（计算机应用技术专业论文）一种融合控制理论的信息安全风险评估方法研究.pdf

摘要 摘要 随着信息技术的迅速发展，信息技术已经被应用到社会的各个领域，计算机 网络及信息系统在政府机构、企业和科研机构等各种组织中日益普及并发挥着越 来越重要的作用。信息化程度的提高给组织带来了巨大的利益和机遇，同时也带 来日益严重的安全问题。风险评估是信息安全管理的根本依据，也是信息安全领 域内最重要的内容之一，目前越来越多地受到人们的重视。 论文对国内外信息安全风险评估与管理的研究成果及存在的问题进行综合评 述，并在此基础上主要完成了以下工作和创新：首先，对国内外主流风险评估与 管理标准和评估方法进行了比较分析，给出了分析结果；其次，结合国内外的研 究成果，以及我国信息安全风险评估与管理的实际，提出一种融合了控制理论的、 易操作的信息安全风险评估与管理模型。该模型综合了定性、定量方法的优势， 同时从系统的高度来看信息系统问题，引入控制论的思想，提供了一个解决多因 素复杂问题的综合评估方案，并对该主要分析流程进行了阐述；再次，在广泛研 究的基础上，建立了一种多层次、多角度的安全控制策略评价指标体系，并给出 了分析计算方法；最后，将该模型应用到某组织实际环境中去，给出了模型的实 际应用过程与结果分析。论文提出的模型为信息安全的评估及管理决策提供了一 种新的选择，具有一定的实践价值。 关键词：信息安全，风险评估，控制论，安全控制策略 a b s t r a c t a b s t r a c t n o w a d a y si n f o r m a t i o nt e c h n o l o g yh a sb e e na p p l i e dt ov a r i o u sd o m a i n so fs o c i e t y w i t hi t sr a p i dp r o g r e s s ，a n dc o m p u t e rn e t w o r ka n di n f o r m a t i o ns y s t e ma r ew i d e l yu s e d w i t he v e r - i n c r e a s i n gi m p o r t a n c ei ng o v e m m e n t o r g a n i z a t i o n s ，e n t e r p r i s e sa n ds c i e n t i f i c r e s e a r c hi n s t i t u t i o n s ，e t c t h o s ee s t a b l i s h m e n t sa r eb e n e f i t i n ge n o r m o u s l yf r o mt h e p o p u l a r i z a t i o no fi n f o r m a t i o nt e c h n o l o g yw h e r e 嬲p e r p l e x e dc o n t i n u o u s l yb yt h e s e c u r i t yp r o b l e mi n v o l v e dt h e r e t o r i s ka s s e s s m e n th e n c ei sd r a w i n gm o r ea n dm o r e a t t e n t i o nf r o mp e o p l ea st h eb a s i cf o u n d a t i o nf o ri n f o r m a t i o ns e c u r i t ym a n a g e m e n ta s w e l la st h em o s ti m p o r t a n ti s s u eo ft h ei n f o r m a t i o ns e c u r i t y t h i st h e s i s ，b a s e do nt h es u m m a r yo ft h er e s e a r c ha c h i e v e m e n t sa n d c u r r e n t p r o b l e m so ni n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ta n dm a n a g e m e n ta th o m ea n da b r o a d , i sap r e s e n t a t i o no ft h em a j o rw o r ka n di n n o v a t i o nf i n i s h e db yt h ea u t h o r , c o v e r i n gt h e f o l l o w i n gp a r t s ： f