（模式识别与智能系统专业论文）基于模块化的信息安全风险评估模型研究.pdf

中文摘要 摘要 信息安全已经成为国家安全的重要组成部分，因此为保证信息安全，建立信 息安全保障体系已成为目前安全建设的首要任务。信息安全保障涉及方方面面， 其中信息安全管理是关键环节之一，风险评估作为信息安全管理的重要内容，在 信息安全管理体系建设的各个阶段发挥着重要的作用。随着风险评估研究的深入， 出现了多种评估方法。由于信息系统组成和逻辑关系的复杂性，现有方法都存在 不同的局限性。风险评估是一个综合评价过程，建立简化有效的评估模型是顺利 完成风险评估的基础。本文在深入研究国际国内各种评估标准、模型及评估方法 的基础上，提出了基于模块化的层次风险评估模型思想，通过一个典型的网络系 统的风险评估实例，介绍了算法实现的过程和基于模块化的风险评估模型的易操 作特点。 本文首先探讨了信息安全保障、信息安全管理与风险评估的相互关系及风险 评估在信息安全保障体系中的重要性，介绍了安全管理与风险评估在国际国内的 现状与发展趋势，突出我国在风险评估领域与发达国家的差距，揭示研究本课题 的现实意义，并研究了经典的和常用的准则及模型，如b s7 7 9 9 ，i s o1 3 3 3 5 ，g b 1 7 8 5 9 ，p 2 d r 及p d a m e e 等。本文参考国际标准和经典模型，建立基于模块化的 风险评估模型，将现在各行各业成功应用并取得重大突破的模块化思想与风险评 估结合，并对其进行可行性分析，得出在风险评估中应用模块化方法可行、合理。 在此基础上对信息系统进行技术分割，将一个信息系统分为七个标准模块， 管理模块、核心模块、分布层模块、服务器模块、边缘分布模块、外网接入模块 以及外部环境模块，并详细阐述了这些模块的内容及相互关系。同时结合i s 0 1 7 7 9 9 标准推导出一种基于模块化的风险评估过程，根据系统的安全需求，对资产的保 密性、完整性以及可用性进行定性评估，由聚类法划分模块，根据模块的中心实 体的属性确定标准模块。通过分析每个模块所面临的威胁以及脆弱性，结合已有 的安全控制措施，由相应的评估算法得出各模块风险事件的风险等级，由此可知 系统的安全状况，为风险管理提供依据。 最后，本文在基于模块化风险评估模型的典型应用中，详细介绍了建立模块 库、资产库、威胁库以及脆弱点库等公共数据库的思想和过程，为复杂信息系统 安全结构的仿真设计和周期性系统风险评估提供了一种有效方法。 关键词：信息安全，风险评估，模块化，模型 英文摘要 a b s t r a c t i n f o r m a t i o ns e c u r i t yh a sb e e na l r e a d yt h ei m p o r t a n tc o m p o n e n to fn a t i o n a l s e c u r i t y , a st oe n s u r et h ei n f o r m a t i o ns e c u r i t y i ti st h em o s ti m p o r t a n tt a s ko f s e c u r i t y c o n s t r u c tt ob u i l di n f o r m a t i o ns e c u r i t yg u a r a n t e es y s t e m n eg u a r a n t e es y s t e mr e f e r s t om a n ya s p e c t sa n da m o n gt h e mi n f o r m a t i o ns e c u r i t ym a n a g e m e n ti so n eo fk e yl i n k a st h ei m p o r t a n tc o n t e n to fi n f o r m a t i o ns e c u r i t ym a n a g e m e n t 1 “s ka s s e s s m e n tp l a y s a l li m p o r t a n tr o l ei ne a c hs t a g eo f b u i l d i n gt h ei n f o r m a t i o ns e c u r i t ya d m i n i s t r a t i o n n o w w i t ht h a tt h e 鼬s ka s s e s s m e n ts t u d yg o i n gd e 印，v a r i o u sa s s e s s m e n tm e t h o d sh a v e a p p e a r e d a sar e s u l t o fc o m p o s i t i o na n dt h e1 0 9 i c a lr e l a t i o n sc o m p l e x i t yo ft h e i n f o r m a t i o ns y s t e m , t h ee x i s t i n gm e t h o d sa l lh a v et h ed i f f e r e n tl i m i t a t i o n 1 1 l er i s k a s