（计算机软件与理论专业论文）信息安全风险评估系统的研究与开发.pdf

中文摘要 摘要：随着网络技术的飞速发展，信息借助于网络快速的传播，信息系统的安全 性也受到来自多方面的威胁，因而，如何保证信息系统安全也日益被提到日程。 在几十年的系统安全研究中，人们也深刻认识到：信息系统安全问题单凭技术是 无法得到彻底解决的，它的解决涉及到法规政策、管理、标准、技术等方方面面， 任何单一层次上的安全措施都不可能提供真正的全方位的安全，信息系统安全问 题的解决更应该站在系统工程的角度来考虑。在这项系统工程中，信息系统安全 风险分析和评估占有重要的地位，它是信息系统安全的基础和前提。 信息系统安全风险分析是针对包括系统的体系结构、指导策略、人员状况以及 各类设备如工作站、服务器、交换机、数据库应用等各种对象，根据检查结果向 系统管理员提供周密可靠的安全性分析报告，为提高信息安全整体水平提供重要 依据。风险评估是网络安全防御中的一项重要技术，也是信息安全工程学的重要 组成部分。其原理是对采用的安全策略和规章制度进行评审，发现不合理的地方， 同时采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，确定存 在的安全隐患和风险级别。 本文首先对信息系统安全风险评估的国内外发展和研究现状进行了深入分析， 其中对风险评估相关国际国内标准进行了分类收集和研究，对资产、威胁、脆弱 点等风险要素和控制措施的分类和赋值进行了研究，并且总结了目前风险评估存 在的问题和进一步的需求。然后对风险评估流程、风险识别、风险分析方法等风 险评估关键问题又进行了针对性的研究和设计，并对信息系统安全风险评估常用 工具进行了收集和研究。在此基础上，结合目前信息安全的新需求，重点设计并 实现了安全风险评估系统，详细描述了系统采用的评估流程与评估方法，具体的 功能划分、设计与实现。本文最后剪裁出一个应用实例，用来说明该系统的功能 特点和应用流程。 关键词：信息安全、风险评估、评估工具、风险管理 分类号：t p 3 0 9 j e 立銮道友堂亟堂僮i 金塞垦s ! 基! a b s t r a ( 了r a b s t r a c t ：w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , i n f o r m a t i o n s p r e a dt h r o u g hn e t w o r ka n di t ss e c u r i t yi st h r e a t e n e d s oh o wt op r o v i d et h es e c u r e e n v i r o n m e n ti sd i s c u s s e de x t e n s i v e l y s os e c u r i t yr i s ka s s e s s m e n to ft h ei n f o r m a t i o n s y s t e mi si n v e s t i g a t e da b r o a d w i t ht h es t u d yo fr i s ka s s e s s m e n t ，t h ep o i n tt h a tt h e t e c h n o l o g yc a n n o tb r i n gt h ei n f o r m a t i o ns y s t e ms e c u r i t yt o t a l l yi sa c c e p t e d t h e p r o b l e mr e l a t e st om a n yp a r t ss u c ha sr u l e s ，p o l i c y , s t a n d a r d s ，t e c h n o l o g ya n ds oo n i t s s o l u t i o nm u s tt a k ea c c o u n to ft h ev i e wo ft h ee n g i n e e r i n g , n a m e l yt h ei n f o r m a t i o n s y s t e ms a f e t ye n g i n e e r i n g r i s ka n a l y s i sa n da s s e s s m e n tg e tab i gf o o t i n gi nt h i s i n f o r m a t i o ns y s t e m s a f e t ye n g i n e e r i n g t h e ya l et h eb a s ea n dp r e c o n d i t i o no f i n f o r m a t i o ns y s t e ms e c u r i t y r i s ka n a l y s i sh e l p st h e a d m i n i s t r a t o rt ok n o wt h es e c u r i t yo f t h ew h o l es y s t e m ，b a s e o nt h er e s e a r c ho fs y s t e ma r c h i t e c t u r e ，p o l i c y , s t a f f sa n