显露。1 9 6 7 年秋，美国国防部委托兰德公司为首的多个研究机 构和企业，进行了美国历史上第一次大规模的计算机安全风险评估，历时三年。 1 9 7 0 年初出版了一个长达数百页的机密报告计算机安全控制。该报告奠定了 国际安全风险评估的理论基础。在此基础上，美国率先推出了首批关于信息安全 风险管理及相关的安全评测标准。包括f i p sp u b 3 1 自动数据处理系统物理安全 和风险管理指南( 1 9 7 4 年) ：f i p sp u b6 5 自动数据处理系统风险分析指南( 1 9 7 9 年) ，可信计算机系统安全评估准则( t c s e c ) 、( ( 可信网络解释 t n i ) 、特 定环境下的安全需求等等。这个阶段的信息安全仅针对计算机系统的保密性问 题提出要求，对安全的风险评估只限于保密性范畴。 第二阶段( 2 0 世纪8 0 年代末至9 0 年代中期) ：是信息安全风险管理实践和理 论走向初步成熟的阶段。 这个阶段以计算机和网络为保护对象的信息安全保护的对象。世界各国都纷 纷进行信息安全风险评估的研究，并取得一定的成果。其中较为有代表性的事件 8 山东大学硕士学位论文 如表1 - 1 所示： 时间组织事件 1 9 9 0 美国建立了信息安全事件应急国际论坛( f i r s t ) 1 9 9 0 英、法、德、荷制定了共同的信息技术安全评估标准( i t s e c ) 1 9 9 2美国国防部建立了漏洞分析与评估计划 1 9 9 3 美、英等六国 启动了建立共同评测标准( 即后来的c c 标准) 的计划 对美国国防系统的信息系统进行了大规模风险评估， 1 9 9 5 - 1 9 9 6美国总审计局并发表报告 信息安全一针对国防部的计算机攻击正 构成日益增大的风险 1 9 9 5英国标准化协会颁布了 信息安全管理指南( b s7 7 9 9 ) 澳大利亚新西兰 1 9 9 5 颁布风险管理标准a s n z s 4 3 6 0 风险管理准则联 表卜l 国际上风险评估研究的第二阶段代表事件表 这个阶段，人们逐步认识到信息除了保密性以外还有完整性、可用性等更多 的安全属性，希望通过对安全产品的质量保证和安全评测来保障系统安全，并且 开始对信息系统管理方面的风险评估进行研究。 第三阶段( 2 0 世纪9 0 年代中一现在) ：风险评估实践与理论进入全球化阶段。 由于9 0 年代以来因特网、移动通信和跨国光缆的高速发展，各国原本局限 于本国内的信息网络迅速跨越国境连成一片。与此同时，信息安全也成为世界各 国面临的共同挑战。在共同需求的驱动下，1 9 9 6 年国际标准组织发布了工s o i e c t r1 3 3 3 5 标准即信息技术安全管理指南。1 9 9 9 年发布了i s 0 i e c l 5 4 0 8 标准 即信息技术安全评估共同准则( c c 标准) 。2 0 0 0 年又发布了i s o i e c l 7 7 7 9 9 即信息技术信息安全管理实用规则。国际标准的出台，反过来又推动了各国 1 自身风险管理标准研发的进程。例如美国，从9 0 年代末开始，在风险管理相关 标准的制定上掀起了一个新高潮，仅n i s t ( 美国国家标准与技术局) 近几年制定 的与风险管理相关的标准就达十多个。 国外风险评估的研究的深入，在实践中完全手动评估已经不能满足风险评估 实践活动的需要。为了提高信息安全风险评估工作的效率和结果的正确性，风险 评估的研究人员研制开发了大量的工具，对风险评估活动进行辅助工作。现在国 9 山东大学硕士学位论文 际上常见的评估工具有： c 0 b r a 一一c o b r a ( c o n s u l t a t i v e ，o b j e c t i v e a n db i f u n c t i o n a lr i s k a n a l y s i s ) 【3 】是英国c & a 系统安全公司推出的一套风险分析工具软件，它通过问 卷的方式来采集和分析数据，并对组织机构的风险进行定性分析，最终的评估报 告中包含己识别风险的水平和推荐措施。