s e s s m e n ti sas y n t h e s i sa s s e s s m e n tp r o c e s s ，e s t a b l i s h i n gt h es i m p l i f i c a t i o na n d e f f e c t i v ea s s e s s m e n tm o d e li st h ef o u n d a t i o nt h a ts m o o t h l yc o m p l e t e st h er i s k a s s e s s m e n t b a s e do nt h ed e e ps t u d yo nn a t i o n a la n di n t e r n a t i o n a la s s e s s m e n ts t a n d a r d s ， m o d u l e sa n dm e t h o d s ，p r o p o s e dm o d u l a r i z a t i o nb a s e dr i s ka s s e s s m e n tm o d e l t h r o u g hat y p i c a ln e t w o r ks y s t e mr i s ka s s e s s m e n te x a m p l e ，i n t r o d u c e dt h ea l g o r i t h m r e a l i z a t i o np r o c e s sa n de a s yo p e r a t i n gf e a t u r eo f m o d u l a r i z a t i o nb a s e dr i s ka s s e s s m e n t m o d e l f i r s t l yi nt h i sa r t i c l ed i s c u s s e st h ei n t e r r e l a t i o no fi n f o r m a t i o ns e c u r i t yg u a r a n t e e , i n f o r m a t i o ns e c u r i t ym a n a g e m e n ta n dr j s ka s s e s s m e n ta n dt h es i g n i f i c a n c eo fr j s k a s s e s s m e n ti ni n f o r m a t i o ns e c u r i t yg u a r a n t e e ，i n t r o d u c e st h ei n t e r n a t i o n a la n dn a t i o n s i t u a t i o na n dd e v e l o p m e n tt r e n do fs e c u r i t ym a n a g e m e n ta n dr i s ka s s e s s m e n t ， e m p h a s i z e st h ed i s p a r i t yo fo u rc o u n t r yw i t ht h ed e v e l o p e dc o u n t r y i nt h er i s k a s s e s s m e n td o m a i n , p r o m u l g a t e st h ep r a c t i c a ls i g n i f i c a n c et h a tr e s e a r c h e st h i st o p i ca n d t h e ns t u d i e st h ec l a s s i c a ls t a n d a r d sa n dm o d u l e s ，l i k eb s7 7 9 9 ，i s 01 3 3 3 5 ，g b1 7 8 5 9 ， p 2 d ra n dp d a m e ee t c w i t hr e f e r e n c et ot h ei n t e r n a t i o n a ls t a n d a r d sa n dc l a s s i c a l m o d u l e st h em o d u l a r i z a f i o nh a s e dr j s ke v a l u a t i o nm o d u l el i n k sr i s ka s s e s s m e n ta n d m o d u l a r i z a t i o nm e t h o dw h i c hh a sa p p l i e ds u c c e s s f u l l yt oa l lp r o f e s s i o n sn o w t h e n c a l t i e so u tt h ef e a s i b i l i t ya n a l y s i sa n da c h i e v et h e f e a s i b i l i t ya n dr a t i o n a l i t y t h a t m o