de q u i p m e n t s ，s u c ha s w o r k s t a t i o n ，s e r v e r , s w i t c h ，d a t a b a s ea p p l i c a t i o n 砌s ka s s e s s m e n ti sam a i nt e c h n o l o g y o fw e bs e c u r i t yp r o t e c t i o na n dap a r to fi n f o r m a t i o ns e c u r i t ye n g i n e e r i n g a c c o r d i n gt o t h es e c u r i t yp o l i c ya n dr o l e s ，r i s ka s s e s s m e n tc h e c k sv u l n e r a b i l i t yo ft h es y s t e mb y s i m u l a t i n gt h ea t t a c ka n dt e l l st h er i s kl e v e la n dt h ew a y o fc o n t r o lt h r e a t t h ep a p e rm a k e sa ni n t r o d u c t i o nf i r s t l yt oi n f o r m a t i o ns y s t e ms e c u r i t ya n dr i s k a s s e s s m e n t ，b a s e do nt h er e s e a r c ho fr e l a t i v es t a n d a r da n dt h ea n a l y z i n gw a yo f s y s t e m sa s s e t , t h r e a ta n dv u l n e r a b i l i t y i ta l s os t u d i e so nt h es o r tm e t h o da n dt r e n do f t h ei n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ts y s t e m a f t e rt h a t ，i td e s c r i b e st h ed e s i g na n d i m p l e m e n tp r o c e s so fa t r u er i s ka s s e s s m e n ts y s t e m ，b a s e do nt h ef a m o u sd o m e s t i ca n d f o r e i g na s s e s s m e n tm e t h o d sa n dt o o l s i ta l s ot e l l st h ea n a l y z i n gw a ya n ds o r tm e t h o do f t h i ss y s t e mb yd e s c r i b i n gt h es y s t e m sm o d u l e ss t e pb ys t e p a tt h ee n do fp a p e r i t g i v e sa ni n s t a n c eo fh o w t ou s et h i ss y s t e ma n ds h o w st h eg o o dr e s u l t so fa s s e s s m e n t k e y w o r d s ：i n f o r m a t i o ns e c u r i t y 、r i s ka s s e s s m e n t 、a s s e s s m e n tt o o l 、r i s k m a n a g e m e n t c l a s s n o ：t p 3 0 9 致谢 在论文完成之际，我的心情激动万分。怀着激动的心情写下以下文字，一个 人成就的取得，背后一定有很多人的指导和帮助。 深深地感谢我的导师张玉清教授! 在国家计算机网络入侵防范中心一年多的 时间里，张老师以高度责任心在学术上给予我悉心指导，引导我从事研究工作， 并在生活上给我无微不至的关怀，在此表示最诚挚的谢意。 深深地感谢我的副导师韩臻教授! 正是韩老师对我的指导与帮助，使我踏 入计算机网络安全研究领域，并能顺利完成硕士期间的学习和研究。韩老师教导 我虚心严谨，刻苦耐劳，为我树立了做人的楷模。 感谢我父母2 5 年多来对我的爱和支持，没有你们无私的爱就没有我今天。本 文的顺利完成，是与他们的无私给予和浓浓亲情分不开的，谢谢我的家人。 感谢中科院研究生院的毛剑博士后、武彬硕士，我们合作是愉快和卓有成效 的，你们在科研和论文的工作中给了我莫大的帮助，这将成为我一生的财富。 我还要感谢在防范中心、北京交通大学和我一起生活工作的同学们：李海宝、 贾素平、杨晓彦、倪阳、黄丹丹、王若欣、魏瑜豪、余俊松、张静嫒、袁成明， 黄燕芳，朱平、胡涛、徐敏，刘开、丁朝盈，由于你们，生活过得精彩而又充实。 最后，借此机会也向我的朋友以及其他关心、爱护我的人所给予我的无私帮 助表示最诚挚的谢意。 1 绪论 在过去的几十年时问里，信息技术已经翻天覆地的改变了整个世界。