（计算机应用技术专业论文）网络安全监察系统中风险评估方法的研究.pdf

北方工业大学硕士学位论文 摘要 网络安全监察系统中对网络安全的监控是一个动态而复杂过程，它贯穿于 网络安全监察系统的整个生命周期。网络安全的威胁来自内部破坏、外部攻击、 内外勾结进行的破坏以及系统本身所产生的意外事故，必须按照风险管理的思 想，对可能的威胁和需要保护的信息资源进行风险分析，选择适当的安全措施， 妥善应对可能发生的安全风险。因此，在网络安全监察系统中添加安全风险评 估模块是十分必要的。 论文首先介绍了网络安全监察系统及所用关键技术。一个完整的网络安全 管理平台能够集成多种网络安全设备或软件，收集各种不同类型的安全信息， 对当前的网络状况做出安全风险评估并给出相应的策略。风险评估就是从风险 管理角度，运用科学的方法和手段，系统地分析网络系统所面临的威胁及其存 在的脆弱性，从而最大限度地为保障网络安全提供科学依据。 论文接下来对风险评估模块实现的过程进行了详细介绍，分为前期数据准 备；对资产、脆弱性、威胁的识别；使用数据挖掘的关联规则算法对告警进行 统计及相关性分析；风险评估结果记录等几个方面。评估安全事件一旦发生可 能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防 范和化解信息安全风险，或者将风险控制在可接受的水平。该模块有以下几个 特点：告警归并与过滤、告警相关性分析及统一化管理。 论文最后将课题使用方法与传统的风险分析方法进行分析和比较，分析以 往在风险管理过程中使用传统风险分析方法的缺陷，比较在网络安全风险管理 过程中主要使用数据挖掘方法的优势。 课题使用数据挖掘的方法对告警事件进行统计和相关性分析，在某单位网 络安全管理平台中实现了风险评估模块。提高了告警相关性分析的效率和准确 性。为网络安全监察系统中安全风险管理提供了精确而现实可行的方法。 关键字：网络安全，风险评估，数据挖掘，关联规则 1 北方，i ：业人学硕十学位论文 r e s e a r c ho f 础s ka s s e s s m e n ti nn e t w o r k s e c u i i t y s u p e r v i s es y s t e m3 u d e r v l s e6 v s t e m a b s t r a c t t h en e 觚o r ks e c u r i t y s u p e i s es y s t e mi n s p e c t i n gt h en e t w o r ks e c u r i t y i s d y n a m i ca n dc o m p l e xp r o c e s sa n di ti si nt h el i f e c y c l eo fn e 柳o r ks e c u r i t ys u p e i s e s y s t e m t h em e n a c eo ft h i ss y s t e m ss a f e t yi sf r o md e s t r o yi n s i d e 、 a t t a c ke x t e r i o r 、 w r e c kb o t hi n s i d ea n de x t e r i o r、 c o n t i n g e n c yo ft h es y s t e mi t s e l f - s ow es h o u l d a n a l y z et h ep o s s i b l em e n a c ea n di n f b n n a t i o nw h i c hn e e dp r o t e c t sr i s ki nt e n no fr i s k m a n a g i n gi d e o l o g y c h o i c ep r o p e rs a f e t yp r e c a u t i o n s ，b ea p tt oa n ys a f e t yr i s kw h i c h m a yb eh a p p e n t h e r e b y ；i ti se s s e n t i a lt 0d or j s ka s s e s s m e n tj nn e t w o r ks e c u r j t y s u p e i s es y s t e m t h i s p a p e ri n t r o d u c e t h en e t w o r k s e c u r i t ys u p e i s es y s t e ma n dt h ek e y t e c l l i l i q u eu s e da tf i r s t aw h o l en e 觚o r ks e c u r i t ys u p e i s es y s t e mc a ni n t e 黟a t i o n m a i l yn e 似o r ks a f e t yo rs o f 研a r e ，c o l l e c tk i n d so fs a f e t yi n f 0 咖a t i o n ，r i s ke v a l u a t et h e n e ts t a t u sa n d 百v et h er e l e v a n tp o l i c y r i s ka s s e s s m e n tu s es c i e n t i f i cm e t h o dt o m a n a g er i s k ，a n a l y z et h et h r e a t e na n d 行a n g i b i l i t yo