（计算机应用技术专业论文）基于知识库的信息安全风险评估技术研究与软件实现.pdf

山东轻工业学院硕士学位论文 摘要 信息领域的安全问题随着信息化的发展而日趋严重，引起了国内外的广泛重 视。但研究发现：信息系统中没有绝对的安全，也没有彻底的危险，只是当存在 的安全风险超出安全措施的控制范围时才可能引发安全事件的发生。因此对信息 系统的安全管理实质上也就转化为对信息系统本身存在的风险和采取的安全措施 进行管理和控制，通过分析存在的风险及采取的风险控制措施，权衡轻重，把风 险降低到一个可接受的程度，这个过程的组织与实施工作就由信息安全风险评估 这门学科来完成。实际上，对某信息系统进行评估就是在安全与风险之间寻求一 个平衡，既要保证信息系统的安全运行，又要防止因风险控制措施的实施而产生 成本过高问题。因此风险评估过程是一个动态的、循环往复的平衡过程，是一个 不断降低安全风险的过程，也是一个在信息资产的风险与采用安全措施的成本代 价之间寻求平衡的过程。 本文在充分学习信息安全风险评估理论的基础上，介绍了信息安全风险评估 的发展历程及研究现状，阐述了信息安全风险评估的基本概念和理论，分析了传 统的风险因素分析方法、模型及评估辅助工具，指出了故障树分析法在风险分析 时存在的不足并进行改进，并把用于解决“部分信息明确，部分信息不明确一的 灰色系统理论引入了风险评估以期来提高评估结果的准确性。同时针对当前评估 辅助工具在评估时应用不力的情况进行了分析，提出了一种能够快速、准确进行 风险评估的基于知识库的风险评估系统。随后，将产生的研究成果与实践需要相 结合，研究开发了一套基于知识库的信息系统安全风险评估辅助工具，并建立了 评估用的知识库与信息库。这些研究成果现已经应用于实践，并验证了良好的可 行性。 关键词：风险评估；信息安全；知识库；灰色系统 山东轻工业学院硕士学位论文 a b s t r a c t f o l l o w i n gt h ed e v e l o p m e n to ft h ei n f o r m a t i o nt e c h n o l o g y , t 1 1 ep r o b l e mo ft h e i n f o r m a t i o nf i e l di sg e t t i n gm o r es e r i o u s t h i sp h e n o m e n o nh a sa r o u s e de x t e n s i v e a t t e n t i o nb o t ha th o m ea n da b r o a d b u ts t u d i e sd i s c o v e r e dt h a tt h e r ei sn oa b s o l u t e s e c u r i t ya n dc o m p l e t e l yr i s k , b u to n l yt h es e c u r i t yr i s kb e y o n dt h ec o n t r o lo ft h e s e c u r i t ym e a s u r e sm a y l e a dt ot h eo c c u r r e n c eo fs e c u r i t yi n c i d e n t s t h e r e f o r e ，t h es a f e t y m a n a g e m e n to fi n f o r m a t i o ns y s t e mi se s s e n t i a l l yb e c o m ei n t om a n a g e m e n ta n dc o n t r o l t ot h er i s ko fi n f o r m a t i o ns y s t e m sa n dt h ea d o p t i o no ft h er i s kc o n t r o lm e a s u r e s i ti s f e a s i b l et ob a l a n c et h es e r i o u s n e s so ft h er i s kt oa l la c c e p t a b l el e v e lt h r o u g ht h ea n a l y s i s o fr i s k sa n dr i s kc o n t r o lm e a s u r e s t h i so r g a n i z a t i o na n di m p l e m e n t a t i o nw o r ks h o u l d b ec o m p l e t e db yt h ei n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t i nf a c t , t h ep r o c e s so fr i s k a s s e s s m e n ti sap r o c e s st os e e kab a l a n c eb e t w e e nt h es e c u r i t ya n dt h er i s k i ti s n e c e s s a r