信息在 人们的生产、生活中扮演着越来越重要的角色，人类越来越依赖基于信息技术所 创造出来的产品，以信息技术为基础的信息产业已经成为世界经济的重要支柱产 业，信息产业的发达程度已成为一个国家的综合国力和国际竞争力强弱的重要标 志。近年来，由于信息系统安全问题所产生的损失、影响不断加剧，信息系统的 安全问题越来越受到人们的普遍关注，它已成为影响信息技术发展的重要因素。 但是传统的信息系统安全建设的特点是：事后、被动、单一、针对出现的问 题采用一些安全防护措施，并以某个问题的暂时解决为过程结束标志。这样的信 息系统安全建设已经远不能适应信息系统安全防护的发展要求。这种模式往往缺 少系统的考虑，就事论事，带有很大盲目性，经常是花费不少、收效甚微，造成 资金、人员的巨大浪费。 在几十年的系统安全研究中，人们深刻认识到：信息系统安全问题单凭技术 是无法得到彻底解决的，它的解决涉及到法规政策、管理、标准、技术等方方面 面，任何单一层次上的安全措施都不可能提供真正的全方位的安全，信息系统安 全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中，信息系统 安全风险评估占有重要的地位，它是信息系统安全的基础和前提。 国外关于信息系统安全风险分析和评估的研究已经二十多年了，相关的标准 体系、技术体系、组织架构和业务体系都已经比较成熟，发达国家都具有自己的 信息安全评估认证体系。我国这方面的研究是近几年才开始的，目前工作主要集 中在组织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段。 总的来说，信息系统风险评估领域和以该领域为基础和前提的信息系统安全 工程在我国已经得到政府、军队、企业、科研机构的高度重视，但目前还处于研 究、发展阶段，它具有广阔的研究空问。 1 1信息系统安全概述 在不到百年的时间内，信息革命和计算机在社会各个层面的引入改变了经济的 运作方式，改变了国家安全的保障方式，同时也改变了人们日常生活的组织方式。 信息时代既带给我们无限商机与方便，也充斥着隐患与危险。信息系统的安全问 题已经渗入到政府机关、军事部门、商业、企业等各个角落，不仅干扰着人们的 日常生活，而且造成了巨大的经济损失，甚至威胁到国家的安全。就系统安全的 j e 基窑运盔堂亟堂僮途童绪论 现状来看，我们的系统是十分脆弱的，我们在安全体制、安全管理等各个方面存 在的问题十分严重而突出，且不容乐观。 究其原因，造成安全问题的真正根源往往不仅仅是技术上的，而更多的是对 网络使用者的行为细心揣测，以及用户自身在安全策略、安全管理机制、安全防 范意识等方面存在缺陷或不足。因此信息系统的安全问题不单单是技术问题，而 是策略、管理和技术的有机结合。 从2 0 世纪9 0 年代中期和2 1 世纪初，六次著名的黑客大战给人们敲响了网络 安全的警钟，无论是政府部门、企业，还是个人用户，目前系统安全意识明显增 强，对安全的理解也在一步一步地加深，从早期的杀毒防毒，到后来的安装防火 墙，直到现在的购买系列安全产品。但是即使通过这样的配置，系统安全隐患仍 没有得到彻底的解决，安全问题也时有发生，因为由这些理解引出的解决方案依 然存在着“头痛医头，脚痛医脚”的片面性，还没有走出传统信息系统安全建设 的事后、被动、单一、针对出现的问题采用一些安全防护措施，并以某个问题的 暂时解决为过程结束标志安全处理模式。人们在无数次的信息系统安全事件的处 理过程中越来越深刻的认识到：纯粹的技术带不来真正的系统安全，系统安全更 不是简单的安全产品的堆砌，信息系统的安全应该是一项复杂的系统工程即信息 安全工程，它包括技术、管理、设备、法律等方方面面。它是采用工程的概念、 原理、技术和方法，来研究、开发、实施与维护企业级信息与网络系统安全的过 程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到 的最好的技术方法相结合的过程。 信息可能以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮 寄或电子手段发送、呈现在胶片上或以谈话说出来。无论信息采用什么形式或者 用什么方法存储或共享，它总要受到适当的保护。信息也像其他重要业务资产一 样，也是一种资产，对一个组织具有价值。在信息安全方面，信息具有下列特征： ( 1 ) 保密性：对信息系统中信息的未经授权的泄露或破坏的容忍程度。具有较 高保密性的系统，信息不能轻易地被泄露或破坏，较低保密性的系统则 信息容易被泄露或破坏。 ( 2 ) 完整性：对信息系统中信息的未经授权的修改或破坏的容忍程度。具有较 高完整性的系统，信息不能轻易地被修改或破坏，较低完整性的系统则 信息较容易被修改或破坏。 ( 3 ) 可用性：对信息系统中信息的存储、传输或处理延迟的容忍程度，或对服 务被破坏或被拒绝的容忍程度。具有较高可用性的系统，信息的存储、 传输和处理不能轻易地或较长时间被延迟，或者服务轻易地被破坏或被 拒绝；较低可用性的系统则信息的存储、传输和处理能较轻易地或较长 2 时间被延迟，或者服务较容易被破坏或被拒绝。 ( 4 ) 可控性：对信息系统中信息的未经授权的控制关系的改变的容忍程度，或 对服务的未经授权的控制关系的改变的容忍程度。具有较高可控性的系 统，信息的控制关系不能轻易进行未授权的改变，较低可控性的系统则 信息的控制关系容易进行未授权的改变。 ( 5 ) 不可否认性：对信息系统中网上信息交换的双方否认进行信息交换事实的 容忍程度。具有较高的不可否认性的系统不能轻易否认交换事实，较低 不可否认性的系统则较容易否认交换事实。 目前的研究看，一个安全的信息系统应包括以下几个特点：结构的合理性及 可扩展性、内容的完备性、组织上的可行性与安全性。为了保证安全体系的实用 性，在设计安全体系时，必须遵循以下四项原则： ( 1 ) 系统的安全性：设计安全体系的最终目的是为安全工程提供一个可靠的依 据和指导，保护信息与网络系统的安全，所以安全性成为首要目标。要保 证体系的安全性，必须保证体系的可理解性、完备性和可扩展性。 ( 2 ) 系统的可行性：设计体系不能纯粹地从理论角度考虑，再完美的方案，如 果不考虑实际因素，那么也只能是一些废纸。设计安全体系的目的是指导 安全工程的实施，它的价值也体现在所设计的工程上，如果工程的难度太 大以至于无法实施，那么体系本身也就没有了实际价值。 ( 3 ) 系统的高效性：信息与网络系统对安全提出要求的目的是能保证系统的正 常运行，如果安全影响了系统的运行，那么就需要进行权衡了。信息网络 系统的安全体系包含一些软件和硬件，它们也会占用信息网络系统的一些 资源。因此，在设计安全体系时必须考虑系统资源的开销，要求安全防护 系统本身不能妨碍信息网络系统的正常运转。 ( 4 ) 系统的可承担性：安全体系从设计到工程实施以及安全系统的后期维护、 安全培训等各个方面的工作都是由对象单位来支持的，单位要为此付出一 定的代价和开销。如果单位要付出的代价比从安全体系中获得的利益还要 多，那么单位就不会采用这个方案。所以，在设计安全体系时，必须考虑 单位的实际承受能力。 1 2信息系统安全国内外研究现状 国外关于信息系统的安全研究已经几十年了，经历了从当初以技术为主导( 代 表标准为t c s e c ，c c ) 【1 】到现在用工程的理念来看待和解决这个问题( 代表标准 s s e - c m m ，b s 7 7 9 9 ，i s o1 3 3 3 5 ) 【2 l 【3 】，发达国家也都相继建立了相对成熟的标准体 3 系、技术体系、组织架构和业务体系，但信息系统的安全问题要比信息产品安全 问题的解决复杂得多，所以国外目前也没有很好的解决这个问题，这个课题还有 非常大的研究空间。 目前国际上普遍认为系统安全应该是一个循环往复的过程，它是动态的、不 断完善的、没有终结的。并由此产生了各类动态安全体系模型，如基于时间的p d r 模型、p z d r 模型 4 1 、全网动态安全体系a p p d r r 模型、安氏的p a d i m 班r m 模型 翻以及我国的w p d r r c 模型。其中偏重技术的p 2 d r 模型和偏重管理的 p a d i m e e 刑模型影响最大。下面简单介绍一下这两个模型： p d r 模型结构如图1 - 1 所示： 图1 - 1p 2 d r 模型结构 该模型由：策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 和响应( r e s p o n s e ) 构成，在p z d r 模型中：安全策略是整个系统安全的依据。在整体的安全策略控制 和指导下，在综合运用防护工具( 防火墙，操作系统身份认证、加密等手段) 的 同时，利用检测工具( 如漏洞评估、入侵检测等系统) 了解和评估系统的安全状 态，将系统调整到“最安全”和“风险最低”的状态。可以看出，在p l d r 模型中，着 重强调的是技术因素。 安氏提出的并被业界广泛认同的信息安全生命周期方法论p a d i m e e t m ，它是 建立在b s 7 7 9 9 i s 0 1 7 7 9 9 上的。应该说p a d i m e e t m 模型对系统安全的描述更全面 一些，该模型结构如图1 2 所示： 该模型通过7 个方面来体现信息系统安全的持续循环，它们是：策略( p o l i c y ) 、 评估( a s s e s s m e n t ) 、设计( d e s i g n ) 、执行( i m p l e m e n t a t i o n ) 、管理( m a n a g e m e n t ) 、紧急 响应( e m e r g e n c yr e s p o n s e ) 和教育( e d u c a t i o n ) ，当得到一个客户的要求时，首先， 就是对客户的技术及业务需求进行分析，然后，再通过以上7 点入手，来全面为 客户构建全面的安全管理解决方案，该模型的核心思想是以工程方式进行信息安 全工作，更强调管理以及安全建设过程中的人为因素。 4 图1 - 2p a d i m e e t m 模型 我国信息系统安全方面的研究是近几年才开始的，目前工作主要集中在组织 架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段，总的来说， 信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经 得到政府、军队、企业、科研机构的高度重视，它具有广阔的研究空间。 目前，国家信息化建设正在不断深入，作为信息化建设重要组成部分的电子 政务也在各地轰轰烈烈地展开。在许多国家积极倡导的信息高速公路五大领域中， “电子政务”作为政府信息化的重要标志被列在首要地位，政府信息化已被公认为社 会信息化的基础。 