ft h en e ts y s t e mf i o mr i s km a n a g e p o i n to fv i e w s oi tc a n e n s u r et h es a f e t yo fn e t 、) l r o r kf u n h e s t f o u o w e d ，p a n i c u l a ri n t r o d u c et h ec o u r s e0 fr i s ka s s e s s m e n t i ti n c l u d e s ：t h e p r e p a r eo fd a t a ；t h ei d e n t i f yo fa s s e t 、行a n 酉b i l i t y 、m e n a c e ；a m a l y z et h er e l a t j v i t yo f a l a 肌sw i t hd a t am i n i n g ；t h er e p o r to fr i s ka s s e s s m e n t 王 v a l u a t ew h e ns a f e t ya f ! f a i r 0 c c u r w h a td e 伊e ei tw i nd oh a m ，b r i n gf o r w a r dt h ep e r t i n e n c er e s i s ti n t i m i d a t o r d e f e n dc o u n t e 眦e a s u r ea n dk e e pa w a yf 的mi t t h ec h a r a c t e r i s t i c so ft h i sm o d e la r e a sf o l l o w ：t h em e 唱e ra n df i l t r a t eo fa l a m s ，a l a 皿r e l a t i v i t ya 1 1 a l y s e sa n du n i f y m 锄a g e m e n t l a s t l y t h i s p a p e rc o m p a r e dt h ed a t am i n i n gm e t h o dw i t h t h et r a d i t i o n a l t e c l l i l i q u eo fr i s ka s s e s s m e n t a n a l y z e t h ed i s f i g u r e m e n to ft r a d i t i o nr i s ka n a l y z e m e t h o d ，c o m p a r et h es u p e r i o r i t y i nn e t 、) l ，o r k s e c u r i t ys u p e i s es y s t e m s r i s k 2 北方t 业大学硕十学位论文 m a n a g e m e n tw h i c hu s e sd a t am i n i n g t h i sd e s i g nh a sa n a l y z e dt h ea l a m r e l a t i v i t yw i t hd a t am i n i n g ，i m p l e m e n t e dt h e f i s ka s s e s s m e n to fs o m eu n i t sn e t w o r ks e c u r i t y s u p e i s es y s t e m ， a d v a n c et h e e f f i c i e n c y 锄dv e r a c i t yo fa l a 加r e l a t i v i t y i tp r o v i d e dae x a c ta n dr e a l i s mm e t h o dt o t h en e 晰o r ks e c u r i t ys u p e i s e k e yw o r d s ：n e t w o r ks e c u r i t y ，r i s ka s s e s s m e n t ，d a t am i n i n g ，a s s o d a t i o nm l e 3 二 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研 究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得j 匕友王些太堂或其他教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示谢意。 学位论文佳者笋予： 签字日期如露年s 月构 抵 u 学位论文版权使用授权书 本学位论文作者完全了解j 匕友王些太堂有关保留、使用学位论文的规定，有 权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权j 量友王些太堂可以将学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 砖嘎 签字日期：反湃朔厢 学位论文作者毕业后去向： 工作单位： 通讯地址： 电话： 邮编： 北方工业大学硕士学位论文 1 引言 1 1 课题选题依据 1 1 1 研究目的 所谓网络安全风险评估是指依据国家有关技术标准，对系统中网络安全的 完整性、保密性、可靠性等安全保障性能进行科学、公j 下的综合评估活动。风 险评估是识别系统安全风险并决定风险出现的概率、结果的影响，补充的安全 措施缓和这一影响的过程，它是风险管理的一部份。 