此外，c o b r a 还支持基于知识的评估方 法，可以将组织机构的安全现状与i s o1 7 7 9 9 标准相比较，从中找出差距，提出 弥补措施。 c l 认瑚c 删( c c r ar i s ka n a l y s i sa n dm a n a g e m e n tm e t h o d ) 【4 】是由英 国政府的中央计算机与电信局( c e n t r a lc o m p u t e ra n dt e l e c o m m u n i c a t i o n s a g e n c y ，c c t a ) 于1 9 8 5 年开发的一种定量风险分析工具，同时支持定性分析。经 过多次版本更新( 现在是第四版) ，目前由i n s i g h t 咨询公司负责管理和授权。 c r a 删是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种 类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。c l b 蛐l m 的 安全模型数据库基于著名的“资产威胁弱点”模型。c r a 删与b s7 7 9 9 标准保 持一致，它提供的可供选择的安全控制多达3 0 0 0 个。 a s s e t 一a s s e t ( a u t o m a t e ds e c u r i t ys e l f e v a l u a t i o nt 0 0 1 ) 【5 】是美国国 家标准技术协会( n a ti o n a li n s tit u t eo fs t a n d a r da n dt e c h n o l o g y ，n i s t ) 发 布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的 分析方法，利用问卷方式来评估系统安全现状与n i s ts p8 0 0 - 2 6 指南之间的差 距。 c o r a 一一c o r a ( c o s t - o f - r i s ka n a l y s i s ) 【6 】是由国际安全技术公司 ( i n t e r n a t i o n a ls e c u r i t yt e c h n o l o g y ) 开发的一种风险管理决策支持系统，它 采用典型的定量分析方法，可以方便的采集、组织、分析并存储风险数据，为组 织机构的风险管理决策支持提供准确的依据。 c o i 潲一一c o r a s ( p l a t f o r mf o rr i s ka n a l y s i so fs e c u r i t yc r i t i c a l s y s t e m s ) 【7 】是由希腊、德国、英国、挪威等国的多家商业公司和研究机构于2 0 0 1 年1 月开始共同组织开发的一个项目。该项目的目的是开发一个基于面向对象建 模特别是u m l 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的 系统，特别是i t 系统的安全。c o r a s 考虑到技术、人员以及所有与组织机构安 1 0 山东大学硕士学位论文 全相关的方面，通过c o p , a s 风险评估，组织机构可以定义、获取并维护信息系统 的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。 随着风险评估标准的发展，风险评估辅助工具的优化，风险评估的涉及的范 围也在扩大，由原来单纯的安全技术评估发展到技术与管理兼顾的综合化评估。 技术评估是指对组织机构的技术基础结构和程序进行系统的、及时的检查，包括 对组织机构内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技 术驱动的评估通常包括：( 1 ) 评估整个信息系统的基础结构。( 2 ) 使用己有的软件 工具分析基础结构及其全部组件。( 3 ) 提供详细的分析报告，说明检测到的技术 弱点，并尽可能为解决这些弱点建议具体的措施。