（计算机应用技术专业论文）内网信息安全预警系统研究及实现.pdf

i- 4 i n f o r m a t i o ns e c u r i t ) w a r n i n gs y s t e m r m a t i o n s e c u r i t yw a r m n g a t h e s i si n c o m p u t e rs c i e n c ea n dt e c h n o l o g y b y z h a oq i n g y u n a d v i s e d b y p r o f y u a nj i a - b i n s u b m i t t e di np a r t i a lf u l f i l l m e n t f o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g d e c ，2 0 0 9 彳 ， 0 本人授权南京航空航天大学可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本承诺书) 作者签名：至虹 e t 期：丝鱼2 二! 仝 譬 1 0 卜 、 a 法对内网主机的脆弱性进行了分析；在对风险评估结果进行分析的基础上，设计了一种能够自 主配置安全策略的内网信息安全系统整体设计方案，并依据设计方案进行了代码实现。最后， 对该系统进行了测试。 本文对内网信息安全研究进行了有益的探索，所实现的系统是以风险评估分析的基础进行 设计，并以良好的软件设计方法和优良的代码编写进行实现，因此具有更高的安全性和可靠性。 关键词：风险评估，内部网络，预警系统，安全检测，信息安全 内网信息安全预警系统研究及实现 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , p e o p l em o r ea n dm o r e r e l yo n i n f o r m a t i o nr e s o u r c e s ，i n f o r m a t i o nt e c h n o l o g y , a n dt h ei n f o r m a t i o ni n d u s t r y i nt h ei n f o r m a t i o na g e ， i n f o r m a t i o nh a sb e c o m eav a l u a b l er e s o u r c e i nt h em e a n t i m e ，s e c u r i t yp r o b l e m sa l eb e c o m i n g i n c r e a s i n g l ys e r i o u sa n dn o t i c e a b l e n o w a d a y sn e t w o r ks e c u r i t yi sav i t a ls t r a t e g i ci s s u eo fn a t i o n a l s e c u r i t y t os o l v et h es a f e t yp r o b l e mo fi n t r a n e t , a ne a r l yw a r n i n g s y s t e mi sp r o p o s e d t h es y s t e mc a r r i e s a v a r i e t yo ff u n c t i o n a l i t i e s ，i n c l u d i n gs e c u r i t yd e t e c t i o n , n e t w o r km o n i t o r i n g ，i n f o r m a t i o ne x a m i n a t i o n , r e m o t ec o n f i g u r a t i o n ，s e c u r i t ye a r l yw a r n i n ga n do t h e rs u p p l e m e n t a r yf u n c t i o n a l i t i e s t h es y s t e ma l s o r e s p o n s e sq u i c k l y i nt h i sp a p e r , f i r s tw ed i s c u s s e dt