d u l a r i z a t i o nm e t h o di sa p p l i e dt or i s ka s s e s s m e n t s e c o n d l yt h ei n f o r m a t i o ns y s t e mi s b r o k e nu pi n t os e v e nm o d u l e s ：m a n a g e m o d u l e ，c o r em o d u l e , d i s t r i b u t i o nl a y e rm o d u l e , s e v e rm o d u l e ，m a r g i nd i s t r i b u t i o n m o d u l e ，i n t e m e tm o d u l ea n do u t e rc i r c u m s t a n c em o d u l e , a n dt h e i rc o n t e n ta n d 1 1 1 重庆大学硕士学位论文 i n t e r r e l a t i o ni si n t r o d u c e dd e t a i l e d l y t h e nl i n k i n gt h ei s 0 1 7 7 9 9s t a n d a r d d e d u c e so n e k i n do fm o d u l a r i z a t i o n - b a s e dr i s ka s s e s s m e n tp r o c e s s i ta c c o r d i n gt os y s t e ms e c u r i t y r e q u i r e m e n tc a r r i e so u tq u a l i t a t i v ea n a l y s i so ns e c r e c y , i n t e g r a l i t ya n du s a b i l i t yo fa s s e t s ， d i v i d e sm o d u l e sb yc l u s t e r i n gm e t h o da n da s c e r t a i n st h es t a n d a r dm o d u l e sa c c o r d i n gt o c e n t r ee n t i t i e sa t t r i b u t eo ft h em o d u l e t h e na n a l y z e st h r e a ta n dv u l n e r a b i l i t yo fe a c h m o d u l ea n dr e f e r e n c et ot h ea v a i l a b l es a f e g u a r da n da l g o r i t h ma c h i e v e st h er i s kg r a d e o f m o d u l e sa n ds y s t e m t h e s ew i l lp r o v i d eab a s i st ot h er i s km a n a g e m e n t f i n a l l yi nt h ea p p l i c a t i o no ft h em o d u l a r i z a t i o nb a s e dr i s ka s s e s s m e n tm o d u l e b u i l tc o m m o nd a t a b a s e ss u c ha st h em o d u l ed a t a b a s e ，t h ea s s e t sd a t a b a s e ，t h r e a t d a t a b a s ea sw e l la sv u l n e r a b i l i t yd a t a b a s e ，p r o v i d e da ne f f e c t i v em e t h o df o rs e c u r i t y m e c h a n i s ms i m u l a t i o n d e s i g na n dt h ep e r i o d i cr i s k a s s e s s m e n to ft h e c o m p l e x i n f o r m a t i o ns y s t e m k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ，r i s ka s s e s s m e n t ，m o d u l a r i z a t i o n ，m o d e l i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重鏖太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：纬日黪 签字日期：力膏年占月乡日 学位论文版权使用授权书 本学位论文作者完全了解重废太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权 重庆太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密() ，在年篇密后适用本授权书。 