《信息系统安全风险评估模型与方法.pdf》由会员分享,可在线阅读,更多相关《信息系统安全风险评估模型与方法.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 收稿日期:2008-11-07作者简介:冯杰(1959),男,江苏人,教授,主要从事军事运筹学研究.军事信息系统安全风险评估模型与方法冯 杰1,姜 宁1,王志勇1,王喜东2,董京春2(1.大连舰艇学院 作战指挥系,辽宁 大连 116018;2.海军装备部,北京 100841)摘要:阐述了军事信息系统安全所面临的风险.根据信息的重要程度将该类系统分为5级,在此基础上建立了军事信息系统安全风险评估模型,并给出风险评估的程序和步骤,运用该模型和方法对某军事信息系统进行了风险评估,获得了改善系统安全的措施,为该类及相关系统的安全风险评估提供参考.关键词:军事信息系统;安全风险;评估模型;评估实例中图
2、分类号:F224.9文献标识码:A文章编号:1006-0707(2009)03-0001-04 随着军队信息化建设的飞速发展,各种军事信息系统已经开发成功并投入使用,极大地提高了作战指挥、教育训练、部队管理和科学研究的水平和效益,这是有目共睹的,已经成为国家和军队的关键基础设施.但是,这些信息系统由于设计、研制、开发和应用管理上的问题,经常有失密和泄密现象的发生,系统安全面临着严峻的挑战与考验1.由于核心器件、软硬件关键技术等大多依赖进口和管理相对滞后等原因,信息系统存在着各种各样的安全隐患或漏洞,例如物理隐患、通信隐患、软件隐患和电磁泄漏等,再加上黑客攻击、病毒侵袭和窃听等无时无刻不在威胁着
3、军事信息系统的安全.面对着各种隐患和威胁,不能仅利用安全保密检查来解决这些问题,传统的安全管理模式已经变得力不从心,需要构建一种技术管理与制度法规管理相匹配的新管理模式,上升到信息系统安全风险评估高度来解决这些问题.1 军事信息系统的安全分级 为了对军事信息系统的安全风险进行评估,必须对这类系统根据其所处理的信息重要性的不同,将其分为相应的等级,在分级的基础上再对其进行安全风险评估,这样易实现评估的可操作性和可信性.根据处理信息的密级和遭受攻击破坏后给军队安全与利益造成损害的不同程度将该类系统划分为5个等级.经过仔细研究,我们认为军事信息系统可划分成 级系统2.级系统处理公开信息;级系统处理内
4、部信息;级系统处理秘密信息;级系统处理机密信息;级系统处理绝密信息.2 军事信息系统安全风险评估模型和方法 所谓军事信息系统安全风险评估是按照国家和军队有关技术标准,对信息系统的完整性、保密性和可靠性等安全保障性能进行科学、公正的综合评估活动.风险评估是对信息及信息处理系统的威胁、影响和脆弱性,以及三者发生可能性的评估3-4.它是确定安全风险大小的过程,即利用适当的安全风险评估工具,包括定性和定量的模型和方法,确定信息资产的风险等级、风险出现的概率和风险控制的优先次序,以采取适当的安全措施减少损失.安全风险评估是信息系统安全风险管理的一个不可或缺的部分.如上所述,根据军事信息系统所处理的信息密
5、级的不同,将其划分成 级系统.在此基础上,运用下面的方法和模型对军事信息系统进行安全风险评估是可行的.2.1 安全风险综合评价的模型和方法信息系统安全风险评估的综合评价模型和方法很多,例如层次分析模型(AHP)、模糊综合评价模型、灰色系统方法、威胁树分析模型和反馈风险控制模型等5-6.按照AHP模型的要求,需要将安全风险分为多个层次,然后进行多级的综合评价.分类方法可以采用ISO 17799国际标准作为风险的分类标准.由于安全因素众多,相互关系复杂,可以将复杂关系分解为由局部简单关系构成的多层次结构.由于ISO 17799的分类比较繁杂,本文中提出一种基于分级的军事信息系统安全风险评估方法,将
6、安全风险评估指标确定为7个主题,与分级安全保密防护要求中的“物理安全”、“网络安全”、“系统安全”、“系统软件安全”、“数据安全”、“应用安全”、“用户安全”和“安全管理”相对应,每个主题又由几个子类构成,子类下规定了若干的安全要素.如图1所示,该评估方法采用了4级层次结构.第30卷 第3期四 川 兵 工 学 报2009年3月图1 安全风险评估层次结构 按照上述对军事信息系统的安全分级,对于以上安全要素分别进行测试和打分,运用下面的方法对整个系统的安全风险进行定量评估,以获得系统的风险评级.2.1.1 层次分析模型(AHP)AHP是一种整理和综合主观判断的客观方法,适用于多目标、多准则的复杂评