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可 能性的评估。它是确认安全风险及其大小的过程，即利用适当的风险评估工具， 包括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。 对于告警相关性的知识，从原则上讲可以从设备涉及人员或由丰富操作经 验的工程师获得，但这个过程相当繁琐，而且单从工程师那里获取告警相关性 知识，已无法满足网络维护的需要，因此迫切需要新的方法分析网络中的告警 相关性，辅助网络管理人员查明产生故障的原因。 1 1 2 研究意义 网络安全监察系统中对网络安全的监控是一个动态的复杂过程，它贯穿于 网络安全监察系统的整个生命周期。网络安全监察系统中网络安全的威胁来自 内部破坏、外部攻击、内外勾结进行的破坏以及系统本身所产生的意外事故， 必须按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析， 选择适当的安全措施，妥善应对可能发生的安全风险。因此，对网络安全监察 系统进行不断的安全风险评估是十分必要的。 通过网络安全风险评估可以有助于认清网络安全环境和网络安全状况，明 确网络建设中的各级责任，采用或完善更加经济有效的安全保障措施，保证网 络安全策略的一致性和持续性，并进而促进网络安全保障体系的建设，全面提 1 北方工业大学硕十学位论文 高信息安全保障能力。 传统上对告警相关性分析主要通过人工分析出相关性规则，然后再加入到 系统当中。当网络规模越来越大时，仅仅通过专家获得告警相关性知识，已经 无法满足网络维护的需要。本课题通过数据挖掘的方法来获得告警相关性分析 所需的知识，减少对网管人员和专家的依赖，提高了相关性分析的效率和准确 性。【l 】 1 1 3 国外信息安全风险评估发展状况 美国是国际上对风险评估研究历史最长和工作经验最丰富的国家。随着信 息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全管理概念的 深化，对风险评估的认识也逐步加深。美国从最初关注计算机的保密发展到目 前关注信息系统基础设施的安全保障，大致经历了三个阶段：第一阶段( 2 0 世 纪6 0 年代至7 0 年代) ：以计算机为对象的保密阶段；第二阶段( 2 0 世纪8 0 年 代至9 0 年代) ：以网络为对象的保护阶段；第三阶段( 2 0 世纪9 0 年代末到2 1 世纪初) ：以信息基础设施为对象的保障阶段。美国联邦政府信息系统的安全 工作是在信息系统整个生命周期中进行的，而整个信息系统安全工作的关键控 制点则是信息安全风险评估。 b s 7 7 9 9 标准是由英国标准协会( b s i ) 制定的信息安全管理标准，是目前 国际上具有代表性的信息安全管理体系标准。它主要提供了有效地实施l t 安全 管理建议，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制定 出自己的安全管理计划和实施步骤，为公司发展、实施和估量有效的安全管理 实践提供参考依据。其基于风险管理的思想，指导机构建立信息安全管理体系 ( i s m s ) 。i s m s 是一个系统化、程序化和文件化的管理体系，基于系统、全面、 科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关信息安全 的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用与风险 平衡的原则合理选择安全控制方式保护机构的关键信息资产，使安全风险的发 生概率和结果降低到可接受的水平，确保信息的机密性、完整性和可用性，保 持机构业务运作的持续性。 综观国际情况，虽然传统的风险评估不是一个陌生问题，但是信息安全风 险评估在国际上仍是一个尚在探讨之中的未决问题。风险评估经历了一个从只 2 北方丁业大学硕士学位论文 重技术到技术、管理并重的全面评估，从单机到网络再到信息系统基础设施， 从单一安全属性到多种安全属性的发展。当前，正在信息保障的概念下，处在 不断深化完善之中。 1 1 4 我国信息安全风险评估发展现状 我国的信息安全风险评估工作是随着对信息安全问题认识的逐步深化不断 发展的。近年来，各有关部门及社会各方面积极探索，审慎实践，我国信息安 全风险评估开始起步，在信息安全保障工作中发挥了一定的作用，但总体上我 国信息安全风险评估工作还处于初始阶段，也存在着一些待解决的问题。目前 我国国内缺乏一个典型意义上、系统完整的信息安全风险评估，一些风险分析 没有在等级划分的基础上分级分类做，往往只给出一个笼统的报告，既没有国 家层面的标准规范可以依据，也没能够准确地参照国外的相关经验。此外，现 有的风险评估流程不够科学规范，导致评估结果不准确、不客观。 信息安全风险评估既是一个管理问题，也是一个技术问题。科学的风险评 估需要理论、方法、技术和工具来支撑。仅靠通用技术平台的脆弱性分析，难 以真正地掌握和了解具体行业、部门的资产、威胁和风险，也将带来关注面缺 失的问题。现阶段只能对一些设备进行基础的数据测评，缺乏基于多方数据之 上的系统的综合分析与评估的能力。【1 4 j 1 2 课题研究内容 在网络安全监察系统中添加风险评估模块，通过使用数据挖掘的方法来进 行安全风险评估。 研究如何对各种预警、告警信息进行处理。对用户主机自动进行全面的安 全检测，发现系统存在的所有已知安全漏洞、病毒及后门程序，并向用户提交 安全评估报告，告知主机安全等级。信息系统安全等级保护监管级别划分为： 第一级：自主性保护；第二级：指导性保护；第三级：监督性保护；第四级： 强制性保护；第五级：专控性保护。 