同时，根据国家经贸委的调查，已有近5 0 0 家大型企业正在进行电子商务的 方案论证和实践。有关官员表示，在三年内预期将有8 0 的国内企业通过在线的 方式开展自己的业务。以上的宏观数据表明电子商务在中国的光明应用前景和在 不远的将来即将对经济社会产生的巨大影响。换言之，电子商务即将通过电子手 段建立全面的新的经济秩序。 由于电子政务系统、电子商务及其相关部门本身的重要性和特殊性，安全性 问题便成了人们解析它们时的首要话题。可以这样说信息系统安全是电子政务、 电子商务及其相关部门中的头等大事。然而解决信息系统安全问题不仅仅是购买 一些安全设备这么简单。盲目地投入巨资购买先进的安全设备，建立所谓的信息 安全系统，建完后才发现根本达不到预期的目标或根本不需要这么昂贵的设备， 设备的利用率只有实际功能的几分之一甚至几十分之一，造成投资失误。这类信 息化浪费在以往信息系统建设中都曾存在。信息系统安全，是一项复杂的系统工 程，这项工程的基础和前提就是对信息安全解决方案进行充分有效的风险分析和 评估。了解信息系统目前与未来的风险所在，评估这些风险可能带来的安全威胁 与影响程度。在没有进行透彻的风险分析和评估所实施的安全策略就像是先建房 而后画图纸一样，会导致资金和人力资源的巨大消耗和浪费。 5 正因为如此，充分有效的系统安全风险分析和评估不但可以将各单位制定、 实施的安全策略作到有的放矢，而且可将系统安全风险降低到可容忍的最低限度。 1 3信息系统安全与风险评估 信息系统的安全，在某种程度上，总是与安全风险评估相关的。信息安全问 题的基础和前提就是对信息安全解决方案进行充分有效的风险分析和评估，了解 系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，从 而将系统的风险降到一个可以接受的程度，这是风险评估所要完成的任务。信息 安全实践的第一步是风险分析、风险评估，信息安全风险分析与评估对于系统安 全具有重要的研究意义。在没有进行透彻的风险分析和评估所实旌的安全策略就 好像先建房屋后画图纸一样，会导致资金和人力资源的巨大消耗和浪费。 风险评估是网络安全防御中的一项重要技术，也是信息安全工程学的重要组 成部分。其原理是对采用的安全策略和规章制度进行评审，发现不合理的地方， 同时采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，确定存 在的安全隐患和风险级别。风险分析针对包括系统的体系结构、指导策略、人员 状况以及各类设备如工作站，服务器、交换机、数据库应用等各种对象根据检 查结果向系统管理员提供周密可靠的安全性分析报告，为提高信息安全整体水平 提供重要依据。在风险评估中，标准的选择、要素的提取、评估实施的过程、评 估方法的研究一直是研究的重点。 1 4 研究的内容 信息安全风险评估是信息安全的起点和着眼点，只有首先经过风险评估，识 别安全的薄弱点，才能有针对性的解决信息安全中的有关问题。然而，信息安全 风险评估的相关研究工作还远没有令人满意，特别是在国内，还处于刚刚起步的 阶段。在这种情况下加强对信息安全风险评估的研究就具有特别重要的意义，具 有更高的学术价值，并会对信息安全的建设起到很大的影响，有助于提高我国信 息安全的整体程度和水平。本文研究的内容主要如下： ( 1 ) 对信息系统安全风险评估的国内外研究现状进行了深入分析，其中对风险 评估相关国际国内标准进行了分类收集和研究，对资产，威胁，脆弱点等 风险要素和控制措施的分类和赋值进行了研究，并且在此基础上总结了目 前风险评估存在的问题和进一步的需求。 ( 2 ) 根据已有成果分析，对信息系统安全风险评估常用工具进行了收集和研 6 究，并结合目前信息安全的新需求，进行了安全风险评估系统的设计与开 发，并进行了软件登记。 在开发安全风险评估系统的同时，对风险评估流程、风险识别、风险分析方 法等风险评估关键问题又进行了针对性的研究和设计。 1 5 课题支持 本论文的支持项目有：国家高技术研究发展计划( 8 6 3 计划) 安全关键系统 风险评估方法和工具研究( i 顷目编号：2 0 0 5 a a l 4 2 1 5 0 ) 1 6 论文的章节安排 本文的主要工作和内容安排如下： 第一章讲述了论文的背景，信息安全概述和国内外信息安全研究现状，本论 文研究工作内容以及项目支持。 第二章讲述了信息安全风险评估的基本概念、国内外研究现状、风险评估标 准、风险评估方法、风险评估过程以及风险评估存在的问题。 第三章对已有信息系统安全风险评估工具的发展、分类和当前形势下对工具 的新要求进行了叙述。 第四章介绍了信息系统安全风险评估系统的设计与实现。本系统采用具有较 高灵活性的以专家为核心的评估流程，可以完成资产信息的采集和输入、自定义 评估安全策略的范围、选择合适的安全等级基线、回答综合性的调查问卷并结合 辅助工具扫描的结果、根据已有的控制措施计算风险值、划分风险等级、给出建 议采用的控制措施等活动。评估结果可以生成报表并对一次评估进行保存。 第五章对全文进行了总结，对作者独创性的工作内容进行了说明，并指出了 存在的不足和有待进一步研究的问题。 7 2 信息系统安全风险评估 2 1风险评估的基本概念 风险评估中涉及如下相关概念和术语： 资产( a s s e t ) ：任何对组织具有价值的东西，包括计算机硬件、通信设施、 建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥 善保护。