信息系统安全管理风险评估中的测量方法研究

信息系统安全管理风险评估中的测量方法研究信息系统安全管理是一个综合的人际系统，它有5个要素：安全、管理、信息、系统、网络它们之间密不可分：安全是目的，信息是根本，管理是手段，系统是方法，网络是桥梁。信息是安全管理信息系统的基础，系统是围绕信息的生命周期而设计的，如何进行信息采集、处理、存储、管理、检索和传输使系统设计的主要环节。管理是对信息资源的有效组织，使之具有效能的一种手段，管理要素决定了管理信息系统的最优结构是分层次的金字塔结构，具有不同层次的管理级别，既基层作业管理，中层战术管理，上层战略管理。在设计系统的时候需考虑不同的管理级别拥有不同的系统访问权限。1、现状分析信息系统的严格管理是一个组织机构及用户免受攻击的重要措施。事实上，很多组织机构及用户的网站或系统都疏于这方面管理。据IT界组织业务团体ITAA的调查显示，美国90％的IT组织业务都对黑客攻击的准备不足。目前，美国75％-85％的网站都抵挡不住黑客的攻击，约有75％的组织业务网上信息失窃，其中25％的组织业务损失在25万美元以上。而对计算机病毒的攻击，所有机构几乎无一幸免。此外，管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。在信息安全领域，普遍认为信息安全不仅仅是一个技术问题，更是一个管理问题。2、目标信息系统安全管理的目标是：保证信息系统在有充分保护的安全环境中运行，由可靠的操作人员按规定规范使用计算机系统、网络系统、数据库系统和应用系统，以保证信息安全战略和组织的目标得以实现。信息系统安全管理的主要安全指标包括：物理过程与人员安全、机密性、可计算性、访问控制、完整性、可用性、质量保证、互操作性等。信息系统安全技术应紧紧围绕信息的输入、存储、处理和交换这条链。根据系统自身的特点，将组成系统的各实体系统部件的安全特性‘网络的安全机制、安全服务等进行集成，构成信息系统的安全框架。除网络协议外，计算机信息系统实体既为系统安全框架的部件，是信息赖以生成、存储、处理和交换的依托。各系统功能模块的功能指标就是系统安全特性分解到相应功能模块的安全指标。系统总体安全特性能否实现，完全取决于各功能模块安全指标的正确设计和实施。通常系统部件在整体上采用冗余配置（如网络服务器、网络线路、设备等），以提高其容错能力。3、意义管理对信息安全等级保护的实现有十分重要的意义和作用。所谓管理是对人的管理。信息安全管理是指，在实现信息安全的全过程中，人应该做什么，如何做。通常用中国工程院何德全院士的话“三分技术，七分管理”来形容管理对信息安全的重要性。管理是贯穿信息安全整个过程的生命线。作为实施信息安全重要途径的等级保护的管理，这种生命线的作用体现得就更为充分。4、基本安全需求信息系统自身存在着一些固有的脆弱性，如信息资源的分布性、流动性大，系统所存储与处理的数据高度密集、具有可访问性，信息技术专业性强、隐蔽程度高，系统内部人员的可控性低，等等。这些弱点在信息系统的实际运行中易诱发各种风险，对其安全性构成了潜在的威胁。（见表一）针对信息系统本身固有的脆弱性和常见的风险，信息系统的基本安全需求包括：用户身份验证。系统要识别进入者的身份并确认是否为合法用户。存取访问控制。系统要确定合法用户对哪些资源享有何种授权，可进行什么类型的访问操作。信息交换的有效性和合法性。信息交换的双方应能证实所收到的信息内容和顺序都是正确的；用能检测出所收到的信息是否过时或重复。软件和数据的完整性。信息系统的软件和数据不可非法复制、修改或破坏，并要保证其真实性和有效性。加密。利用密码技术对传输和存贮的信息进行加密处理以防泄漏。加密的基本要求是，所采用的密码体制要有足够的保密强度，要有有效的密钥管理，包括密钥的产生、存贮、分配、更换、保管、使用乃至销毁的全过程。监理。为防止系统出现差错而采取的预防性措施，包括：外部监理、管理监理、操作监理、安全保密监理。审计。对使用系统资源、设计信息安全的有关操作，应有一个完整的记录和彻底的检查，以便系统出现问题时分析原因、弄清责任。防病毒。计算机病毒是一种恶意程序，它通过不同的途经潜伏或寄生在系统的正常程序或存储媒体里，当某种条件或时机成熟时就会滋生并感染系统，使信息资源受到不同程度的损害。防辐射。计算机系统工作时有辐射和传导电磁信号泄漏，经过提取处理就可恢复出原信息而造成失密。防灾。信息系统的灾难主要指火灾、水灾、风灾和地震等自然灾害和恐怖活动、电力中断、网络中断、软硬件出错等人为灾难。5、测量体系有句话叫“你不能改进你不能测量的东西”，这充分说明了测量的重要性。我们为什么要对ISMS的有效性进行测量呢？我们从以下几个角度来评述。1）对信息安全管理目标的考核