本学位论文属于 不保密( v ) 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：劈目零 签字日期：二j 年6 月岁日 导师签名：童多 签字日期： 矽年每月6 日 1 绪论 1 绪论 互联网的迅速发展使信息的传输与加工可以在瞬间跨越地理位置的障碍而遍 布世界各地，信息处理深入到各个部门和领域并已经进入了家庭。这一切使得人 类开始进入信息化社会，不仅生产力得到了极大的提高，人们的生产方式、生活 方式、学习方式，甚至人们的思维方式都发生了改变。但与此同时，人们也认识 到社会信息化蕴涵着巨大的安全风险，随着信息化程度的提高，特别是i n t e m e t 的 发展，信息泄漏的危险日益增大，危害日益严重。信息安全成为社会关注的热点 问题，而信息安全风险评估和管理则成为信息安全乃至信息化发展中必须面对的 经常性问题。在这种形势下，针对信息安全风险评估的研究自然就成为了国内外 学术界关注的前沿。 1 1 信息安全与风险评估 1 1 1 信息系统安全的现状和需求 现代信息社会的高速发展是以计算机和通信网络技术的迅猛发展为标志的。 随着计算机网络技术的发展，基于网络的计算机应用系统已经成为主流。企业、 银行以及其他商业金融机构在电子商务热潮中纷纷连入国际互联网( i n t e r n e t ) ，政府 的电子政务工程正在如火如荼地展开。可见，通过网络实现包括个人、企业和政 府在内的全社会信息共享已经逐步成为现实。信息化的社会在尽力追逐信息系统 的时空性能和高速网络化的同时，信息系统的安全保密问题也日益突出和复杂。 计算机信息系统是由计算机及其相关的和配套的设备、设施( 含网络) 所构成的按照 一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机 系统。信息系统面l 临的安全威胁有：中断、篡改、窃取、伪造、冒充、抵赖等等。 所谓信息系统安全，是指为信息系统所采取的技术和管理的安全保障措施，以保 护系统中的硬件、软件和数据，防止因偶然或恶意的原因而使系统或信息遭到破 坏、更改或泄漏。传统的信息安全与互联网时代的信息安全的一个显著的区别是 后者以网络为核心，而不是以独立的信息系统自身为核心。目前发展起来网络信 息系统对网络安全提出了身份认证、访问控制、数据保密服务、数据完整性服务 和不可否认服务的要求。为此，国际标准化组织i s o 在网络安全体系设计标准 i s 0 7 4 9 2 - 2 中提出了层次模型的安全体系结构，并定义了5 大安全服务( s e c u r i t y s e r v i c e s ) 功能【l 】。包括实体认证( e n t i t ya u t h e n t i c a t i o n ) 艮务、数据保密性( d a t a c o n f i d e n t i a l i t y ) 服务、数据完整性( d a t ai a t e g r i t y ) 服务、防抵赖( n o n - r e p u d i a t i o n ) 和访 重庆大学硕十学位论文 问控带l l ( a c c e s sc o n t r 0 1 ) 服务。一个可靠的网络，它的町信任程度依赖于所提供的安 全服务质量。 1 1 2 信息安全的目标 信息可能以多种形式存在。它町以打印或写在纸上、以电子方式存储、用邮 寄或电子手段发送、呈现在胶片上或以谈话说出来。无论信息采用什么形式或者 用什么方法存储或共享，它总要受到适当的保护。因为信息也同其他藿要业务资 产一样，也是一种资产，对一个组织具有价值。信息安全在此表现为具育f 列特 ，征【2 】【3 1 ： 保密性：对信息系统中信息的未经授权的泄露或破坏的容忍程度。具有较 高保密性的系统，信息不能轻易地被泄露或破坏，较低保密性的系统则信息容易 被泄露或破坏。 完整性：对信息系统中信息的未经授权的修改或破坏的容忍程度。具有较 高完整性的系统，信息不能轻易地彼修改或破坏，较低完整性的系统则信息较容 易被修改或破坏。 町用性：对信息系统中信息的存储，传输或处理延迟的容忍程度，或对服 务被破坏或被拒绝的容忍程度。具有较高可用性的系统，信息的存储、传输和处 理不能轻易地或较长时间被延迟，或者服务轻易地被破坏或被拒绝；较低可用性的 系统，信息的存储、传输和处理能较轻易地或较长时问被延迟，或者服务较容易 被破坏或被拒绝。 可控性：对信息系统中信息的未经授权的控制关系的改变的容忍程度，或 对服务的未经授权的控制关系的改变的容忍程度。具有较高可控性的系统，信息 的控制关系不能轻易进行未授权的改变，较低叮控性的系统则信息的控制关系容 易进行未授权的改变。 不可否认性：对信息系统中网上信息交换的双方否认进行信息交换事实的 容忍程度。具有较高的不可否认性的系统不能轻易否认交换事实，较低不可否认 性的系统则较容易否认交换事实。 1 1 3 风险评估是信息安全的起点 信息的安全，总是依赖于对信息进行加工、处理、传输和存储的信息系统的 安全。而信息系统的安全，在某种程度上，总是与处理风险和管理风险相关。