h ec u r r e n ts t a t u so fe n t e r p r i s en e t w o r ks e c u r i t y ；t h e nw e a n a l y z e dt h es t a t u sq u oa n de x i s t i n gp r o b l e m so fc u r r e n tr e s e a r c h t h ev u l n e r a b i l i t yo ft h eh o s t i n t e r n a ln e t w o r kw a sa n a l y z e du s i n gt h et h e o r ya n dm e t h o d so fr i s ka s s e s s m e n t , t h e nai n t r a n e ts a f e s y s t e mr e f l e c t i n gt h ed e s i g nm e t h o ds t a t e da b o v ei sp r o p o s e da n di m p l e m e n t e d f i n a l l y , t h es y s t e m w a st e s t e dt oe n s u r ee f f e c t i v e n e s s t h es y s t e md e s c r i b e di nt h i sp a p e ri sb a s e do nr i s ka s s e s s m e n tt h e o r y i tw a si m p l e m e n t e du s i n g g o o ds o f t w a r ed e s i g nm e t h o da n dc o d i n g t h e r e f o r e ，i ti so f h i g hs a f e t ya n dr e l i a b i l i t y k e y w o r d s ：r i s ka s s e s s m e n t , i n t r a n e t , w a r n i n gs y s t e m , s a f e t yd e t e c t i o n ，i n f o r m a t i o ns e c u r i t y i 1 “ 南京航空航天大学硕士学位论文 目录 第一章绪论l 1 1 研究背景。l 1 2 国内外研究现状2 1 3 研究必要性2 1 4 主要研究内容3 1 5 研究难点与解决方案4 1 6 论文结构及章节安排5 第二章风险评估技术研究及内网威胁与脆弱性识别6 2 1 风险评估的必要性6 2 2 风险评估技术研究6 2 2 1 风险评估的定义6 2 2 2 风险评估的目的。7 2 2 3 风险评估的要素7 2 2 4 风险评估流程。8 2 2 5 风险评估的方法1 0 2 2 6 评估要素与评估信息的获取1 2 2 3 内网威胁与脆弱性识别1 3 2 3 1 资产识别1 3 2 3 2 威胁识别1 4 2 3 3 脆弱性识别1 5 2 3 4 安全检测项目的确定1 5 2 4 本章小结1 6 第三章内网信息安全预警系统设计1 7 3 1 系统应用环境1 7 3 2 系统特点1 7 3 3 系统设计原则1 8 3 4 系统功能描述。1 8 3 5 系统整体设计2 0 3 5 1 服务器端设计2 1 内网信息安全预警系统研究及实现 3 5 2 客户端设计2 2 3 5 3 策略文件设计2 3 3 6 系统开发技术2 5 3 7 本章小结2 6 第四章内网信息安全预警系统实现2 7 4 1 系统模块划分2 7 4 1 1 服务器端模块划分2 7 4 1 2 客户端模块划分2 8 4 2 服务器端实现2 8 4 2 1s t r u t s 、h i b e r n a t e 、s w i n g 介绍。2 8 4 2 2 策略文件模块3l 4 2 3 信息传输模块3 3 4 2 4 内网主机互联网接入控制模块。3 4 4 2 5 进程循环检测功能模块3 6 4 2 6 补丁、安全软件下载服务3 7 4 2 7 信息查看模块。