7、价问题.它可以将复杂问题分解为递阶层次结构.然后在比原问题简单多的层次上逐步分析、计算.该种方法可以同时处理定量和不定量因素,也可以将人的主观判断用定量形式表示和处理.AHP方法强调人的思维判断在决策过程中的作用,通过一定模式使决策思维过程规范化.2.1.2 模糊综合评价模型该种评价方法是以模糊数学为理论基础,应用模糊关系合成原理,将一些安全边界不清、不易定量分析的因素进行定量化,使用隶属度来表示这些因素,然后进行综合评价的一种方法.该种方法非常适合于分层和分级结构,例如对于二层结构,模糊综合评价模型为E=W1W2R1其中:W1,2为一、二级因素权重;R1为模糊关系.2.1.3 灰色系统方法所
8、谓灰色系统是指部分信息明确,部分信息不明确的系统.军事信息系统符合灰色系统的特征,因此可以使用灰色评估理论对该系统进行安全风险评估.2.2 安全风险评估程序风险评估是风险管理的第一步.通过风险评估可了解军事信息系统所面临的威胁、本身的脆弱性、实施的控制措施等信息,通过对这些信息的综合分析和评估,最终可计算出系统实际的安全等级.为使安全风险评估更有效率、更具有可操作性,必须遵循一个科学、合理的程序,即安全风险评估应采取的步骤与流程.本文中提出的风险评估程序可作为安全风险评估的程序指南或参考.一般的风险评估程序由以下几个步骤组成.2.2.1 系统特性分析及分级首先对系统特性进行分析,根据军事信息系
9、统所处理的信息密级类型可以分为 级,密级越高的系统所需要的安全保密要求也越高,所处理的信息价值也越高.在分级的基础上再对系统进行安全风险评估.2.2.2 威胁分析威胁是指某个特定威胁源(自然、人为、环境)利用系统脆弱性对系统造成损失的潜在能力.如果系统没有脆弱性,威胁源无法对系统造成威胁;同样,即使系统具有脆弱性,如果没有威胁源,也不足于对系统构成威胁.为对军事信息系统进行安全风险评估,应该对系统所面临危险的可能性进行分析.某个威胁发生的可能性与系统存在的脆弱性、威胁源的强度和系统采取的控制措施有关.2.2.3 系统脆弱性分析对军事信息系统安全风险的评估需要对该系统脆弱性进行分析.系统脆弱性是
10、指系统在设计、研制、实施、操作和控制过程中所存在的可被威胁源利用造成系统安全危害的缺陷或弱点.系统脆弱性往往与对应的威胁相结合时才会对系统的安全造成危害.对系统脆弱性的识别可通过核查和系统安全测试方法等进行.例如,可以利用前面对系统分级安全保密要求的项目进行符合性检查,形成系统脆弱性清单.2.2.4 可能性与危害分析军事信息系统安全危害发生的可能性和危害等级与威胁源的动机和能力、系统脆弱性的性质及该系统实施控制的有效性密切相关.因此,对系统安全危害发生的可能性和危害分析必须从这3个方面综合考虑.可能性等级和危害等级可以使用简单的“高、中、低”来表示,也可以使用本文中介绍的模糊综合评价方法的隶属
11、度来表示,并赋予一定的数值,便于定量计算.2.2.5 风险等级计算军事信息系统安全风险等级与系统安全危害发生的可能性等级和危害等级密切相关.其计算方法可以通过风险等级矩阵来完成,它由系统安全危害发生的可能性等级和危害等级相乘得到;或者利用模糊综合评价方法的模糊关系合成得到.系统的风险等级可以使用简单的“高(0.51.0)、中(0.10.5)、低(0.00.1)”来表示,也可以根据需要划分成更细的等级.2.2.6 安全风险评估结果文档与报告如果军事信息系统安全风险评估工作全部结束,最终必须产生安全风险评估结果文档.该文档不仅作为此次评2四 川 兵 工 学 报估的资料保存,也为以后的安全风险评估提
12、供参考与比较.结果文档应该包括威胁源清单、系统脆弱性清单、系统实施的控制措施清单、系统的风险等级和推荐的控制措施清单等.此外,还应形成一份详细的安全风险评估报告,提出增强系统安全、消除风险隐患的建议和措施,供系统管理和使用人员参考.2.3 安全风险评估工具和标准军事信息系统安全风险评估是一项非常复杂和繁琐的工作,仅靠一两次安全保密检查是难于胜任的,必须依靠一定的技术工具和遵循严格的标准才能完成.例如在进行网络安全测试的时候,可以使用网络嗅探程序、网络扫描程序等来发现网络是否存在着安全隐患和漏洞.关于安全风险评估标准,目前国家正在进行信息安全风险评估的管理规范与技术要求的制定,已经完成 信息安全