i r s t l y , c o m p a r i s o n sa n da n a l y s e sh a v eb e e nc a r r i e do u tw i t hc o m m e n t sa m o n gt h e m a i n s t r e a mm e t h o d so ns e c u r i t yr i s ka s s e s s m e n ta n dm a n a g e m e n tc r i t e r i a ；s e c o n d l y , a n e wi n f o r m a t i o n s e c u r i t y r i s ka s s e s s m e n ta n d m a n a g e m e n tm o d e li n t e g r a t i n g c y b e m e t i c sa n de a s yo p e r a t i o nh a sb e e ni n v e n t e db a s e do nt h ee x i s t e dr e s e a r c h a c h i e v e m e n t sh o m ea n da b r o a di nc o m b i n a t i o nw i t ht h ep a r t i c u l a rs i t u a t i o no fc h i n ai n t h i sr e s p e c t , a n ds u c hm o d e li s e x p e c t e dt ow o r ka sac o m p r e h e n s i v ea s s e s s m e n t s o l u t i o nf o rc o m p l i c a t e p r o b l e m sw i t hm u l t i p l ef a c t o r s ，i th a si n c o r p o r a t e dt h e a d v a n t a g e so fq u a l i t a t i v ea n a l y s i sa n dq u a n t i t a t i v ea n a l y s i sf r o mv i e w p o i n t so fs y s t e m a n dc y b e r n e t i c s ，f o rw h i c he l a b o r a t i o n sa r ea v a i l a b l ei nd e t a i la b o u t t h em a i na n a l y r s e s p r o c e d u r e s ；t h i r d l y , am u l t i - l a y e ra n dm u l t i a n g l es e c u r i t yc o n t r o ls t r a t e g ya s s e s s m e n t i n d e xs y s t e mi sp r o v i d e dw i t hr e l a t e dm e t h o d sf o ra n a l y s e sa n dc a l c u l a t i o n sa f t e r t h o r o u g hr e s e a r c h ；l a s t l y , at r i a la p p l i c a t i o no fs u c hm o d e lh a sb e e nc o n d u c t e di nar e a l e n v i r o n m e n to fac e r t a i ne s t a b l i s h m e n tw i t ha n a l y s e so fr e l a t e dr e s u l t s i nc o n c l u s i o n , t h em o d e la d v o c a t e di nt h i st h e s i sm e a n san e wc h o i c e f o r i n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ta n dm a n a g e m e n td e c i s i o na n dt h u si so f p r a c t i c a l v a l u et os o m ee x t e n t k e y w o r d s ：i n f o r m a t i o ns e c u r i t y , r i s ka s s e s s m e n t ，c y b e r n e t i c s ，s e c u r i t yc o n t r o ls t r a t e g y i i 图表目录 图表目录 图2 1c c 风险要素与关系9 图2 2i s o i e c1 3 3 3 5 风险要素关系l o 图2 3g b t2 0 9 8 4 2 0 0 7 风险要素关系1 0 图2 - 4o c t a v e 风险管理方法。