组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等，来设定自身信息安全管理的目标，通过测量，不但可以很好的对信息安全目标达到的程度进行考核，准确的衡量ISMS的绩效，而且还能够为管理层对信息安全管理的资源投入提供数据依据。

2）

ISMS持续改进的重要依据

在建立ISMS时，通常都会进行风险评估及风险处理措施的实施，如果不进行测量，就不能反映出当前组织的各安全措施的效果如何，即无法表现出信息安全的改进在哪些方面。通过测量，能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度，为今后的信息安全的工作重点提供有力的依据。

3）信息安全管理工作的绩效考核

测量结果不仅是衡量ISMS绩效的重要标准，也是对信息安全管理组织工作绩效的一个有利的侧面展示，通过测量的数据，不但可以使管理者清晰的了解信息安全管理工作，而且还能增强信息安全管理工作人员的信心。

4）满足标准（ISO

27001）的符合性要求

众所周知，ISO

27001标准中明确要求组织定义测量体系，并实施之获得数据，衡量所实施ISMS的有效性。通过ISMS测量工作，不仅充分的满足了标准的要求，而且是推动ISMS持续改进的动力。在对ISMS进行测量的时候，我们应该遵循什么样的原则呢？我认为只要遵循“有依据、可操作、能比较”这三点原则，那么设计出来的测量体系就是比较好的。这三点原则说明如下：

1)

有依据：测量的过程中，不是为了测量而测量，不是为了标准而测量，各项指标的设定一定要有理有据，每个测量的指标都应当能够具体反映出ISMS的运行状态。

2)

可操作：一个不能操作的测量指标体系是没有意义的，所以测量指标体系一定是清晰、明确，具体可操作的，而同时又是容易收集、不能花费太大的成本的，否则设计再好的测量指标体系都无法真正的贯彻执行。

3)

能比较：测量的结果一定是可比较的，可以通过量化的数值、图形化的参考来展现测量的结果，这样能够清晰、直观的观察到ISMS的状态趋势。6、测量体系的设计前面我们谈到了进行测量的必要性以及建立测量指标体系的原则，那么如何建立一个测量的体系呢？下面我结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。1）ISMS的Plan策划阶段随着整个ISMS的策划，有效性测量的工作其实已经可以开展，这个阶段主要是收集有效性测量的需求，为有效性测量提供输入，是进行有效性测量指标体系设计的基础。具体的活动如下：ISMS 目标建立：测量一定要与组织的业务目标相关，是为了组织的核心业务目标而测量的，这是进行测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时，一定使ISMS的目标能够反映组织的业务目标，并且这个目标需要遵守SMART原则，即要具体(Specific)，可量化(Measurable)，可达成(Achievable

or

Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。利害相关方关注收集：在ISMS的策划阶段，可以收集各利害相关人的关注点，比如：客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等，这些都是建设ISMS的重要信息输入，同时也是有效性测量的重点关注内容。历年安全事件的总结：信息安全事件的频次，能够在一定程度上反映出组织信息安全的薄弱环节，这些高频次的安全事件可作为测量的一个重点，来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高，那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为测量的指标来进行测量，以反映出防病毒控制措施的有效性。信息安全高风险归纳：在策划阶段进行风险评估中的信息安全高风险，是需要组织必须要处理的，而且这些高风险同时是需要被重点跟踪的，因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去，来验证信息安全高风险的控制措施是否有效。