目 前的操作系统、应用系统甚至网络协议都存在重大安全隐患，如果不对它们进行 相应的提高，则会是漏洞百出，掌握一般攻击技术的人都可能攻击得手。但是， 降低风险、预防损失绝不只是配置一系列安全设备那样简单。一个完整的信息系 统安全体系和安全解决方案是根据网络体系结构和网络安全的具体情况来确定 2 i 绪论 的，信息系统安全的提高是以一定的资源和资产为代价的。因此我们不应该毫无 根据地提高安全性，而应该正确估价自己的信息安全风险并根据自己的风险大小 做出相应的安全解决方案。否则有可能付出了很大的代价而不能收到相应的安全 效果。可以说，信息安全建设的起点和基础是全面有效的风险评估。 信息安全风险评估主要内容【4 l 是信息资产识别、估价，脆弱性识别和评价，威 胁识别和评价，安全措施确认，建立风险测量的方法及风险等级评价原则，确定 风险大小与等级。风险评估是解决信息安全的首要问题，没有进行透彻的风险分 析和评估而实施的安全策略就好像先建房屋后画图纸一样，会导致资金和人力资 源的巨大消耗和浪费。 1 2 国内外信息安全( 风险评估) 的发展阶段 1 2 1 美国风险评估的发展和现状 美国是国际上对信息安全和风险评估研究历史最长和工作最丰富的国家。随 着信息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全概念的发 展变化，他们对信息安全和风险评估的认识也逐步加深。从最初关注计算机保密 发展到目前关注信息系统基础设施的信息保障。大体经历了以下三个阶段”j i o j ： 第一阶段( 6 0 7 0 年代) 以计算机为对象的信息保密阶段。1 9 6 7 年美国国防部委 托兰德公司、迈特公司开始研究计算机安全问题，当时主要对大型机、远程终端 进行了研究。其重点针对了计算机系统的保密性问题，对安全的评估只限于保密 性。 第二阶段( 8 0 9 0 年代1 以计算机和网络为对象的信息安全保护阶段。此阶段出 现了初期的针对美国军方的计算机黑客行为。在此期间逐步认识到了更多的信息 安全属性( 保密性、完整性、可用性) ，从关注操作系统安全发展到关注操作系统、 网络和数据库，试图通过对安全产品的质量保证和安全测评来保障系统安全，但 实际上仅仅奠定了安全产品测评认证的基础和工作程序。 第三阶段( 9 0 年代末2 1 世纪初) 以信息系统关键基础设施为对象的信息保障阶 段。计算机网络成为关键基础设施的核心。各个行业也逐步提出了本行业的信息 安全战略，风险评估思想在其中得到了重要的贯彻。目前，美国己经建立了国家 风险评估认证体系，负责研究并开发相关的评估标准、评估认证方法和评估技术， 并进行基于评估标准的信息安全评估和认证，其最新的发展计划是f i s m a 计划。 美国的评估认证体系结构及工作流程分别如图1 1 、图1 2 所示。 3 重庆大学硕士学位论文 i s 0 15 4 0 8 ( c c ) 及 其通用评估方法 ( c e m ) 国家非官方实验室 认可计划( n v l a p ) i s o ，i e c ( 导剥 2 5 ) 要求 认 可 n i a p 认证机构 技术 台作 评估 结果 方案 需求 技术 监督 已批准的实验室名单 已批准的评估万法目录 认证报告 通用准则证书 消费者群体( 本国政 府、本国非政府、外国 政府、外国非政府) c c 评估实验室kl 评估发起者 图1 i 美国的认证体系结构 f i g u r e l 1 a u t h e n t i c a t i o ns y s t e ms t r u c t u r ei n a m e r i c a 畚缓梅l l 初始的安令喊陵麟执 廓劝和范溺确恣 安食控制确认郸豁讽 霞全i 捌确斌 轿穗 律估瀛樱酌绷纯 安垒测试摹j 评 鑫 缀终钧风随详镄 霞垒讣刘围愿颥 沃b f 结论 诚阿决紫 风除谔估的麓新 确定认雌 系统鞠外埯阵慰 精系绞废弃 图1 2 美国的评估认证认可流程图 f i g u r e l 2 a s s e s s m e n ta u t h e n t i c a t i o na n da p p r o v a lf l o wi n a m e r i c a 4 1 绪论 1 2 2 其他国家和地区的风险评估现状 英国标准化协会( b s d l 9 9 5 年颁布了信息安全管理指南( b s7 7 9 9 ) ，b s7 7 9 9 分为两个部分：b s7 7 9 9 1 信息安全管理实施规则和b s7 7 9 9 2 信息安全管理 体系规范。2 0 0 2 年又颁布了信息安全管理系统规范说明( b s7 7 9 9 2 ：2 0 0 2 ) 。 它将信息安全管理的有关问题划分成了1 0 个控制要项、3 6 个控制目标和1 2 7 个控 制措施。在b s 7 7 9 9 2 中，提出了如何了建立信息安全管理体系的步骤。 德国的联邦信息技术安全局的信息安全管理是通过他们2 0 0 1 年7 月颁布和不 断更新的信息技术基线保护手册( i tb a s e l i n ep r o t e c t i o nm a n u a l ( i t b p mo rb p m ) ) 来加以指导的。b p m 比英国的b s7 7 9 9 更加详细地对威胁和安全措施加以了分类， 具体地开列威胁清单和安全措施清单，并通过维护网上更新来实现与时俱进的安 全需求。