技术评估就是通常意义上所讲 的技术脆弱性评估，强调组织机构的技术脆弱性，即组织机构内安全最薄弱的技 术环节。该方法的典型代表就是，利用脆弱性评估工具和渗透性测试工具等基础 安全设施评估工具，查找出信息系统安全的技术弱点并进行评估。 综合评估着眼于分析组织机构内部与安全相关的风险，包括内部和外部的风 险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估 试图按照业务驱动程序或者目标对安全风险进行排列- 关注的焦点主要集中在安 全的以下4 个方面： ( 1 ) 检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程 序可能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评 定。 ( 2 ) 包括对系统进行技术分析、对政策进行评审、以及对物理安全进行审查。 ( 3 ) 检查i t 的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据 的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。 ( 4 ) 帮助决策制定者综合平衡风险，以选择成本效益对策。该方法的典型代 表是卡内基梅隆大学的s e i 发布了o c t a v e 信息安全风险评估方法【8 1 综上所述，国际上信息安全风险评估经历了一个从只重技术到技术、管理 并重的全面评估，从单机到网络再到信息系统基础设施，从单一安全属性到多种 安全属性的发展过程。随着风险评估理论和评估技术的不断深化完善，信息系统 的安全风险评估己经有了相当大的发展，但是由于各国的标准和评估工具的不统 一，国际上信息系统的安全风险评估的认证工作很难达到一致，以至于认证结果 山东大学硕士学位论文 还存在很大的地区差异，因而风险评估在理论和实现技术上都有待进一步的提 高。 1 2 2 国内的研究现状 9 0 年代后，互联网在我国得到了广泛的社会化应用，国际大环境的信息安全 问题和信息战的威胁也对我国的信息安全造成了重大影响，使我国清楚的认识到 信息安全问题的重要性和严肃性。随着对信息安全问题认识的逐步提高，我国的 信息系统安全风险评估工作在不断的发展。首先是信息安全意识上的转变，由一 开始的追求绝对安全的错误意识，发展为降低信息系统的风险到可接受程度的风 险意识上，并逐步有所加强：其次，安全实践工作也在不断的强化，包括安全测 评认证机构的建立和完善，安全评估相关技术标准和管理规范的初步制定和完备 等一系列实践活动。 1 9 9 4 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例 【9 】，提出了计算机信息系统实行安全等级保护的要求。安全等级保护的总体目标 是确保信息安全和计算机信息系统正常运行，并保障以下安全特性：信息的完整 性、可用性、保密性、抗抵赖性、可控性等( 其中完整性、可用性、保密性为基 本安全特性要求) 。指出我国计算机信息系统安全的重点保护对象是国家重要领 域的计算机信息系统，即事关国计民生的国家信息基础设施、互联网管理中心及 重要网站的安全，目的在于安全保护工作中实现等级化规范化的建设和有效的监 督管理。 1 9 9 9 年，公安部颁发计算机信息系统安全保护等级划分准则 ( g b l 7 8 5 9 - 1 9 9 9 ) ，以这个强制性国家标准为母体，一套包括总体控制( 框架类 标准) 、设计和实现的过程控制( 要求类标准) 、设计和实现的结果控制( 评估类标 准) 、计算机信息系统分层面安全控制以及安全监督管理的数十个配套标准正在 紧锣密鼓地研究制定，即将陆续出台。另外，2 0 0 1 年我国还颁布了援引c c 的g b t 1 8 3 3 6 - 2 0 0 1 ，作为我国安全产品侧评的标准。 1 9 9 9 年2 月9 日，我国正式成立了中国国家信息安全测评认证中心【lo 】。到 这个阶段，我国在国家标准g b1 7 8 5 9 - 1 9 9 9 和g b t1 8 3 3 6 - 2 0 0 1 的指导下，进行 了大量的安全产品的功能评测，并逐步向安全产品的性能评测、安全性评测发展。 