（应用数学专业论文）基于层次分析法的风险评估系统的研究与设计.pdf

摘要 随着全球信息化的飞速发展，各种越来越高技术化的计算机犯罪及网络攻击 事件频繁出现。为此，人们对信息安全的需求也越来越高，网络与信息安全已成 为现在急需解决的问题。从系统工程的角度来看，风险评估在信息安全中占有举 足轻重的地位，是信息系统安全的基础和前提。 本文根据信息安全风险评估的实际需求，研究了风险评估标准 c c g b l 8 3 3 6 ，设计了基于层次分析法的安全风险评估系统，提出了一种对层次 分析法中判断矩阵的一致性修正的改进方法，并通过实例验证了该方法的可行性。 通过风险评估，可以知道系统目前存在的风险，并评定系统的风险级别，然后针 对安全风险制定相应的安全策略将风险控制在可接受的范围内。最后通过案例分 析验证了本文提出的风险评估方法符合实际评价结果。 关键词：信息安全风险评估层次分析法一致性修正方法 a b s t r a c t w i t ht h er 印i dd e v e l o p m e n to ft h ew o r l d si n f o m l a t i o nt e c l l i l 0 1 0 9 y ，t h en u m b c ro f av 撕e t yo fh i 曲一t e c hc o m p u t e r 谢m e sa 1 1 dn e 魄o r ka t t a c k si si n c r e a s i n g w i t ht h e i n c r e a s i n gd e m a n d so fm ei n f o 咖a t i o ns e c u r i t y n e t w o r ka n di n f 0 m a t i o ns e c u r i t yh a s b e c o m e 肌u r g e n tp r o b l e mt ob es e t t l e d c o n s i d e r i n gt h ei n f o n l l a t i o ns e c u r i t y 丘d mt h e p o i n to fs y s t 锄e n 百n e 嘶n g ，t h ed s ka s s e s s m e n ti st h eb a s i sa i l dp r e r e q u i s i t ef o rm e i n f o 瑚a t i o ns e c u r i t ys y s t 锄 i nt h i sp a p e r ，b a s e do nt h ea c t u a ln e e d so fr i s ka s s e s s m e n to fi n f o 彻a t i o ns e c u r i t y ， t h ec r i t e r i o nc c & g bl8 3 3 6o fr i s ka s s e s s m e n ta r es t u d i e d ，锄dt h ei n f o 咖a t i o n s e c u r i t yr i s k a s s e s s m e n t s y s t e mb a s e do na h p ( a n a l y t i ch i e r a r c h yp m c e s s ) i s p r e s e n t e d ar e g u l a t i n gm e t h o df o rm ei n c o n s i s t e n tj u i i g m e n tm a t r i xi na h pi s p r e s e n t e dt o 锄s u r et h ei m p l e m e n t a t i o no fr i s ka s s e s s m e n tm e t h o d ， a n dt h et h e f e a s i b i l i t yo ft h er e g u l a t i n gm e t h o di sv a l i d a t e db yc a s ea n a l y s i s t h r o u 曲m er i s k a s s e s s m e n to fi n f o n n a t i o ns e c u 打t y ，t h er i s ke x i s t e di nt h es y s t 锄c a nb eo b t a i n e dt o m a l ( es u r et h es e c u t yl e v e lo ft h es y s t e m b y 西v i n gt h ea d v i c ef o rs e l e c t i n gt h e i n f o 珊a t i o ns e c u 订t yp r o t e c t i n gm e a s u r e st oc o u n t e rt h er i s k ，t h er i s kc a nb ed e c r e a s e d t oa na c c e p t a b l ee x t e n t f i n a l l y t h em e t h o dp r e s e