i l yn o to n l yt oa r i s u r et h es a f eo p e r a t i o no fi n f o r m a t i o ns y s t e m s ，b u ta l s ot o p r e v e n tt h ea r i s i n gc o s to ft h er i s kc o n t r o lm e a s u r e s t h e r e f o r et h er i s ka s s e s s m e n t p r o c e s si s 觚d y n a m i c ，c i r c u l a t o r yo n eo fr e d u c i n go ft h es y s t e mr i s ka sw e l la sa n s e e k i n gb a l a n c ep r o c e s sb e t w e e ni n f o r m a t i o np r o p e r t yr i s ka n ds e c u r i t ym c & s u r ec o s t i nt h e p a p e r , t h ea u t h o ri n t r o d u c e s t h ed e v e l o p m e n ta n da c t u a l i t yo ft h e i n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n tb a s e do ns t u 呐go ft h et h e o r yo fs e c u r i t yr i s k a s s e s s m e n t ，e l a b o r a t e st h er i s ka s s e s s m e n tb a s i cc o n c e p ta n dt h et h e o r y ，a n a l y s e st h e t r a d i t i o n a lr i s kf a c t o ri d e n t i f i c a t i o nm e t h o d s , t h em o d e la n dt h ea i 也p o i n t so u tt h e i n s u f f i c i e n c yo ft h ef t ai nr i s ka n a l y s i sa n dm a k e st h ei m p r o v e m e n t , e r l h a n c 懿t h e a c c u r a c yo ft h ea p p r a i s a lr e s u l tt h r o u g hi n t r o d u c i n gt h eg r e ys y s t e mt h e o r yi n t ot h er i s k a s s e s s m e n t ，t h eg r e ys y s t e mt h e o r yi su s e dt os o l v et h o s ep r o b l e m st h a t “s o m e i n f o r m a t i o ni sc l e a r ，s o m ei sn o tc l e a r a tt h es a m et i m e ，t h ep a p e ra p p r a i s e st h ep a r t i a l c a p a b i l i t yi sb ep l a yo f t h ea i di nt h ea s s e s s m e n tp r o c e s sa n dt h ea u t h o rb r i n gf o r w a r da f a s ta n da c c u r a t er i s ka s s e s s m e n ts y s t e mw h i c hb a s e do nt h e k n o w l e d g eb a s e a f t e r w a r d s ，o nt h ef o u n d a t i o n so ft h e s ea c h i e v e m e n t s ，b a s e do nc o m b i n i n gt h er e s e a r c h r e s u l t sa n dt h ep r a c t i c e ，as o f t w a r es y s t e mf o rr i s ka s s e s s m e n tb a s e do nk n o w l e d g eb a s e i sd e v e l o p e da n dt h er i s ki n f o r m a t i o nb a s ea n dr i s kk n o w l e d g eb a s ei sa l s oe s t a b l i s h e d t h e s er e s e a r c hr e s u l t sh a v ea l r e a d yb e e na p p