1 2 图2 5 微软安全风险管理指南流程1 4 图3 1 信息安全控制原理2 3 图3 2 典型风险评估流程2 4 图3 3 融合控制理论的改进风险评估与管理模型2 5 图3 4 风险评估具体实施流程2 6 图3 5 安全控制策略评价指标体系4 5 图4 1x x 医院网络结构图5 l 图4 _ 2 资产识别界面5 3 图4 3 资产综合风险计算界面5 4 图4 4 组织风险统计结果分析图。5 5 图4 - 5 安全控制措施评价计算界面。5 8 表2 1o c t a v em e t h o d 与o c t a v e s 对比l3 表2 2o c t a v e s 过程13 表2 3o c t a v e 与其它风险评估方法比较13 表2 - 4b s7 7 9 9 3 风险评估流程l5 表2 55 种风险管理方法的对比1 5 表2 6 定性分析方法与定量分析方法的比较18 表2 7 常用评估方法19 表3 1 信息资产分类2 8 表3 2 资产机密性赋值2 9 表3 3 资产完整性赋值3 0 表3 4 资产可用性赋值3 0 表3 5 威胁来源表31 v 图表目录 表3 - 6 威胁分类表3 2 表3 7 威胁来源赋值示例3 3 表3 8 影响程度赋值表3 4 表3 - 9 威胁赋值3 4 表3 1 0 脆弱性分类3 5 表3 1 1c v s s 脆弱性计算表3 6 表3 1 2 脆弱性赋值3 9 表3 1 3 脆弱性与威胁对应关系3 9 表3 1 4 安全控制措施分类表4 1 表3 15 安全控制措施有效性分析表4 1 表3 16 已有控制措施有效性赋值4 2 表3 1 7 风险等级赋值表4 3 表3 - 181 - 9 标度法4 7 表3 1 9 一致性指标表4 8 表4 1 组织关键资产识别5 2 表4 - 2 威胁、脆弱性和控制措施表映射表5 2 表4 _ 3 风险分析计算表5 4 表4 - 4 组织主要风险综合统计表5 5 v i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：垄 圣l日期：哆年( 月彩日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 日期：7 年j 月一日 第一章引言 1 1 研究背景 第一章引言 近年来，我国信息化进程进展迅速，计算机网络及信息系统在政府机构、企 事业单位和科研机构等各种组织中日益普及，发挥着越来越重要的作用。信息化 程度的提高无疑给组织带来了显著的经济利益和机遇，同时也带来了日益严重的 安全问题组织面临着各种各样的传统没有过的潜在威胁，换句话，信息资产 存在着安全风险。研究组织信息系统何时、何处可能出现何种安全风险，以及风 险相关联的潜在可能性、后果及应对措施，是信息安全风险评估领域所要面对的 主要问题。 在目前网络规模不断扩大和日趋开放的大环境下，组织即使采用再周全的安 全防护措施，信息系统的安全风险依然是客观存在的。信息系统各构成组件本身 固有的脆弱性是系统不安全的客观因素；在信息系统的运行过程中，组织内部人 员的操作不当及组织管理不规范所造成的系统漏洞是给信息系统带来不安全的主 观因素。风险的存在的客观性和必然性决定了完全消灭风险或完全避免风险的尝 试注定是徒劳和不现实的，实际上只有根据组织自身信息系统的价值、面临风险 状况进行资源的合理分配，才能以最小的代价做到最大的安全。组织或机构通过 科学的风险评估来准确、全面地掌握信息系统的安全状况，就是达到这一目的最 合理选择。通过风险评估，组织才能在选择安全控制措施以及建设有效信息安全 保障体系等诸方面问题中做出合理的决策。因此，信息系统的风险分析和评估对 建立信息安全保障体系有着重要的意义，目前越来越多地受到人们的重视。 据美国计算机安全机构与联邦调查局( c s i f b i ) 2 0 0 6 年调查结果显示，网页 篡改、电子欺诈以及移动设备被盗等信息安全问题造成的损失近2 年均有所上升 ( c s i f b i ，2 0 0 6 ) 【l 】。另据我国国家计算机网络应急技术处理协调中心网络安全 调查报告显示，我国目录的网络安全事件中网页篡改、垃圾邮件和网络仿冒占前 三位【2 】；每年发生的安全事件及其带来的损失都是相当惊人的。而且今天的网络 攻击日益呈现出组织化、经济化、隐密化、定向化、易用化和移动设备攻击的发 展趋势。可以说，在当前的安全形势下，加强信息安全风险评估工作是当前我国 信息安全工作的客观需要和迫切要求。 