按照上面所讲的方面进行有效性测量的需求信息收集，来为有效性测量提供有力的输入信息，这样在进行有效性测量指标的设计时，就能够做到有理有据。2）ISMS的Do策划阶段在ISMS的运作阶段，需要对测量体系进行详细的设计，主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析：分析测量需求：对于策划阶段的各类有效性测量的输入进行归纳整理，在这个基础上还可以考虑加入一些其它方面的只要指标，比如ISMS的重要活动、信息安全管理的日常操作等，这些方面统一分析整理，最终得出一套需要进行测量的重要指标。测量指标分解：对归纳出来的各项重要指标做进一步分解，对应到ISMS的各项具体度量项，并为每项设定度量目标的阀值。测量指标采集方案设计：测量指标采集方案的设计是将各项指标如何测量进行定义，包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行，指标采集频度可以根据不同的指标区别对待，在制定责任人时应尽量避免由操作者直接测量自己工作的指标。测量指标的记录：按照测量指标采集方案的频率进行检查，并且按照时间线进行记录，记录的数据应客观准确，这样才能真正的反映问题。在此阶段的过程中，测量指标的选取是一个重点，同时也是一个难点，不能测量的指标过少，但同时也没有比较所有的控制点全部进行测量，下面是一个测量指标分类的参考，可根据实际情况选取一些关键的指标进行度量。管理控制措施：如安全目标、安全意识等方面。业务流程：如风险评估和处理、选择控制措施等。运营措施：如备份、防范恶意代码、存储介质等。技术控制措施：如防火墙、入侵检测、补丁管理等。审核、回顾和测试：如内审、外审、技术符合性检查等。3）ISMS的Check策划阶段在ISMS的控制阶段，需要做的事情有两个方面，一是根据有效性测量的结果对ISMS进行评价，另外一个需要对有效性测量体系进行评价，两方面的工作具体来说为：评价ISMS运作：体系管理组根据指标分解的层次，对指标进行计算、整合及分析，检查各层次指标是否满足目标要求，并对整体状况进行评估，得出ISMS做的好的方面以及需要改进的方面。