l i e dt o p r a c t i c e ，a n dd e v e l o p e dt h e i n f o r m a t i o ns e c u r i t yo fo u rc o u n t r ya n dc o n f i r m e dt h eg o o df e a s i b i l i t y k e yw o r d s ：r i s ka s s e s s m e n t ，i n f o r m a t i o ns e c u r i t y , k n o w l e d g eb a s e ，g r e ys y s t e mt h e o r y 学位论文独创性声明 本人声明，所呈交的学位论文系在导师指导下本人独立完成的研究成果。文 中引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意义上 已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论文或 成果，与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意。 论文作者签名：型翌 日期：丝年月互日 学位论文知识产权权属声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属山东轻工 业学院。山东轻工业学院享有以任何方式发表、复制、公开阅览、借阅以及申请 专利等权利，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名 单位仍然为山东轻工业学院。 论文作者签名： 刻莹 导师签名： 日期：单年上月 l 日 山东轻工业学院硕士学位论文 第l 章绪论 1 1 论文的选题背景及研究意义 人类社会进入信息时代，信息成为一项重要资源，信息系统、资源网络成了 支撑信息时代人类社会的一个重要支柱。信息产业的发达程度已经成为衡量一个 国家主权和安全的重要依据和基本参照【1 1 。信息以及承载信息的软硬件资源构成 了一个有机整体，是继长、宽、高、时间四维空间之外的第五维空剐2 l 信息 空间，给人们带来了很多的便利，极大的推动了人类社会的发展。但是人们在尽 情享受信息技术带来的巨大进步的同时，也因为信息网络本身所固有的脆弱性及 开放式的设计缺陷而不可避免的遭受着病毒、黑客、特洛伊木马等对信息系统造 成的严重威胁，尤其像国际互联网这样的公众网络，潜伏着各种安全隐患和风险。 近年来，信息安全事件呈现逐年大幅递增的趋势。据统计，2 0 0 7 年上半年， c n c e l h ，c c 接收的网络仿冒事件和网页恶意代码事件已分别超出去年总数的 1 4 6 和1 2 5 。国内被植入木马的主机p 远远超过去年全年，增幅达2 l 倍【3 1 近年来，由于信息系统安全问题所产生的损失、影响不断加剧，信息系统的安全 问题越来越受到人们的普遍关注，已经成为影响信息技术发展的重要因素，随之 而产生的信息安全理论也成为各国研究的热点。 信息安全是对信息系统以及使用、存储、传输信息的硬件、软件、人员的保 护，涉及到信息的保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用性( a v a i l a b i l i t y ) 、 可控性( c o n 加l l a b i l i 劝和不可否认性( n r e p u d i a t i o n ) 4 。根据研究内容可分为基础 理论研究、应用技术研究以及安全管理研究。基础研究是安全技术发展的支柱； 应用安全技术是信息安全控制的重要手段；但单独依靠技术手段实现安全的能力 是有限的，必须有适当的管理方面的安全措施加以配合和支持。因此，信息安全 的三个组成部分是一个有机整体，不可分隔，而作为应用技术研究支持的信息安 全管理体系又是重中之重。权威市场调查机构g a r t n e rg r o u p 调查显示，在全球损 失金额在5 万美元以上的攻击中，7 0 都涉及网络内部攻击者1 5 j 。他们有更多的机 会威胁企业的核心资料，因此信息安全不再仅仅是技术性的问题了，而应该从管 理方面着手加强信息系统的安全状况。 但信息系统的安全问题不可能一劳永逸，也不能期望通过一个安全产品和安 全技术就能把所有的安全问题都解决。信息系统中没有绝对的安全，也没有彻底 的危险，只是当存在的安全风险超出安全措施的控制范围时才可能引发安全事件 的发生。因此对信息系统的安全管理实质上也就转化为对信息系统本身存在的风 第1 章绪论 险和采取的安全措施进行管理和控制，通过分析存在的风险及采取的风险控制措 施，权衡轻重，把风险降低到一个可接受的程度的过程【6 】，不会引发较大的安全事 件发生，又要防止因风险控制措施的实施而产生成本过高问题，即在安全与风险 之间寻求一个平衡。这个平衡过程是一个动态的、循环往复的过程，是一个不断 降低安全风险的过程。这个过程的组织与实施工作由信息安全风险评估这门学科 来完成。通过正确地、全面地了解信息系统的安全风险，识别系统的安全需求， 分析原因，从而为达到信息安全建设的要求提供必要的依据和具体的措施，决策 者只有充分掌握信息系统安全状态，才能在信息安全措施的选择、信息安全保障 体系的建设等问题中做出合理的决策，并有针对性的采取风险控制措施【7 】，从而使 信息系统本身的安全风险处于可控制的范围内。 