对资产的评估要从价值、重要性或敏感度等方面来考虑。 威胁( t h r e a t ) 就是可能对资产或组织造成损害的意外事件的潜在原因，即 某种威胁源( t h r e a ts o u r c e ) 或威胁机构( t h r e a ta g e n t ) 成功利用特定弱点对资产造 成负面影响的潜在可能。威胁类型包括人为威胁( 故意和无意) 和非人为威胁( 自 然和环境) 。识别并评估威胁时需要考虑威胁源的动机和能力。风险管理关心的 是威胁发生的可能性。 脆弱点( v u l n e r a b i l i t y ) ： 也被称作漏洞或脆弱性，即资产或资产组中存在的 可能被威胁利用的缺点。脆弱点一旦被利用，就可能对资产造成损害，脆弱点本 身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险管理过程中要 识别脆弱点，并评估脆弱点的严重性和可被利用的容易程度。 风险( r i s k ) ：特定威胁利用资产的脆弱点给资产或资产组带来损害的潜在可 能性。单个或者多个威胁可以利用单个或者多个脆弱点。风险是威胁事件发生的 可能性与影响综合作用的结果。 可能性( l i k e l i h o o d ) ：对威胁事件发生的几率( p r o b a b i l i t y ) 或频率( f r e q u e n c y ) 的定性描述。 影响( i m p a c t ) ：或者是后果( c o n s e q u e n c e ) ，意外事件发生给组织带来的 直接或间接的损失或伤害。 安全措施( s a f e g u a r d ) ：也称作控制措施( c o n t r 0 1 ) 或对策( c o u n t e r m e a s u r e ) ， 即通过防范威胁、减少脆弱点、限制意外事件带来影响等途径来减缓风险的机制、 方法和措施。 残留风险( r e s i d u a lr i s k ) ：在实施安全措施之后仍然存在的风险。 以风险为驱动的信息安全管理，其核心就是通过识别风险、选择对策、实施 对策以减缓风险，最终保证信息资产的保密性、完整性、可用性能够满足目标要 求的这样一个过程，实际上这就是风险管理的概念。对现代企业来说，要实现商 业目标，就要获得信息和信息系统的稳定支持，而要保证r r 系统的稳定和健康， 企业就要获得最大化的安全，信息安全面临的最大问题就是各种风险，将可识别 的风险降低到最低程度，这就成了信息安全首要的任务，因此，解决安全问题的 过程实际上就是信息安全风险管理的过程。 2 2 风险评估的必要性 一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的 具体情况来确定的，没有一个“以不变应万变”的通用的安全解决方案。信息安 全关心的是保护信息资产免受威胁。 绝对安全是不可能的，只能通过一定的措施把风险降低到一个可接受的程度。 对一个信息系统来说，解决信息安全的首要问题就是明白信息系统目前与未来的 风险所在，充分评估这些风险可能带来的威胁与影响的程度，做到”对症下药”，这 就是信息与网络系统的风险分析与评估的必要性。 识别、分析、评估、缓减或转移风险的过程通常定义为风险管理。风险管理 包括风险分析与评估、风险缓减、风险持续评估。安全风险管理是一个过程，它 首先进行风险分析与评估，然后采取一定的控制措旌把风险降低到一个可接受的 水平，并将风险维持在那个水平。安全风险管理的基础是对信息系统进行充分有 效的风险分析与评估。 2 3 风险评估研究 2 3 1风险评估的发展 美国是国际上对信息安全和风险评估研究历史最长和工作最丰富的国家。随 着信息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全概念的发 展变化，他们对信息安全和风险评估的认识也逐步加深。从最初关注计算机保密 发展到目前关注信息系统基础设施的信息保障。大体经历了以下三个阶段： 第一阶段( 6 0 - 7 0 年代) 以计算机为对象的信息保密阶段。1 9 6 7 年美国国防 部委托兰德公司、迈特公司开始研究计算机安全问题，当时主要对大型机、远程 终端进行了研究。其重点针对了计算机系统德保密性问题，对安全的评估只限于 保密性。 第二阶段( 8 0 - 9 0 年代) 以计算机和网络为对象的信息安全保护阶段。此阶 段出现了初期的针对美国军方的计算机黑客行为。在此期间逐步认识到了更多的 信息安全属性( 保密性、完整性、可用性) ，从关注操作系统安全发展到关注操作 系统，网络和数据库，试图通过对安全产品的质量保证和安全测评来保障系统安 9 全，但实际上仅仅奠定了安全产品测评认证的基础和工作程序。 第三阶段( 9 0 年代末，2 1 世纪初) 以信息系统关键基础设施为对象的信息保 障阶段。计算机网络成为关键基础设施的核心。各个行业也逐步提出了本行业的 信息安全战略，风险评估思想在其中得到了重要的贯彻。 i s 0 1 5 4 0 8 ( c c ) 及其通 用评估方法( c 酬) 国家非官方实验室认 可计划( n v l a p ) i s o i e c ( 导 则2 s ) 要求 认可 n i a p 认证机构 技术 合作 评估 结果 方案 需求 技术 监督 一圈 图2 - 1 美国的风险评估认证体系结构 目前，美国已经建立了国家风险评估认证体系，负责研究并开发相关的评估 标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证， 其最新的发展计划就是f i s m a 计划。