n t e di n 协i sp a p e ri sv a l i d a t e db yc a s e a n a l y s i s ，t h er e s u l t so fw h i c hs h o wt h a tt h em e t h o da c c o r d sw i t ht h ea c t l l a le v a l u a t i o n r e s l 】1 t s k e y w o r d ：i n f o r m a t i o ns e c u r i t y r i s ka s s e s s m e n t a n a l y t i ch i e r a r c h y p r o c e s s r e g u l a t i n gm e t h o df o ri n c o n s i s t e n tj u d g m e n tm a t r i x 西安电子科技大学 学位论文创新性声明 秉承学校严谨的学分和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名： 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公稚论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后 结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。 本人签名：幽丝：同期鲤：墨：ff 导师签名：i 4 扯日期_ ! 乒l 第一章绪论 第一章绪论 随着全球信息化的飞速发展，人们对信息技术已经不再陌生。人们在享受信 息技术给大家生活带来便利的同时，也经受着各种越来越高技术化的计算机犯罪 及网络攻击事件带来的麻烦。为此，人们对信息的安全需求也越来越高，网络与 信息安全已成为现在急需解决的问题。 1 1 引言 1 1 1 信息安全风险评估研究背景 面对日益增长的信息系统安全需求，我们应全面的看待信息系统的安全性。 从系统工程的角度来看，风险评估在信息系统安全中占有举足轻重的地位，是信 息系统安全的基础和前提。信息系统的安全风险评估为信息系统的建立及系统安 全运行提供依据。信息安全风险评估已引起各发达国家的高度重视，各国都已提 出实现风险评估制度化的必要性。若无有效的风险评估，将会造成信息安全需求 与安全解决方案之间的脱节。国内外有关信息产品安全的检测已经相对成熟，信 息安全的风险评估仍有待深入研究。 随着信息系统的发展，系统复杂性不断增加，单一依靠技术手段的传统信息 安全技术已暴露出很大的局限性。面对复杂的系统，我们应该站在某一高度全面 看待问题，如何找到系统中涉及系统安全的关键部分并对此进行评估，根据评估 结果向系统管理员提供周密可靠的报告，为提高系统整体安全性提供重要保证。 这些是与信息系统安全相关的一系列问题，所以风险评估是信息系统安全的基础 和前提。风险评估是对系统的所有安全要素的多种评测数据进行分析、统计，以 确定系统存在的安全隐患和风险级别的过程。 为了使人们对系统安全性有更详尽的认识，并且能够有针对性的改善系统中 存在的不足，所以需要对系统进行安全风险评估。一般地，评估系统安全性的依 据是安全评估标准，例如c c 标准，b s 7 7 9 9 等。标准所包括的内容相当多，分类 也比较复杂，各国结合本国特点都有相应的评估标准。本文主要介绍了公用的评 估标准c c ，以及结合本国特点参考c c 所制定的评估标准g b l 8 3 3 6 。安全评估 工作是一项相当复杂并具有很大主观性的工作，如何能使之更加方便的进行并且 尽量消除评估工作中的主观性是我们需要考虑的问题。利用风险评估工具，既可 以降低评估工作的复杂性，又可以减少评估过程中的主观性，从而达到客观、公 基丁层次分析法的风险评估系统的研究与设计 正、准确评估系统安全性的目的。我们项目组的目标是开发一个风险评估工具以 方便评估者对信息系统进行风险评估。通过风险评估，评估者可以知道系统目前 存在的风险，进一步分析风险可能带来的安全威胁及影响程度，并评定系统的风 险级别，然后针对安全风险制定相应的安全策略。为此，本文重点研究风险评估 系统的设计，为开发该风险评估工具提供支持。 1 1 2 国内外研究现状 信息技术的飞速发展，关系到国计民生、国防安全中关键信息的基础设施的 规模越来越大，增加了系统的复杂度。正因为如此，对信息的安全性需求也更高， 安全j x l 险评估显得更为重要。各国也都越来越重视风险评估工作，提倡风险评估 制度化。近年来，发达国家大力加强了以风险评估为核心的信息系统安全评估工 作，并通过法规、标准手段加以保障，逐步形成了横跨立法、行政、司法等完整 的信息安全管理体系。 在国际上，美国是对信息安全风险评估研究历史最长和工作经验最丰富的国 家，一直主导信息技术和信息安全的发展。信息安全风险评估在美国的发展实际 上也代表了风险评估的国际发展【l 】。从最初关注计算机保密发展到目前关注信息 系统基础设施的信息保障，大致经历了3 个阶段：2 0 世纪6 0 年代至7 0 年代计算 机开始应用于政府军队，安全评估仅限于保密性；2 0 世纪8 0 年代至9 0 年代计算 机系统应用开始网络化，逐步认识到更多的信息安全属性( 保密性、完整性、可 用性) ；2 0 世纪9 0 年代末至2 l 世纪初计算机网络系统成为关键的基础设施的核 心，安全属性进一步扩大( 可控性，不可否认性等) 。 