（管理科学与工程专业论文）第四方物流信息系统安全风险评估的研究.pdf

摘要 第四方物流信息系统安全风险评估的研究 摘要 发展第四方物流的策略之一就是加强信息化，通过相关的信息平 台整合各类资源。因此，对于第四方物流来说，信息系统是非常重要 的。但是，任何信息系统都存在着安全风险，只有通过信息系统安全 风险评估，才能了解信息系统的安全状况，及时采取积极有效的措施 控制风险，保证信息系统的顺利运行。由于第四方物流信息系统存在 很强的复杂性和集成性，风险因素集之间的联系已经不能忽略。因此， 为更好地对第四方物流信息系统进行安全风险评估，本文进行了以下 几方面的工作： 1 、本文结合第四方物流信息系统的实际情况，经过分析研究， 得出应用网络分析法计算指标权重，根据模糊综合评判法确定整个第 四方物流信息系统的安全风险等级； 2 、其次，本文经过分析研究后，总结了第四方物流信息系统的 特点，并对第四方物流信息系统运行阶段进行风险识别，对其存在的 安全风险进行了研究，之后通过分析、归纳和总结，选取其中重要的 风险因素建立了第四方物流信息系统安全风险评估指标体系，依据网 络分析法和模糊综合评判法建立了评估模型； 3 、以深圳市某第四方物流企业信息系统作为示例，运用本文建 立的指标体系和模型对其进行安全风险评估，用实例说明风险评估的 i 北京化工大学硕士研究生学位论文 整个过程，对该公司整个信息系统的安全风险状况进行了分析，取得 了良好的应用效果。 关键词：第四方物流，信息系统安全风险评估，网络分析法，模糊综 合评判法 i i 摘要 s t u d yo nf o u r t hp a r t yl o g i s t i c si n f o r m a t i o ns y s t e m s e c u r i t yr i s ka s s e s s m e n t a b s t r a c t o n eo ft h es t r a t e g i e so fd e v e l o p m e n to ft h ef o u r t hp a r t yl o g i s t i c si s t h a tt h ei n f o r m a t i o nt e c h n o l o g ys h o u l db ee n h a n c e d ，a n dt h r o u g ht h e i n f o r m a t i o np l a t f o r mt oi n t e g r a t et h er e l e v a n tt y p e so fr e s o u r c e s t h u s ， t h ei n f o r m a t i o ns y s t e mi sv e r yi m p o r t a n tf o rt h ef o r t hp a r t yl o g i s t i c s b u t e v e r yi n f o r m a t i o ns y s t e mh a ss e c u r i t yr i s k s o n l yt h r o u g hi n f o r m a t i o n s y s t e ms e c u r i t yr i s ka s s e s s m e n tt l l a tw ec a nk n o wt h es e c u r i t yc o n d i t i o n o ft h ei n f o r m a t i o ns y s t e m ，t h e nt h ee f f e c t i v em e a s u r e sc a l lb et a k e n p r o m p t l y , t oe n s u r et h es m o o t ho p e r a t i o no fi n f o r m a t i o ns y s t e m a st h e c o m p l e x i t ya n di n t e g r a t i o no f t h ef o n hp a r t yl o g i s t i c si n f o r m a t i o ns y s t e m a r ev e r ys t r o n g ，t h el i n kb e t w e e nr i s kf a c t o r ss e tc a nn o tb ei g n o r e t od o t h e 南m 1p a r t yl o g i s t i c si n f o r m a t i o ns y s t e m ss e c u r i t yr i s ka s s e s s m e n t ， t h e r ea r es o m et a s k s ： 1 、c o m b i n et h es i t u a t i o no ft h ef o r t hp a r t yl o g i s t i c si n f o r m a t i o n s y s t e m ，t h r o u g ha n a l y s i sa n ds t u d y , u s