根据对各种告警信息的处理实现预先免疫功能。可以针对不同用户的安全 3 北方工业大学硕+ 学位论文 需求提供了多种安全防护策略，这些安全策略可以是事先以文本格式由上级下 发的，属于指导性保护。通过安全策略可以实现端口的防护、系统安全漏洞及 时修复，安全配置的完全优化，从而全面提高计算机的整体安全性，并能对未 来的安全威胁起到很好的安全免疫，确保用户的计算机不被新的攻击程序破坏。 在网络安全监察系统的风险评估模块中实现自检、安全评估功能：对用户 主机自动进行全面的安全检测，发现系统存在的所有已知安全漏洞、后门程序 及各种对系统可能造成安全等级下降的影响，并向用户以表格、图表等多种形 式提交安全风险评估报告，告知主机安全等级。显示告警相关性分析结果，利 用预警、补丁、策略等功能协助网管人员分析故障信息、进行故障定位提高系 统安全等级保护。 另对网络安全监察系统典型的风险评估方法进行研究，重点研究其具体实 施手段和j x l 险的计算方法方面的不同，有针对性地进行比较，提出了一种在网 络安全风险管理过程中的新思路，克服了以往在风险管理过程中使用传统风险 分析方法的缺陷，为有效进行信息安全风险管理提供精确而现实可行的方法。 4 北方工业大学硕十学位论文 2 背景理论及相关技术 2 1 网络安全监察系统简介 随着网络的逐步普及，网络安全已成为i n t e r m 玎路上的焦点，它关系着 i n t e r n e t 的进一步发展和普及，甚至关系着i n t e r n e t 的生存。可喜的是互 联网专家们并没有令广大i n t e r n e t 用户失望，网络安全技术也不断出现，使 广大网民和企业有了更多的放心，下面就网络安全中的主要技术作个简介： 防火墙：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击， 以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能 禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点 的访问，从而防止来自不明入侵者的所有通信。1 5 j l d s ：i d s 是i n t m s i o nd e t e c t i o ns y s t e m 的缩写，即入侵检测系统，主要用于 检测h a c k e r 或c r a c k e r 通过网络进行的入侵行为。i d s 的运行方式有两种，种 是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上 运行以监测所有网络设备的通信信息，比如h u b 、路由器。 杀毒软件：杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足 网络安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果 个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是随着杀毒软 件技术的不断发展，现在的主流杀毒软件同时能够预防木马及其它的一些黑客 程序的入侵。i 漏洞扫描：漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模 拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作 站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理 员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 在网络安全体系的建设中，安全扫描是一种花费低、效果好、见效快、与网络 的运行相对独立、安装运行简单的工具，它可以大规模减少安全管理员的手工 劳动，有利于保持全网安全政策的统一和稳定。【8 】 非法外联：非法外联监控系统利用先进的监控技术手段，发现内部网计算 机非法接入互联网和外来主机接入内部网等行为，及时告警切断非法的连接， 从而保障内部与外界的完全隔离，确保内部机密信息的安全。主要功能是：探 5 北方1 j 业大学硕士学位论文 测内部网中非法上互联网的计算机，由警戒者监测中心记录并告警。监测内部 网中发生的外来主机非法接入、纂改i p 地址、盗用i p 地址等不法行为，由监测 控制台进行告警。【9 】 但是，网络安全是一个“木桶”问题，单靠任何一种安全产品，都不可能做到 真正意义上的安全。只有将各种安全手段汇集起来，实行联动、层层设防、处 处拦截、才能将安全风险降到最低程度。 因此，网络安全管理平台应运而生。安全管理平台的总体目标是建立一个 统一、一体的安全管理体系，提供统一全网安全策略、进行广域监察的技术手 段，为实施网络安全指挥提供态势感知和决策支持。改变以往安全产品单打独 斗、孤立无援的局面。 一个完整的安全管理平台由安装在服务器上的各级安全管理中心及其下属 的各种软硬件安全设备组成。安全设备包括防火墙、漏洞扫描、i d s ( 入侵检测) 、 防病毒等。安全管理平台中的每一级，负责一处局域网。而各级之间，通过广 域网连接。如图2 1 所示，为网络安全管理平台运行时的界面效果，其中展示了 各级网络安全管理平台之间的连接拓扑。 ：互麓鍪蕊乏隘瓮黧未纛。纛；_ 。 + 1 一。- ： 。 ”一_巴i 、j j r 二 n j 女 一 一+ i 。，：一 + j 一 v 彳妒 ， 图2 1 网络安全管理平台运行界面 6 - 北方t 业大学硕七学位论文 安全管理核心模块依据功能需求划分为监控管理、策略管理、报告管理、 库管理、资料管理及系统管理六大模块，大模块再划分为二十个小模块，其模 块组成如图2 2 所示。 