3 7 4 2 8 远程网络参数设置模块3 8 4 2 9 安全策略配置模块3 9 4 3 客户端实现：4 2 4 3 1 安全检测模块4 2 4 3 2 策略文件下载以及信息上传模块5 2 4 3 3 网络参数设定5 3 4 3 4 文件保护模块5 5 4 4 本章小结5 6 第五章内网信息安全预警系统测试5 7 5 1 测试环境5 7 5 1 1 硬件环境5 7 5 1 2 软件环境5 7 5 2 系统测试。5 7 5 2 1 功能测试5 7 5 2 2 稳定性测试6 7 5 2 3 运行效率测试6 7 南京航空航天大学硕士学位论文 5 3 测试结果分析6 8 5 4 本章小结6 8 第六章总结与展望6 9 6 1 总结6 9 6 2 展望6 9 参考文献7 l 致谢7 4 攻读硕士学位期间发表的学术论文7 5 内网信息安全预警系统研究及实现 图清单 图2 1 风险要素关系结构图。8 图2 2 风险评估流程示意图1 0 图3 1 内网主机接入互联网示意图。1 7 图3 2 系统整体结构示意图2 0 图3 3 策略文件x m l 结构示意图2 5 图4 1s t r u t s 结构示意图2 9 图4 2h i b e r n a t e 工作原理示意图。31 图4 3 策略文件模块流程图。3 2 图4 4 信息传输模块流程图3 4 图4 5 内网主机互联网接入控制模块流程图3 5 图4 6 进程循环检测模块流程图3 7 图4 7 信息查看模块流程图。3 8 图4 8 远程设置网络参数流程图3 9 图4 9 安全策略配置模块图。3 9 图4 1 0 安全策略配置工具结构图4 0 图4 11 安全策略配置界面图。4 1 图4 1 2 进程检测流程图4 2 图4 13o e t p i n f o 方法流程图4 3 图4 1 4 启动项检测流程图4 4 图4 1 5 网络监测流程图4 7 图4 1 6s s d t 检测流程图4 9 图4 17s s d t 编程示意图。5 0 图4 18s s d t 与n t o s k r n l e x e 关系示意图5 0 图4 1 9 挂钩系统服务函数示意图5 l 图4 2 0 获取所有加载模块示意图5 2 图4 2 1 网络参数设定模块流程图5 4 图4 2 2 文件加密与解密流程示意图5 5 图5 1 服务器主界面5 8 图5 2 安全策略文件进程配置界面5 9 南京航空航天大学硕士学位论文 图5 - 3 远程网络参数配置界面5 9 图5 4 主机网络参数界面。6 0 图5 5 信息查看界面6 0 图5 6 客户端进程信息界面6 1 图5 7 客户端进程报警界面。6 2 图5 8 客户端启动项信息界面6 3 图5 9 客户端启动项报警界面。6 3 图5 1 0 客户端网络连接信息界面6 4 图5 1 1 客户端软件磷卜丁信息界面。6 5 图5 1 2 客户端软件& 补丁报警界面。6 5 图5 1 3 客户端s s d t 信息界面6 6 图5 1 4 客户端s s d t 报警界面6 7 内网信息安全预警系统研究及实现 表清单 表2 1 资产问卷调查表。1 4 表2 2 资产威胁问卷调查表1 4 表2 3 威胁分类表1 4 表2 4 脆弱性表。1 5 南京航空航天大学硕士学位论文 注释表 a p p l i c a t i o np r o g r a m m i n g i n t e r f a c e s d y n a m i cl i n kl i b r a r y h y p e r t e x tt r a n s f e rp r o t o c o l j a v a2p l a t f o r me n t e r p r i s ee d i t i o n m o d e l - v i e w - c o n t r o l l e r o f f i c ea u t o m a t i o n s y s t e ms e r v i c ed i s p a t c ht a b l e t r a n s m i s s i o nc o n t r o lp r o t o c o l u s e rd a t a g r a mp r o t o c o l e x t e n s i b l em a r k u pl a n g u a g e 应用编程接口 动态链接库 超文本传输协议 j a v a 2 平台企业版 模型视图控制模式 办公自动化 系统服务调度表 传输控制协议 用户数据报协议 可扩展标记语言 心 吡 一 藿| 一 姒 一 研 唧 第一章绪论 1 1 研究背景 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代政府部门、金融机构、企事 业单位和商业组织对信息系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活 的方方面面。