i n gt h ea n p t oc a l c u l a t et h ei n d e x w e i g h t ，a n du s i n gt h ef u z z yc o m p r e h e n s i v ee v a l u a t i o nt oe v a l u a t et h e s e c u r i t yl e v e lo ft h ef o n hp a r t yl o g i s t i c si n f o r m a t i o ns y s t e m ； i i i 北京化工大学硕士研究生学位论文 2 、a n a l y z e sa n ds u m m a r i z e st h ec h a r a c t e r i s t i c so ft h ef o r t hp a r t y l o g i s t i c si n f o r m a t i o ns y s t e m ，a n dd or i s k si d e n t i f i c a t i o n ，a n ds t u d i e st h e s e c u r i t yr i s k s ，t h e ns e l e c tt h ei m p o r t a n tr i s kf a c t o r st oe s t a b l i s ht h ef o n h p a r t yl o g i s t i c si n f o r m a t i o ns y s t e ms e c u r i t ya s s e s s m e n ti n d e xs y s t e m ，a n d b a s e do nt h ea n a l y t i cn e t w o r kp r o c e s sa n dt h ef u z z yc o m p r e h e n s i v e e v a l u a t i o nt oe v a l u a t et h ea s s e s s m e n tm o d e l ； 3 、t a k eo n ef o r t hp a r t yl o g i s t i c si n f o r m a t i o ns y s t e ma sa ne x a m p l e ， u s i n gt h ei n d e xs y s t e ma n dt h ea s s e s s m e n tm o d e lt od os e c u r i t yr i s k s a s s e s s m e n t ，e x p l a i n i n gt h ew h o l ep r o c e s so fr i s ka s s e s s m e n t ，a n a l y s i st h e s i t u a t i o no ft h ee n t i r ei n f o r m a t i o ns y s t e ms e c u r i t yr i s k s ，a c h ie v i n gt h e g o o da p p l i c a t i o n k e yw o r d s ：t h ef o r t hp a r t yl o g i s t i c s ( 4 p l ) ，i n f o r m a t i o ns y s t e m s e c u r i t yr i s ka s s e s s m e n t ，t h ea n a l y t i cn e t w o r kp r o c e s s ( a n p ) ，t h ef u z z y c o m p r e h e n s i v e e v a l u a t i o n 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本 论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者签名：建盏壑日期： 劲| 9 6 2 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文 的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京化工大学。学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编 学位论文。 保密论文注释：本学位论文属于保密范围，在上年解密后适用 本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授 权书。 作者签名：吏墨叠 日期： 趵6 导师签名： a 么缒 ：一 日期： 五2 ：么：立 第一章绪论 1 1 本文研究的背景 第一章绪论 如今，社会在不断地进步，经济全球化步伐在不断地加快，信息技术和通信 技术得到了飞速的发展。在这个大背景之下，第四方物流应运而生，并且深受企 业的重视，已经成为企业降低成本、改善企业供应链结构、提高企业物流对顾客 响应的速度、缩短物流周期的战略手段，很多第三方物流提供商也积极采取措施， 通过努力成为第四方物流的主体。 