图2 2 网络安全管理平台核心模块内部组成 2 2 网络安全监察系统风险评估概述 2 2 1 基本概念 网络安全监察系统风险评估通过对系统的资产、面临威胁、存在脆弱性、 采用的安全控制措施等进行分析，从技术和管理两个层面综合判断网络安全监 察系统面临的风险。 所谓网络安全监察系统风险评估是指依据国家有关技术标准，对网络安全 监察系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评 估活动。风险评估是识别系统安全风险并决定风险出现的概率、结果的影响， 补充的安全措施缓和这一影响的过程，它是风险管理的一部份。 网络安全监察系统中的安全风险是人为或自然的威胁利用系统存在的脆弱 性引发的安全事件，并由于受损信息资产的重要性而对机构造成影响。 风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络 7 北方工业大学硕十学位论文 与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成 的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化 解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络 和信息安全提供科学依据。 2 2 2 基本要素关系 风险评估的基本要素包括：要保护的信息资产、信息资产的脆弱性、信息 资产面临的威胁、存在的可能风险、安全防护措施等。风险评估围绕着这些基 本要素展开，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏 其安全性。在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、 安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图2 3 显示 了风险评估各要素之间的关系，其中，方框中的内容为风险评估的基本要素， 椭圆中的内容是与这些要素相关的属性。风险评估要识别资产相关要素的关系， 从而判断资产面临的风险大小。 图2 3 风险要素关系图 8 北方工业人学硕十学位论文 图2 3 中的风险要素及属性之间存在着以下关系： 1 1 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； 2 1 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； 3 ) 资产价值越大，原则上则其面临的风险越大； 4 1 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事 件； 5 1 弱点越多，威胁利用脆弱性导致安全事件的可能性越大； 6 1 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险； 7 1 风险的存在及对风险的认识导出安全需求； 8 1 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； 9 1 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响； 1 0 1 风险不可能也没有必要降为零，在实施了安全措施后还可以有残余风险。有 些残余风险的原因可能是安全措施不当或无效，需要继续控制；而有些残余 风险则是在综合考虑了安全成本与效益后未去控制的风险，是可以接受的； 1 1 ) 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 2 2 3 风险分析原理 风险分析原理如图2 4 所示。风险分析中要涉及资产、威胁、脆弱性等基本 要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威 胁主题、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。 风险分析的主要内容为： 1 ) 对资产进行识别，并对资产的价值进行赋值； 2 ) 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； 3 ) 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 4 ) 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性； 5 ) 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失； 6 ) 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对 组织的影响，即风险值。 9 北方1 ：业大学硕十学何论文 2 3 风险评估理论与方法 图2 4 风险分析原理图 2 3 1 手动评估和工具辅助评估 在各种信息安全风险评估工具出现以前，对信息系统进行安全管理，一切 工作都只能手工进行。对于安全风险分析人员而言，这些工作包括识别重要资 产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分 析和评估等。对于安全决策者而言，这些工作包括资产估价、安全投资成本以 及风险效益之间的平衡决策等。对于系统管理员而言，这些工作包括基于风险 评估的风险管理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们都 是依据各自的经验，进行与安全风险相关的工作。 