当前组织机构的正常运行高度依赖信息系统，信息系统的安全性变得越来越重要， 其所承载的信息和服务在保密性、完整性等方面一旦出现缺陷，都将给组织机构带来很大的负 面影响。所以信息的保密与安全就显得尤为重要。 在互联网发展的同时，另一种网络也蓬勃发展起来。这种网络是在一个局部地区范围内， 把各种计算机、外围设备、数据库等相互连接起来组成的计算机通信网，即本文所讨论的内网 【l 】。如今，内网已广泛使用于企业、高校和政府部门，因此它已成为计算机通信网的重要组成 部分。当人们在享受内网带来的快速和便捷时，由于使用内网而造成的资源泄露问题也日趋严 重，同时由于这种资源泄露而造成的各个单位、部门、机构重大损失的案例也比比皆是。美国 联邦调查局( f b i ) 和计算机安全机构( c s i ) 等权威机构的研究发现，超过8 0 的信息安全隐 患是来自来组织内网【2 】。在各种信息安全威胁所造成的损失中，企业和政府机构因病毒感染和 黑客攻击所造成的重要信息被窃所导致的损失排在第一位【3 1 ；最主要的信息安全事件为内部网 络通过互联网泄密。中国国家资源安全测评认证中心提供的调查结果显示，现实中主要的威胁 为电脑应用单位有8 0 未设立相应的安全管理川；5 8 无严格的调存管理制度【5 】。由此可见， 目前，由于内网的普及，内网计算机资源的泄露问题也日趋严重，内网信息的安全预警就显得 特别重要，从而内网信息安全预警系统的研究也是变得具有很强的实际意义。 如今，各大企业、政府部门的工作网络为内部网络通过监控主机连接互联网，内部网络中 的主机不能直接接入互联网，而是通过内部网络的服务器进行控制接入的。而机密文件都是保 存在内网主机中的，内网中的机密资源大量的以电子文档方式存在，而电子文档是很容易散播 的【q 。对于企业或者政府部门内部来说，内部威胁的存在性是必然的，而且往往是致命的，如 果没有一个很好的预警机制和系统，将会导致非常严重的后果。目前，国家有关部门也开始重 视内部网络资源泄露的问题，并逐步研究相对的策略和防范手段。在企业方面，随着企业安全 意识的逐步提高，目前相当一部分企业，尤其是大中型企业，不仅采购了防病毒、防火墙等安 全产品，还采购了内网信息安全预警等安全产品，并且制定了企业自己的安全策略或者安全制 度。如何使各种安全产品和安全机制得到正确的配置和使用r 7 l ；如何保证企业的安全策略或安 全制度被彻底执行，更好的防止内部网络机密资源的泄露，已成为企业面临的一个新的挑战【8 】 然而，现在并没有非常成熟的内网资源泄露预警的技术或产品，因此，本文的研究内容是非常 内网信息安全预警系统研究及实现 及时和有意义的。 1 2 国内外研究现状 虽然安全预警系统已经越来越受到重视，但是现在存在的很多都是单纯的安全软件，没有 面向内网的专用系统。其中在国内最著名的就是3 6 0 安全卫士和冰刃，在国外俄罗斯人写的 r o o t k i tu n h o o k 也是一款很著名的软件。 国内著名的3 6 0 安全卫士是一款由奇虎公司推出的完全免费的安全类上网辅助工具软件， 它拥有查杀恶意软件，插件管理，病毒查杀，诊断及修复，保护等数个强劲功能，同时还提供 弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能【9 】。 安全3 6 0 虽然具有和内网信息安全预警系统有相似的功能，并且实时高效，占用系统资源 较少，但是它的安全策略是由奇虎公司自己定义，并且用户要根据奇虎公司的服务器定时更新 安全策略，不能自主的定义策略和规则。由于安全3 6 0 的不可定制性和不能由企业或单位的管 理员进行控制的特性，使得它不适合在公司或者其他单位的内网中使用。并且由于内网互联需 要经过服务器认证的特性，安全3 6 0 缺少很大一部分功能。 另一个大名鼎鼎的冰刃，适用于w i n d o w s2 0 0 0 x p 2 0 0 3 操作系统，其内部功能是十分强 大，用于查探系统中的幕后黑手，木马后门，并可作出处理。冰刃使用了大量新颖的内核技术， 使得这些后门躲无所躲【1 0 1 。 虽然冰刃极其强大，但是由于它采用很多的新技术和内核方面的技术，对使用者有极高的 专业知识要求，另外由于冰刃是一款单机版的软件，和上面的3 6 0 安全卫士一样，无法实现定 制，无法满足内网的特定的安全需求。 