目前，我国已经有一些企业在第四方物流方面取得了成功。广州安得供应 链技术有限公司于2 0 0 2 年1 1 月1 日正式成立，标志着我国内地第一家具备实际 业务和运作实力的第四方物流公司成立。在2 0 0 2 年1 2 月1 2 日，海尔集团物流 有限公司同寰宇空港物流签订了北京首都机场的物流合作项目的协议，标志着海 尔物流也已经进入了第四方物流领域。在2 0 0 2 年1 2 月1 9 日，新产业综合物流 股份有限公司，作为深圳市内的第一家第四方物流公司，正式成立。除了广州、 深圳等地之外，珠海、北京、杭州等地也有很多企业也在积极开展第四方物流业 务【l 】。在政策上，我国政府对发展第四方物流也是高度重视的，并采取了积极的 措施。在2 0 0 8 年，宁波市政府出台了宁波市人民政府办公厅关于2 0 0 8 年宁波 第四方物流运输市场建设主要任务分解的通知，为宁波市发展第四方物流提供 了政策支持。在我国政府的大力支持下，第四方物流将会得到更加良好的发展， 为社会提供更好的服务。 第四方物流与一般传统物流的最大区别就是在于“信息 ，第四方物流是以 互联网为基础的，将运筹学同现代信息技术相结合起来，使世界各地的业务合作 者能够联结起来共同置于一个信息管理平台上，并且能够确保物流信息可以更加 快速、可靠地传递，与此同时，又结合相关的管理学等知识，对整个供应链进行 了合理的管理，使得各环节的成本得到了降低，确实做到了更加高效、更为科学 的物流。 因此，对于第四方物流来说，它的信息系统是尤为重要的。第四方物流信 息系统的最大作用就是在于它通过信息技术将物流所涉及到的各种信息综合起 来，能够更加科学地设计物流方案，同时能够更好地为客户提供更多的增值服务。 毋庸置疑，信息化已经成为当今世界发展的大趋势。加快信息化发展，己 经成为世界各国的共同选择。我国自从在2 0 0 7 年提出“信息化带动工业化，工 业化促进信息化”的战略指导之后，信息技术在国民经济中和社会各领域中的应 用效果是非常明显的。 北京化工大学硕士研究生学位论文 然而，信息技术是一把双刃剑，它在给人们带来方便的同时，也给人们带 来了威胁。随着我国企业信息化不断地深入，e r r ( 企业资源计划) 、o a ( 办公自 动化) 、c r m ( 客户关系管理) 、h r m ( 人力资源管理) 、决策支持系统等系统被广 泛地应用，在企业内部，越来越多的重要的业务数据、报表和文件等资料必须通 过网络传输，由此使得传统业务对信息系统的依赖性日益增强。因此，信息系统 对企业的日常运作的影响越来越大，随之而来的i t 架构也变得日趋复杂，规模 与以前相比更加庞大；与此同时，恶意攻击和信息泄密事件也比以前变得更加频 繁，严峻的网络安全形势开始对企业的信息安全提出了新的挑战，使企业的风险 增加了。对基础的信息网络和重要的信息系统来讲，一个信息安全事件非常有可 能带来巨大的政治和社会影响。由于网络和信息系统自身的开放性，决定了它们 的发展和应用必会受到黑客、病毒、物理故障、人为破坏等各个方面的威胁，信 息安全所导致的问题日益严重并且逐渐开始被人们重视。 信息系统的安全管理是一个过程，不会也不可能一下子就能够把所有的安 全问题都全部解决。信息系统的安全风险管理是一个不断降低信息系统安全风险 的过程，其最终的目的是使信息系统的安全风险降低到一个可以被接受的程度， 使用户和决策者都能够接受的剩余风险。风险评估是风险管理的基础，对于企业 来说，只有对企业信息系统所面临的安全风险进行识别，进行信息系统安全风险 评估，才能充分认识这些安全风险因素可能带来的安全威胁与影响的程度，确定 信息系统的安全风险等级，方便企业及时采取积极有效的措施，保障信息系统的 正常运行。 第四方物流信息系统同样存在着诸多安全风险因素，只有对其进行安全风 险评估，才能使第四方物流企业在第一时间了解其信息系统存在的安全风险及其 影响程度，从而建立及时合理的防范，采取有效可行的措施，保证其信息系统的 正常运行。 1 2 本文研究的目的和意义 发展第四方物流的策略之一，就是要推进物流产业信息化进程，建立物流公 共信息平台【2 1 。目前，我国正在积极大力推进信息化进程，利用e d i ( 电子数据交 换) 、g p s ( 全球定位系统) 等先进的信息技术对当前的现代物流产业进行信息化改 造，并且利用先进的信息技术建立物流行业的公共信息平台，同时通过网络技术 和数据库技术整合各类物流资源，这样，才会使我国的物流产业得到质的提高， 从而能够更好地应对跨国物流企业的竞争。 目前，我国的信息系统安全方面正面临着严峻的威胁和挑战，主要原因有 2 第一章绪论 几个方面：首先，网络和信息系统的防护水平并不是很高，应急处理的能力也不 是很强；其次，信息安全管理和技术人才比较缺乏，关键技术整体上也比较落后； 第三，社会的信息安全意识不是很强，对信息系统的安全管理相对比较薄弱。与 此同时，通过互联网，有害信息传播、病毒入侵和网络攻击日趋严重，由于网络 行为的道德规范尚未形成，网络泄密事件不断发生，网络犯罪呈现出快速上升的 趋势。因此，只有建设和强化我国的信息系统安全保障体系，加强信息系统安全 管理，才能保障我国的信息化建设的顺利发展，促进我国社会的稳定。 