欧洲在信息化方面的优势虽不如美国，但也不甘落后。他们在信息安全管理 方面充分利用美国引导的科技创新成果，加强预防。欧洲各国在风险管理上的共 同策略是探索一条不同于美国的道路：趋利避害。欧盟也一直致力于信息安全风 险管理和评估研究工作【1 1 。 与欧美不同，亚洲各国多为信息化领域的发展中国家，他们大多采取把发展 放在首位的战略。各国都根据自己具体情况有重点吸收美国和欧洲各国的研究成 果，用来指导各自政府和民问的风险管理实践工作。其中，同本：综合欧美之后 建立了“安全管理系统评估制度”( i s m s ) ，作为日本标准( j i s ) ，启用了 i s o i e c l 7 7 9 9 1 ( b s 7 7 9 9 ) 指导政府和民间的风险管理实践。韩国：主要参照美国 的政策和方法，通过专门成立的信息安全局，强力推进风险管理的实践。新加坡： 主要参照英国的做法，在信息安全风险评估方面依据b s 7 7 9 9 ，并向亚洲邻国输出 其信息安全风险管理的专门知识和服务【i 】。 相对于发达国家，我国的信息安全工作相对滞后。美国安全专家e d w i nb 第一章绪论 h e i n l e i n 于1 9 9 6 年曾对中国数据和计算机安全状况做了如下论述，中国在理解系 统安全领域的基本观点远远落后，中国关于国际互联网的连接接入情况的规定不 够严格，这种安全理论和实践水平的缺乏将会严重影响计算机技术在政府、商业 等许多领域应用的迅速增长，因此需要加强风险评估工作【2 】。我国的信息安全评 估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工 作中心是信息保密，通过保密检查来发现问题，改进提高。2 0 世纪8 0 年代后， 随着计算机的推广应用，随即提出了计算机安全的问题，开展了计算机安全检查 工作。由于缺乏风险意识，通常寻求绝对安全的措施。2 0 世纪9 0 年代后，随着 互连网在我国得到了广泛的社会化应用，国际大环境下的信息安全问题和信息战 的威胁直接在我国的信息环境中有所反映。在有关部门的组织下，不断开展了有 关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究，初 步提出了一系列相关技术标准和管理规范。信息安全的风险意识也开始建立，并 逐步有所加捌”6 。 1 1 3 信息安全风险评估的相关概念 ( 1 ) 信息安全( i n f o 舯a t i o ns e c u d t y ) 信息安全是一个广泛而抽象的概念，不同领域不同方面对其阐述都会有所不 同。建立在网络基础上的信息安全是指保护信息系统的硬件、软件及系统中的相 关数据，防止信息受到威胁，使得系统连续可靠正常地运行，信息服务不中断【4 ，4 6 】。 信息安全不是绝对的，没有完全彻底的信息安全【5 】。 信息安全定义为：为了防止未授权用户对资产进行使用、滥用、修改而采取 的措施。 信息安全的目标是保护信息的保密性、完整性、可用性及其他属性，如可靠 性、真实性、可追溯性等。 保密性( c o n f i d e n t i a l i t y ) ：确保信息不泄露给非授权的用户或实体。 完整性( i n t e 鲥t y ) ：确保信息未经授权不得更改。即信息在存储或传输过程中 保持不被删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 可用性( a v a i l a b i l i t y ) ：确保信息可被授权实体访问并按需求使用。 信息安全是一种意识，一个过程，而不是通过某种技术就能实现的。 ( 2 ) 风险( r i s k ) 风险是能够影响一个或多个目标的不确定性【6 】，风险是能够产生威胁的一种 东西。在信息安全风险评估中指对资产造成损害的可能性【j 7 1 。 ( 3 ) 信息安全风险( i n f o 肌a t i o ns e c u n t yr i s k ) 信息安全风险指在信息系统的整个生命周期中面临的人为或自然的威胁利用 基丁层次分析法的风险评估系统的研究与设计 系统存在的脆弱性导致信息安全事件发生的可能性及其造成的影响【3 ，4 6 1 。 ( 4 ) 构成信息安全风险的要素 信息安全风险包括下面三个要素： 资产( a s s e t ) ：具有价值的信息和资源，是需要保护的对象。 威胁( n 鹏a t ) ：可能对资产产生危害的潜在原因。 脆弱性( v u l n e r a b i l i t y ) ：能被威胁利用的资产或资产的弱点。 这三者之间的关系是威胁利用脆弱性对资产造成损害。 ( 5 ) 风险管理( r i s km a l l a g e m e n t ) 风险管理是指对面临的风险进行风险识别、风险估测、风险评价、风险控制， 以减少风险负面影响的决策及行动过程。通过风险管理，能度量风险，控制风险， 将风险降低到一个可接受的水平。 信息安全风险管理是风险管理理论和方法在信息系统中的应用，是科学分析 信息和信息系统在保密性、完整性、可用性等安全属性方面所面临的风险，并在 风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉 择的过程。