在国外，r o o t k i tu n h o o k e r 是一款较新的r k 检测工具，来自俄罗斯。其具有强大的进程检 测、强大的驱动检测、隐藏进程杀除、a p i 钩子检测、驱动转储等功能1 1 】。 但是和冰刃一样，虽然其功能强大但是对使用者要求很高，再者它是一个单机软件，不能 用于内网，更无法进行自主的配置安全策略等。 综上所述，现在内网预警工具较少，即便有实现的安全检测工具，虽然有很大的借鉴和参 考的价值，但是都不适合在特定的内网环境下使用。所以研究一种能够在实际中使用的面向特 定内网应用的内网信息安全预警系统就显得非常有必要和意义。 1 3 研究必要性 上面分析了几种现有安全工具，它们具有很强大的安全主机检测功能，但是也有如下几个 比较大的问题，使得它们不适合在本文所描述的内网环境中使用： 1 )它们的安全策略是由软件开发者自己定义的，不能由内网管理员自主定义，缺乏灵活性， 不适用于特定内网环境。 2 南京航空航天大学硕士学位论文 2 ) 由于它们软件结构本身的特性，它们要么是单机软件，要么是服务器在互联网中不能在 内网中使用。 3 ) 它们没有对内网接入互联网控制提供支持。 4 ) 它们没有提供其它的管理员辅助管理功能，这在一个要严格控制安全的内网中不便于管理 员进行管理。 由于上面几个缺陷，使得它们不能直接应用于内网环境中，所以本文所述的研究课题具有 一定的创新性，具有很好的研究性。 1 4 主要研究内容 内网信息安全预警是一项复杂的系统工程，为了保护内网信息的安全，必须采取全面预警、 深度探测、主动与被动相结合的安全解决方案。本论文将以讨论如何设计并实现一个基于特定 应用的内网信息安全预警系统为主要内容，并将研究重点放在以下几个方面： 第一，对国内外相关理论和技术进行深入分析，在此基础上结合本系统的特点，找到自己 研究的切入点。包括： 1 )借鉴和参考其他的内网信息安全系统，学习和借鉴其精华的地方。 2 )研究信息安全风险评估、漏洞检测等安全理论。理论是实践的理论指导，只有有了很 强的理论指导，才能做出逻辑严谨、实用性强的系统。根据风险评估的理论，找出评 估内网主机的价值，脆弱性，威胁，以及这些威胁可能造成的影响，为后面安全策略 的制定提供理论上的指导。进而分析各个安全标准，从中找出本系统参照的各项安全 指标，为安全策略的制定提供安全约束。 3 )掌握j 2 e e 编程技术和w i n d o w s 环境下的底层编程技术。 第二，在掌握的各种理论以及技术的基础上进行内网信息安全预警系统的设计。其中包括 系统整体功能的设计以及各个模块的设计。从系统整体框架的视角，以安全性，高效性为目标 设计出一个合理的系统框架，使得各个模块能够友好的紧密的协同工作。主要考虑两个方面的 内容，一个是组织结构，二是工作流程。由于系统框架关系到整个系统的整体性能，所以这部 分是整个研究内容的重点。 第三，在设计的基础上进行代码实现，确保系统能够高效、稳定的运行。代码实现方面： 服务器采用j a v a 实现，服务器端的安全策略配置工具( b s 架构) 使用j 2 e e 技术来实现，客户 端( c s 架构) 使用c + + 实现。 第四，系统完成后在实际网络中进行检测。实验通过自建小型局域网来实现，对各种功能 进行测试。 第五，对结果进行分析，得出结论和进行改进。在对实验结果进行分析的基础上，找出不 足的地方，然后通过咨询专家，对系统进行进一步的改进。 3 内网信息安全预警系统研究及实现 根据实际应用中发生泄密是内网主机由于存在安全漏洞，导致通过互联网发生安全泄密事 件，本文假定互联网是泄密的根本所在，内网内部是安全的，只有主机只有接入互联网才会发 生泄密。由于上述特点本系统只是进行检测，检测并监控内网主机是否符合安全策略要求，如 果符合则允许其接入互联网，如果不符合则提出安全威胁并阻断其与互联网连接，并不进行杀 毒或清除木马，但是会提出安全建议。所以本系统是一个从源头解决安全问题的预警系统，而 不是防御系统。 现在各个学校，公司和其他的单位都是采用w 阻服务器集中管理内网的互联网接入服务。 如果设计一种从w e b 服务器来管理内网信息安全的预警系统，就能从源头保护信息的安全。针 对这个特点，本文设计并实现一个功能强大，具有强大的配置性，灵活的自主性，能够从源头 进行安全控制的特色内网预警系统。通过这样得一个系统能在源头给内网信息安全构建起一道 防护，从而确保安全事件不会发生。 