长期以来，人们一直以为保障信息系统安全的方法就是要依靠技术，早期 的有加密技术、防火墙技术、防病毒技术等，到近年来，有入侵检测与保护、身 份认证等等技术。然而，在实际中，即使已经部署了最先进的安全技术与产品， 安全问题还是层出不穷，屡禁不止。这充分地说明单纯地依靠技术解决信息系统 安全问题是不够的。人的意识、制度、管理策略等管理问题一直都是人们忽略的 地方。在日常工作中，企业关注的是网络安全等技术问题，但是作为一个企业来 讲，更重要的是对信息系统安全或业务安全的关注，对影响信息系统正常运行的 所有环节的关注，而不仅仅只是技术。 “七分管理，三分技术 ，这个在其他领域中总结出来的实践经验和原则， 在信息安全领域中也同样适用。根据全球著名咨询机构g a r t e r 的统计，大约7 0 以上的信息系统安全问题是由于管理方面的原因而造成的，而在实际中，这些安 全问题中的9 5 则通过进行科学的信息系统安全管理，是可以避免的。对近年来 发达国家的信息系统安全领域的发展和演变过程进行总结后，可以看到，随着信 息化的不断深入，企业将会对信息系统的安全必会更加地重视，确保信息系统正 常运行的核心将会从安全技术逐渐上升为安全管理。 最近这几年，我国政府加强了对国际信息安全标准和理论的研究，同时， 随着企业对信息安全问题认识的不断深入以及企业信息安全体系建设的不断实 践，人们也逐渐意识到关于信息系统安全的问题最终将会归结为管理问题，管理 才是保障信息安全的核心，技术只是手段，对风险进行管理是安全的核心。 风险评估是风险管理的第一步，解决第四方物流信息系统安全问题的有效 方法之一，就是对第四方物流信息系统进行安全风险评估。全面有效的风险评估 可以及时掌握第四方物流信息系统的安全现状，确定第四方物流信息系统的主要 安全风险，对指导与建设第四方物流信息系统安全技术体系与管理体系的建设有 着非常重要的意义。 风险评估方法的选择是风险评估中核心的问题，只有采取合适的风险评估 方法，才能得到系统、客观、准确的风险状况。目前，采用a h p ( 层次分析法) 对信息系统进行安全风险评估已经比较成熟，但是随着信息技术的发展，信息系 3 北京化工大学硕士研究生学位论文 统的复杂性、集成性不断增强，尤其是第四方物流信息系统，其动态性、复杂性 和集成性比一般的企业信息系统要强很多，并且风险因素集之间的关系非常紧 密，已经不能忽视，应用a n p ( 网络分析法) 建立信息安全风险评估的模型可以 很好地解决这些问题。并且，建立符合第四方物流信息系统安全风险评估模型， 可以发现影响第四方物流信息系统安全运行的主要问题，及时采取措施，对影响 第四方物流信息系统安全运行的主要风险因素进行控制，保证整个信息系统的良 好运行。 应用网络分析法进行指标权重的计算，应用模糊综合评判法确定整个第四 方物流信息系统的安全风险等级，也是对信息系统安全风险评估理论的完善，丰 富了我国信息系统安全风险评估的理论。 1 3 本文研究的主要内容和方法 在我国，关于信息系统安全风险评估的方法和理论的研究，基本上是从2 0 0 0 年以后才开始的，主要是对国际标准进行解释，研究的成果和可行的方法也并不 是很多，尤其是对于第四方物流信息系统这种集成性很强的信息系统，目前，在 国内研究的比较少，尚未有一套科学合理、简单有效且适合大多数第四方物流信 息系统的安全风险评估模型，评估模型是对第四方物流信息系统进行安全风险评 估时最重要的基础和理论依据。另外一方面，专业的风险评估机构或者服务提供 商在给第四方物流企业做信息系统安全风险评估时，采用的模型和方法也各不相 同，而且专业性比较强、过程比较复杂、评估结果有时往往依赖于个别专家的经 验，缺乏科学的依据和说服力，不能很好地反映第四方物流信息系统的安全风险 状况。 本文研究的基础首先是信息系统安全风险评估的相关原理，依据国际和国内 信息安全相关标准，在研究各种信息系统风险分析方法的基础上，根据当前信息 安全评估方法研究的主要方向，选择合适的评估标准和方法。其次对第四方物流 及其信息系统进行研究，根据第四方物流信息系统风险的特点，分析出第四方物 流信息系统运行阶段存在的主要风险因素。之后，对风险因素进行整理，建立了 第四方物流信息系统安全风险评估指标体系，应用a n p 和模糊综合评判法建立 模型，对第四方物流信息系统进行综合评估，得出评估结果。 在研究方法上，首先，借助图书馆资源，搜集了大量的相关参考文献资料， 对论文涉及到的相关理论进行了分析研究，为模型的建立以及结论的形成打下了 坚实的基础，并且提供了参考依据；其次，在具体研究过程中，主要采用了系统 分析与重点分析相结合、定性分析与定量分析相结合的方法，分析研究出合适的 4 第一章绪论 评估方法，并对第四方物流信息系统运行阶段安全风险因素进行分析和研究，分 析其形成的原因和特点，以及产生的影响；第三，通过演绎、归纳、总结的方式， 根据前面的分析结果，经过系统的分析方法，选取比较重要的风险因素，建立指 标体系，之后根据经过分析研究得出的风险评估方法，构建模型；第四，结合相 关实例，用实例说明了评估的整个过程，对模型进行了验证。 综上所述，本文研究的内容主要包括以下方面： 1 、分析研究了目前国际国内信息系统安全风险评估常用的标准体系和相关 理论，为第四方物流信息系统安全风险评估模型的建立提供了理论基础。 