风险评估是信息安全的出发点，风险控制是信息安全的落脚点。信息 安全风险管理的核心是信息安全风险评估f 8 1 。 ( 6 ) 信息安全风险评估( i n f o m a t i o ns e c u i l i t yr i s ka s s e s s m e n t ) 信息安全风险评估，从风险管理角度，运用科学的方法和手段，系统地分析 网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件发生可能造成的 危害程度，提出有针对性的抵御威胁的防护对策，并为防范和化解信息安全风险， 或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全。 信息安全风险评估是一种方法。用来识别和了解对组织控制的限度。 信息安全风险评估是一种工具。用来识别组织资产、威胁和脆弱性。 信息安全风险评估是一个过程。通过它在概率和影响的基础上确定信息系统 所面临的j x l 险级别。 信息安全风险评估是一个手段。通过它说明风险管理策略和资产分配的合理 性。 ( 7 ) 安全需求( s e c u r i t yr e q u i r e m e n t ) 为保证组织机构的正常运作，在信息安全保障措施方面提出的要求。 ( 8 ) 安全措施( s e c u r i t ym e a s u r e ) 安全措施是指为抵御威胁，减少脆弱性，保护资产而采取的各种实践、规程 和机制的总称。 ( 9 ) 残余风险( r e s i d u a lr i s k ) 残余风险是指采取了安全措施后，仍可能存在的风险。 ( 1o ) 安全事件( s e c u r i t ye v e n t ) 第一章绪论 指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的 违反或防护措施的失效，或未预知的不安全状况【4 6 1 。 ( 11 ) 信息安全风险基本要素间的关系 信息安全风险基本要素问的关系图如图1 1 所示。 图1 1 风险评估各要素间的关系 1 2 现有的信息安全风险评估方法 信息安全风险评估方法主要分为定性评估、定量评估和定性与定量相结合评 估三大类1 3 】，根据不同的需求可以选取相应的评估方法进行评估。 ( 1 ) 定性评估方法主要根据评估者的知识及经验对系统的风险状况做出判 断。定性分析方法是使用最广泛的风险分析方法。该方法通常只关注威胁事件所 带来的损失，而忽略威胁事件发生的概率。多数定性风险分析方法依据组织面临 的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使 用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中、 “低”。有时单纯使用期望值，并不能明显区别风险值之间的差别【3 】。定性评估方 法的优点是使评估的结论更全面、深入。缺点是主观性很强，对评估者要求太高。 典型的定性评估方法有：故障树分析( f t a ) 、事件树分析( e t a ) 、原因后果分析、 风险模式影响及危害性分析( i 蝴e c a ) 、德尔斐法等。 ( 2 ) 定量评估方法将风险发生的概率、风险危害程度量化，并相乘得到的结 果a l e ( a i l l l u a ll o s se x p e c t a n c y ) 或e a c ( e s t i m a t e da n n u a lc o s t ) 。根据a l e 可以计 6 基丁层次分析法的风险评估系统的研究与设计 算威胁事件的风险等级，并做出相应的决策【3 1 。定量评估方法的优点是分析过程 和结果直观、明显、客观、对比性强。缺点是量化过程中简单化、模糊化、会造 成误解和曲解。典型的定量评估方法有：故障树分析法、风险评审技术。 ( 3 ) 定性与定量相结合的评估方法就是将定性评估方法和定量评估方法这两 种方法有机结合起来，做到彼此之间的取长补短，使评估结果更加客观、公正。 在复杂的信息系统风险评估中，不能将定性分析与定量分析简单地分割开来。评 估过程中对结构化很强的问题，采用定量分析方法，对于非结构化的问题，采用 定性分析方法，对于兼有结构化特点和非结构化特点的问题，采用定性与定量相 结合的评估方法。典型的综合评估方法有：概率风险评估、动态风险概率评估、 层次分析法等。 从国内外研究现状及现有的一些评估方法可以看出，一方面，信息安全评估 标准和方法强调风险评估的必要性，要求以系统的风险分析为核心，通过评估系 统或产品的安全属性来判断信息系统的安全等级是否符合要求。给出了风险评估 框架模型，并没有给出度量风险的定量方法。这些标准和方法通常采用问卷调查 法等过于简单的方法，也有人用“风险= 资产价值威胁频率威胁影响系数” 来计算风险，这些方法在风险评估实践中起了重要的指导作用，但还不能真实度 量风险大小，风险度量缺乏可操作的工程数学方法，导致评估结果在系统性和准 确性方面存在较大的主观偏好。另一方面，有些风险评估方法给出了定量计算方 法，但是方法实施起来过于烦琐，不切合实际。