13、风险评估指南、信息安全风险管理指南 等2项国标的制定,正在进行国家重要信息系统和关键基础设施的安全风险评估试点工作.军队也非常重视军事信息系统安全工作,正在进行 军队计算机信息系统安全保密防护要求及检测评估方法 等标准的制定工作,但对军事信息系统安全风险评估、标准研究尚处于起步阶段,许多工作有待于今后进一步研究.3 安全风险评估模型与实例 对于一个军事信息系统来讲,可从系统所处理的信息密级M(04)分别对应I、和 级信息、系统的脆弱性C(04)分别对应无脆弱性、脆弱性低、脆弱性较低、脆弱性较高和脆弱威性高以及系统的威胁等级W(04)分别对应无威胁、威胁较低、威胁低、威胁较高和威胁高出发,运用定
14、性和定量相结合的方法对该系统进行安全风险评估.3.1 安全风险评估模型可以使用前面提出的层次分析法、模糊综合评估方法和灰色系统评估方法对其进行评估.本文中提出一个简单实用的评估模型,用以说明系统信息M、系统脆弱性C、系统威胁W和安全风险A之间的关系.即:A=MCW(1)定义安全风险等级:A在01,无风险;A在216,风险低;A在1732,风险较低;A在3348,风险较高;A在4964,风险高,因此安全风险评估结果如表1所示.表1 安全风险评估结果风险等级无风险风险低风险较低风险较高风险高M0113242434C0113242434W0113242434A01216173233484964 从表
15、1可以看出,系统信息、系统脆弱性、系统威胁和安全风险、影响和安全措施这些基本要素之间存在如下关系:1)威胁主体因某种客观原因或利益驱动,采取特定的威胁行为对资产实施威胁,可见,威胁主体动机和威胁行为能力构成威胁自身的潜力(简称威胁潜力).威胁潜力与威胁主体动机和威胁行为能力成正相关系.如果威胁较大(W在34取值),对于机密信息(M=3)而言,即使系统脆弱性较低(C在12取值);则安全风险A在912,属于低风险范畴.2)威胁需要利用目标信息的脆弱性才可能成功地实施威胁,由此可见,威胁潜力(即威胁自身的潜力)和脆弱程度(即脆弱性的被利用难易程度)构成威胁借助脆弱性后的效力,也就是安全事件发生的可能
16、性.安全事件发生的可能性与威胁潜力和脆弱程度成正相关系.例如,如果威胁较大(W在34),对于机密信息(M=3)而言,系统脆弱性较高(C在34);则安全风险A在2748,属于较高风险范畴.3)一旦安全事件发生,目标信息就会受到一定程度的影响,由此可见,信息价值和受影响程度构成安全事件后果的严重性.安全事件后果的严重性与信息价值和影响程度成正相关系.4)风险出自于上述各正相要素,归结于安全事件发生的可能性和安全事件后果的严重性,而安全措施作为负相要素对风险具有抑制作用,由此可见,安全事件发生的可能性、安全事件后果的严重性和安全措施的有效性构成风险值.风险值与安全事件发生的可能性和安全事件后果的严重
17、性成正相关系,与安全措施的有效性成负相关系.根据上述信息安全风险评估原理,我们编制了信息安全风险评估软件系统,用于系统安全风险等级的计算.3.2 安全风险评估实例下面给出一个实际的军事信息系统安全风险评估实例.在信息等级一定的前提下,脆弱性是系统内部人员,在处理、存储、传输和使用信息系统中,由于技术安全措施和机制不健全,管理不落实,所发生的被病毒感染、泄露、窃取、篡改、破坏等事件的综合表现.威胁则主要是恶意的人进行非法访问及恶意代码攻击等操作对信息系统产生的威胁.针对以上脆弱性分析,由安全防护措施产生对脆弱性的作用和影响,如表2所示.3冯 杰,等:军事信息系统安全风险评估模型与方法表2 安全防