2 、对现有的风险评估方法进行分析整理，介绍了目前常用的风险评估的方 法，通过分析研究得出结论一应用网络分析法和模糊综合评判法建立第四方物 流信息系统安全风险评估模型。 3 、对第四方物流及第四方物流信息系统进行研究，分析总结出第四方物流 信息系统的特点，为下一步进行安全风险评估做好准备。 4 、对第四方物流信息系统运行阶段进行风险识别，对其存在的安全风险因 素进行了研究，通过分析、归纳和总结，选取其中重要的安全风险因素建立第四 方物流信息系统安全风险评估指标体系。风险分析是整个评估过程的关键所在， 根据第四方物流信息系统的安全风险特点，研究其存在的安全风险因素是本文研 究的重点。 5 、根据上一步建立的指标体系，重点分析研究了网络分析法和模糊综合评 判法，并依据网络分析法和模糊综合评判法建立模型，用网络分析法确定指标权 重，根据模糊综合评判法确定整个第四方物流信息系统的安全风险等级。指标权 重的确定是风险评估的核心，也是本文进行第四方物流信息系统安全风险评估的 核心。 6 、以深圳市某第四方物流企业信息系统作为示例，对其进行安全风险评估， 用实例说明对第四方物流信息系统进行安全风险评估的整个过程。 本文的特色成果： l 、对第四方物流信息系统进行研究，对其存在的风险进行识别，研究第四 方物流信息系统运行阶段的风险特点，针对第四方物流信息系统的运行阶段，研 究其存在的各种风险因素，经过分析，选取其中重要的风险因素建立指标体系。 2 、应用网络分析法和模糊综合评判法建立模型。指标权重的计算是风险评 估的核心，目前，采用层次分析法对信息系统进行安全风险评估已经比较成熟， 但是，在现实中，风险因素集之间并不是独立的。随着信息技术的发展，信息系 统的集成程度越来越高，风险因素集之间的关系越来越紧密，已经成为不能忽略 的因素。尤其是第四方物流信息系统，其复杂性和集成性都很强，指标体系中风 5 北京化工大学硕士研究生学位论文 险因素集之间的联系以及风险因素集内部的反馈都比较强，已经成为不能忽略的 因素。因此，应用网络分析法确定指标权重，可以弥补层次分析法的不足，能够 更好地解决这些问题，更符合实际的需求。 6 第二章信息系统安全风险评估相关理论 第二章信息系统安全风险评估相关理论 信息系统安全风险评估是信息系统安全管理的重要组成部分，是解决信息系 统安全问题的有效方法之一。目前，很多有实力的专业的信息安全公司都已经开 展了信息系统安全风险评估服务，在政府的关键部门以及信息化程度比较高的企 业( 如电信、银行等) ，也通过风险评估发现和解决了信息系统潜在的大部分安 全风险。风险评估方法的选择是风险评估中核心的问题，对最终得到整个信息系 统的安全风险状况有重要的意义。本章重点分析研究了信息系统安全风险评估相 关理论及方法，为后文建立第四方物流信息系统安全风险评估模型提供了理论基 础。 2 1 信息系统安全风险评估相关概念 信息系统安全风险评估是通过对信息系统的资产、面临威胁、存在的脆弱性、 采取的安全控制措施等进行分析，从技术层面和管理层面综合判断信息系统所面 临的风险。任何信息系统都会存在安全风险，信息系统安全管理的宗旨之一，就 是在综合考虑成本与效益的前提之下，通过采取及时有效的安全措施来控制风 险，使残余风险降低到可接受的范围之内。 信息系统安全风险评估，是信息系统安全保障体系建立中的重要的评价方法 和决策机制。如果没有准确及时的风险评估，各个机构将无法对其信息系统安全 的状况作出准确的判蝌引。 为了研究第四方物流信息系统的安全风险评估，本文首先对信息系统安全风 险评估的相关理论进行了分析研究。 2 1 1 信息系统安全风险相关概念 1 、信息系统 根据中华人民共和国计算机信息系统安全保护条例，信息系统 ( i n f o r m a t i o ns y s t e m ) 指的是由计算机及其相关的和配套的设备、设施( 含网络) 构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索 等处理的人机系统【4 】。这一定义说明，信息系统主要是由计算机系统、网络系统 和人共同构成的。 对信息系统也可以作这样的定义：信息系统是指一个能为其所在组织采集、 7 北京化工大学硕士研究生学位论文 处理、存储、传输信息，以此来支持该组织的经营、管理、制定决策的集成的计 算机系统，是人、规程、数据库、硬件和软件等的有机集合。信息系统依附于国 家、组织机构和个人，是国家、组织机构和个人应用业务和管理体系的网络化的 映射，是集体智慧、个人思维和行为能力的延伸。 2 、信息安全 信息安全( i n f o r m a t i o ns e c u r i t y ) 是指对信息的保密性( c o n f i d e n t i a l i t y ) 、完整性 ( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) 三个安全属性的保持。根据美国国防部发布的可 信计算机系统评价准则t c s e c 中的( t r u s t e dc o m p u t e rs t a n d a r d se v a l u a t i o n c d t c r i a ) 的定义，这三个属性的具体内容是 s l ： ( 1 ) 保密性：是指确保信息在存储、使用、传输的过程中不会泄漏给非授权 用户或实体。 ( 2 ) 完整性：是指确保信息在存储、使用、传输的过程中不会被没有授权的 用户所篡改，同时还要防止授权用户或者实体对系统及信息进行不恰当的篡改， 要保持信息内部、外部的一致性。 ( 3 ) 可用性：是指确保授权用户或者实体对信息及资源的正常使用时不会被 异常拒绝，允许授权用户或者实体可靠而及时地访问信息及资源。 3 、信息安全风险 信息安全风险( i n f o r m a t i o ns e c u r i t y r i s k ) ，指的是人为的或自然的威胁利用信 息系统及其管理体系中存在的脆弱性，从而导致安全事件的发生及其对组织所造 成的影响【6 】。一般而言，信息系统的生命周期可划分为以下五个阶段，分别为规 划、设计、开发、运行以及废弃，本文是对第四方物流信息系统的运行阶段，进 行安全风险评估。 因为人的认识能力和实践能力的局限性，所以开发出来的信息系统就会存在 脆弱性，这是无法避免的。信息系统拥有的价值及其存在的脆弱性，使得信息系 统在现实的环境中，总是要面临各种各样的人为的或者是自然的威胁，因此，存 在安全风险也是必然的。信息系统安全管理的宗旨之一，就是在综合考虑成本与 效益的前提之下，通过安全措施来控制风险，使残余风险降低到可以被接受的程 度。 由于任何信息系统都会存在安全风险，所以，人们所追求的所谓安全的信息 系统，实际上指的是信息系统在实施风险评估并在做出风险控制之后，仍然存在 的残余风险达到可以被接受的程度。经过分析研究后，得出信息系统的安全风险 的特点主要有以下几方面： 8 第二章信息系统安全风险评估相关理论 第一，信息系统的安全风险具有系统性。信息系统的安全性跟产品的安全性 是不同的，它是一个多维空间并且是相互关联的系统概念，信息系统的安全及其 风险的控制是由产品、过程、技术、管理、基础设施、人员等众多因素、多种成 分组成的复杂的系统工程，通过以下两方面内容可以说明：一方面，任何一个部 分的疏忽漏洞都很有可能构成整个信息系统的安全风险事件；另一方面，其它部 分的有效控制措施又可能会反过来降低该薄弱部分的风险等级。所以，整个信息 系统的各个部分是有机关联的整体。 第二，信息系统的安全风险具有动态性。信息系统的安全风险存在于信息系 统的整个生命周期，包括开发、运行、废弃等，直至信息系统消亡，而且安全风 险还将会随着信息系统系统的运行不断发生变化，因此对信息系统的安全管理就 是一个逐步完善的过程。 第三，信息系统的安全风险具有相对绝对性。在采取相应的风险应对策略 和措施之后，风险只能暂时或者是在一定程度上能够避免，不可能被完全消除， 这就是信息系统安全的相对性和信息系统安全风险的绝对性。 由于信息系统的安全风险的具有动态性、绝对性等特点，所以不可能也没有 必要将风险完全消除，因为风险越小，所消耗的安全成本就会越高；反之，消耗 的安全成本越低，风险将会越高。 在采取应对策略和安全保障措施后，信息系统存在的风险就是残余风险 ( r e s i d u a lr i s k ) ( 7 1 。正是因为不存在绝对的安全，所以，一般来讲，安全指的是相 对安全，风险指的是残余风险。因此，风险管理的本质上就是在切合实际的基础 上，寻求安全风险损失与安全保障成本之间的最佳平衡点，而风险管理的基础性 的首要工作，就是对安全风险进行评估。 因此，要追求信息系统的安全，保证信息系统能够良好运行，就必须运用信 息系统安全风险评估的标准和方法，对信息系统开展全面的安全风险评估【8 】。对 第四方物流信息系统来说，也是同样的道理。 2 1 2 信息系统安全风险评估 根据相关文献【9 】，有“信息系统安全风险评估 和“信息安全风险评估两 个概念，信息系统安全风险评估的概念要更大一些，此概念包括了相关的信息处 理设施。而信息安全风险评估的概念相对要窄一些，是专门针对信息本身进行的。 但是，在实际的信息安全活动之中，脱离了环境来讨论信息是很不现实的，因此， 讨论信息安全风险是面对整个信息系统而言的【1 0 1 。在本文中，信息安全风险指的 就是信息系统安全风险，信息安全风险评估指的就是信息系统安全风险评估。 根据2 0 0 7 年我国发行的 c c 与早期的评估标准相比较，它的优势体现在以下三个方面： 结构的开放性、表达方式的通用性、结构和表达方式的内在完备性和实用性，具 体说明如下： 第一，开放的结构使得通用准则c c 提出的安全功能要求和安全保证要 求都可以在具体的“保护轮廓和“安全目标”中得到进一步地细化和扩展，并 且这种结构更加适应信息技术和信息安全技术的发展； 第二，通用的表达方式使得用户、开发者、评估者等目标读者都可使用通 用准则c c ，使互相之间的沟通与理解实现起来更加容易； 第三，：通用准则c c 结构和表达方式的内在完备性和实用性具体体现在 “保护轮廓 和“安全目标 的编制上。 1 6 第二章信息系统安全风险评估相关理论 2 2 3 我国信息系统安全标准情况 近年来，在信息化发展的推动下，我国的信息系统安全法律法规以及标准化 都有了很大的发展。在1 9 9 4 年2 月1 8 日，国务院发布了中华人民共和国计算 机信息系统安全保护条例。