风险评估理论研究与信息安全实 践结合不够紧密，很多风险评估理论都是直接从国外的一些从事风险评估的组织 引入，没有很好地与我国信息化实践相结合。针对这一问题，本文提出操作性较 强的风险评估实施方法，在数学方法上力求简单实用。 1 3 本文的主要工作及结构安排 本文针对信息安全风险评估的实际需求，研究了风险评估标准 c c & g b l 8 3 3 6 ，设计了基于层次分析法的安全风险评估系统，提出了一种对层次 分析法中判断矩阵的一致性修正的改进方法，并通过实例验证了该方法的可行性。 下面给出本文的主要工作及结构安排。 1 3 1 主要工作 1 分析了风险评估标准c c & g b l 8 3 3 6 研习了国内外关于信息安全的风险评估标准，重点分析了c c 和g b l 8 3 3 6 ， 并详细介绍了g b 厂r2 0 9 8 4 2 0 0 7 。c c 是个基于技术的标准，强调对防护措施进 第一章绪论 行评估，评估的结果是对防护措施保障程度的描述，即防护措施能够降低安全风 险的可信度。其不足之处在于涉及面太广不够深入。g b l 8 3 3 6 是参考c c 标准而 制定的适用于我国的信息安全评估标准。g b 厂r 2 0 9 8 4 2 0 0 7 详细介绍了风险评估工 作中应遵守的规范。 2 基于层次分析法的风险评估方法 提出了基于层次分析法的风险评估方法。将层次分析法应用于信息安全风险 评估，首先构造信息系统的递阶层次结构，然后采用传统的a h p 方法计算相对权 重。通过采用层次分析法，对风险事件发生的概率和影响进行分析，确定出各风 险因素的风险等级，对信息系统提出风险控制建议。这是一种定性与定量相结合 的方法，将复杂的问题简单化，是一种有效且操作性强的方法。 3 层次分析法中判断矩阵的一致性修正方法 将层次分析法应用到信息安全风险评估模型中时，判断矩阵的一致性仍然是 一个关键问题。本文提出了一种层次分析法中判断矩阵的一致性修正的改进方法。 该方法主要通过已知初始判断矩阵的有效信息下三角矩阵的非主对角元素， 用除法和乘法修正法相结合的方法逐步修正判断矩阵元素，最终达到满意一致矩 阵。该方法只利用了专家所给出的有效信息，减少了误差。 4 实践案例研究 通过风险评估案例的分析，给出了风险评估方法在实际问题中的应用，并在 实践过程中得到了验证。案例分析表明，本文研究的方法符合实际评价结果。 1 3 2 本文结构安排 第一章：绪论。介绍信息安全风险评估的研究背景，阐述了风险评估的概念、 研究意义，进而介绍了国内、外信息安全风险评估的发展及现有的评估方法及本 文的研究内容。 第二章：介绍国内外的信息安全风险评估标准以及风险评估中应该遵守的规 范，为安全风险评估提供依据和指南。 第三章：是本文的重点。设计了基于层次分析法的风险评估系统，介绍层次 分析法的基本知识，并提出了一种层次分析法中判断矩阵的一致性修正的改进方 法。 第四章：用本文提出的评估方法对实验室系统进行了安全风险评估。 第五章：结束语。总结本文成果及不足之处并提出进一步的工作。 8 基丁层次分析法的风险评估系统的研究与设计 1 4 小结 本章首先介绍了信息安全风险评估的研究背景：介绍了信息安全风险评估的 概念及信息安全风险评估的构成要素：介绍了国内外信息安全风险评估的发展概 况；介绍了信息安全风险评估方法研究概况，列举了国内外定性和定量及定性与 定量相结合的方法；最后介绍了本文的主要工作、研究内容及本论文的结构安排。 第二章信息安全风险评估标准9 第二章信息安全风险评估标准 信息安全风险评估主要由两大部分组成：一是风险评估所依据的标准，评估 活动要依照此标准执行；二是风险评估采用的方案或方法，即如何来进行风险评 估。标准是评估的依据和指南，没有标准为依据的风险评估是没有任何意义的。 因此，分析信息安全风险评估标准对本文工作的开展有重要的意义。 目前国际国内的有关信息安全风险评估的标准有很多，本章主要介绍了 c c & g b l 8 3 3 6 ，详细介绍g b 厂r 2 0 9 8 4 2 0 0 7 。 2 1 国外信息安全风险评估标准 从2 0 世纪8 0 年代开始，世界各国相继制订了多个信息安全评估标准。主要 有：桔皮书( t c s e c ) 1 9 8 5 ，英国安全标准“绿皮书 ，德国标准1 9 8 9 ，同年法国 标准“蓝白红书”，之后德国、法国、荷兰和英国共同发表i t s e c l 9 9 1 ，加拿大 标准c t c p e c 3 01 9 9 3 ，联邦标准草案f c l 9 9 3 ，c c 通用标准，v 1 o1 9 9 6 ，v 2 。o 1 9 9 8 ，v 2 1 1 9 9 9 ，澳大利亚标准1 9 9 5 ，英国b s 7 7 9 91 9 9 5 年，国际i s o i e c 系列 标准1 9 9 6 年，美国n i s t2 0 0 0 ，德国b m p 2 0 0 l 等【1 3 4 6 4 7 1 。 国际信息技术安全性评估通用准则( c o m m o nc 订t 甜ao fi n f o m a t i o n t e c h n i c a ls e c u r i t ye v a l u a t i o n ，简称c c ) 【9 1 是北美和欧盟联合开发一个统一的国际互 认的安全准则的结果，是基于f c 和c t c p e c 准则相互间的总结和互补发展起来 的。