因此，信息安全风险评估是保证信息系统安全的基础性工作；是动态地、发 展地认识安全隐患和威胁的方法，保证信息有效性的重要前提；是科学地分析和 理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险 的减少、转移和规避等风险控制方法之间做出决策的过程；是保障信息安全的重 要手段和必要条件，对信息安全性的提高有重要的理论和现实意义，其作用已经 得到了广泛的重视。目前，风险评估对信息系统安全的有效性已经逐渐被证实， 并引起了各国对其的高度重视，成为国际上考察信息系统安全性的通用方法和研 究的热点。一些国家已经成立相关安全组织，制订了信息安全风险评估的标准， 并提出了一系列理论、技术、方法、措施和机制，且付诸于实践。同样，加强风 险评估工作也是我国当前信息安全工作的客观需要和紧迫需求。由于信息技术的 飞速发展，我国关系国计民生的关键信息基础设施的规模越来越大，系统也越来 越复杂，为了加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强 风险评估工作，通过法规、标准等手段加以保障。 1 2 信息安全风险评估发展历程 风险评估不是一个全新概念，早在2 0 世纪五六十年代就被用于企业的安全性 评估，但其在信息安全领域的应用还是开始于7 0 年代初。信息安全评估的发展共 经历了以计算机为对象的保密阶段，到以计算机和网络为对象的信息安全保护阶 段，再到以信息系统关键基础设施为对象的信息保障阶段等三个阶段的发展瞵j 。 第一阶段：信息安全风险评估标准的探索阶段( 2 0 世纪6 0 年代末至8 0 年代) 2 0 世纪6 0 年代，随着计算机网络的出现，资源共享、网络互联成为科技发展 的助推器。网络的应用为人类提供便利的同时，也带来了计算机的安全问题。1 9 6 7 年，兰德公司及其它研究机构针对当时计算机使用环境中的安全策略进行研究并 发表了计算机安全控制报告，该报告奠定了风险评估的理论基础。美国率先 2 山东轻工业学院硕士学位论文 推出了首批关于风险管理及评测标准。如f - i p sp u b 3 1 自动数据处理系统物理安全 和风险管理指南”、 f i p sp u b 6 5 自动数据处理系统风险分析指南”等【9 】。该阶段仅 针对计算机系统的保密性问题提出要求，对安全的评估只限于保密性范畴。 第二阶段：评估理论和实践走向成熟阶段( 2 0 世纪8 0 年代末至9 0 年代中期) 这一阶段是信息安全风险评估标准发展、成熟阶段，各国先后研制出各种评 估标准。1 9 8 9 年美国率先建立了计算机应急组织c e r t 。次年，建立了信息安全 事件应急国际论坛( f i r s t ) 。1 9 9 2 年美国国防部建立了漏洞分析与评估计划。1 9 9 3 年对7 0 年代提出的“可信计算机安全评价标准 ( t c s e c ) 沁】作了补充和修改，制定 了“组合的联邦标准 ( f c ) 。1 9 9 4 年美国国家安全局等组织构成的联合委员会明确 提出国家信息安全必须建立在风险管理的基础上。1 9 9 5 年1 2 月美国国防部提出了 p d r 多环节保障动态模型i l 。1 9 9 5 年9 月至次年4 月，美国总审计局对美国国防 系统进行了大规模风险评估，同年5 月发表了信息安全一针对国防部的计算机 攻击正构成日益增大的风险的报告。1 9 9 7 年美国国防部发表了“信息技术安全认 证和批准程序”，成为美国涉密信息系统安全评估和风险管理的重要标准和依据。 这期间，欧洲国家也开始研究和制定计算机系统安全评估标准。1 9 9 0 年，英、法、 德、荷四国制定了共同的信息技术安全评估标准( i t s e c ) 1 2 】。1 9 9 3 年，欧美六国启 动了建立共同评测标准( c c 标准) 的计划( 9 9 年成为国际标准i s 0 1 5 4 0 8 1 3 ，1 4 1 5 】) 。英 国还研发了基于风险管理的b s 7 7 9 9 信息安全管理标准【1 们。澳大利亚和新西兰制定 了共同的风险管理标准a s n e s 4 3 6 0 】。所有这些标准，都强调了风险评估和管理 的重要性、基础性作用。 第三阶段：信息安全风险评估标准进入全球化阶段( 2 0 世纪9 0 年代末) 2 0 世纪9 0 年代以来，计算机网络系统成为关键基础设施的核心，信息的安全 问题成为世界各国面临的共同挑战。在共同需求的驱动下，1 9 9 6 年i s o 发布了 i s o i e ct r l 3 3 3 5 标准【l 引。1 9 9 9 年发布了i s o i e c1 5 4 0 8 标准即信息技术安全评 估共同准则( c c 标准) 【1 9 1 。2 0 0 0 年又发布了i s o i e c1 7 7 9 9 2 们。国际标准的出台， 反过来又推动了各国自身风险管理标准研发的进程。从9 0 年代末开始，风险管理 相关标准的制定掀起了又一个高潮，仅n i s t 近几年就制定了联邦 系统安全 认证和认可指南( s p 8 0 0 3 7 ) 口、联邦信息和信息系统的安全分类标准f l i p s 1 9 9 ) 【2 2 】等与风险管理相关的十多个标准。 