该文将威胁目录分为五类2 7 2 种( 严重影响1 3 种，机构缺陷6 7 种，人为 故障4 7 种，技术故障4 3 种，故意行为1 0 2 种) ，安全措施目录分为六类6 0 7 种( 基 础设施类5 7 种，机构类2 2 6 种，个人类2 6 种，软件和硬件类1 3 5 种，通信类8 8 种，意外事故计划类7 5 种) 。 澳大利亚新西兰风险管理准则联合委员会于1 9 9 5 年颁布了世界上第一部风 险管理的正式标准：a s n z s 4 3 6 0 。这是一个针对普遍风险( 面非信息安全风险) 的 风险管理标准，成为关注一般风险管理的人员的通用准则。a s n z s 4 3 6 0 在1 9 9 9 年又颁布了其修改版本。澳大利亚的经验表明：这些准则虽然不能直接为内部审 计人员提供一个风险模型，但却为产生风险模型奠定了基础。 加拿大风险管理准则委员会于1 9 9 7 年颁布了风险管理：决策者的指导 ( a n c s a q 8 5 0 - 9 7 ) 。 国际标准化组织在信息安全管理方面，早在1 9 9 6 年就开始制定信息技术信 息安全管理指南( i s o i e c1 3 3 3 5 ) ，它分成信息安全的概念和模型、信息安全 管理和规划、信息安全管理技术、基线方法、网络安全管理指南五个部 分。其后，国际标准化组织又通过了依据b s7 7 9 9 1 制定的信息安全管理实施指 南( i s o i e c1 7 7 7 9 ：2 0 0 0 ) ，提出了基于风险管理的信息安全管理体裂”。 综观国际情况，风险评估经历了一个从只重技术到技术、管理并重的全面评 估，从单机到网络再到信息系统基础设施，从单一安全属性到多种安全属性发展。 当前，正在信息保障的概念下，还处在不断深化完善之中。 1 2 3 我国的风险评估发展及现状 我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展 的【8 1 。早期的信息安全工作中心是信息保密。8 0 年代后，提出了计算机安全问题， 开展了计算机安全检查工作。但由于缺乏风险意识，通常寻求绝对安全的措施。 重庆大学硕 学位论文 9 0 年代后，我国提出了计算机信息系统实行安全等级保护的要求。其后，提出了 一系列的相关技术标准和管理规范。信息安全的风险意识歼始建立，并逐步加强。 2 0 0 3 年7 月，国家信息化领导小组召开了第三次会议，专门讨论了信息安全 问题。会议审议通过了关于加强信息安全保障 作的意见，并经由中办、国办 作为( 2 0 0 3 ) 2 7 号文件颁布。2 7 号文件中提出了实行信息安全等级保护的任务，并 且明确提出了要重视信息安全风险评估工作的要求。 根据国信办领导的指示，课题组在2 0 0 4 年上半年启动了信息安全风险评估指 南和风险管理指南等标准的编制工作。标准编制工作于2 0 0 4 年3 月正式启动，整 个撰写工作分为前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段等 阶段，历时一年先后完成信息安全评估指南与信息安全管理指南的征求 意见稿。 在标准编制等工作准备的基础上，国信办联合有关部门和地方在2 0 0 5 年对银 行、税务、电力、国家电子政务外网等重要信息系统和关键基础设施以及北京市、 上海市、黑尼江省、云南省等地方的电子政务系统启动了风险评估试点工作。各 试点单位依据信息安全风险评估指南和信息安全风险管理指南，结合自身 的具体情况，在评估实践中进一步完善两项国家标准的完备性和适用性，同时摸 索国家进一步开展风险评估工作的实践经验。 从总体上来说，我国目前尚未形成一套完整、成熟的风险评估体系，实际风 险评估也显得不够科学与规范，缺乏科学、有效、有针对性的模型与方法进行指 导，评估工作主要以手工为主，效率较低，主观性和随意性较大，这就难以为信 息系统安全建设提供有效指导。因此迫切需要对信息系统风险评估开展深入研究， 进一步成熟与完善我国风险评估体系。 1 3 课题研究的内容及章节安排 通过对国内外风险评估标准及现状的研究，可见对风险评估的研究还需要付 出更多的努力。本文拟在研究风险评估的相关概念、标准、模型、方法及过程的 基础上，设计一个基于模块化的风险评估模型，利用模块化的精确、高效提高风 险评估的精确度以及效率。系统拟在考虑风险评估的三要素( 资产、漏洞、威胁) 关系的基础上，对系统资产进行定性与定量分析，并利用模块化的风险分析方法 进行可能性的计算，最终得出系统各模块的风险值。为此，本文的章节安排如下： 第一章：介绍目前国际国内不容乐观的信息安全现状，强调对信息安全研究 的必要性和客观性，突出风险评估在信息安全体系中的重要性，并针对当前我国 与发达国家的风险评估研究现状的差距，揭示课题的现实意义。最后介绍论文内 容及章节安排，从而做到对论文整体的把握。 6 1 绪论 第二章：引入了风险评估概念，分析比较现有风险评估标准、模型、方法、 流程的优点和不足，吸取依靠专家经验的定性评估方法、数据为先的定量评估方 法和基于知识、模型风险评估方法的优点，寻求更加符合用户实际的评估方法， 为第三章基于模块化的风险评估模型的建立提供理论依据。 第三章：系统研究发现，模块化能极大地提高效率并能满足系统兼容的需求， 可以处理复杂多变难以确定的信息风险。