18、护措施对脆弱性的作用和影响序号安全防护措施作用影响1物理访问控制防止关键软硬件被破坏可控性完整性2系统访问控制防止软件被破坏可控性完整性3网络访问控制防止黑客攻击网络可控性完整性4用户权限控制防止文件越权访问可控性完整性5加密机制防止源代码泄密保密性完整性6鉴别机制防止非法用户访问保密性完整性7归档备份机制防文件丢失完整性8预警机制安全漏洞扫描可用性9监控机制入侵检测、端口控制可控性10防病毒机制防病毒感染完整性11审计机制操作跟踪记录不可否认性12组织管理加强制度和人的管理可控性13安全培训提高职业道德和技能可控性14安全策略增强安全使用规范可控性 根据安全防护措施对脆弱性的作用和影响,我们
19、调查了一个实际的军事信息系统的安全防护措施,它分别处在2种比较极端的情况.一种情况是除了常用的、简单的防护措施之外几乎不采取安全防护措施;另一种情况是采取比较严格的安全防护措施,如表3所示.表3 采取安全防护措施情况统计序号安全防护措施第1次第2次有(0)/无(1)有(0)/无(1)1物理访问控制102系统访问控制003网络访问控制104用户权限控制005加密机制116鉴别机制107归档备份机制108预警机制119监控机制1010防病毒机制0011审计机制1012组织管理1013安全培训1114安全策略10合计113 根据以上安全检查,定义安全防护措施计数器为Ji=0有安全措施1无安全措施(2
20、)求和得到未采取安全防护措施总数为J=14i=1Ji(3)然后将未采取安全防护措施总数转化为系统的脆弱性C,它们之间的映射关系为C=0,J=01,J=132,J=463,J=794,J=1014(4)信息系统在第1次配置时,由于采用少量的安全防护技术措施,累计数字为J=11,系统的脆弱性C换算为C=4(脆弱性较高).在信息等级、威胁等级一定的前提下,假设M=3(机密信息),W=3(威胁较高),用以上评估模型测算,A=MCW=433=36,即系统安全处于“风险较高”等级.然而,信息系统在第2次配置时,由于采用了大量的安全防护技术措施,累计数字为J=3,系统的脆弱性C换算为C=1(脆弱性低).在信
21、息等级、威胁等级相同的情况下,即M=3(机密信息),W=3(威胁较高),用以上评估模型测算,A=MCW=331=9,即系统安全处于“风险低”等级.即在第2次采取了安全技术手段与措施之后,随着脆弱性的减弱,在信息等级和威胁程度相同的前提下,安全风险从“风险较高”降低为“风险低”等级.因此,为了降低整体信息系统的安全风险,必须采取相应的安全技术措施和管理手段.4 结束语 阐述了军事信息系统安全所面临的风险,根据信息的重要程度将该类系统分为5级,在此基础上建立了军事信息系统安全风险评估模型,并给出风险评估的程序和步骤,运用该模型对 军事信息系统进行了风险评估,获得了改善系统安全的措施,对该类及相关系
22、统的安全风险评估具有一定的指导意义和参考价值.(下转第7页)4四 川 兵 工 学 报图3 利用ST2DFT分析DTMF信号的流程3 结束语 采用ST2DFT对DTMF信号进行分析,原理简单,实时性好,能够满足在线监测的要求.同时,ST2DFT也适合于对各种电话信号进行分析.本文中所述方法已经在某指挥控制系统的在线监测中应用,效果良好.参考文献:1 科恩L,白居宪.时-频分析:理论与应用M.西安:西安交通大学出版社,1998.2 魏泽峰.基于傅里叶短时分析的敏感语音信号提取J.微计算机信息,2007(2/3):246-247.3 冯金成.现代通信设备M.武汉:华中理工大学出版社,1997.4 刘
23、庆云.时频分析技术及研究现状J.计算机工程,2004(1):171-173.5 赵永平.利用改进时频分析算法检测TWACS调制信号J.哈尔滨工业大学学报,2007(3):471-473.(上接第4页)参考文献:1 陆驿.实施信息安全风险评估的探讨C/全国信息安全会议论文集.北京:出版者不详,2004.2 欧阳平,董京春,冯杰.基于分级的军队信息系统风险评估研究J.海军装备,2006(2):12-15.3 范红,吕俊杰.信息安全风险评估指标采集的几点考虑C/全国信息安全会议论文集.北京:出版者不详,2004.4 王兴芬,崔宝灵,李一军.以风险分析为中心的信息系统安全工程模型J.运筹与管理,2004,13(2):45-48.5 闵京华.信息系统安全风险的概念模型和评估模型C/全国信息安全会议论文集.北京:出版者不详,2004.6 丛友贵.信息安全保密概论M.北京:金城出版社,2001.7段修生,等:基于ST2DFT的DTMF信号在线监测技术