风险评估工具的出现在一定程度上解决了手动评估的局限性。1 9 8 5 年，英 国c c t a 开发了c 删m 风险评估工具。c 删m 包括全面的风险评估工具， 并且完全遵循b s7 7 9 9 规范，包括依靠资产的建模、商业影响评估、识别和评估 威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。c 洲m 评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过c 删m 评估者与 资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到， 最后给出一套安全解决方案。1 9 9 1 年，c & as y s t e ms e c l i r i t y 公司推出了c o b r a 工具，用来进行信息安全风险评估。c o b i 港由一系列风险分析、咨询和安全 1 0 北方t 业大学硕士学位论文 评价工具组成，它改变了传统的风险管理方法，提供了一个完整的风险分 析服务，并且兼容许多风险评估方法学( 如定性分析和定量分析等) 。它可以 看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估 其相对重要性，并且给出合适的建议和解决方案。此外，它还对每个风险类别 提供风险分析报告和风险值( 或风险等级) 。 信息安全风险评估工具的出现，大大缩短了评估所花费的时间。在系统应 用和配置不断改变的情况，组织可以通过执行另外一次评估重新设置风险基线。 两次评估的时间间隔可以预先确定( 例如，以月为单位) 或者由主要的事件触 发( 例如，企业重组、组织的计算基础结构重新设计等) 。 2 3 2 技术评估和整体评估 技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，包 括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技 术驱动的评估通常包括：( 1 ) 评估整个计算基础结构。( 2 ) 使用拥有的软件 工具分析基础结构及其全部组件。( 3 ) 提供详细的分析报告，说明检测到的技 术弱点，并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所 讲的技术脆弱性评估，强调组织的技术脆弱性。但是组织的安全性遵循“木桶 原则 ，仅仅与组织内最薄弱的环节相当，而这一环节多半是组织中的某个人。 整体风险评估扩展了上述技术评估的范围，着眼于分析组织内部与安全相 关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和 基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险 进行排列，关注的焦点主要集中在安全的以下4 个方面： 1 ) 检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可 能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评 定； 2 ) 包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查； 3 ) 检查1 1 r 的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的 破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等； 4 ) 帮助决策制订者综合平衡风险以选择成本效益对策。 1 9 9 9 年，卡内基梅隆大学的s e i 发布了o c l 姗框架，这是一种自主型 1 1 北方- 1 ：业大学硕+ 学位论文 信息安全风险评估方法。o c t a v e 方法是砧b e r t s 和d o r o f e e 共同研究的成果， 这是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型 组织，中小型组织也可以对其适当裁剪，以满足自身需要。它的实施分为三个 阶段： 1 ) 建立基于资产的威胁配置文件( t h r e a tp r o f i l e ) 。这是从组织的角度进行的评 估。组织的全体员工阐述他们的看法，如什么对组织重要( 与信息相关的资 产) ，应当采取什么样的措施保护这些资产等。分析团队整理这些信息，确 定对组织最重要的资产( 关键资产) 并标识对这些资产的威胁； 2 ) 标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种 关键资产相关的关键信息技术系统和组件，然后对这些关键组件进行分析， 找出导致对关键资产产生未授权行为的弱点( 技术弱点) ； 3 ) 开发安全策略和计划。分析团队标识出组织关键资产的风险，并确定要采取 的措施。根据对收集到的信息所做的分析，为组织开发保护策略和缓和计划， 以解决关键资产的风险。 2 3 3 定性评估和定量评估 定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件 所带来的损失( l o s s ) ，而忽略事件发生的概率( p r o b a b i l i t v ) 。多数定性风险 分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等 级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的 影响值和概率值为“高 、“中、“低”。