所以本章从信息系统主机安全特征的相 似性及网络主体安全的相关性视角出发，创立基于模块化的风险评估模型。该模 型将粗粒度与细粒度评估相结合，根据系统结构、系统环境及安全特征确定评估 实体，是一种面向系统结构的风险分析模型，极大地提高了评估效率，并能从系 统整体架构考虑，关注评估实体之间的联系，相比于以往单项评估模型更准确、 合理。着重阐述了模块内容的描述和模块问的紧密联系。 第四章：基于模块化的风险评估模型将静态评估与动态评估相结合，考虑到 影响系统安全的三个主要因素：资产、威胁及脆弱性，较全面地考察了系统的安 全。本章从信息安全风险评估的流程入手，着重叙述了基于模块化的风险评估过 程中风险分析的原理和步骤。并针对目前风险算法缺乏统一的标准和具体计算方 法的问题，结合实际的风险评估工作，探索性地给出一种改进的风险算法一基 于模块化的风险分析算法，在深入研究常用的几种风险分析方法后，对改进算法 的客观性和准确性做了进一步的阐述。 第五章：信息安全风险评估是进行信息安全风险管理的第一步。本章运用基 于模块化风险评估模型及算法对企业信息系统进行深入分析，以查找潜在的风险 事件。首先分析企业系统架构，找出相关风险因素，然后划分风险模块，并对各 模块潜在的风险事件的发生概率和损失程度进行定性分析，最后依据风险评价结 果对需要控制的风险事件给出控制措施。实例表明，该方法是一种实用而有效的 风险评估方法，能为信息安全风险管理决策提供科学依据。最后依据i s 0 1 7 7 9 9 评 估标准，结合评估模型，提出基于模块化的风险评估模型数据库实现思想，为矾 险评估的自动化做好准备。 第六章：总结全文，指出下一步需要开展的研究工作。 1 4 本章小结 风险评估是信息系统安全的基础性工作。在组织的信息系统建设之初，风险 评估可以揭示组织完备的风险状况，为组织信息系统预算提供合理的参考，为信 息系统建设的实施提供指导，也可为下一次的安全评估提供基线。本章从风险评 估在信息安全体系中的重要性入手，结合目前国际国内风险评估研究现状，强调 研究课题的重大意义。 7 2 风险评估理论 2 风险评估理论 风险评估( r i s ka s s e s s m e n t ) 存在于很多行业，但在j t 业，独指信息安全风险评 估，指依据有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保 密性、完整性和可用性( c i a ) t 9 j 等安全属性进行科学、公正的综合评估的过程。它 要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产 生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息 系统的安全风险。 2 1 风险评估概述 风险管理【1 0 】是识别、评估风险，并将这种风险减小到可接受的程度，并实行 正确的机制以保持这种程度的风险的过程。没有绝对安全和可靠的信息系统。每 个系统都有其脆弱性，都存在一定程度的风险。解决信息安全问题关键在于识别 这些风险，评估它们发生的可能性和带来的影响，然后采取相应的措施减少风险。 风险评估就是依据国家有关信息安全技术标准，利用适当的风险评估辅助工 具，对评估客体的威胁( t h r e a t ) 、影响( i m p a c t ) 、弱点( v u 蛔c a b i l r y ) 以及三者发生的 可能性进行调查、研究，确定风险消减和控制优先等级，也称为风险分析【l l 】。风 险评估的目的，是为了识别风险大小，从而采取适当的控制目标与控制方式对其 进行风险控制( r i s kc o n t r 0 1 ) ，以达到风险要求。人们追求的所谓安全的信息系统， 实际上是指信息系统在实施了风险评估并做出风险控制后，仍然存在可以被接受 的残余风险的信息系统。 由参考文献 1 2 1 4 1 可知风险评估的相关术语： 风险( r i s k ) ：威胁利用弱点对资产价值造成影响的可能性。风险的大小主要表 现在两个方面：事故发生的可能性及事故造成影响的大小。 资产( a s s e t ) ：风险评估的对象，宏观上的资产定义为组织内任何需要保护的对 象，包括有形资产和无形资产。在实际评估过程中，有可能将共同服务于特定业 务功能或者具有共同属性的几个独立单位的资产看作一个资产组( 业务、系统、区 域1 。 威胁( t h r e a t ) ：可能对资产造成影响的行为。威胁包含两个要素：威胁源、威 胁动机。进行威胁评估时要考虑威胁对资产的影响和威胁的可能性两个因素。 影响( i m p a c t ) ：是指有害事故的结果，即威胁一旦发生给企业所带来的直接和 间接损失。 弱点( v u l n e r a b i l i t y ) ：又叫做脆弱性，是指由于硬件、软件或者业务流程的固 9 重庆人学硕十学位论文 有缺陷的存在而造成资产对潜在威胁的暴露。 业务( b u s i n e s s ) ：由若干系统和人员构成的单位，完成组织重要业务功能。 资产价值( a s s e t v a l u e ) ：以量化或者1 e 量化形式表示资产对组织的重要性。 