随着各类国际评估标准的陆续出台，评估方法与评估工具的研究也取得了进 一步的发展。完全手动的评估方法在提高信息安全风险评估工作的效率和结果的 正确性方面己经不能满足风险评估实践活动的需要，风险评估研究人员研制开发 了大量的评估工具，来辅助风险评估活动的进行。总之，随着风险评估理论和评 估技术的不断深化完善，信息系统的安全风险评估已经有了相当大的发展。但是 由于各国的标准和评估工具的不统一，国际上信息系统的安全风险评估的认证工 3 第1 章绪论 作很难达到一致，以至于认证结果还存在很大的地区差异，因而风险评估在理论 和实现技术上都有待于进一步的提高。 1 3 国内外风险评估研究发展现状 信息安全领域的风险研究已经几十年了，但愈加严峻的信息领域安全问题促 使风险评估与管理现已成为当今信息安全保障工作的主流范式，全球信息安全工 作的热点。经过努力，信息安全风险评估在其研究领域已取得了重大的进展。 1 3 1 国外风险评估标准研究及评估现状 ( 1 ) 研究现状 西方发达国家最早把信息安全应用在军事领域，后逐渐向生产生活方面过渡， 并发展成为一门学科。其研究己经从最初的通信安全( c o m s e c ) ，经过信息安全 ( i n f o s e c ) ，发展到了当前的信息保障( 队) 。目的也由最初的单纯的保护网络、信 息不遭受入侵改变为确保被保护对象能够提供可用的、机密的、完整的、不可抵 赖的、可授权的安全服务。一些发达国家先后相继建立了比较成熟的标准体系、 技术体系、组织架构和业务体系。特别是作为信息技术和信息安全发展主导的美 国不仅在评估标准上进行制订、补充与完善，而且对评估模型及评估方法的建立 与改进也做了大量的工作。自1 9 9 8 年开始，美国n i s t 先后发布的联邦1 1 r 系统 安全认证和认可指南( s p8 0 0 3 7 ) 等多个文档，为军政部门、公共部门和私营领 域制定了风险管理政策和指南，形成了军、政、学、商分工协作的风险管理体系。 同期还对评估模型及评估方法进行了建立与改进，s s e c m m 2 3 】( 信息安全工程能 力成熟度模型) 模型与o c t a v e 评估方法【2 4 】( 自主型信息安全风险评估方法) 就 是卡内基梅隆大学近期发布的，o c t a v e 方法具有许多b s7 7 9 9 的所缺乏的可操 作性方面的特点，是一种从系统的、组织的角度开发的新型信息安全保护方法， 适用于大中小型组织，已经成为美国国内企业进行风险评估的一种事实标准【2 5 1 。 另外，美国还建立了比较成熟的信息安全风险评估工具，主要有r i s k p a c 、 r i s k w a t c h 和x a c t a 等。这些工具在技术上都比较成熟，为各种风险评估提供了 有力支持，2 0 0 7 年美国国防部根据美国的网络安全国家战略计划，采取相应的评 估方法与工具对政府各部门的信息安全状况进行了全面的审计和评估。英国也一 直在信息安全风险评估领域旱不断探索，b s i 推出的b s7 7 9 9 的第一部分在2 0 0 0 年被i s o 接纳为国际信息安全管理标准i s o i e c l 7 7 9 9 ：2 0 0 0 。英国c c t a 还开发 了c r a m m ( c c t ar i s ka n a l y s i sa n dm a n a g e m e n tm e t h o d ) 及c o b r a 2 6 , 2 7 】 ( c o n s u l t a t i v eo b j e c t i v ea n db i f u n c t i o n a lr i s i ca n a l y s i s ) 等工具，c r a m m 工具完 全遵循b s7 7 9 9 标准，是一种定量风险分析工具，并同时支持定性风险分析。 c o b r a 工具则改变了传统的风险管理方法，提供了一套完整的风险分析服务，并 4 山东轻工业学院硕士学位论文 兼容多种风险评估方法1 2 8 】。欧盟国家也不甘落后，欧盟四国( 德国、希腊、英国、 挪威) 1 1 个机构于2 0 0 1 年开始，历时3 年完成面向对象建模技术的风险分析平台 项目c o r a s ，二期项目c o m a 预计2 0 0 7 年完成。另外，从1 9 9 6 年开始，i s o 制定并发布信息技术一安全技术一信息产业安全管理指导方针o1 3 3 3 5 ) 系 y o ( 第一至第五部分) ，目前仍处于论证修订阶段。i s o1 3 3 3 5 具有很强的可操作性。 目前各国已意识到信息安全风险评估不再是一项孤立的工作。风险评估的制 度化将是信息安全风险评估标准发展的最高阶段。为此，西方发达国家正在加强 风险评估制度化，不仅在法律上为风险评估提供强大的保障，而且将单部风险评 估标准扩展为涵盖风险评估基础理论和实践、责任、信息系统认证认可、安全措 施选择和验证等多方面的系列标准和指南【2 9 】。 ( 2 ) 评估现状 虽然一些发达国家建立了比较成熟的标准体系、技术体系、组织架构和业务 体系。但国外各政府目前所建立的信息安全认证机构仍局限于对安全技术和安全 产品的认证，在安全管理方面还没有一套行之有效的办法可以客观准确地对一个 组织的信息系统现状进行评估、认证。