1 5 研究难点与解决方案 为了很好的完成上述研究内容，就必须对研究课题有深入的研究，对其中的难点进行总结， 为研究工作的进一步开展做好充分的准备。 本文所研究课题主要有以下几个难点： 1 ) 如何确定要安全检测的安全检测项目，比如要检测进程、启动项、网络连接等，是否还有 更多的项目要进行安全检测，本系统为安全预警系统，所以安全检测是系统最重要也是最 关键的地方，安全检测项目的确定是否合理直接关系着系统的可靠性。 2 )在系统设计时如何划定系统的各个模块，模块划分的好坏对程序的实现，以及以后的测试 和系统更新有很大的影响，所以系统模块的划分具有非常重要的意义。 3 )如何设计各个安全检测项目的安全策略，其与安全检测项目的确定有直接的关系，同样直 接关系着系统的可靠性。 钔如何高效、可靠的进行代码实现，系统中涉及的编程技术较多，既有w i n d o w s 可视化方面 的编程，也有w i n d o w s 内核方面的技术，最后还要用3 1 l j j a v a 桌面程序编程和j 2 e e 方面的知 识，所以对个人的编程能力有很强的要求。 5 )系统实现后如何有效进行系统的功能性和稳定性测试，一个系统完成的好坏需要经过测试 来证明，一个好的测试用例能够及时的发现系统漏洞与不足，其是系统进一步完善和改进 的必要步骤。 在总结了难点的基础上，经过大量针对性的资料查阅和学习，对上面的难点进行了分析， 在具体实现的时候采用以下方法解决上面的难题： 1 )对安全检测项目的确定，首先利用风险评估理论的知识和方法对内网信息安全隐患进行风 险评估从而得出需要进行安全检测的项目；其次通过总结其他同类软件，找出更多的需要 4 南京航空航天大学硕士学位论文 进行安全检测的项目；最后通过阅读大量的资料查疑补缺使得安全检测项目进一步完善。 经过上述三个步骤，就能得到较完善的安全检测项目。 2 )模块划分的时候，根据功能性和代码实现的具体问题对模块进行划分。 3 )安全策略的设计，首先参考各个软件的安全策略文件，其次通过大量资料的查阅，最后通 过老师指导进行设定。 4 ) 对于代码实现，因为平时接触了一些这方面的知识，对这方面有一定了解，遇到难点疑点 通过互联网和书籍学习或者请教其他老师和同学。具体每个模块的技术难点在第四章中详 细阐述。 5 ) 对于系统测试，最后通过若干台电脑，搭建一个实际的小型环境来进行实际测试，而不是 进行虚拟的建模测试，以保证系统测试的真实性和可靠性。 1 6 论文结构及章节安排 本论文工分为六章： 第一章是引言部分，从课题研究背景出发，分析内网信息安全问题及其国内外的研究现状， 提出了本文所要解决的问题。 第二章是风险评估及系统设计参考的安全要素产生部分，介绍了内网信息安全预警系统在 设计中依据的理论和在设计系统的时候要考虑的安全因素。 第三章是系统的整体设计部分，阐述了内网信息安全预警系统的功能需求和总体的框架设 计。 第四章是系统的具体实现部分，在第三章设计的基础上，阐述了内网信息安全预警系统的 具体实现，特别着重的阐述了各个模块的具体实现。 第五章是系统的测试部分，在一个小型的内网环境下对该系统做了功能和稳定性的测试， 并以截图的形式给出了测试的结果。 第六章是总结和展望部分，总结了本文所阐述的内网信息安全预警系统具有的特点和有所 创新的地方，提出了该系统的不足，并对今后在该领域里的进一步研究工作进行了展望。 5 内网信息安全预警系统研究及实现 第二章风险评估技术研究及内网威胁与脆弱性识别 2 1 风险评估的必要性 在第一章中说了本文第一个难点就是安全检测项目的确定，这个是系统的难点与重点，解 决方法是通过风险评估对现有内网进行评估确定其脆弱性和威胁，进而找出要进行安全检测的 项目。对内网进行风险评估为系统设计提供理论和经验支持。 任何一种优秀的系统都不是凭空产生的，首先要有一定的理论支撑，其次要有良好的分析 和设计，再次要结合具体的实际需求和特色，最后在实现的时候要技术优良。本文首先以风险 评估为理论基础，根据内网的特色，利用风险评估的理论进行资产识别、威胁识别、脆弱性识 别，在其基础上对威胁和脆弱性进行定量与定性的分析，最后利用软件工程的思想在其分析的 基础上进行系统设计，并进行了代码实现，这样就能保证系统的理论和实际应用都能达到需求。 其次在进行信息化建设当中，为保障其安全会采取一定的安全措施，包括防火墙、i d s 和 防病毒软件等，但这些安全措施是否有效，是否存在防卫过当，俗称的“茅屋上金锁”，或者还 很不够，但又不知问题会出在哪里。这些不确定性就是安全问题，也就是风险。