电子科技大学硕士学位论文 信息安全风险评估是信息安全保障机制建立过程中的重要评价方法和决策机 制【3 】。目前，我国信息安全风险评估主要采取检查评估和自评估两种形式【4 】，就自 评估来说既可以自我评估，也可以委托第三方进行评估。对大多数组织来说，当 委托第三方实施风险进行自评估时，经常可遇到评估的及时性、实施费用较高以 及第三方介入引入风险等一系列问题。尤其是中小型组织往往顾虑较多，往往由 于评估费用等原因，不愿委托第三方实施评估，如果自身又没有足够的技术力量 实施评估的话，企业便可能处于较高的风险当中。而我国的国情恰恰是中小型组 织占了大多数，因此研究适合中小型组织风险自评估的理论、方法与应用具有特 别重要的现实意义。 1 2 国内外研究概况及存在的问题 关于信息安全与风险管理理论与技术的研究始于2 0 世纪7 0 年代，近三十多 年来，信息安全的技术不断发展，内涵不断延伸，从最初的通信信息机密性发展 到网络化信息的机密性、完整性和可用性等多方面；其实践从集中式的大型机领 域，到针对单个的资产或系统，再到目前的面向组织、面向“整个系统”的评估。 1 2 1 国外研究概况 在信息安全风险评估与管理理论与标准的研究方面，国外开展的较早： 可信计算机系统安全评估准则( t c s e c ) 【5 1 ，是计算机系统信息安全评估的首 个正式标准。该标准于1 9 8 5 年由美国国防部为适应美国军事计算机的保密需要而 制定。它将信息安全等级从低到高分为四类共八个等级。t c s e c 标准把系统的机 密性作为研究重点，一定程度上忽略了信息可用性、完整性的安全属性，使基于 t c s e c 的安全系统具有一定的局限性。 2 0 世纪9 0 年代初，法、荷、德、英欧洲四国联合提出了“信息技术安全评价 准则( i t s e c ，欧洲白皮书) 【6 】，把可信计算机的概念提高到可信信息技术的高 度来认识，该标准对国际信息安全的研究和应用均产生了较大的影响。 9 0 年代中期，美、加、法、英、荷、德六个国家联合提出了信息技术安全评 估的通用准则( c o m m o nc r i t e r i a , c c ) 7 1 ，该标准后来被i s o 采纳成为了国际标准 i s o1 5 4 0 8 。 c c 标准是综合性的标准，涉及了与信息技术安全相关的所有因素，并包含于 “安全功能要求 和“安全保证要求”中，提出了7 个评估保证级别( e a l l e a l 7 ) 。 2 第一章引言 c c 标准也并非如其名称所说一样，是通用的标准，它主要适用于信息安全技术产 品和系统的安全性能测试和等级评估，但对信息系统运行维护过程的风险分析和 管理描述不足，同时缺少综合保障信息系统多种安全属性的理论模型依据。 1 9 9 5 年，英国提出了信息安全风险管理标准b s7 7 9 9 酊，该标准对信息安全提 出了1 0 个控制大项，采用管理方面与技术方面相结合的方式全面保障信息的机密 性、可用性、完整性。2 0 0 0 年国际标准化组织基于b s7 7 9 9 标准制定并通过了 i s o i e c1 7 7 9 9 标准【9 】。b s7 7 9 9 i s oi e c l 7 7 9 9 标准提出了持续改进的风险管理模 型。但b s 7 7 9 9 标准偏重于管理的信息安全管理，并没有给出具体安全指标的权重， 从而风险评估度量结果易受主观因素影响，同时也没有提供关于任何安全主题的 确定或专门的材料。 1 9 9 6 年i s o1 3 3 3 5 标准发布，提出了关于1 1 r 安全的机密性、可用性、完整性、 真实性、审计性、可靠性6 个方面的含义，同时提出了基于风险管理的安全模型。 强调以风险为中心，阐述了安全要素资产、威胁、弱点、影响、风险及其关系。 该标准对组织信息安全评估工作具有指导意义，但该标准缺乏对信息系统风险的 形式化描述，也没有给出系统风险的量化评估方法。 美国国家标准与技术学会( n i s t ) 先后发布了一系列风险管理指南，是美国 信息安全风险管理领域的主要参与者。n i s t 于2 0 0 0 年颁布了n 系统安全自评 估指南( s p s 0 0 2 6 ) ；2 0 0 2 年发布了( r r 系统风险管理指南( s p 8 0 0 3 0 ) ，该标 准指采用定性分类来描述安全事件影响和风险级别，提出了风险缓解的控制方法 成本效益分析法；2 0 0 2 年1 0 月先后颁布了联邦n 系统安全认证和认可指 南( s p 8 0 0 3 7 ) 、联邦- 最小安全控制( s p 8 0 0 - 5 3 ) 、各种信息和信息系统与 安全类别映射指南( s p s 0 0 6 0 ) 等多个文档，主要是以风险管理思想为基础加强 联邦政府的信息安全。 2 0 0 0 年美国国家安全局( n s a ) 在其他合作成果的基础上推出了信息保障 技术框架( i a t f d3 0 版【l 们。