当前只有英国b s i 在开展基于b s7 7 9 9 - 2 的信息安全管理体系( i s m s ) 的认证工作，但其代价昂贵、评估周期长、评估结果 可信度差，难以在全世界范围内推广。 1 3 2 国内风险评估标准研究及评估现状 ( 1 ) 研究现状 国内的信息安全风险评估服务开始于上世纪9 0 年代后期，最初主要以信息保 密作为信息安全工作重点。近年来，随着对信息安全问题的认识的逐步深化和安 全技术的不断发展，在工作实践和社会需求的牵引下，我国开始把信息系统的安 全评测纳入工作范围，风险评估逐步成为我国信息安全评估的重要组成部分，并 在标准的制订等方面取得了重大的成果： 1 9 9 4 年颁布的中华人民共和国计算机信息系统安全保护条例提出了信 息系统实行安全等级保护的要求。目的是确保国家重要领域的计算机信息系统正 常运行，保障信息的完整性、可用性、保密性、抗抵赖性、可控性等。 1 9 9 9 年，公安部颁发了计算机信息系统安全保护等级划分准则) ) ( g b l 7 8 5 9 1 9 9 9 ) 3 0 】。以此准则为基准的数十个标准正在研究制定中并将陆续出台。同年2 月，我国正式成立国家信息安全测评认证中心。 2 0 0 1 年3 月，国家标准g b 1 8 3 3 6 2 0 0 1 信息技术、安全技术、信息技术安 全评估准则1 3 1 】正式颁布。我国开始把信息系统的安全测评纳入工作范畴，风险 评估作为系统安全评估的一个环节也被纳入其中。 2 0 0 2 年我国在8 6 3 计划中首次规划了系统安全风险分析和评估方法研究 5 第1 章绪论 课题。次年8 月组成了以国家信息化办公室为首的风险评估课题组，开始风险评估 与管理理论的研究和学习。 2 0 0 3 年9 月，中共中央办公厅、国务院办公厅转发国家信息化领导小组关 于加强信息安全保障工作的意见( 2 7 号文) 。该文提出了信息安全保障工作的总 体要求和主要原则，指出信息风险评估是下一步信息安全保障工作重要基础性工 作之一。该文的发布掀起了评估标准制定、评估方法研究、评估工具开发的热潮。 2 0 0 4 年，完成信息安全风险评估指南【3 2 】和信息安全风险管理指南 初稿的制订。2 0 0 5 年在北京、上海等地开展风险评估试点工作，2 0 0 6 年8 月至9 月， 开始开展风险评估检查工作。 2 0 0 6 年1 0 月，中央总书记批示：信息安全工作要“加快专控队伍建设”，“风 险评估工作要制度化”。并于次年起对“8 + 2 ”系统开始实行制度化的风险评估。 我国一些研究机构、大专院校及启明星辰等专业信息安全公司向国内介绍 了国际上关于风险评估与管理的先进理论、方法和经验，并按照i s 0 2 7 0 0 1 等国际 标准，对我国电信等行业进行了信息安全管理体系建设，并积累了很多实践经验。 另外，我国的风险意识也在不断的发生转变，由原来追求绝对安全、万无 一失的信息环境逐渐向追求降低风险到系统可接受程度的方向上转化。 但是，我国信息安全标准化工作起步较晚，信息与网络安全的防护能力处于 发展的初级阶段，许多应用系统处于不设防状态，至今还没有一部通用评估标准 出台。因此，评估标准的制定是我国安全风险评估研究的重点之一。目前，信息 系统安全性评价准则及测试规范、信息安全服务评估准则、信息安全工程质量管 理要求等标准己在制定日程之中，我国信息安全标准体系的框架正在逐步形成。 ( 2 ) 评估现状 与其他国家类似，目前，我国的信息安全风险评估还处于初级阶段一理论阶 段。国内大多数公司的风险评估服务还处在“学”、“讲”理念、方法、理论的阶段， 只有少数安全公司在“做”风险评估。而且虽然目前我国也建立了以安全技术、安全 产品认证为重点的信息安全测评认证体系，但还没有提出针对组织安全管理的评 估、认证的模型和方法。 总之，经过近四十年的探索，世界各国在风险评估研究方面做了大量的工作 并取得显著成效，但由于风险评估自身存在的难点，各国均面临许多挑战，该新 兴学科的研究与发展还存在一些亟待解决的问题：一是安全评估标准体系所应包 括的相应组织架构、标准和技术体系还不完善。二是评估方法可操作性差，还没 有通用的、成熟的信息安全风险评估工具。三是风险意识淡薄，绝对安全的观念 严重束缚着风险评估思想的树立。 6 山东轻工业学院硕士学位论文 1 4 论文研究的主要内容 本文在深入分析风险评估标准、风险分析方法的基础上，通过对各风险评估 评估模型、评估工具的对比研究，制订出一套实用性和操作性强的风险评估方法， 并在此基础上研发了一套基于知识库的综合评估系统。该系统可以从系统组织结 构、物理结构与环境、网络结构与环境等多个方面对系统的安全性等全面综合的 进行定性、定量分析，最后得出综合评估结果，给出相应的安全措施。 1 4 1 现状分析和面临的问题 虽然经过近四十年的发展，但由于人们对风险评估认识还存在许多误区，国 内外的研究主要还集中在安全技术标准的制定和测评上，评估标准、方法都还不 成熟，不完善，且呈现百花齐放、百家争鸣的格局，没有一个通用的国际评估标 准。在这种情况下加强对信息安全风险评估的研究就具有特别重要的意义和更高 的学术价值，有助于提高我国信息安全的整体程度和水平。 