通过风险评估 使我们能够从系统的角度，综合技术与管理多方面的因素，认清信息安全环境和信息安全状况， 从而采取或完善更加经济有效、针对性强的安全措施，保证信息安全策略的一致性和持续性1 3 】。 只要清楚了风险所在，针对风险进行检测，就能防止安全事件的发生，这也是本文采用风险评 估的原因。 风险评估是科学分析并确定风险的过程： 第一：任何信息系统的安全性都可以通过风险的大小来衡量。科学的分析系统信息系统的 安全风险，包括对风险大小的评估，并综合为对抗风险所需要付出的代价，构成了风险评估的 基本过程。 第二：风险评估是风险评估理论和方法在加强信息系统安全中的运用，是科学地分析理解 信息和信息系统在机密性、完整性和可用性等方面所面临的风险，并通过转移和对抗等措施， 确保把风险控制在可以接受的范围内。 第三：通过风险评估可以确定信息系统所要保护的关键资源；确定信息系统面临的风险及 其强度；根据安全需求，确定适当的安全措施。 2 2 风险评估技术研究 2 2 1 风险评估的定义 信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信 6 科学、公正的综合评价的过程1 6 1 。 2 2 2 风险评估的目的 通过风险评估，可以达到以下几个目的【1 7 】： 1 ) 明确系统的安全需求。 2 ) 对可能受到威胁的资产进行确认，并设定相应的安全级别。 3 ) 确定可能对资产造成伤害的威胁和脆弱性。 4 ) 制定相应的信息系统的安全策略。 2 2 3 风险评估的要素 风险评估工作是一项系统工程，必须明确其中的要素及其关系。风险评估要素是指在风险 评估过程中设计的许多因素，是风险评估必须考虑的部分。他们之间有相互的因果和依赖等关 系【埘。分析这些要素及其之间的关系对风险评估具有很重要的意义。 1 )资产：任何对组织机构具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、 文档信息、软件、信息服务和人员等。它具有属性资产价值。 2 )威胁：是可能对资产或组织机构造成损害的意外事件的潜在原因，即某种威胁源或威胁代 理成功利用特定弱点对资产造成负面影响的潜在可能。 3 )脆弱性：资产或资产组中存在的可被威胁利用的缺点，脆弱性一旦被利用，就可能对资产 造成损害。脆弱性本身并不能构成伤害，它只是威胁用来造成影响的一个条件。 4 )风险：特定威胁利用资产的脆弱性给资产或资产组带来损害的潜在可能性。单个或者多个 威胁可以利用单个或者多个脆弱性。风险是威胁事件发生的可能性与影响综合作用的结果。 5 )安全需求：为保证系统业务战略能够实现，在信息安全保障方面提出的要求。 6 ) 安全事件：威胁主体利用资产的脆弱性，对信息系统造成实际危害的情况称为安全事件。 7 )安全措施：指通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、 方法和措施的总称。 这些要素之间的关系如下图所示： 7 内网信息安全预警系统研究及实现 图2 1 风险要素关系结构图 图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。 风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、 安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。这些风险要素及属性之间 存在着以下关系：业务战略依赖资产去实现：资产是有价值的，组织的业务战略对资产的依赖 度越高，资产价值就越大；资产价值越大则其面临的风险越大；风险是由威胁引发的，资产面 临的威胁越多则风险越大，并可能演变成安全事件；脆弱性越多，威胁利用脆弱性导致安全事 件的可能性越大；脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形 成风险；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要 结合资产价值考虑实施成本；安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影 响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风 险来自于安全措施可能不当或无效，在以后需要继续控制，而有些残余风险则是在综合考虑了 安全成本与效益后未控制的风险，是可以被接受的；残余风险应受到密切监视，它可能会在将 来诱发新的安全事件n 9 3 。 