1 9 9 9 年，c c 被i s o 批准成为国际标准i s o i e c1 5 4 0 8 1 9 9 9 【m 1 2 1 并f 式颁布 发行。 c c 充分突出“保护轮廓”，将信息技术安全要求分为“功能”和“保证 两 大部分。它是目前最全面的信息技术安全评估准则，其内容分三部分，其中第一 部分是“简介和一般模型”，第二部分是“安全功能要求”，第三部分是“安全保 证要求”。 通用准则c c 具有以下特点： ( 1 ) c c 源于t c s e c ，但已经完全改进了t c s e c 。t c s e c 主要是针对操作系 统的评估，c c 全面地考虑了与信息技术安全性有关的所有因素。 ( 2 ) c c 面向整个信息系统的生命周期，不仅考虑了保密性，而且考虑了完整 性和可用性等安全特性，侧重于对产品的技术指标的评估。 ( 3 ) c c 分离了功能与保证即把安全要求分为规范产品和系统安全行为的功能 要求以及解决如何正确有效的实施这些功能的保证要求。 1 0 基丁层次分析法的风险评估系统的研究与设计 同时，c c 还有许多的不足和需要完善的地方，主要包括以下几点： ( 1 ) c c 标准庞大而复杂，概念众多，标准文本比较难懂，这可能会在一定程 度上制约该标准的普及推广。 ( 2 ) c c 标准主要是基于对系统拥有者和操作者的保护，在对用户的保护上则 不能令人满意。 ， ( 3 ) c c 标准未能包括对物理安全、行政管理措施、密码机制等重要方面的评 估。 ( 4 ) c c 标准没有体现动态的安全要求。 ( 5 ) 目前c c 标准仅仅完成了对标准主体本身的制订工作，按照c c 标准框架， 还有大的辅助文档需要制订，这些文档对标准的执行具有实际意义。 ( 6 ) 目前国际上可以受理基于c c 标准的安全评估的机构还不多，许多国家还 处于消化吸收标准阶段。 总之，c c 标准代表了信息技术安全评估标准的一大进步，但仍还有大量的 工作需要完成，许多内容还需要进一步完善。 2 2 国内信息安全风险评估标准 我国信息安全标准的研究基本上从上世纪9 0 年代未启动，主要是等同采用或 修改相关的国际标准。已经颁布的标准有： ( 1 ) g b t 18 3 3 6 2 0 0 l 信息技术一安全技术一信息技术信息一安全评估准则 【1 3 一1 5 】 ( 2 ) g b 厂r 1 9 7 1 6 ，2 0 0 5 信息技术一信息安全管理实用规则【1 6 】 ( 3 ) g b 厂r 1 9 7 1 5 1 2 0 0 5 信息技术一信息技术安全管理指南一第1 部分：信息 技术安全概念和模型【1 7 】 ( 4 ) g b 厂r 9 3 6 1 2 0 0 0 计算机场地安全要求【1 8 】 另外，在国际标准的基础上，也制定了一些针对我国信息化建设特点的信息 安全技术和评估的国家、地方标准。由公安部主持制定、国家质量技术监督局发 布的国家标准g b l 7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分准则【1 9 】将信 息系统安全分为自主保护级、系统审计保护级、安全标记保护级、结构化保护级 和访问验证保护级5 个级别。 2 0 0 3 年7 月，中办发 2 0 0 3 2 7 号文件对开展信息安全风险评估工作提出了明 确的要求。图信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组， 对信息安全风险评估相关工作展开调查研究。2 0 0 4 年3 月2 9 日正式启动了信息 安全风险评估标准草案的编制工作。2 0 0 4 年底完成了信息安全风险评估指南 标准草案。2 0 0 5 年由国务院信息办组织在北京、上海、黑龙江、云南、人民银行、 第二章信息安全风险评估标准 国家税务总局、国家信息中心与国家电力总公司开展了验证信息安全风险评估 指南的可行性与可用性的试点工作。2 0 0 6 年6 月1 9 日，全国信息安全标准化 技术委员会经过讨论，将标准j 下式命名为信息安全技术一信息安全风险评估规 范，并同意通过评审。由国家标准化管理委员会审查批准发布的g b t2 0 9 8 4 2 0 0 7 信息安全技术一信息系统的风险评估规范【冽已于2 0 0 7 年1 1 月1 日正式实施， 信息安全风险评估规范( 以下简称规范) 是我国开展信息安全风险评估工 作遵循的国家标准。规范定义了风险评估的基本概念、原理及实施流程。对被 评估系统的资产、威胁和脆弱性识别要求进行了详细描述，并给出了具体的定级 依据；提出了风险评估在信息系统生命周期不同阶段的实施要点，以及风险评估 的工作形式。 规范分为两个部分：第一部分：主体部分。主要介绍风险评估的定义、 j x l 险评估的模型以及风险评估的实施过程。第二部分：附录部分。包括信息安全 风险评估的方法、工具介绍和实施案例。 规范的结构为7 个条款和两个附录： 引言 1 范围 2 规范性引用文件 3 术语和定义 4 风险管理框架及流程 5 风险评估实施 6 信息系统生命周期各阶段的风险评估 7 风险评估的工作形式 附录a 风险的计算方法 附录b 风险评估的工具 引言 指出信息安全风险评估的意义。 