评价测量指标：根据测量、分析结果，评价有效性测量体系的贡献，并从中找到需要改进的区域，调整测量指标体系，为ISMS有效性的测量更好的提供服务。4）ISMS的Act策划阶段在ISMS的改进阶段，基于控制阶段的分析，对ISMS及测量指标体系分别进行改进，使之鞥好的为ISMS服务。7、信息系统安全管理度量度量乃管理之基石，在信息系统开发中，我们很难管理不能明确度量的事物。信息安全管理度量是一个持续进行的收集并估计数据和信息的过程，用来对当前性能和一段时间的性能趋势进行评估。它是确定和描述信息安全管理系统的度量，是通过资源和活动来处理信息安全的过程和程序。安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象，如算法、规格说明书、体系结构、设计、产品以及实施的系统等；组织性安全度量用于描述组织过程、规程的有效性；操作性安全度量用于描述操作环境方面的风险。对于什么是信息系统安全度量，有人认为，它是以科学法则为基础进行测量的结果，有人认为它还应包括在主观判断基础上做出的度量结论。目前这方面还存在争议，有人还使用了具有类似含义的其他词，如：measure，score，rating，rank，assessment，result等。在对这些词做出区别前，它们统一做了如下定义：信息系统安全度量是通过度量过程从一个偏序集中选择的一个值，它表示了信息系统的信息安全相关的质量，它提供或用于产生一种关于信任程度的描述、预言或比较。信息安全管理度量的基本思路框架图8、信息系统安全管理度量的一般方法在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节，甚至可以左右最终的度量结果，所以需要根据系统的具体情况，选择合适的度量方法。度量的方法有很多种，概括起来可以分为三大类：定量的度量方法、定性的度量方法、定性与定量相结合的度量方法。传统的分析方法主要有：故障树分析法、失效模式与后果分析法、模糊分析法、事件树分析法等等。9、一种基于最小割集的信息系统安全管理度量方法故障树分析的基本概念故障树分析法(FaultTreeAnalysis-FTA)是1961年由美国贝尔实验室的H.A.Watson和D.F.Hassl在研究民兵导弹时首先提出的。随后,FTA不断得到应用与发展,被公认为是可靠性分析和故障诊断的一种简单有效的方法,是对复杂系统安全性和可靠性进行分析的一种有效方法。FTA法是一种由果到因的分析方法,既可以用来对整个系统进行定性分析(即应用数理逻辑找到故障树的结构函数),也可以用来对整个系统进行定量分析(即确定顶事件发生的概率和底事件的重要度)。故障树定性分析的内容主要有:①确定最小割集。最小割集代表系统故障模式,是由基本事件的集合组成。②确定最小径集。最小径集代表系统正常工作模式,也是由基本事件的集合组成。(1)最小割集。最小割集在事故树分析法中占有很重要的地位。在故障树分析中,把能使顶事件发生的基本事件集合叫做割集。最小割集是导致顶上事件发生的最低限度的基本事件的组合。由此可知,它是系统发生故障的充要条件。有多少个割集,顶上事件就有多少种发生的可能。所以确定最小割集在故障树分析中显得很重要。(2)最小径集。最小径集与最小割集相对,它是保证顶事件不发生的最小的不发生事件的组合。即顶事件不发生所必需的最低限度的基本事件不发生的集合。最小割集的传统求法求解故障树最小割集的传统方法有2种:1种是下行法,1种是上行法。下行法。(Fussel2Vesely算法),从顶事件开始,顺次把逻辑门的输出事件用输入事件置换。经过‘或’门输入事件竖向写出,经过‘与’门输入事件横向写出,直到全部门事件均置换为底事件(基本事件)为止。每行由若干个底事件组成,构成一个割集。再吸收、简化掉互相完全包含和冗余的割集,最后得到全部最小割集。上行法(Semanderes算法)。它由下向上进行,每1步都利用集合运算规则进行简化、吸收,最后得到全部最小割集。在简单故障树中,最小割集也可以通过观察直接找到。但在复杂的故障树中,这样求最小割集比较复杂,甚至是无法求解。这时借助计算机来求解。常用的计算机算法有两类:模拟方法和决定的方法。模拟方法有蒙特卡罗法,该方法的主要优点在于,它能使用于任意逻辑关系复杂的故障树。决定的方法有3种:W.E.维斯利和R.E.纳卢母最早用决定性方法研究了PRER程序。该程序使用一种直接的组合试算法。福塞尔等人研究了1种不用组合试算的方法。它的基本出发点是:逻辑‘与’门使最小割集内包含的基本事件数增加,逻辑‘或’门使最小割集数目增加,其采用自上而下的方法。塞门德尔斯用素数代表各基本事件,这样便于存储割集和除去非最小的割集。该方法也采用自上而下方法。10、实例分析以下是秦山核电站的事件分析手册中一个关于设冷泵不能手动启动的故障树。可以用故障树转化为串并联或并串联系统形式的方法求出最小割集。转化过程：此故障树比较简单,只有2层。从第2层开始分解转化,第2层有3个部分转化中间过程通过第1层的‘或’门,把这3部分并联起来依据故障树分析原理,对故障树中最小割集的算法尝试了一种新方法。应用实例把故障树转换为串并联系统或并串联系统的形式,结果一目了然,很容易就求出了最小割集和最小径集。参考文献：金星,沈怀荣,文明,等.故障树定性分析的优化方法.指挥技术学院学报,2001金星,洪延姬,文明,等.大型武器装备安全可靠性分析优化方法.弹箭与制导学报,20