在1 9 9 9 年5 月1 7 日，国家强制性标准计算机信 息系统安全保护等级划分准则( c b1 7 8 5 9 1 9 9 9 ) i e 式发布【2 引，这一标准是计算 机信息系统安全等级保护系列标准的核心。该标准规定了计算机系统安全保护能 力的5 个等级，分别为：第一级为用户自主保护级；第二级为系统审计保护级； 第三级为安全标记保护级；第四级为结构化保护级；第五级为访问验证保护级。 在2 0 0 1 年3 月，g b t1 8 3 3 6 2 0 0 1 信息技术安全技术信息技术安全性评 估准则( 等同于i s o1 5 4 0 8 ：1 9 9 9 ，即c c ) 正式发布，这一标准是评估信息技术 产品和系统安全性的基础标准【2 9 】。 在2 0 0 2 年，我国政府开始了对信息安全风险评估进行研究，在国家的8 6 3 计划中，第一次规划了系统安全风险分析和评估方法研究课题。同年4 月 1 5 日，全国信息安全标准化技术委员会在北京正式成立。委员会下专门设置了 信息安全评估工作组( w g 5 ) 和信息安全管理工作组( w g 7 ) 。 在2 0 0 3 年，中共中央办公厅发布了2 7 号文件，该文件对开展信息安全风险 评估工作提出了明确的要求，为我国信息安全建设和研究提供了方向和指导。 从2 0 0 5 年初开始，国信办在风险评估课题组前两年研究工作的基础上，组 织了全国2 0 多个单位开展风险评估的试点工作，目的是在现有基础信息网络和 重要信息系统的管理体制下，探索如何推进信息安全风险评估工作，检验草拟的 国家标准的可行性与可用性，为全面推广信息安全风险评估工作和国家出台相关 政策文件做前期准备。同年，制订了信息技术信息安全风险评估规范( 送审 稿) 。 2 0 0 7 年1 1 月，我国政府组织相关专家和机构编制的信息技术信息安全 风险评估规范正式实施，成为各行各业开展信息系统安全风险评估的指导性文 件。该标准主要参考了b s7 7 9 9 、n i s ts p 8 0 0 系列、i s o1 3 3 3 5 等国际标准，同 时根据我国的信息化与企事业单位的安全现状，提出了适合我国国情的信息系统 安全风险评估方、法【3 0 l 。 2 3 风险评估的过程 信息系统安全风险评估的过程，就是根据国内国际相关的评估标准，选取相 应的评估技术和评估方法，利用合适的评估工具，针对信息系统存在安全方面的 1 7 北京化工大学硕士研究生学位论文 问题展开全面评估的过程。信息系统安全风险评估的过程主要包括5 个阶段，依 次为风险评估准备、风险因素识别、风险确定、风险评价和风险控制 3 1 】。其中， 风险评估的准备、判断风险是否可以被接受、保持已有的控措施和实施风险管理 等这些步骤需要评估人员根据经验来完成，其余的步骤则可以通过辅助工具来完 成。 2 3 1 风险要素及其关系模型 根据国家标准信息技术信息安全风险评估规范，信息系统安全风险评估 的基本要素包括以下几个方面：要保护的信息资产、信息资产的脆弱性、信息资 产面临的威胁、存在的可能风险、安全防护措施等。信息系统的安全风险评估就 是围绕着这些基本要素来展开的，并且通过对信息资产的脆弱性进行分析，以此 来确定威胁可能会利用哪些弱点来对信息资产进行破坏。风险评估中各要素的关 系模型如图2 5 所示【6 】 3 2 】： 依赖 具有 利用增加未被满足成本 可能诱发 图2 5 风险评估中各要素的关系模型 f i g 2 - 5t h em o d e lo fr o l a t i o n s h i pb o t w e e ne l e m e n t si nr i s ks 略s e s s m e n t 在图2 - 4 中，方框部分的内容指的是风险评估的基本要素，椭圆部分的内容 指的是与这些要素相关的属性。 1 8 第二章信息系统安全风险评估相关理论 图2 _ 4 中的风险要素以及属性之间存在着以下几方面的关系： 第一，业务战略的实现对资产具有一定的依赖性，依赖的程度越高，要求其 风险就要越小； 第二，资产是具有价值的，并且组织的业务战略对资产的依赖的程度越高， 资产价值就会越大： 第三，风险是由于威胁而引发的，资产所面临的威胁越多，则说明风险越大， 并很有可能会演变成为安全事件； 第四，资产的脆弱性很有可能会暴露出资产的价值，资产所具有的脆弱性越 多，则说明风险就会越大； 第五，脆弱性指的是未被满足的安全需求，威胁通过利用脆弱性来对资产进 行危害； 第六，风险的存在以及对风险的认识，可以导出安全需求； 第七，安全需求可以通过安全措施来得以满足，同时在考虑实施的成本时， 还需要结合资产的价值； 第八，安全措施可以用来抵御威胁，从而达到降低风险的作用； 第九，关于残余风险有些是因为安全措施不当或无效而导致的，可以通过 加强安全措施达到控制的风险的目的；有些则是在综合考虑了安全成本与效益之 后，不去控制的风险； 第十，残余风险应当被密切地监视，因为残余风险很有可能会在将来诱发新 的安全事件，对信息系统造成损害。 对于本文来说，风险要素即风险因素，是进行第四方物流信息系统安全风险 评估的基础，只有充分了解风险因素及其关系，才能更好地堆第四方物流信息系 统进行安全风险评估。 2 3 2 风险分析原理 风险评估的基本要素主要包括以下几个方面，分别为：信息资产以及信息资 产的脆弱性、信息资产所面临的威胁、以及信息资产存在的可能风险等。