指出信息安全风险评估的出发点是从风险管理角度，运用科学的方法和手段， 系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可 能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和 化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全 提供科学依据。 指出信息安全风险评估要贯穿于信息系统生命周期的各个阶段。 l 范围 提出了规范的内容。 2 规范性引用文件 1 2 基于层次分析法的风险评估系统的研究与设计 规范引用了四个标准，g b 厂r 9 3 6 1 2 0 0 0 一计算机场地安全要求：g b 1 7 8 5 9 1 9 9 旷计算机信息系统安全保护等级划分准则；g b 厂r 1 8 3 3 6 2 0 0 1 一信息技 术一安全技术一信息技术安全性评估准则( i d ti s o i e c l 5 4 0 8 ：1 9 9 9 ) 及g b t 1 9 7 1 6 2 0 0 5 一信息技术一信息安全管理实用规则( i s o i e c1 7 7 9 9 ：2 0 0 0 ，i d t ) 。 3 术语和定义 7 给出了信息安全风险评估相关的一些概念。 4 风险管理框架及流程 ( 1 ) 给出了风险评估要素关系模型1 5 】( 如图2 1 所示) 。 风险评估中各要素的关系是：业务战略依赖于资产去完成；资产拥有价值， 单位的业务战略越重要，对资产的依赖程度越高资产的价值则越大；资产的价值 越大，则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成 安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大：脆弱性使资产暴露， 是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资 产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满 足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响； 在实施了安全措施后还会有残余风险，残余j x l 险可能会诱发新的安全事件。 与c c 标准的关系模型【lo 】( 如图2 2 所示) 相比，规范中对基本要素( 图 中方框部分) 和与要素相关的属性( 图中椭圆部分) 划分细致，对与基本要素相 关的一些属性如业务战略、资产价值、安全事件、残余风险等进行了充分考虑。 规范强调对残余j x l 险的评估，指出风险不可能也没有必要降为零，在实施了 安全措施后还会有残留下来的风险，一部分残余风险来自于安全措施可能不当或 无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安 全的成本与资产价值后，未加以控制的风险，这部分风险是可以接受的。规范 明确提出了安全措施这一基本要素，指出要对组织的安全措施进行评估，安全措 施可以降低风险、抵御威胁，安全措施不当会造成残余风险，进而诱发新的安全 事件，安全措施是被满足的安全需求，安全措施是有成本的。 ( 2 ) 风险分析原理 风险计算过程是：识别资产并赋值；识别威胁并对威胁出现的频率赋值；识 别脆弱性并对脆弱性的严重程度赋值；根据威胁及威胁利用脆弱性的难易程度判 断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的价 值计算安全事件造成的损失；根据安全事件发生的可能性以及安全事件出现后的 损失，计算安全事件一旦发生对组织的影响，即风险值。 第二章信息安全风险评估标准1 3 图2 1 风险评估要素关系图 希望滥用和或被破坏 图2 2c c 标准的安全概念及关系图 1 4 基丁层次分析法的风险评估系统的研究与设计 ( 3 ) 实施流程 给出了风险评估的实施流程图。 5 风险评估实施 规范描述了风险评估的实施过程。 ( 1 ) 风险评估的准备：这是整个风险评估过程有效性的保证。在这个阶段要 完成以下任务：确定风险评估的目标和范围，组建评估团队，进行系统调研，确 定评估依据和方法并获取最高管理者对评估工作的支持。 ( 2 ) 资产识别：依据资产的分类，对评估范围内的资产逐一识别，完成对资 产保密性、完整性和可用性的赋值，最后经过综合评定得出资产重要性等级。 ( 3 ) 威胁识别：对资产可能遭受的威胁进行识别，并依据威胁出现的频率对 威胁进行赋值。 ( 4 ) 脆弱性识别：脆弱性识别是风险评估中最重要的一个环节。脆弱性识别 可以以资产为核心，也可以从物理、网络、系统、应用等层次进行识别，然后与 资产、威胁对应起来。从技术和管理两个方面对评估对象存在的脆弱性进行识别 并赋值。 ( 5 ) 已有安全措施的确认：在识别脆弱性的同时，对评估对象已采取的安全 措施的有效性进行确认，评估其有效性。 ( 6 ) 风险分析：采用适当的方法与工具确定威胁利用脆弱性导致安全事件发 生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事 件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影 响，即安全风险。 