i a t f 定义了对一个信息系统进行安全保障的过程， 以及系统中硬件和软件部件的安全需求。组织如果遵循这些原则，就可以对信息 基础设施做到多层次的防护。但i a t f 只是对安全需求的协调和安全解决方案提出 若干建议，并没有描述信息系统所需的完整安全解决方案的技术路线和技术框架。 在信息安全风险评估与风险适宜于实践应用方面，国外发达国家在信息安全 实践过程中，提出了一些较典型的风险评估与管理方法： 1 9 9 5 年，澳大利亚政府和新西兰联合开发了a s n z s4 3 6 0 风险管理标准【l ， 该标准整体结构分为6 部分，其第四部分风险管理过程是主体，把风险管理分为 电子科技大学硕士学位论文 建立环境、风险分析、风险识别、风险评价、风险处置、风险监控与回顾、通信 和咨询七个步骤。 1 9 9 6 年，美国国家安全局( n s a ) 发布了面向工程的系统安全工程能力成熟 度模型( s s e c m m 模型) 。该模型将信息系统安全工程分为三类过程：风险过程、 工程过程和信任度过程，并为三类过程定义了关键过程域和能力成熟度等级，以 及与过程域相关的基本实践( b p ) ，它主要用来反映一个安全工程的质量和在安全 上的可信度。该模型评定方法部分描述了针对s s e c m m 来评价一个组织的安全 工程能力的过程和工具。 1 9 9 9 年卡内基梅隆大学软件工程研究所( s e i ) 开发发布了一种信息安全风 险评估方法一可操作的关键威胁、资产和弱点评估方法( o c t a v e ，o p e r a t i o n a l c r i t i c a l t h r e a ta n dv u l n e r a b i l i t ye v a l u a t i o n ) ，该方法定义了一种系统的、综合的、自 主的、与具体环境相关的信息安全风险评估方法。 1 2 2 国内研究概况 我国的信息安全管理标准化工作与信息化发达的西方国家相比起步较晚，基 本上是从上世纪9 0 年代末发展起来，目前主要工作集中于组织架构和业务体系的 建立，相应的标准体系和技术体系还处于研究阶段【1 2 】，主要方式是等同采用国际 标准。国家信息安全标准化委员会w g 7 工作组主要负责研究和制定适用于非涉密 和敏感领域的安全保障的通用安全控制措施、安全管理方法，以及安全支撑和服 务等方面的标准、规范和指南。目前我国已发布的重要标准主要有： g b 9 3 8 7 1 ：1 9 9 5 信息处理系统开放系统互联基本参考模型第一部分：安全体 系结构( 等同采用国际标准i s o i e c7 4 9 8 1 ：1 9 8 9 ) g b9 3 8 7 2 ：1 9 9 5 信息处理系统开放系统互联基本参考模型第二部分：安全体 系结构( 等同采用国际标准i s o i e c7 4 9 8 2 ：1 9 8 9 ) 。 g b1 8 3 3 6 1 ：2 0 0 1 信息技术安全技术信息技术安全性评估准则( 等同采用国 际标准i s o i e c1 5 4 0 8 ：1 9 9 9 ) 1 3 q s l g b t1 9 7 1 6 ：2 0 0 5 信息技术1 1 r 安全管理实用规则( 修改采用国际标准 i s o i e c17 7 9 9 ：2 0 0 0 ) 。 g b t1 9 7 15 1 ：2 0 0 5 信息技术r r 安全管理指南第1 部分：i t 安全概念和模 型( 等同采用i s o i e ct r1 3 3 3 5 1 ：1 9 9 6 ) g b t1 9 7 1 5 2 ：2 0 0 5 信息技术r r 安全管理指南第2 部分：管理和规划r r 安 4 第一章引言 全( 等同采用i s o i e ct r1 3 3 3 5 2 ：1 9 9 7 ) 。 其中g b1 8 3 3 6 - 2 0 0 1 是等同采用i s o i e c1 5 4 0 8 1 9 9 9 标准，即加拿大、法国、 美国等七个国家制定的信息技术安全评估通用准则( 简称c c ) 。 当前国内在信息安全风险评估与管理的实践应用研究方面，有了较大的发展， 但也存在一些问题，主要是信息安全风险评估与管理的分析评价模型和方法还很 不规范，缺乏客观化和系统化。近年来，我国相关科技工作人员对信息安全风险 管理方法进行了较深入的研究，不断探索将安全管理领域的评估方法引入到信息 安全风险领域，但目前不少研究仍然只是停留在一些风险评估方法的介绍，详细 的、具体的及可操作的具有自主核心技术的应用实践不多。 1 3 存在的问题 通过对相关标准、资料等文献的广泛研究，发现目前信息安全风险评估相关 的研究领域，一些方面尚存在问题需要进一步研究，主要有： 首先，通过上文的分析可以看出，国内研究水平相对滞后，研究多集中在借 鉴国外相关研究理论或成果，本土化的成果不足。