1 2 山东大学硕士学位论文 然而基于有关部门的工作实践和社会的需求，国际风险评估研究工作的发展，我 国安全部门逐步认识到，仅仅进行安全产品的测评认证不能解决信息系统的安全 问题。因此，国家测评认证机构开始把信息系统的安全测评纳入自己的工作范畴， 风险评估作为系统安全评估的一个环节，也被纳入其中。其后，国内信息安全风 险意识不断加强，由原来追求绝对安全、万无一失的信息环境逐渐向追求降低风 险到系统可接受程度的方向上转化。我国的风险评估标准的制定也成为国家信息 系统安全研究的重点之一。 2 0 0 2 年4 月1 5 日全国信息安全标准化技术委员会( 简称信息安全标委会， t c 2 6 0 ) i h 在北京正式成立。其工作任务是向国家标准化委员会提出专业标准化 工作的方针、政策和技术措施的建议，同时协调各有关部门，本着平等、公开、 协商的原则提出一套系统、全面、分布合理的信息安全标准体系，以信息安全标 准体系为工作依据，有步骤、有计划地进行信息安全标准的制定工作。现在信息 安全标委会的信息安全评估工作组( w g 5 ) 正在积极准备信息系统安全保障等级 评估准则、信息系统安全等级保护安全风险管理要求、保护轮廓和安全目标 的产生指南等一系列的评估标准的制定和研究。 2 0 0 2 年9 月在国家信息中心信息安全处的基础上，组建成立了国家信息中心 信息安全研究与服务中心。该中心参与完成国家标准信息安全技术评估准则 【1 2 】的制定，参加了国家电子政务指南一信息安全的编写和公安部相关标准 的编写与评审。 2 0 0 3 年8 月至今年在国家信息化办公室直接指导下，组成了风险评估课题 组，开展了系统的风险评估和管理理论研究和学习。这期间，我国一些国家研究 机构、大专院校、安全公司向国内介绍了美、英等发达国家关于信息安全风险评 估、风险管理的理论、方法和经验。并按照i s 02 7 0 0 1 和i s o1 3 3 3 5 等国际标准 为参考，为我国的电信、能源和金融等行业的企业进行了信息安全管理体系建设 项目，积累了很多信息安全管理和风险评估的实践经验。 虽然我国目前在信息安全评估方面做了相当多的工作，但是由于我国在安全 风险评估的理论和技术上的基础不牢固，又缺乏实践经验，因此还存在较多问题： ( 1 ) 风险评估在我国的企业、组织和部门的普及程度较低，许多领导对风 险评估的流程不了解，安全风险防范意识薄弱。 1 3 山东大学硕士学位论文 ( 2 ) 我国的科学研究计划中，有关信息系统安全风险评估的重点科研项目 还较少，不足以支撑进行科学的风险评估理论、方法、技术和工具研究的需要。 ( 3 ) 目前我国的信息系统安全风险评估还处在仅仅对信息系统的技术进行 安全评估，来掌握和了解具体行业、部门的资产、威胁和风险的阶段。而科学的 风险评估不但需要深化研究信息系统技术存在的风险，还需要推动对不同行业部 门的个性化风险的深化研究，与各个行业的应用、服务、生产的特性密切相关。 ( 4 ) 我国目前缺乏信息系统安全风险评估的规范化标准，国内的一批提供 信息系统安全评估服务的信息安全企业( 如s o 盛安、启明星辰、联想、科友、绿 盟、思乐等) ，进行风险评估时，只是参考国际标准( 多数参考b s7 7 9 9 ，i s o i e c 1 7 7 9 9 ，s s e - c 删，a s n z s 4 3 6 0 ，有的仅参考信息安全产品评测标准，如c c 等) ， 而缺乏对我国信息安全风险实际状况的考虑。 ( 5 ) 风险评估过程中，信息系统安全风险评估的角色和责任混乱。由于风 险评估理论的缺乏，在实际的评估工作中，参与评估的人员、其扮演的角色和承 担的责任，以及体现这些角色和责任的过程和手续四方面内容的确定非常困难， 造成评估过程的混乱。 ( 6 ) 目前各信息安全风险评估服务厂商大都是根据自身特点来设计开发风 险评估工具或者管理工具。若相应工具的功能比较单一或各功能模块比较孤立， 不能称之为一个完整的信息安全风险评估工具。 ( 7 ) 对风险评估本身存在的风险不够重视。