有时单纯使用期望值，并不能明 显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高 的 值为3 ，“中 的值为2 ，“低 的值为1 。但是要注意的是，这里考虑的只是 风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太 多的意义，否则，将会导致错误的决策。 定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损 失。把这两个元素简单相乘的结果称为a l e ( a m n u a ll 0 s se x p e c t a n c y ) 或b c ( e s t i m a t e da - i l n u a lc o s t ) 。理论上可以依据a l e 计算威胁事件的风险等级，并 且做出相应的决策。一种定量风险评估方法。该方法首先评估特定资产的价值v ， 把信息系统分解成各个组件可能更加有利于整个系统的定价，一般按功能单元 1 2 北方工业大学硕+ 学位论文 进行分解；然后根据客观数据计算威胁的频率p ；最后计算威胁影响系数h ，因 为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的 范围可能从无危害到彻底危害( 即完全破坏) 。根据上述三个参数，计算a l e ： a l e = v p u ( 3 1 ) 定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种 方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁， 存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生 的可能性( 如洪水和地震) 。也可以用事件发生的频率估计一些系统问题的概 率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在 频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事 件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程 非常耗时和困难。 鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有 直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他 主观因素，称为主观概率。应用主观概率估计由人为攻击产生的威胁需要考虑 一些附加的威胁属性，如动机、手段和机会等。 2 3 4 基于知识的评估和基于模型的评估 基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取 并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供 推荐的保护措施、结构框架和实施计划。 基于“良好实践 的知识评估方法。该方法提出重用具有相似性组织( 主 要从组织的大小、范围以及市场来判断组织是否相似) 的“良好实践 。为了 能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库， 存储了3 0 年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助 用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多 年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施 和包装，以减少组织的安全风险。然而，组织相似性的判定、被评估组织的安 全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非 常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。 1 3 北方t 业大学硕士学位论文 基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时 又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱 点和安全威胁的定性分析。如u m l 建模语言可以用来详细说明信息系统的各个 方面：不同组件之间关系的静态图用c l a s sd i a 掣a m s 来表示；用来详细说明系统 的行动这和功能的动态图用u s ec a s ed i a 伊a m s 和s e q u e n c ed i a g r a m s 来表示；完整 的系统使用u m ld i a g r a m s 来说明，它是系统体系结构的描述。 2 0 0 1 年，b i t d 开始了c o r a s 工程安全危急系统的风险分析平台。该 工程旨在丌发一个基于面向对象建模技术的风险评估框架，特别指出使用u m l 建模技术。利用建模技术在此主要有三个目的：第一，在合适的抽象层次描述 评估目标；第二，在风险评估的不同群组中作为通信和交互的媒介；第三：记 录风险评估结果和这些结果依赖的假设。c c 准则和c o r a s 方法都使用了半形 式化和形式化规范。c c 准则是通用的，并不为风险评估提供方法学。然后，相 对于c c 准则而言，c o r a s 为风险评估提供方法学，开发了具体的技术规范来 进行安全风险评估。 2 4 告警相关性分析 2 4 1 什么是告警 在网络管理领域，故障被定义为产生功能异常的原因。