而且信息安全风险评估相关的 理论和方法的研究还是一个较新的研究方向，当前虽然出现了多种多样的信息安 全标准，但多是从信息安全的某一个侧面，如技术、过程或管理等出发，不能很 好地解决组织信息安全组织整体性和风险动态性的问题，也缺乏能够科学、系统 和全面地反映组织信息安全风险的评价指标体系和准则。 其次，目前信息安全风险评估和管理的测度量化模型和方法还不够规范，缺 乏客观化和系统化，评估结果可比性不足。大多方法的实践中对技术专家较为依 赖，方法可操作性不佳，尤其是缺乏适合中小型组织自我评估的易操作的评估方 法。 最后，安全控制策略的评价与选择是信息安全评估与风险管理活动中十分重 要的一环，直接关系到风险评估与管理的结果和组织的安全状况，但目前主流的 评估方法在这个方面均涉及较少，缺乏一套有效、可行、易操作的量化评价方法。 1 4 研究内容 信息安全学是综合性很强的综合性学科，涉及计算机科学、密码学、管理科 学、系统科学、经济科学等，信息安全评估是信息安全学领域研究的重要内容。 5 电子科技大学硕士学位论文 本文综合运用了计算机理论、系统理论、控制理论、风险管理理论等相关学科的 理论和方法，相关理论研究与我国信息安全风险管理的发展实践相结合，提出了 融合控制理论的评估框架模型。 在论文写作的过程中，主要采用了文献阅读、问题调查、层次分析法、德尔 菲方法、模糊综合评判法等方法，对信息安全风险及安全控制措施进行综合评价， 使评价结果更加客观、合理。主要内容如下： ( 1 ) 通过对信息安全风险管理相关理论的研究，在综合分析主流标准中提出 的信息安全风险的构成要素及相互关系的基础上，从面向组织、面向业务的角度 进行信息安全风险评估实践。 ( 2 ) 本文改进的信息安全风险评估与风险管理模型研究对当前国内外主流的 信息安全风险管理过程b s7 7 9 9 、n i s ts p8 0 0 - 3 0 、i s o i e c1 3 3 3 5 、计算机等级保 护等过程进行综合和借鉴，提出了切实可行的安全控制策略的评价方案，努力贴 合中小组织实施与操作。同时在反复研究的基础上提出了一种可行的安全控制措 施评价指标体系。 ( 3 ) 通过对风险评估的主要理论方法如层次分析法、模糊综合评价法、故障 树分析方法等信息安全风险评估方法的比较研究，采用了层次分析法、德尔菲方 法、模糊综合评判方法，保证了过程和结果主观因素影响的最小化。 ( 4 ) 对风险评估实践过程中应注意或难点的问题作了论述，并给出了参考建 议。 1 5 论文组织结构 本文以信息安全风险管理的相关理论作为基础，对信息安全风险评估的主要 流程和常用方法进行了广泛研究。提出了改进的信息安全风险评估与风险管理模 型，并主要采用了层次分析法、模糊综合评判方法，给出了安全控制策略的评价 指标体系与计算方法。本文的主要组织结构如下： 第一章引言。论述本文的研究背景及研究的意义；对国内外信息安全风险管 理相关的研究成果及存在的问题进行综合评述；对论文的研究内容、组织结构进 行了概括阐述。 第二章信息安全风险管理的相关理论。介绍信息安全风险评估与管理主流标 准与方法，并给出了对比分析，为论文的后续工作做好准备。 第三章融合控制理论的改进信息安全风险评估方法。全面阐述了融合了控制 6 第一章引言 理论的改进信息安全风险评估方法。本章引入了有关控制理论，对改进模型的理 念、框架和实施流程进行了论述，并提出了可行的安全控制措施指标体系和计算 模型。 第四章信息安全风险评估应用实例。给出了本文提出的改进风险评估方法的 应用实例，以及主要的应用计算示例过程和辅助工具的使用，得出了分析结论。 同时还对风险评估过程中应注意或较难的问题作了论述。 第五章总结与展望。主要对全文的主要研究内容和创新成果作简单总结，同 时对论文研究过程中的不足及未来研究方向作出分析论述。 1 6 本章小结 本章主要对国内外有关信息安全风险管理的理论和方法进行介绍，并简要分 析了这些理论和方法的局限性和不足之处。信息安全风险评估与管理是一个较新 的领域，在此领域还有较大的研究空间，这也是本文研究的主要背景。同时介绍 了本文的研究内容和组织结构。 7 电子科技大学硕士学位论文 第二章信息安全风险评估与管理相关理论 2 1 有关术语与概念 风险评估其实是一门很专业的综合性学科，涉及到多个学科领域的知识，仅 就安全领域而言，就需要我们对计算机安全和网络安全有较高层面的认识。随着 风险评估研究的开展，出现的概念也较多，为避免交流和理解上的混乱和分歧， 这里首先参照有关标准和权威文献对一些概念加以简单介绍。( 以下术语凡未注明 引用的均引自文献【4 】) 。 资产( a s s e t ) ：对组织具有价值的信息或资源，是安全策略保护的对象。 风险伍s k ) ：一个指定的威胁( t h r e a t ) 利用一项资产( a s s e t ) 或多项资产的脆弱性 ( v u l n e r a b i l i t y ) ，并由此造成损害的可能性。