事实证明，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持， 否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料， 那管理就是粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建 设的方方面面，信息安全的长期性和稳定性才能有所保证。但将信息安全管理方 面的各代表性标准如c c 、b s 7 7 9 9 等作为风险评估的基础，还存在以下几点困难： ( 1 ) 标准难以划分、量化。不够详细，划分难度大，有些甚至不能量化。 ( 2 ) 这些标准是各国依据本国国情或企业要求总结出来的，其中部分策略可 能与我国的实际情况不相符合，在法律或政策方面甚至有所冲突。 另外，真正集安全管理与安全技术于一体的工具现在还没有。国外较成熟的 评估工具大多是针对信息安全的某一方面，而且存在评估耗时长，费用高的问题， 与国内的部分信息系统也不相符合，甚至要大规模修改。国内还没有比较成熟的 这类工具，因此开发一款集快速评估与综合评估于一体的风险评估工具势在必行。 1 4 2 论文的研究内容 本文正是针对信息安全风险评估的发展现状和要求，在总结和借鉴前人工作 成果和思想的基础上，解决以下三个问题：一是量化了信息安全风险评估与管理 标准；二就确定了适用的风险评估方法；三就建立了合适的风险评估模型；在解 决这三个问题的基础上，建立了风险评估知识库，完成信息系统安全评估工具的 研制与开发。主要完成的工作有： ( 1 ) 在深刻认识风险概念和分析总结国际风险评估标准( c c 、s s e c m m 、 b s 7 7 9 9 、i s o i e c1 7 7 9 9 ：2 0 0 5 、i s o i e c2 7 0 0 1 ：2 0 0 5 ) 的基础上，根据各评估标准的 特点，归纳总结出适合部门业务发展的评估作业指导书： 7 第1 章绪论 ( 2 ) 对定性、定量方法进行分析研究，提出适合实际信息业务的风险评估方 法； ( 3 ) 研究系统安全风险评估流程； ( 4 ) 根据自动化风险评估的需要，对各风险评估标准进行分类、量化，建立 风险评估的信息库和知识库； ( 5 ) 在上述研究的基础之上，研究开发一套适用于政府、企业的信息安全评 估系统，该系统可以实现对系统的安全要素的多种评测数据进行分析、统计，以 确定系统存在的安全隐患和风险级别，实现对信息系统运行状况进行定期安全评 估和从全局的角度上对系统进行综合评估，并根据评估结果向系统管理员提供安 全性分析报告，为提高系统安全整体水平提供重要依据。 为开展相关研究、解决技术难题，本课题得到山东省计算中心科研开发项目 的支持。 1 5 论文结构与章节安排 本研究课题源于某公司的“安全风险评估”科研开发项目，目的在于通过深 入研究风险评估标准体系及风险分析方法、评估模型，提出了基于知识库的半定 性、半定量的风险评估模型和风险值计算方法，并在实际的信息安全管理体系建 设过程中来指导风险评估工作的应用和实施。文章主要内容和安排如下： 论文的第一章介绍了信息安全风险评估的发展历程、国内外风险评估研究的 历史、现状和发展，分析了当前信息安全风险评估研究和实施的不足。 论文的第二章详细介绍了信息安全风险评估基本概念、理论、国内外流行的 风险评估模型、评估方法、评估工具及风险评估流程。 论文的第三章是本文的核心，介绍了改进后的基于知识库的风险评估模型和 评估方法以及评估的流程和知识库的创建理论，详细介绍了各知识库的创建过程。 论文的第四章是在前三章研究的基础上开发了一个信息安全风险评估辅助工 具，指出本评估系统的目标与总体结构，提供了所涉及到的关键方面的设计方案， 给出了信息库和知识库的结构图以及各评估标准在数据库中的实现方式。详细阐 述了基于知识的风险评估工具的开发过程，评估系统的开发环境和编程工具，并 提供了系统的一些典型的交互界面。 论文的第五章阐述了使用该风险评估系统对某交通政务系统进行有效评估的 实施过程，并取得了较满意的结果。 论文的第六章对全文进行了总结，分析了研究课题的困难与不足并提出了下 一步工作思路。 山东轻工业学院硕士学位论文 第2 章信息安全风险评估理论基础 对信息安全存在的风险进行有效的评估有着至关重要的意义。只有有效地评 估信息系统面临的安全风险，才能充分掌握信息系统的安全状态，并有针对性地 采取风险控制措施，使信息安全风险处于可控制的范围内。当前，风险评估对信 息系统安全的有效性已引起了各国对其的高度重视。本章将介绍信息安全风险评 估的概念、理论基础、评估模型、评估方法、评估工具及评估过程等相关内容。 2 1 信息安全风险评估基本概念 ( 1 ) 信息( i n f o n n a t i o n ) - 对客观事物的反映，具有客观性、时效性等属性。 ( 2 ) 信息系统m 慨l a l i o ns y s t e m ) ：由人、硬件、软件和数据组成，能够及时、 正确地收集、加工、存储、传递信息，实现组织中各项活动的管理、调节和控制。 ( 3 ) 威胁( t h r e a t ) - 指可能对资产或组织造成损害的事故的潜在原因。可能导 致对系统或组织有害的、未预料的事件发生的可能性。 ( 4 ) 脆弱性漏洞( v u l n e r a b i l i t y ) ：指资产中能被威胁利用的弱点，恶意主体能 在未授权情况下利用软硬件、协议等在安全策略上存在的缺陷访问或破坏系统。 ( 5 ) 信息安全( i n f o r m a t i o ns e c u r i t y ) ：就是保护信息及信息系统的保密性、完 整性、可用性等特性不被威胁利用，而造成系统的不可用。 ( 6 ) 信息安全风险：指信息在整个生命周期中安全属性面临的危害发生的可 能性，是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损 信息资产的重要性而对机构造成的影响【2 1 。其危害程度可用信息安全事件发生的可 能性及其造成的影响或危害这两个指标来衡量【2 】，即： r 【危鲁单位时闻】2 p 【- 件，位时帕】c 【危窖，抖l ( 7 ) 信息安全风险评估：指从风险管理角度，依据国家有关信息安全标准和 准则，运用科学的方法和手段，对信息及信息系统的保密性、完整性、可用性等 进行全面科学地分析；对信息系统所面临的威胁及存在的脆弱性进行系统地评价； 对安全事件一旦发生可能造成的危害程度进行评估，并提出有针对性地抵御威胁 的防护对策和整改措施。进行信息安全风险评估，就是要防范和化解系统风险， 或者将风险控制在可接受的水平，最大限度地为保障信息系统安全提供科学依据。 2 2 信息安全风险评估理论基础 信息安全风险评估是一个系统工程，具有科学的理论基础，其推理和估计过 9 第2 章信息安全风险评估理论基础 程需要遵循一定的科学理论和依据。常用的基本原理和理论包括： ( 1 ) 大数定律 该定律是用来阐明大量随机现象平均结果稳定性的一系列定理总称，风险评 估利用大数定律必然性与偶然性辩证关系来估计风险事件发生概率和损失大小。 ( 2 ) 统计推断原理 统计推断原理是一种以概率论为基础的定量推理方式。风险评估借助这个原 理进行分析与评估，用有限的样本信息来推断总的信息安全风险状况与特征，从 而得到能够进行风险分析与评估需要的足够的历史信息和数据。 ( 3 ) 惯性原理 事物的发展具有一定的延续性，即所谓的惯性。信息风险评估利用惯性原理， 通过过去发生的安全事件来预测未来可能的风险和损失。 2 - 3 信息安全风险评估理论模型的研究 在一个安全防卫体系中，完善而合理的安全架构是核心和基础。而安全架构 通常是建立在相应的安全概念模型的基础之上的。作为风险评估项目的首要环节， 安全模型可视为整个安全框架建立的第一阶段，其对整体安全架构的建立具有非 常重要的意义。仅仅靠在信息安全风险评估时临时提出一些信息安全风险的做法 也是不合适的，必须在风险评估之前，在信息风险管理的前提下确定资产、威胁、 脆弱性和风险四元素及其相互关系，即确定信息安全风险评估模型。来指导组织 实施风险评估工作。例如，面向任务的风险流模型( m o r s m ) 如图2 1 所示： 图2 1 面向任务流的风险评估模型 从图可以看出，一个任务的完成过程中可能面临多个威胁，这些威胁共同发 l o 山东轻工业学院硕士学位论文 生作用，且每个子任务可能继承上一子任务的遗传风险。每个任务阶段的风险会 随着任务的执行而在整个项目工作的过程中传播，且会随着各子任务所采取的控 制措施的有效程度而消耗。通过该模型，可以发现一些传统方法容易忽略的风险。 因此确定信息安全风险评估模型是进行风险评估的基础，是有效进行风险评估的 依据1 3 3 1 。可以为测定系统的风险大小提供方法和基准。 经过几十年的研究，已经有了较成熟的安全模型，如i s o1 3 3 3 5 1 3 4 1 、i s o1 5 4 0 8 模型、安氏风险评估模型及面向任务流的模型等。这些模型都来自不同的风险评 估标准。目前国际上比较有代表性的主要是i s 01 3 3 3 5 模型和i s 01 5 4 0 8 模型。 i s o1 3 3 3 5 模型对信息安全管理的过程描述得比较细致，尤其对安全管理过程 中的最关键环节风险分析和管理有非常细致的描述，包括详细分析方法和综 合分析方法等风险分析方法学的阐述，而且完全可操作。i s o1 3 3 3 5 模型如图2 2 所示。从图中可以看出：信息资产、威胁、脆弱性漏洞是造成风险的主要因素： 威胁源技术比较高，能力比较强，系统的漏洞比较多，信息资产的价值高等都会 增加系统的风险值，风险导致安全需求：安全控制措施能够降低风险，减弱由风 险引发的安全事件对信息造成的后果。但如果有比较有效的安全措施，那么会有 效的降低系统的风险，减弱由风险引发的安全事件对信息造成的后果。 威胁脆弱性漏洞 么 一增叠一幺增 、 = 妻主乒霉 1 一一l 丁一 。乏提出增、么 1 安全磊求k 一影响l 图2 2i s o13 3 3 5 1 对应的模型 i s 0 1 5 4 0 8 模型也是从这几个安全要素出发来描述风险，但它又提出了所有者 和威胁主体的概念。 信息安全风险评估理论模型包括概念模型、评估模型、过程模型、数据模型、 计算模型和管理模型等，这些模型是风险评估的论据，是进行风险评估的基础。 因此，对模型的研究将大力促进信息安全风险评估的发展。 2 4 常用信息安全风险因素识别方法的研究 信息系统的复杂性决定了安全风险因素具有多样性、动态性和不确定性等特 点。但这并不意味着对引起安全事件的因素全然不知，而是可以通过对大量风险 事件