故障是产生告警事 件的原因。告警是在特定事件发生时被管对象发出的通报构成的一种事件报告， 用于传递告警信息。告警是一个系统发出的短消息，表示其发出了某些事情或 者异常。告警只是表示可能有故障发生，但并不一定有故障发生。资源的被管 对象可以发出告警事件作为对系统当前发生异常的响应。 告警事件包含被管对象状态异常的信息，一个告警消息通常包含以下信息： 有关发出告警设备的信息、故障的征兆，以及告警产生的时间。不幸的是，告 警通常并不明显包含网络中故障和问题根源的确切位置信息，当网络中出现故 障时，会引发一系列告警，但并不是所有告警都表明故障原因，这就需要通过 分析网络产生的所有告警来判断故障的根本原因。需要注意的是，告警仅仅是 反应网络状况发生改变的征兆，这就是说，通常是故障产生了告警，一个故障 可能是另一个故障的根源，但一个告警绝对不会产生其他告警。 1 4 北方t 业大学硕士学位论文 2 4 2 告警相关性分析定义 “相关性”表示了两个或者更多实体之间具有相互联系的情况，相关性分 析的结果有两种：一是信息的语义内容被增加了；二是独立单元的总数缩减了。 因此，告警相关性分析可能被定义为：针对多个告警的分析解释，从而提高了 一个数量缩减后的告警集合的语义信息内容。告警相关性分析是指对告警进行 合并和转化，将多个告警合并成一条具有更多信息量的告警，确定能反应故障 根本原因的告警，从而准确定位故障。告警相关性可用于对产生多个告警进行 解释，这给最初定义的告警事件增加了新的含义。 对告警相关性的形式化定义是：告警事件a 与告警事件集合相关 a 1 ，a 2 ，a k ) ，表示为a = a 1 ，a 2 ，a k 。告警相关性分析可以用网络故障定位和 告警过滤。 1 故障处理 故障处理过程可以分为三个阶段：告警相关性( a l a 册c o r r e l a t i o n ) 、故障定 位( f a u l ti d e n t i f i c a t i o n ) 和故障验证( f a u l tv e r i f i c a t i o n ) 。前两个阶段通常认为 是故障定位的处理过程，通过对告警相关性分析，提出各种对故障情况的假设。 最后一个阶段是验证各种故障假设是否正确。例如：在网络监测方面，接收到 两个告警事件服务器连接失败和客户端连接失败，故障的原因可能是路由 器故障或者交换机故障，此时网络管理员无法判断是由路由器故障还是交换机 故障。如果知道告警相关性规则，如只有路由器可以造成上述告警，就可以直 接判断是路由器的故障。网络管理员可以直接监察路由器的工作情况，不需要 再对交换机进行检查，这样就减少了网络管理员的劳动强度，同时提高了工作 效率。 2 告警过滤 告警过滤是用来把非故障性告警过滤掉，保留主要的、根本性原因告警。 例如，上例如果知道告警相关性规则，就可以直接过滤掉服务器理解失败告警 和客户端理解失败告警，报告了路由器告警事件。 在网络管理领域，告警相关性分析有助于故障的实时诊断和故障定位。在 通信网络中，通过对被认为是一个共有的故障和状况造成的告警消息的相关性 分析，可以减少操作人员所能看到的信息量。同时，剩下来的更加通用的消息 将帮助操作维护人员指出问题的根源。显然，信息太少和信息太多将同样是灾 难性的，因此两者之间的平衡将是重要的。理想情况下，一个具有告警相关性 1 5 北方工业大学硕十学位论文 分析功能的故障管理系统可以在没有专家帮助的情况下，判断问题根源，并采 取相应的措施和自动发出维护请求。告警相关性分析也可以用于协助网络规划 和配置。 2 4 3 告警相关性分析的需求 一个故障出现，会造成一群告警，一个常规的故障监测流程是： 应用程序= 用户= 系统管理员= 局域网管理员= 承载网管理员= 广域网 管理员。 如果按照这个流程，则故障处理的过程将非常低效和缓慢，成本过高。告 警相关性分析就可以解决上述问题。 告警相关性分析的基本机制包括对来自一个或者多个源的告警的过滤、计 数、压缩、泛化、分类和模式匹配。根据告警消息中的数据域内容来分析告警， 告警相关性分析的核心功能是处理告警的时间特性，告警产生时被打上时间戳， 但时间戳准确性通常不能保证，此外，告警也可能不按顺序到达。作为一个实 用的系统，任何一个相关性分析引擎都必须能够处理这种现实情况不一致的情 况。 告警相关性分析系统必须是足够的通用，从而能够不断地扩张并适应通信 领域内部的快速发展变化，任何一个过分紧密耦合于某一种应用场景的系统都 可能被抛弃在当前的发展步伐之下。 此外，一个友好的前端用户界面是一个现代网管系统的重要方面。 实际上，许多告警事件并没有包含产生故障原因的信息。因为，在网络中 如果有一个故障产生，经常会收到多个告警事件。在此种情况下，收到的告警 报告中含有很多冗余信息，准确分离和定位产生故障的原因非常困难。具体有 以下几种情况： 1 1 由于一个故障，导致设备产生了多个告警； 2 ) 故障本身间歇性发作，这意味着每当故障发生时便发送告警事件； 3 ) 当设备中某个部件发生故障时，每次由该部件提供的服务被激活，都可能发 出告警事件； 4 ) 单独一个告警可能被多个网络部件监测到，每一个部件都发送告警事件； 5 ) 已知部件的故障可能影响到其他几个部件，产生故障扩散。故障的影响会沿 1 6 北方t 业大学硕士学位论文 着网络设备扩散，如路由器和主机连接关系所形成的路径； 6 ) 多个故障同时发生，则此时的告警事件有多个潜在重叠； n 产生告警的问题并不总是可以观察到。许多产生故障的根本性原因可能无法 直接观察到。 除了以上几个原因外，还有以下几个方面： 1 l 告警事件中包含了许多无意义信息、冗余信息； 2 ) 隐含的依靠性。在告警相关性进行分析之前，要建立被管网络模型。可能由 于网络模型过于精简，许多网络构