2 2 4 风险评估流程 风险评估流程主要有如下几个主要步骤： 1 ) 风险评估准备 风险评估的准备是整个风险评估过程有效性的保证。因此，在风险评估实施前，应进行以 下几项工作： 8 南京航空航天大学硕士学位论文 确定风险评估的目标； 确定风险评估的范围； 组建适当的评估管理与实施团队； 进行系统调研； 确定评估依据和方法。 2 ) 资产识别 资产是具有价值的信息或资源，是安全策略保护的对象。信息资产的界定和赋值是整个评 估工作的前提，对资产进行识别首先要对资产进行分类。它能够以多种形式存在，有无形的、 有形的，有硬件、软件，有文档、代码等。风险评估中，资产大多属于不同的信息系统，如o a 系统、网管系统、业务生产系统等，这时首先需要将信息系统及相关的资产进行恰当的分类， 以此为基础进行下一步的风险评估。具体的资产分类方法很多，可以根据具体的评估对象和要 求而定。此外，还要对资产进行估价，也就是对资产机密性、完整性和可用性影响分析2 0 1 2 。 最后在此基础上得出一个综合结果的过程。 3 ) 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。对威胁进行识别 就要对需要保护的每一项关键资产所面临的威胁进行分析。一项资产可能面临着多个威胁，同 样一个威胁可能对不同的资产造成影响。对威胁进行识别，还要判断威胁出现的频率，这是威 胁识别的重要工作。判断威胁发生的频率主要依靠相关数据或者评估者的经验。在风险评估过 程中，主要参考以下三个方面： 1 、 以往安全事件报告中出现过的威胁及其频率的统计。 2 、实际环境中通过检测工具各种日志发现的威胁及其频率的统计。 3 、近一两年来国际组发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的 威胁预警。 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级 数值越大，威胁出现的频率越高。当然，在评估威胁频率时还要考虑资产的吸引力、威胁的技 术力量、资产转化成报酬的难易程度以及脆弱性被利用的难易程度等。 4 ) 脆弱性识别 对资产的脆弱性进行识别是风险评估中重要的内容，因为威胁总是要利用资产的脆弱性才 可能造成危害。脆弱性识别就是将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性， 并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估。脆弱性识别时的 数据应来自于资产的所有者、使用者以及相关业务领域的专家和软硬件方面的专业等人员。脆 弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 9 内网信息安全预警系统研究及实现 其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工 抽查，以保证技术脆弱性评估的全面性和有效性。 5 1 风险计算 在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法与工具确定威胁利用脆 弱性导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的 严重程度判断安全事件造成的损失对组织的影响，即安全风险1 2 3 1 2 4 。 6 ) 风险处理及推荐安全对策 风险评价结束之后，评估者提供详细的评估报告，报告内容一般包括： 概述，包括评估目的、方法、过程等。 评估结果，包括资产、威胁、弱点和现有控制措施的评估等级，以及最终的风险等级。 推荐安全对策，提出建议性的解决方案。推荐安全措施时需要考虑法律法规的要求、 组织机构的策略、效率等因素，通常可以基于业界惯例、标准或者基线规范而做出选 择f 2 5 】。 其整体过程如下图所示： 图2 2 风险评估流程示意图 2 2 5 风险评估的方法 目前，由于我国信息风险的安全评估才刚刚起步，因此我国现在所做的评估工作主要以定 性评估为主，而定量分析尚处于研究阶段。无论何种方法，共同的目标都是找出组织机构的信 息系统面临的风险及其影响，以及目前安全水平与组织机构安全需求之间的差距。但是评估方 1 0 被赋值，风险评估的整个过程和结果就可以进行量化。 常用的定量