风险仅适用于有产生负面结果可能性的 场合。有时风险也由同期望结果或事件相偏离而产生的。【i s o i e c1 3 3 3 5 ：2 0 0 4 】 威胁( t h r e a t ) ：可能导致对系统或组织产生危害的事故的潜在起因。 g b t 1 9 7 1 5 1 2 0 0 5 】 脆弱性( v u l n e r a b i l i t y ) ：可能被威胁所利用的资产或若干资产的弱点。 g b t 1 7 9 1 5 1 2 0 0 5 】 安全措施( s e c u r i t ym e o s 1 r e ) ：为保护资产、抵御威胁、减少脆弱性、降低安全 事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。 机密i 生( c o n f i d e n t i a l i t y ) ：数据所具有的特性，即表示数据所达到的未提供或未 泄露给未授权的个人、过程或其他实体的程度。 g b t5 2 7 1 82 0 0 1 】 完整性( i n t e g r i t y ) ：保证信息及信息系统不会被非授权更改或破坏的特性，包 括数据完整性和系统完整性。 可用性( a v a i l a b i l i t y ) ：数据或资源的特性，被授权实体按要求能访问和使用的 数据或资源。【g b t5 2 7 1 82 0 0 1 安全评估( s e c u r i t ye v a l u a t i o n ) ：评定在系统内安全处理敏感信息的可信度而做 的评估。【i s o i e cg u i d e7 3 ：2 0 0 2 】 风险分析( r i s ka n a l y s i s ) ：系统地使用信息来识别风险来源( s o u r c e ) 和估计 ( e s t i m a t e ) 风险。【i s o i e cg u i d e7 3 ：2 0 0 2 】 信息安全风险评估( r i s ka s s e s s m e n to fi n f o r m a t i o ns e c u n t y ) ：是风险评估理论和 8 第二章信息安全风险评估与管理相关理论 方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、 可用性等方面所面临的风险，并作出相应决策的过程。 2 2 信息安全风险的构成要素 信息系统是一个多关联、多层次的复杂系统，信息安全风险的发生往往是各 种要素相互作用、相互叠加的结果。i s o1 3 3 3 5 、i s o1 5 4 0 8 、g b t2 0 9 8 4 2 0 0 7 等 国内外标准，对信息安全风险的构成要素及其相互关系分别进行了描述。 1 9 9 9 年底颁布的国际标准i s o i e c1 5 4 0 8 “信息技术一安全技术i t 安全性评估 准则”简称c c 标准，我国国家质量技术监督局于2 0 0 1 年将其作为国家标准g b t 1 8 3 3 6 正式颁布实施。在该标准第一部分，定义了信息安全风险的构成要素，包括 资产、脆弱性、威胁、风险、对策等关键的风险要素概念和它们所涉及到的主体 即所有者和威胁主体。c c 标准以所有者要保护的资产作为核心，给出了威胁、脆 弱性、风险、资产与对策之间的关系【7 】，如图2 1 ： 图2 - 1c c 风险要素与关系 i s o i e c1 3 3 3 5 即i t 信息安全管理指南，是一个信息安全管理方面的重要 指导性标准。其中i s o i e c1 3 3 3 5 1 ：2 0 0 2 信息安全管理和计划的概念和模型， 以风险为中心，阐述了资产、威胁、脆弱性、影响、风险、防护措施、剩余风险 为信息安全风险的要素，并描述了要素的相互关系。如图2 2 ，i s o i e c1 3 3 3 5 1 以风险为中心，清晰表示了资产面临的安全风险与其它风险因素之间的关系 1 6 - 1 7 , 1 9 。 9 电子科技大学硕士学位论文 利用 图2 - 2i s o i e c1 3 3 3 5 风险要素关系 g b t2 0 9 8 4 2 0 0 7 信息安全技术信息安全风险评估规范于2 0 0 7 年发布， 该规范把风险要素定义为业务战略、资产、脆弱性、资产价值、威胁、风险、安 全需求、安全事件、安全措施、残余风险l o 个方面 4 l ，比i s o1 3 3 3 5 扩展了三个 因素：安全事件、业务战略和残余风险，引入业务战略是强调整个风险管理工作 需要组织高层推动，残余风险是风险的一部分，用意在强调没有百分之百的安全。 各因素之间的关系如图2 3 ： 型一 、，、v 拦趔j安全措施1 、；一一 一、 图2 - 3g b t2 0 9 8 4 - 2 0 0 7 风险要素关系 从系统论和控制论的观点出发，系统的运行机制、发挥的功能、程序与方法、 输入或输出的内容都应该服从系统的总目标，信息系统也是如此。