除此之 外，每个要素都有自己各自的属性：资产的属性是资产价值；威胁的属性包括威 胁主体、影响对象、出现频率以及动机等；脆弱性的属性则是资产弱点的严重程 度。风险评估就是围绕着这些基本要素展开的，通过分析信息资产的脆弱性来确 定威胁可能利用哪些弱点来破坏信息系统的安全性。 根据国家标准信息技术信息安全风险评估规范，基本的风险分析原理如 图2 - 6 所示 6 1 ： 1 9 北京化工大学硕士研究生学位论文 图2 - 6 风险分析原理 f i g 2 - 6t h ep r i n c i p l e so fr i s ka n a l y s i s 风险分析原理对是对第四方物流信息系统进行风险识别、建立指标体系的基 础，只有在进行了风险分析之后，才能确定出第四方物流信息系统存在的主要风 险因素，从而建立出指标体系。 2 3 3 风险评估流程 对于信息系统来说，组成信息安全的要素有：资产的价值、对资产的威胁和 威胁发生的可能性、资产的脆弱性、现有控制所提供的安全保护。风险评估的过 程就是综合以上因素，从而导出残余风险的过程，根据国家标准信息技术信 息安全风险评估规范，具体的风险评估流程如2 7 所示【6 】： 第二章信息系统安全风险评估相关理论 录 图2 _ 7 风险评估流程 f 螗2 - 7r i s ka s s e s s m e n tp r o c e s s 对本文来说，国家标准信息技术信息安全风险评估规范给出的风险评 估流程，为本文制定第四方物流信息系统安全风险评估的实施步骤奠定了基础。 2 4 常用的风险评估方法 国内外的支持使得信息安全风险评估的研究工作取得突飞猛进的进展，各种 评估方法层出不穷，使得评估所花费的时间、资源大大的缩减，并且提高了评估 的效率，同时也使评估的效果得到了改善。常用的信息系统安全风险评估主要有： 北京化工大学硕士研究生学位论文 手动评估和工具辅助评估，技术评估和整体评估，定性评估和定量评估，基于知 识的评估和基于模型的评估，系统安全风险动态分析与评估方法。评估方法有层 次分析法( a n a l y t i c a lh i e r a r c h yp r o c e s s ，a h p ) 、德尔斐法( d e l p h i ) 、故障树法( f a u l t t r e e a n a l y s i s ，f t a ) 等，这些方法基本上都遵循了风险评估流程，只是在具体实 施手段和风险计算方面有所不同【3 3 1 。本节主要研究了定性评估方法、定量评估方 法以及定性评估与定量评估相结合的评估方法，重点研究分析了a h p ( 层次分析 法) 和a n p ( 网络分析法) 。 2 4 1 定性评估的方法 定性的评估方法是一种典型的模糊评估方法，可以比较快速地对资产、威胁、 脆弱性进行评估，并对现有的防范措旌进行评价，从主观的角度对风险因素进行 排序。该方法主要依据研究者的知识、经验等对信息系统的安全风险状况做出判 断的过程。典型的定性评估的方法有因素分析逻辑分析法、历史比较法、德尔斐 法。定性评估方法的优点是，评估的速度比较快，消耗的时间比较短。但是，定 性评估方法的主观性很强，很难做到客观全面，另外，该方法对评估者本身的要 求很高【3 4 1 。 2 4 2 定量评估的方法 定量的评估方法是指运用数量指标来对信息系统安全风险进行评估，评估所 形成的量化值，使运行机制和各项规范、制度等紧密结合的可操作性大大增加了， 评估的目标能够更加具体明确，增加了其可信度，为应急计划的确定提供了更为 信赖的依据。典型的定量评估的方法有因子分析法、聚类分析法、时序模型、回 归模型、决策树法等。采用定量评估的方法，可以使评估结果更为科学、更加严 密阅。 定量评估的方法对资产的价值和威胁的量化数据的要求非常高，分析的结果 更为直观，更加容易理解。但是，这种方法存在着一些缺点，首先，数据并不是 很可靠，也不是很精确，对于很多威胁来说，并不存在频率数据，威胁的影响和 概率很难是精确的；其次，对风险的控制和相应的安全措施可以使威胁事件发生 的可能性降低，而且，有些事件之间又是相互关联的，因此，对于这些情况，很 难用具体的数据来表示清楚。这两方面的缺点，使得单纯地应用定量评估的方来 进行对信息系统进行安全风险评估时的难度增加，并且增加了评估的时间，在实 际中操作的难度也非常大。 第二章信息系统安全风险评估相关理论 2 4 3 定性与定量结合的方法 由于对信息系统进行安全风险评估是一个复杂的过程，整个信息系统又是一 个庞大的系统工程，需要考虑的安全风险因素比较多，而完全量化这些风险因素 是不切实际的。对于这种情况，就需要找出一个即可以反映信息系统的客观性， 又考虑了各种安全因素的方法。因此，将定性评估方法和定量评估方法有机地结 合起来，共同完成信息安全风险评估，也就是在定量的基础上采用定性的方法进 行抽象，在定性的基础上采用定量的方法进行分析综合。只有使定性分析方法与 定量分析方法有机地相结合，才能真正做到客观、准确和高效的信息系统安全风 险评估。 常用的定性评估与定量评估相结合的方法有p r a ( 概率风险评估) 、d p r a ( 动 态风险概率评估) 、a h p ( 层次分