2 2 风险评估要素及其之间的关系 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策 机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出 准确的判断。 风险评估的工作是围绕其基本要素展开的，在对这螳要素的评估过程中需要 充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各 类因素。风险要素之间存在着以下关系【1 5 】如图2 1 所示。 图2 1 风险各要素间的相互关系 f i g u r e 2 1 t h ei n t e r r e l a t i o no f v a f i o u sf a c t o r so fr i s k 资产拥有价值，信息化的程度越高，对资产的依赖度就越高，资产的价值则 就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越 大，并可能演变成事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性 使资产暴露，是未被满足的安全需求，威胁通过利用脆弱性来危害资产，从而形 成风险：资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措 施来满足，且是有成本的；安全措施町以抗击威胁，降低风险，减弱事件的影响： 风险不可能也没有必要降为零，在实施了安全措施后还会残留下来的一部分风险 来自于安全措施町能不当或无效，以后需要继续控制这部分风险，另一部分残余 风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分 1 0 2 风险评估理论 风险是可以被接受的；残余风险应受到密切的监视，因为它可能会在将来诱发新 的事件。 2 3 风险评估的相关标准 2 3 1b s7 7 9 9 ( i s o i e c1 7 7 9 9 1 信息安全管理标准b s 7 7 9 9 t “i t l q 是由英国标准委员会( b s i ) 制定的。b s i 于1 9 9 5 年首次提出了b s 7 7 9 9 一l ( t h ec o d eo f p r a c f i c ef o ri n f o r m a t i o ns e c u r i t ys y s t e m s ) ，到 1 9 9 8 年公布了b s7 7 9 9 2 ( s p e c i f i c a t i o nf o ri n f o m l a f i o l is e c u r i t ym a n a g e m e n t s y s t e m s ) ，并于1 9 9 9 年发布了修订版。2 0 0 0 年1 2 月，国际标准化组织l s o 批准 b s7 7 9 9 - 1 ：1 9 9 9 正式成为国际标准，即i s o i e c1 7 7 9 9 - 1 ：2 0 0 0 。2 0 0 2 年，b s i 对 b s7 7 9 9 - 2 ：1 9 9 9 进行了重新修订，正式引入p d c a 过程模型，如图2 2 所示，以此 作为建立、实施、持续改进信息安全管理体系的依据，同时，新版本的调整更显 示了与i s 0 9 0 0 1 ：2 0 0 0 、i s o1 4 0 0 1 ：1 9 9 6 等其他管理标准以及经济合作与开发组 织( o e c d ) 基本原则的一致性，体现了管理体系融合的趋势。2 0 0 4 年9 月5 日，b s 7 7 9 9 - 2 ：2 0 0 2 正式发布。 国 p l 置n c he c k 囝 图2 2p d c a 模型应用与信息安全管理体系过程 f i g m e 2 2t h e a p p l i c a t i o na n d i n f o r m a t i o ns e c u r i t y m a n a g e m e n t s y s t e mp r o o e s so f p d c am o d e l b s7 7 9 9 是目前国际上具有代表性的信息安全管理标准，得到了许多国家的认 可，适用于各种类型的组织、公司和任何商业环境。 b s7 7 9 9 1 ：1 9 9 9 ( & 0i s o i e c1 7 7 9 9 ：2 0 0 0 ) ，信息安全管理实施细则( c o d eo f p r a c t i c ef o ri n f o r m a t i o ns e c u r i t ym a n a g e m e n t ) ，是一个内容相当详细的信息安全标 重庆大学硕十学侍论文 准，它包括安全内容的所有准则，由十个独立的部分组成，每节都涵盖不同的e 题或领域；信息安全策略、组织方面的安全、资产分类和控制、员工行为的安全、 物理和环境安全、通信和操作管理、访问控制、系统开发与维护、业务连续性规 则、符合性要求。 b s7 7 9 9 2 ：2 0 0 2 ( s p e c i f i c a t i o nf o ri n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m s ) i 羊 细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的 风