关于美国的认证体系结构，如图2 - 1 所示， 工作流程如图2 2 所示。 系统标识 启动和范围确定 安全计划确认 初始的安全风险确认 安全控制确认和标识 协商 评估流程的细化 安全测试和评估 最终的风险评估 安全计划的更新 认证结论 认可决j 蠢 风险评估的更新 系统和环境的更新 确认可 系统废弃 图2 2 美国的风险评估认证认可流程图 我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展 的。早期的信息安全工作中心是信息保密。8 0 年代后，提出了计算机安全的问题， 开展了计算机安全检查工作。但由于缺乏风险意识，通常寻求绝对安全的措施。 9 0 年代后，我国提出了计算机信息系统实行安全等级保护的要求。其后，提出了 一系列的相关技术标准和管理规范。信息安全的风险意识也开始建立，并逐步加 强。 1 0 2 3 2风险评估要素关系模型 要实施风险评估就必须对其要素有一个准确的理解，图2 3 显示了风险评估 的各要素及其关系。 图2 - 3 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些 要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要 素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全 事件、残余风险等与这些基本要素相关的各类因素。 图2 3 中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产 拥有价值，单位的业务战略越重要，对资产的依赖程度越高，资产的价值则就越 大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大， 并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性 使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱点来危害资产，从而 形成风险；资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全 措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全 事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下 来的风险一部分残余风险来自于安全措施可能不当或无效，在以后需要继续 控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后， 有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视， 因为它可能会在将来诱发新的安全事件。 业务战略 丁石 威胁l 墅 - r 飞 风险 瓦 安全事件) 4 里互气残余风险) q 叫安全措施 、- _ _ ，7 、- _ _ ，- 一 图2 3 风险评估各要素关系图 2 3 3国内外风险评估标准体系的发展 国外关于信息系统安全风险评估的研究已经二十多年了，相关的标准体系、 技术体系、组织架构和业务体系都比较成熟，发达国家都具有自己的信息安全评 估认证体系。比较著名的标准体系有： 1 9 8 3 年美国国防部( d o d ) 首次公布了“可信计算机系统评估黻j ( t c s e c l 6 1 ) ” 以用于对操作系统的评估，这是r r 历史上的第一个安全评估标准。 信息技术安全性评估准则( r r s e d 7 j ) 是法国、德国、荷兰和英国四个欧 洲国家安全评估标准的统一与扩展。 1 9 9 2 年4 月，加拿大可信计算机产品评估准则( c t c p e c 8 】) 草案公布。 1 9 9 2 年8 月，日本电子工业发展协会( j e i d a ) 公布了日本计算机安全评 估准则一功能要求( j c s e c - f r 9 1 ) 。 信息技术安全性评估通用准则( 简称通用准则，c c ) 是北美和欧盟联 合开发的一个统一的国际互认的安全准则，1 9 9 8 年公布了c c 的第二版。c c 取代 了美国的i t s e c 、欧洲的i t s e c 以及加拿大的c t c p e c ，成为事实上的国际安全 评估准则。1 9 9 9 年c c 被i s o 批准为国际标准i s 0 m c l 5 4 0 8 1 9 9 9 并正式颁布发 行，其版本为2 1 版。 b s 7 7 9 9 由英国标准协会( b s i ) 与1 9 9 5 年2 月首次公布，1 9 9 9 年5 月进行了 修订。b s 7 7 9 9 的第一部分b s 7 7 9 9 1 ：1 9 9 9 已于2 0 0 0 年1 2 月被i s o 接纳为国际标 准( i s 0 砸c1 7 7 9 9 ：2 0 0 0 ) 。 国际标准化组织在信息安全管理方面，1 9 9 6 年开始制定信息技术信息安全 管理指南( 1 s 伽e c l 3 3 3 5 ) 。