标准给出了风险计算原理，以下面的范式形式化加以说明： 风险值= 尺似，乃功= 月( l ( 乃功，f ( 血，玩) ) 。 其中，尺表示安全风险计算函数；彳表示资产；丁表示威胁；y 表示脆弱性； 血表示安全事件所作用的资产价值；玩表示脆弱性严重程度；表示威胁利用资 产的脆弱性导致安全事件的可能性；f 表示安全事件发生后造成的损失。 ( 7 ) 风险评估文件记录：形成风险评估过程中的相关文档，包括风险评估报 告。 6 信息系统生命周期各阶段的风险评估 风险评估贯穿于信息系统的整个生命周期中。各阶段根据其活动内容的不同， 安全目标和风险评估的要求也会不同。信息系统在规划设计阶段要通过风险评估 确定系统的安全目标；在建设验收阶段要通过风险评估以确定系统的安全目标达 成与否；在运行维护阶段要不断地进行风险评估以确定安全措施的有效性，确保 安全保障目标始终如一得以坚持。规范给出了各阶段风险评估的侧重点、评估 要点及评估采取的方式。 第二章信息安全风险评估标准 7 风险评估的工作形式 根据评估实施者的不同，风险评估形式分为自评估和检查评估两大类。自评 估是由被评估单位依靠自身的力量，对其自身的信息系统进行的风险评估活动。 检查评估是被评估单位的上级主管机关，依据已经颁布的法规或标准进行的，具 有强制意味的检查活动乞 附录彳风险的计算方法 规范指出对风险进行计算，需要确定影响风险要素、要素之间的组合方 式、以及具体的计算方法，将风险要素按照组合方式使用具体的计算方法进行计 算，得到风险值。在本附录中给出了矩阵法和相乘法的计算方法，并以示例的形 式说明了计算过程。规范给出的方法是最简单和基础的方法，起到一个抛砖引 玉的作用，在实际评估中情况往往很复杂，要具体问题具体分析，采用适当的方 法计算风险值。本文重要的一点是计算方法的研究。 附录曰风险评估的工具 本附录给出了风险评估与管理工具、系统基础平台风险评估工具和风险评估 辅助工具。 2 3 小结 本章首先简要介绍了国外标准的发展历程及标准间的联系，并对各个标准在 各自特点上做了对比，主要介绍了c c 。然后介绍了国内信息安全评估标准，重 点介绍了g b 厅2 0 9 8 4 2 0 0 7 信息安全技术一信息系统的风险评估规范的内容 及与国外标准的比较。 第三章基丁层次分析法的风险评估方法 第三章基于层次分析法的风险评估方法 在信息安全风险评估中，对风险事件发生的概率和影响的分析常常带有一定 的主观性，因此结论也带有一定的模糊性。要提高评估的可靠度，必须找到一种 能够处理多因素、模糊性及与定性分析相结合等问题的评估方法。本文利用层次 分析法将定性分析的问题定量化，将复杂的问题简单化，是一种有效且操作性强 的方法。 3 1 风险评估框架 首先介绍整个信息系统的风险评估框架。针对信息系统的资产信息或者某项 操作我们利用层次分析法计算其安全风险值，然后根据风险值的不同确定系统所 处的安全等级。同时，也对存在的安全风险提供相应的安全策略以应对相应的风 险。结构框图如下： 1 计算风险值，根据风险值的不同。将其对应不同的安全等级 2 不同的风险分别对应其相应的安全策略 图3 1 风险评估系统 1 8 基丁层次分析法的风险评估系统的研究与设计 由图3 1 可知，一旦知道信息资产或者某项操作的安全风险值，综合考虑所 有的风险结果后就能确定系统所处的风险级别，通过特殊的映射关系得到系统的 安全等级，给出一个量化的结果，让人们对系统的安全性有一个定性的认识。与 此同时，也对一些特定的安全风险依据其风险值给出相应的控制措施。我们知道， 安全风险值越高意味着对信息系统的危害性越大，为保护信息系统，风险评估系 统就需要作出响应，提供应对该类风险的相应控制措施，以避免系统遭受严重的 破坏。若安全风险值很小，说明该类风险是一些相对而言不重要的安全风险，即 对系统的危害性不大，在相同的情况下需要优先考虑风险值高的安全风险，优先 提示用户系统的安全等级，以及需要立即进行的处理工作，即需要立即采取的控 制措施。 目前还没有一个确定的标准来评定信息系统的安全等级，表3 1 中所列的是 一个定性的评定方法【2 0 】。 表3 1 安全等级的评定方法 受侵害的个体对客体的侵害程度 一般损害严重损害特别严重损害 公民、法人承i 其他组织合第一级第二级第三级 法权盗 社会秩序、公共利益第二级第三级第四级 国家安全第三级第四级第五级 其中的五个等级表示系统的安全级别：至五等级表示安全风险对信息系统 危害程度依次递增，则相应的信息系统的安全等级依次递减。表3 1 中的等级与 图3 1 中的左侧的等级有一个一一对应关系，表3 1 中的第一级对应图3 1 中的第 一级，即若安全风险对信息系统的危害性不大，则系统的安全级别则只需停留在 用户自主保护级别上，依次类推。事实上，表3 1 中的安全等级也存在覆盖关系： 满足二级的一定满足一级；满足三级的一定满足一、二级；满足四级的一定满足 一、二、三级；满足五级的一定满足一、二、三、四级。我们将风险值的大小与 该定性的评估方法结合起来，得到一个更好的安全等级评定方法。由于安全风险 值是定量的，安全等级评定方法是定性的，所以若需通过定量的风险值来确定定 性的安全等级，就必须使用定性和定量相结合的方法。考虑到安全风险值的取值 范围，将该取值范围划分为五个等级，由低到高依次对应信息系统安全的五个等 级即可实现等级映射，从而实现了由安全风险值确定安全