风险评估工作中接触的与信息 系统漏洞相关的信息、各单位信息安全保障的现状和问题，是涉及单位要害、利 益、声誉的事项，所以对风险评估工作过程中的安全防护也是非常重要的。 综上所述，我国对信息系统的风险评估研究虽然取得了一定的成绩，但与国 际研究情况相比，还处在起步阶段，存在许多理论和实践上的问题和困难。需要 对国际上的安全风险评估理论和技术进行系统的、深入的、广泛的了解、跟踪和 分析，学习国外风险评估的理念和标准，宣传风险评估的重要性和必要性，促进 我国风险评估研究的进步和发展。 1 3 论文的主要内容 1 4 信息安全风险评估是信息安全的起点和着眼点，只有首先经过风险评估，识 山东大学硕士学位论文 别安全的薄弱点，才能有针对性的解决信息安全中的有关问题。然而，信息安全 风险评估的相关研究工作还远没有令人满意，特别是在国内，还处于刚刚起步的 阶段。在这种情况下加强对信息安全风险评估的研究就具有特别重要的意义，具 有更高的学术价值，并会对信息安全的建设起到很大的影响，有助于提高我国信 息安全的整体程度和水平。本文研究的内容主要如下： ( 1 ) 对信息系统安全风险评估的国内外研究现状进行了深入分析，其中对风 险评估相关国际国内标准进行了分类收集和研究，并对风险评估的方法进行了介 绍。 ( 2 ) 对资产、威胁、脆弱点等风险要素和控制措施的分类和赋值进行了研究， 并且在此基础上总结了目前风险评估存在的问题和进一步的需求。 ( 3 ) 介绍了信息安全管理体系( i s m s ) 标准及其实施过程，对控制措施的重 要性进行了分析，提出了在i s m s 中实施风险评估的方法，讨论了i s m s 风险评估 系统，并给出了完整的评估过程。 山东大学硕士学位论文 2 信息安全风险评估 2 1 信息安全风险评估的基本概念 2 2 1 信息安全 信息安全( ( i n f o r m a t i o ns e c u r i t y ) 是一种思维方式 1 3 l 。信息安全是指信信 息系统的硬件、软件及系统中的数据受到保护，检查对系统构成的威胁及系统本 身存在的脆弱性，对它们进行管理，使得系统连续可靠正常地运行。信息、安全 不是绝对的，没有完全彻底的信息安全【1 4 】。 信息安全定义为：为了防止未经授权就对知识、事实、数据或能力进行使用、 滥用、修改或拒绝使用而采取的措施。 信息安全的目标是保护信息的保密性、完整性、可用性及其他属性，如可控 性、真实性、不可否认性和可追溯性等【1 5 】。信息安全是一种意识，一个过程， 而不是某种技术就能实现的。 2 2 2 信息安全风险评估 近几年来，信息安全风险评估问题是我国信息安全界的热门话题之一，从国 际上的情况来看，也是各国都在探索的一个问题。 说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、 脆弱性等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕 口令般组合。比如风险，用i s o i e ct r1 3 3 3 5 - 1 ：1 9 9 6 中的定义可以解释为：特 定威胁利用某个( 些) 资产的脆弱性，造成资产损失或破坏的潜在可能性。 为了帮助理解，我们举一个例子：我口袋里有i 0 0 块钱，因为不小心，被小 偷偷走了，结果是我晚上没饭吃。 用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解： 资产= 1 0 0 块钱 脆弱性= 不小心 威胁= 小偷 1 6 山东大学硕士学位论文 风险= 钱被偷走 影响= 晚上没饭吃 信息系统的安全风险，可以用四个要素来综合说明：首先是系统自身存在着 i ， 脆弱性，就是我们常说的技术上可以被利用的漏洞，再加上人为或自然的威胁， 还有导致一些信息安全事件发生的可能性及其造成的影响。也就是说脆弱性和威 胁是原因，可能性和影响是结果。 。 信息安全风险评估就是指依据有关信息安全测评标准，对信息系统及由其处 理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学识别和评 价