其后，又通过了依据b s 7 7 9 9 - - 1 制定的信息安全 管理实施指南( i s e c l 7 7 9 9 ：2 0 0 0 ) ，提出了基于风险管理的信息安全管理体 系。 我国信息安全方面的标准体系是近几年才开始的。目前的工作主要集中在组 织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段。现已颁 布的相关标准有： 1 9 9 9 年9 月国家质量技术监督局发布了强制性国家标准计算机信息安全保 护等级划分准则1 1 0 1 ，它是建立安全等级保护制度、实施安全等级管理的重要基 础性标准。该标准的制定参考了美国的可信计算机系统评估准则( d o d 5 2 0 0 2 8 s t d ) 和可信计算机网络系统说明( n c s c - t g 0 0 5 ) ，它将计算机信息系统 安全保护等级划分为五个等级，对每一级别的具体要求则是通过对若干安全要素 要求的描述来完成。 2 0 0 1 年3 月8 日，国家质量技术监督局正式颁布了援引c c 的国家标准g b t 1 8 3 3 6 2 0 0 1 信息技术安全技术信息技术安全性评估准则1 1 1 l 。 由于i s o i e c l 7 7 9 9 标准在信息安全管理中的重要地位，我国已准备将其纳入 国家标准，目前正在进行国标的转换工作。 2 3 4信息安全风险评估标准 “没有规矩，不成方圆”，这句话在信息系统风险评估领域也是适用的，没有 标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得 到该标准的评估认证，不但可为信息系统提供可靠的安全服务，而且可以树立单 位的信息安全形象，提高单位的综合竞争力。从美国国防部1 9 8 5 年发布著名的可 信计算机系统评估准则( t c s e c ) 起，世界各国根据自己的研究进展和实际情况， 相继发布了一系列有关安全评估的准则和标准。下面简单介绍其中比较典型的几 个标准。 ( 1 ) c c 标准 信息技术安全评估公共标准c c i t s e ( c o m m o nc r i t e r i ao fi n f o r m a t i o nt e c h n i c a l s e c u r i t y e v a l u a t i o n ) ，简称c c ( i s o i e c l 5 4 0 8 1 ) ，是美国、加拿大及欧洲四国( 共 6 国7 个组织) 经协商同意，于1 9 9 3 年6 月起草的，是国际标准化组织统一现有 多种准则的结果，是目前最全面的评估准则。 c c 源于t c s e c ，但已经完全改进了t c s e c 。c c 的主要思想和框架都取自 i t s e c ( 欧) 和f c ( 美) ，它由三部分内容组成：1 ) 介绍以及一般模型；2 ) 安全 功能需求( 技术上的要求) ；3 1 安全认证需求( 非技术要求和对开发过程、工程过 程的要求) 。 c c 与早期的评估准则相比，主要具有四大特征：1 ) c c 符合p d r 模型；2 ) c c 评估准则是面向整个信息产品生存期的；3 ) c c 评估准则不仅考虑了保密性，而且 还考虑了完整性和可用性多方面的安全特性；4 ) c c 评估准则有与之配套的安全评 估方法c e m ( c o m m o ne v a l u a t i o nm e t h o d o l o g y ) 。 ( 2 ) b s 7 7 9 9 ( i s 伽e c l 7 7 9 9 ) b s 7 7 9 9 标准是由英国标准协会( b s i ) 制定的信息安全管理标准，是国际上具有 代表性的信息安全管理体系标准，标准包括两部分：b s 7 7 9 9 1 ：1 9 9 9 信息安全管理实 施细则，b s 7 7 9 9 2 ：2 0 0 2 信息安全管理体系规范1 1 2 】，其中b s 7 7 9 9 - 1 ：1 9 9 9 于 2 0 0 0 年1 2 月通过国际标准化组织( i s o ) 认可，正式成为国际标准，即 i s o i e c l 7 7 9 9 ：2 0 0 0 。 b s 7 7 9 9 1 ：1 9 9 9 信息安全管理实施细则是组织建立并实施信息安全管理体 系的一个指导性的准则，b s 7 7 9 9 2 ：2 0 0 2 以b s 7 7 9 9 1 ：1 9 9 9 为指南，详细说明按照 p d c a 模型建立、实施及文件化信息安全管理体系( 1 s m s ) 的要求。 ( 3 ) i s o i e c2 1 8 2 7 ：2 0 0 2 ( s s e - c m m ) b 3 1 信息安全工程能力成熟度模型( s y s t e ms e c u r i t ye n g i n e e r i n gc a p a b i l i t ym a t u r i t y m o d e l ) ，是关于信息安全建设工程实施方面的标准。 s s e - c m m 的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型 定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。 s s e - c m m 模型通常以下述三种方式来应用：“过程改善_ 可以使一个安全工 程组织对其安全工程能力