信息系统的风 l o 第二章信息安全风险评估与管理相关理论 险状况最终会影响组织的目标和任务的实现，甚至会影响到组织的生存。因此本 文综合以上观点，在改进的模型中，融入控制理论，从面向组织、面向业务的风 险管理观点来研究信息安全风险的评估理论和实践。 2 3 信息安全主要标准与方法实施流程 当前存在不少流行的关于风险评估的标准，分别给出了不同的模型或者方法， 但是没有一个方法是“通用的，组织必须根据自己的信息安全实践进行选择， 并灵活裁减后才能最好地发挥作用。 i s o o e c1 7 7 9 9 、c o b i t 等i s m s 相关标准，虽然也谈到了风险评估的问题， 但是仅仅给出了大致的要求，并没有深入讨论如何去实施一次有效的风险评估。 因此，本文对于此类标准不再展开。 2 3 1 国外标准 i s o i e c i r1 3 3 3 孓3 i s o i e ct r1 3 3 3 5 3 ：1 9 9 8 是r r 安全管理方面的指南，而不是解决方案。用户 可以参照这个标准制定出自己的安全管理计划和实施步骤【1 7 1 。 i s o b e ct r1 3 3 3 5 由5 个部分组成，其中i s o m ct r1 3 3 3 5 3 是在i s o i e c 2 7 0 0 1 中的推荐方法，也是信息安全风险评估领域最早的指南之一。其中给出了4 种供选择的方法：基线方法、非正式方法、详细方法和综合方法。该标准共有1 1 章和6 个附录。该标准中风险评估的过程如下【1 8 】： 风险评估步骤： 1 ) 建立评估的边界 2 ) 识别资产 3 ) 资产评价与建立资产关联 4 ) 威胁评估 5 ) 脆弱性评估 6 ) 识别现有计划中的防护措施 7 ) 评估风险 风险处理步骤： 1 ) 选择防护措施：1 a ：识别防护措施 l b ：i t 安全架构 电子科技大学硕士学位论文 1 c ：识n 评审限制条件 2 ) 风险接受 3 ) i t 系统安全策略 4 ) r i 安全计划 o c i a v e o c t a v e 注重自评估。来自业务运作或者r r 部门的工作组人员确定组织的安 全需求。这个小组把从员工处得到的大量信息进行整理，从而得到组织目前的安 全现状，识别出关键资产所面临的风险，并由此制定出安全策略。 o c t a v e 显著区别于以往典型的以技术为焦点的评估。它关注组织风险和策 略、操作文件，平衡操作风险、安全实践和技术之间的关系【1 9 1 。 o c t a v e 主要有三个过程： 过程一：建立基于资产的威胁概要文件，这是从组织角度的评价。 过程二：识别基础设施的脆弱性，这是对信息基础设施的评价。 过程三：制定安全策略与计划 o c t a v e 的主要过程如图2 4 【2 0 】 图2 0o c t a v e 风险管理方法 o c t a v e 标准是原则、属性和输出的集合。由此标准而产生的方法是灵活多 变的，大部分组织裁减后都可以使用。目前，有两种方法来实现o c t a v e 标准： o c t a v em e t h o d 与o c t a v e s ，两种方法对比如表2 1 【2 1 】： 1 2 第二章信息安全风险评估与管理相关理论 表2 - 1o c t a v em e t h o d 与0 c t a v e s 对比 名称适用组织需要资源 o c i = f v e 供大型组织使用，一般指员工人数大于3 0 0 人的组织；一系列的工作组，由 m e t h o d 当然，员工人数不是判定是否是大型组织的唯一因素 3 5 名组织内人员组成 的分析小组领导 o c d w e s 供小型组织裁减使用的版本，一般指员工人数少于需要有对组织熟悉的 1 0 0 人的组织3 5 人的小组 o c t a v e s 包括表2 - 2 所示的过程： 表2 - 2o c t a v e - s 过程 p 1 ：识别组织信息 建立基于资产的威胁概要文件 p 2 ：建立威胁文件 识别基础设施的脆弱性p 3 ：识别关键资产关联的基础设施 p 4 ：识别和分析风险 制定安全策略与计划 p 5 ：开发风险保护策略和风险减缓计划 o c t a v e 方法与其他方法简要比较如表2 3 ： 表2 3o c t a v e 与其它风险评估方法比较 o c t a v e 其它风险评估方法 组织机构评估系统评估 注重安全应用注重技术安全 自我导向专家导向 州l s i s p 8 0 0 3 0 n i s ts p s 0 0 3 0 i t 系统风险管理指南由n i s t 发布于2 0 0 1 年，比较适合初 步开展风险评估的组织使用。n i s ts p 8 0 0 3 0 认为：有效的风险管理必须完全集成 到s d l c 过程中。一个i t 系统的s d l c 包括5 个阶段：启动、开发、实现、运行 或维护、